Beruflich Dokumente
Kultur Dokumente
PROYECTO DE TESIS
FORMULACIN DEL PROYECTO Y EXPEDIENTE TCNICO DE LA
INFRAESTRUCTURA DE RED DE DATOS EN SUBCAFAE CUSCO S.E.
PRESENTADO POR:
Asesor:
Mgt. Ing. Edwin Carrasco Poblete
CUSCO PERU
2016
INTRODUCCION
SUBCAFAE Cusco S.E., es una empresa de rubro financiero que se encuentra en una etapa de
expansin geogrfica (Agencias), actualmente cuenta con 10 agencias en diferentes provincias
del Cusco, Apurmac y Madre de Dios; SUBCAFAE Cusco S.E. cuenta con conexin a internet en
todas sus agencias, pero no cuentan con una red de datos integral.
Al no contar con una red de datos integral en la empresa genera retrasos de tiempos al pedir
informacin va telfono desde las distintas agencias, al realizar la bsqueda solicitada y
enviarla nuevamente a la agencia solicitante.
Actualmente SUBCAFAE Cusco S.E. cuenta con instalaciones precarias red como: la mala
distribucin de puntos de red, cables de red mal armados con los hilos fuera de los conectores,
canaletas en mal estado , carecen de mecanismos de defensa contra ataques, no emplean
ningn tipo de polticas, normas o estndares de gestin de la informacin, los ambientes
donde se encuentran los equipos de la infraestructura de red (servidores, switch, routers) no
son los adecuados y estn accesibles para cualquier persona.
2
Contenido
1. PLANEAMIENTO DEL PROBLEMA........................................................................................ 4
1.1. AMBITO DE INFLUENCIA DE LA TESIS ................................................................................. 4
1.1.1. UBICACION GEOGRAFICA ........................................................................................... 4
1.2. AMBITO DE INFLUENCIA TEORICA ...................................................................................... 4
1.3. DESCRIPCION DEL PROBLEMA .................................................................................... 5
1.4. JUSTIFICACIN DE LA INVESTIGACION ............................................................................... 5
1.4.1. RELEVANCIA SOCIAL ................................................................................................... 6
1.4.2. RELEVANCIA CIENTFICA ............................................................................................. 6
1.4.3. RELEVANCIA APLICATIVA............................................................................................ 7
1.5. FORMULACIN DEL PROBLEMA ......................................................................................... 7
1.5.1. FORMULACIN INTERROGATIVA DEL PROBLEMA GENERAL ..................................... 7
1.5.2. FORMULACION INTERROGATIVA DE LOS PROBLEMAS ESPECIFICOS......................... 7
1.6. OBJETIVOS........................................................................................................................... 7
1.6.1. OBJETVO GENERAL ..................................................................................................... 7
1.6.2. OBJETIVOS ESPECFICOS ............................................................................................. 7
1.7. METODOLOGA DE LA TESIS................................................................................................ 8
1.7.1. TIPO DE INVESTIGACION ............................................................................................ 8
1.7.2. NIVEL DE LA INVESTIGACION...................................................................................... 8
2. MARCO TERICO ................................................................................................................ 9
2.1 ANTECEDENTES DE LA TESIS ............................................................................................... 9
2.1.1 ANTECEDENTES A NIVEL NACIONAL ................................................................................... 9
2.1.2 ANTECEDENTES A NIVEL INTERNACIONAL........................................................................ 11
2.2 BASES TEORICAS-CIENTIFICAS........................................................................................... 13
2.3 SEGURIDAD INFORMTICA ............................................................................................... 20
2.4 NORMA TCNICA NTP-ISO/IEC 27000............................................................................... 24
2.5 CIRCULAR N G-167-2012 ................................................................................................. 27
3 PLAN DE ACTIVIDADES ...................................................................................................... 36
4 RECURSOS Y PRESUPUESTO .............................................................................................. 37
5 ANEXOS ............................................................................................................................. 38
BIBLIOGRAFA ................................................................................................................................... 40
3
1. PLANEAMIENTO DEL PROBLEMA
Actualmente SUBCAFAE Cusco no cuenta con una infraestructura de red de datos, adems de
que tienen instalaciones precarias de red como: Cableado de red tendido por el suelo de las
oficinas, cables de red mal armados con hilos fuera de los conectores, cables de red parchados
con cintas adhesivas, canaletas en mal estado y mal colocados, espacios inadecuados donde
se encuentran los equipos de comunicacin (routers, switch, servidores), no cuentan con
mecanismos de defensa contra ataques, no cuentan con medidas de seguridad para accesar a
los equipos de comunicacin y no emplean ningn tipo de polticas, normas o estndares de
gestin de la informacin.
El hecho de que SUBCAFAE Cusco S.E. cuente con varias agencias en distintas regiones y no
cuente con una infraestructura de red de datos integral conlleva a tener varios problemas
como la mala gestin de seguridad, comunicacin deficiente, mala administracin de recursos
tecnolgicos, limitaciones de administracin, inexequibilidad de informacin, retraso en los
procesos de la empresa y prdida de tiempo.
5
VER Anexo 2 (Especificaciones de puntos de red para el edificio)
Con el desarrollo del expediente tcnico de la infraestructura de red de datos SUBCAFAE Cusco
S.E., se mejorara la comunicacin, confiabilidad, disponibilidad e integridad de datos, retrasos
en los diferentes procesos que estn involucrados con tecnologas de comunicacin; mientras
que las normativas en las cuales nos apoyaremos para realizar el presente proyecto se
generara polticas de gestin para realizar las diversas tareas de la infraestructura de red de
datos tales como la implementacin, mantenimiento y monitoreo de la misma.
Una infraestructura de red de datos integral nos permite una comunicacin segura, rpida,
eficiente y disponible entre los colaboradores, servicios y tecnologas de una organizacin en
cualquier momento y en distintos puntos geogrficos.
6
1.4.3. RELEVANCIA APLICATIVA
En este Proyecto disearemos el expediente tcnico de la implementacin de una
infraestructura de red de dato; esta infraestructura de red de datos se puede aplicar en toda
empresa que requiera conectividad, transferencia de datos, monitoreo, soporte informtico,
utilizacin de servicios, administracin de tecnologas y seguridad en distintos puntos
geogrficos, utilizando las tecnologas que se adecuen de mejor manera a la empresa.
7
1.7. METODOLOGA DE LA TESIS
Esta investigacin tiene carcter Descriptivo y Aplicativo. Tiene carcter descriptivo porque
comprende el registro, anlisis e interpretacin de la naturaleza actual, es decir, trabaja sobre
realidades de hechos presentes. Los datos son generalmente obtenidos por pruebas,
entrevistas y observacin de los fenmenos. Tambin tiene carcter aplicativo ya que los
hechos estudiados y provocados por los investigadores en forma planeada y controlada,
permiten llevar a cabo la experimentacin.
Nuestro estudio pretende que la infraestructura de red para la entidad antes mencionada
cumpla con los estndares dictados por la Superintendencia de banca y seguros (NTP ISO/IEC
27001:2014 y Circular G-167-2012 SBS).
8
Esto podr liberar la carga de la sede principal de SUBCAFAE Cusco S.E., dar acceso a distintos
usuarios que se encuentran en las dems sedes mejorando la gestin de seguridad y
comunicacin de la empresa.
2. MARCO TERICO
2.1 ANTECEDENTES DE LA TESIS
2.1.1 ANTECEDENTES A NIVEL NACIONAL
1) TESIS DE GRADO:
TITULO: DESARROLLO DE UNA PROPUESTA DE NORMATIVA PARA INFRAESTRUCTURA DE
TELECOMUNICACIONES EN EDIFICIOS Y VIVIENDAS.
AUTOR: Shirley Stephanie lvarez Morales.
Conclusiones:
Se realiz un anlisis general de las normas, leyes y estndares internacionales, como por
ejemplo Estados Unidos, Espaa y Argentina, relacionados a la infraestructura de
telecomunicaciones para viviendas y edificaciones residenciales con la finalidad de
establecer en el Captulo 3 una relacin entre ellas y cada una de las partes que intervienen
en la infraestructura interna de las edificaciones. (MORALES, 2012, pg. 164)
2) TESIS DE GRADO:
TITULO: LA IMPLEMENTACIN DE UNA HONEYNET EN LA INFRAESTRUCTURA DE RED DE
DATOS DE LA E.P.S. SEDACUSCO PARA INCREMENTAR LA SEGURIDAD DE SUS SERVIDORES.
AUTOR(ES): Wernher Ral Aragn Nez del Prado y Henry Edward Palomino
Conclusiones:
Para realizar la implementacin de una Honeynet es fundamental realizar el estudio previo
de la infraestructura de la red, ya que los escenarios nunca son los mismos y la
configuracin de cada Honeypot varia acorde a las necesidades de cada red.
Estos elementos de seguridad nos ayudaran a entender el comportamiento de nuestros
posibles atacantes y poder tener un plan de contingencia para los ataques que podamos
sufrir. (NEZ DEL PRADO & PALOMINO, 2016, pg. 144)
3) TESIS DE GRADO:
TITULO: DISEO DE INFRAESTRUCTURA DE TELECOMUNICACIONES PARA UN DATA
CENTER.
AUTOR: Liliana Raquel Castillo Devoto
Conclusiones:
9
Luego de haber revisado diferentes normas necesarias para el diseo de infraestructura
de red, se puede concluir que no siempre se cumplirn en su totalidad ya que las
caractersticas de las instalaciones de un edificio y las exigencias del cliente sern las que
definan el diseo real. Lo que se debe procurar es buscar solucin que ms se acerque a
las recomendaciones de las diferentes normas. (Devoto, 2008, pg. 104)
4) TESIS DE GRADO:
TITULO: EL GUA DE IMPLEMENTACIN DE LA SEGURIDAD BASADO EN LA NORMA ISO/IEC
27001, PARA APOYAR LA SEGURIDAD EN LOS SISTEMAS INFORMTICOS DE LA COMISARIA
DEL NORTE P.N.P EN LA CIUDAD DE CHICLAYO.
AUTOR: Julio Cesar Alcntara Flores.
Conclusiones:
7) TESIS DE GRADO:
TITULO: FORMULACIN DEL PROYECTO Y EXPEDIENTE TCNICO DE LA RED ACADMICO
ADMINISTRATIVA DEL COLEGIO SALESIANO CUSCO UTILIZANDO LA METODOLOGA PMI.
10
AUTOR: Shirley Stephanie lvarez Morales.
Conclusiones:
Se elabor un diseo tanto de para la red lgica como fsica del presente proyecto de red
de datos para el Colegio Salesiano.
Con toda la informacin de requerimientos realizada se pudo plasmar en un expediente
tcnico los detalles mnimos que deben tener los equipos para la implementacin de este
Proyecto. (WILL Y. V., 2011, pg. 123)
1) TESIS DE GRADO:
TITULO: DISEO Y COSTRUCCION DE UNA RED DE COMPUTO BAJO NORMAS
INTERNACIONALES, APLICADAS PARA UN LABORATORIO DE REDES DE COMPUTADORAS.
AUTOR: Emilio Neufti Mendoza Rios.
Conclusiones:
El seguimiento de los estndares de calidad con respecto a la construccin del
laboratorio, muestra que es una parte fundamental para obtener resultados
favorables, adems de confiabilidad y soporte en todos los aspectos, no solo en
este campo, si no en todos los ambientes de construccin que exijan una seguridad
al usuario final. Los resultados se reflejan del funcionamiento de la red, dispositivos
y la disponibilidad de la misma, esto se visualiz por medio de las prcticas de
conectividad y pruebas de funcionamiento en cada uno de los dispositivos y
mquinas. (RIOS , 2012, pg. 79)
2) TESIS DE GRADO:
TITULO: REDISEO LA RED DE DATOS (WAN) DE BANPRO INCORPORANDO NUEVAS
TECNOLOGIAS DE COMUNICACION.
AUTOR(ES): Juan Velsquez Zeballos, Luisa Herminia Padilla Diaz.
Conclusiones:
Las nuevas tecnologas de telecomunicaciones constituyen una solucin de Interconexin
de redes corporativas sobre diferentes medios, tales como redes pblicas, Internet, redes
Ethernet y acceso satelital. Estas tecnologas pueden sustituir a Frame Relay
proporcionando seguridad, alta disponibilidad, eficiencia, confidencialidad e integridad
11
de los datos, a precios competitivos y con alta escalabilidad. Sin embargo, la tecnologa
Frame Relay a pesar de los aos puede seguir siendo muy til para la implementacin de
redes confiables y de alta disponibilidad. (ZEBALLOS & DIAZ, 2006, pg. 147)
3) TESIS DE GRADO:
TITULO: HONEYPOT COMO HERRAMIENTA DE PREVENCIN Y DETECCIN DE
CIBERATAQUES EN LAS REDES DE DATOS DE LA FACULTAD DE INGENIERA EN SISTEMAS,
ELECTRNICA E INDUSTRIAL.
AUTOR: Javier Santiago Vargas Paredes.
Conclusiones:
Poseer conocimientos acerca de metodologas y dispositivos de seguridad informtica es
necesario ya que las TIC S (Tecnologas de la Informacin y la Comunicacin) avanza y la
informacin que se transmite por los diferentes medios de comunicacin son de gran
importancia para sus propietarios, por lo que es necesario proteger debidamente.
El manejo de la seguridad informtica en los sistemas informticos de la facultad revela
que los componentes no estn acordes con las necesidades y requerimientos que ellos
tienen para el desarrollo apropiado de su funcionamiento. (PAREDES, 2015, pg. 93)
4) TESIS DE GRADO:
TITULO: ANALISIS Y PROPUESTA DE CRITERIOS TECNICOS PAR EL DISEO DE CABLEADO
ESTRUCTURADO EN PROYECTOS DE REESTRUCCTURACION DE REDES DE DATOS Y
SERVICIOS AGREDADOS.
AUTOR: Jos Remigio Buestan Andrade.
Conclusiones:
Para el diseo de un data center se analiz la normativa TIA 942, la misma que permita
desarrollar un diseo ptimo de este espacio, que es considerado el de mayor importancia
de una red informtica; dentro del anlisis de la normativa se pudo establecer el rea
aceptable para el espacio fsico, el misma que no podr ser menor a los 14 m2, por lo que
el espacio depender directamente de la capacidad que tendr el sistema informtico y de
los requerimientos que existan. (ANDRADE, 2014, pg. 114)
5) TESIS DE GRADO:
TITULO: EL MODELO JERARQUICO, UNA INNOVACION TECNOLOGICA EN EL DESARROLLO
DE INFRAESTRUCTURA DE RED DE LA UNIVERSIDAD DE NAVOJOA.
AUTOR: Andrs Carballo Mendoza.
12
Conclusiones:
La instalacin, reestructuracin y administracin de la red en todas las reas de la
Universidad de Navojoa puede ayudar en la optimizacin de los recursos financieros y en
la reduccin de un 40% los costos de telefona, aparte de ofrecer amplios beneficios entre
ellos las video conferencias y audio conferencias. (MENDOZA, 2011, pg. 103)
TECNOLOGA DE REDES
El transporte de los datos informticos por las redes, transparente para los usuarios, es el fruto
de tecnologas complejas que ofrecen numerosos y variados servicios. Las nuevas tecnologas
de la informacin y la comunicacin (NTIC) permiten una flexibilidad de conexin a las redes
a la que Internet no es ajena.
REDES LAN
El trmino LAN (Local rea Network o red de rea local), este tipo de red es posible cuando
un grupo de computadoras se encuentran en un rea geogrfica definida, que tambin deben
de pertenecer a un mismo dominio de red.
Los estndares actuales de redes LAN son Ethernet y Wi-Fi.
13
Ilustracin 2 ESQUEMA DE UNA RED LAN
RECUPERADO DE DISEO DE REDES TELEMATICAS pag. 17
REDES MAN
El trmino MAN (Metropolitan rea Network o red de rea metropolitana), este tipo de red
es la que engloba a las redes LAN ubicadas en reas geogrficas relativamente cercanas
(Dentro de una ciudad); Al igual que las redes de tipo LAN pertenecen a una misma
organizacin. (Santos Gonzlez, 2014)
REDES WAN
WAN es la sigla de Wide Area Network, una expresin en lengua inglesa que puede traducirse
como Red de rea Amplia. Esto quiere decir que la red WAN es un tipo de red que cubre
distancias de entre unos 100 y unos 1.000 kilmetros, lo que le permite brindar conectividad
a varias ciudades o incluso a un pas entero.
14
Las redes WAN pueden ser desarrolladas por una empresa o una organizacin para un uso
privado, o incluso por un proveedor de Internet (ISP, Internet Service Provider) para brindar
conectividad a todos sus clientes.
Por lo general, la red WAN funciona punto a punto, por lo que puede definirse como una red
de paquete conmutado. Estas redes, por otra parte, pueden utilizar sistemas de comunicacin
de radio o satelitales. (Dordoigne, 2013)
MALLA.
En esta topologa cada dispositivo tiene un enlace dedicado y exclusivo por cada otro
dispositivo que forme parte de la red.
BUS.
Es una topologa multipunto donde un mismo enlace fsico acta como red troncal que une
todos los dispositivos a la red.
15
Ilustracin 5 MODELO DE TOPOLOGIA BUS RECUPERADO DE
DISEO DE REDES TELAMATICAS pag. 32
ANILLO.
En esta topologa cada dispositivo tiene una lnea de conexin dedicada y exclusiva solamente
con los dos dispositivos ms cercanos.
ESTRELLA.
En este caso, cada dispositivo solamente tiene un enlace dedicado con el controlador central,
llamado concentrador.
16
Ilustracin 7 MODELO DE TOPOLOGIA EN ESTRELLA
RECUPERADO DE DISEO DE REDES TELAMATICAS pag. 32
RBOL.
Esta topologa es una variante de la topologa en estrella.
HBRIDA.
Se utiliza este trmino para referirse a la combinacin de varias de las topologas anteriores.
17
Ilustracin 9 MODELO DE TOPOLOGIA HIBRIDA
RECUPERADO DE DISEO DE REDES TELAMATICAS pag. 33
PROTOCOLOS.
ARQUITECTURA TCP/IP
TCP/IP es un modelo dividido en niveles, basado en dar soluciones de interconexin.
Tiene una similitud con el modelo OSI, y coinciden en algunos niveles, La arquitectura TCP/IP
consta con 5 niveles (Santos Gonzlez, 2014):
1) El nivel ms externo est la capa de aplicacin; el cual nos permite el contacto con el
usuario.
2) En el nivel intermedio tenemos al transporte y la red, quienes en conjunto son los
encargados de llevar la data al destino elegido.
3) Y en el nivel inferior tenemos a capa de enlace y fsico, son el punto de acceso de la
data.
18
PROTOCOLO DE RED IP
ENRUTAMIENTO
PROTOCOLOS DE ENRUTAMIENTO
A efectos de enrutamiento de informacin se define un sistema autnomo como una coleccin
de redes que estn bajo el control administrativo de una nica organizacin y que comparten
una misma estrategia de enrutamiento. (Santos Gonzlez, 2014)
Tipos de protocolos de enrutamiento:
19
B. EGP (Exterior Gateway Protocol). Antiguo protocolo de pasarela exterior que ha sido
20
La Seguridad Fsica: puede asociarse a la proteccin del sistema ante las amenazas fsicas,
incendios, inundaciones, edificios, cables, control de accesos de personas, etc.
PRINCIPIOS DE SEGURIDAD
El intruso al sistema utilizar el artilugio que haga ms fcil su acceso y posterior ataque. Los
datos confidenciales deben protegerse slo hasta que ese secreto pierda su valor como tal.
(Santos Gonzlez, 2014)
AMENAZAS
Las amenazas afectan principalmente al hardware, al software y a los datos. stas se deben a
fenmenos de:
Interrupcin
Interceptacin
Modificacin
Generacin
INTERRUPCIN
Es un ataque centrado en la disponibilidad en el cual un componente del sistema o de la red
se encuentra no disponible o inutilizable. La interrupcin de un canal de comunicacin o la
denegacin de servicios son ejemplos de este tipo de ataques.
21
Ilustracin 11 INTERRUPCION
RECUPERADO DE https://proyectos.ingeniovirtual.com.ar/projects/ipv6/wiki/Amenazas.
INTERCEPCIN
Es un ataque dirigido a la confidencialidad en el cual una parte no autorizada consigue acceso
a un componente. La parte no autorizada puede ser una persona, un programa o una
computadora. Un ejemplo tpico es la escucha en un canal de comunicacin para obtener
datos.
Ilustracin 12 INTERCEPTACION
RECUPERADO DE https://proyectos.ingeniovirtual.com.ar/projects/ipv6/wiki/Amenazas.
MODIFICACIN
22
Es un ataque dirigido hacia la integridad en el cual un elemento no autorizado no solo tiene
acceso a un componente si no que es capaz de modificarlo. La modificacin de mensajes que
se transmiten por la red es un claro ejemplo de este ataque.
Ilustracin 13 MODIFICACION
RECUPERADO DE https://proyectos.ingeniovirtual.com.ar/projects/ipv6/wiki/Amenazas.
GENERACIN
Es un ataque dirigido contra la autenticacin en el cual un elemento no autorizado inserta
objetos extraos en el sistema como por ejemplo la insercin de mensajes externos a una red.
Ilustracin 14 FABRICACION
RECUPERADO DE https://proyectos.ingeniovirtual.com.ar/projects/ipv6/wiki/Amenazas.
23
Ilustracin 15 ESCENARIOS DE LAS AMENAZAS DE UN SISTEMARECUPERADO DE SEGURIDAD EN LA
INFORMATICA DE EMPRESA: RIESGOS, AMENAZAS, PREVEN CION Y SOLUCIONES
LIDERAZGO Y COMPROMISO
La alta direccin debe demostrar liderazgo y compromiso respecto del sistema de gestin de
seguridad de la informacin
POLTICA
La alta direccin debe establecer una poltica de seguridad de la informacin. (intercambio,
2014)
24
ROLES, RESPONSABILIDADES Y AUTORIDADES ORGANIZACIONALES
La alta direccin debe asegurar que las responsabilidades y la autoridad para los roles
relevantes a la seguridad de la informacin estn asignadas y comunicadas.
PLANIFICACIN
Cuando se planifica para el sistema de gestin de seguridad de la informacin, la organizacin
debe considerar. (intercambio, 2014)
b) determinar todos los controles que son necesarios para implementar la(s) opcin(es)
elegida(s) de tratamiento de riesgos de seguridad de la informacin.
SOPORTE
25
La organizacin debe determinar y proporcionar los recursos necesarios para el
establecimiento, implementacin, mantenimiento y mejora continua del sistema de gestin
de seguridad de la informacin. (intercambio, 2014)
COMUNICACIN
La organizacin debe determinar la necesidad de comunicaciones internas y externas
relevantes al sistema de gestin de seguridad de la informacin incluyendo (intercambio,
2014):
a) qu comunicar;
b) cundo comunicar;
c) a quin comunicar;
OPERACIN
La organizacin debe planificar, implementar y controlar los procesos necesarios para cumplir
con los requisitos de seguridad de la informacin e implementar las acciones determinadas
en 6.1. La organizacin debe tambin implementar planes para lograr los objetivos de
seguridad de la informacin. (intercambio, 2014)
MEJORAS
26
b) evaluar la necesidad de la accin para eliminar las causas de la no conformidad con el fin
de que no recurra u ocurra en otro lugar de las siguientes maneras:
1) revisando la no conformidad;
MEJORA CONTINUA
La organizacin debe mejorar continuamente la conveniencia, adecuacin y efectividad del
sistema de gestin de seguridad de la informacin.
27
Las empresas debern establecer, mantener y documentar un sistema de gestin de
la seguridad de la informacin (SGSI).
Las actividades mnimas que deben desarrollarse para implementar el SGSI, son las
siguientes:
a) Definicin de una poltica de seguridad de informacin aprobada por el
Directorio.
b) Definicin e implementacin de una metodologa de gestin de riesgos, que
guarde consistencia con la gestin de riesgos operacionales de la empresa.
c) Mantenimiento de registros adecuados que permitan verificar el
cumplimiento de las normas, estndares, polticas, procedimientos y otros
definidos por la empresa, as como mantener pistas adecuadas de auditora.
ESTRUCTURA ORGANIZACIONAL
Las empresas deben contar con una estructura organizacional que les permita
implementar y mantener el sistema de gestin de la seguridad de informacin.
Asimismo, deben asegurarse que se desarrollen las siguientes funciones, ya sea a
travs de una unidad especializada o a travs de alguna de las reas de la empresa:
a) Asegurar el cumplimiento de la poltica de seguridad de informacin y de
la metodologa definida por la empresa.
b) Coordinar y monitorear la implementacin de los controles de seguridad
de informacin.
c) Desarrollar actividades de concientizacin y entrenamiento en seguridad
de informacin.
d) Evaluar los incidentes de seguridad de informacin y recomendar
acciones apropiadas.
La Superintendencia podr requerir la creacin de una unidad especializada en
gestin de la seguridad de informacin en empresas que a su criterio resulten
complejas, y cuando se observe en el ejercicio de las acciones de supervisin que no
se cumple con los criterios previstos en la normativa vigente.
CONTROLES DE SEGURIDAD DE INFORMACIN
28
Como parte de su sistema de gestin de la seguridad de informacin, las empresas
debern considerar, como mnimo, la implementacin de los controles generales que
se indican como:
SEGURIDAD LGICA
a) Procedimientos formales para la concesin, administracin de derechos y
perfiles, as como la revocacin de usuarios.
b) Revisiones peridicas sobre los derechos concedidos a los usuarios.
c) Los usuarios deben contar con una identificacin para su uso personal, de tal
manera que las posibles responsabilidades puedan ser seguidas e identificadas.
d) Controles especiales sobre utilidades del sistema y herramientas de auditora.
e) Seguimiento sobre el acceso y uso de los sistemas para detectar actividades
no autorizadas.
f) Controles especiales sobre usuarios remotos y computacin mvil.
SEGURIDAD DE PERSONAL
a) Definicin de roles y responsabilidades establecidos sobre la seguridad de
informacin.
b) Verificacin de antecedentes, de conformidad con la legislacin laboral vigente.
c) Concientizacin y entrenamiento.
d) Procesos disciplinarios en caso de incumplimiento de las polticas de seguridad,
de conformidad con la legislacin laboral vigente.
e) Procedimientos definidos en caso de cese del personal, que incluyan aspectos
como la revocacin de los derechos de acceso y la devolucin de activos.
29
a) Realizar y mantener un inventario de activos asociados a la tecnologa de
informacin y asignar responsabilidades respecto a la proteccin de estos
activos.
b) Realizar una clasificacin de la informacin, que debe indicar el nivel de riesgo
existente para la empresa, as como las medidas apropiadas de control que
deben asociarse a las clasificaciones.
30
c) Aplicar tcnicas de encriptacin sobre la informacin crtica que debe ser
protegida.
d) Definir controles sobre la implementacin de aplicaciones antes del ingreso a
produccin.
e) Controlar el acceso a las libreras de programas fuente.
f) Mantener un estricto y formal control de cambios, que ser debidamente
apoyado por sistemas informticos en el caso de ambientes complejos o con
alto nmero de cambios.
g) Controlar las vulnerabilidades tcnicas existentes en los sistemas de la
empresa.
PROCEDIMIENTOS DE RESPALDO
a) Procedimientos de respaldo regular y peridicamente validado. Estos
procedimientos deben incluir las medidas necesarias para asegurar que la
informacin esencial pueda ser recuperada en caso de falla en los medios o
luego de un desastre. Estas medidas sern coherentes con la estrategia de
continuidad de negocios de la empresa.
b) Conservar la informacin de respaldo y los procedimientos de restauracin en
una ubicacin a suficiente distancia, que evite exponerlos ante posibles
eventos que comprometan la operacin del centro principal de procesamiento.
CUMPLIMIENTO NORMATIVO
31
Las empresas debern asegurar que los requerimientos legales, contractuales, o de
regulacin sean cumplidos, y cuando corresponda, incorporados en la lgica interna de las
aplicaciones informticas.
PRIVACIDAD DE LA INFORMACIN
Las empresas deben adoptar medidas que aseguren razonablemente la privacidad de la
informacin que reciben de sus clientes y usuarios de servicios, conforme a la normatividad
vigente sobre la materia.
(FELIPE TAM FOX Superintendente de Banca, 2009)
(DANIEL SCHYDLOWSKY ROSENBERG Superintendente de Banca, 2012)
32
3 PLAN DE ACTIVIDADES
36
4 RECURSOS Y PRESUPUESTO
COSTOS DE INVESTIGACION
Costo de Servicios
37
5 ANEXOS
50 Puntos de Red Puntos de red para uso de La distribucin de estos puntos para
equipos de cmputo de uso de usuarios ser escalable
usuarios
25 Puntos de Red Puntos de red para video Colocados en cada oficina , salas de
vigilancia reuniones y pasillos
38
Anexo 3 Distribucin de reas en SUBCAFAE Cusco S.E.
CONTABILIDAD GERENCIA
39
BIBLIOGRAFA
27000, ISO. (18 de 09 de 2016). Obtenido de HTTP://www.iso27000.es/sgsi.html
FELIPE TAM FOX Superintendente de Banca, S. y. (Dos de Abril de 2009). CIRCULAR N G- 140 -2009
Gestin de la seguridad de la informacin . El Perurano.
NEZ DEL PRADO, R. A., & PALOMINO, H. E. (2016). TITULO: LA IMPLEMENTACIN DE UNA
HONEYNET EN LA INFRAESTRUCTURA DE RED DE DATOS DE LA E.P.S. SEDACUSCO PARA
INCREMENTAR LA SEGURIDAD DE SUS SERVIDORES. CUSCO.
40
RIOS , E. M. (2012). TITULO: DISEO Y COSTRUCCION DE UNA RED DE COMPUTO BAJO NORMAS
INTERNACIONALES, APLICADAS PARA UN LABORATORIO DE REDES DE COMPUTADORAS.
MEXICO.
ZEBALLOS , J. V., & DIAZ, L. P. (2006). REDISEO LA RED DE DATOS (WAN) DE BANPRO
INCORPORANDO NUEVAS TECNOLOGIAS DE COMUNICACION.
41