Post on 01-Feb-2018
UNIVERSIDAD NACIONAL DE INGENIERÍA
FACULTAD DE CIENCIAS Y SISTEMAS
Protocolo Monográfico para Optar al Título de
Ingeniero de Sistemas
TEMA:
Implementación de un Sistema de Gestión de seguridad de la Información,
basado en la norma NTC-ISO/IEC 27001 en el Recinto Universitario Augusto C.
Sandino de la Universidad Nacional de Ingeniería.
AUTOR:
Br. Omar Ibrahim Alvarado
Rodríguez
Br. Luis Arturo Salgado García
2013 – 0404N
2013 – 0089N
TUTOR:
Ing. José Manuel Poveda Ruiz
Managua, diciembre del 2016
Introducción.
El Recinto Universitario Augusto C. Sandino (RUACS), es un programa
académico descentralizado de la Universidad Nacional de Ingeniería que forma
profesionales de excelencia, desarrolla programas y proyectos académicos en
docencia, investigación, extensión y producción, flexibles y pertinentes, con el
propósito de ampliar oportunidades para los sectores sociales menos
favorecidos y convertirse en un referente en la formación profesional de la
Región del Norte del país.
Desde su fundación, este recinto ha creciendo constantemente, y por ende ha
aumentado la información valiosa que se recoge, gestiona y trasmite a través
de diferentes medios, necesitando protección para asegurar la integridad,
confidencialidad y disponibilidad de la información.
No obstante, lo que ha hecho es ir parchando los agujeros de seguridad con
medidas puntuales, descoordinadas y poco proporcionadas al riesgo que
reducen. Algunos de estos riesgos son: Perdida de información, redundancia y
entropía de los datos, suplantación de identidad, deterioro de los equipos,
desastres naturales y provocados por el hombre – deliberado o accidentales,
etc. Y hasta ahora éstos se han tratado con medidas cuya implantación y
efectividad no son llevadas a cabo y controladas de manera planificada. El
resultado es obvio, se siguen manteniendo altos niveles de riesgo frente a las
amenazas externas tales como: Hackeo, fallos electrónicos o lógicos, ingeniería
social entre otros e internas, tales como: Errores de configuración, personal
técnico desmotivado, rosetas accesibles, redes inalámbricas desprotegidas,
equipos sin vigilancia, etc.
Por lo anterior se hace la propuesta de la implantación de un SGSI, el cual daría
mayor seguridad a la información a través de la creación de controles y políticas
basados en la norma NTC-ISO/IEC 27001, que permitan salvaguardar los
activos ya sean estos materiales, humanos, software y hardware; además de
mejorar la imagen de la institución, dándole mayor solidez ya que habría una
gestión más efectiva de su Tecnología Informática, TI.
Antecedentes.
En la sede central de la Universidad Nacional de Ingeniería, Recinto
Universitario Simón Bolívar (RUSB), el Departamento de informática – DITI,
trabaja basado en normas y políticas establecidas por el mismo departamento
para la protección de los activos informáticos de los distintos recintos de la UNI.
Sin embargo esta protección no está formalizada ni se cumple en su totalidad
en el Recinto Universitario Augusto C. Sandino: Si existe algún fallo en los
activos informáticos del RUACS, se manda por escrito el problema al DITI,
según la gravedad éste generalmente envía instrucciones para corregir el
problema y en otros casos envía personal técnico. De manera que lo que han
venido haciendo es trabajar de acuerdo al problema que se presenta, y no se
tiene un documento o estudios con procesos y procedimientos a seguir y que
cumplan con los criterios de un SGSI.
Es importante reconocer que la seguridad de la información en el RUACS ya se
ha visto comprometida en años anteriores. En el año 2010 ante el cambio de la
nueva dirección de la sede, fue necesario el uso de fuerza bruta para acceder al
departamento de informática, laboratorios y otras oficinas; servidores y equipos,
sistemas de información y red. Esto fue debido a que el responsable de
informática con su personal no apoyaba a la nueva estructura organizativa y en
su lugar negaron las llaves de las oficinas, contraseñas de los sistemas
operativos, de los servidores y otros equipos de cómputo; limitación de
privilegios de los sistemas de información y acceso a la red.
También en el 2011 los servidores de bases de datos fueron infectados por un
virus que detuvo las operaciones académicas por quince días. Y superada la
situación fue necesario el reprocesamiento de operaciones. Un año más tarde,
uno de los servidores fue dado de baja por deterioro y hasta la fecha no ha sido
sustituido ni se han mejorado las condiciones del servidor que aún está
trabajando, el cual tiene bajas capacidades, razón por la que el Sistema de
Información de Registro Académico, SIRA, no es actualizado a su última versión
como el de la sede central, Managua.
En el año del 2013 fue reestructurada la red del recinto y también se adquirieron
nuevos equipos de cómputo para los laboratorios. Sin embargo, no están
documentados los cambios ni establecidos los procedimientos; hasta ahora, el
inventario de activos sólo es llevado a cabo por la administración general del
recinto.
Finalmente, es importante mencionar que la sede no tiene definida una política
de seguridad ni documentada una normativa sobre la gestión de la Tecnología
Informática del RUACS.
Justificación.
La presente investigación surge de la necesidad de proteger de forma
organizada y sistémica los activos Informáticos (información, personas,
servicios, infraestructura, etc.) del Recinto Universitario Augusto C. Sandino ante
cualquier incidente de seguridad, tales como: accesos no autorizados,
interrupciones indeseadas, denegación de servicios, infección por virus, cambios
de hardware, firmware o software de los sistemas, entre otros.
Es por lo anterior que se plantea al recinto la “Implementación de un Sistema de
Gestión de seguridad de la Información, basado en la norma NTC-ISO/IEC
27001“. Implantar un SGSI en una empresa no es precisamente cuando se le
haya presentado un incidente de seguridad sobre su información, sino, cuando
ésta desea tener un crecimiento y posicionamiento ante un mercado exigente y
global teniendo en cuenta que para ello, requiere del uso de la Tecnología de la
información y las comunicaciones para lograrlo.
El principal objetivo de la implantación del SGSI en el RUACS es proporcionar
seguridad de la información que maneja con un alto grado de confiabilidad,
integridad y disponibilidad; y con ella los activos que la gestionan. Un SGSI
ayuda a mantener los riesgos por debajo del nivel aceptable.
Un beneficio de la implantación que se propone, es la reducción de costos, ya
que la seguridad de los activos incide directamente con la rentabilidad
económica de la organización, evitando situaciones que suponen costos.
Además, apoyará la optimización de recursos e inversiones en tecnología, ya
que se tomaran decisiones en base a la información fiable sobre el estado de los
sistemas de información y objetivos de la organización.
Finalmente, el SGSI apuntala a la competitividad de esta entidad educativa:
Teniendo un aumento de confianza por parte de la sociedad por la mejor
preparación para asumir retos tecnológicos, trabajando sobre reglamentos leyes
y normativas para poder demostrar ante la competencia el cumplimiento de los
mismos, manteniendo así una mejor imagen como una institución responsable,
comprometida con la mejora de sus procesos y servicios.
Objetivos.
Objetivo General
Implementar un Sistema de Gestión de Seguridad de la información, basado en
la normativa internacional NTC-ISO/IEC 27001, en el Recinto Universitario
Augusto C. Sandino.
Objetivos Específico.
Realizar un estudio de la situación actual del recinto universitario en cuanto a
sistemas de seguridad de la información.
Identificar las vulnerabilidades, riesgos y amenazas de la Tecnología informática
de la organización a través de un análisis de riesgo.
Diseñar el Sistema de Gestión de Seguridad de la Información, adaptando
políticas de seguridad y controles propuestos para la organización de acuerdo a
la Normativa ISO 27001.
Medir y evaluar la eficacia de los controles, procesos y procedimientos a través
de la auditoria interna.
Proponer medidas correctivas, preventivas y de mejoras continua basados en la
norma ISO 27001.
Marco Teórico.
En este capítulo se encuentran los conceptos básicos, complementarios y
específicos, que proporcionará una idea más clara acerca de este tema de
investigación y servirán como base para el desarrollo de la monografía.
Generalidades del SGSI.
Sistemas. Nos referimos al conjunto de partes coordinadas y en interacción
para alcanzar los objetivos para la cual fueron creados. “Un sistema está
compuesto por componentes individuales, cada uno cumpliendo un propósito
específico, y estos al interactuar entre ellos llevan a cabo procesos para cumplir
alguna tarea requerida”.
Sistema de Gestión. Se podría interpretar como una herramienta que permite
controlar una serie de eventos en la empresa, tantos internos como los que
pasean en su entorno, pudiendo visualizar los efectos que causen estos eventos
y midiendo el aprovechamiento eficaz que se tiene de los recursos que posee la
empresa, para así tener planes de los mejoramientos de los procesos y
procedimiento. “Procesos, comportamientos y herramientas que se emplean
para garantizar que la organización realice todas las tareas necesarias para
alcanzar sus objetivos, existen una serie de procesos clasificar y llevar a cabo un
sistema de gestión, como son: gestión, análisis, examen de riesgos, riesgo
residual, aceptación y tratamiento de riesgos”.
Sistema de Gestión de Seguridad de la Información SGSI. “Según la Norma
UNE-ISO/IEC 27001 es una parte del sistema de gestión general basada en un
enfoque de riesgo empresarial que se establece para crear, implementar, operar,
supervisar, revisar, mantener y mejorar la seguridad de la información”. Esto
significa que se va a dejar de operar de una manera intuitiva y se va a empezar
a tomar el control sobre lo que sucede en los sistemas de información y sobre la
propia información que se maneja en la universidad, permitiéndonos conocer
mejor nuestra organización, como funciona y que podemos hacer para que la
situación mejore.
Este sistema actualmente cuenta con un estándar de implementación planteado
por la Organización Internacional de Estandarización (International Organizatión
for Standardizacion, ISO), el cual presento su planificación más actualizada para
el año 2005.
La Organización ISO. ISO (Organización Internacional de Estándares) es una
organización especializada en el desarrollo y difusión de los estándares a nivel
mundial. Los miembros de ISO, son organismos nacionales que participan en el
desarrollo de Normas Internacionales a través de comités técnicos establecidos
para tratar con los campos particulares de actividad técnica. Los comités
técnicos de ISO colaboran en los campos de interés mutuo con la IEC
(International Electrotechnical Commission), la organización que a nivel mundial
prepara y publica estándares en el campo de la electrotecnología. En el campo
de tecnología de información, ISO e IEC han establecido unir un comité técnico,
ISO/IEC JTC 1.
La Familia de las Normas ISO.
A continuación mencionaremos los principales estándares aceptados por la
industria en el área de seguridad de la información y específicamente la que
utilizaremos para la implementación de un sistema de gestión de seguridad de la
información en la sede:
ISO/IEC27000. Sistemas de Gestión de Seguridad de la Información,
Generalidades y vocabulario, publicada en Abril del 2009, en la que se recogen
los términos y conceptos relacionados con la seguridad de la información, una
visión general de la familia de estándares de esta área, una introducción a los
SGSI, y una descripción del ciclo de mejora continua.
Norma ISO- 27001. Esta es la norma fundamental de la familia y la que
utilizaremos para la implementación del SGSI, es un conjunto de estándares
desarrollados por la organización ISO que proporcionan un marco de gestión de
la seguridad de la información utilizable por cualquier organización, pública o
privada, grande o pequeña.” La ISO 27001 permite definir y mantener un
Sistema de Gestión de la Seguridad de la Información documentado, que orienta
los esfuerzos de protección de los activos de información, facilita la
administración de los riesgos priorizando los controles necesarios de aplicar y
mantiene un nivel de seguridad adecuado para la continuidad de la
organización”.
La norma ISO 27001 está encargada de ofrecer servicios de estandarización de
procesos y operaciones en distintas ramas empresariales, en general la labor de
la ISO hace una diferencia positiva en el mundo donde vivimos, ya que sirven
para proteger a los consumidores y usuarios de productos y servicios en
general, así como hacer su vida más simple, añadiendo valor a todos los tipos
de operaciones del negocio ya que contribuyen a que el desarrollo, fabricación,
suministro de los productos y servicios sean más eficientes, más seguros, más
limpios e incluso que lleguen hacer que el comercio entre países sea más fácil y
justo.
Criterios básicos de calidad de la información:
Confidencialidad: Asegurar que a la información solo acceda quien está
autorizado para ello, esto se logra formulando procedimientos de autorización
que obliguen al usuario a identificarse para acceder a la información.
Integridad. La información ha de estar completa y correcta en todo momento,
esta característica se puede dar gracias a un conjunto de acciones que garantice
que la información no se ha trasformado o modificado durante su procesado,
trasporte y almacenamiento.
Disponibilidad: La información debe ser accesible para las personas autorizadas,
y que estas puedan llevar a cabo sus transacciones cada vez que sea necesario.
Autenticidad: La información es lo que dice ser o el transmisor de la información
es quien dice ser.
Trazabilidad: Poder asegurar en todo momento quién hizo qué y en cuando lo
hizo.
ISO/IEC27002. Tecnología de la Información, código de buenas prácticas para la
Gestión de la Seguridad de la Información, publicada en el año 2005. Esta guía
de buenas prácticas describe los objetivos de control y controles recomendables
en cuanto a seguridad de la información.
ISO/IEC27003. Guía de implementación de SGSI e información acerca del uso
del modelo PDCA y de los requerimientos de sus diferentes fases.
ISO/IEC27005:2008. Gestión del Riesgo en la Seguridad de la Información
publicada en el año 2008. Esta norma al pertenecer a la familia de las Normas
27000, se ajusta a las necesidades de las organizaciones que pretende realizar
su análisis de riesgos en este ámbito y cumplir con los requisitos de la Norma
ISO 27001.
PDCA. El ciclo PDCA será el ciclo a seguir en la implementación del sistema de
gestión de seguridad de la información para el Recinto Universitario Augusto C.
Sandino. También conocido como “Círculo de Deming” (de Edwards Deming), es
una estrategia de mejora continua de la calidad en cuatro pasos, basada en un
concepto ideado por Walter A. Shewhart. También se denomina espiral de
mejora continua. Es muy utilizado por los SGSI.
Las siglas PDCA son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar), que se detallan a continuación:
Fase Planear: Establece la política, objetivos, procesos y procedimientos del
SGSI pertinentes para gestionar los riesgos y mejorar la seguridad de la
información, a fin de entregar resultados conforme a las políticas y objetivos
generales de la organización.
Planificar y diseñar el SGSI según la Norma UNE/ISO-IEC 27001 implica
establecer alcance del SGSI, establecer las responsabilidades, definir política de
seguridad, realizar análisis de riesgos, seleccionar los controles.
Fase Ejecutar: Implementa y opera las políticas, controles, procesos y
procedimientos del SGSI, los principales documentos a generar son: política de
seguridad, inventario de activos, análisis de riesgos, documento de aplicabilidad
y procedimientos.
Fase Revisar: Evalúa y, donde corresponda, mide el desempeño del proceso
según las políticas, objetivo y experiencia práctica del SGSI e informa los
resultados a la gerencia para su examen.
Tiene por objeto la medida y evaluación de la eficacia de otros controles,
mediante la auditoría se determinar si los objetivos de los controles, los procesos
y los procedimientos:
Están conformes con los requisitos de la Norma UNE/ISO-IEC 27001.
Están conformes con la legislación y regulaciones aplicables.
Están conformes con los requisitos de seguridad identificados.
Están implementados y mantenidos de manera efectiva.
Dan el resultado esperado.
Fase Actuar: Toma medidas correctivas y preventivas basadas en los resultados
de la auditoria interna del SGSI y el examen de la gerencia u otra información
pertinente para lograr el mejoramiento del SGSI.
Cuando mediante cualquiera de las actividades de comprobación realizadas o
incluso durante la operativa habitual del SGSI se descubren no conformidades,
reales o potenciales, deben tomarse medidas para solucionarlas, como son las
acciones correctoras, acciones preventivas y acciones de mejora (Deming,
1989).
Seguridad de la Información. Puede definirse como seguridad de la Información
a la que cubre los datos de la información, que son los activos más estratégicos
y valiosos relacionados con los sistemas y el uso de la tecnología de la
información.
Cada día es mayor la importancia de la de la información, especialmente la
captada, procesada y trasmitida por sistemas basados en el uso de tecnología
de la información y comunicaciones, por lo que los impactos de los fallos,
accesos no autorizados, o la revelación de información puede tener
consecuencias mayores que hace unos años, la información en esta área es
referida a los activos de información (es decir, datos, equipos, personas,
aplicaciones) que tienen un valor para la organización.
Servicios de Seguridad. Tiene como objetivo mejorar la seguridad de los
sistemas de procesamiento de datos y la transferencia de información en las
organizaciones.” Los servicios de seguridad están diseñados para contrarrestar
los ataques a la seguridad y hacen uso de uno o más mecanismos de seguridad
para proporcionar el servicio”
Clasificación de seguridad. Se debe realizar un inventario periódico de activos
físicos y activos de información, que tenga por objetivo proveer la base para una
posterior clasificación de seguridad de acuerdo a una política de clasificación
dictada por la junta directiva o la instancia competente. Esta clasificación debe
indicar el nivel de criticidad o sensibilidad y seguridad requerida por la
institución.
Fallo de Seguridad: En cualquier organización existen incidente que la
compromete, es decir que pone en peligro cualquiera de los parámetros con los
que se valora la seguridad: la confidencialidad, la disponibilidad o la integridad
de la información. ”Los fallos de seguridad son ocasionados muchas veces por
la errónea percepción de que si la seguridad física está razonablemente
asegurada, no tiene por qué haber problemas. O que protegiendo únicamente
las aplicaciones y las bases de datos ya está garantizada la seguridad. Con esos
supuestos se dejan desprotegidas muchas áreas de la organización, muchos
activos de información que pueden ser fácilmente dañados o destruidos, ya que
no se han tenido en cuenta todos los aspectos de la seguridad de la información:
la seguridad física, la seguridad lógica y las medidas organizativas”.
Política de Seguridad. La política de seguridad la definirá la Dirección,
estableciendo en ella de forma clara las líneas de actuación de esta área que
deben estar alineadas con los objetivos de negocio. La política es también una
manifestación expresa del apoyo y compromiso de la dirección con la seguridad
de la información. “El objetivo es dirigir y dar soporte a la gestión de la seguridad
de la información de acuerdo a los requisitos del negocio. Es el punto de partida
del diseño del SGSI, a partir del cual se desarrollan las actuaciones necesarias
para implantar el SGSI”.
Riesgo. Es la estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios a la
organización. El riesgo indica lo que le podría pasar a los activos si no se
protegieran adecuadamente.
Riesgos de Tecnología de Información: Daño, interrupción, alteración o fallas
derivadas del uso de la TI que soporta los procesos críticos de la Institución y
que conlleven a una pérdida financiera potencial.
Análisis de Riesgo. Es la estimación del grado de exposición a que una
amenaza se materialice sobre uno o más activos causando daños o perjuicios a
la organización. El riesgo indica lo que le podría pasar a los activos si no se
protegieran adecuadamente, antes de saber qué es un análisis de riesgos y lo
que conlleva es importante conocer qué son otro tipo de conceptos muy
relacionados con los Análisis de Riesgos y la seguridad de la información. Estos
son los más importantes:
Amenaza. Se define como el evento o incidente provocado por una entidad
natural, humana o artificial que, aprovechando una o varias vulnerabilidades de
un activo, pone en peligro la confidencialidad, la integridad o la disponibilidad de
ese activo. Dicho de otro modo, una amenaza explota la vulnerabilidad del
activo.
Impacto. Consecuencias de que la amenaza ocurra.
Vulnerabilidad. Se hace referencia a la debilidad de un activo que puede ser
aprovechada por una amenaza provocando que los sistemas informáticos
funcionen de manera diferente para lo que estaban pensados, afectando a la
seguridad de los mismos, pudiendo llegar a provocar entre otras cosas la
pérdida y robo de información sensible.
Salvaguarda. Medida técnica u organizativa que ayuda a paliar el riesgo.
Riesgo Intrínseco. Nos referimos al cálculo del daño probable a un activo que si
se encuentra desprotegido.
A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los
recursos de la organización para que se puedan cubrir las expectativas, llegando
al nivel de seguridad requerido con los medios disponibles. Es relativamente
sencillo calcular con cuántos recursos se cuenta (económicos, humanos,
técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las necesidades
de seguridad.
Tecnología de Información: Comprende hoy en día, en su mayoría, aspectos de
sistemas computarizados de información, que se encargan de obtener, convertir,
almacenar, procesar, recoger y convertir todos los datos que componen la
información, y así garantizar la disponibilidad de la misma en todo momento para
su uso. “La innovación tecnológica ha existido a través de todas las eras de la
humanidad, y cada vez ha ido reduciendo el periodo de transición con respecto a
la anterior, siendo por sí misma un valor social de primer grado. En este sentido
la tecnología en general, y la tecnología de la información, en particular,
constituyen puntos de referencias macro sociales que cuyo objetivo están
definidos con relación al ámbito económico que define el progreso de la
sociedad”.
Métricas. Es la metodología de planificación, desarrollo y mantenimiento de
sistemas de información, promovida por el Ministerio de Hacienda y
Administraciones Públicas para la sistematización de actividades del ciclo de
vida de los proyectos software en el ámbito de las administraciones públicas.
Estándar. Describe el modelo, criterio, regla de medida o de los requisitos
mínimos aceptables para la operación de procesos específicos, con el fin
asegurar la calidad en la prestación de los servicios de salud. Los estándares
señalan claramente el comportamiento esperado y deseado en los empleados y
son utilizados como guías para evaluar su funcionamiento y lograr el
mejoramiento continuo de los servicios.
Procedimiento: Método o sistema estructurado para ejecutar instrucciones. Lista
detallada de la secuencia lógica y consistente de actividades y cursos de acción,
por medio de las cuales se asegura el cumplimiento de una función operativa.
Proceso Crítico: Proceso considerado indispensable para la continuidad de las
operaciones y servicios de la institución, cuya falta o ejecución deficiente puede
tener un impacto financiero significativo para la institución.
Administración de las operaciones. Las instituciones deben garantizar que toda
tarea o proceso interno de Tecnología informática sea debidamente
documentado, esto con el objetivo de lograr un entorno operativo que tenga un
nivel adecuado de madurez.
Objetivos de Control: Dentro de la estructura de un SGSI es importante que
existan objetivos de control, los cuales son representados por características,
procesos y procedimientos del negocio que estarán bajo una constante o
periódica supervisión para asegurar que están cumpliendo con la planificación
del proyecto.
Software. Se define como los componentes lógicos necesarios para hacer
posible la realización de tareas específicas, en contraposición a los
componentes físicos del sistema, llamados hardware. “Es una serie de rutinas
escritas en códigos específicos que al ponerlas en marcha ejecutan un número
de instrucciones que le indican a un conjunto de componentes físicos de un
sistema como deben actuar o comportarse”.
Los componentes lógicos incluyen, entre muchos otros, las aplicaciones
informáticas; tales como el procesador de textos, que permite al usuario realizar
todas las tareas concernientes a la edición de textos; el software de sistema, tal
como el sistema operativo, que, básicamente, permite al resto de los programas
funcionar adecuadamente, facilitando también la interacción entre los
componentes físicos y el resto de las aplicaciones, y proporcionando una interfaz
para el usuario.
Virus Informáticos: Un virus informático es un software que tiene por objetivo
alterar el normal funcionamiento de la computadora, sin el permiso o
conocimiento del usuario.
Tipos de Auditoría.
La auditoría gubernamental está definida por sus objetivos y se clasifica en:
Auditoría Informática. Se hace referencia al proceso de recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda los
activos empresariales, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, y
cumple con las leyes y regulaciones. “La auditoría informática consiste en el
análisis objetivo, crítico, sistemático y selectivo de las políticas, normas,
prácticas, procedimientos y procesos, para dictaminar respecto a la economía,
eficiencia y eficacia de la utilización de los recursos de tecnologías de la
información, la oportunidad, confiabilidad, validez de la información y la
efectividad del sistema de control interno asociado a las tecnologías de la
información y a la entidad en general”.
Auditoría Financiera. La finalidad es el estudio, evaluación y verificación de los
estados financieros preparados por la administración de la entidad, con el
propósito de emitir una opinión respecto a la razonabilidad de dichos estados, de
conformidad con las Normas de Contabilidad Gubernamental de Nicaragua.
Auditoría Operacional o de Gestión. Es el examen de la economía, eficiencia y/o
eficacia de la entidad, programa o área en particular. Una auditoría operativa
determinada puede tener por objetivo examinar uno o varios de estos tres
aspectos, incluyendo la evaluación de conformidad a las leyes y reglamentos
vigentes relacionados con el objetivo de la auditoría.
Auditoria Interna. Actividad independiente que tiene lugar dentro de la
organización y que está encaminada a la revisión de operaciones con la finalidad
de prestar un servicio a la dirección, ya que en realidad es un control de
dirección El objetivo de una auditoría es determinar si los objetivos de los
controles, los controles, los procesos y los procedimientos están conformes con
los requisitos de la Norma en la que se audite el sistema, los requisitos legales y
reglamentarios, los requisitos de la organización (contractuales, de seguridad,
internos, etc.).
Normas de Auditoría Gubernamental de Nicaragua (NAGUN). Las NAGUN
constituyen los principios fundamentales para el ejercicio de la auditoría
gubernamental en Nicaragua, las que una vez emitidas por el Consejo Superior
de la Contraloría General de la República son de aplicación obligatoria en el
ejercicio profesional de la auditoría.
Manual de Auditoría Gubernamental (MAG). La auditoría gubernamental
consiste en un examen objetivo, sistemático y profesional de las operaciones u
actividades o de ambas a la vez, practicado con posterioridad a su ejecución,
con la finalidad de verificarlas, evaluarlas y elaborar el correspondiente informe
que debe contener comentarios, conclusiones y recomendaciones.
Control de Calidad. Está dado por la Supervisión de todo el proceso de la
misma, lo que está regulado en las Normas de Auditoría Gubernamental de
Nicaragua, que establecen, “El trabajo realizado por el equipo de auditoría será
supervisado en forma sistemática y oportuna por personal calificado en todos los
niveles”.
Estratégicas. Se describe como el conocimiento obtenido por el auditor en esta
instancia del proceso de auditoría, permite determinar las áreas de énfasis de la
auditoría.
Programa. Representa un esquema lógico, secuencial, detallado de las tareas a
realizar y los procedimientos a emplearse, determinando la extensión, alcance y
oportunidad en que serán aplicados, así como los papeles de trabajo que han de
ser elaborados.
Planeación Estratégica. Consiste en el proceso de desarrollo e implantación de
planes para alcanzar propósitos y objetivos, generalmente se aplica a
actividades del negocio, entre las varias aplicaciones que se le pueden dar a la
planeación estratégica se encuentra proporcionar una dirección a una compañía
en estrategias financieras, estrategias de desarrollo de recursos humanos u
organizativos, estrategias de marketing entre otras aplicaciones. ”Una
planificación bien fundamentada se basa en tomas de decisiones de acuerdo a
metas que se deseen alcanzar. Estas deben ser bien conocidas y analizadas de
manera que puedan llegar a alcanzarse y no sean imposibles”.
Análisis de Impacto de Negocio: Etapa de la planeación de continuidad de
negocio en la que se identifican los eventos que podrían tener un impacto sobre
la continuidad de operaciones y su impacto financiero, humano y de reputación
sobre la institución.
Gobierno de TI: Estructura de relaciones y procesos para dirigir y controlar la
institución con el objetivo de lograr sus metas, agregando valor mientras exista
un balance entre los riesgos y beneficios de TI y sus procesos.
Información: Se hará uso de diferentes fuentes de información tanto primarias
como secundarias para recolección de información que será útil para la
implantación de un sistema de gestión de seguridad de la información en el
Recinto Universitario Augusto C. Sandino.
Se denomina información a cualquier forma de registro electrónico, óptico,
magnético o en otros medios similares, susceptible de ser procesada, distribuida
y almacenada.
Incidente: Cualquier evento que no forma parte de la operación normal de un
servicio y que causa o puede causar, una interrupción o una reducción de
calidad del mismo. Esto no incluye los requerimientos de cambios a la
infraestructura tecnológica.
Mejores Prácticas Aplicables: Se entenderán como mejores prácticas, los
marcos de referencia de control, estándares internacionales, u otros estudios
que ayuden a monitorear y mejorar las actividades críticas de las tecnologías de
la información, aumentar el valor de negocio, y reducir riesgos tales como:
COBIT, ISO 27001, ISO 27000, NAGUN, entre otros.
Plan de Contingencia: Documento donde se detallan los procedimientos a seguir
en caso de una contingencia, con el fin de no afectar el funcionamiento normal
de la institución. Tiene como objetivo asegurar un nivel aceptable de
operatividad de los procesos críticos, ante fallas mayores internas o externas.
Activos. Se denomina activo a aquello que tiene algún valor para la organización
y por tanto debe protegerse. De manera que un activo de información es aquel
elemento que contiene o manipula información.
Activos de información. son ficheros y bases de datos, contratos y acuerdos,
documentación del sistema, manuales de los usuarios, material de formación,
aplicaciones, software del sistema, equipos informáticos, equipo de
comunicaciones, servicios informáticos y de comunicaciones, utilidades
generales como por ejemplo calefacción, iluminación, energía y aire
acondicionado y las personas, que son al fin y al cabo las que en última
instancia generan, transmiten y destruyen información, es decir dentro de un
organización se han de considerar todos los tipos de activos de información.
Los activos se pueden distinguir diferentes categorías de los mismos:
• Datos. Todos aquellos datos (en cualquier formato) que se generan,
recogen, gestionan, transmiten y destruyen en la organización.
• Aplicaciones. El software que se utiliza para la gestión de la información.
• Personal. La plantilla propia de la organización, como el personal
subcontratado, los clientes, usuarios y, en general, todos aquellos que tengan
acceso de una manera u otra a los activos de información de la organización.
Inventario de activos. El inventario de activos se utiliza para la gestión de la
seguridad no debería duplicar otros inventarios, pero sí que debe recoger los
activos más importantes e identificarlos de manera clara y sin ambigüedades.
El inventario de activos es la base para la gestión de los mismos, ya que tiene
que incluir toda la información necesaria para mantenerlos operativos e incluso
poder recuperarse ante un desastre. Esta información como mínimo es:
• Identificación del activo. Un código para ordenar y localizar los activos.
• Tipo de activo. A qué categoría de las anteriormente mencionadas
pertenece el activo.
• Descripción. Una breve descripción del activo para identificarlo sin
ambigüedades.
• Propietario. Quien es la persona a cargo del activo.
• Localización. Dónde está físicamente el activo. En el caso de información
en formato electrónico, en qué equipo se encuentra.
Valoración de los activos. Es el valor que tiene para la organización, cuál es su
importancia para la misma, considerando el daño que puede suponer para la
organización que un activo resulte dañado en cuanto a su disponibilidad,
integridad y confidencialidad.
Acciones correctoras: Son acciones que se toman para corregir una no
conformidad significativa con el Sistema de Gestión de Seguridad de la
Información. Las decisiones de que hacer y cómo deben en una identificación
precisa de la cauda del problema.
Acciones Preventivas: Son aquellas que se toman para prevenir que ocurra algo
no deseado, tiene como ventaja ser más eficaz y sencillo prevenir los problemas
que solucionarlos.
Acciones de Mejora: Estas acciones no surgen de la necesidad de solucionar un
problema sino de la dinámica del sistema de gestión que impulsa a refinar
procesos y superar los objetivos de forma continua.
Metodología del Trabajo.
A continuación presentamos el tipo de investigación a utilizar, procedimientos y
técnicas necesarias para desarrollar el Sistema de Gestión de Seguridad de la
Información, basado en la norma NTC-ISO/IEC 27001 en el Recinto
Universitario Augusto C. Sandino de la Universidad Nacional de Ingeniería.
Tipo de Investigación.
La presente investigación se considera de tipo descriptiva y aplicativa, ya que
describe lo que es la seguridad de la información y los principales riesgos que
tiene la carencia de la misma, así mismo los procedimientos y pasos a seguir
para la creación de un Sistema de Gestión de Seguridad de la Información,
llevando a cabo un análisis de los procesos específicos realizado, ya que
trabaja sobre realidades de hechos y su característica fundamental es la de
presentar una interpretación correcta de la información analizada.
Aplicación de un análisis de riesgo para identificar las amenazas,
vulnerabilidades de las TI, adaptando políticas y controles de acuerdo a la
normativa ISO 27001
Adoptando medidas correctivas, preventivas y de mejoras continúa en el Recinto
Universitario Augusto C. Sandino.
Ubicación del Estudio
El proyecto se llevara a cabo en el departamento de Estelí, en la Universidad
Nacional de Ingeniería, Recinto Universitario Augusto C. Sandino (UNI-
RUACS), su ubicación geográfica es: Entrada a La Tunoza, Antigua Hacienda El
Higo
Universo.
Debido a que el Proyecto a implantar es un Sistema de Gestión de Seguridad de
la Información, basado en la norma NTC-ISO/IEC 27001 en el Recinto
Universitario Augusto C. Sandino de la Universidad Nacional de Ingeniería, se
trabajara de forma paulatina iniciando por el área de informática, laboratorios de
cómputos, registro académico y administración llevándose en el orden descrito y
extendiéndose hacia el resto de áreas.
Diagnostico.
En la primera fase del proyecto, se realizara un diagnóstico para determinar
cómo se encuentra actualmente la sede en cuanto a seguridad de la
información, basándonos en el Manual de Auditoria Gubernamental (MAG), con
la finalidad de hacer un examen objetivo, sistemático de las operaciones y
actividades llevadas a cabo en el recinto, a partir de los resultados obtenidos se
realizara un informe que será presentado a la comitiva y servirá como base para
pasar a las siguientes fases.
Desarrollo.
Se trabajara mediante un sistema de gestión basado en el ciclo de Deming,
conocido como PDCA (Planificar, Hacer, Comprobar y Mejorar).
El ciclo PDCA supone la implantación de un sistema de mejora continua que
requiere una constante evolución para adaptarse a los cambios producidos en
su ámbito y para tratar de conseguir la máxima eficacia operativa.
A continuación se presenta el ciclo Deming (PDCA):
Figura 2. Ciclo PDCA (“Plan, Do, Check, Act”)
Fase Planear:
En esta fase se establecerá el alcance del Sistema de Gestión de Seguridad de
la Información, tomando en cuenta la parte de la organización que será
protegida o si es completa; así mismo se definirán las responsabilidades con el
fin de coordinar las tareas y esfuerzos en materia a la seguridad.
Se definirán políticas de seguridad de la organización para sentar base de lo que
se pretende hacer mostrando el compromiso con la dirección y coordinar
responsabilidades y tareas.
Se realizara un análisis de Riesgo, cuyo resultado generara la información
pertinente de donde provienen los problemas actuales o potenciales que
tenemos que solucionar para alcanzar el nivel de seguridad deseado; Así mismo
seleccionar controles y establecer un plan de seguridad.
En esta fase se utilizaran los diferentes fuentes de información para recopilación
de la información, que nos permita llegar a los puntos esenciales e identificación
de riesgos a los que se encuentra expuesto la Universidad en cuanto a
seguridad, de igual manera en esta etapa se interactuara con la dirección y con
el comité conformado para llevar a cabo el SGSI.
Fase Do (Hacer)
Se implementara el plan de seguridad diseñado en la fase anterior, generando
como resultado de la información obtenida, procesada y analizada a lo largo del
trabajo realizado los siguientes documentos:
• Políticas de Seguridad.
• Inventario de Activos.
• Análisis de Riesgos.
• Documento de Aplicabilidad.
• Procedimientos.
• Riesgos.
•
Fase Act (Actuar)
Esta fase es esencial ya que se adoptan medidas para contrarrestar no
conformidades, reales o potenciales como son: medidas preventivas, medidas
correctivas y de mejora, de acuerdo con los resultados que hayamos obtenido
en la fase anterior. En todo caso deberemos ir realizando los ajustes necesarios
y replanteando los procesos actuales o nuevas acciones para alcanzar nuestros
objetivos. En caso de que nuestro objetivo haya sido conseguido, en esta etapa,
nos aseguraremos de estandarizar y sistematizar los procedimientos para
mantener el resultado en el tiempo.
Fuente de Información
La utilización de fuentes de información es muy importante debido a que
recogeremos información que sea de nuestro interés para llevar a cabo el
proyecto, en este capítulo se presentaran las diferentes fuentes que se
utilizaran para la recopilación de la información, las cuales serán las primarias y
secundarias.
Fuentes Primarias: Se utilizaran diferentes métodos para la recopilación de
información necesaria para llevar a cabo el desarrollo del proyecto tales como:
Manual de Auditoria Gubernamental (MAG), encuesta al personal de la
universidad para identificar el nivel de seguridad de los activos, entrevista con el
director, reuniones con el comité, así como observación directa en la
infraestructura de la sede.
Fuentes Secundarias: Estas contienen información elaborada producto de la
información primaria original.
Se tomaran documentos elaborados por la Universidad, como las políticas,
normas, reglamentos, documentos elaborados para llevar el control de la
información y Plan de contingencia.
Instrumento para la recopilación de la Información.
Entrevista: Se hará una entrevista, dirigida al director de la Universidad, para ver
desde una perspectiva general el funcionamiento de la sede.
También se realizaran entrevista a los jefes de departamento de Informática,
Finanzas, Administración, investigación y coordinación, para obtener su opinión
de acuerdo a protección de activos y las problemáticas que se presentan.
Observación: Durante todo el desarrollo del proyecto se hará uso de la
observación directa en la sede, para identificación de los riesgos,
vulnerabilidades, amenazas en todos los activos e infraestructura.
Documentos: que cuenta la universidad, que sean de relevancia para el estudio
como, políticas, reglamentos, normas e inventarios.
Procesamiento de la Información.
Microsoft Word 2010: Es un procesador de texto el cual se estará utilizando para
la elaboración de la entrevistas y digitalización del protocolo de investigación,
este se utilizará durante todo el desarrollo del proyecto.
Microsoft Excel 2010: Libro de trabajo utilizado para la elaboración de tablas y
cronograma de trabajo.
Infostat: software estadístico que se utiliza para el procesamiento de entrevistas
y encuestas, presentando datos precisos a través de gráficos que permitirá una
mejor comprensión e interpretación de la información recolectada.
Análisis de la Información
A través de las entrevistas, encuestas y métodos de observación directa se
llevara a cabo un análisis con el objetivo de determinar las vulnerabilidades de la
empresa, si se está llevando un procedimiento adecuado para el desarrollo de
las actividades, sin poner en riesgo los activos y para la realización de un
análisis de riesgo.
Con la entrevista que se harán a los diferentes jefes de departamento y
observación directa, se obtendrá la información necesaria para el levantamiento
de activos, determinación de riegos, fallas en infraestructura y equipos, etc.
1