1

PROPONER UN DISEÑO DE SEGURIDAD LÓGICA, FÍSICA Y LEGAL;

BASADOS EN LA NORMA ISO27001 PARA LA EMPRESA FINE WOLD SAS

Cristhian Fernando Aroca Sanguino

Lorena Contreras Perrilla

Jhon Alexander López Naranjo

Fundación Universitaria Panamericana

Facultad de Ingeniería

Bogotá, Colombia

Noviembre de 2015

2

Proponer un diseño de seguridad lógica, seguridad física y seguridad legal, basados en

la norma ISO27001 para la empresa Fine Wold SAS

Cristhian Fernando Aroca Sanguino

Lorena Contreras Perrilla

Jhon Alexander López Naranjo

Proyecto de trabajo de grado presentado como requisito para optar al título de:

Ingeniería de Telecomunicaciones

Director (a):

Eduardo León Beltrán, M. Ing. Telecomunicaciones.

Línea de Investigación:

Red, Telemática y Telecomunicaciones

Grupo de Investigación en Ingeniería de Sistemas GIIS

Fundación Universitaria Panamericana

Facultad de Ingeniería

Ingeniería de Telecomunicaciones

Bogotá, Colombia

Noviembre de 2015

3

Página De Aceptación

Nota de aceptación

_________________________________________

_________________________________________

_________________________________________

_________________________________________

Presidente del jurado

________________________________________

Jurado

________________________________________

Jurado

________________________________________

Jurado

4

Dedicatoria

Dedicamos este trabajo de grado a nuestros padres quienes nos apoyaron en todo momento.

A nuestra familia que nos alentaron para continuar, cuando parecía que nos veníamos a

rendir. A los maestros de quienes nos enseñaron, aun sin importar que muchas veces no les

prestábamos atención en sus clases. Y a todos aquellos que depositaron su esperanza en

nosotros. Para ellos es dedicado este trabajo de grado, ya que a ellos debemos su apoyo

incondicional.

5

Agradecimientos

Le agradecemos a Dios por sabernos guiar y por acompañarnos en el transcurso de nuestra

carrera, por ser quien nos pudo dar la fortaleza necesaria en los momentos más débiles que

tuvimos, por brindarnos el poder de aprender, poder disfrutar de las experiencias vividas y la

felicidad que nos acompañó en el transcurso de este tiempo. También le agradecemos a

nuestros padres por brindarnos la oportunidad de recibir una buena educación en nuestra vida,

y sobre todo por ser nuestro ejemplo a seguir.

Declaración

Los autores certifican que el presente trabajo es de su autoría, para su elaboración se han

respetado las normas de citación tipo APA, de fuentes textuales y de parafraseo de la misma

forma que las citas de citas y se declara que ninguna copia textual supera las 400 palabras.

Por tanto, no se ha incurrido en ninguna forma de plagio, ni por similitud ni por identidad.

Los autores son responsables del contenido y de los juicios y opiniones emitidas.

Se autoriza a los interesados a consultar y reproducir parcialmente el contenido del trabajo

de investigación titulado Proponer un diseño de seguridad logia, seguridad física y seguridad

legal, basados en la normal ISO27001 para la empresa Fine Wold SAS, siempre que se haga

la respectiva cita bibliográfica que dé crédito al trabajo, sus autores y otros.

Investigadores:

Cristhian Fernando Aroca Sanguino

Lorena Contreras Perrilla

Jhon Alexander López Naranjo

6

Resumen

El presente proyecto tiene como objetivo proponer un diseño de seguridad lógica, seguridad

física y seguridad legal, basados en la norma ISO 27001, la cual permita mitigar los riesgos

y vulnerabilidades que afectan la infraestructura tecnológica en la empresa Fine World SAS.

En esta propuesta se evidenciará el diseño actual de la infraestructura tecnológica de Fine

World SAS donde se propondrá un diseño de seguridad informática a la medida de la

compañía, con el fin de mitigar las irregularidades presentadas en el pasado. También se

buscará brindar soluciones a los inconvenientes de seguridad en la información que se

presentan actualmente, con el fin de reducir el número de incidencias.

La seguridad lógica ayudara a establecer mecanismo que puedan monitorear el acceso a la

documentación de la compañía, estos mecanismos incluyen procedimientos de

administración de usuarios y perfiles y posibles infecciones a la red por algún tipo de software

malicioso.

La seguridad física idéntica aquellos limites que corresponden al cumplimiento de

parámetros de seguridad, con el fin de establecer control a los equipos (Salida y Entrada) y

acceso del personal a las oficinas

La seguridad Legal son todos aquellos requisitos que integran todos los temas de derecho de

autor que se deben cumplir para no caer en irregularidades legales.

7

Abstract

This project aims to propose a design of logical security, physical security and legal security,

based on ISO 27001, which may help mitigate the risks and vulnerabilities affecting

infrastructure technology company Fine World SAS.

In this proposal, the current design of the technological infrastructure of Fine World SAS

where computer design tailored to the company, in order to mitigate irregularities in the past

proposed security will emerge. Also it seeks to provide solutions to the security problems in

the information currently presented, in order to reduce the number of incidents.

Logical security help establish mechanism to monitor access to the company documentation,

these mechanisms include procedures for managing users and profiles and possible infections

to the network for some type of malicious software.

The seguridadfisica those same limits apply to compliance security settings, in order to

establish control teams (output and input) and staff access to the offices

Legal security requirements are those that integrate all copyright issues that must be met to

avoid falling into legal irregularities.

8

Palabras Claves

Public policy

Comunication System Control

IEEE Policy and Procedures

Computer security

Data security

Keywords

Public policy

Comunication System Control

IEEE Policy and Procedures

Computer security

9

Tabla de contenido

1. Justificación ............................................................................................................................... 12

2. Objetivos ................................................................................................................................... 13

3. Marco de referencia ................................................................................................................... 13

4. Método ...................................................................................................................................... 17

5. Consideraciones éticas .............................................................................................................. 18

6. Posibles riesgos y dificultades ................................................................................................... 19

7. Cronograma de actividades ....................................................................................................... 20

8. Análisis ...................................................................................................................................... 21

9. Diseño* ..................................................................................................................................... 24

9.1 Logico ......................................................................................................................................... 24

9.2 Fisico ........................................................................................................................................... 29

9.3 Legal ............................................................................................................................................ 31

10. Resultados y productos.......................................................................................................... 35

10.1 Impactos .................................................................................................................................... 36

10.2 Capacidad del equipo ................................................................................................................ 38

11. Presupuesto ........................................................................................................................... 39

11.1 Tabla de Presupuesto ................................................................................................................. 39

12. Recomendaciones .................................................................................................................. 40

13. Referencias ............................................................................................................................ 41

10

Introducción.

La seguridad informática se define como la disciplina que se ocupa de diseñar las normas,

procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro

y confiable. (Samsó, 2015) Y podemos llegar a determinar en forma de medidas, técnicas,

organizativas y legales de una organización, la cual brinda mitigar los riesgos, peligros y

vulnerabilidades que podamos presentar en el entorno laboral.

Para la elaboración de este proyecto de investigación contamos con el aval de Fine World

SAS, empresa encaminada en el sector del turismo especialista en conocimiento del mercado

en los países como Perú, Ecuador, Colombia y Asia.

Dadas las problemáticas de infraestructura tecnológica y seguridad informática presentadas

por la presente empresa, se determina como objetivo general proponer un diseño de

seguridad lógica, legal y física basado en la norma ISO 27001 el cual permita mitigar los

riesgos y vulnerabilidades que afectan la infraestructura tecnológica en la empresa Fine

World SAS, con el fin de mitigar los riesgos y vulnerabilidades de la empresa y llegar al

desarrollo de solventar una problemática existente y vigente que se evidencio mediante una

auditoria del sector legal y devengar el cómo beneficio la capacidad de velar por un

funcionamiento óptimo en las áreas de la seguridad lógica, física y legal de la compañía.

El diseño a presentar se determinara específicamente para la empresa solicitante, bazandonos

en una gran problemática existentes y poco determinadas en un estudio enfocado en el

presente fallo de seguridad buscando la garantía en la seguridad empresarial.

11

Bajo el estudio de las vulnerabilidades encontradas, nos enfocamos en la norma ISO 27001

presentada en el año 2005, y deriva un gran despliegue de metodologías encaminadas a la

seguridad informática, documentar sus procesos, y desarrollar un método en el que asegure

la información, el entorno de trabajo, asegurando la estabilidad económica y su manejo de la

información.

Llegando como resultado final a la adopción de medidas de seguridad en las que apoye a las

áreas repectivas conllevando a mejoras en las que se encamine al buen uso de la información

y de sus buenas practicas y al servicio que les puedan brindar, denegando sus funciones como

correspondes y determinado la legalizancion de todas las aplicaciones u servicios que la

empresa brinde o utilice con sus usuarios.

12

Planteamiento de la pregunta o problema de investigación

¿Cómo diseñar un modelo de seguridad lógica, legal y física basado en la norma ISO 27001,

que permita mitigar los riesgos y vulnerabilidades que afectan la infraestructura tecnológica

en la empresa Fine World SAS?

1. Justificación

Este proyecto tiene planteado como objetivo proponer un diseño de seguridad lógica,

seguridad física y seguridad legal, basados en la norma ISO 27001 para la línea de

investigación de la facultad de ingeniería de la presente entidad educativa como proyecto de

grado, la cual permita mitigar los riesgos y vulnerabilidades que afectan la infraestructura

tecnológica en la empresa Fine World SAS.

Nos basamos en la norma ISO 27001 emitida por la organización internacional de

normalización (ISO) emitida en el año 2005, la cual gestiona la seguridad de la información,

y nos ayudara a brindar mejores soluciones a la organización a la cual se le planteara el diseño

de seguridad, y mejo ración de la misma.

13

2. Objetivos

Objetivo general

Proponer un diseño de seguridad lógica, legal y física basado en la norma ISO 27001 el cual

permita mitigar los riesgos y vulnerabilidades que afectan la infraestructura tecnológica en

la empresa Fine World SAS.

Objetivos específicos

a) Ejecutar un levantamiento y análisis de información que permita entender y

dimensionar el modelo de infraestructura que tiene la empresa Fine World SAS.

b) Elaborar los planos de red (lógico - físico)

¿Cuáles son las vulnerabilidades lógicas, físicas y legales que tiene actualmente la empresa

Fine World?

3. Marco de referencia

Las políticas y los procedimientos de seguridad informática surgen como una herramienta

organizacional para concientizar a cada uno de los miembros de una organización sobre la

importancia y la sensibilidad de la información que favorecen el desarrollo y el buen

funcionamiento de la organización. Deben considerarse como reglas a cumplir que surgen

para evitar problemas y que se establecen para dar soporte a los mecanismos de seguridad

implementados en los sistemas y en las redes de comunicación [1]. En una empresa la

seguridad debe tener un procedimiento que defina por qué se debe proteger la información,

y la forma en la cual la empresa desea hacer la organización y el procedimiento para lograr

el debido proceso de la protección de la información.

14

En el mundo moderno la información es un bien que cada vez se respeta y se protege con

grandes esfuerzos, la cual tiene cinco partes: seguridad de las aplicaciones, seguridad de los

datos, seguridad física, seguridad de host y seguridad de red. En estas partes la seguridad de

host es la base esencial de este grupo de seguridad de la información. En las empresas la

seguridad de la información, es un pilar para que puedan sostener el buen manejo de sus

activos, por lo cual la importancia de tener presente la seguridad dentro y fuera de su empresa,

para poder evitar ataques de terceros, por lo cual el debido proceso de las políticas de

seguridad para poder asegurar de una forma adecuada. En los últimos años se ha visto el gran

cambio de los sistemas operativos el cual se hace más accesible y ha generado mayor

conocimiento y por esto puede generar amenazas de las personas. Se debe llevar un proceso

de identificación de las potenciales amenazas y prevenir sus fuentes de maliciosidad.

En la gestión de la seguridad se puede llevar un proceso como en la norma ISO 9001, que

realiza un debido proceso de documentación: sistemática y organizativa, para poder brindar

una calidad en la seguridad de la información. La implementación de un ciclo continuo

PDCA (planear, hacer, verificar y actuar), para así poder hacer evaluaciones constantes de la

seguridad de la información y poder llevar la documentación y en dado caso que se deba

hacer tomar medidas correctivas para así poder mitigar la amenaza detectada, y con un

proceso de mejora poder ayudar a que las políticas ya establecidas puedan cambiar para poder

proteger y tener mayor alcance según las necesidades que se presentan en el transcurso del

tiempo. Teniendo en cuenta la importancia de que los equipos tengan control sobre los

aplicativos que se instalen en ellos, y dar una inducción a los usuarios nuevos y

periódicamente a los demás usuarios, y por el departamento de Tecnología hacer

verificaciones periódicas, para así poder llevar un buen manejo y control de programas

15

maliciosos y de programas que necesiten licenciamiento y que no sean necesarios para

labores empresariales.

En esta tesis está diseñada para poder brindar una base que se pueda implementar en la

empresa Fine World S.A.S, está diseñada bajo los estándares y buenas practicas lo cual no

especifica la forma en la que se debe implementar los controles, solo se ponen en aclaración

los puntos más necesarios para la empresa y así dependiendo la necesidad se da el mejor

método para así hacer la inversión que desea hacer en los temas de seguridad. Esta tesis

también está pensada en el tiempo, dando así la capacidad de mejorar, incrementar y

continuidad de la empresa, para lo cual se da una metodología que del dinamismo necesario

de la empresa.

En esta tesis es el resultado de la investigación adelantada por un grupo de estudiantes de

Ingeniería de Telecomunicaciones, para proponer un diseño de seguridad lógica, física y

legal, basándose en la norma ISO 27001 para la empresa Fine World S.A.S, con base en el

establecer las políticas de seguridad de la información y su forma de ejecución, para poder

fortalecer el análisis de riesgos encontrados en el levantamiento de información y la mejor

forma de mitigar los riesgos vistos.

16

3.1 MARCO CONCEPTUAL

3.1.1 Política de seguridad: busca establecer reglas para la manipulación de la información.

3.1.2 Organización de la seguridad de la información: Esla forma de administrar la seguridad

dentro de la compañía, y mantener la seguridad de infraestructura de proceso de la

información y los activos que se dan a los terceros

3.1.3 Información: conjunto organizado de datos ya supervisados y ordenados, que sirven

para construir un mensaje basado en un cierto fenómeno o ente. La información permite

resolver problemas y tomar decisiones, ya que su aprovechamiento racional es la base del

conocimiento. Actualmente es considerada como un activo dentro de las compañías y que se

debe proteger, ya que es de gran importancia. [2]

3.1.4 Gestion de activos: proteger los activos de la información, control el acceso solo a las

personas que deben tener permiso para así poder acceder a la información.

3.1.5 Riesgo: Se define como cualquier impedimento, obstáculo, amenaza o problema que

pueda impedirle a la empresa que alcance un objetivo. Se puede ver también como la

posibilidad de sufrir un daño o pérdida. Se mide en términos de impacto y probabilidad de

ocurrencia. Adicionalmente, para el caso de las compañías de seguro, se puede definir como

el monto que están dispuestas a perder en caso se dé una catástrofe. [3]

3.1.6 Disponibilidad: poder tener acceso y utilización de la información y a los sistemas de

tratamiento de la misma por parte de individuos cuando lo requieran.

3.1.7 Confidencialidad: la forma en la que la información no es disponible ni se revela a

individuos no autorizados.

3.1.8 Activo: algo que tiene valor para la empresa.

3.1.9 Integridad: garantía y completitud de información y métodos de procesos.

17

4. Método

La metodología propuesta es realizar una Investigación Proyectiva ya que este tipo de

investigación nos permitirá proponer los cambios que la compañía requiere en su

infraestructura tecnológica, como menciona Jacqueline Hurtado de Barrera en el libro de

sexta edición el proyecto de investigación1 “Todas las investigaciones que implican el diseño

o creación de algo con base en un proceso investigativo, también entran esta categoría”.

Estos cambios van enfocados a:

La seguridad lógica garantizaremos que tanto los usuarios internos de la compañía tengan

acceso a la información que cada uno de ellos requiere. Esto consiste en aplicar barreras y

procedimientos que resguarden los accesos a los datos y que solo se permita hacer esto a los

usuarios autorizados, existe un dicho de la seguridad lógica “todo lo que no está permitido

debe estar prohibido” y esto es lo que debe a asegurar la seguridad lógica.

La seguridad física proponemos mecanismos que protejan la integridad de los recursos de

hardware (Acceso físico a las instalaciones, Desastres Naturales, Amenazas ocasionadas por

el hombre, resguardo de la información) de la compañía.

La seguridad legal encontraremos leyes colombianas que regulan todos los derechos de

autor, propiedad industrial, propiedad intelectual, comercio electrónico y firmas digitales.

El propósito de la Dirección General, Gerente General y la Jefe de Operación es salvaguardar

la compañía Fine World SAS a diversas anomalías que venían presentado en tecnología de

la información; por esta razón se propone recolectar información de cada uno de los usuarios

realizando una entrevista en la que cada usuario interno manifieste que tipo de anomalías

1 Jacqueline Hurtado de Barrera. (2010). El proyecto de investigación. Bogotá: Quirón.

18

conoce presentes en la compañía. Además de esto se requiere información donde la

infraestructura que tiene la compañía, planos y fotografías de las oficinas.

Luego de validar la recolección de información realizaremos un análisis con el fin de realizar

la propuesta que se le entregara a la compañía Fine World SAS.

En este último deberá indicarse el proceso a seguir en la recolección de la información, así

como en la organización, sistematización y análisis de los datos. Tenga en cuenta que el

diseño metodológico es la base para planificar todas las actividades que demanda el proyecto

y para determinar los recursos humanos y financieros requeridos.

5. Consideraciones éticas

Con un acuerdo de los principios establecidos en la empresa Fine World SAS, el proceso a

desarrollar es conforme a los siguientes criterios:

Explicar el conocimiento que se pretende producir se debe dar de una manera clara

y no podrá obtenerse por un medio no idóneo para dar a conocer.

La investigación se llevará a cabo cuando la autorización del presente documento

cuente con la aprobación de la institución.

Garantizar la confidencialidad de la información recogida.

Compromiso a no divulgar los datos de la empresa o de las personas encontrada.

Garantizar el respeto y el buen manejo a la información recogida.

Los investigadores se comprometen a explicar el resultado de la información y los

resultados a la persona encargada del aval del proyecto.

19

6. Posibles riesgos y dificultades

DESCRIPCION RIESGO INDICADORCRITERIO DE

ACEPTACION

Desviacion excesiva de las horas extras de los

integrandes del grupo costo personal≤50%

Errores significativos en los puntos clave del proyecto documentacion ≤30%

Mala comunicación entre los integrandes del proyecto retraso en el cronograma ≤20%

La ausencia prolongada o abandono de alguno de los

integrandes del grupo retraso en el cronograma ≤25%

Perdida de informacion del proyecto generacion de documentacion ≤10%

Baja calidad de los documentos a entregar retraso en la propuesta ≤5%

Poner atencion en aspecto segundarios del proyecto retraso en el cronograma ≤30%

Incumplimiento con lo planeado con el cliente retraso en el cronograma ≤3%

Lentitud en la toma de decisiones retraso en el cronograma ≤10%

Reestructuracion institucional comunicación con la empresa ≤20%

Cambio en las prioridades retraso en el cronograma ≤15%

Falla de servicios complementarios generacion de documentacion ≤10%

Accidente de uno de los integrantes retraso en el cronograma ≤20%

Ser superado por la copetencia en la evaluacion de la

propuesta Decisión del cliente ≤80%

-criterios de aceptación están sobre un 100% de aceptación.

20

7. Cronograma de actividades

DURACIÓN DE LA

EJECUCIÓN DEL

PROYECTO EN MESES

4 MESES

N° ACTIVIDAD SEMANA

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

1

Levantamiento de la

información de seguridad

lógica, legal y física

necesaria para diseñar el

documento de la

propuesta.

2

Organización de la

información de seguridad

lógica, legal y física,

necesaria para diseñar el

documento de la

propuesta.

3

Análisis de la

información de seguridad

lógica, legal y física,

recogida

4

Elaboración de la

propuesta que

presentaremos a Fine

World SAS

6

Presentación de la

propuesta a la empresa

Fine World SAS

7 Feedback hacia el grupo

del proyecto

21

8 Ajustes de la propuesta a

presentar

9 Entrega de la propuesta

8. Análisis

Para realizar el análisis de información que fue recogida en la compañía se utilizaron las

técnicas (Entrevista, encuesta, observación)

En la entrevista realizada a la Dirección General, Gerente General y Jefe de

Operación de Fine World SAS se concluyeron ciertos requisitos para realizar el

diseño de la propuesta de seguridad.

Con la encuesta nos dimos cuenta que los usuarios finales no se encuentran

satisfechos con los niveles de seguridad que maneja la compañía. Esta conclucion se

evidencia con la siguiente grafica:

Si No

Seguridad Fisica 28,57% 71,43%

Seguridad Logica 11,43% 88,57%

Seguridad Legal 14,29% 85,71%

28,57%

71,43%

11,43%

88,57%

14,29%

85,71%

0,00%10,00%20,00%30,00%40,00%50,00%60,00%70,00%80,00%90,00%

100,00%

SATISFACCION DE SEGURIDAD

22

Con la técnica de observación evidenciamos el estado actual de los recursos

informáticos con los que cuenta Fine World SAS.

Atraves de las técnicas de entrevista, encuesta y observación realizadas en el levantamiento

de información y en reunión previa con el sponsor de Fineworld SAS se validan los

requerimientos para los usuarios internos:

Asegurar que se utilicen los programas y documentos correctos por cada usuario.

Poder identificar cada usuario en la red.

Administración de Usuarios y acceso a la información interna de la compañía.

Control de acceso interno y puertas de seguridad.

Asegurar la información de la compañía

Validar si el cuarto del Rack cumple con los estándares normativos.

Despues de realizar el levantamiento de información lógico hemos evidenciado que solo hay

un canal de comunicación hacia internet, además de esto los usuarios finales tienen un único

perfil que utilizan en las estaciónes de trabajo; por otro lado es del alto riesgo tener en el

equipo de la recpcionista los documentos compartidos que maneja la compañía, ya que se

puede presentar manipulación de información; además se evidencia que el enrutamiento

interno de la red lan es estadico, esto muy te dioso para la configuración de una estación de

trabajo nueva ya que no se tiene ducumentada las direcciones ip que están utilizando los

equipos activos de la compañía. De esta manera presentamos el mapa lógico de la red y el

mapa físico de FineWorld SAS

23

Figura01 - Estado actual de la red.

Figura02 – Plano Físico

24

9. Diseño*

Después de realizar el análisis actual de la seguridad lógica, física y legal de la compañía

Fineworld SAS y viendo los requerimientos que tiene el sponsor hemos realiza un nuevo

diseño.

9.1 Logico

El diseño logico esta basado en los conocimeitos adquiridos durante los estudios en la

universidad Panamericana y también apoyados en el cuadrante Mágico de Gartner2; El

Cuadrante Mágico proporciona un posicionamiento competitivo gráfico de cuatro tipos de

proveedores de tecnología, en los mercados donde el crecimiento es alto y el proveedor de

diferenciación es clara:

Lideres (Leaders): ejecutan bien en contra de su visión actual y están en buena

posición para mañana.

Visionarios (Visionaries) entienden para dónde va el mercado o tienen una visión

para el cambio de las reglas del mercado, pero aún no se ejecute bien.

Nuevos (Niche Players) enfocan con éxito en un pequeño segmento, o están fuera de

foco y no fuera a innovar oa otros superan.

Rivales (Challengers) ejecutan bien hoy o pueden dominar un segmento grande, pero

no demuestran una comprensión de la dirección del mercado.

2 Es una representación gráfica de la situación del mercado de un producto tecnológico en un momento determinado.

25

Figura04 - Cuadrante Mágico de Gartner.

Es de anotar que Gartner no respalda a ningún proveedor, producto o servicio representado

en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología a elegir sólo

a aquellos proveedores con las más altas calificaciones o cualquier otra designación. Las

publicaciones de investigación de Gartner consisten en las opiniones de la organización de

investigación de Gartner y no debe interpretarse como declaraciones de hecho.

Basados en lo anterior mesionado buscamos el Cuadrante Magico de Gartner un fabricante

de Firewall, ya que un Firewall ayuda a impedir que software o hackers tengan acceso a los

equipos de la compañía atraves de internet. Un firewall crea una barrera entre la LAN e

Internet, igual que la barrera física que constituiría una pared de ladrillos.

26

Figura05 - Cuadrante de Magico de Gartner Firewall

Por esta razon consideramos que Fineworld SAS debe adquirir un firewall del fabricante

fortinet en su modelo 60C ya que este disposito se integra para las pymes y brinda una

protección de clase empresarial.

Figura06 – Fortinet 60C

Ademas de obtener un firewall, también es importante tener dos servidores ya que la esencia

de los servidores es guardar los datos de los trabajadores, controlar los equipos conectados a

la red, la creación de usuarios para la empresa para una mejor gestión de carpetas compartidas

27

y permisos. También nos servirá para albergar los diferentes programas corporativos que

utilicemos, para facturar, etc.

Apoyados en la experiencia que tenemos en el ámbito tecnológico y en el Cuadrante Magico

de Gartner nos damos cuenta que Microsoft es un gran líder en virtualización de

infraestructura, además de esto es una empresa pionera en inovacion y desarrollo de software;

también tuvimos encuenta el estudio del Cuadrante Magico de Gartner sobre servidores

Figura07 – Virtualizacion de Infraestructura Figura08 – Servidores Modulares

28

El primer servidor que proponemos es con el fin que allí se aloje el Directorio Activo, DNS,

DHCP y el File Server, este servidor puede tener las siguientes características:

Modelo: HP ProLiant DL360p Gen8

Procesador :

Intel Xeon E5-2630v2 6-Core (2.60GHz

15MB)

E5-2420v2 80W 2.2GHz/1600MHz/15MB

Memoria RAM: 8 GB

Discos Duros: 2 x 2TB

Ethernet: 4 Port

Fuente Redundante Si

Sistema Operativo

Windows Server Standard 2012 R2 + 5

Calc

El segundo servidor que proponemos es con el fin que allí se alojen las maquinas virtuales

como son el programa Helisa, Print Server, CJLTIME (Control de tiempo), SIV (sistema

integral de ventas), este servidor puede tener las siguientes características:

Modelo: HP ProLiant DL360p Gen8

Procesador :

Intel Xeon E5-2630v2 6-Core (2.60GHz

15MB)

E5-2420v2 80W 2.2GHz/1600MHz/15MB

Memoria RAM: 24 GB

Discos Duros: 2 x 2TB

Ethernet: 4 Port

Fuente Redundante Si

Sistema Operativo

Windows Server Standard 2012 R2 + 5

Calc

Desde luego también se suguiere cambiar el switch por un Switch HP 2620-48 ya que este

proporciona funciones básicas de Capa 3. Esto mejora la velocidad de comunicación local

entre los usuarios y servicios solicitados; además de esto se sugiere poner un Access point

Cisco WAP441 para que usuarios que tengan acceso a la red atraves de Wi-Fi; asimismo se

29

aconceja la compra de una impresora multi-funcional Samsung 6555NX ya que esta nos

ayudaraa escáner, copiar e imprimir con facilidad y velocidad, por ultimo y mas importante

se sugiere tener de un canal de internet de dedicado3 de 8 megabyte y canal ADSL4 de 8

megabyte de backup, esto con el fin de tener redundacia en la conexión hacia internet.

De esta manera presentamos el diseño de mapa lógico que quedaria

Figura09 - Diseño Logico.

9.2 Fisico

Según la norma ISO 2700 el objetivo de la seguridad física es Evitar el acceso físico no

autorizado, daños o intromisiones en las instalaciones y a la información de la organización.

Espero que proponemos velar por la seguridad de los empleados y los elementos que se

3 Conexión directa desde tu empresa hacia internet 4 Línea de abonado digital asimétrica

30

encuentran en Fineworld SAS, por esta razon y validando la norma ISO27000 hemos

encontrado que una buena practica tener un CCTV5 en las instalaciones acompañado de

biometricos6 que impidan el paso a ciertos lados de las oficinas, por esta razon presentamos

el siguiente plano donde puede observar donde irían las cámaras y los biométricos.

Figura09 - Diseño Fisico.

Tambien proponemos remodelar el sitio donde se encuentra el baño ya que este seriviria

como cuarto de comunicaciones donde se alojaría todo el sistema de comunicaciones de la

compañía, esto con el fin de blindar el acceso a estos dispositivos ya que no todos deben tener

acceso.

5 Circuito cerrado de televisión 6 Reconocimiento de huellas dactilares

31

9.3 Legal

Simpre que se crea una empresa esta en la obligación de cumplir con todas las leyes, normas,

drecretos, etc., que sean aplicables en el desarrollo de la actividad por la que fue creada. Lo

que se refiere específicamente a Seguridad de la Información, estas son las Leyes vigentes al

día de hoy.

Derechos de Autor

Decisión 351 de la C.A.N.

Ley 23 de 1982

Decreto 1360 de 1989

Ley 44 de 1993

Decreto 460 de 1995

Decreto 162 de 1996

Ley 545 de 1999

Ley 565 de 2000

Ley 603 de 2000

Ley 719 de 2001

Propiedad Industrial

Decisión 486 de la C.A.N.

Decreto 2591 de 2000

Ley 463 de 1998

32

Ley 170 de 1994

Ley 178 de 1994

Propiedad Intelectual

Decisión 345 de la C.A.N.

Decisión 391 de la C.A.N.

Decisión 523 de la C.A.N.

Comercio Electrónico y Firmas Digitales

Ley 527 de 1999

Decreto 1747 de 2000

Resolución 26930 de 2000

Ley 603 De 2000

Esta ley se refiere a la protección de los derechos de autor en Colombia. Recuerde: el software

es un activo, además está protegido por el Derecho de Autor y la Ley 603 de 2000 obliga a

las empresas a declarar si los problemas de software son o no legales.

Ley Estatutaria 1266 Del 31 De Diciembre De 2008

Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la

información contenida en bases de datos personales, en especial la financiera, crediticia,

comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.

33

Ley 1273 Del 5 De Enero De 2009

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -

denominado “de la protección de la información y de los datos”- y se preservan integralmente

los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras

disposiciones.

Ley 1341 Del 30 De julio De 2009

Por la cual se definen los principios y conceptos sobre la sociedad de la información y la

organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la

Agencia Nacional del Espectro y se dictan otras disposiciones.

Ley Estatutaria 1581 De 2012

Entró en vigencia la Ley 1581 del 17 de octubre 2012 de PROTECCIÓN DE DATOS

PERSONALES, sancionada siguiendo los lineamientos establecidos por el Congreso de la

República y la Sentencia C-748 de 2011 de la Corte Constitucional.

Como resultado de la sanción de la anunciada ley toda entidad pública o privada, cuenta con

un plazo de seis meses para crear sus propias políticas internas de manejo de datos personales,

establecer procedimientos adecuados para la atención de peticiones, quejas y reclamos, así

como ajustar todos los procesos, contratos y autorizaciones a las disposiciones de la nueva

norma.

34

Aspectos claves de la normatividad:

Cualquier ciudadano tendrá la posibilidad de acceder a su información personal y

solicitar la supresión o corrección de la misma frente a toda base de datos en que se

encuentre registrado.

Establece los principios que deben ser obligatoriamente observados por quienes

hagan uso, de alguna manera realicen el tratamiento o mantengan una base de datos

con información personal, cualquiera que sea su finalidad.

Aclara la diferencia entre clases de datos personales construyendo las bases para la

instauración de los diversos grados de protección que deben presentar si son públicos

o privados, así como las finalidades permitidas para su utilización.

Crea una especial protección a los datos de menores de edad.

Establece los lineamientos para la cesión de datos entre entidades y los procesos de

importación y exportación de información personal que se realicen en adelante.

Define las obligaciones y responsabilidades que empresas de servicios tercerizados

tales como Call y Contact Center, entidades de cobranza y, en general, todos aquellos

que manejen datos personales por cuenta de un tercero, deben cumplir en adelante.

Asigna la vigilancia y control de las bases de datos personales a la ya creada

Superintendencia Delegada para la Protección de Datos Personales, de la

Superintendencia de Industria y Comercio.

Crea el Registro Nacional de Bases de Datos.

Establece una serie de sanciones de carácter personal e institucional dirigidas a

entidades y funcionarios responsables del cumplimiento de sus lineamientos.

35

Decreto 1377 De 2013

Protección de Datos, decreto por el cual se reglamenta parcialmente la Ley 1581 de 2012.

10. Resultados y productos

Los resultados que se espera que tenga Fineworld SAS con la implementación de este diseño

son:

Seguridad Logica: con este diseño se prentende solventar todas las necesidades de

prevencion e impedimento a accesos, sitios o documentos no autorizados por la

compañía, además proteger a cada unos de los colaboradores a riesgos informáticos

como virus, gusanos, fishing, malware entre otros.

Seguridad Fisica: Minimizar el riesgo al ingreso a las oficinas de personal no

autorizado, además monitoriar los posibles daños físicos que el personal interno

pueda causar a los insumos suminitrados por la compañía.

Seguridad Legal: dando a conocer las leyes, estautos y normar que rigen en el país se

espera que no las infranjan ya que esto tiene consecuencias que podrían llevar a que

el representante legal valla a la cárcel o le impogan una sanción monetaria a la

compañía.

36

10.1 Impactos

Impacto esperado Plazo (años)* Indicador

(verificable)

Supuestos**

Adoptar medidas de

seguridad y mejoras,

para la compañía.

2 año Funcionamiento

estable de la empresa

Vereficacion de

entidades legales

colombianas

Generar un modelo

de seguridad en las

capacidades de la

gestión de la

tecnología.

1 año Adaptacion de los

empleados a los

nuevos procesos a

desarrollar

Decisión de la

gerencia para la

aceptación y la

puesta en practica de

la los concejos

dados.

Mejorar las labores

y la manipulación de

los medios

tecnologicos

1 año Seguridad de

infrainstructura

Los usuarios tengan

en cuenta lo

esablecido en el

documento

Evaluación de los

posibles riesgos

1 año Seguridad La empresa realizara

una evaluación de

los riestos y un

análisis de un

posible daño en

acceso,

37

manipulación,

modificación,

destrucción de la

información que no

ha sido autorizada.

Denegacion de

servicios

1 año Seguridad Prohibición de

ingreso a paginas o

recursos no

autorizados.

Legalización de las

aplicaciones

1 año Legal La empresa

comprara licencias

paralos aplicativos

que tiene, y para los

que adquieran en el

futuro.

* Después de finalizado el proyecto, corto (1-4), mediano (5-9), largo (10-más)

** Los supuestos indican los acontecimientos, las condiciones o las decisiones, necesarios

para que se logre el impacto esperado.

38

10.2 Capacidad del equipo

Con esta sección se pretende establecer la capacidad del equipo que integra el proyecto y sus

perfiles que aportarán en el logro de los objetivos de proyecto.

Rol Nombres Apellidos Funciones Dedicación

Monitor

Evaluativo

(ME)

Cristhian Fernando Aroca

Sanguino

Estretega, percibir todas las

opciones 5*12*120

Coordinador

(CO) Lorena Contreras Perrilla

Aclarar metas, promover toma

de decisiones 5*12*120

Project

Manager (PM)

Jhon Alexander López

Naranjo

Crear, investigar, resolucion de

problemas, Planeacion,

Verificacion y Analazis

5*12*120

39

11. Presupuesto

El presupuesto corresponde a la identificación de cada uno de los recursos y costos que se

requieren para el desarrollo del proyecto. Para tal efecto se propone la tabla de presupuesto

que se presenta a continuación.

11.1 Tabla de Presupuesto

Descripción Cantidad Costo unitario USD Total USD

Server de Dominio 1 2.000,00$ 2.000,00$

Servidor de Virtualizacion 1 4.000,00$ 4.000,00$

Switch HP 2620-48-PoE 1 1.500,00$ 1.500,00$

Foritinet 60 C 1 2.000,00$ 2.000,00$

Impresora Multifuncional Samsung

6555NX 11.500,00$ 1.500,00$

Rack 1.50 Mts 1 970,00$ 970,00$

-$

11.970,00$

Sub Total Col 35.910,00$

Office 365 - Grupo Investigacion 3 50,00$ 150,00$

Windows Server Data Center R2 -

Fine World1 5.000,00$ 5.000,00$

Windows Server Standard R2 - Fine

World1 730,00$ 730,00$

IFX - 8 Mb - Fine World 12 420,00$ 5.040,00$

ETB - 8 Mb - Fine World 12 380,00$ 4.560,00$

Varios - Grupo de Investigacion 4 100,00$ 400,00$

-$

15.880,00$

Sub Total Col 47.640.000,00$

Ing Jhon Lopez 4 670,00$ 2.680,00$

Ing Lorena Contreras 4 433,00$ 1.732,00$

Ing Crostian Aroca 4 330,00$ 1.320,00$

-$

5.732,00$

17.196.000,00$

33.582,00$

Temp Capex 27.850,00$

Temp Capex-Col 83.550.000,00$

Imprevistos 10% 2.785,00$

Imprevistos-Col 8.355.000,00$

Capex 30.635,00$

TRM 3.000$ Capex-Col 91.905.000,00$

Total

Honorarios a Terceros

Sub Total

Sub Total Col

FINE WORLD SAS

Hardware

Software

Sub Total

Sub Total

40

12. Recomendaciones

La recomendación para un diseño, inplanta e implementar de forma adecuada el SGSI, de

debe hacer una buena utilización de las buenas practicas e estantades que se acepten, no

necesariamente se debe aplicar lo dicho en este documento, ya que existen muchas formas y

herramientas para la implementación de ISO27001. Se debe guiar por un estándar y un

manual de buenas practicas, pero se debe tener en cuenta que dependiendo la necesidad de la

empresa.

Se recomienda que el diseño de ISO27001 para una empresa sin importal el tamaño, ya que

lo importante es la protección de los activos mas importantes para la empresa, y poder

mantenerlos lejos de ataques de intrusos, y poder contar con un plan de mejoramiento

continuo en los diferentes proces.

41

13. Referencias

[1] Calidad y seguridad de la información y auditoría informática, disponible en

internet en:

http://earchivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jsessi

onid=10850A53006DB846CED4EDCEDEDE1C40?sequence=1

[2] O'Brien, J. A., & Marakas, G. M. (2006). Sistemas de información gerencial:

manejo de la tecnología de información en la empresa interconectada en red/.

Mexico:. McGraw-Hill,. 18-septiembre-2015

[3] INTERNATIONAL STANDARD ISO/IEC 17799:2005 ,Iso-Iec 17799 2005.pdf,

2005 14-septiembre-2015

Freeman, E. H. (2007). Holistic information security: ISO 27001 and due

care.Information Systems Security, 16(5), 291-294.31-agosto-2015

Neubauer, T., Ekelhart, A., & Fenz, S. (2008, January). Interactive selection of ISO

27001 controls under multiple objectives. In Proceedings of The Ifip Tc 11 23rd

International Information Security Conference (pp. 477-492). Springer US.

Jacqueline Hurtado de Barrera. (2010). El proyecto de investigacion. Bogotá: Quirón.

Mieres, J. (2009). Ataques informáticos. Debilidades de seguridad comúnmente

explotadas. 24-junio-2015, de Recuperado Sitio web:

http://proton.ucting.udg.mx/tutorial/hackers/hacking.pdf 18-agosto-2015

42

López, P. A. (2010). Seguridad informática. 20-junio-2015, de Editex Sitio web:

https://books.google.es/books?hl=es&lr=&id=Mgvm3AYIT64C&oi=fnd&pg=PA1

&dq=POLITICAS+DE+SEGURIDAD+INFORMATICA+&ots=PpmoQEBCT-

&sig=zpd_7LUg2tO26LyURBR-

dJSFwd8#v=onepage&q=POLITICAS%20DE%20SEGURIDAD%20INFORMATI

CA&f=false 18-junio-2015

Bertolín, J. A. (2008). Seguridad de la información. Redes, informática y sistemas de

información. . Junio de 2015, de Paraninfo Sitio web:

https://books.google.es/books?hl=es&lr=&id=_z2GcBD3deYC&oi=fnd&pg=PP1&

dq=POLITICAS+DE+SEGURIDAD+INFORMATICA+&ots=wrknvICUPi&sig=

KmctSxp5HUu8ZjtgHadSzqcpUrs#v=onepage&q=POLITICAS%20DE%20SEGU

RIDAD%20INFORMATICA&f=false 18-junio-2015

VERGEL TRIGOS, M. O. N. I. C. A., & SEPULVEDA ARENAS, A. D. (2015).

DISEÑO DE UN MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA

APLICANDO LA NORMA ISO 27002 PARA LA ALCALDÍA DEL MUNICIPIO

DE LA PLAYA DE BELEN, NORTE DE SANTANDER. 23-junio-2015, de

Doctoral dissertation Sitio web:

http://repositorio.ufpso.edu.co:8080/dspaceufpso/handle/123456789/573 14-junio-

2015

43

Susanto12, H., Almunawar, MN, y Tuan, YC . (2012). Desafío información de

seguridad y las infracciones:. Enfoque novedoso en la medición de la norma ISO

27001 nivel de preparación. 26-junio-2015, de Revista Internacional de Ingeniería y

Tecnología Sitio web: http://www.iet-

journals.org/archive/2012/jan_vol_2_no_1/36585913256483.pdf