Documente Academic
Documente Profesional
Documente Cultură
INTRODUCCIÓN .............................................................................................................................. 3
CAPÍTULO I: ASPECTOS GENERALES ..................................................................................... 4
1.1. Descripción del Problema ............................................................................................... 4
1.2. Objetivos ............................................................................................................................ 4
1.2.1. Objetivo General ........................................................................................................... 4
1.2.2. Objetivos Específicos ................................................................................................... 4
1.3. Metas .................................................................................................................................. 4
1.4. Limitaciones....................................................................................................................... 4
1.5. Delimitaciones ................................................................................................................... 4
1.6. Metodología ....................................................................................................................... 5
CAPÍTULO II: MARCO TEÓRICO ................................................................................................. 6
2.1. Base Teórica ..................................................................................................................... 6
2.1.1. ISO .................................................................................................................................. 6
2.1.1.1. Definición ................................................................................................................... 6
2.1.1.2. ISO/IEC 27001 ...................................................................................................... 6
2.1.2. Evolución e historia ISO/IEC 27001 ...................................................................... 6
2.1.3. Cláusula ......................................................................................................................... 8
2.1.4. Control ............................................................................................................................ 8
2.2. Antecedentes .................................................................................................................... 8
CAPÍTULO III: DESARROLLO DEL PROYECTO..................................................................... 11
A.12. Seguridad de operaciones .............................................................................................. 11
A.12.1. Procedimientos y responsabilidades operativas ...................................................... 11
A.12.1.2. Gestión de Cambio. .............................................................................................. 11
A.12.1.3. Gestión de la Capacidad. ..................................................................................... 14
A.12.2. Protección contra códigos malicioso ......................................................................... 17
A.12.2.1 Controles contra código malicioso. ...................................................................... 17
A.12.5. Control del software operacional. ............................................................................... 20
A.12.5.1. Instalación de software en sistemas operacionales......................................... 20
A.12.5.1. Instalación de software en sistemas operacionales......................................... 22
A.12.6. Gestión de vulnerabilidad técnica. ............................................................................. 23
A.12.6.1. Gestión de vulnerabilidades técnicas. ................................................................ 23
1
CONCLUSIONES ........................................................................................................................... 26
RECOMENDACIONES.................................................................................................................. 27
REFERENCIAS .............................................................................................................................. 28
ANEXOS .......................................................................................................................................... 29
2
INTRODUCCIÓN
3
CAPÍTULO I: ASPECTOS GENERALES
1.3. Metas
Desarrollo del software.
1.4. Limitaciones
Falta de documentación.
Falta de presupuesto para el desarrollo.
Falta de acceso a la norma.
1.5. Delimitaciones
Solo se implementará 5 controles de la cláusula A.12. Seguridad de las
operaciones.
4
1.6. Metodología
5
CAPÍTULO II: MARCO TEÓRICO
2.1. Base Teórica
2.1.1. ISO
2.1.1.1. Definición
Se denomina ISO a la Organización Internacional para la
Estandarización, la cual se trata de una federación cuyo
alcance es de carácter mundial, ya que está integrada por
cuerpos de estandarización de 162 países. Esta organización
se estableció en 1947, como un organismo no gubernamental,
cuya misión es promover a nivel mundial el desarrollo de las
actividades de estandarización.
De esta manera ISO fue creada con el objetivo de facilitar el
intercambio internacional de servicios y bienes, promoviendo
activamente la cooperación en aspectos intelectuales,
científicos, tecnológicos y económicos.
2.1.1.2. ISO/IEC 27001
Es un estándar para la seguridad de la información (Tecnología
de la información Técnicas de seguridad Sistemas de gestión
de seguridad de la información Requisitos) aprobado y
publicado como estándar internacional en octubre de 2005 por
International Organization for Standardization y por la comisión
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un sistema de gestión de la seguridad de la
información (SGSI) según el conocido como “Ciclo de Deming”:
PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar).
6
La ISO 27001 tal y como se conoce en la actualidad, se debe a la
evolución de otras normas que tenían alguna relación con la seguridad
de la información.
A continuación, mencionamos las normas de las cuales ha
evolucionado a la ISO27001:
1901 – Normas “BS”: La British Standards Institution publica normas
con el prefijo “BS” con carácter internacional.
1995- BS 7799-1:1995: Mejores prácticas para ayudar a las
empresas británicas a administrar la Seguridad de la Información.
Se trataban de recomendaciones que no permitían la certificación.
1998 – BS 7799-2:1999: Revisión de la anterior norma. En ella se
establecía los requisitos para implantar un Sistema de Gestión de
Seguridad de la Información certificable.
1999 – BS 7799-1:1999: Se revisa.
2000 – ISO/IEC 17799:2000: La ISO tomó la norma británica BS
7799-1 que originó la ISO 17799, sin experimentar grandes
cambios.
2002 – BS 7799-2:2002: Se publicó una nueva versión que permitió
la acreditación de empresas por una entidad certificadora en Reino
Unido y en otros países.
2005 – ISO/IEC 27001:2005 e ISO/IEC17799:2005: Surge el
estándar ISO 27001 como norma internacional certificable y se
revisa la ISO 17799 dando lugar a la ISO 27001:2005.
2007 – ISO 17799: Se cambia el nombre y convierte en la ISO
27002:2005
2007 – ISO/IEC 27001:2007: Se publica la nueva versión.
2009 – Se publica un documento adicional de modificaciones
llamado ISO 27001:2007/1M:2009.
En el actual año 2013 se ha publicado la nueva versión de la ISO
27001, esta versión presenta cambios importantes en su estructura,
evaluación y tratamiento de los riesgos.
La Plataforma Tecnológica facilita la implementación, mantenimiento
y automatización de los Sistemas de Gestión de Seguridad en la
Información conforme a la norma ISO 27001 y da cumplimiento de
manera complementaria a las buenas prácticas o controles
establecidos en ISO 27002.
7
2.1.3. Cláusula
Una Cláusula es un contrato, un documento por lo general escrito en
el que se establecen condiciones y posiciones acerca de un acuerdo
determinado. Concretamente, una cláusula es la determinación final,
se establece la relación de todos puntos que se tratan, se debe tener
en cuenta que una cláusula es un documento que se redacta bajo los
principios legales correspondientes. La definición de cláusula a pesar
de ser concreta y correspondiente a un basamento legal, puede ser
utilizada para denotar un acuerdo de cualquier índole, sin importar a
que margen de la ley establecida por el órgano correspondiente e
encuentre.
2.1.4. Control
Es el mecanismo para comprobar que las cosas se realicen como
fueron previstas, de acuerdo con las políticas, objetivos y metas fijadas
previamente para garantizar el cumplimiento de la misión institucional.
2.2. Antecedentes
Tesis N° 1
Título: Análisis y diseño de un sistema de gestión de seguridad de
información basado en la norma ISO/IEC 27001:2005 para una empresa de
producción y comercialización de productos de consumo masivo
Autor: Hans Ryan Espinoza Aguinaga
Enlace:
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/123456789/4957/ESPI
NOZA_HANS_ANALISIS_SISTEMA_GESTION_SEGURIDAD_INFORMACI
ON_ISO_IEC%2027001_2005_COMERCIALIZACION_PRODUCTOS_CON
SUMO_MASIVO.pdf?sequence=1
Conclusiones
Tal como se describió y presento a lo largo de este proyecto de fin de carrera,
la ade cuada gestión de la seguridad de información es algo que debe estar
ya incluido en la cultura organizacional de las empresas; y en todas ellas esta
adecuada gestión no se lograría sin el apoyo de la alta gerencia como
promotor activo de la seguridad en la empresa.
Debe tenerse en cuenta que el diseño de SGSI presentado se adapta a los
objetivos actuales del proceso de producción, en el cual se ha basado el
8
proyecto, y que este diseño podría variar ya que los objetivos estratégicos y
de gobierno de le empresa pueden cambiar y por ello algunos sub procesos
que forman parte del alcance del proyecto, también lo harán.
Tesis N° 2
Título: Guía de implementación de la seguridad basado en la Norma ISO/IEC
27001, para apoyar la seguridad en los Sistemas informáticos de la comisaria
del PNP En la ciudad de Chiclayo
Autor: Julio Cesar Alcántara Flores
Enlace:
http://tesis.usat.edu.pe/jspui/bitstream/123456789/491/1/TL_Alcantara_Flor
es_JulioCesar.pdf
Conclusiones:
1. Con la Guía de Implementación, se logró incrementar el nivel de la
seguridad en las aplicaciones informáticas de la institución policial, y esto se
vio reflejado en el incremento de políticas de seguridad que fueron puestas
en marcha que beneficiaron a la institución y ayudaron a incrementar el nivel
de seguridad en la misma.
2. El uso de la Guía de Implementación, se logró mejorar el proceso para
detectar las anomalías en la seguridad de la información, reflejado en
distintos mecanismos de seguridad para salvaguardarla y prevenir su mal uso
y divulgación no adecuada que perjudiquen a la institución.
3. Con el Plan de tratamiento de Riesgos, se permitió la disminución de los
niveles de riesgos con respecto a los activos de información, considerados
amenazas y vulnerabilidades en la institución, esto manifestado en un plan
adecuado para abordar estos riesgos, con mecanismos preventivos y
correctivos, tomando las precauciones necesarias que minimicen los
impactos respectivamente.
Tesis N° 3
Título: "Implementación de un sistema de gestión de Seguridad de la
información para una
Empresa de consultoría y auditoría, Aplicando la norma ISO/IEC 27001”
Autor: Diana Elizabeth Tola Franco
Enlace: https://www.dspace.espol.edu.ec/retrieve/89073/D-84631.pdf
9
Conclusiones:
1. Debido a que en las organizaciones es primordial la optimización de
recursos, el establecimiento del alcance del sistema de gestión de seguridad
de la información se convierte en una actividad muy importante ya que
delimita el campo de acción y el uso de recursos.
2. Es importante establecer los objetivos y políticas del sistema de gestión de
seguridad de la información, ya que estos van delineando el camino hacia
donde la organización desea dirigirse para preservar la confidencialidad,
integridad y disponibilidad de la información y por lo tanto es relevante la
participación de la alta gerencia.
3. La adopción de la metodología MAGERIT para el análisis de riesgos,
permitirá identificar de manera oportuna la probabilidad y el impacto de que
se materialicen los riesgos y de esta manera poder establecer controles que
nos ayuden a prevenirlos.
4. Los sistemas de Gestión de Seguridad de Información bajo la norma ISO
27001, se basan en la prevención, por lo tanto, es muy importante identificar
los riesgos a los que están expuestos los activos para así evitar pérdidas
económicas u operacionales.
5. Una vez identificados los riesgos a los que están expuestos los activos de
información, es necesario implementar controles o salvaguardas, con la
finalidad de proteger estos activos y lograr minimizar la probabilidad de que
se materialicen los riesgos o el impacto que pueden tener sobre la
organización. Es importante considerar que al momento de seleccionar los
controles se debe realizar un análisis de costo beneficio ya que el costo de la
implementación de un control no debe exceder la posible pérdida económica
de no tener implementado el control.
10
CAPÍTULO III: DESARROLLO DEL PROYECTO
11
DIAGRAMA BPMN
12
DOCUMENTO AUDITABLE
upervisor
Nombre y Apellidos Foto N° Cargo Firma
Documento
Descripción de Cambios
Área Procesos Responsable Fecha Entregables
Descripción
Control
Área 1 Proceso 1
Proceso 2
Proceso 3
…
Área 2
Área 3
13
A.12.1.3. Gestión de la Capacidad.
El uso de recursos debe ser monitoreado afinado y se debe hacer
proyecciones de los futuros requisitos de capacidad para asegurar el
desempeño requerido del sistema.
DIAGRAMA DE ACTIVIDADES
a) El jefe de informática inicia y pone en conocimiento el monitoreo de los
sistemas y la gestión de capacidad y exige al administrador de los equipos
realizar un informe.
14
DIAGRAMA BPMN
15
DOCUMENTO AUDITABLE
Supervisor
Nombre y Apellidos Foto N° Cargo Firma
Documento
Descripción de implementación
16
A.12.2. Protección contra códigos malicioso
17
DIAGRAMA BPMN
¿Aceptada
?
18
DOCUMENTO AUDITABLE
ACTA DE VERIFICACION
Procedimiento Descripción del Observaciones
procedimiento
19
A.12.5. Control del software operacional.
20
DIAGRAMA BPMN
¿Aceptada
?
21
DOCUMENTO AUDITABLE
Procedimiento:
Área:
Fecha:
Responsable
Apellidos y nombres: N° Documento Cargo Firma
ACTA DE VERIFICACION
Pasos Responsable Actividad Documento de trabajo
22
A.12.6. Gestión de vulnerabilidad técnica.
DIAGRAMA DE ACTIVIDADES
23
DIAGRAMA BPMN
¿Aceptada
?
24
DOCUMENTO AUDITABLE
Control A.12.6.1. Gestión de vulnerabilidades técnicas.
Prueba:
Área e:
Fecha:
Responsable
Apellidos y nombres: N° Documento Cargo Firma
ACTA DE VERIFICACION
Prueba Resultado Observaciones Conclusión
25
CONCLUSIONES
26
RECOMENDACIONES
27
REFERENCIAS
http://www.pecert.gob.pe/_publicaciones/2014/ISO-IEC-27001-2014.pdf
http://www.ongei.gob.pe/docs/Tallerv01%206.pdf
http://www.iso27000.es/iso27000.html
28
ANEXOS
29