Proyecto de Ingeniería de Sistemas I

Bajar el Archivo completo en formato WORD HACIENDO CLIK AQUI

INDICE

INTRODUCCION………………………………………………………………………………………………………………...…03

CAPITULO I: PLANTEAMIENTO DEL PROBLEMA………………………………………………………………….04

1.1 DEFINICION DEL PROBLEMA……………………………………………………………………………04

1.2 FORMULACION DEL PROBLEMA……………………………………………………………………….04

1.2.1 PROBLEMA GENERAL……………………………………………………………………………04

1.2.2 PROBLEMA ESPECIFICO………………………………………………………………………..04

1.3 OBJETIVOS…………………………………………………………...............................................................05

1.3.1 OBJETIVOS GENERALES………………………………………………………………………..05

1.3.2 OBJETIVOS ESPECIFICOS………………………………………………………………………05

1.4 JUSTIFICACION E IMPORTANCIA……………………………………………………………………...05

1.4.1 JUSTIFICACION……………………………………………………………………………………..05

1.4.2 IMPORTANCIA………………………………………………………………………………………06

1.5 ALCANCES Y LIMITACIONES…………………………………………………………………………….07

1.5.1 ALCANCES………………………………………………………………………………………….…07

1.5.2 LIMITACIONES……………………………………………………………………………………...07

CAPITULO II: MARCO TEORICO CONCEPTUAL……………………………………………………………………..08

2.1 ANTECEDENTES……………………………………………………………………………………………….08

2.2 MARCO CONCEPTUAL……………………………………………………………………………………….08

CAPITULO III: MARCO METODOLOGICO……………………………………………………………………………...16

3.1 METODOLOGIAS………………………………………………………………………………………………16

3.2 HERRAMIENTAS……………………………………………………………………………………………...17

3.3 TECNICAS………………………………………………………………………………………………………..17

CAPITULO IV: GESTION DEL PROYECTO……………………………………………………………………………21

4.1 CRONOGRAMA………………………………………………………………………………………………….21

4.2 PRESUPUESTO……………………………………………………………………………………………….…23

CONCLUSIONES………………………………………………………………………………………………………………..23

GLOSARIO…………………………………………………………………………………………………………………….….24

BIBLIOGRAFIA…………………………………………………………………………………………………………………26

PROBLEMA EN BRUTO

En el presente trabajo, se desarrolla el modelo para implementar un sistema de gestión de seguridad de la información para cualquier organización. Para la aplicación del presente trabajo se trabajará con una empresa real: “Computación, comunicaciones y redes” que brinda servicios para proteger la información de posibles ataques.

Debido al crecimiento de CCNet S.A., entidad que brinda servicios y productos de valor agregado en telecomunicaciones a nivel corporativo. La probabilidad de que la información sea interceptada y/o modificada por personas inescrupulosas ha aumentado exponencialmente lo cual es peligroso para la organización.

Es por ello que “Computación, comunicaciones y redes” se ve en la necesidad de implementar un conjunto de herramientas, procedimientos, controles y políticas que aseguren la confidencialidad, disponibilidad e integridad de la información; con ellos garantizar a que se acceda a la información solo por quienes estén designados para su uso, que esté disponible cuando requieran los que estén autorizados y permanezcan tal y como fue creada por sus propietarios, y asegurar también la actualización de la misma.

INTRODUCCION

La información hoy en día, es uno de los más importantes activos no solo para la empresa y organizaciones, si no para cada individuo. Por este motivo la misma requiere ser asegurada y protegida en forma apropiada. Estos riegos no solo vienen desde el exterior de las empresas sino también desde el interior.

El presente trabajo consta de cuatro capítulos, las cuales son:

En el capítulo I se presenta el planteamiento del problema, dentro de la cual se encuentra la definición y formulación del problema, los objetivos, justificación, importancia, alcances y limitaciones del proyecto.

En el capítulo II muestra el marco teórico – conceptual, en el que se encuentran los antecedentes nacionales e internacionales del proyecto y las bases teóricas relacionadas con sistema de gestión de seguridad de la información (SGSI), definiciones y términos básicos que sustentan el desarrollo adecuado del trabajo.

En el capítulo III – marco metodológico, se especifican las metodologías, herramientas y técnicas utilizadas para el desarrollo del trabajo de investigación.

En el capítulo IV está destinado a la presentación del cronograma y presupuesto del trabajo de investigación.

A partir de los resultados obtenidos se han planteado las conclusiones y finalmente se consigna la bibliografía utilizada para realizar el presente trabajo de investigación.

CAPITULO I

PLANTEAMIENTO DEL PROBLEMA

1.1 DEFINICION DEL PROBLEMA

Con respecto al ataque a la información, la mayoría de los incidentes ocurridos podrían ser evitados con controles de niveles simples o intermedios. Además, los incidentes ocurridos tardan varias semanas en ser detectados y dichos incidentes son detectados por terceros y no por quien es la víctima.

El proyecto está orientado al desarrollo de un software que nos permita proveer de seguridad a la información de las empresas clientes de CCNet S.A. También al uso de políticas, normas, estándares que nos permitan solucionar problemas de seguridad de manera eficaz.

1.2 FORMULACION DEL PROBLEMA

1.2.1 PROBLEMA GENERAL

· ¿Es posible desarrollar e implementar un sistema de gestión de seguridad de información a la empresa CCNet?

1.2.2 PROBLEMA ESPECIFICO

· ¿Qué recursos está tratando la empresa de proteger?

· ¿De quienes necesita proteger los recursos?

· ¿Están conscientes los colaboradores involucrados en el proceso de tecnología, en temas de seguridad de información?

1.3 OBJETIVOS

1.3.1 OBJETIVO GENERAL

· Implementar un sistema de gestión de seguridad de información a la empresa CCNet S.A.

1.3.2 OBJETIVOS ESPECIFICOS

· Proteger el hardware (computadoras personales, unidades de disco, routers), software (sistemas operativos), datos (durante la ejecución, almacenados en línea, registros de auditorías, bases de datos), personas (usuarios y trabajadores) de las empresas clientes.

· Proteger los recursos de los catos maliciosos o malintencionados (Virus, Uso no autorizado de sistemas informáticos, suplantación de identidad, desastres naturales etc.)

· Formar y concientizar a los colaboradores involucrados en los procesos de tecnología, en temas de seguridad de información.

1.4 JUSTIFICACION E IMPORTANCIA

1.4.1 JUSTIFICACION

Computación, Comunicaciones y Redes S.A. (CCNet S.A.) es una empresa peruana, cuyo objetivo es proveer servicios y productos de valor agregado en telecomunicaciones a nivel corporativo, entre esos servicios se encuentra la seguridad informática y de redes, por lo que necesita el desarrollo de un sistema que permita proteger la información de las empresas a las cuales provee servicios, así como la prevención de intrusos (IPS), filtros de contenido, etc.

Teniendo en cuenta lo expuesto anteriormente, entonces se puede ver que hay la necesidad de que Computación, Comunicaciones y Redes S.A. deba contar con un sistema de gestión de seguridad de información, el cual garantice confidencialidad, integridad y disponibilidad para las empresas quienes son sus clientes.

Además, debe hacer buen uso de políticas, normas, estándares que nos permitan solucionar problemas de seguridad de manera eficaz. Para ello existen normas y estándares relacionados a la seguridad de información.

Por lo mencionado anteriormente se propone realizar la implementación mediante un Sistema de gestión de seguridad de información (SGSI), el cual nos brindará los procedimientos necesarios para identificar y evaluar los riesgos, las amenazas y vulnerabilidades de los activos de información.

1.4.2 IMPORTANCIA

Cuando se trata de tener seguridad de la información, es importante entender que esta debe ser gestionada. Esto implica diseñar e implementar una serie de procesos que permitan gestionar la información de manera eficiente para una mayor integridad, confidencialidad.

La información es la base que hace posible la existencia de aplicaciones, dispositivos de hardware, nuevas formas de elaborar información más consistente, tecnología nueva, etc.

Para ello se debe conocer que la información está almacenada y procesada en computadoras, puede ser confidencial para las empresas, puede ser mal utilizada o divulgada y puede estar sujeta a robos o fraudes. Esta información puede estar centralizada o que se puede dar la destrucción parcial o total de la información ocasionando grandes problemas a la empresa.

Si ocurriera un accidente en el lugar donde se almacena la información, la pregunta es: ¿Cuánto tiempo debe pasar para que dicha empresa recupere esa información y este nuevamente en operación?

Por ello mismo se debe tener en cuenta que el lugar donde se almacena la información debe ser valiosa ya que es más vulnerable.

Para poder estar preparados ates cualquier imprevisto y actuar con rapidez y eficacia, es necesario implantar un sistema de gestión de seguridad de la información. Gracias a este sistema se puede analizar los posibles riesgos y establecer las medidas necesarias de seguridad y disponer de controles que nos permitan evaluar la eficacia de esas medidas.

Con la implementación del sistema de seguridad de información se lograría lo siguiente:

ü Con respecto seguridad física y ambiental

§ Análisis y mejora de data center.

§ Desarrollo de procedimientos

§ Interoperabilidad.

ü Con respecto a controles de acceso

§ Segmentación en la red

§ Bloqueo de sesiones inactivas

§ Controles al sistema operativo.

ü Con respecto a desarrollo y mantenimiento de sistemas

§ Monitoreo de sistemas.

§ Definiciones de seguridad para nuevos proyectos.

ü Con respecto a la continuidad y cumplimiento

§ Respaldos de sistemas y datos

§ Respaldos de estaciones criticas

Además, lograra que se realice trabajo en equipo, compromiso por parte de los trabajadores, disposición al cambio y genere mayor conocimiento.

1.5 ALCANCES Y LIMITACIONES

1.5.1 ALCANCES

Para el desarrollo del proyecto se implementará un conjunto adecuado de controles, que abarcan políticas, prácticas, procedimientos, estructuras organizacionales y funciones de software, se podrá garantizar la seguridad de la información.

Con estas medidas puede ayudar a una empresa a cumplir sus objetivos, protegiendo sus recursos financieros, sistemas, reputación y situación legal.

1.5.2 LIMITACIONES

Para realizar el desarrollo del presente proyecto se presentan las siguientes limitaciones:

· Limitada capacidad del personal

o Tercerizar al personal para la realización de actividades.

· Delimitadas fechas de entrega

o Incrementar horas hombre en el diseño e implementación del proyecto.

· Disposiciones presupuestarias

o Priorizar nuevos recursos informáticos.

o Mantener recursos informáticos usados, es decir, ampliar la garantía.

CAPITULO II

MARCO TEORICO CONCEPTUAL

2. MARCO TEORICO CONCEPTUAL

2.1 ANTECEDENTES

En el ámbito de la empresa “COMPUTACION, COMUNICACIONES Y REDES” no existe una investigación de este tipo por lo que este trabajo será un punto de partida para que se investigue acerca de este tema.

En el Perú y en el mundo existen empresas que brindan aseguramiento de información a muchas otras, de las se mostraran a continuación:

NACIONALES:

Ø Políticas de seguridad de la información en CORPAC S.A.

“Cada política de seguridad de la información es un lineamiento de la organización a cada uno de sus miembros internos y externos, para reconocer a la información como uno de sus principales activos, así como un motor de intercambio y desarrollo en el ámbito de sus funciones. Tal lineamiento debe concluir en una posición consiente y vigilante del personal respecto al uso y limitaciones de los recursos y servicios de información de la organización.”

2.2 MARCO CONCEPTUAL

Los conceptos que se utilizan para la elaboración de este proyecto son los siguientes:

2.2.1 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI):

(EN INGLÉS INFORMATION SECURITY MANAGEMENT SYSTEM, ISMS)

Podríamos definirlo como una herramienta de gestión o un conjunto de responsabilidades, procesos, procedimientos y recursos que nos va a permitir conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información en la empresa y así asegurar la continuidad de la operatividad de la empresa.

Antes de comenzar a ver las características de este tipo de sistemas, importante diferenciar entre seguridad informática y seguridad de la información.

LA SEGURIDAD INFORMÁTICA: Se refiere a la protección de las infraestructuras de las tecnologías de la información y comunicación que soportan al negocio.

LA SEGURIDAD DE LA INFORMACIÓN: Se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización.

Entre los muchos ejemplos de información que podemos encontrar en una empresa son los correos electrónicos, páginas web, imágenes, bases de datos, faxes, contratos, presentaciones, documentos, etc.

Además, es necesario considerar el ciclo de vida de la información, ya que lo que hoy puede ser crítico para nuestro negocio puede dejar de tener importancia con el tiempo.

Para garantizar la seguridad de toda esta información se cuenta con la ayuda de in sistema de gestión de seguridad de la información.

Esta metodología nos va a permitir, en primer lugar, analizar y ordenar la estructura de los sistemas de información. En segundo lugar, nos facilitará la definición de procedimientos de trabajo para mantener su seguridad. Y por último nos ofrecerá la posibilidad de disponer de controles que permitan medir la eficacia de las medidas tomadas.

Estas acciones van a proteger a la empresa frente a amenazas y riesgos que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de negocio. De esta manera se mantiene el riesgo para la información por debajo del nivel asumible por la propia organización.

La gestión de los riesgos a través de un sistema de Gestión de Seguridad de la información nos va a permitir preservar la confidencialidad, integridad y disponibilidad de la misma, en el interior de la empresa, ante sus clientes y ante las distintas partes interesadas en el negocio de la empresa.

LA CONFIDENCIALIDAD: Implica el acceso de la información por parte únicamente de quienes están autorizados.

LA INTEGRIDAD: Conlleva el mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

LA DISPONIBILIDAD: Entraña el acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados en el momento que lo requieran.

El acrónimo utilizado para hablar de estos parámetros básicos de la seguridad de la información es CID (en español) o CIA (en inglés). Con el fin de proporcionar un marco de Gestión dela seguridad de la información utilizable por cualquier tipo de organización se ha creado un conjunto de estándares bajo el nombre de ISO/IEC 27000.

Estas normas van a permitir disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software.

2.2.2 SEGURIDAD DE LA INFORMACION

Es decir, son todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, disponibilidad e integridad de la misma.

La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, a ésta se clasifica como:

CRITICA: Es indispensable para la operación de la empresa.

VALIOSA: Es un activo de la empresa y muy valioso.

SENSIBLE: Debe ser conocida por las personas autorizadas.

2.2.3 ACTIVO DE INFORMACION

Un activo es todo aquello que las entidades consideran importante o de alta validez para la información como lo puede ser Base de Datos con usuarios, contraseñas números de cuentas, etc. Por esta razón, los activos necesitan tener protección para asegurar una correcta operación del negocio y una continuidad en la operación.

Al identificar los activos de información tenemos que tener en cuenta que estos pueden proceder de distintas fuentes de información dentro de la empresa y que pueden encontrarse en diferentes soportes, como papel o medios digitales.

Los activos se pueden clasificar en las siguientes categorías:

Activos e información (datos, manuales de usuario, etc.)

Documentos de papel (Contratos)

Activos de software (aplicación, software de sistemas, etc.)

Activos físicos (computadoras, medios magnéticos, etc.)

Personal (Clientes, empleados)

Imagen de la compañía y reputación

Servicios (Comunicaciones, etc.)

2.2.4 CONFIDENCIALIDAD

Es la garantía de que la información personal será protegida para que no sea divulgada sin consentimiento de la persona. Dicha garantía se lleva a cabo por medio de un grupo de reglas que limitan el acceso a ésta información.

Por ejemplo, una transacción de tarjeta de crédito en internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante de una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado de número de tarjeta que contiene la banda magnética durante la transmisión de los mismos.

Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.

Si la información confidencial incluye material que puede poner en riesgo la seguridad de una nación, el nivel de precauciones será mucho mayor.

Por lo general, los documentos de esta naturaleza de ponen bajo la custodia de organismos públicos especializados, en ubicaciones secretas, y en muchos casos se recurre a la escritura en clave.

La confidencialidad de la información digital (como un correo electrónico) también puede protegerse, aunque no con medidas físicas, sino con mecanismos de cifrado y otras herramientas virtuales.

2.2.5 INTEGRIDAD

Para la seguridad de la información, es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.

La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información.

2.2.6 DISPONIBILIDAD

La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente.

La Alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc., mediante el uso de clústeres o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.

2.2.7 ROBO DE IDENTIDAD

El robo de identidad es la apropiación de la identidad de una persona: hacerse pasar por esa persona, asumir su identidad ante otras personas en público o en privado, en general para acceder a ciertos recursos o la obtención de información y puede realizar cualquier clase de fraude que origine la pérdida de datos personales, como, por ejemplo, contraseñas, nombres de usuario, información bancaria o números de tarjetas de crédito.

El robo de identidad en línea en ocasiones se conoce como la suplantación de identidad (phishing).

Existen varios métodos para obtener datos de la información personal:

Correos falsos: esta técnica permite pasar a un atacante por una organización, banco o empresa verdaderos para obtener información que garantice acceso a algún recurso que usted utilice en esa organización, banco o empresa.

Personal: cualquier persona maliciosa podría obtener información que escuchó o vio de parte suya que le garantice acceso a algún recurso valioso.

Ataque organizado: cualquier atacante podría intentar superar la seguridad de un banco, empresa u organización para obtener información personal de los clientes para luego acceder a algún recurso de esa empresa.

Ataque a servidores de almacenamiento de información online: el atacante puede tratar de obtener datos de un servidor de almacenamiento de datos en la nube; obteniendo contraseñas, DNI, cuentas bancarias, etc.

LSSI: La legislación española LSSI (artículo 10) obliga a cualquier autónomo que tenga una página web, o cualquier persona con página web que ponga adsense o recomendaciones de libros de Amazon, a poner su nombre y apellidos completo, su DNI y la dirección de su domicilio personal frente a multas que superan los 30001 euros por infracción grave.

Con esos datos, es razonablemente fácil el robo de identidad, y dar de baja la línea fija, el ADSL, o modificar aspectos del recibo de la luz o del agua al particular al que la ley le ha obligado a poner sus datos en Internet.

2.2.8 SEGURIDAD FISICA

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"”. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicada la empresa.

Las principales amenazas que se prevén en la seguridad física son:

Desastres naturales, incendios accidentales tormentas e inundaciones.

Amenazas ocasionadas por el hombre.

Disturbios, sabotajes internos y externos deliberados.

2.2.9 COMPUTACION FORENSE

El cómputo forense, también forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnologías de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. El conocimiento del informático forense abarca el conocimiento no solamente del software sino también de hardware, redes, seguridad, hacking, cracking, recuperación de información.

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no tiene como objetivo el prevenir delitos, de ello se encarga la seguridad informática, por eso resulta imprescindible tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoria informática.

2.2.10 INTERNATIONAL ELECTROTECHNICAL COMMISION (IEC)

La comisión electrotécnica internacional es una organización de normalización en los campos: eléctrico, electrónico y tecnologías relacionadas.

La CEI fue fundada en 1906, siguiendo una resolución del año 1904 aprobada en el “Congreso Internacional Eléctrico” en San Luis (Misuri). Su primer presidente fue Lord Kelvin. Tenía su sede en Londres hasta que en 1968 se trasladó a Ginebra.

La CEI está integrada por los organismos nacionales de normalización, en las áreas indicadas, de los países miembros.

En 2003, a la CEI pertenecían más de 60 países miembros.

En2015, son 83 miembros, cada uno de ellos representando a un país: son 60 los “Miembros Plenos”, y 23 los “Miembros Asociados”.

Numerosas normas se desarrollan conjuntamente con la Organización Internacional de Normalización (International Organization for Standardization, ISO): normas ISO/IEC.

En 1938, el organismo publicó el primer diccionario internacional

(International Electrotechnical Vocabulary) con el propósito de unificar la terminología eléctrica, esfuerzo que se ha mantenido durante el transcurso del tiempo, siendo el Vocabulario Electrotécnico Internacional un importante referente para las empresas del sector.

2.2.11 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO)

Es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional.

La ISO es una red de los institutos de normas nacionales de 163 países, sobre la base de un miembro por país, con una Secretaría Central en Ginebra (Suiza) que coordina el sistema. Está compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento.

Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no gubernamental y no depende de ningún otro organismo internacional, por lo tanto, no tiene autoridad para imponer sus normas a ningún país. El contenido de los estándares está protegido por derechos de copyright y para acceder a ellos el público corriente debe comprar cada documento.

2.2.12 CIRULO DE DEMING

También conocido como círculo PDCA (plan-do-check-act, es, planificar-hacer-verificar-actuar) o espiral de mejora continua, es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. Es muy utilizado por los sistemas de gestión de calidad (SGC) y los sistemas de gestión de la seguridad de la información (SGSI).

CAPITULO III

MARCO METODOLOGICO

3. MARCO METODOLOGIC

3.1 METODOLOGIA(S)

La GESTION DEL PROYECTO comprende de las siguientes actividades, de la cual están dentro de la iniciación, planificación, ejecución y cierre.

INICIACION:

Se encuentra la siguiente actividad:

· ACTIVIDAD 1: Elaborar el acta de constitución del proyecto.

PLANIFICACION DEL PROYECTO

· Se encuentra las siguientes actividades:

· Elaborar el acta del proyecto.

· Aprobación del alcance del proyecto.

· Identificar entregables según el proyecto.

· Estructurar el cronograma del proyecto.

· Identificar responsables del proyecto/ elaborar cronograma.

· Analizar costo beneficio.

· Identificar riesgos que afectan al proyecto.

EJECUCION DEL PROYECTO

· Se encuentra las siguientes actividades:

· Estructurar propuesta de política del SGSI.

· Elaborar despliegue de política.

· Elaborar manual del SGSI.

· Análisis y evaluación de riesgos.

· Definir controles de implementación

· Revisión de controles propuestos

· Definir plan de acción del tratamiento del riesgo.

· Estudio y selección de proveedores.

· Identificar documentos necesarios.

· Elaborar programa de capacitación y concientización.

· Elaborar material de capacitación y concientización.

· Coordinar fechas para la capacitación y concientización.

· Ejecutar capacitación y concientización al personal.

· Elaborar evaluación de SGSI.

· Evaluar a los participantes de la capacitación y concientización.

· Calificar evaluaciones.

· Presentar resultados de capacitación y concientización a gerencia.

· Resultado y análisis de indicadores.

· Presentar resultados finales a gerencia.

SEGUIMIENTO Y CONTROL

Se encuentra las siguientes actividades:

· Registro de avances mensuales.

· Registro de cambios del proyecto.

CIERRE

Se encuentra la siguiente actividad:

· Elaborar el acta de cierre de proyecto.

3.2 HERRAMIENTA(S)

3.2.1 CICLO DE DEMING

Los resultados de la implementación de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad de la empresa u organización.

3.2.2 ISO/IEC 27001:2005

Está orientada a establecer un sistema gerencial que permita minimizar el riesgo y proteger la información en las empresas cliente, de amenazas externas o internas.

Es importante entender que la ISO se ha desarrollado como modelo para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora de un SGSI para cualquier clase de organización.

3.2.3 GESTION DE PROYECTOS – PMBOK

La dirección de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas a las actividades de un proyecto para satisfacer los requisitos del proyecto. La dirección de los proyectos se logra mediante la aplicación e integración de los procesos de dirección de proyectos de inicio, planificación, ejecución, seguimiento y control, y cierre. El director del proyecto es la persona responsable de alcanzar los objetivos del proyecto.

La dirección de un proyecto incluye:

Identificar los requisitos.

Establecer unos objetivos claros y posibles de realizar

Equilibrar las demandas concurrentes de calidad, alcance, tiempo y costes.

Adaptar las especificaciones, los planes y el enfoque a las diversas inquietudes y expectativas de los diferentes interesados.

El equipo de dirección del proyecto tiene responsabilidad profesional ante sus interesados, incluidos los clientes, la empresa ejecutante y el público. Los miembros del PMI catan un “Código de ética” y quienes tienen la certificación profesional de la dirección de proyectos acatan un “Código de Conducta Profesional”.

ESTRUCTURA DE LA GUIA DEL PMBOK

La Guía del PMBOK está dividida en tres secciones:

SECCION I: MARCO CONCEPTUAL DE LA DIRECCION DE PROYECTOS

Proporciona una estructura básica para entender la dirección de proyectos.

En el capítulo 1 –Introducción- Define los términos claves y proporciona una descripción general del resto de la guía del PMBOK.

En el capítulo 2 –Ciclo de vida del proyecto y organización- Describe el entorno en el cual operan los proyectos. El equipo de dirección de proyecto debe comprender este amplio contexto.

SECCION II: NORMA PARA LA DIRECCION DE PROYECTOS DE UN PROYECTO

Especifica todos los procesos que usa el equipo de proyecto para gestionar dicho proyecto.

El capítulo 3 –Procesos de Dirección de Proyectos para un Proyecto- Describe los cincos procesos de dirección de proyectos aplicables a cualquier proyecto y los procesos de dirección de proyectos que componen tales grupos.

SECCION III: AREAS DE ONOCIMEINTO DE LA DIRECCION DE PROYECTOS

Organiza los 44 procesos de dirección de proyectos de los grupos de procesos de dirección de proyectos del capítulo 3 en nueve áreas de conocimiento.

El capítulo 4 –Gestión de la integración del proyecto- Describe los procesos y actividades que forman parte de los diversos elementos de la dirección de proyectos, que se identifican, definen, combinan, unen y coordinan dentro de los grupos de procesos de dirección de proyectos.

El capítulo 5 –Gestión del alcance del proyecto- Describe los procesos necesarios para asegurarse de que el proyecto incluya todo el trabajo requerido para completar el proyecto satisfactoriamente.

El capítulo 6 -Gestión del Tiempo del Proyecto- Describe los procesos relativos a la puntualidad en la conclusión del proyecto.

El capítulo 7 -Gestión de los Costes del Proyecto-Describe los procesos involucrados en la planificación, estimación, presupuesto y control de costes de forma que aprobado.

El capítulo 8 -Gestión de la Calidad del Proyecto- Describe los procesos necesarios para asegurarse de que el proyecto cumpla con los objetivos por los cuales ha sido emprendido.

El capítulo 9 -Gestión de los Recursos Humanos del Proyecto- Describe los procesos que organizan y dirigen el equipo del proyecto.

El capítulo 10 -Gestión de las Comunicaciones del Proyecto- Describe los procesos relacionados con la generación, recogida, distribución, almacenamiento y destino final de la información del proyecto en tiempo y forma.

El capítulo 11 -Gestión de los Riesgos del Proyecto- describe los procesos relacionados con el desarrollo de la gestión de riesgos de un proyecto.

El capítulo 12 -Gestión de las Adquisiciones del Proyecto- Describe los procesos para comprar o adquirir productos, servicios o resultados, así como para contratar procesos de dirección.

CAPITULO IV

GESTION DEL PROYECTO

4.1 CRONOGRAMA

	*NOMBRE DE LA ACTIVIDAD*	*DURACION*	*INICIO*	*FIN*
1	*DISEÑO E IMPLEMENTACION DE UN SISTEMA DE GETION DE SEGURIDAD DE INFORMACION EN “COMPUTACION, COMUNICACIÓN Y REDES”*	*97 dias.*	*Lun 03/08/15*	*Mar 15/12/15*
2	*GESTION DEL PROYECTO*	*97 dias.*	*Lun 03/08/15*	*Mar 15/12/15*
3	*INICIACION*	1 día	Lun 03/08/15	Lun 03/08/15
4	Elaborar el acta de constitución del proyecto	1 día	Lun 03/08/15	Lun 03/08/15
5	PLANIFICACION DEL PROYECTO	*7 dias.*	Mar 04/08/15	Mie 12/08/15
6	Elaborar el acta del proyecto.	1 día.	Mar 04/08/15	Mar 04/08/15
7	Aprobación del alcance del proyecto.	2 dias.	Mie 05/08/15	Jue 06/08/15
8	Identificar entregables según el proyecto.	1 día.	Vie 07/08/15	Vie 07/08/15
9	Estructurar el cronograma del proyecto.	1 día .	Lun 10/08/15	Lun 10/08/15
10	Identificar responsables del proyecto/ elaborar cronograma.	1 día .	Mar 11/08/15	Mar 11/08/15
11	Analizar costo beneficio.	1 día .	Mie 12/08/15	Mie 12/08/15
12	Identificar riesgos que afectan al proyecto.	1 día .	Mie 12/08/15	Mie 12/08/15
13	EJECUCION DEL PROYECTO	*89 dias.*	*Jue 13/08/15*	*Mar 15/12/15*
14	Estructurar propuesta de política del SGSI.	2 dias.	Jue 13/08/15	Vie 14/08/15
15	Elaborar despliegue de política.	3 dias.	Lun 17/08/15	Mie 19/08/15
16	Elaborar manual del SGSI.	1 día.	Jue 20/08/15	Jue 20/08/15
17	Análisis y evaluación de riesgos.	30 dias.	Vie 21/08/15	Jue 01/10/15
18	Definir controles de implementación.	11 dias.	Vie 02/10/15	Vie 16/10/15
19	Revisión de controles propuestos.	3 dias.	Lun 19/10/15	Mie 21/10/15
20	Definir plan de acción del tratamiento del riesgo.	4 dias.	Jue 22/10/15	Mar 27/10/15
21	Estudio y selección de proveedores.	4 dias.	Mie 28/10/15	Lun 02/11/15
22	Identificar documentos necesarios.	4 dias.	Mar 03/11/15	Vie 06/11/15
23	Elaborar programa de capacitación y concientización	1 día.	Lun 09/11/15	Lun 09/11/15
24	Elaborar material de capacitación y concientización.	4 dias.	Mar 10/11/15	Vie 13/11/15
25	Coordinar fechas para la capacitación y concientización.	1 dias.	Vie 27/11/15	Vie 27/11/15
26	Ejecutar capacitación y concientización al personal.	6 dias.	Lun 30/11/15	Lun 07/12/15
27	Elaborar evaluación de SGSI.	6 dias.	Lun 30/11/15	Lun 07/12/15
28	Evaluar a los participantes de la capacitación y concientización.	6 dias.	Lun 30/11/15	Lun 07/12/15
29	Calificar evaluaciones.	6 dias.	Lun 30/11/15	Lun 07/12/15
30	Presentar resultados de capacitación y concientización a Gerencia.	1 día.	Mar 08/12/15	Mar 08/12/15
31	Resultado y análisis de indicadores.	2 dias.	Mie 09/12/15	Jue 10/12/15
32	Presentar resultados finales a Gerencia.	1 día.	Mar 15/12/15	Mar 15/12/15
33	SEGUIMIENTO Y CONTROL	*83 dias*.	*Jue 13/08/15*	*Lun 07/12/15*
34	Registro de avances mensuales.	83 dias.	Jue 13/08/15	Lun 07/12/15
35	Registro de cambios del proyecto.	65 dias.	Mar 08/09/15	Lun 07/12/15
36	CIERRE	*1 día.*	*Mar 15/12/15*	*Mar 15/12/15*
37	Elaborar el acta de cierre del proyecto.	1 día.	Mar 15/12/15	Mar 15/12/15

4.2 PRESUPUESTO

*PRESUPUESTO DEL PROYECTO*
*CONCEPTO*	*MONTO*
Contratación de consultores y personal para el desarrollo del SGSI	165,000.00
Equipamiento	22,000.00
Contratación de empresa Auditora para la certificación	50,000.00
Reserva de contingencia	50,000.00
Reserva de Gestión	25,000.00
*TOTAL S/.*	*S/. 312,000.00*

CONCLUSIONES

El implementar una política de seguridad y que los colaboradores la conozcan e interioricen, es de gran utilidad cuando se requiere implementar cualquier sistema de gestión en una organización, ya que les da una visión clara de cómo sus labores cotidianas aportan para el mantenimiento y mejora de un sistema de gestión empresarial.

Desarrollando e implementando una buena metodología para gestionar los riesgos y ejecutando los planes de tratamiento de riesgos planteados, se logra reducir a niveles aceptables gran porcentaje de riesgos que afecten a los activos de información.

Muchas veces las empresas crecen de manera desordenada, crecen con paradigmas equivocados, algunos quieren documentar todo lo que se pueda, otras creen que documentar los procesos es una pérdida de tiempo. De lo anterior se concluye que la documentación de los procesos es una herramienta poderosa para el mantenimiento y mejora de cualquier sistema de gestión organizacional.

GLOSARIO DE TERMINOS

BASE DE DATOS: Es un “almacén” que nos permite guardar grandes cantidades de información de forma organizada para que luego podamos encontrar y utilizar fácilmente.

CIRCULO DE DEMING: El ciclo de Deming, también conocido como círculo de los vicios, es un método de mejora continua de la calidad en la administración de una organización.

CONFIDENCIALIDAD: Es la garantía de que la información personal será protegida para que no sea divulgada sin consentimiento de la persona. Dicha garantía se lleva a cabo por medio de un grupo de reglas que limitan el acceso a ésta información.

CONTRASEÑA: Código secreto que se introduce en una máquina para poder accionar un mecanismo o para acceder a ciertas funciones informáticas.

DISPONIBILIDAD: La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

ESRTRUCTURA ORGANIZACIONAL: Es el marco en el que se desenvuelve la organización, de acuerdo con el cual las tareas son divididas, agrupadas, coordinadas y controladas, para el logro de objetivos.

HARDWARE: Conjunto de elementos físicos o materiales que constituyen una computadora o un sistema informático.

INTEGRIDAD: Para la seguridad de la información, es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.

IMPLEMENTACIÓN: Es la instalación de una aplicación informática, realización o la ejecución de un plan, idea, modelo científico, diseño, especificación, estándar, algoritmo o política.

ISO: Es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales.

LOGIN: es el proceso mediante el cual se controla el acceso individual a un sistema informático mediante la identificación del usuario utilizando credenciales provistas por el usuario.

ROUTERS: Es un dispositivo que proporciona conectividad a nivel de red o nivel tres en el modelo OSI.

SEGURIDAD DE LA INFORMACION: Es decir, son todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger.

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI): Herramienta de gestión o un conjunto de responsabilidades, procesos, procedimientos y recursos que nos va a permitir conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información.

SISTEMAS OPERATIVOS: Es un programa o conjunto de programas de un sistema informático que gestiona los recursos de hardware y provee servicios a los programas de aplicación, ejecutándose en modo privilegiado respecto de los restantes.

SOFTWARE: Equipo lógico o soporte lógico de un sistema informático, que comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos que son llamados hardware.

SUPLANTACION DE IDENTIDAD: Término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta.

VIRUS: Malware que tiene por objetivo alterar el normal funcionamiento del ordenador, sin el permiso o el conocimiento del usuario.

BIBLIOGRAFIA

CORPAC S.A.

Políticas de seguridad de la información en Corpac S.A.

Disponible en:

http://www.corpac.gob.pe/Docs/Transparencia/OyM/DocNormativos/Politicas/Politica_Seguridad_Informacion_CORPAC_(GG-627-2013_27-12-2013).pdf

ISOTOOLS EXCELLENCE

LA NORMA ISO 27001 Y LA IMPORTANCIA DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

Disponible en:

https://www.isotools.org/pdfs/Monografico-ISO-27001-ISOTools.pdf

TESIS DE DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION. Tesis para optar el Título de Ingeniero Informático, que presenta el bachiller: David Arturo Aguirre Mollehuanca.

TESIS DE DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION PARA UNA CENTRAL PRIVADA DE INFORMACIÓN DE RIESGOS.

Proyecto de Ingeniería de Sistemas I

miércoles, 8 de junio de 2016

LINKS DE FUENTES BIBLIOGRAFICAS

martes, 10 de noviembre de 2015

MODELO DE PROYECTOS DE TESIS