FACULTADDEINGENIERA ESCUELADEINGENIERADESISTEMASY COMPUTACIN SeguridadInformticaparalosempresariosenPer

Autor:JesusCerdanValenzuela

Curso:MetodologadeTrabajoIntelectual Docente:GerardoChungaChinguel SemestreLectivo:20130

ChiclayoPer Febrero,2013

DEDICATORIA
AGraciela,miesposa,porsuapoyoincondicional paraquellegueaserunprofesionalcompetente. Amishijos,MiguelyDaniel,porsunimoycomprensin paralogrartenerxitoenlacarreraprofesionalelegida.

AGRADECIMIENTO

MiagradecimientoaLindonVelaMelndez,porlaconfianzademostrada,porincentivarmea estarinvolucradoennivelesmselevadosdeconocimientoyacreditacinprofesional. AOttoZoegerNavarro,suapoyoeideas,ymuchafequepodrelograrsuperarlasdificultades presentesconlaoportunidadquesoloofrecelapreparacinacadmicauniversitaria.

RESUMEN
En vista de la necesidad de tener un diseo de seguridad adecuado para la organizacin y un retorno de la inversin a corto plazo, se debe implementar un diseo de seguridad eficiente. Paraestoesfundamentalidentificaryanalizarcorrectamentelosriesgos. Al tener claro los riesgosms significativos yquproteger, sepuedeimplementarundiseode seguridad sin necesidad de hacer inversiones en equipos que no se requieren, esto sin descuidarlaproteccinparaelbuenfuncionamientodelaorganizacin. No basta con implementar un buen sistema de seguridad que incluya a los controles, la arquitectura y las polticas, si no se realiza el seguimiento, el monitoreo y la evaluacin a la solucin implementada, porque las herramientas solas no hacen el trabajo. Por esto es importantelaverificacincontinuaylosajustesquesepuedanrealizar. Es por ello que con el nimo de ayudar a crear conciencia con procesos determinados en investigaciones acadmicas aplicados a un buen sistema de seguridad se ha organizado la presentemonografadelasiguientemanera: Introduccin con elobjetivodeincentivarelintersquetodojefederea,(especialmenteel rea de sistemas) deba conocery establecer que el xito de su gestinest basado en la mejoray monitoreodelosrecursos CAPTULO 1: Fundamentos de la Seguridad de la Informacin. Se establece la definicin de SeguridaddeinformacinylosElementosdelaSeguridaddelaInformacin CAPTULO 2: Mtodos para desarrollar una poltica de seguridad. Se amplia la aplicacin de Laspolticas,LasnormasyLosprocedimientoseinstruccionesdetrabajo. CAPTULO 3: Anlisis y gestin de riesgos de seguridad, en elcualsedesarrollaconamplitud lossubtemasrelacionadosconlaSeguridadfsicaylaSeguridaddelaredcorporativa. Por ltimo en el CAPTULO 4 se trata sobre los Planes de contingencias y soluciones de continuidad. Diividido en los Planes de contingencia y continuidad de negocio, Los Centrosde respaldo,LasCopiasdeseguridadremotasylaValoracinyanlisisdeimpactoenelnegocio. 4

TABLADECONTENIDOS

Dedicatoria. Agradecimiento. Resumen. TabladeContenidos. Introduccin. FundamentosdelaSeguridaddelaInformacin. 1.1 DefinicindeSeguridaddeinformacin. 1.2 ElementosdelaSeguridaddelaInformacin. Captulo2:Mtodosparadesarrollarunapolticadeseguridad. 2.1 Laspolticas. 2.2 Lasnormas. 2.3 Losprocedimientoseinstruccionesdetrabajo. Captulo3:Anlisisygestinderiesgosdeseguridad. 3.1 Seguridadfsica. 3.2 Seguridaddelaredcorporativa. Captulo4:Planesdecontingenciasysolucionesdecontinuidad. 4.1 Planesdecontingenciaycontinuidaddenegocio. 4.2 Centrosderespaldo. 4.3 Copiasdeseguridadremotas. 4.4. Valoracinyanlisisdeimpactoenelnegocio. Conclusiones. ReferenciasBibliogrficas.

2 3 4 5 6 7 7 7 9 9 10 10 11 11 13 18 18 18 18 19 20 21

Introduccin
La seguridades una utopa. No sabemos cuandova a fallar un equipoounsistema. Creemos que no existe unsistema 100%seguropero ellosiempreestabasadoenlafaltadeinterspara operar correctamente los equipos y las capacidades del personal para prever errores en el diseodenegociodesdelaperspectivadelosresponsablesdesistemas. El objetivo es sencillo: que todo propietario o gerente de empresa,ascomo todojefederea, (especialmente el rea de sistemas) debe conocer y establecer que el xitodesugestinest basado en la mejora de los recursos, tanto humanos como informticos, pero esto debe ser gestionado bajo los niveles adecuados de seguridad. En este aspecto, es ms fcil reconocer que es inaceptable la falla o la falta de stos, especialmente cuando los recursos de informacinhansidoperdidosoyanoestarndisponiblesparaeltrabajodiario. Entonces, conelfindecontrarrestarlosriesgosdeseguridaddelainformacinlosempresarios deben involucrarsecon el rea tcnica y profesional enestablecer los Sistemas de Gestinde Seguridad de la Informacin, que son un conjunto de polticas de administracin de la informacin. La norma1 que permite certificar los SGSI es la ISO/IEC 27001, un estndar internacional que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar,mantenerymejorarunSistemadeGestindelaSeguridaddelaInformacin.

ISO27000.esElportaldeISO27001enespaol.GestindeSeguridaddela Informacin.http://www.iso27000.es/iso27000.html.(Accesoenero21,2013)

FundamentosdelaSeguridaddelaInformacin
1.1 DefinicindeSeguridaddeinformacin
Las buenas prcticas de gestin en Seguridad de informacin protegen a sta contra una amplia gama de amenazas, tanto de orden fortuito (destruccin parcial o total: corte de energa, incendio) o tambin de orden deliberado (como fraude, espionaje o sabotaje) Del anlisis efectuado se desprendedoselementos principales2 quesedebenevaluar : Vulnerabilidad el cual es una debilidad. Son aspectos que influyen negativamente enunactivoyqueposibilitalamaterializacindeunaamenaza. Una amenaza que es unaviolacionpotencialdelaseguridad.Noesnecesarioquela violacion ocurra para que la amenaza explote una vulnerabilidades. Tambien se podria considerar un evento que puede desencadenar un incidente en la organizacin,produciendodaosmateriales

Adicionalmentetambinsedebeanalizarotroselementosquecreandificultadescomo: Las transformaciones administrativas, concretamente la mayor complejidad e interconexin de los rganos administrativos, juntoconunaampliacinconstantede susmbitosdeactuacin. La disminucin de los mecanismos de control documental que incrementaron los problemas derivados del uso de tecnologas que favorecen la multiplicacin injustificadadedocumentos.

1.2

ElementosdelaSeguridaddelaInformacin
La prueba de un sistema para definirlo como seguro debe tener tres caractersticas o debeaplicarlostresprincipiosdelaseguridaddelainformacin3 loscualesson: 1. Integridad: Donde los activoso lainformacin solo puedenser modificadosporlas

"TersekR.Yanesy.SistemadeGestindeSeguridaddelaInformacinparaunSistemade Informacin.http://bibcyt.ucla.edu.ve/Edocs_bciucla/Repositorio/TGM_T58.5.B3_T47_2008.pdf.(Accedido febrero26,2013) 3 UnilibreCali."Polticasdeseguridad informtica".http://www.unilibrecali.edu.co/entramado/images/stories/pdf_articulos/volumen2/Politicas_de_s eguridad_informtica.pdf.(Accedidofebrero26,2013)

personas autorizadas y de forma autorizada la cual nos permite garantizar que la informacinnohasidoalteradainapropiadamente,portanto,esntegra. 2. Confidencialidad: la informacin olos activos informticos son accedidossolo por las personas autorizadasparahacerlo.Tienecomopropsitoelasegurarqueslola personacorrectaaccedaalainformacinquequeremosdistribuir. 3. Disponibilidad: los activos informticos son accedidos por las personas autorizadasenelmomentorequerido.

CAPTULO2:Mtodosparadesarrollarunapolticadeseguridad
Desde la arquitectura de los sistemas de informacin se puede cuantificar fcilmente los riesgos. Este modelo puedecubriraspectosgerenciales,operacionalesopuramentetcnicosy puede ser diseado para evaluar el riesgo de seguridad asociado con diferentes arquitecturas de red, o para evaluar el impacto en las diferentes polticas diseadas para la seguridad organizacional La idea es considerar una metodologa desarrollada para el desarrollo, implantacin y mantenimiento de un sistema de gestin de seguridad, adaptada a lasnecesidades yrecursos delosquedisponenlasorganizaciones. Lamejormaneradeasegurarestoesconsiderarlossiguienteselementos

2.1

Laspolticas
Son requisitos generalizados que deben ser escritos en papel y comunicadosaciertos gruposdepersonasdentroyfueradelaorganizacin. Las polticas de seguridad son una declaracin de loquesepuedeonose puedehacer dentrodelaempresa,porellosedebecontemplar,sinlimitarse: Elnombredeldueodelapolticayqueeselresponsabledequesecumpla. Elgrupodepersonasquedebenacatarla. Enunciarlapoltica,tenerunprocedimientoclaroyunobjetivo. Debe tener sanciones por el incumplimiento de las polticas, lo que le dar ms validez.

Es importante considerar que para la elaboracin de una poltica de seguridad institucionalsedebe: 1. Integrar el comit de seguridad responsable de definir la poltica (equipo multidisciplinario) 2. Elaborar el documento final (preocupaciones de la administracin, atribucin de las responsabilidades de las personas involucradas, legislacin y clusulas contractuales, prevencin contraamenazas,educacinyformacinenseguridadde lainformacin). 9

3. Hacer oficial lapoltica una vez que se tenga definida (aprobacinporpartedela administracin, mecanismos de comunicacin efectiva a socios, empleados, proveedoresyclientesdelaempresa).

2.2

Lasnormas
Sonunconjuntodereglasgenerales yespecficasdelaseguridaddelainformacin que deben ser usadas por todos los segmentos involucrados en todos los procesos de negociodelainstitucin.

2.3

Losprocedimientoseinstruccionesdetrabajo
Son un conjunto de orientaciones para realizar las actividades operativas, que representa las relaciones interpersonales e nter departamentales y sus respectivas etapas de trabajo para su implementacin y mantenimiento de la seguridad de la informacin.

10

CAPTULO3:Anlisisygestinderiesgosdeseguridad4
Para implementar una buena arquitectura de seguridad en las organizaciones se debe pasar por la identificacin y el anlisis de riesgos, para conocer las necesidades y poder realizar un diseo de seguridad adecuado, cubriendo los requerimientos de seguridad y dejandoa unlado las inversiones innecesarias que incrementan los costos de la seguridad.Sedebeinvertirenlo realmente sea necesario, se elegirnlasherramientasadecuadasparaofrecerlesalosclientes eficientementey con mayor calidad losserviciosyadquiriendounnivelaceptabledeprevencin delosriesgos. Hoy en da con la integracin e interconexin de infraestructuras, las organizaciones deben implementar mtodos y tcnicas que permitan mejorar esos controles de seguridad. Actualmenteexistencontrolestecnolgicosbasadosensoftwareoenhardware,comofirewalls, sistemas para deteccin y prevencin de intrusos, sistemas de controlde acceso, entreotros. Estos controles se deben integrar con las plataformas existentes enlaorganizacinyhacerun plan de divulgacin a las dems reas, de tal forma que toda la organizacin participe activamente para generaruna cultura que permita cubrir los diferentesfrentesdeinseguridado vulnerabilidadesquesepuedatener. Respecto de ello las organizaciones pueden definir mbitos bsicos o esenciales en donde empezaraimplementarpolticasdeseguridadentrelosmscomunesencontramos:

3.1

Seguridadfsica:
Elaccesofsico,estructuradeledificio,centrodedatos. Para la red interna se habladeundiseoenelqueincluyelareddetodoslosusuariosy de servidores, la proteccin delasconexionesderedesexternasydelareddeusuarios y el flujo de datos que salen y entran. Es importante tener claridad en que no se debe establecer una conexin directa con las redes externas, pues ello genera vulnerabilidad en la infraestructura. Una arquitectura de seguridad bsica y sencilla en una organizacinestconformadaporunfirewall,unenrutadoromodemylaredinterna. El diseo de seguridad debe puntualizar la seguridad de la red interna, donde se realizar elanlisisdelospuntoscrticosaproteger,y que cubrelagranjadeservidores, contodoslosaplicativosybasesdedatosdelaempresa,aligualquelareddeusuarios.

TersekR.Yanesy.Sistema de Gestin de Seguridad de la Informacin para un Sistema deInformacin. http://bibcyt.ucla.edu.ve/Edocs_bciucla/Repositorio/TGM_T58.5.B3_T47_2008.pdf.(Accedidofebrero26, 2013)

11

A continuacin se listan algunos de los puntos clavesquesedebenteneren cuenta ala hora de implementar una red interna ydeestaformanocomprometerlaseguridaddela organizacin: Los elementos y dispositivos de seguridad son esenciales yse deben tener en cuenta entodared: Firewall. Es un enrutador programado que se ubica entre redes y que reenva, direcciona y filtra flujo de datos que pasan de una red a otra, mediante reglas como direccionamiento,protocolosypuertos,entreotras. Evita que los usuarios accedan a unhostoaserviciosespecficosyayudaaprotegerla red de ataquescomodenegacindeservicios..Paralaseguridadinternaserecomienda montar un firewall en el permetro de la red, con las reglas necesarias para la comunicacinentrelossegmentos. En el mercado se encuentra gran variedad de ofertas, tanto en software como en hardware. Algunos, como Juniper Networks, BarracudayCiscosonmuyrobustosycon capacidad para mltiples configuraciones tanto bsicas como avanzadas. Tambin existe el IPTABLES, que es gratuito y que permite diversas configuraciones. Para un trfico moderado, es decir, para pequeas y medianas empresas, ste es un firewall recomendado es una herramienta software que se puedeinstalarenuncomputadoren lared. Router. Es el punto donde seconectandosoms redesy seusabsicamenteparala conexin a internet, pero tambin puede ser utilizado para separaciones de trficos internos en organizaciones muy grandes. En una pequea o mediana empresa se recomienda la implementacin y configuracin de un enrutador para la conexin con el proveedor o proveedores de internet y para el control del trficointernosepuedeutilizar un firewall. Tambinsepuedehacerpormediodeswitches,sisoportanVLANylistasde controldeacceso. Red Inalmbrica. Si se posee un servicio inalmbrico, es importante tener en cuenta que en estasredes se conectanmuchosdispositivos,comoequiposmviles, porttiles y equipos de invitados, por esto se recomienda tener al menos dos redes inalmbrica, con el objetivode separar la red de empleados,consussegmentacionesrespectivas,y la red de invitados. Esta ltima se debe configurar slo con permiso de navegacin y restringiendo tambin el perfil en el proxy. Adicionalmente se debe restringirel restode servicios que se ofrece en la red de la organizacin. En la segmentacin tambin se recomienda utilizar listas decontrolde acceso, para incrementar laseguridadenlared. Ambasredesdebentenercontraseas,lascualesdebenserdiferentes. Todaslasredesinalmbricasdebentenerconfiguradouncifrado,conelfindegarantizar 12

la seguridad en las conexiones. En las redes inalmbricas internas se recomienda el WPA2 con AES para la autenticacin de los usuarios y que estnconfigurados en un servidor RADIUS para los usuarios externoso invitados se puede implementar WPA o WEP. Red cableada. En esta infraestructura se recomienda restringir los puertos de los dispositivos de red a un nmero finito de conexiones de equipos normalmente a un puerto slo se conecta un equipo. Si existen reas en la organizacin en las que se necesite una configuracin diferente, se hace un estudio para implementar un nmero finito que pueda soportar las necesidades y que cumpla con la seguridad. Se recomienda utilizar swhitches que soporten listas de control de acceso yVLAN para la segmentacin de la red, de acuerdo con los perfiles y permisosde los usuarios. En lo que tiene que ver conla administracin y el monitoreo se recomienda hacerrevisiones del consumo dela navegacin y de los segmentosdelared,paraevaluaruncambiono esperado y para detectarposiblesataquesexternosoaccionesindebidasrealizadospor usuariosinternos.

3.2

Seguridaddelaredcorporativa:
Configuracin de los sistemas operativos, acceso lgico y remoto, autenticacin, Internet,disciplinaoperativa,gestindecambios,desarrollodeaplicaciones. Con el fin de evitar posibles fallas de seguridad, se debe implementar una solucinque garanticelaproteccindelaredexterna. El diseo de seguridad para la red externa debe garantizar la disponibilidad sin vulnerabilidad y es necesario tener en cuenta los diferentes factores que se listan a continuacinparasuproteccin: OfrecerunaconexindirectaalosserviciosprestadosenInternet. De cara al cliente debehaberunavisualizacindelosservicios,peronoelaplicativo oelservidordirectamente,esdecir,debenpasarporunproxyreverso. Slodebeestardisponiblelospuertosconlosserviciosofrecidos. La administracin estar restringida y slo los administradores tienen acceso a la mismaysedeberealizardesdesitiossegurosoatravsdeunaVPN.

Sistemas de monitoreo. Sonherramientas para visualizar logs y eventos que,cuando se implementan con una herramienta de correlacin de eventos, proporcionan 13

informacin clave para la identificacin de incidentes de seguridad. El costo para sostener unaherramientadestasesalto,debidoaquesumantenimientoquedepende dedasdemonitoreo. Dependiendo del objetivo de la empresa y del riesgo estudiado, se debe evaluar si es necesario implementar un sistema de monitoreo o no. Si no es muy crtico se recomienda, al menos, tener un registro de esta informacin para hacer una revisin peridica y hacerleajustes al sistema.Tambin se debe configurar elregistrodelogsy el envo de alertas en los dispositivos de red, con el fin de poder reaccionar a tiempo anteunataqueoeventoinesperado. Proxy. Es una herramienta que direcciona los requerimientos de los usuarios hacia internet, de tal forma que permite hacer controles enlanavegacin[9].Estoayudaenla seguridad al navegar en sitios no deseados, a evitar riesgos para la compaa y, adems, se puede asignar puertos para la navegacin y otros servicios a travs de internet. Existe gran variedad de proxy basados tanto en software como en hardware algunos tienen licenciamiento pornmero de usuario, ancho de banda o equipos y otros que no tienen ningncosto,comoelSquid,queesunaherramientaverstilyrobustaqueposee gran nmero de funcionalidades como cach, filtrado de contenido, estadsticas de navegacin,definicin de perfiles para usuarios o grupos de usuarios, perfiles de subredes,administracindeanchodebanda,entreotras. Controlador de dominio. Este sistema permite controlarydefinirperfiles,permisosde acceso a los usuarios y autenticacin de dispositivos de la empresa dependiendo del cargo o responsabilidades del empleado y de esta formagarantiza la seguridad de los sistemas. Gracias a esta herramienta sepuedenadministrarlosperfilesdelosusuarios y controlar todos los accesos a aplicativos, archivos, almacenamiento, entre otros elementosdelaempresa.Deacuerdoconlospermisosse puedeevitarlainstalacinde software no deseado, la realizacin de diferentes configuraciones de los equipos, entre muchasotrasfuncionalidadesqueayudanaprotegerlared. VPN o Red privada virtual. Es unaredlgicayseguraquese establecesobreunared existente. Su funcionalidad permite, solamente cuando es necesario, establecer conexiones remotas seguras hacia la red interna. Existen muchas herramientasparala configuracin de una VPN, tanto en software comoenhardware,igualquelicenciadaso gratuitas.

Seguridad de usuarios: composicin de claves, seguridad en estaciones de trabajo,formacinycreacindeconciencia. 14

Actualmente, lasorganizacionesdebendestinarunapartedesupresupuestoparael sostenimiento de varios operarios que realicen la administracin de lascuentas de usuario y las actividades realizadas pormediode lamesade ayuda, paralagestin de usuarios y aplicaciones que ayuden a cumplir con las regulaciones. Con la disminucin en la carga de tareas asignadas a la mesa de ayuda y con la implementacin de una infraestructura robusta y confiable que ayude a cumplir con las regulaciones y simplifique la gestin de usuarios, roles y control de acceso se logra una reduccin significativa de los costos asociados con dichas tareas, o se podra destinar elconocimiento de las personas al mejoramiento yevolucin de los sistemas.

Seguridad de datos: criptografa, clasificacin, privilegios, copias de seguridad y recuperacin,antivirus,plandecontingencia. Un privilegio mal asignado o la incapacidad de retirar el permiso en el momento adecuado conllevan a accesos no autorizados a la informacin y los recursos protegidos ocasionando incidentes en donde se comprometa la confidencialidad e integridad de la informacin y los recursos. Lo que se busca es unasolucin que permita la asignacin efectiva de permisos, dependiendo de las funciones que desempeacadausuariodentrodelaorganizacin. Antivirus. Es un elemento fundamental en las organizaciones.Es una herramienta para la que no se debe limitar o restringir la inversin, pues no tenerla puede traer costos muy altos como prdida de informacin, suspensin de servicios de produccin, entre otros. Se recomienda tener instalado el antivirus en cada uno de los equipos de la red y no olvidar que ciertos dispositivos mviles tambin lo necesitan.

Auditora de seguridad: anlisis de riesgo, revisiones peridicas, visitas tcnicas, monitoreoyauditora. Al evaluar el costo por la prdida de la informacinyel tiempo deindisponibilidadde los servicios, entre otras medidas, se puede obtener un mapa de riesgos para compararlo con los incidentes generados en el ao inmediatamente despus de estar protegidos yparasustentarlasinversioneshechasy lasfuturas.Alconsiderar este procedimientose puede ver claramente el retorno de la inversin y porlotanto elcostobeneficio El principal objetivo dela evaluacin de riesgos es garantizarla supervivencia de la organizacin, minimizando las prdidas de informacin y, sobre todo, garantizando el riesgo mnimo en cada elemento de red o software que se emplee para su 15

proteccin. Para ello se debe hacer el anlisis de riesgos para identificar las vulnerabilidadesdelsistema,enquriesgosseestaincurriendoycmomitigarlos. Las empresas han venido utilizando un modelo reactivoalmomentodepresentarse un incidente que afectesu estabilidad tecnolgica, lo cualgenerareprocesosyque estos incidentes,al no ser medidos, alcancen un alto impacto en la continuidad del negocio. Uno de los problemas es que no manejan una base de datos de conocimiento que permita reconocer patrones de errores, lo que puede generar alertas tempranas para identificar oportunamente los incidentes de seguridad y que permitancrear indicadoresdeseguimientoensuresolucin.Muchasdelasprdidas financieras en las organizaciones se deben a la falta de un adecuado control e implementacindepolticasdeseguridad. Es importante recordar, como se hadescrito, quetodaslasherramientasodiseos son beneficiosos, siempre y cuando se haga una correcta evaluacin de las diferentes herramientas ofrecidas en el mercado, antes de seleccionar la ms adecuada para lograrmitigarlosriesgosorganizacionales. Lasherramientasdebajo costo no siempre logran economizar, al igual que no siempre las de mayor costo son las de mejorfuncionamiento. Puede ocurrirquelas primerasnotenganunbuen funcionamiento y se deba invertir nuevamente en otras, o que las segundas no cumplan las expectativas para las que fueron adquiridas. Por eso se debe tener claro elriesgoparaelqueseadquierenysiconellasse llegaaunnivelaceptablede proteccinparalaorganizacin. Hay que recordar tambin que si se va a proteger informacin que genera una utilidad determinada al ao, toda la organizacin necesita un equilibrio entre lo financiero y lo tecnolgico y que si, por ejemplo, lo que se piensa utilizar para proteger ese activo cuesta ms que la utilidad, no es viable invertir en esa herramienta, por esto es de gran importancia saber qu se va a proteger y los nivelesaceptablespararealizarlainversin. Para decidir si una herramienta o elemento de seguridad es necesario en una organizacin se requiere un buen anlisis del riesgo. Ahora bien,si se analizan los virus informticos en los equipos de la organizacin se puede observar que la probabilidad de ocurrencia es alta y que su impacto se evala por el tiempo que se perdi reparando el equipo, o por la informacin perdida debido a un dao en el mismo.Sise habladeunvirusquesepropagportodalaempresa,elimpactosera desastroso porlotantoloscontrolesenestecasoseraunbuenantiviruscomercial, que garantice el control y unaspolticasclarasdemanejodearchivos,yaseadesde internet odesdeunidadesdealmacenamientoremovibles.Tambinhayqueanalizar lo contrario, es decir, siparaun riesgo bajo con una probabilidad baja y un impacto casinulo,esnecesarioinvertirmuchotiempoyrecursosensuproteccin. 16

Aspectos legales: prcticas personales, contratosyacuerdoscomerciales,leyesy reglamentacingubernamental. Finalmente, la organizacin se puede ver expuesta a multas, fraudes e ineficiencia en procesos de negociocomoresultadodela incapacidadparaenfrentardemanera adecuada los retos presentados anteriormente y que estn relacionados con el incumplimiento de las normas y regulaciones, incidentes de seguridad generados porfaltadeauditoraydecontrolesquegaranticenaccesoadecuadoalosrecursos.

17

CAPTULO4:Planesdecontingenciasysolucionesdecontinuidad.
Las organizaciones actuales, con el nimo de crear oportunidades de negocio y ventajas competitivas que les ayuden a obtener el mejor beneficio en los mercados globalizados, desarrollan estrategiasde negocio orientadasaInternet,enlaqueelaccesoalainformacinse lograatravsdesitiospblicos,deextranetodeintranets. Adicionalmente, los usuarios de los servicios ya no solamente son empleados, sino tambin socios de negocio, tercerosyclientes.Deestosedesprendeunaseriederetosqueafectanlas estrategias que desarrolla la organizacin y la forma comopuedegenerarsolucioneseficientes ycompetitivas. Existendiferentessolucionesdecontinuidad5 yplanesdetodoslostipos.Estosyanoestn reservadassloalasgrandesempresas.Lasolucin,paseloquepaseenlaempresa,un incendio,inundacin,etc.,debeevitarquelaempresapierdasuinformacinoladisponibilidad deella.

4.1

Planesdecontingenciaycontinuidaddenegocio
(elaboracin, implantacin, revisin y prueba). Son servicios para el diseo e implantacin de medidas y planes relacionados con la respuesta ante incidentes y desastres que afecten ala informacin de las empresas yasussoportestecnolgicos. Permiten restablecer la continuidad del negocio. Tambin se incluyen en esta subcategora servicios destinados a probar y verificar los planes, las polticas, los servicios y las infraestructuras establecidos o implantados para dotar a las organizacionesdemecanismosdecontingenciaycontinuidaddenegocio.

4.2

Centrosderespaldo
(Diseo, instalacin, mantenimiento). Son servicios orientados al diseo y puesta en marcha de instalaciones de respaldo o de rplica que permiten a las organizaciones disponer de infraestructuras secundarias ante la prdida de las infraestructuras principales.Seofrecentambinserviciosglobalesquepermitencontarconinstalaciones que pueden sustituir a las propias instalaciones cuando losincidentes graves daen e inutilicenlasinfraestructurasdelaorganizacin.

4.3
5

Copiasdeseguridadremotas.

Huguet,M.C.Elsistemainformticodentrodelaorganizacin.UniversitatObertadeCatalunya(2000). http://www.hacienda.go.cr/centro/datos/Articulo/EllSistemainformticodentroorganizacin.pdf.

18

Son servicios que permiten que una organizacin gestione y realice, de forma automatizada, copias que se almacenen fuera de su organizacin de la informacin necesaria para el negocio y de los sistemas de informacin que la manejan.tambin permiten la restauracin de la copia en caso de que sea necesario (destruccin accidentalointencionadadedatos).

4.4.

Valoracinyanlisisdeimpactoenelnegocio
En caso de emergencia, desastres o incidentes de seguridad (BIA: del ingls Business Impact Analysis / Assessment). Sonservicios destinados a la realizacin deanlisisde impactoanteincidentesdeseguridadquepuedanafectaralnegocio. En este aspecto para la implantacin y puesta en marcha del modelo de seguridad propuesta sedeben identificar y analizar los riesgos, definir las polticas de seguridad y disear la arquitectura de red.La siguiente lista enumera los pasos que se recomienda seguirparalaimplementacindeunainfraestructurasegura: Identificaryanalizarlosriesgos. Listarlosactivos. Listartodaslasamenazasdelaempresa. Cruzarlosactivosconlasamenazas. Generartablasdeprobabilidadylafrecuenciaconlaquesevaamedir. Generar tablas de impacto: financiero, operacional, informacin (disponibilidad, confiabilidad,integridad),imagendelaorganizacin,enelmercadooclientes. Calcular el riesgo como la probabilidad de ocurrencia contra el impacto de que ocurra. Evaluarlaaceptabilidadylainaceptabilidad. Generarloscontroles. Definirpolticasdeseguridad. Disearlared. Anlisisderequisitos. Arquitecturadelared. Diseodeseguridad. Aprovisionamientoeinstalacindeloselementosdeseguridadydelared. Monitoreoycontroldeincidentes

19

Conclusiones
Aunque los nivelesde SeguridadInformticamuchasvecesdependedeltamaodelaempresa y los cuadros gerenciales, esta responsabilidad delegada al rea tcnica no es suficiente, sino ms bien que es la visin que tengan los directivos o socios respecto de este tema lo determinanteparacontar conunesquemaeficazquemantengalosnegociosoperativosquese basanentecnologasdeinformacin. Existen diferentes soluciones de continuidad y planes de todos los tipos. Estos ya no estn reservadas slo a las grandes empresas. La solucin, pase lo que pase en la empresa, un incendio, inundacin, etc., debe evitar que la empresa pierda su informacin o la disponibilidad delosequiposenoperacindentrodeella. Los empleados o personas vinculadas con la organizacin empresarial deben contar con polticas que deben ser claras, concisas, enfocadas a las forma de hacer negocios de la empresa. En realidad, debe hacerse un granesfuerzoen fortalecersuplataformatecnolgicaeinvertiren programas de seguridad. Es responsabilidaddelosgerentes delasempresasliderarestos proyectos que permitan entrara una economa soportadaenunmundodigital.Laideaesevitar creer que podemos permanecer en el mercado sin establecer planes oprogramas en el logro delaseguridadinformtica.

20

ReferenciasBibliogrficas

Abril,A.F.ModelodeArquitecturadeSeguridaddelaInformacin(MASI)(2011). http://www.eslared.net/walcs/walc2011/material/track6/Aspectos%20Estrat%E9gicos %20de%20la%20Seguridad%20de%20la%20Informaci%F3n.pdf. Bertoln,J.A.SEGURIDADDELAINFORMACIONREDES,INFORMATICAY: SISTEMASDEINFORMACION.EditorialParaninfo,2008. http://books.google.com/books?hl=es&lr=&id=_z2GcBD3deYC&oi=fnd&pg=PP1&dq =seguridad+informatica+corporativa&ots=wqmqwDE0Vn&sig=srqUTgbz5MMpMBgr SgFtUhoCpOc. Caizares,Ricardo.ElmodelodemadurezdeSeguridadCorporativa.Red seguridad:revistaespecializadaenseguridadinformtica,proteccindedatosy comunicacionesn.o51(2011):6061. CarlosManuelFernndezSnchezyMarioPiattiniVelthuis.Modeloparael gobiernodelasTICbasadoenlasnormasISO,s.f. http://www.compromisorse.com/upload/noticias/008/8829/libro.PDF. Carrasco,M.B.SeguridadCorporativaenRedesSociales.Accedidoenero15, 2013.http://www.miquelblanch.com/Docs/TFM.pdf. CiroAntonioDussanClavijo.Politicas_de_seguridad_informtica.pdf.Accedido enero27,2013. http://www.unilibrecali.edu.co/entramado/images/stories/pdf_articulos/volumen2/Politi cas_de_seguridad_informtica.pdf. Daltabuit,E.SeguridadInformticadelasempresasmodernas.Accedidoenero 15,2013.http://correo.acis.org.co/fileadmin/Revista_105/dos.pdf. EstradaParra,Yamila,YamilaEstradaParra,WilsonAlbaCal,yAneytyMartn Garca.FundamentosparaimplementarycertificarunSistemadeGestindela SeguridadInformticabajolaNormaISO/IEC27001.SerieCientfica5,n.o10 (septiembre21,2012).http://publicaciones.uci.cu/index.php/SC/article/view/942. .FundamentosparaimplementarycertificarunSistemadeGestindela SeguridadInformticabajolaNormaISO/IEC27001.SerieCientfica5,n.o10 (septiembre21,2012).http://publicaciones.uci.cu/index.php/SC/article/view/942. Fisher,R.P.Seguridadenlossistemasinformticos.EdicionesDazdeSantos, 1988. http://books.google.com/books?hl=es&lr=&id=_Hu6Zu6VLP4C&oi=fnd&pg=PR7&dq =seguridad+informatica+corporativa&ots=zPmMN4Iba&sig=EyZ7E3TKJkjQJQJNt8 UBkfHtCCA. .Seguridadenlossistemasinformticos.EdicionesDazdeSantos,1988.
21

http://books.google.com/books?hl=es&lr=&id=_Hu6Zu6VLP4C&oi=fnd&pg=PR7&dq =seguridad+informatica+corporativa&ots=zPmMN4Iba&sig=EyZ7E3TKJkjQJQJNt8 UBkfHtCCA. Garcaa,E.M.G.,yJ.dePedroCarracedob.Comercioelectrnico.Uncaso prcticodeGobiernodelasTIC.Accedidoenero15,2013. http://redusoi.org/docs/publicaciones/Comercio%20electronico_UncasopracticoGobi ernoTIC_JavierdePedroCarraced.pdf. Martn,MaraTeresaSandoval.AlgunascuestionessobreelusodeInternetparalos prximosaos.RevistaLatinadecomunicacinsocialn.o31(2000):11. Molina,S.A.P.UNAPERSPECTIVAGERENCIALDELASTECNOLOGASDE INFORMACINASOCIADASALASEGURIDADINFORMATICA.Accedidoenero 15,2013. http://www.konradlorenz.edu.co/images/stories/suma_administrativa/200611/perspec tiva.pdf. Mora,Rodrguez,yKattiaMarisela.Seguridadderedesusandoredesprivadas virtuales.(2010).http://repo.uta.edu.ec:8080/xmlui/handle/123456789/28. Rodrigo,IvnRodrigo.NAC:estrategiaparacompletareintegrarlaseguridad corporativa.Datamation:larevistaespaoladetecnologadelaInformacinpara empresan.o250(2008):34. Snchez,L.E.,D.Villafranca,E.FernndezMedina,yM.Piattini.MGSMPYME: MetodologaparalagestindelaseguridadysumadurezenlasPYMES.Accedido enero15,2013. http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSIDia2Sesion3(3).pdf . Stallings,W.Fundamentosdeseguridadenredes:aplicacionesyestndares. PearsonEducacin,2003. http://books.google.es/books?hl=es&lr=&id=cjsHVSwbHwoC&oi=fnd&pg=PR9&dq=I NFORMATICA+CORPORATIVA++Fundamentos+%22Seguridad+de+la+Informaci %C3%B3n%22&ots=ZmAP31H7QG&sig=DZFZuBe4RayvqbO5aryK9XAiPw4. Temticas,.No.124Noviembredel2008SeguridadlgicaySeguridadFsica: Dosmundosconvergentes(s.f.). TersekR.Yanesy.SISTEMADEGESTINDESEGURIDADDELA INFORMACINPARAUNSISTEMADEINFORMACIN(Casodeestudio: SistemaAdministrativoIntegradoSAIenlaReddedatosdelaUNEXPOPuerto Ordaz).Accedidofebrero26,2013. http://bibcyt.ucla.edu.ve/Edocs_bciucla/Repositorio/TGM_T58.5.B3_T47_2008.pdf. Thevenet,M.Auditoradelaculturaempresarial.EdicionesDazdeSantos,1992. http://books.google.com/books?hl=es&lr=&id=ri4JjI6NaVsC&oi=fnd&pg=PR9&dq=L a+cultura+corporativa+para+seguridad+de+los+datos&ots=yRwEfrEwPa&sig=YIioK
22

kfRise1Ons_ZGzvgCzSNQ. Ugas,Luis.Seguridadenorganizacionescontecnologasdeinformacin. Tlmatique:RevistaElectrnicadeEstudiosTelemticos1,n.o1(2002):19. FundamentosSeguridadInformaticaClase1.Accedidoenero20,2013. http://www.slideshare.net/macastroj/fundamentosseguridadinformaticaclase1. index.ppt.Accedidoenero27,2013. http://www.econ.unicen.edu.ar/monitorit/index.php?option=com_docman&task=doc_ download&gid=213&Itemid=19. Politicas_de_seguridad_informtica.pdf.Accedidoenero27,2013. http://www.unilibrecali.edu.co/entramado/images/stories/pdf_articulos/volumen2/Politi cas_de_seguridad_informtica.pdf. seguridaddeinformacinamenazas,tantodeordenfortuito(destruccinparcialo total:cortedeenerga,incendio)otambindeordendeliberadoBuscarcon Google.Accedidoenero27,2013.zotero://attachment/62/. SeguridadInformatica,viaMeeting.cl.Accedidoenero20,2013. http://www.slideshare.net/crsepulv/seguridadinformaticaviameetingcl.

23