UNIVERSIDAD NACIONAL DE INGENIERA

FACULTAD DE CIENCIAS Y SISTEMAS

RECINTO UNIVERSITARIO AUGUSTO C. SANDINO

Trabajo Monogrfico para Optar al Ttulo de

Ingeniero de Sistemas

TEMA:

Implementacin de un Sistema de Gestin de seguridad de la Informacin,

basado en la norma NTC-ISO/IEC 27001 en el Recinto Universitario Augusto C.
Sandino de la Universidad Nacional de Ingeniera.

AUTOR:
Br. Cristina Mara Leiva Fajardo

TUTOR:
Ing. Jos Manuel Poveda Ruiz

Estel, Octubre del 2014

2009-30736

Contenido
I.

INTRODUCCION ............................................................................................. 3

II.

ANTECEDENTES ............................................................................................ 4

III.

JUSTIFICACION ........................................................................................... 6

IV.

OBJETIVOS .................................................................................................. 6

1.

Objetivo General....................................................................................... 7

2.

Objetivos Especfico. ............................................................................... 7

V.

MARCO TEORICO .......................................................................................... 8

VI.

METODOLOGIA DEL TRABAJO. .............................................................. 23

Tipo de Investigacin. ..................................................................................... 24

Universo. .......................................................................................................... 24
Desarrollo. ........................................................................................................ 25
Fuente de Informacin .................................................................................... 27
VII.

CRONOGRAMA DE ACTIVIDADES .......................................................... 30

.............................................................................................................................. 30
VIII. BIBLIOGRAFIA........................................................................................... 32

I.

INTRODUCCION

El Recinto Universitario Augusto C. Sandino (RUACS), es un programa acadmico

descentralizado de la Universidad Nacional de Ingeniera que forma profesionales
de excelencia, desarrolla programas y proyectos acadmicos en docencia,
investigacin, extensin y produccin, flexibles y pertinentes, con el propsito de
ampliar oportunidades para los sectores sociales menos favorecidos y convertirse
en un referente en la formacin profesional de la Regin del Norte del pas.
Desde su fundacin, este recinto ha creciendo constantemente, y por ende ha
aumentado la informacin valiosa que se recoge, gestiona y trasmite a travs de
diferentes medios, necesitando proteccin

para asegurar la integridad,

confidencialidad y disponibilidad de la informacin.

No obstante, lo que ha hecho es ir parchando los agujeros de seguridad con
medidas puntuales, descoordinadas y poco proporcionadas al riesgo que reducen.
Algunos de estos riesgos son: Perdida de informacin, redundancia y entropa de
los datos, suplantacin de identidad, deterioro de los equipos, desastres naturales
y provocados por el hombre deliberado o accidentales, etc. Y hasta ahora stos
se han tratado con medidas cuya implantacin y efectividad no son llevadas a
cabo y controladas de manera planificada. El resultado es obvio, se siguen
manteniendo altos niveles de riesgo frente a las amenazas externas tales como:
Hackeo, fallos electrnicos o lgicos, ingeniera social entre otros e internas, tales
como: Errores de configuracin, personal tcnico desmotivado, rosetas accesibles,
redes inalmbricas desprotegidas, equipos sin vigilancia, etc.
Por lo anterior se hace la propuesta de la implantacin de un SGSI, el cual dara
mayor seguridad a la informacin a travs de la creacin de controles y polticas
basados en la norma NTC-ISO/IEC 27001, que permitan salvaguardar los activos
ya sean estos materiales, humanos, software y hardware; adems de mejorar la
imagen de la institucin, dndole mayor solidez ya que habra una gestin ms
efectiva de su Tecnologa Informtica, TI.

II.

ANTECEDENTES

En la sede central de la Universidad Nacional de Ingeniera, Recinto Universitario

Simn Bolvar (RUSB), el Departamento de informtica DITI, trabaja basado en
normas y polticas establecidas por el mismo departamento para la proteccin de
los activos informticos de los distintos recintos de la UNI. Sin embargo esta
proteccin

no est formalizada ni se cumple en

su totalidad en el Recinto

Universitario Augusto C. Sandino: Si existe algn fallo en los activos informticos

del RUACS, se manda por escrito el problema al DITI, segn la gravedad ste
generalmente enva instrucciones para corregir el problema y en otros casos enva
personal tcnico. De manera que lo que han venido haciendo es trabajar de
acuerdo al problema que se presenta, y no se tiene un documento o estudios con
procesos y procedimientos a seguir y que cumplan con los criterios de un SGSI.
Es importante reconocer que la seguridad de la informacin en el RUACS ya se ha
visto comprometida en aos anteriores. En el ao 2010 ante el cambio de la nueva
direccin de la sede, fue necesario el uso de fuerza bruta para acceder al
departamento de informtica, laboratorios y otras oficinas; servidores y equipos,
sistemas de informacin y red. Esto fue debido a que el responsable de
informtica con su personal no apoyaba a la nueva estructura organizativa y en su
lugar negaron las llaves de las oficinas, contraseas de los sistemas operativos,
de los servidores y otros equipos de cmputo; limitacin de privilegios de los
sistemas de informacin y acceso a la red.
Tambin en el 2011 los servidores de bases de datos fueron infectados por un
virus que detuvo las operaciones acadmicas por quince das. Y superada la
situacin fue necesario el reprocesamiento de operaciones. Un ao ms tarde,
uno de los servidores fue dado de baja por deterioro y hasta la fecha no ha sido
sustituido ni se han mejorado las condiciones del servidor que an est
trabajando, el cual tiene bajas capacidades, razn por la que el Sistema de
Informacin de Registro Acadmico, SIRA, no es actualizado a su ltima versin
como el de la sede central, Managua.
4

En el ao del 2013 fue reestructurada la red del recinto y tambin se adquirieron

nuevos equipos de cmputo para los laboratorios. Sin embargo, no estn
documentados los cambios ni establecidos los procedimientos; hasta ahora, el
inventario de activos slo es llevado a cabo por la administracin general del
recinto.
Finalmente, es importante mencionar que la sede no tiene definida una poltica de
seguridad ni documentada una normativa sobre la gestin de la Tecnologa
Informtica del RUACS.

III.

JUSTIFICACION

La presente investigacin surge de la necesidad de proteger de forma organizada

y

sistmica

los

activos

Informticos

(informacin,

personas,

servicios,

infraestructura, etc.) del Recinto Universitario Augusto C. Sandino ante cualquier

incidente de seguridad, tales como: accesos no autorizados, interrupciones
indeseadas, denegacin de servicios, infeccin por virus, cambios de hardware,
firmware o software de los sistemas, entre otros.
Es por lo anterior que se plantea al recinto la Implementacin de un Sistema de
Gestin de seguridad de la Informacin, basado en la

norma NTC-ISO/IEC

27001. Implantar un SGSI en una empresa no es precisamente cuando se le

haya presentado un incidente de seguridad sobre su informacin, sino, cuando
sta desea tener un crecimiento y posicionamiento ante un mercado exigente y
global teniendo en cuenta que para ello, requiere del uso de la Tecnologa de la
informacin y las comunicaciones para lograrlo.
El principal objetivo de la implantacin del SGSI en el RUACS es proporcionar
seguridad de la informacin que maneja con un alto grado de confiabilidad,
integridad y disponibilidad; y con ella los activos que la gestionan. Un SGSI ayuda
a mantener los riesgos por debajo del nivel aceptable.
Un beneficio de la implantacin que se propone, es la reduccin de costos, ya que
la seguridad de los activos incide directamente con la rentabilidad econmica de
la organizacin, evitando situaciones que suponen costos. Adems, apoyar la
optimizacin de recursos e inversiones en tecnologa, ya que se tomaran
decisiones en base a la informacin fiable sobre el estado de los sistemas de
informacin y objetivos de la organizacin.
Finalmente, el SGSI apuntala a la competitividad de esta entidad educativa:
Teniendo un aumento de confianza por parte de la sociedad por la mejor
preparacin para asumir retos tecnolgicos, trabajando sobre reglamentos leyes y
normativas para poder demostrar ante la competencia el cumplimiento de los
mismos, manteniendo as una mejor imagen como una institucin responsable,
comprometida con la mejora de sus procesos y servicios.
6

IV.

OBJETIVOS

1. Objetivo General
Implementar un Sistema de Gestin de Seguridad de la informacin, basado en
la normativa internacional NTC-ISO/IEC 27001, en el Recinto Universitario
Augusto C. Sandino.

2. Objetivos Especfico.

2.1 Realizar un estudio de la situacin actual del recinto universitario en cuanto

a sistemas de seguridad de la informacin.

2.2 Identificar las vulnerabilidades, riesgos y amenazas de la Tecnologa

informtica de la organizacin a travs de un anlisis de riesgo.

2.3 Disear el Sistema de Gestin de Seguridad de la Informacin, adaptando

polticas de seguridad y controles propuestos para la organizacin de
acuerdo a la Normativa ISO 27001.

2.4 Medir y evaluar la eficacia de los controles, procesos y procedimientos a

travs de la auditoria interna.

2.5 Proponer medidas correctivas, preventivas y de mejoras continua basados

en la norma ISO 27001.

V.

MARCO TEORICO

En este captulo se encuentran los conceptos bsicos, complementarios y

especficos, que proporcionar una idea ms clara acerca de este tema de
investigacin y servirn como base para el desarrollo de la monografa.
Generalidades del SGSI.
1. Sistemas. Nos referimos al conjunto de partes coordinadas y en interaccin
para alcanzar los objetivos para la cual fueron creados. Un sistema est
compuesto por componentes individuales, cada uno cumpliendo un propsito
especfico, y estos al interactuar entre ellos llevan a cabo procesos para cumplir
alguna tarea requerida (Hernandez, 2007).

1.1Sistema de Gestin. Se podra interpretar como una herramienta que

permite controlar una serie de eventos en la empresa, tantos internos como los
que pasean en su entorno, pudiendo visualizar los efectos que causen estos
eventos y midiendo el aprovechamiento eficaz que se tiene de los recursos que
posee la empresa, para as tener planes de los mejoramientos de los procesos y
procedimiento. Procesos, comportamientos y herramientas que se emplean para
garantizar que la organizacin realice todas las tareas necesarias para alcanzar
sus objetivos, existen una serie de procesos clasificar y llevar a cabo un sistema
de gestin, como son: gestin, anlisis, examen de riesgos, riesgo residual,
aceptacin y tratamiento de riesgos (Calder, 2007).
1.2 Sistema de Gestin de Seguridad de la Informacin SGSI. Segn la
Norma UNE-ISO/IEC 27001 es una parte del sistema de gestin general basada
en un enfoque de riesgo empresarial que se establece para crear, implementar,
operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin.
Esto significa que se va a dejar de operar de una manera intuitiva y se va a
empezar a tomar el control sobre lo que sucede en los sistemas de informacin y
sobre la propia informacin que se maneja en la universidad, permitindonos
conocer mejor nuestra organizacin, como funciona y que podemos hacer para
que la situacin mejore.
8

Este sistema actualmente cuenta con un estndar de implementacin planteado

por la Organizacin Internacional de Estandarizacin (International Organizatin
for Standardizacion, ISO), el cual presento su planificacin ms actualizada para el
ao 2005 (lvarez, 2012).

2. La Organizacin ISO. ISO (Organizacin Internacional de Estndares) es una

organizacin especializada en el desarrollo y difusin de los estndares a nivel
mundial. Los miembros de ISO, son organismos nacionales que participan en el
desarrollo de Normas Internacionales a travs de comits tcnicos establecidos
para tratar con los campos particulares de actividad tcnica. Los comits tcnicos
de ISO colaboran en los campos de inters mutuo con la IEC (International
Electrotechnical Commission), la organizacin que a nivel mundial prepara y
publica estndares en el campo de la electrotecnologa. En el campo de
tecnologa de informacin, ISO e IEC han establecido unir un comit tcnico,
ISO/IEC JTC 1 (Join Technical Committee N1).

2.1 La Familia de las Normas ISO.

A continuacin mencionaremos los principales estndares aceptados por la

industria en el rea de seguridad de la informacin y especficamente la que
utilizaremos para la implementacin de un sistema de gestin de seguridad de la
informacin en la sede:
2.1.1 ISO/IEC27000. Sistemas de Gestin de Seguridad de la Informacin,
Generalidades y vocabulario, publicada en Abril del 2009, en la que se recogen los
trminos y conceptos relacionados con la seguridad de la informacin, una visin
general de la familia de estndares de esta rea, una introduccin a los SGSI, y
una descripcin del ciclo de mejora continua.
2.1.2 Norma ISO- 27001. Esta es la norma fundamental de la familia y la que
utilizaremos para la implementacin del SGSI, es un conjunto de estndares
desarrollados por la organizacin ISO que proporcionan un marco de gestin de
9

la seguridad de la informacin utilizable por cualquier organizacin, pblica o

privada, grande o pequea. La ISO 27001 permite definir y mantener un Sistema
de Gestin de la Seguridad de la Informacin documentado, que orienta los
esfuerzos de proteccin de los activos de informacin, facilita la administracin de
los riesgos priorizando los controles necesarios de aplicar y mantiene un nivel de
seguridad adecuado para la continuidad de la organizacin.
La norma ISO 27001 est encargada de ofrecer servicios de estandarizacin de
procesos y operaciones en distintas ramas empresariales, en general la labor de la
ISO hace una diferencia positiva en el mundo donde vivimos, ya que sirven para
proteger a los consumidores y usuarios de productos y servicios en general, as
como hacer su vida ms simple, aadiendo valor a todos los tipos de operaciones
del negocio ya que contribuyen a que el desarrollo, fabricacin, suministro de los
productos y servicios sean ms eficientes, ms seguros, ms limpios e incluso que
lleguen hacer que el comercio entre pases sea ms fcil y justo.
Criterios bsicos de calidad de la informacin:

Confidencialidad: Asegurar que a la informacin solo acceda quien est

autorizado para ello, esto se logra formulando procedimientos de
autorizacin que obliguen al usuario a identificarse para acceder a la
informacin.

Integridad. La informacin ha de estar completa y correcta en todo

momento, esta caracterstica se puede dar gracias a un conjunto de
acciones que garantice que la informacin no se ha trasformado o
modificado durante su procesado, trasporte y almacenamiento.

Disponibilidad: La informacin debe ser accesible para las personas

autorizadas, y que estas puedan llevar a cabo sus transacciones cada vez
que sea necesario.

Autenticidad: La informacin es lo que dice ser o el transmisor de la

informacin es quien dice ser.
10

Trazabilidad: Poder asegurar en todo momento quin hizo qu y en

cuando lo hizo (Calder, 2007).

2.1.3 ISO/IEC27002. Tecnologa de la Informacin, cdigo de buenas prcticas

para la Gestin de la Seguridad de la Informacin, publicada en el ao 2005. Esta
gua de buenas prcticas describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin.

2.1.4 ISO/IEC27003. Gua de implementacin de SGSI e informacin acerca

del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

2.1.5 ISO/IEC27005:2008. Gestin del Riesgo en la Seguridad de la

Informacin publicada en el ao 2008. Esta norma al pertenecer a la familia de las
Normas 27000, se ajusta a las necesidades de las organizaciones que pretende
realizar su anlisis de riesgos en este mbito y cumplir con los requisitos de la
Norma ISO 27001.

3. PDCA. El ciclo PDCA ser el ciclo a seguir en la implementacin del sistema

de gestin de seguridad de la informacin para el Recinto Universitario Augusto
C. Sandino. Tambin conocido como Crculo de Deming (de Edwards Deming),
es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un
concepto ideado por Walter A. Shewhart. Tambin se denomina espiral de mejora
continua. Es muy utilizado por los SGSI.
Las siglas PDCA son el acrnimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar), que se detallan a continuacin:

3.1

Fase

Planear:

Establece

la

poltica,

objetivos,

procesos

procedimientos del SGSI pertinentes para gestionar los riesgos y mejorar la

11

seguridad de la informacin, a fin de entregar resultados conforme a las polticas y

objetivos generales de la organizacin.
Planificar y disear el SGSI segn la Norma UNE/ISO-IEC 27001 implica
establecer alcance del SGSI, establecer las responsabilidades, definir poltica de
seguridad, realizar anlisis de riesgos, seleccionar los controles.

3.2 Fase Ejecutar: Implementa y opera las polticas, controles, procesos y

procedimientos del SGSI, los principales documentos a generar son: poltica de
seguridad, inventario de activos, anlisis de riesgos, documento de aplicabilidad y
procedimientos.

3.3 Fase Revisar: Evala y, donde corresponda, mide el desempeo del

proceso segn las polticas, objetivo y experiencia prctica del SGSI e informa los
resultados a la gerencia para su examen.
Tiene por objeto la medida y evaluacin de la eficacia de otros controles, mediante
la auditora se determinar si los objetivos de los controles, los procesos y los
procedimientos:

Estn conformes con los requisitos de la Norma UNE/ISO-IEC 27001.

Estn conformes con la legislacin y regulaciones aplicables.

Estn conformes con los requisitos de seguridad identificados.

Estn implementados y mantenidos de manera efectiva.

Dan el resultado esperado.

3.4 Fase Actuar: Toma medidas correctivas y preventivas basadas en los

resultados de la auditoria interna del SGSI y el examen de la gerencia u otra
informacin pertinente para lograr el mejoramiento del SGSI.
Cuando mediante cualquiera de las actividades de comprobacin realizadas o
incluso durante la operativa habitual del SGSI se descubren no conformidades,
12

reales o potenciales, deben tomarse medidas para solucionarlas, como son las
acciones correctoras, acciones preventivas y acciones de mejora (Deming, 1989).

4. Seguridad de la Informacin. Puede definirse como seguridad de la

Informacin a la que cubre los datos de la informacin, que son los activos ms
estratgicos y valiosos relacionados con los sistemas y el uso de la tecnologa de
la informacin.
Cada da es mayor la importancia de la de la informacin, especialmente la
captada, procesada y trasmitida por sistemas basados en el uso de tecnologa de
la informacin y comunicaciones, por lo que los impactos de los fallos, accesos no
autorizados, o la revelacin de informacin puede tener consecuencias mayores
que hace unos aos, la informacin en esta rea es referida a los activos de
informacin (es decir, datos, equipos, personas, aplicaciones) que tienen un valor
para la organizacin (Barquero, 2007).

5. Servicios de Seguridad. Tiene como objetivo mejorar la seguridad de

los sistemas de procesamiento de datos y la transferencia de informacin en las
organizaciones. Los servicios de seguridad estn diseados para contrarrestar los
ataques a la seguridad y hacen uso de uno o ms mecanismos de seguridad para
proporcionar el servicio (Gmez Vieites, 2007).
6. Clasificacin de seguridad. Se debe realizar un inventario peridico de
activos fsicos y activos de informacin, que tenga por objetivo proveer la base
para una posterior clasificacin de seguridad de acuerdo a una poltica de
clasificacin dictada por la junta directiva o la instancia competente. Esta
clasificacin debe indicar el nivel de criticidad o sensibilidad y seguridad requerida
por la institucin.
7. Fallo de Seguridad: En cualquier organizacin existen incidente que la
compromete, es decir que pone en peligro cualquiera de los parmetros con los
que se valora la seguridad: la confidencialidad, la disponibilidad o la integridad de
13

la informacin. Los fallos de seguridad son ocasionados muchas veces por la

errnea percepcin de que si la seguridad fsica est razonablemente asegurada,
no tiene por qu haber problemas. O que protegiendo nicamente las aplicaciones
y las bases de datos ya est garantizada la seguridad. Con esos supuestos se
dejan desprotegidas muchas reas de la organizacin, muchos activos de
informacin que pueden ser fcilmente daados o destruidos, ya que no se han
tenido en cuenta todos los aspectos de la seguridad de la informacin: la
seguridad fsica, la seguridad lgica y las medidas organizativas. (Barquero,
2007).

8. Poltica de Seguridad. La poltica de seguridad la definir la Direccin,

estableciendo en ella de forma clara las lneas de actuacin de esta rea que
deben estar alineadas con los objetivos de negocio. La poltica es tambin una
manifestacin expresa del apoyo y compromiso de la direccin con la seguridad
de la informacin. El objetivo es dirigir y dar soporte a la gestin de la seguridad
de la informacin de acuerdo a los requisitos del negocio. Es el punto de partida
del diseo del SGSI, a partir del cual se desarrollan las actuaciones necesarias
para implantar el SGSI (ISO 27001, 2005).

9. Riesgo. Es la estimacin del grado de exposicin a que una amenaza se

materialice sobre uno o ms activos causando daos o perjuicios a la
organizacin. El riesgo indica lo que le podra pasar a los activos si no se
protegieran adecuadamente.
9.1Riesgos de Tecnologa de Informacin: Dao, interrupcin, alteracin o
fallas derivadas del uso de la TI que soporta los procesos crticos de la Institucin
y que conlleven a una prdida financiera potencial.
9.2 Anlisis de Riesgo. Es la estimacin del grado de exposicin a que una
amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la
organizacin. El riesgo indica lo que le podra pasar a los activos si no se
protegieran adecuadamente, antes de saber qu es un anlisis de riesgos y lo que
14

conlleva es importante conocer qu son otro tipo de conceptos muy relacionados

con los Anlisis de Riesgos y la seguridad de la informacin. Estos son los ms
importantes:

Amenaza. Se define como el evento o incidente provocado por una entidad

natural, humana o artificial que, aprovechando una o varias vulnerabilidades
de un activo, pone en peligro la confidencialidad, la integridad o la
disponibilidad de ese activo. Dicho de otro modo, una amenaza explota la
vulnerabilidad del activo.

Impacto. Consecuencias de que la amenaza ocurra.

Vulnerabilidad. Se hace referencia a la debilidad de un activo que puede

ser aprovechada por una amenaza provocando que los

sistemas

informticos funcionen de manera diferente para lo que estaban pensados,

afectando a la seguridad de los mismos, pudiendo llegar a provocar entre
otras cosas la prdida y robo de informacin sensible.

Salvaguarda. Medida tcnica u organizativa que ayuda a paliar el riesgo.

Riesgo Intrnseco. Nos referimos al clculo del dao probable a un activo

que si se encuentra desprotegido.

A la hora de disear un SGSI, es primordial ajustarse a las necesidades y los

recursos de la organizacin para que se puedan cubrir las expectativas, llegando
al nivel de seguridad requerido con los medios disponibles. Es relativamente
sencillo calcular con cuntos recursos se cuenta (econmicos, humanos,
tcnicos) pero no es tan fcil saber a ciencia cierta cules son las necesidades
de seguridad.

10. Tecnologa de Informacin: Comprende hoy en da, en su mayora,

aspectos de sistemas computarizados de informacin, que se encargan de
obtener, convertir, almacenar, procesar, recoger y convertir todos los datos que
componen la informacin, y as garantizar la disponibilidad de la misma en todo
momento para su uso. La innovacin tecnolgica ha existido a travs de todas las
eras de la humanidad, y cada vez ha ido reduciendo el periodo de transicin con
15

respecto a la anterior, siendo por s misma un valor social de primer grado. En

este sentido la tecnologa en general, y la tecnologa de la informacin, en
particular, constituyen puntos de referencias macro sociales que cuyo objetivo
estn definidos con relacin al mbito econmico que define el progreso de la
sociedad (Alexander, 2007).
11.

Mtricas.

Es

la

metodologa

de

planificacin,

desarrollo

mantenimiento de sistemas de informacin, promovida por el Ministerio de

Hacienda y Administraciones Pblicas para la sistematizacin de actividades del
ciclo de vida de los proyectos software en el mbito de las administraciones
pblicas.

12. Estndar. Describe el modelo, criterio, regla de medida o de los

requisitos mnimos aceptables para la operacin de procesos especficos, con el
fin asegurar la calidad en la prestacin de los servicios de salud. Los estndares
sealan claramente el comportamiento esperado y deseado en los empleados y
son utilizados como guas para evaluar su funcionamiento y lograr el mejoramiento
continuo de los servicios.

13. Procedimiento: Mtodo o sistema estructurado para ejecutar

instrucciones. Lista detallada de la secuencia lgica y consistente de actividades y
cursos de accin, por medio de las cuales se asegura el cumplimiento de una
funcin operativa.

14.

Proceso

Crtico:

Proceso

considerado

indispensable

para

la

continuidad de las operaciones y servicios de la institucin, cuya falta o ejecucin

deficiente puede tener un impacto financiero significativo para la institucin.
(NAGUN, 2008)

15. Administracin de las operaciones. Las instituciones deben

garantizar que toda tarea o proceso interno de Tecnologa informtica sea

16

debidamente documentado, esto con el objetivo de lograr un entorno operativo

que tenga un nivel adecuado de madurez.

16. Objetivos de Control: Dentro de la estructura de un SGSI es

importante que existan objetivos de control, los cuales son representados por
caractersticas, procesos y procedimientos del negocio que estarn bajo una
constante o peridica supervisin para asegurar que estn cumpliendo con la
planificacin del proyecto (Barquero, 2007).

17. Software. Se define como los componentes lgicos necesarios para

hacer posible la realizacin de tareas especficas, en contraposicin a los
componentes fsicos del sistema, llamados hardware. Es una serie de rutinas
escritas en cdigos especficos que al ponerlas en marcha ejecutan un nmero de
instrucciones que le indican a un conjunto de componentes fsicos de un sistema
como deben actuar o comportarse.

Los componentes lgicos incluyen, entre muchos otros, las aplicaciones

informticas; tales como el procesador de textos, que permite al usuario realizar
todas las tareas concernientes a la edicin de textos; el software de sistema, tal
como el sistema operativo, que, bsicamente, permite al resto de los programas
funcionar

adecuadamente,

facilitando

tambin

la

interaccin

entre

los

componentes fsicos y el resto de las aplicaciones, y proporcionando una interfaz

para el usuario (Prissman, 2005).

18. Virus Informticos: Un virus informtico es un software que tiene por

objetivo alterar el normal funcionamiento de la computadora, sin el permiso o
conocimiento del usuario (Barquero, 2007).
19. Tipos de Auditora.
La auditora gubernamental est definida por sus objetivos y se clasifica en:
17

19.1 Auditora Informtica. Se hace referencia al proceso de recoger,

agrupar y evaluar evidencias para determinar si un sistema de informacin
salvaguarda los activos empresariales, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y
cumple con las leyes y regulaciones. La auditora informtica consiste en el
anlisis objetivo, crtico, sistemtico y selectivo de las polticas, normas, prcticas,
procedimientos y procesos, para dictaminar respecto a la economa, eficiencia y
eficacia de la utilizacin de los recursos de tecnologas de la informacin, la
oportunidad, confiabilidad, validez de la informacin y la efectividad del sistema de
control interno asociado a las tecnologas de la informacin y a la entidad en
general (Gestion, 2008).

19.2 Auditora Financiera. La finalidad es el estudio, evaluacin y

verificacin de los estados financieros preparados por la administracin de la
entidad, con el propsito de emitir una opinin respecto a la razonabilidad de
dichos estados, de conformidad con las Normas de Contabilidad Gubernamental
de Nicaragua.

19.3 Auditora Operacional o de Gestin. Es el examen de la economa,

eficiencia y/o eficacia de la entidad, programa o rea en particular. Una auditora
operativa determinada puede tener por objetivo examinar uno o varios de estos
tres aspectos, incluyendo la evaluacin de conformidad a las leyes y reglamentos
vigentes relacionados con el objetivo de la auditora.

19.4 Auditoria Interna. Actividad independiente que tiene lugar dentro de la

organizacin y que est encaminada a la revisin de operaciones con la finalidad
de prestar un servicio a la direccin, ya que en realidad es un control de direccin
El objetivo de una auditora es determinar si los objetivos de los controles, los
controles, los procesos y los procedimientos estn conformes con los requisitos de
18

la Norma en la que se audite el sistema, los requisitos legales y reglamentarios,

los requisitos de la organizacin (contractuales, de seguridad, internos, etc.)
(Poessy, 2009).
20. Normas de Auditora Gubernamental de Nicaragua (NAGUN). Las
NAGUN constituyen los principios fundamentales para el ejercicio de la auditora
gubernamental en Nicaragua, las que una vez emitidas por el Consejo Superior de
la Contralora General de la Repblica son de aplicacin obligatoria en el ejercicio
profesional de la auditora. (NAGUN, 2008)

21.

Manual

de

Auditora

Gubernamental

(MAG).

La

auditora

gubernamental consiste en un examen objetivo, sistemtico y profesional de las

operaciones u actividades o de ambas a la vez, practicado con posterioridad a su
ejecucin, con la finalidad de verificarlas, evaluarlas y elaborar el correspondiente
informe que debe contener comentarios, conclusiones y recomendaciones.

22. Control de Calidad. Est dado por la Supervisin de todo el proceso de

la misma, lo que est regulado en las Normas de Auditora Gubernamental de
Nicaragua, que establecen, El trabajo realizado por el equipo de auditora ser
supervisado en forma sistemtica y oportuna por personal calificado en todos los
niveles.

23. Estratgicas. Se describe como el

conocimiento obtenido por el

auditor en esta instancia del proceso de auditora, permite determinar las reas de
nfasis de la auditora.

24. Programa. Representa un esquema lgico, secuencial, detallado de las

tareas a realizar y los procedimientos a emplearse, determinando la extensin,
alcance y oportunidad en que sern aplicados, as como los papeles de trabajo
que han de ser elaborados.
25. Planeacin Estratgica. Consiste en el proceso de desarrollo e
implantacin de planes para alcanzar propsitos y objetivos, generalmente se
19

aplica a actividades del negocio, entre las varias aplicaciones que se le pueden
dar a la planeacin estratgica se encuentra proporcionar una direccin a una
compaa en estrategias financieras,

estrategias de desarrollo de recursos

humanos u organizativos, estrategias de marketing entre otras aplicaciones. Una

planificacin bien fundamentada se basa en tomas de decisiones de acuerdo a
metas que se deseen alcanzar. Estas deben ser bien conocidas y analizadas de
manera que puedan llegar a alcanzarse y no sean imposibles (Barquero, 2007).
26. Anlisis de Impacto de Negocio: Etapa de la planeacin de
continuidad de negocio en la que se identifican los eventos que podran tener un
impacto sobre la continuidad de operaciones y su impacto financiero, humano y de
reputacin sobre la institucin.

27. Gobierno de TI: Estructura de relaciones y procesos para dirigir y

controlar la institucin con el objetivo de lograr sus metas, agregando valor
mientras exista un balance entre los riesgos y beneficios de TI y sus procesos.

28. Informacin: Se har uso de diferentes fuentes de informacin tanto

primarias como secundarias para recoleccin de informacin que ser til para la
implantacin de un sistema de gestin de seguridad de la informacin en el
Recinto Universitario Augusto C. Sandino.
Se denomina informacin a cualquier forma de registro electrnico, ptico,
magntico o en otros medios similares, susceptible de ser procesada, distribuida y
almacenada.

29. Incidente: Cualquier evento que no forma parte de la operacin normal

de un servicio y que causa o puede causar, una interrupcin o una reduccin de
calidad del mismo. Esto no incluye los requerimientos de cambios a la
infraestructura tecnolgica.

30. Mejores Prcticas Aplicables: Se entendern como mejores prcticas,

los marcos de referencia de control, estndares internacionales, u otros estudios
20

que ayuden a monitorear y mejorar las actividades crticas de las tecnologas de la

informacin, aumentar el valor de negocio, y reducir riesgos tales como: COBIT,
ISO 27001, ISO 27000, NAGUN, entre otros.

31.

Plan

de

Contingencia:

Documento

donde

se

detallan

los

procedimientos a seguir en caso de una contingencia, con el fin de no afectar el

funcionamiento normal de la institucin. Tiene como objetivo asegurar un nivel
aceptable de operatividad de los procesos crticos, ante fallas mayores internas o
externas.

32. Activos. Se denomina activo a aquello que tiene algn valor para la
organizacin y por tanto debe protegerse. De manera que un activo de informacin
es aquel elemento que contiene o manipula informacin (lvarez, 2012).

32.1 Activos de informacin. son ficheros y bases de datos, contratos y

acuerdos, documentacin del sistema, manuales de los usuarios, material de
formacin, aplicaciones, software del sistema, equipos informticos, equipo de
comunicaciones, servicios informticos y de comunicaciones, utilidades generales
como por ejemplo calefaccin, iluminacin, energa y aire acondicionado y las
personas, que son al fin y al cabo las que en ltima instancia generan, transmiten
y destruyen informacin, es decir dentro de un organizacin se han de considerar
todos los tipos de activos de informacin.
Los activos se pueden distinguir diferentes categoras de los mismos:

Datos. Todos aquellos datos (en cualquier formato) que se generan,

recogen, gestionan, transmiten y destruyen en la organizacin.

Aplicaciones. El software que se utiliza para la gestin de la

informacin.

21

Personal. La plantilla propia de la organizacin, como el personal

subcontratado, los clientes, usuarios y, en general, todos aquellos
que tengan acceso de una manera u otra a los activos de
informacin de la organizacin.

32.2 Inventario de activos. El inventario de activos se

utiliza para la

gestin de la seguridad no debera duplicar otros inventarios, pero s que debe

recoger los activos ms importantes e identificarlos de manera clara y sin
ambigedades.

Figura 1. ISO 27001

El inventario de activos es la base para la gestin de los mismos, ya que tiene que
incluir toda la informacin necesaria para mantenerlos operativos e incluso poder
recuperarse ante un desastre. Esta informacin como mnimo es:

Identificacin del activo. Un cdigo para ordenar y localizar los activos.

Tipo de activo. A qu categora de las anteriormente mencionadas

pertenece el activo.
22

Descripcin. Una breve descripcin del activo para identificarlo sin

ambigedades.

Propietario. Quien es la persona a cargo del activo.

Localizacin. Dnde est fsicamente el activo. En el caso de informacin

en formato electrnico, en qu equipo se encuentra.

32.3 Valoracin de los activos. Es el valor que tiene para la organizacin,

cul es su importancia para la misma, considerando el dao que puede suponer
para la organizacin que un activo resulte daado en cuanto a su disponibilidad,
integridad y confidencialidad.

33. Acciones correctoras: Son acciones que se toman para corregir una no
conformidad significativa con el Sistema de Gestin de Seguridad de la
Informacin. Las decisiones de que hacer y cmo deben en una identificacin
precisa de la cauda del problema.
34. Acciones Preventivas: Son aquellas que se toman para prevenir que
ocurra algo no deseado, tiene como ventaja ser ms eficaz y sencillo prevenir los
problemas que solucionarlos.
35. Acciones de Mejora: Estas acciones no surgen de la necesidad de
solucionar un problema sino de la dinmica del sistema de gestin que impulsa a
refinar procesos y superar los objetivos de forma continua (ISO 27001, 2005).

VI.

METODOLOGIA DEL TRABAJO.

A continuacin presentamos el tipo de investigacin a utilizar, procedimientos y

tcnicas necesarias para desarrollar el Sistema de Gestin de Seguridad de la
Informacin, basado en la norma NTC-ISO/IEC 27001 en el Recinto Universitario
Augusto C. Sandino de la Universidad Nacional de Ingeniera.

23

1. Tipo de Investigacin.
La presente investigacin se considera de tipo descriptiva y aplicativa, ya que
describe lo que es la seguridad de la informacin y los principales riesgos que
tiene la carencia de la misma, as mismo los procedimientos y pasos a seguir para
la creacin de un Sistema de Gestin de Seguridad de la Informacin, llevando a
cabo un anlisis de los procesos especficos realizado, ya que trabaja sobre
realidades de hechos y su caracterstica fundamental es la de presentar una
interpretacin correcta de la informacin analizada.
Aplicacin de un anlisis de riesgo para identificar las amenazas, vulnerabilidades
de las TI, adaptando polticas y controles de acuerdo a la normativa ISO 27001
Adoptando medidas correctivas, preventivas y de mejoras contina en el Recinto
Universitario Augusto C. Sandino.

2. Ubicacin del Estudio

El proyecto se llevara a cabo en el departamento de Estel, en la Universidad
Nacional de Ingeniera, Recinto Universitario Augusto C. Sandino (UNI- RUACS),
su ubicacin geogrfica es: Entrada a La Tunoza, Antigua Hacienda El Higo

3. Universo.
Debido a que el Proyecto a implantar es un Sistema de Gestin de Seguridad de
la Informacin, basado en la

norma NTC-ISO/IEC 27001 en el Recinto

Universitario Augusto C. Sandino de la Universidad Nacional de Ingeniera, se

trabajara de forma paulatina iniciando por el rea de informtica, laboratorios de
cmputos, registro acadmico y administracin llevndose en el orden descrito y
extendindose hacia el resto de reas.

4. Diagnostico.

En la primera fase del proyecto, se realizara un diagnstico para determinar cmo

se encuentra actualmente la sede en cuanto a seguridad de la informacin,
24

basndonos en el Manual de Auditoria Gubernamental (MAG), con la finalidad de

hacer un examen objetivo, sistemtico de las operaciones y actividades llevadas a
cabo en el recinto, a partir de los resultados obtenidos se realizara un informe que
ser presentado a la comitiva y servir como base para pasar a las siguientes
fases.
5. Desarrollo.

Se trabajara mediante un sistema de gestin basado en el ciclo de Deming,

conocido como PDCA (Planificar, Hacer, Comprobar y Mejorar).
El ciclo PDCA supone la implantacin de un sistema de mejora continua que
requiere una constante evolucin para adaptarse a los cambios producidos en su
mbito y para tratar de conseguir la mxima eficacia operativa.
A continuacin se presenta el ciclo Deming (PDCA):

Figura 2. Ciclo PDCA (Plan, Do, Check, Act)

Fase Planear:
25

En esta fase se establecer el alcance del Sistema de Gestin de Seguridad de la

Informacin, tomando en cuenta la parte de la organizacin que ser protegida o si
es completa; as mismo se definirn las responsabilidades con el fin de coordinar
las tareas y esfuerzos en materia a la seguridad.

Se definirn polticas de seguridad de la organizacin para sentar base de lo que

se pretende hacer

mostrando el compromiso con la direccin y coordinar

responsabilidades y tareas.

Se realizara un anlisis de Riesgo, cuyo resultado generara la informacin

pertinente de donde provienen los problemas actuales o potenciales que tenemos
que solucionar para alcanzar el nivel de seguridad deseado; As mismo
seleccionar controles y establecer un plan de seguridad.
En esta fase se utilizaran los diferentes fuentes de informacin para recopilacin
de la informacin, que nos permita llegar a los puntos esenciales e identificacin
de riesgos a los que se encuentra expuesto la Universidad en cuanto a seguridad,
de igual manera en esta etapa se interactuara con la direccin y con el comit
conformado para llevar a cabo el SGSI.
Fase Do (Hacer)
Se implementara el plan de seguridad diseado en la fase anterior, generando
como resultado de la informacin obtenida, procesada y analizada a lo largo del
trabajo realizado los siguientes documentos:

Polticas de Seguridad.

Inventario de Activos.

Anlisis de Riesgos.

Documento de Aplicabilidad.

Procedimientos.

26

Riesgos.

Fase Act (Actuar)

Esta fase es esencial ya que se adoptan medidas para contrarrestar no
conformidades, reales o potenciales como son: medidas preventivas, medidas
correctivas y de mejora, de acuerdo con los resultados que hayamos obtenido en
la fase anterior. En todo caso deberemos ir realizando los ajustes necesarios y
replanteando los procesos actuales o nuevas acciones para alcanzar nuestros
objetivos. En caso de que nuestro objetivo haya sido conseguido, en esta etapa,
nos aseguraremos de estandarizar y sistematizar los procedimientos para
mantener el resultado en el tiempo.
6. Fuente de Informacin

La utilizacin de fuentes de informacin es muy importante debido a que

recogeremos informacin que sea de nuestro inters para llevar a cabo el
proyecto, en este captulo se presentaran las diferentes fuentes que se utilizaran
para la recopilacin de la informacin, las cuales sern las primarias y
secundarias.

6.1 Fuentes Primarias: Se utilizaran diferentes mtodos para la

recopilacin de informacin necesaria para llevar a cabo el desarrollo del proyecto
tales como: Manual de Auditoria Gubernamental (MAG), encuesta al personal de
la universidad para identificar el nivel de seguridad de los activos, entrevista con el
director, reuniones con el comit, as como observacin directa en la
infraestructura de la sede.
6.2 Fuentes Secundarias: Estas contienen informacin elaborada producto
de la informacin primaria original.

27

Se tomaran documentos elaborados por la Universidad, como las polticas,

normas, reglamentos, documentos elaborados para llevar el control de la
informacin y Plan de contingencia.

7. Instrumento para la recopilacin de la Informacin.

7.1 Entrevista: Se har una entrevista, dirigida al director de la Universidad,

para ver desde una perspectiva general el funcionamiento de la sede.
Tambin se realizaran entrevista a los jefes de departamento de Informtica,
Finanzas, Administracin, investigacin y coordinacin, para obtener su opinin de
acuerdo a proteccin de activos y las problemticas que se presentan.

7.2 Observacin: Durante todo el desarrollo del proyecto se har uso de la

observacin directa en la sede, para identificacin de los riesgos, vulnerabilidades,
amenazas en todos los activos e infraestructura.

7.3 Documentos: que cuenta la universidad, que sean de relevancia para

el estudio como, polticas, reglamentos, normas e inventarios.
8. Procesamiento de la Informacin.
Microsoft Word 2010: Es un procesador de texto el cual se estar utilizando para
la elaboracin de la entrevistas y digitalizacin del protocolo de investigacin, este
se utilizar durante todo el desarrollo del proyecto.
Microsoft Excel 2010: Libro de trabajo utilizado para la elaboracin de tablas y
cronograma de trabajo.

28

Infostat: software estadstico que se utiliza para el procesamiento de entrevistas y

encuestas, presentando datos precisos a travs de grficos que permitir una
mejor comprensin e interpretacin de la informacin recolectada.

9. Anlisis de la Informacin
A travs de las entrevistas, encuestas y mtodos de observacin directa se llevara
a cabo un anlisis con el objetivo de determinar las vulnerabilidades de la
empresa, si se est llevando un procedimiento adecuado para el desarrollo de las
actividades, sin poner en riesgo los activos y para la realizacin de un anlisis de
riesgo.
Con la entrevista que se harn a los diferentes jefes de departamento y
observacin directa, se obtendr la informacin necesaria para el levantamiento
de activos, determinacin de riegos, fallas en infraestructura y equipos, etc.

29

VII.

CRONOGRAMA DE ACTIVIDADES

30

31

VIII.

BIBLIOGRAFIA

(s.f.).
(2005). ISO 27001.
Alexander, A. G. (2007). Diseo de un Sistema de Gestin de Seguridad de
Informacin. En A. G. Alexander, Diseo de un Sistema de Gestin de
Seguridad de Informacin (pg. 176). Alfaomega.
lvarez, L. G. (2012). Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de
informacin. AENOR.
Avila, H. L. (s.f.). Introduccion a la Metodologia de la Investigacion .
Barquero, U. C. (2007). Norma sobre Gestion de Riesgo Tecnologico SIBOIF.
Calder, A. (2007). Implementacion de la norma NTC-ISO/IEC 27001.
Deming, W. E. (1989). Calidad, productividad y competitividad: la salida de la
crisis. Madrid: Daz de Santos.
Gestion, S. d. (04 de Abril de 2008). bsigroup. Obtenido de bsigroup:
http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-degestion/estandares-esquemas/ISOIEC-27001/?sb=1
Gmez Vieites, . (2007). Enciclopedia de la Seguridad Informtica.
Hernandez, L. F. (2007). Propuesta de Seguridad de la Informacion. Mexico.
NAGUN. (2008). NORMAS DE AUDITORIA GUBERNAMENTAL. MANAGUA
NICARAGUA.
Poessy, D. G. (2009). MANUAL DE AUDITORIA GUBERNAMENTAL. MANAGUA
- NICARAGUA.

32

Prissman, R. S. (2005). Diccionario de la lengua espaola. En R. S. Prissman,

Ingenieria

del

Software

un

enfoque

Practico.

MCGRAW-HILL/

INTERAMERICANA MEXICO.
Trias, S. S. (s.f.). Guia a la Redaccion en el Estilo APA. 6ta ediccion. Universidad
Metropolitana.

33