proponer un diseÑo de seguridad lÓgica, fÍsica y …
TRANSCRIPT
1
PROPONER UN DISEÑO DE SEGURIDAD LÓGICA, FÍSICA Y LEGAL;
BASADOS EN LA NORMA ISO27001 PARA LA EMPRESA FINE WOLD SAS
Cristhian Fernando Aroca Sanguino
Lorena Contreras Perrilla
Jhon Alexander López Naranjo
Fundación Universitaria Panamericana
Facultad de Ingeniería
Bogotá, Colombia
Noviembre de 2015
2
Proponer un diseño de seguridad lógica, seguridad física y seguridad legal, basados en
la norma ISO27001 para la empresa Fine Wold SAS
Cristhian Fernando Aroca Sanguino
Lorena Contreras Perrilla
Jhon Alexander López Naranjo
Proyecto de trabajo de grado presentado como requisito para optar al título de:
Ingeniería de Telecomunicaciones
Director (a):
Eduardo León Beltrán, M. Ing. Telecomunicaciones.
Línea de Investigación:
Red, Telemática y Telecomunicaciones
Grupo de Investigación en Ingeniería de Sistemas GIIS
Fundación Universitaria Panamericana
Facultad de Ingeniería
Ingeniería de Telecomunicaciones
Bogotá, Colombia
Noviembre de 2015
3
Página De Aceptación
Nota de aceptación
_________________________________________
_________________________________________
_________________________________________
_________________________________________
Presidente del jurado
________________________________________
Jurado
________________________________________
Jurado
________________________________________
Jurado
4
Dedicatoria
Dedicamos este trabajo de grado a nuestros padres quienes nos apoyaron en todo momento.
A nuestra familia que nos alentaron para continuar, cuando parecía que nos veníamos a
rendir. A los maestros de quienes nos enseñaron, aun sin importar que muchas veces no les
prestábamos atención en sus clases. Y a todos aquellos que depositaron su esperanza en
nosotros. Para ellos es dedicado este trabajo de grado, ya que a ellos debemos su apoyo
incondicional.
5
Agradecimientos
Le agradecemos a Dios por sabernos guiar y por acompañarnos en el transcurso de nuestra
carrera, por ser quien nos pudo dar la fortaleza necesaria en los momentos más débiles que
tuvimos, por brindarnos el poder de aprender, poder disfrutar de las experiencias vividas y la
felicidad que nos acompañó en el transcurso de este tiempo. También le agradecemos a
nuestros padres por brindarnos la oportunidad de recibir una buena educación en nuestra vida,
y sobre todo por ser nuestro ejemplo a seguir.
Declaración
Los autores certifican que el presente trabajo es de su autoría, para su elaboración se han
respetado las normas de citación tipo APA, de fuentes textuales y de parafraseo de la misma
forma que las citas de citas y se declara que ninguna copia textual supera las 400 palabras.
Por tanto, no se ha incurrido en ninguna forma de plagio, ni por similitud ni por identidad.
Los autores son responsables del contenido y de los juicios y opiniones emitidas.
Se autoriza a los interesados a consultar y reproducir parcialmente el contenido del trabajo
de investigación titulado Proponer un diseño de seguridad logia, seguridad física y seguridad
legal, basados en la normal ISO27001 para la empresa Fine Wold SAS, siempre que se haga
la respectiva cita bibliográfica que dé crédito al trabajo, sus autores y otros.
Investigadores:
Cristhian Fernando Aroca Sanguino
Lorena Contreras Perrilla
Jhon Alexander López Naranjo
6
Resumen
El presente proyecto tiene como objetivo proponer un diseño de seguridad lógica, seguridad
física y seguridad legal, basados en la norma ISO 27001, la cual permita mitigar los riesgos
y vulnerabilidades que afectan la infraestructura tecnológica en la empresa Fine World SAS.
En esta propuesta se evidenciará el diseño actual de la infraestructura tecnológica de Fine
World SAS donde se propondrá un diseño de seguridad informática a la medida de la
compañía, con el fin de mitigar las irregularidades presentadas en el pasado. También se
buscará brindar soluciones a los inconvenientes de seguridad en la información que se
presentan actualmente, con el fin de reducir el número de incidencias.
La seguridad lógica ayudara a establecer mecanismo que puedan monitorear el acceso a la
documentación de la compañía, estos mecanismos incluyen procedimientos de
administración de usuarios y perfiles y posibles infecciones a la red por algún tipo de software
malicioso.
La seguridad física idéntica aquellos limites que corresponden al cumplimiento de
parámetros de seguridad, con el fin de establecer control a los equipos (Salida y Entrada) y
acceso del personal a las oficinas
La seguridad Legal son todos aquellos requisitos que integran todos los temas de derecho de
autor que se deben cumplir para no caer en irregularidades legales.
7
Abstract
This project aims to propose a design of logical security, physical security and legal security,
based on ISO 27001, which may help mitigate the risks and vulnerabilities affecting
infrastructure technology company Fine World SAS.
In this proposal, the current design of the technological infrastructure of Fine World SAS
where computer design tailored to the company, in order to mitigate irregularities in the past
proposed security will emerge. Also it seeks to provide solutions to the security problems in
the information currently presented, in order to reduce the number of incidents.
Logical security help establish mechanism to monitor access to the company documentation,
these mechanisms include procedures for managing users and profiles and possible infections
to the network for some type of malicious software.
The seguridadfisica those same limits apply to compliance security settings, in order to
establish control teams (output and input) and staff access to the offices
Legal security requirements are those that integrate all copyright issues that must be met to
avoid falling into legal irregularities.
8
Palabras Claves
Public policy
Comunication System Control
IEEE Policy and Procedures
Computer security
Data security
Keywords
Public policy
Comunication System Control
IEEE Policy and Procedures
Computer security
9
Tabla de contenido
1. Justificación ............................................................................................................................... 12
2. Objetivos ................................................................................................................................... 13
3. Marco de referencia ................................................................................................................... 13
4. Método ...................................................................................................................................... 17
5. Consideraciones éticas .............................................................................................................. 18
6. Posibles riesgos y dificultades ................................................................................................... 19
7. Cronograma de actividades ....................................................................................................... 20
8. Análisis ...................................................................................................................................... 21
9. Diseño* ..................................................................................................................................... 24
9.1 Logico ......................................................................................................................................... 24
9.2 Fisico ........................................................................................................................................... 29
9.3 Legal ............................................................................................................................................ 31
10. Resultados y productos.......................................................................................................... 35
10.1 Impactos .................................................................................................................................... 36
10.2 Capacidad del equipo ................................................................................................................ 38
11. Presupuesto ........................................................................................................................... 39
11.1 Tabla de Presupuesto ................................................................................................................. 39
12. Recomendaciones .................................................................................................................. 40
13. Referencias ............................................................................................................................ 41
10
Introducción.
La seguridad informática se define como la disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro
y confiable. (Samsó, 2015) Y podemos llegar a determinar en forma de medidas, técnicas,
organizativas y legales de una organización, la cual brinda mitigar los riesgos, peligros y
vulnerabilidades que podamos presentar en el entorno laboral.
Para la elaboración de este proyecto de investigación contamos con el aval de Fine World
SAS, empresa encaminada en el sector del turismo especialista en conocimiento del mercado
en los países como Perú, Ecuador, Colombia y Asia.
Dadas las problemáticas de infraestructura tecnológica y seguridad informática presentadas
por la presente empresa, se determina como objetivo general proponer un diseño de
seguridad lógica, legal y física basado en la norma ISO 27001 el cual permita mitigar los
riesgos y vulnerabilidades que afectan la infraestructura tecnológica en la empresa Fine
World SAS, con el fin de mitigar los riesgos y vulnerabilidades de la empresa y llegar al
desarrollo de solventar una problemática existente y vigente que se evidencio mediante una
auditoria del sector legal y devengar el cómo beneficio la capacidad de velar por un
funcionamiento óptimo en las áreas de la seguridad lógica, física y legal de la compañía.
El diseño a presentar se determinara específicamente para la empresa solicitante, bazandonos
en una gran problemática existentes y poco determinadas en un estudio enfocado en el
presente fallo de seguridad buscando la garantía en la seguridad empresarial.
11
Bajo el estudio de las vulnerabilidades encontradas, nos enfocamos en la norma ISO 27001
presentada en el año 2005, y deriva un gran despliegue de metodologías encaminadas a la
seguridad informática, documentar sus procesos, y desarrollar un método en el que asegure
la información, el entorno de trabajo, asegurando la estabilidad económica y su manejo de la
información.
Llegando como resultado final a la adopción de medidas de seguridad en las que apoye a las
áreas repectivas conllevando a mejoras en las que se encamine al buen uso de la información
y de sus buenas practicas y al servicio que les puedan brindar, denegando sus funciones como
correspondes y determinado la legalizancion de todas las aplicaciones u servicios que la
empresa brinde o utilice con sus usuarios.
12
Planteamiento de la pregunta o problema de investigación
¿Cómo diseñar un modelo de seguridad lógica, legal y física basado en la norma ISO 27001,
que permita mitigar los riesgos y vulnerabilidades que afectan la infraestructura tecnológica
en la empresa Fine World SAS?
1. Justificación
Este proyecto tiene planteado como objetivo proponer un diseño de seguridad lógica,
seguridad física y seguridad legal, basados en la norma ISO 27001 para la línea de
investigación de la facultad de ingeniería de la presente entidad educativa como proyecto de
grado, la cual permita mitigar los riesgos y vulnerabilidades que afectan la infraestructura
tecnológica en la empresa Fine World SAS.
Nos basamos en la norma ISO 27001 emitida por la organización internacional de
normalización (ISO) emitida en el año 2005, la cual gestiona la seguridad de la información,
y nos ayudara a brindar mejores soluciones a la organización a la cual se le planteara el diseño
de seguridad, y mejo ración de la misma.
13
2. Objetivos
Objetivo general
Proponer un diseño de seguridad lógica, legal y física basado en la norma ISO 27001 el cual
permita mitigar los riesgos y vulnerabilidades que afectan la infraestructura tecnológica en
la empresa Fine World SAS.
Objetivos específicos
a) Ejecutar un levantamiento y análisis de información que permita entender y
dimensionar el modelo de infraestructura que tiene la empresa Fine World SAS.
b) Elaborar los planos de red (lógico - físico)
¿Cuáles son las vulnerabilidades lógicas, físicas y legales que tiene actualmente la empresa
Fine World?
3. Marco de referencia
Las políticas y los procedimientos de seguridad informática surgen como una herramienta
organizacional para concientizar a cada uno de los miembros de una organización sobre la
importancia y la sensibilidad de la información que favorecen el desarrollo y el buen
funcionamiento de la organización. Deben considerarse como reglas a cumplir que surgen
para evitar problemas y que se establecen para dar soporte a los mecanismos de seguridad
implementados en los sistemas y en las redes de comunicación [1]. En una empresa la
seguridad debe tener un procedimiento que defina por qué se debe proteger la información,
y la forma en la cual la empresa desea hacer la organización y el procedimiento para lograr
el debido proceso de la protección de la información.
14
En el mundo moderno la información es un bien que cada vez se respeta y se protege con
grandes esfuerzos, la cual tiene cinco partes: seguridad de las aplicaciones, seguridad de los
datos, seguridad física, seguridad de host y seguridad de red. En estas partes la seguridad de
host es la base esencial de este grupo de seguridad de la información. En las empresas la
seguridad de la información, es un pilar para que puedan sostener el buen manejo de sus
activos, por lo cual la importancia de tener presente la seguridad dentro y fuera de su empresa,
para poder evitar ataques de terceros, por lo cual el debido proceso de las políticas de
seguridad para poder asegurar de una forma adecuada. En los últimos años se ha visto el gran
cambio de los sistemas operativos el cual se hace más accesible y ha generado mayor
conocimiento y por esto puede generar amenazas de las personas. Se debe llevar un proceso
de identificación de las potenciales amenazas y prevenir sus fuentes de maliciosidad.
En la gestión de la seguridad se puede llevar un proceso como en la norma ISO 9001, que
realiza un debido proceso de documentación: sistemática y organizativa, para poder brindar
una calidad en la seguridad de la información. La implementación de un ciclo continuo
PDCA (planear, hacer, verificar y actuar), para así poder hacer evaluaciones constantes de la
seguridad de la información y poder llevar la documentación y en dado caso que se deba
hacer tomar medidas correctivas para así poder mitigar la amenaza detectada, y con un
proceso de mejora poder ayudar a que las políticas ya establecidas puedan cambiar para poder
proteger y tener mayor alcance según las necesidades que se presentan en el transcurso del
tiempo. Teniendo en cuenta la importancia de que los equipos tengan control sobre los
aplicativos que se instalen en ellos, y dar una inducción a los usuarios nuevos y
periódicamente a los demás usuarios, y por el departamento de Tecnología hacer
verificaciones periódicas, para así poder llevar un buen manejo y control de programas
15
maliciosos y de programas que necesiten licenciamiento y que no sean necesarios para
labores empresariales.
En esta tesis está diseñada para poder brindar una base que se pueda implementar en la
empresa Fine World S.A.S, está diseñada bajo los estándares y buenas practicas lo cual no
especifica la forma en la que se debe implementar los controles, solo se ponen en aclaración
los puntos más necesarios para la empresa y así dependiendo la necesidad se da el mejor
método para así hacer la inversión que desea hacer en los temas de seguridad. Esta tesis
también está pensada en el tiempo, dando así la capacidad de mejorar, incrementar y
continuidad de la empresa, para lo cual se da una metodología que del dinamismo necesario
de la empresa.
En esta tesis es el resultado de la investigación adelantada por un grupo de estudiantes de
Ingeniería de Telecomunicaciones, para proponer un diseño de seguridad lógica, física y
legal, basándose en la norma ISO 27001 para la empresa Fine World S.A.S, con base en el
establecer las políticas de seguridad de la información y su forma de ejecución, para poder
fortalecer el análisis de riesgos encontrados en el levantamiento de información y la mejor
forma de mitigar los riesgos vistos.
16
3.1 MARCO CONCEPTUAL
3.1.1 Política de seguridad: busca establecer reglas para la manipulación de la información.
3.1.2 Organización de la seguridad de la información: Esla forma de administrar la seguridad
dentro de la compañía, y mantener la seguridad de infraestructura de proceso de la
información y los activos que se dan a los terceros
3.1.3 Información: conjunto organizado de datos ya supervisados y ordenados, que sirven
para construir un mensaje basado en un cierto fenómeno o ente. La información permite
resolver problemas y tomar decisiones, ya que su aprovechamiento racional es la base del
conocimiento. Actualmente es considerada como un activo dentro de las compañías y que se
debe proteger, ya que es de gran importancia. [2]
3.1.4 Gestion de activos: proteger los activos de la información, control el acceso solo a las
personas que deben tener permiso para así poder acceder a la información.
3.1.5 Riesgo: Se define como cualquier impedimento, obstáculo, amenaza o problema que
pueda impedirle a la empresa que alcance un objetivo. Se puede ver también como la
posibilidad de sufrir un daño o pérdida. Se mide en términos de impacto y probabilidad de
ocurrencia. Adicionalmente, para el caso de las compañías de seguro, se puede definir como
el monto que están dispuestas a perder en caso se dé una catástrofe. [3]
3.1.6 Disponibilidad: poder tener acceso y utilización de la información y a los sistemas de
tratamiento de la misma por parte de individuos cuando lo requieran.
3.1.7 Confidencialidad: la forma en la que la información no es disponible ni se revela a
individuos no autorizados.
3.1.8 Activo: algo que tiene valor para la empresa.
3.1.9 Integridad: garantía y completitud de información y métodos de procesos.
17
4. Método
La metodología propuesta es realizar una Investigación Proyectiva ya que este tipo de
investigación nos permitirá proponer los cambios que la compañía requiere en su
infraestructura tecnológica, como menciona Jacqueline Hurtado de Barrera en el libro de
sexta edición el proyecto de investigación1 “Todas las investigaciones que implican el diseño
o creación de algo con base en un proceso investigativo, también entran esta categoría”.
Estos cambios van enfocados a:
La seguridad lógica garantizaremos que tanto los usuarios internos de la compañía tengan
acceso a la información que cada uno de ellos requiere. Esto consiste en aplicar barreras y
procedimientos que resguarden los accesos a los datos y que solo se permita hacer esto a los
usuarios autorizados, existe un dicho de la seguridad lógica “todo lo que no está permitido
debe estar prohibido” y esto es lo que debe a asegurar la seguridad lógica.
La seguridad física proponemos mecanismos que protejan la integridad de los recursos de
hardware (Acceso físico a las instalaciones, Desastres Naturales, Amenazas ocasionadas por
el hombre, resguardo de la información) de la compañía.
La seguridad legal encontraremos leyes colombianas que regulan todos los derechos de
autor, propiedad industrial, propiedad intelectual, comercio electrónico y firmas digitales.
El propósito de la Dirección General, Gerente General y la Jefe de Operación es salvaguardar
la compañía Fine World SAS a diversas anomalías que venían presentado en tecnología de
la información; por esta razón se propone recolectar información de cada uno de los usuarios
realizando una entrevista en la que cada usuario interno manifieste que tipo de anomalías
1 Jacqueline Hurtado de Barrera. (2010). El proyecto de investigación. Bogotá: Quirón.
18
conoce presentes en la compañía. Además de esto se requiere información donde la
infraestructura que tiene la compañía, planos y fotografías de las oficinas.
Luego de validar la recolección de información realizaremos un análisis con el fin de realizar
la propuesta que se le entregara a la compañía Fine World SAS.
En este último deberá indicarse el proceso a seguir en la recolección de la información, así
como en la organización, sistematización y análisis de los datos. Tenga en cuenta que el
diseño metodológico es la base para planificar todas las actividades que demanda el proyecto
y para determinar los recursos humanos y financieros requeridos.
5. Consideraciones éticas
Con un acuerdo de los principios establecidos en la empresa Fine World SAS, el proceso a
desarrollar es conforme a los siguientes criterios:
Explicar el conocimiento que se pretende producir se debe dar de una manera clara
y no podrá obtenerse por un medio no idóneo para dar a conocer.
La investigación se llevará a cabo cuando la autorización del presente documento
cuente con la aprobación de la institución.
Garantizar la confidencialidad de la información recogida.
Compromiso a no divulgar los datos de la empresa o de las personas encontrada.
Garantizar el respeto y el buen manejo a la información recogida.
Los investigadores se comprometen a explicar el resultado de la información y los
resultados a la persona encargada del aval del proyecto.
19
6. Posibles riesgos y dificultades
DESCRIPCION RIESGO INDICADORCRITERIO DE
ACEPTACION
Desviacion excesiva de las horas extras de los
integrandes del grupo costo personal≤50%
Errores significativos en los puntos clave del proyecto documentacion ≤30%
Mala comunicación entre los integrandes del proyecto retraso en el cronograma ≤20%
La ausencia prolongada o abandono de alguno de los
integrandes del grupo retraso en el cronograma ≤25%
Perdida de informacion del proyecto generacion de documentacion ≤10%
Baja calidad de los documentos a entregar retraso en la propuesta ≤5%
Poner atencion en aspecto segundarios del proyecto retraso en el cronograma ≤30%
Incumplimiento con lo planeado con el cliente retraso en el cronograma ≤3%
Lentitud en la toma de decisiones retraso en el cronograma ≤10%
Reestructuracion institucional comunicación con la empresa ≤20%
Cambio en las prioridades retraso en el cronograma ≤15%
Falla de servicios complementarios generacion de documentacion ≤10%
Accidente de uno de los integrantes retraso en el cronograma ≤20%
Ser superado por la copetencia en la evaluacion de la
propuesta Decisión del cliente ≤80%
-criterios de aceptación están sobre un 100% de aceptación.
20
7. Cronograma de actividades
DURACIÓN DE LA
EJECUCIÓN DEL
PROYECTO EN MESES
4 MESES
N° ACTIVIDAD SEMANA
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
1
Levantamiento de la
información de seguridad
lógica, legal y física
necesaria para diseñar el
documento de la
propuesta.
2
Organización de la
información de seguridad
lógica, legal y física,
necesaria para diseñar el
documento de la
propuesta.
3
Análisis de la
información de seguridad
lógica, legal y física,
recogida
4
Elaboración de la
propuesta que
presentaremos a Fine
World SAS
6
Presentación de la
propuesta a la empresa
Fine World SAS
7 Feedback hacia el grupo
del proyecto
21
8 Ajustes de la propuesta a
presentar
9 Entrega de la propuesta
8. Análisis
Para realizar el análisis de información que fue recogida en la compañía se utilizaron las
técnicas (Entrevista, encuesta, observación)
En la entrevista realizada a la Dirección General, Gerente General y Jefe de
Operación de Fine World SAS se concluyeron ciertos requisitos para realizar el
diseño de la propuesta de seguridad.
Con la encuesta nos dimos cuenta que los usuarios finales no se encuentran
satisfechos con los niveles de seguridad que maneja la compañía. Esta conclucion se
evidencia con la siguiente grafica:
Si No
Seguridad Fisica 28,57% 71,43%
Seguridad Logica 11,43% 88,57%
Seguridad Legal 14,29% 85,71%
28,57%
71,43%
11,43%
88,57%
14,29%
85,71%
0,00%10,00%20,00%30,00%40,00%50,00%60,00%70,00%80,00%90,00%
100,00%
SATISFACCION DE SEGURIDAD
22
Con la técnica de observación evidenciamos el estado actual de los recursos
informáticos con los que cuenta Fine World SAS.
Atraves de las técnicas de entrevista, encuesta y observación realizadas en el levantamiento
de información y en reunión previa con el sponsor de Fineworld SAS se validan los
requerimientos para los usuarios internos:
Asegurar que se utilicen los programas y documentos correctos por cada usuario.
Poder identificar cada usuario en la red.
Administración de Usuarios y acceso a la información interna de la compañía.
Control de acceso interno y puertas de seguridad.
Asegurar la información de la compañía
Validar si el cuarto del Rack cumple con los estándares normativos.
Despues de realizar el levantamiento de información lógico hemos evidenciado que solo hay
un canal de comunicación hacia internet, además de esto los usuarios finales tienen un único
perfil que utilizan en las estaciónes de trabajo; por otro lado es del alto riesgo tener en el
equipo de la recpcionista los documentos compartidos que maneja la compañía, ya que se
puede presentar manipulación de información; además se evidencia que el enrutamiento
interno de la red lan es estadico, esto muy te dioso para la configuración de una estación de
trabajo nueva ya que no se tiene ducumentada las direcciones ip que están utilizando los
equipos activos de la compañía. De esta manera presentamos el mapa lógico de la red y el
mapa físico de FineWorld SAS
24
9. Diseño*
Después de realizar el análisis actual de la seguridad lógica, física y legal de la compañía
Fineworld SAS y viendo los requerimientos que tiene el sponsor hemos realiza un nuevo
diseño.
9.1 Logico
El diseño logico esta basado en los conocimeitos adquiridos durante los estudios en la
universidad Panamericana y también apoyados en el cuadrante Mágico de Gartner2; El
Cuadrante Mágico proporciona un posicionamiento competitivo gráfico de cuatro tipos de
proveedores de tecnología, en los mercados donde el crecimiento es alto y el proveedor de
diferenciación es clara:
Lideres (Leaders): ejecutan bien en contra de su visión actual y están en buena
posición para mañana.
Visionarios (Visionaries) entienden para dónde va el mercado o tienen una visión
para el cambio de las reglas del mercado, pero aún no se ejecute bien.
Nuevos (Niche Players) enfocan con éxito en un pequeño segmento, o están fuera de
foco y no fuera a innovar oa otros superan.
Rivales (Challengers) ejecutan bien hoy o pueden dominar un segmento grande, pero
no demuestran una comprensión de la dirección del mercado.
2 Es una representación gráfica de la situación del mercado de un producto tecnológico en un momento determinado.
25
Figura04 - Cuadrante Mágico de Gartner.
Es de anotar que Gartner no respalda a ningún proveedor, producto o servicio representado
en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología a elegir sólo
a aquellos proveedores con las más altas calificaciones o cualquier otra designación. Las
publicaciones de investigación de Gartner consisten en las opiniones de la organización de
investigación de Gartner y no debe interpretarse como declaraciones de hecho.
Basados en lo anterior mesionado buscamos el Cuadrante Magico de Gartner un fabricante
de Firewall, ya que un Firewall ayuda a impedir que software o hackers tengan acceso a los
equipos de la compañía atraves de internet. Un firewall crea una barrera entre la LAN e
Internet, igual que la barrera física que constituiría una pared de ladrillos.
26
Figura05 - Cuadrante de Magico de Gartner Firewall
Por esta razon consideramos que Fineworld SAS debe adquirir un firewall del fabricante
fortinet en su modelo 60C ya que este disposito se integra para las pymes y brinda una
protección de clase empresarial.
Figura06 – Fortinet 60C
Ademas de obtener un firewall, también es importante tener dos servidores ya que la esencia
de los servidores es guardar los datos de los trabajadores, controlar los equipos conectados a
la red, la creación de usuarios para la empresa para una mejor gestión de carpetas compartidas
27
y permisos. También nos servirá para albergar los diferentes programas corporativos que
utilicemos, para facturar, etc.
Apoyados en la experiencia que tenemos en el ámbito tecnológico y en el Cuadrante Magico
de Gartner nos damos cuenta que Microsoft es un gran líder en virtualización de
infraestructura, además de esto es una empresa pionera en inovacion y desarrollo de software;
también tuvimos encuenta el estudio del Cuadrante Magico de Gartner sobre servidores
Figura07 – Virtualizacion de Infraestructura Figura08 – Servidores Modulares
28
El primer servidor que proponemos es con el fin que allí se aloje el Directorio Activo, DNS,
DHCP y el File Server, este servidor puede tener las siguientes características:
Modelo: HP ProLiant DL360p Gen8
Procesador :
Intel Xeon E5-2630v2 6-Core (2.60GHz
15MB)
E5-2420v2 80W 2.2GHz/1600MHz/15MB
Memoria RAM: 8 GB
Discos Duros: 2 x 2TB
Ethernet: 4 Port
Fuente Redundante Si
Sistema Operativo
Windows Server Standard 2012 R2 + 5
Calc
El segundo servidor que proponemos es con el fin que allí se alojen las maquinas virtuales
como son el programa Helisa, Print Server, CJLTIME (Control de tiempo), SIV (sistema
integral de ventas), este servidor puede tener las siguientes características:
Modelo: HP ProLiant DL360p Gen8
Procesador :
Intel Xeon E5-2630v2 6-Core (2.60GHz
15MB)
E5-2420v2 80W 2.2GHz/1600MHz/15MB
Memoria RAM: 24 GB
Discos Duros: 2 x 2TB
Ethernet: 4 Port
Fuente Redundante Si
Sistema Operativo
Windows Server Standard 2012 R2 + 5
Calc
Desde luego también se suguiere cambiar el switch por un Switch HP 2620-48 ya que este
proporciona funciones básicas de Capa 3. Esto mejora la velocidad de comunicación local
entre los usuarios y servicios solicitados; además de esto se sugiere poner un Access point
Cisco WAP441 para que usuarios que tengan acceso a la red atraves de Wi-Fi; asimismo se
29
aconceja la compra de una impresora multi-funcional Samsung 6555NX ya que esta nos
ayudaraa escáner, copiar e imprimir con facilidad y velocidad, por ultimo y mas importante
se sugiere tener de un canal de internet de dedicado3 de 8 megabyte y canal ADSL4 de 8
megabyte de backup, esto con el fin de tener redundacia en la conexión hacia internet.
De esta manera presentamos el diseño de mapa lógico que quedaria
Figura09 - Diseño Logico.
9.2 Fisico
Según la norma ISO 2700 el objetivo de la seguridad física es Evitar el acceso físico no
autorizado, daños o intromisiones en las instalaciones y a la información de la organización.
Espero que proponemos velar por la seguridad de los empleados y los elementos que se
3 Conexión directa desde tu empresa hacia internet 4 Línea de abonado digital asimétrica
30
encuentran en Fineworld SAS, por esta razon y validando la norma ISO27000 hemos
encontrado que una buena practica tener un CCTV5 en las instalaciones acompañado de
biometricos6 que impidan el paso a ciertos lados de las oficinas, por esta razon presentamos
el siguiente plano donde puede observar donde irían las cámaras y los biométricos.
Figura09 - Diseño Fisico.
Tambien proponemos remodelar el sitio donde se encuentra el baño ya que este seriviria
como cuarto de comunicaciones donde se alojaría todo el sistema de comunicaciones de la
compañía, esto con el fin de blindar el acceso a estos dispositivos ya que no todos deben tener
acceso.
5 Circuito cerrado de televisión 6 Reconocimiento de huellas dactilares
31
9.3 Legal
Simpre que se crea una empresa esta en la obligación de cumplir con todas las leyes, normas,
drecretos, etc., que sean aplicables en el desarrollo de la actividad por la que fue creada. Lo
que se refiere específicamente a Seguridad de la Información, estas son las Leyes vigentes al
día de hoy.
Derechos de Autor
Decisión 351 de la C.A.N.
Ley 23 de 1982
Decreto 1360 de 1989
Ley 44 de 1993
Decreto 460 de 1995
Decreto 162 de 1996
Ley 545 de 1999
Ley 565 de 2000
Ley 603 de 2000
Ley 719 de 2001
Propiedad Industrial
Decisión 486 de la C.A.N.
Decreto 2591 de 2000
Ley 463 de 1998
32
Ley 170 de 1994
Ley 178 de 1994
Propiedad Intelectual
Decisión 345 de la C.A.N.
Decisión 391 de la C.A.N.
Decisión 523 de la C.A.N.
Comercio Electrónico y Firmas Digitales
Ley 527 de 1999
Decreto 1747 de 2000
Resolución 26930 de 2000
Ley 603 De 2000
Esta ley se refiere a la protección de los derechos de autor en Colombia. Recuerde: el software
es un activo, además está protegido por el Derecho de Autor y la Ley 603 de 2000 obliga a
las empresas a declarar si los problemas de software son o no legales.
Ley Estatutaria 1266 Del 31 De Diciembre De 2008
Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la
información contenida en bases de datos personales, en especial la financiera, crediticia,
comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.
33
Ley 1273 Del 5 De Enero De 2009
Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -
denominado “de la protección de la información y de los datos”- y se preservan integralmente
los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras
disposiciones.
Ley 1341 Del 30 De julio De 2009
Por la cual se definen los principios y conceptos sobre la sociedad de la información y la
organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la
Agencia Nacional del Espectro y se dictan otras disposiciones.
Ley Estatutaria 1581 De 2012
Entró en vigencia la Ley 1581 del 17 de octubre 2012 de PROTECCIÓN DE DATOS
PERSONALES, sancionada siguiendo los lineamientos establecidos por el Congreso de la
República y la Sentencia C-748 de 2011 de la Corte Constitucional.
Como resultado de la sanción de la anunciada ley toda entidad pública o privada, cuenta con
un plazo de seis meses para crear sus propias políticas internas de manejo de datos personales,
establecer procedimientos adecuados para la atención de peticiones, quejas y reclamos, así
como ajustar todos los procesos, contratos y autorizaciones a las disposiciones de la nueva
norma.
34
Aspectos claves de la normatividad:
Cualquier ciudadano tendrá la posibilidad de acceder a su información personal y
solicitar la supresión o corrección de la misma frente a toda base de datos en que se
encuentre registrado.
Establece los principios que deben ser obligatoriamente observados por quienes
hagan uso, de alguna manera realicen el tratamiento o mantengan una base de datos
con información personal, cualquiera que sea su finalidad.
Aclara la diferencia entre clases de datos personales construyendo las bases para la
instauración de los diversos grados de protección que deben presentar si son públicos
o privados, así como las finalidades permitidas para su utilización.
Crea una especial protección a los datos de menores de edad.
Establece los lineamientos para la cesión de datos entre entidades y los procesos de
importación y exportación de información personal que se realicen en adelante.
Define las obligaciones y responsabilidades que empresas de servicios tercerizados
tales como Call y Contact Center, entidades de cobranza y, en general, todos aquellos
que manejen datos personales por cuenta de un tercero, deben cumplir en adelante.
Asigna la vigilancia y control de las bases de datos personales a la ya creada
Superintendencia Delegada para la Protección de Datos Personales, de la
Superintendencia de Industria y Comercio.
Crea el Registro Nacional de Bases de Datos.
Establece una serie de sanciones de carácter personal e institucional dirigidas a
entidades y funcionarios responsables del cumplimiento de sus lineamientos.
35
Decreto 1377 De 2013
Protección de Datos, decreto por el cual se reglamenta parcialmente la Ley 1581 de 2012.
10. Resultados y productos
Los resultados que se espera que tenga Fineworld SAS con la implementación de este diseño
son:
Seguridad Logica: con este diseño se prentende solventar todas las necesidades de
prevencion e impedimento a accesos, sitios o documentos no autorizados por la
compañía, además proteger a cada unos de los colaboradores a riesgos informáticos
como virus, gusanos, fishing, malware entre otros.
Seguridad Fisica: Minimizar el riesgo al ingreso a las oficinas de personal no
autorizado, además monitoriar los posibles daños físicos que el personal interno
pueda causar a los insumos suminitrados por la compañía.
Seguridad Legal: dando a conocer las leyes, estautos y normar que rigen en el país se
espera que no las infranjan ya que esto tiene consecuencias que podrían llevar a que
el representante legal valla a la cárcel o le impogan una sanción monetaria a la
compañía.
36
10.1 Impactos
Impacto esperado Plazo (años)* Indicador
(verificable)
Supuestos**
Adoptar medidas de
seguridad y mejoras,
para la compañía.
2 año Funcionamiento
estable de la empresa
Vereficacion de
entidades legales
colombianas
Generar un modelo
de seguridad en las
capacidades de la
gestión de la
tecnología.
1 año Adaptacion de los
empleados a los
nuevos procesos a
desarrollar
Decisión de la
gerencia para la
aceptación y la
puesta en practica de
la los concejos
dados.
Mejorar las labores
y la manipulación de
los medios
tecnologicos
1 año Seguridad de
infrainstructura
Los usuarios tengan
en cuenta lo
esablecido en el
documento
Evaluación de los
posibles riesgos
1 año Seguridad La empresa realizara
una evaluación de
los riestos y un
análisis de un
posible daño en
acceso,
37
manipulación,
modificación,
destrucción de la
información que no
ha sido autorizada.
Denegacion de
servicios
1 año Seguridad Prohibición de
ingreso a paginas o
recursos no
autorizados.
Legalización de las
aplicaciones
1 año Legal La empresa
comprara licencias
paralos aplicativos
que tiene, y para los
que adquieran en el
futuro.
* Después de finalizado el proyecto, corto (1-4), mediano (5-9), largo (10-más)
** Los supuestos indican los acontecimientos, las condiciones o las decisiones, necesarios
para que se logre el impacto esperado.
38
10.2 Capacidad del equipo
Con esta sección se pretende establecer la capacidad del equipo que integra el proyecto y sus
perfiles que aportarán en el logro de los objetivos de proyecto.
Rol Nombres Apellidos Funciones Dedicación
Monitor
Evaluativo
(ME)
Cristhian Fernando Aroca
Sanguino
Estretega, percibir todas las
opciones 5*12*120
Coordinador
(CO) Lorena Contreras Perrilla
Aclarar metas, promover toma
de decisiones 5*12*120
Project
Manager (PM)
Jhon Alexander López
Naranjo
Crear, investigar, resolucion de
problemas, Planeacion,
Verificacion y Analazis
5*12*120
39
11. Presupuesto
El presupuesto corresponde a la identificación de cada uno de los recursos y costos que se
requieren para el desarrollo del proyecto. Para tal efecto se propone la tabla de presupuesto
que se presenta a continuación.
11.1 Tabla de Presupuesto
Descripción Cantidad Costo unitario USD Total USD
Server de Dominio 1 2.000,00$ 2.000,00$
Servidor de Virtualizacion 1 4.000,00$ 4.000,00$
Switch HP 2620-48-PoE 1 1.500,00$ 1.500,00$
Foritinet 60 C 1 2.000,00$ 2.000,00$
Impresora Multifuncional Samsung
6555NX 11.500,00$ 1.500,00$
Rack 1.50 Mts 1 970,00$ 970,00$
-$
11.970,00$
Sub Total Col 35.910,00$
Office 365 - Grupo Investigacion 3 50,00$ 150,00$
Windows Server Data Center R2 -
Fine World1 5.000,00$ 5.000,00$
Windows Server Standard R2 - Fine
World1 730,00$ 730,00$
IFX - 8 Mb - Fine World 12 420,00$ 5.040,00$
ETB - 8 Mb - Fine World 12 380,00$ 4.560,00$
Varios - Grupo de Investigacion 4 100,00$ 400,00$
-$
15.880,00$
Sub Total Col 47.640.000,00$
Ing Jhon Lopez 4 670,00$ 2.680,00$
Ing Lorena Contreras 4 433,00$ 1.732,00$
Ing Crostian Aroca 4 330,00$ 1.320,00$
-$
5.732,00$
17.196.000,00$
33.582,00$
Temp Capex 27.850,00$
Temp Capex-Col 83.550.000,00$
Imprevistos 10% 2.785,00$
Imprevistos-Col 8.355.000,00$
Capex 30.635,00$
TRM 3.000$ Capex-Col 91.905.000,00$
Total
Honorarios a Terceros
Sub Total
Sub Total Col
FINE WORLD SAS
Hardware
Software
Sub Total
Sub Total
40
12. Recomendaciones
La recomendación para un diseño, inplanta e implementar de forma adecuada el SGSI, de
debe hacer una buena utilización de las buenas practicas e estantades que se acepten, no
necesariamente se debe aplicar lo dicho en este documento, ya que existen muchas formas y
herramientas para la implementación de ISO27001. Se debe guiar por un estándar y un
manual de buenas practicas, pero se debe tener en cuenta que dependiendo la necesidad de la
empresa.
Se recomienda que el diseño de ISO27001 para una empresa sin importal el tamaño, ya que
lo importante es la protección de los activos mas importantes para la empresa, y poder
mantenerlos lejos de ataques de intrusos, y poder contar con un plan de mejoramiento
continuo en los diferentes proces.
41
13. Referencias
[1] Calidad y seguridad de la información y auditoría informática, disponible en
internet en:
http://earchivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jsessi
onid=10850A53006DB846CED4EDCEDEDE1C40?sequence=1
[2] O'Brien, J. A., & Marakas, G. M. (2006). Sistemas de información gerencial:
manejo de la tecnología de información en la empresa interconectada en red/.
Mexico:. McGraw-Hill,. 18-septiembre-2015
[3] INTERNATIONAL STANDARD ISO/IEC 17799:2005 ,Iso-Iec 17799 2005.pdf,
2005 14-septiembre-2015
Freeman, E. H. (2007). Holistic information security: ISO 27001 and due
care.Information Systems Security, 16(5), 291-294.31-agosto-2015
Neubauer, T., Ekelhart, A., & Fenz, S. (2008, January). Interactive selection of ISO
27001 controls under multiple objectives. In Proceedings of The Ifip Tc 11 23rd
International Information Security Conference (pp. 477-492). Springer US.
Jacqueline Hurtado de Barrera. (2010). El proyecto de investigacion. Bogotá: Quirón.
Mieres, J. (2009). Ataques informáticos. Debilidades de seguridad comúnmente
explotadas. 24-junio-2015, de Recuperado Sitio web:
http://proton.ucting.udg.mx/tutorial/hackers/hacking.pdf 18-agosto-2015
42
López, P. A. (2010). Seguridad informática. 20-junio-2015, de Editex Sitio web:
https://books.google.es/books?hl=es&lr=&id=Mgvm3AYIT64C&oi=fnd&pg=PA1
&dq=POLITICAS+DE+SEGURIDAD+INFORMATICA+&ots=PpmoQEBCT-
&sig=zpd_7LUg2tO26LyURBR-
dJSFwd8#v=onepage&q=POLITICAS%20DE%20SEGURIDAD%20INFORMATI
CA&f=false 18-junio-2015
Bertolín, J. A. (2008). Seguridad de la información. Redes, informática y sistemas de
información. . Junio de 2015, de Paraninfo Sitio web:
https://books.google.es/books?hl=es&lr=&id=_z2GcBD3deYC&oi=fnd&pg=PP1&
dq=POLITICAS+DE+SEGURIDAD+INFORMATICA+&ots=wrknvICUPi&sig=
KmctSxp5HUu8ZjtgHadSzqcpUrs#v=onepage&q=POLITICAS%20DE%20SEGU
RIDAD%20INFORMATICA&f=false 18-junio-2015
VERGEL TRIGOS, M. O. N. I. C. A., & SEPULVEDA ARENAS, A. D. (2015).
DISEÑO DE UN MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA
APLICANDO LA NORMA ISO 27002 PARA LA ALCALDÍA DEL MUNICIPIO
DE LA PLAYA DE BELEN, NORTE DE SANTANDER. 23-junio-2015, de
Doctoral dissertation Sitio web:
http://repositorio.ufpso.edu.co:8080/dspaceufpso/handle/123456789/573 14-junio-
2015
43
Susanto12, H., Almunawar, MN, y Tuan, YC . (2012). Desafío información de
seguridad y las infracciones:. Enfoque novedoso en la medición de la norma ISO
27001 nivel de preparación. 26-junio-2015, de Revista Internacional de Ingeniería y
Tecnología Sitio web: http://www.iet-
journals.org/archive/2012/jan_vol_2_no_1/36585913256483.pdf