Universidad Libre Cali

Ingeniera de Sistemas
Semestre 1N

SISTEMA DE GESTIN PARA LA

SEGURIDAD DE LA INFORMACIN.
CASO: FCICN

Presentado por : Carlos Arturo Buitrago

Eduardo Rojas Romero
 Contenido
Planteamiento del problema
Marco Terico, Mapa Conceptual
Norma ISO 27002
Causa-Efecto
Objetivos:
General
Especficos
Metas e Indicadores
Actividades, Diagrama de Gantt
Cuadro de Soluciones, Valoraciones
Estudio Tcnico - Econmico
Conclusiones y Recomendaciones
 Planteamiento del
Problema

Formulacin del Problema

No existen procesos ni
procedimientos definidos
para el manejo de la
informacin en la FCICN.
 Planteamiento del
Problema

Situacin Problemtica
En la FCICN no hay polticas ni controles efectivos
sobre la informacin de la organizacin, tampoco
existe un plan de procedimientos internos para
custodiar los datos, ni planes de accin para dar a
entender la importancia del uso y salvaguarda de la
informacin.
 Marco Terico

Seguridad de la informacin
Que la informacin, servicios y
recursos sean accesibles por las
entidades autorizadas cuando ellas
lo requieran.

Es la preservacin de la Informacin y de los Sistemas que la

gestionan en sus dimensiones de Confidencialidad, Integridad y
Disponibilidad.
 Marco Terico

Anlisis y Gestin del Riesgo

Uso sistemtico de la informacin para
identificar amenazas y coordinar las
actividades para dirigir y controlar una
organizacin con relacin al riesgo.

Persigue identificar los sectores ms

vulnerables de la organizacin y permitir
concentrar los esfuerzos de control en los
lugares crticos.
 Marco Terico

Anlisis y Gestin del Riesgo

Activo: Cualquier cosa - tangible o no - que tenga valor
para la organizacin.
Vulnerabilidad: Debilidad de un activo que puede ser

Terminologa
explotada por una amenaza.
Amenaza: Causa potencial de un incidente no deseado,
que podra daar uno o ms activos.
Control Salvaguarda: Medios para manejar el riesgo;
incluyendo polticas, procedimientos, lineamientos,
prcticas o estructuras organizacionales.
Riesgo: Combinacin de la probabilidad de materializacin
de una amenaza y el dao que producira sobre un activo.
 Marco Terico

Seguridad de la Informacin
Sistema de Gestin de la
Consiste en la planificacin, ejecucin,
verificacin y mejora continua de un conjunto
de controles que permitan reducir el riesgo de
sufrir incidentes de seguridad
 Marco Terico
Metodologa que establece las especificaciones

Norma ISO/IEC 27001:2005

para un SGSI, con el fin de garantizar que los
riesgos son conocidos, asumidos, gestionados y
minimizados, de una forma documentada,
sistemtica, estructurada, continua, repetible y
eficiente.

Es un Cdigo de Buenas Prcticas para la

Seguridad de la Informacin, que establece
cientos de controles y mecanismos de control, los
cuales pueden ser implementados y
posteriormente chequeados por la norma
ISO/IEC 27001:2005
ISO 27001:2005 Fases
 Seguridad de la Informacin
Mapa Conceptual
Causa - Efecto

Diagrama
 Objetivos

Definir los procesos de uso

y salvaguarda de la

General
informacin de la FCICN
con base a las necesidades
y capacidades de la
organizacin.
 Objetivos
1. Conocer la situacin actual de la FCICN en relacin
al manejo de la Informacin, evaluando su nivel
actual.
2. Determinar la capacidad tcnica, operativa y

Especificos
econmica para establecer procesos que mejores el
manejo de la Informacin en la FCICN.
3. Generar informes sobre el trfico de la informacin
para detectar las fallas que se presentan en el
proceso y corregir los errores que se presenten por
mal manejo.
4. Implementar procedimientos de manejo de la
Informacin basados en estndares de normas
internacionales teniendo en cuenta las necesidades y
capacidades de la FCICN.
 Metas
Meta Objetivo Proceso Magnitud UM Descripcin Jul. /12 Ago. Sep. Oct.
Especifico /12 /12 /12

1 1 Inventariar 175 Equipo Detalle de los equipos 175

de computo

Marco Metodolgico
existentes

2 2 Instalar y/o Actualizar 175 Equipo Software antivirus y 88 87

S.O.
3 2 Instalar 1 Servidor Dominio control 1
acceso a usuarios en
la red.

4 3 Generar 20 Informe Sobre trfico de 5 5 5 5

informacin y nivel de
buen uso

5 3 Detectar y corregir 120 Das Fallas de seguridad 30 30 30 30

en manejo de la
informacin

4 4 Capacitar 238 Persona Ensear uso, custodia 60 85 63 30

de la informacin

5 4 Implementar 4 Accin Norma internacional 1 1 1 1

27001
 Indicadores
Nombre del Indicador Formula del Indicador Estado Inicial Valor Esperado Periodo

% de acciones (# de acciones implementadas/ total 0% no se haba hecho antes 100% logrado de implementar 4 meses
implementadas de acciones) * 100 implementacin de la norma ISO las acciones de la norma

Marco Metodolgico
27001

% de equipos actualizados (# de equipos actualizados/ total de Se inicia con un 50% de los 100% de los equipos 4 meses
equipos) * 100 equipos actualizados actualizados e instalados

% de fallas corregidas (# fallas corregidas/ total fallas 0% no se haba hecho esta 100% de las fallas importantes 4 meses
detectadas) * 100 medicin antes sean corregidas

% de personas capacitadas (# personas que asisten a 0% no se haba realizado estas 100% de las personas de la 4 meses
capacitacin/ total de personas a capacitaciones nunca antes organizacin estn
capacitar) *100 capacitadas

Calificacin promedio de la Suma de calificacin de las 0 porque es la primera 4 puntos en una escala de 1 a 4 meses
evaluacin evaluaciones/ # personas evaluacin que se va a realizar 5 siendo 1 muy malo y 5
evaluadas excelente

% detecciones (# detecciones documentadas/ total 0% no se haba realizado reporte 100% de detecciones 4 meses
documentadas detecciones) * 100 de detecciones ni su documentadas
documentacin
Cuadro de Soluciones

Marco Metodolgico
Estudio Tcnico-Econmico
Componente Unidad Medida Cantidad Costo Unitario Costo Total

Marco Metodolgico
Adecuacin Equipos a instalar 175 $41.760 $7308.000
licencias

Administracin Soporte Externo 12 $400.000 $4800.000

mensual por un ao

Personal de la
Capacitacin organizacin y 238 $0 $0
encargados de Esta incluido en el
sistemas. soporte y licencias

Dotacin Mejora de equipos 22 $1400.000 $30800.000

obsoletos
 Actividades
1. Apropiar el conocimiento en sistemas de gestin de seguridad de la
informacin y de los mecanismos existentes para la deteccin de

Marco Metodolgico
intrusos.
2. Simular tipos de ataques ms frecuentes que pongan en riesgo la
seguridad de un sistema o una red a fin de tener mejores
fundamentos en la creacin de polticas y procedimientos o en la
mejora de ellos.
3. Aplicar los controles de la norma ISO que permitan administrar un
sistema de deteccin de fallas dentro de un sistema de gestin de
seguridad de la Informacin.
4. Evaluar las herramientas de software para sistemas gestin de
seguridad Informtica existentes en el mercado actualmente.
5. Desarrollar mdulos de software para la redaccin, mejora y
almacenamiento persistente de polticas de seguridad de la
informacin.
6. Elaborar la documentacin que identifique los fundamentos bsicos
para el desarrollo de estrategias de seguridad de la informacin,
basado en las normas internacionales y las necesidades de la
organizacin.
 Diagrama de Gantt

Actividad Julio 2012 Agosto 2012 Septiembre 2012 Octubre 2012

Marco Metodolgico
semanas 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

6
 Valoraciones
CRITERIO 1 2 3 4 5

Cualitativa y Cuantitativa
FISICO TECNICO COSTOS TIEMPO HUMANO TOTAL
SOLUCION
4 5 3 4 3 3.8
A
20% 30% 15% 20% 15% 100%

3 5 4 4 3 3.8
B
15% 30% 20% 20% 15% 100%

4 5 3 4 3 3.8
C
20% 30% 10% 20% 20% 100%

5 5 3 3 5 4.2
D
20% 20% 15% 15% 30% 100%

Escala de Valoracin Cuantitativa:

1 Deficiente 3 Intermedio 5 Superior

2 Bajo 4 Alto
 Conclusiones
Actualmente en la sociedad de la informacin es necesario que
todas las organizaciones sin tener en cuenta su tamao implementen
mecanismos que permitan mantenerla segura, donde se usen
normas internacionales como un sistema principal basado en
procesos que busca garantizar la seguridad de la informacin.
La metodologa de un Sistema de Gestin de Seguridad de la
Informacin SGSI permite descubrir los puntos vulnerables de una
organizacin y provee herramientas valiosas para disear procesos y
procedimientos de seguridad eficaces.
Es de vital importancia involucrar a todas y cada una de las personas
que conforman el recurso humano de la organizacin en todos los
procesos de la implementacin del plan de Seguridad de la
Informacin y que conozcan los beneficios del buen manejo y
aplicacin de ellos en sus labores.
Con una herramienta de anlisis y gestin del riego AGR slida y
bien implementada se pueden producir resultados comparables y
repetibles en el tiempo para evitar futuras fallas en el sistema de
seguridad de la informacin que se haya adoptado por parte de la
organizacin.
 Recomendaciones
Profundizar en el desarrollo de herramientas de anlisis y
gestin de riesgos AGR utilizando sistemas expertos,
estudiando de polticas, metas, indicadores y tcnicas para la
determinacin de la eficacia de los procesos y procedimientos
adoptados para el manejo de la informacin.

Continuar con la realizacin de las auditorias constantes para

hacer el seguimiento al manejo de la informacin, adems de
brindar al rea de sistemas los recursos necesarios que
permitan mantener en un alto nivel de seguridad en la
organizacin en cuanto a informtica se refiere.

Continuar con las capacitaciones y la concientizacin de todas

las personas de la organizacin para que se sientan
comprometidos y continen involucrados con el desarrollo y
aplicacin de los procesos sugeridos en el plan de seguridad
de la informacin.
 Recomendaciones
Se deben tomar acciones inmediatas para gestionar los
riesgos que existen en el manejo de la informacin, adems
de disponer de planes de contingencia ante incidentes que
se presenten fuera de lo previsto ya que todas las acciones
deben ser proactivas y no reactivas.

Establecer formalmente un plan propuesto para comenzar a

corregir las fallas en el manejo de la informacin y designar
una persona que est a la cabeza y encargada de la
seguridad de la informacin del FCICN.

Implementar los planes y proyectos para el tratamiento de

los riesgos detectados en el manejo de la informacin, para
que una vez ganada la experiencia, no se deje decaer la
aplicacin en ninguna de las unidades de la organizacin.
 Referencias
[1] Network Working Group, Site Security Handbook , Request for Comments
2196, Septiembre 1997.
[2] Instituto Argentino de Normalizacin, Cdigo de prctica para la
administracin de la seguridad de la informacin, IRAM-ISO IEC 17799,
Buenos Aires, febrero 2002.
[3] Coordinacin de Emergencia en Redes Teleinformticas de la
Administracin Pblica Argentina, Manual de Seguridad en Redes.
[4] Jess Herney Cifuentes, Csar Augusto Narvez, Manual de deteccin de
vulnerabilidades de sistemas operativos UNIX en redes TCP/IP, Universidad
del Valle 2004.
[5] Charles Davis, Eric Lakin, Hasta las Pymes son Hacheadas, Exposicin
en el Congreso Internacional en Seguridad TI Informtica H@cker Halted 2005.
[6] Monografas online, CGI Master, disponible en: www.ok.cl/cgi/chap0
[7] WOOD,Charles Cresson. Polticas de Seguridad Informtica, CISA CISSP,
2004. Segunda Edicin. www.netiq.com IEEE, Norma ISO 17799 versin 2000.
[8] ISO27001:2005 Information Security Management- Specifications for an
ISM
[9] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION
Estndares de Seguridad, ISACA, IEC/ISO http://www.isaca.org
No existe la seguridad total
sino una seguridad
gestionada.