Académique Documents
Professionnel Documents
Culture Documents
PROYECTO DE GRADO
PARA OPTAR AL TTULO DE ESPECIALISTA EN SEGURIDAD INFORMTICA
Nota de Aceptacin:
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
______________________________________
_____________________________________
CONTENIDO
INTRODUCCIN
1.
1.2.
2.
3.
OBJETIVOS
3.1.
OBJETIVO GENERAL
3.2.
OBJETIVOS ESPECFICOS
4.
CONDICIN INICIAL
10
5.
CONDICIN FINAL
11
6.
12
7.
MARCO DE REFERENCIA
13
7.1.
MARCO CONTEXTUAL
13
7.2.
MARCO TERICO
15
8.
Nist.
20
7.4.
MARCO CONCEPTUAL
24
7.5.
MARCO LEGAL
27
METODOLOGA DE INVESTIGACIN
8.1.
30
30
8.3.
9.
TIPO DE INVESTIGACIN
DISEO METODOLGICO
30
31
9.1.
31
9.2.
UNIVERSO Y MUESTRA
33
9.3.
METODOLOGA DE DESARROLLO
33
9.4.
PRODUCTO A ENTREGAR
34
10.
35
10.1.
RECURSO HUMANO
35
10.2.
RECURSOS MATERIALES:
35
11.
PRESUPUESTO
11.1.
12.
CRONOGRAMA DE ACTIVIDADES
36
36
38
12.1.
IDENTIFICACIN DE ACTIVOS.
38
12.2.
39
12.3.
VALORACIN DE ACTIVOS
39
13.
DIAGNSTICO
43
14.
DIVULGACIN
44
15.
REFERENCIAS BIBLIOGRFICAS
45
ENLACES WEB
47
ANEXOS
48
48
49
LISTA DE TABLAS
Tabla 1. Comparativo entre Magerit y Nist 800-30..................................................22
Tabla 2. Valoracin de activos.................................................................................31
Tabla 3. Presupuesto...............................................................................................36
Tabla 4. Cronograma de actividades.......................................................................37
Tabla 5. Activos informticos USOMET Ltda...........................................................38
Tabla 6. Personal de la empresa USOMET Ltda....................................................39
Tabla 7. Matriz Evaluacin de Riesgos....................................................................39
Tabla 8. Niveles de valoracin de activos informticos...........................................40
Tabla 9. Valoracin de activos.................................................................................40
LISTA DE ILUSTRACIONES
INTRODUCCIN
La seguridad en las tecnologas de la informacin y comunicaciones (TICs), se
hace tan indispensable como su funcionalidad misma. Preservar la disponibilidad,
integridad y confidencialidad, de sus datos y operaciones, es un reto que se hace
cada da ms complejo, por su misma evolucin y los riesgos que cada da se
vuelven ms sofisticados, al estar cada vez los usuarios mejor conectados y
menos controlados.
Metodologa de Deming
Este mtodo se usa como enfoque para la mejora continua ya que es cclico y se
puede aplicar a cualquier tipo de proceso, cada fase es consecutiva con la
anterior, se puede decir que es una forma de estandarizar la forma en que se
llevan a cabo los procesos y por este motivo es una herramienta gerencial que
facilita la correcta gestin de los sistemas permitiendo conseguir una nica forma
de operar y la consecucin del manejo integral de los sistemas.
Con el sistema de gestin de seguridad de la informacin, la empresa estar a la
altura de las grandes organizaciones que buscan este tipo de certificaciones, bien
sea para grandes contrataciones con otras empresas o como una normatividad
que estpula que en todos sus procesos existe un protocolo y/o seguimientos de la
informacin y procedimientos que hacen confiable las operaciones internas y
externas de la empresa. El diseo, adems de mejorar los niveles de seguridad,
pretende lograr la certificacin en calidad y en seguridad de la informacin y
permite el manejo adecuado de un sistema gil y confiable.
3. OBJETIVOS
3.1. OBJETIVO GENERAL
Facilitar la administracin de la seguridad informtica y de la informacin mediante
el diseo de un manual de polticas y procedimiento que apoyen el SGSI basado
en la norma ISO/IEC 27001 aumentando la competitividad de la empresa
USOMET LTDA
3.2. OBJETIVOS ESPECFICOS
Diagnosticar las condiciones actuales de la empresa USOMET Ltda, en lo
relacionado en materia de informacin y seguridad informtica, identificando sus
activos informticos, mediante instrumentos de recoleccin de informacin.
Caracterizar los procesos y procedimientos de manejo de informacin en
USOMET con el fin de evaluar e identificar las vulnerabilidades, amenazas y
riesgos, relacionados con los activos informticos.
Definir mecanismos de gestin de seguridad informtico basados en la norma
ISO/IEC 27001 que faciliten la solucin de problemas mediante la aplicacin de
polticas y procedimientos.
Disear el manual de polticas y procedimientos para el sistema de gestin de
seguridad de la informacin.
4. CONDICIN INICIAL
A la fecha USOMET Ltda, no cuenta con un diagnostico que le permita reconocer
su situacin en materia de informacin y seguridad informtica, que identifique sus
activos informticos.
Aunque en USOMET existen procesos y procedimientos de manejo de informacin
no se han evaluado ni identificado sus vulnerabilidades, amenazas y riesgos,
relacionados con los activos informticos.
En USOMET no se cuenta con los mecanismos de gestin de seguridad
informtico que faciliten la solucin de problemas mediante la aplicacin de
polticas y procedimientos.
La empresa USOMET requiere el diseo de un manual de polticas y
procedimientos para el sistema de gestin de seguridad de la informacin.
10
5. CONDICIN FINAL
USOMET Ltda cuenta con:
Un diagnostico que le permite reconocer su situacin en materia de informacin y
seguridad informtica e identifica sus activos informticos.
Una documentacin que identifica los procesos y procedimientos de manejo de
informacin con sus vulnerabilidades, amenazas y riesgos, relacionados con los
activos informticos.
La documentacin que indica cmo establecer los mecanismos de gestin de
seguridad informtico para facilitar la solucin de problemas mediante la aplicacin
de polticas y procedimientos.
Un manual de polticas y procedimientos para el sistema de gestin de seguridad
de la informacin.
11
12
7. MARCO DE REFERENCIA
Para aproximar esta investigacin sobre cmo mejorar la seguridad de los activos
informticos de una empresa mediante los lineamientos de un SGSI, se realiz la
consulta de anteriores trabajos de grado relacionados con el tema a fin de conocer
los avances logrados en ese sentido. Entre los ms importantes se tiene:
13
La empresa Usomet Ltda., inici sus actividades en marzo de 1990, con tres
socios fundadores, las instalaciones se ubicaron en la carrera 5 con calle 40,
inicialmente, se vincul un mdico y un ingeniero industrial, quienes
posteriormente hicieron la especializacin en salud ocupacional.
Respondiendo a los lineamientos estipulados por la Resolucin 01016 de 1989, la
empresa Usomet fue atendiendo las necesidades en materia de salud ocupacional
de las diferentes empresas, quienes iban tomando consciencia de este servicio.
Luego del primer ao, Usomet atenda dos empresas, en actividades centradas en
la seguridad industrial y medicina del trabajo, haciendo nfasis en las estadsticas
de accidentalidad y prctica de exmenes paraclnicos de visiometra,
espirometra y audiometra.
Hacia el ao 1994, Usomet bajo la licencia inicialmente a 5 aos, renovada a 10
aos, prestaba sus servicios a 25 empresas, cuyas actividades se realizaban de
acuerdo con cronogramas de actividades estipulados en documentos que se
disearon para las empresas afiliadas.
En 1993 nace la Ley 100/93 y con ella la necesidad del Decreto 1295/94
reglamentario de esta Ley, el cual ampla informacin y apoyo hacia la salud
ocupacional de las empresas, ya aparecen las administradoras de riesgos
profesionales (A.R.L.s privadas), quienes posteriormente van a dar el apoyo y
acompaamiento en ejecucin de actividades a las empresas de diferente sector A
partir de esta nueva legislacin, Usomet sigue prestando los servicios a las
empresas, de acuerdo con planes de trabajo estructurados entre la empresa
afiliada y la A.R.L.
Actualmente, Usomet tiene una trayectoria de 25 aos, con la experiencia de
prestacin de servicios en el campo de seguridad, higiene ocupacional, medicina
del trabajo y medio ambiente, contribuyendo al bienestar de la poblacin laboral.
Usomet, cuenta con una planta de personal de ocho personas (mdico
especialista en salud ocupacional, ingeniero industrial especialista en salud
ocupacional, Profesionales en salud ocupacional, todos con licencia expedida por
la Secretara de Salud, igualmente tiene personal directivo en gerencia y
subgerencia, personal operativo: secretara, administrativa y financiera,
coordinacin en seguridad y logstica, Higiene Industrial y Medio Ambiente).
Actualmente la empresa Usomet Ltda realiza actividades de acuerdo a la siguiente
con el organigrama indicado en la ilustracin 1.
14
16
LA AUDITORA interna como una herramienta para establecer controles internos eficientes en las
pequeas y medianas empresas ferreteras de la Ciudad de San Miguel, disponible en internet en:
http://168.243.33.153/infolib/tesis/50107386.pdf
9
LOPEZ C, Francisco Jos. (2008). EL SISTEMA INTEGRADO DE GESTION. Bogot. ICONTEC.
10
CERVERA, Joseph. (2001). LA TRANSICIN A LAS NUEVAS ISO 900:2000 Y SU
IMPLEMENTACIN. Daz de Santos editores. 2001
17
All radica cambiar el enfoque sistmico, para este fin existen diferentes
herramientas, las normas ISO presentan un enfoque por procesos en donde se
pueden lograr todos los objetivos organizacionales.
Actualmente, se habla de enfoque por procesos, en donde la orientacin supone
un cambio de actitud y mentalidad importante. En lugar de pensar cmo hacer
mejor lo que hacemos11.
7.2.1. Seguridad de la Informacin. Es un estado que indica un nivel o
determinado grado de confidencialidad por algn motivo, bien sea dao o riesgo
vulnerable a una situacin imprevista materializada bajo una amenaza y que
puede afectar el funcionamiento directo o indirectamente de la informacin o
procesamiento de la misma.
Es una prctica a un nivel mediante ciertos requisitos o protocolos mediante una
seria de normas organizacionales en las que se toman las medidas necesarias de
proyeccin.
Las empresas que adoptan la seguridad de la informacin aseguran que su
contenido no sea vulnerado por ninguna clase de circunstancias o minimizar al
mximo los posibles daos que puedan ocurrir y en la que cada vez se exponen a
riesgos e inseguridades como fraudes, espionajes, sabotajes, vandalismos,
incendio o inundaciones.
La seguridad de la informacin es importante en negocios tanto del sector pblico
como del privado para proteger las infraestructuras crticas. En ambos sectores, la
seguridad de informacin permitir, lograr el gobierno electrnico o el comercio
electrnico, evitando y reduciendo los riesgos relevantes. La interconexin de las
redes pblicas y privadas y el compartir los recursos de informacin aumentan la
dificultad de lograr el control de los accesos 12.
Por lo tanto, es importante que exista seguridad en el activo ms importante de
las empresas por diversas razones:
11
18
Activos
Amenazas
Vulnerabilidad
Riesgos
Salvaguardas
IZQUIERDO D, Fernando. La administracin y los riesgos. [en line]. EN: Maxitana C, Jennifer D.
(Auditor en control de gestin). Tesis: Administracin de riesgos de tecnologa de informacin de
una empresa del sector informtico. Guayaquil Ecuador: Escuela Superior politcnica del Litoral,
2005. P.39. http://www.cib.espol.edu.ec/Digipath/D_Tesis_PDF/D-33960.pdf
14
VILCHES T, Martn. El riesgo [en line]. EN: Machuca C, John. (Magister en Contabilidad y
Auditora). Tesis Gua para la evaluacin del sistema de riesgo operativo en la Cooperativa de
Ahorro y Crdito Jardn Azuayo. Cuenca Ecuador. Universidad de Cuenca, 2011. P.21.
http://dspace.ucuenca.edu.ec/bitstream/123456789/2729/1/tm4487.pdf
19
organizacin para las mejoras de manera continua siendo de beneficio para todos
en la industria.
Para gestionar y establecer un Sistema de Gestin de la Seguridad de la
Informacin con base a ISO 27001, se define el alcance del SGSI en trminos
para la organizacin, su localizacin, activo y tecnologa, incluyendo todos los
detalles a que la empresa debe someterse. Por lo tanto, se define una poltica de
seguridad con:
20
21
NIST SP 80030
Instituto Nacional de Normas Y Tecnologas
OBJETIVOS
Generar
conciencia
a
los
administradores de sistemas sobre la
existencia
de riesgos y la necesidad
de prevenirlos.
Ofrecer una metodologa sistematizada
para analizar los Riesgos.
Ayudar a identificar y planificar las medidas
para tener los riegos bajo control
OBJETIVOS
Asegurar mejor los sistemas informticos que
almacenan, procesan y trasmiten informaci
n.
Permitir y gestionar los Riesgos.
Mejorar la administracin a partir de los
resultados del anlisis de Riesgos
METODOLOGA
Anlisis de Riesgos
Activos
Tipos
Dependencias
Amenazas
Determinacin del riesgo
Salvaguardas
Seleccin de salvaguardas
METODOLOGA
Caracterizacin
Identificacin de las Amenazas
Identificacin Vulnerabilidades
Anlisis de Control
Determinacin de la probabilidad
Anlisis del Impacto
Determinacin del riesgo
Recomendaciones de Control
Resultados Documentacin
ANLISIS DE RIESGOS
Determinar lo que tiene la organizacin y lo
que podra pasar.
Identificar los activos relevantes para la
organizacin.
Determinar las amenazas a las que
estn expuestos.
Determinar impacto, dao sobre el activo
debido a la materializacin de una
amenaza.
CARACTERIZACIN
Se utiliza para caracterizar un Sistema
De TI y Su entorno operativo:
Hardware
Software
Sistema de Interfaces conectividad interna y e
xterna.
Datos e Informacin.
Personas que apoyan y utilizan el sistema
Criticidad de los Datos.
ACTIVOS
Recursos que tienen un valor para la entidad en
funcin al servicio que le presta:
IDENTIFICACIN DE AMENAZAS
Deteccin de Mtodos dirigidos a Explotar un
a vulnerabilidad.
Situacin que accidental o intencionalmente p
uedan
llevar a la materializacin de una amenaza
TIPOS
VULNERABILIDADES
Elaborar lista de Vulnerabilidades (defectos y punt
22
DEPENDENCIAS
Que activos dependen de cules y como:
Informacin Medios de almacenamiento
ANLISIS DE CONTROL
Analiza los controles implementados por la empr
esa para la reduccin de la reduccin de la
(probabilidad), que una amenaza se materialice
sobre el sistema
Deteccin de intrusos.
Control de la ejecucin, acceso, cifrado y
Autenticacin.
AMENAZAS
Determinar la amenaza para cada activo
Factores:
Degradacin: Cuanto perjudicara el Activo
Frecuencia: Cada cuanto se materializa la
Amenaza
DETERMINACIN DE PROBABILIDAD
Obtiene una clasificacin global del riesgo que
indica la probabilidad de que una vulnerabilidad
materialice una amenaza.
Factores:
Amenaza
Naturaleza de la Vulnerabilidad
Existencia y eficacia de los controles actuales
ANLISIS DE IMPACTO
Medicin del nivel de Riesgo para determinar
efectos adversos derivados derivados de la materi
alizacin de una amenaza.
Funcin del sistema (procesos realizados
por el sistema)
Criticidad y sensibilidad de los datos
Servicios crticos
SALVAGUARDAS
Medidas o mecanismos para mitigar
riesgos
Funcin:
Reducir las amenazas
Limitar el dao Causado
los
23
SELECCIN SALVAGUARDAS
Tomar medidas que permitan reducir tanto
el Riesgo como el Impacto.
Tcnicas Efectivas para enfrentar las
Amenazas
RECOMENDACIONES DE CONTROL
Dar a conocer los controles para la reduccin de
los Riesgos en los sistemas de las T.I., teniendo
en cuenta los siguientes factores:
Eficacia de las soluciones implantadas
Legislacin y Regulacin
Impacto operativo
Seguridad y Fiabilidad
DOCUMENTACIN
Una vez terminada la evaluacin de Riesgos y
vulnerabilidades y amenazas Realizar un informe
de los Resultados Obtenidos para posteriores
anlisis.
Fuente: el autor
7.4.
MARCO CONCEPTUAL
24
16
25
tpicamente
originados
por
errores
humanos
por
17
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_3_anlisis_de_riesgos.html
26
7.5.
MARCO LEGAL
Cdigo procesal penal de 1987, que tutela la inviolabilidad del domicilio y regula
en su artculo 376 las escuchas telefnicas.
Ley de Proteccin de datos de 1988.
Ley 72/1989, de 20 de diciembre de 1989, por la cual se definen nuevos
conceptos y principios sobre la Organizacin de las Telecomunicaciones en
Colombia y sobre el rgimen de concesin de los servicios y se confieren unas
facultades extraordinarias al Presidente de la Repblica.
Decreto 1794/1991, de 16 de julio de 1991, por el cual se Expiden Normas sobre
los Servicios de Valor Agregado y Telemticos y se Reglamenta el Decreto 1900
de 1990.
Decreto 2150 de 1995 sobre sistemas electrnicos, de 5 de diciembre de 1995,
que busca la simplificacin de trmites ante Entidades Estatales. (Diario Oficial
42.137, del 6 de diciembre de 1995).
Resolucin 087 de 5 de septiembre de 1997, de la Comisin de Regulacin de las
Telecomunicaciones, por medio de la cual se regula en forma integral los servicios
de Telefona Pblica Bsica Conmutada (TPBC) en Colombia.
Proyecto de Ley 227 de 21 de abril de 1998, por medio del cual se define y
Reglamenta el Acceso y el uso del Comercio Electrnico
Ley 527 de 18 de agosto de 1999, sobre Mensajes de Datos, Comercio
electrnico y Firma Digital.
Resolucin 7652/2000, de 22 de septiembre de la Direccin General de Impuestos
y Aduanas Nacionales, por la cual se reglamenta la administracin, publicacin y
uso de la informacin electrnica va INTRANET e INTERNET en la Direccin de
Impuestos y Aduanas Nacionales.
Proyecto de Ley 166 de 31 de enero de 2003, por el cual se regulan las
comunicaciones Va Internet y mediante el uso de Fax que se realicen desde
lugares habilitados para brindar al pblico esos servicios.
Proyecto de Ley 05/2006 Senado "Por el cual se reglamenta el Habeas Data y el
Derecho de Peticin ante Entidades Financieras, Bancarias y Centrales o Banco
de Datos". Acumulado Proyecto de Ley n 27/2006 Senado "Por la cual se dictan
las disposiciones generales del habeas data y se regula el manejo de la
informacin contenida en bases de datos personales, en especial la financiera y
crediticia, y se dictan otras disposiciones". Aprobado por la comisin el da 12 de
Octubre de 2006.
27
8. METODOLOGA DE INVESTIGACIN
8.1.
El proyecto est dentro del rea de gestin de informacin puesto que se pretende
hacer el estudio de la seguridad informtica y de informacin en cada uno de los
procesos y servicios que se presta a los usuarios y clientes a travs del uso de
tecnologas de Informacin aplicadas.
8.2. REA DE CONOCIMIENTO ESPECFICO DEL PROYECTO: SGSI basado
en ISO27000 e ISO27001.
El proyecto pretende hacer el estudio de vulnerabilidades, amenazas y riesgos de
seguridad informtica y de la informacin para proponer polticas y procedimientos
adecuados que permitan mitigar esos riesgos. 18
8.3.
TIPO DE INVESTIGACIN
18
29
9. DISEO METODOLGICO
9.1.
Valoracin de activos
En la tabla 2, se presenta el formato para establecer la relacin de activos y su
valoracin desde el punto de vista de riesgos en materia informtica, siempre y
cuando apliquen en la empresa.
Tabla 2. Valoracin de activos
ACTIVOS DE LA EMPRESA USOMET LTDA.
Lo que tiene
Elemento
Descripcin
Empleados
Actividad
Arquitectura aplicaciones
SGSI
Usuarios
Sistema de gestin de
proyectos
BD
Servidores
Pruebas
Servidores
30
Centro de cmputo
Desarrolladores
Red local
Sistema operativo en
general
Otros empleados
Autenticacin
Acceso
Control del acceso
Acceso fsico a las
instalacin
Para circular en las
instalaciones
Entrada y salida de
equipos
Normativas
Organigrama
Fuente: el autor
Observacin directa. Mediante visitas a la empresa para tener una idea general
de los activos informticos, los procesos y procedimientos que se llevan a cabo en
la empresa USOMET.
Entrevista. Se realizan a los empleados de manera formal con el fin de recaudar
informacin acerca de los procedimientos de uso cotidiano y que tenga relacin
31
directa con el manejo de los activos informticos. El tipo de entrevista ser guiada,
directa, sincrnica y asincrnica.
Cuestionarios. Los cuestionarios son la fuente de informacin para confirmar la
existencia de los riesgos, se aplicar al personal clave que tiene la informacin en
profundidad y conoce ms de cada proceso.
Listas de Chequeo. Las listas de chequeo son indispensables para determinar la
existencia de controles de acuerdo a las normas.
9.2.
UNIVERSO Y MUESTRA
METODOLOGA DE DESARROLLO
PRODUCTO A ENTREGAR
33
Nombre:
Cdula No:
Ttulo Profesional:
Institucin:
Perfil:
34
11. PRESUPUESTO
Los recursos humanos, tcnicos y financieros se detallan a continuacin en la
tabla 3:
Tabla 3. Presupuesto
RECURSOS
Recursos Fsicos
Tinta Impresora.
Papel (Resma)
CDS
Fotocopias
Digitacin
Impresin
Anlisis de
documentos
Total de Recursos Fsicos
Horas
Cantidad
2
2
10
200
Valor
Unidad
75.000
9.000
10.000
50
Valor Total
Financiado por:
150.000
18.000
10.000
10.000
100.000
250.000
Estudiante.
250.000
788.000
Recursos de Servicios
Internet
Total de Recursos de 80
1
Servicios
Recursos Humanos
Asesora
Total
de
Recursos
Humanos
Otros
Visitas
Transportes
Imprevistos
Total de Otros Servicios
TOTAL
Fuente. Elaboracin propia autor proyecto. 2015
Estudiante.
3.000
240.000
240.000
300.000
300.000
300.000
100.000
200.000
50.000
350.000
1628.000
Estudiante.
Estudiante.
35
Mes 1
Mes 2
Mes 3
Mes 4
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
36
CANTIDAD
2
5
2
1
1
1
1
Todos los equipos
Activo en todos los equipos
Ninguna
M.S. Excel - Word
Ninguno
Ninguno
Ninguno
Sistema de vigilancia virtual mediante cmaras.
37
6
8
Ninguno
Integridad
Salvaguardar la
exactitud y la
integridad de
La no autorizada
modificacin o
destruccin de
informacin podra
esperase tenga una
efecto adverso limitado
MEDIO
La divulgacin no
autorizada
de informacin se podra
Esperar que tenga un
serio efecto adverso en
las operaciones de la
organizacin, activos de
la organizacin, o
Individuos.
La no autorizada
modificacin o destruccin
de informacin se pudiera
esperar que tenga una
efecto serio en
operaciones de la
38
ALTO
La divulgacin no
autorizada de
informacin se
podra esperar que
tenga un severo o
catastrfico efecto
adverso en las
operaciones de la
organizacin, activos
de la organizacin, o
Individuos.
La no autorizada
modificacin o
destruccin de
informacin se
pudiera esperar que
tenga un efecto
informacin y los
mtodos de
procesamiento
Disponibilidad
Asegurar que los
usuarios
autorizados tengan
acceso a la
informacin y a los
activos asociados
cuando sea
necesario
en operaciones de la
organizacin, activos
de la organizacin, o
individuos.
organizacin, activos de la
organizacin, o
Individuos.
La interrupcin de
acceso a o uso de
informacin o a un
sistema de informacin
podra esperarse tenga
un efecto adverso
limitado en las
operaciones de la
organizacin, activos
de la organizacin, o
individuos.
La interrupcin de acceso
a o uso de informacin o
a un sistema de
informacin podra
esperarse tenga un efecto
serio en las operaciones
de la organizacin,
activos de la
organizacin, o
individuos.
severo o catastrfico
en las operaciones
de la organizacin,
activos de la
organizacin, o
individuos.
La interrupcin de
acceso a o uso de
informacin o a un
sistema de
informacin podra
esperarse tenga un
efecto severo o
catastrfico en las
operaciones de la
organizacin, activos
de la organizacin, o
individuos.
Fuente: el autor
Muy Alto
Alto
Medio
Bajo
MB
Muy Bajo
Fuente: el autor
PC de escritorio
CONFIDENCIALID
AD
INTEGRIDAD
DISPONIBILI
DAD
MA
MA
MA
MA
MA
MA
Equipos de uso
permanente en
gestin de
informacin de la
empresa.
Proteccin de la
informacin que
all se gestiona.
Equipos de uso
permanente en
gestin de
39
Impresoras
Servidores
Red estructurada
interna
Acceso a internet
UPS
Software
Software antivirus
Firewall
informacin de la
empresa.
Proteccin de la
informacin que
all se gestiona.
Perifricos de uso
compartido.
Proteccin de la
informacin que
all se imprime.
Acta de servidor
web, mientras
que toda la
informacin es
almacenada en
las carpetas y
archivos
asignados para
cada usuario.
Proteccin de la
informacin que
all se gestiona.
802.1X.
Proteccin de la
informacin que
all transita.
Medio de
comunicacin de
informacin entre
empleados de la
empresa, con
proveedores y
clientes.
Proteccin de la
informacin que
por all transita.
Respaldo para la
disponibilidad de
fluido elctrico
para la operacin
del sistema.
Respaldo de la
operacin.
Norton antivirus
licenciado y
actualizado.
Medio de defensa
fundamental.
Respaldo de la
operacin.
Barrera de
contencin a
40
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
Software en que se
administra la
informacin
Seguridad
informtica y de la
informacin
Estudio de
seguridad
informtica para la
empresa
Plan de contingencia
informtica
Control de acceso a
la informacin
acceso no
autorizado desde
el exterior.
Respaldo de la
operacin.
MS Excel y MS
Word.
Software de
ofimtica bastante
estable pero no
cuenta con
seguridad de
acceso y respaldo
Toda empresa
requiere contar
con un apropiado
estudio de
seguridad para su
sistema de
informacin, si
cuenta con uno.
Toda empresa
requiere contar
con planes de
contingencia
debidamente
elaborado para
sus condiciones
especficas.
Toda empresa
requiere disear y
establecer las
polticas de
control fsico y
lgico de acceso
a su sistema de
informacin.
Fuente: el autor
41
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
13. DIAGNSTICO
La empresa USOMET, en materia informtica, se encuentra desprotegida y
conforme la relacin anterior, no est preparada para atender debidamente
eventualidades que pudieran afectar su sistema de informacin.
De lo anterior se desprende que en materia de seguridad informtica esta todo por
hacer en esta empresa.
42
14. DIVULGACIN
La divulgacin de las medidas de seguridad derivadas de este proyecto ser
gestionada directamente por la gerencia de la empresa USOMET en cuanto haya
sido aprobado.
43
FOR
STANDARDIZATION,
ISO27000,
45
ENLACES WEB
LA AUDITORA interna como una herramienta para establecer controles internos
eficientes en las pequeas y medianas empresas ferreteras de la Ciudad de San
Miguel, disponible en internet en: http://168.243.33.153/infolib/tesis/50107386.pdf
CALIDAD y Seguridad de la informacin y auditora informtica, disponible en
internet en:
http://earchivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jsess
ionid=10850A53006DB846CED4EDCEDEDE1C40?sequence=1
GESTIN estratgica de seguridad en la empresa, disponible en internet en:
http://video.anetcom.es/editorial/Seguridad_empresa.pdf
46
ANEXOS
ANEXO A (Solicitud enviada a la gerente de USOMET Ltda.)
47
48