UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS …dspace.uniandes.edu.ec/bitstream/123456789/4994/1/... ·...

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

UNIANDES

FACULTAD DE SISTEMAS MERCANTILES

CARRERA SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE

INGENIERO EN SISTEMAS E INFORMÁTICA.

TEMA:

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN BASADA

EN LA NORMA ISO 27001 SOBRE UN SERVIDOR CENTOS Y SERVICIOS DE

RED PARA EL APOYO DE LA SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN DE LA IMPORTADORA MEGATECH DE LA PROVINCIA DE

SANTO DOMINGO DE LOS TSÁCHILAS

AUTOR: GUERRERO SUÁREZ ROGELIO ALADINO.

ASESOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS

SANTO DOMINGO - ECUADOR

2016

AGRADECIMIENTOS

Primeramente a Dios por protegerme durante todo mi camino y darme fuerzas para

superar todos los obstáculos y dificultades a lo largo de mi vida.

Mi más profundo agradecimiento a la Universidad Regional Autónoma de los

Andes “UNIANDES” y a todos los Ing. Que con sus sabidurías me enseñaron sus

conocimientos y me guiaron para cumplir con mi objetivo, especialmente al Dr.

Fredy Cañizares por el apoyo necesario brindado en el proyecto de investigación.

Agradezco también la confianza y el apoyo brindado por parte de mi Madre, que sin

duda alguna en el trayecto de mi vida me ha demostrado su amor, corrigiendo mis

faltas y celebrando mis triunfos.

Rogelio Aladino Guerrero Suárez

DEDICATORIA

Dedico este trabajo principalmente a Dios, por darme la vida y permitirme llegar a

este momento tan importante de mi formación académica, a mi madre por siempre

creer en mí, y a mi hijo que siempre me motivo para seguir adelante.

Rogelio Aladino Guerrero Suárez

RESUMEN

A través de los años la información es el activo más importante en una organización

ya que este permite su éxito en el mercado, dando paso al hurto o manipulación

maliciosa de la misma, mediante un análisis en la empresa se verifico las

seguridades lógicas que tiene la empresa con su información encontrando muchas

vulnerabilidades, riesgos y amenazas.

El Sistema de Gestión de la Seguridad de la Información (SGSI), será aplicado

técnicamente con la finalidad de encontrar las vulnerabilidades en cuanto a la

disponibilidad, confidencialidad e integridad de la información, con el fin de

minimizarlas, tratarlas, gestionando los riesgos a la cual está expuesta la

información, con el objetivo de tener un Sistema de Seguridad en el servidor lo más

óptimo posible.

La importadora MEGATECH, se encuentra ubicada en el cantón de Santo Domingo

de la provincia de Santo Domingo de los Tsáchilas, con más de 22 años de

experiencia, Megatech cuenta con un grupo de profesionales capacitados y

certificados para responder y satisfacer las expectativas del Usuario como del

fabricante, con servicio de la más alta calidad humana y profesional para todos sus

clientes.

En esta investigación se utilizará métodos, técnicas e instrumentos que permitirán

obtener resultados que nos ayudaran a resolver la problemática, el objetivo principal

de este proyecto de tesis es ser una herramienta de apoyo para identificar los

riesgos lógicos que se presenten en la importadora Megatech, ya sean estos

existentes o latentes y determinar las vulnerabilidades a las que se encuentra

expuesta, recomendando las medidas apropiadas que deberían adoptarse para

conocer, prevenir, impedir y controlar los riesgos identificados y así minimizar los

perjuicios que pueden existir.

ABSTRACT

Over the years it has been seen that information is the most important asset in an

organization, as it allows success in the market but can also give way to malicious

theft or manipulation. Through an analysis of the company, the logical assurances

that the company has with its information were verified, finding many vulnerabilities,

risks and threats.

The Safety Management System of Information (ISMS), will be implemented

technically with the purpose of finding vulnerabilities in relation to the availability,

confidentiality and integrity of information in order to downplay them and manage

the risks to which the information is exposed. The goal is to have a security system

on the server be as optimal as possible.

The importer, MEGATECH, is located in the canton of Santo Domingo of the

province of Santo Domingo of the Tsáchilas. With more than 22 years of experience,

Megatech consists of a group of professionals trained and certified to respond to

and meet the expectations of the user and the manufacturer with service of the

highest human and professional quality for all its customers.

In this investigation methods, techniques and instruments will be used to make it

possible to obtain results that will help us to resolve the problem. The main objective

of this thesis project is to be a support tool to identify the logical risks that arise in

the importer Megatech, whether existing or latent, and determine vulnerabilities to

which it is exposed. Furthermore, appropriate measures will be recommended that

should be taken to learn, prevent, and control risks identified and thus minimizing

the damage that may exist.

ÍNDICE GENERAL

PORTADA

APROBACIÓN DEL ASESOR

DECLARACIÓN AUTENTICIDAD

DERECHOS DEL AUTOR

CERTIFICADO DEL LECTOR

AGRADECIMIENTOS

DEDICATORIA

RESUMEN

ABSTRACT

INTRODUCCIÓN .................................................................................................... 1

Antecedentes ....................................................................................................... 1

Planteamiento del problema ................................................................................ 2

Formulación del Problema ................................................................................... 4

Delimitación del Problema ................................................................................... 4

Objeto de Investigación ....................................................................................... 4

Campo de Acción ................................................................................................ 4

Identificación de la línea de Investigación ........................................................... 5

OBJETIVOS ........................................................................................................ 5

Objetivo General ......................................................................................... 5

Objetivo Específicos ................................................................................... 5

Hipótesis .............................................................................................................. 5

Variables .............................................................................................................. 6

Independiente ............................................................................................. 6

Dependiente ................................................................................................ 6

Justificación ......................................................................................................... 6

Breve explicación de la metodología investigativa a emplear.............................. 7

Resumen de la estructura del proyecto de investigación .................................... 8

Aporte teórico, significación práctica y novedad científica. .................................. 9

Aporte Teórico ............................................................................................ 9

Significación Práctica .................................................................................. 9

Novedad Científica ...................................................................................... 9

CAPÍTULO I .......................................................................................................... 10

MARCO TEÓRICO ............................................................................................... 10

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN............. 10

Definición de los Sistemas de Gestión ...................................................... 10

¿Que es un Sistema de Gestión de la Seguridad de la Información? ....... 11

Ciclo de vida de un sistema de Gestión .................................................... 11

Planificar ................................................................................................... 12

Hacer ........................................................................................................ 13

Verificar ..................................................................................................... 13

Actuar........................................................................................................ 14

Activo de la Información ............................................................................ 14

NORMAS ISO .................................................................................................... 15

Definición de la ISO .................................................................................. 15

NORMA ISO 27001 ........................................................................................... 17

Definición ISO 27001 ................................................................................ 17

Confidencialidad ....................................................................................... 18

Integridad .................................................................................................. 19

Disponibilidad ............................................................................................ 19

SEGURIDAD DE LA INFORMACIÓN................................................................ 20

Definición .................................................................................................. 20

Seguridad Lógica ...................................................................................... 21

Riesgo ....................................................................................................... 21

Identificación y Autenticación .................................................................... 22

Amenazas ................................................................................................. 23

Vulnerabilidades ....................................................................................... 23

Ataques ..................................................................................................... 24

Virus .......................................................................................................... 25

Hacker....................................................................................................... 26

Cracker ..................................................................................................... 27

Políticas de Seguridad ....................................................................................... 28

Copias de Seguridad ................................................................................ 29

PRIVACIDAD DE LA INFORMACIÓN ............................................................... 30

Definición .................................................................................................. 30

Contraseñas .............................................................................................. 31

Protocolos de seguridad de la información ............................................... 31

REDES Y COMUNICACIÓN DE DATOS .......................................................... 32

SOFTWARE ...................................................................................................... 33

DHCP ........................................................................................................ 33

Firewall...................................................................................................... 34

Proxy ......................................................................................................... 35

SOFTWARE LIBRE ........................................................................................... 36

SISTEMA OPERATIVO LINUX ......................................................................... 36

Definición .................................................................................................. 36

SISTEMA OPERATIVO CENTOS ..................................................................... 37

Introducción .............................................................................................. 37

Características .......................................................................................... 38

Raid .......................................................................................................... 39

CONCLUSIONES PARCIALES DEL CAPÍTULO I ............................................ 41

CAPÍTULO II ......................................................................................................... 42

MARCO METODOLÓGICO Y PLANTAMIENTO DE LA PROPUESTA .............. 42

ANÁLISIS PREVIO DE LA EMPRESA .............................................................. 42

Historia ...................................................................................................... 42

Servicios ................................................................................................... 43

Misión........................................................................................................ 43

Visión ........................................................................................................ 43

Valores corporativos ................................................................................. 44

Organigrama Estructural de la importadora Megatech. ..................................... 44

Modalidad de la Investigación ........................................................................... 45

Cualitativa ................................................................................................. 45

Cuantitativa ............................................................................................... 45

Tipos de Investigación ....................................................................................... 45

Investigación de Campo............................................................................ 45

Investigación Bibliográfica......................................................................... 46

Investigación Descriptiva .......................................................................... 46

Métodos de Investigación .................................................................................. 46

Método inductivo-deductivo ...................................................................... 46

Método Analítico – Sintético ...................................................................... 46

Técnicas de Investigación ................................................................................. 47

Observación .............................................................................................. 47

Entrevista .................................................................................................. 47

Instrumentos de Investigación ........................................................................... 47

Guía de Entrevista .................................................................................... 47

Guía de Observación Directa .................................................................... 47

Población y Muestra .......................................................................................... 48

Población .................................................................................................. 48

Muestra ..................................................................................................... 48

INTERPRETACIÓN DE RESULTADOS ............................................................ 49

Tabulación de datos de la entrevista ........................................................ 49

PROPUESTA DEL INVESTIGADOR: MODELO, SISTEMA Y METODOLOGIA

.......................................................................................................................... 53

Modelo PDCA ........................................................................................... 53

Definición de Requerimientos ................................................................... 54

Diseño ....................................................................................................... 54

Implementación ......................................................................................... 55

Pruebas ..................................................................................................... 55

Mantenimiento y Mejora Continua ............................................................ 55

CONCLUSIONES PARCIALES DEL CAPÍTULO II ........................................... 56

CAPÍTULO III ........................................................................................................ 57

VALIDACIÓN Y/O EVALUACIÓN DE LOS RESULTADOS DE LA APLICACIÓN

.............................................................................................................................. 57

INTRODUCCIÓN ............................................................................................... 57

OBJETIVOS ...................................................................................................... 57

Objetivo general ........................................................................................ 57

Objetivos específicos ................................................................................ 57

DESARROLLO DE LA PROPUESTA ................................................................ 58

SEGURIDAD DE LA INFORMACIÓN ACTUALMENTE EN LA IMPORTADORA.

.......................................................................................................................... 58

Contraseñas .............................................................................................. 58

Red interna ............................................................................................... 59

Acceso a la WEB ...................................................................................... 60

Antivirus .................................................................................................... 62

Control de aplicaciones en PC’s ............................................................... 62

Control de acceso a los equipos ............................................................... 62

Dispositivo de soporte ............................................................................... 63

Responsables de la seguridad de la información Y equipos ..................... 63

Backup ...................................................................................................... 64

INSTALACION DEL SERVIDOR. ...................................................................... 64

Instalación y configuración del servicio samba ......................................... 65

Instalación del servicio DHCP ................................................................... 67

Instalacion y configuracion del proxy ........................................................ 68

Configuración de firewall o cortafuegos. ................................................... 71

INSTALACIÓN CABLEADO ESTRUCTURADO. .............................................. 72

IMPLEMENTACION DEL SGSI ......................................................................... 74

Método PDCA ........................................................................................... 74

Etapas de implementación. ....................................................................... 75

ETAPA 1 PLANIFICAR ...................................................................................... 76

ALCANCE DEL SGSI ............................................................................... 76

POLÍTICA DE SEGURIDAD ..................................................................... 77

METODOLOGÍA DE EVALUACIÓN DE RIESGO .................................... 84

IDENTIFICACIÓN DE ACTIVOS .............................................................. 85

ANÁLISIS Y EVALUACIÓN DE RIESGOS. .............................................. 95

CONTROLES DE LA ISO 27001 QUE SE SELECCIONARON ................ 99

APLICABILIDAD DEL SGSI .................................................................... 105

ETAPA 2 HACER ............................................................................................ 115

DEFINIR PLAN DE TRATAMIENTO DE RIESGOS ............................... 115

IMPLANTAR PLAN DE TRATAMIENTO DE RIESGO ............................ 116

IMPLEMENTACIÓN DE CONTROLES................................................... 118

PRESUPUESTO ................................................................................................. 126

IMPACTO ADMINISTRATIVO ............................................................................ 127

CONCLUSIONES PARCIALES DEL CAPÍTULO III ............................................ 128

CONCLUSIONES GENERALES ......................................................................... 129

RECOMENDACIONES GENERALES ................................................................ 130

BIBLIOGRAFÍA

ÍNDICE DE FIGURAS

Figura 1 tabla de raid ....................................................................................... 40

Figura 2 organigrama estructural de la importadora Megatech ........................ 44

Figura 3 resultado de tabulaciones, pregunta 1, pregunta 2, pregunta 3 ......... 49

Figura 4 resultados de tabulaciones, pregunta 4 a la pregunta 6..................... 51

Figura 5 entrevista al personal de la importadora Megatech ........................... 52

Figura 6 ciclo de vida del sgsi .......................................................................... 54

Figura 7 estructura de la red de la importadora Megatech ............................... 61

Figura 8 centos instalado ................................................................................. 64

Figura 9 creación de usuarios y contraseña .................................................... 65

Figura 10 instalación de samba ....................................................................... 65

Figura 11 accedemos al archivo de samba smb.conf ...................................... 66

Figura 12 configuración grupo de trabajo ......................................................... 66

Figura 13 creación de carpetas y privilegios a usuarios ................................... 66

Figura 14 instalación del servicio DHCP .......................................................... 67

Figura 15 configuración del servicio DHCP ...................................................... 68

Figura 16 configuración IP + MAC ................................................................... 68

Figura 17 instalación del servicio squid ............................................................ 69

Figura 18 configuración recomendada squid ................................................... 69

Figura 19 primer acl prohibido.......................................................................... 70

Figura 20 segundo acl redes sociales .............................................................. 70

Figura 21 llamamos nuestras acl ..................................................................... 70

Figura 22 configuración iptables ...................................................................... 71

Figura 23 reenvío de paquetes ........................................................................ 71

Figura 24 administración del puerto tcp/443 .................................................... 72

Figura 25 nuevo esquema de la red interna ..................................................... 73

Figura 26 ciclo de vida del SGSI ...................................................................... 74

Figura 27 etapas de implementación del SGSI ................................................ 75

ÍNDICE DE TABLAS

Tabla 1 población ............................................................................................. 48

Tabla 2 entrevista al personal de la importadora Megatech ............................. 49



Tabla 5 inventario de equipos de la importadora Megatech ............................. 59

Tabla 6 detalle de implementos de red ............................................................ 72

Tabla 7 identificación de activos ...................................................................... 85

Tabla 8 confidencialidad .................................................................................. 86

Tabla 9 valores integridad ................................................................................ 86

Tabla 10 valores disponibilidad ........................................................................ 86

Tabla 11 valoración de activos ......................................................................... 87

Tabla 12 amenazas y vulnerabilidades ............................................................ 89

Tabla 13 valoración del impacto ....................................................................... 92

Tabla 14 determinación del riesgo ................................................................... 96

Tabla 15 selección de controles de la ISO 27001 ............................................ 99

Tabla 16 aplicabilidad del SGSI ..................................................................... 105

Tabla 17 plan de tratamiento de riesgo .......................................................... 116

Tabla 18 mantenimiento de equipos .............................................................. 124

Tabla 19 presupuesto implementación SGSI ................................................. 127

1

INTRODUCCIÓN

Antecedentes

En la Actualidad la Información que poseen las empresas se a vuelto lo más

importante, generando que el propósito de un sistema de gestión de la seguridad

de la información, sea garantizar que los riesgos de la seguridad de la información

sean conocidos, asumidos, gestionados y minimizados por la organización de una

forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los

cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Un servidor es una máquina informática que está al servicio de otras máquinas,

ordenadores o personas llamadas clientes y que le suministran a estos todo tipo de

información.

La finalidad de una red es que los usuarios de los sistemas informáticos de una

entidad o empresa puedan hacer un mejor uso de los mismos, mejorando de este

modo el rendimiento, así las entidades o empresas obtienen una serie de ventajas

del uso de las redes en su entorno de trabajo.

Una vez realizada la presente investigación, en la biblioteca de la Universidad

UNIANDES Santo Domingo, sobre el tema de Sistema de gestión de seguridad de

la información basada en la norma ISO 27000 se pudo constatar que no existe

ningún tema similar al presente. Sin embargo si existen temas relacionados con

servidores que nos servirán de GUIA para la elaboración del Trabajo.

“IMPLEMENTACIÓN, CONFIGURACIÓN DE UN SERVIDOR RADIUS

PARA LA ADMINISTRACIÓN Y SEGURIDADES DE ACCESO AL

SERVICIO WIRELESS EN LA UNIVERSIDAD REGIONAL AUTÓNOMA DE

LOS ANDES UNIANDES – SANTO DOMINGO” Autor. Tlgo. Diego Paul

Palma Rivera. Asesor. Ing. Saed Reascos. Año 2010.

2

“IMPLEMENTACIÓN DE TECNOLOGÍA ESTRUCTURADA PARA EL

SERVICIO DE TRANSMISIÓN DE VOZ-IP Y DATOS SOBRE UNA WMAN

ENTRE LOS DEPARTAMENTOS ADMINISTRATIVOS Y OPERATIVOS DE

LA COMERCIALIZADORA DE PRODUCTOS NATURALES JALEA REAL

DE LA CIUDAD DE SANTO DOMINGO” Autor. Jaime Daniel Urgilés

Echeverría Asesor. Ing. Fredy Cañizares. Año 2010.

“IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE

LA INFORMACIÓN USANDO LA NORMA ISO27000 SOBRE UN SITIO DE

COMERCIO ELECTRÓNICO PARA UNA NUEVA INSTITUCIÓN

BANCARIA APLICANDO LOS DOMINIOS DE CONTROL ISO27002:2005 Y

UTILIZANDO LA METODOLOGÍA MAGERIT” Autor. Marcel Eduardo León

Lafebré, Evelyn Anabell Mota Orrala, Joffre Manuel Navarrete Zambrano

Asesor. Ing. Víctor Muñoz Chachapoya. Año 2011.

Planteamiento del problema

En la actualidad los servidores se han vuelto lo más importante para el

almacenamiento de archivos de las empresas para su crecimiento, generando la

existencia de normas para la seguridad de la información, la ISO 27001 es un

estándar que nos brinda la confidencialidad, integridad y disponibilidad de los

archivos en las organizaciones.

En Ecuador uno de los principales activos de las empresas, es la información, lo

que significa que son más vulnerables a las amenazas de seguridad informática,

por lo cual es necesario que toda empresa que busque una excelencia en sus

productos o servicio, que ofrece, adopte un Sistema de gestión para el manejo

adecuado de la información.




certificados para responder y satisfacer las expectativas del usuario como del

3


clientes.

A través de una observación informal y una entrevista verbal realizada al Gerente

de dicha empresa, se pudo descubrir los problemas relacionados con la seguridad

de la información en la empresa.

El servidor existente XP profesional no está configurado, lo cual no posee

normativas de usuarios, no tiene un control sobre los host y no posee una

contraseña de Administrador, generando que cualquier usuario pueda tener

acceso a él.

La no configuración de Firewall en la empresa, ocasiona que cualquier host

no autorizado acceda al servidor y pueda hurtar la información de la

empresa.

No existe una configuración sobre la privacidad de la Red en la empresa,

cualquier usuario puede acceder a la información y manipular los archivos

de la empresa.

El acceso a páginas no autorizadas, genera una pérdida de tiempo por parte

del personal y pérdidas de contratos en las compras públicas y consumo de

internet innecesario.

La no configuración de Seguridades en la Red de la empresa, permite la

libertad de los datos de la empresa en la red para cualquier usuario.

Servidor XP, no es estable y se encuentra obsoleto, ocasionando molestia

en el personal, porque se bloquea y esto genera una mala atención al cliente.

La empresa no cuenta con un Backup ni Raid del Disco Duro del Servidor,

provocando que en cualquier momento la empresa puede perder toda

información.

4

No existen IP fijas en las maquinas, ocasionando una duplicación de IP en

los host que a su vez se quedan sin red.

Formulación del Problema

¿Cómo mejorar el control de la seguridad y privacidad de la información que se

encuentra en la importadora MEGATECH de la provincia de Santo Domingo de los

Tsáchilas?

Delimitación del Problema

La investigación se va a realizar en la importadora Megatech de la provincia de

Santo Domingo de los Tsáchilas, ubicado en la Calle Río Baba #143 bajos del

Ministerio del Ambiente en el cantón Santo Domingo, la cual estará orientada a un

Sistema de Gestión de la Seguridad de la Información (SGSI) donde se

implementaran los controles necesarios sobre un servidor CentOS5.5 que se va a

instalar y configurar de la siguiente manera, se necesitara un usuario y una

contraseña para ingresar al servidor mediante la cual dependiendo del usuario

tendrá acceso a las carpetas que se hayan dado acceso desde el servidor, se

implementara un firewall para el acceso de internet a la red local, y bloquear redes

sociales mediante el puerto seguro 443, y un proxy para bloquear paginas no

deseadas, un servicio de red totalmente cableado y así obtener una

confidencialidad, integridad y disponibilidad de la información , la importadora si

desea puede pedir la certificación ISO27001 caso contrario no se la ara, la presente

investigación se realizará durante el año 2015-2016.

Objeto de Investigación

Sistema de Gestión de la Seguridad de la Información (SGSI)

Campo de Acción

Seguridad y Privacidad de la Información.

5

Identificación de la línea de Investigación

Tecnologías de Información y Comunicaciones.

OBJETIVOS

Objetivo General

Implementar un Sistema de gestión de la seguridad de la información basada en la

norma ISO 27001 sobre el servidor CentOS y servicios de red que se va a

configurar, para el apoyo de la seguridad y privacidad lógica de la información de

la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas.

Objetivo Específicos

Fundamentar Científicamente y teóricamente todo lo relacionado al Sistema

de Gestión de la Seguridad de la Información, servidores de datos y servicios

de Red.

Analizar la problemática de la seguridad de la información de la empresa

Megatech de la provincia de Santo Domingo de los Tsáchilas.

Implementar Un Servidor CentOS más servicios de Red para la seguridad y

privacidad de la información de la importadora Megatech de la provincia de

Santo Domingo de los Tsáchilas.

Hipótesis

Con la implementación del Sistema de Gestión de la Seguridad de la Información

basado en la ISO 27001, se tendrá una mejora continua en la seguridad y privacidad

de la información, sobre el servidor que se va a configurar con sus servicios de red

y así tener una garantía en la disponibilidad e integridad de la información a todo

6

momento lo cual mejorara los ingresos de la importadora Megatech de Santo

Domingo de los Tsáchilas.

Variables

Independiente

Sistema de Gestión de la Seguridad de la Información basado en la ISO 27001

Dependiente

Seguridad y privacidad de la Información.

Justificación

Las seguridades en general se han basado a evitar los peligros, riesgos y daños, la

seguridad no es un producto que pueda comprarse en una tienda, pues consiste en

un conjunto de políticas, personas, procesos y tecnologías. Las organizaciones

están conscientes que necesitan proteger y almacenar su información con la cual

tienen una importante competitividad en el mercado, a su vez encontrándose

expuestos cada vez a un número elevado de riesgos y amenazas, surgiendo una

gran demanda en servidores locales y las organizaciones grandes y pequeñas

están optando por un servidor con las mejores seguridades que puede tener, el cual

en el mercado tecnológico encontramos en primer lugar al SO LINUX CENTOS que

da una excelente garantía en seguridades y servicios de red, dejando instalar varios

servicios en una misma TORRE, aparte de ser libre y con la comunidad en la web

más grande, en cuanto a servidores en la cual se puede consultar cualquier duda

sobre el mismo, y así evitar el robo y manipulación de sus datos confidenciales,

porque hoy en día es fácil tener herramientas que permiten a personas no

autorizadas llegar a esta información, aumentando día a día hackers, cracker, lamer

informáticos, robos de identidad, spam, virus, por nombrar algunos, y esto puede

llevar a la quiebra a cualquier empresa en crecimiento.

7

Pero se necesita conocer las amenazas lógicas para poder afrontarlas y evitarlas

de una manera adecuada, para ello debemos evaluar los riesgos que nos puede

presentar el servidor y los host conectados al mismo.

Un Sistema de Gestión de Seguridad de la información ISO. 27001, es una

herramienta o metodología sencilla y de bajo costo que cualquier organización ya

sea grande o pequeña la puede utilizar, la norma permite establecer políticas,

procedimientos y controles con objetivo de disminuir los riesgos lógicos en el

servidor de su organización.

Los beneficios que nos brindaría el Sistema de Gestión de la seguridad de la

información ISO 27001 sería una estructura de reducción de riesgos lógicos y llevar

un seguimiento sobre ellos, reducir perdidas de información, cumplimientos de las

políticas establecidas para que la información esté asegurada, ahorro a la inversión

innecesaria sobre evitar los riesgos lógicos del servidor.

Breve explicación de la metodología investigativa a emplear.

Se entrevistó verbalmente al Gerente de la importadora Megatech de la Provincia

de Santo Domingo de los Tsáchilas, para tratar la problemática, llegando a

determinar que para esta investigación se va a utilizar la metodología cuali-

cuantitativa, ya que se investigó de forma cualitativa cada proceso que se realiza

para conectarse a la red de la empresa y poder abrir y almacenar archivos alojados

en el servidor.

Se aplicaran los métodos: inductivo-deductivo, donde con el método inductivo

analizaremos el problema general que tiene la empresa en cuanto a la seguridad y

privacidad de los datos y poder buscar respuestas a la problemática. Y del método

deductivo partiremos de los datos generales que obtengamos para deducir y buscar

una solución al problema que presenta la empresa.

Además se utilizara el método analítico-sintético, donde nos ayudara a analizar las

causas y efectos que se pudo recopilar de una forma muy ordenada. Y así poder

8

sintetizar la recopilación que hemos hecho y determinar un todo para la seguridad

y privacidad de la información en la importadora Megatech de la provincia de Santo

Domingo de los Tsáchilas.

En lo que respecta a la investigación del campo nos permitirá conocer en el lugar

de los hechos cómo se están manejando las seguridades y privacidades de la

información, y así mejorar la confidencialidad, integridad y disponibilidad de la

información a todo momento.

Resumen de la estructura del proyecto de investigación

En la introducción de la presente tesis se encuentra los antecedentes de la

investigación que dio paso al planteamiento del problema, creando una hipótesis,

lo cual permitió la implementación de un sistema de gestión de la seguridad de la

información basado en la norma ISO 27001 para el apoyo de la seguridad y

privacidad de la información en la importadora Megatech.

Capítulo I: El marco teórico se basa en fundamentar el tema de investigación a

través de libros, revistas, y direcciones electrónicas en la WEB, este capítulo

también habla del origen y evolución de nuestro objeto de estudio, analizando

distintas posiciones teóricas para poder dar una valoración crítica a nuestro objeto

de la investigación.

Capítulo II: El marco metodológico es donde presentamos la propuesta para la

solución al problema según los resultados alcanzados en la investigación gracias a

la metodología, los tipos de investigación, métodos y las técnicas e instrumentos

de recolección de información que se emplearon, también se habla de una breve

introducción de la empresa donde se va a desarrollar la investigación.

Capítulo III: Validación y/o evolución de resultados de su aplicación, se realiza un

análisis de los resultados alcanzados en la investigación para poder llegar a la

implementación de nuestro Sistema de gestión de la Seguridad de la Información

que se basa en la norma ISO 27001, donde ayudara a la seguridad y privacidad de

9

la información, reduciendo los riesgos, vulnerabilidades y amenazas,

implementando controles de seguridad, permitiendo que la información sea

confidencial, integra y que siempre esté disponible cuando se la necesite.

Aporte teórico, significación práctica y novedad científica.

Aporte Teórico

Por medio de la investigación realizada acerca de los Sistema de Gestión de la

Seguridad de la Información basada en la ISO 27001, para la seguridad y privacidad

de la información, tiene como finalidad resguardar la información expuesta a los

riesgos, vulnerabilidades y amenazas mediante controles de seguridad, se

mejorara la seguridad y privacidad de la información en el servidor de la

importadora Megatech dando una mejor imagen a la misma.

Significación Práctica

La significación práctica consiste en la aplicación del Sistema de Gestión de la

Seguridad de la Información en la importadora Megatech para la seguridad de la

información y así resolver la problemática, de esta manera mejorar las políticas de

privacidad y evitar que colapse el servidor en la red.

Novedad Científica

El Sistema de Gestión de la Seguridad de la Información ayudará de mucho al

servidor para administrar la información, ya que contara con controles que tienen

una mejora continua ya que no son estáticos en cuanto a la seguridad y privacidad

de la información, con la cual se obtendrá una mayor confidencialidad,

disponibilidad e integridad de los archivos al momento de acceder al servidor, y este

será de fuente de consulta para docentes, estudiantes, con el mismo tipo de

necesidad de información.

10

CAPÍTULO I

MARCO TEÓRICO

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Definición de los Sistemas de Gestión

El sistema de gestión es la herramienta que permite dar coherencias a todas las

actividades que se realizan, y en todos los niveles, para alcanzar el propósito de la

organización. Una organización se encuentra en un nivel determinado de madurez

dependiendo del sistema de gestión que está utilizando, o dicho de otra manera,

una empresa crece en madurez a medida que va consolidando un sistema de

gestión que le permite alinear todos los esfuerzos en la misma dirección apunta a

una imagen de empresa concreta (visión) el crecimiento debe ser equilibrado. Para

identificar la situación actual de la empresa y las áreas débiles respecto al

crecimiento equilibrado. ( Ogalla Segura, 2012, págs. 3, 4)

El sistema de gestión es un instrumento administrativo creado y apoyado por la

dirección de la empresa que le permite obtener las informaciones necesarias,

fiables y oportunas, para la toma de decisiones operativas y estratégicas. Tiene un

papel fundamental como sistema de información para la misma. (Muñiz, 2013, pág.

28)

Un sistema de Gestión es el que ayuda a prevenir los riesgos que presente la

organización de una forma ordenada, documentada, para tener una mejora

continua y seguimiento de los riesgos que presente constantemente para lograr las

metas y objetivos que se tiene propuesta la organización a un largo plazo de una

forma estratégica optimizando procesos.

11

¿Que es un Sistema de Gestión de la Seguridad de la Información?

Un SGSI es una parte del sistema de gestión de una organización, basado en una

aproximación a los riesgos del negocio, que permite establecer, implementar,

operar, monitorizar, revisar, mantener y mejorar la seguridad de la información de

una organización. (Gil, 2014, pág. 205)

Hay que darse cuenta de que la creación de un SGSI es una decisión estratégica

de la organización y debe ser apoyada y supervisada por la dirección. Su

implementación dependerá de los objetivos establecidos, los requisitos de

seguridad, los procesos involucrados y la propia estructura de la organización. (Gil,

2014, pág. 205)

Con un Sistema de Gestión de la seguridad de la información, la organización

conoce los riesgos a los que está sometida su información y los gestiona mediante

una sistemática definida, documentada y conocida por todos, que se revisa y

mejora constantemente. (De Pablos Heredero, López Hermoso Agius, Romo

Romero, & Medina Salgado, 2011, pág. 362)

Un SGSI es un conjunto de políticas de privacidad documentada para reducir los

riesgos en la organización y evitar pérdidas de información, un SGSI es muy

utilizado por la familia de norma ISO 27000, ya que este estándar preservara la

confidencialidad, integridad y disponibilidad de los datos a todo momento, no hay

que confundir SEGURIDAD DE LA INFORMACIÓN CON SEGURIDAD

INFORMATICA.

Ciclo de vida de un sistema de Gestión

El ciclo “Planificar-Hacer-Verificar-Actuar” fue desarrollado inicialmente en la

década de 1920 por Walter Shewhart, y fue popularizado luego por W. Edwards

Deming, razón por la cual es frecuentemente conocido como “Ciclo Deming”.

Dentro del contexto de un SGC, el PHVA es un ciclo dinámico que puede

desarrollarse dentro de cada organización y en el sistema de procesos como un

12

todo. Está íntimamente asociado con la planificación, implementación, control y

mejora continua, tanto en la realización del producto como en otros procesos del

sistema de gestión. (Pérez Villa & Múnera Vásquez, 2007, pág. 50)

El ciclo de mejora continua se distinguen cuatro fases: planificar, hacer, verificar y

actuar que se corresponden con las cuatro áreas del círculo PDCA o PHVA,

conocido también como rueda Deming, con el que se identifica la mejora continua.

La mejora continua debe ser un objetivo permanente de las organizaciones; todo lo

que suponga un estancamiento de las actividades para la búsqueda de la mejora

continua acabará por significar un retroceso en la efectividad del sistema de

gestión. (Couto Lorenzo, 2011, págs. 2,3)

El ciclo de Deming de Planificar-Hacer-Verificar-Actuar es un eficaz sistema para la

gestión de calidad, un conjunto de prácticas de gestión que ayuda a las compañías

a mejorar su calidad y productividad. (Case, 2009, pág. 186)

El ciclo de vida de los Sistemas de Gestión conocido como ciclo de Deming

mediante sus cuatro fases: Planificar, Hacer, Verificar y Actuar es el que se encarga

de dar una mejora continua a la productividad de los servicios o a su vez a la

reducción de los riesgos laborales que pueda presentar mediante una planificación,

con el fin de lograr los objetivos y metas propuestos por la organización.

Planificar

Establecer los objetivos y procesos necesarios para conseguir resultados de

acuerdo con los requisitos del cliente y las políticas de la organización. (Cabo

Salvador, 2014, pág. 628)

Reunir datos del proceso a estudiar, como planificar lo que se desea lograr en un

tiempo determinado, señalando las actividades a desarrollar. (Tamioka Suzuki,

Quijano Urbina, & Canavesi Rimbaud, 2014, pág. 43)

13

Planificar en el ciclo de vida del SGSI es definir las actividades con las cuales se

lograra los objetivos con los que se llegara a tener la implementación de un Sistema

de Gestión de la Seguridad de la Información.

Hacer

Consiste en la implementación del plan propuesto. Es conveniente antes de la

implantación definitiva, realizar un proyecto piloto en un área de la empresa, para

detectar posibles actitudes de resistencia a los cambios propuestos y es

recomendable que toda variación respecto a lo programado quede documentada.

(Gonzáles Gaya, Domingo Navas, & Sebastián Pérez, 2013, pág. 23)

Se implementan o ejecutan los pasos identificado en la planificación. Después se

pasa al nivel de verificación (Check), en el que, una vez ha transcurrido el tiempo

estimado, se comprueban los resultados comparándolos con los objetivos y

especificaciones iniciales. Esas comprobaciones se documentan. (Villar Varela,

2014, pág. 77)

Hacer en el ciclo de vida del SGSI es realizar los procesos que se lograron mediante

los objetivos en la planificación, y guardar todos los procesos realizados, y si es

posible capacitar al personal que se involucra en el Sistema Gestión de la

Seguridad de la Información.

Verificar

Es el momento de verificar y controlar los efectos y resultados que surjan de aplicar

las mejoras planificadas. Se ha de comprobar si los objetivos marcados se han

logrado o, si no es así, planificar de nuevo para tratar de superarlos. (Cuatrecasas

Arbós, 2010, pág. 66)

Pasado un periodo de tiempo previsto antemano, volver a recopilar datos de control

y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para

14

evaluar si se ha producido la mejora esperada, documentar las conclusiones.

(Fernández García, 2010, pág. 30)

Verificar en el ciclo de vida del SGSI es realizar un seguimiento de las políticas,

objetivos que se implementaron en las fases anteriores para determinar si se

obtienen los resultados que se esperaban o se necesita realizar una mejora

continua, informar sobre las conclusiones que se obtiene.

Actuar

Mantener y mejorar el SGSI, realizar las acciones preventivas y correctivas,

basados en las auditorías internas y revisiones de Sistema de Gestión de la

Seguridad de la Información o cualquier otra información relevante para permitir la

continua mejora del Sistema de Gestión. (Corletti Estrada, 2011, pág. 516)

En función de los resultados de la comprobación anterior, en esta etapa se realizan

las correcciones necesarias, ajustes, o se convierten las mejoras alcanzadas de

una forma estabilizada de ejecutar el proceso actualización. (Hernández Herrero,

Moreno Gonzáles, Zaragozá García, & Porras Chavarino, 2011, pág. 688)

Actuar en el ciclo de vida del SGSI es realizar modificaciones, correcciones a

nuestro Sistema de Gestión si la mejora que se esperaba no es la adecuada, para

que la próxima vez se obtenga la mejora que se desea, lo bien se corrige lo mal se

elimina.

Activo de la Información

En función del momento en el que se encuentre un documento dentro de su ciclo

vital, se utilizará con mayor o menor frecuencia. Si la documentación se consulta

con mucha frecuencia, se conservará en el archivo activo o de gestión, que la

almacena en las mismas oficinas en las que se produce para que sea más fácil y

rápido recuperarla. Los documentos con vigencia absoluta deben estar disponibles

15

en cualquier momento y para cualquier persona. (Hermida Mondelo & Iglesias

Fernández, 2014, págs. 96, 97)

La información se ha convertido en uno de los activos más importantes de todas

las empresas y organizaciones, con independencia de cuáles sean sus ámbitos de

negocio o actuación. Para obtener esta información, sus sistemas informáticos (SI),

en general, necesitan acceder a diferentes fuentes de datos guardadas en

dispositivos de almacenamiento permanente. (Marco Galindo, Marco Simó, Prieto

Blázquez, & Segret Sala, 2010, pág. 139)

La información es un activo, llegando hacer lo más importante en una organización,

guardados lógicamente o físicamente, la cual está expuesta a riesgos laborales, los

Sistemas de Gestión de la Seguridad de la Información nos ayuda a la prevención

de estos riesgos para que las organizaciones cuenten con su información a todo

momento con una confidencialidad, disponibilidad e integridad.

NORMAS ISO

Definición de la ISO

La organización Internacional para la estandarización ISO (International

Organization for Standardization) tiene como objetivo el desarrollo de diversos tipo

de normas. La norma ISO 9000 (www.iso.org) busca promover la gestión dela

calidad, para lo cual, la organización que desee recibir esta certificación debe

cumplir con una serie de criterios de calidad en relación a los requerimientos de los

clientes, aplicar regularmente estos requerimientos para mantener su satisfacción

y lograr continuas mejoras de desarrollo en pos de conseguir los objetivos

propuestos calidad. (Morales Morgado, 2010, pág. 132)

ISO define la calidad como: “El conjunto de propiedades características de un

producto o servicio que le confieren su aptitud para satisfacer unas necesidades

expresadas o implícitas”. (Morales Morgado, 2010, pág. 132)

16

Las Organización Internacional de Normalización (ISO) es una federación de

organismos nacionales de normalización. Los comités técnicos de ISO (ISO/TC)

llevan a cabo el trabajo de elaboración de las normas internacionales. Todos los

organismos miembros interesados en una materia para la cual se haya establecido

un comité técnico tienen derecho a estar representados en dicho comité. Otras

organizaciones internaciones, publicas y privadas, en coordinación con ISO,

participan en el trabajo. (Griful Ponsati & Canela, 2005, pág. 34)

ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en

todas las materias de normalización electrotécnica. Los proyectos o borradores de

normas internacionales (ISO/DIS) elaborados por los comités técnicos son

enviados a los organismos miembros para su votación, que requiere para su

aprobación una mayoría del 75%. (Griful Ponsati & Canela, 2005, pág. 34)

La ISO (International Standardization, u Organización Internacional de

Normalización) produce normas técnicas de carácter específico y de adhesión

voluntaria desde 1947. Las técnicas y sectores de negocio que abarcan se han ido

ampliando y, claro está, diversificando cada vez más, llegando incluso en la

actualidad a entes de carácter público. (Florentino fernández, Iglesias Pastrana,

Llaneza Álvarez, & Fernández Mñiz, 2010, pág. 221)

La ISO (Organización Internacional de Normalización) está presente en 157 países

en el mundo y tiene como finalidad establecer normas documentadas a los

productos o servicios que prestan o venden en una organización pública o privada

y así garantizar la calidad a la necesidad del consumidor, logrando una buena

imagen de la organización, obteniendo una satisfacción con los clientes o con los

procesos que se realicen.

17

NORMA ISO 27001

Definición ISO 27001

Se denomina requisitos para la especificación de sistemas de gestión de la

seguridad de la información (SGSI) proporciona un macro de estandarización para

la seguridad de la información para que sea aplicado en una organización o

empresa y comprende un conjunto de normas sobre las siguientes materias:

Según (García, Hurtado, & Alegre Ramos) Una organización comprende un

conjunto de normas sobre las siguientes materias:

Sistemas de gestión de la seguridad de la información.

Valoración de riesgos

Controles

Que constituye a la ISO 17799-1, abarca un conjunto de normas relacionadas con

la seguridad informática. Se basa en la norma BS 7799-2 de British Standard, otro

organismo de normalización. . (García, Hurtado, & Alegre Ramos, 2011, pág. 19)

Según esta norma, que es la principal de la serie, la seguridad de la información es

la preservación de su confidencialidad, integridad y disponibilidad, así como de los

sistemas implicados en su tratamiento. (García, Hurtado, & Alegre Ramos, 2011,

pág. 19)

La norma 27001 gestiona. Se basa en un Sistema de Gestión de la Seguridad de

Información, también conocido como SGSI. Este sistema, bien implantado en una

empresa, nos permitirá hacer un análisis de los requerimientos de la seguridad de

nuestro entorno. Con ellos, podremos crear procedimientos de mantenimiento y

puesta a punto, y aplicar controles para medir la eficacia de nuestro trabajo. La

norma contempla cada uno de estos requisitos y nos ayuda a organizar todos los

procedimientos. (Marchionni, 2011, pág. 90)

18

Todas estas acciones protegerán la empresa frente a amenazas y riesgos que

puedan poner en peligro nuestros niveles de competitividad, rentabilidad y

conformidad legal para alcanzar los objetivos planteados por la organización.

(Marchionni, 2011, pág. 90)

ISO/IEC 27001 Information Security Management Systems Requirementes

(Requerimientos para los Sistemas de Gestión de Seguridad de la Información),

norma que permite certificar la implementación de un sistema de Gestión de

Seguridad de la Información en una Organización. (Vieites, 2011, pág. 153)

La ISO 27001 nos da prioridad al Sistema de Gestión, permitiendo escoger los

controles que se necesiten para minimizar los riesgos encontrados, es una norma

que ayuda a gestionar la seguridad de la información en cualquier tipo de

organización, analizando las amenazas, vulnerabilidades y riesgos laborales que

se presentan, permitiendo tener una información segura gracias a la Integridad,

Disponibilidad y Confidencialidad que esta brinda a todo momento, logrando que se

cumplan las políticas establecidas y tener una buena imagen en la empresa.

Confidencialidad

La confidencialidad de la información es la propiedad mediante la que se garantiza

el acceso a la misma solo a usuarios autorizados. (Tejada, 2014, pág. 2)

Está relacionada con la prevención del acceso no autorizado a la información. El

objetivo básico es salvaguardar los datos ante operacionales de lectura por parte

de usuarios, ya sean personas o programas, no habilitados. (Aedo Cuevas, y otros,

2009, pág. 154)

La confidencialidad nos permite que la información siempre sea solo vista por

personal autorizado y no por terceros, evitando una divulgación de los archivos

personales de las organizaciones.

19

Integridad

Garantizando que la información y sus métodos de proceso son exactos y

completos, y podríamos matizar que, por tanto, permitiendo el acceso con

posibilidad de variación, que incluiría añadidos, modificaciones y borrados, pero

sólo a quienes estén autorizados, y que podrían ser diferentes del grupo anterior:

el de la confidencialidad. (Navarro, Ramos Gonzáles, & Ruiz, 2010, pág. 14)

Es la propiedad que busca mantener los datos libres de modificaciones no

autorizadas. La integridad es el mantener con exactitud la información tal cual fue

generada, sin ser manipulada o alterada por personas o procesos no autorizados.

(Medina, 2014, pág. 17)

La integridad nos permite que la información siempre debe mantenerse tal cual se

la escribió en dicha organización, sin ningún tipo de manipulación por personas no

autorizadas, con el fin de no perjudicar a terceros debido a las manipulaciones que

se pudieran realizar.

Disponibilidad

La disponibilidad se refiere a la recepción del dato a tiempo para cumplir su finalidad

y por parte de los destinatarios autorizados, esto es, la accesibilidad de los datos

cuando sea preciso y por quienes están facultados para ello. (Rebollo Delgado &

Serrano Pérez, 2008, pág. 148)

Los datos deben estar disponibles en el momento en que se necesitan. (Quesnel,

2012, pág. 151)

La disponibilidad es la característica, cualidad o condición de la información de

encontrarse a disposición de quienes deben acceder a ella, ya sean personas,

procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la

información y a los sistemas por personas autorizadas en el momento que así lo

requieran. (Revista de la Segunda Cohorte, 2014, pág. 104)

20

La disponibilidad nos permite que la información siempre se la va a poder encontrar

al momento que se la necesite, cualquier usuario autorizado tiene accesibilidad a

ella, es aquí donde la organización garantiza su efectividad en una información

disponible a todo momento.

SEGURIDAD DE LA INFORMACIÓN

Definición

La seguridad de la información es el conjunto de medidas preventivas y reactivas

de las organizaciones y de los sistemas tecnológicos que permiten resguardar y

proteger la información buscando mantener la confidencialidad, la disponibilidad e

integridad de la misma. (Revista de la Segunda Cohorte, 2014, pág. 100)

El concepto de seguridad de la información no debe ser confundido con el de

seguridad informática, ya que este último solo se encarga de la seguridad en el

medio informático, pero la información puede encontrarse en diferentes medios o

formas, y no solo en medios informáticos. (Revista de la Segunda Cohorte, 2014,

pág. 100)

Este hecho se basa en que la información va mucho más allá de la netamente,

procesada por equipos informáticos y sistemas; es decir, también abarca aquello

que pensamos, que está escrito en un papel, que decimos, etc. (Jara & Pacheco,

2012, pág. 15)

Si consultamos la norma ISO/IEC 27001, esta nos dice que la seguridad de la

información es aquella disciplina que tiene por objeto preservar la confidencialidad,

integridad y disponibilidad de la información; y que puede involucrar otras

propiedades, como la autenticidad, la responsabilidad, el no repudio y la

trazabilidad. (Jara & Pacheco, 2012, pág. 15)

La seguridad de la información no hay que confundirla con seguridad informática,

es aquí donde documentamos todas las políticas, protocolos, reglamentos, normas

21

etc., Se le da prioridad a la confidencialidad, integridad y disponibilidad de la

información para poder minimizar, tratar y gestionar los riesgos lógicos que se

presenten a la información y así se pueda obtener un total resguardo de la misma,

llegando a cumplir los objetivos que se ha propuesto la organización mediante las

políticas de seguridad.

Seguridad Lógica

Es toda aquella relacionada con la protección del software y de los sistemas

operativos, que en definitiva es la protección directa de los datos y de la

información. (Aguilera López P. , 2010, pág. 30)

Consiste en la aplicación de barreras y procedimientos que resguarden el acceso

a los datos y solo se permita acceder a ellos a las personas autorizadas para

hacerlo. Algunas de las principales amenazas que tendrán que combatir los

administradores de sistemas son el acceso y modificaciones no autorizadas a datos

y aplicaciones. La seguridad lógica se basa, en gran medida, en la efectividad

administración de los permisos y el control de acceso a los recursos informáticos,

basados en Identificación, autentificación y autorización de accesos. (Costas

Santos, 2011, pág. 66)

Seguridad Lógica se basa en la protección del Sistema Operativo donde se

encuentra la información y software de la empresa, administrando el acceso a estos

recursos, ayudando a mantenerla siempre protegida o a un nivel alto de seguridad,

ya que el mismo SO está expuesto a riesgos, amenazas y vulnerabilidades.

Riesgo

Estimación del grado de explosión a que una amenaza se materialice sobre uno o

más activos causando daños o perjuicios a la organización. (España, 2012, pág.

229)

22

Se denomina riesgo a la posibilidad de que se materialice o no una amenaza

aprovechando las vulnerabilidades. No constituye riesgo una amenaza cuando no

hay vulnerabilidad ni una vulnerabilidad cuando no existe amenaza para la misma.

(Aguilera López P. , 2010, pág. 14)

Es un evento o condición incierta, que en caso de ocurrir, tiene un efecto positivo o

negativo sobre los objetos o proyectos. (Toro López, 2013, pág. 135)

El riesgo en la información siempre está latente esperando el momento en que una

amenaza ocurra aprovechando las vulnerabilidades que existan y más si se trata

de una organización con documentos importantes siempre se vivirá con el miedo

de perder todo lo que se tiene.

Identificación y Autenticación

Mediante algo que se pueda portar (por ejemplo, tarjeta magnética), algo que se

conoce (contraseña) o algo físico, biológico o fisiológico (biometría). Una vez

realizada la identificación y la autenticación, cada usuario dispondrá de un

determinado nivel de acceso a la información, en función de parámetros que se

establezcan. (Aguilera López P. , 2010, pág. 136)

Su objetivo es comprobar la identidad del usuario, es decir ¿es realmente quien

dice ser?, el usuario proporciona información acerca de su identidad para que el

servidor pueda identificar. Normalmente el usuario da su nombre de usuario (login)

y su contraseña. Estos dos datos también se llaman credenciales y si el servidor

comprueba que estas credenciales coinciden con las almacenadas en su base de

datos. (Mifsuf Talón, 2012, pág. 3 de 27)

La identificación y autenticación es parte de la mayoría de servicios TIC, El

propósito de la Identificación es comprobar, analizar que usuario accede a la

información y mediante la autenticación que se la haya dado identificar que el

usuario es quien dice ser y brindar los permisos que se le haya otorgado a ese

usuario para que pueda acceder a la información a la cual tiene permiso.

23

Amenazas

En sistemas de información se entiende por amenaza la presencia de uno o más

factores de diversa índole (personas, máquinas o sucesos) que de tener la

oportunidad atacarían al sistema produciéndole daños aprovechándose de su nivel

de vulnerabilidad. (Aguilera López P. , 2010, pág. 13)

Las amenazas son los eventos que pueden desencadenar un incidente en la

organización, produciendo daños o pérdidas inmateriales en sus activos. Se

pueden agrupar en clases y los atributos a tener en cuenta son: su código, nombre,

frecuencia. (De Pablos Heredero, López Hermoso Agius, Romo Romero, & Medina

Salgado, 2011, pág. 280)

Las amenazas en la información pueden existir a partir de una vulnerabilidad, si

existen vulnerabilidades existen amenazas, y es la que atenta contra la seguridad

de la información, la falta de capacitación en materia de seguridad de la información

ha causado el aumento de amenazas por parte del personal de la organización.

Vulnerabilidades

Una vulnerabilidad de seguridad es una debilidad en un componente del sistema

que pudiera ser explotada para permitir el acceso no autorizado o causar

interrupción del servicio. La naturaleza de las vulnerabilidades podría ser de

múltiples tipos: técnicas (por ejemplo, una falla en el sistema operativo o navegador

web), administrativas (por ejemplo, no educar a usuarios acerca de problemas

críticos de seguridad), culturales (ocultar contraseñas bajo e teclado o no destruir

informes confidenciales), procedimental (no pedir contraseñas complejas o no

revisar las ID de usuario), etc. Cualquiera que sea el caso, cuando una

vulnerabilidad de seguridad se deja sin verificar, puede convertirse en una

amenaza. Una amenaza de seguridad es una inminente violación de seguridad que

puede ocurrir en cualquier momento debido a una vulnerabilidad no revisada.

(Coronel, Morris, & Rob, 2011, pág. 630)

24

Es el estado normal en que se encuentra los bienes, expuestos a una o varias

amenazas. Es decir, el grado de facilidad con que podrán producirse daños en las

personas, cosas o procesos a proteger como consecuencia de las amenazas. Es

importante tener en cuenta las siguientes preguntas. Según (Mora Chamorro, 2010,

pág. 15)

Qué debe protegerse ?

Qué amenazas existen ?

Qué grado de vulnerabilidad presentan ante estas amenazas ? (Mora

Chamorro, 2010, pág. 15)

La vulnerabilidad es todo punto débil que pudiera existir en el hardware como en el

software, pudiendo esta atentar contra la información que existiera en la empresa,

afectando la confidencialidad, integridad, disponibilidad de la misma, es importante

identificar cuáles serían esas amenazas o vulnerabilidades que está expuesta los

datos de la organización para combatirla, minimizarlas y así poder protegerla de

cualquier daño que esta pudiera causar.

Ataques

Los ataques cibernéticos se han multiplicado desde principios del siglo XXI, siendo

los más destacados los relacionados con el perjuicio económico como el fraude y

estafas en la red (e-fraud, o fraude electrónico, constituido por el phishing,

pharming, timo nigeriano, captación de mulas para el blanqueo de dinero, etc.) el

espionaje industrial, o ataques a gobiernos. (Jiménez garcía, y otros, 2014, pág.

92)

Los ataques a la seguridad pueden tener efectos muy diversos en nuestros

sistemas. Algunos de estos efectos son los siguientes: Según. (Romero Ternero, y

otros, 2014, pág. 246)

Destrucción de información almacenada en el disco duro.

Destrucción o inutilización del sistema operativo.

25

Borrado de la BIOS.

Destrucción del Disco Duro, inutilizándolo.

Apertura de una puerta trasera (backdoor) que permita el acceso no

autorizado a nuestro ordenador.

Impedir la ejecución de determinados programas.

Recopilación de información de nuestro ordenador y envío de dicha

información a otro (spyware).

Consumo de recursos de nuestro ordenador.

Envío de tráfico inútil para saturar la red.

Inofensivos aunque molestosos mensajes en pantalla de vez en cuando.

Envió de spam desde nuestra cuenta de correo electrónico.

Lectura no autorizada de nuestro correo electrónico.

Colapso del servidor. (Romero Ternero, y otros, 2014, pág. 246)

Los ataques informáticos se ha vuelto muy de moda a nivel mundial por los famosos

piratas informáticos, estos atacantes tratan de aprovechar las vulnerabilidades que

se presentan en los ordenadores de las organizaciones ya sea esta grande o

pequeña, tomando el control de los sistemas informáticos, la red o de la información

para ganar dinero pidiendo una recompensa por dicho control o secuestro que han

hecho, o solo por causar daño entre otras.

Virus

Los virus informáticos son programas que se instalan de forma inadvertida en los

dispositivos realizando una función destructiva o intrusiva y, además, pueden

propagarse hacia otros equipos. (Ladrón Jiménez, 2014, págs. 101-144)

Actualmente, los medios más utilizados de propagación de virus son el correo

electrónico, la mensajería instantánea y las descargas. (Ladrón Jiménez, 2014,

págs. 101-144)

Es un programa informático (sea en código ejecutable, objeto o fuente) que es

capaz de auto producirse código en otros programas informáticos o computadoras,

26

de manera transparente al usuario, capaz de transcurrido el tiempo de

incubación/propagación, interferir con el normal funcionamiento de una

computadora o red de computadoras. (Marroquín, 2010, pág. 472)

Son programas que alteran el correcto funcionamiento de los equipos y se

propagan entre ellos a través de distintos medios (Rodil Jiménez & Pardo de Vega,

2010, pág. 287)

Virus informático son programas maliciosos y dañinos creados para alterar el

funcionamiento del computador, o tomar el control del mismo, sin previo

conocimiento del usuario, estos virus se propagan por sí mismo a varias

computadoras ya sean por correos electrónicos, o por dispositivos extraíbles entre

otros, un virus puede destruir de manera intencionada la información que se

encuentre en un computador o servidor de la organización.

Hacker

El llamado hacker realiza acciones no autorizadas, pero sin fines destructivos.

Suelen ser accesos realizados sin autorización con el objeto de conseguir

determinada información; sin embargo, no la destruyen. Su conducta puede estar

guiada, únicamente, por el deseo de vencer el reto intelectual que supone saltar las

barreras del sistema, de descubrir, en suma, las lagunas de protección. (Fernández

Teruelo, 2011, pág. 96)

El termino hacker representa aquí a los primeros programadores en los sistemas

Unix convertidos sin duda en verdadero “gurús” en su dominio y no al pirata

informático malintencionado. (Pons, 2011, pág. 19)

Es el nombre genérico que se le da a los intrusos informáticos, pero en realidad el

hacker es el único de ellos que tiene un código ético para sus intrusiones, el

verdadero profesional del hacking, que conoce a fondo los lenguajes de

programación, las instrucciones y los protocolos de comunicación de redes para

27

introducirse en ellas con privilegio de administrador. (Aguilera López P. , 2010, pág.

109)

Hacker es una persona con amplios conocimientos en informática y maneja varios

software de programación en un nivel avanzado, descubriendo vulnerabilidades

que puede explotar y también puertas traseras en las seguridades informáticas de

las organizaciones sin fines de lucro para reportar las fallas en las seguridades y

así convertirse en el administrador, o por propio ego de la persona.

Cracker

Es alguien que viola la seguridad de un sistema informático de forma similar a como

lo haría un hacker, solo que a diferencia de este último, el cracker realiza la

instrucción con fines de beneficio personal o para hacer daño. (Revuelta

Domínguez & Pérez Sánchez, 2009, pág. 73)

El termino deriva de la expresión “criminal hacker”, y fue creado alrededor de 1985

por contraposición al termino hacker, en defensa de estos últimos por el uso

incorrecto del término. Se considera que la actividad realizada por esta clase de

cracker es dañina e ilegal. (Revuelta Domínguez & Pérez Sánchez, 2009, pág. 73)

El cracker vendría a ser una variante del hacker, con la diferencia de que al invadir

un sistema informático lo hace para sustraer información (“piratas informáticos”),

producir daños o desproteger programas. (Campos Santelices, 2010, pág. 79)

Utiliza las técnicas del hacker pero para beneficio propio causando daños a los

sistemas que invade. También es un cracker el que tiene conocimientos de

ingeniería inversa y los usa para ofrecer públicamente seriales, cracks o

generadores de claves de programas comerciales. (Aguilera López P. , 2010, pág.

109)

Cracker es una persona igual que un hacker con avanzados conocimientos en

programas informáticos y en programación pero al contrario de un hacker este los

28

utiliza para obtener fines de lucro o hacer daño a cualquier organización

sustrayendo la información para luego pedir una recompensa, es aquí donde se

derivan los famosos “piratas informáticos”

Políticas de Seguridad

Su objetivo es proporcionar el soporte para la seguridad de la información, en

concordancia con los requerimientos comerciales y las leyes y regulaciones

relevantes. Se crea de forma particular por cada organización y se redacta un

documento de la política de seguridad de la información. (Valdivia Miranda, 2015,

pág. 136)

Este documento debe ser primeramente aprobado por la gerencia y luego publicado

y comunicado a todos los empleados y las partes externas relevantes. Las políticas

de seguridad de la información no pueden quedar estáticas para siempre, sino que

por el contrario, tienen que ser continuamente revisadas para que se mantengan

en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se

dé. (Valdivia Miranda, 2015, pág. 136)

Una serie de sentencias formales, o normas, que deben ser cumplidas por todas

las personas de una organización que dispongan de acceso a cualquier

información, datos o tecnología que sean propiedad de la organización. (Oliva

Alonso, 2013, pág. 125)

La política de seguridad, en el mundo real, es un conjunto de leyes, reglas y

prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una

organización para llevar a cabo los objetivos de seguridad informática dentro de la

misma. (Revista de la Segunda Cohorte, 2014, pág. 45)

Las Políticas de Seguridad son aquellas que proporcionar seguridad a los datos de

toda organización, donde un conjunto de leyes y reglas son redactadas en un

documento que tiene que ser aprobado por el gerente para poder ser publicadas y

así poder capacitar a todo el personal que se encuentre involucrado de dichos

29

<cambios que se presenten, estas políticas no pueden ser estáticas, tiene que a

ver un constante monitoreo para poder realizar su respectivo cambio si es

necesario, dependiendo de cualquier cambio que presente.

Copias de Seguridad

La finalidad de las copias de seguridad es restaurar la información original que

había en el disco duro cuando ésta se ha dañado o perdido. (Berral Montero,

Equipos microinformáticos, 2010, pág. 264)

Hemos de ser conscientes de que en muchos momentos tiene más valor la

información que ésta dentro del ordenador, que el propio ordenador en sí, ya que

el ordenador puede reponerse, pero la información no (Berral Montero, Equipos

microinformáticos, 2010, pág. 264)

Las copias de seguridad son la última salvaguarda que tiene una organización para

rectificar un problema de pérdida de información y según la criticidad de la

información perdida, el backup se convierte en un elemento crítico para la

continuidad del negocio de la compañía. Por tanto, como elemento crítico para el

negocio debemos considerar de igual manera un componente crítico desde la

Tecnología. (Mora Pérez, 2012, pág. 369)

La finalidad de las copias de seguridad es restablecer la información original, es

decir, los archivos originales cuando estos se han dañado o perdido. Tenemos que

ser conscientes de que existen ocasiones en que tiene más valor la información

que está contenida en el ordenador que el propio ordenador en sí, ya que el

ordenador lo podemos reponer, pero no sucede lo mismo con la información.

Existen numerosas formas de perder la información, por ello debemos poner los

medios a nuestro alcance para que esto no ocurra, siendo a mejor medida las

copias de seguridad (Oliva Haba, Manjavacas Zarco, & Martín Márquez, 2014, pág.

358)

30

Las copias de seguridad o backup se realizan para poder recuperar los datos

importantes que se almacenan en el ordenador, en caso de que ocurra alguna

situación no deseada. (Sánchez Estella & Herrero Domingo, 2014, pág. 115)

El propósito de las Copias de Seguridad en una organización es muy importante,

ya que estas van a restaurar o recuperar los datos que se encuentran almacenados

en los ordenadores o servidores de las organizaciones cuando estos sufran daños,

sabiendo que esta se encuentra vulnerable a cualquier desperfecto que pueda

existir en cuanto a la seguridad de la información, ya que tienen que ser consiente

que lo más valioso que tiene una organización es la información que contiene en

dichos ordenadores o servidores y mas no el equipo informático.

PRIVACIDAD DE LA INFORMACIÓN

Definición

Mantener la privacidad de la información es un elemento muy importante dentro de

la seguridad informática, de hecho se contempla como uno de los objetivos

primordiales de la seguridad, ya que tener unas buenas medidas para asegurar la

privacidad almacenada y transmitida, nos mantiene seguros frente a fraudes y

robos informáticos. (García, Hurtado, & Alegre Ramos, 2011, pág. 127)

Privacidad: Garantizar que sólo las partes autorizadas podrán acceder a un

conjunto de datos, tanto en su origen/destino como durante su tráfico por la red.

(Marco Galindo, Marco Simó, Prieto Blázquez, & Segret Sala, 2010, pág. 90)

La privacidad de la información es garantizar la confidencialidad de los datos de la

organización ya sea en una red local o en internet, logrando evitar el acceso a

personas no autorizadas, hoy en día la privacidad se ve sometida a violaciones por

virus, redes inseguras, piratas informáticas, etc.

31

Contraseñas

La contraseña actualmente representa el medio de autentificación más común. Se

trata de una simple secuencia de caracteres alfanuméricos y especiales, elegidos

por el usuario, y por un periodo que puede ser limitado o ilimitado. Para comprobar

su introducción, se almacena en un archivo o una base de datos en el ordenador o

en un servidor. Esta contraseña puede ser objeto de diverso ataques para intentar

obtenerla, por ingeniería social, diccionario o fuerza bruta. (Dordoigne, 2011, pág.

392)

Las contraseñas no deben ser fáciles de adivinar ya que se corre el riesgo de que

una persona que conozca al usuario pueda adivinarla. Una buena contraseña debe

incluir mayúsculas, minúsculas, números y signos, además de contar con una

longitud suficiente, mínimo ocho caracteres. (Rodil Jiménez & Pardo de Vega, 2010,

pág. 81)

Las contraseñas son autentificación que evitan el acceso de personas no

autorizadas, manteniendo la confidencialidad, integridad y disponibilidad de la

información creando un ambiente más seguro, las contraseñas tienen que mínimo

ser de 8 caracteres y tener combinaciones alfanuméricas.

Protocolos de seguridad de la información

Un protocolo de seguridad es un conjunto de programas que usan esquemas de

seguridad criptográfica. El protocolo de seguridad más utilizado actualmente es el

SSL (Secure Sockets Layer) que se presenta con un candado cerrado en la barra

de herramientas del navegador. (López Brox, 2010, pág. 335)

Los protocolos son reglas y normas que tratan del intercambio de información entre

ordenadores y otros dispositivos, los cuales han sido definidos para que sea posible

la transferencia fiable y eficaz de información. (Sánchez Estella & Moro Vallina,

2010, pág. 65)

32

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la

transmisión de datos entre la comunicación de dispositivos para ejercer una

confidencialidad, integridad, autenticación y el no repudio de la información. Según

la (Revista de la Segunda Cohorte, 2014, pág. 107) Estos protocolos se componen

de:

Criptografía (Cifrado de daos): se ocupa del cifrado de mensajes, un mensaje es

enviado por emisor, lo que hace es transposicionar u ocultar el mensaje hasta que

llega a su destino y puede ser descifrado por el receptor. (Revista de la Segunda

Cohorte, 2014, pág. 107)

Lógica (Estructura y secuencia): llevar un orden en el cual se agrupan los datos del

mensaje, el significado del mensaje y saber cuándo se va enviar el mensaje.

(Revista de la Segunda Cohorte, 2014, pág. 107)

Identificación (Autenticación): es una validación de identificación, es la técnica

mediante la cual un proceso comprueba que el compañero de comunicación es

quien se supone que es y no se trata de un impostor. (Revista de la Segunda

Cohorte, 2014, pág. 107)

Protocolo de Seguridad de la información es un conjunto de reglas a seguir, una

estructura donde valida la comunicación entre ordenadores, la cual nos ayuda a

que la información que se envía como la que se recibe sea: confidencial e integra,

con una autenticación donde el usuario a recibir se sienta seguro que su

información llego tal y cual la enviaron.

REDES Y COMUNICACIÓN DE DATOS

Las redes de datos son redes de comunicación pensadas para intercambiar datos

empleando protocolos la comunicación. En este caso, los elementos fuente y

destino de la información son dispositivos electrónicos, como ordenadores,

teléfonos móviles, etc. (Romero Ternero, y otros, 2014, pág. 3)

33

Una red es un sistema de comunicaciones que permite a los usuarios de

ordenadores y dispositivos basados en microprocesador, compartir el equipamiento

de los ordenadores conectados, programas informáticos, datos, voz, video,

impresoras, etc., es decir, cualquier dispositivo conectado a la red. (Berral Montero,

2014, pág. 2)

Una red está formada por el conjunto de elementos necesarios para que se

establezca la comunicación; en su sentido más amplio, incluye los emisores,

receptores, nodos intermedios, conmutadores, enlaces, etc. (Moro Vallina, 2013,

pág. 3)

Una red de comunicación y datos es conectarse entre sí todo dispositivo electrónico

como un ordenador, impresora, teléfonos móviles, etc. Donde exista comunicación

entre ellos mediante un receptor y un emisor, pero se necesita de más elementos

o factores como switch, nodos, enlaces, etc. Que estén interconectadas entre ellos,

Dando paso a que exista una comunicación de programas informáticos,

información, y acceso a cualquier dispositivo que esté conectado a la red

dependiendo las políticas que se les hayan dado a los dispositivos.

SOFTWARE

DHCP

El servidor DHCP asigna una dirección IP de forma dinámica a los equipos que lo

solicitan. (García Ramírez, Miñana Caselles, López Fernández, & Sánchez

Corbalán, 2010, pág. 71)

Cuando el número de equipos que forman la red es pequeño la asignación de

direcciones IP a los equipos de red es rápida, pero por el contrario, si el número de

equipos es muy grande a la hora de realizar la configuración o ante cualquier

cambio, resulta engorroso ir configurando una a uno todos los equipos. En estos

casos, configurar un servidor DHCP simplifica bastante el trabajo, ya que él se

34

encarga de asignar a cada equipo la configuración IP de manera dinámica. (García

Ramírez, Miñana Caselles, López Fernández, & Sánchez Corbalán, 2010, pág. 71)

El servicio DHCP (Dynamic Host Configuration Protocol) se utiliza para administrar

las redes basadas en TCP/IP, mediante la asignación dinámica a los clientes de la

dirección IP, con lo que se evita tener que ir a cada ordenador cliente a instalar la

dirección IP de forma estática. (Alegre Ramos, garcía, & Hurtado, 2011, pág. 81)

DHCP es un servicio que nos ayuda a la administración de nuestra red,

asignándonos las direcciones IP dinámicamente, ya que en una organización muy

grande a veces es muy tedioso o demoroso configurar maquina por maquina las

direcciones IP las cuales nos mantendrá conectados a la RED de la empresa, es

aquí donde el servicio DHCP nos evita hacer todo este trámite ahorrándonos el

factor tiempo.

Firewall

Un firewall es un dispositivo lógico o físico que comprueba los datos entrantes o

salientes que van o vienen de las redes externas como internet. Así pues, un firewall

le permite prevenir los ataques de hacker o programas malintencionados que

intenten tomar el control del equipo de una manera u otra. (Anderruthy & Gaumé,

2011, pág. 333)

Es un sistema que restringe accesos no autorizados desde y hacia una red local.

Examina todos los datos y bloquea el paso de los que no cumplen ciertos criterios

de seguridad. Pueden ser dispositivos físicos o programas instalados en cada

ordenador. (Bravo Delgado & Medina Sánchez, 2011, pág. 50)

Un firewall se lo puede encontrar en forma de Hardware o Software, la función es

controlar la comunicación entre la red interna y la intranet permitiendo el acceso o

denegando el acceso a esta red, dependiendo la configuración y políticas de la

empresa, evitando que ingresen personas no autorizadas, o virus a esta red y así

prevenir que dañen la información que se tiene en los ordenadores, servidores o

35

dispositivo que se la haya instalado. Un firewall no es lo mismo que un antivirus por

lo cual es necesario tener un antivirus instalado en los ordenadores.

Proxy

Un servidor proxy oculta la información importante de la red a extraños al hacer

invisible el servidor de la red. Para lograr lo anterior, el servidor proxy intercepta las

solicitudes de acceso a la red, decide si se trata de una solicitud válida y, en caso

afirmativo, pasa la solicitud al servidor idóneo que puede satisfacerla: todo sin

revelar la disposición de la red, los servidores u otra información que pudiera residir

en éstos. En forma semejante, si se va a pasar información desde la red hacia

internet, el servidor proxy enlaza la transmisión pero sin revelar nada respecto a la

red. Los servidores proxy son invisibles para los usuarios, pero son críticos para el

éxito de los cortafuegos. (Mclver McHoes & Flynn, 2011, pág. 357).

El servidor proxy se utiliza especialmente en el ámbito del tráfico Hyper text

Transfer Protocol (HTTP) o incluso con File Transfer Protocol (FTP) en la red Lan

e Internet, se puede considerar que es un complemento del cortafuegos.

(Dordoigne, 2011, pág. 401)

Servidor intermedio entre el cliente y el servidor de origen que acepta las peticiones

de los clientes, las transmite al servidor de origen, y después devuelve la respuesta

del servidor de origen al cliente. (Mifsuf Talón, 2012, pág. 17 de 21)

Un servidor Proxy es un complemento del firewall el cual funciona como

intermediario al momento de acceder al internet, el proxy es el que recibe la señal

del ordenador a que página o servidor este quiere acceder, comprueba si es seguro

o no dependiendo las políticas de la empresa que se hayan dado, si no tiene acceso

o no es seguro no emite una respuesta del servidor o página que queremos acceder

caso contrario nos da acceso a lo que queramos.

36

SOFTWARE LIBRE

El software libre es distribuido con su código fuente lo que permite a cualquiera con

los conocimientos suficientes, leerlo, estudiarlo y modificarlo. (valverde Berrocoso,

2009, pág. 173)

El software libre permite a los usuarios que lo adquieren trabajar con toda la libertad

sobre él, pudiendo usarlo, copiarlo, estudiarlo, modificarlo y distribuirlo de nuevo

una vez modificado y así lo indica la Fundación para el Software libre (Free Software

Foundation). (Gallego & Folgado, 2011, pág. 300)

El software libre es todo software o programa, donde cualquier usuario final pueda

cumplir con sus libertades las cuales son: copiarlo o ejecutarlo, estudiarlo,

distribuirlo, modificarlo haciendo mejoras al software y redistribuirlo, haciendo de

esto el código fuente disponible para cualquier usuario que desee estudiarlo o lo

necesite y este pueda realizar las libertades que se mencionó.

SISTEMA OPERATIVO LINUX

Definición

El sistema operativo Linux fue desarrollado en 1991 por Linus Torvalds. Linux se

basa en el sistema Minix que a su vez está basado en el sistema UNIX. El sistema

operativo Minix es una versión básica y reducida de Unix creada para uso

universitario sin tener que pagar licencias. A partir de esta primera versión de Linux

el sistema ha sido modificado por miles de programadores de todo el mundo, bajo

la coordinación de su creador, Linus Torvalds. (Rodil Jiménez & Pardo de Vega,

2014, pág. 9)

Su interfaz gráfica ha mejorado en los últimos años, logrando que sea tan fácil de

usar como los sistemas Windows. En los sistemas operativos Linux el usuario va a

poder elegir a la hora de instalar el sistema entre varias interfaces graficas que

37

cuentan con prestaciones similares; entre las que destacan Kde y Gnome. (Rodil

Jiménez & Pardo de Vega, 2014, pág. 9)

Linux es un sistema operativo gratuito de libre distribución, se puede bajar de

internet y además necesita muy pocos recursos de hardware si lo comparamos con

los sistemas operativos existentes con sus mismas características. (Aguilera López

& Morante Fernández, 2010, pág. 8)

Como cualquier sistema operativo, es la conjunción de un programa principal o

núcleo (kernel en inglés) y una serie de herramientas y bibliotecas añadidas que

posibilitan su utilización. (Aguilera López & Morante Fernández, 2010, pág. 8)

Sería absurdo decir que Linux está a salvo totalmente de virus y malware. Sin

embargo, sí que es cierto que se encuentra mejor protegido. Además, contamos

con varios antivirus gratuitos y libres. (Fernández Montoro, 2011, pág. 19)

El Sistema Operativo Linux es un sistema totalmente libre el cual está basado en el

sistema UNIX, a diferencia de Windows Linux ha sido mejorado por millones de

usuarios a nivel del mundo pero bajo la coordinación de su creador, Linus Torvalds,

en los últimos años Linux ha mejorado a pasos agigantados, haciendo su interfaz

muy amigable al usuario final como lo es Windows, contando con aplicaciones y

herramientas que lo hacen fácil de manejar, logrando que más usuarios lo usen

personalmente.

SISTEMA OPERATIVO CENTOS

Introducción

CentOS significa “Sistema Operativo de la Comunidad Empresarial” (Community

Enterprise Operating System), y está basado en Red Hat Enterprise Linux (RHEL).

(Baclit, Sicam, Membrey, & Newbigin, 2009, pág. xxii)

CentOS es binario compatible con el RHEL porque fue construido utilizando el

código fuente de RHEL. Además los desarrolladores se aseguran de adherirse a

38

las reglas de redistribución de RHEL cuando construyeron CentOS por lo que sería

una alternativa verdaderamente libre de la original. (Baclit, Sicam, Membrey, &

Newbigin, 2009, pág. xxii)

CentOS se utiliza en todo el mundo por personas que necesitan una plataforma

robusta y fiable para desplegar sus aplicaciones y servicios. Aunque las opciones

de soporte están disponibles, CentOS es el más adecuado para aquellos que no

necesitan o desean soporte empresarial. (Membrey, Verhoeven, & Angenendt,

2009, pág. 3)

CentOS (acrónimo de Community ENTerprise Operating System) es un clon a nivel

binario de la distribución Red Hat Enterprise Linux, compilado por voluntarios a

partir del código fuente liberado por Red Hat, empresa desarrolladora de RHEL,

CentOS usa yum para bajar e instalar las actualizaciones, herramienta también

utilizada por Fedora Core. (Sánchez Pérez, 2015, pág. 66)

CentOS es un Sistema Operativo de Comunidad Empresarial, utilizado a nivel

mundial como servidor ya que está basado en el famoso Red Hat, liderando el

puesto uno en cuanto a servidores, su meta es producir un sistema operativo de

calidad a nivel empresarial.

Características

Una de las características de CentOS es que soporta (casi) todas las mismas

arquitecturas que el original Red Hat Enterprise Linux, Además tiene soporte para

dos arquitecturas no soportadas por su original, Alpha procesador (DEC_Alpha),

SPARC. (Sánchez Pérez, 2015, pág. 66)

Las características del diseño hacen CentOS (y su gemelo comercial, Red Hat

Enterprise Linux), ideal para entornos en los que no desea infligir demasiado

cambio, como centros de datos empresariales, pero lo mismo se aplica, por

ejemplo, a las computadoras de oficinas o las portátiles personales. (Membrey,

Verhoeven, & Angenendt, 2009, pág. xvi)

39

La principal característica de CentOS es que es un clon de Red Hat, la meta es ser

número uno en servidores ya que cuenta con un firewall muy bueno si no decir el

mejor de todos, cuenta con varios servicios que se pueden instalar en un mismo

computador, teniendo la comunidad más grande a nivel mundial en la web con

programadores de todo el mundo para mejorar y actualizar siempre el sistema,

haciendo amigable manejable ideal para su uso, para servidores de empresas

grandes como pequeñas y también para su uso personal.

Raid

Existe un método alternativo de asegurar los datos. Muy extendida en los entornos

de servidores y en expansión en entornos particulares, esta tecnología se llama

RAID (Redundant Array of Independent Disks). (Deman, Elmaleh, Neild, & Van

Jones, 2014, pág. 809)

Desde un punto de vista simplificado, esta tecnología permite almacenar la

información sobre discos duros múltiples con el objetivo de mejorar, en función el

tipo RAID seleccionado, la tolerancia a fallos y/o el rendimiento del conjunto.

(Deman, Elmaleh, Neild, & Van Jones, 2014, pág. 809)

Los siete niveles normales de RAID proporcionan varios grados de corrección de

errores, Cuando se escoge un sistema, algunos factores importantes a considerar

son costo, velocidad y aplicaciones del sistema. (Mclver McHoes & Flynn, 2011,

pág. 234)

40

Figura 1 tabla de raid

Fuente: sistemas operativos sexta edición

Autor Mclver McHoes & Flynn pág. 234

RAID (Redundant Array of Inexpensivve Disk), grupo redundante de discos

independientes, y que se usan como una forma más de seguridad en hardware y

para garantizar la protección de los datos almacenados. (Aguilera López P. , 2010,

pág. 187)

Las implementaciones pueden ser tanto por hardware como mediante software, y

además existen alternativas que combinan ambas soluciones. En caso de que el

control sea por hardware, será necesario disponer de una controladora integrada

en la placa base o bien en una tarjeta de expansión independiente. Si la

implementación es mediante software, será el propio sistema operativo el que

gestione el RAID a través de una controladora convencional. (Aguilera López P. ,

2010, pág. 187)

Un Raid es muy utilizado en los servidores, ya que ayuda a tolerar las fallas y

errores en el Disco Duro del servidor o computador, funciona con varios Discos

instalados donde el sistema operativo los interpreta como uno solo, el Raid se lo

puede implementar mediante hardware o software, logrando garantizar siempre la

disponibilidad, integridad y confidencialidad de la información almacenada en el

Disco Duro que se esté usando.

41

CONCLUSIONES PARCIALES DEL CAPÍTULO I

El Sistema de Gestión de la Seguridad de la información es un documento muy

importante en una organización, ya que podemos implementar controles que nos

brinda la norma ISO 27001 para el resguardo de la información, dando paso a un

conjunto de políticas, documentada, para reducir los riesgos que puede presentar

debido a las vulnerabilidades que existan.

La norma ISO 27001 da prioridad al Sistema de Gestión el cual permite escoger los

controles que se deseen para poder implementar nuestro SGSI, creando nuestras

propias políticas para mantener siempre la confidencialidad, integridad y

disponibilidad de la información.

Las Políticas de Seguridad nunca deben se estáticas o permanente, el SGSI

siempre necesita tener un monitoreo constante para que estas políticas sean

mejoradas o cambiadas siempre y cuando sea necesario y así lo autorice la

organización, o por cambios tecnológicos.

42

CAPÍTULO II

MARCO METODOLÓGICO Y PLANTAMIENTO DE LA PROPUESTA

ANÁLISIS PREVIO DE LA EMPRESA

La importadora Megatech, está ubicado en la Provincia de Santo Domingo de los

Tsáchilas, ubicado en la Calle Río Baba #143 bajos del Ministerio del Ambiente en

el cantón de Santo Domingo, brindando los servicios de venta de equipos de

cómputo, suministros informáticos, servicios de red y soluciones integrales de

informática y telecomunicaciones.

Historia

Nace el año 1987 con la idea de ofrecer equipos de cómputos para la satisfacción

del cliente ya que se hizo un estudio previo antes de la creación. El nombre

Megatech nace de la unión de Mega = grande y Tecnología, Existen proyectos

como toda empresa, y es así como poco a poco Megatech está creciendo sin olvidar

el esfuerzo y trabajo que esto implica.

Megatech es una empresa ecuatoriana, con oficinas en Quito y Santo Domingo.

Brindamos alternativas y soluciones a nuestros clientes, integrando aplicaciones,

equipos y servicios en las áreas de computación, telecomunicaciones, Asistencia y

Soporte Técnico, para lo cual contamos con el respaldo de los fabricantes con

mayor prestigio mundial.

Con más de 26 años de experiencia, Megatech cuenta con un grupo de

profesionales capacitados y certificados para responder y satisfacer las

expectativas del Usuario como del fabricante, con servicio de la más alta calidad

humana y profesional para todos nuestros clientes.

43

Servicios

Megatech ofrece al mercado “Soluciones integrales de Informática y

telecomunicaciones, orientadas a la Optimización del negocio de nuestros clientes”

Implementación de Centros de cómputo.

Portátiles y Pcs Corporativos y Small Business.

Servidores y Virtualización.

Almacenamiento y recuperación de datos; Virtualización del

almacenamiento.

Continuidad del Negocio “Business Continuity”.

Servicios de Identidad; Servicios de Integración.

Cableado Estructurado e infraestructura de red.

Soluciones de Telefonía IP.

Comunicaciones unificadas y soluciones de mensajería.

Centro de Contactos.

Soluciones Empresariales.

Servicio de Educación y Consultoría en Tecnología Informática.

Convenios de Soporte y Mantenimiento.

Misión

“Contribuir a la consecución de nuestros clientes, proporcionando opciones de

calidad informática, con tecnologías de punta, con un grupo humano de óptima

calidad, especializados y comprometidos a su orientación de servicio, logrando

exitosos beneficios mutuos.”

Visión

“Ser una de las mejores empresas Informáticas Nacionales e Internacionales, que

cuentan con recurso humano profesional, previendo alternativas y soluciones de

alto valor especializado, logrando alcanzar satisfacción y lealtad de nuestros

clientes.”

44

Valores corporativos

Integridad.

Calidad.

Responsabilidad.

Respeto.

Honradez

Organigrama Estructural de la importadora Megatech.

GERENTE GENERAL

DEPARTAMENTO DE

COMPRAS PÚBLICAS

DEPARTAMENTO

FINANCIERO

DEPARTAMENTO DE

SISTEMAS

DEPARTAMENTO DE

VENTAS

ASISTENTE DE

GERENCIA

ASISTENTE

CONTABLE

ASISTENTE 1

ASISTENTE 2

JEFE TÉCNICO

DEPARTAMENTO DE

CONTABILIDAD

PAGADURÍA

FACTURACIÓN

Figura 2 organigrama estructural de la importadora Megatech

Fuente: Personal importadora Megatech

Autor. Rogelio Guerrero

45

Modalidad de la Investigación

Cualitativa

Es un método de investigación basado en principios teóricos, el cual se basa en la

toma de muestras pequeñas, la cual será aplicada mediante las entrevistas al

personal de la importadora en el cual se conocerá la información del porqué de los

problemas en cuanto a la seguridad de la información de la empresa, conociendo

las características de la importadora Megatech y así dar solución a la problemática

que se presenta.

Cuantitativa

La metodología cuantitativa es la que permitirá recoger los datos de una manera

científica, o más específicamente de una forma numérica, la cual medirá, validara

y comprobara el problema, para que este sea posible definirlo, limitarlo y saber

dónde inicia la problemática, la misma será aplicada en el análisis obtenido a través

de las entrevistas aplicadas al personal de la importadora y así determinar los

elementos que conforman el problema.

Tipos de Investigación

Investigación de Campo

Utilizaremos la investigación de campo para recopilar información, la cual nos

permitirá conocer en el lugar de los hechos para establecer la causa del problema

y establecer una solución a la misma cómo se están manejando las seguridades y

privacidades de la información, se reducirá, aceptara, evitara o transferirá los

riesgos que existan para mejorar la confidencialidad, integridad y disponibilidad de

la información.

46

Investigación Bibliográfica

Esta investigación nos ayudara a fundamentar científicamente la solución a nuestra

problemática, y poder tomar conocimientos de investigaciones ya existentes que

tenga similitud, y así evitar realizar investigaciones ya hechas.

Investigación Descriptiva

Es aquella que permite describir cada una de las funciones en la importadora

Megatech, y como está estructurado cada uno de sus departamentos.

Esta investigación nos permitirá identificar las causas y efectos del fenómeno y así

poder evitar la manipulación inadecuada de la información de la empresa creando

una hipótesis a nuestra problemática.

Métodos de Investigación

Método inductivo-deductivo

Se partirá a realizar el proceso que permitirá ir de lo particular a lo general para

analizar la importadora y buscar una respuesta al problema, y el deductivo nos

ayudara a comparar con otras empresas para poder obtener una solución al

problema que se presenta en la importadora Megatech.

Método Analítico – Sintético

Nos permitirá basarnos en la descomposición del objeto de estudio, el cual ayudara

a analizar las causas y efectos que se pudo recopilar de una forma muy ordenada.

Y así poder sintetizar la recopilación que hemos hecho y determinar un todo para

la seguridad y privacidad de la información en la importadora Megatech.

47

Técnicas de Investigación

Observación

Con esta técnica se obtendrá información directamente de las seguridades y

privacidades que tiene al momento de acceder al servidor, y se conocerá los

procesos que se realizan en el procedimiento de acceso, para que se pueda llegar

a una conclusión acerca del problema que presenta la importadora en las

seguridades de su información.

Entrevista

Esta técnica permite realizar o saber las tareas que realiza el personal de la

empresa tanto en la gerencia como a los empleados de cada área, para conocer a

fondo la investigación a realizar, recabando información acerca del procedimiento

de cada uno al momento de acceder a la información y al guardado de la misma,

obteniendo datos que serían muy difíciles de conseguir.

Instrumentos de Investigación

Guía de Entrevista

Es un instrumento para la recolección de información, un listado de posibles

preguntas que se lo utilizara para la entrevista que se realizara al personal de la

empresa acerca de las seguridades y privacidades de la información que tienen en

un orden cualitativo y cuantitativo, de una manera organizada.

Guía de Observación Directa

Esta guía permitirá tomar anotaciones acerca de la seguridad y privacidad de la

información, durante el acceso al servidor mediante un cliente para poder conocer

las seguridades que tiene y así tener una mejor compresión del procedimiento a

realizar.

48

Población y Muestra

La población es el conjunto de elementos a los que se refiere el estudio estadístico.

Cada elemento de la población se llama individuo. (Espuig, 2011, pág. 267)

La muestra es un subconjunto de la población. (Espuig, 2011, pág. 267)

Cuando la población es demasiado grande, estudiar todos sus elementos puede

ser inviable o poco operativo (en términos de tiempo, coste y recursos). En estos

casos, se toma la muestra representativa, se estudian los elementos de la muestra

y se generalizan los resultados a toda la población. (Espuig, 2011, pág. 267)

Población

La población que se tomara en cuenta en esta investigación será el personal interno

de la importadora Megatech la cual cuenta con 7 personas a la cuales a cada una

se le realizara la entrevista.

Tabla 1 población

Fuente: personal de la importadora Megatech

Autor: Rogelio Guerrero

Personas Cantidad

Gerente Administrativo 1

Asistente de Gerencia 1

Financiera 1

Compras Publicas 1

Secretaria 1

Departamento Técnico 1

Atención al Cliente 1

Total 7

Muestra

La muestra es la parte representativa de la población. Para lo cual se ha tomado

el número total de la población para realizar la tabulación de los datos

49

correspondientes al análisis de resultados de la entrevista realizados en la

Importadora Megatech.

INTERPRETACIÓN DE RESULTADOS

La entrevista se realizara a la población total de la importadora Megatech, ya que

se beneficiara de manera directa a todo el personal que labora en la importadora.

Tabulación de datos de la entrevista

Tabla 2 entrevista al personal de la importadora Megatech



Entrevista Si No Total %

1 ¿Ha tenido problemas al momento de ingresar al servidor de la empresa?

7 0 7 100

2 ¿Ha tenido problemas al momento de brindar información a los clientes?

7 0 7 100

3 ¿Al momento de guardar información en el servidor de la importadora le ha causado inconvenientes?

7 0 7 100

Figura 3 resultado de tabulaciones, pregunta 1, pregunta 2, pregunta 3



¿Ha tenido problemas almomento de ingresar al servidor

de la empresa?

¿Ha tenido problemas almomento de brindar información

a los clientes?

¿Al momento de guardarinformación en el servidor de la

importadora le ha causadoinconvenientes?

SI 7 7 7

NO 0 0 0

7 7 7

0 0 00

1

2

3

4

5

6

7

8

50

Análisis

1) El 100% de los empleados de la empresa nos dicen que ellos si tienen

problemas al momento de ingresar al servidor de la empresa reflejando en

sí, contratiempo y rendimiento en la productividad de la empresa

2) El total de los empleados nos dicen, que si tienen problemas al momento de

brindar información ya sea a sus clientes o información interna a sus mismos

compañeros de trabajo, causándoles molestias e incomodidad.

3) El 100% de los empleados entrevistados si han tenido problemas frecuentes

al instante de guardar alguna información en el servidor de la empresa.

Tabulación





4 ¿Cuentan con usuario y contraseñas el servidor

al momento de ingresar? 0 7 7 100

5

¿Al no tener privacidades en la red, cree usted

que la información está segura para tercera

personas que se conectan en la red?

0 7 7 100

6

¿La red de la empresa ha presentado molestias

o ha colapsado al momento de conectarse

personal no autorizado?

7 0 7 100

51

Figura 4 resultados de tabulaciones, pregunta 4 a la pregunta 6

Fuente: importadora Megatech


Análisis

4) El 100% de los empleados entrevistados nos dicen, el servidor interno de la

empresa no cuenta con un usuario y contraseña para poder ingresar a la red

de la empresa, permitiéndoles que cualquier persona no autorizada o

persona particular ingrese al servidor con mucha facilidad, causándoles

inconvenientes a la misma empresa.

5) Todos los empleados de la empresa creen que al no tener privacidad en su

servidor la información no está cien por ciento segura pudiendo ser

manipulada por terceras personas, deduciendo inseguridad al momento de

no tener una adecuada privacidad en el servidor de la empresa como debe

ser correctamente.

6) Con el 100% de los entrevistados nos dan a reflejar, que si se les presenta

inconvenientes y hasta el colapso del sistema en el servidor de la empresa,

debido a que terceras personas no autorizadas intentan ingresar a la red de

la empresa.

¿Cuentan con usuario ycontraseñas el servidor al

momento de ingresar?

¿Al no tener privacidades en lared, cree ud que la información

esta segura para tercerapersonas que se conectan en la

red?

¿La red de la empresa hapresentado molestias o hacolapsado al momento de

conectarse personal noautorizado?

SI 0 0 7

NO 7 7 0

0 0

77 7

00

1

2

3

4

5

6

7

8

52

Tabulación





7

¿Piensa usted que al no contar con un servidor

correctamente configurado le crea incomodidad y

lentitud en la atención?

7 0 7 100

8

¿Está de acuerdo que se implemente políticas de

privacidad para el acceso al servidor de la

empresa?

7 0 7 100

9 ¿Es necesario implementar un servidor con

seguridad y servicios en la red de la empresa? 7 0 7 100

Figura 5 entrevista al personal de la importadora Megatech

Fuente:personal de la importadora Megatech


Análisis

7) Los datos nos reflejan que el 100% de los empleados de dicha empresa les

causas incomodidad y lentitud al momento de brindar alguna atención a sus

clientes o hasta sus mismos proveedores por no tener una correcta

configuración en el servidor de la empresa.

¿Piensa usted que al no contarcon un servidor correctamente

configurado le creaincomodidad y lentitud en la

atención?

¿Esta de acuerdo que seimplemente políticas de

privacidad para el acceso alservidor de la empresa?

¿Es necesario implementar unservidor con seguridad yservicios en la red de la

empresa?

SI 7 7 7

NO 0 0 0

7 7 7

0 0 00

1

2

3

4

5

6

7

8

53

8) El 100% de los empleados de la empresa están totalmente de acuerdo de

que implementen políticas de privacidad para el acceso al servidor de la

empresa, debido que implementando dichas políticas el rendimiento de la

red y de la empresa aumentaría notablemente en sus servicios y atención.

9) Los empleados como parte esencial de la empresa y de la productividad de

ella están totalmente de acuerdo que se establezcan e implementen un

servidor con seguridad y servicios en la red, debido que así ellos

aumentarían su calidad de trabajo y satisfacción en ella.

PROPUESTA DEL INVESTIGADOR: MODELO, SISTEMA Y METODOLOGIA

La implementación del sistema de gestión de la seguridad de la información sobre

el servidor que se va a configurar ayudara a minimizar los riesgos y a mejorar la

seguridad de los datos mediante la confidencialidad, integridad y disponibilidad de

la información, al momento de acceder a la red interna y a los datos que se

encuentran en el servidor de la importadora Megatech.

Además ayudara a establecer las políticas que debe cumplir el personal al momento

de ingresar al servidor y al momento de trabajar en la red, así mismo se creara un

raid del servidor para poder tener un respaldo de la información.

El cual se desarrollara por etapas utilizando el modelo PDCA o cilio Deming que lo

estipularemos a continuación.

Modelo PDCA

Con el modelo PDCA (planificar- hacer – verificar – actuar) nos permitirá determinar

las etapas en las cuales se va a implementar el Sistema de Gestión de la seguridad

de la información, asegurando que los datos de la empresa siempre sean

confiables, íntegros y que estén disponibles cuando el personal lo desee.

54

P = Plan = Planifica = prepara a fondo

D = Do = Efectuar = hacer, realizar

C = Check = Verificar

A = Act = Actuar = Verificar.

Figura 6 ciclo de vida del SGSI

Fuente: gestión integral de la calidad

Autor:Rogelio Guerrero

Definición de Requerimientos

Los servicios, restricciones, objetivos y metas son establecidos con el personal de

la importadora, buscando una definición en detalle y sirve como una especificación

para el SGSI

Diseño

El Diseño del SGSI se compone de las siguientes partes: se descompone la

documentación recopilada mediante técnicas de investigación aplicadas y se

agrupa de forma ordenada, mediante los controles que nos presenta la ISO 27001

se elaborara las políticas y seguridades que va a llevar al momento de acceder al

servidor.

Planificar

Hacer

Verificar

Actuar

55

Implementación

La implementación se realizara de una manera ordenada, se documentara y

capacitara al personal sobre las políticas que tiene que seguir para acceder al

servidor y al servicio de red que se configurara en la importadora Megatech.

Pruebas

Se somete a pruebas el Sistema de Gestión de la Seguridad de la Información sobre

el servidor con la conexión de una maquina externa y de esta manera probar si

cumple con las políticas que se implementaron sobre las seguridades en el servidor

y servicio de red en la importadora Megatech o tienen algún error.

Mantenimiento y Mejora Continua

Todo sistema de Gestión de la seguridad de la información requiere de un

mantenimiento y mejora continua, la norma ISO 27001, lo estable en el SGSI.

El ciclo de Vida PDCA presenta etapas de mejoramiento, el sistema se implementa

y se pone en funcionamiento practico, el mantenimiento implica corregir errores no

descubiertos en la etapa de implementación, el SGSI siempre necesita un

monitoreo constante para mejorar las políticas de seguridad y mejorar los controles

implementados Etc.

56

CONCLUSIONES PARCIALES DEL CAPÍTULO II

La importadora Megatech ha crecido a pasos agigantados los últimos años, en

cuanto a ventas mediante el portal de la SERCOP, así mismo dejando sus datos

vulnerables en la red para cualquier usuario que ingrese los pueda manipular.

Con los procesos metodológicos se agrupa la información necesaria, mediante la

entrevista y la observación se conoció los problemas que presenta la importadora

Megatech, y así lograr minimizar, afrontar o aceptar estos problemas.

La población es el personal interno de la empresa, por tal motivo fueron

encuestados todos en su totalidad, una vez obtenido los resultados se pudo verificar

que existe una problemática en cuanto a la seguridad de la información.

El SGSI se desarrolla utilizando el modelo PDCA donde se divide por etapas su

implementación, el cual ayudara con la seguridad de los datos, logrando obtener

una información confidencial, íntegra y que siempre esté disponible cuando el

personal de la importadora Megatech necesite acceder a ella.

57

CAPÍTULO III

VALIDACIÓN Y/O EVALUACIÓN DE LOS RESULTADOS DE LA

APLICACIÓN

INTRODUCCIÓN

Debido al gran crecimiento tecnológico, la Información lógica en una empresa son

los activos más valiosos que tiene hoy en día, siendo así que las seguridades de la

información son muy requeridas para el apoyo y protección de la información en las

organizaciones. Desde esta perspectiva debe ser absolutamente claro que toda

organización requiere de seguridades para la protección de su información.

OBJETIVOS

Objetivo general

Diseñar un Sistema de Gestión de la Seguridad de la Información basado en la

norma ISO 27001 sobre un servidor CentOS y servicios de Red para el apoyo de la

seguridad de la información de la Importadora Megatech.

Objetivos específicos

Realizar un diagnóstico inicial de los controles existentes, así como las

políticas de seguridad que se utilizan actualmente en la importadora

Megatech

Instalar y configurar servidor CentOS y servicios de Red para implementar

el SGSI para el apoyo de la seguridad de la información

Realizar un análisis para construir el SGSI sobre el servidor y los servicios

de red en base a la información recaudada en el capítulo II.

Analizar y evaluar los riesgos que presenta el servidor después de haberlo

instalado y configurado.

58

Mediante el modelo PDCA el cual consta de cuatro etapas del sistema,

realizar las etapas de implementación, diseñar e implementar el SGSI sobre

el servidor con sus servicios de red donde se va a configurar con su firewall,

proxy, DHCP y Samba.

Realizar la validación de la hipótesis y las conclusiones del capítulo.

DESARROLLO DE LA PROPUESTA

Antes de la implementación del SGSI para la solución de la problemática, se iniciara

con el diagnostico de los equipos que manipulan la información de la empresa,

verificar si existen niveles de seguridad para acceder a los datos, la estructura de

la red y las Políticas o controles existentes.

SEGURIDAD DE LA INFORMACIÓN ACTUALMENTE EN LA IMPORTADORA.

Para implementar los controles que nos brinda la norma ISO 27001 del SGSI, se

realiza un análisis previo para determinar el grado de seguridad, confidencialidad,

integridad y disponibilidad de la información, y determinar como la vienen

salvaguardando.

Se puede constatar que no existe control alguno para salvaguardar la información,

las estaciones de trabajo que se utilizan para acceder a la información que se

encuentra en el computador con XP que hace la función de servidor no cuentan con

seguridades como una contraseña y usuarios invitados, la máquina con XP

tampoco cuenta con alguna seguridad para que accedan a ella con privilegios, al

momento que un usuario se conecta a la red tiene acceso a toda la información de

la importadora, permitiendo que se encuentre en Riesgo de que sea manipulada o

eliminada.

Contraseñas

Las maquinas no cuentan con identificación ni autentificación (usuario y

contraseña) para acceder al computador ni para acceder a la información, el

59

personal de la importadora no cuenta con privilegios para acceder a la información,

de manera que cualquier usuario no autorizado conectado en la red puede

modificar, eliminar la información.

Red interna

La importadora Megatech dispone de un Red LAN conectados a través de un

Switch y un Router que están conectados al internet que nos proveen, dispone de

10 equipos que serán descritos a continuación.

Tabla 5 inventario de equipos de la importadora Megatech

Fuente: importadora Megatech


Inventario de Equipos

Departamento

N° de Equipos

Dirección IP

Gerente 1 DHCP

Asistente de Gerencia 1 DHCP

Compras Publicas 1 DHCP

Financiero 1 DHCP

Secretaria General 1 DHCP

Departamento Técnico 1 DHCP

Ventas 1 DHCP

Servidor 1 DHCP

Impresora b/n 1 DHCP

Impresora Color 1 DHCP

Total 10

La importadora no cuenta con todas la maquinas cableadas, 6 máquinas se

conectan inalámbricamente al Router lo cual produce demasiadas molestias al

personal de la importadora, ya que tienen conflictos de direcciones IP, y se

desconectan de la Red a cada momento.

En el departamento técnico se encuentra ubicado el Computador XP que tiene

todos los datos de la empresa, pero no cuenta con una configuración apropiada

para acceder al mismo, dejando así vulnerable toda la información en la RED.

No existen controles ni políticas de seguridad donde se administren las maquinas

conectadas a la red o las direcciones IP de cada máquina, donde se pueda

60

gestionar, minimizar y evaluar los riesgos que presenta en cuanto a la

confidencialidad, integridad y disponibilidad de la información.

Acceso a la WEB

Por el momento no existe una administración en cuanto al acceso a la WEB, todos

los usuarios que se conectan a la RED tienen acceso a internet libremente sin

restricciones lo que produce que el personal se distraiga en redes sociales o

páginas no debidas en horas de trabajo lo que produce pérdidas económicas para

la importadora ya que ellos tienen que estar a la caza de cualquier proceso de

compras públicas de la SERCOP.

Cableado antes de la implementación. VER ANEXO 4

Esquema general de la Red Interna de la importadora Megatech.

61

Figura 7 estructura de la red de la importadora Megatech


61

62

Antivirus

Las computadoras de la importadora Megatech cuentan con licencias gratuitas de

antivirus como el Avast y el Eset Smart Security, las mismas que se actualizan a

través de internet.

No se realizan escaneos periódicos en busca de virus en el computador que cumple

la función como servidor ni en las computadoras que se utiliza para acceder a la

información no existe un política donde se designe a un responsable que se

encargue de realizar estos cheques por lo que se tiene problemas frecuentes con

virus.

Control de aplicaciones en PC’s

Actualmente cualquier usuario puede instalar aplicaciones, programas o software,

ya que no existe un control ni procedimientos a seguir o alguna documentación

respecto a que políticas seguir para instalar alguna aplicación o actualización de la

configuración de las PC’S. Solo existen instalaciones básicas de Windows y llenas

de aplicaciones innecesarias tampoco hay una respectiva actualización de

programas instalados, como el office, el lector de pdf, ni los servi packs de Windows

o aplicaciones.

No existe un documento o políticas escritas de actualización de programas,

tampoco se documenta ningún cambio realizado, por lo tanto el usuario instala

cualquier programa que desee, llegando a instalar aplicaciones maliciosas que

causan que el computador no funcione correctamente.

Control de acceso a los equipos

Hasta el momento no se sabe si ha existido robo de información, ya que no existe

una política que administre el control de acceso a los equipos, no se realiza un

control periódico sobre los dispositivos de hardware instalados en los equipos ni en

63

la máquina que hace la función de servidor de manera que podrían sacar o poner

alguna.

Una vez que se instaló el equipo no se realiza un chequeo periódico o rutinario,

solo se revisa cuando se encuentran muy lentas por virus o cuando el usuario

reporta algún problema o falla. La máquina que hace la función de servidor y la Red

inalámbrica no se la apaga en horarios no laborales, dejando que cualquier persona

que hackee la red tenga acceso a toda la información no existiendo una

confidencialidad de la misma.

Dispositivo de soporte

En la importadora Megatech dispone de los siguientes dispositivos para el soporte

de los equipos informáticos:

Cada computador tiene su propio UPS, que durante un apagón o una falla

de corriente le da aproximadamente 5 minutos de energía para poder

resguardar la información y poder apagar el computador correctamente para

que no sufra daño alguno

La importadora Megatech cuenta con una conexión a tierra que ayuda que

las computadoras no sufran alguna descarga eléctrica

Responsables de la seguridad de la información Y equipos

No existen usuarios responsables que se encarguen de administrar y dar seguridad

a la información, para que esta mantenga su confidencialidad, integridad y

disponibilidad en su ciclo de vida, existe un responsable general del departamento

técnico, que solo revisa las maquinas cuando el personal le hace conocer que

existe algún problema.

El personal se comunica de forma verbal con el encargado general, no existe un

registro de cada requerimiento que se desea, ya que no se cuenta con un

mantenimiento preventivo periódicamente.

64

Backup

Cuando se realiza un cambio en la configuración de la máquina que contiene la

información, no se guardan copias de la configuración anterior, ni se documenta los

cambios que se procedieron a hacer, ya que no existe un responsable.

La importadora no cuenta con un RAID para tolerar algún fallo en el Disco que

contiene la información y esta pueda seguir disponible cuando el personal desee el

acceso a ella.

INSTALACIÓN DEL SERVIDOR.

Con las metodologías empleadas se determinó que CentOS 5.5 es el más estable,

y que tiene el firewall más poderoso si no decir el número en cuanto a software,

soportando la instalación de todos los servicios que se van a implementar para la

seguridad de la información en un mismo Computador, permitiendo implementar el

SGSI basado en la norma ISO 27001 sobre el servidor y los servicios de RED para

el apoyo de la seguridad de la información.

Instalación de CentOS con el RAID 1 VER ANEXO 6

Figura 8 CentOS instalado


65

Una vez que se tenga instalado el servidor CentOS, se procede a instalar y

configurar los servicios que se van a utilizar, los cuales son: Samba, DHCP, Proxy

y el Firewall.

Instalación y configuración del servicio samba

Primero se crea los usuarios y sus contraseñas en el servidor.

Figura 9 creación de usuario y contraseña


Mediante un terminal con la herramienta yum se procederá a la instalación de

samba.

Figura 10 instalación de samba


66

Una vez instalado samba se procede a editar el archivo smb.conf que se instaló,

dando privilegios a los usuarios para que puedan acceder a la información.

Figura 11 accedemos al archivo de samba smb.conf


Se configura el nombre del grupo de trabajo y el nombre del Servidor que se va a

visualizar en la Red, y las carpetas con privilegios a usuarios.

Figura 12 configuración grupo de trabajo


Figura 13 creación de carpetas y privilegios a usuarios


67

Instalación del servicio DHCP

Figura 14 instalación del servicio DHCP


Una vz instalado el servicio DHCP se configura el archivo dhcpd.conf donde se da

los parametros que lleva la Red interna, como direcciones IP, mascara de Red, y

DNS si es necesario etc.

Tambien se deja libre 10 IP dinamicas para las portatiles, celulares o tablets de los

proveedores o clientes que deseen acceder a la WEB en su visita a la importadora

Megatech.

68

Figura 15 configuración del servicio DHCP


Las maquinas que acceden a la infromación sera controladas mediantes IP fijas

que las administrara el servidor, evitando los conflictos de direcciones IP ya que las

IP van amarradas con cada MAC de cada maquina.

Figura 16 configuración IP + MAC


Instalación y configuración del proxy

El proxy se configura mediante el servicio squid.

69

Figura 17 instalación del servicio squid


Una vez instalado el servicio squid se configura el archivo squid.conf el cual es

para negar ciertas extensiones de la WEB, permitiendo aprovechar mejor el uso del

ancho de banda que se disponga, se lo realiza mediante una lista de control de

acceso que coincidan con las extensiones que se desea negar el acceso.

Figura 18 configuración recomendada squid


70

Dentro de la carpeta de squid, se crean los listados de control de acceso ACL donde

se bloquean extensiones de páginas como, redes sociales entre otras, el cual ayuda

a la administración del acceso a la WEB.

Figura 19 primer ACL prohibido


Figura 20 segundo ACL redes sociales

Autor:ROgelio Guerrero

Una vez creado los ACL, necesitan ser llamados desde el archivo de configuración

squid.conf.

Figura 21 llamamos nuestras ACL


Se comprobara el pedido de la red local a la WEB.

71

Configuración de firewall o cortafuegos.

CentOS permite crear sus propias reglas, su propio firewall, utilizando las

IPTABLES, la configuración del firewall por software permite el reenvió de paquetes

de internet que llegan al servidor hacia la red local, se puede administrar las páginas

mediante el puerto seguro tcp/443.

Figura 22 configuración iptables


Figura 23 reenvío de paquetes


72

Figura 24 administración del puerto tcp/443


INSTALACIÓN CABLEADO ESTRUCTURADO.

Para mejorar la conexión de la Red interna se cambia la estructura de la Red, para

que todas las maquinas se conecten vía cable al servidor que se configura y no

tengan problemas de conexión.

A continuación se detalla los implementos que se usa. VER ANEXOS 5

Tabla 6 detalle de implementos de red


Descripción

Switch 16 puertos

Patch Panel 24 Puertos

Organizadores de Cables

Racks Pequeño

Jack y Conectores Rj45 Cat 6

Cable UTP Next Cat 6

Access Point

Canaletas

Cajetines de red

Nuevo esquema de la Red interna de la importadora Megatech.

73

Figura 25 nuevo esquema de la red interna


73

74

IMPLEMENTACION DEL SGSI

La ISO 27001 cuenta con 14 dominios y 114 controles para la seguridad de la

información, la ISO 27001 le da prioridad al Sistema de Gestión, lo cual de todos

los controles que existen se selecciona los que ayuden a reducir los riesgos que se

presenten durante la implementación del SGSI.

Método PDCA

Figura 26 ciclo de vida del SGSI

Fuente: gestión integral de la calidad

Autor::Rogelio Guerrero

El SGSI es una Decisión estratégica para minimizar los riesgos que se presentan a

la información de la organización.

75

Etapas de implementación.

Figura 27 etapas de implementación del SGSI

Fuente:gestión integral de la calidad


El propósito del SGSI es garantizar que los riesgos de seguridad serán conocidos,

asumidos, gestionados y minimizados por la importadora de una forma

documentada.

Uno de los fundamentos del diseño del SGSI es la elaboración de las políticas de

seguridad informática a aplicarse a los procesos que se realicen al servidor con sus

servicios de red, lo cual de los controles y dominios que cuenta la ISO 27001 se

escoge los que más convengan para que se pueda realizar el SGSI y así se pueda

reducir las vulnerabilidades y amenazas que existen, logrando mantener siempre

la confidencialidad, integridad y disponibilidad de la información.

76

Los pasos para la implementación en las etapas son los siguientes:

Alcance del SGSI

Políticas de seguridad

• Marco general

• Objetivos

• Alcance

• Responsabilidades

• Objetivos de los dominios de la ISO 27001

Metodología de evaluación de riesgos

Identificar los activos

• Vulnerabilidades y Amenazas

Analizar y evaluar los riesgos

Selección de Controles

Aplicabilidad del SGSI

Definir plan de tratamiento de los riesgos

Implantar plan de tratamiento de los riesgos

Implantación de Controles

ETAPA 1 PLANIFICAR

ALCANCE DEL SGSI

En la importadora Megatech es necesario el uso de sistemas de información,

servicios informáticos e información almacenada en el servidor y los servicios de

red para acceder a la misma.

El alcance del SGSI de la importadora MEGATECH será de la siguiente manera:

Información Implicada.

Procesos financieros tales como registro de pagos, información financiera,

contable, información de cobros y demás procesos relacionados

77

Procesos administrativos tales como nomina, activos fijos y demás procesos

relacionados.

Procesos de compras públicas tales como procesos de la SERCOP o demás

procesos relacionados.

Procesos de ventas tales como facturación al cliente final, inventarios, y

demás procesos relacionados.

Servicio de red para la autorización a computadores de la importadora

Sistemas de Información.

El sistema de información gestionado por este sistema es el siguiente:

o Sistema Contable Mcount.

o Servicio de RED (Proxy, FIREWALL, DHCP)

POLÍTICA DE SEGURIDAD

Marco general

En la actualidad la información es el bien más preciado de una organización motivo

por el cual la información debe ser sumamente protegida contra amenazas y

riesgos. Todo cambio que suceda será reportado a la gerencia general y

comunicado al personal antes de ser implementado.

La política de seguridad intenta reducir, aceptar, transferir o evitar al máximo los

riesgos y proteger de las amenazas que estén asociados con la información, el éxito

de la política radica con el compromiso de las autoridades de la importadora, y

asimismo una difusión de las mismas, a todo el personal involucrado para que

exista un serio compromiso de parte de ellos.

78

Objetivo de la Política

Proteger la información de la importadora al más alto grado posible como activo

más importante, además los sistemas que procesan la información al servidor

mediante los servicios de red, con el fin de asegurar el cumplimiento de la

disponibilidad, confidencialidad e integridad de la información, minimizando al

máximo los riesgos que la afecten.

Alcance

Esta política se aplica a todo el entorno dentro de la importadora Megatech en el

que se manipule información, principalmente en el servidor que se configura, ya

que en él se concentra toda la información, así como las computadoras conectadas

a las Red que intervengan la información, en el desarrollo de estas políticas debe

definir los términos y condiciones en cuanto a la manipulación de la información.

Responsables

Todo el personal y gerente de la importadora son responsables de cumplir las

políticas de seguridad de la información para la manipulación de la misma, a

continuación se detallan los actores principales.

Oficial de Seguridad

Será el encargado de la administración de la seguridad en el servidor y los

servicios de red en la importadora y demás tareas sobre el mismo, y

responsable de supervisar las políticas de seguridad que se encuentran

presente, también estará encargada de delegar tareas que estén

relacionadas a satisfacer los requerimientos de seguridad de la información

detallados en estas políticas.

79

Administrador de la Información

El administrador de la información es responsable de clasificar y catalogar la

misma según su confidencialidad, mantener actualizada esta información

determinando específicamente el nivel de acceso que tiene cada personal

para tener una integridad en la información, y que siempre se encuentre

disponible para el personal a necesitar.

Coordinadora

Sera la responsable de publicar o notificar a todo el personal involucrado

sobre las políticas implementadas y cualquier cambio o modificación que se

haya hecho.

Usuarios de la Información y de los sistemas

El personal es responsable de conocer, cumplir y fomentar el cumplimiento

de las políticas, es responsable de llevar acabo cada política de seguridad

que se encuentra establecido para el acceso a la información que se

encuentra en el servidor mediante los servicios de red de la importadora.

Dominios de la ISO 27001

En conformidad con las políticas de seguridad la ISO/IEC 27001 incluirá los

objetivos de sus 14 dominios.

5 Política de Seguridad de la información

El principal objetivo de la política de seguridad de la información es cumplir con sus

tres principios que son, la confidencialidad, integridad y disponibilidad de la

información, resguardando la información al máximo posible.

La información tiene que ser confiable a todo momento

80

Garantizar que accedan a la información solo personal autorizado.

Asegurar que la información sea completa y valida durante su ciclo de vida.

Capacitar a todo el personal sobre las seguridades de la información y su

obligación de cumplirlas.

El oficial de seguridad será el encargado de mantener y mejorar las políticas

de seguridad de la información

Garantizar que todas las vulnerabilidades y amenazas de la información

sean tratadas

6 Aspectos Organizativos de la seguridad de la información

Para la administración de la seguridad de la Información, se definirá que el Gerente

es el que aprobara las nuevas políticas o cambios en la misma, la cual reportara

directamente la coordinadora de la seguridad para que estas sean puestas en

marcha lo más pronto posible, el oficial de la seguridad impulsara el cumplimiento

de las mismas.

Debe existir un documento que sirva de constancia de las funciones que deben

cumplir anteriormente detalladas.

7 Seguridad ligada a los recursos humanos

El principal objetivo de este control es gestionar los riesgos derivados al error

humano, uso no autorizado de la información o uso inadecuado de los equipos o

que la administra.

El personal de la importadora deberá ser informado desde el momento que se lo

contrata de las responsabilidades y derechos en materia de uso de la seguridad de

la información, garantizando que los usuarios involucrados estén al tanto de las

amenazas en materia de la seguridad de la información y que se encuentren

capacitados para el cumplimiento de las políticas de seguridad en el transcurso de

sus tareas normales, también se establece un compromiso de confidencialidad en

81

todos los usuarios que tengan acceso a la información con el fin de gestionar los

riesgos si estos llegaran a ocurrir.

8 Gestión de activos que se conectan al servidor y servicios de red

La información del servidor y todos los servicios que presente el mismo, deberán

estar bien clasificados según su nivel de confidencialidad y criticidad para el acceso

a la misma, garantizando que los activos de información reciban un adecuado nivel

de protección.

9 Control de accesos

EL acceso a la información del servidor, deberá ser restringido de acuerdo con los

requerimientos y privilegios de control establecidos por el Oficial de seguridad,

dicho acceso estará asegurado a través de procesos de autentificación y

autorización.

Los principales objetivos son:

Evitar el acceso no autorizado a los activos de la información, sistemas de

información y a la información de la importadora.

Establecer la seguridad en el acceso de los usuarios a través de técnicas de

autenticación.

Controlar la seguridad entre conexión de la red interna y el internet.

Capacitar al usuario para que haga conciencia de la importancia del uso de

contraseñas en los equipos.

Mantener las contraseñas en secreto

Garantizar el acceso a la información al utilizar conexiones remotas.

82

10 Cifrado

El fin de este objetivo es asegurar la confidencialidad e integridad de la información

mediante el uso de sistemas y técnicas criptográficas en base al previo análisis de

los riesgos, todo esto en base a las políticas sobre el uso de controles criptográficos.

11 Seguridad Física y Ambiental

Proteger adecuadamente los equipos que procesan la información de la

importadora, tanto el servidor donde reside toda la información como los

computadores que la manipulan, dispositivos que prestan los servicios de red y

demás, evitando accesos no autorizados, daños e interferencia para los datos de

la organización.

12 Seguridad en la operativa

Asegurar que los equipos que manipulan o acceden a la información operen

correctamente, garantizando la integridad de los sistemas operativos, asegurando

que la información al momento de ser procesada esté protegida contra malware o

virus, evitando la pérdida de datos, logrando gestionar vulnerabilidades técnicas.

13 Seguridad en las telecomunicaciones

Proteger la información, de la manipulación en la red, garantizando que siempre se

encuentre disponible y que el uso de la misma sea siempre segura, gestionando

los riesgos presentes mediante controles especiales a fin de asegurar la

confidencialidad de la información transmitida a través del internet o través de redes

inalámbricas que permiten resguardar la información como bien más preciado de la

importadora Megatech.

83

14 Adquisición, desarrollo y mantenimiento de los sistemas de información

Se deberá prevenir manipulaciones inadecuadas o eliminación de la información

del servidor, a lo cual se incluirá mediante todo el ciclo de vida de la información

pruebas, mantenimientos y copias de seguridad con el fin de evitar pérdidas de la

misma

Es importante que los principios de seguridad de la información sean incorporados

a los equipos de procesamiento en todo su ciclo de vida, garantizando que en el

desarrollo de los sistemas de información los equipos de procesamiento duren todo

el ciclo de vida de los datos.

15 Relaciones con suministradores

El objetivo es proteger los activos de la importadora Megatech que sea accesible

para los proveedores, manteniendo un nivel de seguridad de la información, de la

prestación de servicio que nos brindan cada proveedor.

16 Gestión de incidentes en la seguridad de la información

El objetivo primordial es que exista comunicación entre el personal involucrado con

la información para garantizar un enfoque razonable cuando se presente un

incidente en el servidor o en la red, minimizando estas vulnerabilidades o

amenazas.

17 Aspectos de seguridad de la información en la gestión de la continuidad

del negocio

El objetivo principal es minimizar los riesgos más críticos en la importadora en el

procesamiento de información ya sean estos temporales o permanentes, desastres

naturales o accidentales, asegurando la disponibilidad de la información, asimismo

todas las normas internas se deberán evaluar y asegurar su cumplimiento para

lograr mantener la continuidad del negocio.

84

18 cumplimientos

Controlar el cumplimiento de las obligaciones legales sobre las políticas de

seguridad de la información, con el fin de evitar sanciones administrativas al

personal, garantizando que la implementación de la seguridad de la información

sea aplicada de acuerdo a las políticas y procedimientos de la importadora,

revisando periódicamente las políticas con el fin de asegurar que estas políticas de

seguridad no estén siendo incumplidas.

METODOLOGÍA DE EVALUACIÓN DE RIESGO

Se puede elegir cualquier metodología, la norma ISO 27001 exige que dicha

metodología muestre resultados semejantes, donde cada activo de la información

se le debe identificar todas las vulnerabilidades y amenazas existentes, la

posibilidad de la ocurrencia y la posibilidad de que dicha amenaza se materialice

dependiendo de la vulnerabilidad existente.

Debido a la gran importancia que tiene la información en la importadora, se optara

por utilizar la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos

de los Sistemas de Información), esta permitirá saber que activo de la información

está en riesgo y ayudara a gestionarla y protegerla. Con MAGERIT no existe lugar

a la improvisación se persigue una aproximación metódica al análisis de riesgo para

el SGSI.

Describir los activos importantes para la importadora sobre el servidor y

servicios de red

Describir los valores que se utilizaran sobre los activos

Valorar la confidencialidad integridad y disponibilidad de los activos

Identificar las vulnerabilidades y amenazas sobre los activos

Valorar el impacto del daño sobre el activo cuando la amenaza se materialice

85

IDENTIFICACIÓN DE ACTIVOS

Para la identificación de los activos que intervienen sobre el servidor y los servicios

de red se utilizara datos proporcionados por el técnico encargado de la importadora

MEGATECH.

Tabla 7 identificación de activos


Activos Descripción

Documentación y Registro

Actas Documentación de proceso Sercop Contratos con los clientes Contratos con los proveedores Facturas Memos Oficios Reglamento del SRI Inventario Información Financiera

Auxiliares Suministros de Oficina

Sistemas Operativos

Linux CentOS 7 Windows 7 Windows 8.1

Paquetes de Programas o software estándar

Antivirus Software contable Mcount Paquete de Office

Computadoras de Oficina Estaciones de trabajo

Servidor y Servicios de RED

Cortafuego (firewall) Samba DHCP Proxy (squid) Base de datos del Sistema contable s.a

Medios Extraíbles DVD-ROM Disco Duro extraíble Memoria extraíble

Red Local

Cableado Estructurado Wifi Switch Router Tecnología Ethernet

Correo Electrónico Skype Correo electrónico interno

Empleados

Gerente Administrativo Asistente de Gerencia Financiera

86

Activos Descripción

Compras Publicas Secretaria Atención al Cliente Departamento Técnico

ESCALA DE VALORES DE LOS RIESGOS

Se elegira una escala detallada con los tres elementos principales de la norma ISO

27001 (confidencialidad, integridad, disponibilidad).

Tabla 8 confidencialidad


Valores Confidencialidad Descripción

1 Publica Puede ser proporcionado a terceras personas

2 Interna Puede ser revelada dentro de la importadora

3 Secreto Puede ser revelada a partes específicas y departamentos de la importadora

4 Alta Confidencialidad Solo puede ser revelado a partes específicas, en la importadora

Tabla 9 valores integridad


Valores Integridad Descripción

1 No necesaria No hay problemas solo para consultas

2

Necesaria

Problemas si el contenido fuera manipulado, pero no afectaría mucho a los procesos de la importadora.

3 Importante Efecto fatal para los procesos de la importadora si la integridad se perdiera

Tabla 10 valores disponibilidad


Valores Disponibilidad Descripción

1 Bajo Si la información no está disponible no afecta a los procesos de la importadora

2

Medio

Si la información no está disponible en el servidor se usaría métodos alternativos para usar la información.

3

Alto

Si la información no está disponible, cuando se la necesita sería fatal para los procesos que realiza la importadora

87

VALORACIÓN DE ACTIVOS

Para valorar los activos de información se realizara una conversa directamente con

el personal que conoce la importancia de la información y así poder determinar los

niveles de confidencialidad integridad y disponibilidad que requiere cada proceso

para almacenar o acceder a la información del servidor

Tabla 11 valoración de activos


Activos Elementos Valores Descripción


Confidencialidad

3

La información contiene datos de los clientes, proveedores y procesos de ventas, es necesario que los departamentos tengan acceso a ella.

Integridad

3

Los documentos de la importadora almacenada en el servidor no pueden ser manipulados sin autorización

Disponibilidad

2

La información debe estar disponible en cualquier momento que lo requiera el departamento autorizado a ella

Auxiliares

Confidencialidad

1

No se requiere de confidencialidad los suministros a utilizar.

Integridad

2

Los suministros a utilizar no deben ser manipulados ya que puede ocasionar que el equipo no funcione correctamente

Disponibilidad

1

Solo en las horas de trabajo, si falla alguna pieza fuera de la hora de trabajo no se tiene inconvenientes

Sistemas Operativos

Confidencialidad

4

La información que se encuentra en el servidor es personal la cual debe ser muy protegida

Integridad

3

La información de los procesos o pliegos que realiza la importadora deben ser los correctos.

88


Disponibilidad

3

El servidor debe estar disponible las 24 horas del día para un excelente desempeño de la importadora.


Confidencialidad 1 No son confidenciales ya que son estándares.

Integridad 2 La aplicación o software no debe tener errores

Disponibilidad

2

La aplicación debe estar operacional las horas de trabajo.

Computadoras de Oficina

Confidencialidad

3

La información almacenada en las PC debe ser vista únicamente por el respectivo usuario

Integridad

3

Es necesaria la información almacenada especialmente si es de algún trámite realizado o por realizar

Disponibilidad

2

Disponible para que el personal pueda acceder a la información durante horas de trabajo


Confidencialidad

4

Solo personal de departamentos específicos pueden acceder a la información del servidor.

Integridad

3

La información del servidor no puede ser modificada mucho menos eliminada sin autorización, puede ocasionar perdidas económicas a la importadora.

Disponibilidad

3

El servidor debe estar funcional las 24 horas del día para o afectar al respaldo y tener siempre disponible la información que se requiera.

Medios Extraíbles

Confidencialidad

1 No se requiere de confidencialidad

Integridad

2

Los archivos que sean de la importadora no deben ser manipulados

Disponibilidad

3

Archivos sacados de la importadora que se trasladen en un medio extraíble debe estar siempre disponible

89


Red Local

Confidencialidad

2

Las medios de comunicación no pueden ser interceptados para que la información no sea desviada

Integridad

2

Que los servicios de comunicación no fallen en horas de trabajo

Disponibilidad

3

Siempre disponibles ya que se necesita acceder o guardar información siempre al servidor

Correo Electrónico

Confidencialidad

4

Se debe manejar que departamento accede a la información ya que mediante el correo se puede estar fugando información

Integridad

2

Los datos no pueden ser manipulados al momento de enviar por correo pero si se diera el caso se vuelve a utilizar el original

Disponibilidad

2

El correo electrónico de la empresa debe ser utilizado solamente en horas de trabajo.

Empleados

Confidencialidad

2

La información debe ser manejada en horas de trabajo

Integridad

1

No hay relación.

Disponibilidad

2

Deben estar disponibles en horas de trabajo para resolver cualquier problema que se le presente

IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES

El objetivo es identificar las amenazas que pueden explotar las vulnerabilidades

que existen en cada activo de la información.

Tabla 12 amenazas y vulnerabilidades


Activo Amenazas Vulnerabilidades

Modificación Documentos Falta de Capacitación

Accidentes imprevistos Desconocimiento de la información

90



Acceso no Autorizado Falta de control

Ingreso no autorizado a los registros

Falta de control

Manipulación de los registros de la importadora

Falta de conocimiento

Destrucción de Documentos y registros

Errores de los empleados, almacenamiento no protegido

Cambio de ubicación de la documentación

Falta de control

Divulgación de la documentación y registros

Falta de políticas

Auxiliares

Manipulación del suministro Falta de control

Errores de administración Falta de conocimiento

Mal uso del suministro Falta de capacitación al personal

Ausencia de conexión al suministro

Funcionamiento no confiable de los UPS

Sistemas Operativos

Abuso de privilegios Falta de conocimiento de las políticas de seguridad

Acceso no autorizado Falta de control de acceso

Errores de administración Falta de conocimiento de políticas de seguridad

Propagación de software malicioso

Falta de actualización de antivirus

Suplantación de la identidad de usuarios

Falta de control de usuarios

Ataque de virus Falta de antivirus

Manipulación de programas

Falta de conocimiento de políticas de seguridad


Desinstalación de programas

Falta de control de administración

Desactualización de antivirus y programas

Falta de control de mantenimiento

Acceso no autorizados a programas

Falta de control de acceso

Manipulación de programas Falta de control de accesos

Errores de usuarios Falta de capacitación al personal

Suplantación de identidad

Falta de control de usuarios

Manipulación de configuración de los Computadores


91



Uso inapropiado Falta de conocimiento del personal

Fuego Falta de protección contra el fuego

Acceso no autorizado a los Computadores


Instalación de autorizada de software

Falta de conocimiento de las políticas de seguridad

Ataque destructivo Falta de protección física

Robo Falta de protección física

Falta de energía

Funcionamiento no confiable de los UPS


Manipulación de archivos de registros


Manipulación de servicios de red


Falta de energía Funcionamiento no confiable de los UPS

Seguridades no detectadas Falta de mantenimiento periódicamente

Ataques destructivos Falta de protección física

Códigos maliciosos

Falta de monitoreo al servidor

Medios Extraíbles

Manipulación de la información

Falta de políticas de seguridad

Hurto de la información Falta de políticas de seguridad

Robo del medio Falta de protección física

Paso de virus

Falta de políticas de seguridad

Red Local

Fuego Falta de protección contra fuego

Errores de configuración Falta de conocimiento administrativos

Manipulación de la red Falta de control de acceso

Corte de la comunicación entre computadores

Falta de monitoreo a la red

Uso no previsto de la RED

Falta de control de conexión

Correo Electrónico

Hurtar la identidad Falta de servicio de correo empresarial

Reenvió de paquetes de mensajes

Falta de servicio de correo empresarial

Hurto de información Falta de servicio de correo empresarial

92


Empleados


Falta de capacitación al personal sobre las políticas de seguridad sobre la seguridad de la información

Eliminación de la información

Divulgación de la información

Desconocimiento de funciones del personal

Accesos no autorizados

VALORACIÓN DEL IMPACTO

La valoración del impacto de cada activo se elegirá según la violación y seguridad

del servicio que presente cada una, en base a esto se puede determinar cuáles

deberían ser atendidas inmediatamente, valorizando la disponibilidad, integridad y

confidencialidad.

Muy Alto - 5

Alto - 4

Medio - 3

Bajo - 2

Muy Bajo - 1

Se valorara con las siguientes normas:

Pérdidas económicas: perdida de actividad o capacidad de operar.

Costo de Recuperación: recuperar el valor del activo.

Tabla 13 valoración del impacto


Activo

Amenazas

Pérdidas Económicas

Costo de Recuperación

Promedio del impacto

Modificación de Documentos

4 4 4

Hurto de la documentación

5 5 5

93

Activo

Amenazas






5

5

5


5

3

4


5

5

5


4

3

4


3

4

4

Auxiliares

Accidentes imprevistos

5 5 5

Manipulación del suministro

4 4 4

Errores de administración

4 4 4

Mal uso del suministro

4 4 4


3

4

4

Sistemas Operativos

Abuso de privilegios

5 4 5

Acceso no autorizado

4 5 5


4 4 4


5 4 4


4

4

4

Ataque de virus 4 4 4


4

4

4


5 5 5

94

Activo

Amenazas






4

3

4


5

5

5


4 4 4

Errores de usuarios

4 5 5


5

4

5



5

4

5

Uso inapropiado 5 4 5

Daños por agua 5 5 5

Fuego 5 5 5


5

3

4

Instalación no autorizada de software

4

3

4

Ataque destructivo

5 5 5

Robo 5 5 5

Falta de energía 5 3 4



5

4

5


5 4 5


Seguridades no detectadas

5 4 5

Ataques destructivos

5 5 5

Códigos maliciosos

5 4 5

Robo 5 5 5


4 3 4


4 4 4

95

Activo

Amenazas




Medios Extraíbles

Hurto de la información

4 4 4

Robo del medio 5 5 5

Paso de virus 5 5 5

Red Local

Fuego 5 5 5

Errores de configuración

5 4 5

Manipulación de la red

5 4 5


4

3

4


5

4

5

Correo Electrónico

Hurtar la identidad

5 5 5


5

4

5


5

5

5

Empleados

Hurto de información

5 5 5


5 5 5


5 5 5


4 4 4


5

4

5


5

4

5

ANÁLISIS Y EVALUACIÓN DE RIESGOS.

Se analiza las vulnerabilidades y amenazas identificadas para poder determinar el

valor al riesgo que está expuesta la información, para poder implementar los

96

controles que nos brinda la norma ISO 27001 para ayudar a proteger la información,

bajos los criterios de disponibilidad, confidencialidad e integridad de los datos.

DETERMINACION DEL RIESGO

Una vez obtenido el impacto de cada activo de la información, se determina la

frecuencia con la que está expuesta la amenaza, para obtener el valor del riesgo y

así se pueda incrementar los controles establecidos por la norma ISO 27001:

Valoración de la Frecuencia

Siempre - 5

Casi Siempre - 4

A Menudo - 3

Algunas Veces - 2

Casi Nunca - 1

Tabla 14 determinación del riesgo


Activo

Amenazas

Promedio del

impacto

Frecuencia

Valor del Riesgo


Modificación de Documentos

4 1 4


5 1 5


5

1

5


4

1

4


5

1

5


4

1

4


4

1

4

97

Activo

Amenazas

Promedio del

impacto

Frecuencia

Valor del Riesgo

Auxiliares

Accidentes imprevistos 5 2 10

Manipulación del suministro

4 1 4


4 1 4

Mal uso del suministro 4 2 8


4

1

4

Sistemas Operativos

Abuso de privilegios 5 1 5

Acceso no autorizado 5 1 5


4 1 4


4 2 8


4

1

4

Ataque de virus 4 2 8


4

1

4



5 1 5


4

1

4


5

1

5


4 2 8

Errores de usuarios 5 1 5


5

1

5



5

1

5

Uso inapropiado 5 1 5

Daños por agua 5 1 5

Fuego 5 1 5


4

2

8


4

1

4

Ataque destructivo 5 1 5

Robo 5 1 5


98

Activo

Amenazas

Promedio del

impacto

Frecuencia

Valor del Riesgo



5

1

5


5 1 5


Seguridades no detectadas

5 2 10

Ataques destructivos 5 1 5

Códigos maliciosos 5 1 5

Medios Extraíbles

Robo 5 1 5


4 2 8


4 2 8


4 1 4

Robo del medio 5 1 5

Paso de virus 5 3 15

Red Local

Fuego 5 1 5


5 1 5

Manipulación de la red 5 1 5


4

1

4


5

1

5

Correo Electrónico

Hurtar la identidad 5 1 5


5

1

5


5

1

5

Empleados

Hurto de información 5 1 5


5 2 10


5 1 5


4 2 8


5

1

5


5

1

5

99

CONTROLES DE LA ISO 27001 QUE SE SELECCIONARON

Una vez que se obtenga la valoración del riesgo se selecciona los riesgos más altos

para seleccionar un control apropiado para tratar estas amenazas.

Tabla 15 selección de controles de la ISO 27001


Activo

Amenazas

Controles ISO 27001



5.1.1 Conjunto de políticas para la seguridad de la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información




5.1.1 Conjunto de políticas para la seguridad de la información 9.4.1 Restricción del acceso a la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 12.3.1 Copias de seguridad de la información

Auxiliares

Accidentes imprevistos

11.2.2 Instalaciones de suministros

Mal uso del suministro

11.1.3 Seguridad de oficinas, despachos y recursos 11.2.2 Instalaciones de suministros

100

Activo

Amenazas

Controles ISO 27001

Sistemas Operativos

Abuso de privilegios

9.1.1 Política de control de acceso 9.1.2 Control de acceso a la red y servicios asociados

Acceso no autorizado

9.1.1 Política de control de acceso 9.1.2 Control de acceso a la red y servicios asociados 9.3.1 Uso de información confidencial para la autenticación


11.2.4 Mantenimiento de los equipos


12.2.1 Controles contra código malicioso


9.1.1 Política de control de acceso

Ataque de virus 12.2.1 Controles contra código malicioso







11.2.4 Mantenimiento de los equipos


9.1.1 Política de control de acceso 12.6.2 Restricciones en la instalación de software



Errores de usuarios




Manipulación de configuración de


101

Activo

Amenazas

Controles ISO 27001


los Computadores

Uso inapropiado


Daños por agua

11.1.1 Perímetro de seguridad física

Fuego






Ataque destructivo


Robo

12.3.1 Copias de seguridad de la información



5.1.1 Conjunto de políticas para la seguridad de la información 7.2.2 Concienciación, educación y capacitación en segur. De la información 9.1.1 Política de control de accesos 9.3.1 Uso de información confidencial para la autenticación 12.3.1 copias de seguridad de la información


9.1.2 Control de acceso a la red y servicio asociados 13.1.1 Control de red

Falta de energía


Ataques destructivos


Códigos maliciosos


Robo


102

Activo

Amenazas

Controles ISO 27001

Medios Extraíbles


7.2.2 Concienciación, educación y capacitación en segur. De la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 9.4.1 Restricción del acceso a la información


5.1.1 Conjunto de políticas para la seguridad de la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información


5.1.1 Conjunto de políticas para la seguridad de la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información

Robo del medio


Paso de virus


Red Local

Fuego




Manipulación de la red




9.1.2 Control de acceso a la red y servicio asociados

103

Activo

Amenazas

Controles ISO 27001


13.1.1 Control de red

Correo Electrónico

Hurtar la identidad


Empleados Empleados

Hurto de información

5.1.1 Conjunto de políticas para la seguridad de la información 6.1 Organización Interna 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información


5.1.1 Conjunto de políticas para la seguridad de la información 6.1 Organización Interna 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información





104

Activo

Amenazas

Controles ISO 27001


5.1.1 Conjunto de políticas para la seguridad de la información 6.1 Organización Interna 6.1.1 Asignación de responsabilidades para la seguridad de la información


5.1.1 Conjunto de políticas para la seguridad de la información 6.1 Organización Interna 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información

105

APLICABILIDAD DEL SGSI

Tabla 16 aplicabilidad del SGSI


Declaración de Aplicabilidad Fecha de actualización:

Leyenda (para los controles seleccionados y las razones para la selección de los controles)

2015 Diciembre 23

RL: Requerimientos legales, OC: obligaciones contractuales, RN/MP: requerimientos de negocio/mejores prácticas adoptadas, RER: resultados de

evaluación de riesgos, TSE: hasta cierto punto

ISO 27001:20013 Controles Controles

Actuales

Observacione

s

(Justificación

de exclusión)

Controles

Seleccionados y

Razones para

Selección

Observaciones (Vista

general de los objetivos de

implementación)

R

L

O

C

RN/

MP

RER

Cláusula Sec. Objetivo de Control/Control

Políticas de

Seguridad

5,1 Directrices de la Dirección en

seguridad de la información

5.1.1 Conjunto de políticas para la


Controles

implementar

5.1.2 Revisión de las políticas para la


6,1 Organización Interna

10

5

106

Aspectos

Organizativos de

la Seguridad de la

Información

6.1.1 Asignación de responsabilidades

para la segur. De la información

Controles a

implementar

6.1.2 Segregación de tareas

6.1.3 Contacto con las autoridades

6.1.4 Contacto con grupos de interés

especial

6.1.5 Seguridad de la información en

la gestión de proyectos

6.2 Dispositivos para movilidad y

teletrabajo

6.2.1 Política de uso de dispositivos

para movilidad

6.2.2 Teletrabajo

Seguridad ligada a

los recursos

humanos

7,1 Antes de contratación

7.1.1 Investigación de Antecedentes

7.1.2 Términos y condiciones de

contratación

7.2 Durante la contratación

7.2.1 Responsabilidades de gestión

7.2.2 Concienciación, educación y

capacitación en segur. De la

información

Control a

Implementar

Capacitación al personal

sobre las políticas y controles

de seguridad

7.2.3 Proceso disciplinario

7.3 Cese o cambio de puesto de

trabajo

7.3.1 Cese o cambio de puesto de

trabajo

Gestión de Activos 8,1 Responsabilidad sobre los

activos

10

6

107

8.1.1 Inventario de Activos Control

Existente

La empresa ya cuenta con un

inventario de activos

8.1.2 Propiedad de los activos

8.1.3 Uso aceptable de los activos

8.1.4 Devolución de Activos

8,2 Clasificación de la información

8.2.1 Directrices de clasificación Control a

implementar

Clasificación de información

según la autentificación

8.2.2 Etiquetado y manipulado de la

información

8.2.3 Manipulación de activos

8,3 Manejo de los soportes de

almacenamiento

8.3.1 Gestión de soportes extraíbles

8.3.2 Eliminación de soportes

8.3.3 Soportes físicos en transito

Control de

Accesos

9,1 Requisitos de negocio para el

control de accesos

9.1.1 Política de control de accesos Controles

implementar

9.1.2 Control de acceso a la redes y

servicios asociados

Controles

implementar

Control mediante la MAC

del equipo y carpetas

compartidas

9,2 Gestión de acceso de usuario

9.2.1 Gestión de altas/bajas en el

registro de usuarios

9.2.2 Gestión delos derechos de acceso

asignados a usuarios

9.2.3 Gestión de los derechos de

acceso con privilegios especiales

9.2.4 Gestión de información

confidencial de autenticación de

usuarios

10

7

108

9.2.5 Revisión de los derechos de

acceso de los usuarios

9.2.6 Retirada o adaptación de los

derechos de acceso

9,3 Responsabilidades del usuario

9.3.1 Uso de información confidencial

para la autenticación

Control a

Implementar

Usuario y contraseña para

acceder a la información

9,4 Control de acceso a sistemas y

aplicaciones

9.4.1 Restricción del acceso a la

información

Control a

implementar

Política de control de acceso

9.4.2 Procedimientos seguros de inicio

de sesión

9.4.3 Gestión de contraseñas de

usuarios

9.4.4 Uso de herramientas de

administración de sistemas

9.4.5 Control de acceso a código

fuente de los programas

Cifrado 10,1 Controles criptográficos

10.1.1 Política de uso de los controles

criptográficos

10.1.2 Gestión de claves

Seguridad Física y

Ambiental

11,1 Áreas Seguras

11.1.1 Perímetro de seguridad física Control a

implementar

Ubicación que se va a

encontrar el servidor y los pc

de la empresa

11.1.2 Controles físicos de entrada.

11.1.3 Seguridad oficinas, despachos y

recursos.

10

8

109

11.1.4 Protección contra las amenazas

externas y ambientales

11.1.5 El trabajo en áreas seguras

11.1.6 Áreas de acceso público, carga y

descarga

11,2 Seguridad de los equipos

11.2.1 Emplazamiento y protección de

equipos

11.2.2 Instalaciones de suministro Control a

implementar

11.2.3 Seguridad del cableado

11.2.4 Mantenimiento de los equipos Control a

implementar

Se llevara un control de los

mantenimiento

11.2.5 Salida de archivos fuera de la

dependencias de la empresa

11.2.6 Seguridad de los equipos y

activos fuera de las instalaciones

11.2.7 Reutilización o retirada segura de

dispositivos de almacenamiento

11.2.8 Equipo informático de usuario

desatendido

11.2.9 Política de puesto de trabajo

despejado y bloqueo de pantalla

Seguridad en la

operativa

12,1 Responsabilidades y

procedimientos de operación

12.1.1 Documentación de

procedimiento de operación

12.1.2 Gestión de cambios

12.1.3 Gestión de capacidades

12.1.4 Separación de entornos de

desarrollo, prueba y producción

12,2 Protección contra código

malicioso

10

9

110

12.2.1 Controles contra el código

malicioso

Control a

implementar

Se proveerá de antivirus las

maquinas

12,3 Copias de seguridad

12.3.1 Copias de seguridad de la

información

Control a

implementar

Respalda r la información de

la importadora

12,4 Registro de actividad y

supervisión

12.4.1 Registro de y gestión de eventos

de actividad

12.4.2 Protección de los registros de

información

12.4.3 Registros de actividad del

administrador y operador del

sistema

12.4.4 Sincronización de relojes

12,5 Control del software en

exploración

12.5.1 Instalación del software en

sistemas en producción

12,6 Gestión de la vulnerabilidad

técnica

12.6.1 Gestión de las vulnerabilidades

técnicas

12.6.2 Restricciones en la instalación de

software

Control a

implementar

En las computadoras que se

conectan al servidor

12,7 Consideraciones de las

auditorías de los sistemas de

información

12.7.1 Controles de auditoría de los

sistemas de información

13,1 Gestión de la seguridad en las

redes

11

0

111

Seguridad en las

Telecomunicacion

es

13.1.1 Controles de red Control a

implementar

Se administrar el uso de la

red e internet

13.1.2 Mecanismo de seguridad

asociados a servicios en red

13.1.3 Segregación de redes

13,2 Intercambio de información

con pates externas

13.2.1 Políticas y procedimiento de

intercambio de información

13.2.2 Acuerdos de intercambio

13.2.3 Mensajería electrónica

13.2.4 Acuerdos de confidencialidad y

secreto

Control a

implementar

Capacitación del personal

Adquisición,

desarrollo y

mantenimiento de

los sistemas de

información

14,1 Requisitos de seguridad de los

sistemas de información

14.1.1 Análisis y especificación de los

requisitos de seguridad

14.1.2 Seguridad de las comunicación

en servicios accesibles por redes

publicas

14.1.3 Protección de las transacciones

por redes telemáticas

14,2 Seguridad en los procesos de

desarrollo y soporte

14.2.1 Política de desarrollo seguro del

software

14.2.2 Procedimientos de control de

cambios en los sistemas

14.2.3 Revisión técnica de las

aplicaciones tras efectuar

cambios en el sistema operativo

11

1

112

14.2.4 Restricciones a los cambios en

los paquetes de software

14.2.5 Uso de principios de ingeniería

en protección de sistemas

14.2.6 Seguridad en entornos de

desarrollo

14.2.7 Externalización del desarrollo de

software

14.2.8 Pruebas de funcionalidad durante

el desarrollo de los sistemas

14.2.9 Pruebas de aceptación

14,3 Datos de prueba

14.3.1 Protección de los datos utilizados

en pruebas

Relaciones con

suministradores

15,1 Seguridad de la información en

las relaciones con

suministradores

15.1.1 Política de seguridad de la

información para suministradores

15.1.2 Tratamiento del riesgo dentro de

acuerdos de suministradores

15.1.3 Cadena de suministro en

tecnologías de la información y

comunicaciones

15,2 Gestión de la prestación del

servicio por suministradores

15.2.1 Supervisión y revisión de los

servicios prestados por terceros

15.2.2 Gestión de cambios en los

servicios prestados por terceros

0

11

2

113

Gestión de

incidentes en la

seguridad de la

información

16,1 Gestión de incidentes de

seguridad de la información y

mejoras

16.1.1 Responsabilidades y

procedimientos

16.1.2 Notificación de los eventos de


16.1.3 Notificación de puntos débiles de

la seguridad

16.1.4 Valoración de eventos de

seguridad de la información y

toma de decisiones

16.1.5 Respuesta a los incidentes de

seguridad

16.1.6 Aprendizaje de los incidentes de


16.1.7 Recopilación de evidencias

Aspectos de

Seguridad de la

Información en la

Gestión de la

continuidad del

negocio

17,1 Continuidad de la seguridad de

la información

17.1.1 Planificación de la continuidad

de la seguridad de la información

17.1.2 Implantación de la continuidad

de la seguridad de la información

17.1.3 Verificación, revisión y

evaluación de la continuidad de

la seguridad de la información

17,2 Redundancias

17.2.1 Disponibilidad de instalaciones

para el procesamiento de la

información

Cumplimiento 18,1 Cumplimiento de los requisitos

legales y contractuales

11

3

114

18.1.1 Identificación de la legislación

aplicable

18.1.2 Derechos de propiedad

intelectual

18.1.3 Protección de los registros de la

organización

18.1.4 Protección de datos y privacidad

de la información personal

18.1.5 Regulación de los controles

18,2 Revisiones de la seguridad de

la información

18.2.1 Revisión independiente de la


18.2.2 Cumplimiento de las políticas y

normas de seguridad

18.2.3 Comprobación del cumplimiento

11

4

115

ETAPA 2 HACER

DEFINIR PLAN DE TRATAMIENTO DE RIESGOS

Se debe definir un plan de tratamiento de riesgo (PTR), para la cual existen cuatro

estrategias que se proceden a detallar a continuación:

Reducir

Se implementara los debidos controles que brinda la norma ISO 27001 para reducir

las amenazas que se presenten en la información de la importadora.

Reducir la posibilidad de que la vulnerabilidad se ejecute en una amenaza.

Reducir la posibilidad de impacto si el riesgo llega a ejecutarse, recuperando

la información afectada.

Aceptar

Hay que aceptar o absorber los riesgos si estos ocurriesen ahí que vivir con las

consecuencias, siempre y cuando no se puedan encontrar controles para tratarlos.

Cuando los Riesgos ya están ejecutados y hay que aceptarlos para que no

perjudique la organización.

Transferir

Existen riesgos que no se pueden evitar y afectan aceptarlo y es ahí cuando se

traspasa el riesgo a otra compañía se lo considera transferir el riesgo, lo cual podría

ser una aseguradora de información o aun servidor en la nube.

116

Evitar

Hay riesgos que se pueden evitar al 100% escogiendo siempre las medidas

correspondientes sobre las amenazas que nos asechan.

Dejar de conducir ciertas actividades.

Cambiar los permisos de los usuarios sobre la información

Reducir el proceso de cierta información si no se consigue la protección

necesaria.

Cambiar contraseñas periódicamente

IMPLANTAR PLAN DE TRATAMIENTO DE RIESGO

Tabla 17 plan de tratamiento de riesgo


Activo

Amenazas

PTR


Hurto de la documentación Evitar

Ingreso no autorizado a los registros Evitar

Destrucción de Documentos y registros Evitar

Auxiliares

Accidentes imprevistos Reducción

Mal uso del suministro Reducción

Sistemas Operativos

Abuso de privilegios Evitar

Acceso no autorizado Reducción

Errores de administración Reducción

Propagación de software malicioso Reducción

Suplantación de la identidad de usuarios Evitar

Ataque de virus Reducción


Reducción


Desinstalación de programas Reducción

Desactualización de antivirus y programas Evitar

Acceso no autorizados a programas Reducción

Manipulación de programas Reducción

Errores de usuarios Reducción


Evitar


Reducción

Uso inapropiado Reducción

117

Activo

Amenazas

PTR


Daños por agua Reducción

Fuego Reducción

Acceso no autorizado a los Computadores Reducción

Instalación no autorizada de software Evitar

Ataque destructivo Reducción

Robo

Reducción


Manipulación de archivos de registros Reducción

Manipulación de servicios de red Reducción

Falta de energía Reducción

Ataques destructivos Reducción

Códigos maliciosos Reducción

Robo

Reducción

Medios Extraíbles

Manipulación de la información Reducción

Eliminación de la información Reducción

Hurto de la información Reducción

Robo del medio Reducción

Paso de virus

Reducción

Red Local

Fuego Reducción

Errores de configuración Reducción

Manipulación de la red Evitar


Reducción


Reducción

Correo Electrónico

Hurtar la identidad Reducción

Empleados

Hurto de información Reducción

Manipulación de la información Reducción

Eliminación de la información Reducción

Divulgación de la información Reducción

Desconocimiento de funciones del personal Reducción


Reducción

Una vez obtenido los resultados de nuestro plan de tratamiento de riesgo,

implementaremos los controles.

118

IMPLEMENTACIÓN DE CONTROLES

5 POLÍTICAS DE SEGURIDAD

5.1 Conjunto de políticas para la seguridad de la información

La importadora Megatech se compromete a garantizar que toda la información

mediante todo su ciclo de vida siempre mantendrá su integridad, confidencialidad y

disponibilidad, asegurando que todas las vulnerabilidades y debilidades en la

seguridad de la información sean reportadas al Oficial de Seguridad de la

información.

El oficial de seguridad de la información es el encargado de supervisar que se

cumplan las políticas de seguridad, y de esta forma mantener progresivamente el

SGSI, estableciendo controles para reducir los riesgos y planes de contingencia,

generando copias de respaldo, monitoreando y revisando el servidor y los servicios

de red configurados, e instalando actualizaciones en los equipos que acceden a la

información.

La persona que incumpla las políticas y controles de seguridad de la información

detallada en este documento será sancionado económicamente, y responderá por

sus acciones o por daños causados a la información de la importadora.

Toda excepción a las políticas o controles de seguridad de la información debe ser

documentado y aprobado por el gerente general, una carta detallada que justifique

por que no se cumple la política o control.

Seguridad lógica: Para que un usuario ingrese a la información de la importadora

que se encuentra en el servidor debe existir un procedimiento formal que regule la

información, el oficial de seguridad de la información administrar a los usuarios y

las contraseñas para acceder a la información.

119

Administrador del servidor: los únicos usuarios habilitados con el rol mencionado

serán: el Oficial de seguridad de la información y el Administrador de la información.

La conexión de internet que posee la importadora Megatech sirve para muchos

propósitos.

Permitir conexión a la WEB.

Intercambiar información con otras entidades.

Investigar sobre múltiples temas de interés.

6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

6.1 Organización Interna

La importadora Megatech se creara el comité de seguridad de la información,

integrado por los responsables de la seguridad de la información que son: Oficial

de seguridad de la información, administrador de la información, la coordinadora y

el gerente general.

El gerente general de la importadora Megatech, es la máxima autoridad que

aprueba todo respecto a la seguridad de la información que presente el comité.

VER ANEXOS 7.

6.1.1 Asignación de responsabilidades para la seguridad de la información

La importadora Megatech con el fin de mejorar la productividad ha determinado la

responsabilidad de la seguridad de la información de acuerdo a los objetivos de la

organización interna y a la clasificación de la información VER ANEXOS 8.

7 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

La importadora Megatech, define las responsabilidades del empleado al momento

de su contratación, en conjunto con el comité de seguridad de la información.

120

7.2.2 Concienciación, educación y capacitación en seguridad de la

información

El oficial de seguridad de la información con respaldo del gerente realizara

capacitaciones a todo el personal involucrado con la importadora acerca de las

políticas establecidas para educarlo en cuanto a la seguridad de la información, lo

cual el empleado debe tener muy presente para no incurrir en fallas con la seguridad

de la información. VER ANEXOS 9.

8 GESTIÓN DE ACTIVOS

8.2 Clasificación de la información

La importadora Megatech clasifica su información, basándose en las en las 3

características principales de la información que son: la confidencialidad, integridad

y disponibilidad.

8.2.1 Directrices de clasificación

Toda la información de la importadora es clasificada según su contenido, se

implementa el control adecuado de acuerdo a la importancia que tenga, la

clasificación la realizara el oficial de seguridad de la información con respaldo del

gerente general de la importadora, teniendo en cuenta el nivel de riesgo que está

expuesta, la sensibilidad y la privacidad.

El gerente general es el único que tiene acceso a toda la información que se

encuentre en el servidor, la importadora cuenta con conjunto de controles

determinados, los cuales podrán ser mejorados pero nunca disminuidos. VER

ANEXO 10.

121

9 CONTROL DE ACCESO

Controlar todo acceso no autorizado.

9.1.1 Políticas de control de acceso

Acceso al servidor: La importadora garantiza que la información de la importadora

Megatech es integra y confidencial gracias a los controles detallados, evitando el

acceso no autorizado a ella, de igual manera el acceso físico al servidor es

confidencial y restringido cuenta con llaves y candados solo para personal

autorizado, los puntos de acceso inalámbrico serán restringidos para acceder a la

información.

El oficial de seguridad de la información debe realizar un chequeo mensual de los

usuarios que acceden a la información, comprobando que estos usuarios tengan

los permisos correctos.

La coordinadora debe comunicar al personal de los cambios de acceso que se

produzcan, cuando un empleado es despedido o renuncia a su puesto laboral, debe

ser desactivada la cuenta.

ACCESO A LOS PCS: Las computadoras que tienen acceso a la información del

servidor deben contar con una contraseña, el personal debe ingresar de acuerdo a

los privilegios que la importadora le haya dado como administrador o como invitado

para evitar la modificación de archivos confidenciales.

La solicitud de una nueva cuenta o el cambio de privilegios solo la puede autorizar

el gerente general de la importadora, no debe crearse cuentas a personas que no

laboran en la empresa a menos que el gerente autorice su creación la cual será

desactivada después de su uso no menos de 5 días.

122

Contraseñas: Las contraseñas para acceder a las computadoras y a la información

que se encuentra en el servidor usaran los requerimientos y estándares

internacionales que se detallaran a continuación:

Mantener las contraseñas en secreto

Pedir el cambio de contraseñas para acceder al servidor siempre q exista

una sospecha que su contraseña ha sido vulnerada

Seleccionar contraseñas de calidad

o Sean fáciles de recordad

o Que sean más de 8 caracteres

o Que esté compuesta por números por letras y que siempre lleve una

letra mayúscula

Cambiar las contraseñas cada 3 meses

Siempre notificar al oficial de seguridad, algún incidente con su contraseña.

El oficial de seguridad de la información se encargara de cambiar la contraseña

para acceder al servidor, la coordinadora se encargara de hacer llegar la nueva

contraseña al personal, la nueva contraseña no debe repetirse a las 5 últimas

utilizadas.

El usuario puede cambiar o modificar su contraseña del equipo que usa cuantas

veces considere necesario, cada que se la cambie debe hacerle llegar la nueva

contraseña al oficial de seguridad de la información.

Los usuarios deben bloquear sus máquinas cuando no se encuentren en su lugar

de trabajo para que no puedan accedes a ella, toda información debe ser guardada

en el servidor, las contraseñas que traen los equipos nuevos de red como de acceso

a la información deben ser cambiadas inmediatamente luego de ponerse en uso.

9.1.2 Control de acceso a las redes y servicios asociados

Todo usuario que disponga de acceso a la información y a la red son solo los que

han sido autorizados para su uso. La importadora garantiza que los usuarios que

123

tengan acceso a la red y a sus servicios no comprometan la seguridad de la

información, por lo tanto el administrador de la información y la red se encargara de

controlar el acceso a la WEB. VER ANEXO 11

9.3.1 Uso de información confidencial para la autenticación

La importadora exige que los usuarios tengan acceso a la información dependiendo

de su autenticación que se les haya dado. VER ANEXO 12.

9.4.1 Restricción del acceso a la información

El acceso a los equipos que manipulan la información y al servidor que la contiene

estará restringido con sus respectivas contraseñas, de acuerdo a las políticas de

control de acceso detallado anteriormente. VER ANEXO 13.

11 SEGURIDAD FÍSICA AMBIENTAL

Se debe respetar la configuración del hardware y software, no deben ser

manipuladas, queda prohibido fumar o beber mientras se usan los PCS, cualquier

inconveniente o robo con los equipos deben reportarse inmediatamente al oficial de



El perímetro de área donde se encuentra el servidor de la importadora estará

protegido de acceso no permitido y se incorporara extinguidores para emergencias

de fuego. VER ANEXO 14.

11.2.2 Instalación de suministros

Los equipos que tienen acceso al servidor y a la información estarán protegidos por

UPS para las fallas de energía, de igual manera para las fallas y tolerancias de

disco duro en el servidor se cuenta con un RAID. VER ANEXO 6 Y 15

124

11.2.4 Mantenimiento de equipos

La importadora Megatech se lleva a cabo los mantenimientos de los equipos,

servidor y servicios de red, para asegurar la disponibilidad e integridad de la

información.

Todo equipo que sea usado en la importadora para el acceso de la

información deberá ser sometido a un mantenimiento preventivo.

El oficial de seguridad de la información es el encargado de tener

documentado y detallado la frecuencia con la cual se realizan los

mantenimientos preventivos.

Solo el oficial de seguridad de la información es el autorizado para realizar

mantenimientos preventivos y reparaciones de equipos.

Documentar todo mantenimiento preventivo realizado, las fallas encontradas

y los mantenimientos correctivos realizados.

Tabla 18 mantenimiento de equipos


Equipo Frecuencia de mantenimiento

Personal autorizado

Servidor 3 Meses Oficial de Seguridad de la información

Computadoras 6 Meses Oficial de Seguridad de la información

Impresoras 6 Meses Oficial de Seguridad de la información

12 SEGURIDAD EN LA OPERATIVA

12.2.1 Controles contra el código malicioso

La importadora proveerá los recursos necesarios que garantice la protección de la

información como antivirus para evitar la divulgación, modificación o daño

permanente de la información por la contaminación de código malicioso y virus que

ejecuten esas vulnerabilidades presentes.

Antivirus: todos los equipos de la importadora deben tener instalado un antivirus

el cual debe ser actualizado automáticamente con acceso a internet, el mismo que

125

tiene que detectar en tiempo real cualquier software maliciosos, se debe ejecutar

un escaneo cada semana para revisar y detectar cualquier código malicioso en la

estación de trabajo. VER ANEXO 16.


EL servidor cuenta con un RAID para tolerar cualquier falla en el disco duro y

obtener una disponibilidad de la información cuando se la necesite, usándolo como

un respaldo de los datos.

El administrador de la información será el encargado de salvaguardar la información

realizando copias de seguridad manualmente cada semana en un disco extraíble

de tal forma que garantice su confidencialidad, integridad y su disponibilidad.

Cada que se realice algún cambio en la configuración del servidor o en los servicios

de red siempre es necesario hacer un respaldo o backup de la configuración

existente.

12.6.2 Restricciones en la instalación de software

Queda totalmente prohibido la instalación de cualquier software o aplicaciones en

los equipos de cómputo por parte de los usuarios, el único que puede instalar

aplicaciones será el oficial de seguridad de la información quien maneja las cuentas

de administrador de los equipos de cómputo.

13 SEGURIDAD EN LAS TELECOMUNICACIONES

13.1.1 controles de red

El oficial de seguridad de la información es el encargado de administrar y controlar

la red interna para garantizar la seguridad de la información, contra el acceso no

autorizado, y la disponibilidad de las maquinas conectadas en la red.

126

Uso de internet: Los virus que se adquieren a través de internet pueden ser muy

peligrosos dañando o eliminando la información de los equipos, el internet nos

provee de información muy valiosa para lo cual el Oficial de seguridad de la

información es el encargado de evitar el mal uso al internet por parte de los

usuarios.

Uso de sitios WEB: El oficial de seguridad de la información es el encargado de

bloquear páginas que no estén relacionada con funciones que realiza la

importadora, mediante una lista de control de acceso bloqueara: pornografía, redes

sociales etc. VER ANEXO 17.

Descargas: se capacitara al usuario para que concientice acerca de descargar

aplicaciones y programas lo cual le queda totalmente prohibido solo podrá

descargar archivos totalmente con funciones laborales como procesos y ofertas

entre otras. VER ANEXO 9.

13.2.4 acuerdos de confidencialidad y secreto

La importadora mediante la capacitación a los usuarios llega a un acuerdo de

confidencialidad o de no divulgación de los riesgos que se presentan, para poder

preservar y proteger la información en todo su ciclo de vida. VER ANEXO 9.

PRESUPUESTO

En este caso para la implementación del SGSI, se ha considerado los viáticos a la

importadora, y el hardware necesario para cubrir los controles de seguridad de la

información.

127

Tabla 19 presupuesto Implementación SGSI


Costos de implementación

Cantidad Descripción Valor

1 Movilización 200,00

1 Switch 16 puertos 44,00

1 Organizador de cables 25,00

1 Patch Panel 24 puertos 67,00

1 Racks pequeño 57,00

30 Jack Rj45 cat6 7,75

30 Conectores Rj45 cat6 15,00

1 Rollo de cable UTP Next cat6 287,00

1 Acces Point 48,00

30 Canaletas 20*12mm / 40*25mm / 60*13mm 20,20

10 Cajetines re red 4,5

1 CPU (Servidor) 980,00

1 Disco Duro 1Tb para el RAID 96,00

Total 1851,45

IMPACTO ADMINISTRATIVO

Con la implementación del Sistema de gestión de la seguridad de la información

sobre el servidor se pudo reducir los riesgos, vulnerabilidades, amenazas o

inconvenientes que presentaba la importadora en cuanto a la información al

memento de acceder a ella, ya se cuenta con usuario y contraseñas para ingresar

a las estaciones de trabajo y de igual manera para ingresar al servidor que se

encuentra en la red, se ha logrado evitar que terceras personas que tienen q

conectarse a la red puedan ver la información de la empresa ya que si quieren

ingresar al servidor les pedirá autentificación, se ha logrado capacitar al personal

en cuanto materia de seguridad de la información para que concienticen del riesgo

que existe.

Mediante los servicios de red y un nuevo cableado estructurado se logró que todas

las máquinas que funcionan en la empresa se conecten vía cable logrando siempre

tener disponible la información, gracias al servicio de Red DHCP se logró configurar

cada máquina con su dirección IP en el servidor para que no existan conflictos de

IP que era uno de los problemas que existía y se perdida la disponibilidad de la

información cuando más se la necesitaba.

128

CONCLUSIONES PARCIALES DEL CAPÍTULO III

A través de la instalación del servidor y sus servicios de red se pudo ayudar a la

implementación del SGSI ya que la importadora no presentaba ningún control en

cuanto a la seguridad de su información, gracias a la metodóloga de riesgos

MAGERIT se pudo analizar y evaluar estos riesgos para luego poder implementar

los controles necesario que ayudaron a tratarlos y se logró tener una información

segura y confiable.

A través de la evaluación de los riesgos que presentaban los activos de información

se pudo determinar el valor del riesgo con la cual estaban expuestos, brindando

una seguridad para el almacenamiento de la información.

Con los controles implementados de la ISO 27001 se reduce todo riesgo que existía

y se mejora la seguridad de la información y sus servicios de red, logrando que la

importadora no tenga problemas al momento acceder a ella, permitiendo que los

procesos sean mucho más rápido y el personal agilice sus funciones.

129

CONCLUSIONES GENERALES

El sistema de gestión de seguridad de la información que se ha implementado en

la importadora Megatech de Santo Domingo de los Tsáchilas, fue de mucha

importancia para ayudar a la protección de la información luego de a ver

configurado el servidor CentOS y sus servicios de red ya que ayudara a la

continuidad del negocio sin tener inconvenientes en la disponibilidad de la

información.

Con el presente análisis se pudo determinar la falta de control que existía en cuanto

a la seguridad de la información en la importadora Megatech, lo cual a primera

instancia se pudo determinar que la información se encontraba muy vulnerable no

existía una confidencialidad que la mantenga integra.

Con la presente investigación se pudo determinar que el Sistema de Gestión de la

Seguridad de la Información puede reducir riesgos, vulnerabilidades y amenazas

de la información en empresas pequeñas, medianas o grandes, con el fin de

minimizar gestionar y controlar estos riesgos a los cuales la información está

expuesta logrando obtener una confidencialidad, integridad y disponibilidad de la

información cuando se la necesite.

La ventaja que tiene la norma ISO 27001 es que le da privilegio al sistema de

gestión dejando escoger los controles que se necesitan para controlar, reducir o

minimizar estos riesgos, de igual manera esta norma puede ser implementada en

empresas pequeñas como en grandes.

El sistema de gestión de seguridad de la información no es necesario extenderlo a

toda la importadora, lo primordial es concentrarse donde se encuentra la mayor

parte de la información por eso se la realizo al servidor CentoS y servicios de red

que es la que maneja y conecta toda la información de la importadora.

130

RECOMENDACIONES GENERALES

Se recomienda la implementación del Sistema de gestión de la seguridad de la

información basado en la norma 27001, porque a más de proteger la información

de los riesgos existentes siempre está en constante monitoreo de nuevos riesgos

que se pueden presentar.

Se recomienda una revisión periódica de los controles implementado para verificar

y actualizar las políticas creadas para cada vez más llegar a una seguridad máxima

de la información ya que la norma ISO 27001 no es estática si no que permite un

mejoramiento continuo.

Se recomienda que la información de la importadora debe ser protegida según su

criticidad, ya que existe mucha información confidencial que necesita ser integra y

estar disponible cuando se la necesite.

También se recomienda gestionar la posibilidad de sincronizar el respaldo

automático de la información del servidor sobre un servidor en la nube ya que

manualmente se podría pasar por alto hacer el respectivo respaldo.

BIBLIOGRAFÍA

Ogalla Segura, F. (2012). SISTEMA DE GESTIÖN una guía practica. Madrid: Días

de Santos.

Aedo Cuevas, I., Díaz Pérez, P., Sicilia Urbán, M., Vara de Llano, A., Colmenar

Santos, A., Losada de Dios, P., . . . Peire Arroba, J. (2009). Sistemas

Multimedia: Ánalisis, Diseño y Evaluación. Madrid: Uned.

Aguilera López, P. (2010). Seguridad informática. Madrid: Editex.

Aguilera López, P., & Morante Fernández, M. (2010). Tratamiento informático de la

información. Madrid: Editex.

Alegre Ramos, M. d., garcía, A., & Hurtado, C. (2011). Sistemas Operativos en Red.

Madrid: Paraninfo.

Anderruthy, J., & Gaumé, S. (2011). Mantenimiento y reparacion de un Pc en red

2da Edición. Barcelona: Ediciones ENI.

Baclit, R., Sicam, C., Membrey, P., & Newbigin, J. (2009). Foundations of CentOS

Linux - Enterprise Linux on tthe Cheap. New York: Apress.

Berral Montero, I. (2010). Equipos microinformáticos. Madrid: Paraninfo.

Berral Montero, I. (2014). Instalacion y mantenimiento de redes para transmisión de

datos. Madrid: Paraninfo.

Bravo Delgado, N., & Medina Sánchez, L. (2011). Tecnologias I. Madrid: Editex.

Cabo Salvador, J. (2014). Gestión de la Calidad en las Organizaciones Sanitarias.

Madrid: Díaz de Santos.

Campos Santelices, A. (2010). Violencia Social. San José, Costa Rica: EUNED.

Case, G. (2009). Mejora Continua del servicio. Reino Unido: TSO.

Corletti Estrada, A. (2011). Seguridad por niveles. Madrid: darFE.

Coronel, C., Morris, S., & Rob, P. (2011). Base de datos Diseño, implementacion y

administración. Mexico: CENGACE Learning.

Costas Santos, J. (2011). Seguridad y Alta Disponibilidad. Madrid: Ra-Ma.

Couto Lorenzo, L. (2011). Auditoría del Sistema APPCC. Madrid: Díaz de Santos,

S.A.

Cuatrecasas Arbós, L. (2010). Gestión integral de la Calidad implementacion,

control y certificación. Barcelona: PROFIT.

De Pablos Heredero, C., López Hermoso Agius, J., Romo Romero, S., & Medina

Salgado, S. (2011). Organizacion y transformacion de los sistemas de

información en la empresa. Madrid: ESIC.

Deman, T., Elmaleh, F., Neild, S., & Van Jones, M. (2014). WIndows Server 2012

R2 Administración Avanzada. Barcelona: ENI.

Dordoigne, J. (2011). Redes Informáticas Nociones fundamentales 3ra edición.

Barcelona: ENI.

España, G. d. (2012). Administracion Electrónica textos legales numero 107.

Madrid: BOE.

Espuig, A. (2011). Matemáticas: Prueba de acceso a Ciclos Formativos de Grado

Superior. Barcelona: Printed in Spain.

Fernández García, R. (2010). La mejora de la productividad en la pequeña y

mediana empresa. Alicante: ECU.

Fernández Montoro, A. (2011). Cambiate a Linux. Madrid: RC libros.

Fernández Teruelo, J. (2011). Derecho Penal e Internet. Valladolid: Lex Nova.

Florentino fernández, Z., Iglesias Pastrana, D., Llaneza Álvarez, J., & Fernández

Mñiz, B. (2010). Manual para la fromación del auditor en prevención de

riesgos laborales. España: Lex Nova, S.A.U.

Gallego, J. C., & Folgado, L. (2011). Montaje y mantenimeinto de equipos. madrid:

Editex.

García Ramírez, M., Miñana Caselles, Ó., López Fernández, F., & Sánchez

Corbalán, A. (2010). Servicios de Red una visión práctica. lulu.

García, A., Hurtado, C., & Alegre Ramos, M. (2011). Seguridad Infromatica. Madrid:

Paraninfo.

Gil, G. D. (2014). Procesos y herramientas para la seguridad de redes. Madrid:

UNED.

Gonzáles Gaya, C., Domingo Navas, R., & Sebastián Pérez, M. (2013). Técnicas

de mejora de calidad. Madrid: UNED.

Griful Ponsati, E., & Canela, M. Á. (2005). Gestion de Calidad. Barcelona: UPC.

Hermida Mondelo, A., & Iglesias Fernández, I. (2014). Gestión auxiliar de archivo

en soporte convencional o informático. Vigo: ideaspropias.

Hernández Herrero, G., Moreno Gonzáles, A., Zaragozá García, F., & Porras

Chavarino, A. (2011). Tratado de Medicina Farmacéutica. Madrid: MÉDICA

PANAMERICANA, S.A.

Jara, H., & Pacheco, F. (2012). ETHICAL HACKING 2.0 Implementación de un

Sistema para la Gestión de la Seguridad. Buenos Aires: USERS.

Jiménez garcía, F., Sádaba Chalezquer, C., Jordá capitán, E., Domingo Prieto, V.,

Ropero Carrasco, J., Pérez Conesa, C., & Gómez Hidalgo, M. (2014). La

protección y seguridad de la persona en internet aspectos sociales y

judiciales. Madrid: Reus, S.A.

Ladrón Jiménez, M. (2014). Sistema Operativo, búsqueda de la información:

Internet/Intranet y correo electrónico. San Millán: TUTOR FORMACIÖN.

López Brox, A. (2010). Promociones en Espacios Comerciales. Málaga: Vértice.

Marchionni, E. A. (2011). Administrador de servidores. buenos Aires: USERS.

Marco Galindo, M. J., Marco Simó, J. M., Prieto Blázquez, J., & Segret Sala, R.

(2010). Escaneando la infromática. Barcelona: UOC.

Marroquín, N. (2010). Tras los pasos de un Hacker. Quito: IEPI.

Mclver McHoes, A., & Flynn, I. M. (2011). Sistemas operativos sexta edicion.

Mexico: CENGAGE Learning.

Mclver McHoes, A., & Flynn, I. M. (2011). Sistemas Operativos sexta edicion.

Mexico: CENGAGE Learning.

Medina, J. (2014). Evaluacion de vulnerabilidades TIC. Murcia: SG6 C.B.

Membrey, P., Verhoeven, T., & Angenendt, R. (2009). The Definitive Guide to

CentOS. New York: Apress.

Mifsuf Talón, E. (2012). Apache. Madrid: Ministerio de Educación, Cultura y

Deporte.

Mora Chamorro, H. (2010). Manual del vigilante de Seguridad. Tomo1. 2da. Edicion.

Alicante: ECU.

Mora Pérez, J. J. (2012). CAPACITY PLANNING IT Una aproximacion práctica.

Creative Commons.

Morales Morgado, E. (2010). Gestión del conocimiento en sistems E-Learning,

basado en objetos de aprendizaje, cualitativa y pedagógicamnte definidos.

Salamanca: Universidad de Salamanca.

Moro Vallina, M. (2013). Infraestructura de redes de datos y sistemas de telefonía.

Madrid: Paraninfo.

Muñiz, L. (2013). Como Implantar y evaluar un sistema de control de Gestión.

España: Profit.

Navarro, E., Ramos Gonzáles, M., & Ruiz, M. (2010). El Documento de seguridad.

Madrid: Dáz de Santos.

Oliva Alonso, N. (2013). Redes de Comunicaciones Industriales. Madrid: UNED.

Oliva Haba, J., Manjavacas Zarco, C., & Martín Márquez, P. L. (2014). Montaje y

Mantenimiento de Equipos. Madrid: Paraninfo.

Pérez Villa, P., & Múnera Vásquez, F. (2007). Reflexiones para implementar un

sistema de gestión de la calidad (ISO 9001:2000) en cooperativas y

empresas de economía solidaria. Bogota: educc.

Pons, N. (2011). Linux Principios básicos de uso del sistema. Barcelona: eni.

Quesnel, J. (2012). Normas y mejores prácticas para avanzar hacia ISO 20000.

Barcelona: ENI.

Rebollo Delgado, L., & Serrano Pérez, M. (2008). Introducción a la protección de

datos. Madrid: Dykinson.

Revista de la Segunda Cohorte, d. E. (2014). Seguridad de la Infromacion.

Guatemala: ISBN.

Revuelta Domínguez, F., & Pérez Sánchez, L. (2009). Interactividad en los entornos

de formacion on-line. Barcelona: UOC.

Rodil Jiménez, I., & Pardo de Vega, C. (2010). Operaciones auxiliares para la

configuración y explotación. Madrid: Paraninfo.

Rodil Jiménez, I., & Pardo de Vega, C. (2014). Operaciones auxiliares para la

configuracion y explotacion 2da edicion. Madrid: Paraninfo.

Romero Ternero, M. d., Barbancho Concejero, J., Benjumea Mondéjar, J., Rivera

Romero, O., Ropero Roríguz, J., Sánchez Antón, G., & Sivianes Castillo, F.

(2014). Redes Locales. Madrid: Paraninfo.

Sánchez Estella, Ó., & Herrero Domingo, R. (2014). Tratamiento informático de

datos. Madrid: Paraninfo.

Sánchez Estella, Ó., & Moro Vallina, M. (2010). Sistema operativo, búsqueda de

información:internet/intranet y correo electrónico. España: Paraninfo. S.A.

Sánchez Pérez, B. (2015). Cuaderno Práctico de Linux. Sistemas Operativos

Monopuestos. Ciclo Formativo de Grado Medio. 2da edición. Madrid: lulu.

Tamioka Suzuki, M., Quijano Urbina, A., & Canavesi Rimbaud, M. (2014). Gestión

de sistemas educativos con calidad. ISBN.

Tejada, E. C. (2014). Gestión de incidentes de seguridad infromática. Málaga: ic.

Toro López, F. (2013). Administración de Proyectos de infromática. Bogotá: ECOE.

Valdivia Miranda, C. (2015). Redes telemáticas. Madrid: Paraninfo.

valverde Berrocoso, J. (2009). El software libre en la innovación educativa en

experiencias de innovación docente universitaria. Salamanca España:

Ediciones Universidad de Salamanca.

Vieites, Á. G. (2011). Enciclopedia de la Seguridad Informática. Mexico: Alfaomega.

Villar Varela, A. M. (2014). Grabaciones de Datos. Registro de la Información en

Condiciones de Seguridad y Calidad. Vigo: Ideaspropias.

ANEXOS

ANEXO 1

APROBACIÓN DE PERFIL

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

FACULTAD DE SISTEMAS MERCANTILES

CARRERA SISTEMAS

PERFIL DE TESIS PREVIO A LA OBTENCION DEL TÍTULO DE INGENIERO

EN SISTEMAS E INFORMÁTICA.

TEMA:

Sistema de gestión de la seguridad de la información basada en la norma

ISO 27001 sobre un Servidor Centos y Servicios de red para el apoyo de la

seguridad y privacidad de la información de la importadora Megatech de la

provincia de Santo Domingo de los Tsáchilas

AUTOR

Rogelio Aladino Guerrero Suárez.

ASESOR

Dr. Fredy Pablo Cañizares Galarza, MGS

SANTO DOMINGO - ECUADOR

2015

Antecedentes de la Investigación

En la Actualidad la Información que poseen las empresas se ha vuelto lo más

importante, generando que el propósito de un sistema de gestión de la seguridad

de la información, sea garantizar que los riesgos de la seguridad de la información

sean conocidos, asumidos, gestionados y minimizados por la organización de una

forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los

cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Un servidor es una máquina informática que está al servicio de otras máquinas,

ordenadores o personas llamadas clientes y que le suministran a estos todo tipo de

información.

La finalidad de una red es que los usuarios de los sistemas informáticos de una

entidad o empresa puedan hacer un mejor uso de los mismos mejorando de este

modo el rendimiento, así las entidades o empresas obtienen una serie de ventajas

del uso de las redes en sus entornos de trabajo.

Una vez realizada la presente investigación en la Biblioteca de la universidad

UNIANDES santo Domingo, sobre el tema de Sistema de gestión de seguridad de

la información basada en la norma ISO 27001, se pudo constatar que no existe

ningún tema similar al presente. Sin embargo si existen temas relacionados con

servidores que servirán de GUIA para la elaboración del Trabajo.

“IMPLEMENTACIÓN, CONFIGURACIÓN DE UN SERVIDOR RADIUS

PARA LA ADMINISTRACIÓN Y SEGURIDADES DE ACCESO AL

SERVICIO WIRELESS EN LA UNIVERSIDAD REGIONAL AUTÓNOMA DE

LOS ANDES UNIANDES – SANTO DOMINGO” Autor. Tlgo. Diego Paul

Palma Rivera. Asesor. Ing. Saed Reascos. Año 2010.

“IMPLEMENTACIÓN DE TECNOLOGÍA ESTRUCTURADA PARA EL

SERVICIO DE TRANSMISIÓN DE VOZ-IP Y DATOS SOBRE UNA WMAN

ENTRE LOS DEPARTAMENTOS ADMINISTRATIVOS Y OPERATIVOS DE

LA COMERCIALIZADORA DE PRODUCTOS NATURALES JALEA REAL

DE LA CIUDAD DE SANTO DOMINGO” Autor. Jaime Daniel Urgilés

Echeverría Asesor. Ing. Fredy Cañizares. Año 2010.

“IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE

LA INFORMACIÓN USANDO LA NORMA ISO27000 SOBRE UN SITIO DE

COMERCIO ELECTRÓNICO PARA UNA NUEVA INSTITUCIÓN

BANCARIA APLICANDO LOS DOMINIOS DE CONTROL ISO27002:2005 Y

UTILIZANDO LA METODOLOGÍA MAGERIT”

Autor. Marcel Eduardo León Lafebré, Evelyn Anabell Mota Orrala, Joffre

Manuel Navarrete Zambrano Asesor. Ing. Víctor Muñoz Chachapoya. Año

2011.

Situación Problémica

En la actualidad los servidores de datos y servidores de red se han vuelto lo más

importante para el almacenamiento de archivos de las empresas para su

crecimiento, generando la existencia de normas para la seguridad de la

información, la ISO 27001 es un estándar que brinda la confidencialidad, integridad

y disponibilidad de los archivos en las empresas.

En Ecuador uno de los principales activos de las empresas es la información, lo

que significa que son más vulnerables a las amenazas de seguridad informática,

por lo cual es necesario que toda empresa que busque una excelencia en sus

productos o servicio que ofrece, adopte un Sistema de gestión para el manejo

adecuado de la información.




certificados para responder y satisfacer las expectativas del Usuario como del


clientes.

A través de una observación a la empresa, se pudo descubrir los problemas

relacionados con la seguridad de la información en la empresa.

El servidor existente xp profesional no está configurado, lo cual no posee

normativas de usuarios, no tiene un control sobre los host y no posee una

contraseña de Administrador, generando que cualquier usuario puede tener

acceso a él.

La no configuración de Firewall en la importadora, ocasiona que cualquier

host no autorizado acceda al servidor y pueda hurtar la información de la

empresa.

No existe una configuración sobre la privacidad de la Red en la importadora,

cualquier usuario puede acceder a la información y manipular los archivos

de la empresa.

El acceso a páginas no autorizadas, genera una pérdida de tiempo por parte

del personal y así a pérdidas de pujas en las compras públicas y consumo

de internet innecesario.

La no configuración de Seguridades en la Red de la importadora, permite la

libertad de los datos de la empresa en la red para cualquier usuario.

Servidor Xp profesional No es estable y se encuentra obsoleto, ocasionando

molestia en el personal porque se bloquea y esto genera una mala atención

al cliente.

La empresa no cuenta con un Backup ni Raid del Disco Duro del Servidor,

provocando que en cualquier momento la empresa puede perder toda

información.

No existen IP fijas en las maquinas, ocasionando una duplicación de IP en

los host que a su vez se quedan sin red.

Problema Científico

¿Cómo mejorar el control de la seguridad y privacidad de la información que se

encuentra en la importadora MEGATECH de la provincia de Santo Domingo de los

Tsáchilas?

Objeto de Investigación

Sistema de Gestión de la seguridad de la información (SGSI)

Campo De Acción

Seguridad y privacidad de la Información

Identificación de la Línea de Investigación

Tecnologías de Información y Comunicaciones.

Objetivo General

Implementar un Sistema de Gestión de la Seguridad de la Información basada en

la norma ISO 27001 sobre un servidor Centos y servicios de red para el apoyo de

la seguridad y privacidad de la información de la importadora Megatech de la

provincia de Santo Domingo de los Tsáchilas.

Objetivo Especifico

Fundamentar Científicamente y teóricamente todo lo relacionado al Sistema

de Gestión de la Seguridad de la Información, servidores de Datos y

Servicios de Red.

Analizar la problemática de la seguridad de la información de la empresa

Megatech de la provincia de Santo Domingo de los Tsáchilas.

Implementar un Servidor CentOS más servicios de Red para la seguridad y

privacidad de la información de la importadora Megatech de la provincia de

Santo Domingo de los Tsáchilas.

Hipótesis

Con la implementación del Sistema de Gestión de la Seguridad de la Información

basado en la ISO 27001 se tendrá una mejora continua en la seguridad y privacidad

lógica de la información, sobre el servidor CentOS que se va a configurar con sus

servicios de red y así tener una garantía en la disponibilidad e integridad de la

información a todo momento lo cual mejorara la seguridad de la información de la

importadora Megatech de Santo Domingo de los Tsáchilas

Variables

Independiente

Sistema de Gestión de la Seguridad de la Información basado en la norma ISO

27001

Dependiente

Seguridad y privacidad de la Información.

Metodología a Emplear

Se entrevistó verbalmente al Gerente de la importadora Megatech de la Provincia

de Santo Domingo de los Tsáchilas, para tratar la problemática, llegando a

determinar que para esta investigación se va a utilizar la metodología cuali-

cuantitativa, ya que se investigó de forma cualitativa cada proceso que se realiza

para conectarse a la red de la empresa y poder abrir y almacenar archivos alojados

en el servidor.

Métodos

Inductivo-Deductivo: Inductivo: Aquella Orientación que va de los casos

particulares a lo general. Deductivo: Aquella Orientación que va de lo general a lo

especifico. (Romeo, 2014)

Serán de mucha utilidad ya que mediante el método inductivo se analizará el

problema general que tiene la empresa en cuanto a la seguridad y privacidad de

los datos y poder buscar respuestas a la problemática. Y del método deductivo se

partirá de los datos generales que se obtenga para deducir y buscar una solución

al problema que presenta la empresa.

Analítico-Sintético: Estudia los hechos, partiendo de la descomposición del objeto

del estudio en cada una de sus partes para estudiarlas en forma individual

(análisis), y luego se integran esas partes para estudiarlas de manera holística e

integral (síntesis). (Torres, 2010)

Este método ayudara a analizar las causas y efectos que se pudo recopilar de una

forma muy ordenada. Y así poder sintetizar la recopilación que hemos hecho y

determinar un todo para la seguridad y privacidad de la información en la

importadora Megatech de la provincia de Santo Domingo de los Tsáchilas.

Tipos de Investigación

Investigación de Campo

Este proceso nos permitirá conocer en el lugar de los hechos cómo se están

manejando las seguridades y privacidades de la información, y así mejorar la

confidencialidad, integridad y disponibilidad de la información a todo momento.

Investigación Bibliográfica

Esta investigación nos ayudara a fundamentar científicamente la solución a nuestra

problemática, y poder tomar conocimientos de investigaciones ya existentes que

tenga similitud, y así evitar realizar investigaciones ya hechas.

Investigación Descriptiva

Esta investigación nos permitirá identificar las causas y efectos del fenómeno y así

poder evitar la manipulación inadecuada de la información de la empresa creando

una hipótesis a nuestra problemática.

Técnicas

Las técnicas a utilizar para la recopilación de información serán:

Observación: Es una de las técnicas más importantes y consiste en un examen

atento de los diferentes aspectos de un fenómeno con el propósito de estudiar sus

características y comportamiento dentro del medio donde se desenvuelve este.

(Tantapoma, 2012)

Con esta técnica se obtendrá información directamente de las seguridades y

privacidades que tiene al momento de acceder al servidor.

Entrevista: Con esta técnica se recaba información en forma directa, cara a cara,

es decir, el entrevistador obtiene los datos del entrevistado de acuerdo a una lista

de preguntas preconcebidas. (Tantapoma, 2012)

Esta técnica se la realizara al Gerente de la importadora Megatech de la provincia

de Santo Domingo de los Tsáchilas, para conocer a fondo la investigación a

realizar.

Instrumentos

Los instrumentos a utilizar para la investigación serán:

Guía de Entrevista: Es un instrumento para la recolección de información, lo

utilizaremos para la entrevista que le realizaremos al personal de la empresa acerca

de las seguridades y privacidades de la información que tienen en un orden

cualitativo y cuantitativo.

Guía de Observación Directa: nos permitirá tomar anotaciones acerca de la

seguridad y privacidad de la información, durante el acceso al servidor mediante un

cliente para poder conocer las seguridades que tiene.

Esquema de Contenidos

Sistema de Gestión de la Seguridad de la Información

Definición de Sistema de Gestión

Que es un Sistema de Gestión de la Seguridad de la Información

Ciclo de vida de un Sistema de Gestión

Planificar

Hacer

Verificar

Actuar

Activo de la Información

Normas ISO

Definición de la ISO

Normas ISO 27001

Definición de las Normas ISO 27001

o Confidencialidad

o Integridad

o Disponibilidad

Seguridad de la Información.

Definición

Seguridad Lógica

Riesgo

Identificación o autenticación

Amenazas

Vulnerabilidades

Ataques

Virus

Hacker

Cracker

Políticas de Seguridad

Copias de Seguridad

Privacidad de la Información.

Definición

Contraseñas

Protocolos de la información

Redes y Comunicaciones de Datos

Software

DHCP

Firewall

Proxy

Software Libre

Sistemas Operativo Linux

Definición

Sistema Operativo CentOS

o Introducción

o Características

o Raid

Aporte Teórico

Por medio de la investigación realizada acerca de los Sistema de Gestión de la

Seguridad de la Información basada en la ISO 27001 para la seguridad y privacidad

de la información, tiene como finalidad resguardar la información expuesta a los

ataques y amenazas lógicas en la red, se mejorara la privacidad de la información

en el servidor de la importadora Megatech dando una mejor imagen a la misma.

Significación Práctica

La significación práctica consiste en la aplicación del Sistema de Gestión de la

Seguridad de la Información sobre el servidor centos que se va aconfigurar en la

importadora Megatech para la seguridad de la información y así resolver la

problemática, de esta manera mejorar las políticas de privacidad y evitar que

colapse el servidor en la red.

Novedad Científica

El Sistema de Gestión de la Seguridad de la Información ayudará de mucho al

servidor para administrar la información ya que tendrá una mejora continua en las

políticas de privacidad de la información, con la cual se obtendrá una mayor

confidencialidad, disponibilidad e integridad de los archivos al momento de acceder

al servidor, y este será de fuente de consulta para docentes, estudiantes, con el

mismo tipo de necesidad de información.

Bibliografía

Andreu, J. (2010). Servicios en Red. Madrid: EDITEX.

Chamillard, G. (2011). Ubuntu Administracion de un Sistema Linux. España,

Barcelona: ENI.

Herederos, C. d. (2011). Organizacion y transformacion de los sistemas de

infromacion en la empresa. Madrid: ESIC.

-incontec-, I. C. (2009). Compendio Sistema de Gestión de la seguridad de la

Informacion (SGSI). Bogota, Colombia: Incotec.

Jordi Iñigo Griera, J. M. (2008). Estructura de Redes de Computadores. Barcelona:

UOC.

López, C. M. (2014). Seguridad de la Informacion. Guatemala: Carolina Villatoro.

López, P. A. (2010). Seguridad Informatica. España, Madrid: Editex, S. A.

Paisig, H. B. (2012). Linux el Sistema Operativo del Futuro. Peru: Macro.

Romeo, A. C. (2014). Metodologia Integral Innovadora para Planes y Tesis. Mexico:

Cengage Learning.

Tantapoma, E. V. (2012). Metodología de la Investigación científica. Peru: Edunt.

Torres, C. A. (2010). Metodología de Investigacion Tercera Edicion. Colombia:

Pearson.

Vieites, Á. G. (2012). Enciclopedia de la Seguridad Informática. Colombia:

Alfaomega.

VER ANEXO 2 CARTA DE ACEPTACIÓN

VER ANEXO 3 CERTIFICADO DE ACEPTACIÓN DE LA EMPRESA

ANEXOS 4 CABLEADO ANTES DE IMPLEMENTAR EL SGSI

ANEXO 5 IMPLEMENTOS E IMPLEMENTACION DE LA NUEVA RED

ANEXO 6 INSTALACION DE CENTOS Y RAID1

Se instalara RAID1 con CentOS para tolerar algún error del disco duro que pueda

presentar en el futuro y así cumplir con el objetivo de la norma ISO 27001, que son

la confidencialidad, integridad y disponibilidad de la información.

Presionamos ENTER, luego seleccionamos nuestro idioma

Observaremos dos Discos Duros, donde el SO al instalarse los reconocerá como

uno solo ya que crearemos el RAID 1.

Con la opción RAID se particiona los discos duros con el mismo tamaño.

Luego que los dos discos tenga el mismo tamaño en cuanto a particiones

procedemos a decirle que opción necesitamos que valla en cada partición realizada

y seleccionaremos de los dos discos las particiones realizadas para que una vez

instalado nuestro SO lo reconozca como un solo disco.

Una vez creado nuestro RAID continuamos con la instalacion de CentOS.

Seleccionamos nuestras tarjetas de red entrada y salida de internet

Seleccionamos nuestra región en nuestro caso América Guayaquil.

Siempre debemos darle una contraseña a nuestro root o a nuestra cuenta de

administrador. Seleccionamos siguiente y siguiente esperamos que se instale y nos

aparecerá nuestro escritorio.

ANEXO 7 APROBACION DE LAS POLITICAS POR EL GERENTE GENERAL

ANEXO 8 CARTAS DE ACEPTACION DE RESPONSABILIDADES DE LA

INFORMACIÓN

ANEXO 9 CAPACITACION SOBRE LAS POLITICAS DE SEGURIDAD AL

PERSONAL DE LA IMPORTADORA

VER ANEXO 10 CONFIGURACION DE USUARIOS A LA INFORMACION

VER ANEXO 11 CONFIGURACION DE ACCESO A LA RED

Las maquinas que operan en la importadora serán configuradas con IP fijas en el

servidor con su respectiva MAC, el cual controlara que no existan conflictos de IP

ya que se dejaran 10 IP dinámicas para los proveedores o clientes.

VER ANEXO 12 INFORMACION CONFIDENCIAL

La información que maneja la importadora es muy confidencial por lo cual solo el

gerente tendrá acceso a todas carpetas que contienen la información y cada

usuario tendrá acceso a la información que el maneje manteniendo una

confidencialidad en la información.

ANEXO 13 RESTRICCIÓN AL ACCESO DE LA INFORMACIÓN

Con el control implementado ahora para ingresar al servidor se necesitara de un

usuario y una contraseña o autentificación, restringiendo el ingreso a usuarios no

autorizados a la información.

ANEXO 14 SEGURIDAD FISICA

El servidor estará ubicado donde instamos nuestros complementos de red bajo

llave y solo tendrán acceso el gerente general, el oficial de seguridad y el

administrador de la información.

ANEXO 15 INSTALACION DE SUMINISTROS

Todos los equipos y el servidor se les instalo un UPS para tolerar cualquier falla

energética.

ANEXO 16 CONTROLES CONTRA CODIGO MALICIOSO

Se instaló y actualizo el antivirus a todas las maquinas que manipulan la

información.

ANEXO 17 CONTROLES DE RED

Se controlara el acceso y uso de la WEB a través de una lista de control de acceso,

que nos brinda el squid o proxy de* nuestro servidor, con el cual ayudara para

proteger la información y para que el empleado agilice sus labores sin distracción.

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS …dspace.uniandes.edu.ec/bitstream/123456789/4994/1/... ·...

Documents

Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS …dspace.uniandes.edu.ec/bitstream/123456789/4994/1/... ·...