UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
CARRERA SISTEMAS
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE
INGENIERO EN SISTEMAS E INFORMÁTICA.
TEMA:
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN BASADA
EN LA NORMA ISO 27001 SOBRE UN SERVIDOR CENTOS Y SERVICIOS DE
RED PARA EL APOYO DE LA SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN DE LA IMPORTADORA MEGATECH DE LA PROVINCIA DE
SANTO DOMINGO DE LOS TSÁCHILAS
AUTOR:
GUERRERO SUÁREZ ROGELIO ALADINO.
ASESOR:
DR. CAÑIZARES GALARZA FREDY PABLO, MGS
SANTO DOMINGO - ECUADOR
2016
AGRADECIMIENTOS
Primeramente a Dios por protegerme durante todo mi camino y darme fuerzas para
superar todos los obstáculos y dificultades a lo largo de mi vida.
Mi más profundo agradecimiento a la Universidad Regional Autónoma de los
Andes “UNIANDES” y a todos los Ing. Que con sus sabidurías me enseñaron sus
conocimientos y me guiaron para cumplir con mi objetivo, especialmente al Dr.
Fredy Cañizares por el apoyo necesario brindado en el proyecto de investigación.
Agradezco también la confianza y el apoyo brindado por parte de mi Madre, que sin
duda alguna en el trayecto de mi vida me ha demostrado su amor, corrigiendo mis
faltas y celebrando mis triunfos.
Rogelio Aladino Guerrero Suárez
DEDICATORIA
Dedico este trabajo principalmente a Dios, por darme la vida y permitirme llegar a
este momento tan importante de mi formación académica, a mi madre por siempre
creer en mí, y a mi hijo que siempre me motivo para seguir adelante.
Rogelio Aladino Guerrero Suárez
RESUMEN
A través de los años la información es el activo más importante en una organización
ya que este permite su éxito en el mercado, dando paso al hurto o manipulación
maliciosa de la
misma, mediante un análisis en la empresa se verifico las
seguridades lógicas que tiene la empresa con su información encontrando muchas
vulnerabilidades, riesgos y amenazas.
El Sistema de Gestión de la Seguridad de la Información (SGSI), será aplicado
técnicamente con la finalidad de encontrar las vulnerabilidades en cuanto a la
disponibilidad, confidencialidad e integridad de la información, con el fin de
minimizarlas, tratarlas, gestionando los riesgos a la cual está expuesta la
información, con el objetivo de tener un Sistema de Seguridad en el servidor lo más
óptimo posible.
La importadora MEGATECH, se encuentra ubicada en el cantón de Santo Domingo
de la provincia de Santo Domingo de los Tsáchilas, con más de 22 años de
experiencia, Megatech cuenta con un grupo de profesionales capacitados y
certificados para responder y satisfacer las expectativas del Usuario como del
fabricante, con servicio de la más alta calidad humana y profesional para todos sus
clientes.
En esta investigación se utilizará métodos, técnicas e instrumentos que permitirán
obtener resultados que nos ayudaran a resolver la problemática, el objetivo principal
de este proyecto de tesis es ser una herramienta de apoyo para identificar los
riesgos lógicos que se presenten en la importadora Megatech, ya sean estos
existentes o latentes y determinar las vulnerabilidades a las que se encuentra
expuesta, recomendando las medidas apropiadas que deberían adoptarse para
conocer, prevenir, impedir y controlar los riesgos identificados y así minimizar los
perjuicios que pueden existir.
ABSTRACT
Over the years it has been seen that information is the most important asset in an
organization, as it allows success in the market but can also give way to malicious
theft or manipulation. Through an analysis of the company, the logical assurances
that the company has with its information were verified, finding many vulnerabilities,
risks and threats.
The Safety Management System of Information (ISMS), will be implemented
technically with the purpose of finding vulnerabilities in relation to the availability,
confidentiality and integrity of information in order to downplay them and manage
the risks to which the information is exposed. The goal is to have a security system
on the server be as optimal as possible.
The importer, MEGATECH, is located in the canton of Santo Domingo of the
province of Santo Domingo of the Tsáchilas. With more than 22 years of experience,
Megatech consists of a group of professionals trained and certified to respond to
and meet the expectations of the user and the manufacturer with service of the
highest human and professional quality for all its customers.
In this investigation methods, techniques and instruments will be used to make it
possible to obtain results that will help us to resolve the problem. The main objective
of this thesis project is to be a support tool to identify the logical risks that arise in
the importer Megatech, whether existing or latent, and determine vulnerabilities to
which it is exposed. Furthermore, appropriate measures will be recommended that
should be taken to learn, prevent, and control risks identified and thus minimizing
the damage that may exist.
ÍNDICE GENERAL
PORTADA
APROBACIÓN DEL ASESOR
DECLARACIÓN AUTENTICIDAD
DERECHOS DEL AUTOR
CERTIFICADO DEL LECTOR
AGRADECIMIENTOS
DEDICATORIA
RESUMEN
ABSTRACT
INTRODUCCIÓN .................................................................................................... 1
Antecedentes....................................................................................................... 1
Planteamiento del problema ................................................................................ 2
Formulación del Problema ................................................................................... 4
Delimitación del Problema ................................................................................... 4
Objeto de Investigación ....................................................................................... 4
Campo de Acción ................................................................................................ 4
Identificación de la línea de Investigación ........................................................... 5
OBJETIVOS ........................................................................................................ 5
Objetivo General ......................................................................................... 5
Objetivo Específicos ................................................................................... 5
Hipótesis .............................................................................................................. 5
Variables.............................................................................................................. 6
Independiente ............................................................................................. 6
Dependiente................................................................................................ 6
Justificación ......................................................................................................... 6
Breve explicación de la metodología investigativa a emplear.............................. 7
Resumen de la estructura del proyecto de investigación .................................... 8
Aporte teórico, significación práctica y novedad científica. .................................. 9
Aporte Teórico ............................................................................................ 9
Significación Práctica .................................................................................. 9
Novedad Científica ...................................................................................... 9
CAPÍTULO I .......................................................................................................... 10
MARCO TEÓRICO ............................................................................................... 10
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN............. 10
Definición de los Sistemas de Gestión ...................................................... 10
¿Que es un Sistema de Gestión de la Seguridad de la Información? ....... 11
Ciclo de vida de un sistema de Gestión .................................................... 11
Planificar ................................................................................................... 12
Hacer ........................................................................................................ 13
Verificar ..................................................................................................... 13
Actuar........................................................................................................ 14
Activo de la Información ............................................................................ 14
NORMAS ISO.................................................................................................... 15
Definición de la ISO .................................................................................. 15
NORMA ISO 27001 ........................................................................................... 17
Definición ISO 27001 ................................................................................ 17
Confidencialidad ....................................................................................... 18
Integridad .................................................................................................. 19
Disponibilidad............................................................................................ 19
SEGURIDAD DE LA INFORMACIÓN................................................................ 20
Definición .................................................................................................. 20
Seguridad Lógica ...................................................................................... 21
Riesgo ....................................................................................................... 21
Identificación y Autenticación .................................................................... 22
Amenazas ................................................................................................. 23
Vulnerabilidades ....................................................................................... 23
Ataques ..................................................................................................... 24
Virus .......................................................................................................... 25
Hacker....................................................................................................... 26
Cracker ..................................................................................................... 27
Políticas de Seguridad ....................................................................................... 28
Copias de Seguridad ................................................................................ 29
PRIVACIDAD DE LA INFORMACIÓN ............................................................... 30
Definición .................................................................................................. 30
Contraseñas.............................................................................................. 31
Protocolos de seguridad de la información ............................................... 31
REDES Y COMUNICACIÓN DE DATOS .......................................................... 32
SOFTWARE ...................................................................................................... 33
DHCP ........................................................................................................ 33
Firewall...................................................................................................... 34
Proxy ......................................................................................................... 35
SOFTWARE LIBRE ........................................................................................... 36
SISTEMA OPERATIVO LINUX ......................................................................... 36
Definición .................................................................................................. 36
SISTEMA OPERATIVO CENTOS ..................................................................... 37
Introducción .............................................................................................. 37
Características .......................................................................................... 38
Raid .......................................................................................................... 39
CONCLUSIONES PARCIALES DEL CAPÍTULO I ............................................ 41
CAPÍTULO II ......................................................................................................... 42
MARCO METODOLÓGICO Y PLANTAMIENTO DE LA PROPUESTA .............. 42
ANÁLISIS PREVIO DE LA EMPRESA .............................................................. 42
Historia ...................................................................................................... 42
Servicios ................................................................................................... 43
Misión........................................................................................................ 43
Visión ........................................................................................................ 43
Valores corporativos ................................................................................. 44
Organigrama Estructural de la importadora Megatech. ..................................... 44
Modalidad de la Investigación ........................................................................... 45
Cualitativa ................................................................................................. 45
Cuantitativa ............................................................................................... 45
Tipos de Investigación ....................................................................................... 45
Investigación de Campo............................................................................ 45
Investigación Bibliográfica......................................................................... 46
Investigación Descriptiva .......................................................................... 46
Métodos de Investigación .................................................................................. 46
Método inductivo-deductivo ...................................................................... 46
Método Analítico – Sintético...................................................................... 46
Técnicas de Investigación ................................................................................. 47
Observación .............................................................................................. 47
Entrevista .................................................................................................. 47
Instrumentos de Investigación ........................................................................... 47
Guía de Entrevista .................................................................................... 47
Guía de Observación Directa .................................................................... 47
Población y Muestra .......................................................................................... 48
Población .................................................................................................. 48
Muestra ..................................................................................................... 48
INTERPRETACIÓN DE RESULTADOS ............................................................ 49
Tabulación de datos de la entrevista ........................................................ 49
PROPUESTA DEL INVESTIGADOR: MODELO, SISTEMA Y METODOLOGIA
.......................................................................................................................... 53
Modelo PDCA ........................................................................................... 53
Definición de Requerimientos ................................................................... 54
Diseño ....................................................................................................... 54
Implementación ......................................................................................... 55
Pruebas..................................................................................................... 55
Mantenimiento y Mejora Continua ............................................................ 55
CONCLUSIONES PARCIALES DEL CAPÍTULO II ........................................... 56
CAPÍTULO III ........................................................................................................ 57
VALIDACIÓN Y/O EVALUACIÓN DE LOS RESULTADOS DE LA APLICACIÓN
.............................................................................................................................. 57
INTRODUCCIÓN ............................................................................................... 57
OBJETIVOS ...................................................................................................... 57
Objetivo general ........................................................................................ 57
Objetivos específicos ................................................................................ 57
DESARROLLO DE LA PROPUESTA ................................................................ 58
SEGURIDAD DE LA INFORMACIÓN ACTUALMENTE EN LA IMPORTADORA.
.......................................................................................................................... 58
Contraseñas.............................................................................................. 58
Red interna ............................................................................................... 59
Acceso a la WEB ...................................................................................... 60
Antivirus .................................................................................................... 62
Control de aplicaciones en PC’s ............................................................... 62
Control de acceso a los equipos ............................................................... 62
Dispositivo de soporte ............................................................................... 63
Responsables de la seguridad de la información Y equipos ..................... 63
Backup ...................................................................................................... 64
INSTALACION DEL SERVIDOR. ...................................................................... 64
Instalación y configuración del servicio samba ......................................... 65
Instalación del servicio DHCP ................................................................... 67
Instalacion y configuracion del proxy ........................................................ 68
Configuración de firewall o cortafuegos. ................................................... 71
INSTALACIÓN CABLEADO ESTRUCTURADO. .............................................. 72
IMPLEMENTACION DEL SGSI ......................................................................... 74
Método PDCA ........................................................................................... 74
Etapas de implementación. ....................................................................... 75
ETAPA 1 PLANIFICAR ...................................................................................... 76
ALCANCE DEL SGSI ............................................................................... 76
POLÍTICA DE SEGURIDAD ..................................................................... 77
METODOLOGÍA DE EVALUACIÓN DE RIESGO .................................... 84
IDENTIFICACIÓN DE ACTIVOS .............................................................. 85
ANÁLISIS Y EVALUACIÓN DE RIESGOS. .............................................. 95
CONTROLES DE LA ISO 27001 QUE SE SELECCIONARON ................ 99
APLICABILIDAD DEL SGSI .................................................................... 105
ETAPA 2 HACER ............................................................................................ 115
DEFINIR PLAN DE TRATAMIENTO DE RIESGOS ............................... 115
IMPLANTAR PLAN DE TRATAMIENTO DE RIESGO ............................ 116
IMPLEMENTACIÓN DE CONTROLES................................................... 118
PRESUPUESTO ................................................................................................. 126
IMPACTO ADMINISTRATIVO ............................................................................ 127
CONCLUSIONES PARCIALES DEL CAPÍTULO III............................................ 128
CONCLUSIONES GENERALES......................................................................... 129
RECOMENDACIONES GENERALES ................................................................ 130
BIBLIOGRAFÍA
ÍNDICE DE FIGURAS
Figura 1 tabla de raid ....................................................................................... 40
Figura 2 organigrama estructural de la importadora Megatech ........................ 44
Figura 3 resultado de tabulaciones, pregunta 1, pregunta 2, pregunta 3 ......... 49
Figura 4 resultados de tabulaciones, pregunta 4 a la pregunta 6..................... 51
Figura 5 entrevista al personal de la importadora Megatech ........................... 52
Figura 6 ciclo de vida del sgsi .......................................................................... 54
Figura 7 estructura de la red de la importadora Megatech ............................... 61
Figura 8 centos instalado ................................................................................. 64
Figura 9 creación de usuarios y contraseña .................................................... 65
Figura 10 instalación de samba ....................................................................... 65
Figura 11 accedemos al archivo de samba smb.conf ...................................... 66
Figura 12 configuración grupo de trabajo ......................................................... 66
Figura 13 creación de carpetas y privilegios a usuarios ................................... 66
Figura 14 instalación del servicio DHCP .......................................................... 67
Figura 15 configuración del servicio DHCP ...................................................... 68
Figura 16 configuración IP + MAC ................................................................... 68
Figura 17 instalación del servicio squid ............................................................ 69
Figura 18 configuración recomendada squid ................................................... 69
Figura 19 primer acl prohibido.......................................................................... 70
Figura 20 segundo acl redes sociales .............................................................. 70
Figura 21 llamamos nuestras acl ..................................................................... 70
Figura 22 configuración iptables ...................................................................... 71
Figura 23 reenvío de paquetes ........................................................................ 71
Figura 24 administración del puerto tcp/443 .................................................... 72
Figura 25 nuevo esquema de la red interna ..................................................... 73
Figura 26 ciclo de vida del SGSI ...................................................................... 74
Figura 27 etapas de implementación del SGSI ................................................ 75
ÍNDICE DE TABLAS
Tabla 1 población ............................................................................................. 48
Tabla 2 entrevista al personal de la importadora Megatech............................. 49
Tabla 3 entrevista al personal de la importadora Megatech............................. 50
Tabla 4 entrevista al personal de la importadora Megatech............................. 52
Tabla 5 inventario de equipos de la importadora Megatech ............................. 59
Tabla 6 detalle de implementos de red ............................................................ 72
Tabla 7 identificación de activos ...................................................................... 85
Tabla 8 confidencialidad .................................................................................. 86
Tabla 9 valores integridad ................................................................................ 86
Tabla 10 valores disponibilidad ........................................................................ 86
Tabla 11 valoración de activos ......................................................................... 87
Tabla 12 amenazas y vulnerabilidades ............................................................ 89
Tabla 13 valoración del impacto....................................................................... 92
Tabla 14 determinación del riesgo ................................................................... 96
Tabla 15 selección de controles de la ISO 27001 ............................................ 99
Tabla 16 aplicabilidad del SGSI ..................................................................... 105
Tabla 17 plan de tratamiento de riesgo .......................................................... 116
Tabla 18 mantenimiento de equipos .............................................................. 124
Tabla 19 presupuesto implementación SGSI ................................................. 127
INTRODUCCIÓN
Antecedentes
En la Actualidad la Información que poseen las empresas se a vuelto lo más
importante, generando que el propósito de un sistema de gestión de la seguridad
de la información, sea garantizar que los riesgos de la seguridad de la información
sean conocidos, asumidos, gestionados y minimizados por la organización de una
forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Un servidor es una máquina informática que está al servicio de otras máquinas,
ordenadores o personas llamadas clientes y que le suministran a estos todo tipo de
información.
La finalidad de una red es que los usuarios de los sistemas informáticos de una
entidad o empresa puedan hacer un mejor uso de los mismos, mejorando de este
modo el rendimiento, así las entidades o empresas obtienen una serie de ventajas
del uso de las redes en su entorno de trabajo.
Una vez realizada la presente investigación, en la biblioteca de la Universidad
UNIANDES Santo Domingo, sobre el tema de Sistema de gestión de seguridad de
la información basada en la norma ISO 27000 se pudo constatar que no existe
ningún tema similar al presente. Sin embargo si existen temas relacionados con
servidores que nos servirán de GUIA para la elaboración del Trabajo.
 “IMPLEMENTACIÓN, CONFIGURACIÓN DE UN SERVIDOR RADIUS
PARA LA ADMINISTRACIÓN Y SEGURIDADES DE ACCESO AL
SERVICIO WIRELESS EN LA UNIVERSIDAD REGIONAL AUTÓNOMA DE
LOS ANDES UNIANDES – SANTO DOMINGO” Autor. Tlgo. Diego Paul
Palma Rivera. Asesor. Ing. Saed Reascos. Año 2010.
1
 “IMPLEMENTACIÓN DE TECNOLOGÍA ESTRUCTURADA PARA EL
SERVICIO DE TRANSMISIÓN DE VOZ-IP Y DATOS SOBRE UNA WMAN
ENTRE LOS DEPARTAMENTOS ADMINISTRATIVOS Y OPERATIVOS DE
LA COMERCIALIZADORA DE PRODUCTOS NATURALES JALEA REAL
DE LA CIUDAD DE SANTO DOMINGO” Autor. Jaime Daniel Urgilés
Echeverría Asesor. Ing. Fredy Cañizares. Año 2010.
 “IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN USANDO LA NORMA ISO27000 SOBRE UN SITIO DE
COMERCIO
ELECTRÓNICO
PARA
UNA
NUEVA
INSTITUCIÓN
BANCARIA APLICANDO LOS DOMINIOS DE CONTROL ISO27002:2005 Y
UTILIZANDO LA METODOLOGÍA MAGERIT” Autor. Marcel Eduardo León
Lafebré, Evelyn Anabell Mota Orrala, Joffre Manuel Navarrete Zambrano
Asesor. Ing. Víctor Muñoz Chachapoya. Año 2011.
Planteamiento del problema
En la actualidad los servidores se han vuelto lo más importante para el
almacenamiento de archivos de las empresas para su crecimiento, generando la
existencia de normas para la seguridad de la información, la ISO 27001 es un
estándar que nos brinda la confidencialidad, integridad y disponibilidad de los
archivos en las organizaciones.
En Ecuador uno de los principales activos de las empresas, es la información, lo
que significa que son más vulnerables a las amenazas de seguridad informática,
por lo cual es necesario que toda empresa que busque una excelencia en sus
productos o servicio, que ofrece, adopte un Sistema de gestión para el manejo
adecuado de la información.
La importadora MEGATECH, se encuentra ubicada en el cantón de Santo Domingo
de la provincia de Santo Domingo de los Tsáchilas, con más de 22 años de
experiencia, Megatech cuenta con un grupo de profesionales capacitados y
certificados para responder y satisfacer las expectativas del usuario como del
2
fabricante, con servicio de la más alta calidad humana y profesional para todos sus
clientes.
A través de una observación informal y una entrevista verbal realizada al Gerente
de dicha empresa, se pudo descubrir los problemas relacionados con la seguridad
de la información en la empresa.
 El servidor existente XP profesional no está configurado, lo cual no posee
normativas de usuarios, no tiene un control sobre los host y no posee una
contraseña de Administrador, generando que cualquier usuario pueda tener
acceso a él.
 La no configuración de Firewall en la empresa, ocasiona que cualquier host
no autorizado acceda al servidor y pueda hurtar la información de la
empresa.
 No existe una configuración sobre la privacidad de la Red en la empresa,
cualquier usuario puede acceder a la información y manipular los archivos
de la empresa.
 El acceso a páginas no autorizadas, genera una pérdida de tiempo por parte
del personal y pérdidas de contratos en las compras públicas y consumo de
internet innecesario.
 La no configuración de Seguridades en la Red de la empresa, permite la
libertad de los datos de la empresa en la red para cualquier usuario.
 Servidor XP, no es estable y se encuentra obsoleto, ocasionando molestia
en el personal, porque se bloquea y esto genera una mala atención al cliente.
 La empresa no cuenta con un Backup ni Raid del Disco Duro del Servidor,
provocando que en cualquier momento la empresa puede perder toda
información.
3
 No existen IP fijas en las maquinas, ocasionando una duplicación de IP en
los host que a su vez se quedan sin red.
Formulación del Problema
¿Cómo mejorar el control de la seguridad y privacidad de la información que se
encuentra en la importadora MEGATECH de la provincia de Santo Domingo de los
Tsáchilas?
Delimitación del Problema
La investigación se va a realizar en la importadora Megatech de la provincia de
Santo Domingo de los Tsáchilas, ubicado en la Calle Río Baba #143 bajos del
Ministerio del Ambiente en el cantón Santo Domingo, la cual estará orientada a un
Sistema de Gestión de la Seguridad de la Información (SGSI) donde se
implementaran los controles necesarios sobre un servidor CentOS5.5 que se va a
instalar y configurar de la siguiente manera, se necesitara un usuario y una
contraseña para ingresar al servidor mediante la cual dependiendo del usuario
tendrá acceso a las carpetas que se hayan dado acceso desde el servidor, se
implementara un firewall para el acceso de internet a la red local, y bloquear redes
sociales mediante el puerto seguro 443, y un proxy para bloquear paginas no
deseadas, un servicio de red totalmente cableado y así obtener una
confidencialidad, integridad y disponibilidad de la información , la importadora si
desea puede pedir la certificación ISO27001 caso contrario no se la ara, la presente
investigación se realizará durante el año 2015-2016.
Objeto de Investigación
Sistema de Gestión de la Seguridad de la Información (SGSI)
Campo de Acción
Seguridad y Privacidad de la Información.
4
Identificación de la línea de Investigación
Tecnologías de Información y Comunicaciones.
OBJETIVOS
Objetivo General
Implementar un Sistema de gestión de la seguridad de la información basada en la
norma ISO 27001 sobre el servidor CentOS y servicios de red que se va a
configurar, para el apoyo de la seguridad y privacidad lógica de la información de
la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas.
Objetivo Específicos
 Fundamentar Científicamente y teóricamente todo lo relacionado al Sistema
de Gestión de la Seguridad de la Información, servidores de datos y servicios
de Red.
 Analizar la problemática de la seguridad de la información de la empresa
Megatech de la provincia de Santo Domingo de los Tsáchilas.
 Implementar Un Servidor CentOS más servicios de Red para la seguridad y
privacidad de la información de la importadora Megatech de la provincia de
Santo Domingo de los Tsáchilas.
Hipótesis
Con la implementación del Sistema de Gestión de la Seguridad de la Información
basado en la ISO 27001, se tendrá una mejora continua en la seguridad y privacidad
de la información, sobre el servidor que se va a configurar con sus servicios de red
y así tener una garantía en la disponibilidad e integridad de la información a todo
5
momento lo cual mejorara los ingresos de la importadora Megatech de Santo
Domingo de los Tsáchilas.
Variables
Independiente
Sistema de Gestión de la Seguridad de la Información basado en la ISO 27001
Dependiente
Seguridad y privacidad de la Información.
Justificación
Las seguridades en general se han basado a evitar los peligros, riesgos y daños, la
seguridad no es un producto que pueda comprarse en una tienda, pues consiste en
un conjunto de políticas, personas, procesos y tecnologías. Las organizaciones
están conscientes que necesitan proteger y almacenar su información con la cual
tienen una importante competitividad en el mercado, a su vez encontrándose
expuestos cada vez a un número elevado de riesgos y amenazas, surgiendo una
gran demanda en servidores locales y las organizaciones grandes y pequeñas
están optando por un servidor con las mejores seguridades que puede tener, el cual
en el mercado tecnológico encontramos en primer lugar al SO LINUX CENTOS que
da una excelente garantía en seguridades y servicios de red, dejando instalar varios
servicios en una misma TORRE, aparte de ser libre y con la comunidad en la web
más grande, en cuanto a servidores en la cual se puede consultar cualquier duda
sobre el mismo, y así evitar el robo y manipulación de sus datos confidenciales,
porque hoy en día es fácil tener herramientas que permiten a personas no
autorizadas llegar a esta información, aumentando día a día hackers, cracker, lamer
informáticos, robos de identidad, spam, virus, por nombrar algunos, y esto puede
llevar a la quiebra a cualquier empresa en crecimiento.
6
Pero se necesita conocer las amenazas lógicas para poder afrontarlas y evitarlas
de una manera adecuada, para ello debemos evaluar los riesgos que nos puede
presentar el servidor y los host conectados al mismo.
Un Sistema de Gestión de Seguridad de la información ISO. 27001, es una
herramienta o metodología sencilla y de bajo costo que cualquier organización ya
sea grande o pequeña la puede utilizar, la norma permite establecer políticas,
procedimientos y controles con objetivo de disminuir los riesgos lógicos en el
servidor de su organización.
Los beneficios que nos brindaría el Sistema de Gestión de la seguridad de la
información ISO 27001 sería una estructura de reducción de riesgos lógicos y llevar
un seguimiento sobre ellos, reducir perdidas de información, cumplimientos de las
políticas establecidas para que la información esté asegurada, ahorro a la inversión
innecesaria sobre evitar los riesgos lógicos del servidor.
Breve explicación de la metodología investigativa a emplear.
Se entrevistó verbalmente al Gerente de la importadora Megatech de la Provincia
de Santo Domingo de los Tsáchilas, para tratar la problemática, llegando a
determinar que para esta investigación se va a utilizar la metodología cualicuantitativa, ya que se investigó de forma cualitativa cada proceso que se realiza
para conectarse a la red de la empresa y poder abrir y almacenar archivos alojados
en el servidor.
Se aplicaran los métodos: inductivo-deductivo, donde con el método inductivo
analizaremos el problema general que tiene la empresa en cuanto a la seguridad y
privacidad de los datos y poder buscar respuestas a la problemática. Y del método
deductivo partiremos de los datos generales que obtengamos para deducir y buscar
una solución al problema que presenta la empresa.
Además se utilizara el método analítico-sintético, donde nos ayudara a analizar las
causas y efectos que se pudo recopilar de una forma muy ordenada. Y así poder
7
sintetizar la recopilación que hemos hecho y determinar un todo para la seguridad
y privacidad de la información en la importadora Megatech de la provincia de Santo
Domingo de los Tsáchilas.
En lo que respecta a la investigación del campo nos permitirá conocer en el lugar
de los hechos cómo se están manejando las seguridades y privacidades de la
información, y así mejorar la confidencialidad, integridad y disponibilidad de la
información a todo momento.
Resumen de la estructura del proyecto de investigación
En la introducción de la presente tesis se encuentra los antecedentes de la
investigación que dio paso al planteamiento del problema, creando una hipótesis,
lo cual permitió la implementación de un sistema de gestión de la seguridad de la
información basado en la norma ISO 27001 para el apoyo de la seguridad y
privacidad de la información en la importadora Megatech.
Capítulo I: El marco teórico se basa en fundamentar el tema de investigación a
través de libros, revistas, y direcciones electrónicas en la WEB, este capítulo
también habla del origen y evolución de nuestro objeto de estudio, analizando
distintas posiciones teóricas para poder dar una valoración crítica a nuestro objeto
de la investigación.
Capítulo II: El marco metodológico es donde presentamos la propuesta para la
solución al problema según los resultados alcanzados en la investigación gracias a
la metodología, los tipos de investigación, métodos y las técnicas e instrumentos
de recolección de información que se emplearon, también se habla de una breve
introducción de la empresa donde se va a desarrollar la investigación.
Capítulo III: Validación y/o evolución de resultados de su aplicación, se realiza un
análisis de los resultados alcanzados en la investigación para poder llegar a la
implementación de nuestro Sistema de gestión de la Seguridad de la Información
que se basa en la norma ISO 27001, donde ayudara a la seguridad y privacidad de
8
la
información,
reduciendo
los
riesgos,
vulnerabilidades
y
amenazas,
implementando controles de seguridad, permitiendo que la información sea
confidencial, integra y que siempre esté disponible cuando se la necesite.
Aporte teórico, significación práctica y novedad científica.
Aporte Teórico
Por medio de la investigación realizada acerca de los Sistema de Gestión de la
Seguridad de la Información basada en la ISO 27001, para la seguridad y privacidad
de la información, tiene como finalidad resguardar la información expuesta a los
riesgos, vulnerabilidades y amenazas mediante controles de seguridad, se
mejorara la seguridad y privacidad de la información en el servidor de la
importadora Megatech dando una mejor imagen a la misma.
Significación Práctica
La significación práctica consiste en la aplicación del Sistema de Gestión de la
Seguridad de la Información en la importadora Megatech para la seguridad de la
información y así resolver la problemática, de esta manera mejorar las políticas de
privacidad y evitar que colapse el servidor en la red.
Novedad Científica
El Sistema de Gestión de la Seguridad de la Información ayudará de mucho al
servidor para administrar la información, ya que contara con controles que tienen
una mejora continua ya que no son estáticos en cuanto a la seguridad y privacidad
de la información, con la cual se obtendrá una mayor confidencialidad,
disponibilidad e integridad de los archivos al momento de acceder al servidor, y este
será de fuente de consulta para docentes, estudiantes, con el mismo tipo de
necesidad de información.
9
CAPÍTULO I
MARCO TEÓRICO
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Definición de los Sistemas de Gestión
El sistema de gestión es la herramienta que permite dar coherencias a todas las
actividades que se realizan, y en todos los niveles, para alcanzar el propósito de la
organización. Una organización se encuentra en un nivel determinado de madurez
dependiendo del sistema de gestión que está utilizando, o dicho de otra manera,
una empresa crece en madurez a medida que va consolidando un sistema de
gestión que le permite alinear todos los esfuerzos en la misma dirección apunta a
una imagen de empresa concreta (visión) el crecimiento debe ser equilibrado. Para
identificar la situación actual de la empresa y las áreas débiles respecto al
crecimiento equilibrado. ( Ogalla Segura, 2012, págs. 3, 4)
El sistema de gestión es un instrumento administrativo creado y apoyado por la
dirección de la empresa que le permite obtener las informaciones necesarias,
fiables y oportunas, para la toma de decisiones operativas y estratégicas. Tiene un
papel fundamental como sistema de información para la misma. (Muñiz, 2013, pág.
28)
Un sistema de Gestión es el que ayuda a prevenir los riesgos que presente la
organización de una forma ordenada, documentada, para tener una mejora
continua y seguimiento de los riesgos que presente constantemente para lograr las
metas y objetivos que se tiene propuesta la organización a un largo plazo de una
forma estratégica optimizando procesos.
10
¿Que es un Sistema de Gestión de la Seguridad de la Información?
Un SGSI es una parte del sistema de gestión de una organización, basado en una
aproximación a los riesgos del negocio, que permite establecer, implementar,
operar, monitorizar, revisar, mantener y mejorar la seguridad de la información de
una organización. (Gil, 2014, pág. 205)
Hay que darse cuenta de que la creación de un SGSI es una decisión estratégica
de la organización y debe ser apoyada y supervisada por la dirección. Su
implementación dependerá de los objetivos establecidos, los requisitos de
seguridad, los procesos involucrados y la propia estructura de la organización. (Gil,
2014, pág. 205)
Con un Sistema de Gestión de la seguridad de la información, la organización
conoce los riesgos a los que está sometida su información y los gestiona mediante
una sistemática definida, documentada y conocida por todos, que se revisa y
mejora constantemente. (De Pablos Heredero, López Hermoso Agius, Romo
Romero, & Medina Salgado, 2011, pág. 362)
Un SGSI es un conjunto de políticas de privacidad documentada para reducir los
riesgos en la organización y evitar pérdidas de información, un SGSI es muy
utilizado por la familia de norma ISO 27000, ya que este estándar preservara la
confidencialidad, integridad y disponibilidad de los datos a todo momento, no hay
que
confundir SEGURIDAD DE
LA
INFORMACIÓN CON
SEGURIDAD
INFORMATICA.
Ciclo de vida de un sistema de Gestión
El ciclo “Planificar-Hacer-Verificar-Actuar” fue desarrollado inicialmente en la
década de 1920 por Walter Shewhart, y fue popularizado luego por W. Edwards
Deming, razón por la cual es frecuentemente conocido como “Ciclo Deming”.
Dentro del contexto de un SGC, el PHVA es un ciclo dinámico que puede
desarrollarse dentro de cada organización y en el sistema de procesos como un
11
todo. Está íntimamente asociado con la planificación, implementación, control y
mejora continua, tanto en la realización del producto como en otros procesos del
sistema de gestión. (Pérez Villa & Múnera Vásquez, 2007, pág. 50)
El ciclo de mejora continua se distinguen cuatro fases: planificar, hacer, verificar y
actuar que se corresponden con las cuatro áreas del círculo PDCA o PHVA,
conocido también como rueda Deming, con el que se identifica la mejora continua.
La mejora continua debe ser un objetivo permanente de las organizaciones; todo lo
que suponga un estancamiento de las actividades para la búsqueda de la mejora
continua acabará por significar un retroceso en la efectividad del sistema de
gestión. (Couto Lorenzo, 2011, págs. 2,3)
El ciclo de Deming de Planificar-Hacer-Verificar-Actuar es un eficaz sistema para la
gestión de calidad, un conjunto de prácticas de gestión que ayuda a las compañías
a mejorar su calidad y productividad. (Case, 2009, pág. 186)
El ciclo de vida de los Sistemas de Gestión conocido como ciclo de Deming
mediante sus cuatro fases: Planificar, Hacer, Verificar y Actuar es el que se encarga
de dar una mejora continua a la productividad de los servicios o a su vez a la
reducción de los riesgos laborales que pueda presentar mediante una planificación,
con el fin de lograr los objetivos y metas propuestos por la organización.
Planificar
Establecer los objetivos y procesos necesarios para conseguir resultados de
acuerdo con los requisitos del cliente y las políticas de la organización. (Cabo
Salvador, 2014, pág. 628)
Reunir datos del proceso a estudiar, como planificar lo que se desea lograr en un
tiempo determinado, señalando las actividades a desarrollar. (Tamioka Suzuki,
Quijano Urbina, & Canavesi Rimbaud, 2014, pág. 43)
12
Planificar en el ciclo de vida del SGSI es definir las actividades con las cuales se
lograra los objetivos con los que se llegara a tener la implementación de un Sistema
de Gestión de la Seguridad de la Información.
Hacer
Consiste en la implementación del plan propuesto. Es conveniente antes de la
implantación definitiva, realizar un proyecto piloto en un área de la empresa, para
detectar posibles actitudes de resistencia a los cambios propuestos y es
recomendable que toda variación respecto a lo programado quede documentada.
(Gonzáles Gaya, Domingo Navas, & Sebastián Pérez, 2013, pág. 23)
Se implementan o ejecutan los pasos identificado en la planificación. Después se
pasa al nivel de verificación (Check), en el que, una vez ha transcurrido el tiempo
estimado, se comprueban los resultados comparándolos con los objetivos y
especificaciones iniciales. Esas comprobaciones se documentan. (Villar Varela,
2014, pág. 77)
Hacer en el ciclo de vida del SGSI es realizar los procesos que se lograron mediante
los objetivos en la planificación, y guardar todos los procesos realizados, y si es
posible capacitar al personal que se involucra en el Sistema Gestión de la
Seguridad de la Información.
Verificar
Es el momento de verificar y controlar los efectos y resultados que surjan de aplicar
las mejoras planificadas. Se ha de comprobar si los objetivos marcados se han
logrado o, si no es así, planificar de nuevo para tratar de superarlos. (Cuatrecasas
Arbós, 2010, pág. 66)
Pasado un periodo de tiempo previsto antemano, volver a recopilar datos de control
y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para
13
evaluar si se ha producido la mejora esperada, documentar las conclusiones.
(Fernández García, 2010, pág. 30)
Verificar en el ciclo de vida del SGSI es realizar un seguimiento de las políticas,
objetivos que se implementaron en las fases anteriores para determinar si se
obtienen los resultados que se esperaban o se necesita realizar una mejora
continua, informar sobre las conclusiones que se obtiene.
Actuar
Mantener y mejorar el SGSI, realizar las acciones preventivas y correctivas,
basados en las auditorías internas y revisiones de Sistema de Gestión de la
Seguridad de la Información o cualquier otra información relevante para permitir la
continua mejora del Sistema de Gestión. (Corletti Estrada, 2011, pág. 516)
En función de los resultados de la comprobación anterior, en esta etapa se realizan
las correcciones necesarias, ajustes, o se convierten las mejoras alcanzadas de
una forma estabilizada de ejecutar el proceso actualización. (Hernández Herrero,
Moreno Gonzáles, Zaragozá García, & Porras Chavarino, 2011, pág. 688)
Actuar en el ciclo de vida del SGSI es realizar modificaciones, correcciones a
nuestro Sistema de Gestión si la mejora que se esperaba no es la adecuada, para
que la próxima vez se obtenga la mejora que se desea, lo bien se corrige lo mal se
elimina.
Activo de la Información
En función del momento en el que se encuentre un documento dentro de su ciclo
vital, se utilizará con mayor o menor frecuencia. Si la documentación se consulta
con mucha frecuencia, se conservará en el archivo activo o de gestión, que la
almacena en las mismas oficinas en las que se produce para que sea más fácil y
rápido recuperarla. Los documentos con vigencia absoluta deben estar disponibles
14
en cualquier momento y para cualquier persona. (Hermida Mondelo & Iglesias
Fernández, 2014, págs. 96, 97)
La información se ha convertido en uno de los activos más importantes de todas
las empresas y organizaciones, con independencia de cuáles sean sus ámbitos de
negocio o actuación. Para obtener esta información, sus sistemas informáticos (SI),
en general, necesitan acceder a diferentes fuentes de datos guardadas en
dispositivos de almacenamiento permanente. (Marco Galindo, Marco Simó, Prieto
Blázquez, & Segret Sala, 2010, pág. 139)
La información es un activo, llegando hacer lo más importante en una organización,
guardados lógicamente o físicamente, la cual está expuesta a riesgos laborales, los
Sistemas de Gestión de la Seguridad de la Información nos ayuda a la prevención
de estos riesgos para que las organizaciones cuenten con su información a todo
momento con una confidencialidad, disponibilidad e integridad.
NORMAS ISO
Definición de la ISO
La organización Internacional para la estandarización ISO (International
Organization for Standardization) tiene como objetivo el desarrollo de diversos tipo
de normas. La norma ISO 9000 (www.iso.org) busca promover la gestión dela
calidad, para lo cual, la organización que desee recibir esta certificación debe
cumplir con una serie de criterios de calidad en relación a los requerimientos de los
clientes, aplicar regularmente estos requerimientos para mantener su satisfacción
y lograr continuas mejoras de desarrollo en pos de conseguir los objetivos
propuestos calidad. (Morales Morgado, 2010, pág. 132)
ISO define la calidad como: “El conjunto de propiedades características de un
producto o servicio que le confieren su aptitud para satisfacer unas necesidades
expresadas o implícitas”. (Morales Morgado, 2010, pág. 132)
15
Las Organización Internacional de Normalización (ISO) es una federación de
organismos nacionales de normalización. Los comités técnicos de ISO (ISO/TC)
llevan a cabo el trabajo de elaboración de las normas internacionales. Todos los
organismos miembros interesados en una materia para la cual se haya establecido
un comité técnico tienen derecho a estar representados en dicho comité. Otras
organizaciones internaciones, publicas y privadas, en coordinación con ISO,
participan en el trabajo. (Griful Ponsati & Canela, 2005, pág. 34)
ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en
todas las materias de normalización electrotécnica. Los proyectos o borradores de
normas internacionales (ISO/DIS) elaborados por los comités técnicos son
enviados a los organismos miembros para su votación, que requiere para su
aprobación una mayoría del 75%. (Griful Ponsati & Canela, 2005, pág. 34)
La
ISO
(International
Standardization,
u
Organización
Internacional
de
Normalización) produce normas técnicas de carácter específico y de adhesión
voluntaria desde 1947. Las técnicas y sectores de negocio que abarcan se han ido
ampliando y, claro está, diversificando cada vez más, llegando incluso en la
actualidad a entes de carácter público. (Florentino fernández, Iglesias Pastrana,
Llaneza Álvarez, & Fernández Mñiz, 2010, pág. 221)
La ISO (Organización Internacional de Normalización) está presente en 157 países
en el mundo y tiene como finalidad establecer normas documentadas a los
productos o servicios que prestan o venden en una organización pública o privada
y así garantizar la calidad a la necesidad del consumidor, logrando una buena
imagen de la organización, obteniendo una satisfacción con los clientes o con los
procesos que se realicen.
16
NORMA ISO 27001
Definición ISO 27001
Se denomina requisitos para la especificación de sistemas de gestión de la
seguridad de la información (SGSI) proporciona un macro de estandarización para
la seguridad de la información para que sea aplicado en una organización o
empresa y comprende un conjunto de normas sobre las siguientes materias:
Según (García, Hurtado, & Alegre Ramos) Una organización comprende un
conjunto de normas sobre las siguientes materias:
 Sistemas de gestión de la seguridad de la información.
 Valoración de riesgos
 Controles
Que constituye a la ISO 17799-1, abarca un conjunto de normas relacionadas con
la seguridad informática. Se basa en la norma BS 7799-2 de British Standard, otro
organismo de normalización. . (García, Hurtado, & Alegre Ramos, 2011, pág. 19)
Según esta norma, que es la principal de la serie, la seguridad de la información es
la preservación de su confidencialidad, integridad y disponibilidad, así como de los
sistemas implicados en su tratamiento. (García, Hurtado, & Alegre Ramos, 2011,
pág. 19)
La norma 27001 gestiona. Se basa en un Sistema de Gestión de la Seguridad de
Información, también conocido como SGSI. Este sistema, bien implantado en una
empresa, nos permitirá hacer un análisis de los requerimientos de la seguridad de
nuestro entorno. Con ellos, podremos crear procedimientos de mantenimiento y
puesta a punto, y aplicar controles para medir la eficacia de nuestro trabajo. La
norma contempla cada uno de estos requisitos y nos ayuda a organizar todos los
procedimientos. (Marchionni, 2011, pág. 90)
17
Todas estas acciones protegerán la empresa frente a amenazas y riesgos que
puedan poner en peligro nuestros niveles de competitividad, rentabilidad y
conformidad legal para alcanzar los objetivos planteados por la organización.
(Marchionni, 2011, pág. 90)
ISO/IEC 27001 Information Security Management Systems Requirementes
(Requerimientos para los Sistemas de Gestión de Seguridad de la Información),
norma que permite certificar la implementación de un sistema de Gestión de
Seguridad de la Información en una Organización. (Vieites, 2011, pág. 153)
La ISO 27001 nos da prioridad al Sistema de Gestión, permitiendo escoger los
controles que se necesiten para minimizar los riesgos encontrados, es una norma
que ayuda a gestionar la seguridad de la información en cualquier tipo de
organización, analizando las amenazas, vulnerabilidades y riesgos laborales que
se presentan, permitiendo tener una información segura gracias a la Integridad,
Disponibilidad y Confidencialidad que esta brinda a todo momento, logrando que se
cumplan las políticas establecidas y tener una buena imagen en la empresa.
Confidencialidad
La confidencialidad de la información es la propiedad mediante la que se garantiza
el acceso a la misma solo a usuarios autorizados. (Tejada, 2014, pág. 2)
Está relacionada con la prevención del acceso no autorizado a la información. El
objetivo básico es salvaguardar los datos ante operacionales de lectura por parte
de usuarios, ya sean personas o programas, no habilitados. (Aedo Cuevas, y otros,
2009, pág. 154)
La confidencialidad nos permite que la información siempre sea solo vista por
personal autorizado y no por terceros, evitando una divulgación de los archivos
personales de las organizaciones.
18
Integridad
Garantizando que la información y sus métodos de proceso son exactos y
completos, y podríamos matizar que, por tanto, permitiendo el acceso con
posibilidad de variación, que incluiría añadidos, modificaciones y borrados, pero
sólo a quienes estén autorizados, y que podrían ser diferentes del grupo anterior:
el de la confidencialidad. (Navarro, Ramos Gonzáles, & Ruiz, 2010, pág. 14)
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. La integridad es el mantener con exactitud la información tal cual fue
generada, sin ser manipulada o alterada por personas o procesos no autorizados.
(Medina, 2014, pág. 17)
La integridad nos permite que la información siempre debe mantenerse tal cual se
la escribió en dicha organización, sin ningún tipo de manipulación por personas no
autorizadas, con el fin de no perjudicar a terceros debido a las manipulaciones que
se pudieran realizar.
Disponibilidad
La disponibilidad se refiere a la recepción del dato a tiempo para cumplir su finalidad
y por parte de los destinatarios autorizados, esto es, la accesibilidad de los datos
cuando sea preciso y por quienes están facultados para ello. (Rebollo Delgado &
Serrano Pérez, 2008, pág. 148)
Los datos deben estar disponibles en el momento en que se necesitan. (Quesnel,
2012, pág. 151)
La disponibilidad es la característica, cualidad o condición de la información de
encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la
información y a los sistemas por personas autorizadas en el momento que así lo
requieran. (Revista de la Segunda Cohorte, 2014, pág. 104)
19
La disponibilidad nos permite que la información siempre se la va a poder encontrar
al momento que se la necesite, cualquier usuario autorizado tiene accesibilidad a
ella, es aquí donde la organización garantiza su efectividad en una información
disponible a todo momento.
SEGURIDAD DE LA INFORMACIÓN
Definición
La seguridad de la información es el conjunto de medidas preventivas y reactivas
de las organizaciones y de los sistemas tecnológicos que permiten resguardar y
proteger la información buscando mantener la confidencialidad, la disponibilidad e
integridad de la misma. (Revista de la Segunda Cohorte, 2014, pág. 100)
El concepto de seguridad de la información no debe ser confundido con el de
seguridad informática, ya que este último solo se encarga de la seguridad en el
medio informático, pero la información puede encontrarse en diferentes medios o
formas, y no solo en medios informáticos. (Revista de la Segunda Cohorte, 2014,
pág. 100)
Este hecho se basa en que la información va mucho más allá de la netamente,
procesada por equipos informáticos y sistemas; es decir, también abarca aquello
que pensamos, que está escrito en un papel, que decimos, etc. (Jara & Pacheco,
2012, pág. 15)
Si consultamos la norma ISO/IEC 27001, esta nos dice que la seguridad de la
información es aquella disciplina que tiene por objeto preservar la confidencialidad,
integridad y disponibilidad de la información; y que puede involucrar otras
propiedades, como la autenticidad, la responsabilidad, el no repudio y la
trazabilidad. (Jara & Pacheco, 2012, pág. 15)
La seguridad de la información no hay que confundirla con seguridad informática,
es aquí donde documentamos todas las políticas, protocolos, reglamentos, normas
20
etc., Se le da prioridad a la confidencialidad, integridad y disponibilidad de la
información para poder minimizar, tratar y gestionar los riesgos lógicos que se
presenten a la información y así se pueda obtener un total resguardo de la misma,
llegando a cumplir los objetivos que se ha propuesto la organización mediante las
políticas de seguridad.
Seguridad Lógica
Es toda aquella relacionada con la protección del software y de los sistemas
operativos, que en definitiva es la protección directa de los datos y de la
información. (Aguilera López P. , 2010, pág. 30)
Consiste en la aplicación de barreras y procedimientos que resguarden el acceso
a los datos y solo se permita acceder a ellos a las personas autorizadas para
hacerlo. Algunas de las principales amenazas que tendrán que combatir los
administradores de sistemas son el acceso y modificaciones no autorizadas a datos
y aplicaciones. La seguridad lógica se basa, en gran medida, en la efectividad
administración de los permisos y el control de acceso a los recursos informáticos,
basados en Identificación, autentificación y autorización de accesos. (Costas
Santos, 2011, pág. 66)
Seguridad Lógica se basa en la protección del Sistema Operativo donde se
encuentra la información y software de la empresa, administrando el acceso a estos
recursos, ayudando a mantenerla siempre protegida o a un nivel alto de seguridad,
ya que el mismo SO está expuesto a riesgos, amenazas y vulnerabilidades.
Riesgo
Estimación del grado de explosión a que una amenaza se materialice sobre uno o
más activos causando daños o perjuicios a la organización. (España, 2012, pág.
229)
21
Se denomina riesgo a la posibilidad de que se materialice o no una amenaza
aprovechando las vulnerabilidades. No constituye riesgo una amenaza cuando no
hay vulnerabilidad ni una vulnerabilidad cuando no existe amenaza para la misma.
(Aguilera López P. , 2010, pág. 14)
Es un evento o condición incierta, que en caso de ocurrir, tiene un efecto positivo o
negativo sobre los objetos o proyectos. (Toro López, 2013, pág. 135)
El riesgo en la información siempre está latente esperando el momento en que una
amenaza ocurra aprovechando las vulnerabilidades que existan y más si se trata
de una organización con documentos importantes siempre se vivirá con el miedo
de perder todo lo que se tiene.
Identificación y Autenticación
Mediante algo que se pueda portar (por ejemplo, tarjeta magnética), algo que se
conoce (contraseña) o algo físico, biológico o fisiológico (biometría). Una vez
realizada la identificación y la autenticación, cada usuario dispondrá de un
determinado nivel de acceso a la información, en función de parámetros que se
establezcan. (Aguilera López P. , 2010, pág. 136)
Su objetivo es comprobar la identidad del usuario, es decir ¿es realmente quien
dice ser?, el usuario proporciona información acerca de su identidad para que el
servidor pueda identificar. Normalmente el usuario da su nombre de usuario (login)
y su contraseña. Estos dos datos también se llaman credenciales y si el servidor
comprueba que estas credenciales coinciden con las almacenadas en su base de
datos. (Mifsuf Talón, 2012, pág. 3 de 27)
La identificación y autenticación es parte de la mayoría de servicios TIC, El
propósito de la Identificación es comprobar, analizar que usuario accede a la
información y mediante la autenticación que se la haya dado identificar que el
usuario es quien dice ser y brindar los permisos que se le haya otorgado a ese
usuario para que pueda acceder a la información a la cual tiene permiso.
22
Amenazas
En sistemas de información se entiende por amenaza la presencia de uno o más
factores de diversa índole (personas, máquinas o sucesos) que de tener la
oportunidad atacarían al sistema produciéndole daños aprovechándose de su nivel
de vulnerabilidad. (Aguilera López P. , 2010, pág. 13)
Las amenazas son los eventos que pueden desencadenar un incidente en la
organización, produciendo daños o pérdidas inmateriales en sus activos. Se
pueden agrupar en clases y los atributos a tener en cuenta son: su código, nombre,
frecuencia. (De Pablos Heredero, López Hermoso Agius, Romo Romero, & Medina
Salgado, 2011, pág. 280)
Las amenazas en la información pueden existir a partir de una vulnerabilidad, si
existen vulnerabilidades existen amenazas, y es la que atenta contra la seguridad
de la información, la falta de capacitación en materia de seguridad de la información
ha causado el aumento de amenazas por parte del personal de la organización.
Vulnerabilidades
Una vulnerabilidad de seguridad es una debilidad en un componente del sistema
que pudiera ser explotada para permitir el acceso no autorizado o causar
interrupción del servicio. La naturaleza de las vulnerabilidades podría ser de
múltiples tipos: técnicas (por ejemplo, una falla en el sistema operativo o navegador
web), administrativas (por ejemplo, no educar a usuarios acerca de problemas
críticos de seguridad), culturales (ocultar contraseñas bajo e teclado o no destruir
informes confidenciales), procedimental (no pedir contraseñas complejas o no
revisar las ID de usuario), etc. Cualquiera que sea el caso, cuando una
vulnerabilidad de seguridad se deja sin verificar, puede convertirse en una
amenaza. Una amenaza de seguridad es una inminente violación de seguridad que
puede ocurrir en cualquier momento debido a una vulnerabilidad no revisada.
(Coronel, Morris, & Rob, 2011, pág. 630)
23
Es el estado normal en que se encuentra los bienes, expuestos a una o varias
amenazas. Es decir, el grado de facilidad con que podrán producirse daños en las
personas, cosas o procesos a proteger como consecuencia de las amenazas. Es
importante tener en cuenta las siguientes preguntas. Según (Mora Chamorro, 2010,
pág. 15)
 Qué debe protegerse ?
 Qué amenazas existen ?
 Qué grado de vulnerabilidad presentan ante estas amenazas ? (Mora
Chamorro, 2010, pág. 15)
La vulnerabilidad es todo punto débil que pudiera existir en el hardware como en el
software, pudiendo esta atentar contra la información que existiera en la empresa,
afectando la confidencialidad, integridad, disponibilidad de la misma, es importante
identificar cuáles serían esas amenazas o vulnerabilidades que está expuesta los
datos de la organización para combatirla, minimizarlas y así poder protegerla de
cualquier daño que esta pudiera causar.
Ataques
Los ataques cibernéticos se han multiplicado desde principios del siglo XXI, siendo
los más destacados los relacionados con el perjuicio económico como el fraude y
estafas en la red (e-fraud, o fraude electrónico, constituido por el phishing,
pharming, timo nigeriano, captación de mulas para el blanqueo de dinero, etc.) el
espionaje industrial, o ataques a gobiernos. (Jiménez garcía, y otros, 2014, pág.
92)
Los ataques a la seguridad pueden tener efectos muy diversos en nuestros
sistemas. Algunos de estos efectos son los siguientes: Según. (Romero Ternero, y
otros, 2014, pág. 246)
 Destrucción de información almacenada en el disco duro.
 Destrucción o inutilización del sistema operativo.
24
 Borrado de la BIOS.
 Destrucción del Disco Duro, inutilizándolo.
 Apertura de una puerta trasera (backdoor) que permita el acceso no
autorizado a nuestro ordenador.
 Impedir la ejecución de determinados programas.
 Recopilación de información de nuestro ordenador y envío de dicha
información a otro (spyware).
 Consumo de recursos de nuestro ordenador.
 Envío de tráfico inútil para saturar la red.
 Inofensivos aunque molestosos mensajes en pantalla de vez en cuando.
 Envió de spam desde nuestra cuenta de correo electrónico.
 Lectura no autorizada de nuestro correo electrónico.
 Colapso del servidor. (Romero Ternero, y otros, 2014, pág. 246)
Los ataques informáticos se ha vuelto muy de moda a nivel mundial por los famosos
piratas informáticos, estos atacantes tratan de aprovechar las vulnerabilidades que
se presentan en los ordenadores de las organizaciones ya sea esta grande o
pequeña, tomando el control de los sistemas informáticos, la red o de la información
para ganar dinero pidiendo una recompensa por dicho control o secuestro que han
hecho, o solo por causar daño entre otras.
Virus
Los virus informáticos son programas que se instalan de forma inadvertida en los
dispositivos realizando una función destructiva o intrusiva y, además, pueden
propagarse hacia otros equipos. (Ladrón Jiménez, 2014, págs. 101-144)
Actualmente, los medios más utilizados de propagación de virus son el correo
electrónico, la mensajería instantánea y las descargas. (Ladrón Jiménez, 2014,
págs. 101-144)
Es un programa informático (sea en código ejecutable, objeto o fuente) que es
capaz de auto producirse código en otros programas informáticos o computadoras,
25
de manera transparente al usuario, capaz de transcurrido el tiempo de
incubación/propagación,
interferir
con
el
normal funcionamiento
de
una
computadora o red de computadoras. (Marroquín, 2010, pág. 472)
Son programas que alteran el correcto funcionamiento de los equipos y se
propagan entre ellos a través de distintos medios (Rodil Jiménez & Pardo de Vega,
2010, pág. 287)
Virus informático son programas maliciosos y dañinos creados para alterar el
funcionamiento del computador, o tomar el control del mismo, sin previo
conocimiento del usuario, estos virus se propagan por sí mismo a varias
computadoras ya sean por correos electrónicos, o por dispositivos extraíbles entre
otros, un virus puede destruir de manera intencionada la información que se
encuentre en un computador o servidor de la organización.
Hacker
El llamado hacker realiza acciones no autorizadas, pero sin fines destructivos.
Suelen ser accesos realizados sin autorización con el objeto de conseguir
determinada información; sin embargo, no la destruyen. Su conducta puede estar
guiada, únicamente, por el deseo de vencer el reto intelectual que supone saltar las
barreras del sistema, de descubrir, en suma, las lagunas de protección. (Fernández
Teruelo, 2011, pág. 96)
El termino hacker representa aquí a los primeros programadores en los sistemas
Unix convertidos sin duda en verdadero “gurús” en su dominio y no al pirata
informático malintencionado. (Pons, 2011, pág. 19)
Es el nombre genérico que se le da a los intrusos informáticos, pero en realidad el
hacker es el único de ellos que tiene un código ético para sus intrusiones, el
verdadero profesional del hacking, que conoce a fondo los lenguajes de
programación, las instrucciones y los protocolos de comunicación de redes para
26
introducirse en ellas con privilegio de administrador. (Aguilera López P. , 2010, pág.
109)
Hacker es una persona con amplios conocimientos en informática y maneja varios
software de programación en un nivel avanzado, descubriendo vulnerabilidades
que puede explotar y también puertas traseras en las seguridades informáticas de
las organizaciones sin fines de lucro para reportar las fallas en las seguridades y
así convertirse en el administrador, o por propio ego de la persona.
Cracker
Es alguien que viola la seguridad de un sistema informático de forma similar a como
lo haría un hacker, solo que a diferencia de este último, el cracker realiza la
instrucción con fines de beneficio personal o para hacer daño. (Revuelta
Domínguez & Pérez Sánchez, 2009, pág. 73)
El termino deriva de la expresión “criminal hacker”, y fue creado alrededor de 1985
por contraposición al termino hacker, en defensa de estos últimos por el uso
incorrecto del término. Se considera que la actividad realizada por esta clase de
cracker es dañina e ilegal. (Revuelta Domínguez & Pérez Sánchez, 2009, pág. 73)
El cracker vendría a ser una variante del hacker, con la diferencia de que al invadir
un sistema informático lo hace para sustraer información (“piratas informáticos”),
producir daños o desproteger programas. (Campos Santelices, 2010, pág. 79)
Utiliza las técnicas del hacker pero para beneficio propio causando daños a los
sistemas que invade. También es un cracker el que tiene conocimientos de
ingeniería inversa y los usa para ofrecer públicamente seriales, cracks o
generadores de claves de programas comerciales. (Aguilera López P. , 2010, pág.
109)
Cracker es una persona igual que un hacker con avanzados conocimientos en
programas informáticos y en programación pero al contrario de un hacker este los
27
utiliza para obtener fines de lucro o hacer daño a cualquier organización
sustrayendo la información para luego pedir una recompensa, es aquí donde se
derivan los famosos “piratas informáticos”
Políticas de Seguridad
Su objetivo es proporcionar el soporte para la seguridad de la información, en
concordancia con los requerimientos comerciales y las leyes y regulaciones
relevantes. Se crea de forma particular por cada organización y se redacta un
documento de la política de seguridad de la información. (Valdivia Miranda, 2015,
pág. 136)
Este documento debe ser primeramente aprobado por la gerencia y luego publicado
y comunicado a todos los empleados y las partes externas relevantes. Las políticas
de seguridad de la información no pueden quedar estáticas para siempre, sino que
por el contrario, tienen que ser continuamente revisadas para que se mantengan
en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se
dé. (Valdivia Miranda, 2015, pág. 136)
Una serie de sentencias formales, o normas, que deben ser cumplidas por todas
las personas de una organización que dispongan de acceso a cualquier
información, datos o tecnología que sean propiedad de la organización. (Oliva
Alonso, 2013, pág. 125)
La política de seguridad, en el mundo real, es un conjunto de leyes, reglas y
prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una
organización para llevar a cabo los objetivos de seguridad informática dentro de la
misma. (Revista de la Segunda Cohorte, 2014, pág. 45)
Las Políticas de Seguridad son aquellas que proporcionar seguridad a los datos de
toda organización, donde un conjunto de leyes y reglas son redactadas en un
documento que tiene que ser aprobado por el gerente para poder ser publicadas y
así poder capacitar a todo el personal que se encuentre involucrado de dichos
28
<cambios que se presenten, estas políticas no pueden ser estáticas, tiene que a
ver un constante monitoreo para poder realizar su respectivo cambio si es
necesario, dependiendo de cualquier cambio que presente.
Copias de Seguridad
La finalidad de las copias de seguridad es restaurar la información original que
había en el disco duro cuando ésta se ha dañado o perdido. (Berral Montero,
Equipos microinformáticos, 2010, pág. 264)
Hemos de ser conscientes de que en muchos momentos tiene más valor la
información que ésta dentro del ordenador, que el propio ordenador en sí, ya que
el ordenador puede reponerse, pero la información no (Berral Montero, Equipos
microinformáticos, 2010, pág. 264)
Las copias de seguridad son la última salvaguarda que tiene una organización para
rectificar un problema de pérdida de información y según la criticidad de la
información perdida, el backup se convierte en un elemento crítico para la
continuidad del negocio de la compañía. Por tanto, como elemento crítico para el
negocio debemos considerar de igual manera un componente crítico desde la
Tecnología. (Mora Pérez, 2012, pág. 369)
La finalidad de las copias de seguridad es restablecer la información original, es
decir, los archivos originales cuando estos se han dañado o perdido. Tenemos que
ser conscientes de que existen ocasiones en que tiene más valor la información
que está contenida en el ordenador que el propio ordenador en sí, ya que el
ordenador lo podemos reponer, pero no sucede lo mismo con la información.
Existen numerosas formas de perder la información, por ello debemos poner los
medios a nuestro alcance para que esto no ocurra, siendo a mejor medida las
copias de seguridad (Oliva Haba, Manjavacas Zarco, & Martín Márquez, 2014, pág.
358)
29
Las copias de seguridad o backup se realizan para poder recuperar los datos
importantes que se almacenan en el ordenador, en caso de que ocurra alguna
situación no deseada. (Sánchez Estella & Herrero Domingo, 2014, pág. 115)
El propósito de las Copias de Seguridad en una organización es muy importante,
ya que estas van a restaurar o recuperar los datos que se encuentran almacenados
en los ordenadores o servidores de las organizaciones cuando estos sufran daños,
sabiendo que esta se encuentra vulnerable a cualquier desperfecto que pueda
existir en cuanto a la seguridad de la información, ya que tienen que ser consiente
que lo más valioso que tiene una organización es la información que contiene en
dichos ordenadores o servidores y mas no el equipo informático.
PRIVACIDAD DE LA INFORMACIÓN
Definición
Mantener la privacidad de la información es un elemento muy importante dentro de
la seguridad informática, de hecho se contempla como uno de los objetivos
primordiales de la seguridad, ya que tener unas buenas medidas para asegurar la
privacidad almacenada y transmitida, nos mantiene seguros frente a fraudes y
robos informáticos. (García, Hurtado, & Alegre Ramos, 2011, pág. 127)
Privacidad: Garantizar que sólo las partes autorizadas podrán acceder a un
conjunto de datos, tanto en su origen/destino como durante su tráfico por la red.
(Marco Galindo, Marco Simó, Prieto Blázquez, & Segret Sala, 2010, pág. 90)
La privacidad de la información es garantizar la confidencialidad de los datos de la
organización ya sea en una red local o en internet, logrando evitar el acceso a
personas no autorizadas, hoy en día la privacidad se ve sometida a violaciones por
virus, redes inseguras, piratas informáticas, etc.
30
Contraseñas
La contraseña actualmente representa el medio de autentificación más común. Se
trata de una simple secuencia de caracteres alfanuméricos y especiales, elegidos
por el usuario, y por un periodo que puede ser limitado o ilimitado. Para comprobar
su introducción, se almacena en un archivo o una base de datos en el ordenador o
en un servidor. Esta contraseña puede ser objeto de diverso ataques para intentar
obtenerla, por ingeniería social, diccionario o fuerza bruta. (Dordoigne, 2011, pág.
392)
Las contraseñas no deben ser fáciles de adivinar ya que se corre el riesgo de que
una persona que conozca al usuario pueda adivinarla. Una buena contraseña debe
incluir mayúsculas, minúsculas, números y signos, además de contar con una
longitud suficiente, mínimo ocho caracteres. (Rodil Jiménez & Pardo de Vega, 2010,
pág. 81)
Las contraseñas son autentificación que evitan el acceso de personas no
autorizadas, manteniendo la confidencialidad, integridad y disponibilidad de la
información creando un ambiente más seguro, las contraseñas tienen que mínimo
ser de 8 caracteres y tener combinaciones alfanuméricas.
Protocolos de seguridad de la información
Un protocolo de seguridad es un conjunto de programas que usan esquemas de
seguridad criptográfica. El protocolo de seguridad más utilizado actualmente es el
SSL (Secure Sockets Layer) que se presenta con un candado cerrado en la barra
de herramientas del navegador. (López Brox, 2010, pág. 335)
Los protocolos son reglas y normas que tratan del intercambio de información entre
ordenadores y otros dispositivos, los cuales han sido definidos para que sea posible
la transferencia fiable y eficaz de información. (Sánchez Estella & Moro Vallina,
2010, pág. 65)
31
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la
transmisión de datos entre la comunicación de dispositivos para ejercer una
confidencialidad, integridad, autenticación y el no repudio de la información. Según
la (Revista de la Segunda Cohorte, 2014, pág. 107) Estos protocolos se componen
de:
Criptografía (Cifrado de daos): se ocupa del cifrado de mensajes, un mensaje es
enviado por emisor, lo que hace es transposicionar u ocultar el mensaje hasta que
llega a su destino y puede ser descifrado por el receptor. (Revista de la Segunda
Cohorte, 2014, pág. 107)
Lógica (Estructura y secuencia): llevar un orden en el cual se agrupan los datos del
mensaje, el significado del mensaje y saber cuándo se va enviar el mensaje.
(Revista de la Segunda Cohorte, 2014, pág. 107)
Identificación (Autenticación): es una validación de identificación, es la técnica
mediante la cual un proceso comprueba que el compañero de comunicación es
quien se supone que es y no se trata de un impostor. (Revista de la Segunda
Cohorte, 2014, pág. 107)
Protocolo de Seguridad de la información es un conjunto de reglas a seguir, una
estructura donde valida la comunicación entre ordenadores, la cual nos ayuda a
que la información que se envía como la que se recibe sea: confidencial e integra,
con una autenticación donde el usuario a recibir se sienta seguro que su
información llego tal y cual la enviaron.
REDES Y COMUNICACIÓN DE DATOS
Las redes de datos son redes de comunicación pensadas para intercambiar datos
empleando protocolos la comunicación. En este caso, los elementos fuente y
destino de la información son dispositivos electrónicos, como ordenadores,
teléfonos móviles, etc. (Romero Ternero, y otros, 2014, pág. 3)
32
Una red es un sistema de comunicaciones que permite a los usuarios de
ordenadores y dispositivos basados en microprocesador, compartir el equipamiento
de los ordenadores conectados, programas informáticos, datos, voz, video,
impresoras, etc., es decir, cualquier dispositivo conectado a la red. (Berral Montero,
2014, pág. 2)
Una red está formada por el conjunto de elementos necesarios para que se
establezca la comunicación; en su sentido más amplio, incluye los emisores,
receptores, nodos intermedios, conmutadores, enlaces, etc. (Moro Vallina, 2013,
pág. 3)
Una red de comunicación y datos es conectarse entre sí todo dispositivo electrónico
como un ordenador, impresora, teléfonos móviles, etc. Donde exista comunicación
entre ellos mediante un receptor y un emisor, pero se necesita de más elementos
o factores como switch, nodos, enlaces, etc. Que estén interconectadas entre ellos,
Dando paso a que exista una comunicación de programas informáticos,
información, y acceso a cualquier dispositivo que esté conectado a la red
dependiendo las políticas que se les hayan dado a los dispositivos.
SOFTWARE
DHCP
El servidor DHCP asigna una dirección IP de forma dinámica a los equipos que lo
solicitan. (García Ramírez, Miñana Caselles, López Fernández, & Sánchez
Corbalán, 2010, pág. 71)
Cuando el número de equipos que forman la red es pequeño la asignación de
direcciones IP a los equipos de red es rápida, pero por el contrario, si el número de
equipos es muy grande a la hora de realizar la configuración o ante cualquier
cambio, resulta engorroso ir configurando una a uno todos los equipos. En estos
casos, configurar un servidor DHCP simplifica bastante el trabajo, ya que él se
33
encarga de asignar a cada equipo la configuración IP de manera dinámica. (García
Ramírez, Miñana Caselles, López Fernández, & Sánchez Corbalán, 2010, pág. 71)
El servicio DHCP (Dynamic Host Configuration Protocol) se utiliza para administrar
las redes basadas en TCP/IP, mediante la asignación dinámica a los clientes de la
dirección IP, con lo que se evita tener que ir a cada ordenador cliente a instalar la
dirección IP de forma estática. (Alegre Ramos, garcía, & Hurtado, 2011, pág. 81)
DHCP es un servicio que nos ayuda a la administración de nuestra red,
asignándonos las direcciones IP dinámicamente, ya que en una organización muy
grande a veces es muy tedioso o demoroso configurar maquina por maquina las
direcciones IP las cuales nos mantendrá conectados a la RED de la empresa, es
aquí donde el servicio DHCP nos evita hacer todo este trámite ahorrándonos el
factor tiempo.
Firewall
Un firewall es un dispositivo lógico o físico que comprueba los datos entrantes o
salientes que van o vienen de las redes externas como internet. Así pues, un firewall
le permite prevenir los ataques de hacker o programas malintencionados que
intenten tomar el control del equipo de una manera u otra. (Anderruthy & Gaumé,
2011, pág. 333)
Es un sistema que restringe accesos no autorizados desde y hacia una red local.
Examina todos los datos y bloquea el paso de los que no cumplen ciertos criterios
de seguridad. Pueden ser dispositivos físicos o programas instalados en cada
ordenador. (Bravo Delgado & Medina Sánchez, 2011, pág. 50)
Un firewall se lo puede encontrar en forma de Hardware o Software, la función es
controlar la comunicación entre la red interna y la intranet permitiendo el acceso o
denegando el acceso a esta red, dependiendo la configuración y políticas de la
empresa, evitando que ingresen personas no autorizadas, o virus a esta red y así
prevenir que dañen la información que se tiene en los ordenadores, servidores o
34
dispositivo que se la haya instalado. Un firewall no es lo mismo que un antivirus por
lo cual es necesario tener un antivirus instalado en los ordenadores.
Proxy
Un servidor proxy oculta la información importante de la red a extraños al hacer
invisible el servidor de la red. Para lograr lo anterior, el servidor proxy intercepta las
solicitudes de acceso a la red, decide si se trata de una solicitud válida y, en caso
afirmativo, pasa la solicitud al servidor idóneo que puede satisfacerla: todo sin
revelar la disposición de la red, los servidores u otra información que pudiera residir
en éstos. En forma semejante, si se va a pasar información desde la red hacia
internet, el servidor proxy enlaza la transmisión pero sin revelar nada respecto a la
red. Los servidores proxy son invisibles para los usuarios, pero son críticos para el
éxito de los cortafuegos. (Mclver McHoes & Flynn, 2011, pág. 357).
El servidor proxy se utiliza especialmente en el ámbito del tráfico Hyper text
Transfer Protocol (HTTP) o incluso con File Transfer Protocol (FTP) en la red Lan
e Internet, se puede considerar que es un complemento del cortafuegos.
(Dordoigne, 2011, pág. 401)
Servidor intermedio entre el cliente y el servidor de origen que acepta las peticiones
de los clientes, las transmite al servidor de origen, y después devuelve la respuesta
del servidor de origen al cliente. (Mifsuf Talón, 2012, pág. 17 de 21)
Un servidor Proxy es un complemento del firewall el cual funciona como
intermediario al momento de acceder al internet, el proxy es el que recibe la señal
del ordenador a que página o servidor este quiere acceder, comprueba si es seguro
o no dependiendo las políticas de la empresa que se hayan dado, si no tiene acceso
o no es seguro no emite una respuesta del servidor o página que queremos acceder
caso contrario nos da acceso a lo que queramos.
35
SOFTWARE LIBRE
El software libre es distribuido con su código fuente lo que permite a cualquiera con
los conocimientos suficientes, leerlo, estudiarlo y modificarlo. (valverde Berrocoso,
2009, pág. 173)
El software libre permite a los usuarios que lo adquieren trabajar con toda la libertad
sobre él, pudiendo usarlo, copiarlo, estudiarlo, modificarlo y distribuirlo de nuevo
una vez modificado y así lo indica la Fundación para el Software libre (Free Software
Foundation). (Gallego & Folgado, 2011, pág. 300)
El software libre es todo software o programa, donde cualquier usuario final pueda
cumplir con sus libertades las cuales son: copiarlo o ejecutarlo, estudiarlo,
distribuirlo, modificarlo haciendo mejoras al software y redistribuirlo, haciendo de
esto el código fuente disponible para cualquier usuario que desee estudiarlo o lo
necesite y este pueda realizar las libertades que se mencionó.
SISTEMA OPERATIVO LINUX
Definición
El sistema operativo Linux fue desarrollado en 1991 por Linus Torvalds. Linux se
basa en el sistema Minix que a su vez está basado en el sistema UNIX. El sistema
operativo Minix es una versión básica y reducida de Unix creada para uso
universitario sin tener que pagar licencias. A partir de esta primera versión de Linux
el sistema ha sido modificado por miles de programadores de todo el mundo, bajo
la coordinación de su creador, Linus Torvalds. (Rodil Jiménez & Pardo de Vega,
2014, pág. 9)
Su interfaz gráfica ha mejorado en los últimos años, logrando que sea tan fácil de
usar como los sistemas Windows. En los sistemas operativos Linux el usuario va a
poder elegir a la hora de instalar el sistema entre varias interfaces graficas que
36
cuentan con prestaciones similares; entre las que destacan Kde y Gnome. (Rodil
Jiménez & Pardo de Vega, 2014, pág. 9)
Linux es un sistema operativo gratuito de libre distribución, se puede bajar de
internet y además necesita muy pocos recursos de hardware si lo comparamos con
los sistemas operativos existentes con sus mismas características. (Aguilera López
& Morante Fernández, 2010, pág. 8)
Como cualquier sistema operativo, es la conjunción de un programa principal o
núcleo (kernel en inglés) y una serie de herramientas y bibliotecas añadidas que
posibilitan su utilización. (Aguilera López & Morante Fernández, 2010, pág. 8)
Sería absurdo decir que Linux está a salvo totalmente de virus y malware. Sin
embargo, sí que es cierto que se encuentra mejor protegido. Además, contamos
con varios antivirus gratuitos y libres. (Fernández Montoro, 2011, pág. 19)
El Sistema Operativo Linux es un sistema totalmente libre el cual está basado en el
sistema UNIX, a diferencia de Windows Linux ha sido mejorado por millones de
usuarios a nivel del mundo pero bajo la coordinación de su creador, Linus Torvalds,
en los últimos años Linux ha mejorado a pasos agigantados, haciendo su interfaz
muy amigable al usuario final como lo es Windows, contando con aplicaciones y
herramientas que lo hacen fácil de manejar, logrando que más usuarios lo usen
personalmente.
SISTEMA OPERATIVO CENTOS
Introducción
CentOS significa “Sistema Operativo de la Comunidad Empresarial” (Community
Enterprise Operating System), y está basado en Red Hat Enterprise Linux (RHEL).
(Baclit, Sicam, Membrey, & Newbigin, 2009, pág. xxii)
CentOS es binario compatible con el RHEL porque fue construido utilizando el
código fuente de RHEL. Además los desarrolladores se aseguran de adherirse a
37
las reglas de redistribución de RHEL cuando construyeron CentOS por lo que sería
una alternativa verdaderamente libre de la original. (Baclit, Sicam, Membrey, &
Newbigin, 2009, pág. xxii)
CentOS se utiliza en todo el mundo por personas que necesitan una plataforma
robusta y fiable para desplegar sus aplicaciones y servicios. Aunque las opciones
de soporte están disponibles, CentOS es el más adecuado para aquellos que no
necesitan o desean soporte empresarial. (Membrey, Verhoeven, & Angenendt,
2009, pág. 3)
CentOS (acrónimo de Community ENTerprise Operating System) es un clon a nivel
binario de la distribución Red Hat Enterprise Linux, compilado por voluntarios a
partir del código fuente liberado por Red Hat, empresa desarrolladora de RHEL,
CentOS usa yum para bajar e instalar las actualizaciones, herramienta también
utilizada por Fedora Core. (Sánchez Pérez, 2015, pág. 66)
CentOS es un Sistema Operativo de Comunidad Empresarial, utilizado a nivel
mundial como servidor ya que está basado en el famoso Red Hat, liderando el
puesto uno en cuanto a servidores, su meta es producir un sistema operativo de
calidad a nivel empresarial.
Características
Una de las características de CentOS es que soporta (casi) todas las mismas
arquitecturas que el original Red Hat Enterprise Linux, Además tiene soporte para
dos arquitecturas no soportadas por su original, Alpha procesador (DEC_Alpha),
SPARC. (Sánchez Pérez, 2015, pág. 66)
Las características del diseño hacen CentOS (y su gemelo comercial, Red Hat
Enterprise Linux), ideal para entornos en los que no desea infligir demasiado
cambio, como centros de datos empresariales, pero lo mismo se aplica, por
ejemplo, a las computadoras de oficinas o las portátiles personales. (Membrey,
Verhoeven, & Angenendt, 2009, pág. xvi)
38
La principal característica de CentOS es que es un clon de Red Hat, la meta es ser
número uno en servidores ya que cuenta con un firewall muy bueno si no decir el
mejor de todos, cuenta con varios servicios que se pueden instalar en un mismo
computador, teniendo la comunidad más grande a nivel mundial en la web con
programadores de todo el mundo para mejorar y actualizar siempre el sistema,
haciendo amigable manejable ideal para su uso, para servidores de empresas
grandes como pequeñas y también para su uso personal.
Raid
Existe un método alternativo de asegurar los datos. Muy extendida en los entornos
de servidores y en expansión en entornos particulares, esta tecnología se llama
RAID (Redundant Array of Independent Disks). (Deman, Elmaleh, Neild, & Van
Jones, 2014, pág. 809)
Desde un punto de vista simplificado, esta tecnología permite almacenar la
información sobre discos duros múltiples con el objetivo de mejorar, en función el
tipo RAID seleccionado, la tolerancia a fallos y/o el rendimiento del conjunto.
(Deman, Elmaleh, Neild, & Van Jones, 2014, pág. 809)
Los siete niveles normales de RAID proporcionan varios grados de corrección de
errores, Cuando se escoge un sistema, algunos factores importantes a considerar
son costo, velocidad y aplicaciones del sistema. (Mclver McHoes & Flynn, 2011,
pág. 234)
39
Figura 1 tabla de raid
Fuente: sistemas operativos sexta edición
Autor Mclver McHoes & Flynn pág. 234
RAID (Redundant Array of Inexpensivve Disk), grupo redundante de discos
independientes, y que se usan como una forma más de seguridad en hardware y
para garantizar la protección de los datos almacenados. (Aguilera López P. , 2010,
pág. 187)
Las implementaciones pueden ser tanto por hardware como mediante software, y
además existen alternativas que combinan ambas soluciones. En caso de que el
control sea por hardware, será necesario disponer de una controladora integrada
en la placa base o bien en una tarjeta de expansión independiente. Si la
implementación es mediante software, será el propio sistema operativo el que
gestione el RAID a través de una controladora convencional. (Aguilera López P. ,
2010, pág. 187)
Un Raid es muy utilizado en los servidores, ya que ayuda a tolerar las fallas y
errores en el Disco Duro del servidor o computador, funciona con varios Discos
instalados donde el sistema operativo los interpreta como uno solo, el Raid se lo
puede implementar mediante hardware o software, logrando garantizar siempre la
disponibilidad, integridad y confidencialidad de la información almacenada en el
Disco Duro que se esté usando.
40
CONCLUSIONES PARCIALES DEL CAPÍTULO I
El Sistema de Gestión de la Seguridad de la información es un documento muy
importante en una organización, ya que podemos implementar controles que nos
brinda la norma ISO 27001 para el resguardo de la información, dando paso a un
conjunto de políticas, documentada, para reducir los riesgos que puede presentar
debido a las vulnerabilidades que existan.
La norma ISO 27001 da prioridad al Sistema de Gestión el cual permite escoger los
controles que se deseen para poder implementar nuestro SGSI, creando nuestras
propias políticas para mantener siempre la confidencialidad, integridad y
disponibilidad de la información.
Las Políticas de Seguridad nunca deben se estáticas o permanente, el SGSI
siempre necesita tener un monitoreo constante para que estas políticas sean
mejoradas o cambiadas siempre y cuando sea necesario y así lo autorice la
organización, o por cambios tecnológicos.
41
CAPÍTULO II
MARCO METODOLÓGICO Y PLANTAMIENTO DE LA PROPUESTA
ANÁLISIS PREVIO DE LA EMPRESA
La importadora Megatech, está ubicado en la Provincia de Santo Domingo de los
Tsáchilas, ubicado en la Calle Río Baba #143 bajos del Ministerio del Ambiente en
el cantón de Santo Domingo, brindando los servicios de venta de equipos de
cómputo, suministros informáticos, servicios de red y soluciones integrales de
informática y telecomunicaciones.
Historia
Nace el año 1987 con la idea de ofrecer equipos de cómputos para la satisfacción
del cliente ya que se hizo un estudio previo antes de la creación. El nombre
Megatech nace de la unión de Mega = grande y Tecnología, Existen proyectos
como toda empresa, y es así como poco a poco Megatech está creciendo sin olvidar
el esfuerzo y trabajo que esto implica.
Megatech es una empresa ecuatoriana, con oficinas en Quito y Santo Domingo.
Brindamos alternativas y soluciones a nuestros clientes, integrando aplicaciones,
equipos y servicios en las áreas de computación, telecomunicaciones, Asistencia y
Soporte Técnico, para lo cual contamos con el respaldo de los fabricantes con
mayor prestigio mundial.
Con más de 26 años de experiencia, Megatech cuenta con un grupo de
profesionales capacitados y certificados para responder y satisfacer las
expectativas del Usuario como del fabricante, con servicio de la más alta calidad
humana y profesional para todos nuestros clientes.
42
Servicios
Megatech
ofrece
al
mercado
“Soluciones
integrales
de
Informática
y
telecomunicaciones, orientadas a la Optimización del negocio de nuestros clientes”
 Implementación de Centros de cómputo.
 Portátiles y Pcs Corporativos y Small Business.
 Servidores y Virtualización.
 Almacenamiento
y
recuperación
de
datos;
Virtualización
del
almacenamiento.
 Continuidad del Negocio “Business Continuity”.
 Servicios de Identidad; Servicios de Integración.
 Cableado Estructurado e infraestructura de red.
 Soluciones de Telefonía IP.
 Comunicaciones unificadas y soluciones de mensajería.
 Centro de Contactos.
 Soluciones Empresariales.
 Servicio de Educación y Consultoría en Tecnología Informática.
 Convenios de Soporte y Mantenimiento.
Misión
“Contribuir a la consecución de nuestros clientes, proporcionando opciones de
calidad informática, con tecnologías de punta, con un grupo humano de óptima
calidad, especializados y comprometidos a su orientación de servicio, logrando
exitosos beneficios mutuos.”
Visión
“Ser una de las mejores empresas Informáticas Nacionales e Internacionales, que
cuentan con recurso humano profesional, previendo alternativas y soluciones de
alto valor especializado, logrando alcanzar satisfacción y lealtad de nuestros
clientes.”
43
Valores corporativos
 Integridad.
 Calidad.
 Responsabilidad.
 Respeto.
 Honradez
Organigrama Estructural de la importadora Megatech.
ASISTENTE 1
DEPARTAMENTO DE
COMPRAS PÚBLICAS
ASISTENTE 2
DEPARTAMENTO
FINANCIERO
PAGADURÍA
GERENTE GENERAL
DEPARTAMENTO DE
CONTABILIDAD
ASISTENTE
CONTABLE
ASISTENTE DE
GERENCIA
DEPARTAMENTO DE
SISTEMAS
JEFE TÉCNICO
DEPARTAMENTO DE
VENTAS
FACTURACIÓN
Figura 2 organigrama estructural de la importadora Megatech
Fuente: Personal importadora Megatech
Autor. Rogelio Guerrero
44
Modalidad de la Investigación
Cualitativa
Es un método de investigación basado en principios teóricos, el cual se basa en la
toma de muestras pequeñas, la cual será aplicada mediante las entrevistas al
personal de la importadora en el cual se conocerá la información del porqué de los
problemas en cuanto a la seguridad de la información de la empresa, conociendo
las características de la importadora Megatech y así dar solución a la problemática
que se presenta.
Cuantitativa
La metodología cuantitativa es la que permitirá recoger los datos de una manera
científica, o más específicamente de una forma numérica, la cual medirá, validara
y comprobara el problema, para que este sea posible definirlo, limitarlo y saber
dónde inicia la problemática, la misma será aplicada en el análisis obtenido a través
de las entrevistas aplicadas al personal de la importadora y así determinar los
elementos que conforman el problema.
Tipos de Investigación
Investigación de Campo
Utilizaremos la investigación de campo para recopilar información, la cual nos
permitirá conocer en el lugar de los hechos para establecer la causa del problema
y establecer una solución a la misma cómo se están manejando las seguridades y
privacidades de la información, se reducirá, aceptara, evitara o transferirá los
riesgos que existan para mejorar la confidencialidad, integridad y disponibilidad de
la información.
45
Investigación Bibliográfica
Esta investigación nos ayudara a fundamentar científicamente la solución a nuestra
problemática, y poder tomar conocimientos de investigaciones ya existentes que
tenga similitud, y así evitar realizar investigaciones ya hechas.
Investigación Descriptiva
Es aquella que permite describir cada una de las funciones en la importadora
Megatech, y como está estructurado cada uno de sus departamentos.
Esta investigación nos permitirá identificar las causas y efectos del fenómeno y así
poder evitar la manipulación inadecuada de la información de la empresa creando
una hipótesis a nuestra problemática.
Métodos de Investigación
Método inductivo-deductivo
Se partirá a realizar el proceso que permitirá ir de lo particular a lo general para
analizar la importadora y buscar una respuesta al problema, y el deductivo nos
ayudara a comparar con otras empresas para poder obtener una solución al
problema que se presenta en la importadora Megatech.
Método Analítico – Sintético
Nos permitirá basarnos en la descomposición del objeto de estudio, el cual ayudara
a analizar las causas y efectos que se pudo recopilar de una forma muy ordenada.
Y así poder sintetizar la recopilación que hemos hecho y determinar un todo para
la seguridad y privacidad de la información en la importadora Megatech.
46
Técnicas de Investigación
Observación
Con esta técnica se obtendrá información directamente de las seguridades y
privacidades que tiene al momento de acceder al servidor, y se conocerá los
procesos que se realizan en el procedimiento de acceso, para que se pueda llegar
a una conclusión acerca del problema que presenta la importadora en las
seguridades de su información.
Entrevista
Esta técnica permite realizar o saber las tareas que realiza el personal de la
empresa tanto en la gerencia como a los empleados de cada área, para conocer a
fondo la investigación a realizar, recabando información acerca del procedimiento
de cada uno al momento de acceder a la información y al guardado de la misma,
obteniendo datos que serían muy difíciles de conseguir.
Instrumentos de Investigación
Guía de Entrevista
Es un instrumento para la recolección de información, un listado de posibles
preguntas que se lo utilizara para la entrevista que se realizara al personal de la
empresa acerca de las seguridades y privacidades de la información que tienen en
un orden cualitativo y cuantitativo, de una manera organizada.
Guía de Observación Directa
Esta guía permitirá tomar anotaciones acerca de la seguridad y privacidad de la
información, durante el acceso al servidor mediante un cliente para poder conocer
las seguridades que tiene y así tener una mejor compresión del procedimiento a
realizar.
47
Población y Muestra
La población es el conjunto de elementos a los que se refiere el estudio estadístico.
Cada elemento de la población se llama individuo. (Espuig, 2011, pág. 267)
La muestra es un subconjunto de la población. (Espuig, 2011, pág. 267)
Cuando la población es demasiado grande, estudiar todos sus elementos puede
ser inviable o poco operativo (en términos de tiempo, coste y recursos). En estos
casos, se toma la muestra representativa, se estudian los elementos de la muestra
y se generalizan los resultados a toda la población. (Espuig, 2011, pág. 267)
Población
La población que se tomara en cuenta en esta investigación será el personal interno
de la importadora Megatech la cual cuenta con 7 personas a la cuales a cada una
se le realizara la entrevista.
Tabla 1 población
Fuente: personal de la importadora Megatech
Autor: Rogelio Guerrero
Personas
Cantidad
Gerente Administrativo
1
Asistente de Gerencia
1
Financiera
1
Compras Publicas
1
Secretaria
1
Departamento Técnico
1
Atención al Cliente
1
Total
7
Muestra
La muestra es la parte representativa de la población. Para lo cual se ha tomado
el número total de la población para realizar la tabulación de los datos
48
correspondientes al análisis de resultados de la entrevista realizados en la
Importadora Megatech.
INTERPRETACIÓN DE RESULTADOS
La entrevista se realizara a la población total de la importadora Megatech, ya que
se beneficiara de manera directa a todo el personal que labora en la importadora.
Tabulación de datos de la entrevista
Tabla 2 entrevista al personal de la importadora Megatech
Fuente: personal de la importadora Megatech
Autor: Rogelio Guerrero
Entrevista
¿Ha tenido problemas al momento de ingresar al
servidor de la empresa?
¿Ha tenido problemas al momento de brindar
información a los clientes?
¿Al momento de guardar información en el
servidor de la importadora le ha causado
inconvenientes?
1
2
3
8
7
6
5
4
3
2
1
0
7
7
Si
No
Total
%
7
0
7
100
7
0
7
100
7
0
7
100
7
0
0
¿Ha tenido problemas al
¿Ha tenido problemas al
momento de ingresar al servidor momento de brindar información
de la empresa?
a los clientes?
0
¿Al momento de guardar
información en el servidor de la
importadora le ha causado
inconvenientes?
SI
7
7
7
NO
0
0
0
Figura 3 resultado de tabulaciones, pregunta 1, pregunta 2, pregunta 3
Fuente: personal de la importadora Megatech
Autor: Rogelio Guerrero
49
Análisis
1) El 100% de los empleados de la empresa nos dicen que ellos si tienen
problemas al momento de ingresar al servidor de la empresa reflejando en
sí, contratiempo y rendimiento en la productividad de la empresa
2) El total de los empleados nos dicen, que si tienen problemas al momento de
brindar información ya sea a sus clientes o información interna a sus mismos
compañeros de trabajo, causándoles molestias e incomodidad.
3) El 100% de los empleados entrevistados si han tenido problemas frecuentes
al instante de guardar alguna información en el servidor de la empresa.
Tabulación
Tabla 3 entrevista al personal de la importadora Megatech
Fuente: personal de la importadora Megatech
Autor: Rogelio Guerrero
4
5
6
Entrevista
¿Cuentan con usuario y contraseñas el servidor
al momento de ingresar?
¿Al no tener privacidades en la red, cree usted
que la información está segura para tercera
personas que se conectan en la red?
¿La red de la empresa ha presentado molestias
o ha colapsado al momento de conectarse
personal no autorizado?
50
Si No
Total
%
0
7
7
100
0
7
7
100
7
0
7
100
8
7
6
5
4
3
2
1
0
7
0
7
7
0
0
¿Cuentan con usuario y
contraseñas el servidor al
momento de ingresar?
¿Al no tener privacidades en la
red, cree ud que la información
esta segura para tercera
personas que se conectan en la
red?
¿La red de la empresa ha
presentado molestias o ha
colapsado al momento de
conectarse personal no
autorizado?
SI
0
0
7
NO
7
7
0
Figura 4 resultados de tabulaciones, pregunta 4 a la pregunta 6
Fuente: importadora Megatech
Autor: Rogelio Guerrero
Análisis
4) El 100% de los empleados entrevistados nos dicen, el servidor interno de la
empresa no cuenta con un usuario y contraseña para poder ingresar a la red
de la empresa, permitiéndoles que cualquier persona no autorizada o
persona particular ingrese al servidor con mucha facilidad, causándoles
inconvenientes a la misma empresa.
5) Todos los empleados de la empresa creen que al no tener privacidad en su
servidor la información no está cien por ciento segura pudiendo ser
manipulada por terceras personas, deduciendo inseguridad al momento de
no tener una adecuada privacidad en el servidor de la empresa como debe
ser correctamente.
6) Con el 100% de los entrevistados nos dan a reflejar, que si se les presenta
inconvenientes y hasta el colapso del sistema en el servidor de la empresa,
debido a que terceras personas no autorizadas intentan ingresar a la red de
la empresa.
51
Tabulación
Tabla 4 entrevista al personal de la importadora Megatech
Fuente: personal de la importadora Megatech
Autor: Rogelio Guerrero
Entrevista
Si
No
Total
%
7
0
7
100
7
0
7
100
7
0
7
100
¿Piensa usted que al no contar con un servidor
7 correctamente configurado le crea incomodidad y
lentitud en la atención?
¿Está de acuerdo que se implemente políticas de
8 privacidad para el acceso al servidor de la
empresa?
9
¿Es necesario implementar un servidor con
seguridad y servicios en la red de la empresa?
8
7
7
7
7
6
5
4
3
2
1
0
0
0
0
¿Piensa usted que al no contar
con un servidor correctamente
configurado le crea
incomodidad y lentitud en la
atención?
¿Esta de acuerdo que se
implemente políticas de
privacidad para el acceso al
servidor de la empresa?
¿Es necesario implementar un
servidor con seguridad y
servicios en la red de la
empresa?
SI
7
7
7
NO
0
0
0
Figura 5 entrevista al personal de la importadora Megatech
Fuente:personal de la importadora Megatech
Autor: Rogelio Guerrero
Análisis
7) Los datos nos reflejan que el 100% de los empleados de dicha empresa les
causas incomodidad y lentitud al momento de brindar alguna atención a sus
clientes o hasta sus mismos proveedores por no tener una correcta
configuración en el servidor de la empresa.
52
8) El 100% de los empleados de la empresa están totalmente de acuerdo de
que implementen políticas de privacidad para el acceso al servidor de la
empresa, debido que implementando dichas políticas el rendimiento de la
red y de la empresa aumentaría notablemente en sus servicios y atención.
9) Los empleados como parte esencial de la empresa y de la productividad de
ella están totalmente de acuerdo que se establezcan e implementen un
servidor con seguridad y servicios en la red, debido que así ellos
aumentarían su calidad de trabajo y satisfacción en ella.
PROPUESTA DEL INVESTIGADOR: MODELO, SISTEMA Y METODOLOGIA
La implementación del sistema de gestión de la seguridad de la información sobre
el servidor que se va a configurar ayudara a minimizar los riesgos y a mejorar la
seguridad de los datos mediante la confidencialidad, integridad y disponibilidad de
la información, al momento de acceder a la red interna y a los datos que se
encuentran en el servidor de la importadora Megatech.
Además ayudara a establecer las políticas que debe cumplir el personal al momento
de ingresar al servidor y al momento de trabajar en la red, así mismo se creara un
raid del servidor para poder tener un respaldo de la información.
El cual se desarrollara por etapas utilizando el modelo PDCA o cilio Deming que lo
estipularemos a continuación.
Modelo PDCA
Con el modelo PDCA (planificar- hacer – verificar – actuar) nos permitirá determinar
las etapas en las cuales se va a implementar el Sistema de Gestión de la seguridad
de la información, asegurando que los datos de la empresa siempre sean
confiables, íntegros y que estén disponibles cuando el personal lo desee.
53
 P = Plan = Planifica = prepara a fondo
 D = Do = Efectuar = hacer, realizar
 C = Check = Verificar
 A = Act = Actuar = Verificar.
Planificar
Actuar
Hacer
Verificar
Figura 6 ciclo de vida del SGSI
Fuente: gestión integral de la calidad
Autor:Rogelio Guerrero
Definición de Requerimientos
Los servicios, restricciones, objetivos y metas son establecidos con el personal de
la importadora, buscando una definición en detalle y sirve como una especificación
para el SGSI
Diseño
El Diseño del SGSI se compone de las siguientes partes: se descompone la
documentación recopilada mediante técnicas de investigación aplicadas y se
agrupa de forma ordenada, mediante los controles que nos presenta la ISO 27001
se elaborara las políticas y seguridades que va a llevar al momento de acceder al
servidor.
54
Implementación
La implementación se realizara de una manera ordenada, se documentara y
capacitara al personal sobre las políticas que tiene que seguir para acceder al
servidor y al servicio de red que se configurara en la importadora Megatech.
Pruebas
Se somete a pruebas el Sistema de Gestión de la Seguridad de la Información sobre
el servidor con la conexión de una maquina externa y de esta manera probar si
cumple con las políticas que se implementaron sobre las seguridades en el servidor
y servicio de red en la importadora Megatech o tienen algún error.
Mantenimiento y Mejora Continua
Todo sistema de Gestión de la seguridad de la información requiere de un
mantenimiento y mejora continua, la norma ISO 27001, lo estable en el SGSI.
El ciclo de Vida PDCA presenta etapas de mejoramiento, el sistema se implementa
y se pone en funcionamiento practico, el mantenimiento implica corregir errores no
descubiertos en la etapa de implementación, el SGSI siempre necesita un
monitoreo constante para mejorar las políticas de seguridad y mejorar los controles
implementados Etc.
55
CONCLUSIONES PARCIALES DEL CAPÍTULO II
La importadora Megatech ha crecido a pasos agigantados los últimos años, en
cuanto a ventas mediante el portal de la SERCOP, así mismo dejando sus datos
vulnerables en la red para cualquier usuario que ingrese los pueda manipular.
Con los procesos metodológicos se agrupa la información necesaria, mediante la
entrevista y la observación se conoció los problemas que presenta la importadora
Megatech, y así lograr minimizar, afrontar o aceptar estos problemas.
La población es el personal interno de la empresa, por tal motivo fueron
encuestados todos en su totalidad, una vez obtenido los resultados se pudo verificar
que existe una problemática en cuanto a la seguridad de la información.
El SGSI se desarrolla utilizando el modelo PDCA donde se divide por etapas su
implementación, el cual ayudara con la seguridad de los datos, logrando obtener
una información confidencial, íntegra y que siempre esté disponible cuando el
personal de la importadora Megatech necesite acceder a ella.
56
CAPÍTULO III
VALIDACIÓN Y/O EVALUACIÓN DE LOS RESULTADOS DE LA
APLICACIÓN
INTRODUCCIÓN
Debido al gran crecimiento tecnológico, la Información lógica en una empresa son
los activos más valiosos que tiene hoy en día, siendo así que las seguridades de la
información son muy requeridas para el apoyo y protección de la información en las
organizaciones. Desde esta perspectiva debe ser absolutamente claro que toda
organización requiere de seguridades para la protección de su información.
OBJETIVOS
Objetivo general
Diseñar un Sistema de Gestión de la Seguridad de la Información basado en la
norma ISO 27001 sobre un servidor CentOS y servicios de Red para el apoyo de la
seguridad de la información de la Importadora Megatech.
Objetivos específicos
 Realizar un diagnóstico inicial de los controles existentes, así como las
políticas de seguridad que se utilizan actualmente en la importadora
Megatech
 Instalar y configurar servidor CentOS y servicios de Red para implementar
el SGSI para el apoyo de la seguridad de la información
 Realizar un análisis para construir el SGSI sobre el servidor y los servicios
de red en base a la información recaudada en el capítulo II.
 Analizar y evaluar los riesgos que presenta el servidor después de haberlo
instalado y configurado.
57
 Mediante el modelo PDCA el cual consta de cuatro etapas del sistema,
realizar las etapas de implementación, diseñar e implementar el SGSI sobre
el servidor con sus servicios de red donde se va a configurar con su firewall,
proxy, DHCP y Samba.
 Realizar la validación de la hipótesis y las conclusiones del capítulo.
DESARROLLO DE LA PROPUESTA
Antes de la implementación del SGSI para la solución de la problemática, se iniciara
con el diagnostico de los equipos que manipulan la información de la empresa,
verificar si existen niveles de seguridad para acceder a los datos, la estructura de
la red y las Políticas o controles existentes.
SEGURIDAD DE LA INFORMACIÓN ACTUALMENTE EN LA IMPORTADORA.
Para implementar los controles que nos brinda la norma ISO 27001 del SGSI, se
realiza un análisis previo para determinar el grado de seguridad, confidencialidad,
integridad y disponibilidad de la información, y determinar como la vienen
salvaguardando.
Se puede constatar que no existe control alguno para salvaguardar la información,
las estaciones de trabajo que se utilizan para acceder a la información que se
encuentra en el computador con XP que hace la función de servidor no cuentan con
seguridades como una contraseña y usuarios invitados, la máquina con XP
tampoco cuenta con alguna seguridad para que accedan a ella con privilegios, al
momento que un usuario se conecta a la red tiene acceso a toda la información de
la importadora, permitiendo que se encuentre en Riesgo de que sea manipulada o
eliminada.
Contraseñas
Las maquinas no cuentan con identificación ni autentificación (usuario y
contraseña) para acceder al computador ni para acceder a la información, el
58
personal de la importadora no cuenta con privilegios para acceder a la información,
de manera que cualquier usuario no autorizado conectado en la red puede
modificar, eliminar la información.
Red interna
La importadora Megatech dispone de un Red LAN conectados a través de un
Switch y un Router que están conectados al internet que nos proveen, dispone de
10 equipos que serán descritos a continuación.
Tabla 5 inventario de equipos de la importadora Megatech
Fuente: importadora Megatech
Autor: Rogelio Guerrero
Inventario de Equipos
N° de
Departamento
Equipos
Gerente
1
Asistente de Gerencia
1
Compras Publicas
1
Financiero
1
Secretaria General
1
Departamento Técnico
1
Ventas
1
Servidor
1
Impresora b/n
1
Impresora Color
1
Total 10
Dirección IP
DHCP
DHCP
DHCP
DHCP
DHCP
DHCP
DHCP
DHCP
DHCP
DHCP
La importadora no cuenta con todas la maquinas cableadas, 6 máquinas se
conectan inalámbricamente al Router lo cual produce demasiadas molestias al
personal de la importadora, ya que tienen conflictos de direcciones IP, y se
desconectan de la Red a cada momento.
En el departamento técnico se encuentra ubicado el Computador XP que tiene
todos los datos de la empresa, pero no cuenta con una configuración apropiada
para acceder al mismo, dejando así vulnerable toda la información en la RED.
No existen controles ni políticas de seguridad donde se administren las maquinas
conectadas a la red o las direcciones IP de cada máquina, donde se pueda
59
gestionar, minimizar y evaluar los riesgos que presenta en cuanto a la
confidencialidad, integridad y disponibilidad de la información.
Acceso a la WEB
Por el momento no existe una administración en cuanto al acceso a la WEB, todos
los usuarios que se conectan a la RED tienen acceso a internet libremente sin
restricciones lo que produce que el personal se distraiga en redes sociales o
páginas no debidas en horas de trabajo lo que produce pérdidas económicas para
la importadora ya que ellos tienen que estar a la caza de cualquier proceso de
compras públicas de la SERCOP.
Cableado antes de la implementación. VER ANEXO 4
Esquema general de la Red Interna de la importadora Megatech.
60
61
Figura 7 estructura de la red de la importadora Megatech
Autor: Rogelio Guerrero
61
Antivirus
Las computadoras de la importadora Megatech cuentan con licencias gratuitas de
antivirus como el Avast y el Eset Smart Security, las mismas que se actualizan a
través de internet.
No se realizan escaneos periódicos en busca de virus en el computador que cumple
la función como servidor ni en las computadoras que se utiliza para acceder a la
información no existe un política donde se designe a un responsable que se
encargue de realizar estos cheques por lo que se tiene problemas frecuentes con
virus.
Control de aplicaciones en PC’s
Actualmente cualquier usuario puede instalar aplicaciones, programas o software,
ya que no existe un control ni procedimientos a seguir o alguna documentación
respecto a que políticas seguir para instalar alguna aplicación o actualización de la
configuración de las PC’S. Solo existen instalaciones básicas de Windows y llenas
de aplicaciones innecesarias tampoco hay una respectiva actualización de
programas instalados, como el office, el lector de pdf, ni los servi packs de Windows
o aplicaciones.
No existe un documento o políticas escritas de actualización de programas,
tampoco se documenta ningún cambio realizado, por lo tanto el usuario instala
cualquier programa que desee, llegando a instalar aplicaciones maliciosas que
causan que el computador no funcione correctamente.
Control de acceso a los equipos
Hasta el momento no se sabe si ha existido robo de información, ya que no existe
una política que administre el control de acceso a los equipos, no se realiza un
control periódico sobre los dispositivos de hardware instalados en los equipos ni en
62
la máquina que hace la función de servidor de manera que podrían sacar o poner
alguna.
Una vez que se instaló el equipo no se realiza un chequeo periódico o rutinario,
solo se revisa cuando se encuentran muy lentas por virus o cuando el usuario
reporta algún problema o falla. La máquina que hace la función de servidor y la Red
inalámbrica no se la apaga en horarios no laborales, dejando que cualquier persona
que hackee la red tenga acceso a toda la información no existiendo una
confidencialidad de la misma.
Dispositivo de soporte
En la importadora Megatech dispone de los siguientes dispositivos para el soporte
de los equipos informáticos:
 Cada computador tiene su propio UPS, que durante un apagón o una falla
de corriente le da aproximadamente 5 minutos de energía para poder
resguardar la información y poder apagar el computador correctamente para
que no sufra daño alguno
 La importadora Megatech cuenta con una conexión a tierra que ayuda que
las computadoras no sufran alguna descarga eléctrica
Responsables de la seguridad de la información Y equipos
No existen usuarios responsables que se encarguen de administrar y dar seguridad
a la información, para que esta mantenga su confidencialidad, integridad y
disponibilidad en su ciclo de vida, existe un responsable general del departamento
técnico, que solo revisa las maquinas cuando el personal le hace conocer que
existe algún problema.
El personal se comunica de forma verbal con el encargado general, no existe un
registro de cada requerimiento que se desea, ya que no se cuenta con un
mantenimiento preventivo periódicamente.
63
Backup
Cuando se realiza un cambio en la configuración de la máquina que contiene la
información, no se guardan copias de la configuración anterior, ni se documenta los
cambios que se procedieron a hacer, ya que no existe un responsable.
La importadora no cuenta con un RAID para tolerar algún fallo en el Disco que
contiene la información y esta pueda seguir disponible cuando el personal desee el
acceso a ella.
INSTALACIÓN DEL SERVIDOR.
Con las metodologías empleadas se determinó que CentOS 5.5 es el más estable,
y que tiene el firewall más poderoso si no decir el número en cuanto a software,
soportando la instalación de todos los servicios que se van a implementar para la
seguridad de la información en un mismo Computador, permitiendo implementar el
SGSI basado en la norma ISO 27001 sobre el servidor y los servicios de RED para
el apoyo de la seguridad de la información.
Instalación de CentOS con el RAID 1 VER ANEXO 6
Figura 8 CentOS instalado
Autor: Rogelio Guerrero
64
Una vez que se tenga instalado el servidor CentOS, se procede a instalar y
configurar los servicios que se van a utilizar, los cuales son: Samba, DHCP, Proxy
y el Firewall.
Instalación y configuración del servicio samba
Primero se crea los usuarios y sus contraseñas en el servidor.
Figura 9 creación de usuario y contraseña
Autor:Rogelio Guerrero
Mediante un terminal con la herramienta yum se procederá a la instalación de
samba.
Figura 10 instalación de samba
Autor: Rogelio Guerrero
65
Una vez instalado samba se procede a editar el archivo smb.conf que se instaló,
dando privilegios a los usuarios para que puedan acceder a la información.
Figura 11 accedemos al archivo de samba smb.conf
Autor: Rogelio Guerrero
Se configura el nombre del grupo de trabajo y el nombre del Servidor que se va a
visualizar en la Red, y las carpetas con privilegios a usuarios.
Figura 12 configuración grupo de trabajo
Autor:Rogelio Guerrero
Figura 13 creación de carpetas y privilegios a usuarios
Autor:Rogelio Guerrero
66
Instalación del servicio DHCP
Figura 14 instalación del servicio DHCP
Autor:Rogelio Guerrero
Una vz instalado el servicio DHCP se configura el archivo dhcpd.conf donde se da
los parametros que lleva la Red interna, como direcciones IP, mascara de Red, y
DNS si es necesario etc.
Tambien se deja libre 10 IP dinamicas para las portatiles, celulares o tablets de los
proveedores o clientes que deseen acceder a la WEB en su visita a la importadora
Megatech.
67
Figura 15 configuración del servicio DHCP
Autor:Rogelio Guerrero
Las maquinas que acceden a la infromación sera controladas mediantes IP fijas
que las administrara el servidor, evitando los conflictos de direcciones IP ya que las
IP van amarradas con cada MAC de cada maquina.
Figura 16 configuración IP + MAC
Autor:Rogelio Guerrero
Instalación y configuración del proxy
El proxy se configura mediante el servicio squid.
68
Figura 17 instalación del servicio squid
Autor:Rogelio Guerrero
Una vez instalado el servicio squid se configura el archivo squid.conf el cual es
para negar ciertas extensiones de la WEB, permitiendo aprovechar mejor el uso del
ancho de banda que se disponga, se lo realiza mediante una lista de control de
acceso que coincidan con las extensiones que se desea negar el acceso.
Figura 18 configuración recomendada squid
Autor:Rogelio Guerrero
69
Dentro de la carpeta de squid, se crean los listados de control de acceso ACL donde
se bloquean extensiones de páginas como, redes sociales entre otras, el cual ayuda
a la administración del acceso a la WEB.
Figura 19 primer ACL prohibido
Autor:Rogelio Guerrero
Figura 20 segundo ACL redes sociales
Autor:ROgelio Guerrero
Una vez creado los ACL, necesitan ser llamados desde el archivo de configuración
squid.conf.
Figura 21 llamamos nuestras ACL
Autor:Rogelio Guerrero
Se comprobara el pedido de la red local a la WEB.
70
Configuración de firewall o cortafuegos.
CentOS permite crear sus propias reglas, su propio firewall, utilizando las
IPTABLES, la configuración del firewall por software permite el reenvió de paquetes
de internet que llegan al servidor hacia la red local, se puede administrar las páginas
mediante el puerto seguro tcp/443.
Figura 22 configuración iptables
Autor:Rogelio Guerrero
Figura 23 reenvío de paquetes
Autor:Rogelio Guerrero
71
Figura 24 administración del puerto tcp/443
Autor:Rogelio Guerrero
INSTALACIÓN CABLEADO ESTRUCTURADO.
Para mejorar la conexión de la Red interna se cambia la estructura de la Red, para
que todas las maquinas se conecten vía cable al servidor que se configura y no
tengan problemas de conexión.
A continuación se detalla los implementos que se usa. VER ANEXOS 5
Tabla 6 detalle de implementos de red
Autor:Rogelio Guerrero
Descripción
Switch 16 puertos
Patch Panel 24 Puertos
Organizadores de Cables
Racks Pequeño
Jack y Conectores Rj45 Cat 6
Cable UTP Next Cat 6
Access Point
Canaletas
Cajetines de red
Nuevo esquema de la Red interna de la importadora Megatech.
72
73
Figura 25 nuevo esquema de la red interna
Autor:Rogelio Guerrero
73
IMPLEMENTACION DEL SGSI
La ISO 27001 cuenta con 14 dominios y 114 controles para la seguridad de la
información, la ISO 27001 le da prioridad al Sistema de Gestión, lo cual de todos
los controles que existen se selecciona los que ayuden a reducir los riesgos que se
presenten durante la implementación del SGSI.
Método PDCA
Figura 26 ciclo de vida del SGSI
Fuente: gestión integral de la calidad
Autor::Rogelio Guerrero
El SGSI es una Decisión estratégica para minimizar los riesgos que se presentan a
la información de la organización.
74
Etapas de implementación.
Figura 27 etapas de implementación del SGSI
Fuente:gestión integral de la calidad
Autor:Rogelio Guerrero
El propósito del SGSI es garantizar que los riesgos de seguridad serán conocidos,
asumidos, gestionados y minimizados por la importadora de una forma
documentada.
Uno de los fundamentos del diseño del SGSI es la elaboración de las políticas de
seguridad informática a aplicarse a los procesos que se realicen al servidor con sus
servicios de red, lo cual de los controles y dominios que cuenta la ISO 27001 se
escoge los que más convengan para que se pueda realizar el SGSI y así se pueda
reducir las vulnerabilidades y amenazas que existen, logrando mantener siempre
la confidencialidad, integridad y disponibilidad de la información.
75
Los pasos para la implementación en las etapas son los siguientes:
 Alcance del SGSI
 Políticas de seguridad
•
Marco general
•
Objetivos
•
Alcance
•
Responsabilidades
•
Objetivos de los dominios de la ISO 27001
 Metodología de evaluación de riesgos
 Identificar los activos
•
Vulnerabilidades y Amenazas
 Analizar y evaluar los riesgos
 Selección de Controles
 Aplicabilidad del SGSI
 Definir plan de tratamiento de los riesgos
 Implantar plan de tratamiento de los riesgos
 Implantación de Controles
ETAPA 1 PLANIFICAR
ALCANCE DEL SGSI
En la importadora Megatech es necesario el uso de sistemas de información,
servicios informáticos e información almacenada en el servidor y los servicios de
red para acceder a la misma.
El alcance del SGSI de la importadora MEGATECH será de la siguiente manera:
 Información Implicada.
Procesos financieros tales como registro de pagos, información financiera,
contable, información de cobros y demás procesos relacionados
76
Procesos administrativos tales como nomina, activos fijos y demás procesos
relacionados.
Procesos de compras públicas tales como procesos de la SERCOP o demás
procesos relacionados.
Procesos de ventas tales como facturación al cliente final, inventarios, y
demás procesos relacionados.
Servicio de red para la autorización a computadores de la importadora
 Sistemas de Información.
El sistema de información gestionado por este sistema es el siguiente:
o Sistema Contable Mcount.
o Servicio de RED (Proxy, FIREWALL, DHCP)
POLÍTICA DE SEGURIDAD
Marco general
En la actualidad la información es el bien más preciado de una organización motivo
por el cual la información debe ser sumamente protegida contra amenazas y
riesgos. Todo cambio que suceda será reportado a la gerencia general y
comunicado al personal antes de ser implementado.
La política de seguridad intenta reducir, aceptar, transferir o evitar al máximo los
riesgos y proteger de las amenazas que estén asociados con la información, el éxito
de la política radica con el compromiso de las autoridades de la importadora, y
asimismo una difusión de las mismas, a todo el personal involucrado para que
exista un serio compromiso de parte de ellos.
77
Objetivo de la Política
Proteger la información de la importadora al más alto grado posible como activo
más importante, además los sistemas que procesan la información al servidor
mediante los servicios de red, con el fin de asegurar el cumplimiento de la
disponibilidad, confidencialidad e integridad de la información, minimizando al
máximo los riesgos que la afecten.
Alcance
Esta política se aplica a todo el entorno dentro de la importadora Megatech en el
que se manipule información, principalmente en el servidor que se configura, ya
que en él se concentra toda la información, así como las computadoras conectadas
a las Red que intervengan la información, en el desarrollo de estas políticas debe
definir los términos y condiciones en cuanto a la manipulación de la información.
Responsables
Todo el personal y gerente de la importadora son responsables de cumplir las
políticas de seguridad de la información para la manipulación de la misma, a
continuación se detallan los actores principales.
 Oficial de Seguridad
Será el encargado de la administración de la seguridad en el servidor y los
servicios de red en la importadora y demás tareas sobre el mismo, y
responsable de supervisar las políticas de seguridad que se encuentran
presente, también estará encargada de delegar tareas que estén
relacionadas a satisfacer los requerimientos de seguridad de la información
detallados en estas políticas.
78
 Administrador de la Información
El administrador de la información es responsable de clasificar y catalogar la
misma según su confidencialidad, mantener actualizada esta información
determinando específicamente el nivel de acceso que tiene cada personal
para tener una integridad en la información, y que siempre se encuentre
disponible para el personal a necesitar.
 Coordinadora
Sera la responsable de publicar o notificar a todo el personal involucrado
sobre las políticas implementadas y cualquier cambio o modificación que se
haya hecho.
 Usuarios de la Información y de los sistemas
El personal es responsable de conocer, cumplir y fomentar el cumplimiento
de las políticas, es responsable de llevar acabo cada política de seguridad
que se encuentra establecido para el acceso a la información que se
encuentra en el servidor mediante los servicios de red de la importadora.
Dominios de la ISO 27001
En conformidad con las políticas de seguridad la ISO/IEC 27001 incluirá los
objetivos de sus 14 dominios.
5 Política de Seguridad de la información
El principal objetivo de la política de seguridad de la información es cumplir con sus
tres principios que son, la confidencialidad, integridad y disponibilidad de la
información, resguardando la información al máximo posible.
 La información tiene que ser confiable a todo momento
79
 Garantizar que accedan a la información solo personal autorizado.
 Asegurar que la información sea completa y valida durante su ciclo de vida.
 Capacitar a todo el personal sobre las seguridades de la información y su
obligación de cumplirlas.
 El oficial de seguridad será el encargado de mantener y mejorar las políticas
de seguridad de la información
 Garantizar que todas las vulnerabilidades y amenazas de la información
sean tratadas
6 Aspectos Organizativos de la seguridad de la información
Para la administración de la seguridad de la Información, se definirá que el Gerente
es el que aprobara las nuevas políticas o cambios en la misma, la cual reportara
directamente la coordinadora de la seguridad para que estas sean puestas en
marcha lo más pronto posible, el oficial de la seguridad impulsara el cumplimiento
de las mismas.
Debe existir un documento que sirva de constancia de las funciones que deben
cumplir anteriormente detalladas.
7 Seguridad ligada a los recursos humanos
El principal objetivo de este control es gestionar los riesgos derivados al error
humano, uso no autorizado de la información o uso inadecuado de los equipos o
que la administra.
El personal de la importadora deberá ser informado desde el momento que se lo
contrata de las responsabilidades y derechos en materia de uso de la seguridad de
la información, garantizando que los usuarios involucrados estén al tanto de las
amenazas en materia de la seguridad de la información y que se encuentren
capacitados para el cumplimiento de las políticas de seguridad en el transcurso de
sus tareas normales, también se establece un compromiso de confidencialidad en
80
todos los usuarios que tengan acceso a la información con el fin de gestionar los
riesgos si estos llegaran a ocurrir.
8 Gestión de activos que se conectan al servidor y servicios de red
La información del servidor y todos los servicios que presente el mismo, deberán
estar bien clasificados según su nivel de confidencialidad y criticidad para el acceso
a la misma, garantizando que los activos de información reciban un adecuado nivel
de protección.
9 Control de accesos
EL acceso a la información del servidor, deberá ser restringido de acuerdo con los
requerimientos y privilegios de control establecidos por el Oficial de seguridad,
dicho acceso estará asegurado a través de procesos de autentificación y
autorización.
Los principales objetivos son:
 Evitar el acceso no autorizado a los activos de la información, sistemas de
información y a la información de la importadora.
 Establecer la seguridad en el acceso de los usuarios a través de técnicas de
autenticación.
 Controlar la seguridad entre conexión de la red interna y el internet.
 Capacitar al usuario para que haga conciencia de la importancia del uso de
contraseñas en los equipos.
 Mantener las contraseñas en secreto
 Garantizar el acceso a la información al utilizar conexiones remotas.
81
10 Cifrado
El fin de este objetivo es asegurar la confidencialidad e integridad de la información
mediante el uso de sistemas y técnicas criptográficas en base al previo análisis de
los riesgos, todo esto en base a las políticas sobre el uso de controles criptográficos.
11 Seguridad Física y Ambiental
Proteger adecuadamente los equipos que procesan la información de la
importadora, tanto el servidor donde reside toda la información como los
computadores que la manipulan, dispositivos que prestan los servicios de red y
demás, evitando accesos no autorizados, daños e interferencia para los datos de
la organización.
12 Seguridad en la operativa
Asegurar que los equipos que manipulan o acceden a la información operen
correctamente, garantizando la integridad de los sistemas operativos, asegurando
que la información al momento de ser procesada esté protegida contra malware o
virus, evitando la pérdida de datos, logrando gestionar vulnerabilidades técnicas.
13 Seguridad en las telecomunicaciones
Proteger la información, de la manipulación en la red, garantizando que siempre se
encuentre disponible y que el uso de la misma sea siempre segura, gestionando
los riesgos presentes mediante controles especiales a fin de asegurar la
confidencialidad de la información transmitida a través del internet o través de redes
inalámbricas que permiten resguardar la información como bien más preciado de la
importadora Megatech.
82
14 Adquisición, desarrollo y mantenimiento de los sistemas de información
Se deberá prevenir manipulaciones inadecuadas o eliminación de la información
del servidor, a lo cual se incluirá mediante todo el ciclo de vida de la información
pruebas, mantenimientos y copias de seguridad con el fin de evitar pérdidas de la
misma
Es importante que los principios de seguridad de la información sean incorporados
a los equipos de procesamiento en todo su ciclo de vida, garantizando que en el
desarrollo de los sistemas de información los equipos de procesamiento duren todo
el ciclo de vida de los datos.
15 Relaciones con suministradores
El objetivo es proteger los activos de la importadora Megatech que sea accesible
para los proveedores, manteniendo un nivel de seguridad de la información, de la
prestación de servicio que nos brindan cada proveedor.
16 Gestión de incidentes en la seguridad de la información
El objetivo primordial es que exista comunicación entre el personal involucrado con
la información para garantizar un enfoque razonable cuando se presente un
incidente en el servidor o en la red, minimizando estas vulnerabilidades o
amenazas.
17 Aspectos de seguridad de la información en la gestión de la continuidad
del negocio
El objetivo principal es minimizar los riesgos más críticos en la importadora en el
procesamiento de información ya sean estos temporales o permanentes, desastres
naturales o accidentales, asegurando la disponibilidad de la información, asimismo
todas las normas internas se deberán evaluar y asegurar su cumplimiento para
lograr mantener la continuidad del negocio.
83
18 cumplimientos
Controlar el cumplimiento de las obligaciones legales sobre las políticas de
seguridad de la información, con el fin de evitar sanciones administrativas al
personal, garantizando que la implementación de la seguridad de la información
sea aplicada de acuerdo a las políticas y procedimientos de la importadora,
revisando periódicamente las políticas con el fin de asegurar que estas políticas de
seguridad no estén siendo incumplidas.
METODOLOGÍA DE EVALUACIÓN DE RIESGO
Se puede elegir cualquier metodología, la norma ISO 27001 exige que dicha
metodología muestre resultados semejantes, donde cada activo de la información
se le debe identificar todas las vulnerabilidades y amenazas existentes, la
posibilidad de la ocurrencia y la posibilidad de que dicha amenaza se materialice
dependiendo de la vulnerabilidad existente.
Debido a la gran importancia que tiene la información en la importadora, se optara
por utilizar la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información), esta permitirá saber que activo de la información
está en riesgo y ayudara a gestionarla y protegerla. Con MAGERIT no existe lugar
a la improvisación se persigue una aproximación metódica al análisis de riesgo para
el SGSI.
 Describir los activos importantes para la importadora sobre el servidor y
servicios de red
 Describir los valores que se utilizaran sobre los activos
 Valorar la confidencialidad integridad y disponibilidad de los activos
 Identificar las vulnerabilidades y amenazas sobre los activos
 Valorar el impacto del daño sobre el activo cuando la amenaza se materialice
84
IDENTIFICACIÓN DE ACTIVOS
Para la identificación de los activos que intervienen sobre el servidor y los servicios
de red se utilizara datos proporcionados por el técnico encargado de la importadora
MEGATECH.
Tabla 7 identificación de activos
Autor: Rogelio Guerrero
Activos
Documentación y Registro
Auxiliares
Sistemas Operativos
Paquetes de Programas o
software estándar
Computadoras de Oficina
Servidor y Servicios de RED
Medios Extraíbles
Red Local
Correo Electrónico
Empleados





































Descripción
Actas
Documentación de proceso Sercop
Contratos con los clientes
Contratos con los proveedores
Facturas
Memos
Oficios
Reglamento del SRI
Inventario
Información Financiera
Suministros de Oficina
Linux CentOS 7
Windows 7
Windows 8.1
Antivirus
Software contable Mcount
Paquete de Office
Estaciones de trabajo
Cortafuego (firewall)
Samba
DHCP
Proxy (squid)
Base de datos del Sistema contable s.a
DVD-ROM
Disco Duro extraíble
Memoria extraíble
Cableado Estructurado
Wifi
Switch
Router
Tecnología Ethernet
Skype
Correo electrónico interno
Gerente Administrativo
Asistente de Gerencia
Financiera
85
Activos




Descripción
Compras Publicas
Secretaria
Atención al Cliente
Departamento Técnico
ESCALA DE VALORES DE LOS RIESGOS
Se elegira una escala detallada con los tres elementos principales de la norma ISO
27001 (confidencialidad, integridad, disponibilidad).
Tabla 8 confidencialidad
Autor: Rogelio Guerrero
Valores
1
Confidencialidad
Publica
2
Interna
3
Secreto
4
Alta Confidencialidad
Descripción
Puede ser proporcionado a terceras
personas
Puede ser revelada dentro de la
importadora
Puede ser revelada a partes específicas
y departamentos de la importadora
Solo puede ser revelado a partes
específicas, en la importadora
Tabla 9 valores integridad
Autor:Rogelio Guerrero
Valores
1
Integridad
No necesaria
2
Necesaria
3
Importante
Descripción
No hay problemas solo para consultas
Problemas si el contenido fuera
manipulado, pero no afectaría mucho a
los procesos de la importadora.
Efecto fatal para los procesos de la
importadora si la integridad se perdiera
Tabla 10 valores disponibilidad
Autor: Rogelio Guerrero
Valores
1
Disponibilidad
Bajo
2
Medio
3
Alto
Descripción
Si la información no está disponible no
afecta a los procesos de la importadora
Si la información no está disponible en el
servidor se usaría métodos alternativos
para usar la información.
Si la información no está disponible,
cuando se la necesita sería fatal para los
procesos que realiza la importadora
86
VALORACIÓN DE ACTIVOS
Para valorar los activos de información se realizara una conversa directamente con
el personal que conoce la importancia de la información y así poder determinar los
niveles de confidencialidad integridad y disponibilidad que requiere cada proceso
para almacenar o acceder a la información del servidor
Tabla 11 valoración de activos
Autor: Rogelio Guerrero
Activos
Documentación y
Registro
Elementos
Valores
Confidencialidad
3
Integridad
3
2
Disponibilidad
Auxiliares
Confidencialidad
1
Integridad
2
Disponibilidad
1
Confidencialidad
4
Sistemas
Operativos
3
Integridad
87
Descripción
La información contiene datos
de los clientes, proveedores y
procesos de ventas, es
necesario
que
los
departamentos
tengan
acceso a ella.
Los documentos de la
importadora almacenada en
el servidor no pueden ser
manipulados sin autorización
La información debe estar
disponible
en
cualquier
momento que lo requiera el
departamento autorizado a
ella
No
se
requiere
de
confidencialidad
los
suministros a utilizar.
Los suministros a utilizar no
deben ser manipulados ya
que puede ocasionar que el
equipo
no
funcione
correctamente
Solo en las horas de trabajo,
si falla alguna pieza fuera de
la hora de trabajo no se tiene
inconvenientes
La información que se
encuentra en el servidor es
personal la cual debe ser muy
protegida
La
información
de
los
procesos o pliegos que realiza
la importadora deben ser los
correctos.
Activos
Elementos
Valores
3
Disponibilidad
Paquetes de
Programas o
software estándar
Confidencialidad
1
Integridad
2
Disponibilidad
2
Confidencialidad
3
Computadoras de Integridad
Oficina
3
Disponibilidad
2
Confidencialidad
4
Servidor
y
Servicios de RED Integridad
3
Disponibilidad
3
1
Confidencialidad
Medios Extraíbles
Integridad
2
Disponibilidad
3
88
Descripción
El servidor debe estar
disponible las 24 horas del día
para un excelente desempeño
de la importadora.
No son confidenciales ya que
son estándares.
La aplicación o software no
debe tener errores
La aplicación debe estar
operacional las horas de
trabajo.
La información almacenada
en las PC debe ser vista
únicamente por el respectivo
usuario
Es necesaria la información
almacenada especialmente si
es de algún trámite realizado
o por realizar
Disponible para que el
personal pueda acceder a la
información durante horas de
trabajo
Solo
personal
de
departamentos
específicos
pueden
acceder
a
la
información del servidor.
La información del servidor no
puede ser modificada mucho
menos
eliminada
sin
autorización, puede ocasionar
perdidas económicas a la
importadora.
El servidor debe estar
funcional las 24 horas del día
para o afectar al respaldo y
tener siempre disponible la
información que se requiera.
No
se
requiere
de
confidencialidad
Los archivos que sean de la
importadora no deben ser
manipulados
Archivos sacados de la
importadora que se trasladen
en un medio extraíble debe
estar siempre disponible
Activos
Elementos
Valores
Confidencialidad
2
Integridad
2
Disponibilidad
3
Confidencialidad
4
Red Local
Correo Electrónico
Integridad
2
Disponibilidad
2
Confidencialidad
2
Integridad
1
Empleados
2
Disponibilidad
Descripción
Las medios de comunicación
no pueden ser interceptados
para que la información no
sea desviada
Que
los
servicios
de
comunicación no fallen en
horas de trabajo
Siempre disponibles ya que
se necesita acceder o guardar
información
siempre
al
servidor
Se
debe
manejar que
departamento accede a la
información ya que mediante
el correo se puede estar
fugando información
Los datos no pueden ser
manipulados al momento de
enviar por correo pero si se
diera el caso se vuelve a
utilizar el original
El correo electrónico de la
empresa debe ser utilizado
solamente en horas de
trabajo.
La información debe ser
manejada en horas de trabajo
No hay relación.
Deben estar disponibles en
horas de trabajo para resolver
cualquier problema que se le
presente
IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES
El objetivo es identificar las amenazas que pueden explotar las vulnerabilidades
que existen en cada activo de la información.
Tabla 12 amenazas y vulnerabilidades
Autor: Rogelio Guerrero
Activo
Amenazas
Modificación Documentos
Accidentes imprevistos
89
Vulnerabilidades
Falta de Capacitación
Desconocimiento
de
información
la
Activo
Documentación
y Registro
Amenazas
Acceso no Autorizado
Ingreso no autorizado a los
registros
Manipulación
de
los
registros de la importadora
Destrucción de Documentos
y registros
Vulnerabilidades
Falta de control
Falta de control
Falta de conocimiento
Errores de los empleados,
almacenamiento
no
protegido
Cambio de ubicación de la Falta de control
documentación
Divulgación
de
la Falta de políticas
documentación y registros
Manipulación del suministro
Errores de administración
Mal uso del suministro
Auxiliares
Falta de control
Falta de conocimiento
Falta de capacitación al
personal
Ausencia de conexión al Funcionamiento no confiable
suministro
de los UPS
Abuso de privilegios
Sistemas
Operativos
Paquetes de
Programas o
software
estándar
Falta de conocimiento de las
políticas de seguridad
Acceso no autorizado
Falta de control de acceso
Errores de administración
Falta de conocimiento de
políticas de seguridad
Propagación de software Falta de actualización de
malicioso
antivirus
Suplantación de la identidad Falta de control de usuarios
de usuarios
Ataque de virus
Falta de antivirus
Manipulación de programas Falta de conocimiento de
políticas de seguridad
Desinstalación
de Falta
de
control
de
programas
administración
Desactualización
de Falta
de
control
de
antivirus y programas
mantenimiento
Acceso no autorizados a Falta de control de acceso
programas
Manipulación de programas Falta de control de accesos
Errores de usuarios
Falta de capacitación al
personal
Suplantación de identidad
Falta de control de usuarios
Manipulación
configuración
Computadores
de
90
de Falta de control de acceso
los
Activo
Computadoras
de Oficina
Servidor y
Servicios de
RED
Medios
Extraíbles
Red Local
Amenazas
Uso inapropiado
Vulnerabilidades
Falta de conocimiento del
personal
Fuego
Falta de protección contra el
fuego
Acceso no autorizado a los Falta de control de acceso
Computadores
Instalación de autorizada de Falta de conocimiento de las
software
políticas de seguridad
Ataque destructivo
Falta de protección física
Robo
Falta de protección física
Falta de energía
Funcionamiento no confiable
de los UPS
Manipulación de archivos de Falta de control de acceso
registros
Manipulación de servicios de Falta de control de acceso
red
Falta de energía
Funcionamiento no confiable
de los UPS
Seguridades no detectadas Falta de mantenimiento
periódicamente
Ataques destructivos
Falta de protección física
Códigos maliciosos
Falta de monitoreo al
servidor
Manipulación
de
la Falta
de
políticas
de
información
seguridad
Hurto de la información
Falta
de
políticas
de
seguridad
Robo del medio
Falta de protección física
Paso de virus
Falta
de
políticas
de
seguridad
Fuego
Falta de protección contra
fuego
Errores de configuración
Falta
de
conocimiento
administrativos
Manipulación de la red
Falta de control de acceso
Corte de la comunicación Falta de monitoreo a la red
entre computadores
Uso no previsto de la RED
Falta de control de conexión
Hurtar la identidad
Correo
Electrónico
Falta de servicio de correo
empresarial
Reenvió de paquetes de Falta de servicio de correo
mensajes
empresarial
Hurto de información
91
Falta de servicio de correo
empresarial
Activo
Empleados
Amenazas
Manipulación
de
la
información
Eliminación
de
la
información
Divulgación
de
la
información
Desconocimiento
de
funciones del personal
Accesos no autorizados
Vulnerabilidades
Falta de capacitación al
personal sobre las políticas
de seguridad sobre la
seguridad de la información
VALORACIÓN DEL IMPACTO
La valoración del impacto de cada activo se elegirá según la violación y seguridad
del servicio que presente cada una, en base a esto se puede determinar cuáles
deberían ser atendidas inmediatamente, valorizando la disponibilidad, integridad y
confidencialidad.
 Muy Alto
-
5
 Alto
-
4
 Medio
-
3
 Bajo
-
2
 Muy Bajo
-
1
Se valorara con las siguientes normas:
 Pérdidas económicas: perdida de actividad o capacidad de operar.
 Costo de Recuperación: recuperar el valor del activo.
Tabla 13 valoración del impacto
Autor: Rogelio Guerrero
Activo
Amenazas
Modificación de
Documentos
Hurto de la
documentación
Pérdidas
Económicas
Costo de
Recuperación
Promedio
del impacto
4
4
4
5
5
5
92
Activo
Documentación
y Registro
Auxiliares
Sistemas
Operativos
Amenazas
Ingreso no
autorizado a los
registros
Manipulación de
los registros de la
importadora
Destrucción de
Documentos y
registros
Cambio de
ubicación de la
documentación
Divulgación de la
documentación y
registros
Accidentes
imprevistos
Manipulación del
suministro
Errores de
administración
Mal uso del
suministro
Ausencia de
conexión al
suministro
Abuso de
privilegios
Acceso no
autorizado
Errores de
administración
Propagación de
software
malicioso
Suplantación de
la identidad de
usuarios
Ataque de virus
Manipulación de
programas
Pérdidas
Económicas
Costo de
Recuperación
Promedio
del impacto
5
5
5
5
3
4
5
5
5
4
3
4
3
4
5
5
5
4
4
4
4
4
4
4
4
4
3
4
4
5
4
5
4
5
5
4
4
4
5
4
4
4
4
4
4
4
4
4
4
4
5
5
5
4
Desinstalación de
programas
93
Activo
Paquetes de
Programas o
software
estándar
Computadoras
de Oficina
Servidor y
Servicios de
RED
Amenazas
Desactualización
de antivirus y
programas
Acceso no
autorizados a
programas
Manipulación de
programas
Errores de
usuarios
Suplantación de
identidad
Manipulación de
configuración de
los
Computadores
Uso inapropiado
Daños por agua
Fuego
Acceso no
autorizado a los
Computadores
Instalación no
autorizada de
software
Ataque
destructivo
Robo
Falta de energía
Manipulación de
archivos de
registros
Manipulación de
servicios de red
Falta de energía
Seguridades no
detectadas
Ataques
destructivos
Códigos
maliciosos
Robo
Manipulación de
la información
Eliminación de la
información
Pérdidas
Económicas
Costo de
Recuperación
Promedio
del impacto
4
3
4
5
5
5
4
4
4
4
5
5
5
4
5
5
4
5
5
5
5
4
5
5
5
5
5
5
3
4
4
3
4
5
5
5
5
5
5
3
5
4
5
4
5
5
4
5
5
5
5
4
5
5
5
5
5
5
4
5
5
4
5
3
5
4
4
4
4
94
Activo
Medios
Extraíbles
Red Local
Correo
Electrónico
Empleados
Amenazas
Hurto de la
información
Robo del medio
Paso de virus
Fuego
Errores de
configuración
Manipulación de
la red
Corte de la
comunicación
entre
computadores
Uso no previsto
de la RED
Hurtar la
identidad
Falta de servicio
de correo
empresarial
Reenvió de
paquetes de
mensajes
Hurto de
información
Manipulación de
la información
Eliminación de la
información
Divulgación de la
información
Desconocimiento
de funciones del
personal
Accesos no
autorizados
Pérdidas
Económicas
Costo de
Recuperación
Promedio
del impacto
4
4
4
5
5
5
5
5
5
5
4
5
5
5
5
5
4
5
4
3
4
5
5
4
5
5
5
5
4
5
5
5
5
5
5
5
5
5
5
5
5
5
4
4
4
5
4
5
5
4
5
ANÁLISIS Y EVALUACIÓN DE RIESGOS.
Se analiza las vulnerabilidades y amenazas identificadas para poder determinar el
valor al riesgo que está expuesta la información, para poder implementar los
95
controles que nos brinda la norma ISO 27001 para ayudar a proteger la información,
bajos los criterios de disponibilidad, confidencialidad e integridad de los datos.
DETERMINACION DEL RIESGO
Una vez obtenido el impacto de cada activo de la información, se determina la
frecuencia con la que está expuesta la amenaza, para obtener el valor del riesgo y
así se pueda incrementar los controles establecidos por la norma ISO 27001:
Valoración de la Frecuencia
 Siempre
-
5
 Casi Siempre
-
4
 A Menudo
-
3
 Algunas Veces
-
2
 Casi Nunca
-
1
Tabla 14 determinación del riesgo
Autor: Rogelio Guerrero
Activo
Documentación
y Registro
Amenazas
Modificación de
Documentos
Hurto de la
documentación
Ingreso no autorizado
a los registros
Manipulación de los
registros de la
importadora
Destrucción de
Documentos y
registros
Cambio de ubicación
de la documentación
Divulgación de la
documentación y
registros
96
Promedio
del
impacto
Frecuencia
Valor del
Riesgo
4
1
4
5
1
5
5
1
5
4
1
4
5
1
5
4
1
4
4
1
4
Activo
Auxiliares
Sistemas
Operativos
Paquetes de
Programas o
software
estándar
Computadoras
de Oficina
Amenazas
Accidentes imprevistos
Manipulación del
suministro
Errores de
administración
Mal uso del suministro
Ausencia de conexión
al suministro
Abuso de privilegios
Acceso no autorizado
Errores de
administración
Propagación de
software malicioso
Suplantación de la
identidad de usuarios
Ataque de virus
Manipulación de
programas
Desinstalación de
programas
Desactualización de
antivirus y programas
Acceso no autorizados
a programas
Manipulación de
programas
Errores de usuarios
Suplantación de
identidad
Manipulación de
configuración de los
Computadores
Uso inapropiado
Daños por agua
Fuego
Acceso no autorizado
a los Computadores
Instalación no
autorizada de software
Ataque destructivo
Robo
Falta de energía
97
Promedio
del
impacto
Frecuencia
Valor del
Riesgo
5
4
2
1
10
4
4
1
4
4
2
8
4
5
5
4
1
1
1
1
4
5
5
4
4
2
8
4
4
1
2
4
8
4
5
1
1
4
5
4
1
4
5
4
1
2
5
8
5
1
5
5
1
5
5
1
5
5
5
5
1
1
1
5
5
5
4
2
8
4
5
5
4
1
1
1
2
4
5
5
8
Activo
Servidor y
Servicios de
RED
Medios
Extraíbles
Red Local
Correo
Electrónico
Empleados
Amenazas
Manipulación de
archivos de registros
Manipulación de
servicios de red
Falta de energía
Seguridades no
detectadas
Ataques destructivos
Códigos maliciosos
Robo
Manipulación de la
información
Eliminación de la
información
Hurto de la
información
Robo del medio
Paso de virus
Fuego
Errores de
configuración
Manipulación de la red
Corte de la
comunicación entre
computadores
Uso no previsto de la
RED
Hurtar la identidad
Falta de servicio de
correo empresarial
Reenvió de paquetes
de mensajes
Hurto de información
Manipulación de la
información
Eliminación de la
información
Divulgación de la
información
Desconocimiento de
funciones del personal
Accesos no
autorizados
98
Promedio
del
impacto
Frecuencia
Valor del
Riesgo
5
5
1
1
5
5
5
5
2
2
10
10
5
5
5
4
1
1
1
2
5
5
5
8
4
2
8
4
1
4
5
5
5
5
1
3
1
1
5
15
5
5
5
1
5
4
1
4
5
5
1
1
5
5
5
1
5
5
5
5
1
1
2
5
5
10
5
1
5
4
2
8
5
1
5
5
1
5
CONTROLES DE LA ISO 27001 QUE SE SELECCIONARON
Una vez que se obtenga la valoración del riesgo se selecciona los riesgos más altos
para seleccionar un control apropiado para tratar estas amenazas.
Tabla 15 selección de controles de la ISO 27001
Autor: Rogelio Guerrero
Activo
Hurto de la
documentación
Documentación y
Registro
Controles ISO 27001
Amenazas
Ingreso no
autorizado a los
registros
Destrucción de
Documentos y
registros
Accidentes
imprevistos
Auxiliares
Mal uso del
suministro
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1.1 Asignación de responsabilidades
para la seguridad de la información
13.1.1 Controles de red
9.1.1 Política de control de acceso
9.4.1 Restricción del acceso a la
información
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1.1 Asignación de responsabilidades
para la seguridad de la información
13.1.1 Controles de red
9.1.1 Política de control de acceso
9.4.1 Restricción del acceso a la
información
5.1.1 Conjunto de políticas para la
seguridad de la información
9.4.1 Restricción del acceso a la
información
6.1.1 Asignación de responsabilidades
para la seguridad de la información
13.1.1 Controles de red
9.1.1 Política de control de acceso
12.3.1 Copias de seguridad de la
información
11.2.2 Instalaciones de suministros
11.1.3 Seguridad de oficinas,
despachos y recursos
11.2.2 Instalaciones de suministros
99
Activo
Abuso de
privilegios
Acceso no
autorizado
Sistemas
Operativos
Controles ISO 27001
Amenazas
9.1.1 Política de control de acceso
9.1.2 Control de acceso a la red y
servicios asociados
9.1.1 Política de control de acceso
9.1.2 Control de acceso a la red y
servicios asociados
9.3.1 Uso de información confidencial
para la autenticación
Errores de
administración
Propagación de
software
malicioso
Suplantación de
la identidad de
usuarios
Ataque de virus
11.2.4 Mantenimiento de los equipos
Manipulación de
programas
9.1.1 Política de control de acceso
12.2.1 Controles contra código
malicioso
9.1.1 Política de control de acceso
12.2.1 Controles contra código
malicioso
Desinstalación de 9.1.1 Política de control de acceso
programas
Desactualización 11.2.4 Mantenimiento de los equipos
de antivirus y
programas
9.1.1 Política de control de acceso
Acceso no
12.6.2 Restricciones en la instalación
autorizados a
de software
Paquetes de
programas
Programas o
9.1.1 Política de control de acceso
software estándar Manipulación de
12.6.2 Restricciones en la instalación
programas
de software
9.1.1 Política de control de acceso
Errores de
usuarios
Suplantación de
identidad
Manipulación de
configuración de
9.1.1 Política de control de acceso
9.1.1 Política de control de acceso
100
Activo
Controles ISO 27001
Amenazas
los
Computadores
9.1.1 Política de control de acceso
Uso inapropiado
11.1.1 Perímetro de seguridad física
Daños por agua
11.1.1 Perímetro de seguridad física
Fuego
Acceso no
Computadoras de autorizado a los
Oficina
Computadores
Instalación no
autorizada de
software
Ataque
destructivo
Robo
Manipulación de
archivos de
registros
Servidor y
Servicios de RED
Manipulación de
servicios de red
9.1.1 Política de control de acceso
9.1.1 Política de control de acceso
12.6.2 Restricciones en la instalación
de software
12.2.1 Controles contra código
malicioso
12.3.1 Copias de seguridad de la
información
5.1.1 Conjunto de políticas para la
seguridad de la información
7.2.2 Concienciación, educación y
capacitación en segur. De la
información
9.1.1 Política de control de accesos
9.3.1 Uso de información confidencial
para la autenticación
12.3.1 copias de seguridad de la
información
9.1.2 Control de acceso a la red y
servicio asociados
13.1.1 Control de red
11.2.2 Instalaciones de suministros
Falta de energía
Ataques
destructivos
Códigos
maliciosos
Robo
12.2.1 Controles contra código
malicioso
12.2.1 Controles contra código
malicioso
12.3.1 Copias de seguridad de la
información
101
Activo
Controles ISO 27001
Amenazas
Manipulación de
la información
Medios Extraíbles
Eliminación de la
información
Hurto de la
información
7.2.2 Concienciación, educación y
capacitación en segur. De la
información
6.1.1 Asignación de responsabilidades
para la seguridad de la información
9.4.1 Restricción del acceso a la
información
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1.1 Asignación de responsabilidades
para la seguridad de la información
9.1.1 Política de control de acceso
9.4.1 Restricción del acceso a la
información
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1.1 Asignación de responsabilidades
para la seguridad de la información
9.1.1 Política de control de acceso
9.4.1 Restricción del acceso a la
información
Robo del medio
12.3.1 Copias de seguridad de la
información
Paso de virus
12.2.1 Controles contra código
malicioso
11.2.2 Instalaciones de suministros
Fuego
Errores de
configuración
Red Local
Manipulación de
la red
Corte de la
comunicación
entre
computadores
9.1.2 Control de acceso a la red y
servicio asociados
13.1.1 Control de red
9.1.2 Control de acceso a la red y
servicio asociados
13.1.1 Control de red
9.1.2 Control de acceso a la red y
servicio asociados
13.1.1 Control de red
9.1.2 Control de acceso a la red y
servicio asociados
102
Activo
Correo
Electrónico
Empleados
Amenazas
Uso no previsto
de la RED
Hurtar la
identidad
Hurto de
información
Controles ISO 27001
13.1.1 Control de red
9.1.2 Control de acceso a la red y
servicio asociados
13.1.1 Control de red
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1 Organización Interna
6.1.1 Asignación de responsabilidades
para la seguridad de la información
13.1.1 Controles de red
9.1.1 Política de control de acceso
9.4.1 Restricción del acceso a la
información
Manipulación de
la información
Empleados
Eliminación de la
información
Divulgación de la
información
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1 Organización Interna
6.1.1 Asignación de responsabilidades
para la seguridad de la información
13.1.1 Controles de red
9.1.1 Política de control de acceso
9.4.1 Restricción del acceso a la
información
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1.1 Asignación de responsabilidades
para la seguridad de la información
13.1.1 Controles de red
9.1.1 Política de control de acceso
9.4.1 Restricción del acceso a la
información
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1.1 Asignación de responsabilidades
para la seguridad de la información
13.1.1 Controles de red
9.1.1 Política de control de acceso
9.4.1 Restricción del acceso a la
información
103
Activo
Amenazas
Controles ISO 27001
Desconocimiento
de funciones del
personal
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1 Organización Interna
6.1.1 Asignación de responsabilidades
para la seguridad de la información
Accesos no
autorizados
5.1.1 Conjunto de políticas para la
seguridad de la información
6.1 Organización Interna
9.1.1 Política de control de acceso
9.4.1 Restricción del acceso a la
información
104
APLICABILIDAD DEL SGSI
Tabla 16 aplicabilidad del SGSI
Autor: Rogelio Guerrero
Declaración de Aplicabilidad
Fecha de actualización:
Leyenda (para los controles seleccionados y las razones para la selección de los controles)
2015 Diciembre 23
RL: Requerimientos legales, OC: obligaciones contractuales, RN/MP: requerimientos de negocio/mejores prácticas adoptadas, RER: resultados de
evaluación de riesgos, TSE: hasta cierto punto
105
ISO 27001:20013 Controles
Controles
Actuales
Observacione
s
(Justificación
de exclusión)
Controles
Seleccionados y
Razones para
Selección
R
L
Cláusula
Políticas de
Seguridad
Sec.
5,1
5.1.1
5.1.2
6,1
Objetivo de Control/Control
Directrices de la Dirección en
seguridad de la información
Conjunto de políticas para la
seguridad de la información
Revisión de las políticas para la
seguridad de la información
Controles
implementar
Organización Interna
105
O
C
RN/
MP
RER
Observaciones (Vista
general de los objetivos de
implementación)
Aspectos
Organizativos de
la Seguridad de la
Información
6.1.1
6.1.2
6.1.3
6.1.4
6.1.5
6.2
6.2.1
6.2.2
106
Seguridad ligada a
los recursos
humanos
7,1
7.1.1
7.1.2
7.2
7.2.1
7.2.2
7.2.3
7.3
7.3.1
Gestión de Activos
8,1
Asignación de responsabilidades
para la segur. De la información
Segregación de tareas
Contacto con las autoridades
Controles a
implementar
Contacto con grupos de interés
especial
Seguridad de la información en
la gestión de proyectos
Dispositivos para movilidad y
teletrabajo
Política de uso de dispositivos
para movilidad
Teletrabajo
Antes de contratación
Investigación de Antecedentes
Términos y condiciones de
contratación
Durante la contratación
Responsabilidades de gestión
Concienciación, educación y
capacitación en segur. De la
información
Proceso disciplinario
Cese o cambio de puesto de
trabajo
Cese o cambio de puesto de
trabajo
Control a
Implementar
Responsabilidad sobre los
activos
106
Capacitación al personal
sobre las políticas y controles
de seguridad
8.1.1
Inventario de Activos
8.1.2
8.1.3
8.1.4
8,2
8.2.1
Propiedad de los activos
Uso aceptable de los activos
Devolución de Activos
Clasificación de la información
Directrices de clasificación
8.2.2
Etiquetado y manipulado de la
información
Manipulación de activos
Manejo de los soportes de
almacenamiento
Gestión de soportes extraíbles
Eliminación de soportes
Soportes físicos en transito
8.2.3
8,3
107
8.3.1
8.3.2
8.3.3
Control de
Accesos
9,1
9.1.1
Requisitos de negocio para el
control de accesos
Política de control de accesos
9.1.2
Control de acceso a la redes y
servicios asociados
9,2
9.2.1
Gestión de acceso de usuario
Gestión de altas/bajas en el
registro de usuarios
Gestión delos derechos de acceso
asignados a usuarios
Gestión de los derechos de
acceso con privilegios especiales
Gestión de información
confidencial de autenticación de
usuarios
9.2.2
9.2.3
9.2.4
Control
Existente
La empresa ya cuenta con un
inventario de activos
Control a
implementar
Controles
implementar
Controles
implementar
107
Clasificación de información
según la autentificación
Control mediante la MAC
del equipo y carpetas
compartidas
9.2.5
9.2.6
9,3
9.3.1
9,4
9.4.1
9.4.2
108
9.4.3
9.4.4
9.4.5
Cifrado
10,1
Controles criptográficos
10.1.1
Política de uso de los controles
criptográficos
Gestión de claves
10.1.2
Seguridad Física y
Ambiental
Revisión de los derechos de
acceso de los usuarios
Retirada o adaptación de los
derechos de acceso
Responsabilidades del usuario
Uso de información confidencial
para la autenticación
Control de acceso a sistemas y
aplicaciones
Restricción del acceso a la
información
Procedimientos seguros de inicio
de sesión
Gestión de contraseñas de
usuarios
Uso de herramientas de
administración de sistemas
Control de acceso a código
fuente de los programas
11,1
Control a
Implementar
Usuario y contraseña para
acceder a la información
Control a
implementar
Política de control de acceso
Control a
implementar
Ubicación que se va a
encontrar el servidor y los pc
de la empresa
Áreas Seguras
11.1.1
Perímetro de seguridad física
11.1.2
11.1.3
Controles físicos de entrada.
Seguridad oficinas, despachos y
recursos.
108
11.1.4
11.1.5
11.1.6
11,2
11.2.1
109
11.2.2
Emplazamiento y protección de
equipos
Instalaciones de suministro
11.2.3
11.2.4
Seguridad del cableado
Mantenimiento de los equipos
11.2.5
Salida de archivos fuera de la
dependencias de la empresa
Seguridad de los equipos y
activos fuera de las instalaciones
Reutilización o retirada segura de
dispositivos de almacenamiento
Equipo informático de usuario
desatendido
Política de puesto de trabajo
despejado y bloqueo de pantalla
11.2.6
11.2.7
11.2.8
11.2.9
Seguridad en la
operativa
Protección contra las amenazas
externas y ambientales
El trabajo en áreas seguras
Áreas de acceso público, carga y
descarga
Seguridad de los equipos
12,1
12.1.1
12.1.2
12.1.3
12.1.4
12,2
Control a
implementar
Control a
implementar
Responsabilidades y
procedimientos de operación
Documentación de
procedimiento de operación
Gestión de cambios
Gestión de capacidades
Separación de entornos de
desarrollo, prueba y producción
Protección contra código
malicioso
109
Se llevara un control de los
mantenimiento
12.2.1
12,3
12.3.1
12,4
12.4.1
12.4.2
110
12.4.3
12.4.4
12,5
12.5.1
12,6
12.6.1
12.6.2
12,7
12.7.1
13,1
Controles contra el código
malicioso
Copias de seguridad
Copias de seguridad de la
información
Control a
implementar
Se proveerá de antivirus las
maquinas
Control a
implementar
Respalda r la información de
la importadora
Control a
implementar
En las computadoras que se
conectan al servidor
Registro de actividad y
supervisión
Registro de y gestión de eventos
de actividad
Protección de los registros de
información
Registros de actividad del
administrador y operador del
sistema
Sincronización de relojes
Control del software en
exploración
Instalación del software en
sistemas en producción
Gestión de la vulnerabilidad
técnica
Gestión de las vulnerabilidades
técnicas
Restricciones en la instalación de
software
Consideraciones de las
auditorías de los sistemas de
información
Controles de auditoría de los
sistemas de información
Gestión de la seguridad en las
redes
110
Seguridad en las
Telecomunicacion
es
13.1.1
Controles de red
13.1.2
Mecanismo de seguridad
asociados a servicios en red
Segregación de redes
13.1.3
13,2
13.2.1
111
13.2.2
13.2.3
13.2.4
Adquisición,
desarrollo y
mantenimiento de
los sistemas de
información
14,1
14.1.1
14.1.2
14.1.3
14,2
14.2.1
14.2.2
14.2.3
Control a
implementar
Se administrar el uso de la
red e internet
Intercambio de información
con pates externas
Políticas y procedimiento de
intercambio de información
Acuerdos de intercambio
Mensajería electrónica
Acuerdos de confidencialidad y
secreto
Control a
implementar
Requisitos de seguridad de los
sistemas de información
Análisis y especificación de los
requisitos de seguridad
Seguridad de las comunicación
en servicios accesibles por redes
publicas
Protección de las transacciones
por redes telemáticas
Seguridad en los procesos de
desarrollo y soporte
Política de desarrollo seguro del
software
Procedimientos de control de
cambios en los sistemas
Revisión técnica de las
aplicaciones tras efectuar
cambios en el sistema operativo
111
Capacitación del personal
14.2.4
14.2.5
14.2.6
14.2.7
14.2.8
14.2.9
112
14,3
Relaciones con
suministradores
Restricciones a los cambios en
los paquetes de software
Uso de principios de ingeniería
en protección de sistemas
Seguridad en entornos de
desarrollo
Externalización del desarrollo de
software
Pruebas de funcionalidad durante
el desarrollo de los sistemas
Pruebas de aceptación
Datos de prueba
14.3.1
Protección de los datos utilizados
en pruebas
15,1
Seguridad de la información en
las relaciones con
suministradores
Política de seguridad de la
información para suministradores
15.1.1
15.1.2
15.1.3
15,2
15.2.1
15.2.2
Tratamiento del riesgo dentro de
acuerdos de suministradores
Cadena de suministro en
tecnologías de la información y
comunicaciones
Gestión de la prestación del
servicio por suministradores
Supervisión y revisión de los
servicios prestados por terceros
Gestión de cambios en los
servicios prestados por terceros
1120
Gestión de
incidentes en la
seguridad de la
información
16,1
16.1.1
16.1.2
16.1.3
16.1.4
113
16.1.5
16.1.6
16.1.7
Aspectos de
Seguridad de la
Información en la
Gestión de la
continuidad del
negocio
17,1
17.1.1
17.1.2
17.1.3
17,2
17.2.1
Cumplimiento
18,1
Gestión de incidentes de
seguridad de la información y
mejoras
Responsabilidades y
procedimientos
Notificación de los eventos de
seguridad de la información
Notificación de puntos débiles de
la seguridad
Valoración de eventos de
seguridad de la información y
toma de decisiones
Respuesta a los incidentes de
seguridad
Aprendizaje de los incidentes de
seguridad de la información
Recopilación de evidencias
Continuidad de la seguridad de
la información
Planificación de la continuidad
de la seguridad de la información
Implantación de la continuidad
de la seguridad de la información
Verificación, revisión y
evaluación de la continuidad de
la seguridad de la información
Redundancias
Disponibilidad de instalaciones
para el procesamiento de la
información
Cumplimiento de los requisitos
legales y contractuales
113
18.1.1
18.1.2
18.1.3
18.1.4
18.1.5
18,2
18.2.1
114
18.2.2
18.2.3
Identificación de la legislación
aplicable
Derechos de propiedad
intelectual
Protección de los registros de la
organización
Protección de datos y privacidad
de la información personal
Regulación de los controles
Revisiones de la seguridad de
la información
Revisión independiente de la
seguridad de la información
Cumplimiento de las políticas y
normas de seguridad
Comprobación del cumplimiento
114
ETAPA 2 HACER
DEFINIR PLAN DE TRATAMIENTO DE RIESGOS
Se debe definir un plan de tratamiento de riesgo (PTR), para la cual existen cuatro
estrategias que se proceden a detallar a continuación:
Reducir
Se implementara los debidos controles que brinda la norma ISO 27001 para reducir
las amenazas que se presenten en la información de la importadora.
 Reducir la posibilidad de que la vulnerabilidad se ejecute en una amenaza.
 Reducir la posibilidad de impacto si el riesgo llega a ejecutarse, recuperando
la información afectada.
Aceptar
Hay que aceptar o absorber los riesgos si estos ocurriesen ahí que vivir con las
consecuencias, siempre y cuando no se puedan encontrar controles para tratarlos.
 Cuando los Riesgos ya están ejecutados y hay que aceptarlos para que no
perjudique la organización.
Transferir
Existen riesgos que no se pueden evitar y afectan aceptarlo y es ahí cuando se
traspasa el riesgo a otra compañía se lo considera transferir el riesgo, lo cual podría
ser una aseguradora de información o aun servidor en la nube.
115
Evitar
Hay riesgos que se pueden evitar al 100% escogiendo siempre las medidas
correspondientes sobre las amenazas que nos asechan.
 Dejar de conducir ciertas actividades.
 Cambiar los permisos de los usuarios sobre la información
 Reducir el proceso de cierta información si no se consigue la protección
necesaria.
 Cambiar contraseñas periódicamente
IMPLANTAR PLAN DE TRATAMIENTO DE RIESGO
Tabla 17 plan de tratamiento de riesgo
Autor: Rogelio Guerrero
Activo
PTR
Documentación
y Registro
Amenazas
Hurto de la documentación
Ingreso no autorizado a los registros
Destrucción de Documentos y registros
Auxiliares
Accidentes imprevistos
Mal uso del suministro
Reducción
Reducción
Sistemas
Operativos
Abuso de privilegios
Acceso no autorizado
Errores de administración
Propagación de software malicioso
Suplantación de la identidad de usuarios
Ataque de virus
Manipulación de programas
Evitar
Reducción
Reducción
Reducción
Evitar
Reducción
Reducción
Paquetes de
Programas o
software
estándar
Desinstalación de programas
Desactualización de antivirus y programas
Acceso no autorizados a programas
Manipulación de programas
Errores de usuarios
Suplantación de identidad
Reducción
Evitar
Reducción
Reducción
Reducción
Evitar
Manipulación de configuración de los
Computadores
Uso inapropiado
Reducción
Reducción
116
Evitar
Evitar
Evitar
Activo
Amenazas
PTR
Daños por agua
Fuego
Acceso no autorizado a los Computadores
Instalación no autorizada de software
Ataque destructivo
Robo
Reducción
Reducción
Reducción
Evitar
Reducción
Reducción
Manipulación de archivos de registros
Manipulación de servicios de red
Falta de energía
Ataques destructivos
Códigos maliciosos
Robo
Reducción
Reducción
Reducción
Reducción
Reducción
Reducción
Medios
Extraíbles
Manipulación de la información
Eliminación de la información
Hurto de la información
Robo del medio
Paso de virus
Reducción
Reducción
Reducción
Reducción
Reducción
Red Local
Fuego
Errores de configuración
Manipulación de la red
Corte de la comunicación entre
computadores
Uso no previsto de la RED
Reducción
Reducción
Evitar
Reducción
Hurtar la identidad
Reducción
Hurto de información
Manipulación de la información
Eliminación de la información
Divulgación de la información
Desconocimiento de funciones del personal
Accesos no autorizados
Reducción
Reducción
Reducción
Reducción
Reducción
Reducción
Computadoras
de Oficina
Servidor y
Servicios de
RED
Correo
Electrónico
Empleados
Reducción
Una vez obtenido los resultados de nuestro plan de tratamiento de riesgo,
implementaremos los controles.
117
IMPLEMENTACIÓN DE CONTROLES
5 POLÍTICAS DE SEGURIDAD
5.1 Conjunto de políticas para la seguridad de la información
La importadora Megatech se compromete a garantizar que toda la información
mediante todo su ciclo de vida siempre mantendrá su integridad, confidencialidad y
disponibilidad, asegurando que todas las vulnerabilidades y debilidades en la
seguridad de la información sean reportadas al Oficial de Seguridad de la
información.
El oficial de seguridad de la información es el encargado de supervisar que se
cumplan las políticas de seguridad, y de esta forma mantener progresivamente el
SGSI, estableciendo controles para reducir los riesgos y planes de contingencia,
generando copias de respaldo, monitoreando y revisando el servidor y los servicios
de red configurados, e instalando actualizaciones en los equipos que acceden a la
información.
La persona que incumpla las políticas y controles de seguridad de la información
detallada en este documento será sancionado económicamente, y responderá por
sus acciones o por daños causados a la información de la importadora.
Toda excepción a las políticas o controles de seguridad de la información debe ser
documentado y aprobado por el gerente general, una carta detallada que justifique
por que no se cumple la política o control.
Seguridad lógica: Para que un usuario ingrese a la información de la importadora
que se encuentra en el servidor debe existir un procedimiento formal que regule la
información, el oficial de seguridad de la información administrar a los usuarios y
las contraseñas para acceder a la información.
118
Administrador del servidor: los únicos usuarios habilitados con el rol mencionado
serán: el Oficial de seguridad de la información y el Administrador de la información.
La conexión de internet que posee la importadora Megatech sirve para muchos
propósitos.
 Permitir conexión a la WEB.
 Intercambiar información con otras entidades.
 Investigar sobre múltiples temas de interés.
6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
6.1 Organización Interna
La importadora Megatech se creara el comité de seguridad de la información,
integrado por los responsables de la seguridad de la información que son: Oficial
de seguridad de la información, administrador de la información, la coordinadora y
el gerente general.
El gerente general de la importadora Megatech, es la máxima autoridad que
aprueba todo respecto a la seguridad de la información que presente el comité.
VER ANEXOS 7.
6.1.1 Asignación de responsabilidades para la seguridad de la información
La importadora Megatech con el fin de mejorar la productividad ha determinado la
responsabilidad de la seguridad de la información de acuerdo a los objetivos de la
organización interna y a la clasificación de la información VER ANEXOS 8.
7 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
La importadora Megatech, define las responsabilidades del empleado al momento
de su contratación, en conjunto con el comité de seguridad de la información.
119
7.2.2 Concienciación, educación y capacitación en seguridad de la
información
El oficial de seguridad de la información con respaldo del gerente realizara
capacitaciones a todo el personal involucrado con la importadora acerca de las
políticas establecidas para educarlo en cuanto a la seguridad de la información, lo
cual el empleado debe tener muy presente para no incurrir en fallas con la seguridad
de la información. VER ANEXOS 9.
8 GESTIÓN DE ACTIVOS
8.2 Clasificación de la información
La importadora Megatech clasifica su información, basándose en las en las 3
características principales de la información que son: la confidencialidad, integridad
y disponibilidad.
8.2.1 Directrices de clasificación
Toda la información de la importadora es clasificada según su contenido, se
implementa el control adecuado de acuerdo a la importancia que tenga, la
clasificación la realizara el oficial de seguridad de la información con respaldo del
gerente general de la importadora, teniendo en cuenta el nivel de riesgo que está
expuesta, la sensibilidad y la privacidad.
El gerente general es el único que tiene acceso a toda la información que se
encuentre en el servidor, la importadora cuenta con conjunto de controles
determinados, los cuales podrán ser mejorados pero nunca disminuidos. VER
ANEXO 10.
120
9 CONTROL DE ACCESO
Controlar todo acceso no autorizado.
9.1.1 Políticas de control de acceso
Acceso al servidor: La importadora garantiza que la información de la importadora
Megatech es integra y confidencial gracias a los controles detallados, evitando el
acceso no autorizado a ella, de igual manera el acceso físico al servidor es
confidencial y restringido cuenta con llaves y candados solo para personal
autorizado, los puntos de acceso inalámbrico serán restringidos para acceder a la
información.
El oficial de seguridad de la información debe realizar un chequeo mensual de los
usuarios que acceden a la información, comprobando que estos usuarios tengan
los permisos correctos.
La coordinadora debe comunicar al personal de los cambios de acceso que se
produzcan, cuando un empleado es despedido o renuncia a su puesto laboral, debe
ser desactivada la cuenta.
ACCESO A LOS PCS: Las computadoras que tienen acceso a la información del
servidor deben contar con una contraseña, el personal debe ingresar de acuerdo a
los privilegios que la importadora le haya dado como administrador o como invitado
para evitar la modificación de archivos confidenciales.
La solicitud de una nueva cuenta o el cambio de privilegios solo la puede autorizar
el gerente general de la importadora, no debe crearse cuentas a personas que no
laboran en la empresa a menos que el gerente autorice su creación la cual será
desactivada después de su uso no menos de 5 días.
121
Contraseñas: Las contraseñas para acceder a las computadoras y a la información
que se encuentra en el servidor usaran los requerimientos y estándares
internacionales que se detallaran a continuación:
 Mantener las contraseñas en secreto
 Pedir el cambio de contraseñas para acceder al servidor siempre q exista
una sospecha que su contraseña ha sido vulnerada
 Seleccionar contraseñas de calidad
o Sean fáciles de recordad
o Que sean más de 8 caracteres
o Que esté compuesta por números por letras y que siempre lleve una
letra mayúscula
 Cambiar las contraseñas cada 3 meses
 Siempre notificar al oficial de seguridad, algún incidente con su contraseña.
El oficial de seguridad de la información se encargara de cambiar la contraseña
para acceder al servidor, la coordinadora se encargara de hacer llegar la nueva
contraseña al personal, la nueva contraseña no debe repetirse a las 5 últimas
utilizadas.
El usuario puede cambiar o modificar su contraseña del equipo que usa cuantas
veces considere necesario, cada que se la cambie debe hacerle llegar la nueva
contraseña al oficial de seguridad de la información.
Los usuarios deben bloquear sus máquinas cuando no se encuentren en su lugar
de trabajo para que no puedan accedes a ella, toda información debe ser guardada
en el servidor, las contraseñas que traen los equipos nuevos de red como de acceso
a la información deben ser cambiadas inmediatamente luego de ponerse en uso.
9.1.2 Control de acceso a las redes y servicios asociados
Todo usuario que disponga de acceso a la información y a la red son solo los que
han sido autorizados para su uso. La importadora garantiza que los usuarios que
122
tengan acceso a la red y a sus servicios no comprometan la seguridad de la
información, por lo tanto el administrador de la información y la red se encargara de
controlar el acceso a la WEB. VER ANEXO 11
9.3.1 Uso de información confidencial para la autenticación
La importadora exige que los usuarios tengan acceso a la información dependiendo
de su autenticación que se les haya dado. VER ANEXO 12.
9.4.1 Restricción del acceso a la información
El acceso a los equipos que manipulan la información y al servidor que la contiene
estará restringido con sus respectivas contraseñas, de acuerdo a las políticas de
control de acceso detallado anteriormente. VER ANEXO 13.
11 SEGURIDAD FÍSICA AMBIENTAL
Se debe respetar la configuración del hardware y software, no deben ser
manipuladas, queda prohibido fumar o beber mientras se usan los PCS, cualquier
inconveniente o robo con los equipos deben reportarse inmediatamente al oficial de
seguridad de la información
11.1.1 Perímetro de seguridad física
El perímetro de área donde se encuentra el servidor de la importadora estará
protegido de acceso no permitido y se incorporara extinguidores para emergencias
de fuego. VER ANEXO 14.
11.2.2 Instalación de suministros
Los equipos que tienen acceso al servidor y a la información estarán protegidos por
UPS para las fallas de energía, de igual manera para las fallas y tolerancias de
disco duro en el servidor se cuenta con un RAID. VER ANEXO 6 Y 15
123
11.2.4 Mantenimiento de equipos
La importadora Megatech se lleva a cabo los mantenimientos de los equipos,
servidor y servicios de red, para asegurar la disponibilidad e integridad de la
información.
 Todo equipo que sea usado en la importadora para el acceso de la
información deberá ser sometido a un mantenimiento preventivo.
 El oficial de seguridad de la información es el encargado de tener
documentado y detallado la frecuencia con la cual se realizan los
mantenimientos preventivos.
 Solo el oficial de seguridad de la información es el autorizado para realizar
mantenimientos preventivos y reparaciones de equipos.
 Documentar todo mantenimiento preventivo realizado, las fallas encontradas
y los mantenimientos correctivos realizados.
Tabla 18 mantenimiento de equipos
Autor: Rogelio Guerrero
Equipo
Servidor
Computadoras
Impresoras
Frecuencia de
mantenimiento
3 Meses
6 Meses
6 Meses
Personal autorizado
Oficial de Seguridad de la información
Oficial de Seguridad de la información
Oficial de Seguridad de la información
12 SEGURIDAD EN LA OPERATIVA
12.2.1 Controles contra el código malicioso
La importadora proveerá los recursos necesarios que garantice la protección de la
información como antivirus para evitar la divulgación, modificación o daño
permanente de la información por la contaminación de código malicioso y virus que
ejecuten esas vulnerabilidades presentes.
Antivirus: todos los equipos de la importadora deben tener instalado un antivirus
el cual debe ser actualizado automáticamente con acceso a internet, el mismo que
124
tiene que detectar en tiempo real cualquier software maliciosos, se debe ejecutar
un escaneo cada semana para revisar y detectar cualquier código malicioso en la
estación de trabajo. VER ANEXO 16.
12.3.1 Copias de seguridad de la información
EL servidor cuenta con un RAID para tolerar cualquier falla en el disco duro y
obtener una disponibilidad de la información cuando se la necesite, usándolo como
un respaldo de los datos.
El administrador de la información será el encargado de salvaguardar la información
realizando copias de seguridad manualmente cada semana en un disco extraíble
de tal forma que garantice su confidencialidad, integridad y su disponibilidad.
Cada que se realice algún cambio en la configuración del servidor o en los servicios
de red siempre es necesario hacer un respaldo o backup de la configuración
existente.
12.6.2 Restricciones en la instalación de software
Queda totalmente prohibido la instalación de cualquier software o aplicaciones en
los equipos de cómputo por parte de los usuarios, el único que puede instalar
aplicaciones será el oficial de seguridad de la información quien maneja las cuentas
de administrador de los equipos de cómputo.
13 SEGURIDAD EN LAS TELECOMUNICACIONES
13.1.1 controles de red
El oficial de seguridad de la información es el encargado de administrar y controlar
la red interna para garantizar la seguridad de la información, contra el acceso no
autorizado, y la disponibilidad de las maquinas conectadas en la red.
125
Uso de internet: Los virus que se adquieren a través de internet pueden ser muy
peligrosos dañando o eliminando la información de los equipos, el internet nos
provee de información muy valiosa para lo cual el Oficial de seguridad de la
información es el encargado de evitar el mal uso al internet por parte de los
usuarios.
Uso de sitios WEB: El oficial de seguridad de la información es el encargado de
bloquear páginas que no estén relacionada con funciones que realiza la
importadora, mediante una lista de control de acceso bloqueara: pornografía, redes
sociales etc. VER ANEXO 17.
Descargas: se capacitara al usuario para que concientice acerca de descargar
aplicaciones y programas lo cual le queda totalmente prohibido solo podrá
descargar archivos totalmente con funciones laborales como procesos y ofertas
entre otras. VER ANEXO 9.
13.2.4 acuerdos de confidencialidad y secreto
La importadora mediante la capacitación a los usuarios llega a un acuerdo de
confidencialidad o de no divulgación de los riesgos que se presentan, para poder
preservar y proteger la información en todo su ciclo de vida. VER ANEXO 9.
PRESUPUESTO
En este caso para la implementación del SGSI, se ha considerado los viáticos a la
importadora, y el hardware necesario para cubrir los controles de seguridad de la
información.
126
Tabla 19 presupuesto Implementación SGSI
Autor: Rogelio Guerrero
Cantidad
1
1
1
1
1
30
30
1
1
30
10
1
1
Costos de implementación
Descripción
Movilización
Switch 16 puertos
Organizador de cables
Patch Panel 24 puertos
Racks pequeño
Jack Rj45 cat6
Conectores Rj45 cat6
Rollo de cable UTP Next cat6
Acces Point
Canaletas 20*12mm / 40*25mm / 60*13mm
Cajetines re red
CPU (Servidor)
Disco Duro 1Tb para el RAID
Total
Valor
200,00
44,00
25,00
67,00
57,00
7,75
15,00
287,00
48,00
20,20
4,5
980,00
96,00
1851,45
IMPACTO ADMINISTRATIVO
Con la implementación del Sistema de gestión de la seguridad de la información
sobre el servidor se pudo reducir los riesgos, vulnerabilidades, amenazas o
inconvenientes que presentaba la importadora en cuanto a la información al
memento de acceder a ella, ya se cuenta con usuario y contraseñas para ingresar
a las estaciones de trabajo y de igual manera para ingresar al servidor que se
encuentra en la red, se ha logrado evitar que terceras personas que tienen q
conectarse a la red puedan ver la información de la empresa ya que si quieren
ingresar al servidor les pedirá autentificación, se ha logrado capacitar al personal
en cuanto materia de seguridad de la información para que concienticen del riesgo
que existe.
Mediante los servicios de red y un nuevo cableado estructurado se logró que todas
las máquinas que funcionan en la empresa se conecten vía cable logrando siempre
tener disponible la información, gracias al servicio de Red DHCP se logró configurar
cada máquina con su dirección IP en el servidor para que no existan conflictos de
IP que era uno de los problemas que existía y se perdida la disponibilidad de la
información cuando más se la necesitaba.
127
CONCLUSIONES PARCIALES DEL CAPÍTULO III
A través de la instalación del servidor y sus servicios de red se pudo ayudar a la
implementación del SGSI ya que la importadora no presentaba ningún control en
cuanto a la seguridad de su información, gracias a la metodóloga de riesgos
MAGERIT se pudo analizar y evaluar estos riesgos para luego poder implementar
los controles necesario que ayudaron a tratarlos y se logró tener una información
segura y confiable.
A través de la evaluación de los riesgos que presentaban los activos de información
se pudo determinar el valor del riesgo con la cual estaban expuestos, brindando
una seguridad para el almacenamiento de la información.
Con los controles implementados de la ISO 27001 se reduce todo riesgo que existía
y se mejora la seguridad de la información y sus servicios de red, logrando que la
importadora no tenga problemas al momento acceder a ella, permitiendo que los
procesos sean mucho más rápido y el personal agilice sus funciones.
128
CONCLUSIONES GENERALES
El sistema de gestión de seguridad de la información que se ha implementado en
la importadora Megatech de Santo Domingo de los Tsáchilas, fue de mucha
importancia para ayudar a la protección de la información luego de a ver
configurado el servidor CentOS y sus servicios de red ya que ayudara a la
continuidad del negocio sin tener inconvenientes en la disponibilidad de la
información.
Con el presente análisis se pudo determinar la falta de control que existía en cuanto
a la seguridad de la información en la importadora Megatech, lo cual a primera
instancia se pudo determinar que la información se encontraba muy vulnerable no
existía una confidencialidad que la mantenga integra.
Con la presente investigación se pudo determinar que el Sistema de Gestión de la
Seguridad de la Información puede reducir riesgos, vulnerabilidades y amenazas
de la información en empresas pequeñas, medianas o grandes, con el fin de
minimizar gestionar y controlar estos riesgos a los cuales la información está
expuesta logrando obtener una confidencialidad, integridad y disponibilidad de la
información cuando se la necesite.
La ventaja que tiene la norma ISO 27001 es que le da privilegio al sistema de
gestión dejando escoger los controles que se necesitan para controlar, reducir o
minimizar estos riesgos, de igual manera esta norma puede ser implementada en
empresas pequeñas como en grandes.
El sistema de gestión de seguridad de la información no es necesario extenderlo a
toda la importadora, lo primordial es concentrarse donde se encuentra la mayor
parte de la información por eso se la realizo al servidor CentoS y servicios de red
que es la que maneja y conecta toda la información de la importadora.
129
RECOMENDACIONES GENERALES
Se recomienda la implementación del Sistema de gestión de la seguridad de la
información basado en la norma 27001, porque a más de proteger la información
de los riesgos existentes siempre está en constante monitoreo de nuevos riesgos
que se pueden presentar.
Se recomienda una revisión periódica de los controles implementado para verificar
y actualizar las políticas creadas para cada vez más llegar a una seguridad máxima
de la información ya que la norma ISO 27001 no es estática si no que permite un
mejoramiento continuo.
Se recomienda que la información de la importadora debe ser protegida según su
criticidad, ya que existe mucha información confidencial que necesita ser integra y
estar disponible cuando se la necesite.
También se recomienda gestionar la posibilidad de sincronizar el respaldo
automático de la información del servidor sobre un servidor en la nube ya que
manualmente se podría pasar por alto hacer el respectivo respaldo.
130
BIBLIOGRAFÍA
Ogalla Segura, F. (2012). SISTEMA DE GESTIÖN una guía practica. Madrid: Días
de Santos.
Aedo Cuevas, I., Díaz Pérez, P., Sicilia Urbán, M., Vara de Llano, A., Colmenar
Santos, A., Losada de Dios, P., . . . Peire Arroba, J. (2009). Sistemas
Multimedia: Ánalisis, Diseño y Evaluación. Madrid: Uned.
Aguilera López, P. (2010). Seguridad informática. Madrid: Editex.
Aguilera López, P., & Morante Fernández, M. (2010). Tratamiento informático de la
información. Madrid: Editex.
Alegre Ramos, M. d., garcía, A., & Hurtado, C. (2011). Sistemas Operativos en Red.
Madrid: Paraninfo.
Anderruthy, J., & Gaumé, S. (2011). Mantenimiento y reparacion de un Pc en red
2da Edición. Barcelona: Ediciones ENI.
Baclit, R., Sicam, C., Membrey, P., & Newbigin, J. (2009). Foundations of CentOS
Linux - Enterprise Linux on tthe Cheap. New York: Apress.
Berral Montero, I. (2010). Equipos microinformáticos. Madrid: Paraninfo.
Berral Montero, I. (2014). Instalacion y mantenimiento de redes para transmisión de
datos. Madrid: Paraninfo.
Bravo Delgado, N., & Medina Sánchez, L. (2011). Tecnologias I. Madrid: Editex.
Cabo Salvador, J. (2014). Gestión de la Calidad en las Organizaciones Sanitarias.
Madrid: Díaz de Santos.
Campos Santelices, A. (2010). Violencia Social. San José, Costa Rica: EUNED.
Case, G. (2009). Mejora Continua del servicio. Reino Unido: TSO.
Corletti Estrada, A. (2011). Seguridad por niveles. Madrid: darFE.
Coronel, C., Morris, S., & Rob, P. (2011). Base de datos Diseño, implementacion y
administración. Mexico: CENGACE Learning.
Costas Santos, J. (2011). Seguridad y Alta Disponibilidad. Madrid: Ra-Ma.
Couto Lorenzo, L. (2011). Auditoría del Sistema APPCC. Madrid: Díaz de Santos,
S.A.
Cuatrecasas Arbós, L. (2010). Gestión integral de la Calidad implementacion,
control y certificación. Barcelona: PROFIT.
De Pablos Heredero, C., López Hermoso Agius, J., Romo Romero, S., & Medina
Salgado, S. (2011). Organizacion y transformacion de los sistemas de
información en la empresa. Madrid: ESIC.
Deman, T., Elmaleh, F., Neild, S., & Van Jones, M. (2014). WIndows Server 2012
R2 Administración Avanzada. Barcelona: ENI.
Dordoigne, J. (2011). Redes Informáticas Nociones fundamentales 3ra edición.
Barcelona: ENI.
España, G. d. (2012). Administracion Electrónica textos legales numero 107.
Madrid: BOE.
Espuig, A. (2011). Matemáticas: Prueba de acceso a Ciclos Formativos de Grado
Superior. Barcelona: Printed in Spain.
Fernández García, R. (2010). La mejora de la productividad en la pequeña y
mediana empresa. Alicante: ECU.
Fernández Montoro, A. (2011). Cambiate a Linux. Madrid: RC libros.
Fernández Teruelo, J. (2011). Derecho Penal e Internet. Valladolid: Lex Nova.
Florentino fernández, Z., Iglesias Pastrana, D., Llaneza Álvarez, J., & Fernández
Mñiz, B. (2010). Manual para la fromación del auditor en prevención de
riesgos laborales. España: Lex Nova, S.A.U.
Gallego, J. C., & Folgado, L. (2011). Montaje y mantenimeinto de equipos. madrid:
Editex.
García Ramírez, M., Miñana Caselles, Ó., López Fernández, F., & Sánchez
Corbalán, A. (2010). Servicios de Red una visión práctica. lulu.
García, A., Hurtado, C., & Alegre Ramos, M. (2011). Seguridad Infromatica. Madrid:
Paraninfo.
Gil, G. D. (2014). Procesos y herramientas para la seguridad de redes. Madrid:
UNED.
Gonzáles Gaya, C., Domingo Navas, R., & Sebastián Pérez, M. (2013). Técnicas
de mejora de calidad. Madrid: UNED.
Griful Ponsati, E., & Canela, M. Á. (2005). Gestion de Calidad. Barcelona: UPC.
Hermida Mondelo, A., & Iglesias Fernández, I. (2014). Gestión auxiliar de archivo
en soporte convencional o informático. Vigo: ideaspropias.
Hernández Herrero, G., Moreno Gonzáles, A., Zaragozá García, F., & Porras
Chavarino, A. (2011). Tratado de Medicina Farmacéutica. Madrid: MÉDICA
PANAMERICANA, S.A.
Jara, H., & Pacheco, F. (2012). ETHICAL HACKING 2.0 Implementación de un
Sistema para la Gestión de la Seguridad. Buenos Aires: USERS.
Jiménez garcía, F., Sádaba Chalezquer, C., Jordá capitán, E., Domingo Prieto, V.,
Ropero Carrasco, J., Pérez Conesa, C., & Gómez Hidalgo, M. (2014). La
protección y seguridad de la persona en internet aspectos sociales y
judiciales. Madrid: Reus, S.A.
Ladrón Jiménez, M. (2014). Sistema Operativo, búsqueda de la información:
Internet/Intranet y correo electrónico. San Millán: TUTOR FORMACIÖN.
López Brox, A. (2010). Promociones en Espacios Comerciales. Málaga: Vértice.
Marchionni, E. A. (2011). Administrador de servidores. buenos Aires: USERS.
Marco Galindo, M. J., Marco Simó, J. M., Prieto Blázquez, J., & Segret Sala, R.
(2010). Escaneando la infromática. Barcelona: UOC.
Marroquín, N. (2010). Tras los pasos de un Hacker. Quito: IEPI.
Mclver McHoes, A., & Flynn, I. M. (2011). Sistemas operativos sexta edicion.
Mexico: CENGAGE Learning.
Mclver McHoes, A., & Flynn, I. M. (2011). Sistemas Operativos sexta edicion.
Mexico: CENGAGE Learning.
Medina, J. (2014). Evaluacion de vulnerabilidades TIC. Murcia: SG6 C.B.
Membrey, P., Verhoeven, T., & Angenendt, R. (2009). The Definitive Guide to
CentOS. New York: Apress.
Mifsuf Talón, E. (2012). Apache. Madrid: Ministerio de Educación, Cultura y
Deporte.
Mora Chamorro, H. (2010). Manual del vigilante de Seguridad. Tomo1. 2da. Edicion.
Alicante: ECU.
Mora Pérez, J. J. (2012). CAPACITY PLANNING IT Una aproximacion práctica.
Creative Commons.
Morales Morgado, E. (2010). Gestión del conocimiento en sistems E-Learning,
basado en objetos de aprendizaje, cualitativa y pedagógicamnte definidos.
Salamanca: Universidad de Salamanca.
Moro Vallina, M. (2013). Infraestructura de redes de datos y sistemas de telefonía.
Madrid: Paraninfo.
Muñiz, L. (2013). Como Implantar y evaluar un sistema de control de Gestión.
España: Profit.
Navarro, E., Ramos Gonzáles, M., & Ruiz, M. (2010). El Documento de seguridad.
Madrid: Dáz de Santos.
Oliva Alonso, N. (2013). Redes de Comunicaciones Industriales. Madrid: UNED.
Oliva Haba, J., Manjavacas Zarco, C., & Martín Márquez, P. L. (2014). Montaje y
Mantenimiento de Equipos. Madrid: Paraninfo.
Pérez Villa, P., & Múnera Vásquez, F. (2007). Reflexiones para implementar un
sistema de gestión de la calidad (ISO 9001:2000) en cooperativas y
empresas de economía solidaria. Bogota: educc.
Pons, N. (2011). Linux Principios básicos de uso del sistema. Barcelona: eni.
Quesnel, J. (2012). Normas y mejores prácticas para avanzar hacia ISO 20000.
Barcelona: ENI.
Rebollo Delgado, L., & Serrano Pérez, M. (2008). Introducción a la protección de
datos. Madrid: Dykinson.
Revista de la Segunda Cohorte, d. E. (2014). Seguridad de la Infromacion.
Guatemala: ISBN.
Revuelta Domínguez, F., & Pérez Sánchez, L. (2009). Interactividad en los entornos
de formacion on-line. Barcelona: UOC.
Rodil Jiménez, I., & Pardo de Vega, C. (2010). Operaciones auxiliares para la
configuración y explotación. Madrid: Paraninfo.
Rodil Jiménez, I., & Pardo de Vega, C. (2014). Operaciones auxiliares para la
configuracion y explotacion 2da edicion. Madrid: Paraninfo.
Romero Ternero, M. d., Barbancho Concejero, J., Benjumea Mondéjar, J., Rivera
Romero, O., Ropero Roríguz, J., Sánchez Antón, G., & Sivianes Castillo, F.
(2014). Redes Locales. Madrid: Paraninfo.
Sánchez Estella, Ó., & Herrero Domingo, R. (2014). Tratamiento informático de
datos. Madrid: Paraninfo.
Sánchez Estella, Ó., & Moro Vallina, M. (2010). Sistema operativo, búsqueda de
información:internet/intranet y correo electrónico. España: Paraninfo. S.A.
Sánchez Pérez, B. (2015). Cuaderno Práctico de Linux. Sistemas Operativos
Monopuestos. Ciclo Formativo de Grado Medio. 2da edición. Madrid: lulu.
Tamioka Suzuki, M., Quijano Urbina, A., & Canavesi Rimbaud, M. (2014). Gestión
de sistemas educativos con calidad. ISBN.
Tejada, E. C. (2014). Gestión de incidentes de seguridad infromática. Málaga: ic.
Toro López, F. (2013). Administración de Proyectos de infromática. Bogotá: ECOE.
Valdivia Miranda, C. (2015). Redes telemáticas. Madrid: Paraninfo.
valverde Berrocoso, J. (2009). El software libre en la innovación educativa en
experiencias de innovación docente universitaria. Salamanca España:
Ediciones Universidad de Salamanca.
Vieites, Á. G. (2011). Enciclopedia de la Seguridad Informática. Mexico: Alfaomega.
Villar Varela, A. M. (2014). Grabaciones de Datos. Registro de la Información en
Condiciones de Seguridad y Calidad. Vigo: Ideaspropias.
ANEXOS
ANEXO 1
APROBACIÓN DE PERFIL
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
FACULTAD DE SISTEMAS MERCANTILES
CARRERA SISTEMAS
PERFIL DE TESIS PREVIO A LA OBTENCION DEL TÍTULO DE INGENIERO
EN SISTEMAS E INFORMÁTICA.
TEMA:
Sistema de gestión de la seguridad de la información basada en la norma
ISO 27001 sobre un Servidor Centos y Servicios de red para el apoyo de la
seguridad y privacidad de la información de la importadora Megatech de la
provincia de Santo Domingo de los Tsáchilas
AUTOR
Rogelio Aladino Guerrero Suárez.
ASESOR
Dr. Fredy Pablo Cañizares Galarza, MGS
SANTO DOMINGO - ECUADOR
2015
Antecedentes de la Investigación
En la Actualidad la Información que poseen las empresas se ha vuelto lo más
importante, generando que el propósito de un sistema de gestión de la seguridad
de la información, sea garantizar que los riesgos de la seguridad de la información
sean conocidos, asumidos, gestionados y minimizados por la organización de una
forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Un servidor es una máquina informática que está al servicio de otras máquinas,
ordenadores o personas llamadas clientes y que le suministran a estos todo tipo de
información.
La finalidad de una red es que los usuarios de los sistemas informáticos de una
entidad o empresa puedan hacer un mejor uso de los mismos mejorando de este
modo el rendimiento, así las entidades o empresas obtienen una serie de ventajas
del uso de las redes en sus entornos de trabajo.
Una vez realizada la presente investigación en la Biblioteca de la universidad
UNIANDES santo Domingo, sobre el tema de Sistema de gestión de seguridad de
la información basada en la norma ISO 27001, se pudo constatar que no existe
ningún tema similar al presente. Sin embargo si existen temas relacionados con
servidores que servirán de GUIA para la elaboración del Trabajo.
 “IMPLEMENTACIÓN, CONFIGURACIÓN DE UN SERVIDOR RADIUS
PARA LA ADMINISTRACIÓN Y SEGURIDADES DE ACCESO AL
SERVICIO WIRELESS EN LA UNIVERSIDAD REGIONAL AUTÓNOMA DE
LOS ANDES UNIANDES – SANTO DOMINGO” Autor. Tlgo. Diego Paul
Palma Rivera. Asesor. Ing. Saed Reascos. Año 2010.
 “IMPLEMENTACIÓN DE TECNOLOGÍA ESTRUCTURADA PARA EL
SERVICIO DE TRANSMISIÓN DE VOZ-IP Y DATOS SOBRE UNA WMAN
ENTRE LOS DEPARTAMENTOS ADMINISTRATIVOS Y OPERATIVOS DE
LA COMERCIALIZADORA DE PRODUCTOS NATURALES JALEA REAL
DE LA CIUDAD DE SANTO DOMINGO” Autor. Jaime Daniel Urgilés
Echeverría Asesor. Ing. Fredy Cañizares. Año 2010.
 “IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN USANDO LA NORMA ISO27000 SOBRE UN SITIO DE
COMERCIO
ELECTRÓNICO
PARA
UNA
NUEVA
INSTITUCIÓN
BANCARIA APLICANDO LOS DOMINIOS DE CONTROL ISO27002:2005 Y
UTILIZANDO LA METODOLOGÍA MAGERIT”
Autor. Marcel Eduardo León Lafebré, Evelyn Anabell Mota Orrala, Joffre
Manuel Navarrete Zambrano Asesor. Ing. Víctor Muñoz Chachapoya. Año
2011.
Situación Problémica
En la actualidad los servidores de datos y servidores de red se han vuelto lo más
importante para el almacenamiento de archivos de las empresas para su
crecimiento, generando la existencia de normas para la seguridad de la
información, la ISO 27001 es un estándar que brinda la confidencialidad, integridad
y disponibilidad de los archivos en las empresas.
En Ecuador uno de los principales activos de las empresas es la información, lo
que significa que son más vulnerables a las amenazas de seguridad informática,
por lo cual es necesario que toda empresa que busque una excelencia en sus
productos o servicio que ofrece, adopte un Sistema de gestión para el manejo
adecuado de la información.
La importadora MEGATECH, se encuentra ubicada en el cantón de Santo Domingo
de la provincia de Santo Domingo de los Tsáchilas, con más de 22 años de
experiencia, Megatech cuenta con un grupo de profesionales capacitados y
certificados para responder y satisfacer las expectativas del Usuario como del
fabricante, con servicio de la más alta calidad humana y profesional para todos sus
clientes.
A través de una observación a la empresa, se pudo descubrir los problemas
relacionados con la seguridad de la información en la empresa.
 El servidor existente xp profesional no está configurado, lo cual no posee
normativas de usuarios, no tiene un control sobre los host y no posee una
contraseña de Administrador, generando que cualquier usuario puede tener
acceso a él.
 La no configuración de Firewall en la importadora, ocasiona que cualquier
host no autorizado acceda al servidor y pueda hurtar la información de la
empresa.
 No existe una configuración sobre la privacidad de la Red en la importadora,
cualquier usuario puede acceder a la información y manipular los archivos
de la empresa.
 El acceso a páginas no autorizadas, genera una pérdida de tiempo por parte
del personal y así a pérdidas de pujas en las compras públicas y consumo
de internet innecesario.
 La no configuración de Seguridades en la Red de la importadora, permite la
libertad de los datos de la empresa en la red para cualquier usuario.
 Servidor Xp profesional No es estable y se encuentra obsoleto, ocasionando
molestia en el personal porque se bloquea y esto genera una mala atención
al cliente.
 La empresa no cuenta con un Backup ni Raid del Disco Duro del Servidor,
provocando que en cualquier momento la empresa puede perder toda
información.
 No existen IP fijas en las maquinas, ocasionando una duplicación de IP en
los host que a su vez se quedan sin red.
Problema Científico
¿Cómo mejorar el control de la seguridad y privacidad de la información que se
encuentra en la importadora MEGATECH de la provincia de Santo Domingo de los
Tsáchilas?
Objeto de Investigación
Sistema de Gestión de la seguridad de la información (SGSI)
Campo De Acción
Seguridad y privacidad de la Información
Identificación de la Línea de Investigación
Tecnologías de Información y Comunicaciones.
Objetivo General
Implementar un Sistema de Gestión de la Seguridad de la Información basada en
la norma ISO 27001 sobre un servidor Centos y servicios de red para el apoyo de
la seguridad y privacidad de la información de la importadora Megatech de la
provincia de Santo Domingo de los Tsáchilas.
Objetivo Especifico
 Fundamentar Científicamente y teóricamente todo lo relacionado al Sistema
de Gestión de la Seguridad de la Información, servidores de Datos y
Servicios de Red.
 Analizar la problemática de la seguridad de la información de la empresa
Megatech de la provincia de Santo Domingo de los Tsáchilas.
 Implementar un Servidor CentOS más servicios de Red para la seguridad y
privacidad de la información de la importadora Megatech de la provincia de
Santo Domingo de los Tsáchilas.
Hipótesis
Con la implementación del Sistema de Gestión de la Seguridad de la Información
basado en la ISO 27001 se tendrá una mejora continua en la seguridad y privacidad
lógica de la información, sobre el servidor CentOS que se va a configurar con sus
servicios de red y así tener una garantía en la disponibilidad e integridad de la
información a todo momento lo cual mejorara la seguridad de la información de la
importadora Megatech de Santo Domingo de los Tsáchilas
Variables
Independiente
Sistema de Gestión de la Seguridad de la Información basado en la norma ISO
27001
Dependiente
Seguridad y privacidad de la Información.
Metodología a Emplear
Se entrevistó verbalmente al Gerente de la importadora Megatech de la Provincia
de Santo Domingo de los Tsáchilas, para tratar la problemática, llegando a
determinar que para esta investigación se va a utilizar la metodología cualicuantitativa, ya que se investigó de forma cualitativa cada proceso que se realiza
para conectarse a la red de la empresa y poder abrir y almacenar archivos alojados
en el servidor.
Métodos
Inductivo-Deductivo: Inductivo: Aquella Orientación que va de los casos
particulares a lo general. Deductivo: Aquella Orientación que va de lo general a lo
especifico. (Romeo, 2014)
Serán de mucha utilidad ya que mediante el método inductivo se analizará el
problema general que tiene la empresa en cuanto a la seguridad y privacidad de
los datos y poder buscar respuestas a la problemática. Y del método deductivo se
partirá de los datos generales que se obtenga para deducir y buscar una solución
al problema que presenta la empresa.
Analítico-Sintético: Estudia los hechos, partiendo de la descomposición del objeto
del estudio en cada una de sus partes para estudiarlas en forma individual
(análisis), y luego se integran esas partes para estudiarlas de manera holística e
integral (síntesis). (Torres, 2010)
Este método ayudara a analizar las causas y efectos que se pudo recopilar de una
forma muy ordenada. Y así poder sintetizar la recopilación que hemos hecho y
determinar un todo para la seguridad y privacidad de la información en la
importadora Megatech de la provincia de Santo Domingo de los Tsáchilas.
Tipos de Investigación
Investigación de Campo
Este proceso nos permitirá conocer en el lugar de los hechos cómo se están
manejando las seguridades y privacidades de la información, y así mejorar la
confidencialidad, integridad y disponibilidad de la información a todo momento.
Investigación Bibliográfica
Esta investigación nos ayudara a fundamentar científicamente la solución a nuestra
problemática, y poder tomar conocimientos de investigaciones ya existentes que
tenga similitud, y así evitar realizar investigaciones ya hechas.
Investigación Descriptiva
Esta investigación nos permitirá identificar las causas y efectos del fenómeno y así
poder evitar la manipulación inadecuada de la información de la empresa creando
una hipótesis a nuestra problemática.
Técnicas
Las técnicas a utilizar para la recopilación de información serán:
Observación: Es una de las técnicas más importantes y consiste en un examen
atento de los diferentes aspectos de un fenómeno con el propósito de estudiar sus
características y comportamiento dentro del medio donde se desenvuelve este.
(Tantapoma, 2012)
Con esta técnica se obtendrá información directamente de las seguridades y
privacidades que tiene al momento de acceder al servidor.
Entrevista: Con esta técnica se recaba información en forma directa, cara a cara,
es decir, el entrevistador obtiene los datos del entrevistado de acuerdo a una lista
de preguntas preconcebidas. (Tantapoma, 2012)
Esta técnica se la realizara al Gerente de la importadora Megatech de la provincia
de Santo Domingo de los Tsáchilas, para conocer a fondo la investigación a
realizar.
Instrumentos
Los instrumentos a utilizar para la investigación serán:
Guía de Entrevista: Es un instrumento para la recolección de información, lo
utilizaremos para la entrevista que le realizaremos al personal de la empresa acerca
de las seguridades y privacidades de la información que tienen en un orden
cualitativo y cuantitativo.
Guía de Observación Directa: nos permitirá tomar anotaciones acerca de la
seguridad y privacidad de la información, durante el acceso al servidor mediante un
cliente para poder conocer las seguridades que tiene.
Esquema de Contenidos
 Sistema de Gestión de la Seguridad de la Información
 Definición de Sistema de Gestión
 Que es un Sistema de Gestión de la Seguridad de la Información
 Ciclo de vida de un Sistema de Gestión

Planificar

Hacer

Verificar

Actuar
 Activo de la Información
 Normas ISO
 Definición de la ISO
 Normas ISO 27001

Definición de las Normas ISO 27001
o Confidencialidad
o Integridad
o Disponibilidad
 Seguridad de la Información.
 Definición
 Seguridad Lógica

Riesgo

Identificación o autenticación

Amenazas

Vulnerabilidades

Ataques

Virus

Hacker

Cracker
 Políticas de Seguridad

Copias de Seguridad
 Privacidad de la Información.
 Definición
 Contraseñas
 Protocolos de la información
 Redes y Comunicaciones de Datos
 Software

DHCP

Firewall

Proxy
 Software Libre
 Sistemas Operativo Linux

Definición

Sistema Operativo CentOS
o Introducción
o Características
o Raid
Aporte Teórico
Por medio de la investigación realizada acerca de los Sistema de Gestión de la
Seguridad de la Información basada en la ISO 27001 para la seguridad y privacidad
de la información, tiene como finalidad resguardar la información expuesta a los
ataques y amenazas lógicas en la red, se mejorara la privacidad de la información
en el servidor de la importadora Megatech dando una mejor imagen a la misma.
Significación Práctica
La significación práctica consiste en la aplicación del Sistema de Gestión de la
Seguridad de la Información sobre el servidor centos que se va aconfigurar en la
importadora Megatech para la seguridad de la información y así resolver la
problemática, de esta manera mejorar las políticas de privacidad y evitar que
colapse el servidor en la red.
Novedad Científica
El Sistema de Gestión de la Seguridad de la Información ayudará de mucho al
servidor para administrar la información ya que tendrá una mejora continua en las
políticas de privacidad de la información, con la cual se obtendrá una mayor
confidencialidad, disponibilidad e integridad de los archivos al momento de acceder
al servidor, y este será de fuente de consulta para docentes, estudiantes, con el
mismo tipo de necesidad de información.
Bibliografía
Andreu, J. (2010). Servicios en Red. Madrid: EDITEX.
Chamillard, G. (2011). Ubuntu Administracion de un Sistema Linux. España,
Barcelona: ENI.
Herederos, C. d. (2011). Organizacion y transformacion de los sistemas de
infromacion en la empresa. Madrid: ESIC.
-incontec-, I. C. (2009). Compendio Sistema de Gestión de la seguridad de la
Informacion (SGSI). Bogota, Colombia: Incotec.
Jordi Iñigo Griera, J. M. (2008). Estructura de Redes de Computadores. Barcelona:
UOC.
López, C. M. (2014). Seguridad de la Informacion. Guatemala: Carolina Villatoro.
López, P. A. (2010). Seguridad Informatica. España, Madrid: Editex, S. A.
Paisig, H. B. (2012). Linux el Sistema Operativo del Futuro. Peru: Macro.
Romeo, A. C. (2014). Metodologia Integral Innovadora para Planes y Tesis. Mexico:
Cengage Learning.
Tantapoma, E. V. (2012). Metodología de la Investigación científica. Peru: Edunt.
Torres, C. A. (2010). Metodología de Investigacion Tercera Edicion. Colombia:
Pearson.
Vieites, Á. G. (2012). Enciclopedia de la Seguridad Informática. Colombia:
Alfaomega.
VER ANEXO 2 CARTA DE ACEPTACIÓN
VER ANEXO 3 CERTIFICADO DE ACEPTACIÓN DE LA EMPRESA
ANEXOS 4 CABLEADO ANTES DE IMPLEMENTAR EL SGSI
ANEXO 5 IMPLEMENTOS E IMPLEMENTACION DE LA NUEVA RED
ANEXO 6 INSTALACION DE CENTOS Y RAID1
Se instalara RAID1 con CentOS para tolerar algún error del disco duro que pueda
presentar en el futuro y así cumplir con el objetivo de la norma ISO 27001, que son
la confidencialidad, integridad y disponibilidad de la información.
Presionamos ENTER, luego seleccionamos nuestro idioma
Observaremos dos Discos Duros, donde el SO al instalarse los reconocerá como
uno solo ya que crearemos el RAID 1.
Con la opción RAID se particiona los discos duros con el mismo tamaño.
Luego que los dos discos tenga el mismo tamaño en cuanto a particiones
procedemos a decirle que opción necesitamos que valla en cada partición realizada
y seleccionaremos de los dos discos las particiones realizadas para que una vez
instalado nuestro SO lo reconozca como un solo disco.
Una vez creado nuestro RAID continuamos con la instalacion de CentOS.
Seleccionamos nuestras tarjetas de red entrada y salida de internet
Seleccionamos nuestra región en nuestro caso América Guayaquil.
Siempre debemos darle una contraseña a nuestro root o a nuestra cuenta de
administrador. Seleccionamos siguiente y siguiente esperamos que se instale y nos
aparecerá nuestro escritorio.
ANEXO 7 APROBACION DE LAS POLITICAS POR EL GERENTE GENERAL
ANEXO 8 CARTAS DE ACEPTACION DE RESPONSABILIDADES DE LA
INFORMACIÓN
ANEXO 9 CAPACITACION SOBRE LAS POLITICAS DE SEGURIDAD AL
PERSONAL DE LA IMPORTADORA
VER ANEXO 10 CONFIGURACION DE USUARIOS A LA INFORMACION
VER ANEXO 11 CONFIGURACION DE ACCESO A LA RED
Las maquinas que operan en la importadora serán configuradas con IP fijas en el
servidor con su respectiva MAC, el cual controlara que no existan conflictos de IP
ya que se dejaran 10 IP dinámicas para los proveedores o clientes.
VER ANEXO 12 INFORMACION CONFIDENCIAL
La información que maneja la importadora es muy confidencial por lo cual solo el
gerente tendrá acceso a todas carpetas que contienen la información y cada
usuario tendrá acceso a la información que el maneje manteniendo una
confidencialidad en la información.
ANEXO 13 RESTRICCIÓN AL ACCESO DE LA INFORMACIÓN
Con el control implementado ahora para ingresar al servidor se necesitara de un
usuario y una contraseña o autentificación, restringiendo el ingreso a usuarios no
autorizados a la información.
ANEXO 14 SEGURIDAD FISICA
El servidor estará ubicado donde instamos nuestros complementos de red bajo
llave y solo tendrán acceso el gerente general, el oficial de seguridad y el
administrador de la información.
ANEXO 15 INSTALACION DE SUMINISTROS
Todos los equipos y el servidor se les instalo un UPS para tolerar cualquier falla
energética.
ANEXO 16 CONTROLES CONTRA CODIGO MALICIOSO
Se instaló y actualizo el antivirus a todas las maquinas que manipulan la
información.
ANEXO 17 CONTROLES DE RED
Se controlara el acceso y uso de la WEB a través de una lista de control de acceso,
que nos brinda el squid o proxy de* nuestro servidor, con el cual ayudara para
proteger la información y para que el empleado agilice sus labores sin distracción.