c

FACULTAD DE INGENIERÍA

ESCUELA ACADÉMICO PROFESIONAL DE

INGENIERÍA DE SISTEMAS E INFORMÁTICA

PROYECTO DE INVESTIGACIÓN

PROPUESTA DE POLITICAS DE SEGURIDAD INFORMATICA PARA

ACADEMIAS PRE-UNIVERSITARIAS EN HUANCAYO

PARA OPTAR EL TÍTULO PROFESIONAL DE

INGENIERO DE SISTEMAS E INFORMÁTICA

PRESENTADO POR
HENRY EDMUNDO GONZALEZ MENDOZA

Huancayo – Perú

2018

I
ÍNDICE DEL PROYECTO

I
 CAPITULO I

PLANTEAMIENTO DEL ESTUDIO

1.1. Planteamiento y Formulación del Problema
1.1.1. Planteamiento del Problema

Actualmente, garantizar que los datos clasificados de las organizaciones sean

esenciales para los parámetros de seguridad que están conectados, implica
que a medida que se desarrollan las asociaciones, se requieren marcos más
complejos, que requieren estrategias de seguridad más robustos que son
difíciles de encontrar.

En el Perú se evidencia que las instituciones financieras han experimentado

incidentes de seguridad, que en algunos casos no se pudieron determinar el
impacto de dicho incidente. También se ve que el componente humano es
una pieza clave para poder gestionar la seguridad en las organizaciones, lo
que conlleva a un seguimiento muy profundo por parte de estos. También la
falta de presupuesto y falta de visión para implementar parámetros de
seguridad, es un problema que conlleva a incidentes con manipulación de la
información. (TechTarget – Consejos de Gestión de Amenazas).

En la Encuesta global de Seguridad de la Información 2014, muestra que los

incidentes de seguridad detectados se han incrementado en un 25% respecto
al año anterior y los costos financieros de los incidentes han aumentado un
18%. Es claro que cada día las organizaciones se encuentran más expuestas a
riesgos que podrían representar grandes pérdidas económicas, así como la
pérdida de la imagen corporativa ante sus clientes. Sin embargo, la realidad
actual demuestra que las empresas no son conscientes de los beneficios de
invertir en la protección de sus recursos tecnológico; vale decir, están
expuestas cada segundo a ser atacadas debido a su deficiente esquema de
seguridad. Mientras tanto, cada día los criminales informáticos atacan más
sistemas de información, innovan técnicas para hacer más eficiente su
trabajo, y solo están a la espera de personas o empresas que sean
vulnerables. (Repositorio Académico UPC - Modelo de prevención y defensa
contra ataques cibernéticos basado en estandares de seguridad
internacionales para It-Exper).

Según Deloitte, más del 50% de las instituciones financieras de América

Latina registraron ataques informáticos, señalo que el presupuesto para
seguridad de la información se ha incrementado. En tanto el 40% ha
implementado controles para bloquear o limitar el uso de redes sociales de la
organización. (Deloitte – La evolución de la Gestión de Ciber-Riesgos y
Seguridad de la Información).

8
 Estas ocasiones recomiendan actualizar un enfoque de seguridad versátil en
el que los sistemas en las asociaciones se resuelven para garantizar la
seguridad, lo que provoca una verificación persistente, con sistemas de
reacción programados y matar posibles vectores de asalto.

1.1.2. Formulación del Problema

a) Problema General
¿Cómo implementar políticas de seguridad informática en una empresa?
b) Problemas Específicos
1. ¿Cómo diseñar políticas de seguridad informática que puedan detectar las
vulnerabilidades?
2. ¿Cómo adaptar las políticas de seguridad informática en un contexto real?
3. ¿Cómo corregir las vulnerabilidades que son detectadas por las políticas de
seguridad informática?

1.2. Objetivos
1.2.1. Objetivo General
Proponer políticas de seguridad informática, basadas en las normas ISO para
empresas de educación.

1.2.2. Objetivos específicos

1. Proponer políticas de seguridad informática para que la organización
pueda detectar las vulnerabilidades que tienen constantemente.
2. Adaptar las políticas de seguridad informática a las reglas basadas en un
contexto.
3. Corregir las vulnerabilidades que sean detectadas por las políticas de
seguridad informática.

1.3 Justificación e Importancia

3.1.1. Justificación Práctica
Lo que se pretende alcanzar con la investigación es implementar políticas de
seguridad que sean capaces de aprender, identificar, adaptarse, responder
de las actividades que se dan día a día. Todas estas políticas de seguridad se
ejecutarán en entornos de ejecución cambiante permitiendo

 Mantenimiento basado en el uso y consumo de los recursos.

9
 Detección temprana de usuarios, roles, permisos y recursos
caducados.
 Adaptación de las reglas basadas en el contexto en un
funcionamiento en tiempo real.
 Detección temprana de un mal uso o abuso de autoridades.

10
 CAPITULO II

MARCO TEORICO

2.1 Antecedentes del Problema

2.1.1 Artículos Científicos
a) Como lo indica el artículo científico (OLIVÁN, 2009) titulado
"Tecnologías emergentes de seguridad en aplicaciones WEB".
Cubre controlar qué los dispositivos acceden al sistema y
dónde se encuentran. Propuso un marco NAC (Control de
acceso a la red) autónomo del dispositivo asociado,
adquiriendo en consecuencia la información del dispositivo
asociado que permitía el acceso previamente, sin operadores,
y realizando una comprobación completa de forma continua del
punto más débil en el acceso para organizar. Dedujo que
permiten reconocer los dispositivos por su conducta y repartir
puertos para sus empleos particulares. La consulta antes
mencionada sobre el trabajo se suma a la presente propuesta,
ya que es una investigación sobre seguridad en aplicaciones
portátiles que puede tomarse como referencia para tener la
capacidad de ejecutar parámetros de seguridad versátiles.

b) Como lo indica el artículo lógico (GARCÍA, 2007) titulado " Gestión de

seguridad en redes corporativas". La incapacidad de aplicar enfoques
de seguridad mantiene vulnerabilidades que pueden ser mal
utilizadas por personas externas para acceder a los datos
clasificados. Tomar conciencia de la importancia de aplicar ideas de
seguridad en sus sistemas o redes de PC respaldados por 4
columnas (Episodios de seguridad, Sistema de gestión de la
seguridad de la información, Monitoreo de seguridad operacional,
Centro de operaciones de seguridad).
Adquirir un control superior de los peligros y disminuir las
vulnerabilidades de la asociación. Concluyó que la aplicación de
estas cuatro columnas ayudó a la concientización con la fuerza de
trabajo y en la administración de seguridad en la asociación.
Dicha consulta sobre el trabajo se suma a la presente propuesta ya
que aplica controles para detener un asalto pernicioso y conocer las
vulnerabilidades de la asociación.

2.1.2 Tesis
a) Según (KARLA, y otros, 2010) en su Tesis titulada " Implantación del
sistema de administración de accesos e identidades en el proceso de
control de accesos en el Banco de la Nación". El registro de nuevos
usuarios se realiza a través de una comunicación formal desde el
departamento de Personal a la División de Seguridad de la

11
 Información, esta forma de trabajar hace que no tome un control
estricto del ciclo de vida de la gestión de identidad. Propuso
administrar de manera eficiente el acceso a las aplicaciones del
Banco de la Nación a través de la implementación de un sistema de
acceso e Identidades. Obteniendo como resultado el registro
automático de contraseñas asociadas a la cuenta de red, lo que
permite eliminar el riesgo de utilizar canales poco confiables para
otorgar credenciales a los usuarios. Concluyó que los riesgos pueden
eliminarse mediante el uso de canales no confiables. El trabajo de
investigación antes mencionado contribuye a esta tesis porque nos
permite saber cómo mantener un control estricto del ciclo de vida de
la gestión de identidades.

b) Según (JHON y otros 2017) en su tesis titulada " Prototipo de

software para el control de las vulnerabilidades
esteganográficas del protocolo http de la capa aplicación en la
oficina de tecnología informática de la universidad nacional del
altiplano 2015". Proteger las redes que manejan la información.
Desarrollo de un prototipo de software para controlar las
vulnerabilidades y medir su impacto. Se obtuvo que la
comunicación entre el cliente y el servidor se puede llevar a
cabo a través de intermediarios que reenvían el pedido y los
mensajes de respuesta. Concluyó que el impacto de las
amenazas se puede medir con respecto al número de
vulnerabilidades. El trabajo de investigación antes mencionado
contribuye a la presente tesis porque nos da a conocer el
control aplicado en los enrutadores que envían el mensaje a
través de intermediarios.

c) Según (YESID, 2015) en su proposición " Metodología de

gestión de incidentes de seguridad de la información y gestión
de riesgos para la plataforma SIEM de una entidad financiera
basada en la norma ISO/IEC 27035 e ISO/IEC 2700". La
administración y la ausencia de aprendizaje de episodios de
seguridad y sus vulnerabilidades individuales. La ejecución de
un procedimiento de administración de episodios de seguridad
que se distingue por un instrumento SIEM. Se adquirió la
identificación y el examen de los segmentos que enmarcan una
parte de la base de la configuración bajo la cual se ejecutaron
los modelos. Concluyó que conocer las vulnerabilidades de la
asociación puede reconocer y diseccionar los peligros.

El trabajo de investigación especificado se agrega a la teoría

actual ya que nos dice que con el diseño de SIEM podemos ver
las vulnerabilidades de la asociación y cómo podemos
examinarlas.

12
 d) Según lo indicado por (FERNANDO, 2007) en su teoría "Una
propuesta de seguridad en la información: caso Systematics de
México". Tiende a la pérdida de datos, episodios con
infecciones y la forma en que los trabajadores aseguran sus
datos. ¿Con qué método puede la organización proteger la
información o ejecutar los datos esenciales para limitar los
peligros en la progresión del procedimiento?. Limitamos las
vulnerabilidades entendidas en el tratamiento de los datos en
los clientes de cálculo de puntos finales. Se supuso que a
través de la preparación de los clientes de la asociación, las
vulnerabilidades de la organización pueden reducirse. El
aspecto anteriormente mencionado en el trabajo se suma a la
presente propuesta de cómo disminuir las vulnerabilidades con
respecto a los clientes de la organización mientras se controlan
los datos de la asociación.

2.2 Bases Teóricas

2.2.1 Definición fundamentales de la variable 1
2.2.1.1 Políticas de Seguridad Informática:
2.2.1.1.1 Políticas:
Las estrategias dependen de ISO / IEC 27001. Esta norma
describe cómo supervisar la seguridad de los datos en una
organización.

ISO 27001 se puede actualizar en una asociación, con o sin

beneficio, privado o abierto, pequeño o enorme. Esto
permite que la organización sea certificada.

2.2.1.1.2 Seguridad Informática:

Es un marco apropiado para aprender, adaptar y prevenir
los peligros que suceden cada día en una asociación. Estos
enfoques se ajustarán a situaciones de ejecución
cambiantes que permitan:

 Mantenimiento en uso de activos

 Detección temprana de usuarios, roles,

permisos y recursos caducados.

 Ajuste de principios con vistas a establecer una

actividad continua.

 Ubicación temprana del abuso o mal manejo

de aprobaciones.

13
2.3 Definición de términos básicos
2.3.1 Políticas: Revelación de los estándares exhibidos por la situación
de la organización para una zona de control caracterizada.
2.3.2 Seguridad de la información:
Conservación de la clasificación, integridad y accesibilidad de los
datos.
2.3.3 ISO/IEC27001: Es un estándar para la seguridad de los datos
respaldado y distribuido como estándar universal en octubre de
2005.
2.3.4 Aprender: El camino hacia el aprendizaje observando lo que
ocurre en la realidad y sus datos de información es la crítica del
mundo exterior.
2.3.5 Adaptarse: Ajuste una parte de sus cualidades que le permitan
crear en un lugar o circunstancia única en relación con los
primeros.
2.3.6 Prevenir: Medidas de seguridad o medidas de antemano para
mantener una distancia estratégica de daños, peligros o
amenazas.
2.3.7 Recursos: Aplicaciones, dispositivos, segmentos o dispositivos
que se pueden agregar a una PC o marcos.
2.3.8 Amenazas: Una cosa o individuo que constituye una razón
concebible para el peligro o daño a alguien o algo.
2.3.9 Permisos: Son beneficios autorizados que se conceden a varios
clientes.
2.3.10 Gestionar: Conjunto de tareas que se completan para coordinar
y tratar con un negocio o una organización.

REFERENCIAS BIBLIOGRAFICAS

14
FERNANDO, BUGARINI. 2007. UNA PROPUESTA DE SEGURIDAD EN LA INFORMACION:
CASO "SYSTEMATICS DE MEXICO ,S.A". [En línea] NOVIEMBRE de 2007.
http://tesis.ipn.mx/bitstream/handle/123456789/498/TESIS%20PROPUESTA%20SEGURIDA
D.pdf?sequence=1.

GARCÍA, JUAN. 2007. GESTIÓN DE SEGURIDAD EN REDES CORPORATIVAS. [En línea] 2007.
http://revistas.ulima.edu.pe/index.php/Interfases/article/viewFile/162/110.

JHON, SANCHEZ y SERGIO, HUIRSE. 2017. PROTOTIPO DE SOFTWARE PARA EL CONTROL DE

LAS VULNERABILIDADES ESTEGANOGRÁFICAS DELL PROTOCLO HTTP DE LA CAPA
APLICACIÓN EN LA OFICINA DE TECNOLOGÍA INFORMÁTICA DE LA UNIVERSIDAD NACIONAL
DEL ALTIPLANO 2015. [En línea] 2017.
http://repositorio.unap.edu.pe/bitstream/handle/UNAP/4653/Sanchez_Mamani_Jhon_Wil
son_Huirse_Cruz_Sergio_Antonio.pdf?sequence=1&isAllowed=y.

KARLA, CASTRO y JANNET, GUZMÁN. 2010. IMPLANTACION DE SISTEMA DE

ADMINISTRACION DE ACCESOS E IDENTIDADES EN EL PORCESO DE CONTROL DE ACCESOS
EL BANCO DE LA NACION. [En línea] 2010.
http://www.repositorioacademico.usmp.edu.pe/bitstream/usmp/331/1/castro_ke.pdf.

OLIVÁN, MARTA. 2009. TECNOLOGÍAS EMERGENTES PARA LA SEGURIDAD. [En línea]

Noviembre de 2009. http://brd.unid.edu.mx/tecnologias-emergentes-de-seguridad-en-
aplicaciones-web/.

YESID, TIBAQUIRA. 2015. METODOLOGIA DE GESTION DE INCIDENTES DE SEGURIAD DE LA

INFORMACION Y GESTION DE RIESGOS PARA LA PLATAFORMA SIEM DE UNA ENTIDAD
FINANCIERA BASADA EN LA NORMAL ISO/IEC 27035 E ISO/IEC 27005. [En línea] 2015.
http://mendillo.info/seguridad/tesis/Tibaquira.pdf.

15
 MATRIZ DE OPERACIONALIZACION DE VARIABLES

Título Tentativo:

PROPUESTA DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA ACADEMIAS PRE-UNIVERSITARIAS EN HUANCAYO

Variable Definición Conceptual Dimensiones Indicadores Ítems Escala de Instrumento

valoración
Aplicación de la
norma ISO 9000
Las políticas son el objetivo Normativas Aplicación de la
general de las organizaciones y norma ISO
son estatutos que se 27001
completan como un manual
para construir el curso de las
Procedimientos
POLITICAS actividades operativas en la
organización para garantizar
que los procedimientos y la
metodología estén alineados
con los objetivos.
Instrucciones

8
9