P. 1
Plan de Seguridad Informática en la Escuela Universitaria de Post Grado de la UNFV

Plan de Seguridad Informática en la Escuela Universitaria de Post Grado de la UNFV

5.0

|Views: 3.694|Likes:
Publicado porlefrain1
Tesis para optar el titulo profesional de Ingeniero de Sistemas e Informática
Tesis para optar el titulo profesional de Ingeniero de Sistemas e Informática

More info:

Published by: lefrain1 on Mar 13, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

06/02/2013

pdf

text

original

1

Agenda

• • • • • • •

Introducción Marco teórico Descripción de la metodología Plan de seguridad informática Resultados Conclusiones Recomendaciones

Plan de Seguridad Informática

2

Introducción

El crecimiento tecnológico implica gran debilidad de los sistemas informáticos, al volverse más complejos, apareciendo más elementos vulnerables referente a la seguridad de la información; lo que conlleva a la necesidad de una adecuada implementación de un plan de seguridad informática que permita a la institución proteger en forma correcta y oportuna su información. En esta perspectiva, la Escuela de Postgrado de la Universidad Nacional Federico Villarreal, ha ido creciendo a través del tiempo disponiendo de recursos informáticos, una red local, acceso a internet, por lo tanto, su información no deja de ser ajena a las amenazas informáticas tanto externas como internas; he ahí la importancia y trascendencia del estudio que motiva la presente tesis.

3

Objetivos

El objetivo general de la investigación es probar la eficiencia de un plan de seguridad informática propuesto para la EUPG-UNFV, la misma se logrará con los siguientes objetivos específicos: • • • Hacer el diagnóstico del sistema de seguridad informática actual. Elaborar un plan de seguridad informática sobre la base del diagnóstico de la situación actual. Probar la eficiencia del plan de seguridad informática propuesto.

Plan de Seguridad Informática

4

Marco teórico

Joyanes L. (1997), “el impacto social de las tecnologías de la información y de la sociedad informatizada, es vulnerable”.

Marcelo J. (1999), considera que la “seguridad informática es un proceso continuo, no un producto”.

Es conjunto de sistemas, procedimientos, métodos y herramientas destinados a proteger la información.

Ribagorda M. (1994), “la informática es una herramienta que implica riesgos cada vez más crecientes, a veces mal conocidos y poco combatidos”.

5

Propiedades de la seguridad informática
Lardent A. (2001), manifiesta que el objetivo de la seguridad informática “es mantener la confidencialidad, integridad y la disponibilidad de la información”.

Confidencialidad Se refiere que a los componentes del sistema, serán accedidos sólo por aquellos usuarios autorizados.

Integridad Los componentes del sistema sólo pueden ser creados y modificados por los usuarios autorizados.

Disponibilidad Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.

Plan de Seguridad Informática

6

Las amenazas informáticas
Externas Internas

Interceptación Ocurre cuando una persona no autorizada accede a una parte del sistema haciendo uso de privilegios no adquiridos. Copias ilícitas de programas. Escucha en línea de datos.

Modificación Trata de cambiar en todo o en parte el funcionamiento del sistema, con la finalidad de obtener beneficios personales. Modificación de base de datos. Modificación de elementos del hardware.

Interrupción Se considera como temporal o permanente, lo cual puede ocasionar un daño, pérdida o deja de funcionar un punto del sistema. Destrucción del hardware. Borrado de programas, datos. Fallas en el sistema operativo.

Generación Se refiere a la creación de nuevos objetos dentro del sistema. Añadir transacciones en red. Añadir registros en base de datos.

7

Debilidades de los sistemas informáticos (DSI)

Hardware

Usuarios

Software

DSI

Memoria

Datos

Plan de Seguridad Informática

8

Estándar de seguridad informática

Política de seguridad Conformidad Organización de la Seguridad de la Información

Gestión de la continuidad de las operaciones de la empresa

Gestión de Activos

Gestión de Incidencias

ISO 27001 / ISO 17799: 2005

Seguridad de los recursos humanos

Adquisición, desarrollo y mantenimiento de los sistemas de Información Control de accesos a los datos Gestión de las telecomunicaci ones y operaciones

Seguridad física y medioambient al

9

Descripción de la metodología del desarrollo

PROBLEMA No existe sistema de seguridad informática en la EUPG-UNFV.

OBJETIVOS Objetivo principal Probar la eficiencia de un plan de seguridad informática propuesto en la EUPG-UNFV. Objetivos específicos Hacer el diagnóstico del sistema de seguridad informática actual de la EUPG-UNFV Elaborar un plan de seguridad informática sobre la base del diagnóstico de la situación actual. Probar la eficiencia del plan propuesto.

HIPÓTESIS Se logrará mejorar la seguridad informática en la EUPG-UNFV, mediante la formulación adecuada de un plan de seguridad informática.

VARIABLES Variable independiente Plan de seguridad informática propuesto. Variable dependiente Seguridad informática

TIPO DE ESTUDIO Descriptiva comparativa Porque los resultados de una primera fase, serán comparados con los resultados de una segunda fase

DISEÑO Transversal Recolectaremos los datos en un momento dado por única vez. No Experimental Porque implica la observación de las situaciones en su condición natural sin intervención de los investigadores.

RESULTADOS Se realizó el diagnóstico de la seguridad informática actual en la EUPGUNFV Se elaboró un plan seguridad informática para EUPG-UNFV Se probó la eficiencia del plan de seguridad informática elaborado

El que nunca nada hace nunca se equivoca. Anónimo

Plan de Seguridad Informática

10

Desarrollo del plan de seguridad informática en la EUPG-UNFV

Análisis del sistema de seguridad informática actual
• Generación de las encuestas • Análisis de fuentes de datos y recopilación de información. • Recolección de documentos referente a la seguridad informática. • Reconocimiento del ambiente de trabajo • Identificación de los factores de riesgo

Formulación del plan de seguridad informática
• En base a los resultados del análisis • ISO 27001/17799:2005 • NTP:17799:2007 Código de buenas prácticas para la gestión de la seguridad informática • El plan consiste en 7 factores

Prueba de la eficiencia del plan propuesto
• Generación de encuesta acerca eficiencia del propuesto una la plan

Plan de Seguridad Informática

11

Plan de seguridad informática propuesto
Plan de seguridad informática propuesto en la EUPG-UNFV

Consiste en

Seguridad lógica Agrupa los siguientes aspectos

Seguridad en las comunicaciones Agrupa los siguientes aspectos

Seguridad en las aplicaciones Agrupa los siguientes aspectos

Seguridad física Agrupa los siguientes aspectos

Administración del centro de procesamiento de datos Agrupa los siguientes aspectos

Auditorías y revisiones Agrupa los siguientes aspectos

Plan de contingencia Agrupa los siguientes aspectos

Identificación de usuarios Autenticación

Topología de la red Conexiones externas Configuración lógica de la red

Software

Equipamiento

Administración del área de informática

Revisión del sistema

Plan de administración de incidentes

Seguridad de la base de datos

Control de acceso físico al área de informática Control de acceso a equipos

Capacitación

Responsabilidades de los encargados de seguridad Auditoría de control de acceso a los sistemas Auditoría de redes

Backup de equipamiento

Gestión del password

Segregación de funciones

Correo electrónico Antivirus

Control de aplicaciones en las computadoras Control de datos en las aplicaciones

Backup

Documentación Dispositivos de soporte

Estrategias de recuperación de desastres

Firewall

Ciclo de vida de las aplicaciones

Estructura del edificio Cableado estructurado

Ataques de la red

12

Resultados de la investigación

En primer lugar se presentan, los resultados del diagnóstico del sistema de seguridad informática que existía antes de formular el plan de seguridad. En segundo lugar se presentan los resultados estadísticos que prueban la eficiencia del plan propuesto, finalmente se presenta la contrastación de la hipótesis planteada

Plan de Seguridad Informática

13

Diagnóstico de la seguridad informática antes de la formulación del plan

El etapa diagnóstico implica una exploración sobre cuánto conocen los empleados en la EUPG-UNFV, acerca de los temas relacionados con los sistemas de información que se emplean con mayor frecuencia, y al riesgo que puedan estar expuestos cuando no están protegidas apropiadamente.

Plan de Seguridad Informática

14

Promedio global de los resultados por factores, de la seguridad informática actual
Producto de la evaluación de la seguridad informática actual, se desarrolló la media aritmética de los resultados obtenidos por factores, de tal modo, los resultados globales muestran una tendencia similar a las evaluadas por factores.

Respuestas Resultados Muy Mala 6,0 Mala 45,0 Regular 34,0 Buena 10,0 Excelente 5,0

En el cuadro, apreciamos que sólo el 15 % de los usuarios considera que la seguridad informática en la EUPG–UNFV es buena y excelente, la tercera parte de ellos cree que la seguridad actual es regular y, más de la mitad cree que es mala y muy mala.

15

Análisis de la eficiencia del plan de seguridad informática propuesto

Una vez elaborado el plan de seguridad informática con las previsiones teóricas y previo análisis exhaustivo es preciso probar el funcionamiento de este plan; para ello recurrimos a una prueba de eficiencia del plan propuesto, desde el punto de vista de las opiniones de los expertos en informática quienes están involucrados directa e indirectamente de manera permanente con los sistemas de información.

16

Promedio global de los resultados por factores, del plan propuesto
Con la metodología similar a la de anterior, se desarrolló la media aritmética de los resultados obtenidos por factores, lo que, implica conocer la eficiencia del plan, en opinión de los usuarios expertos en informática.

Resultados

Excelente

Buena

Regular

Mala

Muy Mala

31,06

55,33

12,20

1,00

1.00

Los resultados obtenidos por cada factor del plan de seguridad informática propuesto, son contundentes y se relacionan con los resultados globales. El 86.40 % considera que el plan, de aplicarse, estaría considerado entre bueno y excelente, el 12,20 % de los usuarios considera que el plan sería regular si se aplicase, y sólo 2.00 % considera que el plan sería desfavorable.

17

Prueba de la eficiencia del plan de seguridad informática propuesto

Se compara los resultados obtenidos sobre la percepción de los usuarios respecto a la protección o plan de seguridad informática en la EUPG–UNFV. (Antes de la implementación del plan) al que hemos denominado diagnóstico, con los resultados de la percepción después de la formulación del plan, a esto último lo denominamos eficiencia probada del plan propuesto.

Para demostrar la eficiencia del plan propuesto es necesario contrastar la hipótesis planteada, a continuación presentamos la demostración de la misma.

Plan de Seguridad Informática

18

Prueba de la eficiencia del plan de seguridad informática propuesto – Contrastación de la hipótesis
En el siguiente cuadro presentamos las respuestas en porcentajes de los usuarios antes de la formulación del plan versos. Las respuestas después de la prueba de la eficiencia del plan propuesto.
Respuestas Momento evaluación Antes Recuento Frecuencia esperada Residuo 2,5 Residuos tipificados Después Recuento Frecuencia esperada 3,5 Residuo Residuos tipificados Total Recuento 7 Frecuencia Esperado 7 46 46 46 46 65 65 36 36 200 200 -2,5 -1,3 23 -22 -4,6 23 -11 -2,3 32,5 22,5 3,9 18 13 3,1 100 1,3 1 22 4,6 1 11 2,3 12 -22,5 -3,9 55 -13 -3,1 31 100 Muy mala 6 3,5 Mala 45 23 Regular 34 23 Bueno 10 32,5 Excelente 5 18 100 100 Total

Con los resultados de los residuos tipificados, tenemos: Las respuestas respecto a la protección con que cuenta la información de la EUPG–UNFV en la fase de diagnóstico, se encuentran entre regular, mala y muy mala (2.3, 4.6 y 1.3) respectivamente; en cambio; las respuestas sobre la formulación del plan de seguridad informática propuesto se encuentra entre bueno y excelente (3.9 y 3.1) respectivamente. De manera visual estos resultados apreciamos también en el siguiente gráfico,

19

Eficiencia del plan de seguridad informática propuesto
60
55%

50
45%

40
34%

Recuento

31%

Muy mala Mala Regular Bueno

30

20

Excelente

12% 10%

10
6% 5% 1% 1%

-

Antes Momento de Evaluación

Despues

20

Conclusiones
Luego de recopilar, analizar, contrastar la información, en este estudio se llegó a las siguientes conclusiones: Sin la aplicación del plan de seguridad informática, se demostró que el estado actual de la seguridad informática en la EUPG–UNFV, es deficiente para las necesidades del complejo de información que maneja.

Luego de recopilar, analizar, contrastar la información, Luego estesometer el plan propuesto al juicio de los en de estudio se llegó a las informática de la EUPG-UNFV, se aprecia expertos en siguientes conclusiones sustancial en la seguridad informática una mejora

La mejora en la percepción de la seguridad informática, demuestra la eficiencia del plan propuesto en la EUPGUNFV

21

Recomendaciones

Muchas de las amenazas informáticas, están relacionadas por factores externas e internas, por otro lado derivan por el mal uso de las tecnologías de la información, por lo que se sugiere realizar campañas de capacitación a todo el personal, las mismas que tendrían que estar orientadas bajo los conceptos básicos de seguridad y a grupos específicos con temas correspondientes a sus responsabilidades. Sería interesante realizar un análisis del costo y tiempo como consecuencias de la falta de prevención de los sistemas de información, esto puede concientizar a la institución a analizar la probabilidad de que ocurran ciertos sucesos, para lo cual, la alta gerencia debe determinar las consecuencias que traería el costo y productividad por la pérdida de información, clientes, confianza de los usuarios y costos asociados con las soluciones de seguridad informática.

Finalmente se recomienda considerar las sugerencias en el plan propuesto, para minimizar las amenazas tanto externas como internas, a fin de proteger la información de valía para la EUPG–UNFV.

22

“El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados” Gene Spafford

Gracias
23

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->