SEGURIDAD DE LA INFORMACIÓN Y SEGREGACIÓN DE FUNCIONES

SANDRA JULIET LAGOS MENDOZA COD. 52.737.641WENDY YORLADY MARTINEZ COD. 52.951.455

DIANA ELIZABETH NIÑO MORENO COD. 52.916. GRUPO 102058_409

MIRIAM MOCUATUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADDICIEMBRE, 2012

SEGURIDAD DE LA INFORMACIÓN Y SEGREGACIÓN DE FUNCIONES

Planteamiento del problema

 En la actualidad en seguridad informática, el término adelantarse a las amenazas implica mucho más que mantener alejados a los malos. Las soluciones de seguridad de la información tradicionales que se enfocan en las amenazas externas podrían mostrar a las organizaciones otras formas de ataque, especialmente desde adentro. Debe conocerse las amenazas internas y externas de la red.

Formulación del Problema¿Se Han detectado y monitoreado amenazas dentro y fuera de la organización?

JUSTIFICACIÓN

Se sabe que la seguridad en sistemas de información es un capítulo de constante actualidad hoy en día, lo que no es en absoluto una buena noticia para ningún cliente, que siente como sus sistemas podrían estar expuestos a riesgos similares a los presentados con frecuencia tanto en los medios de comunicación generales como en los especializados.Los modelos de seguridad usuales se enfocan en mantener alejados a los agresores externos. En la actualidad existen amenazas tanto dentro como fuera de la organización.

La tecnología móvil, computación en nube, las redes sociales y el sabotaje por parte de los empleados son solo algunas de las amenazas internas que enfrentan las empresas. A nivel externo, no solo se trata del hacker solitario que ataca por gusto. En general, el entorno de riesgo está cambiando.

Debido a las costumbres actuales de utilizar elementos como las redes sociales, el servicio de computación en nube y los dispositivos personales móviles en la empresa.

Es por esto que es el momento adecuado para crear los programas de seguridad de la información y las estrategias que las compañías deben utilizar para mantener a salvo sus archivos. La seguridad de la información debe estar alineada estratégicamente con la agenda de negocios más general y basarse en la tolerancia al riesgo de una organización. Es una decisión difícil que debe tomarse para formar la base de un programa de seguridad de la información.Los avances tecnológicos han creado un acceso a la información que es demasiado grande para las barreras. Por lo tanto, las compañías deben aprender cómo aceptar el cambio de manera segura.

Nuestro camino de seguridad puede ayudar a su empresa a construir un programa para aumentar la confianza de su selecto grupo de integrantes de la cadena de interlocutores de manera rentable y sustentable.

OBJETIVOS

General  Definir la inclinación de riesgo esto depende de

la cultura de la organización frente a la seguridad de la información y la posible exposición al riesgo que está dispuesto a enfrentar.

OBJETIVOS

Específicos  Desarrollar modelos de amenaza predictivos. Una vez que el

equipo de seguridad identifique las áreas de riesgo, entendiendo y cuantificando la probabilidad de que ocurra una violación.

Determinar los mecanismos de protección adecuados

Identificar la información más importante. Debe identificar, inventar y priorizar el Valor de la información. Otorgarle un valor permitirá priorizar los activos más importantes.

MARCO CONTEXTUAL

El plan de seguridad es la recopilación de acciones y procedimientos realizados en la búsqueda de la estabilidad de un área o proceso especifico, para ello se tiene en cuenta todos los aspectos relacionados de forma directa e indirecta que puedan llegar a lesionar el normal funcionamiento.

Se soporta en las acciones tomadas producto del la evaluación total del medio y el entorno que los componen, al mismo tiempo que se definen las políticas que se adoptaran para más adelante al finalizar documentar los procedimientos que serán la guía para el personal del área de sistemas en cualquier acción que se realice.

Por ser un plan integral toma desde sus riesgos las soluciones probables en cada uno los ítems evaluados; puesto que cada empresa es totalmente diferente los planes de seguridad de igual forma deben serlo, no es conveniente generalizar; el estudio se debe realizar con responsabilidad para obtener una satisfacción y bases muy bien soportadas que no dejen fuera de foco puntos importantes que aunque pueden ser mínimos en el futuro serán los que debiliten y permitan el filtro e intrusión para la manipulación de información importante para la empresa.

REFERNTES CONCEPTUALES

Una amenaza es la posibilidad de cualquier tipo de evento o acción que puede producir un daño material o inmaterial sobre los elementos de un sistema. Debido a que la Seguridad Informática tiene como propósitos garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones.Las amenazas pueden clasificarse en dos tipos:Intencionales, en caso de que deliberadamente se intente producir un daño (por ejemplo el robo de información, la propagación de código malicioso y las técnicas de ingeniería social).No intencionales, en donde se producen acciones u omisiones de acciones que si bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden producir un daño (por ejemplo las amenazas relacionadas con fenómenos naturales).Palabras Claves: Criminalidad, Eventos de origen físico, Desidia y disposiciones organizacionales, Amenazas internas, Computación en nube, Dispositivos móviles, Ciberataques, Redes sociales

PRODUCTO O SERVICIOS A OFRECER

Este proyecto está dirigido hacia las compañías públicas y privadas que requieren fortalecer sus sistemas informáticos respecto a la seguridad de la información corporativa, pues esta es altamente confidencial, e intransferible.

La compañía CSI consultoría en seguridad informática, ofrece los siguientes productos:

Análisis de RiesgosSeguridad de la información: Protección contra pérdida y

modificación, garantizando la confidencialidad, integridad y disponibilidad de los datos.

Seguridad de Datos: Protección de la personalidad y derechos de autor, garantizando la información confidencial de las personas que laboran o tienen algún vínculo con las empresas.

Servicio de consultoríaAuditorias

CONSUMIDORES Y BENEFICIARIS DEL PRODUCTO

El tipo de demanda que tiene nuestro servicio es a nivel de empresas de todos los sectores, tanto públicas como privadas, sin importar el sector. La demanda más grande se encuentra en las compañías multinacionales, las cuales desean cada vez mas salvaguardar su información y que esta sea altamente confidencial.Los factores de aumento en seguridad informática hacen cada vez más que exista una brecha entre la oferta y la demanda, ya que las empresas exigen cada vez más a sus proveedores dar soluciones eficaces en este campo.La demanda de crear infraestructuras de seguridad completas y solidas, ha incrementado desde el 2004, pues hoy en día se suman cada vez más a la necesidad de protección de datos, los teléfonos móviles, las PDA’s, y los portátiles.El mercado de la seguridad informática tuvo unos ingresos por 186,1 millones de dólares en 2007 y se estima que llegue a los 598, 4 millones de dólares en 2013.

ESTUDIO DE MERCADEO – ANÁLISIS DE LA DEMANDA

Características: Empresas modernas que quieran garantizar a su

administración una seguridad mas amplia. Personas que utilizan la estructura tecnológica, zona

de comunicaciones y que gestionan la información. Empresas que quieran establecer normas que

minimicen los riesgos a la información o infraestructura informática.

Entidades que han tenido crecimiento en la economía por Internet y comercio electrónico.

Entidades que se enfrentan a múltiples amenazas que pueden llegar a explotar sus vulnerabilidades

ESTUDIO DE MERCADEO – ANÁLISIS DE LA OFERTA

La mayoría de oferentes brindan los siguientes servicios para sus entidades:Servicios y tecnología encaminados a una mejor comprensión de las oportunidades y amenazas de los negocios, facilitan la optimización de los procesos de toma de decisiones y contribuyen a alcanzar una mayor competitividad a través del conocimiento y la capacidad de adaptación a cambios súbitos.•Inteligencia estratégica y competitivaSe orienta a la introducción de metodologías y procesos dirigidos al aumento del conocimiento (Inteligencia) en las empresas y organizaciones; especialmente, a través de la identificación, vigilancia y análisis de los factores que caracterizan a la empresa y a su entorno (clientes, proveedores y competidores), prestando especial atención a la evolución de aquellos indicadores que puedan anticipar futuras oportunidades y amenazas.•Vigilancia DigitalTecnología dedicada a la monitorización de la web que permite un seguimiento constante de la actividad en páginas web y redes sociales y la creación de alertas preconfiguradas, minimizando los riesgos y posibilitando la configuración de estrategias de respuesta temprana en ámbitos como la reputación corporativa, vigilancia de competidores, detección temprana de oportunidades y amenazas y seguimiento de mercado.•Consultoría y formación en inteligenciaRealización de cursos “in-house” dirigidos a la formación de personal especializado en Inteligencia dentro de empresas y gobiernos.

ANALISIS DEL PRECIO

Análisis de RiesgosCosto mano de obra anual 40.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 9.000.000,00Adeacuaciones  2.900.000,00TOTAL 76.724.000,00

Seguridad de la informaciónCosto mano de obra anual 70.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 31.500.000,00Adeacuaciones  2.900.000,00TOTAL 129.224.000,00

Seguridad de DatosCosto mano de obra anual 70.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 31.500.000,00Adeacuaciones  2.900.000,00TOTAL 129.224.000,00

Servicio de consultoríaCosto mano de obra anual 40.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 9.000.000,00Adeacuaciones  2.900.000,00TOTAL 76.724.000,00

AuditoriasCosto mano de obra anual 80.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 9.000.000,00Adeacuaciones  2.900.000,00TOTAL 116.724.000,00

Se analiza el costo de cada producto frente a las ventas y nos da una rentabilidad de un 40%, por lo tanto la compañía es rentable

ESTUDIO TÉCNICO – PROCESO PRODUCTIVO

La creación de un Software o programa que se adapte a las organizaciones que quieran acceder al servicio de Seguridad Informática.Se deben tener Ingenieros, Técnico y Tecnólogos los cuales darán el respectivo soporte tanto telefónicamente y presencialmente en las empresas.Igualmente se dictaran cursos seminarios y diplomados para el uso de dicho programa.

ESTUDIO TÉCNICO – LOCALIZACIÓN DEL PROYECTO

La localización del proyecto será desarrollado en la Ciudad de Bogotá, en la localidad de Usaquén en la zona más extensa de Oficinas y Empresas dedicadas al uso de la Informática, ubicada más exactamente en el barrio Chico, en la cra 10 con calle 97 en el edificio Word Trade Center Bogota, pues en un sitio donde tenemos más cercanos a nuestros clientes potenciales, y por lo tanto se nos facilita el transporte y es un sector de prestigio para nuestra compañía.

ESTUDIO TÉCNICO - NECESIDADES DE RECURSO HUMANO

 A continuación presentamos el organigrama con el personal requerido para el completo funcionamiento de la organización.

ESTUDIO TÉCNICO - NECESIDADES DE MAQUINARIA Y EQUIPO

MAQUINARIA Y EQUIPO

MAQUINARIA Y EQUIPOSoftware SAP 30 licencias 30.000.000Software Citrix 30 licencias 25.000.000Software Auditorias 30 licencias 15.000.000Otros tipos de software 30 licencias 20.000.000

TOTAL 90.000.000

DETALLE CANT

COSTO UNITARI

O TOTAL

Escritorios 5 200.0001.000.0

00Sillas 5 60.000 300.000

Computadores 5 900.0004.500.0

00

Impresora multifuncional 1 200.000 200.000Teléfonos 3 50.000 150.000Sellos 2 10.000 20.000

Implementos y útiles de papelería   200.000 200.000 Archivador 1 150.000 150.000

Total 6.520.0

00

MUEBLES Y ENSERES

ESTUDIO TÉCNICO - NECESIDADES DE ADECUACIONES Y OBRAS FÍSICAS

Las oficinas serán tomadas en arriendo y se harán algunas remodelaciones:

ADECUACIÓN OFICINAS

DETALLE VALOR

Instalación de equipos y puestos de trabajo 5.500.000

Divisiones para oficina 6.000.000

Remodelaciones y adecuaciones  generales 3.000.000

Total 14.500.000

RESULTADOS DEL ESTUDIO FINANCIERO - INVERSIONES NECESARIAS

PARA IMPLEMENTAR EL PROYECTO

Este proyecto cuenta con $400’000.000 de pesos como recursos propios los cuales son aportes de los socios así:

SOCIO 1: $133.000.000 SOCIO 2: $133.000.000 SOCIO3 $133.000.000

Bancoldex financiara $60’000.000.

RESULTADOS DEL ESTUDIO FINANCIERO (ESTIMACIÓN DE COSTOS, 

GASTOS E INGRESOS PARA EL PRIMER AÑO)

El estudio financiero de La compañía CSI consultoría en seguridad informática para el primer año será:Inversión requerida:La compañía CSI consultoría en seguridad informática, invertirá en equipos de oficina y maquinaria necesaria para el buen funcionamiento de la empresa:$400’000.000 de pesos como recursos propios.

El valor de los costos totales incluye instalación de software y los dos años siguientes a la implementación, que son cuando los costos reales de mantenimiento, upgrades, y optimización de los sistemas son realmente sentidos.

CUADRO CON RESPUESTA A LAS 9 PREGUNTAS BÁSICAS DEL

PROYECTO

No. Pregunta Respuesta 1 ¿Qué problema resuelve el proyecto? El proyecto resuelve la problemática a la que están expuestas muchas compañías que tienen protegida su información

corporativa, de hackers, violaciones de seguridad y que aun no han establecido una segregación de funciones dentro de sus compañías, que les permita tener mas restricciones en sus datos, lo cual hará que estos sean mas confiables.

2 ¿A quién se dirige la solución? Este proyecto esta dirigido hacia las compañías publicas y privadas que requieren fortalecer sus sistemas informáticos respecto a la seguridad de la información corporativa, pues esta es altamente confidencial, e intransferible.

3 ¿Cuánto se producirá? Se espera que estas medidas de aseguramiento se implementen en muchas compañías, esta seria la forma de cuantificarlo, pues la compañía es prestará los siguientes servicios: Análisis de Riesgos Seguridad de la información: Protección contra pérdida y modificación, garantizando la confidencialidad,

integridad y disponibilidad de los datos. Seguridad de Datos: Protección de la personalidad y derechos de autor, garantizando la información confidencial

de las personas que laboran o tienen algún vínculo con las empresas. Servicio de consultoría Auditorias

4 ¿Dónde se localizará la solución? La localización del proyecto será desarrollado en la Ciudad de Bogotá, en la localidad de Usaquén en la zona más extensa de Oficinas y Empresas dedicadas al uso de la Informática, ubicada más exactamente en el barrio Chico, en la cra 10 con calle 97 en el edificio Word Trade Center Bogotá, pues en un sitio donde tenemos más cercanos a nuestros clientes potenciales, y por lo tanto se nos facilita el transporte y es un sector de prestigio para nuestra compañía

5 ¿Cómo se solucionará el problema (tecnología)?

Nuestra compañía tiene grandes expertos desarrolladores de software, para la implementación de los sistemas de seguridad corporativos. Los cuales podemos diferenciar entre Antivirus, y software que auditan y dejan un rastreo de las modificaciones de la información, lo cual nos dejara registros de los usuarios, hora, fecha, y datos que se modificaron. Al igual que desarrollos de work flow, donde se implementaran jerarquías de aprobaciones en los sistemas de compras, financieros, contables, etc. Además de restricciones a través de perfiles corporativos para que únicamente el personal autorizado pueda acceder a la información.

6 ¿Cuál es la mejor alternativa de solución al problema?

La implementación de software que permitan registros de auditorias, restricciones de personal, work flow, antivirus, y segregación de funciones, pues las compañías no solamente están expuestas a violaciones de seguridad y acceso a información confidencial de personal ajeno su compañía, si no que aun deben protegerse y tener un software especial y personal de alta confidencialidad que maneje sus datos.

7 ¿Con qué recursos se hará el proyecto?

El proyecto contara para su fase inicial con recursos de $500.000.000.

8 ¿Quién realizará el proyecto? El proyecto será realizado por Sandra Julieth Lagos,Wendy Martínez y Diana Niño

9 ¿Cuándo se realizará el proyecto? Este proyecto esta proyectado para iniciar en el año 2013 en el mes de junio.

PRESENTACIÓN DEL SISTEMA DE INDICADORES

ASPECTO A MEDIR INDICADORES DESCRIPCION DEL INDICADOR (EXPLICACION DEL INDICADOR)

¿Qué se logrará?

Indicadores de Control:•Porcentaje de virus detectados y eliminados oportunamente

•Porcentaje de ataques prevenidos•Porcentaje de parches críticos aplicados en el mismo mes de su liberación

•Porcentaje de riesgos a los que esta expuesto el cliente vrs soluciones eficientes•Porcentaje en las eficiencias de toma de backups en la restauración de la información

•Porcentaje de incidentes de seguridad auditables y reportados•Porcentaje de incidentes prevenidos

Estos son indicadores claves de desempeño, los cuales están orientados a cuantificar el cumplimiento,

confianza, prevención, tiempos de respuesta y eficiencia en los servicios prestados por la compañía CSI

consultoría en seguridad informática.

¿Cuánto se logrará?

•Costo promedio de solución por incidente (horas hombre + recursos materiales)•Costo estimado de la solución por día = (Costo de la solución de seguridad anualizado + costo

de incidentes reales en el año) / 365•Costo de controles y su mantenimiento +Sueldos de personal a cargo +Costo de servicios

tercerizados•Costo de incidentes reales en el año incluye eventos de pérdida documentados con costos

asociados al negocio•Costo promedio por incidente (sin considerar controles)

Estos indicadores de negocio y técnicos, nos permiten precisar, cuanto nos representa respectos a costos,

cada una de las soluciones ofrecidas por la empresa, en su parte técnica y administrativa, pues evalúan los gastos de personas en HH, perdidas, y reportes de

incidentes de seguridad.

¿De qué calidad se logrará?

Indicadores de Procedimiento:•Numero de registros de incidentes de seguridad diarios, semanales y mensuales vrs resultados

positivos y negativos de las soluciones•Registros ROM (Registros de Oportunidades y Mejoras) por parte del cliente

•Resultados de Auditoria interna y externa de los niveles de servicio al cliente. No conformidades

Estos índices nos permiten evaluar el nivel de calidad que tiene la compañía y que percepción tiene el cliente, respecto a nuestro nivel de servicio y oportunidad para mejorar. Estamos en un sector muy competido, donde

los estándares de calidad son cada vez más exigentes. Los indicadores de calidad nos ayudaran a obtener las certificaciones ISO 9001 y así lograr la confianza en la adquisición de los servicios de nuestra compañía por lo

clientes.

¿Cuándo se logrará? •Tiempo promedio de restauración de un sistema a partir de un incidente•Tiempo de respuesta promedio para solución de un incidente

•Tiempo de instalación e implementación del software de seguridad

Estos indicadores, nos brindan información precisa sobre los tiempos de instalación y respuesta oportuna

que les brindaremos a nuestros clientes, pues nos dará una curva de cumplimiento nos hará efectivos y

confiables ante nuestro cliente.

 DIMENSIONES DEL DESARROLLO SOSTENIBLE EL PROYECTO

Ningún recurso renovable deberá utilizarse a un ritmo superior al de su generación.

Ningún contaminante deberá producirse a un ritmo superior al que pueda ser reciclado, neutralizado o absorbido por el medio ambiente.

Ningún recurso no renovable deberá aprovecharse a mayor velocidad de la necesaria para sustituirlo por un recurso renovable utilizado de manera sostenible.

En nuestro proyecto no se aplicaran recursos renovables o contaminantes para su producción crecimiento o desarrollo en cuanto a los materiales como el papel se implementara políticas de ahorro imprimiendo únicamente lo necesario y utilizando papel reciclables en cuanto sea posible para la imagen de la empresa.

CONCLUSIONES

Finalmente debemos comprender la importancia de implementar la seguridad de la información utilizando una metodología comprobada con base en la necesidad de la empresa teniendo en cuenta que cada empresa es diferente como sus necesidades.

 

La clave está en desarrollar efectivamente las políticas estándares y procedimientos de seguridad y así poder cumplir con sus requerimientos en la seguridad de la información.

 

De nosotros depende realizar una buena documentación y recopilación de la información para poder sugerir y complementar las fallas de seguridad y capacitar a la empresa en la segregación de funciones, debemos crear la cultura que no todo los empleados pueden o deben tener acceso a toda la información de la organización.

BIBLIOGRAFIA

(s.f.). Recuperado el 21 de octubre de 2012, de http://blog.segu-info.com.ar/2008/04/crece-el-mercado-de-seguridad-de redes.html#axzz29ywOVd27

The British Standards Institution 2012. (2012). bsi. Recuperado el 21 de Octubre de 2012, de http://www.bsigroup.com.mx/es-mx/Auditoria-y-Certificacion/Sistemas-de-Gestion/Normas-y-estandares/ISO-27001/

 

ACIS. (s.f.). Recuperado el 20 de 10 de 2012, de http://www.acis.org.co/index.php?id=778

Castellanos, W. A. (s.f.). Definicion de estrategias de seguridad de la informacion. Obtenido de http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/16-PlaneacionEstrategicaSeguridad.pdf

Erb, M. (s.f.). Gestión de Riesgo en la Seguridad Informática. Obtenido de http://protejete.wordpress.com/gdr_principal/

SALAZAR, H. C. (2011). DISEÑO DE PROYECTOS. BOGOTA: UNAD.

Semana, R. (s.f.). Recuperado el 20 de 10 de 2012, de http://www.semana.com/documents/Doc-1878_200952.pdf