LUIS GERARDO RUIZ AGUDELO

Tamaño: px

Comenzar la demostración a partir de la página:

Download "LUIS GERARDO RUIZ AGUDELO"

Adolfo Olivares Cárdenas
hace 8 años
Vistas:

1 MANUAL DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA LA CORPORACIÓN UNIVERSITARIA SANTA ROSA DE CABAL UNISARC DE ACUERDO A LAS NORMAS ISO/IEC LUIS GERARDO RUIZ AGUDELO CORPORACIÓN UNIVERSITARIA SANTA ROSA DE CABAL, UNISARC FACULTAD DE CIENCIAS Y TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN PROGRAMA DE INGENIERÍA DE SISTEMAS SANTA ROSA DE CABAL 2015

AGUDELO CORPORACIÓN UNIVERSITARIA SANTA ROSA DE CABAL, UNISARC FACULTAD DE CIENCIAS Y

2 MANUAL DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA LA CORPORACIÓN UNIVERSITARIA SANTA ROSA DE CABAL UNISARC DE ACUERDO A LAS NORMAS ISO/IEC LUIS GERARDO RUIZ AGUDELO Trabajo de grado presentado como requisito para optar al título de Ingeniero en Sistemas Director JHON JAIRO RINCÓN LOAIZA Especialista en Auditoría y Control de Sistemas CORPORACIÓN UNIVERSITARIA SANTA ROSA DE CABAL, UNISARC FACULTAD DE CIENCIAS Y TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN PROGRAMA DE INGENIERÍA DE SISTEMAS SANTA ROSA DE CABAL

Sistemas Director JHON JAIRO RINCÓN LOAIZA Especialista en Auditoría y Control de Sistemas CORPORACIÓN UNIVERSITARIA SANTA ROSA DE

3 TABLA DE CONTENIDO Pág. RESUMEN INTRODUCCIÓN 1. PLANTEAMIENTO DEL PROBLEMA JUSTIFICACIÓN OBJETIVOS OBJETIVO GENERAL 3.2 OBJETIVOS ESPECÍFICOS 4. ALCANCES ANTECEDENTES MARCO TEÓRICO CONCEPTOS BÀSICOS DE SEGURIDAD INFORMÁTICA Características División de la seguridad Términos relacionados con la seguridad informática Activo Amenaza Impacto Riesgo Vulnerabilidad Ataque Desastre o contingencia Tipos de incidentes de seguridad 6.2 ANÁLISIS Y GESTIÓN DE RIESGOS Qué es el riesgo? Elementos principales del riesgo Modelo PDCA en el sistema de gestión de riesgos POLÍTICAS DE SEGURIDAD Generalidades Política NORMA ISO Otras normas relacionadas con seguridad de la información CONTROLES DE SEGURIDAD Y SU CLASIFICACIÓN Controles físicos Controles técnicos Controles administrativos 6.6 CRIPTOGRAFÍA METODOLOGÍA COBIT 6

1.3.3 Impacto 21 6.1.3.4 Riesgo 6.1.3.5 Vulnerabilidad 23 6.1.3.6 Ataque 6.1.3.7 Desastre o contingencia 24 6.1.3.8 Tipos de incidentes de seguridad 6.2 ANÁLISIS Y GESTIÓN DE RIESGOS 25 6.2.1 Qué es el riesgo?

4 7. MARCO JURÍDICO LEYES 8. DISEÑO METODOLÓGICO UBICACIÓN 8.2 METODOLOGÍA 8.3 PROCEDIMIENTO 9. RESULTADOS Y ANÁLISIS CREACIÓN DEL COMITÉ DE SEGURIDAD INFORMÁTICA Identificación, clasificación y valoración de activos de información 9.2 VALORACIÓN DEL RIESGO PROCESO DE GESTIÓN DEL RIESGO SEGÚN LA NORMA 47 ISO/IEC OBJETIVOS DE CONTROL Y CONTROLES SEGÚN LA NORMA 54 NTC ISO/IEC DE DESCRIPCIÓN DE CADA UNO DE LOS DOMINIOS 59 SELECCIONADOS PARA LA ELABORACIÓN DEL MANUAL DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA UNISARC 10. CONCLUSIONES RECOMENDACIONES 121 BIBLIOGRAFÍA 7

3 PROCESO DE GESTIÓN DEL RIESGO SEGÚN LA NORMA 47 ISO/IEC 27005 9.4 OBJETIVOS DE CONTROL Y CONTROLES SEGÚN LA NORMA 54 NTC ISO/IEC 27001 DE 2005 9.

5 LISTA DE TABLAS Pág. Tabla 1 Aspectos fundamentales de la seguridad informática 17 Tabla 2 Guía para la clasificación e interpretación de los activos al 19 elaborar el manual Tabla 3 Tipos de amenazas 21 Tabla 4 Clasificación de las amenazas según su origen 21 Tabla 5 Descripción de los tipos de ataques más importantes 23 Tabla 6 Tipos de ataques que se pueden presentar en un sistema de 24 información y herramientas para contrarrestar estos ataques Tabla 7 Fases del ciclo Deming en el proceso de gestión de riesgos 30 Tabla 8 Normas generales que debe cumplir una política de seguridad 33 Tabla 9 Valoración de los activos en cuanto a nivel de 44 confidencialidad integridad y disponibilidad Tabla 10 Descripción general de los dominios según la norma ISO/IEC de 2005 Tabla 11 Relación de las políticas y los aspectos a tener en cuenta para 46 cada una de ellas Tabla 12 Estructura de la norma ISO/IEC Tabla 13 Descripción de los 6 anexos contemplados en la norma 49 ISO/IEC de 2008 Tabla 14 Identificación de los riegos informáticos 50 Tabla 15 Riesgos físicos y lógicos a los equipos informáticos 51 Tabla 16 Identificación de vulnerabilidades y amenazas 52 Tabla 17 Clasificación de los niveles de riesgo 53 Tabla 18 Objetivos de control y controles según la norma NTC-ISO/IEC de 2005 Tabla 19 Políticas a tener en cuenta para la elaboración del manual de normas y políticas de seguridad informática en UNISARC 58 8

Clasificación de las amenazas según su origen 21 Tabla 5 Descripción de los tipos de ataques más importantes 23 Tabla 6 Tipos de ataques que se pueden presentar en un sistema de 24 información y

6 LISTA DE FIGURAS Pág. Figura 1 Modelo PDCA 30 Figura 2 Círculo Deming 31 Figura 3 Proceso de RSI 49 Figura 4 Pilares de la seguridad informática según la norma ISO/IEC

7 RESUMEN El manual de normas y políticas de seguridad informática que se describe a continuación contiene documentación para el proceso de la información y la definición de normas y políticas de seguridad informática recomendadas para ser implementadas en la Corporación Universitaria Santa Rosa de Cabal. El documento ofrece una descripción de los conceptos básicos de seguridad informática como vulnerabilidades, amenazas impacto, riesgos, etc., con un vocabulario básico para el entendimiento y comprensión, en un marco referencial de los aspectos generales de la seguridad informática. Después de hacer el respectivo análisis de la información, etapa inicial de la definición explicita de cada uno de los conceptos incorporados en la confidencialidad, integridad y disponibilidad viene el análisis de la información, esto permite la generación de las políticas con sus respectivos controles asignándoles responsabilidades de los diferentes procesos realizados por la institución. Uno de los objetivos básicos del desarrollo de este documento es proporcionar una organización y un modelo de marco referencial tanto de normas y políticas, como de controles necesarios para mantener la seguridad de todos y cada uno de los activos existentes en la institución, mediante un proceso de análisis y gestión de riesgos con el cual se identifican los procesos y/o procedimientos críticos. Se busca proporcionar una plataforma de identificación de activos, la cual se propone como parte del desarrollo metodológico basada en las normas ISO IEC y en la identificación del sistema de gestión de seguridad informática. El documento determinará la implementación de un Comité de Seguridad Informática, quienes tendrán bajo su responsabilidad la aprobación y gestión de los controles de distintos recursos informáticos que garanticen o contribuyan el cumplimiento o mantenimiento de los objetivos corporativos, enmarcados entre la propuesta de dominios publicados por la norma y definidos por el Gobierno Corporativo de UNISARC. Palabras claves: manual, políticas, seguridad informática, controles, procesos ABSTRACT The manual of procedure and political of computer safety that is described later it contains the documents the process of the information and the definition of procedure and political of computer safety recommended to be implemented in the University Corporation Santa Rosa of Cabal. The document offers a description of the basic concepts of computer safety as vulnerabilities, threats I strike, risks, etc., with a basic vocabulary for the understanding and comprehension, in a referential frame of the general aspects of the computer safety. After the respective does analysis of the information, initial stage of the explicit definition of each one of the concepts incorporated in the confidentiality, integrity and availability comes the analysis of the information, this the generation allows of the political ones with his respective controls assigning to them responsibilities of the different processes realized by the institution. One of the basic aims of the development of this document is provide an organization and a model of referential frame so much of procedure and political, since of necessary controls to support the safety of each and every of the existing assets in the institution, by means of a process of analysis and management of risks with which the processes and / or critical procedures are identified. One seeks to provide a platform of identification of assets, which proposes itself as part of the methodological development based on the procedure ISO IEC and in the identification of the system of management of computer safety. The document will determine the implementation of a committee of computer safety, who will have under his responsibility the approval and management of the controls of different computer resources that guarantee or contribute the fulfillment or maintenance of the corporate aims, framed between the offer of authorities published by the norm and defined by the corporate government of UNISARC. Key words: manual, political, computer safety, controls, processes. 10

El documento ofrece una descripción de los conceptos básicos de seguridad informática como vulnerabilidades, amenazas impacto, riesgos, etc.

Documentos relacionados

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos