ORGANISMO PÚBLICO DESCENTRALIZADO DEL GOBIERNO DEL ESTADO CLAVE

INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO[pic 1]

ORGANISMO PÚBLICO DESCENTRALIZADO DEL GOBIERNO DEL ESTADO CLAVE: 31ETI0004Q

[pic 2]

SISTEMA GERENCIAL PARA LA SEGURIDAD DE LA INFORMACIÓN BASADO EN LA NORMA ISO27001:2005[pic 3]

INFORME TÉCNICO DE RESIDENCIA PROFESIONAL

CARRERA

INGENIERÍA EN ADMINISTRACIÓN

RESIDENTE

IRVING ISAÍAS GÓMEZ CHI

ASESORA EXTERNO

LIC. ERNESTO GUTIÉRREZ CEDILLO

ASESOR INTERNO

MTRO. GABRIEL MAY CUEVAS

PROGRESO YUCATÁN 2015

CARTA DE TERMINACIÓN

CONTENIDO

Carta de terminación

Contenido

Índice de tablas y figuras

Resumen

CAPÍTULO I: INTRODUCCIÓN

Justificación

Objetivos

Fundamento teórico

CAPÍTULO II: IDENTIFICACIÓN DE LA PROBLEMÁTICA

Características del área        

Identificación de la problemática

Alcances y limitaciones

CAPÍTULO III. METODOLOGÍA

Actividad 1

Actividad 2

CAPÍTULO IV. RESULTADOS Y ANÁLISIS DE DATOS

Resultados, planos, gráficas, prototipos y programas.

CAPÍTULO V. CONCLUSIONES Y RECOMENDACIONES

CAPÍTULO VI. COMENTARIOS DEL RESIDENTE

REFERENCIAS

APÉNDICES

Apéndice A

ÍNDICE DE TABLAS Y FIGURAS

TABLAS

Tabla 1

Tabla 2

FIGURAS

Figura 1

Figura 2

Figura 3

RESUMEN

     El siguiente informe técnico de residencia profesional a desarrollar en la empresa Multibisne pretende explicar la propuesta de un diseño de un Sistema de Gestión de Seguridad de la Información (SGSI), para brindar un servicio eficiente; en este documento se podrá encontrar el siguiente contenido.

     Justificación, en esta sección se establece los argumentos de por qué es necesario establecer un SGSI indicando la problemática.

En los Objetivos se describen los logros que se pretenden alcanzar al desarrollar el SGSI tanto el objetivo general como los específicos.

     Posteriormente se encuentra el fundamento teórico donde se plasman  todos los acontecimientos más importantes en cuanto al tema de Seguridad de la Información, argumentado por autores de libros sobresalientes, así como de páginas de internet con  alto conocimiento y reconocido por el ISO27001 para brindar información a usuarios.

     En el apartado de características del área se hace mención a la descripción del departamento donde se desarrollará el residente profesional

     Identificación de la problemática se refiere a las áreas de oportunidad descubiertas durante la evaluación y se dan las posibles soluciones para hacer frente a dichos acontecimientos.

Alcance y limitaciones se hacen mención de los logros obtenidos en cuanto a los objetivos planteados y de igual manera las dificultades que se fueron descubriendo conforme a la evolución de la residencia.

     Procedimiento de las actividades realizadas en este apartado se enlistan las actividades más relevantes durante las 15 semanas que duro la residencia profesional.

Conclusiones y recomendaciones se enlistan los acontecimientos logrados en la aplicación de la propuesta de mejora y se hacen las recomendaciones necesarias para preservar la calidad

CAPÍTULO I. INTRODUCCIÓN

     La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

     El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

     Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

     El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.

    Entregas Electrónicas S.A. de C.V., por ser una empresa que ofrece servicios tecnológicos debe crear un Sistema de Gestión de Seguridad de la Información donde todo el personal de la organización debe estar involucrado para lograr cambios significativos en los procesos gestionados en todos los departamentos de la empresa, pero más aún en el departamento de Sistemas que es donde se encuentra el corazón de la empresa.

    Los puntos más importantes a diseñar del SGSI son:

Organización Interna

Gestión de Activos

Seguridad Ligada a los Recursos Humanos

Seguridad Física y Medio Ambiental

Gestión de Comunicaciones y Operaciones

Control de Acceso

Adquisición de Desarrollo y Mantenimiento de Sistemas de Información

Gestión de Incidentes en el SI

Gestión de Continuidad del Negocio

Justificación

     En la actualidad para poder trabajar en un entorno de forma segura, las empresas pueden resguardar sus datos e información de valor con la ayuda de un Sistema de Gestión de Seguridad de la Información, para comprender que es un  Sistema de Gestión de Seguridad de la Información podemos definirla como una herramienta de gestión que nos va a permitir conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información en nuestra empresa.

     Multibisne ofrece servicios como ventas de recargas, saldos de monederos, seguros, telefonía pública, realiza operaciones bancarias; para efectuar estos servicios se cuenta con información de clientes, proveedores, colaboradores y medios de procesamiento de información (TIC’s).

     Toda esta información debe ser cuidada y respaldada de una forma muy completa ante amenazas de origen natural, como huracanes o incendios, de origen industrial como sobrecargas eléctricas o daños por agua, amenazas por errores y fallos no intencionados, por ejemplo mal entendidos con colaboradores o inexperiencia de los mismos y por último los ataques intencionados donde se encuentran los robos de información o la destrucción.

     Un claro ejemplo puede ser un colaborador de la empresa que infecte un equipo de cómputo por estar navegando en internet o por conectar un dispositivo extraíble con virus, éste a la vez como se encuentra conectado a la red interna se expande y elimina información de los clientes alojados en la base de datos, si en ese momento se comunica un cliente solicitando información sobre su saldo de monedero, no se le podrá otorgar puesto que dicha información ya no existirá, entonces la empresa tendría un problema grave.

     Es por esto que es necesaria la aplicación de un Sistema de Gestión de Seguridad de la Información con el modelo PDCA para optimizar tanto procesos internos como externos de la empresa manteniendo la Confiabilidad, Disponibilidad e Integridad de la información.

Objetivos

Objetivo general del proyecto

     Diseñar un Sistema de Gestión de Seguridad de la Información para mantener la Integridad, Confidencialidad y Disponibilidad de la información en la empresa Entregas Electrónicas S.A. de C.V. (Multibisne)

Objetivos específicos

     Realizar un diagnóstico de la situación actual de la empresa Entregas Electrónicas S.A. de C.V. (Multibisne)

     Definir la Política de Seguridad de la Información en la empresa Entregas Electrónicas S.A. de C.V. (Multibisne)

     Definir la documentación para el inicio de la implementación del Sistema de Gestión de Seguridad de la Información para la empresa Entregas Electrónicas S.A. de C.V. (Multibisne)

Fundamento teórico

Tecnología de la Información

     James O’Brian (2002) menciona que la importancia de la tecnología de información está reestructurando la base del negocio. El servicio al cliente, las operaciones, las estrategias del producto y del marketing, la distribución depende bastante o algunas veces, incluso por completo de la TI. Los computadores que respaldan estas funciones pueden encontrarse en el escritorio, en el taller, en las tiendas, incluso en maletines. La Tecnología de la Información y su costo se han convertido en un aspecto cotidiano de la vida empresarial. (p.43).

...