UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES FACULTAD DE SISTEMAS MERCANTILES CARRERA SISTEMAS PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS E INFORMÁTICA. TEMA: SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN BASADA EN LA NORMA ISO 27001 SOBRE UN SERVIDOR CENTOS Y SERVICIOS DE RED PARA EL APOYO DE LA SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN DE LA IMPORTADORA MEGATECH DE LA PROVINCIA DE SANTO DOMINGO DE LOS TSÁCHILAS AUTOR: GUERRERO SUÁREZ ROGELIO ALADINO. ASESOR: DR. CAÑIZARES GALARZA FREDY PABLO, MGS SANTO DOMINGO - ECUADOR 2016 AGRADECIMIENTOS Primeramente a Dios por protegerme durante todo mi camino y darme fuerzas para superar todos los obstáculos y dificultades a lo largo de mi vida. Mi más profundo agradecimiento a la Universidad Regional Autónoma de los Andes “UNIANDES” y a todos los Ing. Que con sus sabidurías me enseñaron sus conocimientos y me guiaron para cumplir con mi objetivo, especialmente al Dr. Fredy Cañizares por el apoyo necesario brindado en el proyecto de investigación. Agradezco también la confianza y el apoyo brindado por parte de mi Madre, que sin duda alguna en el trayecto de mi vida me ha demostrado su amor, corrigiendo mis faltas y celebrando mis triunfos. Rogelio Aladino Guerrero Suárez DEDICATORIA Dedico este trabajo principalmente a Dios, por darme la vida y permitirme llegar a este momento tan importante de mi formación académica, a mi madre por siempre creer en mí, y a mi hijo que siempre me motivo para seguir adelante. Rogelio Aladino Guerrero Suárez RESUMEN A través de los años la información es el activo más importante en una organización ya que este permite su éxito en el mercado, dando paso al hurto o manipulación maliciosa de la misma, mediante un análisis en la empresa se verifico las seguridades lógicas que tiene la empresa con su información encontrando muchas vulnerabilidades, riesgos y amenazas. El Sistema de Gestión de la Seguridad de la Información (SGSI), será aplicado técnicamente con la finalidad de encontrar las vulnerabilidades en cuanto a la disponibilidad, confidencialidad e integridad de la información, con el fin de minimizarlas, tratarlas, gestionando los riesgos a la cual está expuesta la información, con el objetivo de tener un Sistema de Seguridad en el servidor lo más óptimo posible. La importadora MEGATECH, se encuentra ubicada en el cantón de Santo Domingo de la provincia de Santo Domingo de los Tsáchilas, con más de 22 años de experiencia, Megatech cuenta con un grupo de profesionales capacitados y certificados para responder y satisfacer las expectativas del Usuario como del fabricante, con servicio de la más alta calidad humana y profesional para todos sus clientes. En esta investigación se utilizará métodos, técnicas e instrumentos que permitirán obtener resultados que nos ayudaran a resolver la problemática, el objetivo principal de este proyecto de tesis es ser una herramienta de apoyo para identificar los riesgos lógicos que se presenten en la importadora Megatech, ya sean estos existentes o latentes y determinar las vulnerabilidades a las que se encuentra expuesta, recomendando las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir y controlar los riesgos identificados y así minimizar los perjuicios que pueden existir. ABSTRACT Over the years it has been seen that information is the most important asset in an organization, as it allows success in the market but can also give way to malicious theft or manipulation. Through an analysis of the company, the logical assurances that the company has with its information were verified, finding many vulnerabilities, risks and threats. The Safety Management System of Information (ISMS), will be implemented technically with the purpose of finding vulnerabilities in relation to the availability, confidentiality and integrity of information in order to downplay them and manage the risks to which the information is exposed. The goal is to have a security system on the server be as optimal as possible. The importer, MEGATECH, is located in the canton of Santo Domingo of the province of Santo Domingo of the Tsáchilas. With more than 22 years of experience, Megatech consists of a group of professionals trained and certified to respond to and meet the expectations of the user and the manufacturer with service of the highest human and professional quality for all its customers. In this investigation methods, techniques and instruments will be used to make it possible to obtain results that will help us to resolve the problem. The main objective of this thesis project is to be a support tool to identify the logical risks that arise in the importer Megatech, whether existing or latent, and determine vulnerabilities to which it is exposed. Furthermore, appropriate measures will be recommended that should be taken to learn, prevent, and control risks identified and thus minimizing the damage that may exist. ÍNDICE GENERAL PORTADA APROBACIÓN DEL ASESOR DECLARACIÓN AUTENTICIDAD DERECHOS DEL AUTOR CERTIFICADO DEL LECTOR AGRADECIMIENTOS DEDICATORIA RESUMEN ABSTRACT INTRODUCCIÓN .................................................................................................... 1 Antecedentes....................................................................................................... 1 Planteamiento del problema ................................................................................ 2 Formulación del Problema ................................................................................... 4 Delimitación del Problema ................................................................................... 4 Objeto de Investigación ....................................................................................... 4 Campo de Acción ................................................................................................ 4 Identificación de la línea de Investigación ........................................................... 5 OBJETIVOS ........................................................................................................ 5 Objetivo General ......................................................................................... 5 Objetivo Específicos ................................................................................... 5 Hipótesis .............................................................................................................. 5 Variables.............................................................................................................. 6 Independiente ............................................................................................. 6 Dependiente................................................................................................ 6 Justificación ......................................................................................................... 6 Breve explicación de la metodología investigativa a emplear.............................. 7 Resumen de la estructura del proyecto de investigación .................................... 8 Aporte teórico, significación práctica y novedad científica. .................................. 9 Aporte Teórico ............................................................................................ 9 Significación Práctica .................................................................................. 9 Novedad Científica ...................................................................................... 9 CAPÍTULO I .......................................................................................................... 10 MARCO TEÓRICO ............................................................................................... 10 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN............. 10 Definición de los Sistemas de Gestión ...................................................... 10 ¿Que es un Sistema de Gestión de la Seguridad de la Información? ....... 11 Ciclo de vida de un sistema de Gestión .................................................... 11 Planificar ................................................................................................... 12 Hacer ........................................................................................................ 13 Verificar ..................................................................................................... 13 Actuar........................................................................................................ 14 Activo de la Información ............................................................................ 14 NORMAS ISO.................................................................................................... 15 Definición de la ISO .................................................................................. 15 NORMA ISO 27001 ........................................................................................... 17 Definición ISO 27001 ................................................................................ 17 Confidencialidad ....................................................................................... 18 Integridad .................................................................................................. 19 Disponibilidad............................................................................................ 19 SEGURIDAD DE LA INFORMACIÓN................................................................ 20 Definición .................................................................................................. 20 Seguridad Lógica ...................................................................................... 21 Riesgo ....................................................................................................... 21 Identificación y Autenticación .................................................................... 22 Amenazas ................................................................................................. 23 Vulnerabilidades ....................................................................................... 23 Ataques ..................................................................................................... 24 Virus .......................................................................................................... 25 Hacker....................................................................................................... 26 Cracker ..................................................................................................... 27 Políticas de Seguridad ....................................................................................... 28 Copias de Seguridad ................................................................................ 29 PRIVACIDAD DE LA INFORMACIÓN ............................................................... 30 Definición .................................................................................................. 30 Contraseñas.............................................................................................. 31 Protocolos de seguridad de la información ............................................... 31 REDES Y COMUNICACIÓN DE DATOS .......................................................... 32 SOFTWARE ...................................................................................................... 33 DHCP ........................................................................................................ 33 Firewall...................................................................................................... 34 Proxy ......................................................................................................... 35 SOFTWARE LIBRE ........................................................................................... 36 SISTEMA OPERATIVO LINUX ......................................................................... 36 Definición .................................................................................................. 36 SISTEMA OPERATIVO CENTOS ..................................................................... 37 Introducción .............................................................................................. 37 Características .......................................................................................... 38 Raid .......................................................................................................... 39 CONCLUSIONES PARCIALES DEL CAPÍTULO I ............................................ 41 CAPÍTULO II ......................................................................................................... 42 MARCO METODOLÓGICO Y PLANTAMIENTO DE LA PROPUESTA .............. 42 ANÁLISIS PREVIO DE LA EMPRESA .............................................................. 42 Historia ...................................................................................................... 42 Servicios ................................................................................................... 43 Misión........................................................................................................ 43 Visión ........................................................................................................ 43 Valores corporativos ................................................................................. 44 Organigrama Estructural de la importadora Megatech. ..................................... 44 Modalidad de la Investigación ........................................................................... 45 Cualitativa ................................................................................................. 45 Cuantitativa ............................................................................................... 45 Tipos de Investigación ....................................................................................... 45 Investigación de Campo............................................................................ 45 Investigación Bibliográfica......................................................................... 46 Investigación Descriptiva .......................................................................... 46 Métodos de Investigación .................................................................................. 46 Método inductivo-deductivo ...................................................................... 46 Método Analítico – Sintético...................................................................... 46 Técnicas de Investigación ................................................................................. 47 Observación .............................................................................................. 47 Entrevista .................................................................................................. 47 Instrumentos de Investigación ........................................................................... 47 Guía de Entrevista .................................................................................... 47 Guía de Observación Directa .................................................................... 47 Población y Muestra .......................................................................................... 48 Población .................................................................................................. 48 Muestra ..................................................................................................... 48 INTERPRETACIÓN DE RESULTADOS ............................................................ 49 Tabulación de datos de la entrevista ........................................................ 49 PROPUESTA DEL INVESTIGADOR: MODELO, SISTEMA Y METODOLOGIA .......................................................................................................................... 53 Modelo PDCA ........................................................................................... 53 Definición de Requerimientos ................................................................... 54 Diseño ....................................................................................................... 54 Implementación ......................................................................................... 55 Pruebas..................................................................................................... 55 Mantenimiento y Mejora Continua ............................................................ 55 CONCLUSIONES PARCIALES DEL CAPÍTULO II ........................................... 56 CAPÍTULO III ........................................................................................................ 57 VALIDACIÓN Y/O EVALUACIÓN DE LOS RESULTADOS DE LA APLICACIÓN .............................................................................................................................. 57 INTRODUCCIÓN ............................................................................................... 57 OBJETIVOS ...................................................................................................... 57 Objetivo general ........................................................................................ 57 Objetivos específicos ................................................................................ 57 DESARROLLO DE LA PROPUESTA ................................................................ 58 SEGURIDAD DE LA INFORMACIÓN ACTUALMENTE EN LA IMPORTADORA. .......................................................................................................................... 58 Contraseñas.............................................................................................. 58 Red interna ............................................................................................... 59 Acceso a la WEB ...................................................................................... 60 Antivirus .................................................................................................... 62 Control de aplicaciones en PC’s ............................................................... 62 Control de acceso a los equipos ............................................................... 62 Dispositivo de soporte ............................................................................... 63 Responsables de la seguridad de la información Y equipos ..................... 63 Backup ...................................................................................................... 64 INSTALACION DEL SERVIDOR. ...................................................................... 64 Instalación y configuración del servicio samba ......................................... 65 Instalación del servicio DHCP ................................................................... 67 Instalacion y configuracion del proxy ........................................................ 68 Configuración de firewall o cortafuegos. ................................................... 71 INSTALACIÓN CABLEADO ESTRUCTURADO. .............................................. 72 IMPLEMENTACION DEL SGSI ......................................................................... 74 Método PDCA ........................................................................................... 74 Etapas de implementación. ....................................................................... 75 ETAPA 1 PLANIFICAR ...................................................................................... 76 ALCANCE DEL SGSI ............................................................................... 76 POLÍTICA DE SEGURIDAD ..................................................................... 77 METODOLOGÍA DE EVALUACIÓN DE RIESGO .................................... 84 IDENTIFICACIÓN DE ACTIVOS .............................................................. 85 ANÁLISIS Y EVALUACIÓN DE RIESGOS. .............................................. 95 CONTROLES DE LA ISO 27001 QUE SE SELECCIONARON ................ 99 APLICABILIDAD DEL SGSI .................................................................... 105 ETAPA 2 HACER ............................................................................................ 115 DEFINIR PLAN DE TRATAMIENTO DE RIESGOS ............................... 115 IMPLANTAR PLAN DE TRATAMIENTO DE RIESGO ............................ 116 IMPLEMENTACIÓN DE CONTROLES................................................... 118 PRESUPUESTO ................................................................................................. 126 IMPACTO ADMINISTRATIVO ............................................................................ 127 CONCLUSIONES PARCIALES DEL CAPÍTULO III............................................ 128 CONCLUSIONES GENERALES......................................................................... 129 RECOMENDACIONES GENERALES ................................................................ 130 BIBLIOGRAFÍA ÍNDICE DE FIGURAS Figura 1 tabla de raid ....................................................................................... 40 Figura 2 organigrama estructural de la importadora Megatech ........................ 44 Figura 3 resultado de tabulaciones, pregunta 1, pregunta 2, pregunta 3 ......... 49 Figura 4 resultados de tabulaciones, pregunta 4 a la pregunta 6..................... 51 Figura 5 entrevista al personal de la importadora Megatech ........................... 52 Figura 6 ciclo de vida del sgsi .......................................................................... 54 Figura 7 estructura de la red de la importadora Megatech ............................... 61 Figura 8 centos instalado ................................................................................. 64 Figura 9 creación de usuarios y contraseña .................................................... 65 Figura 10 instalación de samba ....................................................................... 65 Figura 11 accedemos al archivo de samba smb.conf ...................................... 66 Figura 12 configuración grupo de trabajo ......................................................... 66 Figura 13 creación de carpetas y privilegios a usuarios ................................... 66 Figura 14 instalación del servicio DHCP .......................................................... 67 Figura 15 configuración del servicio DHCP ...................................................... 68 Figura 16 configuración IP + MAC ................................................................... 68 Figura 17 instalación del servicio squid ............................................................ 69 Figura 18 configuración recomendada squid ................................................... 69 Figura 19 primer acl prohibido.......................................................................... 70 Figura 20 segundo acl redes sociales .............................................................. 70 Figura 21 llamamos nuestras acl ..................................................................... 70 Figura 22 configuración iptables ...................................................................... 71 Figura 23 reenvío de paquetes ........................................................................ 71 Figura 24 administración del puerto tcp/443 .................................................... 72 Figura 25 nuevo esquema de la red interna ..................................................... 73 Figura 26 ciclo de vida del SGSI ...................................................................... 74 Figura 27 etapas de implementación del SGSI ................................................ 75 ÍNDICE DE TABLAS Tabla 1 población ............................................................................................. 48 Tabla 2 entrevista al personal de la importadora Megatech............................. 49 Tabla 3 entrevista al personal de la importadora Megatech............................. 50 Tabla 4 entrevista al personal de la importadora Megatech............................. 52 Tabla 5 inventario de equipos de la importadora Megatech ............................. 59 Tabla 6 detalle de implementos de red ............................................................ 72 Tabla 7 identificación de activos ...................................................................... 85 Tabla 8 confidencialidad .................................................................................. 86 Tabla 9 valores integridad ................................................................................ 86 Tabla 10 valores disponibilidad ........................................................................ 86 Tabla 11 valoración de activos ......................................................................... 87 Tabla 12 amenazas y vulnerabilidades ............................................................ 89 Tabla 13 valoración del impacto....................................................................... 92 Tabla 14 determinación del riesgo ................................................................... 96 Tabla 15 selección de controles de la ISO 27001 ............................................ 99 Tabla 16 aplicabilidad del SGSI ..................................................................... 105 Tabla 17 plan de tratamiento de riesgo .......................................................... 116 Tabla 18 mantenimiento de equipos .............................................................. 124 Tabla 19 presupuesto implementación SGSI ................................................. 127 INTRODUCCIÓN Antecedentes En la Actualidad la Información que poseen las empresas se a vuelto lo más importante, generando que el propósito de un sistema de gestión de la seguridad de la información, sea garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. Un servidor es una máquina informática que está al servicio de otras máquinas, ordenadores o personas llamadas clientes y que le suministran a estos todo tipo de información. La finalidad de una red es que los usuarios de los sistemas informáticos de una entidad o empresa puedan hacer un mejor uso de los mismos, mejorando de este modo el rendimiento, así las entidades o empresas obtienen una serie de ventajas del uso de las redes en su entorno de trabajo. Una vez realizada la presente investigación, en la biblioteca de la Universidad UNIANDES Santo Domingo, sobre el tema de Sistema de gestión de seguridad de la información basada en la norma ISO 27000 se pudo constatar que no existe ningún tema similar al presente. Sin embargo si existen temas relacionados con servidores que nos servirán de GUIA para la elaboración del Trabajo. “IMPLEMENTACIÓN, CONFIGURACIÓN DE UN SERVIDOR RADIUS PARA LA ADMINISTRACIÓN Y SEGURIDADES DE ACCESO AL SERVICIO WIRELESS EN LA UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES – SANTO DOMINGO” Autor. Tlgo. Diego Paul Palma Rivera. Asesor. Ing. Saed Reascos. Año 2010. 1 “IMPLEMENTACIÓN DE TECNOLOGÍA ESTRUCTURADA PARA EL SERVICIO DE TRANSMISIÓN DE VOZ-IP Y DATOS SOBRE UNA WMAN ENTRE LOS DEPARTAMENTOS ADMINISTRATIVOS Y OPERATIVOS DE LA COMERCIALIZADORA DE PRODUCTOS NATURALES JALEA REAL DE LA CIUDAD DE SANTO DOMINGO” Autor. Jaime Daniel Urgilés Echeverría Asesor. Ing. Fredy Cañizares. Año 2010. “IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN USANDO LA NORMA ISO27000 SOBRE UN SITIO DE COMERCIO ELECTRÓNICO PARA UNA NUEVA INSTITUCIÓN BANCARIA APLICANDO LOS DOMINIOS DE CONTROL ISO27002:2005 Y UTILIZANDO LA METODOLOGÍA MAGERIT” Autor. Marcel Eduardo León Lafebré, Evelyn Anabell Mota Orrala, Joffre Manuel Navarrete Zambrano Asesor. Ing. Víctor Muñoz Chachapoya. Año 2011. Planteamiento del problema En la actualidad los servidores se han vuelto lo más importante para el almacenamiento de archivos de las empresas para su crecimiento, generando la existencia de normas para la seguridad de la información, la ISO 27001 es un estándar que nos brinda la confidencialidad, integridad y disponibilidad de los archivos en las organizaciones. En Ecuador uno de los principales activos de las empresas, es la información, lo que significa que son más vulnerables a las amenazas de seguridad informática, por lo cual es necesario que toda empresa que busque una excelencia en sus productos o servicio, que ofrece, adopte un Sistema de gestión para el manejo adecuado de la información. La importadora MEGATECH, se encuentra ubicada en el cantón de Santo Domingo de la provincia de Santo Domingo de los Tsáchilas, con más de 22 años de experiencia, Megatech cuenta con un grupo de profesionales capacitados y certificados para responder y satisfacer las expectativas del usuario como del 2 fabricante, con servicio de la más alta calidad humana y profesional para todos sus clientes. A través de una observación informal y una entrevista verbal realizada al Gerente de dicha empresa, se pudo descubrir los problemas relacionados con la seguridad de la información en la empresa. El servidor existente XP profesional no está configurado, lo cual no posee normativas de usuarios, no tiene un control sobre los host y no posee una contraseña de Administrador, generando que cualquier usuario pueda tener acceso a él. La no configuración de Firewall en la empresa, ocasiona que cualquier host no autorizado acceda al servidor y pueda hurtar la información de la empresa. No existe una configuración sobre la privacidad de la Red en la empresa, cualquier usuario puede acceder a la información y manipular los archivos de la empresa. El acceso a páginas no autorizadas, genera una pérdida de tiempo por parte del personal y pérdidas de contratos en las compras públicas y consumo de internet innecesario. La no configuración de Seguridades en la Red de la empresa, permite la libertad de los datos de la empresa en la red para cualquier usuario. Servidor XP, no es estable y se encuentra obsoleto, ocasionando molestia en el personal, porque se bloquea y esto genera una mala atención al cliente. La empresa no cuenta con un Backup ni Raid del Disco Duro del Servidor, provocando que en cualquier momento la empresa puede perder toda información. 3 No existen IP fijas en las maquinas, ocasionando una duplicación de IP en los host que a su vez se quedan sin red. Formulación del Problema ¿Cómo mejorar el control de la seguridad y privacidad de la información que se encuentra en la importadora MEGATECH de la provincia de Santo Domingo de los Tsáchilas? Delimitación del Problema La investigación se va a realizar en la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas, ubicado en la Calle Río Baba #143 bajos del Ministerio del Ambiente en el cantón Santo Domingo, la cual estará orientada a un Sistema de Gestión de la Seguridad de la Información (SGSI) donde se implementaran los controles necesarios sobre un servidor CentOS5.5 que se va a instalar y configurar de la siguiente manera, se necesitara un usuario y una contraseña para ingresar al servidor mediante la cual dependiendo del usuario tendrá acceso a las carpetas que se hayan dado acceso desde el servidor, se implementara un firewall para el acceso de internet a la red local, y bloquear redes sociales mediante el puerto seguro 443, y un proxy para bloquear paginas no deseadas, un servicio de red totalmente cableado y así obtener una confidencialidad, integridad y disponibilidad de la información , la importadora si desea puede pedir la certificación ISO27001 caso contrario no se la ara, la presente investigación se realizará durante el año 2015-2016. Objeto de Investigación Sistema de Gestión de la Seguridad de la Información (SGSI) Campo de Acción Seguridad y Privacidad de la Información. 4 Identificación de la línea de Investigación Tecnologías de Información y Comunicaciones. OBJETIVOS Objetivo General Implementar un Sistema de gestión de la seguridad de la información basada en la norma ISO 27001 sobre el servidor CentOS y servicios de red que se va a configurar, para el apoyo de la seguridad y privacidad lógica de la información de la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas. Objetivo Específicos Fundamentar Científicamente y teóricamente todo lo relacionado al Sistema de Gestión de la Seguridad de la Información, servidores de datos y servicios de Red. Analizar la problemática de la seguridad de la información de la empresa Megatech de la provincia de Santo Domingo de los Tsáchilas. Implementar Un Servidor CentOS más servicios de Red para la seguridad y privacidad de la información de la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas. Hipótesis Con la implementación del Sistema de Gestión de la Seguridad de la Información basado en la ISO 27001, se tendrá una mejora continua en la seguridad y privacidad de la información, sobre el servidor que se va a configurar con sus servicios de red y así tener una garantía en la disponibilidad e integridad de la información a todo 5 momento lo cual mejorara los ingresos de la importadora Megatech de Santo Domingo de los Tsáchilas. Variables Independiente Sistema de Gestión de la Seguridad de la Información basado en la ISO 27001 Dependiente Seguridad y privacidad de la Información. Justificación Las seguridades en general se han basado a evitar los peligros, riesgos y daños, la seguridad no es un producto que pueda comprarse en una tienda, pues consiste en un conjunto de políticas, personas, procesos y tecnologías. Las organizaciones están conscientes que necesitan proteger y almacenar su información con la cual tienen una importante competitividad en el mercado, a su vez encontrándose expuestos cada vez a un número elevado de riesgos y amenazas, surgiendo una gran demanda en servidores locales y las organizaciones grandes y pequeñas están optando por un servidor con las mejores seguridades que puede tener, el cual en el mercado tecnológico encontramos en primer lugar al SO LINUX CENTOS que da una excelente garantía en seguridades y servicios de red, dejando instalar varios servicios en una misma TORRE, aparte de ser libre y con la comunidad en la web más grande, en cuanto a servidores en la cual se puede consultar cualquier duda sobre el mismo, y así evitar el robo y manipulación de sus datos confidenciales, porque hoy en día es fácil tener herramientas que permiten a personas no autorizadas llegar a esta información, aumentando día a día hackers, cracker, lamer informáticos, robos de identidad, spam, virus, por nombrar algunos, y esto puede llevar a la quiebra a cualquier empresa en crecimiento. 6 Pero se necesita conocer las amenazas lógicas para poder afrontarlas y evitarlas de una manera adecuada, para ello debemos evaluar los riesgos que nos puede presentar el servidor y los host conectados al mismo. Un Sistema de Gestión de Seguridad de la información ISO. 27001, es una herramienta o metodología sencilla y de bajo costo que cualquier organización ya sea grande o pequeña la puede utilizar, la norma permite establecer políticas, procedimientos y controles con objetivo de disminuir los riesgos lógicos en el servidor de su organización. Los beneficios que nos brindaría el Sistema de Gestión de la seguridad de la información ISO 27001 sería una estructura de reducción de riesgos lógicos y llevar un seguimiento sobre ellos, reducir perdidas de información, cumplimientos de las políticas establecidas para que la información esté asegurada, ahorro a la inversión innecesaria sobre evitar los riesgos lógicos del servidor. Breve explicación de la metodología investigativa a emplear. Se entrevistó verbalmente al Gerente de la importadora Megatech de la Provincia de Santo Domingo de los Tsáchilas, para tratar la problemática, llegando a determinar que para esta investigación se va a utilizar la metodología cualicuantitativa, ya que se investigó de forma cualitativa cada proceso que se realiza para conectarse a la red de la empresa y poder abrir y almacenar archivos alojados en el servidor. Se aplicaran los métodos: inductivo-deductivo, donde con el método inductivo analizaremos el problema general que tiene la empresa en cuanto a la seguridad y privacidad de los datos y poder buscar respuestas a la problemática. Y del método deductivo partiremos de los datos generales que obtengamos para deducir y buscar una solución al problema que presenta la empresa. Además se utilizara el método analítico-sintético, donde nos ayudara a analizar las causas y efectos que se pudo recopilar de una forma muy ordenada. Y así poder 7 sintetizar la recopilación que hemos hecho y determinar un todo para la seguridad y privacidad de la información en la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas. En lo que respecta a la investigación del campo nos permitirá conocer en el lugar de los hechos cómo se están manejando las seguridades y privacidades de la información, y así mejorar la confidencialidad, integridad y disponibilidad de la información a todo momento. Resumen de la estructura del proyecto de investigación En la introducción de la presente tesis se encuentra los antecedentes de la investigación que dio paso al planteamiento del problema, creando una hipótesis, lo cual permitió la implementación de un sistema de gestión de la seguridad de la información basado en la norma ISO 27001 para el apoyo de la seguridad y privacidad de la información en la importadora Megatech. Capítulo I: El marco teórico se basa en fundamentar el tema de investigación a través de libros, revistas, y direcciones electrónicas en la WEB, este capítulo también habla del origen y evolución de nuestro objeto de estudio, analizando distintas posiciones teóricas para poder dar una valoración crítica a nuestro objeto de la investigación. Capítulo II: El marco metodológico es donde presentamos la propuesta para la solución al problema según los resultados alcanzados en la investigación gracias a la metodología, los tipos de investigación, métodos y las técnicas e instrumentos de recolección de información que se emplearon, también se habla de una breve introducción de la empresa donde se va a desarrollar la investigación. Capítulo III: Validación y/o evolución de resultados de su aplicación, se realiza un análisis de los resultados alcanzados en la investigación para poder llegar a la implementación de nuestro Sistema de gestión de la Seguridad de la Información que se basa en la norma ISO 27001, donde ayudara a la seguridad y privacidad de 8 la información, reduciendo los riesgos, vulnerabilidades y amenazas, implementando controles de seguridad, permitiendo que la información sea confidencial, integra y que siempre esté disponible cuando se la necesite. Aporte teórico, significación práctica y novedad científica. Aporte Teórico Por medio de la investigación realizada acerca de los Sistema de Gestión de la Seguridad de la Información basada en la ISO 27001, para la seguridad y privacidad de la información, tiene como finalidad resguardar la información expuesta a los riesgos, vulnerabilidades y amenazas mediante controles de seguridad, se mejorara la seguridad y privacidad de la información en el servidor de la importadora Megatech dando una mejor imagen a la misma. Significación Práctica La significación práctica consiste en la aplicación del Sistema de Gestión de la Seguridad de la Información en la importadora Megatech para la seguridad de la información y así resolver la problemática, de esta manera mejorar las políticas de privacidad y evitar que colapse el servidor en la red. Novedad Científica El Sistema de Gestión de la Seguridad de la Información ayudará de mucho al servidor para administrar la información, ya que contara con controles que tienen una mejora continua ya que no son estáticos en cuanto a la seguridad y privacidad de la información, con la cual se obtendrá una mayor confidencialidad, disponibilidad e integridad de los archivos al momento de acceder al servidor, y este será de fuente de consulta para docentes, estudiantes, con el mismo tipo de necesidad de información. 9 CAPÍTULO I MARCO TEÓRICO SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Definición de los Sistemas de Gestión El sistema de gestión es la herramienta que permite dar coherencias a todas las actividades que se realizan, y en todos los niveles, para alcanzar el propósito de la organización. Una organización se encuentra en un nivel determinado de madurez dependiendo del sistema de gestión que está utilizando, o dicho de otra manera, una empresa crece en madurez a medida que va consolidando un sistema de gestión que le permite alinear todos los esfuerzos en la misma dirección apunta a una imagen de empresa concreta (visión) el crecimiento debe ser equilibrado. Para identificar la situación actual de la empresa y las áreas débiles respecto al crecimiento equilibrado. ( Ogalla Segura, 2012, págs. 3, 4) El sistema de gestión es un instrumento administrativo creado y apoyado por la dirección de la empresa que le permite obtener las informaciones necesarias, fiables y oportunas, para la toma de decisiones operativas y estratégicas. Tiene un papel fundamental como sistema de información para la misma. (Muñiz, 2013, pág. 28) Un sistema de Gestión es el que ayuda a prevenir los riesgos que presente la organización de una forma ordenada, documentada, para tener una mejora continua y seguimiento de los riesgos que presente constantemente para lograr las metas y objetivos que se tiene propuesta la organización a un largo plazo de una forma estratégica optimizando procesos. 10 ¿Que es un Sistema de Gestión de la Seguridad de la Información? Un SGSI es una parte del sistema de gestión de una organización, basado en una aproximación a los riesgos del negocio, que permite establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información de una organización. (Gil, 2014, pág. 205) Hay que darse cuenta de que la creación de un SGSI es una decisión estratégica de la organización y debe ser apoyada y supervisada por la dirección. Su implementación dependerá de los objetivos establecidos, los requisitos de seguridad, los procesos involucrados y la propia estructura de la organización. (Gil, 2014, pág. 205) Con un Sistema de Gestión de la seguridad de la información, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente. (De Pablos Heredero, López Hermoso Agius, Romo Romero, & Medina Salgado, 2011, pág. 362) Un SGSI es un conjunto de políticas de privacidad documentada para reducir los riesgos en la organización y evitar pérdidas de información, un SGSI es muy utilizado por la familia de norma ISO 27000, ya que este estándar preservara la confidencialidad, integridad y disponibilidad de los datos a todo momento, no hay que confundir SEGURIDAD DE LA INFORMACIÓN CON SEGURIDAD INFORMATICA. Ciclo de vida de un sistema de Gestión El ciclo “Planificar-Hacer-Verificar-Actuar” fue desarrollado inicialmente en la década de 1920 por Walter Shewhart, y fue popularizado luego por W. Edwards Deming, razón por la cual es frecuentemente conocido como “Ciclo Deming”. Dentro del contexto de un SGC, el PHVA es un ciclo dinámico que puede desarrollarse dentro de cada organización y en el sistema de procesos como un 11 todo. Está íntimamente asociado con la planificación, implementación, control y mejora continua, tanto en la realización del producto como en otros procesos del sistema de gestión. (Pérez Villa & Múnera Vásquez, 2007, pág. 50) El ciclo de mejora continua se distinguen cuatro fases: planificar, hacer, verificar y actuar que se corresponden con las cuatro áreas del círculo PDCA o PHVA, conocido también como rueda Deming, con el que se identifica la mejora continua. La mejora continua debe ser un objetivo permanente de las organizaciones; todo lo que suponga un estancamiento de las actividades para la búsqueda de la mejora continua acabará por significar un retroceso en la efectividad del sistema de gestión. (Couto Lorenzo, 2011, págs. 2,3) El ciclo de Deming de Planificar-Hacer-Verificar-Actuar es un eficaz sistema para la gestión de calidad, un conjunto de prácticas de gestión que ayuda a las compañías a mejorar su calidad y productividad. (Case, 2009, pág. 186) El ciclo de vida de los Sistemas de Gestión conocido como ciclo de Deming mediante sus cuatro fases: Planificar, Hacer, Verificar y Actuar es el que se encarga de dar una mejora continua a la productividad de los servicios o a su vez a la reducción de los riesgos laborales que pueda presentar mediante una planificación, con el fin de lograr los objetivos y metas propuestos por la organización. Planificar Establecer los objetivos y procesos necesarios para conseguir resultados de acuerdo con los requisitos del cliente y las políticas de la organización. (Cabo Salvador, 2014, pág. 628) Reunir datos del proceso a estudiar, como planificar lo que se desea lograr en un tiempo determinado, señalando las actividades a desarrollar. (Tamioka Suzuki, Quijano Urbina, & Canavesi Rimbaud, 2014, pág. 43) 12 Planificar en el ciclo de vida del SGSI es definir las actividades con las cuales se lograra los objetivos con los que se llegara a tener la implementación de un Sistema de Gestión de la Seguridad de la Información. Hacer Consiste en la implementación del plan propuesto. Es conveniente antes de la implantación definitiva, realizar un proyecto piloto en un área de la empresa, para detectar posibles actitudes de resistencia a los cambios propuestos y es recomendable que toda variación respecto a lo programado quede documentada. (Gonzáles Gaya, Domingo Navas, & Sebastián Pérez, 2013, pág. 23) Se implementan o ejecutan los pasos identificado en la planificación. Después se pasa al nivel de verificación (Check), en el que, una vez ha transcurrido el tiempo estimado, se comprueban los resultados comparándolos con los objetivos y especificaciones iniciales. Esas comprobaciones se documentan. (Villar Varela, 2014, pág. 77) Hacer en el ciclo de vida del SGSI es realizar los procesos que se lograron mediante los objetivos en la planificación, y guardar todos los procesos realizados, y si es posible capacitar al personal que se involucra en el Sistema Gestión de la Seguridad de la Información. Verificar Es el momento de verificar y controlar los efectos y resultados que surjan de aplicar las mejoras planificadas. Se ha de comprobar si los objetivos marcados se han logrado o, si no es así, planificar de nuevo para tratar de superarlos. (Cuatrecasas Arbós, 2010, pág. 66) Pasado un periodo de tiempo previsto antemano, volver a recopilar datos de control y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para 13 evaluar si se ha producido la mejora esperada, documentar las conclusiones. (Fernández García, 2010, pág. 30) Verificar en el ciclo de vida del SGSI es realizar un seguimiento de las políticas, objetivos que se implementaron en las fases anteriores para determinar si se obtienen los resultados que se esperaban o se necesita realizar una mejora continua, informar sobre las conclusiones que se obtiene. Actuar Mantener y mejorar el SGSI, realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones de Sistema de Gestión de la Seguridad de la Información o cualquier otra información relevante para permitir la continua mejora del Sistema de Gestión. (Corletti Estrada, 2011, pág. 516) En función de los resultados de la comprobación anterior, en esta etapa se realizan las correcciones necesarias, ajustes, o se convierten las mejoras alcanzadas de una forma estabilizada de ejecutar el proceso actualización. (Hernández Herrero, Moreno Gonzáles, Zaragozá García, & Porras Chavarino, 2011, pág. 688) Actuar en el ciclo de vida del SGSI es realizar modificaciones, correcciones a nuestro Sistema de Gestión si la mejora que se esperaba no es la adecuada, para que la próxima vez se obtenga la mejora que se desea, lo bien se corrige lo mal se elimina. Activo de la Información En función del momento en el que se encuentre un documento dentro de su ciclo vital, se utilizará con mayor o menor frecuencia. Si la documentación se consulta con mucha frecuencia, se conservará en el archivo activo o de gestión, que la almacena en las mismas oficinas en las que se produce para que sea más fácil y rápido recuperarla. Los documentos con vigencia absoluta deben estar disponibles 14 en cualquier momento y para cualquier persona. (Hermida Mondelo & Iglesias Fernández, 2014, págs. 96, 97) La información se ha convertido en uno de los activos más importantes de todas las empresas y organizaciones, con independencia de cuáles sean sus ámbitos de negocio o actuación. Para obtener esta información, sus sistemas informáticos (SI), en general, necesitan acceder a diferentes fuentes de datos guardadas en dispositivos de almacenamiento permanente. (Marco Galindo, Marco Simó, Prieto Blázquez, & Segret Sala, 2010, pág. 139) La información es un activo, llegando hacer lo más importante en una organización, guardados lógicamente o físicamente, la cual está expuesta a riesgos laborales, los Sistemas de Gestión de la Seguridad de la Información nos ayuda a la prevención de estos riesgos para que las organizaciones cuenten con su información a todo momento con una confidencialidad, disponibilidad e integridad. NORMAS ISO Definición de la ISO La organización Internacional para la estandarización ISO (International Organization for Standardization) tiene como objetivo el desarrollo de diversos tipo de normas. La norma ISO 9000 (www.iso.org) busca promover la gestión dela calidad, para lo cual, la organización que desee recibir esta certificación debe cumplir con una serie de criterios de calidad en relación a los requerimientos de los clientes, aplicar regularmente estos requerimientos para mantener su satisfacción y lograr continuas mejoras de desarrollo en pos de conseguir los objetivos propuestos calidad. (Morales Morgado, 2010, pág. 132) ISO define la calidad como: “El conjunto de propiedades características de un producto o servicio que le confieren su aptitud para satisfacer unas necesidades expresadas o implícitas”. (Morales Morgado, 2010, pág. 132) 15 Las Organización Internacional de Normalización (ISO) es una federación de organismos nacionales de normalización. Los comités técnicos de ISO (ISO/TC) llevan a cabo el trabajo de elaboración de las normas internacionales. Todos los organismos miembros interesados en una materia para la cual se haya establecido un comité técnico tienen derecho a estar representados en dicho comité. Otras organizaciones internaciones, publicas y privadas, en coordinación con ISO, participan en el trabajo. (Griful Ponsati & Canela, 2005, pág. 34) ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica. Los proyectos o borradores de normas internacionales (ISO/DIS) elaborados por los comités técnicos son enviados a los organismos miembros para su votación, que requiere para su aprobación una mayoría del 75%. (Griful Ponsati & Canela, 2005, pág. 34) La ISO (International Standardization, u Organización Internacional de Normalización) produce normas técnicas de carácter específico y de adhesión voluntaria desde 1947. Las técnicas y sectores de negocio que abarcan se han ido ampliando y, claro está, diversificando cada vez más, llegando incluso en la actualidad a entes de carácter público. (Florentino fernández, Iglesias Pastrana, Llaneza Álvarez, & Fernández Mñiz, 2010, pág. 221) La ISO (Organización Internacional de Normalización) está presente en 157 países en el mundo y tiene como finalidad establecer normas documentadas a los productos o servicios que prestan o venden en una organización pública o privada y así garantizar la calidad a la necesidad del consumidor, logrando una buena imagen de la organización, obteniendo una satisfacción con los clientes o con los procesos que se realicen. 16 NORMA ISO 27001 Definición ISO 27001 Se denomina requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI) proporciona un macro de estandarización para la seguridad de la información para que sea aplicado en una organización o empresa y comprende un conjunto de normas sobre las siguientes materias: Según (García, Hurtado, & Alegre Ramos) Una organización comprende un conjunto de normas sobre las siguientes materias: Sistemas de gestión de la seguridad de la información. Valoración de riesgos Controles Que constituye a la ISO 17799-1, abarca un conjunto de normas relacionadas con la seguridad informática. Se basa en la norma BS 7799-2 de British Standard, otro organismo de normalización. . (García, Hurtado, & Alegre Ramos, 2011, pág. 19) Según esta norma, que es la principal de la serie, la seguridad de la información es la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento. (García, Hurtado, & Alegre Ramos, 2011, pág. 19) La norma 27001 gestiona. Se basa en un Sistema de Gestión de la Seguridad de Información, también conocido como SGSI. Este sistema, bien implantado en una empresa, nos permitirá hacer un análisis de los requerimientos de la seguridad de nuestro entorno. Con ellos, podremos crear procedimientos de mantenimiento y puesta a punto, y aplicar controles para medir la eficacia de nuestro trabajo. La norma contempla cada uno de estos requisitos y nos ayuda a organizar todos los procedimientos. (Marchionni, 2011, pág. 90) 17 Todas estas acciones protegerán la empresa frente a amenazas y riesgos que puedan poner en peligro nuestros niveles de competitividad, rentabilidad y conformidad legal para alcanzar los objetivos planteados por la organización. (Marchionni, 2011, pág. 90) ISO/IEC 27001 Information Security Management Systems Requirementes (Requerimientos para los Sistemas de Gestión de Seguridad de la Información), norma que permite certificar la implementación de un sistema de Gestión de Seguridad de la Información en una Organización. (Vieites, 2011, pág. 153) La ISO 27001 nos da prioridad al Sistema de Gestión, permitiendo escoger los controles que se necesiten para minimizar los riesgos encontrados, es una norma que ayuda a gestionar la seguridad de la información en cualquier tipo de organización, analizando las amenazas, vulnerabilidades y riesgos laborales que se presentan, permitiendo tener una información segura gracias a la Integridad, Disponibilidad y Confidencialidad que esta brinda a todo momento, logrando que se cumplan las políticas establecidas y tener una buena imagen en la empresa. Confidencialidad La confidencialidad de la información es la propiedad mediante la que se garantiza el acceso a la misma solo a usuarios autorizados. (Tejada, 2014, pág. 2) Está relacionada con la prevención del acceso no autorizado a la información. El objetivo básico es salvaguardar los datos ante operacionales de lectura por parte de usuarios, ya sean personas o programas, no habilitados. (Aedo Cuevas, y otros, 2009, pág. 154) La confidencialidad nos permite que la información siempre sea solo vista por personal autorizado y no por terceros, evitando una divulgación de los archivos personales de las organizaciones. 18 Integridad Garantizando que la información y sus métodos de proceso son exactos y completos, y podríamos matizar que, por tanto, permitiendo el acceso con posibilidad de variación, que incluiría añadidos, modificaciones y borrados, pero sólo a quienes estén autorizados, y que podrían ser diferentes del grupo anterior: el de la confidencialidad. (Navarro, Ramos Gonzáles, & Ruiz, 2010, pág. 14) Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados. (Medina, 2014, pág. 17) La integridad nos permite que la información siempre debe mantenerse tal cual se la escribió en dicha organización, sin ningún tipo de manipulación por personas no autorizadas, con el fin de no perjudicar a terceros debido a las manipulaciones que se pudieran realizar. Disponibilidad La disponibilidad se refiere a la recepción del dato a tiempo para cumplir su finalidad y por parte de los destinatarios autorizados, esto es, la accesibilidad de los datos cuando sea preciso y por quienes están facultados para ello. (Rebollo Delgado & Serrano Pérez, 2008, pág. 148) Los datos deben estar disponibles en el momento en que se necesitan. (Quesnel, 2012, pág. 151) La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran. (Revista de la Segunda Cohorte, 2014, pág. 104) 19 La disponibilidad nos permite que la información siempre se la va a poder encontrar al momento que se la necesite, cualquier usuario autorizado tiene accesibilidad a ella, es aquí donde la organización garantiza su efectividad en una información disponible a todo momento. SEGURIDAD DE LA INFORMACIÓN Definición La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. (Revista de la Segunda Cohorte, 2014, pág. 100) El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. (Revista de la Segunda Cohorte, 2014, pág. 100) Este hecho se basa en que la información va mucho más allá de la netamente, procesada por equipos informáticos y sistemas; es decir, también abarca aquello que pensamos, que está escrito en un papel, que decimos, etc. (Jara & Pacheco, 2012, pág. 15) Si consultamos la norma ISO/IEC 27001, esta nos dice que la seguridad de la información es aquella disciplina que tiene por objeto preservar la confidencialidad, integridad y disponibilidad de la información; y que puede involucrar otras propiedades, como la autenticidad, la responsabilidad, el no repudio y la trazabilidad. (Jara & Pacheco, 2012, pág. 15) La seguridad de la información no hay que confundirla con seguridad informática, es aquí donde documentamos todas las políticas, protocolos, reglamentos, normas 20 etc., Se le da prioridad a la confidencialidad, integridad y disponibilidad de la información para poder minimizar, tratar y gestionar los riesgos lógicos que se presenten a la información y así se pueda obtener un total resguardo de la misma, llegando a cumplir los objetivos que se ha propuesto la organización mediante las políticas de seguridad. Seguridad Lógica Es toda aquella relacionada con la protección del software y de los sistemas operativos, que en definitiva es la protección directa de los datos y de la información. (Aguilera López P. , 2010, pág. 30) Consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo. Algunas de las principales amenazas que tendrán que combatir los administradores de sistemas son el acceso y modificaciones no autorizadas a datos y aplicaciones. La seguridad lógica se basa, en gran medida, en la efectividad administración de los permisos y el control de acceso a los recursos informáticos, basados en Identificación, autentificación y autorización de accesos. (Costas Santos, 2011, pág. 66) Seguridad Lógica se basa en la protección del Sistema Operativo donde se encuentra la información y software de la empresa, administrando el acceso a estos recursos, ayudando a mantenerla siempre protegida o a un nivel alto de seguridad, ya que el mismo SO está expuesto a riesgos, amenazas y vulnerabilidades. Riesgo Estimación del grado de explosión a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. (España, 2012, pág. 229) 21 Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando las vulnerabilidades. No constituye riesgo una amenaza cuando no hay vulnerabilidad ni una vulnerabilidad cuando no existe amenaza para la misma. (Aguilera López P. , 2010, pág. 14) Es un evento o condición incierta, que en caso de ocurrir, tiene un efecto positivo o negativo sobre los objetos o proyectos. (Toro López, 2013, pág. 135) El riesgo en la información siempre está latente esperando el momento en que una amenaza ocurra aprovechando las vulnerabilidades que existan y más si se trata de una organización con documentos importantes siempre se vivirá con el miedo de perder todo lo que se tiene. Identificación y Autenticación Mediante algo que se pueda portar (por ejemplo, tarjeta magnética), algo que se conoce (contraseña) o algo físico, biológico o fisiológico (biometría). Una vez realizada la identificación y la autenticación, cada usuario dispondrá de un determinado nivel de acceso a la información, en función de parámetros que se establezcan. (Aguilera López P. , 2010, pág. 136) Su objetivo es comprobar la identidad del usuario, es decir ¿es realmente quien dice ser?, el usuario proporciona información acerca de su identidad para que el servidor pueda identificar. Normalmente el usuario da su nombre de usuario (login) y su contraseña. Estos dos datos también se llaman credenciales y si el servidor comprueba que estas credenciales coinciden con las almacenadas en su base de datos. (Mifsuf Talón, 2012, pág. 3 de 27) La identificación y autenticación es parte de la mayoría de servicios TIC, El propósito de la Identificación es comprobar, analizar que usuario accede a la información y mediante la autenticación que se la haya dado identificar que el usuario es quien dice ser y brindar los permisos que se le haya otorgado a ese usuario para que pueda acceder a la información a la cual tiene permiso. 22 Amenazas En sistemas de información se entiende por amenaza la presencia de uno o más factores de diversa índole (personas, máquinas o sucesos) que de tener la oportunidad atacarían al sistema produciéndole daños aprovechándose de su nivel de vulnerabilidad. (Aguilera López P. , 2010, pág. 13) Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños o pérdidas inmateriales en sus activos. Se pueden agrupar en clases y los atributos a tener en cuenta son: su código, nombre, frecuencia. (De Pablos Heredero, López Hermoso Agius, Romo Romero, & Medina Salgado, 2011, pág. 280) Las amenazas en la información pueden existir a partir de una vulnerabilidad, si existen vulnerabilidades existen amenazas, y es la que atenta contra la seguridad de la información, la falta de capacitación en materia de seguridad de la información ha causado el aumento de amenazas por parte del personal de la organización. Vulnerabilidades Una vulnerabilidad de seguridad es una debilidad en un componente del sistema que pudiera ser explotada para permitir el acceso no autorizado o causar interrupción del servicio. La naturaleza de las vulnerabilidades podría ser de múltiples tipos: técnicas (por ejemplo, una falla en el sistema operativo o navegador web), administrativas (por ejemplo, no educar a usuarios acerca de problemas críticos de seguridad), culturales (ocultar contraseñas bajo e teclado o no destruir informes confidenciales), procedimental (no pedir contraseñas complejas o no revisar las ID de usuario), etc. Cualquiera que sea el caso, cuando una vulnerabilidad de seguridad se deja sin verificar, puede convertirse en una amenaza. Una amenaza de seguridad es una inminente violación de seguridad que puede ocurrir en cualquier momento debido a una vulnerabilidad no revisada. (Coronel, Morris, & Rob, 2011, pág. 630) 23 Es el estado normal en que se encuentra los bienes, expuestos a una o varias amenazas. Es decir, el grado de facilidad con que podrán producirse daños en las personas, cosas o procesos a proteger como consecuencia de las amenazas. Es importante tener en cuenta las siguientes preguntas. Según (Mora Chamorro, 2010, pág. 15) Qué debe protegerse ? Qué amenazas existen ? Qué grado de vulnerabilidad presentan ante estas amenazas ? (Mora Chamorro, 2010, pág. 15) La vulnerabilidad es todo punto débil que pudiera existir en el hardware como en el software, pudiendo esta atentar contra la información que existiera en la empresa, afectando la confidencialidad, integridad, disponibilidad de la misma, es importante identificar cuáles serían esas amenazas o vulnerabilidades que está expuesta los datos de la organización para combatirla, minimizarlas y así poder protegerla de cualquier daño que esta pudiera causar. Ataques Los ataques cibernéticos se han multiplicado desde principios del siglo XXI, siendo los más destacados los relacionados con el perjuicio económico como el fraude y estafas en la red (e-fraud, o fraude electrónico, constituido por el phishing, pharming, timo nigeriano, captación de mulas para el blanqueo de dinero, etc.) el espionaje industrial, o ataques a gobiernos. (Jiménez garcía, y otros, 2014, pág. 92) Los ataques a la seguridad pueden tener efectos muy diversos en nuestros sistemas. Algunos de estos efectos son los siguientes: Según. (Romero Ternero, y otros, 2014, pág. 246) Destrucción de información almacenada en el disco duro. Destrucción o inutilización del sistema operativo. 24 Borrado de la BIOS. Destrucción del Disco Duro, inutilizándolo. Apertura de una puerta trasera (backdoor) que permita el acceso no autorizado a nuestro ordenador. Impedir la ejecución de determinados programas. Recopilación de información de nuestro ordenador y envío de dicha información a otro (spyware). Consumo de recursos de nuestro ordenador. Envío de tráfico inútil para saturar la red. Inofensivos aunque molestosos mensajes en pantalla de vez en cuando. Envió de spam desde nuestra cuenta de correo electrónico. Lectura no autorizada de nuestro correo electrónico. Colapso del servidor. (Romero Ternero, y otros, 2014, pág. 246) Los ataques informáticos se ha vuelto muy de moda a nivel mundial por los famosos piratas informáticos, estos atacantes tratan de aprovechar las vulnerabilidades que se presentan en los ordenadores de las organizaciones ya sea esta grande o pequeña, tomando el control de los sistemas informáticos, la red o de la información para ganar dinero pidiendo una recompensa por dicho control o secuestro que han hecho, o solo por causar daño entre otras. Virus Los virus informáticos son programas que se instalan de forma inadvertida en los dispositivos realizando una función destructiva o intrusiva y, además, pueden propagarse hacia otros equipos. (Ladrón Jiménez, 2014, págs. 101-144) Actualmente, los medios más utilizados de propagación de virus son el correo electrónico, la mensajería instantánea y las descargas. (Ladrón Jiménez, 2014, págs. 101-144) Es un programa informático (sea en código ejecutable, objeto o fuente) que es capaz de auto producirse código en otros programas informáticos o computadoras, 25 de manera transparente al usuario, capaz de transcurrido el tiempo de incubación/propagación, interferir con el normal funcionamiento de una computadora o red de computadoras. (Marroquín, 2010, pág. 472) Son programas que alteran el correcto funcionamiento de los equipos y se propagan entre ellos a través de distintos medios (Rodil Jiménez & Pardo de Vega, 2010, pág. 287) Virus informático son programas maliciosos y dañinos creados para alterar el funcionamiento del computador, o tomar el control del mismo, sin previo conocimiento del usuario, estos virus se propagan por sí mismo a varias computadoras ya sean por correos electrónicos, o por dispositivos extraíbles entre otros, un virus puede destruir de manera intencionada la información que se encuentre en un computador o servidor de la organización. Hacker El llamado hacker realiza acciones no autorizadas, pero sin fines destructivos. Suelen ser accesos realizados sin autorización con el objeto de conseguir determinada información; sin embargo, no la destruyen. Su conducta puede estar guiada, únicamente, por el deseo de vencer el reto intelectual que supone saltar las barreras del sistema, de descubrir, en suma, las lagunas de protección. (Fernández Teruelo, 2011, pág. 96) El termino hacker representa aquí a los primeros programadores en los sistemas Unix convertidos sin duda en verdadero “gurús” en su dominio y no al pirata informático malintencionado. (Pons, 2011, pág. 19) Es el nombre genérico que se le da a los intrusos informáticos, pero en realidad el hacker es el único de ellos que tiene un código ético para sus intrusiones, el verdadero profesional del hacking, que conoce a fondo los lenguajes de programación, las instrucciones y los protocolos de comunicación de redes para 26 introducirse en ellas con privilegio de administrador. (Aguilera López P. , 2010, pág. 109) Hacker es una persona con amplios conocimientos en informática y maneja varios software de programación en un nivel avanzado, descubriendo vulnerabilidades que puede explotar y también puertas traseras en las seguridades informáticas de las organizaciones sin fines de lucro para reportar las fallas en las seguridades y así convertirse en el administrador, o por propio ego de la persona. Cracker Es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, solo que a diferencia de este último, el cracker realiza la instrucción con fines de beneficio personal o para hacer daño. (Revuelta Domínguez & Pérez Sánchez, 2009, pág. 73) El termino deriva de la expresión “criminal hacker”, y fue creado alrededor de 1985 por contraposición al termino hacker, en defensa de estos últimos por el uso incorrecto del término. Se considera que la actividad realizada por esta clase de cracker es dañina e ilegal. (Revuelta Domínguez & Pérez Sánchez, 2009, pág. 73) El cracker vendría a ser una variante del hacker, con la diferencia de que al invadir un sistema informático lo hace para sustraer información (“piratas informáticos”), producir daños o desproteger programas. (Campos Santelices, 2010, pág. 79) Utiliza las técnicas del hacker pero para beneficio propio causando daños a los sistemas que invade. También es un cracker el que tiene conocimientos de ingeniería inversa y los usa para ofrecer públicamente seriales, cracks o generadores de claves de programas comerciales. (Aguilera López P. , 2010, pág. 109) Cracker es una persona igual que un hacker con avanzados conocimientos en programas informáticos y en programación pero al contrario de un hacker este los 27 utiliza para obtener fines de lucro o hacer daño a cualquier organización sustrayendo la información para luego pedir una recompensa, es aquí donde se derivan los famosos “piratas informáticos” Políticas de Seguridad Su objetivo es proporcionar el soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Se crea de forma particular por cada organización y se redacta un documento de la política de seguridad de la información. (Valdivia Miranda, 2015, pág. 136) Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes. Las políticas de seguridad de la información no pueden quedar estáticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas para que se mantengan en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se dé. (Valdivia Miranda, 2015, pág. 136) Una serie de sentencias formales, o normas, que deben ser cumplidas por todas las personas de una organización que dispongan de acceso a cualquier información, datos o tecnología que sean propiedad de la organización. (Oliva Alonso, 2013, pág. 125) La política de seguridad, en el mundo real, es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma. (Revista de la Segunda Cohorte, 2014, pág. 45) Las Políticas de Seguridad son aquellas que proporcionar seguridad a los datos de toda organización, donde un conjunto de leyes y reglas son redactadas en un documento que tiene que ser aprobado por el gerente para poder ser publicadas y así poder capacitar a todo el personal que se encuentre involucrado de dichos 28 <cambios que se presenten, estas políticas no pueden ser estáticas, tiene que a ver un constante monitoreo para poder realizar su respectivo cambio si es necesario, dependiendo de cualquier cambio que presente. Copias de Seguridad La finalidad de las copias de seguridad es restaurar la información original que había en el disco duro cuando ésta se ha dañado o perdido. (Berral Montero, Equipos microinformáticos, 2010, pág. 264) Hemos de ser conscientes de que en muchos momentos tiene más valor la información que ésta dentro del ordenador, que el propio ordenador en sí, ya que el ordenador puede reponerse, pero la información no (Berral Montero, Equipos microinformáticos, 2010, pág. 264) Las copias de seguridad son la última salvaguarda que tiene una organización para rectificar un problema de pérdida de información y según la criticidad de la información perdida, el backup se convierte en un elemento crítico para la continuidad del negocio de la compañía. Por tanto, como elemento crítico para el negocio debemos considerar de igual manera un componente crítico desde la Tecnología. (Mora Pérez, 2012, pág. 369) La finalidad de las copias de seguridad es restablecer la información original, es decir, los archivos originales cuando estos se han dañado o perdido. Tenemos que ser conscientes de que existen ocasiones en que tiene más valor la información que está contenida en el ordenador que el propio ordenador en sí, ya que el ordenador lo podemos reponer, pero no sucede lo mismo con la información. Existen numerosas formas de perder la información, por ello debemos poner los medios a nuestro alcance para que esto no ocurra, siendo a mejor medida las copias de seguridad (Oliva Haba, Manjavacas Zarco, & Martín Márquez, 2014, pág. 358) 29 Las copias de seguridad o backup se realizan para poder recuperar los datos importantes que se almacenan en el ordenador, en caso de que ocurra alguna situación no deseada. (Sánchez Estella & Herrero Domingo, 2014, pág. 115) El propósito de las Copias de Seguridad en una organización es muy importante, ya que estas van a restaurar o recuperar los datos que se encuentran almacenados en los ordenadores o servidores de las organizaciones cuando estos sufran daños, sabiendo que esta se encuentra vulnerable a cualquier desperfecto que pueda existir en cuanto a la seguridad de la información, ya que tienen que ser consiente que lo más valioso que tiene una organización es la información que contiene en dichos ordenadores o servidores y mas no el equipo informático. PRIVACIDAD DE LA INFORMACIÓN Definición Mantener la privacidad de la información es un elemento muy importante dentro de la seguridad informática, de hecho se contempla como uno de los objetivos primordiales de la seguridad, ya que tener unas buenas medidas para asegurar la privacidad almacenada y transmitida, nos mantiene seguros frente a fraudes y robos informáticos. (García, Hurtado, & Alegre Ramos, 2011, pág. 127) Privacidad: Garantizar que sólo las partes autorizadas podrán acceder a un conjunto de datos, tanto en su origen/destino como durante su tráfico por la red. (Marco Galindo, Marco Simó, Prieto Blázquez, & Segret Sala, 2010, pág. 90) La privacidad de la información es garantizar la confidencialidad de los datos de la organización ya sea en una red local o en internet, logrando evitar el acceso a personas no autorizadas, hoy en día la privacidad se ve sometida a violaciones por virus, redes inseguras, piratas informáticas, etc. 30 Contraseñas La contraseña actualmente representa el medio de autentificación más común. Se trata de una simple secuencia de caracteres alfanuméricos y especiales, elegidos por el usuario, y por un periodo que puede ser limitado o ilimitado. Para comprobar su introducción, se almacena en un archivo o una base de datos en el ordenador o en un servidor. Esta contraseña puede ser objeto de diverso ataques para intentar obtenerla, por ingeniería social, diccionario o fuerza bruta. (Dordoigne, 2011, pág. 392) Las contraseñas no deben ser fáciles de adivinar ya que se corre el riesgo de que una persona que conozca al usuario pueda adivinarla. Una buena contraseña debe incluir mayúsculas, minúsculas, números y signos, además de contar con una longitud suficiente, mínimo ocho caracteres. (Rodil Jiménez & Pardo de Vega, 2010, pág. 81) Las contraseñas son autentificación que evitan el acceso de personas no autorizadas, manteniendo la confidencialidad, integridad y disponibilidad de la información creando un ambiente más seguro, las contraseñas tienen que mínimo ser de 8 caracteres y tener combinaciones alfanuméricas. Protocolos de seguridad de la información Un protocolo de seguridad es un conjunto de programas que usan esquemas de seguridad criptográfica. El protocolo de seguridad más utilizado actualmente es el SSL (Secure Sockets Layer) que se presenta con un candado cerrado en la barra de herramientas del navegador. (López Brox, 2010, pág. 335) Los protocolos son reglas y normas que tratan del intercambio de información entre ordenadores y otros dispositivos, los cuales han sido definidos para que sea posible la transferencia fiable y eficaz de información. (Sánchez Estella & Moro Vallina, 2010, pág. 65) 31 Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisión de datos entre la comunicación de dispositivos para ejercer una confidencialidad, integridad, autenticación y el no repudio de la información. Según la (Revista de la Segunda Cohorte, 2014, pág. 107) Estos protocolos se componen de: Criptografía (Cifrado de daos): se ocupa del cifrado de mensajes, un mensaje es enviado por emisor, lo que hace es transposicionar u ocultar el mensaje hasta que llega a su destino y puede ser descifrado por el receptor. (Revista de la Segunda Cohorte, 2014, pág. 107) Lógica (Estructura y secuencia): llevar un orden en el cual se agrupan los datos del mensaje, el significado del mensaje y saber cuándo se va enviar el mensaje. (Revista de la Segunda Cohorte, 2014, pág. 107) Identificación (Autenticación): es una validación de identificación, es la técnica mediante la cual un proceso comprueba que el compañero de comunicación es quien se supone que es y no se trata de un impostor. (Revista de la Segunda Cohorte, 2014, pág. 107) Protocolo de Seguridad de la información es un conjunto de reglas a seguir, una estructura donde valida la comunicación entre ordenadores, la cual nos ayuda a que la información que se envía como la que se recibe sea: confidencial e integra, con una autenticación donde el usuario a recibir se sienta seguro que su información llego tal y cual la enviaron. REDES Y COMUNICACIÓN DE DATOS Las redes de datos son redes de comunicación pensadas para intercambiar datos empleando protocolos la comunicación. En este caso, los elementos fuente y destino de la información son dispositivos electrónicos, como ordenadores, teléfonos móviles, etc. (Romero Ternero, y otros, 2014, pág. 3) 32 Una red es un sistema de comunicaciones que permite a los usuarios de ordenadores y dispositivos basados en microprocesador, compartir el equipamiento de los ordenadores conectados, programas informáticos, datos, voz, video, impresoras, etc., es decir, cualquier dispositivo conectado a la red. (Berral Montero, 2014, pág. 2) Una red está formada por el conjunto de elementos necesarios para que se establezca la comunicación; en su sentido más amplio, incluye los emisores, receptores, nodos intermedios, conmutadores, enlaces, etc. (Moro Vallina, 2013, pág. 3) Una red de comunicación y datos es conectarse entre sí todo dispositivo electrónico como un ordenador, impresora, teléfonos móviles, etc. Donde exista comunicación entre ellos mediante un receptor y un emisor, pero se necesita de más elementos o factores como switch, nodos, enlaces, etc. Que estén interconectadas entre ellos, Dando paso a que exista una comunicación de programas informáticos, información, y acceso a cualquier dispositivo que esté conectado a la red dependiendo las políticas que se les hayan dado a los dispositivos. SOFTWARE DHCP El servidor DHCP asigna una dirección IP de forma dinámica a los equipos que lo solicitan. (García Ramírez, Miñana Caselles, López Fernández, & Sánchez Corbalán, 2010, pág. 71) Cuando el número de equipos que forman la red es pequeño la asignación de direcciones IP a los equipos de red es rápida, pero por el contrario, si el número de equipos es muy grande a la hora de realizar la configuración o ante cualquier cambio, resulta engorroso ir configurando una a uno todos los equipos. En estos casos, configurar un servidor DHCP simplifica bastante el trabajo, ya que él se 33 encarga de asignar a cada equipo la configuración IP de manera dinámica. (García Ramírez, Miñana Caselles, López Fernández, & Sánchez Corbalán, 2010, pág. 71) El servicio DHCP (Dynamic Host Configuration Protocol) se utiliza para administrar las redes basadas en TCP/IP, mediante la asignación dinámica a los clientes de la dirección IP, con lo que se evita tener que ir a cada ordenador cliente a instalar la dirección IP de forma estática. (Alegre Ramos, garcía, & Hurtado, 2011, pág. 81) DHCP es un servicio que nos ayuda a la administración de nuestra red, asignándonos las direcciones IP dinámicamente, ya que en una organización muy grande a veces es muy tedioso o demoroso configurar maquina por maquina las direcciones IP las cuales nos mantendrá conectados a la RED de la empresa, es aquí donde el servicio DHCP nos evita hacer todo este trámite ahorrándonos el factor tiempo. Firewall Un firewall es un dispositivo lógico o físico que comprueba los datos entrantes o salientes que van o vienen de las redes externas como internet. Así pues, un firewall le permite prevenir los ataques de hacker o programas malintencionados que intenten tomar el control del equipo de una manera u otra. (Anderruthy & Gaumé, 2011, pág. 333) Es un sistema que restringe accesos no autorizados desde y hacia una red local. Examina todos los datos y bloquea el paso de los que no cumplen ciertos criterios de seguridad. Pueden ser dispositivos físicos o programas instalados en cada ordenador. (Bravo Delgado & Medina Sánchez, 2011, pág. 50) Un firewall se lo puede encontrar en forma de Hardware o Software, la función es controlar la comunicación entre la red interna y la intranet permitiendo el acceso o denegando el acceso a esta red, dependiendo la configuración y políticas de la empresa, evitando que ingresen personas no autorizadas, o virus a esta red y así prevenir que dañen la información que se tiene en los ordenadores, servidores o 34 dispositivo que se la haya instalado. Un firewall no es lo mismo que un antivirus por lo cual es necesario tener un antivirus instalado en los ordenadores. Proxy Un servidor proxy oculta la información importante de la red a extraños al hacer invisible el servidor de la red. Para lograr lo anterior, el servidor proxy intercepta las solicitudes de acceso a la red, decide si se trata de una solicitud válida y, en caso afirmativo, pasa la solicitud al servidor idóneo que puede satisfacerla: todo sin revelar la disposición de la red, los servidores u otra información que pudiera residir en éstos. En forma semejante, si se va a pasar información desde la red hacia internet, el servidor proxy enlaza la transmisión pero sin revelar nada respecto a la red. Los servidores proxy son invisibles para los usuarios, pero son críticos para el éxito de los cortafuegos. (Mclver McHoes & Flynn, 2011, pág. 357). El servidor proxy se utiliza especialmente en el ámbito del tráfico Hyper text Transfer Protocol (HTTP) o incluso con File Transfer Protocol (FTP) en la red Lan e Internet, se puede considerar que es un complemento del cortafuegos. (Dordoigne, 2011, pág. 401) Servidor intermedio entre el cliente y el servidor de origen que acepta las peticiones de los clientes, las transmite al servidor de origen, y después devuelve la respuesta del servidor de origen al cliente. (Mifsuf Talón, 2012, pág. 17 de 21) Un servidor Proxy es un complemento del firewall el cual funciona como intermediario al momento de acceder al internet, el proxy es el que recibe la señal del ordenador a que página o servidor este quiere acceder, comprueba si es seguro o no dependiendo las políticas de la empresa que se hayan dado, si no tiene acceso o no es seguro no emite una respuesta del servidor o página que queremos acceder caso contrario nos da acceso a lo que queramos. 35 SOFTWARE LIBRE El software libre es distribuido con su código fuente lo que permite a cualquiera con los conocimientos suficientes, leerlo, estudiarlo y modificarlo. (valverde Berrocoso, 2009, pág. 173) El software libre permite a los usuarios que lo adquieren trabajar con toda la libertad sobre él, pudiendo usarlo, copiarlo, estudiarlo, modificarlo y distribuirlo de nuevo una vez modificado y así lo indica la Fundación para el Software libre (Free Software Foundation). (Gallego & Folgado, 2011, pág. 300) El software libre es todo software o programa, donde cualquier usuario final pueda cumplir con sus libertades las cuales son: copiarlo o ejecutarlo, estudiarlo, distribuirlo, modificarlo haciendo mejoras al software y redistribuirlo, haciendo de esto el código fuente disponible para cualquier usuario que desee estudiarlo o lo necesite y este pueda realizar las libertades que se mencionó. SISTEMA OPERATIVO LINUX Definición El sistema operativo Linux fue desarrollado en 1991 por Linus Torvalds. Linux se basa en el sistema Minix que a su vez está basado en el sistema UNIX. El sistema operativo Minix es una versión básica y reducida de Unix creada para uso universitario sin tener que pagar licencias. A partir de esta primera versión de Linux el sistema ha sido modificado por miles de programadores de todo el mundo, bajo la coordinación de su creador, Linus Torvalds. (Rodil Jiménez & Pardo de Vega, 2014, pág. 9) Su interfaz gráfica ha mejorado en los últimos años, logrando que sea tan fácil de usar como los sistemas Windows. En los sistemas operativos Linux el usuario va a poder elegir a la hora de instalar el sistema entre varias interfaces graficas que 36 cuentan con prestaciones similares; entre las que destacan Kde y Gnome. (Rodil Jiménez & Pardo de Vega, 2014, pág. 9) Linux es un sistema operativo gratuito de libre distribución, se puede bajar de internet y además necesita muy pocos recursos de hardware si lo comparamos con los sistemas operativos existentes con sus mismas características. (Aguilera López & Morante Fernández, 2010, pág. 8) Como cualquier sistema operativo, es la conjunción de un programa principal o núcleo (kernel en inglés) y una serie de herramientas y bibliotecas añadidas que posibilitan su utilización. (Aguilera López & Morante Fernández, 2010, pág. 8) Sería absurdo decir que Linux está a salvo totalmente de virus y malware. Sin embargo, sí que es cierto que se encuentra mejor protegido. Además, contamos con varios antivirus gratuitos y libres. (Fernández Montoro, 2011, pág. 19) El Sistema Operativo Linux es un sistema totalmente libre el cual está basado en el sistema UNIX, a diferencia de Windows Linux ha sido mejorado por millones de usuarios a nivel del mundo pero bajo la coordinación de su creador, Linus Torvalds, en los últimos años Linux ha mejorado a pasos agigantados, haciendo su interfaz muy amigable al usuario final como lo es Windows, contando con aplicaciones y herramientas que lo hacen fácil de manejar, logrando que más usuarios lo usen personalmente. SISTEMA OPERATIVO CENTOS Introducción CentOS significa “Sistema Operativo de la Comunidad Empresarial” (Community Enterprise Operating System), y está basado en Red Hat Enterprise Linux (RHEL). (Baclit, Sicam, Membrey, & Newbigin, 2009, pág. xxii) CentOS es binario compatible con el RHEL porque fue construido utilizando el código fuente de RHEL. Además los desarrolladores se aseguran de adherirse a 37 las reglas de redistribución de RHEL cuando construyeron CentOS por lo que sería una alternativa verdaderamente libre de la original. (Baclit, Sicam, Membrey, & Newbigin, 2009, pág. xxii) CentOS se utiliza en todo el mundo por personas que necesitan una plataforma robusta y fiable para desplegar sus aplicaciones y servicios. Aunque las opciones de soporte están disponibles, CentOS es el más adecuado para aquellos que no necesitan o desean soporte empresarial. (Membrey, Verhoeven, & Angenendt, 2009, pág. 3) CentOS (acrónimo de Community ENTerprise Operating System) es un clon a nivel binario de la distribución Red Hat Enterprise Linux, compilado por voluntarios a partir del código fuente liberado por Red Hat, empresa desarrolladora de RHEL, CentOS usa yum para bajar e instalar las actualizaciones, herramienta también utilizada por Fedora Core. (Sánchez Pérez, 2015, pág. 66) CentOS es un Sistema Operativo de Comunidad Empresarial, utilizado a nivel mundial como servidor ya que está basado en el famoso Red Hat, liderando el puesto uno en cuanto a servidores, su meta es producir un sistema operativo de calidad a nivel empresarial. Características Una de las características de CentOS es que soporta (casi) todas las mismas arquitecturas que el original Red Hat Enterprise Linux, Además tiene soporte para dos arquitecturas no soportadas por su original, Alpha procesador (DEC_Alpha), SPARC. (Sánchez Pérez, 2015, pág. 66) Las características del diseño hacen CentOS (y su gemelo comercial, Red Hat Enterprise Linux), ideal para entornos en los que no desea infligir demasiado cambio, como centros de datos empresariales, pero lo mismo se aplica, por ejemplo, a las computadoras de oficinas o las portátiles personales. (Membrey, Verhoeven, & Angenendt, 2009, pág. xvi) 38 La principal característica de CentOS es que es un clon de Red Hat, la meta es ser número uno en servidores ya que cuenta con un firewall muy bueno si no decir el mejor de todos, cuenta con varios servicios que se pueden instalar en un mismo computador, teniendo la comunidad más grande a nivel mundial en la web con programadores de todo el mundo para mejorar y actualizar siempre el sistema, haciendo amigable manejable ideal para su uso, para servidores de empresas grandes como pequeñas y también para su uso personal. Raid Existe un método alternativo de asegurar los datos. Muy extendida en los entornos de servidores y en expansión en entornos particulares, esta tecnología se llama RAID (Redundant Array of Independent Disks). (Deman, Elmaleh, Neild, & Van Jones, 2014, pág. 809) Desde un punto de vista simplificado, esta tecnología permite almacenar la información sobre discos duros múltiples con el objetivo de mejorar, en función el tipo RAID seleccionado, la tolerancia a fallos y/o el rendimiento del conjunto. (Deman, Elmaleh, Neild, & Van Jones, 2014, pág. 809) Los siete niveles normales de RAID proporcionan varios grados de corrección de errores, Cuando se escoge un sistema, algunos factores importantes a considerar son costo, velocidad y aplicaciones del sistema. (Mclver McHoes & Flynn, 2011, pág. 234) 39 Figura 1 tabla de raid Fuente: sistemas operativos sexta edición Autor Mclver McHoes & Flynn pág. 234 RAID (Redundant Array of Inexpensivve Disk), grupo redundante de discos independientes, y que se usan como una forma más de seguridad en hardware y para garantizar la protección de los datos almacenados. (Aguilera López P. , 2010, pág. 187) Las implementaciones pueden ser tanto por hardware como mediante software, y además existen alternativas que combinan ambas soluciones. En caso de que el control sea por hardware, será necesario disponer de una controladora integrada en la placa base o bien en una tarjeta de expansión independiente. Si la implementación es mediante software, será el propio sistema operativo el que gestione el RAID a través de una controladora convencional. (Aguilera López P. , 2010, pág. 187) Un Raid es muy utilizado en los servidores, ya que ayuda a tolerar las fallas y errores en el Disco Duro del servidor o computador, funciona con varios Discos instalados donde el sistema operativo los interpreta como uno solo, el Raid se lo puede implementar mediante hardware o software, logrando garantizar siempre la disponibilidad, integridad y confidencialidad de la información almacenada en el Disco Duro que se esté usando. 40 CONCLUSIONES PARCIALES DEL CAPÍTULO I El Sistema de Gestión de la Seguridad de la información es un documento muy importante en una organización, ya que podemos implementar controles que nos brinda la norma ISO 27001 para el resguardo de la información, dando paso a un conjunto de políticas, documentada, para reducir los riesgos que puede presentar debido a las vulnerabilidades que existan. La norma ISO 27001 da prioridad al Sistema de Gestión el cual permite escoger los controles que se deseen para poder implementar nuestro SGSI, creando nuestras propias políticas para mantener siempre la confidencialidad, integridad y disponibilidad de la información. Las Políticas de Seguridad nunca deben se estáticas o permanente, el SGSI siempre necesita tener un monitoreo constante para que estas políticas sean mejoradas o cambiadas siempre y cuando sea necesario y así lo autorice la organización, o por cambios tecnológicos. 41 CAPÍTULO II MARCO METODOLÓGICO Y PLANTAMIENTO DE LA PROPUESTA ANÁLISIS PREVIO DE LA EMPRESA La importadora Megatech, está ubicado en la Provincia de Santo Domingo de los Tsáchilas, ubicado en la Calle Río Baba #143 bajos del Ministerio del Ambiente en el cantón de Santo Domingo, brindando los servicios de venta de equipos de cómputo, suministros informáticos, servicios de red y soluciones integrales de informática y telecomunicaciones. Historia Nace el año 1987 con la idea de ofrecer equipos de cómputos para la satisfacción del cliente ya que se hizo un estudio previo antes de la creación. El nombre Megatech nace de la unión de Mega = grande y Tecnología, Existen proyectos como toda empresa, y es así como poco a poco Megatech está creciendo sin olvidar el esfuerzo y trabajo que esto implica. Megatech es una empresa ecuatoriana, con oficinas en Quito y Santo Domingo. Brindamos alternativas y soluciones a nuestros clientes, integrando aplicaciones, equipos y servicios en las áreas de computación, telecomunicaciones, Asistencia y Soporte Técnico, para lo cual contamos con el respaldo de los fabricantes con mayor prestigio mundial. Con más de 26 años de experiencia, Megatech cuenta con un grupo de profesionales capacitados y certificados para responder y satisfacer las expectativas del Usuario como del fabricante, con servicio de la más alta calidad humana y profesional para todos nuestros clientes. 42 Servicios Megatech ofrece al mercado “Soluciones integrales de Informática y telecomunicaciones, orientadas a la Optimización del negocio de nuestros clientes” Implementación de Centros de cómputo. Portátiles y Pcs Corporativos y Small Business. Servidores y Virtualización. Almacenamiento y recuperación de datos; Virtualización del almacenamiento. Continuidad del Negocio “Business Continuity”. Servicios de Identidad; Servicios de Integración. Cableado Estructurado e infraestructura de red. Soluciones de Telefonía IP. Comunicaciones unificadas y soluciones de mensajería. Centro de Contactos. Soluciones Empresariales. Servicio de Educación y Consultoría en Tecnología Informática. Convenios de Soporte y Mantenimiento. Misión “Contribuir a la consecución de nuestros clientes, proporcionando opciones de calidad informática, con tecnologías de punta, con un grupo humano de óptima calidad, especializados y comprometidos a su orientación de servicio, logrando exitosos beneficios mutuos.” Visión “Ser una de las mejores empresas Informáticas Nacionales e Internacionales, que cuentan con recurso humano profesional, previendo alternativas y soluciones de alto valor especializado, logrando alcanzar satisfacción y lealtad de nuestros clientes.” 43 Valores corporativos Integridad. Calidad. Responsabilidad. Respeto. Honradez Organigrama Estructural de la importadora Megatech. ASISTENTE 1 DEPARTAMENTO DE COMPRAS PÚBLICAS ASISTENTE 2 DEPARTAMENTO FINANCIERO PAGADURÍA GERENTE GENERAL DEPARTAMENTO DE CONTABILIDAD ASISTENTE CONTABLE ASISTENTE DE GERENCIA DEPARTAMENTO DE SISTEMAS JEFE TÉCNICO DEPARTAMENTO DE VENTAS FACTURACIÓN Figura 2 organigrama estructural de la importadora Megatech Fuente: Personal importadora Megatech Autor. Rogelio Guerrero 44 Modalidad de la Investigación Cualitativa Es un método de investigación basado en principios teóricos, el cual se basa en la toma de muestras pequeñas, la cual será aplicada mediante las entrevistas al personal de la importadora en el cual se conocerá la información del porqué de los problemas en cuanto a la seguridad de la información de la empresa, conociendo las características de la importadora Megatech y así dar solución a la problemática que se presenta. Cuantitativa La metodología cuantitativa es la que permitirá recoger los datos de una manera científica, o más específicamente de una forma numérica, la cual medirá, validara y comprobara el problema, para que este sea posible definirlo, limitarlo y saber dónde inicia la problemática, la misma será aplicada en el análisis obtenido a través de las entrevistas aplicadas al personal de la importadora y así determinar los elementos que conforman el problema. Tipos de Investigación Investigación de Campo Utilizaremos la investigación de campo para recopilar información, la cual nos permitirá conocer en el lugar de los hechos para establecer la causa del problema y establecer una solución a la misma cómo se están manejando las seguridades y privacidades de la información, se reducirá, aceptara, evitara o transferirá los riesgos que existan para mejorar la confidencialidad, integridad y disponibilidad de la información. 45 Investigación Bibliográfica Esta investigación nos ayudara a fundamentar científicamente la solución a nuestra problemática, y poder tomar conocimientos de investigaciones ya existentes que tenga similitud, y así evitar realizar investigaciones ya hechas. Investigación Descriptiva Es aquella que permite describir cada una de las funciones en la importadora Megatech, y como está estructurado cada uno de sus departamentos. Esta investigación nos permitirá identificar las causas y efectos del fenómeno y así poder evitar la manipulación inadecuada de la información de la empresa creando una hipótesis a nuestra problemática. Métodos de Investigación Método inductivo-deductivo Se partirá a realizar el proceso que permitirá ir de lo particular a lo general para analizar la importadora y buscar una respuesta al problema, y el deductivo nos ayudara a comparar con otras empresas para poder obtener una solución al problema que se presenta en la importadora Megatech. Método Analítico – Sintético Nos permitirá basarnos en la descomposición del objeto de estudio, el cual ayudara a analizar las causas y efectos que se pudo recopilar de una forma muy ordenada. Y así poder sintetizar la recopilación que hemos hecho y determinar un todo para la seguridad y privacidad de la información en la importadora Megatech. 46 Técnicas de Investigación Observación Con esta técnica se obtendrá información directamente de las seguridades y privacidades que tiene al momento de acceder al servidor, y se conocerá los procesos que se realizan en el procedimiento de acceso, para que se pueda llegar a una conclusión acerca del problema que presenta la importadora en las seguridades de su información. Entrevista Esta técnica permite realizar o saber las tareas que realiza el personal de la empresa tanto en la gerencia como a los empleados de cada área, para conocer a fondo la investigación a realizar, recabando información acerca del procedimiento de cada uno al momento de acceder a la información y al guardado de la misma, obteniendo datos que serían muy difíciles de conseguir. Instrumentos de Investigación Guía de Entrevista Es un instrumento para la recolección de información, un listado de posibles preguntas que se lo utilizara para la entrevista que se realizara al personal de la empresa acerca de las seguridades y privacidades de la información que tienen en un orden cualitativo y cuantitativo, de una manera organizada. Guía de Observación Directa Esta guía permitirá tomar anotaciones acerca de la seguridad y privacidad de la información, durante el acceso al servidor mediante un cliente para poder conocer las seguridades que tiene y así tener una mejor compresión del procedimiento a realizar. 47 Población y Muestra La población es el conjunto de elementos a los que se refiere el estudio estadístico. Cada elemento de la población se llama individuo. (Espuig, 2011, pág. 267) La muestra es un subconjunto de la población. (Espuig, 2011, pág. 267) Cuando la población es demasiado grande, estudiar todos sus elementos puede ser inviable o poco operativo (en términos de tiempo, coste y recursos). En estos casos, se toma la muestra representativa, se estudian los elementos de la muestra y se generalizan los resultados a toda la población. (Espuig, 2011, pág. 267) Población La población que se tomara en cuenta en esta investigación será el personal interno de la importadora Megatech la cual cuenta con 7 personas a la cuales a cada una se le realizara la entrevista. Tabla 1 población Fuente: personal de la importadora Megatech Autor: Rogelio Guerrero Personas Cantidad Gerente Administrativo 1 Asistente de Gerencia 1 Financiera 1 Compras Publicas 1 Secretaria 1 Departamento Técnico 1 Atención al Cliente 1 Total 7 Muestra La muestra es la parte representativa de la población. Para lo cual se ha tomado el número total de la población para realizar la tabulación de los datos 48 correspondientes al análisis de resultados de la entrevista realizados en la Importadora Megatech. INTERPRETACIÓN DE RESULTADOS La entrevista se realizara a la población total de la importadora Megatech, ya que se beneficiara de manera directa a todo el personal que labora en la importadora. Tabulación de datos de la entrevista Tabla 2 entrevista al personal de la importadora Megatech Fuente: personal de la importadora Megatech Autor: Rogelio Guerrero Entrevista ¿Ha tenido problemas al momento de ingresar al servidor de la empresa? ¿Ha tenido problemas al momento de brindar información a los clientes? ¿Al momento de guardar información en el servidor de la importadora le ha causado inconvenientes? 1 2 3 8 7 6 5 4 3 2 1 0 7 7 Si No Total % 7 0 7 100 7 0 7 100 7 0 7 100 7 0 0 ¿Ha tenido problemas al ¿Ha tenido problemas al momento de ingresar al servidor momento de brindar información de la empresa? a los clientes? 0 ¿Al momento de guardar información en el servidor de la importadora le ha causado inconvenientes? SI 7 7 7 NO 0 0 0 Figura 3 resultado de tabulaciones, pregunta 1, pregunta 2, pregunta 3 Fuente: personal de la importadora Megatech Autor: Rogelio Guerrero 49 Análisis 1) El 100% de los empleados de la empresa nos dicen que ellos si tienen problemas al momento de ingresar al servidor de la empresa reflejando en sí, contratiempo y rendimiento en la productividad de la empresa 2) El total de los empleados nos dicen, que si tienen problemas al momento de brindar información ya sea a sus clientes o información interna a sus mismos compañeros de trabajo, causándoles molestias e incomodidad. 3) El 100% de los empleados entrevistados si han tenido problemas frecuentes al instante de guardar alguna información en el servidor de la empresa. Tabulación Tabla 3 entrevista al personal de la importadora Megatech Fuente: personal de la importadora Megatech Autor: Rogelio Guerrero 4 5 6 Entrevista ¿Cuentan con usuario y contraseñas el servidor al momento de ingresar? ¿Al no tener privacidades en la red, cree usted que la información está segura para tercera personas que se conectan en la red? ¿La red de la empresa ha presentado molestias o ha colapsado al momento de conectarse personal no autorizado? 50 Si No Total % 0 7 7 100 0 7 7 100 7 0 7 100 8 7 6 5 4 3 2 1 0 7 0 7 7 0 0 ¿Cuentan con usuario y contraseñas el servidor al momento de ingresar? ¿Al no tener privacidades en la red, cree ud que la información esta segura para tercera personas que se conectan en la red? ¿La red de la empresa ha presentado molestias o ha colapsado al momento de conectarse personal no autorizado? SI 0 0 7 NO 7 7 0 Figura 4 resultados de tabulaciones, pregunta 4 a la pregunta 6 Fuente: importadora Megatech Autor: Rogelio Guerrero Análisis 4) El 100% de los empleados entrevistados nos dicen, el servidor interno de la empresa no cuenta con un usuario y contraseña para poder ingresar a la red de la empresa, permitiéndoles que cualquier persona no autorizada o persona particular ingrese al servidor con mucha facilidad, causándoles inconvenientes a la misma empresa. 5) Todos los empleados de la empresa creen que al no tener privacidad en su servidor la información no está cien por ciento segura pudiendo ser manipulada por terceras personas, deduciendo inseguridad al momento de no tener una adecuada privacidad en el servidor de la empresa como debe ser correctamente. 6) Con el 100% de los entrevistados nos dan a reflejar, que si se les presenta inconvenientes y hasta el colapso del sistema en el servidor de la empresa, debido a que terceras personas no autorizadas intentan ingresar a la red de la empresa. 51 Tabulación Tabla 4 entrevista al personal de la importadora Megatech Fuente: personal de la importadora Megatech Autor: Rogelio Guerrero Entrevista Si No Total % 7 0 7 100 7 0 7 100 7 0 7 100 ¿Piensa usted que al no contar con un servidor 7 correctamente configurado le crea incomodidad y lentitud en la atención? ¿Está de acuerdo que se implemente políticas de 8 privacidad para el acceso al servidor de la empresa? 9 ¿Es necesario implementar un servidor con seguridad y servicios en la red de la empresa? 8 7 7 7 7 6 5 4 3 2 1 0 0 0 0 ¿Piensa usted que al no contar con un servidor correctamente configurado le crea incomodidad y lentitud en la atención? ¿Esta de acuerdo que se implemente políticas de privacidad para el acceso al servidor de la empresa? ¿Es necesario implementar un servidor con seguridad y servicios en la red de la empresa? SI 7 7 7 NO 0 0 0 Figura 5 entrevista al personal de la importadora Megatech Fuente:personal de la importadora Megatech Autor: Rogelio Guerrero Análisis 7) Los datos nos reflejan que el 100% de los empleados de dicha empresa les causas incomodidad y lentitud al momento de brindar alguna atención a sus clientes o hasta sus mismos proveedores por no tener una correcta configuración en el servidor de la empresa. 52 8) El 100% de los empleados de la empresa están totalmente de acuerdo de que implementen políticas de privacidad para el acceso al servidor de la empresa, debido que implementando dichas políticas el rendimiento de la red y de la empresa aumentaría notablemente en sus servicios y atención. 9) Los empleados como parte esencial de la empresa y de la productividad de ella están totalmente de acuerdo que se establezcan e implementen un servidor con seguridad y servicios en la red, debido que así ellos aumentarían su calidad de trabajo y satisfacción en ella. PROPUESTA DEL INVESTIGADOR: MODELO, SISTEMA Y METODOLOGIA La implementación del sistema de gestión de la seguridad de la información sobre el servidor que se va a configurar ayudara a minimizar los riesgos y a mejorar la seguridad de los datos mediante la confidencialidad, integridad y disponibilidad de la información, al momento de acceder a la red interna y a los datos que se encuentran en el servidor de la importadora Megatech. Además ayudara a establecer las políticas que debe cumplir el personal al momento de ingresar al servidor y al momento de trabajar en la red, así mismo se creara un raid del servidor para poder tener un respaldo de la información. El cual se desarrollara por etapas utilizando el modelo PDCA o cilio Deming que lo estipularemos a continuación. Modelo PDCA Con el modelo PDCA (planificar- hacer – verificar – actuar) nos permitirá determinar las etapas en las cuales se va a implementar el Sistema de Gestión de la seguridad de la información, asegurando que los datos de la empresa siempre sean confiables, íntegros y que estén disponibles cuando el personal lo desee. 53 P = Plan = Planifica = prepara a fondo D = Do = Efectuar = hacer, realizar C = Check = Verificar A = Act = Actuar = Verificar. Planificar Actuar Hacer Verificar Figura 6 ciclo de vida del SGSI Fuente: gestión integral de la calidad Autor:Rogelio Guerrero Definición de Requerimientos Los servicios, restricciones, objetivos y metas son establecidos con el personal de la importadora, buscando una definición en detalle y sirve como una especificación para el SGSI Diseño El Diseño del SGSI se compone de las siguientes partes: se descompone la documentación recopilada mediante técnicas de investigación aplicadas y se agrupa de forma ordenada, mediante los controles que nos presenta la ISO 27001 se elaborara las políticas y seguridades que va a llevar al momento de acceder al servidor. 54 Implementación La implementación se realizara de una manera ordenada, se documentara y capacitara al personal sobre las políticas que tiene que seguir para acceder al servidor y al servicio de red que se configurara en la importadora Megatech. Pruebas Se somete a pruebas el Sistema de Gestión de la Seguridad de la Información sobre el servidor con la conexión de una maquina externa y de esta manera probar si cumple con las políticas que se implementaron sobre las seguridades en el servidor y servicio de red en la importadora Megatech o tienen algún error. Mantenimiento y Mejora Continua Todo sistema de Gestión de la seguridad de la información requiere de un mantenimiento y mejora continua, la norma ISO 27001, lo estable en el SGSI. El ciclo de Vida PDCA presenta etapas de mejoramiento, el sistema se implementa y se pone en funcionamiento practico, el mantenimiento implica corregir errores no descubiertos en la etapa de implementación, el SGSI siempre necesita un monitoreo constante para mejorar las políticas de seguridad y mejorar los controles implementados Etc. 55 CONCLUSIONES PARCIALES DEL CAPÍTULO II La importadora Megatech ha crecido a pasos agigantados los últimos años, en cuanto a ventas mediante el portal de la SERCOP, así mismo dejando sus datos vulnerables en la red para cualquier usuario que ingrese los pueda manipular. Con los procesos metodológicos se agrupa la información necesaria, mediante la entrevista y la observación se conoció los problemas que presenta la importadora Megatech, y así lograr minimizar, afrontar o aceptar estos problemas. La población es el personal interno de la empresa, por tal motivo fueron encuestados todos en su totalidad, una vez obtenido los resultados se pudo verificar que existe una problemática en cuanto a la seguridad de la información. El SGSI se desarrolla utilizando el modelo PDCA donde se divide por etapas su implementación, el cual ayudara con la seguridad de los datos, logrando obtener una información confidencial, íntegra y que siempre esté disponible cuando el personal de la importadora Megatech necesite acceder a ella. 56 CAPÍTULO III VALIDACIÓN Y/O EVALUACIÓN DE LOS RESULTADOS DE LA APLICACIÓN INTRODUCCIÓN Debido al gran crecimiento tecnológico, la Información lógica en una empresa son los activos más valiosos que tiene hoy en día, siendo así que las seguridades de la información son muy requeridas para el apoyo y protección de la información en las organizaciones. Desde esta perspectiva debe ser absolutamente claro que toda organización requiere de seguridades para la protección de su información. OBJETIVOS Objetivo general Diseñar un Sistema de Gestión de la Seguridad de la Información basado en la norma ISO 27001 sobre un servidor CentOS y servicios de Red para el apoyo de la seguridad de la información de la Importadora Megatech. Objetivos específicos Realizar un diagnóstico inicial de los controles existentes, así como las políticas de seguridad que se utilizan actualmente en la importadora Megatech Instalar y configurar servidor CentOS y servicios de Red para implementar el SGSI para el apoyo de la seguridad de la información Realizar un análisis para construir el SGSI sobre el servidor y los servicios de red en base a la información recaudada en el capítulo II. Analizar y evaluar los riesgos que presenta el servidor después de haberlo instalado y configurado. 57 Mediante el modelo PDCA el cual consta de cuatro etapas del sistema, realizar las etapas de implementación, diseñar e implementar el SGSI sobre el servidor con sus servicios de red donde se va a configurar con su firewall, proxy, DHCP y Samba. Realizar la validación de la hipótesis y las conclusiones del capítulo. DESARROLLO DE LA PROPUESTA Antes de la implementación del SGSI para la solución de la problemática, se iniciara con el diagnostico de los equipos que manipulan la información de la empresa, verificar si existen niveles de seguridad para acceder a los datos, la estructura de la red y las Políticas o controles existentes. SEGURIDAD DE LA INFORMACIÓN ACTUALMENTE EN LA IMPORTADORA. Para implementar los controles que nos brinda la norma ISO 27001 del SGSI, se realiza un análisis previo para determinar el grado de seguridad, confidencialidad, integridad y disponibilidad de la información, y determinar como la vienen salvaguardando. Se puede constatar que no existe control alguno para salvaguardar la información, las estaciones de trabajo que se utilizan para acceder a la información que se encuentra en el computador con XP que hace la función de servidor no cuentan con seguridades como una contraseña y usuarios invitados, la máquina con XP tampoco cuenta con alguna seguridad para que accedan a ella con privilegios, al momento que un usuario se conecta a la red tiene acceso a toda la información de la importadora, permitiendo que se encuentre en Riesgo de que sea manipulada o eliminada. Contraseñas Las maquinas no cuentan con identificación ni autentificación (usuario y contraseña) para acceder al computador ni para acceder a la información, el 58 personal de la importadora no cuenta con privilegios para acceder a la información, de manera que cualquier usuario no autorizado conectado en la red puede modificar, eliminar la información. Red interna La importadora Megatech dispone de un Red LAN conectados a través de un Switch y un Router que están conectados al internet que nos proveen, dispone de 10 equipos que serán descritos a continuación. Tabla 5 inventario de equipos de la importadora Megatech Fuente: importadora Megatech Autor: Rogelio Guerrero Inventario de Equipos N° de Departamento Equipos Gerente 1 Asistente de Gerencia 1 Compras Publicas 1 Financiero 1 Secretaria General 1 Departamento Técnico 1 Ventas 1 Servidor 1 Impresora b/n 1 Impresora Color 1 Total 10 Dirección IP DHCP DHCP DHCP DHCP DHCP DHCP DHCP DHCP DHCP DHCP La importadora no cuenta con todas la maquinas cableadas, 6 máquinas se conectan inalámbricamente al Router lo cual produce demasiadas molestias al personal de la importadora, ya que tienen conflictos de direcciones IP, y se desconectan de la Red a cada momento. En el departamento técnico se encuentra ubicado el Computador XP que tiene todos los datos de la empresa, pero no cuenta con una configuración apropiada para acceder al mismo, dejando así vulnerable toda la información en la RED. No existen controles ni políticas de seguridad donde se administren las maquinas conectadas a la red o las direcciones IP de cada máquina, donde se pueda 59 gestionar, minimizar y evaluar los riesgos que presenta en cuanto a la confidencialidad, integridad y disponibilidad de la información. Acceso a la WEB Por el momento no existe una administración en cuanto al acceso a la WEB, todos los usuarios que se conectan a la RED tienen acceso a internet libremente sin restricciones lo que produce que el personal se distraiga en redes sociales o páginas no debidas en horas de trabajo lo que produce pérdidas económicas para la importadora ya que ellos tienen que estar a la caza de cualquier proceso de compras públicas de la SERCOP. Cableado antes de la implementación. VER ANEXO 4 Esquema general de la Red Interna de la importadora Megatech. 60 61 Figura 7 estructura de la red de la importadora Megatech Autor: Rogelio Guerrero 61 Antivirus Las computadoras de la importadora Megatech cuentan con licencias gratuitas de antivirus como el Avast y el Eset Smart Security, las mismas que se actualizan a través de internet. No se realizan escaneos periódicos en busca de virus en el computador que cumple la función como servidor ni en las computadoras que se utiliza para acceder a la información no existe un política donde se designe a un responsable que se encargue de realizar estos cheques por lo que se tiene problemas frecuentes con virus. Control de aplicaciones en PC’s Actualmente cualquier usuario puede instalar aplicaciones, programas o software, ya que no existe un control ni procedimientos a seguir o alguna documentación respecto a que políticas seguir para instalar alguna aplicación o actualización de la configuración de las PC’S. Solo existen instalaciones básicas de Windows y llenas de aplicaciones innecesarias tampoco hay una respectiva actualización de programas instalados, como el office, el lector de pdf, ni los servi packs de Windows o aplicaciones. No existe un documento o políticas escritas de actualización de programas, tampoco se documenta ningún cambio realizado, por lo tanto el usuario instala cualquier programa que desee, llegando a instalar aplicaciones maliciosas que causan que el computador no funcione correctamente. Control de acceso a los equipos Hasta el momento no se sabe si ha existido robo de información, ya que no existe una política que administre el control de acceso a los equipos, no se realiza un control periódico sobre los dispositivos de hardware instalados en los equipos ni en 62 la máquina que hace la función de servidor de manera que podrían sacar o poner alguna. Una vez que se instaló el equipo no se realiza un chequeo periódico o rutinario, solo se revisa cuando se encuentran muy lentas por virus o cuando el usuario reporta algún problema o falla. La máquina que hace la función de servidor y la Red inalámbrica no se la apaga en horarios no laborales, dejando que cualquier persona que hackee la red tenga acceso a toda la información no existiendo una confidencialidad de la misma. Dispositivo de soporte En la importadora Megatech dispone de los siguientes dispositivos para el soporte de los equipos informáticos: Cada computador tiene su propio UPS, que durante un apagón o una falla de corriente le da aproximadamente 5 minutos de energía para poder resguardar la información y poder apagar el computador correctamente para que no sufra daño alguno La importadora Megatech cuenta con una conexión a tierra que ayuda que las computadoras no sufran alguna descarga eléctrica Responsables de la seguridad de la información Y equipos No existen usuarios responsables que se encarguen de administrar y dar seguridad a la información, para que esta mantenga su confidencialidad, integridad y disponibilidad en su ciclo de vida, existe un responsable general del departamento técnico, que solo revisa las maquinas cuando el personal le hace conocer que existe algún problema. El personal se comunica de forma verbal con el encargado general, no existe un registro de cada requerimiento que se desea, ya que no se cuenta con un mantenimiento preventivo periódicamente. 63 Backup Cuando se realiza un cambio en la configuración de la máquina que contiene la información, no se guardan copias de la configuración anterior, ni se documenta los cambios que se procedieron a hacer, ya que no existe un responsable. La importadora no cuenta con un RAID para tolerar algún fallo en el Disco que contiene la información y esta pueda seguir disponible cuando el personal desee el acceso a ella. INSTALACIÓN DEL SERVIDOR. Con las metodologías empleadas se determinó que CentOS 5.5 es el más estable, y que tiene el firewall más poderoso si no decir el número en cuanto a software, soportando la instalación de todos los servicios que se van a implementar para la seguridad de la información en un mismo Computador, permitiendo implementar el SGSI basado en la norma ISO 27001 sobre el servidor y los servicios de RED para el apoyo de la seguridad de la información. Instalación de CentOS con el RAID 1 VER ANEXO 6 Figura 8 CentOS instalado Autor: Rogelio Guerrero 64 Una vez que se tenga instalado el servidor CentOS, se procede a instalar y configurar los servicios que se van a utilizar, los cuales son: Samba, DHCP, Proxy y el Firewall. Instalación y configuración del servicio samba Primero se crea los usuarios y sus contraseñas en el servidor. Figura 9 creación de usuario y contraseña Autor:Rogelio Guerrero Mediante un terminal con la herramienta yum se procederá a la instalación de samba. Figura 10 instalación de samba Autor: Rogelio Guerrero 65 Una vez instalado samba se procede a editar el archivo smb.conf que se instaló, dando privilegios a los usuarios para que puedan acceder a la información. Figura 11 accedemos al archivo de samba smb.conf Autor: Rogelio Guerrero Se configura el nombre del grupo de trabajo y el nombre del Servidor que se va a visualizar en la Red, y las carpetas con privilegios a usuarios. Figura 12 configuración grupo de trabajo Autor:Rogelio Guerrero Figura 13 creación de carpetas y privilegios a usuarios Autor:Rogelio Guerrero 66 Instalación del servicio DHCP Figura 14 instalación del servicio DHCP Autor:Rogelio Guerrero Una vz instalado el servicio DHCP se configura el archivo dhcpd.conf donde se da los parametros que lleva la Red interna, como direcciones IP, mascara de Red, y DNS si es necesario etc. Tambien se deja libre 10 IP dinamicas para las portatiles, celulares o tablets de los proveedores o clientes que deseen acceder a la WEB en su visita a la importadora Megatech. 67 Figura 15 configuración del servicio DHCP Autor:Rogelio Guerrero Las maquinas que acceden a la infromación sera controladas mediantes IP fijas que las administrara el servidor, evitando los conflictos de direcciones IP ya que las IP van amarradas con cada MAC de cada maquina. Figura 16 configuración IP + MAC Autor:Rogelio Guerrero Instalación y configuración del proxy El proxy se configura mediante el servicio squid. 68 Figura 17 instalación del servicio squid Autor:Rogelio Guerrero Una vez instalado el servicio squid se configura el archivo squid.conf el cual es para negar ciertas extensiones de la WEB, permitiendo aprovechar mejor el uso del ancho de banda que se disponga, se lo realiza mediante una lista de control de acceso que coincidan con las extensiones que se desea negar el acceso. Figura 18 configuración recomendada squid Autor:Rogelio Guerrero 69 Dentro de la carpeta de squid, se crean los listados de control de acceso ACL donde se bloquean extensiones de páginas como, redes sociales entre otras, el cual ayuda a la administración del acceso a la WEB. Figura 19 primer ACL prohibido Autor:Rogelio Guerrero Figura 20 segundo ACL redes sociales Autor:ROgelio Guerrero Una vez creado los ACL, necesitan ser llamados desde el archivo de configuración squid.conf. Figura 21 llamamos nuestras ACL Autor:Rogelio Guerrero Se comprobara el pedido de la red local a la WEB. 70 Configuración de firewall o cortafuegos. CentOS permite crear sus propias reglas, su propio firewall, utilizando las IPTABLES, la configuración del firewall por software permite el reenvió de paquetes de internet que llegan al servidor hacia la red local, se puede administrar las páginas mediante el puerto seguro tcp/443. Figura 22 configuración iptables Autor:Rogelio Guerrero Figura 23 reenvío de paquetes Autor:Rogelio Guerrero 71 Figura 24 administración del puerto tcp/443 Autor:Rogelio Guerrero INSTALACIÓN CABLEADO ESTRUCTURADO. Para mejorar la conexión de la Red interna se cambia la estructura de la Red, para que todas las maquinas se conecten vía cable al servidor que se configura y no tengan problemas de conexión. A continuación se detalla los implementos que se usa. VER ANEXOS 5 Tabla 6 detalle de implementos de red Autor:Rogelio Guerrero Descripción Switch 16 puertos Patch Panel 24 Puertos Organizadores de Cables Racks Pequeño Jack y Conectores Rj45 Cat 6 Cable UTP Next Cat 6 Access Point Canaletas Cajetines de red Nuevo esquema de la Red interna de la importadora Megatech. 72 73 Figura 25 nuevo esquema de la red interna Autor:Rogelio Guerrero 73 IMPLEMENTACION DEL SGSI La ISO 27001 cuenta con 14 dominios y 114 controles para la seguridad de la información, la ISO 27001 le da prioridad al Sistema de Gestión, lo cual de todos los controles que existen se selecciona los que ayuden a reducir los riesgos que se presenten durante la implementación del SGSI. Método PDCA Figura 26 ciclo de vida del SGSI Fuente: gestión integral de la calidad Autor::Rogelio Guerrero El SGSI es una Decisión estratégica para minimizar los riesgos que se presentan a la información de la organización. 74 Etapas de implementación. Figura 27 etapas de implementación del SGSI Fuente:gestión integral de la calidad Autor:Rogelio Guerrero El propósito del SGSI es garantizar que los riesgos de seguridad serán conocidos, asumidos, gestionados y minimizados por la importadora de una forma documentada. Uno de los fundamentos del diseño del SGSI es la elaboración de las políticas de seguridad informática a aplicarse a los procesos que se realicen al servidor con sus servicios de red, lo cual de los controles y dominios que cuenta la ISO 27001 se escoge los que más convengan para que se pueda realizar el SGSI y así se pueda reducir las vulnerabilidades y amenazas que existen, logrando mantener siempre la confidencialidad, integridad y disponibilidad de la información. 75 Los pasos para la implementación en las etapas son los siguientes: Alcance del SGSI Políticas de seguridad • Marco general • Objetivos • Alcance • Responsabilidades • Objetivos de los dominios de la ISO 27001 Metodología de evaluación de riesgos Identificar los activos • Vulnerabilidades y Amenazas Analizar y evaluar los riesgos Selección de Controles Aplicabilidad del SGSI Definir plan de tratamiento de los riesgos Implantar plan de tratamiento de los riesgos Implantación de Controles ETAPA 1 PLANIFICAR ALCANCE DEL SGSI En la importadora Megatech es necesario el uso de sistemas de información, servicios informáticos e información almacenada en el servidor y los servicios de red para acceder a la misma. El alcance del SGSI de la importadora MEGATECH será de la siguiente manera: Información Implicada. Procesos financieros tales como registro de pagos, información financiera, contable, información de cobros y demás procesos relacionados 76 Procesos administrativos tales como nomina, activos fijos y demás procesos relacionados. Procesos de compras públicas tales como procesos de la SERCOP o demás procesos relacionados. Procesos de ventas tales como facturación al cliente final, inventarios, y demás procesos relacionados. Servicio de red para la autorización a computadores de la importadora Sistemas de Información. El sistema de información gestionado por este sistema es el siguiente: o Sistema Contable Mcount. o Servicio de RED (Proxy, FIREWALL, DHCP) POLÍTICA DE SEGURIDAD Marco general En la actualidad la información es el bien más preciado de una organización motivo por el cual la información debe ser sumamente protegida contra amenazas y riesgos. Todo cambio que suceda será reportado a la gerencia general y comunicado al personal antes de ser implementado. La política de seguridad intenta reducir, aceptar, transferir o evitar al máximo los riesgos y proteger de las amenazas que estén asociados con la información, el éxito de la política radica con el compromiso de las autoridades de la importadora, y asimismo una difusión de las mismas, a todo el personal involucrado para que exista un serio compromiso de parte de ellos. 77 Objetivo de la Política Proteger la información de la importadora al más alto grado posible como activo más importante, además los sistemas que procesan la información al servidor mediante los servicios de red, con el fin de asegurar el cumplimiento de la disponibilidad, confidencialidad e integridad de la información, minimizando al máximo los riesgos que la afecten. Alcance Esta política se aplica a todo el entorno dentro de la importadora Megatech en el que se manipule información, principalmente en el servidor que se configura, ya que en él se concentra toda la información, así como las computadoras conectadas a las Red que intervengan la información, en el desarrollo de estas políticas debe definir los términos y condiciones en cuanto a la manipulación de la información. Responsables Todo el personal y gerente de la importadora son responsables de cumplir las políticas de seguridad de la información para la manipulación de la misma, a continuación se detallan los actores principales. Oficial de Seguridad Será el encargado de la administración de la seguridad en el servidor y los servicios de red en la importadora y demás tareas sobre el mismo, y responsable de supervisar las políticas de seguridad que se encuentran presente, también estará encargada de delegar tareas que estén relacionadas a satisfacer los requerimientos de seguridad de la información detallados en estas políticas. 78 Administrador de la Información El administrador de la información es responsable de clasificar y catalogar la misma según su confidencialidad, mantener actualizada esta información determinando específicamente el nivel de acceso que tiene cada personal para tener una integridad en la información, y que siempre se encuentre disponible para el personal a necesitar. Coordinadora Sera la responsable de publicar o notificar a todo el personal involucrado sobre las políticas implementadas y cualquier cambio o modificación que se haya hecho. Usuarios de la Información y de los sistemas El personal es responsable de conocer, cumplir y fomentar el cumplimiento de las políticas, es responsable de llevar acabo cada política de seguridad que se encuentra establecido para el acceso a la información que se encuentra en el servidor mediante los servicios de red de la importadora. Dominios de la ISO 27001 En conformidad con las políticas de seguridad la ISO/IEC 27001 incluirá los objetivos de sus 14 dominios. 5 Política de Seguridad de la información El principal objetivo de la política de seguridad de la información es cumplir con sus tres principios que son, la confidencialidad, integridad y disponibilidad de la información, resguardando la información al máximo posible. La información tiene que ser confiable a todo momento 79 Garantizar que accedan a la información solo personal autorizado. Asegurar que la información sea completa y valida durante su ciclo de vida. Capacitar a todo el personal sobre las seguridades de la información y su obligación de cumplirlas. El oficial de seguridad será el encargado de mantener y mejorar las políticas de seguridad de la información Garantizar que todas las vulnerabilidades y amenazas de la información sean tratadas 6 Aspectos Organizativos de la seguridad de la información Para la administración de la seguridad de la Información, se definirá que el Gerente es el que aprobara las nuevas políticas o cambios en la misma, la cual reportara directamente la coordinadora de la seguridad para que estas sean puestas en marcha lo más pronto posible, el oficial de la seguridad impulsara el cumplimiento de las mismas. Debe existir un documento que sirva de constancia de las funciones que deben cumplir anteriormente detalladas. 7 Seguridad ligada a los recursos humanos El principal objetivo de este control es gestionar los riesgos derivados al error humano, uso no autorizado de la información o uso inadecuado de los equipos o que la administra. El personal de la importadora deberá ser informado desde el momento que se lo contrata de las responsabilidades y derechos en materia de uso de la seguridad de la información, garantizando que los usuarios involucrados estén al tanto de las amenazas en materia de la seguridad de la información y que se encuentren capacitados para el cumplimiento de las políticas de seguridad en el transcurso de sus tareas normales, también se establece un compromiso de confidencialidad en 80 todos los usuarios que tengan acceso a la información con el fin de gestionar los riesgos si estos llegaran a ocurrir. 8 Gestión de activos que se conectan al servidor y servicios de red La información del servidor y todos los servicios que presente el mismo, deberán estar bien clasificados según su nivel de confidencialidad y criticidad para el acceso a la misma, garantizando que los activos de información reciban un adecuado nivel de protección. 9 Control de accesos EL acceso a la información del servidor, deberá ser restringido de acuerdo con los requerimientos y privilegios de control establecidos por el Oficial de seguridad, dicho acceso estará asegurado a través de procesos de autentificación y autorización. Los principales objetivos son: Evitar el acceso no autorizado a los activos de la información, sistemas de información y a la información de la importadora. Establecer la seguridad en el acceso de los usuarios a través de técnicas de autenticación. Controlar la seguridad entre conexión de la red interna y el internet. Capacitar al usuario para que haga conciencia de la importancia del uso de contraseñas en los equipos. Mantener las contraseñas en secreto Garantizar el acceso a la información al utilizar conexiones remotas. 81 10 Cifrado El fin de este objetivo es asegurar la confidencialidad e integridad de la información mediante el uso de sistemas y técnicas criptográficas en base al previo análisis de los riesgos, todo esto en base a las políticas sobre el uso de controles criptográficos. 11 Seguridad Física y Ambiental Proteger adecuadamente los equipos que procesan la información de la importadora, tanto el servidor donde reside toda la información como los computadores que la manipulan, dispositivos que prestan los servicios de red y demás, evitando accesos no autorizados, daños e interferencia para los datos de la organización. 12 Seguridad en la operativa Asegurar que los equipos que manipulan o acceden a la información operen correctamente, garantizando la integridad de los sistemas operativos, asegurando que la información al momento de ser procesada esté protegida contra malware o virus, evitando la pérdida de datos, logrando gestionar vulnerabilidades técnicas. 13 Seguridad en las telecomunicaciones Proteger la información, de la manipulación en la red, garantizando que siempre se encuentre disponible y que el uso de la misma sea siempre segura, gestionando los riesgos presentes mediante controles especiales a fin de asegurar la confidencialidad de la información transmitida a través del internet o través de redes inalámbricas que permiten resguardar la información como bien más preciado de la importadora Megatech. 82 14 Adquisición, desarrollo y mantenimiento de los sistemas de información Se deberá prevenir manipulaciones inadecuadas o eliminación de la información del servidor, a lo cual se incluirá mediante todo el ciclo de vida de la información pruebas, mantenimientos y copias de seguridad con el fin de evitar pérdidas de la misma Es importante que los principios de seguridad de la información sean incorporados a los equipos de procesamiento en todo su ciclo de vida, garantizando que en el desarrollo de los sistemas de información los equipos de procesamiento duren todo el ciclo de vida de los datos. 15 Relaciones con suministradores El objetivo es proteger los activos de la importadora Megatech que sea accesible para los proveedores, manteniendo un nivel de seguridad de la información, de la prestación de servicio que nos brindan cada proveedor. 16 Gestión de incidentes en la seguridad de la información El objetivo primordial es que exista comunicación entre el personal involucrado con la información para garantizar un enfoque razonable cuando se presente un incidente en el servidor o en la red, minimizando estas vulnerabilidades o amenazas. 17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio El objetivo principal es minimizar los riesgos más críticos en la importadora en el procesamiento de información ya sean estos temporales o permanentes, desastres naturales o accidentales, asegurando la disponibilidad de la información, asimismo todas las normas internas se deberán evaluar y asegurar su cumplimiento para lograr mantener la continuidad del negocio. 83 18 cumplimientos Controlar el cumplimiento de las obligaciones legales sobre las políticas de seguridad de la información, con el fin de evitar sanciones administrativas al personal, garantizando que la implementación de la seguridad de la información sea aplicada de acuerdo a las políticas y procedimientos de la importadora, revisando periódicamente las políticas con el fin de asegurar que estas políticas de seguridad no estén siendo incumplidas. METODOLOGÍA DE EVALUACIÓN DE RIESGO Se puede elegir cualquier metodología, la norma ISO 27001 exige que dicha metodología muestre resultados semejantes, donde cada activo de la información se le debe identificar todas las vulnerabilidades y amenazas existentes, la posibilidad de la ocurrencia y la posibilidad de que dicha amenaza se materialice dependiendo de la vulnerabilidad existente. Debido a la gran importancia que tiene la información en la importadora, se optara por utilizar la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), esta permitirá saber que activo de la información está en riesgo y ayudara a gestionarla y protegerla. Con MAGERIT no existe lugar a la improvisación se persigue una aproximación metódica al análisis de riesgo para el SGSI. Describir los activos importantes para la importadora sobre el servidor y servicios de red Describir los valores que se utilizaran sobre los activos Valorar la confidencialidad integridad y disponibilidad de los activos Identificar las vulnerabilidades y amenazas sobre los activos Valorar el impacto del daño sobre el activo cuando la amenaza se materialice 84 IDENTIFICACIÓN DE ACTIVOS Para la identificación de los activos que intervienen sobre el servidor y los servicios de red se utilizara datos proporcionados por el técnico encargado de la importadora MEGATECH. Tabla 7 identificación de activos Autor: Rogelio Guerrero Activos Documentación y Registro Auxiliares Sistemas Operativos Paquetes de Programas o software estándar Computadoras de Oficina Servidor y Servicios de RED Medios Extraíbles Red Local Correo Electrónico Empleados Descripción Actas Documentación de proceso Sercop Contratos con los clientes Contratos con los proveedores Facturas Memos Oficios Reglamento del SRI Inventario Información Financiera Suministros de Oficina Linux CentOS 7 Windows 7 Windows 8.1 Antivirus Software contable Mcount Paquete de Office Estaciones de trabajo Cortafuego (firewall) Samba DHCP Proxy (squid) Base de datos del Sistema contable s.a DVD-ROM Disco Duro extraíble Memoria extraíble Cableado Estructurado Wifi Switch Router Tecnología Ethernet Skype Correo electrónico interno Gerente Administrativo Asistente de Gerencia Financiera 85 Activos Descripción Compras Publicas Secretaria Atención al Cliente Departamento Técnico ESCALA DE VALORES DE LOS RIESGOS Se elegira una escala detallada con los tres elementos principales de la norma ISO 27001 (confidencialidad, integridad, disponibilidad). Tabla 8 confidencialidad Autor: Rogelio Guerrero Valores 1 Confidencialidad Publica 2 Interna 3 Secreto 4 Alta Confidencialidad Descripción Puede ser proporcionado a terceras personas Puede ser revelada dentro de la importadora Puede ser revelada a partes específicas y departamentos de la importadora Solo puede ser revelado a partes específicas, en la importadora Tabla 9 valores integridad Autor:Rogelio Guerrero Valores 1 Integridad No necesaria 2 Necesaria 3 Importante Descripción No hay problemas solo para consultas Problemas si el contenido fuera manipulado, pero no afectaría mucho a los procesos de la importadora. Efecto fatal para los procesos de la importadora si la integridad se perdiera Tabla 10 valores disponibilidad Autor: Rogelio Guerrero Valores 1 Disponibilidad Bajo 2 Medio 3 Alto Descripción Si la información no está disponible no afecta a los procesos de la importadora Si la información no está disponible en el servidor se usaría métodos alternativos para usar la información. Si la información no está disponible, cuando se la necesita sería fatal para los procesos que realiza la importadora 86 VALORACIÓN DE ACTIVOS Para valorar los activos de información se realizara una conversa directamente con el personal que conoce la importancia de la información y así poder determinar los niveles de confidencialidad integridad y disponibilidad que requiere cada proceso para almacenar o acceder a la información del servidor Tabla 11 valoración de activos Autor: Rogelio Guerrero Activos Documentación y Registro Elementos Valores Confidencialidad 3 Integridad 3 2 Disponibilidad Auxiliares Confidencialidad 1 Integridad 2 Disponibilidad 1 Confidencialidad 4 Sistemas Operativos 3 Integridad 87 Descripción La información contiene datos de los clientes, proveedores y procesos de ventas, es necesario que los departamentos tengan acceso a ella. Los documentos de la importadora almacenada en el servidor no pueden ser manipulados sin autorización La información debe estar disponible en cualquier momento que lo requiera el departamento autorizado a ella No se requiere de confidencialidad los suministros a utilizar. Los suministros a utilizar no deben ser manipulados ya que puede ocasionar que el equipo no funcione correctamente Solo en las horas de trabajo, si falla alguna pieza fuera de la hora de trabajo no se tiene inconvenientes La información que se encuentra en el servidor es personal la cual debe ser muy protegida La información de los procesos o pliegos que realiza la importadora deben ser los correctos. Activos Elementos Valores 3 Disponibilidad Paquetes de Programas o software estándar Confidencialidad 1 Integridad 2 Disponibilidad 2 Confidencialidad 3 Computadoras de Integridad Oficina 3 Disponibilidad 2 Confidencialidad 4 Servidor y Servicios de RED Integridad 3 Disponibilidad 3 1 Confidencialidad Medios Extraíbles Integridad 2 Disponibilidad 3 88 Descripción El servidor debe estar disponible las 24 horas del día para un excelente desempeño de la importadora. No son confidenciales ya que son estándares. La aplicación o software no debe tener errores La aplicación debe estar operacional las horas de trabajo. La información almacenada en las PC debe ser vista únicamente por el respectivo usuario Es necesaria la información almacenada especialmente si es de algún trámite realizado o por realizar Disponible para que el personal pueda acceder a la información durante horas de trabajo Solo personal de departamentos específicos pueden acceder a la información del servidor. La información del servidor no puede ser modificada mucho menos eliminada sin autorización, puede ocasionar perdidas económicas a la importadora. El servidor debe estar funcional las 24 horas del día para o afectar al respaldo y tener siempre disponible la información que se requiera. No se requiere de confidencialidad Los archivos que sean de la importadora no deben ser manipulados Archivos sacados de la importadora que se trasladen en un medio extraíble debe estar siempre disponible Activos Elementos Valores Confidencialidad 2 Integridad 2 Disponibilidad 3 Confidencialidad 4 Red Local Correo Electrónico Integridad 2 Disponibilidad 2 Confidencialidad 2 Integridad 1 Empleados 2 Disponibilidad Descripción Las medios de comunicación no pueden ser interceptados para que la información no sea desviada Que los servicios de comunicación no fallen en horas de trabajo Siempre disponibles ya que se necesita acceder o guardar información siempre al servidor Se debe manejar que departamento accede a la información ya que mediante el correo se puede estar fugando información Los datos no pueden ser manipulados al momento de enviar por correo pero si se diera el caso se vuelve a utilizar el original El correo electrónico de la empresa debe ser utilizado solamente en horas de trabajo. La información debe ser manejada en horas de trabajo No hay relación. Deben estar disponibles en horas de trabajo para resolver cualquier problema que se le presente IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES El objetivo es identificar las amenazas que pueden explotar las vulnerabilidades que existen en cada activo de la información. Tabla 12 amenazas y vulnerabilidades Autor: Rogelio Guerrero Activo Amenazas Modificación Documentos Accidentes imprevistos 89 Vulnerabilidades Falta de Capacitación Desconocimiento de información la Activo Documentación y Registro Amenazas Acceso no Autorizado Ingreso no autorizado a los registros Manipulación de los registros de la importadora Destrucción de Documentos y registros Vulnerabilidades Falta de control Falta de control Falta de conocimiento Errores de los empleados, almacenamiento no protegido Cambio de ubicación de la Falta de control documentación Divulgación de la Falta de políticas documentación y registros Manipulación del suministro Errores de administración Mal uso del suministro Auxiliares Falta de control Falta de conocimiento Falta de capacitación al personal Ausencia de conexión al Funcionamiento no confiable suministro de los UPS Abuso de privilegios Sistemas Operativos Paquetes de Programas o software estándar Falta de conocimiento de las políticas de seguridad Acceso no autorizado Falta de control de acceso Errores de administración Falta de conocimiento de políticas de seguridad Propagación de software Falta de actualización de malicioso antivirus Suplantación de la identidad Falta de control de usuarios de usuarios Ataque de virus Falta de antivirus Manipulación de programas Falta de conocimiento de políticas de seguridad Desinstalación de Falta de control de programas administración Desactualización de Falta de control de antivirus y programas mantenimiento Acceso no autorizados a Falta de control de acceso programas Manipulación de programas Falta de control de accesos Errores de usuarios Falta de capacitación al personal Suplantación de identidad Falta de control de usuarios Manipulación configuración Computadores de 90 de Falta de control de acceso los Activo Computadoras de Oficina Servidor y Servicios de RED Medios Extraíbles Red Local Amenazas Uso inapropiado Vulnerabilidades Falta de conocimiento del personal Fuego Falta de protección contra el fuego Acceso no autorizado a los Falta de control de acceso Computadores Instalación de autorizada de Falta de conocimiento de las software políticas de seguridad Ataque destructivo Falta de protección física Robo Falta de protección física Falta de energía Funcionamiento no confiable de los UPS Manipulación de archivos de Falta de control de acceso registros Manipulación de servicios de Falta de control de acceso red Falta de energía Funcionamiento no confiable de los UPS Seguridades no detectadas Falta de mantenimiento periódicamente Ataques destructivos Falta de protección física Códigos maliciosos Falta de monitoreo al servidor Manipulación de la Falta de políticas de información seguridad Hurto de la información Falta de políticas de seguridad Robo del medio Falta de protección física Paso de virus Falta de políticas de seguridad Fuego Falta de protección contra fuego Errores de configuración Falta de conocimiento administrativos Manipulación de la red Falta de control de acceso Corte de la comunicación Falta de monitoreo a la red entre computadores Uso no previsto de la RED Falta de control de conexión Hurtar la identidad Correo Electrónico Falta de servicio de correo empresarial Reenvió de paquetes de Falta de servicio de correo mensajes empresarial Hurto de información 91 Falta de servicio de correo empresarial Activo Empleados Amenazas Manipulación de la información Eliminación de la información Divulgación de la información Desconocimiento de funciones del personal Accesos no autorizados Vulnerabilidades Falta de capacitación al personal sobre las políticas de seguridad sobre la seguridad de la información VALORACIÓN DEL IMPACTO La valoración del impacto de cada activo se elegirá según la violación y seguridad del servicio que presente cada una, en base a esto se puede determinar cuáles deberían ser atendidas inmediatamente, valorizando la disponibilidad, integridad y confidencialidad. Muy Alto - 5 Alto - 4 Medio - 3 Bajo - 2 Muy Bajo - 1 Se valorara con las siguientes normas: Pérdidas económicas: perdida de actividad o capacidad de operar. Costo de Recuperación: recuperar el valor del activo. Tabla 13 valoración del impacto Autor: Rogelio Guerrero Activo Amenazas Modificación de Documentos Hurto de la documentación Pérdidas Económicas Costo de Recuperación Promedio del impacto 4 4 4 5 5 5 92 Activo Documentación y Registro Auxiliares Sistemas Operativos Amenazas Ingreso no autorizado a los registros Manipulación de los registros de la importadora Destrucción de Documentos y registros Cambio de ubicación de la documentación Divulgación de la documentación y registros Accidentes imprevistos Manipulación del suministro Errores de administración Mal uso del suministro Ausencia de conexión al suministro Abuso de privilegios Acceso no autorizado Errores de administración Propagación de software malicioso Suplantación de la identidad de usuarios Ataque de virus Manipulación de programas Pérdidas Económicas Costo de Recuperación Promedio del impacto 5 5 5 5 3 4 5 5 5 4 3 4 3 4 5 5 5 4 4 4 4 4 4 4 4 4 3 4 4 5 4 5 4 5 5 4 4 4 5 4 4 4 4 4 4 4 4 4 4 4 5 5 5 4 Desinstalación de programas 93 Activo Paquetes de Programas o software estándar Computadoras de Oficina Servidor y Servicios de RED Amenazas Desactualización de antivirus y programas Acceso no autorizados a programas Manipulación de programas Errores de usuarios Suplantación de identidad Manipulación de configuración de los Computadores Uso inapropiado Daños por agua Fuego Acceso no autorizado a los Computadores Instalación no autorizada de software Ataque destructivo Robo Falta de energía Manipulación de archivos de registros Manipulación de servicios de red Falta de energía Seguridades no detectadas Ataques destructivos Códigos maliciosos Robo Manipulación de la información Eliminación de la información Pérdidas Económicas Costo de Recuperación Promedio del impacto 4 3 4 5 5 5 4 4 4 4 5 5 5 4 5 5 4 5 5 5 5 4 5 5 5 5 5 5 3 4 4 3 4 5 5 5 5 5 5 3 5 4 5 4 5 5 4 5 5 5 5 4 5 5 5 5 5 5 4 5 5 4 5 3 5 4 4 4 4 94 Activo Medios Extraíbles Red Local Correo Electrónico Empleados Amenazas Hurto de la información Robo del medio Paso de virus Fuego Errores de configuración Manipulación de la red Corte de la comunicación entre computadores Uso no previsto de la RED Hurtar la identidad Falta de servicio de correo empresarial Reenvió de paquetes de mensajes Hurto de información Manipulación de la información Eliminación de la información Divulgación de la información Desconocimiento de funciones del personal Accesos no autorizados Pérdidas Económicas Costo de Recuperación Promedio del impacto 4 4 4 5 5 5 5 5 5 5 4 5 5 5 5 5 4 5 4 3 4 5 5 4 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 5 5 5 4 4 4 5 4 5 5 4 5 ANÁLISIS Y EVALUACIÓN DE RIESGOS. Se analiza las vulnerabilidades y amenazas identificadas para poder determinar el valor al riesgo que está expuesta la información, para poder implementar los 95 controles que nos brinda la norma ISO 27001 para ayudar a proteger la información, bajos los criterios de disponibilidad, confidencialidad e integridad de los datos. DETERMINACION DEL RIESGO Una vez obtenido el impacto de cada activo de la información, se determina la frecuencia con la que está expuesta la amenaza, para obtener el valor del riesgo y así se pueda incrementar los controles establecidos por la norma ISO 27001: Valoración de la Frecuencia Siempre - 5 Casi Siempre - 4 A Menudo - 3 Algunas Veces - 2 Casi Nunca - 1 Tabla 14 determinación del riesgo Autor: Rogelio Guerrero Activo Documentación y Registro Amenazas Modificación de Documentos Hurto de la documentación Ingreso no autorizado a los registros Manipulación de los registros de la importadora Destrucción de Documentos y registros Cambio de ubicación de la documentación Divulgación de la documentación y registros 96 Promedio del impacto Frecuencia Valor del Riesgo 4 1 4 5 1 5 5 1 5 4 1 4 5 1 5 4 1 4 4 1 4 Activo Auxiliares Sistemas Operativos Paquetes de Programas o software estándar Computadoras de Oficina Amenazas Accidentes imprevistos Manipulación del suministro Errores de administración Mal uso del suministro Ausencia de conexión al suministro Abuso de privilegios Acceso no autorizado Errores de administración Propagación de software malicioso Suplantación de la identidad de usuarios Ataque de virus Manipulación de programas Desinstalación de programas Desactualización de antivirus y programas Acceso no autorizados a programas Manipulación de programas Errores de usuarios Suplantación de identidad Manipulación de configuración de los Computadores Uso inapropiado Daños por agua Fuego Acceso no autorizado a los Computadores Instalación no autorizada de software Ataque destructivo Robo Falta de energía 97 Promedio del impacto Frecuencia Valor del Riesgo 5 4 2 1 10 4 4 1 4 4 2 8 4 5 5 4 1 1 1 1 4 5 5 4 4 2 8 4 4 1 2 4 8 4 5 1 1 4 5 4 1 4 5 4 1 2 5 8 5 1 5 5 1 5 5 1 5 5 5 5 1 1 1 5 5 5 4 2 8 4 5 5 4 1 1 1 2 4 5 5 8 Activo Servidor y Servicios de RED Medios Extraíbles Red Local Correo Electrónico Empleados Amenazas Manipulación de archivos de registros Manipulación de servicios de red Falta de energía Seguridades no detectadas Ataques destructivos Códigos maliciosos Robo Manipulación de la información Eliminación de la información Hurto de la información Robo del medio Paso de virus Fuego Errores de configuración Manipulación de la red Corte de la comunicación entre computadores Uso no previsto de la RED Hurtar la identidad Falta de servicio de correo empresarial Reenvió de paquetes de mensajes Hurto de información Manipulación de la información Eliminación de la información Divulgación de la información Desconocimiento de funciones del personal Accesos no autorizados 98 Promedio del impacto Frecuencia Valor del Riesgo 5 5 1 1 5 5 5 5 2 2 10 10 5 5 5 4 1 1 1 2 5 5 5 8 4 2 8 4 1 4 5 5 5 5 1 3 1 1 5 15 5 5 5 1 5 4 1 4 5 5 1 1 5 5 5 1 5 5 5 5 1 1 2 5 5 10 5 1 5 4 2 8 5 1 5 5 1 5 CONTROLES DE LA ISO 27001 QUE SE SELECCIONARON Una vez que se obtenga la valoración del riesgo se selecciona los riesgos más altos para seleccionar un control apropiado para tratar estas amenazas. Tabla 15 selección de controles de la ISO 27001 Autor: Rogelio Guerrero Activo Hurto de la documentación Documentación y Registro Controles ISO 27001 Amenazas Ingreso no autorizado a los registros Destrucción de Documentos y registros Accidentes imprevistos Auxiliares Mal uso del suministro 5.1.1 Conjunto de políticas para la seguridad de la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información 5.1.1 Conjunto de políticas para la seguridad de la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información 5.1.1 Conjunto de políticas para la seguridad de la información 9.4.1 Restricción del acceso a la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 12.3.1 Copias de seguridad de la información 11.2.2 Instalaciones de suministros 11.1.3 Seguridad de oficinas, despachos y recursos 11.2.2 Instalaciones de suministros 99 Activo Abuso de privilegios Acceso no autorizado Sistemas Operativos Controles ISO 27001 Amenazas 9.1.1 Política de control de acceso 9.1.2 Control de acceso a la red y servicios asociados 9.1.1 Política de control de acceso 9.1.2 Control de acceso a la red y servicios asociados 9.3.1 Uso de información confidencial para la autenticación Errores de administración Propagación de software malicioso Suplantación de la identidad de usuarios Ataque de virus 11.2.4 Mantenimiento de los equipos Manipulación de programas 9.1.1 Política de control de acceso 12.2.1 Controles contra código malicioso 9.1.1 Política de control de acceso 12.2.1 Controles contra código malicioso Desinstalación de 9.1.1 Política de control de acceso programas Desactualización 11.2.4 Mantenimiento de los equipos de antivirus y programas 9.1.1 Política de control de acceso Acceso no 12.6.2 Restricciones en la instalación autorizados a de software Paquetes de programas Programas o 9.1.1 Política de control de acceso software estándar Manipulación de 12.6.2 Restricciones en la instalación programas de software 9.1.1 Política de control de acceso Errores de usuarios Suplantación de identidad Manipulación de configuración de 9.1.1 Política de control de acceso 9.1.1 Política de control de acceso 100 Activo Controles ISO 27001 Amenazas los Computadores 9.1.1 Política de control de acceso Uso inapropiado 11.1.1 Perímetro de seguridad física Daños por agua 11.1.1 Perímetro de seguridad física Fuego Acceso no Computadoras de autorizado a los Oficina Computadores Instalación no autorizada de software Ataque destructivo Robo Manipulación de archivos de registros Servidor y Servicios de RED Manipulación de servicios de red 9.1.1 Política de control de acceso 9.1.1 Política de control de acceso 12.6.2 Restricciones en la instalación de software 12.2.1 Controles contra código malicioso 12.3.1 Copias de seguridad de la información 5.1.1 Conjunto de políticas para la seguridad de la información 7.2.2 Concienciación, educación y capacitación en segur. De la información 9.1.1 Política de control de accesos 9.3.1 Uso de información confidencial para la autenticación 12.3.1 copias de seguridad de la información 9.1.2 Control de acceso a la red y servicio asociados 13.1.1 Control de red 11.2.2 Instalaciones de suministros Falta de energía Ataques destructivos Códigos maliciosos Robo 12.2.1 Controles contra código malicioso 12.2.1 Controles contra código malicioso 12.3.1 Copias de seguridad de la información 101 Activo Controles ISO 27001 Amenazas Manipulación de la información Medios Extraíbles Eliminación de la información Hurto de la información 7.2.2 Concienciación, educación y capacitación en segur. De la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 9.4.1 Restricción del acceso a la información 5.1.1 Conjunto de políticas para la seguridad de la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información 5.1.1 Conjunto de políticas para la seguridad de la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información Robo del medio 12.3.1 Copias de seguridad de la información Paso de virus 12.2.1 Controles contra código malicioso 11.2.2 Instalaciones de suministros Fuego Errores de configuración Red Local Manipulación de la red Corte de la comunicación entre computadores 9.1.2 Control de acceso a la red y servicio asociados 13.1.1 Control de red 9.1.2 Control de acceso a la red y servicio asociados 13.1.1 Control de red 9.1.2 Control de acceso a la red y servicio asociados 13.1.1 Control de red 9.1.2 Control de acceso a la red y servicio asociados 102 Activo Correo Electrónico Empleados Amenazas Uso no previsto de la RED Hurtar la identidad Hurto de información Controles ISO 27001 13.1.1 Control de red 9.1.2 Control de acceso a la red y servicio asociados 13.1.1 Control de red 5.1.1 Conjunto de políticas para la seguridad de la información 6.1 Organización Interna 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información Manipulación de la información Empleados Eliminación de la información Divulgación de la información 5.1.1 Conjunto de políticas para la seguridad de la información 6.1 Organización Interna 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información 5.1.1 Conjunto de políticas para la seguridad de la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información 5.1.1 Conjunto de políticas para la seguridad de la información 6.1.1 Asignación de responsabilidades para la seguridad de la información 13.1.1 Controles de red 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información 103 Activo Amenazas Controles ISO 27001 Desconocimiento de funciones del personal 5.1.1 Conjunto de políticas para la seguridad de la información 6.1 Organización Interna 6.1.1 Asignación de responsabilidades para la seguridad de la información Accesos no autorizados 5.1.1 Conjunto de políticas para la seguridad de la información 6.1 Organización Interna 9.1.1 Política de control de acceso 9.4.1 Restricción del acceso a la información 104 APLICABILIDAD DEL SGSI Tabla 16 aplicabilidad del SGSI Autor: Rogelio Guerrero Declaración de Aplicabilidad Fecha de actualización: Leyenda (para los controles seleccionados y las razones para la selección de los controles) 2015 Diciembre 23 RL: Requerimientos legales, OC: obligaciones contractuales, RN/MP: requerimientos de negocio/mejores prácticas adoptadas, RER: resultados de evaluación de riesgos, TSE: hasta cierto punto 105 ISO 27001:20013 Controles Controles Actuales Observacione s (Justificación de exclusión) Controles Seleccionados y Razones para Selección R L Cláusula Políticas de Seguridad Sec. 5,1 5.1.1 5.1.2 6,1 Objetivo de Control/Control Directrices de la Dirección en seguridad de la información Conjunto de políticas para la seguridad de la información Revisión de las políticas para la seguridad de la información Controles implementar Organización Interna 105 O C RN/ MP RER Observaciones (Vista general de los objetivos de implementación) Aspectos Organizativos de la Seguridad de la Información 6.1.1 6.1.2 6.1.3 6.1.4 6.1.5 6.2 6.2.1 6.2.2 106 Seguridad ligada a los recursos humanos 7,1 7.1.1 7.1.2 7.2 7.2.1 7.2.2 7.2.3 7.3 7.3.1 Gestión de Activos 8,1 Asignación de responsabilidades para la segur. De la información Segregación de tareas Contacto con las autoridades Controles a implementar Contacto con grupos de interés especial Seguridad de la información en la gestión de proyectos Dispositivos para movilidad y teletrabajo Política de uso de dispositivos para movilidad Teletrabajo Antes de contratación Investigación de Antecedentes Términos y condiciones de contratación Durante la contratación Responsabilidades de gestión Concienciación, educación y capacitación en segur. De la información Proceso disciplinario Cese o cambio de puesto de trabajo Cese o cambio de puesto de trabajo Control a Implementar Responsabilidad sobre los activos 106 Capacitación al personal sobre las políticas y controles de seguridad 8.1.1 Inventario de Activos 8.1.2 8.1.3 8.1.4 8,2 8.2.1 Propiedad de los activos Uso aceptable de los activos Devolución de Activos Clasificación de la información Directrices de clasificación 8.2.2 Etiquetado y manipulado de la información Manipulación de activos Manejo de los soportes de almacenamiento Gestión de soportes extraíbles Eliminación de soportes Soportes físicos en transito 8.2.3 8,3 107 8.3.1 8.3.2 8.3.3 Control de Accesos 9,1 9.1.1 Requisitos de negocio para el control de accesos Política de control de accesos 9.1.2 Control de acceso a la redes y servicios asociados 9,2 9.2.1 Gestión de acceso de usuario Gestión de altas/bajas en el registro de usuarios Gestión delos derechos de acceso asignados a usuarios Gestión de los derechos de acceso con privilegios especiales Gestión de información confidencial de autenticación de usuarios 9.2.2 9.2.3 9.2.4 Control Existente La empresa ya cuenta con un inventario de activos Control a implementar Controles implementar Controles implementar 107 Clasificación de información según la autentificación Control mediante la MAC del equipo y carpetas compartidas 9.2.5 9.2.6 9,3 9.3.1 9,4 9.4.1 9.4.2 108 9.4.3 9.4.4 9.4.5 Cifrado 10,1 Controles criptográficos 10.1.1 Política de uso de los controles criptográficos Gestión de claves 10.1.2 Seguridad Física y Ambiental Revisión de los derechos de acceso de los usuarios Retirada o adaptación de los derechos de acceso Responsabilidades del usuario Uso de información confidencial para la autenticación Control de acceso a sistemas y aplicaciones Restricción del acceso a la información Procedimientos seguros de inicio de sesión Gestión de contraseñas de usuarios Uso de herramientas de administración de sistemas Control de acceso a código fuente de los programas 11,1 Control a Implementar Usuario y contraseña para acceder a la información Control a implementar Política de control de acceso Control a implementar Ubicación que se va a encontrar el servidor y los pc de la empresa Áreas Seguras 11.1.1 Perímetro de seguridad física 11.1.2 11.1.3 Controles físicos de entrada. Seguridad oficinas, despachos y recursos. 108 11.1.4 11.1.5 11.1.6 11,2 11.2.1 109 11.2.2 Emplazamiento y protección de equipos Instalaciones de suministro 11.2.3 11.2.4 Seguridad del cableado Mantenimiento de los equipos 11.2.5 Salida de archivos fuera de la dependencias de la empresa Seguridad de los equipos y activos fuera de las instalaciones Reutilización o retirada segura de dispositivos de almacenamiento Equipo informático de usuario desatendido Política de puesto de trabajo despejado y bloqueo de pantalla 11.2.6 11.2.7 11.2.8 11.2.9 Seguridad en la operativa Protección contra las amenazas externas y ambientales El trabajo en áreas seguras Áreas de acceso público, carga y descarga Seguridad de los equipos 12,1 12.1.1 12.1.2 12.1.3 12.1.4 12,2 Control a implementar Control a implementar Responsabilidades y procedimientos de operación Documentación de procedimiento de operación Gestión de cambios Gestión de capacidades Separación de entornos de desarrollo, prueba y producción Protección contra código malicioso 109 Se llevara un control de los mantenimiento 12.2.1 12,3 12.3.1 12,4 12.4.1 12.4.2 110 12.4.3 12.4.4 12,5 12.5.1 12,6 12.6.1 12.6.2 12,7 12.7.1 13,1 Controles contra el código malicioso Copias de seguridad Copias de seguridad de la información Control a implementar Se proveerá de antivirus las maquinas Control a implementar Respalda r la información de la importadora Control a implementar En las computadoras que se conectan al servidor Registro de actividad y supervisión Registro de y gestión de eventos de actividad Protección de los registros de información Registros de actividad del administrador y operador del sistema Sincronización de relojes Control del software en exploración Instalación del software en sistemas en producción Gestión de la vulnerabilidad técnica Gestión de las vulnerabilidades técnicas Restricciones en la instalación de software Consideraciones de las auditorías de los sistemas de información Controles de auditoría de los sistemas de información Gestión de la seguridad en las redes 110 Seguridad en las Telecomunicacion es 13.1.1 Controles de red 13.1.2 Mecanismo de seguridad asociados a servicios en red Segregación de redes 13.1.3 13,2 13.2.1 111 13.2.2 13.2.3 13.2.4 Adquisición, desarrollo y mantenimiento de los sistemas de información 14,1 14.1.1 14.1.2 14.1.3 14,2 14.2.1 14.2.2 14.2.3 Control a implementar Se administrar el uso de la red e internet Intercambio de información con pates externas Políticas y procedimiento de intercambio de información Acuerdos de intercambio Mensajería electrónica Acuerdos de confidencialidad y secreto Control a implementar Requisitos de seguridad de los sistemas de información Análisis y especificación de los requisitos de seguridad Seguridad de las comunicación en servicios accesibles por redes publicas Protección de las transacciones por redes telemáticas Seguridad en los procesos de desarrollo y soporte Política de desarrollo seguro del software Procedimientos de control de cambios en los sistemas Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo 111 Capacitación del personal 14.2.4 14.2.5 14.2.6 14.2.7 14.2.8 14.2.9 112 14,3 Relaciones con suministradores Restricciones a los cambios en los paquetes de software Uso de principios de ingeniería en protección de sistemas Seguridad en entornos de desarrollo Externalización del desarrollo de software Pruebas de funcionalidad durante el desarrollo de los sistemas Pruebas de aceptación Datos de prueba 14.3.1 Protección de los datos utilizados en pruebas 15,1 Seguridad de la información en las relaciones con suministradores Política de seguridad de la información para suministradores 15.1.1 15.1.2 15.1.3 15,2 15.2.1 15.2.2 Tratamiento del riesgo dentro de acuerdos de suministradores Cadena de suministro en tecnologías de la información y comunicaciones Gestión de la prestación del servicio por suministradores Supervisión y revisión de los servicios prestados por terceros Gestión de cambios en los servicios prestados por terceros 1120 Gestión de incidentes en la seguridad de la información 16,1 16.1.1 16.1.2 16.1.3 16.1.4 113 16.1.5 16.1.6 16.1.7 Aspectos de Seguridad de la Información en la Gestión de la continuidad del negocio 17,1 17.1.1 17.1.2 17.1.3 17,2 17.2.1 Cumplimiento 18,1 Gestión de incidentes de seguridad de la información y mejoras Responsabilidades y procedimientos Notificación de los eventos de seguridad de la información Notificación de puntos débiles de la seguridad Valoración de eventos de seguridad de la información y toma de decisiones Respuesta a los incidentes de seguridad Aprendizaje de los incidentes de seguridad de la información Recopilación de evidencias Continuidad de la seguridad de la información Planificación de la continuidad de la seguridad de la información Implantación de la continuidad de la seguridad de la información Verificación, revisión y evaluación de la continuidad de la seguridad de la información Redundancias Disponibilidad de instalaciones para el procesamiento de la información Cumplimiento de los requisitos legales y contractuales 113 18.1.1 18.1.2 18.1.3 18.1.4 18.1.5 18,2 18.2.1 114 18.2.2 18.2.3 Identificación de la legislación aplicable Derechos de propiedad intelectual Protección de los registros de la organización Protección de datos y privacidad de la información personal Regulación de los controles Revisiones de la seguridad de la información Revisión independiente de la seguridad de la información Cumplimiento de las políticas y normas de seguridad Comprobación del cumplimiento 114 ETAPA 2 HACER DEFINIR PLAN DE TRATAMIENTO DE RIESGOS Se debe definir un plan de tratamiento de riesgo (PTR), para la cual existen cuatro estrategias que se proceden a detallar a continuación: Reducir Se implementara los debidos controles que brinda la norma ISO 27001 para reducir las amenazas que se presenten en la información de la importadora. Reducir la posibilidad de que la vulnerabilidad se ejecute en una amenaza. Reducir la posibilidad de impacto si el riesgo llega a ejecutarse, recuperando la información afectada. Aceptar Hay que aceptar o absorber los riesgos si estos ocurriesen ahí que vivir con las consecuencias, siempre y cuando no se puedan encontrar controles para tratarlos. Cuando los Riesgos ya están ejecutados y hay que aceptarlos para que no perjudique la organización. Transferir Existen riesgos que no se pueden evitar y afectan aceptarlo y es ahí cuando se traspasa el riesgo a otra compañía se lo considera transferir el riesgo, lo cual podría ser una aseguradora de información o aun servidor en la nube. 115 Evitar Hay riesgos que se pueden evitar al 100% escogiendo siempre las medidas correspondientes sobre las amenazas que nos asechan. Dejar de conducir ciertas actividades. Cambiar los permisos de los usuarios sobre la información Reducir el proceso de cierta información si no se consigue la protección necesaria. Cambiar contraseñas periódicamente IMPLANTAR PLAN DE TRATAMIENTO DE RIESGO Tabla 17 plan de tratamiento de riesgo Autor: Rogelio Guerrero Activo PTR Documentación y Registro Amenazas Hurto de la documentación Ingreso no autorizado a los registros Destrucción de Documentos y registros Auxiliares Accidentes imprevistos Mal uso del suministro Reducción Reducción Sistemas Operativos Abuso de privilegios Acceso no autorizado Errores de administración Propagación de software malicioso Suplantación de la identidad de usuarios Ataque de virus Manipulación de programas Evitar Reducción Reducción Reducción Evitar Reducción Reducción Paquetes de Programas o software estándar Desinstalación de programas Desactualización de antivirus y programas Acceso no autorizados a programas Manipulación de programas Errores de usuarios Suplantación de identidad Reducción Evitar Reducción Reducción Reducción Evitar Manipulación de configuración de los Computadores Uso inapropiado Reducción Reducción 116 Evitar Evitar Evitar Activo Amenazas PTR Daños por agua Fuego Acceso no autorizado a los Computadores Instalación no autorizada de software Ataque destructivo Robo Reducción Reducción Reducción Evitar Reducción Reducción Manipulación de archivos de registros Manipulación de servicios de red Falta de energía Ataques destructivos Códigos maliciosos Robo Reducción Reducción Reducción Reducción Reducción Reducción Medios Extraíbles Manipulación de la información Eliminación de la información Hurto de la información Robo del medio Paso de virus Reducción Reducción Reducción Reducción Reducción Red Local Fuego Errores de configuración Manipulación de la red Corte de la comunicación entre computadores Uso no previsto de la RED Reducción Reducción Evitar Reducción Hurtar la identidad Reducción Hurto de información Manipulación de la información Eliminación de la información Divulgación de la información Desconocimiento de funciones del personal Accesos no autorizados Reducción Reducción Reducción Reducción Reducción Reducción Computadoras de Oficina Servidor y Servicios de RED Correo Electrónico Empleados Reducción Una vez obtenido los resultados de nuestro plan de tratamiento de riesgo, implementaremos los controles. 117 IMPLEMENTACIÓN DE CONTROLES 5 POLÍTICAS DE SEGURIDAD 5.1 Conjunto de políticas para la seguridad de la información La importadora Megatech se compromete a garantizar que toda la información mediante todo su ciclo de vida siempre mantendrá su integridad, confidencialidad y disponibilidad, asegurando que todas las vulnerabilidades y debilidades en la seguridad de la información sean reportadas al Oficial de Seguridad de la información. El oficial de seguridad de la información es el encargado de supervisar que se cumplan las políticas de seguridad, y de esta forma mantener progresivamente el SGSI, estableciendo controles para reducir los riesgos y planes de contingencia, generando copias de respaldo, monitoreando y revisando el servidor y los servicios de red configurados, e instalando actualizaciones en los equipos que acceden a la información. La persona que incumpla las políticas y controles de seguridad de la información detallada en este documento será sancionado económicamente, y responderá por sus acciones o por daños causados a la información de la importadora. Toda excepción a las políticas o controles de seguridad de la información debe ser documentado y aprobado por el gerente general, una carta detallada que justifique por que no se cumple la política o control. Seguridad lógica: Para que un usuario ingrese a la información de la importadora que se encuentra en el servidor debe existir un procedimiento formal que regule la información, el oficial de seguridad de la información administrar a los usuarios y las contraseñas para acceder a la información. 118 Administrador del servidor: los únicos usuarios habilitados con el rol mencionado serán: el Oficial de seguridad de la información y el Administrador de la información. La conexión de internet que posee la importadora Megatech sirve para muchos propósitos. Permitir conexión a la WEB. Intercambiar información con otras entidades. Investigar sobre múltiples temas de interés. 6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 6.1 Organización Interna La importadora Megatech se creara el comité de seguridad de la información, integrado por los responsables de la seguridad de la información que son: Oficial de seguridad de la información, administrador de la información, la coordinadora y el gerente general. El gerente general de la importadora Megatech, es la máxima autoridad que aprueba todo respecto a la seguridad de la información que presente el comité. VER ANEXOS 7. 6.1.1 Asignación de responsabilidades para la seguridad de la información La importadora Megatech con el fin de mejorar la productividad ha determinado la responsabilidad de la seguridad de la información de acuerdo a los objetivos de la organización interna y a la clasificación de la información VER ANEXOS 8. 7 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS La importadora Megatech, define las responsabilidades del empleado al momento de su contratación, en conjunto con el comité de seguridad de la información. 119 7.2.2 Concienciación, educación y capacitación en seguridad de la información El oficial de seguridad de la información con respaldo del gerente realizara capacitaciones a todo el personal involucrado con la importadora acerca de las políticas establecidas para educarlo en cuanto a la seguridad de la información, lo cual el empleado debe tener muy presente para no incurrir en fallas con la seguridad de la información. VER ANEXOS 9. 8 GESTIÓN DE ACTIVOS 8.2 Clasificación de la información La importadora Megatech clasifica su información, basándose en las en las 3 características principales de la información que son: la confidencialidad, integridad y disponibilidad. 8.2.1 Directrices de clasificación Toda la información de la importadora es clasificada según su contenido, se implementa el control adecuado de acuerdo a la importancia que tenga, la clasificación la realizara el oficial de seguridad de la información con respaldo del gerente general de la importadora, teniendo en cuenta el nivel de riesgo que está expuesta, la sensibilidad y la privacidad. El gerente general es el único que tiene acceso a toda la información que se encuentre en el servidor, la importadora cuenta con conjunto de controles determinados, los cuales podrán ser mejorados pero nunca disminuidos. VER ANEXO 10. 120 9 CONTROL DE ACCESO Controlar todo acceso no autorizado. 9.1.1 Políticas de control de acceso Acceso al servidor: La importadora garantiza que la información de la importadora Megatech es integra y confidencial gracias a los controles detallados, evitando el acceso no autorizado a ella, de igual manera el acceso físico al servidor es confidencial y restringido cuenta con llaves y candados solo para personal autorizado, los puntos de acceso inalámbrico serán restringidos para acceder a la información. El oficial de seguridad de la información debe realizar un chequeo mensual de los usuarios que acceden a la información, comprobando que estos usuarios tengan los permisos correctos. La coordinadora debe comunicar al personal de los cambios de acceso que se produzcan, cuando un empleado es despedido o renuncia a su puesto laboral, debe ser desactivada la cuenta. ACCESO A LOS PCS: Las computadoras que tienen acceso a la información del servidor deben contar con una contraseña, el personal debe ingresar de acuerdo a los privilegios que la importadora le haya dado como administrador o como invitado para evitar la modificación de archivos confidenciales. La solicitud de una nueva cuenta o el cambio de privilegios solo la puede autorizar el gerente general de la importadora, no debe crearse cuentas a personas que no laboran en la empresa a menos que el gerente autorice su creación la cual será desactivada después de su uso no menos de 5 días. 121 Contraseñas: Las contraseñas para acceder a las computadoras y a la información que se encuentra en el servidor usaran los requerimientos y estándares internacionales que se detallaran a continuación: Mantener las contraseñas en secreto Pedir el cambio de contraseñas para acceder al servidor siempre q exista una sospecha que su contraseña ha sido vulnerada Seleccionar contraseñas de calidad o Sean fáciles de recordad o Que sean más de 8 caracteres o Que esté compuesta por números por letras y que siempre lleve una letra mayúscula Cambiar las contraseñas cada 3 meses Siempre notificar al oficial de seguridad, algún incidente con su contraseña. El oficial de seguridad de la información se encargara de cambiar la contraseña para acceder al servidor, la coordinadora se encargara de hacer llegar la nueva contraseña al personal, la nueva contraseña no debe repetirse a las 5 últimas utilizadas. El usuario puede cambiar o modificar su contraseña del equipo que usa cuantas veces considere necesario, cada que se la cambie debe hacerle llegar la nueva contraseña al oficial de seguridad de la información. Los usuarios deben bloquear sus máquinas cuando no se encuentren en su lugar de trabajo para que no puedan accedes a ella, toda información debe ser guardada en el servidor, las contraseñas que traen los equipos nuevos de red como de acceso a la información deben ser cambiadas inmediatamente luego de ponerse en uso. 9.1.2 Control de acceso a las redes y servicios asociados Todo usuario que disponga de acceso a la información y a la red son solo los que han sido autorizados para su uso. La importadora garantiza que los usuarios que 122 tengan acceso a la red y a sus servicios no comprometan la seguridad de la información, por lo tanto el administrador de la información y la red se encargara de controlar el acceso a la WEB. VER ANEXO 11 9.3.1 Uso de información confidencial para la autenticación La importadora exige que los usuarios tengan acceso a la información dependiendo de su autenticación que se les haya dado. VER ANEXO 12. 9.4.1 Restricción del acceso a la información El acceso a los equipos que manipulan la información y al servidor que la contiene estará restringido con sus respectivas contraseñas, de acuerdo a las políticas de control de acceso detallado anteriormente. VER ANEXO 13. 11 SEGURIDAD FÍSICA AMBIENTAL Se debe respetar la configuración del hardware y software, no deben ser manipuladas, queda prohibido fumar o beber mientras se usan los PCS, cualquier inconveniente o robo con los equipos deben reportarse inmediatamente al oficial de seguridad de la información 11.1.1 Perímetro de seguridad física El perímetro de área donde se encuentra el servidor de la importadora estará protegido de acceso no permitido y se incorporara extinguidores para emergencias de fuego. VER ANEXO 14. 11.2.2 Instalación de suministros Los equipos que tienen acceso al servidor y a la información estarán protegidos por UPS para las fallas de energía, de igual manera para las fallas y tolerancias de disco duro en el servidor se cuenta con un RAID. VER ANEXO 6 Y 15 123 11.2.4 Mantenimiento de equipos La importadora Megatech se lleva a cabo los mantenimientos de los equipos, servidor y servicios de red, para asegurar la disponibilidad e integridad de la información. Todo equipo que sea usado en la importadora para el acceso de la información deberá ser sometido a un mantenimiento preventivo. El oficial de seguridad de la información es el encargado de tener documentado y detallado la frecuencia con la cual se realizan los mantenimientos preventivos. Solo el oficial de seguridad de la información es el autorizado para realizar mantenimientos preventivos y reparaciones de equipos. Documentar todo mantenimiento preventivo realizado, las fallas encontradas y los mantenimientos correctivos realizados. Tabla 18 mantenimiento de equipos Autor: Rogelio Guerrero Equipo Servidor Computadoras Impresoras Frecuencia de mantenimiento 3 Meses 6 Meses 6 Meses Personal autorizado Oficial de Seguridad de la información Oficial de Seguridad de la información Oficial de Seguridad de la información 12 SEGURIDAD EN LA OPERATIVA 12.2.1 Controles contra el código malicioso La importadora proveerá los recursos necesarios que garantice la protección de la información como antivirus para evitar la divulgación, modificación o daño permanente de la información por la contaminación de código malicioso y virus que ejecuten esas vulnerabilidades presentes. Antivirus: todos los equipos de la importadora deben tener instalado un antivirus el cual debe ser actualizado automáticamente con acceso a internet, el mismo que 124 tiene que detectar en tiempo real cualquier software maliciosos, se debe ejecutar un escaneo cada semana para revisar y detectar cualquier código malicioso en la estación de trabajo. VER ANEXO 16. 12.3.1 Copias de seguridad de la información EL servidor cuenta con un RAID para tolerar cualquier falla en el disco duro y obtener una disponibilidad de la información cuando se la necesite, usándolo como un respaldo de los datos. El administrador de la información será el encargado de salvaguardar la información realizando copias de seguridad manualmente cada semana en un disco extraíble de tal forma que garantice su confidencialidad, integridad y su disponibilidad. Cada que se realice algún cambio en la configuración del servidor o en los servicios de red siempre es necesario hacer un respaldo o backup de la configuración existente. 12.6.2 Restricciones en la instalación de software Queda totalmente prohibido la instalación de cualquier software o aplicaciones en los equipos de cómputo por parte de los usuarios, el único que puede instalar aplicaciones será el oficial de seguridad de la información quien maneja las cuentas de administrador de los equipos de cómputo. 13 SEGURIDAD EN LAS TELECOMUNICACIONES 13.1.1 controles de red El oficial de seguridad de la información es el encargado de administrar y controlar la red interna para garantizar la seguridad de la información, contra el acceso no autorizado, y la disponibilidad de las maquinas conectadas en la red. 125 Uso de internet: Los virus que se adquieren a través de internet pueden ser muy peligrosos dañando o eliminando la información de los equipos, el internet nos provee de información muy valiosa para lo cual el Oficial de seguridad de la información es el encargado de evitar el mal uso al internet por parte de los usuarios. Uso de sitios WEB: El oficial de seguridad de la información es el encargado de bloquear páginas que no estén relacionada con funciones que realiza la importadora, mediante una lista de control de acceso bloqueara: pornografía, redes sociales etc. VER ANEXO 17. Descargas: se capacitara al usuario para que concientice acerca de descargar aplicaciones y programas lo cual le queda totalmente prohibido solo podrá descargar archivos totalmente con funciones laborales como procesos y ofertas entre otras. VER ANEXO 9. 13.2.4 acuerdos de confidencialidad y secreto La importadora mediante la capacitación a los usuarios llega a un acuerdo de confidencialidad o de no divulgación de los riesgos que se presentan, para poder preservar y proteger la información en todo su ciclo de vida. VER ANEXO 9. PRESUPUESTO En este caso para la implementación del SGSI, se ha considerado los viáticos a la importadora, y el hardware necesario para cubrir los controles de seguridad de la información. 126 Tabla 19 presupuesto Implementación SGSI Autor: Rogelio Guerrero Cantidad 1 1 1 1 1 30 30 1 1 30 10 1 1 Costos de implementación Descripción Movilización Switch 16 puertos Organizador de cables Patch Panel 24 puertos Racks pequeño Jack Rj45 cat6 Conectores Rj45 cat6 Rollo de cable UTP Next cat6 Acces Point Canaletas 20*12mm / 40*25mm / 60*13mm Cajetines re red CPU (Servidor) Disco Duro 1Tb para el RAID Total Valor 200,00 44,00 25,00 67,00 57,00 7,75 15,00 287,00 48,00 20,20 4,5 980,00 96,00 1851,45 IMPACTO ADMINISTRATIVO Con la implementación del Sistema de gestión de la seguridad de la información sobre el servidor se pudo reducir los riesgos, vulnerabilidades, amenazas o inconvenientes que presentaba la importadora en cuanto a la información al memento de acceder a ella, ya se cuenta con usuario y contraseñas para ingresar a las estaciones de trabajo y de igual manera para ingresar al servidor que se encuentra en la red, se ha logrado evitar que terceras personas que tienen q conectarse a la red puedan ver la información de la empresa ya que si quieren ingresar al servidor les pedirá autentificación, se ha logrado capacitar al personal en cuanto materia de seguridad de la información para que concienticen del riesgo que existe. Mediante los servicios de red y un nuevo cableado estructurado se logró que todas las máquinas que funcionan en la empresa se conecten vía cable logrando siempre tener disponible la información, gracias al servicio de Red DHCP se logró configurar cada máquina con su dirección IP en el servidor para que no existan conflictos de IP que era uno de los problemas que existía y se perdida la disponibilidad de la información cuando más se la necesitaba. 127 CONCLUSIONES PARCIALES DEL CAPÍTULO III A través de la instalación del servidor y sus servicios de red se pudo ayudar a la implementación del SGSI ya que la importadora no presentaba ningún control en cuanto a la seguridad de su información, gracias a la metodóloga de riesgos MAGERIT se pudo analizar y evaluar estos riesgos para luego poder implementar los controles necesario que ayudaron a tratarlos y se logró tener una información segura y confiable. A través de la evaluación de los riesgos que presentaban los activos de información se pudo determinar el valor del riesgo con la cual estaban expuestos, brindando una seguridad para el almacenamiento de la información. Con los controles implementados de la ISO 27001 se reduce todo riesgo que existía y se mejora la seguridad de la información y sus servicios de red, logrando que la importadora no tenga problemas al momento acceder a ella, permitiendo que los procesos sean mucho más rápido y el personal agilice sus funciones. 128 CONCLUSIONES GENERALES El sistema de gestión de seguridad de la información que se ha implementado en la importadora Megatech de Santo Domingo de los Tsáchilas, fue de mucha importancia para ayudar a la protección de la información luego de a ver configurado el servidor CentOS y sus servicios de red ya que ayudara a la continuidad del negocio sin tener inconvenientes en la disponibilidad de la información. Con el presente análisis se pudo determinar la falta de control que existía en cuanto a la seguridad de la información en la importadora Megatech, lo cual a primera instancia se pudo determinar que la información se encontraba muy vulnerable no existía una confidencialidad que la mantenga integra. Con la presente investigación se pudo determinar que el Sistema de Gestión de la Seguridad de la Información puede reducir riesgos, vulnerabilidades y amenazas de la información en empresas pequeñas, medianas o grandes, con el fin de minimizar gestionar y controlar estos riesgos a los cuales la información está expuesta logrando obtener una confidencialidad, integridad y disponibilidad de la información cuando se la necesite. La ventaja que tiene la norma ISO 27001 es que le da privilegio al sistema de gestión dejando escoger los controles que se necesitan para controlar, reducir o minimizar estos riesgos, de igual manera esta norma puede ser implementada en empresas pequeñas como en grandes. El sistema de gestión de seguridad de la información no es necesario extenderlo a toda la importadora, lo primordial es concentrarse donde se encuentra la mayor parte de la información por eso se la realizo al servidor CentoS y servicios de red que es la que maneja y conecta toda la información de la importadora. 129 RECOMENDACIONES GENERALES Se recomienda la implementación del Sistema de gestión de la seguridad de la información basado en la norma 27001, porque a más de proteger la información de los riesgos existentes siempre está en constante monitoreo de nuevos riesgos que se pueden presentar. Se recomienda una revisión periódica de los controles implementado para verificar y actualizar las políticas creadas para cada vez más llegar a una seguridad máxima de la información ya que la norma ISO 27001 no es estática si no que permite un mejoramiento continuo. Se recomienda que la información de la importadora debe ser protegida según su criticidad, ya que existe mucha información confidencial que necesita ser integra y estar disponible cuando se la necesite. También se recomienda gestionar la posibilidad de sincronizar el respaldo automático de la información del servidor sobre un servidor en la nube ya que manualmente se podría pasar por alto hacer el respectivo respaldo. 130 BIBLIOGRAFÍA Ogalla Segura, F. (2012). SISTEMA DE GESTIÖN una guía practica. Madrid: Días de Santos. Aedo Cuevas, I., Díaz Pérez, P., Sicilia Urbán, M., Vara de Llano, A., Colmenar Santos, A., Losada de Dios, P., . . . Peire Arroba, J. (2009). Sistemas Multimedia: Ánalisis, Diseño y Evaluación. Madrid: Uned. Aguilera López, P. (2010). Seguridad informática. Madrid: Editex. Aguilera López, P., & Morante Fernández, M. (2010). Tratamiento informático de la información. Madrid: Editex. Alegre Ramos, M. d., garcía, A., & Hurtado, C. (2011). Sistemas Operativos en Red. Madrid: Paraninfo. Anderruthy, J., & Gaumé, S. (2011). Mantenimiento y reparacion de un Pc en red 2da Edición. Barcelona: Ediciones ENI. Baclit, R., Sicam, C., Membrey, P., & Newbigin, J. (2009). Foundations of CentOS Linux - Enterprise Linux on tthe Cheap. New York: Apress. Berral Montero, I. (2010). Equipos microinformáticos. Madrid: Paraninfo. Berral Montero, I. (2014). Instalacion y mantenimiento de redes para transmisión de datos. Madrid: Paraninfo. Bravo Delgado, N., & Medina Sánchez, L. (2011). Tecnologias I. Madrid: Editex. Cabo Salvador, J. (2014). Gestión de la Calidad en las Organizaciones Sanitarias. Madrid: Díaz de Santos. Campos Santelices, A. (2010). Violencia Social. San José, Costa Rica: EUNED. Case, G. (2009). Mejora Continua del servicio. Reino Unido: TSO. Corletti Estrada, A. (2011). Seguridad por niveles. Madrid: darFE. Coronel, C., Morris, S., & Rob, P. (2011). Base de datos Diseño, implementacion y administración. Mexico: CENGACE Learning. Costas Santos, J. (2011). Seguridad y Alta Disponibilidad. Madrid: Ra-Ma. Couto Lorenzo, L. (2011). Auditoría del Sistema APPCC. Madrid: Díaz de Santos, S.A. Cuatrecasas Arbós, L. (2010). Gestión integral de la Calidad implementacion, control y certificación. Barcelona: PROFIT. De Pablos Heredero, C., López Hermoso Agius, J., Romo Romero, S., & Medina Salgado, S. (2011). Organizacion y transformacion de los sistemas de información en la empresa. Madrid: ESIC. Deman, T., Elmaleh, F., Neild, S., & Van Jones, M. (2014). WIndows Server 2012 R2 Administración Avanzada. Barcelona: ENI. Dordoigne, J. (2011). Redes Informáticas Nociones fundamentales 3ra edición. Barcelona: ENI. España, G. d. (2012). Administracion Electrónica textos legales numero 107. Madrid: BOE. Espuig, A. (2011). Matemáticas: Prueba de acceso a Ciclos Formativos de Grado Superior. Barcelona: Printed in Spain. Fernández García, R. (2010). La mejora de la productividad en la pequeña y mediana empresa. Alicante: ECU. Fernández Montoro, A. (2011). Cambiate a Linux. Madrid: RC libros. Fernández Teruelo, J. (2011). Derecho Penal e Internet. Valladolid: Lex Nova. Florentino fernández, Z., Iglesias Pastrana, D., Llaneza Álvarez, J., & Fernández Mñiz, B. (2010). Manual para la fromación del auditor en prevención de riesgos laborales. España: Lex Nova, S.A.U. Gallego, J. C., & Folgado, L. (2011). Montaje y mantenimeinto de equipos. madrid: Editex. García Ramírez, M., Miñana Caselles, Ó., López Fernández, F., & Sánchez Corbalán, A. (2010). Servicios de Red una visión práctica. lulu. García, A., Hurtado, C., & Alegre Ramos, M. (2011). Seguridad Infromatica. Madrid: Paraninfo. Gil, G. D. (2014). Procesos y herramientas para la seguridad de redes. Madrid: UNED. Gonzáles Gaya, C., Domingo Navas, R., & Sebastián Pérez, M. (2013). Técnicas de mejora de calidad. Madrid: UNED. Griful Ponsati, E., & Canela, M. Á. (2005). Gestion de Calidad. Barcelona: UPC. Hermida Mondelo, A., & Iglesias Fernández, I. (2014). Gestión auxiliar de archivo en soporte convencional o informático. Vigo: ideaspropias. Hernández Herrero, G., Moreno Gonzáles, A., Zaragozá García, F., & Porras Chavarino, A. (2011). Tratado de Medicina Farmacéutica. Madrid: MÉDICA PANAMERICANA, S.A. Jara, H., & Pacheco, F. (2012). ETHICAL HACKING 2.0 Implementación de un Sistema para la Gestión de la Seguridad. Buenos Aires: USERS. Jiménez garcía, F., Sádaba Chalezquer, C., Jordá capitán, E., Domingo Prieto, V., Ropero Carrasco, J., Pérez Conesa, C., & Gómez Hidalgo, M. (2014). La protección y seguridad de la persona en internet aspectos sociales y judiciales. Madrid: Reus, S.A. Ladrón Jiménez, M. (2014). Sistema Operativo, búsqueda de la información: Internet/Intranet y correo electrónico. San Millán: TUTOR FORMACIÖN. López Brox, A. (2010). Promociones en Espacios Comerciales. Málaga: Vértice. Marchionni, E. A. (2011). Administrador de servidores. buenos Aires: USERS. Marco Galindo, M. J., Marco Simó, J. M., Prieto Blázquez, J., & Segret Sala, R. (2010). Escaneando la infromática. Barcelona: UOC. Marroquín, N. (2010). Tras los pasos de un Hacker. Quito: IEPI. Mclver McHoes, A., & Flynn, I. M. (2011). Sistemas operativos sexta edicion. Mexico: CENGAGE Learning. Mclver McHoes, A., & Flynn, I. M. (2011). Sistemas Operativos sexta edicion. Mexico: CENGAGE Learning. Medina, J. (2014). Evaluacion de vulnerabilidades TIC. Murcia: SG6 C.B. Membrey, P., Verhoeven, T., & Angenendt, R. (2009). The Definitive Guide to CentOS. New York: Apress. Mifsuf Talón, E. (2012). Apache. Madrid: Ministerio de Educación, Cultura y Deporte. Mora Chamorro, H. (2010). Manual del vigilante de Seguridad. Tomo1. 2da. Edicion. Alicante: ECU. Mora Pérez, J. J. (2012). CAPACITY PLANNING IT Una aproximacion práctica. Creative Commons. Morales Morgado, E. (2010). Gestión del conocimiento en sistems E-Learning, basado en objetos de aprendizaje, cualitativa y pedagógicamnte definidos. Salamanca: Universidad de Salamanca. Moro Vallina, M. (2013). Infraestructura de redes de datos y sistemas de telefonía. Madrid: Paraninfo. Muñiz, L. (2013). Como Implantar y evaluar un sistema de control de Gestión. España: Profit. Navarro, E., Ramos Gonzáles, M., & Ruiz, M. (2010). El Documento de seguridad. Madrid: Dáz de Santos. Oliva Alonso, N. (2013). Redes de Comunicaciones Industriales. Madrid: UNED. Oliva Haba, J., Manjavacas Zarco, C., & Martín Márquez, P. L. (2014). Montaje y Mantenimiento de Equipos. Madrid: Paraninfo. Pérez Villa, P., & Múnera Vásquez, F. (2007). Reflexiones para implementar un sistema de gestión de la calidad (ISO 9001:2000) en cooperativas y empresas de economía solidaria. Bogota: educc. Pons, N. (2011). Linux Principios básicos de uso del sistema. Barcelona: eni. Quesnel, J. (2012). Normas y mejores prácticas para avanzar hacia ISO 20000. Barcelona: ENI. Rebollo Delgado, L., & Serrano Pérez, M. (2008). Introducción a la protección de datos. Madrid: Dykinson. Revista de la Segunda Cohorte, d. E. (2014). Seguridad de la Infromacion. Guatemala: ISBN. Revuelta Domínguez, F., & Pérez Sánchez, L. (2009). Interactividad en los entornos de formacion on-line. Barcelona: UOC. Rodil Jiménez, I., & Pardo de Vega, C. (2010). Operaciones auxiliares para la configuración y explotación. Madrid: Paraninfo. Rodil Jiménez, I., & Pardo de Vega, C. (2014). Operaciones auxiliares para la configuracion y explotacion 2da edicion. Madrid: Paraninfo. Romero Ternero, M. d., Barbancho Concejero, J., Benjumea Mondéjar, J., Rivera Romero, O., Ropero Roríguz, J., Sánchez Antón, G., & Sivianes Castillo, F. (2014). Redes Locales. Madrid: Paraninfo. Sánchez Estella, Ó., & Herrero Domingo, R. (2014). Tratamiento informático de datos. Madrid: Paraninfo. Sánchez Estella, Ó., & Moro Vallina, M. (2010). Sistema operativo, búsqueda de información:internet/intranet y correo electrónico. España: Paraninfo. S.A. Sánchez Pérez, B. (2015). Cuaderno Práctico de Linux. Sistemas Operativos Monopuestos. Ciclo Formativo de Grado Medio. 2da edición. Madrid: lulu. Tamioka Suzuki, M., Quijano Urbina, A., & Canavesi Rimbaud, M. (2014). Gestión de sistemas educativos con calidad. ISBN. Tejada, E. C. (2014). Gestión de incidentes de seguridad infromática. Málaga: ic. Toro López, F. (2013). Administración de Proyectos de infromática. Bogotá: ECOE. Valdivia Miranda, C. (2015). Redes telemáticas. Madrid: Paraninfo. valverde Berrocoso, J. (2009). El software libre en la innovación educativa en experiencias de innovación docente universitaria. Salamanca España: Ediciones Universidad de Salamanca. Vieites, Á. G. (2011). Enciclopedia de la Seguridad Informática. Mexico: Alfaomega. Villar Varela, A. M. (2014). Grabaciones de Datos. Registro de la Información en Condiciones de Seguridad y Calidad. Vigo: Ideaspropias. ANEXOS ANEXO 1 APROBACIÓN DE PERFIL UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES FACULTAD DE SISTEMAS MERCANTILES CARRERA SISTEMAS PERFIL DE TESIS PREVIO A LA OBTENCION DEL TÍTULO DE INGENIERO EN SISTEMAS E INFORMÁTICA. TEMA: Sistema de gestión de la seguridad de la información basada en la norma ISO 27001 sobre un Servidor Centos y Servicios de red para el apoyo de la seguridad y privacidad de la información de la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas AUTOR Rogelio Aladino Guerrero Suárez. ASESOR Dr. Fredy Pablo Cañizares Galarza, MGS SANTO DOMINGO - ECUADOR 2015 Antecedentes de la Investigación En la Actualidad la Información que poseen las empresas se ha vuelto lo más importante, generando que el propósito de un sistema de gestión de la seguridad de la información, sea garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. Un servidor es una máquina informática que está al servicio de otras máquinas, ordenadores o personas llamadas clientes y que le suministran a estos todo tipo de información. La finalidad de una red es que los usuarios de los sistemas informáticos de una entidad o empresa puedan hacer un mejor uso de los mismos mejorando de este modo el rendimiento, así las entidades o empresas obtienen una serie de ventajas del uso de las redes en sus entornos de trabajo. Una vez realizada la presente investigación en la Biblioteca de la universidad UNIANDES santo Domingo, sobre el tema de Sistema de gestión de seguridad de la información basada en la norma ISO 27001, se pudo constatar que no existe ningún tema similar al presente. Sin embargo si existen temas relacionados con servidores que servirán de GUIA para la elaboración del Trabajo. “IMPLEMENTACIÓN, CONFIGURACIÓN DE UN SERVIDOR RADIUS PARA LA ADMINISTRACIÓN Y SEGURIDADES DE ACCESO AL SERVICIO WIRELESS EN LA UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES – SANTO DOMINGO” Autor. Tlgo. Diego Paul Palma Rivera. Asesor. Ing. Saed Reascos. Año 2010. “IMPLEMENTACIÓN DE TECNOLOGÍA ESTRUCTURADA PARA EL SERVICIO DE TRANSMISIÓN DE VOZ-IP Y DATOS SOBRE UNA WMAN ENTRE LOS DEPARTAMENTOS ADMINISTRATIVOS Y OPERATIVOS DE LA COMERCIALIZADORA DE PRODUCTOS NATURALES JALEA REAL DE LA CIUDAD DE SANTO DOMINGO” Autor. Jaime Daniel Urgilés Echeverría Asesor. Ing. Fredy Cañizares. Año 2010. “IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN USANDO LA NORMA ISO27000 SOBRE UN SITIO DE COMERCIO ELECTRÓNICO PARA UNA NUEVA INSTITUCIÓN BANCARIA APLICANDO LOS DOMINIOS DE CONTROL ISO27002:2005 Y UTILIZANDO LA METODOLOGÍA MAGERIT” Autor. Marcel Eduardo León Lafebré, Evelyn Anabell Mota Orrala, Joffre Manuel Navarrete Zambrano Asesor. Ing. Víctor Muñoz Chachapoya. Año 2011. Situación Problémica En la actualidad los servidores de datos y servidores de red se han vuelto lo más importante para el almacenamiento de archivos de las empresas para su crecimiento, generando la existencia de normas para la seguridad de la información, la ISO 27001 es un estándar que brinda la confidencialidad, integridad y disponibilidad de los archivos en las empresas. En Ecuador uno de los principales activos de las empresas es la información, lo que significa que son más vulnerables a las amenazas de seguridad informática, por lo cual es necesario que toda empresa que busque una excelencia en sus productos o servicio que ofrece, adopte un Sistema de gestión para el manejo adecuado de la información. La importadora MEGATECH, se encuentra ubicada en el cantón de Santo Domingo de la provincia de Santo Domingo de los Tsáchilas, con más de 22 años de experiencia, Megatech cuenta con un grupo de profesionales capacitados y certificados para responder y satisfacer las expectativas del Usuario como del fabricante, con servicio de la más alta calidad humana y profesional para todos sus clientes. A través de una observación a la empresa, se pudo descubrir los problemas relacionados con la seguridad de la información en la empresa. El servidor existente xp profesional no está configurado, lo cual no posee normativas de usuarios, no tiene un control sobre los host y no posee una contraseña de Administrador, generando que cualquier usuario puede tener acceso a él. La no configuración de Firewall en la importadora, ocasiona que cualquier host no autorizado acceda al servidor y pueda hurtar la información de la empresa. No existe una configuración sobre la privacidad de la Red en la importadora, cualquier usuario puede acceder a la información y manipular los archivos de la empresa. El acceso a páginas no autorizadas, genera una pérdida de tiempo por parte del personal y así a pérdidas de pujas en las compras públicas y consumo de internet innecesario. La no configuración de Seguridades en la Red de la importadora, permite la libertad de los datos de la empresa en la red para cualquier usuario. Servidor Xp profesional No es estable y se encuentra obsoleto, ocasionando molestia en el personal porque se bloquea y esto genera una mala atención al cliente. La empresa no cuenta con un Backup ni Raid del Disco Duro del Servidor, provocando que en cualquier momento la empresa puede perder toda información. No existen IP fijas en las maquinas, ocasionando una duplicación de IP en los host que a su vez se quedan sin red. Problema Científico ¿Cómo mejorar el control de la seguridad y privacidad de la información que se encuentra en la importadora MEGATECH de la provincia de Santo Domingo de los Tsáchilas? Objeto de Investigación Sistema de Gestión de la seguridad de la información (SGSI) Campo De Acción Seguridad y privacidad de la Información Identificación de la Línea de Investigación Tecnologías de Información y Comunicaciones. Objetivo General Implementar un Sistema de Gestión de la Seguridad de la Información basada en la norma ISO 27001 sobre un servidor Centos y servicios de red para el apoyo de la seguridad y privacidad de la información de la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas. Objetivo Especifico Fundamentar Científicamente y teóricamente todo lo relacionado al Sistema de Gestión de la Seguridad de la Información, servidores de Datos y Servicios de Red. Analizar la problemática de la seguridad de la información de la empresa Megatech de la provincia de Santo Domingo de los Tsáchilas. Implementar un Servidor CentOS más servicios de Red para la seguridad y privacidad de la información de la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas. Hipótesis Con la implementación del Sistema de Gestión de la Seguridad de la Información basado en la ISO 27001 se tendrá una mejora continua en la seguridad y privacidad lógica de la información, sobre el servidor CentOS que se va a configurar con sus servicios de red y así tener una garantía en la disponibilidad e integridad de la información a todo momento lo cual mejorara la seguridad de la información de la importadora Megatech de Santo Domingo de los Tsáchilas Variables Independiente Sistema de Gestión de la Seguridad de la Información basado en la norma ISO 27001 Dependiente Seguridad y privacidad de la Información. Metodología a Emplear Se entrevistó verbalmente al Gerente de la importadora Megatech de la Provincia de Santo Domingo de los Tsáchilas, para tratar la problemática, llegando a determinar que para esta investigación se va a utilizar la metodología cualicuantitativa, ya que se investigó de forma cualitativa cada proceso que se realiza para conectarse a la red de la empresa y poder abrir y almacenar archivos alojados en el servidor. Métodos Inductivo-Deductivo: Inductivo: Aquella Orientación que va de los casos particulares a lo general. Deductivo: Aquella Orientación que va de lo general a lo especifico. (Romeo, 2014) Serán de mucha utilidad ya que mediante el método inductivo se analizará el problema general que tiene la empresa en cuanto a la seguridad y privacidad de los datos y poder buscar respuestas a la problemática. Y del método deductivo se partirá de los datos generales que se obtenga para deducir y buscar una solución al problema que presenta la empresa. Analítico-Sintético: Estudia los hechos, partiendo de la descomposición del objeto del estudio en cada una de sus partes para estudiarlas en forma individual (análisis), y luego se integran esas partes para estudiarlas de manera holística e integral (síntesis). (Torres, 2010) Este método ayudara a analizar las causas y efectos que se pudo recopilar de una forma muy ordenada. Y así poder sintetizar la recopilación que hemos hecho y determinar un todo para la seguridad y privacidad de la información en la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas. Tipos de Investigación Investigación de Campo Este proceso nos permitirá conocer en el lugar de los hechos cómo se están manejando las seguridades y privacidades de la información, y así mejorar la confidencialidad, integridad y disponibilidad de la información a todo momento. Investigación Bibliográfica Esta investigación nos ayudara a fundamentar científicamente la solución a nuestra problemática, y poder tomar conocimientos de investigaciones ya existentes que tenga similitud, y así evitar realizar investigaciones ya hechas. Investigación Descriptiva Esta investigación nos permitirá identificar las causas y efectos del fenómeno y así poder evitar la manipulación inadecuada de la información de la empresa creando una hipótesis a nuestra problemática. Técnicas Las técnicas a utilizar para la recopilación de información serán: Observación: Es una de las técnicas más importantes y consiste en un examen atento de los diferentes aspectos de un fenómeno con el propósito de estudiar sus características y comportamiento dentro del medio donde se desenvuelve este. (Tantapoma, 2012) Con esta técnica se obtendrá información directamente de las seguridades y privacidades que tiene al momento de acceder al servidor. Entrevista: Con esta técnica se recaba información en forma directa, cara a cara, es decir, el entrevistador obtiene los datos del entrevistado de acuerdo a una lista de preguntas preconcebidas. (Tantapoma, 2012) Esta técnica se la realizara al Gerente de la importadora Megatech de la provincia de Santo Domingo de los Tsáchilas, para conocer a fondo la investigación a realizar. Instrumentos Los instrumentos a utilizar para la investigación serán: Guía de Entrevista: Es un instrumento para la recolección de información, lo utilizaremos para la entrevista que le realizaremos al personal de la empresa acerca de las seguridades y privacidades de la información que tienen en un orden cualitativo y cuantitativo. Guía de Observación Directa: nos permitirá tomar anotaciones acerca de la seguridad y privacidad de la información, durante el acceso al servidor mediante un cliente para poder conocer las seguridades que tiene. Esquema de Contenidos Sistema de Gestión de la Seguridad de la Información Definición de Sistema de Gestión Que es un Sistema de Gestión de la Seguridad de la Información Ciclo de vida de un Sistema de Gestión Planificar Hacer Verificar Actuar Activo de la Información Normas ISO Definición de la ISO Normas ISO 27001 Definición de las Normas ISO 27001 o Confidencialidad o Integridad o Disponibilidad Seguridad de la Información. Definición Seguridad Lógica Riesgo Identificación o autenticación Amenazas Vulnerabilidades Ataques Virus Hacker Cracker Políticas de Seguridad Copias de Seguridad Privacidad de la Información. Definición Contraseñas Protocolos de la información Redes y Comunicaciones de Datos Software DHCP Firewall Proxy Software Libre Sistemas Operativo Linux Definición Sistema Operativo CentOS o Introducción o Características o Raid Aporte Teórico Por medio de la investigación realizada acerca de los Sistema de Gestión de la Seguridad de la Información basada en la ISO 27001 para la seguridad y privacidad de la información, tiene como finalidad resguardar la información expuesta a los ataques y amenazas lógicas en la red, se mejorara la privacidad de la información en el servidor de la importadora Megatech dando una mejor imagen a la misma. Significación Práctica La significación práctica consiste en la aplicación del Sistema de Gestión de la Seguridad de la Información sobre el servidor centos que se va aconfigurar en la importadora Megatech para la seguridad de la información y así resolver la problemática, de esta manera mejorar las políticas de privacidad y evitar que colapse el servidor en la red. Novedad Científica El Sistema de Gestión de la Seguridad de la Información ayudará de mucho al servidor para administrar la información ya que tendrá una mejora continua en las políticas de privacidad de la información, con la cual se obtendrá una mayor confidencialidad, disponibilidad e integridad de los archivos al momento de acceder al servidor, y este será de fuente de consulta para docentes, estudiantes, con el mismo tipo de necesidad de información. Bibliografía Andreu, J. (2010). Servicios en Red. Madrid: EDITEX. Chamillard, G. (2011). Ubuntu Administracion de un Sistema Linux. España, Barcelona: ENI. Herederos, C. d. (2011). Organizacion y transformacion de los sistemas de infromacion en la empresa. Madrid: ESIC. -incontec-, I. C. (2009). Compendio Sistema de Gestión de la seguridad de la Informacion (SGSI). Bogota, Colombia: Incotec. Jordi Iñigo Griera, J. M. (2008). Estructura de Redes de Computadores. Barcelona: UOC. López, C. M. (2014). Seguridad de la Informacion. Guatemala: Carolina Villatoro. López, P. A. (2010). Seguridad Informatica. España, Madrid: Editex, S. A. Paisig, H. B. (2012). Linux el Sistema Operativo del Futuro. Peru: Macro. Romeo, A. C. (2014). Metodologia Integral Innovadora para Planes y Tesis. Mexico: Cengage Learning. Tantapoma, E. V. (2012). Metodología de la Investigación científica. Peru: Edunt. Torres, C. A. (2010). Metodología de Investigacion Tercera Edicion. Colombia: Pearson. Vieites, Á. G. (2012). Enciclopedia de la Seguridad Informática. Colombia: Alfaomega. VER ANEXO 2 CARTA DE ACEPTACIÓN VER ANEXO 3 CERTIFICADO DE ACEPTACIÓN DE LA EMPRESA ANEXOS 4 CABLEADO ANTES DE IMPLEMENTAR EL SGSI ANEXO 5 IMPLEMENTOS E IMPLEMENTACION DE LA NUEVA RED ANEXO 6 INSTALACION DE CENTOS Y RAID1 Se instalara RAID1 con CentOS para tolerar algún error del disco duro que pueda presentar en el futuro y así cumplir con el objetivo de la norma ISO 27001, que son la confidencialidad, integridad y disponibilidad de la información. Presionamos ENTER, luego seleccionamos nuestro idioma Observaremos dos Discos Duros, donde el SO al instalarse los reconocerá como uno solo ya que crearemos el RAID 1. Con la opción RAID se particiona los discos duros con el mismo tamaño. Luego que los dos discos tenga el mismo tamaño en cuanto a particiones procedemos a decirle que opción necesitamos que valla en cada partición realizada y seleccionaremos de los dos discos las particiones realizadas para que una vez instalado nuestro SO lo reconozca como un solo disco. Una vez creado nuestro RAID continuamos con la instalacion de CentOS. Seleccionamos nuestras tarjetas de red entrada y salida de internet Seleccionamos nuestra región en nuestro caso América Guayaquil. Siempre debemos darle una contraseña a nuestro root o a nuestra cuenta de administrador. Seleccionamos siguiente y siguiente esperamos que se instale y nos aparecerá nuestro escritorio. ANEXO 7 APROBACION DE LAS POLITICAS POR EL GERENTE GENERAL ANEXO 8 CARTAS DE ACEPTACION DE RESPONSABILIDADES DE LA INFORMACIÓN ANEXO 9 CAPACITACION SOBRE LAS POLITICAS DE SEGURIDAD AL PERSONAL DE LA IMPORTADORA VER ANEXO 10 CONFIGURACION DE USUARIOS A LA INFORMACION VER ANEXO 11 CONFIGURACION DE ACCESO A LA RED Las maquinas que operan en la importadora serán configuradas con IP fijas en el servidor con su respectiva MAC, el cual controlara que no existan conflictos de IP ya que se dejaran 10 IP dinámicas para los proveedores o clientes. VER ANEXO 12 INFORMACION CONFIDENCIAL La información que maneja la importadora es muy confidencial por lo cual solo el gerente tendrá acceso a todas carpetas que contienen la información y cada usuario tendrá acceso a la información que el maneje manteniendo una confidencialidad en la información. ANEXO 13 RESTRICCIÓN AL ACCESO DE LA INFORMACIÓN Con el control implementado ahora para ingresar al servidor se necesitara de un usuario y una contraseña o autentificación, restringiendo el ingreso a usuarios no autorizados a la información. ANEXO 14 SEGURIDAD FISICA El servidor estará ubicado donde instamos nuestros complementos de red bajo llave y solo tendrán acceso el gerente general, el oficial de seguridad y el administrador de la información. ANEXO 15 INSTALACION DE SUMINISTROS Todos los equipos y el servidor se les instalo un UPS para tolerar cualquier falla energética. ANEXO 16 CONTROLES CONTRA CODIGO MALICIOSO Se instaló y actualizo el antivirus a todas las maquinas que manipulan la información. ANEXO 17 CONTROLES DE RED Se controlara el acceso y uso de la WEB a través de una lista de control de acceso, que nos brinda el squid o proxy de* nuestro servidor, con el cual ayudara para proteger la información y para que el empleado agilice sus labores sin distracción.
© Copyright 2024