Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
TRABAJO DE INVESTIGACIÓN CURSO: SEGURIDAD INFORMATICA TÍTULO: PLAN DE IMPLEMENTACIÓN DE SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA EMPRESA TEXTIL FARIDE ALGODÓN DEL PERÚ SRL. PROFESOR: MIGUEL ÁNGEL DEL POZO MATA FACULTAD: INGENIERÍA DE SISTEMAS E INFORMÁTICA ALUMNO: PAUCA LAOS JORDAN JESUS 2019-I INDICE Contenido INTRODUCCIÓN ................................................................................................................... 3 MISIÓN: .................................................................................................................................. 4 VISIÓN: ................................................................................................................................... 4 OBJETIVO GENERAL: ......................................................................................................... 4 ALCANCE: ............................................................................................................................. 5 ORGANIGRAMA ................................................................................................................... 6 TERMINOLOGIA ................................................................................................................... 7 LINEAMIENTOS: ................................................................................................................... 9 RESPONSABILIDAD .......................................................................................................... 10 POLÍTICAS: ......................................................................................................................... 10 CONCLUSIONES ................................................................................................................ 13 RECOMENDACIONES ....................................................................................................... 14 INTRODUCCIÓN El presente trabajo de investigación se centra en el problema de la falta de un sistema de seguridad de la información que permita asegurar la confidencialidad, integridad y disponibilidad de los activos de la empresa textil Faride Algodón del Perú SRL , y estos activos se traducen en la información, la infraestructura tecnológica y el personal con el que cuenta dicha empresa; dentro de estos activos se ha enfocado en el uso correcto y resguardo de las tecnologías de la información y comunicación. Ante la inexistencia de este sistema que desencadenan problemas como por ejemplo las pérdidas de equipos, de información importante desde las computadoras personales de cada área, el desconocimiento de una política de seguridad en cuanto al manejo de las situaciones que podrían suscitarse dentro de la empresa al momento de poner en riesgo a los activos, así mismo de no saber que pueden y no pueden hacer los trabajadores en relación al uso de las tecnologías de la información y comunicación. Ante el presente problema se formuló la siguiente pregunta: ¿De qué forma la implementación del Sistema de Gestión de la Seguridad de la información mejorará la seguridad de la empresa Faride Algodón del Perú SRL?, ante la pregunta se afirma con el objetivo: Determinar la mejora de implementar un sistema de gestión de seguridad de la información para la seguridad de la empresa Faride Algodón del Perú SRL; de esta forma la investigación se centró en la implementación de un sistema de gestión de la seguridad de la información que permitió controlar y asegurar los activos de la empresa mediante la gestión de riesgos, la implantación de políticas de seguridad y el control de incidentes mediante un sistema de gestión de incidencias y así poder llevar a cabo el ciclo PDCA que significa la planeación, el hacer, el verificar y monitorear la seguridad de la empresa. Basados en la norma ISO 27001:2014 se evaluará el estado actual de los procesos relacionados con la seguridad de la información, realizándose un análisis de riesgos en miras a identificar y desarrollar los proyectos a generarse que le permitan la implementación de un Sistema de Gestión de Seguridad de la información. MISIÓN: Adaptar los adelantos tecnológicos a los procesos de producción para aminorar los costos y a su vez poder ofrecer precios competitivos a los clientes, velando por la calidad de la tela a ofrecer; brindando a los trabajadores la seguridad social que merecen, de modo que se sientan identificados con la organización. VISIÓN: Ser unas de las empresas comercializadoras a nivel local e internacional en la comercialización de productos textiles, que se distinga por la calidad, confiabilidad y actualidad de nuestros productos; para crecer de manera sustentable en base a la satisfacción de las expectativas de nuestros clientes, manteniendo siempre un espíritu de responsabilidad social y respeto al medio ambiente. OBJETIVO GENERAL: Planear la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) enfocado a los procesos de las áreas de: División informática, control interno, administración de servicios al personal, seguridad física en Faride Algodón del Perú SRL. Objetivos Específicos: Implementar una política de seguridad de la información que sea desplegada por todos los trabajadores involucrados en procesos de tecnología. Gestionar y monitorear de manera eficiente los incidentes y vulnerabilidades de seguridad de la información, para reducirlos en un 80%. Establecer medidas de seguridad para gestionar los riesgos significativos y de alto impacto para el negocio, como el robo o fuga de información, accesos no autorizados, mal uso y/o cualquier otro daño que afecte la divulgación indebida de la información confidencial, la alteración o modificación de la misma, para reducir en un 90% de los riesgos a niveles aceptables. Formación y concientización al 100% de los colaboradores involucrados en los procesos de tecnología, en temas de seguridad de la información. Gestionar y controlar el 100% de los documentos del SGSI. ALCANCE: Este trabajo abarca el diseño de un sistema de gestión de seguridad de la información (SGSI) para todos los activos de información de Faride Algodón del Perú SRL, y a la manera en que se dará gestión a los incidentes ocurridos en estos MARCO LEGAL: Norma/Estándar/Protocolo Descripción ISO/IEC 27001:2014 Tecnologías de la información – Técnicas de Seguridad – Sistemas de Gestión de Seguridad de la información - Requisitos ISO/IEC 27001:2005 Tecnologías de la información – Técnicas de Seguridad – Sistemas de Administración y Seguridad de la Información – Requerimientos ISO/IEC 27002:2005 Tecnologías de la información – Técnicas de Seguridad – Código de práctica para la administración de Seguridad de la Información ISO/IEC 27005:2008 Tecnologías de la información – Técnicas de Seguridad – Administración de Riesgo de Seguridad de la Información ISO 31000 Gestión de Riesgos CONSTITUCIÓN POLÍTICA DEL PERÚ Organiza los poderes e instituciones políticas, además de establecer y normar los derechos y libertades de los ciudadanos peruanos. LEY DE PROTECCIÓN DE DATOS PERSONALES LEY N° 29733 Garantiza el derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú. LEY DE SEGURIDAD Y SALUD EN EL TRABAJO LEY N° 29783 Rige todo lo concerniente a la higiene y seguridad del trabajo, en especial al diseño y características de construcción y acondicionamiento de los centros de trabajo. ORGANIGRAMA GERENTE GENERAL ÁREA ADMINISTRATIVA ÁREA CONTABILIDAD ADMINISTRADORA ASISTENTE FINANCIEROANALISTA COMERCIAL ANALISTA DE GERENCIA CONTADORAS ASISTENTES CONTABLES PRACTICANTES ALMACEN TELA CRUDA MATERIA PRIMA ÁREA PRODUCCIÓN TEJEDURIA CONTROL DE CALIDAD MANTENIMIENTO ÁREA SISTEMAS INGENIERO DE SISTEMAS TECNICO DE SOPORTE PRACTICANTES TERMINOLOGIA ACTIVO: Todo lo que tiene valor para la organización. Hay varios tipos de activos entre los que se incluyen: Información Software, como un programa de cómputo Hardware, como un computador Servicios ANTIVIRUS: Antivirus es una categoría de software de seguridad que protege un equipo de virus, normalmente a través de la detección en tiempo real y también mediante análisis del sistema, que pone en cuarentena y elimina los virus. El antivirus debe ser parte de una estrategia de seguridad estándar de múltiples niveles. APLICACIONES ENGAÑOSAS: son programas que intentan engañar a los usuarios informáticos para que emprendan nuevas acciones que normalmente están encaminadas a causar la descarga de malware adicional o para que los usuarios divulguen información personal confidencial. Un ejemplo es el software de seguridad fraudulento, que también se denomina scareware. CONFIDENCIALIDAD: Garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma. DISPONIBILIDAD: Garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran. FIREWALL: Un firewall es una aplicación de seguridad diseñada para bloquear las conexiones en determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles. GUSANOS: son programas maliciosos que se reproducen de un sistema a otro sin usar un archivo anfitrión, lo que contrasta con los virus, puesto que requieren la propagación de un archivo anfitrión infectado. AUDITORÍA: Proceso planificado y sistemático en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organización. ALCANCE: Ámbito de la organización que queda sometido al SGSI. Debe incluir la identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo, si sólo incluye una parte de la organización. ALERTA: Notificación formal de un incidente relacionado con la seguridad de la información que puede evolucionar hasta convertirse en desastre. AMENAZA: Causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. ANÁLISIS DE RIESGOS: Uso sistemático de la información para identificar fuentes y estimar el riesgo. AUDITOR: Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un área particular. HARDWARE: Es la parte que puedes ver del computador, es decir todos los componentes de su estructura física. INFORMACIÓN: Puede existir muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. INFRAESTRUCTURA CRÍTICA: Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones públicas o privadas. INTEGRIDAD: Salvaguardia la exactitud y totalidad de la información y los métodos de procesamiento. MALWARE: Es la descripción general de un programa informático que tiene efectos no deseados o maliciosos. Incluye virus, gusanos, troyanos y puertas traseras. El malware a menudo utiliza herramientas de comunicación populares, como el correo electrónico y la mensajería instantánea, y medios magnéticos extraíbles, como dispositivos USB, para difundirse. También se propaga a través de descargas inadvertidas y ataques a las vulnerabilidades de seguridad en el software. La mayoría del malware peligroso actualmente busca robar información personal que pueda ser utilizada por los atacantes para cometer fechorías. POLÍTICA: Son instrucciones mandatarias que indican la intención de la alta dirección respecto a la operación de la institución. SPYWARE: Paquete de software que realiza un seguimiento y envía información de identificación personal o información confidencial a otras personas. La información de identificación personal es la información que puede atribuirse a una persona específica, como un nombre completo. La información confidencial incluye datos que la mayoría de personas no estaría dispuesta a compartir con nadie e incluye datos bancarios, números de cuentas de tarjeta de crédito y contraseñas. Los receptores de esta información pueden ser sistemas o partes remotas con acceso local. TERCEROS: Todas aquellas personas naturales o jurídicas, que no son funcionarios de la organización, pero que por las actividades que realizan en la empresa, deban tener acceso a recursos informáticos. USUARIO: En informática (user), un usuario es un individuo que utiliza una computadora, sistema operativo, servicio o cualquier sistema, además se utiliza para clasificar a diferentes privilegios, permisos a los que tiene acceso un usuario o grupo de usuarios, para interactuar o ejecutar con el ordenador o con los programas instalados en este. VIRUS: Programa informático escrito para alterar la forma como funciona una computadora, sin permiso o conocimiento del usuario. Un virus debe cumplir con dos criterios: Debe ejecutarse por sí mismo: generalmente coloca su propio código en la ruta de ejecución de otro programa. Debe reproducirse: por ejemplo, puede reemplazar otros archivos ejecutables con una copia del archivo infectado por un virus. Los virus pueden infectar computadoras de escritorio y servidores de red. VULNERABILIDAD: Es un estado viciado en un sistema informático (o conjunto de sistemas) que afecta las propiedades de confidencialidad, integridad y disponibilidad (CIA) de los sistemas. Las vulnerabilidades pueden hacer lo siguiente: Permitir que un atacante ejecute comandos como otro usuario Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas de acceso a los datos. LINEAMIENTOS: La empresa debe designar a un Oficial de Seguridad de la Información (CISO), quien deberá tomar decisiones de seguridad informática o labora, ya sea la seguridad en el trabajo, seguridad en las instalaciones de servidores e investigación sobre incidencias de seguridad. Difundir las políticas a los Gerentes o Jefes de área y ellos a los demás colaboradores de la organización a su cargo. Asignar los recursos necesarios para que la organización oriente su esfuerzo a minimizar la ocurrencia e impacto de los eventos de riesgo de seguridad sobre los activos de información que comprenden el área de Servicios Post-Venta de la empresa. En caso de presentarse acciones que incumplan con las políticas de seguridad y/o reglamento de la empresa, se informara al supervisor inmediato para la posterior investigación y retroalimentación al personal. Si se infringe más de una vez, se tomarán medidas disciplinarias al personal conforme a las disposiciones establecidas en los documentos internos de Faride Algodón SRL. Todos los servicios de tecnología de la información se encuentran sujetos monitoreo y control. Realizar capacitaciones sobre concientización de Seguridad de la Información al personal de la organización. RESPONSABILIDADCada persona administrativa de la empresa es responsable de la seguridad de los activos informáticos que están a su disposición, y debe seguir los lineamientos estipulados en este documento de una manera satisfactoria y de acuerdo a las reglamentaciones contractuales. El no actuar con responsabilidad frente a la Política de la Seguridad de la Información, es sancionado de acuerdo al código ético de la empresa. POLÍTICAS: PS 1. De seguridad de la información Se emplean políticas y lineamientos de seguridad que fuerzan a mantener la información de clientes y administrativos en un entorno seguro. Estas políticas están dirigidas a mantener los principios de la Seguridad Informática como lo son la Confidencialidad, Integridad y Disponibilidad. PS 1. De contratos de personal En el momento de la contratación será obligado un compromiso por escrito en que se acepta la confidencialidad de cada una de sus labores mantenidas con la organización. El cumplimiento de las políticas y estándares de seguridad de la información es obligatorio y debe ser considerado como una condición en los contratos del personal. PS 2. Del uso de equipos informáticos Toda persona que utilice un ordenador en su trabajo habitual deberá identificarse para su uso con un «nombre de usuario», facilitado por el Centro de Cómputo, y una «contraseña», construida por el propio usuario según las normas definidas por la empresa; las mismas que serán retiradas al usuario en el momento de la baja laboral. PS 3. Del ambiente de trabajo Todos los empleados son responsables de mantener un ambiente seguro, en tanto que el área de seguridad informática debe monitorear el cumplimiento de la política de seguridad definida y realizar actualizaciones que sean necesarias, producto de los cambios en el entorno informático y las necesidades del negocio. PS 4. De devoluciones Cada persona que en su momento de contratación haya adquirido una serie de elementos ya sean equipos, archivos, manuales, dispositivos de almacenamiento, etc. estos serán registrados en un inventario de aceptación. Y se ha comprometido por escrito a su total devolución en las mismas condiciones en el momento de su baja laboral. PS 5. De los dispositivos traídos por el usuario Los trabajadores que prefieran trabajar con equipos de uso personal, deben estar previamente autorizados para hacerlo, el equipo se configura de acuerdo a los lineamientos de la organización y bajo las mismas condiciones que los equipos de la empresa, ya que no se aceptan riesgos como la propagación de software de código malicioso debido a una falla de seguridad en el equipo. Los dispositivos de uso personal proveen mecanismos de autenticación aprobados por la oficina de Sistemas y Cómputo. PS 6. De acceso a información por parte de personal externo Todo acceso por parte de personal externo debe ser autorizado por un responsable interno, quien asume la responsabilidad por las acciones que realizar el mismo. El personal externo debe firmar un acuerdo de no- divulgación antes de obtener acceso a información de la empresa. PS 7. De inventario de activos Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de información. Cada activo debe ser claramente identificado y su propietario y clasificación en cuanto a seguridad deben ser acordados y documentados junto con la ubicación vigente del mismo (importante cuando se emprende una recuperación posterior a un perdida o daño). PS 8. De gestión de riesgos El proveedor es responsable de inmediatamente informar al responsable del contrato de cualquier brecha de seguridad que pueda comprometer información de la empresa. Cualquier empleado de la empresa debe informar de violaciones a la seguridad de la información por parte de proveedores al área de seguridad informática. El costo de las medidas y controles de seguridad no debe exceder la perdida que se espera evitar. Para la evaluación del riesgo se deben de seguir los siguientes pasos: - Clasificación del acceso de la información - Ejecución del análisis de riesgo identificando áreas vulnerables, perdida potencial y selección de controles y objetivos de control para mitigar los riesgos. PS 9. De la instalación de software y hardware Para la instalación del software y hardware, estos componentes son únicamente instalados por el personal técnico capacitado de la empresa. A cada equipo se le realiza un inventario de hardware y la información se mantiene en una base de datos. Se realiza un chequeo de este componente cada vez que se inicie el equipo y se conecte a la red; si se detectan cambios no autorizados, queda deshabilitado automáticamente. PS 10. De Auditoria Para mantener la calidad de los procesos organizativos, se hacen auditorías programadas en cada una de las áreas y procesos críticos de la institución. PS 11. De concientización Se emplean políticas y lineamientos de seguridad que fuerzan a mantener la información de clientes y administrativos en un entorno seguro. Estas políticas están dirigidas a mantener los principios de la Seguridad Informática como lo son la Confidencialidad, Integridad y Disponibilidad. PS 12. De acceso físico Todos los trabajadores de Faride Algodón del Perú, registran su ingreso mediante sistema biométrico, el cual realizara las coordinaciones correspondientes con las áreas de sistemas, administración de personal, RRHH con la finalidad del bienestar social de la empresa. PS 13. De Calidad La oficina de Sistemas y Cómputo realiza controles y cambios en pro de mejorar continuamente sus procesos. Se 100 realizan evaluaciones periódicas para medir el nivel de calidad en áreas críticas y en otras donde sea necesario. La calidad es un componente fundamental. Se cumplen con los requerimientos de gestión para el logro de certificaciones de estándares internacionales, así como la alineación con los sistemas de calidad existentes en la empresa. CONCLUSIONES El implementar una política de seguridad de la información y que los empleados la conozcan e interioricen, es de gran utilidad cuando se quiere implementar cualquier SGSI en una organización, ya que les da una visión clara de cómo sus labores cotidianas aportan para el mantenimiento y mejora del sistema. Aún después de implementar un buen SGSI, en el futuro se presentarán más activos de información, más amenazas, vulnerabilidades y, por lo tanto, mayores riesgos. Este escenario no se puede evitar; es por ello que se concluye que se debe estar preparado para actuar de manera inmediata ante cualquier nueva vulnerabilidad que se identifique. Implementando una buena metodología para gestionar los riesgos y ejecutando los planes de tratamiento de riesgos planteados, se logra reducir a niveles aceptables gran porcentaje de riesgos que afecten a los activos de información. El factor humano es crítico para la implementación de cualquier sistema gestión de seguridad de la información es por ello que la formación y concientización de los mismos es indispensable para la implementación exitosa. Muchas veces las empresas crecen de manera desordenada, crecen con paradigmas equivocados, algunos quieren documentar todo lo que se pueda, otras creen que documentar los procesos es una pérdida de tiempo. De lo anterior se concluye que la documentación de los procesos es una herramienta poderosa para el mantenimiento y mejora de cualquier sistema de gestión organizacional. RECOMENDACIONES Mantener una constante revisión de la política del SGSI y verificar el cumplimiento de la misma por parte de los empleados de la organización. Establecer los mecanismos que permitan la identificación de nuevos activos de información, y también la cultura organizacional para tomar acciones correctivas frente a nuevasvulnerabilidades, amenazas o riesgos detectados; y con base en esa información tomar acciones preventivas. Seguir con la utilización de una metodología para gestionar los riesgos; ya que, de esta manera se puede lograr una reducción en los riesgos a los cuales son sometidos los activos de información y también se puede hacer lo mismo para nuevos riesgos que aparezcan. Formar y capacitar de manera periódica al personal en temas de seguridad de la información y así lograr que todos los involucrados o relacionados con los activos de información tengan los alcances de implementación claros. Realizar una documentación de procesos para poder gestionar los mismos de manera óptima y hacer frente a cualquier cambio que se pueda dar en la empresa. La documentación de procesos también nos permite la mejora de estos.
Compartir