TRABAJO DE SEGURIDAD INFORMATICA V2

Vista previa del material en texto

TRABAJO DE INVESTIGACIÓN 
 
 
 
 
CURSO: 
SEGURIDAD INFORMATICA 
 
TÍTULO: 
 
PLAN DE IMPLEMENTACIÓN DE SISTEMA DE GESTION DE SEGURIDAD DE 
LA INFORMACION PARA LA EMPRESA TEXTIL FARIDE ALGODÓN DEL 
PERÚ SRL. 
 
PROFESOR: 
 
MIGUEL ÁNGEL DEL POZO MATA 
 
FACULTAD: 
 
INGENIERÍA DE SISTEMAS E INFORMÁTICA 
 
ALUMNO: 
 
PAUCA LAOS JORDAN JESUS 
 
 
 
 
 
2019-I 
 
INDICE 
Contenido 
INTRODUCCIÓN ................................................................................................................... 3 
MISIÓN: .................................................................................................................................. 4 
VISIÓN: ................................................................................................................................... 4 
OBJETIVO GENERAL: ......................................................................................................... 4 
ALCANCE: ............................................................................................................................. 5 
ORGANIGRAMA ................................................................................................................... 6 
TERMINOLOGIA ................................................................................................................... 7 
LINEAMIENTOS: ................................................................................................................... 9 
RESPONSABILIDAD .......................................................................................................... 10 
POLÍTICAS: ......................................................................................................................... 10 
CONCLUSIONES ................................................................................................................ 13 
RECOMENDACIONES ....................................................................................................... 14 
 
 
 
 
 
 
 
 
 
 
 
 
 
INTRODUCCIÓN 
 
El presente trabajo de investigación se centra en el problema de la falta de un sistema 
de seguridad de la información que permita asegurar la confidencialidad, integridad y 
disponibilidad de los activos de la empresa textil Faride Algodón del Perú SRL , y estos 
activos se traducen en la información, la infraestructura tecnológica y el personal con el 
que cuenta dicha empresa; dentro de estos activos se ha enfocado en el uso correcto y 
resguardo de las tecnologías de la información y comunicación. Ante la inexistencia de 
este sistema que desencadenan problemas como por ejemplo las pérdidas de equipos, 
de información importante desde las computadoras personales de cada área, el 
desconocimiento de una política de seguridad en cuanto al manejo de las situaciones 
que podrían suscitarse dentro de la empresa al momento de poner en riesgo a los 
activos, así mismo de no saber que pueden y no pueden hacer los trabajadores en 
relación al uso de las tecnologías de la información y comunicación. 
Ante el presente problema se formuló la siguiente pregunta: ¿De qué forma la 
implementación del Sistema de Gestión de la Seguridad de la información mejorará la 
seguridad de la empresa Faride Algodón del Perú SRL?, ante la pregunta se afirma con 
el objetivo: Determinar la mejora de implementar un sistema de gestión de seguridad de 
la información para la seguridad de la empresa Faride Algodón del Perú SRL; de esta 
forma la investigación se centró en la implementación de un sistema de gestión de la 
seguridad de la información que permitió controlar y asegurar los activos de la empresa 
mediante la gestión de riesgos, la implantación de políticas de seguridad y el control de 
incidentes mediante un sistema de gestión de incidencias y así poder llevar a cabo el 
ciclo PDCA que significa la planeación, el hacer, el verificar y monitorear la seguridad 
de la empresa. 
Basados en la norma ISO 27001:2014 se evaluará el estado actual de los procesos 
relacionados con la seguridad de la información, realizándose un análisis de riesgos en 
miras a identificar y desarrollar los proyectos a generarse que le permitan la 
implementación de un Sistema de Gestión de Seguridad de la información. 
 
 
 
 
 
 
 
 
 
MISIÓN: 
 
Adaptar los adelantos tecnológicos a los procesos de producción para aminorar los 
costos y a su vez poder ofrecer precios competitivos a los clientes, velando por la calidad 
de la tela a ofrecer; brindando a los trabajadores la seguridad social que merecen, de 
modo que se sientan identificados con la organización. 
VISIÓN: 
 
Ser unas de las empresas comercializadoras a nivel local e internacional en la 
comercialización de productos textiles, que se distinga por la calidad, confiabilidad y 
actualidad de nuestros productos; para crecer de manera sustentable en base a la 
satisfacción de las expectativas de nuestros clientes, manteniendo siempre un espíritu 
de responsabilidad social y respeto al medio ambiente. 
 
OBJETIVO GENERAL: 
 
Planear la implementación de un Sistema de Gestión de Seguridad de la Información 
(SGSI) enfocado a los procesos de las áreas de: División informática, control interno, 
administración de servicios al personal, seguridad física en Faride Algodón del Perú 
SRL. 
 
Objetivos Específicos: 
 Implementar una política de seguridad de la información que sea desplegada por 
todos los trabajadores involucrados en procesos de tecnología. 
 
 Gestionar y monitorear de manera eficiente los incidentes y vulnerabilidades de 
seguridad de la información, para reducirlos en un 80%. 
 
 Establecer medidas de seguridad para gestionar los riesgos significativos y de 
alto impacto para el negocio, como el robo o fuga de información, accesos no 
autorizados, mal uso y/o cualquier otro daño que afecte la divulgación indebida 
de la información confidencial, la alteración o modificación de la misma, para 
reducir en un 90% de los riesgos a niveles aceptables. 
 
 Formación y concientización al 100% de los colaboradores involucrados en los 
procesos de tecnología, en temas de seguridad de la información. 
 
 
 Gestionar y controlar el 100% de los documentos del SGSI. 
 
ALCANCE: 
 
Este trabajo abarca el diseño de un sistema de gestión de seguridad de la información 
(SGSI) para todos los activos de información de Faride Algodón del Perú SRL, y a la 
manera en que se dará gestión a los incidentes ocurridos en estos 
 MARCO LEGAL: 
 
Norma/Estándar/Protocolo Descripción 
ISO/IEC 27001:2014 Tecnologías de la información – Técnicas de 
Seguridad – Sistemas de Gestión de Seguridad de la 
información - Requisitos 
ISO/IEC 27001:2005 Tecnologías de la información – Técnicas de 
Seguridad – Sistemas de Administración y Seguridad 
de la Información – Requerimientos 
ISO/IEC 27002:2005 Tecnologías de la información – Técnicas de 
Seguridad – Código de práctica para la administración 
de Seguridad de la Información 
ISO/IEC 27005:2008 Tecnologías de la información – Técnicas de 
Seguridad – Administración de Riesgo de Seguridad de 
la Información 
ISO 31000 Gestión de Riesgos 
CONSTITUCIÓN POLÍTICA 
DEL PERÚ 
Organiza los poderes e instituciones políticas, además 
de establecer y normar los derechos y libertades de los 
ciudadanos peruanos. 
LEY DE PROTECCIÓN DE 
DATOS PERSONALES 
LEY N° 29733 
Garantiza el derecho fundamental a la protección de 
los datos personales, previsto en el artículo 2 numeral 
6 de la Constitución Política del Perú. 
LEY DE SEGURIDAD Y 
SALUD EN EL TRABAJO 
LEY N° 29783 
Rige todo lo concerniente a la higiene y seguridad del 
trabajo, en especial al diseño y características de 
construcción y acondicionamiento de los centros de 
trabajo. 
ORGANIGRAMA 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
GERENTE GENERAL 
ÁREA 
ADMINISTRATIVA 
ÁREA 
CONTABILIDAD 
ADMINISTRADORA 
ASISTENTE 
FINANCIEROANALISTA 
COMERCIAL 
ANALISTA DE 
GERENCIA 
CONTADORAS 
ASISTENTES 
CONTABLES 
PRACTICANTES 
ALMACEN 
TELA CRUDA 
MATERIA 
PRIMA 
ÁREA 
PRODUCCIÓN 
TEJEDURIA 
CONTROL DE 
CALIDAD 
MANTENIMIENTO 
ÁREA 
SISTEMAS 
INGENIERO DE 
SISTEMAS 
TECNICO DE 
SOPORTE 
PRACTICANTES 
TERMINOLOGIA 
 
ACTIVO: Todo lo que tiene valor para la organización. Hay varios tipos de activos 
entre los que se incluyen: 
 Información 
 Software, como un programa de cómputo 
 Hardware, como un computador 
 Servicios 
ANTIVIRUS: Antivirus es una categoría de software de seguridad que protege un equipo 
de virus, normalmente a través de la detección en tiempo real y también mediante 
análisis del sistema, que pone en cuarentena y elimina los virus. El antivirus debe ser 
parte de una estrategia de seguridad estándar de múltiples niveles. 
APLICACIONES ENGAÑOSAS: son programas que intentan engañar a los usuarios 
informáticos para que emprendan nuevas acciones que normalmente están 
encaminadas a causar la descarga de malware adicional o para que los usuarios 
divulguen información personal confidencial. Un ejemplo es el software de seguridad 
fraudulento, que también se denomina scareware. 
CONFIDENCIALIDAD: Garantiza que la información sea accesible sólo a aquellas 
personas autorizadas a tener acceso a la misma. 
DISPONIBILIDAD: Garantiza que los usuarios autorizados tengan acceso a la 
información y a los recursos relacionados con la misma, toda vez que lo requieran. 
FIREWALL: Un firewall es una aplicación de seguridad diseñada para bloquear las 
conexiones en determinados puertos del sistema, independientemente de si el tráfico 
es benigno o maligno. Un firewall debería formar parte de una estrategia de seguridad 
estándar de múltiples niveles. 
GUSANOS: son programas maliciosos que se reproducen de un sistema a otro sin usar 
un archivo anfitrión, lo que contrasta con los virus, puesto que requieren la propagación 
de un archivo anfitrión infectado. 
AUDITORÍA: Proceso planificado y sistemático en el cual un auditor obtiene evidencias 
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del 
SGSI de una organización. 
ALCANCE: Ámbito de la organización que queda sometido al SGSI. Debe incluir la 
identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo, 
si sólo incluye una parte de la organización. 
ALERTA: Notificación formal de un incidente relacionado con la seguridad de la 
información que puede evolucionar hasta convertirse en desastre. 
AMENAZA: Causa potencial de un incidente no deseado, el cual puede causar el daño 
a un sistema o la organización. 
ANÁLISIS DE RIESGOS: Uso sistemático de la información para identificar fuentes y 
estimar el riesgo. 
AUDITOR: Persona encargada de verificar, de manera independiente, la calidad e 
integridad del trabajo que se ha realizado en un área particular. 
HARDWARE: Es la parte que puedes ver del computador, es decir todos los 
componentes de su estructura física. 
INFORMACIÓN: Puede existir muchas formas. Puede estar impresa o escrita en papel, 
almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, 
presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que 
adquiere la información, o los medios por los cuales se distribuye o almacena, siempre 
debe ser protegida en forma adecuada. 
INFRAESTRUCTURA CRÍTICA: Aquellas instalaciones, redes, servicios y equipos 
físicos y de tecnología de la información cuya interrupción o destrucción tendría un 
impacto mayor en la salud o el bienestar económico de los ciudadanos o en el eficaz 
funcionamiento de las instituciones públicas o privadas. 
INTEGRIDAD: Salvaguardia la exactitud y totalidad de la información y los métodos de 
procesamiento. 
MALWARE: Es la descripción general de un programa informático que tiene efectos no 
deseados o maliciosos. Incluye virus, gusanos, troyanos y puertas traseras. El malware 
a menudo utiliza herramientas de comunicación populares, como el correo electrónico y 
la mensajería instantánea, y medios magnéticos extraíbles, como dispositivos USB, 
para difundirse. También se propaga a través de descargas inadvertidas y ataques a las 
vulnerabilidades de seguridad en el software. La mayoría del malware peligroso 
actualmente busca robar información personal que pueda ser utilizada por los atacantes 
para cometer fechorías. 
POLÍTICA: Son instrucciones mandatarias que indican la intención de la alta dirección 
respecto a la operación de la institución. 
SPYWARE: Paquete de software que realiza un seguimiento y envía información de 
identificación personal o información confidencial a otras personas. La información de 
identificación personal es la información que puede atribuirse a una persona específica, 
como un nombre completo. La información confidencial incluye datos que la mayoría de 
personas no estaría dispuesta a compartir con nadie e incluye datos bancarios, números 
de cuentas de tarjeta de crédito y contraseñas. Los receptores de esta información 
pueden ser sistemas o partes remotas con acceso local. 
TERCEROS: Todas aquellas personas naturales o jurídicas, que no son funcionarios de 
la organización, pero que por las actividades que realizan en la empresa, deban tener 
acceso a recursos informáticos. 
 
 
 
 
USUARIO: En informática (user), un usuario es un individuo que utiliza una 
computadora, sistema operativo, servicio o cualquier sistema, además se utiliza para 
clasificar a diferentes privilegios, permisos a los que tiene acceso un usuario o grupo de 
usuarios, para interactuar o ejecutar con el ordenador o con los programas instalados 
en este. 
VIRUS: Programa informático escrito para alterar la forma como funciona una 
computadora, sin permiso o conocimiento del usuario. Un virus debe cumplir con dos 
criterios: 
 Debe ejecutarse por sí mismo: generalmente coloca su propio código en la ruta 
de ejecución de otro programa. 
 Debe reproducirse: por ejemplo, puede reemplazar otros archivos ejecutables 
con una copia del archivo infectado por un virus. Los virus pueden infectar 
computadoras de escritorio y servidores de red. 
VULNERABILIDAD: Es un estado viciado en un sistema informático (o conjunto de 
sistemas) que afecta las propiedades de confidencialidad, integridad y disponibilidad 
(CIA) de los sistemas. Las vulnerabilidades pueden hacer lo siguiente: 
 Permitir que un atacante ejecute comandos como otro usuario 
 Permitir a un atacante acceso a los datos, lo que se opone a las restricciones 
específicas de acceso a los datos. 
 
LINEAMIENTOS: 
 
 La empresa debe designar a un Oficial de Seguridad de la Información (CISO), 
quien deberá tomar decisiones de seguridad informática o labora, ya sea la 
seguridad en el trabajo, seguridad en las instalaciones de servidores e 
investigación sobre incidencias de seguridad. 
 
 Difundir las políticas a los Gerentes o Jefes de área y ellos a los demás 
colaboradores de la organización a su cargo. 
 
 Asignar los recursos necesarios para que la organización oriente su esfuerzo a 
minimizar la ocurrencia e impacto de los eventos de riesgo de seguridad sobre 
los activos de información que comprenden el área de Servicios Post-Venta de 
la empresa. 
 
 En caso de presentarse acciones que incumplan con las políticas de seguridad 
y/o reglamento de la empresa, se informara al supervisor inmediato para la 
posterior investigación y retroalimentación al personal. Si se infringe más de una 
vez, se tomarán medidas disciplinarias al personal conforme a las disposiciones 
establecidas en los documentos internos de Faride Algodón SRL. 
 
 Todos los servicios de tecnología de la información se encuentran sujetos 
monitoreo y control. 
 
 Realizar capacitaciones sobre concientización de Seguridad de la Información al 
personal de la organización. 
 
 
RESPONSABILIDADCada persona administrativa de la empresa es responsable de la seguridad de los 
activos informáticos que están a su disposición, y debe seguir los lineamientos 
estipulados en este documento de una manera satisfactoria y de acuerdo a las 
reglamentaciones contractuales. El no actuar con responsabilidad frente a la Política de 
la Seguridad de la Información, es sancionado de acuerdo al código ético de la empresa. 
 
POLÍTICAS: 
 
PS 1. De seguridad de la información 
Se emplean políticas y lineamientos de seguridad que fuerzan a mantener 
la información de clientes y administrativos en un entorno seguro. Estas 
políticas están dirigidas a mantener los principios de la Seguridad 
Informática como lo son la Confidencialidad, Integridad y Disponibilidad. 
PS 1. De contratos de personal 
En el momento de la contratación será obligado un compromiso por escrito 
en que se acepta la confidencialidad de cada una de sus labores mantenidas 
con la organización. 
El cumplimiento de las políticas y estándares de seguridad de la información 
es obligatorio y debe ser considerado como una condición en los contratos 
del personal. 
PS 2. Del uso de equipos informáticos 
Toda persona que utilice un ordenador en su trabajo habitual deberá 
identificarse para su uso con un «nombre de usuario», facilitado por el 
Centro de Cómputo, y una «contraseña», construida por el propio usuario 
según las normas definidas por la empresa; las mismas que serán retiradas 
al usuario en el momento de la baja laboral. 
 
 
 
PS 3. Del ambiente de trabajo 
Todos los empleados son responsables de mantener un ambiente seguro, 
en tanto que el área de seguridad informática debe monitorear el 
cumplimiento de la política de seguridad definida y realizar actualizaciones 
que sean necesarias, producto de los cambios en el entorno informático y 
las necesidades del negocio. 
PS 4. De devoluciones 
Cada persona que en su momento de contratación haya adquirido una serie 
de elementos ya sean equipos, archivos, manuales, dispositivos de 
almacenamiento, etc. estos serán registrados en un inventario de 
aceptación. Y se ha comprometido por escrito a su total devolución en las 
mismas condiciones en el momento de su baja laboral. 
PS 5. De los dispositivos traídos por el usuario 
Los trabajadores que prefieran trabajar con equipos de uso personal, deben 
estar previamente autorizados para hacerlo, el equipo se configura de 
acuerdo a los lineamientos de la organización y bajo las mismas condiciones 
que los equipos de la empresa, ya que no se aceptan riesgos como la 
propagación de software de código malicioso debido a una falla de seguridad 
en el equipo. Los dispositivos de uso personal proveen mecanismos de 
autenticación aprobados por la oficina de Sistemas y Cómputo. 
PS 6. De acceso a información por parte de personal externo 
Todo acceso por parte de personal externo debe ser autorizado por un 
responsable interno, quien asume la responsabilidad por las acciones que 
realizar el mismo. El personal externo debe firmar un acuerdo de no-
divulgación antes de obtener acceso a información de la empresa. 
PS 7. De inventario de activos 
Se debe elaborar y mantener un inventario de los activos importantes 
asociados a cada sistema de información. Cada activo debe ser claramente 
identificado y su propietario y clasificación en cuanto a seguridad deben ser 
acordados y documentados junto con la ubicación vigente del mismo 
(importante cuando se emprende una recuperación posterior a un perdida o 
daño). 
 
 
 
 
 
 
PS 8. De gestión de riesgos 
El proveedor es responsable de inmediatamente informar al responsable del 
contrato de cualquier brecha de seguridad que pueda comprometer 
información de la empresa. Cualquier empleado de la empresa debe 
informar de violaciones a la seguridad de la información por parte de 
proveedores al área de seguridad informática. 
El costo de las medidas y controles de seguridad no debe exceder la perdida 
que se espera evitar. Para la evaluación del riesgo se deben de seguir los 
siguientes pasos: 
- Clasificación del acceso de la información 
- Ejecución del análisis de riesgo identificando áreas vulnerables, perdida 
potencial y selección de controles y objetivos de control para mitigar los 
riesgos. 
PS 9. De la instalación de software y hardware 
Para la instalación del software y hardware, estos componentes son 
únicamente instalados por el personal técnico capacitado de la empresa. A 
cada equipo se le realiza un inventario de hardware y la información se 
mantiene en una base de datos. Se realiza un chequeo de este componente 
cada vez que se inicie el equipo y se conecte a la red; si se detectan cambios 
no autorizados, queda deshabilitado automáticamente. 
PS 10. De Auditoria 
Para mantener la calidad de los procesos organizativos, se hacen auditorías 
programadas en cada una de las áreas y procesos críticos de la institución. 
PS 11. De concientización 
Se emplean políticas y lineamientos de seguridad que fuerzan a mantener 
la información de clientes y administrativos en un entorno seguro. Estas 
políticas están dirigidas a mantener los principios de la Seguridad 
Informática como lo son la Confidencialidad, Integridad y Disponibilidad. 
PS 12. De acceso físico 
Todos los trabajadores de Faride Algodón del Perú, registran su ingreso 
mediante sistema biométrico, el cual realizara las coordinaciones 
correspondientes con las áreas de sistemas, administración de personal, 
RRHH con la finalidad del bienestar social de la empresa. 
PS 13. De Calidad 
La oficina de Sistemas y Cómputo realiza controles y cambios en pro de 
mejorar continuamente sus procesos. Se 100 realizan evaluaciones 
periódicas para medir el nivel de calidad en áreas críticas y en otras donde 
sea necesario. 
La calidad es un componente fundamental. Se cumplen con los 
requerimientos de gestión para el logro de certificaciones de estándares 
internacionales, así como la alineación con los sistemas de calidad 
existentes en la empresa. 
 
CONCLUSIONES 
 
 
 El implementar una política de seguridad de la información y que los empleados 
la conozcan e interioricen, es de gran utilidad cuando se quiere implementar 
cualquier SGSI en una organización, ya que les da una visión clara de cómo sus 
labores cotidianas aportan para el mantenimiento y mejora del sistema. 
 
 Aún después de implementar un buen SGSI, en el futuro se presentarán más 
activos de información, más amenazas, vulnerabilidades y, por lo tanto, mayores 
riesgos. Este escenario no se puede evitar; es por ello que se concluye que se 
debe estar preparado para actuar de manera inmediata ante cualquier nueva 
vulnerabilidad que se identifique. 
 
 Implementando una buena metodología para gestionar los riesgos y ejecutando 
los planes de tratamiento de riesgos planteados, se logra reducir a niveles 
aceptables gran porcentaje de riesgos que afecten a los activos de información. 
 
 El factor humano es crítico para la implementación de cualquier sistema gestión 
de seguridad de la información es por ello que la formación y concientización de 
los mismos es indispensable para la implementación exitosa. 
 
 Muchas veces las empresas crecen de manera desordenada, crecen con 
paradigmas equivocados, algunos quieren documentar todo lo que se pueda, 
otras creen que documentar los procesos es una pérdida de tiempo. 
 
De lo anterior se concluye que la documentación de los procesos es una 
herramienta poderosa para el mantenimiento y mejora de cualquier sistema de 
gestión organizacional. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
RECOMENDACIONES 
 
 
 Mantener una constante revisión de la política del SGSI y verificar el 
cumplimiento de la misma por parte de los empleados de la organización. 
 
 Establecer los mecanismos que permitan la identificación de nuevos activos de 
información, y también la cultura organizacional para tomar acciones correctivas 
frente a nuevasvulnerabilidades, amenazas o riesgos detectados; y con base en 
esa información tomar acciones preventivas. 
 
 Seguir con la utilización de una metodología para gestionar los riesgos; ya que, 
de esta manera se puede lograr una reducción en los riesgos a los cuales son 
sometidos los activos de información y también se puede hacer lo mismo para 
nuevos riesgos que aparezcan. 
 
 Formar y capacitar de manera periódica al personal en temas de seguridad de 
la información y así lograr que todos los involucrados o relacionados con los 
activos de información tengan los alcances de implementación claros. 
 
 Realizar una documentación de procesos para poder gestionar los mismos de 
manera óptima y hacer frente a cualquier cambio que se pueda dar en la 
empresa. La documentación de procesos también nos permite la mejora de 
estos.