I.
DEDICATORIA
PRIMERAMENTE A DIOS POR HABERME PERMITIDO LLEGAR HASTA ESTE PUNTO Y HABERME DADO SALUD, SER EL MANANTIAL DE VIDA Y DARME LO NECESARIO PARA SEGUIR SEGUIR ADELANTE ADELANTE DÍA DÍA A DÍA PARA LOGRAR LOGRAR MIS MIS OBJET OBJETIVO IVOS, S, ADEMÁ ADEMÁS S DE SU INFINITA BONDAD Y AMOR.
1
II. TÍTULO
PASOS DEL PLAN DE SEGURIDAD A LOS DOCENTES DE ISTP “JOAQUIN REATEGUI MEDINA” POR INFORMÁTICA SU GRAN APOYO Y MOTIVACIÓN PARA LA CULMINACIÓN DE DE UNA NUESTROS ESTUDIOS PROFESIONALES, POR SU APOYO ENTIDAD OFRECIDO EN ESTE TRABAJO, POR BANCARIA HABERME TRANSMITIDOS LOS CONOCIMIENTOS OBTENIDOS Y HABERME LLEVADO PASÓ A PASO EN EL APRENDIZAJE
2
III. INTRODUCCIÓN
Los eventos mundiales recientes han generado un mayor sentido de urgencia que antes con respecto a la necesidad de tener mayor seguridad - física y de otro tipo. Las empresas pueden haber reforzado las medidas de seguridad, pero nunca se sabe cundo o c!mo puede estar e"puesta. # $n de brindar la ms completa protecci!n de informaci!n, se requiere de un sistema e"haustivo de seguridad. %s vital implementar un plan de seguridad. &in embargo, implementar un plan proactivo que indique c!mo sobrevivir a los m'ltiples escenarios tambi(n preparar a las empresas en el mane)o de las amenazas inesperadas que podría afrontar en el futuro.
3
IV. OBJETIVOS
%l ob)etivo del presente traba)o es realizar un diagn!stico de la situaci!n actual en cuanto a la seguridad de informaci!n que el +entro %ducativo actualmente administra y disear un lan de &eguridad de la nformaci!n /&0 que permita desarrollar operaciones seguras basadas en políticas y estndares claros y conocidos por todo el personal del colegio.
*
V.
TEMAS Y SUBTEMAS
PLAN DE SEGURIDAD INFORMÁTICO DE UNA ENTIDAD BANCARIA La mayoría de las empresas ha invertido tiempo y dinero en la construcci!n de una infraestructura para la tecnología de la informaci!n que soporte su compaía, esa infraestructura de podría resultar ser una gran debilidad si se ve comprometida. ara las organizaciones que funcionan en la era de la informtica interconectadas y con comunicaci!n electr!nica, las políticas de informaci!n bien documentadas que se comunican, entienden e implementen en toda la empresa, son herramientas comerciales esenciales en el entorno actual para minimizar los riesgos de seguridad. magine lo sucedería si •
•
que
La informaci!n esencial fuera robada, se perdiera, estuviera en peligro, fuera alterada o borrada. Los sistemas de correo electr!nico no funcionaran durante un día o ms. ¿Cuánto o!t"#$" %!t" &'(#o)ut&*&)")+
Los clientes no pudieran enviar !rdenes de compra a trav(s de la red durante un prolongado periodo de tiempo.
repararse para m'ltiples escenarios parece ser la tendencia creciente. %n un informe publicado por 5iga nformation 5roup con respecto a las tendencias de estimadas para el ao 2662, se espera que los e)ecutivos corporativos se interesen cada vez ms en la prevenci!n de desastres físicos, ciberterrorismo y espiona)e de libre competencia. mplementar una política de seguridad completa le da valor intrínseco a su empresa. ambi(n me)orar la credibilidad y reputaci!n de la empresa y aumentar la con$anza de los accionistas principales, lo que le dar a la empresa una venta)a estrat(gica. ¿C,'o )%!"##o--"# un" (o-$t&" )% !%u#&)")+
I)%nt&/0u% 1 %*"-2% -o! "t&*o!3 7u( activos deben protegerse y c!mo protegerlos de forma que permitan la prosperidad de la empresa. I)%nt&/0u% -"! "'%n"4"!3 8+ules son las causas de los potenciales problemas de seguridad9 +onsidere la posibilidad de violaciones a la seguridad y e impacto que tendrían si ocurrieran. %stas amenazas son e"ternas o internas
o A'%n"4"! %5t%#n"!3 &e originan fuera de la organizaci!n y son los virus, gusanos, caballos de roya, intentos de ataques de los hac:ers, retaliaciones de e"-empleados o espiona)e industrial. o A'%n"4"! &nt%#n"!3 &on las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber d!nde reside la informaci!n sensible e importante. Las amenazas internas tambi(n 4
incluyen el uso indebido del acceso a nternet por parte de los empleados, así como los problemas que podrían ocasionar los empleados al enviar y revisar el material ofensivo a trav(s de nternet. E*"-u6 -o! #&%!o!3
A!&n% -"! #%!(on!"7&-&)")%!3 &eleccione un equipo de desarrollo que ayude a identi$car las amenazas potenciales en todas las reas de la empresa. &ería ideal la participaci!n de un representante por cada departamento de la compaía. Los principales integrantes del equipo serían el administrador de redes, un asesor )urídico, un e)ecutivo superior y representantes de los departamentos de >ecursos ?umanos y >elaciones 'blicas. E!t"7-%4" (o-$t&"! )% !%u#&)")3 +ree una política que apunte a los documentos asociados@ parmetros y procedimientos, normas, así como los contratos de empleados. %stos documentos deben tener informaci!n especí$ca relacionada con las plataformas informticas, las plataformas tecnol!gicas, las responsabilidades del usuario y la estructura organizacional.
;
=e esta forma, si se hacen cambios futuros, es ms fcil cambiar los documentos subyacentes que la política en sí misma. I'(-%'%nt% un" (o-$t&" %n to)" -" o#"n&4"&,n3 La política que se esco)a debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer qui(n es el propietario de los sistemas y datos especí$cos. ambi(n puede requerir que todos los empleados $rmen la declaraci!n@ si la $rman, debe comunicarse claramente.
o Cu'(-&'&%nto3 ndique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento. o Fun&on"#&o! )% !%u#&)")3 Bombre individuos que sean directamente responsables de la seguridad de la informaci!n. #seg'rese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conCicto de intereses. o F&n"n&"&,n3 #seg'rese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la política de seguridad de la compaía.
A)'&n&!t#% %- (#o#"'" )% !%u#&)")3 %stablezca los procedimientos internos para implementar estos requerimientos y hacer obligatorio su cumplimiento. CONSIDERACIONES IMPORTANTES
A
# trav(s del proceso de elaboraci!n de una política de seguridad, es importante asegurarse de que la política tenga las siguientes características •
&e pueda implementar y hacer cumplir
•
&ea concisa y fcil de entender
•
+ompense la protecci!n con la productividad
Ena vez la política se aprueba totalmente, debe hacerse asequible a todos los empleados porque, en 'ltima instancia, ellos son responsables de su ("ito. Las políticas deben actualizarse anualmente /o me)or a'n cada seis meses0 para reCe)ar los cambios en la organizaci!n o cultura. &e debe mencionar que no debe haber dos políticas de seguridad iguales puesto que cada empresa es diferente y los detalles de la política dependen de las necesidades e"clusivas de cada una. &in embargo, usted puede comenzar con un sistema general de políticas de seguridad y luego personalizarlo de acuerdo con sus requerimientos especí$cos, limitaciones de $nanciaci!n e infraestructura e"istente. Ena política completa de seguridad de la informaci!n es un recurso valioso que amerita la dedicaci!n de tiempo y esfuerzo. La política que adopte su empresa brinda una base s!lida para respaldar el plan general de seguridad. F una base s!lida sirve para respaldar una empresa s!lida.
D
BANCO ABC %n el presente traba)o desarrollaremos el lan de &eguridad para una entidad $nanciera a la cual llamaremos el Ganco #G+.
%l Ganco #G+ es un banco de capital e"tran)ero, tiene 3 agencias a nivel nacional, ofrece todos los productos $nancieros conocidos, posee presencia en nternet a trav(s de su pgina Heb, es un banco mediano cuenta con 66 empleados y es regulado por la &uperintendencia de Ganca y &eguros. # lo largo de todo el desarrollo del traba)o describiremos mas en detalle su estructura interna, evaluaremos los riesgos a los cuales estn e"puestos, para lo cual se realizara un diagnostico ob)etivo de la situaci!n actual y como se deben contrarrestar, para $nalmente terminar diseando el lan de &eguridad y las principales actividades que deben e)ecutarse para la implementaci!n de las políticas de seguridad. # continuaci!n describiremos brevemente la situaci!n actual de los aspectos ms importantes en la elaboraci!n del lan de &eguridad@ como son la organizaci!n, el propio lan y la adecuaci!n al lan. A8 O#"n&4"&,n )% !%u#&)") )% -" &n9o#'"&,n
#ctualmente el Ganco cuenta con un rea de seguridad informtica recientemente constituida, los roles y responsabilidades del rea no han sido formalizados y las tareas desempeadas por el rea se limitan por ahora al control de accesos de la mayoría de sistemas del Ganco.
16
#lgunas tareas correspondientes a la administraci!n de seguridad son desarrolladas por el rea de sistemas como la administraci!n de red, $reHalls y bases de datos, otras tareas son realizadas directamente por las reas usuarias, y $nalmente otras responsabilidades como la elaboraci!n de las políticas y normas de seguridad, concientizaci!n de los usuarios, monitoreo de incidentes de seguridad, etc., no han sido asignadas formalmente a ninguna de las reas. %n este sentido, en el presente traba)o detallamos los roles y responsabilidades relacionadas a la administraci!n de seguridad de la informaci!n que involucra no solamente a miembros de las reas de seguridad informtica y sistemas como administradores de seguridad de informaci!n y custodios de informaci!n, sino a los gerentes y )efes de las unidades de negocio como propietarios de informaci!n, y a los usuarios en general. B8 D&!%:o )%- (-"n )% !%u#&)") )% -" &n9o#'"&,n
ara el diseo del lan de seguridad de la informaci!n se desarrollaran las siguientes etapas - E*"-u"&,n )% #&%!o!; "'%n"4"! 1 *u-n%#"7&-&)")%! ara la de$nici!n del alcance de las políticas y estndares y con el prop!sito de identi$car las implicancias de seguridad del uso y estrategia de tecnología, amenazas y vulnerabilidades y nuevas iniciativas del negocio, se desarrollarn un con)unto de entrevistas con las 5erencias del Ganco, personal del rea de sistemas, auditoria interna y el rea de seguridad informtica. roducto de la consolidaci!n de la informaci!n obtenida en dichas entrevistas se elaborar unas matrices que se presentarn en el capítulo BI J del presente documento. - Po-$t&"! )% !%u#&)") )% &n9o#'"&,n. +on el ob)etivo de contar con una guía para la protecci!n de informaci!n del Ganco, se elaborarn las políticas y estndares de seguridad de la informaci!n, tomando en cuenta el estndar de seguridad de informaci!n &K 1;;DD, los requerimientos de la +ircular BI 5-16-2662 publicada por la &uperintendencia de Ganca y &eguros /&G&0 sobre >iesgos de ecnología de nformaci!n y las normas establecidas internamente por el Ganco. 11
- D&!%:o )% "#0u&t%tu#" )% !%u#&)") )% #%). +on el ob)etivo de controlar las cone"iones de la red del Ganco con entidades e"ternas y monitorear la actividad realizada a trav(s de dichas cone"iones, se elaborar una propuesta de arquitectura de red la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspecci!n de contenido. C8 P-"n )% I'(-%'%nt"&,n
=e la identi$caci!n de riesgos amenazas y vulnerabilidades relacionadas con la seguridad de la informaci!n del Ganco, se lograron identi$car las actividades ms importantes a ser realizadas por el Ganco con el prop!sito de alinear las medidas de seguridad implementadas para proteger la informaci!n del Ganco, con las olíticas de seguridad y estndares elaborados. %ste plan de alto nivel incluye una descripci!n de la actividad a ser realizada, las etapas incluidas en su desarrollo y el tiempo estimado de e)ecuci!n.
12
VI. CONCLUSIONES
•
•
&e aprendi! los pasos para realizar un plan de seguridad informtico. &e dio a conocer las problemticas ms comunes para realizar dicho plan.
•
&e ilustro las de$ciencias y debilidades de toda entidad
•
&e pudo corroborar que las debilidades trae grandes fortalezas
13
VII. BIBLIOGRAFÍA
•
•
•
• •
• •
•
•
httpHHH.buenastareas.comensayoslan-=e-&eguridadnformatica-%)emplo2444*.html httpsisbib.unmsm.edu.pebibvirtualtesisGasiccordovaMrnco ntenido.htm httpes.slideshare.net)pfebles1tema-4-planes-de-seguridadinformatica httpes.Hi:ipedia.orgHi:i&eguridadMinformN+3N#1tica httpHHH.cft.gob.m"es+ofetelM266AplanMinstitucionalMdeMse guridadMinformatica httphtml.rincondelvago.comseguridad-informatica.html httpprezi.comop*b)tn3Aez-proyecto-de-seguridadinformatica httpseguridadinformaticaufps.Hi:ispaces.com+onceptosOGas icosO&eguridadOnformatica httpseguridadinformaticaufps.Hi:ispaces.comoliticas, OlanesOyOrocedimientosOdeO&eguridad httpseguridadinformaticaufps.Hi:ispaces.com+onceptosOGas icosO&eguridadOnformatica
1*
VIII. ÍNDICE I.- Dedicatoria………………………………………………1 II. Título……………………………………………………...2 III. Introducción…………………………………………….3 IV.- Objetivos……………………………………………….4 V.- Temas !ubtemas……………………………………" #$%& D' !'()*ID%D I&+O*,TI% VI.- onclusión……………………………………………..13 VIII.- /iblio0raía…………………………………………...14 I.- ndice……………………………………………………1" .- %neo…………………………………………………….15
1
I<. ANE
14
1;