Plan de Seguridad Informática en la Escuela Universitaria de Post Grado de la UNFV

1

Agenda

• • • • • • •

Introducción Marco teórico Descripció Descr ipción n de la metodolog metodología ía Plan de seguridad informática Resultados Conclusiones Recomendaciones

Plan de Seguridad Informática

2

Introducción

El cr crec ecim imie ient nto o te tecn cnol ológ ógic ico o im impl plic ica a gr gran an debilidad de los sistemas informáticos, al volverse más má s co comp mple lejo jos, s, ap apar arec ecie iend ndo o má más s el elem emen ento tos s vul ulne nerrab able les s ref efe eren entte a la se seg gur urid idad ad de la infor inf ormac mación ión;; lo que que conl conllev leva a a la nec necesi esidad dad de una un a ad adec ecua uada da im impl plem emen enta taci ción ón de un pl plan an de seguridad informática que permita a la institución proteger en forma correcta y oportuna su información. En esta perspectiva, la Escuela de Postgr Pos tgrado ado de la Un Unive iversi rsidad dad Nac Nacion ional al Fed Federi erico co Villa Vi llarr rreal eal,, ha ido cre crecie ciendo ndo a tr travé avés s del tie tiempo mpo dispon dis ponien iendo do de rec recurs ursos os inf inform ormáti áticos cos,, una red local, acceso a internet, por lo tanto, su información no deja de ser ajena a las amenazas informáticas tanto externas externas como internas; internas; he ahí la imp import ortanc ancia ia y tra trasce scende ndenci ncia a del est estudi udio o que motiva la presente tesis.

3

Objetivos

El objetivo general de la investigación es probar la eficiencia de un plan de seguridad informática propuesto para la EUPG-UNFV, EUPG-UNFV, la misma se logrará con los siguientes objetivos específicos: • • •

Hacer el diagnó diagnóstico stico del sistem sistema a de segur seguridad idad infor informática mática actua actual. l. Elab El abor orar ar un pl plan an de se segu guri rida dad d in info form rmát átic ica a so sobr bre e la ba base se de dell diagnóstico de la situación actual. Probarr la eficien Proba eficiencia cia del del plan plan de segur seguridad idad infor informátic mática a propues propuesto. to.

Plan de Seguridad Informática

4

Marco teórico

Joyanes L. (1997), “el impacto social de las tecnologías de la información y de la sociedad informatizada, es vulnerable”.

Marcelo J. (1999), considera que la “seguridad informática es un proceso continuo, no un producto”.

Es co conj njun unto to de si sist stem emas as,, pr proc oced edim imie ient ntos os,, métodos y herramientas destinados a proteger la información.

Ribagorda M. (1994), “la informática es una herramienta que implica riesgos cada vez más crecientes, a veces mal conocidos y poco combatidos”.

5

Propiedades de la seguridad informática Lardent A. (2001), manifiesta que el objetivo de la seguridad informática “es mantener la confidencialidad, integridad y la disponibilidad de la información”.

Confidencialidad Se refiere que a los componentes del sistema, serán ser án acc accedi edidos dos sólo por aquellos usuarios autorizados.

Integridad

Disponibilidad

Los componentes del sist si stem ema a só sólo lo pu pued eden en se serr creados crea dos y modifica modificados dos por por los usuarios autorizados.

Los usuarios deben tener disponibles todos l os compon com ponent entes es del sist sistema ema cuando así lo deseen.

Plan de Seguridad Informática

6

Las amenazas informáticas Externas Internas

Interceptación Ocurre cuando una persona no autori aut orizad zada a acc accede ede a una par parte te dell si de sist stem ema a ha haci cien endo do us uso o de privilegios no adquiridos. Copias ilícitas de programas. Escucha en línea de datos.

Modificación Trata de cambiar en todo o en part pa rte e el fu func ncio iona nami mien ento to de dell sist si stem ema, a, co con n la fi fina nali lida dad d de obtener beneficios personales. Modificación de base de datos. Modifi Mod ificac cació ión n de ele elemen mentos tos del hardware.

Interrupción Se con consid sidera era com como o tem tempor poral al o per erm mane nent nte, e, lo cu cua al pue ued de ocas oc asio iona narr un da daño ño,, pé pérd rdid ida a o deja de funcionar un punto del sistema. Destrucción del hardware. Borrado de programas, datos. Fallas en el sistema operativo.

Generación Se refiere a la creación de nuevos objetos dentro del sistema. Añadir transacciones en red. Añad Añ adir ir re regi gist stro ros s en ba base se de datos.

7

Debilidades de los sistemas informáticos (DSI)

Hardware

Usuarios

Software

DSI

Memoria

Datos

Plan de Seguridad Informática

8

Estándar de seguridad informática Política de seguridad Organización de la Seguridad de la Información

Conformidad

Gestión de la continuidad de las operaciones de la empresa

Gestión de Incidencias

Gestión de Activos

ISO 27001 / ISO 17799: 2005

Adquisición, desarrollo y mantenimiento de los sistemas de Información

Seguridad de los recursos humanos

Seguridad física y medioambient al

Control de accesos a los datos

Gestión de las telecomunicaci ones y operaciones

9

Descripción Descri pción de la metodolo metodología gía del desarrol desarrollo lo

PROBLEMA No existe sistema de seguridad informática en la EUPG-UNFV.

OBJETIVOS Objetivo Objet ivo princi principal pal Probar la eficiencia de un plan de seguridad informática propuesto en la EUPG-UNFV.

Objetivos Objet ivos espec específicos íficos Hacer el diagn Hacer diagnóstic óstico o del sist si stem ema a de se segu guri rida dad d inform inf ormáti ática ca actua actuall de la EUPG-UNFV

HIPÓTESIS

VARIABLES

Se logrará mejorar la seguridad info in form rmát átic ica a en la EUPG-UNFV, mediante la formulación ade decu cua ada de un plan pla n de seg seguri uridad dad informática.

Variable independiente Plan de seguridad informática propuesto.

Variable dependiente Seguridad informática

T I PO D E ESTUDIO Descriptiva comparativa Porque los resu re sult ltad ados os de una primera fase, serán comparados con los resu re sult ltad ados os de una un a se segu gund nda a fase

Elaborar un plan de segu se guri rida dad d info in form rmát átic ica a sobre la base del diagnóstico de la situación actual.

DISEÑO

RESULTADOS

Transversal

Se realizó el diagnóstico de la seguri seg uridad dad inf inform ormáti ática ca acttua ac uall en la EUPGUNFV

Recolectaremos los lo s da dato tos s en en un un mom ome ent nto o dad da do por única vez.

No Experimental Porque implica la obse ob serv rvac ació ión n de las situaciones en su condición natural sin inte in terv rven enci ción ón de los investigadores.

Se elaboró un plan seguri seg uridad dad inf inform ormáti ática ca para EUPG-UNFV Se pro probó bó la efi eficie cienci ncia a del pla plan n de seg seguri uridad dad informática elaborado

Probar la efi Probar eficie cienci ncia a del plan propuesto.

 El que nunca nada hace nunca se equivoca. Anónimo

Plan de Seguridad Informática

10

Desarrollo del plan de seguridad informática en la EUPG-UNFV

Análisis del sistema de seguridad informática actual • Generación de las las encuestas •Anál •An áliisi sis s de fu fue ent ntes es de da dato tos s y recopilación de información. •Rec •Re colección de documentos referente a la seguridad informática. • Re Reco cono noci cimi mien ento to de dell am ambi bien ente te de trabajo • Id Iden enti tifi fica caci ción ón de lo los s fa fact ctor ores es de riesgo

Formulación del plan de seguridad informática • En base a los resultados resultados del análisis • ISO 27001/17799:2005 • NTP: NTP:17799 17799:2007 :2007 Código de buena buenas s prác pr ácti tica cas s pa para ra la ge gest stió ión n de la seguridad informática • El plan consiste consiste en 7 factores

Prueba de la eficiencia del plan propuesto • Generación de encuesta acerca eficiencia del propuesto

una la plan

Plan de Seguridad Informática

11

Plan de seguridad informática propuesto Plan de seguridad informática propuesto en la EUPG-UNFV

Consiste en

Seguridad lógica Agrupa los siguientes aspectos

Seguridad en las comunicaciones Agrupa los siguientes aspectos

Seguridad en las aplicaciones Agrupa los siguientes aspectos

Seguridad física

Administración del centro de procesamiento de datos

Agrupa los siguientes aspectos

Agrupa los siguientes aspectos

Identificación de usuarios

Topología de la red

Software

Equipamiento

Autenticación

Conexiones externas

Seguridad de la base de datos

Control de acceso físico al área de informática

Capacitación

Control de aplic ap licac acion iones es en las computadoras

Control de acceso a equipos

Backup

Control de datos en las aplicaciones

Dispositivos de soporte

Ciclo de vida de las aplicaciones

Estructura del edificio

Gestión del password

Segregación de funciones

Configuración lógica de la red

Correo electrónico Antivirus

Firewall

Ataques de la red

Administración del área de informática

Documentación

Auditorías y revisiones Agrupa los siguientes aspectos

Revisión del sistema

Responsabilidades de los encargados de seguridad Auditoría de control de acceso a los sistemas

Plan de contingencia Agrupa los siguientes aspectos

Plan de administración de incidentes

Backup de equipamiento

Estrategias de recuperación de desastres

Auditoría de redes

Cableado estructurado

12

Resultados de la investigación

En primer lugar se presentan, los resultados del diagnóstico del sistema de seguridad informática que existía antes de formular el plan de seguridad. En segundo lugar se presentan los resultados estadísticos que prueban la eficiencia del plan propuesto, finalmente se presenta la contrastación de la hipótesis planteada

Plan de Seguridad Informática

13

Diagnóstico de la seguridad informática antes de la formulación del plan

El et etap apa a di diag agnó nóst stic ico o im impl plic ica a un una a ex expl plor orac ació ión n so sobr bre e cu cuán ánto to co cono noce cen n lo los s emplea emp leados dos en la EUP EUPG-U G-UNF NFV V, ace acerca rca de los tem temas as rel relaci aciona onados dos con los sistemas de información que se emplean con mayor frecuencia, y al riesgo que puedan estar expuestos cuando no están protegidas apropiadamente.

Plan de Seguridad Informática

14

Promedio global de los resultados por factores, de la seguridad informática actual Producto de la evaluación de la seguridad informática actual, se desarrolló la media aritmética de los resultados obtenidos por factores, de tal modo, los resultados globales muestran una tendencia similar a las evaluadas por factores.

Respuestas Resultados Muy Mala

Mala

Regular

Buena

Excelente

6,0

45,0

34,0

10,0

5,0

En el cuadro, apreciamos que sólo el 15 % de los usuarios considera que la seguridad informática en la EUPG–UNFV es buena y excelente, la tercera parte de ellos cree que la seguridad actual es regular y, y, más de la mitad cree que es mala y muy mala.

15

Análisis de la eficiencia del plan de seguridad informática propuesto

Una vez elaborado el plan de seguridad informática con las previsiones teóricas y previo análisis exhaustivo es preciso probar el funcionamiento de este plan; para ello recurrimos a una prueba de eficiencia del plan pro pr opu pue est sto o, des esd de el pun unto to de vi vist sta a de la las s opiniones de los expertos en informática quienes están involucrados directa e indirectamente de manera permanente con los sis isttemas de información.

16

Promedio global de los resultados por factores, del plan propuesto Con la metodología similar a la de anterior, se desarrolló la media aritmética de los resultados obteni obt enidos dos por factore factores, s, lo que que,, imp implic lica a con conoce ocerr la eficienc eficiencia ia del pla plan, n, en op opini inión ón de los usuarios expertos en informática.

Resultados

Excelente

Buena

Regular

Mala

Muy Mala

31,06

55,33

12,20

1,00

1.00

Los re resul sultad tados os obt obteni enidos dos por cad cada a fac factor tor del pla plan n de seg seguri uridad dad inf inform ormáti ática ca pro propue puesto sto,, son contundentes y se relacionan con los resultados globales. El 86.40 % considera que el plan, de aplicarse, estaría considerado entre bueno y excelente, el 12,20 % de los usuarios considera que el plan sería regular si se aplicase, y sólo 2.00 % considera que el plan sería desfavorable.

17

Prueba de la eficiencia del plan de seguridad informática propuesto

Se compara los resultados obtenidos sobre la percepción de los usuarios respecto a la protección o plan de seguridad informática en la EUPG–UNFV. (Antes de la implementación del plan) al que hemos denominado diagnóstico, con los resultados de la percepción después de la fo form rmul ulac ació ión n de dell pl plan an,, a es esto to úl últi timo mo lo de deno nomi mina namo mos s ef efic icie ienc ncia ia pr prob obad ada a de dell pl plan an propuesto.

Para de Para demo most stra rarr la ef efic icie ienc ncia ia de dell pl plan an pr prop opue uest sto o es ne nece cesa sari rio o co cont ntra rast star ar la hi hipó póte tesi sis s planteada, a continuación presentamos la demostración de la misma.

Plan de Seguridad Informática

18

Prueba de la eficiencia del plan de seguridad informática propuesto propu esto – Cont Contrastaci rastación ón de la hipótesis hipótesis En el siguiente cuadro presentamos las respuestas en porcentajes de los usuarios antes de la formulación del plan versos. Las respuestas después de la prueba de la eficiencia del plan propuesto. Respuestas Momento evaluación Antes

Recuento Frecuencia esperada Residuo Residuos tipificados

Después

Recuento

Total

Muy mala

Mala

Regular

Bueno

Excelente

6

45

34

10

5

100

3,5

23

23

32,5

18

100

2,5

22

11

-22,5

-13

1,3

4,6

2,3

-3,9

-3,1

1

1

12

55

31

100

3,5

23

23

32,5

18

100

-2,5

-22

-11

22,5

13

-1,3

-4,6

-2,3

3,9

3,1

7

46

46

65

36

200

7

46

46

65

36

200

Frecuencia esperada Residuo Residuos tipificados Total

Recuento Frecuencia Esperado

Con los resultados de los residuos tipificados, tenemos: Las respuestas respecto a la protección con que cuenta la información información de la EUPG–UNFV EUPG–UNFV en la fase de diagnóstico, diagnóstico, se encuen encuentran tran entre regular, regular, mala y muy mala (2.3, 4.6 y 1.3) respectivamente; en cambio; las respuestas sobre la formulación del plan de seguridad informática propuesto se encuentra entre bueno y excelente (3.9 y 3.1) respectivamente. De manera visual estos resultados apreciamos también en el siguiente gráfico,

19

Eficiencia del plan de seguridad informática propuesto 60 55%

50 45%

40 34%      o       t      n      e     u      c      e       R

31%

Muy mala Mala

30

Regular Bueno Excelente

20

12% 10%

10 6%

5% 1%

1%

-

Antes

Despues Momento de Evaluación

20

Conclusiones Luego de recopilar, recopilar, analizar, contrastar la información, en este estudio se llegó a las siguientes conclusiones: Sin la aplicación del plan de seguridad informática, se demostró que el estado actual de la seguridad informática en la EUPG–UNFV, es deficiente para las necesidades del complejo de información que maneja.

Luego de recopilar, anal an aliz izar ar,, co cont ntra rast star ar la información, Lu eego n o ede steso Lueg some mete terr el pl plan an pr prop opue uest sto o al ju juic icio io de lo los s esttud es udio io se ll lleg egó ó a las s informática de la EUPG-UNFV, se aprecia expertosla en siguientes conclusiones una mejora sustancial en la seguridad informática

La mejora en la percepción de la seguridad informática, demuestra demu estra la eficie eficiencia ncia del plan propuesto propuesto en la EUPGUNFV

21

Recomendaciones Muchas de las amenazas informáticas, están relacionadas por factores exte ex tern rnas as e in inte tern rnas as,, po porr ot otro ro la lado do de deri riva van n po porr el ma mall us uso o de la las s tecnologías de la información, por lo que se sugiere realizar campañas de capacitación a todo el personal, las mismas que tendrían que estar orie or ient ntad adas as ba bajo jo lo los s co conc ncep epto tos s bá bási sico cos s de se segu guri rida dad d y a gr grup upos os específicos con temas correspondientes a sus responsabilidades. Sería Serí a in inte tere resa sant nte e re real aliz izar ar un an anál ális isis is de dell co cost sto o y ti tiem empo po co como mo cons co nse ecu cuen enci cias as de la fa falt lta a de pr prev even enci ció ón de lo los s si sist stem ema as de inform inf ormaci ación, ón, est esto o pue puede de con concie cienti ntizar zar a la ins instit tituci ución ón a ana analiza lizarr la prob pr obab abililid idad ad de qu que e oc ocur urra ran n cie ciert rtos os su suce ceso sos, s, pa para ra lo cu cual al,, la al alta ta gerencia debe determinar las consecuencias que traería el costo y productividad por la pérdida de información, clientes, confianza de los usua us uari rios os y co cost stos os as asoc ocia iado dos s co con n la las s so solu luci cion ones es de se segu guri rida dad d informática.

Finalm Fina lmen ente te se re reco comi mien enda da co cons nside idera rarr la las s su suge gere renc ncia ias s en el pl plan an propuesto, para minimizar las amenazas tanto externas como internas, a fin de proteger la información de valía para la EUPG–UNFV. EUPG–UNFV.

22

“El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados” Gene Spafford

Gracias

23