DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MEDIANTE LA APLICACIÓN DE LA NORMA INTERNACIONAL ISO/IEC 27001:2013 EN LA OFICINA DE SISTEMAS DE INFORMACIÓN Y TELECOMUNICACIONES DE LA UNIVERSIDAD DE CÓRDOBA ANDRÉS FELIPE DORIA CORCHO UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA MONTERÍA 2015 DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MEDIANTE LA APLICACIÓN DE LA NORMA INTERNACIONAL ISO/IEC 27001:2013 EN LA OFICINA DE SISTEMAS DE INFORMACIÓN Y TELECOMUNICACIONES DE LA UNIVERSIDAD DE CÓRDOBA ANDRÉS FELIPE DORIA CORCHO Trabajo de grado para optar por el título de: Especialista en Seguridad Informática Director de proyecto: Ing. Erika Liliana Villamizar Torres UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA MONTERÍA 2015 Nota de Aceptación Presidente del Jurado Jurado Jurado Montería, 8 de Junio de 2015 A mis padres, familiares, amigos, docentes y compañeros que me brindaron su apoyo incondicional en la realización y logro de este objetivo de vida. AGRADECIMIENTOS Agradezco a la Ing. Erika Vanesa Restrepo Urzola, Líder del Proceso de Desarrollo Tecnológico de la Universidad de Córdoba por su apoyo incondicional en la realización de este trabajo y su permisividad en la recolección de datos e información necesaria. A la Ing. Especialista en Seguridad Informática Erika Liliana Villamizar Torres de la Universidad Nacional Abierta y a Distancia por brindar su asesoría valiosa y constante en la dirección, programación, realización y consecución de resultados a lo largo del proyecto, además de proveer un entendimiento claro y conciso de la norma ISO/IEC 27001. A mi amigo Ing. Ph.D. en Ingeniería y desarrollador de software en Google Inc., Juan Camilo Corena Bossa por sus valiosos aportes y conocimientos de seguridad informática, especialmente en el campo de la criptografía. CONTENIDO pág. INTRODUCCIÓN ............................................................................................................. 16 1. PLANTEAMIENTO DEL PROBLEMA ...................................................................... 18 1.1. DEFINICIÓN Y ALCANCE ................................................................................ 18 1.2. FORMULACIÓN ................................................................................................ 19 2. JUSTIFICACIÓN ...................................................................................................... 22 3. OBJETIVOS ............................................................................................................. 24 3.1. OBJETIVO GENERAL ...................................................................................... 24 3.2. OBJETIVOS ESPECÍFICOS ............................................................................. 24 4. MARCO REFERENCIAL .......................................................................................... 26 4.1. MARCO TEÓRICO ............................................................................................ 26 4.1.1. Generalidades ........................................................................................... 26 4.1.2. Amenazas a la Seguridad de la Información .......................................... 29 4.1.3. Sistemas de Gestión de la Seguridad de la Información ....................... 31 4.2. MARCO CONCEPTUAL ................................................................................... 34 4.2.1. Riesgos Informáticos ............................................................................... 34 4.2.2. Gestión del Riesgo ................................................................................... 35 4.2.3. Metodologías de Análisis y Evaluación de Riesgos .............................. 36 4.2.4. Políticas de la Seguridad de la Información ........................................... 44 4.2.5. Estándar ISO/IEC 27001:2013 .................................................................. 45 4.2.6. Planes de Continuidad del Negocio ........................................................ 52 4.2.7. Gobierno de Tecnología Informática ....................................................... 57 4.3. MARCO LEGAL ................................................................................................ 67 4.3.1. Ley 1273 de 2009 ...................................................................................... 67 4.3.2. Estrategia de Gobierno en Línea ............................................................. 70 4.4. MARCO CONTEXTUAL .................................................................................... 75 4.4.1. Universidad de Córdoba .......................................................................... 75 4.4.2. Oficina de Sistemas y Telecomunicaciones ........................................... 78 5. MATERIALES Y MÉTODOS .................................................................................... 89 5.1. MATERIALES ................................................................................................... 89 5.2. METODOLOGÍA ............................................................................................... 91 5.2.1. Obtener el soporte de la Dirección .......................................................... 91 5.2.2. Definir el Alcance. .................................................................................... 91 5.2.3. Realizar el Análisis Diferencial ................................................................ 91 5.2.4. Definir la Política de Seguridad ............................................................... 92 5.2.5. Identificar los Activos de Información. ................................................... 92 5.2.6. Definir la Metodología de Análisis y Evaluación de Riesgos ................ 92 5.2.7. Tratamiento de Riesgos ........................................................................... 93 5.2.8. Definir el Plan de Continuidad del Negocio ............................................ 93 5.2.9. Definir el Gobierno de Tecnología Informática ....................................... 93 6. DESARROLLO DEL PROYECTO ............................................................................ 94 6.1. SOPORTE DE LA DIRECCIÓN......................................................................... 94 6.2. ALCANCE DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ............................................................................................................... 99 6.3. ANÁLISIS DIFERENCIAL ............................................................................... 102 6.3.1. Requisitos de la Norma ISO/IEC 27001:2013 ........................................ 102 6.3.2. Dominios, Objetivos de Control y Controles de Seguridad ................. 110 6.4. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ................................... 151 6.5. METODOLOGÍA DE ANÁLISIS Y EVALUACIÓN DE RIESGOS Y REPORTE DE EVALUACIÓN DE RIESGOS .................................................................................. 160 6.5.1. Metodología MAGERIT ........................................................................... 162 6.5.2. Inventario y Clasificación de Activos Informáticos.............................. 170 6.5.3. Identificación y Valoración de Amenazas ............................................. 189 6.5.4. Riesgo Potencial ..................................................................................... 204 6.6. DECLARACIÓN DE APLICABILIDAD ............................................................ 210 6.7. PLAN DE TRATAMIENTO DE RIESGOS ....................................................... 229 6.8. PLAN DE CONTINUIDAD DEL NEGOCIO ..................................................... 239 6.9. GOBIERNO DE TECNOLOGÍA INFORMÁTICA (COBIT) ............................... 248 7. CRONOGRAMA ..................................................................................................... 255 8. CONCLUSIONES ................................................................................................... 259 9. RECOMENDACIONES........................................................................................... 261 BIBLIOGRAFÍA ............................................................................................................. 262 LISTA DE TABLAS pág. Tabla 1. Dominios de una típica infraestructura TI en una organización. ......................... 28 Tabla 2. Amenazas a la seguridad de la información. ...................................................... 30 Tabla 3. Familia de estándares ISO/IEC 27000. .............................................................. 46 Tabla 4. Requisitos de la norma ISO-IEC 27001:2013. .................................................... 49 Tabla 5. Documentos obligatorios para el estándar ISO/IEC 27001:2013. ....................... 51 Tabla 6. Elementos de un Gobierno de TI........................................................................ 59 Tabla 7. Modelos de madurez de un Gobierno de TI. ...................................................... 59 Tabla 8. Objetivos de un Gobierno de TI. ........................................................................ 60 Tabla 9. Dominios de Control de COBIT. ......................................................................... 62 Tabla 10. Etapas del Ciclo de Vida de la Gestión del Servicio en ITIL. ............................ 65 Tabla 11. Principios de ISO 27014:2013. ......................................................................... 66 Tabla 12. Procesos de ISO 27014:2013. ......................................................................... 67 Tabla 13. Artículos de la Ley de Delitos Informáticos en Colombia. ................................. 68 Tabla 14. Ejes fundamentales de la Seguridad y Privacidad de la Información en la Estrategia de Gobierno en Línea. .................................................................................... 72 Tabla 15. Información de la Universidad de Córdoba. ..................................................... 75 Tabla 16. Áreas y funciones principales de la oficina de Sistemas y Telecomunicaciones. ........................................................................................................................................ 79 Tabla 17. Áreas y funciones de apoyo a la oficina de Sistemas y Telecomunicaciones. .. 80 Tabla 18. Materiales y Recursos utilizados en el proyecto. .............................................. 90 Tabla 19. Requisito de la Norma ISO/IEC 27001:2013. Contexto de la Organización. ... 103 Tabla 20. Requisito de la Norma ISO/IEC 27001:2013. Liderazgo. ................................ 104 Tabla 21. Requisito de la Norma ISO/IEC 27001:2013. Planificación. ........................... 105 Tabla 22. Requisito de la Norma ISO/IEC 27001:2013. Soporte. ................................... 106 Tabla 23. Requisito de la Norma ISO/IEC 27001:2013. Operación. ............................... 107 Tabla 24. Requisito de la Norma ISO/IEC 27001:2013. Evaluación del Desempeño. .... 107 Tabla 25. Requisito de la Norma ISO/IEC 27001:2013. Mejora. .................................... 108 Tabla 26. Nivel de Cumplimiento de los Requisitos de la Norma ISO/IEC 27001:2013. . 109 Tabla 27. Anexo A de la Norma ISO/IEC 27001:2013. Políticas de la Seguridad de la Información. ................................................................................................................... 110 Tabla 28. Anexo A de la Norma ISO/IEC 27001:2013. Organización de la Seguridad de la Información. ................................................................................................................... 111 Tabla 29. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de los Recursos Humanos. ...................................................................................................................... 113 Tabla 30. Anexo A de la Norma ISO/IEC 27001:2013. Gestión de Activos. ................... 115 Tabla 31. Anexo A de la Norma ISO/IEC 27001:2013. Control de Acceso. .................... 119 Tabla 32. Anexo A de la Norma ISO/IEC 27001:2013. Controles Criptográficos. ........... 123 Tabla 33. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad Física y del Entorno. 124 Tabla 34. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Operaciones. . 129 Tabla 35. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Comunicaciones. ...................................................................................................................................... 134 Tabla 36. Anexo A de la Norma ISO/IEC 27001:2013. Adquisición, Desarrollo y Mantenimiento de Sistemas. .......................................................................................... 136 Tabla 37. Anexo A de la Norma ISO/IEC 27001:2013. Relaciones con los Proveedores. ...................................................................................................................................... 140 Tabla 38. Anexo A de la Norma ISO/IEC 27001:2013. Gestión de Incidentes de Seguridad de la Información. .......................................................................................................... 142 Tabla 39. Anexo A de la Norma ISO/IEC 27001:2013. Aspectos de Seguridad de la Información de la Gestión e la Continuidad del Negocio. ............................................... 144 Tabla 40. Anexo A de la Norma ISO/IEC 27001:2013. Cumplimiento. ........................... 146 Tabla 41. Nivel de Cumplimiento de los Dominios de Control de la Norma ISO/IEC 27002:2013. ................................................................................................................... 149 Tabla 42. Dimensiones de Seguridad para la Identificación y Valoración de Amenazas en MAGERIT. ..................................................................................................................... 163 Tabla 43. Clasificación de los tipos de activos informáticos en MAGERIT. .................... 164 Tabla 44. Catálogo de Amenazas sobre los activos informáticos en MAGERIT. ............ 166 Tabla 45. Probabilidad o Frecuencia de ocurrencia de las amenazas en MAGERIT. ..... 167 Tabla 46. Estimación cualitativa del riesgo. ................................................................... 169 Tabla 47. Salvaguardas sobre los activos informáticos en MAGERIT. ........................... 170 Tabla 48. Activos informáticos en la oficina de Sistemas y Telecomunicaciones de la Universidad de Córdoba. ............................................................................................... 171 Tabla 49. Valoración cualitativa de los activos informáticos en MAGERIT. .................... 177 Tabla 50. Clasificación de los riesgos según la Zona de Riesgos. ................................. 207
Description: