plan de seguridad informática en la escuela universitaria de post grado de la unfv
DESCRIPTION
Tesis para optar el titulo profesional de Ingeniero de Sistemas e InformáticaTRANSCRIPT
1
2
Agenda
• Introducción • Marco teórico• Descripción de la metodología• Plan de seguridad informática• Resultados • Conclusiones• Recomendaciones
Plan de Seguridad Informática
3
Introducción
El crecimiento tecnológico implica grandebilidad de los sistemas informáticos, al volversemás complejos, apareciendo más elementosvulnerables referente a la seguridad de lainformación; lo que conlleva a la necesidad deuna adecuada implementación de un plan deseguridad informática que permita a la instituciónproteger en forma correcta y oportuna suinformación.
En esta perspectiva, la Escuela dePostgrado de la Universidad Nacional FedericoVillarreal, ha ido creciendo a través del tiempodisponiendo de recursos informáticos, una redlocal, acceso a internet, por lo tanto, suinformación no deja de ser ajena a las amenazasinformáticas tanto externas como internas; he ahíla importancia y trascendencia del estudio quemotiva la presente tesis.
4
Objetivos
El objetivo general de la investigación es probar la eficiencia de un plan deseguridad informática propuesto para la EUPG-UNFV, la misma se logrará conlos siguientes objetivos específicos:
• Hacer el diagnóstico del sistema de seguridad informática actual.• Elaborar un plan de seguridad informática sobre la base del
diagnóstico de la situación actual.• Probar la eficiencia del plan de seguridad informática propuesto.
Plan de Seguridad Informática
5
Ribagorda M. (1994), “la informática es una
herramienta que implica riesgos cada vez más
crecientes, a veces mal conocidos y poco
combatidos”.
Marcelo J. (1999), considera que la “seguridad informática es un
proceso continuo, no un
producto”.
Joyanes L. (1997), “el impacto social de las
tecnologías de la información y de la
sociedad informatizada, es vulnerable”.
Marco teórico
Es conjunto de sistemas, procedimientos,métodos y herramientas destinados a protegerla información.
6
Confidencialidad
Se refiere que a loscomponentes del sistema,serán accedidos sólo poraquellos usuariosautorizados.
Integridad
Los componentes delsistema sólo pueden sercreados y modificados porlos usuarios autorizados.
Disponibilidad
Los usuarios deben tenerdisponibles todos loscomponentes del sistemacuando así lo deseen.
Lardent A. (2001), manifiesta que el objetivo de la seguridad informática “esmantener la confidencialidad, integridad y la disponibilidad de la información”.
Propiedades de la seguridad informática
Plan de Seguridad Informática
7
Externas
Internas
Las amenazas informáticas
InterceptaciónOcurre cuando una persona noautorizada accede a una partedel sistema haciendo uso deprivilegios no adquiridos.
Copias ilícitas de programas.Escucha en línea de datos.
ModificaciónTrata de cambiar en todo o enparte el funcionamiento delsistema, con la finalidad deobtener beneficios personales.
Modificación de base de datos.Modificación de elementos delhardware.
InterrupciónSe considera como temporal opermanente, lo cual puedeocasionar un daño, pérdida odeja de funcionar un punto delsistema.
Destrucción del hardware.Borrado de programas, datos.Fallas en el sistema operativo.
GeneraciónSe refiere a la creación denuevos objetos dentro delsistema.
Añadir transacciones en red.Añadir registros en base dedatos.
8
DSI
Hardware
Software
DatosMemoria
Usuarios
Debilidades de los sistemas informáticos (DSI)
Plan de Seguridad Informática
9
ISO 27001 / ISO 17799:
2005
Política de seguridad
Organización de la
Seguridad de la Información
Gestión de Activos
Seguridad de los recursos
humanos
Seguridad física y
medioambiental
Gestión de las telecomunicaci
ones y operaciones
Control de accesos a los
datos
Adquisición, desarrollo y
mantenimiento de los
sistemas de Información
Gestión de Incidencias
Gestión de la continuidad de
las operaciones
de la empresa
Conformidad
Estándar de seguridad informática
10
Descripción de la metodología del desarrollo
PROBLEMA OBJETIVOS HIPÓTESIS VARIABLES TIPO DE ESTUDIO
DISEÑO RESULTADOS
No existesistema deseguridadinformática en laEUPG-UNFV.
Objetivo principal
Probar la eficiencia de unplan de seguridadinformática propuesto enla EUPG-UNFV.
Objetivos específicos
Hacer el diagnóstico delsistema de seguridadinformática actual de laEUPG-UNFV
Elaborar un plan deseguridad informáticasobre la base dediagnóstico de lasituación actual.
Probar la eficiencia delplan propuesto.
l
Se logrará mejorarla seguridadinformática en laEUPG-UNFV,mediante laformulaciónadecuada de unplan de seguridadinformática.
Variable independiente
Plan de seguridad informática propuesto.
Variable dependiente
Seguridad informática
Descriptiva comparativa
Porque losresultados deuna primerafase, seráncomparadoscon losresultados deuna segundafase
Transversal
Recolectaremoslos datos en unmomento dadopor única vez.
No Experimental
Porque implica laobservación delas situaciones ensu condiciónnatural sinintervención delosinvestigadores.
Se realizó eldiagnóstico de laseguridad informáticaactual en la EUPG-UNFV
Se elaboró un planseguridad informáticapara EUPG-UNFV
Se probó la eficienciadel plan de seguridadinformática elaborado
Plan de Seguridad Informática
El que nunca nada hace
nunca se equivoca.Anónimo
11
Análisis del sistema de seguridad
informática actual
• Generación de las encuestas• Análisis de fuentes de datos yrecopilación de información.
• Recolección de documentosreferente a la seguridad informática.
• Reconocimiento del ambiente detrabajo
• Identificación de los factores deriesgo
Formulación del plan de seguridad
informática• En base a los resultados del análisis• ISO 27001/17799:2005• NTP:17799:2007 Código de buenasprácticas para la gestión de laseguridad informática
• El plan consiste en 7 factores
Prueba de la eficiencia del plan
propuesto
• Generación de unaencuesta acerca laeficiencia del planpropuesto
Desarrollo del plan de seguridad informática en la EUPG-UNFV
Plan de Seguridad Informática
Plan de seguridad informática propuesto en la EUPG-UNFV
Seguridad lógica
Seguridad en las comunicaciones
Seguridad en las aplicaciones
Seguridad física
Administración del centro de procesamiento de datos
Auditorías y revisiones
Plan de contingencia
Identificación de usuarios
Autenticación
Gestión del password
Segregación de funciones
Topología de la red
Conexiones externas
Configuración lógica de la red
Correoelectrónico
Antivirus
Ataques de la red
Firewall
Software
Seguridad de la base de datos
Control deaplicaciones en lascomputadoras
Control de datos enlas aplicaciones
Ciclo de vida de las aplicaciones
Equipamiento
Control de acceso físico al área de informática
Control de acceso a equipos
Dispositivos de soporte
Estructura del edificio
Cableado estructurado
Administracióndel área deinformática
Capacitación
Backup
Documentación
Revisión del sistema
Responsabilidades de los encargados de seguridad
Auditoría de control de acceso a los sistemas
Auditoría de redes
Plan de administración de incidentes
Backup de equipamiento
Estrategias de recuperación de desastres
Consiste en
Agrupa los siguientes aspectos
Agrupa los siguientes aspectos
Agrupa los siguientes aspectos
Agrupa los siguientes aspectos
Agrupa los siguientes aspectos
Agrupa los siguientes aspectos
Agrupa los siguientes aspectos
Plan de seguridad informática propuesto
12
13
Plan de Seguridad Informática
En primer lugar se presentan, los resultados del diagnóstico delsistema de seguridad informática que existía antes de formularel plan de seguridad.
En segundo lugar se presentan los resultados estadísticos queprueban la eficiencia del plan propuesto, finalmente se presentala contrastación de la hipótesis planteada
Resultados de la investigación
14
Diagnóstico de la seguridad informática antes de la formulación del plan
El etapa diagnóstico implica una exploración sobre cuánto conocen losempleados en la EUPG-UNFV, acerca de los temas relacionados con lossistemas de información que se emplean con mayor frecuencia, y al riesgo quepuedan estar expuestos cuando no están protegidas apropiadamente.
Plan de Seguridad Informática
15
ResultadosRespuestas
Muy Mala Mala Regular Buena Excelente
6,0 45,0 34,0 10,0 5,0
En el cuadro, apreciamos que sólo el 15 % de los usuarios considera que la seguridadinformática en la EUPG–UNFV es buena y excelente, la tercera parte de ellos cree que laseguridad actual es regular y, más de la mitad cree que es mala y muy mala.
Producto de la evaluación de la seguridad informática actual, se desarrolló la media aritméticade los resultados obtenidos por factores, de tal modo, los resultados globales muestran unatendencia similar a las evaluadas por factores.
Promedio global de los resultados por factores, de la seguridad informática actual
16
Análisis de la eficiencia del plan de seguridad informática propuesto
Una vez elaborado el plan de seguridadinformática con las previsiones teóricas y previoanálisis exhaustivo es preciso probar elfuncionamiento de este plan; para ellorecurrimos a una prueba de eficiencia del planpropuesto, desde el punto de vista de lasopiniones de los expertos en informática quienesestán involucrados directa e indirectamente demanera permanente con los sistemas deinformación.
17
ResultadosExcelente Buena Regular Mala Muy Mala
31,06 55,33 12,20 1,00 1.00
Promedio global de los resultados por factores, del plan propuesto
Los resultados obtenidos por cada factor del plan de seguridad informática propuesto, soncontundentes y se relacionan con los resultados globales. El 86.40 % considera que el plan, deaplicarse, estaría considerado entre bueno y excelente, el 12,20 % de los usuarios considera queel plan sería regular si se aplicase, y sólo 2.00 % considera que el plan sería desfavorable.
Con la metodología similar a la de anterior, se desarrolló la media aritmética de los resultadosobtenidos por factores, lo que, implica conocer la eficiencia del plan, en opinión de losusuarios expertos en informática.
18
Prueba de la eficiencia del plan de seguridad informática propuesto
Se compara los resultados obtenidos sobre la percepción de los usuarios respecto a laprotección o plan de seguridad informática en la EUPG–UNFV. (Antes de la implementacióndel plan) al que hemos denominado diagnóstico, con los resultados de la percepción despuésde la formulación del plan, a esto último lo denominamos eficiencia probada del planpropuesto.
Para demostrar la eficiencia del plan propuesto es necesario contrastar la hipótesisplanteada, a continuación presentamos la demostración de la misma.
Plan de Seguridad Informática
19
Prueba de la eficiencia del plan de seguridad informática propuesto – Contrastación de la hipótesis
Momento evaluación
Respuestas Total
Muy mala Mala Regular Bueno Excelente
Antes Recuento6 45 34 10 5 100
Frecuencia esperada3,5 23 23 32,5 18 100
Residuo2,5 22 11 -22,5 -13
Residuos tipificados1,3 4,6 2,3 -3,9 -3,1
Después Recuento1 1 12 55 31 100
Frecuencia esperada3,5 23 23 32,5 18 100
Residuo-2,5 -22 -11 22,5 13
Residuos tipificados-1,3 -4,6 -2,3 3,9 3,1
Total Recuento7 46 46 65 36 200
Frecuencia Esperado 7 46 46 65 36 200
Con los resultados de los residuos tipificados, tenemos: Las respuestas respecto a la protección con quecuenta la información de la EUPG–UNFV en la fase de diagnóstico, se encuentran entre regular, mala ymuy mala (2.3, 4.6 y 1.3) respectivamente; en cambio; las respuestas sobre la formulación del plan deseguridad informática propuesto se encuentra entre bueno y excelente (3.9 y 3.1) respectivamente. Demanera visual estos resultados apreciamos también en el siguiente gráfico,
En el siguiente cuadro presentamos las respuestas en porcentajes de los usuarios antes de laformulación del plan versos. Las respuestas después de la prueba de la eficiencia del planpropuesto.
20
Eficiencia del plan de seguridad informática propuesto
-
10
20
30
40
50
60
Antes Despues
6%
1%
45%
1%
34%
12% 10%
55%
5%
31%
Rec
uent
o
Momento de Evaluación
Muy mala
Mala
Regular
Bueno
Excelente
21
Conclusiones
Luego de recopilar,analizar, contrastar lainformación, en esteestudio se llegó a lassiguientes conclusiones
Luego de recopilar, analizar, contrastar la información, en este estudio se llegó a las siguientes conclusiones:
Sin la aplicación del plan de seguridad informática, sedemostró que el estado actual de la seguridadinformática en la EUPG–UNFV, es deficiente para lasnecesidades del complejo de información que maneja.
Luego de someter el plan propuesto al juicio de losexpertos en informática de la EUPG-UNFV, se apreciauna mejora sustancial en la seguridad informática
La mejora en la percepción de la seguridad informática,demuestra la eficiencia del plan propuesto en la EUPG-UNFV
22
Recomendaciones
Muchas de las amenazas informáticas, están relacionadas por factoresexternas e internas, por otro lado derivan por el mal uso de lastecnologías de la información, por lo que se sugiere realizar campañasde capacitación a todo el personal, las mismas que tendrían que estarorientadas bajo los conceptos básicos de seguridad y a gruposespecíficos con temas correspondientes a sus responsabilidades.
Sería interesante realizar un análisis del costo y tiempo comoconsecuencias de la falta de prevención de los sistemas deinformación, esto puede concientizar a la institución a analizar laprobabilidad de que ocurran ciertos sucesos, para lo cual, la altagerencia debe determinar las consecuencias que traería el costo yproductividad por la pérdida de información, clientes, confianza de losusuarios y costos asociados con las soluciones de seguridadinformática.
Finalmente se recomienda considerar las sugerencias en el planpropuesto, para minimizar las amenazas tanto externas como internas,a fin de proteger la información de valía para la EUPG–UNFV.
23
Gracias
“El único sistema seguro es aquél que está apagado en el
interior de un bloque de hormigón protegido en una
habitación sellada rodeada por guardias armados”
Gene Spafford