REPÚBLICA BOLIVARIANA DE VENEZUELA UNIVERSIDAD RAFAEL BELLOSO CHACÍN
VICERRECTORADO DE INVESTIGACIÓN Y POSTGRADO DECANATO DE INVESTIGACIÓN Y POSTGRADO
MAESTRÍA EN GERENCIA DE PROYECTOS INDUSTRIALES
MODELO PARA LA GESTIÓN DE PROYECTOS DE SEGURIDAD DE LA INFORMACIÓN EN EMPRESAS DEL SECTOR
TELECOMUNICACIONES DEL ESTADO ZULIA
Trabajo presentado como requisito para optar al grado de Magíster en Gerencia de Proyectos Industriales
Autor: Ing. César A. Rincón
Tutor: MSc. Maribel Camacho B.
Maracaibo, julio 2013
ii
MODELO PARA LA GESTIÓN DE PROYECTOS DE SEGURIDAD DE LA INFORMACIÓN EN EMPRESAS DEL SECTOR
TELECOMUNICACIONES DEL ESTADO ZULIA
Trabajo presentado como requisito para optar al grado de Magíster en Gerencia de Proyectos Industriales
Presentado por:
Ing. César Alberto Rincón Velásquez C.I. 11.392.309
iii
iv
DEDICATORIA
A DIOS mi constante refugio, a la Virgen mi consuelo y esperanza y a mi familia, hermanos y amigos a quienes considero parte de mi vida y el
fundamento de mi ser.
v
AGRADECIMIENTO
Infinito agradecimiento a todos los seres queridos que me ayudaron en el curso de la maestría, sobre todo la colaboración y ayuda de mis profesores
y tutores, a ellos mis respetos.
vi
ÍNDICE GENERAL
Pág.
VEREDICTO………………………………………………………………… iii DEDICATORIA..................................................................................... iv AGRADECIMIENTO............................................................................. v RESUMEN............................................................................................ x ABSTRACT........................................................................................... xi INTRODUCCION.................................................................................. 1
I. EL PROBLEMA
1 Planteamiento del Problema………………………………………….. 4 1.1 Formulación del Problema………………………………………. 10
2 Objetivos de la investigación………………………………………….. 11 2.1 Objetivo General..………………………………………………... 11 2.2 Objetivos Específicos..…………………………………………... 11
3 Justificación de la Investigación……………………………………… 12 4 Delimitación de la Investigación……………………………………… 14
II. MARCO TEÓRICO
1. Antecedentes de la investigación……………………………………. 16 2. Bases Teóricas………………………………………………………… 24
2.1 Proyecto................................................................................ 24 2.2 Gestión de Proyectos............................................................ 32 2.3 Gestión de Seguridad de la información……………………… 34 2.4 Riesgos en la seguridad de la informacion…………………… 48 2.5 Norma BS 7799………………………………………………….. 57 2.6 Norma ISO 17799……………………………………………….. 60 2.7 Norma ISO/IEC 27000………………………………………….. 65 2.8 Requerimientos para la seguridad de la información……….. 68 2.9 Modelo……………………………………………………………. 73 2.10 Fases del modelo para gestión de proyectos………………… 78
3 Bases Legales…………………………………………………………. 87 3.1 Definición conceptual de la variable…………………………… 87 3.2 Definición operacional de la variable………………………….. 88 3.3 Tabla de operacionalización de la variable…………………… 90
vii
3.4 Categoría de análisis............................................................. 91
Pág.
III. MARCO METODOLOGICO
1 Tipo de investigación……………………………………………………. 92 2 Diseño de la investigación………………………………………………. 94 3 Población de la investigación…………………………………………… 95 4 Técnica e instrumento de la investigación…………………………….. 97 5. Técnica de análisis de datos............................................................. 101 6. Procedimiento de la investigación.................................................... 103 IV. RESULTADOS DE LA INVESTIGACION
1 Análisis y discución de los resultados…………………………………. 106
V. DISEÑO DE LA PROPUESTA
1 Presentación……………………………………………………………… 125 2 Cconceptualización……………………………………………………… 128 3 Objetivo…………………………………………………………………… 129 4 Alcance……………………………………………………………………. 129 5. Estructura del modelo......................................................................... .129 6. Descripción de la propuesta............................................................... 131 7. Modelo para la gestión de proyectos de seguridad de la información. 148 8. Factibilidad de la propuesta................................................................ 150 CONCLUSIONES.................................................................................... 152 RECOMENDACIONES............................................................................ 156 REFERENCIAS BIBLIOGRAFICAS......................................................... 158 ANEXOS.................................................................................................. 160
viii
ÍNDICE DE GRÁFICOS
GRÁFICOS
Pág.
1: El Ciclo:Planificar, Hacer, Revisar y Actuar.Fuente: Chamoun (2005) 15 2: Ciclo de Vida de un Proyecto. Fuente: Gido y Clemente (2007)…….. 18 3: Secciones del BS 7799 Fuente: NORMA BS 7799…………………….. 57 4.Grado de exposición de un sistema de información....................... 61 5.Secciones del ISO 17799............................................................... 62 6. Historia del ISO 27001................................................................... 67 7. Plan DO, Check ISO 27001........................................................... 69 8. Modelo para la gestión de seguridad de la información................. 131 9. EDT............................................................................................... 133 10. Matriz de responsabilidad............................................................ 134 11. EDT con presupuesto asignado.................................................. 138 12. Fase I Planificación del Proyecto................................................ 142 13. Fase II Ejecución del Proyecto................................................... 144 14. Fase III Control del Proyecto...................................................... 147 15. Fase IV Cierre del Proyecto........................................................ 150 16. Propuesta del Modelo................................................................. 151
ix
ÍNDICE DE TABLAS
TABLAS
Pág. 1: El Ciclo:Planificar, Hacer, Revisar y Actuar.Fuente: Chamoun (2005) 15 2: Ciclo de Vida de un Proyecto. Fuente: Gido y Clemente (2007)…….. 18 3: Secciones del BS 7799 Fuente: NORMA BS 7799……………………. 57 4.Dimension: Situación actual ......................................................... 105 5.Dimension: Riesgos en los proyectos.......................................... 112 6. Dimensión: Normas internacionales............................................ 116 7. Dimensión: Requerimientos......................................................... 118 8. Dimensión: Fases del modelo..................................................... 122 9. Comportamiento de la variable.................................................... 125
x
Rincón Velásquez, César Alberto. MODELO PARA LA GESTION DE PROYECTOS DE SEGURIDAD DE LA INFORMACION EN EMPRESAS DEL SECTOR TELECOMUNICACIONES DEL ESTADO ZULIA. Universidad Dr. Rafael Belloso Chacín. Programa de Maestría en Gerencia de Proyectos Industriales. Maracaibo, junio de 2013.
RESUMEN
La investigación tuvo como objetivo proponer un modelo para la gestión de proyectos de seguridad de la información en empresas del sector telecomunicaciones. Tomando como base las teorías de Gido y Clements (2007), Chamoun (2002), Cartay (2010), Briceno (2002), Baca (2006), Deming (2004), Drudis (2002), PMBOK (2008), Casal (2006), Alexander (2007), Albert y Dorofree (2003), ISO 27001:2005 (2009), Camacho (2008), Veiga (2009), BS 7799 (1995), ISO 17799 (2000), Rodríguez (2005), Rodríguez y Pineda (2003), Tamayo (2004), Hernández, Fernández y Baptista (2010), Chávez (2007), Zapata (2006). Surge la necesidad de evaluar los proyectos de seguridad de la información, así como todos los mecanismos, que conllevan a la confidencialidad de la información, y que se encuentre integra y esté disponible, según se requiera. Esta investigación permitirá diagnosticar la situación actual, identificar los riesgos, analizar las normas, así como también analizar los requerimientos y establecer las fases para la gestión de proyectos. La investigación se tífica como descriptiva cuantitativa en modalidad documental, así como el diseño se estableció como de campo, de tipo no experimental, transeccional descriptivo, se implemento la técnica de instrumento de recolección de datos a través de un cuestionario con un total de 66 ítems para la variable en estudio, con una población de 18 sujetos entre gerentes y líderes de los departamentos de información y tecnología. Se pudo concluir que los gerentes y líderes conocen de las normas y procedimientos de seguridad de la información, pero en su contraparte existen debilidades significativas lo que conlleva a la perdida de la información así como también vulnerabilidades en todos sus procedimientos.
Palabras clave: Modelos, sistemas y metodologías gerenciales, operativos, y su aplicación a los proyectos industriales.
xi
Rincón Velásquez, César Alberto. MODEL FOR PROJECT MANAGEMENT OF INFORMATION SECURITY IN TELECOMMUNICATIONS COMPANIES ZULIA STATE. Dr. Rafael Belloso Chacin University. Masters Program in Industrial Project Management. Maracaibo, May 2013.
ABSTRACT
The research aimed to propose a model for project management of information security in telecommunications companies. Based on the theories of Gido y Clements (2007), Chamoun (2002), Cartay (2010), Briceno (2002), Baca (2006), Deming (2004), Drudis (2002), PMBOK (2008), Casal (2006), Alexander (2007), Albert y Dorofree (2003), ISO 27001:2005 (2009), Camacho (2008), Veiga (2009), BS 7799 (1995), ISO 17799 (2000), Rodríguez (2005), Rodríguez y Pineda (2003), Tamayo (2004), Hernández, Fernández y Baptista (2010), Chávez (2007), Zapata (2006). arises the need to evaluate projects information security, as well as all the mechanisms entails that the information is confidential, is integrated and available as needed. This research will diagnose the current situation, identify risks, analyze the rules, as well as to analyze the requirements and establish phases for project management. The research is descriptive quantitative typhimurium documentary mode as well as the design and field was established, non-experimental, transactional descriptive technique was implemented data collection instrument through a questionnaire with a total of 72 items for the variable under study, with a population of 18 subjects between managers and leaders of the departments of information and technology. We concluded that managers and leaders know the rules and procedures of information security, but there are significant weaknesses counterpart which leads to loss of information as well as vulnerabilities in all its proceedings.
Keywords: Models, methodologies and systems management,
operations, and its application to industrial projects.
1
INTRODUCCIÓN
En la actualidad las organizaciones en general requieren de modelos de
gestión que les faciliten el logro de sus objetivos, considerando la realidad e
importancia de la información y lo que representa la seguridad de los datos y
de los activos informáticos en cualquier empresa y las organizaciones del
sector telecomunicaciones necesitan con mayor rigor contar con un modelo
de gestión para sus proyectos de seguridad de la información que permita
identificar todo el proceso de implementación de un sistema de seguridad de
la información y con un manejo del entorno; conllevando al uso de las
máximas capacidades humanas, financieras, físicas y tecnológicas.
De allí, que entre más especializadas sean las actividades, mayor es el
requerimiento de modelos que sinteticen los procesos y orienten las acciones
a ejecutar.
En particular, en los proyectos de seguridad de la información, es
necesario que los gerentes o lideres de información y tecnología establezcan
metas, estrategias y acciones para eliminar los elementos que ocasionan
pérdida de la información, por ello es necesario evaluar todos los factores
que influyen sobre el proyecto desde la primera fase hasta la conclusión de
un proyecto de implementación de seguridad de la información llevados a
cabo mediante un modelo de gestión.
2
Albert y Dorofree (2003) definen un sistema de gestión de seguridad
de la información como el establecimiento de un sistema que determine
qué requiere ser protegido, y por qué, de qué debe ser protegido y cómo
protegerlo, también Peltier (2003) lo define como la preservación de la
confidencialidad, integridad y disponibilidad de la información.
Es importante resaltar que la mayor dificultad en un proyecto se
presenta en la etapa inicial, es decir cuando se realiza la planificación,
adicionalmente otros riesgos que se presentan provienen del manejo
inadecuado de los cambios en los proyectos, es decir, cambios de alcance
y cronograma.
En razón de lo expuesto anteriormente, en la presente investigación
se plantearon seis objetivos específicos: (1) Diagnosticar la situación
actual de la gestión de proyectos de seguridad de la información (2)
Identificar los riegos presentes en los proyectos de seguridad de la
información (3) Analizar las normas internacionales sobre la seguridad de
la información (4) Determinar los requerimientos para la gestión de
seguridad de la información (5) Establecer las fases del modelo para la
gestión de proyectos (6) Diseñar el modelo para la gestión de proyectos
de seguridad de la información en las empresas del sector
telecomunicaciones en el estado Zulia.
3
Luego de plantear los seis objetivos específicos de la investigación,
se estructuran cinco capítulos incluyendo la propuesta del modelo de
gestión de proyectos que permiten el desarrollo de la misma:
Capítulo I: se presenta el planteamiento, formulación y justificación
del problema, así como también los objetivos de estudio y la delimitación
de la investigación.
Capítulo II: comprende la revisión de los antecedentes relacionados
con la variable de estudio, adicionalmente la revisión de las bases teóricas
y del sistema de variable.
Capítulo III: se presenta la metodología utilizada en la investigación,
la población y los procedimientos y técnicas utilizado para la recolección,
validez y confiabilidad.
Capítulo IV: se presenta el análisis, discusión e interpretación de los
resultados obtenidos por la población de estudio, luego se presentan las
conclusiones para cada uno de los indicadores y dimensiones bajo el
dominio de la investigación.
Capitulo V: se presenta la propuesta del modelo para la gestión de
proyectos de seguridad de la información en las empresas del sector
telecomunicaciones, describiendo cada una de las fases de la gestión.
Finalmente se presentan las conclusiones y recomendaciones de la
investigación.