Gestion identidad

INTRODUCCION

La seguridad en las áreas de tecnología o de sistemas de las diferentes empresas públicas o privadas, está enfocada en diseñar los procedimientos que permitan asegurar la información, permitiendo aplicar los pilares más importantes de la misma seguridad que son la  de integridad, disponibilidad y confidencialidad. Es importante para una empresa reconocer cuáles son sus vulnerabilidades y los riegos frente a una amenaza, pero lo más importante determinar el impacto que sobre ésta pueda ocasionar dicha amenaza.

La Unidad Administrativa Especial para la consolidación Territorial – UACT es una entidad del estado colombiano perteneciente al sector de la inclusión social que cumple la función de administrar los recursos destinados al fortalecimiento de la institucionalidad en territorios afectados por la violencia consolidando territorios donde el gobierno está incursionando con programas de inclusión productiva, erradicación de cultivos ilícitos y disminución de la pobreza. Para tal fin esta entidad cuenta con una infraestructura tecnológica propia y realmente nueva, donde se ha diseñado e implementado todo un sistema tecnológico que incluye un Datacenter, servidores tipo Blade completamente virtualizados bajo una plataforma Microsoft y una topología de red propia, LAN para su sede en Bogotá y WAN para las 11 regionales (en el territorio nacional). Esta infraestructura cuenta con una serie de mecanismos de seguridad que permiten proteger en cierta medida a la entidad misma de vulnerabilidades pero que aún no posee los suficientes mecanismos para poder establecer las políticas de seguridad necesarias para minimizar el impacto de una posible amenaza.

Lo anterior define en parte el diseño de la infraestructura tecnológica de la Unidad Administrativa Especial para la Consolidación Territorial – UACT al ser una entidad joven a través del Grupo de Tecnología ha definido hasta ahora unos mecanismos de seguridad pero quiere ir más allá, encontrar las vulnerabilidades propias y externas para transmitirlas a la alta dirección de la entidad mencionando los riesgos y el impacto que se podría dar si no se toman las acciones correspondientes.

PLANTEAMIENTO DEL PROBLEMA

JUSTIFICACIÓN

1. JUSTIFICACIÓN TEÓRICA

Para la realización del proyecto se tiene como base la Teoría General de los Sistemas (TGS), que permite plantear de la mejor manera posible el objetivo al que se quiere llegar con el proyecto. Es decir que la Teoría General de los Sistemas contiene bases sólidas para la sustentación del actual proyecto, por ejemplo aquellas entradas y salidas que tendrá la consultoría que se verán sustentadas con esta teoría. Sin olvidar que debe haber unos procesos dentro del proyecto mismo y que serán retroalimentados en cada una de las fases y evolución de la consultoría.

Claramente cada uno de los factores que intervienen en el proyecto harán parte de éste y cada cambio a realizar debe ser tenido en cuenta porque  como la teoría lo indica al momento de realizar ajustes se puede cambiar la finalidad y el propósito de lo que se quiere lograr, no obstante siguiendo las pautas de la TGS se definirán las entradas, los procesos y las salidas para llevar un orden en el levantamiento de información, la realización de la consultoría.

Cada uno de los sistemas involucrados en la evolución del proyecto serán el engranaje ideal para la solución al problema que tiene la entidad., así que la TGS contribuirá con un modelo inicial teórico de lo que se pretende lograr con la puesta en marcha del proyecto: “CONSULTORIA DE LA SEGURIDAD DE LA INFORMACION PARA LA UNIDAD ADMINISTRATIVA ESPECIAL PARA LA CONSOLIDACION TERRITORIAL”.

1. JUSTIFICACIÓN METODOLÓGICA

El proyecto, que hace parte de una consultoría, permitirá que a través de implementar un Sistema de Gestión de  Seguridad de la Información se logre utilizar una metodología de investigación descriptiva, que describa cada una de las necesidades del cliente para luego implementarla en el mismo sistema de gestión y así se adopten todas las medidas necesarias para analizar, gestionar, controlar y mitigar cada uno de los riesgos existentes en la infraestructura tecnológica de la entidad.

No es fácil encontrar una metodología que se adecue de la mejor manera al proyecto de grado, tampoco es fácil que se siga al pie de la letra la metodología y cumplirla a cabalidad, sin embargo han surgido en el mercado y en la actualidad metodologías que permiten realizar los sistemas de Gestión de Seguridad de la información como el de la Norma ISO/IEC 27000, la cual será la base fundamental del presente proyecto y arrojara unos resultados los cuales serán tenidos por la Unidad Administrativa Especial para la Consolidación Territorial para la toma de decisiones, frente a su infraestructura tecnológica.

1. JUSTIFICACIÓN PRÁCTICA

La Unidad Administrativa Especial para la Consolidación Territorial es una entidad del Gobierno Nacional Encargada de gestionar y ejecutar la política de consolidación de territorios a Nivel Nacional para superar el conflicto armado en Colombia y a su vez de la erradicación de cultivos ilícitos.

Para realizar esta misión cuenta con oficinas misionales y de soporte, dentro de las áreas de soporte se encuentra la oficina de tecnología quien es la encargada de administrar la plataforma tecnológica y fijar políticas de seguridad  que ayudan a todos los colaboradores a realizar dicha misión que es de carácter social. Es así que esta área cuenta con una serie de activos vulnerables a las amenazas que se presentan actualmente para los sistemas de información. Por esta razón  al ser una entidad del estado colombiano y por su carácter social, maneja información sensible de Seguridad Nacional es por esto que necesita corroborar que los sistemas de seguridad hasta ahora implementados y los que faltan por implementar mitiguen y controlen toda clase de riesgos y que las amenazas tengan probabilidad baja de ocurrencia. Es así como necesita de un proyecto que le permita a través de las normas de seguridad de la información verificar que cuenta con los mecanismos y los controles necesarios para actuar en caso de que se presente un ataque y pueda repelerlo sin que se afecten sus sistemas de información.

OBJETIVO GENERAL

Realizar y Elaborar una consultoría de seguridad de la información para la Unidad Administrativa Especial para la Consolidación Territorial, que permita análisis, evaluación y control de los riesgos existentes en la misma entidad.

1. OBJETIVOS ESPECIFICOS

1. Definir el alcance y los límites del proyecto de seguridad de la red para la Unidad Administrativa Especial para la consolidación territorial.

2. Realizar un diagnóstico de seguridad de la red (Redes (LAN y WAN), seguridad perimetral, servidores, intranet) de la Unidad Administrativa Especial para consolidación Territorial.

3. Realizar un informe con los resultados obtenidos que permita detectar las vulnerabilidades y posibles riesgos frente a las amenazas que pueda tener la entidad.

4. Asesorar a la entidad en un plan de seguimiento, control y evaluación de los posibles riesgos y de las vulnerabilidades detectadas y de la aplicación de política de seguridad para evitar futuros.

ALCANCE

MARCO REFERENCIAL

ANTECEDENTES HISTORICOS

Es compresible para los ingenieros de redes y telecomunicaciones, sistemas, electrónicos, de software y áreas afines, que se hable de seguridad de la información desde hace ya bastantes siglos y años. Hay que remontarse a la historia misma del mensaje escrito, cuando se requería llevar información vital a los reyes y gobernantes sobre sus enemigos, aquel mensajero debía ocultar el mensaje sin ser descubierto, por la criticidad de la información y lo vulnerable de esta.

A través del tiempo, hasta llegar al inicio mismo de las computadoras,  la seguridad empezó a ser un tema vital, como lo relacionan muchos textos y documentos que sobre informática y seguridad relacionan su historia. “Los problemas de seguridad surgen desde antes de la interconexión de computadoras en los años 70’s y 80’s; estos problemas se remontan a los inicios del desarrollo de las máquinas de tiempo compartido, en donde se presentaban riesgos de acceso no autorizado y modificación de información. Previo a estos desarrollos, se hablaba de seguridad desde los inicios de la Segunda Guerra Mundial, donde surgieron los problemas de comunicación segura entre las diferentes tropas en misión; para solucionar estos problemas se empezó a hablar del cifrado de mensajes. Aunque la seguridad computacional, realmente tuvo un auge importante cuando se conectaron los computadores entre sí para compartir información, poco a poco se conectaban mayor cantidad de equipos llegando a un crecimiento exponencial, que presentaban cada vez mayor riesgo para asegurar la información.

...