Jose Joaquin Salcedo - Esp. Seguridad Inf. (Revisar)

DISEO DE DOCUMENTO DE LA POLTICA DE SEGURIDAD DE LA INFORMACIN PARA LA OFICINA DE EDUCACIN VIRTUAL UNIVERSIDAD SANTO TOMS SECCIONAL BUCARAMANGA
JOS JOAQUN SALCEDO DURAN
UNIVERSITARIA DE INVESTIGACIN Y DESARROLLO UDI INGENIERA DE SISTEMAS ESPECIALIZACIN EN SEGURIDAD INFORMTICA BUCARAMANGA 2012
JOS JOAQUN SALCEDO DURAN
Monografa Para optar al Ttulo de Especialista en Seguridad Informtica
Director: Fernando Barajas
UNIVERSITARIA DE INVESTIGACIN Y DESARROLLO UDI INGENIERA DE SISTEMAS ESPECIALIZACIN EN SEGURIDAD INFORMTICA BUCARAMANGA 2012
Nota de Aceptacin
Firma Presidente del Jurado
Firma del Jurado
Firma del Jurado
Bucaramanga, 22 de Junio de 2012
TABLA DE CONTENIDO
pg.
INTRODUCCIN
1.
PRESENTACIN DE LA MONOGRAFA
1.1 PLANTEAMIENTO DEL PROBLEMA 1.2 OBJETIVOS 1.2.1 Objetivo general 1.2.2 Objetivos especficos 1.3 JUSTIFICACIN 2. MARCO DE REFERENCIA
2.1 ANTECEDENTES 2.2 MARCO CONCEPTUAL 2.3 MARCO TERICO 2.3.1 Sistema de gestin de la seguridad de la informacin 2.3.2 Qu es un SGSI? 2.3.3 Anlisis y control de riesgos 3. POLTICA DE SEGURIDAD DE LA INFORMACIN
3.1 INTRODUCCIN Y CONCEPTUALIZACIN 3.2 OBJETIVO 3.3 ALCANCE
3.4 COMPROMISO DE LA DIRECCIN 3.5 TRMINOS Y DEFINICIONES 3.6 POLTICAS GENERALES DE SEGURIDAD DE LA INFORMACIN 3.7 SANCIONES PREVISTAS POR EL INCUMPLIMIENTO 3.8 RECOLECCIN DE INFORMACIN Y ANLISIS DE RIESGOS 4. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN[ISO/IEC A.6]
27001:2005
4.1 ORGANIZACIN INTERNA [ISO/IEC 27001:2005 A.6.1] 4.1.1 Coordinacin de la Seguridad de la Informacin [ISO/IEC 27001:2005 A.6.1.2] 4.1.2 Asignacin de las responsabilidades de la seguridad de la informacin [ISO/IEC 27001:2005 A.6.1.3] 4.1.3 Proceso de autorizacin de recursos para el procesado de la informacin [ISO/IEC 27001:2005 A.6.1.4] 4.1.4 Acuerdos de Confidencialidad [ISO/IEC 27001:2005 A.6.1.5] 4.1.5 Revisin Independiente de la Seguridad de la Informacin [ISO/IEC 27001:2005 A.6.1.8] 5. GESTIN DE ACTIVOS [ISO/IEC 27001:2005 A.7]
5.1 RESPONSABILIDAD SOBRE LOS ACTIVOS [ISO/IEC 27001:2005 A.7.1] 5.1.1 Inventario de activos Informacin [ISO/IEC 27001:2005 A.7.1.1- A.7.1.2] 5.1.2 Uso aceptable de los activos [ISO/IEC 27001:2005 A.7.1.1- A.7.1.3] 5.1.3 Etiquetado de la Informacin [ISO/IEC 27001:2005 A.7.2.2] 6. A.8] 6.1 ANTES DEL EMPLEO [ISO/IEC 27001:2005 A.8.1] 6.1.1 Funciones y Responsabilidades [ISO/IEC 27001:2005 A.8.1.1] 6.1.2 Concienciacin, formacin y capacitacin en seguridad de la informacin [ISO/IEC 27001:2005 A.8.2.2] 6.1.3 Proceso Disciplinario [ISO/IEC 27001:2005 A.8.2.3] 6.1.4 Cese del empleo o cambio del puesto de trabajo [ISO/IEC 27001:2005 A.8.3] SEGURIDAD LIGADA A LOS RECURSOS HUMANOS [ISO/IEC 27001:2005
7.
SEGURIDAD FSICA Y AMBIENTAL [ISO/IEC 27001:2005 A.9]
7.1 REAS SEGURAS [ISO/IEC 27001:2005 A.9.1] 7.1.1 Permetros de Seguridad Fsica [ISO/IEC 27001:2005 A.9.1.1 - A.9.1.1] 7.1.2 Controles de Ingreso fsico [ISO/IEC 27001:2005 A.9.1.2] 7.1.3 Proteccin contra las amenazas externas y de origen ambiental [ISO/IEC 27001:2005 A.9.1.4] 8. A.10] 8.1 RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIN[ISO/IEC 27001:2005 A.10.1] 8.1.1 Documentacin de los procedimientos de operacin [ISO/IEC 27001:2005 A.10.1.1] 8.1.2 Gestin del cambio [ISO/IEC 27001:2005 A.10.1.2] 8.2 PLANIFICACIN Y ACEPTACIN DEL SISTEMA[ISO/IEC 27001:2005 A.10.3] 8.2.1 Gestin de la capacidad [ISO/IEC 27001:2005 A.10.3.1] 8.3 PROTECCIN CONTRA CDIGO MALICIOSO Y DESCARGABLE [ISO/IEC 27001:2005 A.10.4] 8.3.1 Controles contra el cdigo malicioso [ISO/IEC 27001:2005 A.10.4.1] 8.4 COPIAS DE SEGURIDAD [ISO/IEC 27001:2005 A.10.5] 8.4.1 Copias de seguridad de la informacin [ISO/IEC 27001:2005 A.10.5.1] 8.5 INTERCAMBIO DE INFORMACIN [ISO/IEC 27001:2005 A.10.8] 8.5.1 Polticas y procedimientos para intercambio de informacin [ISO/IEC 27001:2005 A.10.8.1] 9. CONTROL DE ACCESO [ISO/IEC 27001:2005 A.11] GESTIN DE COMUNICACIONES Y OPERACIN [ISO/IEC 27001:2005
9.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO [ISO/IEC 27001:2005 A.11.1] 9.1.1 Poltica de control de acceso [ISO/IEC 27001:2005 A.11.1.1] 9.2 GESTIN DE ACCESO DE USUARIO [ISO/IEC 27001:2005 A.11.2] 9.2.1 Registro de usuarios [ISO/IEC 27001:2005 A.11.2.1] 9.2.2 Gestin de contraseas de usuario [ISO/IEC 27001:2005 A.11.2.3] 9.3 CONTROL DE ACCESO AL SISTEMA OPERATIVO [ISO/IEC 27001:2005 A.11.5] 10. GESTIN DE LA CONTINUIDAD DEL NEGOCIO [ISO/IEC 27001:2005 A.14] 10.1 SEGURIDAD DE LA INFORMACIN EN LA CONTINUIDAD DEL NEGOCIO [ISO/IEC 27001:2005 A.14.1.1] 10.2 CONTINUIDAD DE NEGOCIO Y EVALUACIN DE RIESGO [ISO/IEC 27001:2005 A.14.1.2] 10.3 DESARROLLO E IMPLEMENTACIN DE PLANES DE CONTINUIDAD DE NEGOCIO [ISO/IEC 27001:2005 A.14.1.3]
LISTA DE IMGENES
pg.
Imagen 1 Procesamiento de Datos
LISTA DE GRFICOS
pg.
Grafico 1 Factores que afectan el Riesgo
LISTA DE TABLAS
pg.
Tabla 1 Antecedente caso 1
Tabla 6 Amenazas y vulnerabilidades
Tabla 7 Conformacin del grupo de trabajo
Tabla 8 Responsabilidades de la Seguridad Informtica.
Tabla 9 Propietarios de los activos
Tabla 10 Activos de Informacin
Tabla 11 Activos de Aplicacin
Tabla 12 Activos de Fsicos
Tabla 13 Responsabilidades
LISTA DE ANEXOS
pg.
ANEXO A Formato de Registro Capacitacin Seguridad de la Informacin ANEXO B Formato de Visita Cuarto de Telecomunicaciones ANEXO C Formato de Registro Gestin de Cambios ANEXO D Formato de Registro de Copias de Seguridad Campus virtual ANEXO E Articulo IEEE
GLOSARIO
ANLISIS DE RIESGO: uso sistemtico de la informacin para identificar las fuentes y estimar el riesgo.
AULA VIRTUAL: es un sistema innovador de educacin a distancia orientado a mejorar la comunicacin, incentivar el aprendizaje interactivo y personalizando el anlisis crtico.
BACK UP: es la copia total o parcial de informacin importante del disco duro, CDs, bases de datos u otro medio de almacenamiento. Esta copia de respaldo debe ser guardada en algn otro sistema de almacenamiento masivo, como ser discos duros, CDs, DVDs o cintas magnticas (DDS, Travan, AIT, SLR,DLT y VXA).
Los Backups se utilizan para tener una o ms copias de informacin considerada importante y as poder recuperarla en el caso de prdida de la copia original.
COBIT: es un marco de referencia de Gobierno TI y un conjunto de herramientas de soporte que permite a los gerentes reducir la brecha entre los requerimientos de control, los temas tcnicos y los riesgos del negocio.
COBIT permite el desarrollo de una poltica clara y una buena prctica para el control TI en las organizaciones. COBIT acenta el cumplimiento regulatorio,
ayuda a las organizaciones a aumentar el valor asociado al rea de TI, habilita la alineacin y simplifica la puesta en prctica del marco de referencia COBIT.
CONFIDENCIALIDAD: propiedad que determina que la informacin no est disponible ni sea revelada a individuos, entidades o procesos no autorizados.
DISPONIBILIDAD: propiedad de que la informacin sea accesible y utilizable para solicitud de una entidad autorizada.
EDUCACIN VIRTUAL: la educacin virtual, tambin llamada "educacin en lnea", se refiere al desarrollo de programas de formacin que tienen como escenario de enseanza y aprendizaje el ciberespacio.
E-LEARNING: el e-learning consiste en la educacin y capacitacin a travs de Internet.
GESTIN DEL RIESGO: actividades coordinadas para dirigir y controlar una organizacin en relacin con el riesgo
GOBIERNO DE TI: el Gobierno de TI es una disciplina relativa a la forma en la que la alta direccin de las organizaciones dirige la evolucin y el uso de las tecnologas de la informacin.
INCIDENTE DE SEGURIDAD DE LA INFORMACIN: un evento o serie de eventos de seguridad de la informacin no deseada o inesperada, que tiene una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin.
INFORMACIN: la informacin es un conjunto organizado de datos, que constituye un mensaje sobre un cierto fenmeno o ente. La informacin permite resolver problemas y tomar decisiones, ya que su uso racional es la base del conocimiento.
ISO 27001: la ISO 27001 es un Estndar Internacional de Sistemas de Gestin de Seguridad de la Informacin que permite a una organizacin evaluar su riesgo.
INTEGRIDAD: propiedad de salvaguardar la exactitud y el estado completo de los activos
MOODLE: moodle es un Ambiente Educativo Virtual, sistema de gestin de cursos, de distribucin libre, que ayuda a los educadores a crear comunidades de aprendizaje en lnea. Este tipo de plataformas tecnolgicas tambin se conoce como LMS (Learning Management System).
POLTICA DE SEGURIDAD: las polticas de seguridad son las reglas y procedimientos que regulan la forma en que una organizacin previene, protege y maneja los riesgos de diferentes daos.
SOLUCIN SAN: una red de rea de almacenamiento, en ingls SAN (Storage rea Network), es una red concebida para conectar servidores, matrices (arrays) de discos y libreras de soporte. Principalmente, est basada en tecnologa fiber channel y ms recientemente en iSCSI. Su funcin es la de conectar de manera rpida, segura y fiable los distintos elementos que la conforman.
SEGURIDAD DE LA INFORMACIN: segn [ISO/IEC 27002:2005]: Preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas.
TRATAMIENTO DEL RIESGO: proceso de seleccin e implementacin de medidas para modificar el riego.
RESUMEN
TITULO: RESUMEN (Diseo de poltica de seguridad de la Informacin)
AUTOR: JOS JOAQUN SALCEDO DURAN
PALABRAS CLAVES: Aula virtual, Santo Toms, educacin virtual, SGSI, seguridad, poltica Descripcin
Con el avance tecnolgico la educacin toma nuevas formas para hacerse notar, es por ello en que en la actualidad el uso de las aulas virtuales en las instituciones de educacin Superior se han convertido en una herramienta de vital importancia para su desarrollo y cumplimiento de objetivos institucionales. La Universidad Santo Toms Bucaramanga a travs de la oficina de Educacin Virtual implementa las Tecnologas de Informacin y comunicacin (TIC) en el proceso enseanza aprendizaje mediante la creacin y puesta en marcha de aulas virtuales, por tanto la informacin que maneja es de vital importancia para el proceso y necesita ser incorporada dentro de un proceso de gestin de Seguridad de la Informacin que garantice su buena administracin. Este documento muestra la elaboracin de una poltica de seguridad de la Informacin acompaada de una serie de controles obtenidos de la Norma ISO 27001, aplicables a la oficina de educacin virtual con el propsito de garantizar la seguridad y continuidad de las operaciones. Adems en esta documentacin se muestran una serie de Formatos para facilitar el registro y control de ciertos aspectos importantes y cruciales al momento de proteger la informacin de daos y prdida en la oficina de educacin virtual.
ABSTRACT
TITLE: ABSTRACT (Security Policy Design Information)
AUTHOR: JOS JOAQUN SALCEDO DURAN
KEYWORDS: Virtual classroom, Santo Toms, virtual education, SGSI, security, political
Description
Technological advance makes education excel in different ways. For this reason, virtual classrooms are a very important tool in higher education institutions because these help them to develop themselves and achieve their institutional objectives. Santo Toms University of Bucaramanga uses Virtual Education Department to implement Information and Communication Technologies (ICT) in teaching and learning process by creating and using virtual classrooms. For this reason information used in this process is very important and it requires an Assurance information process in order to ensure its good administration. This document shows the creation of an assurance information policy, accompanied of a serie of control mechanims taken from ISO 27001 Norms, which are applicables in Virtual Education Department management with the purpose of ensure the Security and continuity of operations. Also in this documentation are shown a number of formats to facilitate the registration and control of certain important and crucial when protecting information of damage and loss in virtual education office.
INTRODUCCIN
En agosto de 2011 se da inicio el desarrollo de una monografa que busca la implementacin de una poltica de seguridad de la informacin en la oficina de educacin virtual de la Universidad Santo Toms con el propsito de cumplir el requisito de grado de la especializacin en seguridad informtica cursada en la Universitaria de Investigacin y Desarrollo UDI.
Con este objetivo se inicia un proceso de documentacin de mejores prcticas y estndares nacionales referentes a la seguridad de la informacin como los son la ISO 27001 y sus anexos esto con el fin de entender el concepto de sistema de gestin de la seguridad de la informacin y los controles aplicables a las organizacin.
17
1.
PRESENTACIN DE LA MONOGRAFA
1.1
PLANTEAMIENTO DEL PROBLEMA
En el quehacer profesional, es muy comn que los profesionales se encuentren con necesidades que, en su empresa, puedan estar afectando negativamente el desempeo de la misma (o un funcionamiento que no es el ptimo).
Con esta idea en mente, y ya que los autores tienen vnculo con la Universidad Santo Toms- Bucaramanga, se han indagado elementos que, desde el marco de la temtica de la Especializacin en Seguridad Informtica, se pudiesen aportar.
En ese sentido, cabe resaltar que la Universidad Santo Toms seccional Bucaramanga tiene como misin promover la formacin integral de las personas, en el campo de la educacin superior, mediante acciones y procesos de enseanza-aprendizaje, investigacin y proyeccin social, para que respondan de manera tica, creativa y crtica a las exigencias de la vida humana y estn en condiciones de aportar soluciones a la problemtica y necesidades de la sociedad y del pas1, para ello cuenta con la Oficina de educacin Virtual encargada de apoyar el proceso de enseanza aprendizaje logrando cumplir una parte del objetivo principal de la institucin utilizado como medio las nuevas tecnologas de informacin y comunicacin ( TIC ).
El desarrollo en tecnologa a nivel mundial ha permitido a la Oficina de educacin Virtual, implementar aplicaciones que contribuyan a la educacin E-learning y
Universidad Santo Toms. Misin. [En lnea] <http://www.ustabuca.edu.co/inicio/quienesomos/index.jsp> [consultado Diciembre 1 de 2011]
18
apostarle a una educacin totalmente Virtual aumentando su responsabilidad ante el cuerpo estudiantil y administrativo de la institucin.
En el ao 2007 y despus de un anlisis por parte de la Direccin y departamento de Tecnologa de la Oficina de Educacin Virtual, en el uso de tecnologas tanto a nivel nacional o internacional para el desarrollo de herramientas E-learning llego a la decisin de implementar un servidor HP Proliant ML150 G6 con dos procesadores Quad Core (2.5 GHz), 10 Gb de memoria RAM y 1100 Gb de almacenamiento, en el cual se opt por instalar el sistema para enseanza y aprendizaje en lnea Moodle que permite la administracin aulas Virtuales.
La funcin de la Oficina de educacin Virtual en la Universidad Santo Toms ha crecido con el transcurrir del tiempo, el incremento en el manejo de informacin, la creacin de aulas Virtuales, el registro de usuarios, entre otros son los procesos crticos de la Oficina en su diario funcionamiento. Actualmente la Oficina de educacin Virtual no cuenta con una poltica de seguridad de la informacin documentada, que garantice la confidencialidad, integridad, y disponibilidad de la informacin, es decir no existen protocolos que indiquen como etiquetar la informacin , roles de acceso, cuando ,como y donde generar y salvaguardar copias de seguridad tanto de los equipos de cmputo como del Campus Virtual, no existe poltica documentada al momento de crear, eliminar o restaurar aulas Virtuales, ni tampoco al momento de crear , modificar , eliminar o matricular usuarios a las diferentes aulas Virtuales del Campus. Como lo menciona Eduardo Chavarro Ovalle en su video RETOS DE LA SEGURIDAD INFORMTICA AVA,2 es importante tener claro aspectos
importantes, como los son proteger el Entorno Virtual de Aprendizaje, evaluar aplicaciones en las maquinas locales que pueden afectar la operacin , proteger
CHAVARRO OVALLE, Eduardo, RETOS DE LA SEGURIDAD <http://avirtual.telefonica.es/p81328926/> , [consultado 1 de Noviembre de 2011]
INFORMTICA
AVA
[en
lnea]
19
los contenidos desarrollados con licenciamiento Creative Commons, entre michas otras cosas que garanticen el ptimo funcionamiento del sistema. No cumplir con polticas de seguridad mnimas en la administracin del Campus virtual entre ellas la creacin, modificacin, eliminacin o matricula de usuarios en el Campus traera como consecuencia la mala administracin manejo de la informacin; adems el no implementar controles de acceso a las diferentes aulas virtuales creadas en el Campus, a la documentacin interna y equipos de cmputo, permitira el ingreso a personal no autorizado afectando la confidencialidad de la informacin.3
Es importante elaborar y documentar una poltica de seguridad de la informacin en la cual se incluya toda una serie de procedimientos para la manipulacin de la informacin , la instalacin de software y equipos tecnolgicos as como su administracin , responsables de los procesos y controles de acceso a los diferentes tems anteriormente mencionados , con el fin de garantizar que los proceso llevados en la Oficina de Educacin Virtual en los cuales se ven involucrados la manipulacin de informacin y administracin del Campus Tecnolgica, cumplan con un mnimo de seguridad garantizando la calidad de la Oficina y la confidencialidad, integridad y disponibilidad de la informacin.
1.2
OBJETIVOS
1.2.1 Objetivo general. Elaborar la poltica de seguridad de la informacin de la Oficina de educacin Virtual de la Universidad Santo Toms seccional Bucaramanga, utilizando como marco de referencia COBIT 4.1 y la ISO 27001 para garantizar la confidencialidad, integridad , disponibilidad de la informacin y
CHAVARRO OVALLE, Eduardo.RETOS DE LA SEGURIDAD <http://avirtual.telefonica.es/p81328926/ > , [Consultado 1 de Noviembre de 2011]
INFORMTICA
AVA,
[en
lnea],
20
los procesos de administracin del Campus Virtual de la Universidad Santo Toms Seccional Bucaramanga.
1.2.2 Objetivos especficos
Clasificar la informacin de la Oficina de Educacin Virtual segn la
necesidad, las prioridades y el grado esperado de proteccin como indica la norma ISO 27001 mediante un esquema de clasificacin de la informacin que defina un conjunto apropiado de niveles y garantice disponibilidad de la misma. la Confidencialidad, integridad y
Documentar la poltica de seguridad de la Oficina de Educacin Virtual que
garantice las mejores prcticas de seguridad de la informacin y que incluyan los procedimientos a realizar.
Implementar instrumentos de registro de informacin que garanticen la
confiabilidad en el proceso que involucren manipulacin de la informacin en la Oficina de Educacin Virtual.
Socializar polticas de seguridad de la informacin con el equipo de
Educacin Virtual conformado por la Direccin, asesores pedaggicos, equipo tecnolgico y secretaria mediante charlas de sensibilizacin cada mes con el fin de garantizar el conocimiento y la aplicacin en los procesos en la organizacin.
1.3
JUSTIFICACIN
Segn el Ministerio de Educacin en su portal web afirma las ventajas de la educacin superior y la importancia en nuestro pas El desarrollo de las
21
Tecnologas de la Informacin y Comunicacin TIC- ha abierto un sin nmero de posibilidades para realizar proyectos educativos en el que todas las personas tengan la oportunidad de acceder a educacin de calidad sin importar el momento o el lugar en el que se encuentren.
En efecto, las alternativas de acceso que se han puesto en manos de las personas han eliminado el tiempo y la distancia como un obstculo para ensear y aprender4. La Educacin Virtual en Colombia cada vez adquiere ms fuerza y se convierte en el medio ideal para apoyar la educacin presencial en las instituciones educativas; la variedad de plataformas virtuales han permitido que las instituciones implementen este medio sin mayor dificultad y creen oficinas dedicadas exclusivamente a este trabajo, lo cual conlleva a un extenso manejo de informacin y que en la mayora de los casos no hay polticas de seguridad para garantizar la continuidad y confiabilidad de la misma.
El desarrollo de este trabajo servir como gua fundamental para la creacin y documentacin de una poltica de seguridad de la informacin en la oficina de Educacin Virtual de la Universidad Santo Toms, que ayude a mejorar los procesos que actualmente se llevan garantizando el manejo adecuado de la informacin, mejor reaccin a incidentes de seguridad, minimizacin de los riesgos inherentes a la seguridad de la informacin, mayor facilidad para la toma de decisiones, mayor control de la informacin, auditoras de seguridad ms precisas y confiables; Por otro lado el establecer polticas de seguridad en la
administracin de la plataforma Moodle al momento de crear, eliminar y modificar tanto aulas virtuales como usuarios del Campus virtual, evitara problemas de suplantacin de identidad por parte de los usuarios del Campus y prdida de informacin en las aulas diferentes aulas virtuales que salvaguarda la oficina de educacin virtual de la Universidad Santo Toms.
MINISTERIO DE EDUCACIN NACIONAL. Educacin [en lnea], <http://www.mineducacion.gov.co/1621/article196492.html>, [consultado 01 de Noviembre de 2011]
22
2.
MARCO DE REFERENCIA
2.1
ANTECEDENTES
1 ESPACIO ANTECEDENTE CASO 1
TITULO: Preservacin documental digital y seguridad informtica
FUENTE: Centro Universitario de Investigaciones Bibliotecolgicas de la UNAM, Torre II de Humanidades, Piso 11, Circuito Interior, Cd. Universitaria, Col. Copilco Universidad URL:http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0187358X2010000100008&lang=es
PAIS: Mxico AO: 2009
EMPRESA: Centro Universitario de Investigaciones Bibliotecolgicas de la UNAM DESCRIPCION: Se analiza la problemtica actual de la produccin y acumulacin mundial de informacin en forma de documentos electrnicos o digitales, as como los problemas derivados del acceso de esa informacin, sobre todo en red, dado que esto podra implicar riesgo y prdida de esa informacin. Se determinan los riesgos, amenazas vulnerabilidades, etctera,
23
que afectan a esa informacin, as como diversas estrategias para establecer la seguridad informtica y la relacin de sta con la preservacin confiable de esa informacin. Se estudian y establecen con detalle los factores que inciden a favor y en contra de los documentos digitales.
Fuente http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0187-358X2010000100008&lang=es
Tabla 2: Antecedente caso 2
ANTECEDENTE CASO 2
TITULO: Implementacin del primer sistema de gestin de seguridad de la informacin, en el ecuador, certificado bajo la norma ISO 27001:2005
FUENTE: Repositorio de la Escuela Superior Politcnica del litoral URL: https://www.dspace.espol.edu.ec/handle/123456789/7718 PAIS: Ecuador AO: 2009 EMPRESA: Escuela Superior Politcnica Del Litoral DESCRIPCION: Dada la evolucin de la Tecnologas de la informacin y su relacin directa con los objetivos del negocio de la organizaciones, el universo de amenazas y vulnerabilidades aumenta por lo tanto es necesario proteger uno de los activos ms importantes de la organizacin, la informacin, garantizando siempre la disponibilidad, la confidencialidad e integridad de la misma. La forma ms adecuada para proteger los activos de informacin es mediante una correcta gestin del riesgo, logrando as identificar y focalizar esfuerzos hacia aquellos elementos que se encuentren ms expuestos. La implementacin de un Sistema de Gestin de Seguridad de la informacin garantiza que la organizacin adopte las buenas prcticas
24
sugeridas por la ISO 27001:2005 para un correcto tratamiento del riesgo. En el presente informe de trabajo profesional, se expone un caso de xito de una implementacin de un SGSI y su respectiva certificacin bajo la norma ISO 27001:2005
Fuente https://www.dspace.espol.edu.ec/handle/123456789/7718
ANTECEDENTE CASO 3
TITULO:
DESARROLLO DE POLTICAS DE SEGURIDAD INFORMTICA E
IMPLEMENTACIN DE TRES DOMINIOS EN BASE A LA NORMA 27002 PARA EL REA DE HARDWARE EN LA EMPRESA UNIPLEX SYSTEMS S.A. EN QUITO FUENTE: Repositorio digital de la Universidad Pblica de Navarra. URL: http://dspace.epn.edu.ec/bitstream/15000/9946/1/DESARROLLO%20DE%20POL %3FTICAS%20DE%20SEGURIDAD%20INFORM%3FTICA%20E%20IMPLEMEN TACI%3FN%20DE%20TRES%20DOMINIOS%20EN%20BASE%20A%20LA%20 N.pdf PAIS: ECUADOR AO: 2010 EMPRESA: UNIPLEX SYSTEMS S.A
25
DESCRIPCION: En el presente proyecto se desarrolla un Plan Piloto de Polticas de Seguridad Informtica para ser implementado en el rea de Networking de la empresa Uniplex Systems S.A. Se presenta un resumen de la historia de la ISO 27000 y se describe la norma de Seguridad de la Informacin ISO/IEC 27002. Se analizan tres dominios de la norma que tienen estrecha relacin con la Seguridad Informtica. Se analiza tambin la situacin de las polticas de Seguridad Informtica instauradas previo a la implementacin del Plan Piloto. Se describe la metodologa para desarrollar un Sistema de Seguridad Informtica y se desarrolla el Plan Piloto de Polticas de Seguridad Informtica. Se desarrollan las nuevas polticas en base al procedimiento visto y se procede a la implementacin de las mismas. Se presentan las conclusiones y recomendaciones del presente proyecto. En los anexos se dispone de conceptos importantes de este proyecto; se detalla la documentacin e instructivos que se desarrollaron para implementar la norma, se indica la implementacin de las polticas de Seguridad Informtica y se dispone de una gua para que los usuarios las apliquen sin dificultad.
Fuente http://dspace.epn.edu.ec/bitstream/15000/9946/1/DESARROLLO%20DE%20POL%3FTICAS%20DE%20SEGURIDAD%20I NFORM%3FTICA%20E%20IMPLEMENTACI%3FN%20DE%20TRES%20DOMINIOS%20EN%20BASE%20A%20LA%20N. pdf
ANTECEDENTE CASO 4 TITULO: Preservacin documental digital y seguridad informtica
FUENTE: Centro Universitario de Investigaciones Bibliotecolgicas de la UNAM, Torre II de Humanidades, Piso 11, Circuito Interior, Cd. Universitaria, Col. Copilco Universidad
26
URL:
http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0187-
358X2010000100008&lang=es
PAIS: Mxico AO: 2009
EMPRESA: Centro Universitario de Investigaciones Bibliotecolgicas de la UNAM DESCRIPCION: Se analiza la problemtica actual de la produccin y acumulacin mundial de informacin en forma de documentos electrnicos o digitales, as como los problemas derivados del acceso de esa informacin, sobre todo en red, dado que esto podra implicar riesgo y prdida de esa informacin. Se determinan los riesgos, amenazas vulnerabilidades, etctera, que afectan a esa informacin, as como diversas estrategias para establecer la seguridad informtica y la relacin de sta con la preservacin confiable de esa informacin. Se estudian y establecen con detalle los factores que inciden a favor y en contra de los documentos digitales.
Fuente http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0187-358X2010000100008&lang=es
ANTECEDENTE CASO 5 TITULO: Seguridad Informtica - Implicancias e Implementacin FUENTE: Segu-Info URL: http://www.segu-info.com.ar/tesis/ PAIS: Argentina
27
AO: 2001 DESCRIPCION: Hoy es imposible hablar de un sistema cien porciento seguro, sencillamente porque el costo de la seguridad es muy alto por eso ls empresas en general asumen riesgos: debe optar por perder un negocio o arriesgarse a ser hackedas.
Ya que el costo de la seguridad es muy alto, es importante empezar a trabajar en algo y lo mejor es disear plataformas, procesamiento y estrategias que minimicen el riesgo de vulnerabilidad informtica.
Fuente http://www.segu-info.com.ar/tesis/
2.2
MARCO CONCEPTUAL
AULA VIRTUAL: es un sistema innovador de educacin a distancia orientado a mejorar la comunicacin, incentivar el aprendizaje interactivo y personalizando el anlisis crtico.
BACK UP: es la copia total o parcial de informacin importante del disco duro, CDs, bases de datos u otro medio de almacenamiento. Esta copia de respaldo debe ser guardada en algn otro sistema de almacenamiento masivo, como ser discos duros, CDs, DVDs o cintas magnticas (DDS, Travan, AIT, SLR,DLT y VXA). Los Backups se utilizan para tener una o ms copias de informacin considerada importante y as poder recuperarla en el caso de prdida de la copia original. 5
Definicin de Back Up, [en lnea], <http://www.alegsa.com.ar/Dic/backup.php>, [consultado 7 de Noviembre de 2011]
28
COBIT: es un marco de referencia de Gobierno TI y un conjunto de herramientas de soporte que permite a los gerentes reducir la brecha entre los requerimientos de control, los temas tcnicos y los riesgos del negocio.
COBIT permite el desarrollo de una poltica clara y una buena prctica para el control TI en las organizaciones. COBIT acenta el cumplimiento regulatorio,
ayuda a las organizaciones a aumentar el valor asociado al rea de TI, habilita la alineacin y simplifica la puesta en prctica del marco de referencia COBIT. 6
EDUCACIN VIRTUAL: la educacin virtual, tambin llamada "educacin en lnea", se refiere al desarrollo de programas de formacin que tienen como escenario de enseanza y aprendizaje el ciberespacio.7
E-LEARNING: el e-learning consiste en la educacin y capacitacin a travs de Internet.8 GOBIERNO DE TI: el Gobierno de TI es una disciplina relativa a la forma en la que la alta direccin de las organizaciones dirige la evolucin y el uso de las tecnologas de la informacin.9
INFORMACIN: la informacin es un conjunto organizado de datos, que constituye un mensaje sobre un cierto fenmeno o ente. La informacin permite
COBIT, [en lnea], <http://www.isaca-bogota.net/metodologias/cobit.aspx>, [consultado 07 de Noviembre de 2011]
Educacin virtual o educacin [en lnea], <http://www.mineducacion.gov.co/1621/article-196492.html>, [consultado 08 de
Noviembre de 2011]
8
Definicin de E-learning, [en lnea], <http://www.e-abclearning.com/definicione-learning>, [consultado 08 de Noviembre de
2011]
9
Definicin de Gobierno de TI, [en lnea], <http://www.tgti.es/?q=node/57>, [consultado 08 de Noviembre de 2011]
29
resolver problemas y tomar decisiones, ya que su uso racional es la base del conocimiento.10
ISO 27001: la ISO 27001 es un Estndar Internacional de Sistemas de Gestin de Seguridad de la Informacin que permite a una organizacin evaluar su riesgo.11
MOODLE: es un Ambiente Educativo Virtual, sistema de gestin de cursos, de distribucin libre, que ayuda a los educadores a crear comunidades de aprendizaje en lnea. Este tipo de plataformas tecnolgicas tambin se conoce como LMS (Learning Management System).12
POLTICA DE SEGURIDAD: las polticas de seguridad son las reglas y procedimientos que regulan la forma en que una organizacin previene, protege y maneja los riesgos de diferentes daos.13
SOLUCIN SAN: red de rea de almacenamiento, en ingls SAN (Storage rea Network), es una red concebida para conectar servidores, matrices (arrays) de discos y libreras de soporte. Principalmente, est basada en tecnologa fiber channel y ms recientemente en iSCSI. Su funcin es la de conectar de manera rpida, segura y fiable los distintos elementos que la conforman.14
10
Definicin de Informacin, [en lnea], <http://definicion.de/informacion/ >, [consultado 08 de Noviembre de 2011] ISO 27000, [en lnea], [en lnea], <http://www.iso27000.es/iso27000.html>, [consultado 08 de Noviembre de 2011] Moodle, [en lnea], <http://en.wikipedia.org/wiki/Moodle>, [consultado 08 de Noviembre de 2011] Poltica de Seguridad, [en lnea], <http://www.123innovationgroup.info/politicas_de_seguridad.htm>,[consultado 08 de
11
12
13
Noviembre de 2011]
14
Red
de
rea
de
Almacenamiento,
[en
lnea],
<http://www.ecured.cu/index.php/Red_de_%C3%A1rea_de_almacenamiento>, [consultado 08 de Noviembre de 2011]
30
SEGURIDAD DE LA INFORMACIN: segn [ISO/IEC 27002:2005]: Preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas.15
2.3
MARCO TERICO
2.3.1 Sistema de gestin de la seguridad de la informacin. En la norma ISO 27000 se define todo un esquema referente al Sistema de Gestin de seguridad de la Informacin y da un concepto claro del mismo El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central sobre el que se construye ISO 27001. La gestin de la seguridad de la informacin debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la organizacin. 16 Es imposible garantizar la proteccin total de un Sistema aun disponiendo de un amplio presupuesto, por tanto la principal funcin del Sistema de Gestin de la Seguridad de la Informacin es identificar los factores de riesgo, documentarlos y hacerlos conocer a la organizacin con el fin de aplicar a cada uno de ellos un control especfico para minimizar la probabilidad de falla del sistema.
2.3.2 Qu es un SGSI? Con base en la Norma ISO 27001 se toman una serie de conceptos entre ellos el de SGSI cual se define como la abreviatura utilizada
15
Seguridad de la Informacin, [en lnea], <http://www.iso27000.es/glosario.html#section10s>, [consultado 08 de Noviembre
de 2011]
16
Seguridad de la Informacin, [en lnea], <http://www.iso27000.es/glosario.html#section10s>, [consultado 08 de
Noviembre de 2011]
31
para referirse a un Sistema de Gestin de la Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls, siglas de Information Security Management System.
En el contexto que se est tratando referente a la seguridad informtica se entiende como informacin , el conjunto de datos organizados y que para la organizacin tiene algn tipo de valor , sin importar la forma en que se encuentre almacenada ya sea en equipos de cmputo , impresa , en correos electrnicos
Imagen 1 Procesamiento de Datos
Fuente www.iso27000.es
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin.
32
Estos tres trminos anteriormente tratados son los pilares de la informacin y que se incumpla uno de ellos afectara directamente las caractersticas de la informacin. Confidencialidad: La informacin solo estar disponible a personal autorizado. Integridad: La informacin no puede sufrir alteracin o modificaciones. Disponibilidad: La informacin estar disponible al momento en que se necesite. Para garantizar la seguridad de la informacin se debe hacer uso de un proceso sistemtico que garantice las tres caractersticas principales de la informacin, a este proceso se le conoce como SGSI (Sistemas de Gestin de la Seguridad de la Informacin). la informacin de manera completa La
En la norma ISO 27000 define
informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organizacin. La confidencialidad, integridad y disponibilidad de informacin llegan a ser elementos importantes para garantizar la competitividad, la imagen entre otros factores empresariales necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos de la misma. Actualmente los sistemas de informacin en las organizaciones estn expuestos a ataques informticos, como violacin de la informacin, sabotaje, Hacking, denegacin de servicios, entre otros, y que pueden llegar a impactar de manera negativa el objetivo de la organizacin as como su imagen. Las organizaciones deben ser entidades dinmicas que se adapten a los nuevos cambios del mundo, con el fin de mejorar la continuidad del negocio y proteger su informacin. A continuacin se presenta una grafica general que presenta la
33
Norma ISO 27000 indicando que factores afectan el riesgo en la seguridad de la informacin.17
Grafico 1. Factores que afectan el riesgo
Fuente www.iso27000.es
Adicionalmente, debern considerarse los conceptos de: Autenticidad: busca asegurar la validez de la informacin en tiempo, forma
y distribucin. Asimismo, se garantiza el origen de la informacin, validando el emisor para evitar suplantacin de identidades. Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior.
17
Sistema de Gestin de la Seguridad de la Informacin, [en lnea], <http://www.iso27000.es/sgsi.html> , [consultado 15
de Noviembre de 2011]
34
Proteccin a la duplicacin: consiste en asegurar que una transaccin slo
se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transaccin para luego reproducirla, con el objeto de simular mltiples peticiones del mismo remitente original. No repudio: se refiere a evitar que una entidad que haya enviado o recibido
informacin alegue ante terceros que no la envi o recibi. Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones
o disposiciones a las que est sujeto el Organismo. Confiabilidad de la Informacin: es decir, que la informacin generada sea
adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones.18
2.3.3 Anlisis y control de riesgos. La seguridad de la informacin puede entenderse como la preservacin de tres cualidades importantes, la
Confidencialidad, Integridad y Disponibilidad de la informacin.
Los riesgos informticos que se pueden llegar a presentar dependen del tipo de organizacin en conclusin los riesgos informticos que puede llegar a ocurrir son diferentes. Segn una revista publicada en ACIS, Tipton dice los controles de seguridad informtica usualmente se clasifican en tres categoras: controles fsicos, controles lgicos o tcnicos y controles administrativos [Tipton, 2006].Adems Tudor firma
18
Dimensiones de la seguridad de Ia Informacin, [en lnea], <http://www.legitec.com/new/blog/2011/08/dimensiones-de-
seguridad-de-la-informacion/>, [consultado 15 de Noviembre de 2011.]
35
Para que los controles sean efectivos, stos deben estar integrados en lo que se denomina una arquitectura de seguridad informtica [Tudor, 2006]19, la cual debe ser congruente con los objetivos de la organizacin y las prioridades de las posibles amenazas de acuerdo al impacto que stas tengan en la organizacin. Por lo tanto, una fase fundamental en el diseo de la arquitectura de seguridad informtica es la etapa de anlisis de riesgos [Peltier, 2005; Landoll, 2005]. Sin importar cual sea el proceso que se siga, el anlisis de riesgos comprende los siguientes pasos segn los autores antes mencionados [Peltier, 2005]:
1. 2.
Definir los activos informticos a analizar. Identificar las amenazas que pueden comprometer la seguridad de los
activos. 3. 4. Determinar la probabilidad de ocurrencia de las amenazas. Determinar el impacto de las amenaza, con el objeto de establecer una
priorizacin de las mismas. 5. 6. Recomendar controles que disminuyan la probabilidad de los riesgos. Documentar el proceso.
Las diferentes metodologas de anlisis de riesgos cambian de acuerdo a la probabilidad de que una amenaza se lleve a cabo y del impacto en la organizacin que esa pueda llegar a tener. Las metodologas ms utilizadas son cualitativas, en el sentido de que dan una caracterizacin de alta/media/baja a la posibilidad de contingencia ms que una probabilidad especfica. En una publicacin de ACIS ubicada en su portal Web hablan sobre los controles de seguridad adaptativos y da puntos claves para el mejoramiento de la seguridad
19
www.acis.org.co, [en lnea], < http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf>, [consultado18 de Noviembre
de 2011]
36
de la informacin a travs de controles a continuacin se menciona el contenido del portal. En la mayora de los casos, los controles de seguridad son de lazo abierto, esto es, el resultado de su funcionamiento no es retroalimentado para mejorar el desempeo del control. Por ejemplo, el cortafuego es uno de los controles ms comnmente utilizados en las redes informticas. Las reglas de un cortafuego generalmente son fijas, y ante un cambio en los requerimientos de trfico en la red, se deben cambiar manualmente las reglas de filtraje. Una manera de convertir al cortafuego en un mecanismo de lazo cerrado sera acoplarlo a un detector de intrusiones de modo tal que ante la deteccin de un posible ataque, las reglas del cortafuego se modifiquen automticamente para bloquear el trfico sospechoso.
En general, la clave para lograr controles de seguridad adaptativos es convertirlos en controles de lazo cerrado. Para que el control pueda adaptarse a los cambios debe contar con un mecanismo de ajuste de sus parmetros de acuerdo al comportamiento actual del sistema y a un modelo de referencia que indique cul debera ser el comportamiento deseado.
El primer punto es entonces establecer objetivos de control que se desean alcanzar mediante el mecanismo de control. Estos deben estar relacionados a la confidencialidad, integridad y/o disponibilidad de los datos, la informacin, los sistemas, etc. En segundo lugar, y como aspecto esencial, debe establecerse una medida del grado en que se estn cumpliendo los objetivos de seguridad para determinar cundo es necesario un ajuste en los parmetros del controlador. Este punto supone que existe un modelo del comportamiento normal del sistema as como de las acciones requeridas para restablecerlo a la normalidad cuando se presente una anomala. 20
20
ACIS, [en lnea], < http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf>, [consultado 18 de Noviembre de 2011]
37
3.
POLTICA DE SEGURIDAD DE LA INFORMACIN
3.1
INTRODUCCIN Y CONCEPTUALIZACIN
La oficina de educacin virtual de la Universidad Santo Toms identifica la informacin como un elemento primordial en el desarrollo de sus objetivos organizacionales, es por ello que toma la dedicin de implementar un marco de trabajo que garantice proteccin de la informacin independientemente de cmo se manipule, almacene, distribuya.
Este documento describe las polticas generales de seguridad de la informacin definidas en la oficina de educacin virtual de la Universidad Santo Toms, para su elaboracin se tomo como referencia el estndar ISO 27001:2005 y las recomendaciones de la ISO 27002:2005 que establece los controles aplicables a la organizacin.
La Seguridad de la Informacin es algo que la Oficina de Educacin Virtual de la Universidad Santo Toms desea adoptar como una prctica, es por ello que cada uno de los integrantes debe conocerla para que no afecte la integridad de la misma.
3.2
OBJETIVO
El objetivo de este documento es definir polticas de seguridad de la informacin de la Oficina de Educacin Virtual de la Universidad Santo Toms, con el fin de regular la administracin de la informacin y administracin del campus virtual.
38
3.3
ALCANCE
Las polticas de Seguridad de la informacin establecidas en este documento cubren aspectos administrativos y de control que deben ser cumplidos por el director y empleados de la dependencia, esto para logar un nivel adecuado de proteccin de la informacin.
3.4
COMPROMISO DE LA DIRECCIN
La direccin de la Oficina de Educacin Virtual de la Universidad Santo Toms como muestra de su compromiso y apoyo en el diseo de esta poltica de seguridad de la informacin realizara las siguientes actividades.
La revisin y aprobacin de las polticas establecidas en este documento. Promover la cultura de la seguridad de la Informacin entre los miembros
de la Oficina de Educacin Virtual de la Universidad Santo Toms. Facilitar la divulgacin de este documento entre los miembros de la Oficina
de Educacin Virtual de la Universidad Santo Toms. El suministro de recursos adecuados para la implementacin de la poltica
de Seguridad de la Informacin. Verificacin del cumplimiento de las polticas mencionadas en este
documento.
3.5
TRMINOS Y DEFINICIONES
39
Aceptacin de riesgo: decisin de asumir el riesgo Activo: cualquier cosa que tiene valor para la organizacin Anlisis de Riesgo: uso sistemtico de la informacin para identificar las
fuentes y estimar el riesgo. Confidencialidad: propiedad que determina que la informacin no est
disponible ni sea revelada a individuos, entidades o procesos no autorizados. Disponibilidad: propiedad de que la informacin sea accesible y utilizable
para solicitud de una entidad autorizada. Evaluacin del riesgo: Proceso de comparar el riesgo estimado contra
criterios de riesgos dados, para determinar la importancia del riesgo. Gestin del Riesgo: actividades coordinadas para dirigir y controlar una
organizacin en relacin con el riesgo Incidente de seguridad de la Informacin: un evento o serie de eventos de
seguridad de la informacin no deseados o inesperados, que tiene una probabilidad significativa de comprometer las operaciones amenazar la seguridad de la informacin. Integridad: propiedad de salvaguardar la exactitud y el estado completo de del negocio y
los activos. Seguridad de la Informacin: preservacin de la confidencialidad, integridad
y disponibilidad de la informacin; adems puede involucrar otras actividades como: autenticidad, trazabilidad, no repudio y fiabilidad. Sistema de gestin de seguridad de la informacin: parte del sistema de
gestin global , basada en un enfoque hacia los riegos globales de un negocio, cuyo fin es establecer, implementar , operar, hacer seguimiento , revisar, mantener y mejorar la seguridad de la informacin. Tratamiento del riesgo: proceso de seleccin e implementacin de medidas
para modificar el riego.
40
3.6
POLTICAS GENERALES DE SEGURIDAD DE LA INFORMACIN
La Oficina de Educacin Virtual de la Universidad Santo Toms ha establecido las siguientes polticas generales de seguridad de la informacin en cuanto a la proteccin de sus activos de informacin:
1.
Los activos de la oficina de educacin virtual sern identificados y
clasificados para establecer mecanismos de proteccin. 2. La Oficina de Educacin Virtual de la Universidad Santo Toms definir
controles con el propsito de proteger la informacin contra acceso no autorizado, la perdida de informacin y garantizando la confidencialidad, integridad y disponibilidad de la misma. 3. Todos los miembros de la Oficina de Educacin Virtual de la Universidad
Santo Toms sern responsables de la proteccin de la informacin a la cual tengan acceso y manipulen, con el fin de evitar la prdida en la confidencialidad, integridad y disponibilidad de la informacin. 4. Est prohibido el uso de correos electrnicos personales para el envi de
informacin institucional. 5. La divulgacin de informacin confidencial ser autorizada por el Director
de la Oficina de Educacin Virtual de la Universidad Santo Toms. 6. Toda la informacin que no sea propia de la institucin y se desee publicar
con anterioridad revisada por la oficina de educacin virtual debe cumplir con todas la normas de derechos de autor pertinentes. 7. El Software utilizado ser nicamente el licenciado por la Universidad Santo
Toms o de libre distribucin. 8. Las copias de seguridad de aulas virtuales se salvaguardaran en un
dispositivo extrable y se registraran en el formato establecido.
41
9.
Las violaciones a las polticas de Seguridad de la Informacin en la oficina
de Educacin Virtual de la Universidad Santo Toms, sern reportadas, registradas y monitoreadas. 10. La oficina de Educacin virtual de la Universidad Santo Toms contara con
un plan de contingencia de negocio que implique la continuidad de su operacin en caso de desastre natural o eventos no previstos.
De igual forma la Oficina de Educacin Virtual de la Universidad Santo Toms cuenta con una serie de controles documentados basados en la norma ISO 27001 y sus anexos con el propsito de mejorar la seguridad de la informacin.
3.7
SANCIONES PREVISTAS POR EL INCUMPLIMIENTO
El incumplimiento a la Poltica de Seguridad de la Informacin establecida en la Oficina de Educacin Virtual de la Universidad Santo Toms, implicara diversas sanciones establecida por el departamento de recursos Humanos.
3.8
RECOLECCIN DE INFORMACIN Y ANLISIS DE RIESGOS
El anlisis de riesgos en la organizaciones es el primer paso para el desarrollo e implementacin de polticas de Seguridad de la Informacin en las
Organizaciones, es por ello que en la oficina de educacin virtual de la Universidad Santo Toms se inicia identificando los activos de informacin que son administrados actualmente, identificando en cada uno de ellos cada uno de ellos las vulnerabilidades y amenazas que puede llegar a afectar la
confidencialidad , integridad y disponibilidad de la informacin.
42
Tabla 6: Amenazas y vulnerabilidades
Activos Servidor Moodle
Aplicacin Moodle
Copias de Seguridad del Campus virtual
Vulnerabilidades No existe gestin de contraseas de usuario Administrador El Servidor se encuentra en un espacio disponible al publico No se cuenta con servidor de respaldo en otra seccional No se exige cambiar contrasea a usuarios al ingresar al sistema por primera vez No hay procedimiento eliminacin de usuario o cambio de password inmediato al desvincular a un administrador o coadministrador del software utilizado para la creacin de aulas virtuales El sistema no est parametrizado para cambio de contrasea peridica No existe procedimiento para etiquetado de las copias de seguridad No existe formato para registrar las copias de seguridad del Campus virtual que se han descargado No existe responsable de salvaguardar las copias de seguridad
Amenazas ingreso al servidor por parte de personal no autorizado Cualquier persona puede tener acceso fsico a la maquina Dao irreparable de la maquina Suplantacin de identidad
Administracin del la aplicacin por personal no vinculado a la organizacin
Se Pueden a llegar a capturar contraseas de usuarios de manera fcil Perdida de Informacin y errores al momento de restaurar aulas virtuales Perdida de Informacin
43
del Campus virtual.
Rutas de aprendizaje
Archivos fuente de Diseo Grafico
Objetos de aprendizaje
Desarrollo de Software
Documentos generales
No existe un dispositivo que permita salvaguardar las copias de seguridad del Campus virtual No existe procedimiento para etiquetado de la informacin No existe un equipo de computo matriz donde se almacene esta informacin No existe informacin de respaldo de la informacin No existe procedimiento para etiquetado de la informacin No existe informacin de respaldo de la informacin No existe procedimiento para etiquetado de la informacin No existe informacin de respaldo de la informacin No existe informacin de respaldo de la aplicaciones desarrolladas por el departamento No existe procedimiento para etiquetado de la informacin
Perdida de Informacin
44
Equipos de Computo funcionarios educacin virtual Oficina de Educacin Virtual
No existe informacin de respaldo de la informacin No existe gestin de Ingreso a archivos por contraseas parte de personal no autorizado No cuenta con No hay rutas de sealizacin evacuacin en caso de incidencia No tiene extintores Incendio queme los equipos de computo
Fuente: Autor del proyecto
Despus de analizar los activos de informacin y los riesgos a los que se encuentran expuestos, se optara por implementar una serie de controles basados en la norma ISO 27001 que garanticen en gran parte la proteccin de la informacin.
4.
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN [ISO/IEC 27001:2005 A.6]
4.1
ORGANIZACIN INTERNA [ISO/IEC 27001:2005 A.6.1]
4.1.1 Coordinacin de la Seguridad de la Informacin [ISO/IEC 27001:2005 A.6.1.2]. La oficina de Educacin Virtual de la Universidad Santo Toms establece un comit interdisciplinario de personas, con la responsabilidad de analizar, revisar, monitorear y mejorar la seguridad de la informacin en la oficina, adems contar con un coordinador que impulsara a la implementacin y socializacin de la poltica de seguridad de la informacin.
45
Tabla 7: Conformacin del grupo de trabajo
Cargo Director Oficina Educacin Virtual Asesor Tecnolgico Auxiliar Educacin Virtual Webmaster
Fuente Autor del proyecto
Representante Richard Alexander Caicedo Elucides Alfonso Rueda Mauricio Gallo Jos Joaqun Salcedo Duran
El comit tendr las siguientes responsabilidades:
a)
Asegurar que las actividades de seguridad de la informacin sean ejecutas
segn la poltica de seguridad de la informacin. b) c) Aprobar metodologas y procesos para la seguridad de la informacin Identificar cambios significativos en las amenazas y la exposicin de la
informacin y los medios de procesamiento de la informacin ante amenazas. d) Evaluar la idoneidad y coordinar la implementacin de controles de
seguridad de la informacin. e) Promover la educacin y concientizacin de la poltica de Seguridad de la
Informacin en la oficina. 4.1.2 Asignacin de las responsabilidades de la seguridad de la informacin [ISO/IEC 27001:2005 A.6.1.3]. A continuacin se listan los procesos de seguridad involucrados, indicando en cada uno de ellos los responsables al cumplimento de esta poltica de seguridad de la informacin.
Tabla 8: Responsabilidades de la Seguridad Informtica.
46
Proceso Poltica de Seguridad Aspectos organizativos de Seguridad de la Informacin Gestin de Activos
Responsable Director Oficina Educacin Virtual la Director Oficina Educacin Virtual
Director Oficina Educacin Virtual Ingeniero soporte Tecnolgico Seguridad ligada a los recursos Director Oficina Educacin Virtual Humanos Gestin de comunicaciones y Ingeniero soporte Tecnolgico operaciones Control de acceso Ingeniero soporte Tecnolgico Gestin de incidentes de seguridad Director Oficina Educacin virtual de la informacin Gestin de continuidad de negocio Director Oficina Educacin Virtual Ingeniero soporte Tecnolgico
A continuacin se indican los propietarios de la informacin en la Oficina de Educacin virtual de la Universidad Santo Toms y los administradores de la misma con el propsito de definir responsabilidades en los activos de informacin.
Tabla 9: Propietarios de los activos
Informacin Campus Virtual
Propietarios Director Educacin Virtual Copias de Director Oficina Seguridad Aulas Educacin Virtual virtuales
Recursos Servidor, base de datos Dispositivos extrables, equipo de computo Archivo fuentes Director Oficina Equipo de de diseo grafico Educacin Virtual computo Objetos de Director Oficina Archivos aprendizaje Educacin Virtual fuentes, equipo de computo Rutas de Director Oficina Equipo de aprendizaje Educacin Virtual computo
Administrador Ingeniero soporte Tecnolgico Auxiliar Educacin Virtual
Diseador educacin virtual Diseador educacin virtual. Asesores pedaggicos
47
4.1.3 Proceso de autorizacin de recursos para el procesado de la informacin [ISO/IEC 27001:2005 A.6.1.4]. Los dispositivos tecnolgicos que se utilizaran para el desarrollo de las actividades en la oficina de educacin virtual, sern los suministrados por la misma, en caso contrario, el ser el Director de la Oficina de Educacin Virtual ser quien autorice a utilizar dispositivos tecnolgicos diferentes a los suministrados por la Universidad Santo Toms.
El software instalado en los equipos de cmputo de la Oficina de educacin Virtual ser el licenciado por la Universidad Santo Toms o Software de libre distribucin que apunte al cumplimiento de la misin de la oficina, de igual forma la instalacin de cualquier software la realizara un encargado del departamento de sistemas.
4.1.4 Acuerdos de Confidencialidad
[ISO/IEC 27001:2005 A.6.1.5]. Cada
empleado de la Oficina de Educacin Virtual de la Universidad Santo Toms firmara los acuerdos de confidencialidad y no divulgacin de la informacin diseada por la institucin en los cuales se enmarca el buen uso y proteccin de la informacin al momento de firmar su contrato laboral.
4.1.5 Revisin Independiente de la Seguridad de la Informacin [ISO/IEC 27001:2005 A.6.1.8]. La oficina de Educacin Virtual mediante auditoras internas, realizara revisin en su poltica de seguridad de la informacin para valorar su cumplimiento, la eficiencia de sus controles y procedimientos para la proteccin de la informacin.
Esta auditora la podr desarrollar un empleado de la Universidad Santo Toms a excepcin que trabaje en la misma oficina. Este funcionario debe contar con el perfil, la idoneidad y el criterio independiente de revisin en temas de seguridad de la informacin.
48
5. GESTIN DE ACTIVOS [ISO/IEC 27001:2005 A.7]
5.1
RESPONSABILIDAD SOBRE LOS ACTIVOS [ISO/IEC 27001:2005 A.7.1]
5.1.1 Inventario de activos Informacin [ISO/IEC 27001:2005 A.7.1.1- A.7.1.2]. Se identificaran los activos ms importantes de la Oficina de Educacin Virtual de la Universidad Santo Toms junto con sus propietarios y administradores de los mismos.
Ante cualquier modificacin este inventario de activos deber ser modificado y revisado con una periodicidad de mnimo 6 meses, adems el encargado de revisar y mantener el inventario de activos ser el Director de la Oficina de
Educacin Virtual y el Ingeniero de Soporte Tecnolgico.
A continuacin se realiza el inventario de activos de la Oficina de Educacin Virtual de la Universidad Santo Toms, con base en la clasificacin de activos que suministra la norma ISO/IEC 27001:2005.
Tabla 10: Activos de Informacin
Tipo activo
Informacin Propietario Responsable de Respaldo Base de Base de Servidor Solucin Director Ingeniero datos Mysql Datos Moodle SAN oficina Soporte Moodle Educacin Tecnolgico Virtual Documentos Rutas de Equipo Disco Duro Director Asesores aprendizaje Asesores Extrable oficina Pedaggicos Pedaggicos Educacin
de Nombre del Activo
Ubicacin
49
Copias de Copias Seguridad Campus Virtual Archivos fuentes
Ejecutables
Documentos
Virtual Disco Duro Equipo de Director Extrable Computo oficina Educacin Virtual Archivos Equipo de Disco Duro Director Fuentes Computo Extrable Oficina Diseo Diseador Educacin Grafico Virtual Objetos de Equipo de Disco Duro Director aprendizaje Computo Extrable oficina Diseador Educacin Virtual Archivos Equipo de Disco Duro Director generales Secretaria Extrable oficina Educacin Educacin Virtual Virtual
Asistente Educacin Virtual Diseador Grafico
Diseador Grafico
Secretaria Educacin Virtual
Tabla 11: Activos de Aplicacin
Tipo activo
de Nombre del Activo Moodle
Ubicacin
Aplicacin
Servidor Moodle
Informacin Propietario Responsable de Respaldo Solucin Director Ingeniero SAN oficina Soporte Educacin Tecnolgico Virtual
50
Tabla 12: Activos de Fsicos
Tipo activo Servidor
de Nombre del Activo Servidor Moodle
Ubicacin
Oficina Educacin Virtual Oficina Educacin Virtual Oficina Educacin Virtual Oficina Educacin Virtual Oficina Educacin Virtual Oficina Educacin Virtual Oficina Educacin Virtual Oficina Educacin Virtual
Equipo de Equipo computo Ingeniero soporte Tecnolgico Equipo de Equipo computo Diseo Grafico Equipo de Equipo computo Asesor Pedaggico Uno Equipo de Equipo computo Asesor Pedaggico Dos Equipo de Equipo computo Asistente Virtual Equipo de Equipo computo Secretaria
Equipo de Equipo computo Director Educcin Virtual

Informacin Propietario Responsable de Respaldo Solucin Director Ingeniero SAN Oficina Soporte Educacin Tecnolgico Virtual Disco Duro Director Ingeniero Extrable Oficina Soporte Educacin Tecnolgico Virtual Disco Duro Director Diseador Extrable Oficina Grafico Educacin Virtual Disco Duro Director Asesor Extrable Oficina Pedaggico Educacin Uno Virtual Disco Duro Director Asesor Extrable Oficina Pedaggico Educacin Dos Virtual Disco Duro Director Asistente Extrable Oficina Virtual Educacin Virtual Disco Duro Director Secretaria Extrable Oficina Educacin Educacin Virtual Virtual Disco Duro Director Director Extrable Oficina Oficina Educacin Educacin Virtual Virtual
51
5.1.2 Uso aceptable de los activos [ISO/IEC 27001:2005 A.7.1.1- A.7.1.3]. La informacin, dispositivos tecnolgicos, fsicos y servicios (Cuentas de correo electrnico, cuentas a sistemas de informacin entre otros) son activos de la Universidad Santo Toms y sern suministrados a los empleados de la Oficina de Educacin Virtual para cumplir con las actividades asignadas por la misma.
La Universidad Santo Toms podr monitorear y utilizar la informacin, dispositivos tecnolgicos y servicios suministrados a los empleados de la Oficina de Educacin Virtual de la Universidad Santo Toms para procesos de investigacin internos o procesos legales.
Extraer la base de Datos de Moodle, copias de seguridad o dispositivos Tecnolgicos de la oficina de Educacin Virtual requiere autorizacin del Director de la Oficina de Educacin Virtual.
Acceso a Internet
Internet es una herramienta fundamental que permite navegar en muchos sitios de inters y fundamental para el desarrollo de las funciones de la oficina de Educacin Virtual de la Universidad Santo Toms, por lo cual el uso adecuado de este recurso se debe controlar, verificar y monitorear, tomando como referencia los siguientes lineamientos:
Se prohbe el acceso a pginas relacionadas con pornografa, drogas,
webproxys, hacking o cualquier pgina que vaya en contra de las leyes vigentes nacionales sobre la seguridad de la Informacin. El intercambio no autorizado de informacin privada institucional con
terceros o personas que no tengan relacin con la oficina de Educacin virtual de la Universidad Santo Toms.
52
La descarga, uso, instalacin de juegos, pelculas, software malicioso,
software no licenciado o productos que afecten de alguna forma la propiedad intelectual, derechos de autor, confidencialidad, integridad o disponibilidad de la infraestructura tecnolgica o de la informacin. Cada funcionario es responsable del uso adecuado de este recurso, en
ningn momento puede ser usado como practica que atente contra personal interno, terceros o leyes nacionales vigentes. El uso de internet no es permitido siempre y cuando se utilice de manera
tica, razonable, no abusiva, responsable y lo ms importante que no afecte contra la confidencialidad, integridad y disponibilidad de la Informacin.
Uso de Correo electrnico
Los empleados de la Oficina de Educacin Virtual de la Universidad Santo Toms que tengan acceso a cuentas de correo electrnico institucionales debern seguir las siguientes polticas.
Las cuentas de correo electrnico Institucional otorgadas por la
Universidad Santo Toms a los empleados de la Oficina de Educacin Virtual debern asignadas. Los mensajes y toda la informacin contenida en los buzones de correo ser utilizadas para uso exclusivo de las funciones institucionales
electrnico institucional son de propiedad de la Universidad Santo Toms. No es permitido enviar correos personales, cadenas de correo (religioso,
poltico, pornogrfico, publicitario no corporativo, as como mensajes que puedan afectar los sistemas informticos de la Universidad Santo Toms o terceros. El envi de informacin Institucional debe hacerse exclusivamente a travs
del correo que suministro la Universidad Santo Toms para el desarrollo de las actividades laborales.
53
Recursos Tecnolgicos
El uso adecuado de los recursos tecnolgicos de la Oficina de Educacin Virtual se reglamento bajo las siguientes polticas:
Solo ser posible instalar software licenciado por la Universidad Santo
Toms o en su defecto software de libre distribucin todo por supervisin de una persona del departamento de sistemas. Los usuarios de la Oficina de Educacin virtual, o pueden cambiar las
configuraciones de la maquinas tales, como IP, cuentas de usuario, archivos del sistema entre otros. Estos cambios los debe realizar el departamento de Tecnologa de la Universidad Santo Toms. No se permite llevar los dispositivos tecnolgicos de la Oficina de
Educacin Virtual a las casa de los empleados sin previa autorizacin de la direccin.
5.1.3
Etiquetado de la Informacin
[ISO/IEC 27001:2005 A.7.2.2]. La
informacin que administra y manipula la Oficina de Educacin Virtual debe ser etiquetada de la siguiente manera, con el objetivo de garantizar la disponibilidad de la informacin y la continuidad de las operaciones.
Copias de Seguridad del Campus virtual: cp_codigo asignatura_nombre de la Asignatura_(nombre y apellidos del docente) Ejemplo. Cp_170315 Filosofa Institucional (Manuel crdenas)
Rutas de aprendizaje: Ra_ cdigo asignatura_nombre de la Asignatura_Unidad # Ejemplo. Ra_170315 Filosofa Institucional unidad Uno
Objetos de aprendizaje: Oa_Nombre del objeto Ejemplo. Oa_Pronostico Periodontal
54
Archivos fuentes: Af_Nombre del objeto Ejemplo. Af_Pronostico Periodontal
Copias de seguridad de los equipos de cmputo: Fecha copias_Nombre cargo Ejemplo. 07-Julio-2011-Director Educacin Virtual
La forma de etiquetar la informacin que no se encuentra en el punto anterior se deja a consideracin de los responsables de cada proceso siempre y cuando el nombre que le asigna a cada archivo o carpeta sea fcil de identificar.
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS [ISO/IEC 27001:2005 A.8]
6.1
ANTES DEL EMPLEO [ISO/IEC 27001:2005 A.8.1]
6.1.1
Funciones y Responsabilidades [ISO/IEC 27001:2005 A.8.1.1]. La
oficina de Educacin Virtual de la Universidad Santo Toms define a continuacin las funciones y responsabilidades de cada uno de los cargos establecidos en la misma, con el propsito de proteger los activos de informacin contra acceso, divulgacin, destruccin, manipulacin malintencionada entre otros, por personal no autorizado.
55
Tabla 13: Responsabilidades
Cargo Director Oficina Educacin Virtual Ingeniero Soporte Tecnolgico Asesor Pedaggico Asistente Virtual Educacin
Diseador grafico Secretaria Virtual Educacin
Responsabilidades Responsable de todos los procesos de la oficina de Educacin Virtual. Responsable de la Administracin del Campus Virtual de la Universidad Santo Toms Asesora diseo de aulas virtuales de aprendizaje ( Rutas de aprendizaje) Asistente en gestin de administracin del Campus Virtual: - Generar Copias de seguridad - Restaurar aulas virtuales - Subir contenidos a la aulas virtuales Elaboracin de material Multimedia para apoyo de la Educacin Virtual. Administracin de Informacin general (Correos electrnicos, solicitudes, Informacin de la Direccin, etc.)
6.1.2
Concienciacin, formacin y capacitacin en seguridad de la
informacin [ISO/IEC 27001:2005 A.8.2.2]. La oficina de Educacin Virtual de la Universidad Santo Toms , realizara capacitaciones a sus funcionarios cada seis meses en temas relacionados a la poltica de seguridad de la informacin y temas relacionados a seguridad de la informacin en las organizaciones; de igual forma al momento de ingreso de personal nuevo se realizara una capacitacin en la cual se le indique las polticas de seguridad de la informacin que maneja la oficina de educacin virtual y las responsabilidades que se asignan a su cargo.
6.1.3
Proceso Disciplinario
[ISO/IEC 27001:2005 A.8.2.3]. En caso de
presentarse un incidente de seguridad de la informacin, este se documentara mediante un acta, para ser analizado con las autoridades pertinentes ya se legales o propias de la institucin. Este procedimiento se llevara a cabo en compaa del
56
Director de recursos humanos, el director de la oficina de edicin virtual y si se cree pertinente de acuerdo la gravedad del incidente otros miembros delegados por la Universidad Santo Toms.
6.1.4 Cese del empleo o cambio del puesto de trabajo [ISO/IEC 27001:2005 A.8.3]. Al momento de desvinculacin de un empleado de la oficina de Educacin Virtual el departamento de almacn realizar el inventario de todos los insumos registrados a nombre de dicho empleado, as como se restablecern las claves de correo electrnico y equipo de cmputo por un miembro autorizado del departamento de sistemas. El Ingeniero de Soporte Tecnolgico de la oficina de Educacin Virtual de la Universidad Santo Toms, eliminara todos los permisos, roles, acceso entre otros que dicho usuario pueda llegar a tener en el Campus virtual.
El empleado que se desvincule de la Oficina de Educacin Virtual, tendr que hacer un documento en el cual indique la informacin de manera clara la informacin que administraba y su ubicacin.
7. SEGURIDAD FSICA Y AMBIENTAL [ISO/IEC 27001:2005 A.9]
7.1
REAS SEGURAS [ISO/IEC 27001:2005 A.9.1]
7.1.1 Permetros de Seguridad Fsica [ISO/IEC 27001:2005 A.9.1.1 - A.9.1.1]. Toda la Infraestructura tecnolgica y de telecomunicaciones que garantiza el funcionamiento del Campus virtual de la Universidad Santo Toms Bucaramanga se considera como un rea de acceso restringido; es por ello que se debe contar
57
con
medidas
de
control
de
acceso
fsico
mediante
un
cuarto
de
telecomunicaciones al cual tenga acceso el Director de la Oficina de Educacin Virtual y el Ingeniero de Soporte Tecnolgico de cualquier otro debe ser autorizado por el director de la oficina de Educacin Virtual, esto para garantizar la proteccin de la informacin, hardware y software de acciones malintencionadas o accidentales.
7.1.2 Controles de Ingreso fsico [ISO/IEC 27001:2005 A.9.1.2]. La oficina de Educacin Virtual llevara una bitcora en la cual indique la fecha, hora de llega, hora de salida, nombre de la persona que entro al cuarto de telecomunicaciones, descripcin en la cual indique porque ingreso al cuarto de telecomunicaciones y firma del director de la oficina de Educacin Virtual o Ingeniero Soporte Tecnolgico los cuales autorizan el acceso.
Cada vez que se requiera el ingreso al cuarto de telecomunicaciones que salvaguarda el servidor Moodle por personal diferente a los autorizados anteriormente se debe diligenciar el Anexo B Formato de visita cuarto de telecomunicaciones 7.1.3 Proteccin contra las amenazas externas y de origen ambiental [ISO/IEC 27001:2005 A.9.1.4]. Se debiera asignar y aplicar proteccin fsica contra dao por fuego, inundacin, terremoto, explosin, revuelta civil y otras formas de desastres naturales o causados por el hombre.
Se deber considerar un equipo contra incendios ubicado adecuadamente
dentro de la oficina de Educacin Virtual, con sus debidas sealizaciones. La oficina de Educacin Virtual contara con un listado de telfonos de
autoridades pertinentes en caso de caer en cualquier siniestro; este listado debe permanecer siempre en un lugar visible a cualquier empleado de la oficina.
58
8. GESTIN DE COMUNICACIONES Y OPERACIN [ISO/IEC 27001:2005 A.10]
8.1
RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIN [ISO/IEC
27001:2005 A.10.1]
8.1.1 Documentacin de los procedimientos de operacin [ISO/IEC 27001:2005 A.10.1.1]
Las personas autorizadas para encender al servidor en el cual se encuentra
en la aplicacin que soporta el Campus virtual de la Universidad Santo Toms son el Director de la Oficina de Educacin Virtual y el Ingeniero de soporte Tecnolgico.
El ingeniero de Soporte Tecnolgico ser el encargado de realizar los
mantenimientos preventivos y correctivos del servidor en el cual se encuentra alojada la aplicacin del Campus virtual de la Universidad Santo Toms.
Las copias de seguridad del Campus virtual sern administradas por el
Ingeniero de Soporte Tecnolgico tanto en la SAN como en los dispositivos extrables en los que se almacene.
8.1.2 Gestin del cambio [ISO/IEC 27001:2005 A.10.1.2]. Todo cambio que se realice sobre la plataforma tecnolgica que soporte el Campus Virtual de la Universidad Santo Toms, debe ser gestionado, controlado y autorizado por la Direccin y debe ser sometido a una evaluacin que permita identificar los riesgos asociados a la operacin
59
El Anexo C Formato de Registro
Gestin de Cambios debe contener como
mnimo la justificacin y evidencia de los cambios que se vayan a realizar sobre la infraestructura tecnolgica, el alcance, autorizacin, el plan de trabajo para la definicin de pruebas funcionales, responsabilidades definidas, la evaluacin apropiada sobre el impacto potencial que estos puedan generar y cualquier otro aspecto que se considere importante por los responsables del cambio.
8.2
PLANIFICACIN Y ACEPTACIN DEL SISTEMA[ISO/IEC 27001:2005 A.10.3]
8.2.1 Gestin de la capacidad [ISO/IEC 27001:2005 A.10.3.1]. La oficina de educacin virtual de la Universidad Santo Toms realizara un monitoreo, evaluacin de rendimiento y anlisis de la infraestructura tecnologa que soporta el Campus Virtual con el propsito de revisar el consumo de recursos y prever su crecimiento de manera planificada.
Todos los resultados de dichas mediciones sern presentados a la direccin para ser analizados, en caso de requerir ms recursos ya sean tecnolgicos o de personal se iniciara el proceso respectivo para la consecucin de los mismos.
8.3
PROTECCIN CONTRA CDIGO MALICIOSO Y DESCARGABLE
[ISO/IEC 27001:2005 A.10.4]
8.3.1 Controles contra el cdigo malicioso [ISO/IEC 27001:2005 A.10.4.1]. La oficina de Educacin Virtual estable los siguientes lineamientos:
60
Todos los equipos de cmputos conectados en la oficina de Educacin
virtual tendr instalado y actualizado el antivirus suministrado por el departamento de Sistemas. No est permitido desactivar o desinstalar software avalado por la
Universidad Santo Toms. No est permitido escribir, generar, compilar, copiar, propagar, ejecutar ,
intentar introducir, cualquier cdigo de programacin para auto replicarse , daar, interceptar, eliminar, modificar, borrar la informacin del servidor que contiene la aplicacin del Campus Virtual de la Universidad Santo Toms si no tiene los roles para hacerlo.
8.4
COPIAS DE SEGURIDAD [ISO/IEC 27001:2005 A.10.5]
8.4.1 Copias de seguridad de la informacin [ISO/IEC 27001:2005 A.10.5.1]. La oficina de Educacin Virtual de la Universidad Santo Toms debe asegurar que la informacin almacenada en el servidor que soporta la aplicacin del Campus virtual sea peridicamente resguardada mediante controles que garanticen su identificacin, integridad, disponibilidad. El Anexo D Formato de Registro de Copias de Seguridad Campus virtual es un formato para el registro de copias de seguridad de las aulas virtuales que se generen y se descargan despus de finalizado el curso. Estas copias de seguridad se salvaguardan en un Disco Duro extrable y como respaldo un en equipo de computo destinado a almacenamiento de copias de seguridad para futura restauracin.
61
Las copias de seguridad de la aplicacin Moodle, se almacenan diariamente a las 12:00 am en una solucin SAN adquirida por la Universidad Santo Toms y alojada en el primer piso del departamento de Biblioteca.
8.5
INTERCAMBIO DE INFORMACIN [ISO/IEC 27001:2005 A.10.8]
8.5.1 Polticas y procedimientos para intercambio de informacin [ISO/IEC 27001:2005 A.10.8.1]. Las copias de seguridad de las aulas virtuales, de la base de datos del servidor Moodle o archivos fuentes de objetos de aprendizaje no pueden ser intercambiadas con ninguna persona, entidad externa o de la institucin sin previa autorizacin va correo electrnico por parte del Director de la Oficina.
9.
CONTROL DE ACCESO [ISO/IEC 27001:2005 A.11]
9.1
REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO [ISO/IEC
27001:2005 A.11.1]
9.1.1 Poltica de control de acceso [ISO/IEC 27001:2005 A.11.1.1]. La autorizacin para el acceso a la aplicacin del Campus virtual de la Oficina de Educacin virtual est a cargo del ingeniero de soporte Tecnolgico garantizando de acuerdo al grado de manipulacin de la privilegios pertinentes. informacin que necesita los
62
9.2
GESTIN DE ACCESO DE USUARIO [ISO/IEC 27001:2005 A.11.2]
9.2.1 Registro de usuarios
[ISO/IEC 27001:2005 A.11.2.1]. La Oficina de
Educacin virtual establece las siguientes polticas para el registro de usuarios en el Campus virtual.
Todos los usuarios tendr un identificador nico en la base de de la
siguiente manera:
Estudiantes de pregrado: Cdigo estudiantil Estudiantes de posgrado: Numero de cedula Docentes: Numero de cedula Administrativos: Numero de cedula
Cuando se requiera matricular un grupo de estudiantes a cursos virtuales
se debe diligenciar el formato de registro de estudiantes interno de la oficina por la unidad acadmica que lo solicite. Cuando se requiera crear usuarios de manera individual o eliminar del
Campus se debe diligencia el formato de soporte a estudiantes de la oficina de Educacin Virtual. Una vez matriculados los usuarios en el Campus de debe verificar que el
nivel de acceso que se le otorgo es el que se solicito inicialmente. Se les asignara temporalmente el nmero de identificacin sin puntos como
contrasea de acceso al campus virtual. Solicitar al estudiante firmar el formato de soporte a estudiantes de la
oficina de educacin virtual una vez terminado el registro o la actualizacin. Eliminar o bloquear inmediatamente los derechos de acceso de los usuarios
que han cambiado de puesto o trabajo o han dejado la organizacin.
63
Chequeo peridico para eliminar o bloquear los IDs de usuario y cuentas
redundantes Asegurar que no se emitan IDs de usuario redundantes a otros usuarios.
9.2.2 Gestin de contraseas de usuario [ISO/IEC 27001:2005 A.11.2.3]. La asignacin de contraseas para los usuarios del Campus virtual de la Universidad Santo Toms contara con las siguientes polticas:
Garantizar que los usuarios cambien la contrasea temporal al ingresar por
primera vez al sistema del Campus virtual. Garantizar que tanto la contrasea de usuarios como la del administrador
del Campus virtual cumpa con los siguientes requisitos:
Alfanumrica Mnimo de ocho caracteres Mnimo una letra mayscula Mnimo un carcter especial
El sistema pedir cambio de contrasea cada 45 das y esta parametrizado
para que no permita establecer las dos ltimas contraseas. Al solicitar cambio de contrasea u olvido de contrasea en el Campus
virtual, este debe enviar va correo electrnico una contrasea temporal, con el propsito de validar la identidad del usuario. En caso de solicitar cambio de contrasea en la oficina de Educacin
virtual, debe quedar registrado en el formato de atencin a estudiantes de la oficina de educacin virtual y firma del usuario que solicito el procedimiento. Todos los equipos de cmputo como el servidor deben estar protegidos por
contraseas seguras.
64
9.3
CONTROL DE ACCESO AL SISTEMA OPERATIVO [ISO/IEC 27001:2005
A.11.5]
Para acceder al sistema operativo el cual est alojada la aplicacin del
Campus virtual de la Universidad Santo Toms debe solicitar usuario y contrasea. El usuario para acceder al sistema operativo no debe ser root y debe estar
protegido por una contrasea alfanumrica, mnimo de ocho caracteres, con una letra mayscula y un carcter especial. Registrar los eventos exitosos y fallidos de autenticacin al sistema
operativo.
10.
GESTIN DE LA CONTINUIDAD DEL NEGOCIO [ISO/IEC 27001:2005 A.14]
10.1
SEGURIDAD DE LA INFORMACIN EN LA CONTINUIDAD DEL
NEGOCIO [ISO/IEC 27001:2005 A.14.1.1]
La oficina de educacin virtual de la Universidad Santo Toms, en vista de la importancia para el desarrollo de los objetivos organizaciones deber implementar un plan de contingencia y recuperacin de desastres que garantice la continuidad de las operaciones en caso de cualquier falla ya sea natural o mal intencionado basada en buenas prcticas o estndares internacionales.
65
10.2
CONTINUIDAD DE NEGOCIO Y EVALUACIN DE RIESGO [ISO/IEC
27001:2005 A.14.1.2]
La oficina de educacin virtual de la Universidad Santo Toms debe realizar un anlisis de riesgos con el propsito de definir un plan de continuidad de negocio y recuperacin a desastres por lo menos una vez a la ao.
10.3
DESARROLLO E IMPLEMENTACIN DE PLANES DE CONTINUIDAD
DE NEGOCIO [ISO/IEC 27001:2005 A.14.1.3]
La oficina de educacin virtual de la Universidad Santo Tomas definira los responsables en notificar un desastre, as como las personas encargadas para dar inicio a un plan de contingencia. Una vez se inicie el plan de contingencia se deben seguir los pasos en segn el plan establecido.
66
11. CONCLUSIONES
La documentacin de polticas de seguridad de la informacin en las organizaciones no garantiza el 100% de seguridad, sin embargo, es el primer paso para crear un esquema que garantice los tres principios bsicos que toda
organizacin de bebe implementar la confidencialidad, integridad y disponibilidad de la informacin.
Al documentar la poltica de seguridad de la informacin para la Oficina de Educacin Virtual lo que se busca es identificar sus activos ms importantes y aplicar controles en cuanto a la administracin.
67
12. RECOMENDACIONES
Es de vital importancia realizar campaas de sensibilizacin peridicamente sobre la poltica de seguridad de la informacin con los empleados de la oficina de educacin virtual de la universidad Santo Tomas.
El uso de aulas virtuales estructuradas de una manera pedaggica que garantice el aprendizaje continuo en temas relacionados a la seguridad de la informacin disponible al personal administrativo y estudiantil de la Universidad Santo Toms
Ya que el sistema de gestin de seguridad de la informacin es un ciclo que inicia pero nunca termina es necesaria que la poltica de seguridad de la informacin sea revisada para ver si est funcionando de manera correcta o es necesario realizar modificaciones.
Con el propsito de abarcar mejores prcticas para garantizar la continuidad de negocio, se recomienda usar como estndar la ISO 27031 que trata de la adecuacin de tecnologas de informacin y comunicacin (TIC) para la gestin de planes de contingencia.
68
BIBLIOGRAFIA
BORGHELLO, Cristian. Seguridad Informtica - Implicancias e Implementacin, [en lnea], <http://www.segu-info.com.ar/tesis/cap9.zip >, [Consultado 05 de Noviembre de 2011.]
CHAVARRO, EDUARDO. Retos de la seguridad informtica, [En lnea], <http://avirtual.telefonica.es/p81328926/]>, [Consultado 1 de Noviembre de 2011]
MINISTERIO
DE
EDUACIN
NACIONAL,
[En
lnea],
<http://www.mineducacion.gov.co/1621/article-196492.html]>, [Consultado 01 de Noviembre de 2011]
Universidad
Santo
Toms,
Quienes
Somos,
[en
lnea],
<http://www.ustabuca.edu.co/inicio/quienesomos/index.jsp>, [Consultado 01 de Noviembre de 2011]
Auditoria
informtica
Barcelona.
Poltica
de
Seguridad,
[en
lnea],
<http://www.123innovationgroup.info/politicas_de_seguridad.htm>, [Consultado 08 de Noviembre de 2011]
Definicin.de.
Definicin
de
Informacin,
[En
lnea],
<http://definicion.de/informacion/>, [Consultado 08 de Noviembre de 2011].
69
Diccionario
de
informtica,
Definicin
de
Back
Up,
[en
lnea],
<http://www.alegsa.com.ar/Dic/backup.php>, 2011]
[Consultado 7 de Noviembre de
e-ABClearning.
Definicin
de
E-learning,
[En
lnea],
<http://www.e-
abclearning.com/definicione-learning>, [Consultado 08 de Noviembre de 2011]
Ecured. Red de rea de Almacenamiento, [En lnea], <http://www.ecured.cu/index.php/Red_de_%C3%A1rea_de_almacenamiento>, [Consultado 08 de Noviembre de 2011]
Garca, Juan Manuel, Anlisis y control de riesgos de seguridad informtica, [en lnea], <http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf>, [Consultado 18 de Noviembre de 2011]
Garca, Juan Manuel, Anlisis y control de riesgos de seguridad informtica, [en lnea], <http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf>, [Consultado 18 de Noviembre de 2011]
ISACA, COBIT, [en lnea], <http://www.isacabogota.net/metodologias/cobit.aspx>, [Consultado 07 de Noviembre de 2011]
Iso27000.es, ISO 27000,
[en lnea], <http://www.iso27000.es/iso27000.html>,
[Consultado 08 de Noviembre de 2011]
70
Iso27000.es,
Que
es
un
SGSI,
[en
lnea],
<http://www.iso27000.es/sgsi.html#section2a>, [Consultado 15 de Noviembre de 2011]
Iso27000.es,
Seguridad
de
la
Informacin,
[en
lnea],
<http://www.iso27000.es/glosario.html#section10s>, [Consultado 08 de Noviembre de 2011]
Iso27000.es, Sistema de Gestin de la Seguridad de la Informacin, [en lnea], <http://www.iso27000.es/sgsi.html>, [Consultado15 de Noviembre de 2011]
Ministerio de educacin nacional, Educacin virtual o educacin en lnea,[En lnea], <http://www.mineducacion.gov.co/1621/article-196492.html >, [Consultado 08 de Noviembre de 2011]
Temas de gobierno y gestin de tecnologas de la informacin. Definicin de Gobierno de TI. [En lnea], <http://www.tgti.es/?q=node/57>, [Consultado 08 de Noviembre de 2011]
71
ANEXOS
Anexo A Formato de Registro Capacitacin Seguridad de la Informacin

Fecha de capacitacin Capacitador Lugar Tema Hora Nombre de asistente Cargo Correo electrnico Firma
72
Firma Capacitador
Anexo B Formato de Visita Cuarto de Telecomunicaciones

Fecha de Ingreso y hora de ingreso
Hora de salida
Persona que Ingresa
Motivo
Cambios realizados
Autorizo
73
Anexo C Formato de Registro Gestin de Cambios
Fecha de Inicio del Cambio Responsable de Proyecto
Registro Cambios Significativos que se realizarn
Planeacin y prueba de cambios
Impactos potenciales Versin en la que estaba la aplicacin Versin a la que se actualizara la aplicacin
74
Autorizacin de la Direccin
Ingeniero de Soporte Tecnolgico Estado de la Copia
Anexo D Formato de Registro de Copias de Seguridad Campus virtual

Categora Facultad Docente Curso Nombre de la Copia
75
Anexo E: Articulo IEEE
(25 Junio 2012)
Resumen En esta monografa que lleva por nombre Diseo de documento de la poltica de seguridad de la informacin para la oficina de educacin virtual Universidad Santo Toms seccional Bucaramanga se documentara una poltica de seguridad de la informacin acompaada de una serie de controles basados en la norma ISO 27001 y sus anexos que componen todo un sistema de gestin de seguridad de la informacin, con el propsito de establecer mejores prcticas en la administracin de informacin del campus virtual. Abstract En esta monografa que lleva por nombre Diseo de documento de la poltica de seguridad de la informacin para la oficina de educacin virtual Universidad Santo Toms seccional Bucaramanga se documentara una poltica de seguridad de la informacin acompaada de una serie de controles basados en la norma ISO 27001 y sus anexos que componen todo un sistema de gestin de seguridad de la informacin, con el propsito de establecer mejores prcticas en la administracin de informacin del campus virtual.
dejando su administracin en un segundo plano y exponindola a los diversos peligro informticos
en los que el mundo actual se encuentra sometido. La oficina de educacin virtual de la universidad Santo Toms manipula informacin de vital importancia para el cumplimento de los objetivos organizacionales y por ende debe documentar una poltica de seguridad de la informacin que garantice Confiabilidad en su administracin para la continuidad de las operaciones.
II.
Desarrollo del ARTCULO.
Palabras clave Aula virtual, campus controles, ISO 27001, Seguridad Informtica.
virtual,
La gestin de la informacin en el proceso de administracin del campus virtual de la oficina de educacin virtual es de vital importancia para garantizar un optimo funcionamiento de la misma; es por ello que se documento una poltica de seguridad de la informacin basado en la norma ISO 27001 y sus anexos, con el fin de gestionar de una manera sistemtica y segura la informacin. El primer paso para documentar una poltica de seguridad de la informacin es identificar los activos de informacin e identificar las amenazas y vulnerabilidades que los pueden llegar a afectar y con base en esto aplicar una serie de controles.
I.
Introduccin
n el desarrollo continuo de las operaciones organizacionales nos olvidamos por completo de la gestin de la seguridad de la informacin
Despus de identificados los activos de informacin en la oficina de educacin virtual se inicio a la documentacin de objetivos de control con base en la Norma ISO 27001, controles que son aplicables a cualquier tipo de organizacin y de cualquier tamao. Los controles aplicables en esta poltica no son todos los referenciados en la norma, pues no se pretenda la documentacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI) sino una poltica de seguridad de la informacin basado en la Norma ISO 27001 que garantizara en un grado aceptable la integridad, confidencialidad y disponibilidad de la informacin. La poltica de seguridad de la informacin toma como referencia los siguientes dominios y asigna responsables al proceso: Tabla 1: Asignacin de responsabilidades Proceso Poltica de Seguridad Aspectos organizativos de la Seguridad de la Informacin Gestin de Activos Responsable Dir. Oficina Educacin Virtual Dir. Oficina Educacin Virtual Dir. Oficina Educacin Virtual Ingeniero soporte Tecnolgico Dir. Oficina Educacin Virtual Ingeniero soporte Tecnolgico Ingeniero soporte Tecnolgico Dir. Oficina Educacin Virtual Dir. Oficina Educacin Virtual Ingeniero soporte Tecnolgico
100% de seguridad, sin embargo, es el primer paso para crear un esquema que garantice los tres principios bsicos que toda organizacin de bebe implementar la confidencialidad, integridad y disponibilidad de la informacin. Al documentar la poltica de seguridad de la informacin para la Oficina de Educacin Virtual lo que se busca es identificar sus activos ms importantes y aplicar controles en cuanto a la administracin.
IV. Iso27000.es,
Referencias ISO 27000, [en lnea],
<http://www.iso27000.es/iso27000.html>,[Consul tado 15 de Junio de 2012]
Seguridad ligada a los recursos Humanos Gestin de comunicaciones y operaciones Control de acceso Gestin de incidentes de seguridad de la informacin Gestin de continuidad de negocio
Jos Joaqun Salcedo D. Naci en Colombia Bucaramanga el 22 de Julio de 1986. Estudio Ingeniera de Sistemas en la Universitaria de investigacin y desarrollo UDI universidad en la cual realizo un posgrado en seguridad informtica. En su vida laborar ha estado vinculado a importantes organizacin como el Call Center CESS LTDA, el Palacio de Justicia de Bucaramanga y la Universidad Santo Toms como administrador del Sitio Web de esta prestigiosa institucin educativa.
III.
Conclusiones
La documentacin de polticas de seguridad de la informacin en las organizaciones no garantiza el

Jose Joaquin Salcedo - Esp. Seguridad Inf. (Revisar)

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Jose Joaquin Salcedo - Esp. Seguridad Inf. (Revisar)

Încărcat de

Drepturi de autor:

Formate disponibile

DISEO DE DOCUMENTO DE LA POLTICA DE SEGURIDAD DE LA INFORMACIN PARA LA OFICINA DE EDUCACIN VIRTUAL UNIVERSIDAD SANTO TOMS SECCIONAL BUCARAMANGA

JOS JOAQUN SALCEDO DURAN

JOS JOAQUN SALCEDO DURAN

Monografa Para optar al Ttulo de Especialista en Seguridad Informtica

Director: Fernando Barajas

Firma Presidente del Jurado

Firma del Jurado

Firma del Jurado

Bucaramanga, 22 de Junio de 2012

3.1 INTRODUCCIN Y CONCEPTUALIZACIN 3.2 OBJETIVO 3.3 ALCANCE

SEGURIDAD FSICA Y AMBIENTAL [ISO/IEC 27001:2005 A.9]

Imagen 1 Procesamiento de Datos

Grafico 1 Factores que afectan el Riesgo

Tabla 1 Antecedente caso 1

Tabla 2 Antecedente caso 2

Tabla 3 Antecedente caso 3

Tabla 4 Antecedente caso 4

Tabla 5 Antecedente caso 5

Tabla 6 Amenazas y vulnerabilidades

Tabla 7 Conformacin del grupo de trabajo

Tabla 8 Responsabilidades de la Seguridad Informtica.

Tabla 9 Propietarios de los activos

Tabla 10 Activos de Informacin

Tabla 11 Activos de Aplicacin

Tabla 12 Activos de Fsicos

E-LEARNING: el e-learning consiste en la educacin y capacitacin a travs de Internet.

INTEGRIDAD: propiedad de salvaguardar la exactitud y el estado completo de los activos

TITULO: RESUMEN (Diseo de poltica de seguridad de la Informacin)

AUTOR: JOS JOAQUN SALCEDO DURAN

TITLE: ABSTRACT (Security Policy Design Information)

AUTHOR: JOS JOAQUN SALCEDO DURAN

PLANTEAMIENTO DEL PROBLEMA

CHAVARRO OVALLE, Eduardo, RETOS DE LA SEGURIDAD <http://avirtual.telefonica.es/p81328926/> , [consultado 1 de Noviembre de 2011]

CHAVARRO OVALLE, Eduardo.RETOS DE LA SEGURIDAD <http://avirtual.telefonica.es/p81328926/ > , [Consultado 1 de Noviembre de 2011]

1.2.2 Objetivos especficos

Clasificar la informacin de la Oficina de Educacin Virtual segn la

Documentar la poltica de seguridad de la Oficina de Educacin Virtual que

Implementar instrumentos de registro de informacin que garanticen la

confiabilidad en el proceso que involucren manipulacin de la informacin en la Oficina de Educacin Virtual.

Socializar polticas de seguridad de la informacin con el equipo de

Tabla 1 Antecedente caso 1

1 ESPACIO ANTECEDENTE CASO 1

TITULO: Preservacin documental digital y seguridad informtica

PAIS: Mxico AO: 2009

Tabla 2: Antecedente caso 2

Tabla 3: Antecedente caso 3

DESARROLLO DE POLTICAS DE SEGURIDAD INFORMTICA E

Tabla 4: Antecedente caso 4

ANTECEDENTE CASO 4 TITULO: Preservacin documental digital y seguridad informtica

PAIS: Mxico AO: 2009

Tabla 5: Antecedente caso 5

Definicin de Back Up, [en lnea], <http://www.alegsa.com.ar/Dic/backup.php>, [consultado 7 de Noviembre de 2011]

COBIT, [en lnea], <http://www.isaca-bogota.net/metodologias/cobit.aspx>, [consultado 07 de Noviembre de 2011]

Educacin virtual o educacin [en lnea], <http://www.mineducacion.gov.co/1621/article-196492.html>, [consultado 08 de

Definicin de E-learning, [en lnea], <http://www.e-abclearning.com/definicione-learning>, [consultado 08 de Noviembre de

Definicin de Gobierno de TI, [en lnea], <http://www.tgti.es/?q=node/57>, [consultado 08 de Noviembre de 2011]

<http://www.ecured.cu/index.php/Red_de_%C3%A1rea_de_almacenamiento>, [consultado 08 de Noviembre de 2011]

Seguridad de la Informacin, [en lnea], <http://www.iso27000.es/glosario.html#section10s>, [consultado 08 de Noviembre

Seguridad de la Informacin, [en lnea], <http://www.iso27000.es/glosario.html#section10s>, [consultado 08 de

Imagen 1 Procesamiento de Datos

En la norma ISO 27000 define

Grafico 1. Factores que afectan el riesgo

Sistema de Gestin de la Seguridad de la Informacin, [en lnea], <http://www.iso27000.es/sgsi.html> , [consultado 15

Proteccin a la duplicacin: consiste en asegurar que una transaccin slo