SISTEMA SEGURIDAD INFORMATICA.

UNIVERSIDAD NACIONAL

“JOSÉ FAUSTINO SÁNCHEZ CARRIÓN”

[pic 1]

FACULTAD DE INGENIERÍA INDUSTRIAL, SISTEMAS E INFORMÁTICA

ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA INFORMÁTICA

“

PROPUESTA DE UN PLAN DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EL TRIBUNAL CONSTITUCIONAL BASADA EN LA NORMA TÉCNICA PERUANA: NTP - ISO / IEC 27001:2008 EDI. TECNOLOGÍA DE LA INFORMACIÓN

Tesis para optar por el título de Ingeniero Informático, que presentan

los bachilleres:

Callirgos de la Cruz Jayne Marly

Utani Suel Erika Roxana

Asesor:

Ing Lino R. Rodriguez Alegre

HUACHO - PERÚ

2 016

INTRODUCCIÓN                                        

Los sistemas de información de las organizaciones desarrollan su misión en un entorno hostil y son responsables de la protección de la información que gestionan ante las amenazas de este entorno y deben, por todos los medios disponibles, garantizar su confidencialidad, integridad y disponibilidad.

Desde hace tiempo, hay una creciente preocupación por todos los aspectos relacionados con la seguridad. La organizaciones, públicas o privadas, grandes o pequeñas, se enfrentan día a día a amenazas contra sus recursos informáticos, con elevado riesgo de sufrir incidentes de alto impacto en su actividad. El imparable avance de las nuevas tecnologías en las organizaciones y, en general, el desarrollo de la Era de la información agrava constantemente esta situación.

Los riesgos que surgen relacionados con tecnologías y procesos, requieren soluciones y servicios emergentes para garantizar, de forma continua en el tiempo, la actividad de las organizaciones, la seguridad de la información base del negocio y los derechos de los individuos, en una sociedad cada vez más informatizada. Podemos inferir que la seguridad no es un producto: es un proceso continuo que debe ser controlado, gestionado y monitorizado.

El contenido del trabajo de investigación que se pone a consideración analizará el desarrollo la formulación         un         Plan de Seguridad de la Información para proteger los datos e información  del Tribunal Constitucional tomando como referencia la norma ISO/IEC 27001 y que tiene como equivalencia en la normativa nacional la Norma Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información: Código de Buenas Prácticas para la gestión de la Seguridad de la Información. Requisitos”, la misma que sienta las bases para la implementación de los sistemas de gestión de seguridad de la información en las entidades integrantes del sistema nacional de informática.

Capítulo I: GENERALIDADES        

1.1 Aproximación al Sistema de Gestión de la Seguridad de la Información

El uso intensivo de las Tecnologías de Información y Comunicaciones (TICs) contribuye a la optimización de  las actividades y procesos de las organizaciones además de potenciar la  productividad de las personas. Adicionalmente, las TICs  facilitan el manejo de la información la que puede  estar en almacenada en múltiples formatos: papel,   electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, entre otras,  haciendo que la misma se haya  convertido en uno de los activos más importantes dentro de las organizaciones^[1].

De allí la necesidad de protegerla sea si esta tiene relación con el negocio o sus clientes. Por ello las organizaciones destinan  parte importante de su presupuesto a la gestión de seguridad de la información; sin embargo,  tampoco deja de ser cierto que los avances tecnológicos han creado un acceso a la información que es demasiado grande para las barreras que se puedan establecer. Por lo tanto, las organizaciones deben aprender la manera de cómo aceptar el cambio de manera segura.

En el contexto de la investigación a desarrollarse entenderemos por información al conjunto de datos organizados en poder de una entidad  los cuales poseen valor para la misma, independientemente de la forma en que se guarde o transmita, su origen (de la propia organización o de fuentes externas) o la fecha de elaboración.

Ahora bien, los sistemas de información de las organizaciones, como activos críticos de esta,  están expuestos producto de cualquier vulnerabilidad existente en los sistemas a un número cada vez más elevado de amenazas tanto de orden fortuito como destrucción, incendio o inundaciones o las de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.

La presencia de amenazas como los virus informáticos, malware, phishing, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes, pero también están los riesgos de incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o las provocadas de modo accidental  por catástrofes naturales y fallas técnicas.

La Ilustración 1-1 nos muestra como los activos de información de una organización están rodeados de un ambiente complejo lleno de amenazas que pueden ir desde simples virus de computadora hasta robo de la propiedad intelectual de la empresa.

[pic 2]

Figura 1.1.Activos de Información y sus amenazas

Los modelos de seguridad tradicionales se enfocan en mantener alejados a los atacantes externos. La realidad es que existen amenazas tanto dentro como fuera de la organización. La tecnología móvil, computación en nube, las redes sociales y el sabotaje por parte de los empleados son solo algunas de las amenazas internas que enfrentan las empresas. A nivel externo, no solo se trata del hacker solitario que ataca por gusto. En general, el entorno de riesgo está cambiando

Un Sistema de Gestión de la Seguridad de la Información (SGSI),  es pues, en primera instancia una herramienta de la que disponen los segmentos estratégicos de la organización para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información.

Al igual que otros Sistemas de Gestión,  la articulación de la secuencia y la documentación de las   actividades que comprende toman como referencia  estándares internacionales. Así, por ejemplo, la calidad se gestiona según la Norma ISO 9001, el impacto medioambiental según la Norma ISO 14001 y la prevención de riesgos laborales según  el OHSAS 18001.

El ISO 27001 viene a ser el estándar de gestión de seguridad de la información y debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización y al igual como lo es la ISO  9001 para la calidad, un  Sistema de Gestión de la Seguridad de la Información (SGSI), podría considerarse como el sistema de calidad para la seguridad de la información; sin embargo, se debe precisar que es virtualmente imposible garantizar un nivel de protección total, incluso en el caso de disponerse de un presupuesto ilimitado y dado que ya no existe la opción de estar 100% seguros, las organizaciones deben crear una estrategia enfocada que proteja la información más importante y que responda rápidamente cuando ocurra una violación.

Por lo tanto, el propósito de un sistema de gestión de la seguridad de la información es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías

Un sistema de gestión de la  seguridad de la información debe buscar un equilibrio entre el nivel de seguridad y el costo y, como premisa inicial  debe  plantearse dos preguntas importantes^[2]:

• ¿Cuáles son las medidas que las compañías deben tomar en el mundo hiperconectado y sin fronteras de hoy?

• ¿En qué momento las empresas son lo suficientemente seguras?

Por otro lado, los avances tecnológicos por las tendencias de utilizar elementos como las redes sociales, la computación en la nube (cloud computing) y el uso de dispositivos personales móviles en la empresa (byod - bring your own device)han creado un acceso a la información que es demasiado grande para las barreras incrementando cambios en el entorno de riesgo que enfrenta las organizaciones. En esa medida,  es  tiempo de replantear los programas de seguridad de la información y las estrategias que las compañías deben utilizar para mantener a salvo sus activos más valiosos aprendiendo a aceptar el cambio de manera segura.

...