ebook img

diseño de un sistema de gestión de seguridad de la información mediante la aplicación de la ... PDF

267 Pages·2015·4.01 MB·Spanish
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview diseño de un sistema de gestión de seguridad de la información mediante la aplicación de la ...

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MEDIANTE LA APLICACIÓN DE LA NORMA INTERNACIONAL ISO/IEC 27001:2013 EN LA OFICINA DE SISTEMAS DE INFORMACIÓN Y TELECOMUNICACIONES DE LA UNIVERSIDAD DE CÓRDOBA ANDRÉS FELIPE DORIA CORCHO UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA MONTERÍA 2015 DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MEDIANTE LA APLICACIÓN DE LA NORMA INTERNACIONAL ISO/IEC 27001:2013 EN LA OFICINA DE SISTEMAS DE INFORMACIÓN Y TELECOMUNICACIONES DE LA UNIVERSIDAD DE CÓRDOBA ANDRÉS FELIPE DORIA CORCHO Trabajo de grado para optar por el título de: Especialista en Seguridad Informática Director de proyecto: Ing. Erika Liliana Villamizar Torres UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA MONTERÍA 2015 Nota de Aceptación Presidente del Jurado Jurado Jurado Montería, 8 de Junio de 2015 A mis padres, familiares, amigos, docentes y compañeros que me brindaron su apoyo incondicional en la realización y logro de este objetivo de vida. AGRADECIMIENTOS Agradezco a la Ing. Erika Vanesa Restrepo Urzola, Líder del Proceso de Desarrollo Tecnológico de la Universidad de Córdoba por su apoyo incondicional en la realización de este trabajo y su permisividad en la recolección de datos e información necesaria. A la Ing. Especialista en Seguridad Informática Erika Liliana Villamizar Torres de la Universidad Nacional Abierta y a Distancia por brindar su asesoría valiosa y constante en la dirección, programación, realización y consecución de resultados a lo largo del proyecto, además de proveer un entendimiento claro y conciso de la norma ISO/IEC 27001. A mi amigo Ing. Ph.D. en Ingeniería y desarrollador de software en Google Inc., Juan Camilo Corena Bossa por sus valiosos aportes y conocimientos de seguridad informática, especialmente en el campo de la criptografía. CONTENIDO pág. INTRODUCCIÓN ............................................................................................................. 16 1. PLANTEAMIENTO DEL PROBLEMA ...................................................................... 18 1.1. DEFINICIÓN Y ALCANCE ................................................................................ 18 1.2. FORMULACIÓN ................................................................................................ 19 2. JUSTIFICACIÓN ...................................................................................................... 22 3. OBJETIVOS ............................................................................................................. 24 3.1. OBJETIVO GENERAL ...................................................................................... 24 3.2. OBJETIVOS ESPECÍFICOS ............................................................................. 24 4. MARCO REFERENCIAL .......................................................................................... 26 4.1. MARCO TEÓRICO ............................................................................................ 26 4.1.1. Generalidades ........................................................................................... 26 4.1.2. Amenazas a la Seguridad de la Información .......................................... 29 4.1.3. Sistemas de Gestión de la Seguridad de la Información ....................... 31 4.2. MARCO CONCEPTUAL ................................................................................... 34 4.2.1. Riesgos Informáticos ............................................................................... 34 4.2.2. Gestión del Riesgo ................................................................................... 35 4.2.3. Metodologías de Análisis y Evaluación de Riesgos .............................. 36 4.2.4. Políticas de la Seguridad de la Información ........................................... 44 4.2.5. Estándar ISO/IEC 27001:2013 .................................................................. 45 4.2.6. Planes de Continuidad del Negocio ........................................................ 52 4.2.7. Gobierno de Tecnología Informática ....................................................... 57 4.3. MARCO LEGAL ................................................................................................ 67 4.3.1. Ley 1273 de 2009 ...................................................................................... 67 4.3.2. Estrategia de Gobierno en Línea ............................................................. 70 4.4. MARCO CONTEXTUAL .................................................................................... 75 4.4.1. Universidad de Córdoba .......................................................................... 75 4.4.2. Oficina de Sistemas y Telecomunicaciones ........................................... 78 5. MATERIALES Y MÉTODOS .................................................................................... 89 5.1. MATERIALES ................................................................................................... 89 5.2. METODOLOGÍA ............................................................................................... 91 5.2.1. Obtener el soporte de la Dirección .......................................................... 91 5.2.2. Definir el Alcance. .................................................................................... 91 5.2.3. Realizar el Análisis Diferencial ................................................................ 91 5.2.4. Definir la Política de Seguridad ............................................................... 92 5.2.5. Identificar los Activos de Información. ................................................... 92 5.2.6. Definir la Metodología de Análisis y Evaluación de Riesgos ................ 92 5.2.7. Tratamiento de Riesgos ........................................................................... 93 5.2.8. Definir el Plan de Continuidad del Negocio ............................................ 93 5.2.9. Definir el Gobierno de Tecnología Informática ....................................... 93 6. DESARROLLO DEL PROYECTO ............................................................................ 94 6.1. SOPORTE DE LA DIRECCIÓN......................................................................... 94 6.2. ALCANCE DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ............................................................................................................... 99 6.3. ANÁLISIS DIFERENCIAL ............................................................................... 102 6.3.1. Requisitos de la Norma ISO/IEC 27001:2013 ........................................ 102 6.3.2. Dominios, Objetivos de Control y Controles de Seguridad ................. 110 6.4. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ................................... 151 6.5. METODOLOGÍA DE ANÁLISIS Y EVALUACIÓN DE RIESGOS Y REPORTE DE EVALUACIÓN DE RIESGOS .................................................................................. 160 6.5.1. Metodología MAGERIT ........................................................................... 162 6.5.2. Inventario y Clasificación de Activos Informáticos.............................. 170 6.5.3. Identificación y Valoración de Amenazas ............................................. 189 6.5.4. Riesgo Potencial ..................................................................................... 204 6.6. DECLARACIÓN DE APLICABILIDAD ............................................................ 210 6.7. PLAN DE TRATAMIENTO DE RIESGOS ....................................................... 229 6.8. PLAN DE CONTINUIDAD DEL NEGOCIO ..................................................... 239 6.9. GOBIERNO DE TECNOLOGÍA INFORMÁTICA (COBIT) ............................... 248 7. CRONOGRAMA ..................................................................................................... 255 8. CONCLUSIONES ................................................................................................... 259 9. RECOMENDACIONES........................................................................................... 261 BIBLIOGRAFÍA ............................................................................................................. 262 LISTA DE TABLAS pág. Tabla 1. Dominios de una típica infraestructura TI en una organización. ......................... 28 Tabla 2. Amenazas a la seguridad de la información. ...................................................... 30 Tabla 3. Familia de estándares ISO/IEC 27000. .............................................................. 46 Tabla 4. Requisitos de la norma ISO-IEC 27001:2013. .................................................... 49 Tabla 5. Documentos obligatorios para el estándar ISO/IEC 27001:2013. ....................... 51 Tabla 6. Elementos de un Gobierno de TI........................................................................ 59 Tabla 7. Modelos de madurez de un Gobierno de TI. ...................................................... 59 Tabla 8. Objetivos de un Gobierno de TI. ........................................................................ 60 Tabla 9. Dominios de Control de COBIT. ......................................................................... 62 Tabla 10. Etapas del Ciclo de Vida de la Gestión del Servicio en ITIL. ............................ 65 Tabla 11. Principios de ISO 27014:2013. ......................................................................... 66 Tabla 12. Procesos de ISO 27014:2013. ......................................................................... 67 Tabla 13. Artículos de la Ley de Delitos Informáticos en Colombia. ................................. 68 Tabla 14. Ejes fundamentales de la Seguridad y Privacidad de la Información en la Estrategia de Gobierno en Línea. .................................................................................... 72 Tabla 15. Información de la Universidad de Córdoba. ..................................................... 75 Tabla 16. Áreas y funciones principales de la oficina de Sistemas y Telecomunicaciones. ........................................................................................................................................ 79 Tabla 17. Áreas y funciones de apoyo a la oficina de Sistemas y Telecomunicaciones. .. 80 Tabla 18. Materiales y Recursos utilizados en el proyecto. .............................................. 90 Tabla 19. Requisito de la Norma ISO/IEC 27001:2013. Contexto de la Organización. ... 103 Tabla 20. Requisito de la Norma ISO/IEC 27001:2013. Liderazgo. ................................ 104 Tabla 21. Requisito de la Norma ISO/IEC 27001:2013. Planificación. ........................... 105 Tabla 22. Requisito de la Norma ISO/IEC 27001:2013. Soporte. ................................... 106 Tabla 23. Requisito de la Norma ISO/IEC 27001:2013. Operación. ............................... 107 Tabla 24. Requisito de la Norma ISO/IEC 27001:2013. Evaluación del Desempeño. .... 107 Tabla 25. Requisito de la Norma ISO/IEC 27001:2013. Mejora. .................................... 108 Tabla 26. Nivel de Cumplimiento de los Requisitos de la Norma ISO/IEC 27001:2013. . 109 Tabla 27. Anexo A de la Norma ISO/IEC 27001:2013. Políticas de la Seguridad de la Información. ................................................................................................................... 110 Tabla 28. Anexo A de la Norma ISO/IEC 27001:2013. Organización de la Seguridad de la Información. ................................................................................................................... 111 Tabla 29. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de los Recursos Humanos. ...................................................................................................................... 113 Tabla 30. Anexo A de la Norma ISO/IEC 27001:2013. Gestión de Activos. ................... 115 Tabla 31. Anexo A de la Norma ISO/IEC 27001:2013. Control de Acceso. .................... 119 Tabla 32. Anexo A de la Norma ISO/IEC 27001:2013. Controles Criptográficos. ........... 123 Tabla 33. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad Física y del Entorno. 124 Tabla 34. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Operaciones. . 129 Tabla 35. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Comunicaciones. ...................................................................................................................................... 134 Tabla 36. Anexo A de la Norma ISO/IEC 27001:2013. Adquisición, Desarrollo y Mantenimiento de Sistemas. .......................................................................................... 136 Tabla 37. Anexo A de la Norma ISO/IEC 27001:2013. Relaciones con los Proveedores. ...................................................................................................................................... 140 Tabla 38. Anexo A de la Norma ISO/IEC 27001:2013. Gestión de Incidentes de Seguridad de la Información. .......................................................................................................... 142 Tabla 39. Anexo A de la Norma ISO/IEC 27001:2013. Aspectos de Seguridad de la Información de la Gestión e la Continuidad del Negocio. ............................................... 144 Tabla 40. Anexo A de la Norma ISO/IEC 27001:2013. Cumplimiento. ........................... 146 Tabla 41. Nivel de Cumplimiento de los Dominios de Control de la Norma ISO/IEC 27002:2013. ................................................................................................................... 149 Tabla 42. Dimensiones de Seguridad para la Identificación y Valoración de Amenazas en MAGERIT. ..................................................................................................................... 163 Tabla 43. Clasificación de los tipos de activos informáticos en MAGERIT. .................... 164 Tabla 44. Catálogo de Amenazas sobre los activos informáticos en MAGERIT. ............ 166 Tabla 45. Probabilidad o Frecuencia de ocurrencia de las amenazas en MAGERIT. ..... 167 Tabla 46. Estimación cualitativa del riesgo. ................................................................... 169 Tabla 47. Salvaguardas sobre los activos informáticos en MAGERIT. ........................... 170 Tabla 48. Activos informáticos en la oficina de Sistemas y Telecomunicaciones de la Universidad de Córdoba. ............................................................................................... 171 Tabla 49. Valoración cualitativa de los activos informáticos en MAGERIT. .................... 177 Tabla 50. Clasificación de los riesgos según la Zona de Riesgos. ................................. 207

Description:
68DEBARATI, H., JAISHANKAR, K. Cyber Crime and the Victimization of Women: Laws, Rights, and Regulations. 27002:2013. Estos corresponden a los numerales 5 al 18. Tabla 27. Anexo A de la Norma ISO/IEC 27001:2013. Políticas de la Seguridad de la Información. A.5. POLÍTICAS DE LA
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.