UNIVERSIDADCENTROCCIDENTAL“LISANDROALVARADO”
DECANATODECIENCIASY TECNOLOGÍA
DIRECCIONDEPOSTGRADO
BARQUISIMETO •ESTADOLARA....
AGENDA
El Problema.
Marco Teórico.
Marco Metodológico.
Presentaciónde los Resultados.
Conclusiones y Recomendaciones....
DEL PROBLEMA
PLANTEAMIENTO
RedUCLA
CAUSA
DEL PROBLEMA
PLANTEAMIENTO
 Políticas quepermita controlar el uso o implementación delos
sistemas y servicios apoya...
CONSECUENCIA
DEL PROBLEMA
PLANTEAMIENTO
 Uso no adecuado de los recursos dela red.
 Infecciones devirus.
 Asociados a l...
DISEÑO
COMPONENTES
PROCESO
INTERROGANTES
¿Cuál esel proceso actual de la Gestión de Riesgos de Seguridad de la
Información...
Sistematizar la Gestión de Riesgos de
Seguridad de la información en la Red dela
Universidad Centroccidental “Lisandro
Alv...
2
1
3
ESPECÍFICOS
OBJETIVOS
El procesoactualdela Gestión deRiesgosdeSeguridaddela Informaciónen la ReddelaUniversidad
Cent...
E IMPORTANCIA
JUSTIFICACIÓN
Permitirla detección a tiempo de las amenazas y
vulnerabilidades en la plataforma tecnológica
E IMPORTANCIA
JUSTIFICACIÓN
Administrar los incidentes de seguridad
que se puedan presentar.
ALCANCE
Presentar el diseño de la Sistematizaciónde la Gestión
de Riesgos de Seguridadde la Informaciónen la Red de
la Uni...
LA INVESTIGACIÓN
ANTECEDENTES DE
TEÓRICO
MARCO
LEGALES
BASES
 Normasde Seguridad Informáticayde Telecomunicacionesde la
UCLA
Ley Orgánica de Ciencia,Tecnología eInnova...
DE LAS VARIABLES
OPERACIONALIZACIÓN
Investigaciónde campo,
detipo descriptivo.
NoExperimental
TIPO DE INVESTIGACIÓN
METODOLÓGICO
MARCO
DISEÑO
11
5
MUESTRA POBLACIONAL
METODOLÓGICO
MARCO
Todos los empleados dela Universidad dela
Dirección de Telecomunicaciones
Pro...
METODOLÓGICO
MARCO
Entrevista
Cuestionario
METODOLÓGICO
MARCO
Juicio de expertos
Ítems en escala de likert,
AlphaCronbachα= 0.92
Ítems de tipo dicotómicas,
kuder Ric...
METODOLÓGICO
MARCO
1. Estadística descriptiva, estadísticos de frecuencias
absolutas y porcentuadas.
2. Matriz de análisis...
ANALÍSIS
Normasde SeguridadInformáticayde telecomunicacionesde la UCLAbasadaenla ISO/IEC
17799.
Lanorma contemplaregulac...
DE RESULTADOS
ANALÍSIS
Políticas deSeguridad:
Item 1 Item 2 Item 3 Item 4
100 %
86 %
14 %
00
14 %
86 %
100 %
SI NO
CUESTI...
Item 6 Item 7 Item 8
57 %
86 % 86 %
43 %
14% 14 %
SI NO
ANALÍSIS
Activosde informática:
CUESTIONARIOS
DE RESULTADOS
% siempre % casi siempre % algunas veces % casi nunca % nunca
42 %
29 % 29 %
86 %
14 %
71 %
29 %
57 %
29 %
14 %
Infección ...
Base de datos Servidor de
base de datos
Servidor DNS Servidor
Proxy
Servidor de
Correo
Servidor Web Swiches Router Firewal...
POLITICAS DE SEGURIDAD
GESTIÓN DE RIESGO
CONCLUSIONES
Las políticas de seguridad de la información sonde vital importanci...
APLICAR TECNICAS
SEGURIDAD DE INFORMACIÓN
CONCLUSIONES
Las metodologías para el análisis de riesgos conllevan de unamaner...
IDENTIFICAR AMEZAS
MEDIDAS DE SEGURIDAD
CONCLUSIONES
Las medidas de seguridad para proteger la información deben serlógic...
RECOMENDACIONES
Actualización del documento depolíticas deseguridad de la UCLA.
Diseñar un plan de concientización
Dise...
Analizar los principales activos deinformación
Orientar a los usuarios
Promoverel establecimiento dela normas ISO27001:...
RECOMENDACIONES
Poner enpráctica la propuesta planteada
PROPUESTA
DISEÑO DE LA
PROPUESTA
1. FundamentaciónTeórica.
2. Objetivos de la Propuesta.
3. Desarrollo de la Propuesta.
4. Fases de la Propuesta....
PROPUESTA
FUNDAMENTACIÓN
TEÓRICA
1
Norma ISO/IEC27001:2005
Modelo de Procesos
Planificar-Hacer-Verificar-Actuar(PHVA)
No...
PROPUESTA
OBJETIVO DE LA
PROPUESTA
2
General:
Diseñar el proceso para la sistematización de la gestión de
riesgos de segur...
PROPUESTA
OBJETIVO DE LA
PROPUESTA
2
Específicos:
1.Definir el proceso degestión deriesgos deseguridad delainformación.
2....
PROPUESTA
DISEÑO DE LA
DESARROLLO DE LA
PROPUESTA
3
Fases delproceso degestión
deriesgos deseguridad de la
información
Ges...
PROPUESTA
FASESDE LA
4
Determinar el Contexto
Identificar
Analizar
Evaluar
Tratar
Monitorear y Revisar
Comunicary Consulta...
IDENTIFICAR ANALIZAR EVALUAR TRATARDETERMINAR
EL CONTEXTO
FASE II FASE III FASE IV FASE VFASE I
PROPUESTA
DISEÑO DE LA
Def...
ANALIZAR EVALUAR TRATARDETERMINAR
EL CONTEXTO
FASE III FASE IV FASE VFASE I
IDENTIFICAR
FASE II
PROPUESTA
DISEÑO DE LA
Ide...
IDENTIFICAR EVALUAR TRATARDETERMINAR
EL CONTEXTO
FASE II FASE IV FASE VFASE I
ANALIZAR
FASE III
PROPUESTA
DISEÑO DE LA
Val...
IDENTIFICAR ANALIZAR TRATARDETERMINAR
EL CONTEXTO
FASE II FASE III FASE VFASE I
EVALUAR
FASE IV
PROPUESTA
DISEÑO DE LA
Dec...
IDENTIFICAR ANALIZAR EVALUARDETERMINAR
EL CONTEXTO
FASE II FASE III FASE IVFASE I
TRATAR
FASE V
PROPUESTA
DISEÑO DE LA
Tra...
PROPUESTA
DISEÑO DE LA
MONITOREAR Y REVISAR TODO EL PROCESO
ValoraciónDefinir
Alcance
Objetivos
Metodologías
Identificació...
IDENTIFICAR ANALIZAR EVALUAR TRATARDETERMINAR
EL CONTEXTO
RIESGO
MONITOREAR Y REVISAR TODO EL PROCESO
ValoraciónDefinir
Al...
"!Estudia!No para saber una cosa mas, sino para
saberla mejor."
Lucio AnneoSéneca
GRACIAS por
su ATENCIÓN
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA RED DE LA UNIVERSIDAD CENTROCCIDENTAL “LISAN...
Upcoming SlideShare
Loading in …5
×

SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA RED DE LA UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO” (REDUCLA)

1,729 views
1,574 views

Published on

UNIVERSIDAD CENTROCCIDENTAL
“LISANDRO ALVARADO”
DECANATO DE CIENCIAS Y TECNOLOGIA
COORDINACION DE POSTGRADO


SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA RED DE LA UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO” (REDUCLA)

Autor: Raúl José Gil Fernández
Tutora: Dra. Mailen Camacaro
Fecha: Abril de 2011

RESUMEN

La presente investigación tuvo como propósito, presentar una propuesta para la Sistematización de la Gestión de Riesgos de Seguridad de la información en la Red de la Universidad Centroccidental “Lisandro Alvarado”, basada en la norma ISO/IEC 27001:2005. Esto motivado a la necesidad que tiene la Universidad de contar con una herramienta que le permita conocer los riesgos en su plataforma tecnológica y de esta forma aplicar controles de seguridad. Para este efecto, se desarrollo una investigación que se enmarca en una investigación de campo, de caráter no experimental, descriptiva, con el objetivo de Sistematizar la Gestión de Riesgos de seguridad de la información en la Universidad Centroccidental “Lisandro Alvarado” (RedUCLA). Para lograr el fin propuesto, se aplico un (1) cuestionario con preguntas cerradas y dos (2) entrevistas con preguntas abiertas, con la finalidad de diagnosticar el proceso actual de la gestión de riesgos de seguridad de la información en la RedUCLA e identificar los componentes necesarios para diseñar el proceso para la sistematización de la gestión de riesgos. Como resultado de la investigación, se hace necesario el diseño del proceso para la Sistematización de la Gestión de Riesgos de Seguridad de la Información en la Red de la Universidad Centroccidental “Lisandro Alvarado.

Palabras claves: Gestión de Riesgos, Seguridad de la Información, Norma ISO/IEC 27001:2005, Sistematización, Controles.

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,729
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA RED DE LA UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO” (REDUCLA)

  1. 1. UNIVERSIDADCENTROCCIDENTAL“LISANDROALVARADO” DECANATODECIENCIASY TECNOLOGÍA DIRECCIONDEPOSTGRADO BARQUISIMETO •ESTADOLARA. Barquisimeto, Junio de2011
  2. 2. AGENDA El Problema. Marco Teórico. Marco Metodológico. Presentaciónde los Resultados. Conclusiones y Recomendaciones. Propuesta delEstudio.
  3. 3. DEL PROBLEMA PLANTEAMIENTO RedUCLA
  4. 4. CAUSA DEL PROBLEMA PLANTEAMIENTO  Políticas quepermita controlar el uso o implementación delos sistemas y servicios apoyados enla red.  Mecanismos para la adecuada gestión deriesgos deseguridad de la información.
  5. 5. CONSECUENCIA DEL PROBLEMA PLANTEAMIENTO  Uso no adecuado de los recursos dela red.  Infecciones devirus.  Asociados a la Seguridad.
  6. 6. DISEÑO COMPONENTES PROCESO INTERROGANTES ¿Cuál esel proceso actual de la Gestión de Riesgos de Seguridad de la Informaciónen laRedUCLA? 1 ¿Cuálesson los componentes necesariospara diseñarel proceso de Sistematización de la Gestión de Riesgos de Seguridad de la Informaciónen la RedUCLA? ¿Cómoseráel diseño del procesode sistematización? 2 3
  7. 7. Sistematizar la Gestión de Riesgos de Seguridad de la información en la Red dela Universidad Centroccidental “Lisandro Alvarado” GENERALDE LA INVESTIGACIÓN OBJETIVO
  8. 8. 2 1 3 ESPECÍFICOS OBJETIVOS El procesoactualdela Gestión deRiesgosdeSeguridaddela Informaciónen la ReddelaUniversidad Centroccidental“LisandroAlvarado” DIAGNOSTICAR Loscomponentesparadiseñarel procesoparalaSistematización de laGestión deRiesgosde SeguridaddelaInformaciónen laReddela Universidad Centroccidental“LisandroAlvarado” IDENTIFICAR PRESENTAR El diseñodel procesoparalaSistematizaciónde laGestión de Riesgos de Seguridadde la Informaciónen la Redde la UniversidadCentroccidental“LisandroAlvarado”
  9. 9. E IMPORTANCIA JUSTIFICACIÓN Permitirla detección a tiempo de las amenazas y vulnerabilidades en la plataforma tecnológica
  10. 10. E IMPORTANCIA JUSTIFICACIÓN Administrar los incidentes de seguridad que se puedan presentar.
  11. 11. ALCANCE Presentar el diseño de la Sistematizaciónde la Gestión de Riesgos de Seguridadde la Informaciónen la Red de la Universidad“Lisandro Alvarado”
  12. 12. LA INVESTIGACIÓN ANTECEDENTES DE
  13. 13. TEÓRICO MARCO
  14. 14. LEGALES BASES  Normasde Seguridad Informáticayde Telecomunicacionesde la UCLA Ley Orgánica de Ciencia,Tecnología eInnovación Ley EspecialContralos Delitos Informáticos Ley Sobre Mensajes DeDatosy Firmas Electrónicas Ley Orgánica deTelecomunicaciones ISO/IEC27001:2005 Estándares Internacionales Leyes Nacionales NormativaInterna
  15. 15. DE LAS VARIABLES OPERACIONALIZACIÓN
  16. 16. Investigaciónde campo, detipo descriptivo. NoExperimental TIPO DE INVESTIGACIÓN METODOLÓGICO MARCO DISEÑO
  17. 17. 11 5 MUESTRA POBLACIONAL METODOLÓGICO MARCO Todos los empleados dela Universidad dela Dirección de Telecomunicaciones Profesoresexpertos en elárea de seguridad de la información adscritoal DCYT-UCLA MUESTRA INTENCIONAL
  18. 18. METODOLÓGICO MARCO Entrevista Cuestionario
  19. 19. METODOLÓGICO MARCO Juicio de expertos Ítems en escala de likert, AlphaCronbachα= 0.92 Ítems de tipo dicotómicas, kuder Richardson r20=0.82
  20. 20. METODOLÓGICO MARCO 1. Estadística descriptiva, estadísticos de frecuencias absolutas y porcentuadas. 2. Matriz de análisis de contenido.
  21. 21. ANALÍSIS Normasde SeguridadInformáticayde telecomunicacionesde la UCLAbasadaenla ISO/IEC 17799. Lanorma contemplaregulaciónde losriesgos a nivel lógico. ENTREVISTAS Losplanes decontingenciasse basanen lasexperiencias delos administradores. Los usuarios desconocenlos riesgos quepuedanimplicarel uso inadecuadode los servicios de la red. PERSONALDIRECTIVO DE RESULTADOS
  22. 22. DE RESULTADOS ANALÍSIS Políticas deSeguridad: Item 1 Item 2 Item 3 Item 4 100 % 86 % 14 % 00 14 % 86 % 100 % SI NO CUESTIONARIOS
  23. 23. Item 6 Item 7 Item 8 57 % 86 % 86 % 43 % 14% 14 % SI NO ANALÍSIS Activosde informática: CUESTIONARIOS DE RESULTADOS
  24. 24. % siempre % casi siempre % algunas veces % casi nunca % nunca 42 % 29 % 29 % 86 % 14 % 71 % 29 % 57 % 29 % 14 % Infección por virus Informático Acceso no autorizado Sustraccion de informacion por terceros Perdida de información por accidente Negacion de servicio ANALÍSIS Incidentes deSeguridad: CUESTIONARIOS DE RESULTADOS
  25. 25. Base de datos Servidor de base de datos Servidor DNS Servidor Proxy Servidor de Correo Servidor Web Swiches Router Firewall Red de comunicación Telefonía % Muy Bajo % Bajo % Medio % Alto % Muy Alto ANALÍSIS Disponibilidad: CUESTIONARIOS DE RESULTADOS
  26. 26. POLITICAS DE SEGURIDAD GESTIÓN DE RIESGO CONCLUSIONES Las políticas de seguridad de la información sonde vital importancia para el funcionamiento de la estructurade seguridad de las Organizaciones. El análisis y gestión de riesgos, proporciona información de donde residen los problemas actuales de seguridad de la información..
  27. 27. APLICAR TECNICAS SEGURIDAD DE INFORMACIÓN CONCLUSIONES Las metodologías para el análisis de riesgos conllevan de unamanera sistemática, a aplicar técnicas y métodos adecuados. La seguridad de la información protege a la información desde tresaspectos importantes: confidencialidad, integridad y disponibilidad.
  28. 28. IDENTIFICAR AMEZAS MEDIDAS DE SEGURIDAD CONCLUSIONES Las medidas de seguridad para proteger la información deben serlógicas, físicas, legales, organizativas. Las valoraciones de riesgo permite identificar las amenazasque pueden comprometer los activos.
  29. 29. RECOMENDACIONES Actualización del documento depolíticas deseguridad de la UCLA. Diseñar un plan de concientización Diseñar y ejecutar un plan de contingencia
  30. 30. Analizar los principales activos deinformación Orientar a los usuarios Promoverel establecimiento dela normas ISO27001:2007. RECOMENDACIONES
  31. 31. RECOMENDACIONES Poner enpráctica la propuesta planteada
  32. 32. PROPUESTA DISEÑO DE LA
  33. 33. PROPUESTA 1. FundamentaciónTeórica. 2. Objetivos de la Propuesta. 3. Desarrollo de la Propuesta. 4. Fases de la Propuesta. ESTRUCTURA DE LA
  34. 34. PROPUESTA FUNDAMENTACIÓN TEÓRICA 1 Norma ISO/IEC27001:2005 Modelo de Procesos Planificar-Hacer-Verificar-Actuar(PHVA) Norma ISO/IEC27002:2005 Objetivos de Control. Norma ISO/IEC27005:2007 Gestión deRiesgos. DISEÑO DE LA
  35. 35. PROPUESTA OBJETIVO DE LA PROPUESTA 2 General: Diseñar el proceso para la sistematización de la gestión de riesgos de seguridad de la información en la redde la Universidad Centroccidental “Lisandro Alvarado” DISEÑO DE LA
  36. 36. PROPUESTA OBJETIVO DE LA PROPUESTA 2 Específicos: 1.Definir el proceso degestión deriesgos deseguridad delainformación. 2.Describir lasfasesparael proceso de gestiónde riesgos de seguridadde lainformación 3. Presentar la Sistematización de la gestión de riesgos de seguridad de la información en la red de laUniversidadCentroccidental “Lisandro Alvarado. DISEÑO DE LA
  37. 37. PROPUESTA DISEÑO DE LA DESARROLLO DE LA PROPUESTA 3 Fases delproceso degestión deriesgos deseguridad de la información Gestión de Riesgos
  38. 38. PROPUESTA FASESDE LA 4 Determinar el Contexto Identificar Analizar Evaluar Tratar Monitorear y Revisar Comunicary Consultar FaseI: FaseII: FaseIII: Fase IV: FaseV: FaseVI: FaseVII:
  39. 39. IDENTIFICAR ANALIZAR EVALUAR TRATARDETERMINAR EL CONTEXTO FASE II FASE III FASE IV FASE VFASE I PROPUESTA DISEÑO DE LA Definir Alcance Objetivos Metodologías
  40. 40. ANALIZAR EVALUAR TRATARDETERMINAR EL CONTEXTO FASE III FASE IV FASE VFASE I IDENTIFICAR FASE II PROPUESTA DISEÑO DE LA Identificación Activos Amenazas Vulnerabilidades
  41. 41. IDENTIFICAR EVALUAR TRATARDETERMINAR EL CONTEXTO FASE II FASE IV FASE VFASE I ANALIZAR FASE III PROPUESTA DISEÑO DE LA Valoración Activos Amenazas Vulnerabilidades
  42. 42. IDENTIFICAR ANALIZAR TRATARDETERMINAR EL CONTEXTO FASE II FASE III FASE VFASE I EVALUAR FASE IV PROPUESTA DISEÑO DE LA Decidir Tratamiento
  43. 43. IDENTIFICAR ANALIZAR EVALUARDETERMINAR EL CONTEXTO FASE II FASE III FASE IVFASE I TRATAR FASE V PROPUESTA DISEÑO DE LA Tratar Mitigar Asumir Transferir Eliminar
  44. 44. PROPUESTA DISEÑO DE LA MONITOREAR Y REVISAR TODO EL PROCESO ValoraciónDefinir Alcance Objetivos Metodologías Identificación Vulnerabilidades Activos Amenazas Decidir Tratamiento Tratar Mitigar Asumir Transferir Eliminar COMUNICAR Y CONSULTAR FASE VI FASE VII
  45. 45. IDENTIFICAR ANALIZAR EVALUAR TRATARDETERMINAR EL CONTEXTO RIESGO MONITOREAR Y REVISAR TODO EL PROCESO ValoraciónDefinir Alcance Objetivos Metodologías Identificación Vulnerabilidades Activos Amenazas Decidir Tratamiento Tratar Mitigar Asumir Transferir Eliminar COMUNICAR Y CONSULTAR FASE II FASE III FASE IV FASE VFASE I FASE VI PROPUESTA DISEÑO DE LA FASE VII
  46. 46. "!Estudia!No para saber una cosa mas, sino para saberla mejor." Lucio AnneoSéneca
  47. 47. GRACIAS por su ATENCIÓN

×