UNIVERSIDAD ANDINA DEL CUSCO FACULTAD DE INGENIERIA CARRERA PROFESIONAL DE INGENIERIA DE SISTEMAS

Aplicacin del Estndar ISO/IEC 27002 en la Gestin de los Procesos de Seguridad de Informacin en la Unidad de Abastecimientos de la UAC Tesista: Bach. Manuel Marroqun Zapata. Docente Asesor: Ing. Luis Alberto Sota Orellana.
CUSCO 12 DE ABRIL DEL 2012

INTRODUCCION
La Informacin es un Activo vital. Es necesario implantar un sistema que aborde esta tarea. En la actualidad la Unidad Neurlgica de la Direccin General de Administracin de la Universidad Andina del Cusco es la Unidad de Abastecimientos. Direccin General de Administracin (DIGA), Vicerrectorado Administrativo (VRAD) y la Direccin de Planificacin (DIPLA). Unidad de Contabilidad, Unidad de Tesorera, Almacn, Unidad de Patrimonio y a la Direccin de Recursos Humanos La ejecucin de un tem del Operativo Institucional (POI) Manual de Organizacin y Funciones (MOF) ha quedado desfasado.
2

CAPITULO I: PLANTEAMIENTO DEL PROBLEMA

La Unidad de Abastecimientos es responsable del Abastecimiento de los Bienes y Servicios.

Controlar y ejecutar . Ejecuciones Parciales . Inclusiones de rdenes . Ampliaciones, Exclusiones, Modificaciones.

70% y hasta el 80% desconoce si existe algn tipo de seguridad para proteger tanto el hardware como el software de su unidad. En la actualidad se trabaja con ms de dos software para hacer una sola labor.

DIAGRAMAS DE PAQUETES DE DIGA

FIGURA 1.2: DIAGRAMA DE PAQUETES DEL DIGA FUENTE: ELABORACIN DEL ESTUDIO.

DESCRIPCION DE SITUACION ACTUAL.

Polticas de seguridad del nuevo sistema integrado no estn claramente definidas. Confidencialidad: Que tan solo un 20% de los encuestados usa contraseas de forma adecuada para el acceso. Disponibilidad: Cada del Sistema (Reinicios intempestivos de los Servidores) representa el 60% total de las fallas . Integridad: El 80% del personal Administrativo encuestado indica que la informacin que utiliza cotidianamente en sus labores en algn momento fue afectada o daada.
5

FORMULACION DEL PROBLEMA Y JUSTIFICACION.

De qu manera la Aplicacin del Estndar ISO/IEC 27002 afectara en la Gestin de los Procesos de Seguridad de Informacin en la Unidad de Abastecimientos de la Universidad Andina del Cusco? Se necesita garantizar la Gestin de los Procesos de Seguridad de Informacin. El ISO provee herramientas que especifican los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin
6

DELIMITACION DE LA INVESTIGACION
El ISO 27002 Consta de 11 Dominios, 38 Objetivos de Control y 133 Controles, por lo cual se delimita a solo poder aplicar ciertos controles importantes para el desarrollo de la tesis

OBJETIVOS DE LA INVESTIGACION
OBJETIVO GENERAL . Optimizar la Gestin de los Procesos de Seguridad de Informacin en la Unidad de Abastecimientos aplicando el Estndar ISO/IEC 27002 OBJETIVOS ESPECFICOS . Evaluar la seguridad de la Informacin . Especificar Requisitos . Establecer una metodologa de gestin de la seguridad de la informacin . Identificar amenazas y vulnerabilidades . Reducir el riesgo de prdida.
8

CAPITULO II: MARCO TEORICO

DEFINICIN DE SEGURIDAD DE LA INFORMACIN Disponibilidad, Confidencialidad y Integridad. VULNERABILIDADES, AMENAZAS Y ATAQUES AMENAZAS NO ESTRUCTURADAS, ESTRUCTURADAS, EXTERNAS, INTERNAS. ATAQUES DE RECONOCIMIENTO, ACCESO, NEGACION DE SERVICIO (DOS), GUSANOS VIRUS TROYANOS, HACKER, CRAKER, PHREAKER, SPAMMERS, CARDERS, SCRIPT KIDDIES, PHISHER.

NORMATIVA INTERNACIONAL SOBRE SEGURIDAD DE LA INFORMACIN

NORMAS INTERNACIONALES PUBLICADAS. ISO: Es el acrnimo de International Organization for Standardization IEC:Es el acrnimo de International Electrotechnical Commission. ISO/IEC: ISO e IEC han establecido un comit tcnico conjunto. COBIT: Control Objectives for Information and related Technology. ITIL: Information Technology Infrastructure Library. LEY SOX. COSO: Committee of Sponsoring Organizations . ISO SERIE 27000:Integra un conjunto de normas sobre Sistemas de Gestin de Seguridad de la Informacin (SGSI). ISO 17.799: Publicado por Internacional Standard Organization (ISO).

10

INTRODUCCIN A LAS NORMAS ISO 27000

ORIGEN Y DESARROLLO.
Las Normas ISO/IEC 27000 constituyen una familia de estndares, desarrolladas por la ISO y por la International Electrotechnical Commission (IEC)

OBJETIVOS Y CAMPO DE ACCIN

Mantener y mejorar los niveles de seguridad. Elaborar planes de contingencia estratgicos . Mantener un monitoreo y documentar. Disminuye el riesgo de alteracin, prdida, robo o mal uso de la informacin. Posibilita la integracin de las Normas . Disminuye tiempos fuera de servicio. Facilita la deteccin de las vulnerabilidades . Etc.

BENEFICIOS

INTRODUCCIN A LA FAMILIA DE ESTNDARES ISO 27000

La serie ISO 27000 est formada por varias normas. ISO/IE C 27000 Fue publicada en Noviembre de 2008. Esta norma contiene un glosario de los trminos ISO/IE C 27001 Esta norma, certificable, se public en Octubre de 2005. ISO/IE C 27002 La norma adquiri este nombre a partir de Julio de 2007; anteriormente, se laconoca como ISO 17799:2005

11

POR QUE LA SELECCIN DEL ISO 27002.

12

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

FIGURA 2.4 MODELO PDCA APLICADO A LOS PROCESOS SGSI FUENTE: WWW.ISO27000.ES

13

HIPOTESIS Y DEFINICION DE LAS VARIABLES

La Aplicacin del Estndar ISO/IEC 27002 Optimizara la Gestin de los Procesos de Seguridad de Informacin en la Unidad de Abastecimientos de la Universidad Andina del Cusco VARIABLE INDEPENDIENTE La Aplicacin del Estndar ISO27002 Optimizara. Estndar ISO/IEC 27002. VARIABLE DEPENDIENTE la Gestin de los Procesos de Seguridad de Informacin en la Unidad de Abastecimientos de la Universidad Andina del Cusco en el Perodo Gestin de los Procesos de Seguridad de Informacin.
14

CAPITULO III: METODOLOGIA

TIPO DE INVESTIGACION. EXPERIMENTAL E INDUCTIVO. DISEO DE LA INVESTIGACION. Estar Sujeta a la aplicacin de la metodologa PDCA (Planificar, Hacer, Controlar, Actuar) del ISO/IEC 27000 y al uso del UML . POBLACION Y MUESTRA
UNIDAD DE ABASTECIMIENTOS Jefe de Unidad. Secretaria. Tcnico Cotizador. Especialista Administrativo. Jefe de Unidad Tcnico de Contabilidad

UNIDAD DE CONTABILIDAD

UNIDAD DE TESORERIA

Jefe de Unidad

N=20 n=9.95

UNIDAD DE PATRIMONIO

Jefe de Unidad Tcnico de Contabilidad

UNIDAD DE ALMACEN

Jefe de Unidad

15

MUESTRA Y METODOS DE MUESTREO

CRITERIOS DE INCLUSION. INSTRUMENTOS. PROCEDIMIENTOS DE RECOLECCION DE DATOS. PROCEDIMIENTOS DE ANALISIS DE DATOS.

16

CAPITULO IV. ANALISIS DEL NEGOCIO DE LA UNIDAD DE ABASTECIMIENTOS

ud Business Process M odel Pagar por Serv icios de Vigilancia y Limpieza Pagar por Locacin de Serv icios Pagar Serv icios de Contrato Pagar Serv icios con Resolucin

Pagar Otros Serv icios

Pagar Serv icios Pagar Alquiler de Locales extend extend Atender por Tarifas Pblicas Ej ecutar mantenimiento de v ehiculos Jefe de Unidad

Atender por Serv icio Telefnico

Arquirir Bienes y Suministros

extend

Adquirir Bienes por Adj udicacin Directa

extend Entregar Bienes y Suministros Comprar Pasaj es Aereos

Tcnico

Secretaria

Contratar Obras

Cotizador

Asignar Viaticos

M antener y Reparar Bienes M uebles e Inmuebles

17

FIG. 4.2: DIAGRAMA DE CASOS DE USO DE LA UNIDAD DE ABASTECIMIENTOS FUENTE: ELABORACIN DEL ESTUDIO.

DESARROLLO DE LOS CASOS DE USO

ADQUIRIR BIENES Y SUMINISTROS PAGAR OTROS SERVICIOS.

PAGAR POR SERVICIOS DE VIGILANCIA Y LIMPIEZA.

18

DESARROLLO DE LOS CASOS DE USO

PAGAR ALQUILER DE LOCALES COMPRAR PASAJES AREOS.

19

DIAGRAMAS DE REALIZACION DE LOS CASOS DE USO

20

DIAGRAMAS DE REALIZACION DE LOS CASOS DE USO

21

CAPITULO V: PROPUESTA DE DISEO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA UNIDAD DE ABASTECIMIENTOS

REQUERIMIENTOS Y EXPECTATIVAS DE SEGURIDAD DE LA INFORMACION PROCESO PARA EL DISEO DEL SGSI Criptografa. Lgica. Autenticacin.
ESTABLECIMIENTO DEL SGSI. SGSI - DOCUMENTO A.1 SGSI - DOCUMENTO A.2 SGSI - DOCUMENTO A.3

22

ACTIVOS DE LA INFORMACION
NIVEL 1 ACTIVOS DE INFORMACION FACTOR DE CONFIDENCIALIDAD (Conf) CATEGORIA DESCRIPCION Bajo Puede ser revelado o proporcionado. Si su contenido fuera revelado, las consecuencias en la entrega de los servicios podran ser imperceptibles. Moderado Puede ser revelado o proporcionado nicamente a personal de la Universidad. Si su contenido fuera revelado, las consecuencias en la entrega de los servicios podran ser moderadas. Alto Puede ser revelado o proporcionado nicamente al personal de Unidad de Abastecimientos. Si su contenido fuera revelado, las consecuencias en la entrega de los servicios podran ser altas. Muy Alto Puede ser revelado o proporcionado nicamente al personal de la Unidad de Abastecimientos de la Universidad Andina del Cusco, que autorice el Gerente Nacional de dicho departamento. Si su contenido fuera revelado, las consecuencias en la entrega de los servicios podran ser fatales.

23

ACTIVOS DE LA INFORMACION
ACTIVOS DE INFORMACION FACTOR INTEGRIDAD (Int) DESCRIPCION NIVEL CATEGORIA 1 Bajo La modificacin de su contenido no afectara en los procesos. 2 Moderado La modificacin de su contenido afectara de manera moderada en los procesos. 3 Alto La modificacin de su contenido afectara considerablemente en los procesos. 4 Muy Alto La modificacin de su contenido afectara de manera muy relevante en los procesos.

24

ACTIVOS DE LA INFORMACION
ACTIVOS DE INFORMACION FACTOR DISPONIBILIDAD (Disp) CATEGORIA DESCRIPCION Bajo Si su contenido no estuviera disponible, las consecuencias en los procesos podran ser reducidas. Moderado Si su contenido no estuviera disponible, las consecuencias en la entrega de los servicios podran ser moderadas. Alto Si su contenido no estuviera disponible, las consecuencias en la entrega de los servicios podran ser altas. Muy Alto Si su contenido no estuviera disponible, las consecuencias en la entrega de los servicios podran ser fatales.

NIVEL 1

25

26

TABLAS DE VALORACIONES DE IMPORTANC IA, PROBABILIDAD, IMPACTO

RANGOS DE IMPORTANCIA DE LOS ACTIVOS DE INFORMACION DESCRIPCION NIVEL CATEGORIA 1-4 Bajo Activo de importancia baja para asegurar la confidencialidad, integridad y disponibilidad de la informacin asociada al desarrollo de los procesos de la Unidad de Abastecimientos. 5-16 Moderado Activo de importancia moderada para asegurar la confidencialidad, integridad y disponibilidad de la informacin asociada al desarrollo de los procesos de la Unidad de Abastecimientos. 17-36 Alto Activo de importancia alta para asegurar la confidencialidad, integridad y disponibilidad de la informacin asociada al desarrollo de los procesos de la Unidad de Abastecimientos. 37-64 Muy Alto Activo de importancia muy alta para asegurar la confidencialidad, integridad y disponibilidad de la informacin asociada al desarrollo de los procesos de la Unidad de Abastecimientos.
27
NIVEL 1 2 3 4 5 PROBABILIDAD DE OCURRENCIA (Prob) CATEGORIA DESCRIPCION Muy Improbable Riesgo con probabilidad de ocurrencia muy baja; de 1% a 25% de que se presente. Improbable Riesgo con probabilidad baja de presentarse; de 26% a 50% de que se presente. Moderado Riesgo con probabilidad media de presentarse; de 51% a 74% de que se presente. Probable Riesgo con alta probabilidad de presentarse; de 75% a 95% de que se presente. Casi Certeza Riesgo con probabilidad muy alta de presentarse; 96% a 100% de probabilidad de que se presente.
CATEGORIA Insignificante IMPACTO (Imp) DESCRIPCION Riesgo que podra tener un impacto muy pequeo, imperceptible o nulo en la prestacin de los servicios. Un usuario afectado. Riesgo que podra tener un impacto pequeo en la prestacin de los servicios; podra ser corregido en un tiempo c orto. Nmero de afectados entre 2 y 10. Riesgo que podra tener un impacto importante en la prestacin de los servicios; se requerira de un tiempo considerable para ser corregido. Nmero de afectados entre 11 y 50. Riesgo que podra tener un impacto muy significativo en la prestacin de los servicios; se requerira de ms tiempo para que el riesgo sea tratado. Nmero de afectados entre 51 y 140. Riesgo que podra tener un impacto que influira directamente en la prestacin de los servicios , implicando el no funcionamiento total de los mismos. El tiempo de tratamiento sera el mximo dentro de todos los impactos. Nmeros de afectados mayor a 140.

NIVEL 1

Leve

Moderado

Mayor

Catastrfico

RANGOS DE RIESGOS E IDENTIFICACION DE RIESGOS

RANGOS DE RIESGO NIVEL 1-15 CATEGORIA Leve El riesgo es DESCRIPCION leve, considerando la probabilidad

ACTIVO Mantenimiento de vehculos Pago por servicio de contrato Mantenimiento y reparacin de bienes muebles e inmuebles. Otorgar bienes y suministros Adquisiciones de bienes y servicios

CONF INT 1 2 2 3 4 2 1 2 1 2 2 2 2 3 3 2 2 2 1 2

DISP NI 1 3 2 4 4 3 2 2 1 2 2 12 4 36 48 12 4 8 1 8

de ocurrencia, impacto y costo que podra tener al presentarse. Su ocurrencia implicara imperceptible de una la

prdida

prcticamente

seguridad de la informacin en la prestacin de los servicios. 16-35 Bajo El riesgo es bajo, considerando la probabilidad

Pago por otros servicios Atencin por tarifas pblicas Pago por servicios de vigilancia y limpieza Compra de pasajes areos Pago de alquiler de locales

de ocurrencia, impacto y costo que podra tener al presentarse. Su ocurrencia implicara una

prdida leve de la seguridad de la informacin en la prestacin de los servicios. 36-60 Moderado El riesgo es moderado, considerando la

probabilidad de ocurrencia, podra tener al

impacto

y costo que Su ocurrencia

NIVEL 1 Muy Bajo COSTO DE AMENZAS (Cos) CATEGORIA DESCRIPCION En caso de presentarse cierta amenaza, su costo sera muy bajo. Se estima como este costo a los valores comprendidos entre S/.0 y S/.200. 2 Bajo En caso de presentarse cierta amenaza, su costo sera bajo. Se estima como costo bajo a los valores comprendidos entre S/.200,01 y S/.2.000. 3 Moderado En caso de presentarse cierta amenaza, su costo sera moderado. Se estima como costo moderado a los valores comprendidos entre S/.2000,01 y S/.10.000. 4 Alto En caso de presentarse cierta amenaza, su costo sera alto. Se estima como costo alto a los valores comprendidos entre S/.10.000,01 y S/.30.000.

presentarse.

implicara una prdida moderada de la seguridad de la informacin en la prestacin de los servicios. 64-90 Alto El riesgo es alto, considerando la probabilidad de ocurrencia, impacto y costo que podra tener al presentarse. alta de la Su ocurrencia implicara una prdida de la informacin en la

seguridad

prestacin de los servicios. 91-125 Extremo El riesgo es extremo, considerando la probabilidad de ocurrencia, impacto y costo que podra tener al presentarse. Su ocurrencia implicara la prdida total de la seguridad de la informacin en la
5 Muy Alto

En caso de

presentarse cierta

amenaza, su

prestacin de los servicios.

costo sera muy alto. Se estima como costo muy alto a valores superiores a S/.30.000.

28

ANALISIS Y EVALUACION

29

ANALISIS Y EVALUACION

30

ANALISIS Y EVALUACION

31

ANALISIS Y EVALUACION DE RIESGOS

32

CONTROLES PROPUESTOS
Una vez obtenido el tratamiento de riesgo para cada amenaza identificada, se procede a seleccionar los objetivos de control y controles ms adecuados de la Norma ISO 27002. A continuacin se presentan los objetivos de control y controles seleccionados:

33

APLICACIN DE CONTROLES DEL ESTANDAR ISO- 27002

34

APLICACIN DE CONTROLES DEL ESTANDAR ISO- 27002

35

APLICACIN DE CONTROLES DEL ESTANDAR ISO- 27002

36

APLICACIN DE CONTROLES DEL ESTANDAR ISO- 27002

37

APLICACIN DE CONTROLES DEL ESTANDAR ISO- 27002

38

APLICACIN DE CONTROLES DEL ESTANDAR ISO- 27002

39

APLICACIN DE CONTROLES DEL ESTANDAR ISO- 27002

40

APLICACIN DE CONTROLES DE ESTANDAR ISO- 27002

41

APLICACIN DE CONTROLES DEL ESTANDAR ISO- 27002

42

PROPUESTAS DE NUEVOS FLUJOGRAMAS

43

PROPUESTAS DE NUEVOS FLUJOGRAMAS

44

CAP VI CONCLUSIONES Y RECOMENDACIONES

Se concluye que es necesario implementar controles de las normas ISO 27002 en la Unidad de Abastecimientos de la Universidad Andina del Cusco. Dentro de las vulnerabilidades analizadas en la Unidad de Abastecimientos de la Universidad Andina del Cusco; No se presenta una gestin segura de los activos de informacin. Los valores de los riesgos obtenidos permiten confirmar algunas premisas que se intuan inicialmente. La implementacin de una Poltica de seguridad permitir controlar de mejor manera las actividades realizadas por los usuarios . Con la implementacin de controles que permitan proteger a la informacin transmitida a travs de las redes, como criptografa, autenticacin, autorizacin, privilegios de acceso. La participacin activa de todo el personal en el desarrollo y mantenimiento del SGSI, ser el elemento esencial para su xito Con la implementacin del SGSI, la confidencialidad, integridad y disponibilidad de la informacin, estarn garantizadas. Dada la gran cantidad de ataques a la seguridad de la informacin de la que han sido vctimas un sin nmero de organizaciones, Y universidades , se han desarrollado alternativas que detecten, eviten y monitoreen posibles amenazas. . Uno de los conceptos bsicos que manejan los equipos de seguridad para su funcionamiento es el uso de niveles de seguridad, los cuales permiten otorgar cierto nivel de seguridad a las interfaces.

45

MUCHAS GRACIAS

46