IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ

IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA DEPARTAMENTO DE OPERACIONES Y SISTEMAS PROGRAMA INGENIERÍA INFORMÁTICA SANTIAGO DE CALI 2014

IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ Proyecto de Grado para optar por el título de Ingeniero Informático Director Miguel José Navas Jaime Ingeniero de Sistemas UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA DEPARTAMENTO DE OPERACIONES Y SISTEMAS PROGRAMA INGENIERÍA INFORMÁTICA SANTIAGO DE CALI 2014

Nota de aceptación: Aprobado por el Comité de Grado en cumplimiento de los requisitos exigidos por la Universidad Autónoma de Occidente para optar al título de Ingeniero Informático. MARIO WILSON CASTRO Jurado SANTIAGO DE CALI, 10 de Julio de 2014 3

AGRADECIMIENTOS Se hace muy difícil agradecer a todo el mundo llenando una sola página diciendo nombres propios, por eso diré los que sinceramente estuvieron conmigo en el desarrollo de este proyecto y que de una u otra forma depositaron su confianza en mí, apoyándome y que creyeron en mí sobre mis conocimientos básicos. Le soy muy agradecida a Dios por permitir que mis padres, Diomedes Montes Montaño y Melba Cecilia Santacruz Campo, estuvieran conmigo dándome su apoyo incondicional sobre el trabajo de grado que se realizó con éxito, mis padres siempre se esmeraron en darme la mejor educación y valores para tener un excelente progreso en la vida como persona con educación. A mi hermana Juli Angélica Quintero Santacruz, en ella siempre he recibido consejos como hermana mayor y ocupa un grandísimo lugar en mi corazón, a ella también le agradezco por la confianza y el apoyo. Agradezco a la Universidad Autónoma de Occidente, a los docentes que con su dedicación y empeño se recibieron sus conocimientos con paciencia para formarme como una gran profesional, a el Director de Programa de Ingeniería Informática Cesar Pardo Calvache, quien me brindo apoyo y herramientas para mi formación profesional y a mi director de proyecto de grado Miguel José Navas Jaime, quien con me colaboró como guía académico sobre mi proyecto. De igual manera agradezco a la División de Tecnologías de la Universidad Autónoma de Occidente, especialmente al Ingeniero Jorge Armando Rojas por aportarme excelentes conocimientos para mi vida profesional y brindarme la confianza absoluta sobre el desarrollo de este proyecto. De igual manera agradezco a mis demás familiares, amigos, y compañeros que me brindaran su apoyo, confianza y ánimo, para que mis metas y demás propósitos se cumplieran y que hoy en día se convirtieran en realidad siendo una gran profesional. 4

CONTENIDO pág. GLOSARIO 12 RESUMEN 13 INTRODUCCIÓN 14 2. ANTECEDENTES 15 3. PROBLEMA DE INVESTIGACIÓN 21 3.1. PLANTEAMIENTO DEL PROBLEMA 21 4. JUSTIFICACIÓN 23 5. OBJETIVOS 24 5.1. OBJETIVO GENERAL 24 5.2. OBJETIVOS ESPECÍFICOS 24 6. MARCO DE REFERENCIA 25 6.1. MARCO TEORICO 25 6.2. NORMA ISO/IEC 31000: 2009 27 6.3. METODOLOGÍA OCTAVE 30 6.4. ESTANDAR DE SEGURIDAD DE LA INFORMACIÓN 34 6.5. NORMA ISO/IEC 27001: 2013 35 6.6. NORMA ISO/IEC 27002: 2013 37 6.7. ANEXO A 38 6.8. SEGURIDAD FÍSICA 40 6.9. ESTANDARES DE SEGURIDAD FÍSICA 44 6.10. NORMA ANSI/EIA/TIA 942 46 7. DESARROLLO DEL PROYECTO 49 5

7.1. FASE 1 VISTA ORGANIZACIONAL 50 7.1.1. Activos críticos 50 7.1.2. Perfil de amenazas 50 7.1.3. Requerimientos de seguridad 51 7.1.4. Prácticas actuales de seguridad 51 7.2. FASE 2 VISTA TECNOLOGICA 54 7.2.1. Vulnerabilidades tecnológicas 54 7.3. FASE 3 ANÁLISIS DE RIESGOS 57 7.3.1. Identificación y evaluación de riesgos 57 7.3.2. Estrategia de protección y planes de mitigación de riesgos 57 7.3.3. Valoración de los campos de la matriz análisis de riesgos 58 7.3.3.1. Valoración del activo 58 7.3.3.2. Riesgo neto 58 7.3.3.3. Riesgo residual 58 7.4. PLANTILLAS 59 7.4.1. Plantilla 01, información sobre el activo del centro de datos 59 7.4.2. Plantilla 02, análisis de riesgos 62 7.4.3. Plantilla 03, controles de la ISO 27002 seleccionados 65 7.5. CRITERIOS DE VALORACIÓN 67 7.5.1. Probabilidad de ocurrencia 67 7.5.1.1. Amenaza 67 7.5.1.2. Vulnerabilidad 67 7.5.2. Relevancia de activo 67 7.5.2.1. Confidencialidad 67 7.5.2.2. Integridad 68 7.5.2.3. Disponibilidad 68 7.5.3. Controles de la organización 68 7.5.3.1. Control 68 7.5.3.2. Controles de la norma 69 7.6. ESCALA DE VALORACIÓN 72 7.6.1. Riesgo neto 72 7.6.2. Riesgo residual 72 7.7. EJEMPLOS 72 7.7.1. Cuadro de ejemplos de activos físicos 72 7.7.2. Cuadro de ejemplos de amenazas informáticas 73 7.7.3. Cuadro de ejemplos de vulnerabilidades 75 8. METODOLOGÍA DE LA INVESTIGACIÓN 76 9. RESULTADOS 78 9.1. ANÁLISIS DE RIESGOS DEL CENTRO DE DATOS 78 9.2. RECOMENDACIONES PARA LOS CONTROLES EXISTENTES 80 DEL CENTRO DE DATOS 6

9.3. POLÍTICA ESPECÍFICA DEL CONTROL DEL ACCESO FÍSICO 80 AL CENTRO DE DATOS 10. CONCLUSIONES 81 11. RECOMENDACIONES 83 BIBLIOGRAFÍA 87 ANEXOS 90 7

LISTA DE FIGURAS pág. Figura 1. Principales fases de la seguridad de la información 26 Figura 2. Relaciones entre los principios, el marco de referencia y los 27 procesos para la gestión del riesgo Figura 3. El proceso de la metodología octave 31 Figura 4. Componentes del catálogo de prácticas octave 33 Figura 5. La serie de la norma ISO/IEC 27000 34 Figura 6. Dominios de la norma ISO/IEC 27002: 2013 37 Figura 7. Controles de la norma ISO/IEC 27002: 2013 39 Figura 8. Guía de desarrollo metodológico 49 Figura 9. Fase 1 metodología octave 50 Figura 10. Fase 2 metodología octave 54 Figura 11. Fase 3 metodología octave 57 8

LISTA DE CUADROS pág. Cuadro 1. Comparación de métodos biométricos 20 Cuadro 2. Nueva estructura de la norma ISO/IEC 27001: 2013 35 Cuadro 3. Descripción de los estándares de seguridad física 44 Cuadro 4. Prácticas estratégicas conciencia de seguridad y 53 formación Cuadro 5. Prácticas estratégicas estrategia de seguridad 53 Cuadro 6. Prácticas estratégicas gestión de seguridad 53 Cuadro 7. Prácticas estratégicas planes de contingencia / 53 recuperación de desastres Cuadro 8. Prácticas operacionales seguridad física. Planes de 55 seguridad física y procedimientos Cuadro 9. Prácticas operacionales seguridad física. Control de 56 acceso físico Cuadro 10. Prácticas operacionales seguridad física. Monitoreo 56 y auditoría de seguridad física Cuadro 11. Prácticas operacionales personal de seguridad. 56 Manejo de incidentes Cuadro 12. Prácticas operacionales personal de seguridad. 56 Personal de prácticas generales Cuadro 13. Cuadro descriptivo de activos físicos 59 Cuadro 14. Plantilla 01, Información sobre el Activo del Centro de Datos 61 Cuadro 15. Plantilla 02, Análisis de Riesgos 64 Cuadro 16. Plantilla 03, Controles de la ISO 27002 seleccionados 66 9

Cuadro 17. Cuadro descriptivo de valoración de una amenaza 67 Cuadro 18. Cuadro descriptivo de valoración de una vulnerabilidad 67 Cuadro 19. Cuadro descriptivo de valoración del impacto del activo 68 Cuadro 20. Cuadro descriptivo de evaluación del control de la 69 organización Cuadro 21. Cuadro descriptivo de los controles de la norma 69 Cuadro 22. Cuadro descriptivo de riesgo residual 72 Cuadro 23. Cuadro de ejemplos de activos físicos 73 Cuadro 24. Cuadro de ejemplos de amenazas informáticas 73 Cuadro 25. Cuadro de ejemplos de vulnerabilidades informáticas 75 10

LISTA DE ANEXOS pág. Anexo A. Información sobre el activo de información 90 Anexo B. Catálogo de prácticas metodología octave 91 Anexo C. Análisis de riesgos 97 Anexo D. Controles de la ISO 27002 seleccionados 97 11

GLOSARIO ESTANDAR: es un modelo para establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información cuyo diseño e implementación están influenciados por necesidades y objetivos, requisitos de seguridad, los procesos empleados, el tamaño y la estructura de la Organización, para asegurar controles de seguridad suficientes y proporcionales que protejan los activos de información y brinden confianza en las partes interesadas. INFORMACIÓN: es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION): es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. POLÍTICA: conjunto de normas y procedimientos establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. SARI: es un documento que contiene información confidencial de la Universidad. Sistema de Administración de Riesgos de la Información. SEGURIDAD: cotidianamente se puede referir a la seguridad como ausencia de riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia. 12

RESUMEN La información es uno de los activos más importantes que tiene una compañía, por esto se hace necesario que los procesos y sistemas de información que la gestionan a diario deban ser protegidos de amenazas que afectan la continuidad del negocio y la no consecución de los objetivos organizacionales. Actualmente la información vital de una organización se encuentra en equipos informáticos y redes de datos, también se puede encontrar información vital en documentos físicos ya sea en carpetas físicas, en libros de contabilidad, etc. Todo esto hace que dichos equipos, redes o documentos físicos estén expuestos a diferentes riesgos e inseguridades por cualquier ente como una persona experta en seguridad informática o una organización externa, esto hace que la información sea afectada directamente en la disponibilidad, integridad y confidencialidad. Por lo tanto, para proteger a las organizaciones de estos riesgos es necesario conocerlas y afrontarlas de una manera adecuada, para ello se deben establecer unos procedimientos apropiados para mitigar los riesgos, tanto en amenazas como en vulnerabilidades. En el presente documento se ilustra el proceso que se debe llevar a cabo en una organización, en este caso en la Universidad Autónoma de Occidente, para conocer los riesgos a los que se encuentra expuesto el activo de información el cual está en el Centro de Datos en la misma Universidad, para luego determinar una serie de políticas, procedimientos y controles físicos de seguridad de la información, que permitirán mantener el riesgo en un nivel aceptable por la dirección de la organización. Palabras claves: Seguridad de la información, Seguridad informática, Análisis de Riesgos, Seguridad Física, Controles físicos, Amenazas, Vulnerabilidades, Activos de Información, Gestión de Riesgos, Norma ISO/IEC 27001 y Norma ISO/IEC 27002. 13

INTRODUCCION En la actualidad muchas empresas se relacionan con el tema de la Seguridad Informática y Seguridad de la Información para proteger la información de su propia organización. Siendo así que estas organizaciones deben de tener muchos activos de información importantes que contienen información confidencial de la misma empresa. Pero no solo debe ser confidencial la información sino también debe ser privada ya que no todos los empleados deben tener esa disponibilidad de acceder esa información, es decir, solo personal autorizado puede obtener todo tipo de datos posibles. Por lo tanto, la seguridad de la información tiene varias fases que se relacionan con los sistemas de información. Para ello existe un Modelo de Defensa de Profundidad que manifiesta toda clase de seguridad que puede tener un sistema de información, es decir este sistema de información puede ser atacado por un hacker o un ente de otra organización, y éste modelo protege el sistema mismo y su propia información. Para este proyecto se realizará el análisis de seguridad física de los centro de datos de la Universidad Autónoma de Occidente, identificando sus controles físicos según la norma ISO/IEC 27002 que es el código de las buenas prácticas; también se utilizará la norma ISO/IEC 27001 donde se observan los objetivos de cada fase de la seguridad de la información. Y por último se hará una identificación de riesgos, análisis de riesgos y evaluación de riesgos, con la ayuda de la norma ISO/IEC 31000 que trata sobre la gestión de riesgos que puede ser impactada en una organización. 14

2. ANTECEDENTES La seguridad de la información es un concepto que hoy en día todas las organizaciones tienen en cuenta, unas más que otras pero se maneja para proteger la información confidencial. Esto se ve nacional o internacionalmente ya sea en empresas públicas o privadas y en universidades. A continuación se mostrarán dos proyectos de grado, el primero es de Buenos Aires que se trata sobre la Metodología para el Aseguramiento de Entornos Informatizados, y el segundo proyecto de grado se relaciona con La Seguridad en el Centro de Computo. En la Universidad de Buenos Aires se encontró una tesis de grado Metodología para el Aseguramiento de Entornos Informatizados 1, el cual su propósito es formalizar una metodología práctica y factible para convertir entornos informatizados inseguros en entornos protegidos, y lograr una clara evaluación de los mismos, teniendo en cuenta el objetivo y los procesos del negocio. Su principal objetivo es proveer a los Ingenieros en Informática el Análisis de Sistemas de una herramienta con modelos estructurados para que, de forma ordenada y efectiva, les facilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones, para luego implementarlas con éxito y así lograr una efectiva protección y documentación del entorno efectivo. Cuando se habla de incidentes de Seguridad, o problemas de Seguridad Informática se refieren a: Acceso no autorizado a la información. Descubrimiento de información. Modificación no autorizada de datos. 1 BISOGNO, María Victoria. Metodología para Aseguramiento de Entornos Informatizados [en línea]. Trabajo de grado Ingeniero Informático. Buenos Aires: Universidad de Buenos Aires. Facultad de Ingeniería, 2004. 234 p. [consultado: 14 de Noviembre 2013]. Disponible en: http://materias.fi.uba.ar/7500/bisogno-tesisdegradoingenieriainformatica.pdf. 15

Invasión a la privacidad. Denegación de servicios. Los niveles que cubrirá el proyecto son: Nivel físico. Nivel lógico. Nivel de la organización. En la parte de Seguridad Física, al momento de asegurar en este nivel, se tiene en cuenta lo siguiente: Protección del acceso a los servidores. Protección de los equipos. Controlar el acceso del personal y determinar a qué usuarios se le puede permitir el uso de los distintos recursos y a cuáles se les debe restringir. En cuanto al alcance a nivel físico el proyecto como tal, tiene en cuenta lo siguiente: Protección del edificio contra el acceso físico no autorizado. Protección de las oficinas del sector de Cómputo contra el acceso físico no autorizado. Protección del hardware e instalaciones del sector de cómputo y de ventas contra el acceso físico no autorizado. Protección de la red de comunicaciones de toda la empresa contra el acceso físico no autorizado. Protección de Cables. Protección de Servidores. Protección de la conexión wireless. Un proyecto de grado denominado SEGURIDAD EN EL CENTRO DE COMPUTO 2, elaborado para obtener el grado de Licenciado en Administración de Sistemas de Información, presenta los siguientes elementos que como antecedentes son referente para el presente trabajo: 2 PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. Trabajo de Grado Licenciado en Administración de Sistemas de Información, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: http://www.tesis.ufm.edu.gt/pdf/3574.pdf 16

La Seguridad de la Información bajo dos aspectos importantes: Negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, el cual también se le puede llamar protección de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales. Garantizar el acceso, a todos los datos importantes, a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado. 2.1. Principales ataques potenciales y destrucción en un Centro de Cómputo Ingeniería Social: Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían; aunque a nadie le gusta ser manipulado, en algunos casos no es excesivamente perjudicial (por ejemplo un vendedor puede aplicar ingeniería social para conocer las necesidades de un cliente y ofrecer así mejor sus productos), si las intenciones de quien la pone en práctica no son buenas se convierte quizás el método de ataque más sencillo, menos peligroso para el atacante y por desgracia en uno de los más efectivos. Shoulder surfing: Consiste en espiar físicamente a los usuarios, para obtener generalmente claves de acceso al sistema. Por ejemplo, una medida que utilizan muchos usuarios para recordar sus contraseñas es apuntarlas en un papel pegado al monitor de su computador o escribirlas en la parte de abajo del teclado; cualquiera que pase por delante del puesto de trabajo, sin problemas puede leer el usuario y clave de acceso, e incluso el nombre de la máquina a la que pertenecen. Masquerading: Consiste simplemente en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno; esta suplantación puede realizarse en persona o electrónicamente, un usuario utiliza para acceder a una máquina un login y password que no le pertenecen. Específicamente en este último caso, la suplantación en persona, es un ataque relativo tanto a la seguridad física del entorno de operaciones como a la seguridad del personal. Basureo o scavenging: La técnica del basureo está relacionada con los usuarios como con la seguridad física de los sistemas y consiste en obtener información dejada o alrededor de un sistema informático tras la ejecución de un trabajo. El basureo puede ser físico, como buscar en cubos de basura (trashing, traducido también por basureo), listados de impresión o copias de documentos, o lógico, como analizar buffers de impresoras, memoria liberada por procesos, o bloques de un disco que el sistema acaba de marcar como libres, en busca de información. 17

2.2. Seguridad Física del Centro de Cómputo La importancia de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos. 2.3. Controles de acceso físico Los controles de acceso físico conectan la información recibida en la red interconectada de dispositivos y sistemas especializados, al permitir a los centros de cómputo, la visualización de los distintos eventos y la consecuente toma de decisiones, que en muchos casos está a cargo de procedimientos preestablecidos, a fin de permitir a los mismos, tomar las decisiones en situaciones típicas u ordinarias, es decir, son las mismas máquinas las que proporcionan un nivel de operatividad y automatismo. Los métodos de autenticación se dividen en tres categorías: Sistemas basados en algo conocido. Sistemas lectores. Sistemas de autenticación biométricos. 2.4. Sistemas basados en algo conocido: Contraseñas En todos los esquemas de autenticación basados en contraseñas se cumple el mismo protocolo: las entidades (generalmente dos) que participan en la autenticación acuerdan una clave, clave que han de mantener en secreto si desean que la autenticación sea fiable. Cuando una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento de esa clave común, y si ésta es correcta se otorga el acceso a un recurso. 2.5. Sistemas lectores Las cuales son: Banda magnética: El más familiar y en algunos casos el más conveniente de los dispositivos de acceso físico es la tarjeta magnética. Tiene el aspecto de tarjeta de crédito o de documento de identidad. Sin embargo, las tarjetas pueden extraviarse, ser robadas o entregadas a terceras personas; en sí mismas no acreditan que el usuario sea la misma persona a quien se le expidió. Código de barras: También pueden usar unidades lectoras de códigos de barras, al utilizar para su conveniencia, por ejemplo, tarjetas con el código de 18

barras adherido. Las tarjetas tienen a la par una banda con un código de barras impresas que es reconocido por un lector de barras. Proximidad: Estos se usan para la lectura de códigos enviados por unidades como por ejemplo tarjetas que al aproximarse a la unidad lectora envían un código que es recibido por el dispositivo. Este tipo de dispositivos utiliza tecnología de radio frecuencia para leer la información de la tarjeta. Dependiendo de la potencia del dispositivo será la distancia que la tarjeta debe estar para enviar el código de ésta. Los dispositivos de aproximación pueden ser complementados con un teclado para reconocer un código personal, además del código de la tarjeta de aproximación; éstas pueden ser integradas con banda magnética o código de barras. Tarjetas inteligentes (smartcards): La tarjeta inteligente es una tarjeta convencional de plástico, que incorpora un chip en su interior. Este chip está formado por un microprocesador, una memoria de programa y una memoria de trabajo estructurada de forma lógica en varias zonas. Exteriormente lo que se puede observar es una placa de contactos que permiten comunicarse con el chip. El material empleado en las tarjetas es idóneo dada su durabilidad, resistencia ante factores externos, buen comportamiento en la impresión y posibilidad de grabarse en relieve. 2.6. Sistemas de autenticación biométrica Estos sistemas son basados en características físicas y de comportamiento de funciones personales del usuario a identificar. El reconocimiento de formas, la inteligencia artificial y el aprendizaje son las ramas de la informática que desempeñan el papel más importante en los sistemas de identificación biométricos. La criptología se limita aquí a un uso secundario, como el cifrado de una base de datos de patrones retinales, o la transmisión de una huella dactilar entre un dispositivo analizador y una base de datos. La autenticación basada en características físicas está desde que existe el hombre y, sin darse cuenta, es la más utilizada en la vida cotidiana; a diario se identifica a personas por los rasgos de su cara o por su voz. En la siguiente tabla se muestra una comparación de los rasgos más generales de los principales dispositivos biométricos: 19

Cuadro 1. Comparación de métodos biométricos. Ojo - Iris Ojo-Retina Huellas Geometría Escritura firma Voz dactilares de la mano Fiabilidad Muy alta Muy alta Alta Alta Alta Alta Facilidad de Media Baja Alta Alta Alta Alta uso Prevención de Muy alta Muy alta Alta Alta Media Media ataques Aceptación Media Media Media Alta Muy alta Alta Estabilidad Alta Alta Alta Media Media Media Identificación y Ambas Ambas Ambas Autenticación Ambas Autenticación autenticación Interferencias Gafas Irritaciones Suciedad, heridas, asperezas Artritis, reumatismo Firmas fáciles o cambiantes Ruido, resfriados Utilización Instalaciones nucleares, servicios médicos, centros penitenciarios Instalaciones nucleares, servicios médicos, centros penitenciarios Policía, industrial General Industrial Accesos remotos en bancos o bases de datos Fuente: PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: http://www.tesis.ufm.edu.gt/pdf/3574.pdf. Los dispositivos biométricos tienen tres aspectos principales: Disponen de un mecanismo automático que lee y captura imagen digital o analógica de la característica a analizar. Disponen de una entidad para manejar aspectos como la comprensión, almacenamiento o comparación de los datos capturados con los guardados en una base de datos (que son considerados válidos). Ofrecen una interfaz para las aplicaciones que los utilizan. 20

3. PROBLEMA DE INVESTIGACIÓN 3.1. PLANTEAMIENTO DEL PROBLEMA Las empresas actualmente han sido afectadas por muchos factores que se relacionan con el manejo de la información. Entre esos factores se encuentran los activos de información que como ya sabemos son cualquier cosa que tenga valor en una organización. Esa serie de factores están involucradas actualmente en las organizaciones las cuales son Seguridad Informática y Seguridad de la Información en donde sus definiciones son totalmente diferentes y para eso se mostrarán más adelante. Actualmente la Universidad Autónoma de Occidente cuenta con varios centros de datos (DataCenter) donde almacenan información que contiene la universidad, cuya información se puede decir que es sobre los estudiantes, información sobre los profesores, información sobre los empleados, etc. Pero aquí el problema es que este centro de datos no cuenta con una seguridad física controlada, es decir se debe realizar un registro de los controles que tiene el centro de datos por medio de las normas ISO y normas para la seguridad física de centros de datos, realizar el registro de los controles y desarrollar las recomendaciones necesarias. La Universidad cuenta con dos centros de datos, el primero está ubicado en las oficinas de División de Tecnología, en una de los 4 bloques de aulas que tiene la Universidad y el otro queda en el Sótano en las oficinas de soporte técnico, pero este segundo no es un data center como tal, ahí permanece todo lo relacionado con Redes y Telecomunicaciones. El presente proyecto se enfocará en el Centro de Datos que se encuentra en las oficinas de División de Tecnologías. Por lo tanto se identificarán los controles de seguridad física según la norma ISO/IEC 27001:2005 y la norma ISO/IEC 27002:2005 teniendo control y organización en el centro de datos que contiene la División de Tecnologías de la Universidad. Primero se realiza un estudio sobre el centro de datos de la Universidad, es decir, conocer que contiene el centro de datos, que amenazas y vulnerabilidades están afectando la organización y por último realizar gestión de riesgos la cual siguen la norma ISO/IEC 31000:2009. De igual manera se consideran las normas o estándares que manejan un Data Center, cumpliendo con lo que describen estas normas. Considerando tres fases importantes de la seguridad de la información: la confidencialidad, la integridad y la disponibilidad. 21

Se deben considerar los tres pilares de la seguridad de la información, incluyendo la integridad, que también tiene que ver con la seguridad física, ya que se podría llegar a la manipulación y transformación de la información. 22

4. JUSTIFICACIÓN La Universidad Autónoma de Occidente cuenta en estos momentos con estudios que tienen control sobre la Seguridad Informática y Seguridad de la información; con este proyecto la Universidad pretende, para el centro de datos ubicado en las oficinas de la División de Tecnologías, desarrollar el análisis de la Seguridad Física. Se hace un estudio en el cual se identifican los controles que tiene el centro de datos por medio de normas estipuladas para estandarizar los controles y el manejo de la seguridad de la información y sobre la gestión de riesgos. No será necesario contener información sobre este centro de datos ya que sólo es un análisis físico más no lógico como tal. Para proteger la información de manera física se aplican los controles que se hallan en el centro de datos. Las consecuencias que podría ocasionar el no trabajar este proyecto, son primero que todo los riesgos que tendría la información si no se protegen físicamente los equipos que la contienen. La segunda consecuencia es que no se desarrollaría una secuencia sobre los controles de la seguridad física del centro de datos de la Universidad y la tercera consecuencia es que no se emplearía a un futuro las vulnerabilidades y amenazas que podría tener el centro de datos en el momento que tenga un riesgo inesperado. 23

5. OBJETIVOS 5.1. OBJETIVO GENERAL Identificar controles de seguridad física para el Centro de Datos de la Universidad Autónoma de Occidente bajo las Normas ISO/IEC 27001: 2005 e ISO/IEC 27002: 2005 con el fin de garantizar la continuidad del negocio. 5.2. OBJETIVOS ESPECÍFICOS Analizar los requerimientos de Seguridad Física estipulados en las normas ISO/IEC 27001: 2005 e ISO/IEC 27002: 2005. Gestionar los controles de Seguridad Física según las normas. Proteger la información de carácter crítico para la institución por medio de controles de acceso físico. Evaluar el nivel de Seguridad Física del centro de datos de la Universidad Autónoma de Occidente. Formular políticas para el control de Seguridad Física del centro de datos de la Autónoma de Occidente. Culturizar a los usuarios sobre los controles de la Seguridad Física planteada en las normas establecidas. 24

6. MARCO DE REFERENCIA 6.1. MARCO TEORICO 6.1.1. Definición de seguridad informática. La seguridad informática se relaciona directamente con la seguridad de la información 3. La seguridad informática se define como cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden obtener daños en la información, comprender su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema. La seguridad informática también abarca en asegurar los recursos del sistema de información de una organización, siendo que el acceso a la información sea posible a las personas que estén autorizadas y que se encuentren acreditadas. También se puede decir que es la disciplina de proteger y resguardar la información gestionada, administrada y operada en los dispositivos los cuales son: estaciones de trabajo, portátiles, PDA s y equipos de comunicación. 6.1.2. Definición de seguridad de la información. Según la norma ISO/IEC 27001 es la preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y confidencialidad (ISO/IEC 17799:2005). La seguridad de la información es la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales. 3 Concepto de Seguridad Informática, Empresa Yumbo ESPY, [en línea], consultado el 10 de Junio del 2010, disponible en Internet: http://www.espyumbo.com/portalespy/index.php?option=com_content&view=article&id=78:segu 25