Está en la página 1de 27

AO DE LA CONSOLIDACIN DEL MAR DE

GRAU

TEMA:
DESARROLLO E IMPLEMENTACIN DE UN SISTEMA DE
GESTION DE SEGURIDAD DE INFORMACIN EN
COMPUTACIN,
COMUNICACIONES Y REDES S.A. DURANTE EL 2016

ALUMNA: Marisol Montoro Arocutipa


CURSO: Taller de Tesis II
DOCENTE: Ing. Jorge Luis Quiones Ticona

1
PROYECTO DE TESIS

Contenido
PRESENTACIN.................................................................................................... 3
INTRODUCCIN................................................................................................... 4
CAPITULO I.......................................................................................................... 5
PLANTEAMIENTO DEL PROBLEMA........................................................................5
1.1

DEFINICIN DEL PROBLEMA...................................................................5

1.2

FORMULACIN DEL PROBLEMA..............................................................5

1.2.1

PROBLEMA GENERAL........................................................................5

1.2.2

PROBLEMA ESPECFICO....................................................................5

1.3

OBJETIVOS.............................................................................................. 6

1.2.1

OBJETIVO GENERAL..........................................................................6

1.2.2

OBJETIVOS ESPECIFICOS..................................................................6

1.4

JUSTIFICACIN E IMPORTANCIA...............................................................6

1.2.1

JUSTIFICACIN.................................................................................. 6

1.2.2

IMPORTANCIA................................................................................... 7

1.5

ALCANCES Y LIMITACIONES....................................................................8

1.2.1

ALCANCES........................................................................................ 8

1.2.2

LIMITACIONES................................................................................... 8

CAPITULO II......................................................................................................... 9
MARCO TERICO CONCEPTUAL...........................................................................9
1.1

ANTECEDENTES...................................................................................... 9

1.2

MARCO CONCEPTUAL............................................................................. 9

1.2.1

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN (SGSI):9

1.2.2

SEGURIDAD DE LA INFORMACIN..................................................11

1.2.3

ACTIVO DE INFORMACION..............................................................11

1.2.4

CONFIDENCIALIDAD.......................................................................11

1.2.5

INTEGRIDAD................................................................................... 12

1.2.6

DISPONIBILIDAD............................................................................. 12

1.2.7

ROBO DE IDENTIDAD......................................................................13

1.2.8

SEGURIDAD FSICA.........................................................................14

_________________________________________________________________
_

2
PROYECTO DE TESIS
1.2.9

COMPUTACIN FORENSE................................................................15

1.2.10 INTERNATIONAL ELECTROTECHNICAL COMMISION (IEC)................15


1.2.11 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO).....16
1.2.12 CIRCULO DE DEMING......................................................................16
CAPITULO III...................................................................................................... 17
MARCO METODOLGICO................................................................................... 17
1.1

METODOLOGA (S)................................................................................ 17

1.2

HERRAMIENTA(S).................................................................................. 18

1.2.1

CICLO DE DEMING..........................................................................18

1.2.2

ISO/IEC 27001:2005.......................................................................19

1.2.3

GESTION DE PROYECTOS PMBOK.................................................19

CAPITULO IV...................................................................................................... 22
GESTION DEL PROYECTO................................................................................... 22
1.1

CRONOGRAMA...................................................................................... 22

1.2

PRESUPUESTO...................................................................................... 23

1.3

CONCLUSIONES.................................................................................... 23

1.4

GLOSARIO DE TERMINOS......................................................................24

1.5

BIBLIOGRAFIA....................................................................................... 26

_________________________________________________________________
_

3
PROYECTO DE TESIS

PRESENTACIN
En el presente trabajo, se desarrolla el modelo para implementar un sistema de
gestin de seguridad de la informacin para cualquier organizacin. Para la
aplicacin del presente trabajo se trabajar con una empresa real:
Computacin, comunicaciones y redes que brinda servicios para proteger la
informacin de posibles ataques.
Debido al crecimiento de CCNet S.A., entidad que brinda servicios y productos
de valor agregado en telecomunicaciones a nivel corporativo. La probabilidad
de que la informacin sea interceptada y/o modificada por personas
inescrupulosas ha aumentado exponencialmente lo cual es peligroso para la
organizacin.
Es por ello que Computacin, comunicaciones y redes se ve en la necesidad
de implementar un conjunto de herramientas, procedimientos, controles y
polticas que aseguren la confidencialidad, disponibilidad e integridad de la
informacin; con ellos garantizar a que se acceda a la informacin solo por
quienes estn designados para su uso, que est disponible cuando requieran
los que estn autorizados y permanezcan tal y como fue creada por sus
propietarios, y asegurar tambin la actualizacin de la misma.

_________________________________________________________________
_

4
PROYECTO DE TESIS

INTRODUCCIN
En el presente trabajo, se desarrolla el modelo para implementar un sistema de
gestin de seguridad de la informacin para cualquier organizacin. Para la
aplicacin del presente trabajo se trabajar con una empresa real:
Computacin, comunicaciones y redes que brinda servicios para proteger la
informacin de posibles ataques.
La informacin hoy en da, es uno de los ms importantes activos no solo para
la empresa y organizaciones, si no para cada individuo. Por este motivo la
misma requiere ser asegurada y protegida en forma apropiada. Estos riegos no
solo vienen desde el exterior de las empresas sino tambin desde el interior.
Es por ello que Computacin, comunicaciones y redes se ve en la necesidad
de implementar un conjunto de herramientas, procedimientos, controles y
polticas que aseguren la confidencialidad, disponibilidad e integridad de la
informacin; con ellos garantizar a que se acceda a la informacin solo por
quienes estn designados para su uso, que est disponible cuando requieran
los que estn autorizados y permanezcan tal y como fue creada por sus
propietarios, y asegurar tambin la actualizacin de la misma.
El presente trabajo consta de cuatro captulos, las cuales son:
En el captulo I se presenta el planteamiento del problema, dentro de la cual se
encuentra la definicin y formulacin del problema, los objetivos, justificacin,
importancia, alcances y limitaciones del proyecto.
En el captulo II muestra el marco terico conceptual, en el que se
encuentran los antecedentes nacionales e internacionales del proyecto y las
bases tericas relacionadas con sistema de gestin de seguridad de la
informacin (SGSI), definiciones y trminos bsicos que sustentan el desarrollo
adecuado del trabajo.
En el captulo III marco metodolgico, se especifican las metodologas,
herramientas y tcnicas utilizadas para el desarrollo del trabajo de
investigacin.
En el captulo IV est destinado a la presentacin del cronograma y
presupuesto del trabajo de investigacin.

_________________________________________________________________
_

5
PROYECTO DE TESIS

A partir de los resultados obtenidos se han planteado las conclusiones y


finalmente se consigna la bibliografa utilizada para realizar el presente trabajo
de investigacin.
CAPITULO I
PLANTEAMIENTO DEL PROBLEMA
1.1

DEFINICIN DEL PROBLEMA


Debido al crecimiento de CCNet S.A., entidad que brinda servicios y
productos de valor agregado en telecomunicaciones a nivel corporativo. La
probabilidad de que la informacin sea interceptada y/o modificada por
personas inescrupulosas ha aumentado exponencialmente lo cual es
peligroso para la organizacin.
Con respecto al ataque a la informacin, la mayora de los incidentes
ocurridos podran ser evitados con controles de niveles simples o
intermedios. Adems, los incidentes ocurridos tardan varias semanas en
ser detectados y dichos incidentes son detectados por terceros y no por
quien es la vctima.
El proyecto est orientado al desarrollo de un software que nos permita
proveer de seguridad a la informacin de las empresas clientes de CCNet
S.A. Tambin al uso de polticas, normas, estndares que nos permitan
solucionar problemas de seguridad de manera eficaz.

1.2

FORMULACIN DEL PROBLEMA


1.2.1

PROBLEMA GENERAL

1.2.2

Es posible desarrollar e implementar un sistema de gestin de


seguridad de informacin a la empresa CCNet?

PROBLEMA ESPECFICO

Qu recursos est tratando la empresa de proteger?


De quienes necesita proteger los recursos?
Estn conscientes los colaboradores involucrados en el proceso
de tecnologa, en temas de seguridad de informacin?

_________________________________________________________________
_

6
PROYECTO DE TESIS

1.3

OBJETIVOS
1

OBJETIVO GENERAL

1.2.3

OBJETIVOS ESPECIFICOS

1.4

Implementar un sistema de gestin de seguridad de informacin


a la empresa CCNet S.A.

Proteger el hardware (computadoras personales, unidades de


disco, routers), software (sistemas operativos), datos (durante la
ejecucin, almacenados en lnea, registros de auditoras, bases
de datos), personas (usuarios y trabajadores) de las empresas
clientes.
Proteger los recursos de los catos maliciosos o
malintencionados (Virus, Uso no autorizado de sistemas
informticos, suplantacin de identidad, desastres naturales
etc.)
Formar y concientizar a los colaboradores involucrados en los
procesos de tecnologa, en temas de seguridad de informacin.

JUSTIFICACIN E IMPORTANCIA
1

JUSTIFICACIN
Computacin, Comunicaciones y Redes S.A. (CCNet S.A.) es una
empresa peruana, cuyo objetivo es proveer servicios y productos de
valor agregado en telecomunicaciones a nivel corporativo, entre esos
servicios se encuentra la seguridad informtica y de redes, por lo que
necesita el desarrollo de un sistema que permita proteger la
informacin de las empresas a las cuales provee servicios, as como la
prevencin de intrusos (IPS), filtros de contenido, etc.
Teniendo en cuenta lo expuesto anteriormente, entonces se puede ver
que hay la necesidad de que Computacin, Comunicaciones y Redes
S.A. deba contar con un sistema de gestin de seguridad de
informacin, el cual garantice confidencialidad, integridad y
disponibilidad para las empresas quienes son sus clientes.

_________________________________________________________________
_

7
PROYECTO DE TESIS
Adems, debe hacer buen uso de polticas, normas, estndares que
nos permitan solucionar problemas de seguridad de manera eficaz.
Para ello existen normas y estndares relacionados a la seguridad de
informacin.
Por lo mencionado anteriormente se propone realizar la implementacin
mediante un Sistema de gestin de seguridad de informacin (SGSI), el
cual nos brindar los procedimientos necesarios para identificar y
evaluar los riesgos, las amenazas y vulnerabilidades de los activos de
informacin.
1.2.4

IMPORTANCIA
Cuando se trata de tener seguridad de la informacin, es importante
entender que esta debe ser gestionada. Esto implica disear e
implementar una serie de procesos que permitan gestionar la
informacin de manera eficiente para una mayor integridad,
confidencialidad.
La informacin es la base que hace posible la existencia de
aplicaciones, dispositivos de hardware, nuevas formas de elaborar
informacin ms consistente, tecnologa nueva, etc.
Para ello se debe conocer que la informacin est almacenada y
procesada en computadoras, puede ser confidencial para las
empresas, puede ser mal utilizada o divulgada y puede estar sujeta a
robos o fraudes. Esta informacin puede estar centralizada o que se
puede dar la destruccin parcial o total de la informacin ocasionando
grandes problemas a la empresa.
Si ocurriera un accidente en el lugar donde se almacena la informacin,
la pregunta es: Cunto tiempo debe pasar para que dicha empresa
recupere esa informacin y este nuevamente en operacin?
Por ello mismo se debe tener en cuenta que el lugar donde se
almacena la informacin debe ser valiosa ya que es ms vulnerable.
Para poder estar preparados ates cualquier imprevisto y actuar con
rapidez y eficacia, es necesario implantar un sistema de gestin de
seguridad de la informacin. Gracias a este sistema se puede analizar
los posibles riesgos y establecer las medidas necesarias de seguridad y
disponer de controles que nos permitan evaluar la eficacia de esas
medidas.
Con la implementacin del sistema de seguridad de informacin se
lograra lo siguiente:
1. Con respecto seguridad fsica y ambiental
1.1 Anlisis y mejora de data center.
1.2 Desarrollo de procedimientos.

_________________________________________________________________
_

8
PROYECTO DE TESIS
1.3 Interoperabilidad.
2. Con respecto a controles de acceso
2.1 Segmentacin en la red
2.2 Bloqueo de sesiones inactivas
2.3 Controles al sistema operativo.
3. Con respecto a desarrollo y mantenimiento de sistemas
3.1 Monitoreo de sistemas.
3.2 Definiciones de seguridad para nuevos proyectos.

4. Con respecto a la continuidad y cumplimiento


4.1 Respaldos de sistemas y datos
4.2 Respaldos de estaciones criticas
Adems, lograra que se realice trabajo en equipo, compromiso por
parte de los trabajadores, disposicin al cambio y genere mayor
conocimiento.
1.5

ALCANCES Y LIMITACIONES
1

ALCANCES
Para el desarrollo del proyecto se implementar un conjunto adecuado
de controles, que abarcan polticas, prcticas, procedimientos,
estructuras organizacionales y funciones de software, se podr
garantizar la seguridad de la informacin.
Con estas medidas puede ayudar a una empresa a cumplir sus
objetivos, protegiendo sus recursos financieros, sistemas, reputacin y
situacin legal.

1.2.5

LIMITACIONES
Para realizar el desarrollo del presente proyecto se presentan las
siguientes limitaciones:
1. Limitada capacidad del personal
1.1 Tercerizar al personal para la realizacin de actividades.
2. Delimitadas fechas de entrega
2.1 Incrementar horas hombre en el diseo e
implementacin del proyecto.
3. Disposiciones presupuestarias
3.1 Priorizar nuevos recursos informticos.
3.2 Mantener recursos informticos usados, es decir,
ampliar la garanta.

_________________________________________________________________
_

9
PROYECTO DE TESIS

CAPITULO II
MARCO TERICO CONCEPTUAL

1. MARCO TEORICO CONCEPTUAL


1

ANTECEDENTES
En el mbito de la empresa COMPUTACIN, COMUNICACIONES Y REDES
no existe una investigacin de este tipo por lo que este trabajo ser un punto
de partida para que se investigue acerca de este tema.
En el Per y en el mundo existen empresas que brindan aseguramiento de
informacin a muchas otras, de las se mostraran a continuacin:
NACIONALES:
Polticas de seguridad de la informacin en CORPAC S.A.
Cada poltica de seguridad de la informacin es un lineamiento de la
organizacin a cada uno de sus miembros internos y externos, para
reconocer a la informacin como uno de sus principales activos, as
como un motor de intercambio y desarrollo en el mbito de sus
funciones. Tal lineamiento debe concluir en una posicin consiente y
vigilante del personal respecto al uso y limitaciones de los recursos y
servicios de informacin de la organizacin.

1.6

MARCO CONCEPTUAL
Los conceptos que se utilizan para la elaboracin de este proyecto son los
siguientes:
1

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN


(SGSI):
(EN INGLES INFORMATION SECURITY MANAGEMENT SYSTEM,
ISMS)
Podramos definirlo como una herramienta de gestin o un conjunto de
responsabilidades, procesos, procedimientos y recursos que nos va a

_________________________________________________________________
_

10
PROYECTO DE TESIS
permitir conocer, gestionar y minimizar los posibles riesgos que atenten
contra la seguridad de la informacin en la empresa y as asegurar la
continuidad de la operatividad de la empresa.
Antes de comenzar a ver las caractersticas de este tipo de sistemas,
importante diferenciar entre seguridad informtica y seguridad de la
informacin.
LA SEGURIDAD INFORMTICA: Se refiere a la proteccin de
las infraestructuras de las tecnologas de la informacin y
comunicacin que soportan al negocio.
LA SEGURIDAD DE LA INFORMACIN: Se refiere a la
proteccin de los activos de informacin fundamentales para el
xito de cualquier organizacin.
Entre los muchos ejemplos de informacin que podemos encontrar en
una empresa son los correos electrnicos, pginas web, imgenes,
bases de datos, faxes, contratos, presentaciones, documentos, etc.
Adems, es necesario considerar el ciclo de vida de la informacin, ya
que lo que hoy puede ser crtico para nuestro negocio puede dejar de
tener importancia con el tiempo.
Para garantizar la seguridad de toda esta informacin se cuenta con la
ayuda de in sistema de gestin de seguridad de la informacin.
Esta metodologa nos va a permitir, en primer lugar, analizar y ordenar
la estructura de los sistemas de informacin. En segundo lugar, nos
facilitar la definicin de procedimientos de trabajo para mantener su
seguridad. Y por ltimo nos ofrecer la posibilidad de disponer de
controles que permitan medir la eficacia de las medidas tomadas.
Estas acciones van a proteger a la empresa frente a amenazas y
riesgos que puedan poner en peligro la continuidad de los niveles de
competitividad, rentabilidad y conformidad legal necesarios para
alcanzar los objetivos de negocio. De esta manera se mantiene el
riesgo para la informacin por debajo del nivel asumible por la propia
organizacin.
La gestin de los riesgos a travs de un sistema de Gestin de
Seguridad de la informacin nos va a permitir preservar la
confidencialidad, integridad y disponibilidad de la misma, en el interior
de la empresa, ante sus clientes y ante las distintas partes interesadas
en el negocio de la empresa.
LA CONFIDENCIALIDAD: Implica el acceso de la informacin
por parte nicamente de quienes estn autorizados.
LA INTEGRIDAD: Conlleva el mantenimiento de la exactitud y
completitud de la informacin y sus mtodos de proceso.

_________________________________________________________________
_

11
PROYECTO DE TESIS
LA DISPONIBILIDAD: Entraa el acceso a la informacin y los
sistemas de tratamiento de la misma por parte de los usuarios
autorizados en el momento que lo requieran.
El acrnimo utilizado para hablar de estos parmetros bsicos de la
seguridad de la informacin es CID (en espaol) o CIA (en ingls). Con
el fin de proporcionar un marco de Gestin dela seguridad de la
informacin utilizable por cualquier tipo de organizacin se ha creado
un conjunto de estndares bajo el nombre de ISO/IEC 27000.
Estas normas van a permitir disminuir de forma significativa el impacto
de los riesgos sin necesidad de realizar grandes inversiones en
software.
1.2.6

SEGURIDAD DE LA INFORMACIN
Es decir, son todas aquellas medidas preventivas y reactivas del
hombre, de las organizaciones y de los sistemas tecnolgicos que
permitan resguardar y proteger la informacin buscando mantener la
confidencialidad, disponibilidad e integridad de la misma.
La informacin es poder, y segn las posibilidades estratgicas que
ofrece tener acceso a cierta informacin, a sta se clasifica como:
CRITICA: Es indispensable para la operacin de la empresa.
VALIOSA: Es un activo de la empresa y muy valioso.
SENSIBLE: Debe ser conocida por las personas autorizadas.

1.2.7

ACTIVO DE INFORMACION
Un activo es todo aquello que las entidades consideran importante o de
alta validez para la informacin como lo puede ser Base de Datos con
usuarios, contraseas nmeros de cuentas, etc. Por esta razn, los
activos necesitan tener proteccin para asegurar una correcta
operacin del negocio y una continuidad en la operacin.
Al identificar los activos de informacin tenemos que tener en cuenta
que estos pueden proceder de distintas fuentes de informacin dentro
de la empresa y que pueden encontrarse en diferentes soportes, como
papel o medios digitales.
Los activos se pueden clasificar en las siguientes categoras:
Activos e informacin (datos, manuales de usuario, etc.)
Documentos de papel (Contratos)
Activos de software (aplicacin, software de sistemas, etc.)
Activos fsicos (computadoras, medios magnticos, etc.)
Personal (Clientes, empleados)
Imagen de la compaa y reputacin

_________________________________________________________________
_

12
PROYECTO DE TESIS

1.2.8

Servicios (Comunicaciones, etc.)

CONFIDENCIALIDAD
Es la garanta de que la informacin personal ser protegida para que
no sea divulgada sin consentimiento de la persona. Dicha garanta se
lleva a cabo por medio de un grupo de reglas que limitan el acceso a
sta informacin.
Por ejemplo, una transaccin de tarjeta de crdito en internet requiere
que el nmero de tarjeta de crdito a ser transmitida desde el
comprador al comerciante de una red de procesamiento de
transacciones. El sistema intenta hacer valer la confidencialidad
mediante el cifrado de nmero de tarjeta que contiene la banda
magntica durante la transmisin de los mismos.
Si una parte no autorizada obtiene el nmero de la tarjeta en modo
alguno, se ha producido una violacin de la confidencialidad.
Si la informacin confidencial incluye material que puede poner
en riesgo la seguridad de una nacin, el nivel de precauciones ser
mucho mayor.
Por lo general, los documentos de esta naturaleza de ponen bajo la
custodia de organismos pblicos especializados, en ubicaciones
secretas, y en muchos casos se recurre a la escritura en clave.
La confidencialidad de la informacin digital (como un correo
electrnico) tambin puede protegerse, aunque no con medidas fsicas,
sino con mecanismos de cifrado y otras herramientas virtuales.

1.2.9

INTEGRIDAD
Para la seguridad de la informacin, es la propiedad que busca
mantener los datos libres de modificaciones no autorizadas.
La violacin de integridad se presenta cuando un empleado, programa
o proceso (por accidente o con mala intencin) modifica o borra los
datos importantes que son parte de la informacin, as mismo hace que
su contenido permanezca inalterado a menos que sea modificado por
personal autorizado, y esta modificacin sea registrada, asegurando su
precisin y confiabilidad. La integridad de un mensaje se obtiene
adjuntndole otro conjunto de datos de comprobacin de la integridad:
la firma digital Es uno de los pilares fundamentales de la seguridad de
la informacin.

1.2.10

DISPONIBILIDAD
La disponibilidad es la caracterstica, cualidad o condicin de la
informacin de encontrarse a disposicin de quienes deben acceder a

_________________________________________________________________
_

13
PROYECTO DE TESIS
ella, ya sean personas, procesos o aplicaciones. Grosso modo, la
disponibilidad es el acceso a la informacin y a los sistemas por
personas autorizadas en el momento que as lo requieran.
En el caso de los sistemas informticos utilizados para almacenar y
procesar la informacin, los controles de seguridad utilizados para
protegerlo, y los canales de comunicacin protegidos que se utilizan
para acceder a ella deben estar funcionando correctamente.
La Alta disponibilidad sistemas objetivo debe estar disponible en todo
momento, evitando interrupciones del servicio debido a cortes de
energa, fallos de hardware, y actualizaciones del sistema.
Garantizar la disponibilidad implica tambin la prevencin de ataque
denegacin de servicio. Para poder manejar con mayor facilidad la
seguridad de la informacin, las empresas o negocios se pueden
ayudar con un sistema de gestin que permita conocer, administrar y
minimizar los posibles riesgos que atenten contra la seguridad de la
informacin del negocio.
La disponibilidad adems de ser importante en el proceso de seguridad
de la informacin, es adems variada en el sentido de que existen
varios mecanismos para cumplir con los niveles de servicio que se
requiera. Tales mecanismos se implementan en infraestructura
tecnolgica, servidores de correo electrnico, de bases de datos, de
web etc., mediante el uso de clsteres o arreglos de discos, equipos en
alta disponibilidad a nivel de red, servidores espejo, replicacin de
datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La
gama de posibilidades depender de lo que queremos proteger y el
nivel de servicio que se quiera proporcionar.
1.2.11

ROBO DE IDENTIDAD
El robo de identidad es la apropiacin de la identidad de una persona:
hacerse pasar por esa persona, asumir su identidad ante otras
personas en pblico o en privado, en general para acceder a ciertos
recursos o la obtencin de informacin y puede realizar cualquier clase
de fraude que origine la prdida de datos personales, como, por
ejemplo, contraseas, nombres de usuario, informacin bancaria o
nmeros de tarjetas de crdito.
El robo de identidad en lnea en ocasiones se conoce como la
suplantacin de identidad (phishing).
Existen varios mtodos para obtener datos de la informacin personal:
Correos falsos: esta tcnica permite pasar a un atacante por
una organizacin, banco o empresa verdaderos para obtener
informacin que garantice acceso a algn recurso que usted
utilice en esa organizacin, banco o empresa.

_________________________________________________________________
_

14
PROYECTO DE TESIS

1.2.12

Personal: cualquier persona maliciosa podra obtener


informacin que escuch o vio de parte suya que le garantice
acceso a algn recurso valioso.
Ataque organizado: cualquier atacante podra intentar superar la
seguridad de un banco, empresa u organizacin para obtener
informacin personal de los clientes para luego acceder a algn
recurso de esa empresa.
Ataque a servidores de almacenamiento de informacin online:
el atacante puede tratar de obtener datos de un servidor de
almacenamiento de datos en la nube; obteniendo contraseas,
DNI, cuentas bancarias, etc.
LSSI: La legislacin espaola LSSI (artculo 10) obliga a
cualquier autnomo que tenga una pgina web, o cualquier
persona con pgina web que ponga adsense o
recomendaciones de libros de Amazon, a poner su nombre y
apellidos completo, su DNI y la direccin de su domicilio
personal frente a multas que superan los 30001 euros por
infraccin grave.
Con esos datos, es razonablemente fcil el robo de identidad, y
dar de baja la lnea fija, el ADSL, o modificar aspectos del recibo
de la luz o del agua al particular al que la ley le ha obligado a
poner sus datos en Internet.

SEGURIDAD FSICA
La seguridad fsica es uno de los aspectos ms olvidados a la hora del
diseo de un sistema informtico. Si bien algunos de los aspectos
tratados a continuacin se prevn, otros, como la deteccin de un
atacante interno a la empresa que intenta a acceder fsicamente a una
sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea ms fcil lograr tomar
y copiar una cinta de la sala, que intentar acceder va lgica a la misma.
As, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y
procedimientos de control, como medidas de prevencin y
contramedidas ante amenazas a los recursos e informacin
confidencial". Se refiere a los controles y mecanismos de seguridad
dentro y alrededor del Centro de Cmputo, as como los medios de
acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
Este tipo de seguridad est enfocado a cubrir las amenazas
ocasionadas tanto por el hombre como por la naturaleza del medio
fsico en que se encuentra ubicada la empresa.
Las principales amenazas que se prevn en la seguridad fsica son:

_________________________________________________________________
_

15
PROYECTO DE TESIS

1.2.13

Desastres naturales, incendios accidentales tormentas e


inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.

COMPUTACIN FORENSE
El cmputo forense, tambin forense, computacin forense, anlisis
forense digital o examinacin forense digital es la aplicacin de tcnicas
cientficas y analticas especializadas a infraestructura tecnolgica que
permiten identificar, preservar, analizar y presentar datos que sean
vlidos dentro de un proceso legal.
Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos
residuales, autenticar datos y explicar las caractersticas tcnicas del
uso aplicado a los datos y bienes informticos.

Como la definicin anterior lo indica, esta disciplina hace uso no solo de


tecnologas de punta para poder mantener la integridad de los datos y
del procesamiento de los mismos; sino que tambin requiere de una
especializacin y conocimientos avanzados en materia de informtica y
sistemas para poder detectar dentro de cualquier dispositivo electrnico
lo que ha sucedido. El conocimiento del informtico forense abarca el
conocimiento no solamente del software sino tambin de hardware,
redes, seguridad, hacking, cracking, recuperacin de informacin.
La informtica forense ayuda a detectar pistas sobre ataques
informticos, robo de informacin, conversaciones o pistas de emails,
chats.
La importancia de stos y el poder mantener su integridad se basa en
que la evidencia digital o electrnica es sumamente frgil. El simple
hecho de darle doble clic a un archivo modificara la ltima fecha de
acceso del mismo.
Es muy importante mencionar que la informtica forense o cmputo
forense no tiene parte preventiva, es decir, la informtica forense no
tiene como objetivo el prevenir delitos, de ello se encarga la seguridad
informtica, por eso resulta imprescindible tener claro el marco de
actuacin entre la informtica forense, la seguridad informtica y la
auditoria informtica.

_________________________________________________________________
_

16
PROYECTO DE TESIS
1.2.14

INTERNATIONAL ELECTROTECHNICAL COMMISION (IEC)


La comisin electrotcnica internacional es una organizacin
de normalizacin en los campos: elctrico, electrnico y tecnologas
relacionadas.
La CEI fue fundada en 1906, siguiendo una resolucin del
ao 1904 aprobada en el Congreso Internacional Elctrico en San
Luis (Misuri). Su primer presidente fue Lord Kelvin. Tena su sede
en Londres hasta que en 1968 se traslad a Ginebra.
La CEI est integrada por los organismos nacionales de normalizacin,
en las reas indicadas, de los pases miembros.
En 2003, a la CEI pertenecan ms de 60 pases miembros.
En2015, son 83 miembros, cada uno de ellos representando a un pas:
son 60 los Miembros Plenos, y 23 los Miembros Asociados.
Numerosas normas se desarrollan conjuntamente con la Organizacin
Internacional de Normalizacin (International Organization for
Standardization, ISO): normas ISO/IEC.
En 1938, el organismo public el primer diccionario internacional
(International Electrotechnical Vocabulary) con el propsito de unificar
la terminologa elctrica, esfuerzo que se ha mantenido durante el
transcurso del tiempo, siendo el Vocabulario Electrotcnico
Internacional un importante referente para las empresas del sector.

1.2.15

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO)


Es el organismo encargado de promover el desarrollo de normas
internacionales de fabricacin (tanto de productos como de servicios),
comercio y comunicacin para todas las ramas industriales. Su funcin
principal es la de buscar la estandarizacin de normas de productos y
seguridad para las empresas u organizaciones (pblicas o privadas) a
nivel internacional.
La ISO es una red de los institutos de normas nacionales de 163
pases, sobre la base de un miembro por pas, con una Secretara
Central en Ginebra (Suiza) que coordina el sistema. Est compuesta
por delegaciones gubernamentales y no gubernamentales subdivididos
en una serie de subcomits encargados de desarrollar las guas que
contribuirn al mejoramiento.
Las normas desarrolladas por ISO son voluntarias, comprendiendo que
ISO es un organismo no gubernamental y no depende de ningn otro
organismo internacional, por lo tanto, no tiene autoridad para imponer
sus normas a ningn pas. El contenido de los estndares est
protegido por derechos de copyright y para acceder a ellos el pblico
corriente debe comprar cada documento.

_________________________________________________________________
_

17
PROYECTO DE TESIS

1.2.16

CIRCULO DE DEMING
Tambin
conocido
como crculo
PDCA (plan-do-check-act,
es, planificar-hacer-verificar-actuar) o espiral de mejora continua, es
una estrategia de mejora continua de la calidad en cuatro pasos,
basada en un concepto ideado por Walter A. Shewhart. Es muy
utilizado por los sistemas de gestin de calidad (SGC) y los sistemas de
gestin de la seguridad de la informacin (SGSI).

CAPITULO III
MARCO METODOLGICO
2.

MARCO METODOLGICA

METODOLOGA (S)
La GESTION DEL PROYECTO comprende de las siguientes actividades, de la
cual estn dentro de la iniciacin, planificacin, ejecucin y cierre.
1. INICIACIN:
Se encuentra la siguiente actividad:
1.1 ACTIVIDAD 1: Elaborar el acta de constitucin del proyecto.
2. PLANIFICACIN DEL PROYECTO
Se encuentra las siguientes actividades:
2.1 Elaborar el acta del proyecto.
2.2 Aprobacin del alcance del proyecto.
2.3 Identificar entregables segn el proyecto.
2.4 Estructurar el cronograma del proyecto.
2.5 Identificar responsables del proyecto/ elaborar cronograma.
2.6 Analizar costo beneficio.
2.7 Identificar riesgos que afectan al proyecto.
3. EJECUCIN DEL PROYECTO
Se encuentra las siguientes actividades:
3.1 Estructurar propuesta de poltica del SGSI.
3.2 Elaborar despliegue de poltica.
3.3 Elaborar manual del SGSI.
3.4 Anlisis y evaluacin de riesgos.
3.5 Definir controles de implementacin
3.6 Revisin de controles propuestos
3.7 Definir plan de accin del tratamiento del riesgo.
3.8 Estudio y seleccin de proveedores.
3.9 Identificar documentos necesarios.
3.10
Elaborar programa de capacitacin y concientizacin.
3.11
Elaborar material de capacitacin y concientizacin.
3.12
Coordinar fechas para la capacitacin y concientizacin.

_________________________________________________________________
_

18
PROYECTO DE TESIS
3.13
Ejecutar capacitacin y concientizacin al personal.
3.14
Elaborar evaluacin de SGSI.
3.15
Evaluar a los participantes de la capacitacin y
concientizacin.
3.16
Calificar evaluaciones.
3.17
Presentar resultados de capacitacin y concientizacin a
gerencia.
3.18
Resultado y anlisis de indicadores.
3.19
Presentar resultados finales a gerencia.
4. SEGUIMIENTO Y CONTROL
Se encuentra las siguientes actividades:
4.1 Registro de avances mensuales.
4.2 Registro de cambios del proyecto.
5. CIERRE
Se encuentra la siguiente actividad:
5.1 Elaborar el acta de cierre de proyecto.
1.7

HERRAMIENTA(S)
1

CICLO DE DEMING
Los resultados de la implementacin de este ciclo permiten a las
empresas una mejora integral de la competitividad, de los productos y
servicios, mejorando continuamente la calidad, reduciendo los costes,
optimizando la productividad, reduciendo los precios, incrementando la
participacin del mercado y aumentando la rentabilidad de la empresa u
organizacin.

_________________________________________________________________
_

19
PROYECTO DE TESIS

1.2.17

ISO/IEC 27001:2005
Est orientada a establecer un sistema gerencial que permita minimizar
el riesgo y proteger la informacin en las empresas cliente, de
amenazas externas o internas.
Es importante entender que la ISO se ha desarrollado como modelo
para el establecimiento, implementacin, operacin, monitoreo,
revisin, mantenimiento y mejora de un SGSI para cualquier clase de
organizacin.

1.2.18

GESTION DE PROYECTOS PMBOK


La direccin de proyectos es la aplicacin de conocimientos,
habilidades, herramientas y tcnicas a las actividades de un proyecto
para satisfacer los requisitos del proyecto. La direccin de los
proyectos se logra mediante la aplicacin e integracin de los
procesos de direccin de proyectos de inicio, planificacin, ejecucin,

_________________________________________________________________
_

20
PROYECTO DE TESIS
seguimiento y control, y cierre. El director del proyecto es la persona
responsable de alcanzar los objetivos del proyecto.
La direccin de un proyecto incluye:
Identificar los requisitos.
Establecer unos objetivos claros y posibles de realizar
Equilibrar las demandas concurrentes de calidad, alcance,
tiempo y costes.
Adaptar las especificaciones, los planes y el enfoque a las
diversas inquietudes y expectativas de los diferentes
interesados.
El equipo de direccin del proyecto tiene responsabilidad profesional
ante sus interesados, incluidos los clientes, la empresa ejecutante y
el pblico. Los miembros del PMI catan un Cdigo de tica y
quienes tienen la certificacin profesional de la direccin de proyectos
acatan un Cdigo de Conducta Profesional.

ESTRUCTURA DE LA GUIA DEL PMBOK


La Gua del PMBOK est dividida en tres secciones:

SECCION I: MARCO CONCEPTUAL DE LA DIRECCION DE


PROYECTOS
Proporciona una estructura bsica para entender la direccin
de proyectos.
En el captulo 1 Introduccin- Define los trminos claves y
proporciona una descripcin general del resto de la gua del
PMBOK.
En el captulo 2 Ciclo de vida del proyecto y organizacinDescribe el entorno en el cual operan los proyectos. El equipo
de direccin de proyecto debe comprender este amplio
contexto.
SECCIN II: NORMA PARA LA DIRECCION DE
PROYECTOS DE UN PROYECTO
Especifica todos los procesos que usa el equipo de proyecto
para gestionar dicho proyecto.
El captulo 3 Procesos de Direccin de Proyectos para un
Proyecto- Describe los cincos procesos de direccin de
proyectos aplicables a cualquier proyecto y los procesos de
direccin de proyectos que componen tales grupos.

SECCION III: AREAS DE


DIRECCION DE PROYECTOS

ONOCIMEINTO

DE

_________________________________________________________________
_

LA

21
PROYECTO DE TESIS
Organiza los 44 procesos de direccin de proyectos de los
grupos de procesos de direccin de proyectos del captulo 3
en nueve reas de conocimiento.
El captulo 4 Gestin de la integracin del proyectoDescribe los procesos y actividades que forman parte de los
diversos elementos de la direccin de proyectos, que se
identifican, definen, combinan, unen y coordinan dentro de los
grupos de procesos de direccin de proyectos.
El captulo 5 Gestin del alcance del proyecto- Describe los
procesos necesarios para asegurarse de que el proyecto
incluya todo el trabajo requerido para completar el proyecto
satisfactoriamente.
El captulo 6 -Gestin del Tiempo del Proyecto- Describe los
procesos relativos a la puntualidad en la conclusin del
proyecto.
El captulo 7 -Gestin de los Costes del Proyecto-Describe los
procesos involucrados en la planificacin, estimacin,
presupuesto y control de costes de forma que aprobado.
El captulo 8 -Gestin de la Calidad del Proyecto- Describe
los procesos necesarios para asegurarse de que el proyecto
cumpla con los objetivos por los cuales ha sido emprendido.
El captulo 9 -Gestin de los Recursos Humanos del
Proyecto- Describe los procesos que organizan y dirigen el
equipo del proyecto.
El captulo 10 -Gestin de las Comunicaciones del ProyectoDescribe los procesos relacionados con la generacin,
recogida, distribucin, almacenamiento y destino final de la
informacin del proyecto en tiempo y forma.
El captulo 11 -Gestin de los Riesgos del Proyecto- describe
los procesos relacionados con el desarrollo de la gestin de
riesgos de un proyecto.
El captulo 12 -Gestin de las Adquisiciones del ProyectoDescribe los procesos para comprar o adquirir productos,
servicios o resultados, as como para contratar procesos de
direccin.

_________________________________________________________________
_

22
PROYECTO DE TESIS

CAPITULO IV
GESTION DEL PROYECTO
1

CRONOGRAMA
NOMBRE DE LA ACTIVIDAD

1.
1.1
2.
2.1
2.2
2.3
2.4
2.5
2.6
2.7
3.
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.1
0
3.11
3.1
2
3.1
3
3.1
4
3.1
5
3.1
6
3.1
7
3.1
8

DURACI
N

INICIO

FIN

97 dias.

Lun 03/08/16

Mar 15/12/16

97 dias.
1 da
1 da
7 dias.
1 da.
2 dias.
1 da.
1 da .
1 da .

Lun 03/08/16
Lun 03/08/16
Lun 03/08/16
Mar 04/08/16
Mar 04/08/16
Mie 05/08/16
Vie 07/08/16
Lun 10/08/16
Mar 11/08/16

Mar 15/12/16
Lun 03/08/16
Lun 03/08/16
Mie 12/08/16
Mar 04/08/16
Jue 06/08/16
Vie 07/08/16
Lun 10/08/16
Mar 11/08/16

1 da .
1 da .
89 dias.
2 dias.
3 dias.
1 da.
30 dias.
11 dias.
3 dias.
4 dias.
4 dias.
4 dias.
1 da.

Mie 12/08/16
Mie 12/08/16
Jue 13/08/16
Jue 13/08/16
Lun 17/08/16
Jue 20/08/16
Vie 21/08/16
Vie 02/10/16
Lun 19/10/16
Jue 22/10/16
Mie 28/10/16
Mar 03/11/16
Lun 09/11/16

Mie 12/08/16
Mie 12/08/16
Mar 15/12/16
Vie 14/08/16
Mie 19/08/16
Jue 20/08/16
Jue 01/10/16
Vie 16/10/16
Mie 21/10/16
Mar 27/10/16
Lun 02/11/16
Vie 06/11/16
Lun 09/11/16

Elaborar material de capacitacin y concientizacin.


Coordinar fechas para la capacitacin y
concientizacin.
Ejecutar capacitacin y concientizacin al personal.

4 dias.
1 dias.

Mar 10/11/16
Vie 27/11/16

Vie 13/11/16
Vie 27/11/16

6 dias.

Lun 30/11/16

Lun 07/12/16

Elaborar evaluacin de SGSI.

6 dias.

Lun 30/11/16

Lun 07/12/16

Evaluar a los participantes de la capacitacin y


concientizacin.
Calificar evaluaciones.

6 dias.

Lun 30/11/16

Lun 07/12/16

6 dias.

Lun 30/11/16

Lun 07/12/16

Presentar
resultados
de
capacitacin
concientizacin a Gerencia.
Resultado y anlisis de indicadores.

1 da.

Mar 08/12/16

Mar 08/12/16

2 dias.

Mie 09/12/16

Jue 10/12/16

DISEO E IMPLEMENTACION DE UN SISTEMA DE


GETION DE SEGURIDAD DE INFORMACION EN
COMPUTACION, COMUNICACIN Y REDES
GESTION DEL PROYECTO
INICIACION
Elaborar el acta de constitucin del proyecto
PLANIFICACION DEL PROYECTO
Elaborar el acta del proyecto.
Aprobacin del alcance del proyecto.
Identificar entregables segn el proyecto.
Estructurar el cronograma del proyecto.
Identificar responsables del proyecto/ elaborar
cronograma.
Analizar costo beneficio.
Identificar riesgos que afectan al proyecto.
EJECUCION DEL PROYECTO
Estructurar propuesta de poltica del SGSI.
Elaborar despliegue de poltica.
Elaborar manual del SGSI.
Anlisis y evaluacin de riesgos.
Definir controles de implementacin.
Revisin de controles propuestos.
Definir plan de accin del tratamiento del riesgo.
Estudio y seleccin de proveedores.
Identificar documentos necesarios.
Elaborar programa de capacitacin y concientizacin

_________________________________________________________________
_

23
PROYECTO DE TESIS
3.1
9
4.
4.1
4.2
5.

Presentar resultados finales a Gerencia.

5.1

Elaborar el acta de cierre del proyecto.

1.8

SEGUIMIENTO Y CONTROL
Registro de avances mensuales.
Registro de cambios del proyecto.
CIERRE

1 da.

Mar 15/12/16

Mar 15/12/16

83 dias.
83 dias.
65 dias.
1 da.

Jue 13/08/16
Jue 13/08/16
Mar 08/09/16
Mar 15/12/16

Lun 07/12/16
Lun 07/12/16
Lun 07/12/16
Mar 15/12/16

Mar 15/12/16

Mar 15/12/16

1 da.

PRESUPUESTO

PRESUPUESTO DEL PROYECTO


CONCEPTO
Contratacin de consultores y personal para el desarrollo del
SGSI
Equipamiento
Contratacin de empresa Auditora para la certificacin
Reserva de contingencia
Reserva de Gestin
TOTAL S/.

1.9

MONTO
165,000.00
22,000.00
50,000.00
50,000.00
25,000.00
S/. 312,000.00

CONCLUSIONES

El implementar una poltica de seguridad y que los colaboradores la conozcan


e interioricen, es de gran utilidad cuando se requiere implementar cualquier
sistema de gestin en una organizacin, ya que les da una visin clara de
cmo sus labores cotidianas aportan para el mantenimiento y mejora de un
sistema de gestin empresarial.

Desarrollando e implementando una buena metodologa para gestionar los


riesgos y ejecutando los planes de tratamiento de riesgos planteados, se
logra reducir a niveles aceptables gran porcentaje de riesgos que afecten a
los activos de informacin.

Muchas veces las empresas crecen de manera desordenada, crecen con


paradigmas equivocados, algunos quieren documentar todo lo que se pueda,
otras creen que documentar los procesos es una prdida de tiempo. De lo
anterior se concluye que la documentacin de los procesos es una
herramienta poderosa para el mantenimiento y mejora de cualquier sistema
de gestin organizacional.

_________________________________________________________________
_

24
PROYECTO DE TESIS

1.10

GLOSARIO DE TERMINOS

BASE DE DATOS: Es un almacn que nos permite guardar grandes


cantidades de informacin de forma organizada para que luego podamos
encontrar y utilizar fcilmente.

CIRCULO DE DEMING: El ciclo de Deming, tambin conocido como crculo


de los vicios, es un mtodo de mejora continua de la calidad en la
administracin de una organizacin.
CONFIDENCIALIDAD: Es la garanta de que la informacin personal ser
protegida para que no sea divulgada sin consentimiento de la persona. Dicha
garanta se lleva a cabo por medio de un grupo de reglas que limitan el
acceso a sta informacin.
CONTRASEA: Cdigo secreto que se introduce en una mquina para poder
accionar un mecanismo o para acceder a ciertas funciones informticas.
DISPONIBILIDAD: La disponibilidad es la caracterstica, cualidad o condicin
de la informacin de encontrarse a disposicin de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones.
ESRTRUCTURA ORGANIZACIONAL: Es el marco en el que se desenvuelve
la organizacin, de acuerdo con el cual las tareas son divididas, agrupadas,
coordinadas y controladas, para el logro de objetivos.
HARDWARE: Conjunto de elementos fsicos o materiales que constituyen
una computadora o un sistema informtico.
INTEGRIDAD: Para la seguridad de la informacin, es la propiedad que
busca mantener los datos libres de modificaciones no autorizadas.
IMPLEMENTACIN: Es la instalacin de una aplicacin informtica,
realizacin o la ejecucin de un plan, idea, modelo cientfico, diseo,
especificacin, estndar, algoritmo o poltica.
ISO: Es el organismo encargado de promover el desarrollo de normas
internacionales de fabricacin (tanto de productos como de servicios),
comercio y comunicacin para todas las ramas industriales.

_________________________________________________________________
_

25
PROYECTO DE TESIS

LOGIN: es el proceso mediante el cual se controla el acceso individual a


un sistema
informtico mediante
la
identificacin
del usuario utilizando credenciales provistas por el usuario.
ROUTERS: Es un dispositivo que proporciona conectividad a nivel de red o
nivel tres en el modelo OSI.
SEGURIDAD DE LA INFORMACION: Es decir, son todas aquellas medidas
preventivas y reactivas del hombre, de las organizaciones y de los sistemas
tecnolgicos que permitan resguardar y proteger.

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI):


Herramienta de gestin o un conjunto de responsabilidades, procesos,
procedimientos y recursos que nos va a permitir conocer, gestionar y
minimizar los posibles riesgos que atenten contra la seguridad de la
informacin.
SISTEMAS OPERATIVOS: Es un programa o conjunto de programas de un
sistema informtico que gestiona los recursos de hardware y provee servicios
a los programas de aplicacin, ejecutndose en modo privilegiado respecto
de los restantes.
SOFTWARE: Equipo lgico o soporte lgico de un sistema informtico, que
comprende el conjunto de los componentes lgicos necesarios que hacen
posible la realizacin de tareas especficas, en contraposicin a los
componentes fsicos que son llamados hardware.
SUPLANTACION DE IDENTIDAD: Trmino informtico que denomina un
modelo de abuso informtico y que se comete mediante el uso de un tipo de
ingeniera social caracterizado por intentar adquirir informacin confidencial
de forma fraudulenta.
VIRUS: Malware que tiene por objetivo alterar el normal funcionamiento
del ordenador, sin el permiso o el conocimiento del usuario.

_________________________________________________________________
_

26
PROYECTO DE TESIS

1.11

BIBLIOGRAFIA

CORPAC S.A.
Polticas de seguridad de la informacin en Corpac S.A.
Disponible en:
http://www.corpac.gob.pe/Docs/Transparencia/OyM/DocNormativos/Politicas/
Politica_Seguridad_Informacion_CORPAC_(GG-627-2013_27-12-2013).pdf

ISOTOOLS EXCELLENCE
LA NORMA ISO 27001 Y LA IMPORTANCIA DE LA GESTIN DE LA
SEGURIDAD DE LA INFORMACIN.
Disponible en:
https://www.isotools.org/pdfs/Monografico-ISO-27001-ISOTools.pdf

TESIS DE DISEO DE UN SISTEMA DE GESTION DE SEGURIDAD DE


INFORMACION. Tesis para optar el Ttulo de Ingeniero Informtico, que
presenta el bachiller: David Arturo Aguirre Mollehuanca.

TESIS DE DISEO DE UN SISTEMA DE GESTION DE SEGURIDAD DE


INFORMACIN PARA UNA CENTRAL PRIVADA DE INFORMACIN DE
RIESGOS.

_________________________________________________________________
_