plan de seguridad informática en la escuela universitaria de post grado de la unfv

2

Agenda

• Introducción • Marco teórico• Descripción de la metodología• Plan de seguridad informática• Resultados • Conclusiones• Recomendaciones

Plan de Seguridad Informática

3

Introducción

El crecimiento tecnológico implica grandebilidad de los sistemas informáticos, al volversemás complejos, apareciendo más elementosvulnerables referente a la seguridad de lainformación; lo que conlleva a la necesidad deuna adecuada implementación de un plan deseguridad informática que permita a la instituciónproteger en forma correcta y oportuna suinformación.

En esta perspectiva, la Escuela dePostgrado de la Universidad Nacional FedericoVillarreal, ha ido creciendo a través del tiempodisponiendo de recursos informáticos, una redlocal, acceso a internet, por lo tanto, suinformación no deja de ser ajena a las amenazasinformáticas tanto externas como internas; he ahíla importancia y trascendencia del estudio quemotiva la presente tesis.

4

Objetivos

El objetivo general de la investigación es probar la eficiencia de un plan deseguridad informática propuesto para la EUPG-UNFV, la misma se logrará conlos siguientes objetivos específicos:

• Hacer el diagnóstico del sistema de seguridad informática actual.• Elaborar un plan de seguridad informática sobre la base del

diagnóstico de la situación actual.• Probar la eficiencia del plan de seguridad informática propuesto.


5

Ribagorda M. (1994), “la informática es una

herramienta que implica riesgos cada vez más

crecientes, a veces mal conocidos y poco

combatidos”.

Marcelo J. (1999), considera que la “seguridad informática es un

proceso continuo, no un

producto”.

Joyanes L. (1997), “el impacto social de las

tecnologías de la información y de la

sociedad informatizada, es vulnerable”.

Marco teórico

Es conjunto de sistemas, procedimientos,métodos y herramientas destinados a protegerla información.

6

Confidencialidad

Se refiere que a loscomponentes del sistema,serán accedidos sólo poraquellos usuariosautorizados.

Integridad

Los componentes delsistema sólo pueden sercreados y modificados porlos usuarios autorizados.

Disponibilidad

Los usuarios deben tenerdisponibles todos loscomponentes del sistemacuando así lo deseen.

Lardent A. (2001), manifiesta que el objetivo de la seguridad informática “esmantener la confidencialidad, integridad y la disponibilidad de la información”.

Propiedades de la seguridad informática


7

Externas

Internas

Las amenazas informáticas

InterceptaciónOcurre cuando una persona noautorizada accede a una partedel sistema haciendo uso deprivilegios no adquiridos.

Copias ilícitas de programas.Escucha en línea de datos.

ModificaciónTrata de cambiar en todo o enparte el funcionamiento delsistema, con la finalidad deobtener beneficios personales.

Modificación de base de datos.Modificación de elementos delhardware.

InterrupciónSe considera como temporal opermanente, lo cual puedeocasionar un daño, pérdida odeja de funcionar un punto delsistema.

Destrucción del hardware.Borrado de programas, datos.Fallas en el sistema operativo.

GeneraciónSe refiere a la creación denuevos objetos dentro delsistema.

Añadir transacciones en red.Añadir registros en base dedatos.

8

DSI

Hardware

Software

DatosMemoria

Usuarios

Debilidades de los sistemas informáticos (DSI)


9

ISO 27001 / ISO 17799:

2005

Política de seguridad

Organización de la

Seguridad de la Información

Gestión de Activos

Seguridad de los recursos

humanos

Seguridad física y

medioambiental

Gestión de las telecomunicaci

ones y operaciones

Control de accesos a los

datos

Adquisición, desarrollo y

mantenimiento de los

sistemas de Información

Gestión de Incidencias

Gestión de la continuidad de

las operaciones

de la empresa

Conformidad

Estándar de seguridad informática

10

Descripción de la metodología del desarrollo

PROBLEMA OBJETIVOS HIPÓTESIS VARIABLES TIPO DE ESTUDIO

DISEÑO RESULTADOS

No existesistema deseguridadinformática en laEUPG-UNFV.

Objetivo principal

Probar la eficiencia de unplan de seguridadinformática propuesto enla EUPG-UNFV.

Objetivos específicos

Hacer el diagnóstico delsistema de seguridadinformática actual de laEUPG-UNFV

Elaborar un plan deseguridad informáticasobre la base dediagnóstico de lasituación actual.

Probar la eficiencia delplan propuesto.

l

Se logrará mejorarla seguridadinformática en laEUPG-UNFV,mediante laformulaciónadecuada de unplan de seguridadinformática.

Variable independiente

Plan de seguridad informática propuesto.

Variable dependiente

Seguridad informática

Descriptiva comparativa

Porque losresultados deuna primerafase, seráncomparadoscon losresultados deuna segundafase

Transversal

Recolectaremoslos datos en unmomento dadopor única vez.

No Experimental

Porque implica laobservación delas situaciones ensu condiciónnatural sinintervención delosinvestigadores.

Se realizó eldiagnóstico de laseguridad informáticaactual en la EUPG-UNFV

Se elaboró un planseguridad informáticapara EUPG-UNFV

Se probó la eficienciadel plan de seguridadinformática elaborado


El que nunca nada hace

nunca se equivoca.Anónimo

11

Análisis del sistema de seguridad

informática actual

• Generación de las encuestas• Análisis de fuentes de datos yrecopilación de información.

• Recolección de documentosreferente a la seguridad informática.

• Reconocimiento del ambiente detrabajo

• Identificación de los factores deriesgo

Formulación del plan de seguridad

informática• En base a los resultados del análisis• ISO 27001/17799:2005• NTP:17799:2007 Código de buenasprácticas para la gestión de laseguridad informática

• El plan consiste en 7 factores

Prueba de la eficiencia del plan

propuesto

• Generación de unaencuesta acerca laeficiencia del planpropuesto

Desarrollo del plan de seguridad informática en la EUPG-UNFV


Plan de seguridad informática propuesto en la EUPG-UNFV

Seguridad lógica

Seguridad en las comunicaciones

Seguridad en las aplicaciones

Seguridad física

Administración del centro de procesamiento de datos

Auditorías y revisiones

Plan de contingencia

Identificación de usuarios

Autenticación

Gestión del password

Segregación de funciones

Topología de la red

Conexiones externas

Configuración lógica de la red

Correoelectrónico

Antivirus

Ataques de la red

Firewall

Software

Seguridad de la base de datos

Control deaplicaciones en lascomputadoras

Control de datos enlas aplicaciones

Ciclo de vida de las aplicaciones

Equipamiento

Control de acceso físico al área de informática

Control de acceso a equipos

Dispositivos de soporte

Estructura del edificio

Cableado estructurado

Administracióndel área deinformática

Capacitación

Backup

Documentación

Revisión del sistema

Responsabilidades de los encargados de seguridad

Auditoría de control de acceso a los sistemas

Auditoría de redes

Plan de administración de incidentes

Backup de equipamiento

Estrategias de recuperación de desastres

Consiste en

Agrupa los siguientes aspectos







Plan de seguridad informática propuesto

12

13


En primer lugar se presentan, los resultados del diagnóstico delsistema de seguridad informática que existía antes de formularel plan de seguridad.

En segundo lugar se presentan los resultados estadísticos queprueban la eficiencia del plan propuesto, finalmente se presentala contrastación de la hipótesis planteada

Resultados de la investigación

14

Diagnóstico de la seguridad informática antes de la formulación del plan

El etapa diagnóstico implica una exploración sobre cuánto conocen losempleados en la EUPG-UNFV, acerca de los temas relacionados con lossistemas de información que se emplean con mayor frecuencia, y al riesgo quepuedan estar expuestos cuando no están protegidas apropiadamente.


15

ResultadosRespuestas

Muy Mala Mala Regular Buena Excelente

6,0 45,0 34,0 10,0 5,0

En el cuadro, apreciamos que sólo el 15 % de los usuarios considera que la seguridadinformática en la EUPG–UNFV es buena y excelente, la tercera parte de ellos cree que laseguridad actual es regular y, más de la mitad cree que es mala y muy mala.

Producto de la evaluación de la seguridad informática actual, se desarrolló la media aritméticade los resultados obtenidos por factores, de tal modo, los resultados globales muestran unatendencia similar a las evaluadas por factores.

Promedio global de los resultados por factores, de la seguridad informática actual

16

Análisis de la eficiencia del plan de seguridad informática propuesto

Una vez elaborado el plan de seguridadinformática con las previsiones teóricas y previoanálisis exhaustivo es preciso probar elfuncionamiento de este plan; para ellorecurrimos a una prueba de eficiencia del planpropuesto, desde el punto de vista de lasopiniones de los expertos en informática quienesestán involucrados directa e indirectamente demanera permanente con los sistemas deinformación.

17

ResultadosExcelente Buena Regular Mala Muy Mala

31,06 55,33 12,20 1,00 1.00

Promedio global de los resultados por factores, del plan propuesto

Los resultados obtenidos por cada factor del plan de seguridad informática propuesto, soncontundentes y se relacionan con los resultados globales. El 86.40 % considera que el plan, deaplicarse, estaría considerado entre bueno y excelente, el 12,20 % de los usuarios considera queel plan sería regular si se aplicase, y sólo 2.00 % considera que el plan sería desfavorable.

Con la metodología similar a la de anterior, se desarrolló la media aritmética de los resultadosobtenidos por factores, lo que, implica conocer la eficiencia del plan, en opinión de losusuarios expertos en informática.

18

Prueba de la eficiencia del plan de seguridad informática propuesto

Se compara los resultados obtenidos sobre la percepción de los usuarios respecto a laprotección o plan de seguridad informática en la EUPG–UNFV. (Antes de la implementacióndel plan) al que hemos denominado diagnóstico, con los resultados de la percepción despuésde la formulación del plan, a esto último lo denominamos eficiencia probada del planpropuesto.

Para demostrar la eficiencia del plan propuesto es necesario contrastar la hipótesisplanteada, a continuación presentamos la demostración de la misma.


19

Prueba de la eficiencia del plan de seguridad informática propuesto – Contrastación de la hipótesis

Momento evaluación

Respuestas Total

Muy mala Mala Regular Bueno Excelente

Antes Recuento6 45 34 10 5 100

Frecuencia esperada3,5 23 23 32,5 18 100

Residuo2,5 22 11 -22,5 -13

Residuos tipificados1,3 4,6 2,3 -3,9 -3,1

Después Recuento1 1 12 55 31 100

Frecuencia esperada3,5 23 23 32,5 18 100

Residuo-2,5 -22 -11 22,5 13

Residuos tipificados-1,3 -4,6 -2,3 3,9 3,1

Total Recuento7 46 46 65 36 200

Frecuencia Esperado 7 46 46 65 36 200

Con los resultados de los residuos tipificados, tenemos: Las respuestas respecto a la protección con quecuenta la información de la EUPG–UNFV en la fase de diagnóstico, se encuentran entre regular, mala ymuy mala (2.3, 4.6 y 1.3) respectivamente; en cambio; las respuestas sobre la formulación del plan deseguridad informática propuesto se encuentra entre bueno y excelente (3.9 y 3.1) respectivamente. Demanera visual estos resultados apreciamos también en el siguiente gráfico,

En el siguiente cuadro presentamos las respuestas en porcentajes de los usuarios antes de laformulación del plan versos. Las respuestas después de la prueba de la eficiencia del planpropuesto.

20

Eficiencia del plan de seguridad informática propuesto

-

10

20

30

40

50

60

Antes Despues

6%

1%

45%

1%

34%

12% 10%

55%

5%

31%

Rec

uent

o

Momento de Evaluación

Muy mala

Mala

Regular

Bueno

Excelente

21

Conclusiones

Luego de recopilar,analizar, contrastar lainformación, en esteestudio se llegó a lassiguientes conclusiones

Luego de recopilar, analizar, contrastar la información, en este estudio se llegó a las siguientes conclusiones:

Sin la aplicación del plan de seguridad informática, sedemostró que el estado actual de la seguridadinformática en la EUPG–UNFV, es deficiente para lasnecesidades del complejo de información que maneja.

Luego de someter el plan propuesto al juicio de losexpertos en informática de la EUPG-UNFV, se apreciauna mejora sustancial en la seguridad informática

La mejora en la percepción de la seguridad informática,demuestra la eficiencia del plan propuesto en la EUPG-UNFV

22

Recomendaciones

Muchas de las amenazas informáticas, están relacionadas por factoresexternas e internas, por otro lado derivan por el mal uso de lastecnologías de la información, por lo que se sugiere realizar campañasde capacitación a todo el personal, las mismas que tendrían que estarorientadas bajo los conceptos básicos de seguridad y a gruposespecíficos con temas correspondientes a sus responsabilidades.

Sería interesante realizar un análisis del costo y tiempo comoconsecuencias de la falta de prevención de los sistemas deinformación, esto puede concientizar a la institución a analizar laprobabilidad de que ocurran ciertos sucesos, para lo cual, la altagerencia debe determinar las consecuencias que traería el costo yproductividad por la pérdida de información, clientes, confianza de losusuarios y costos asociados con las soluciones de seguridadinformática.

Finalmente se recomienda considerar las sugerencias en el planpropuesto, para minimizar las amenazas tanto externas como internas,a fin de proteger la información de valía para la EUPG–UNFV.

23

Gracias

“El único sistema seguro es aquél que está apagado en el

interior de un bloque de hormigón protegido en una

habitación sellada rodeada por guardias armados”

Gene Spafford

plan de seguridad informática en la escuela universitaria de post grado de la unfv

Documents