Description
REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN UNIVERSITARIA, INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” EXTENSIÓN MARACAIBO
DISEÑO DE UN SISTEMA DE SEGURIDAD DE GESTIÓN DE LA INFORMACIÓN BASADO EN LA NORMA ISO/IEC 27001:2013 Trabajo Especial de Grado presentado como requisito parcial para optar al Título de Ingeniería de Sistemas
Autor (a): Br. Cristian Arias Tutor (a): Ing. Jimmy Stavinsky Docente de la asignatura (a): Ing. Mariela Villalobos
Maracaibo, Octubre de 2022
APROBACIÓN DEL (DE LA) TUTOR(A) En mi carácter de Tutor(a) del Trabajo Especial de Grado
titulado:
Gestión
de
la
Diseño
de
Información
un
Sistema
Basado
en
de la
Seguridad Norma
de
ISO/IEC
27001:2013, presentado por el(la) ciudadano(a) Cristian Jesús Arias Anciani, Cédula de Identidad N° 29.761.439, para optar al Título de Ingeniería de Sistemas, considero que éste reúne los requisitos y méritos suficientes para ser
sometido
a
presentación
pública
y
evaluación
por
parte del Jurado examinador que se designe. En la ciudad de Maracaibo, a los 21 días del mes de Octubre de 2022.
(Firma) Jimmy Stavinsky C.I. XX.XXX.XXX
APROBACIÓN DEL(DE LA) ASESOR(A) METODOLÓGICO(A) En mi carácter de Asesor(a) Metodológico(a) del Trabajo Especial de Grado titulado: Diseño de un Sistema de Seguridad de Gestión de la Información Basado en la Norma
ISO/IEC
ciudadano(a)
27001:2013
Cristian
Jesus
Identidad
N°
29.761.439,
Ingeniería
de
Sistemas,
requisitos
y
méritos
presentado Arias para
Anciani,
optar
considero
suficientes
por
que para
el(la)
Cédula
de
al
Título
de
éste
reúne
los
ser
sometido
a
presentación pública y evaluación por parte del Jurado Examinador que se designe. En la ciudad de Maracaibo, a los 22 días del mes de Octubre de 2022.
(Firma) Mariela Villalobos C.I. XX.XXX.XXX
CAPÍTULO I EL PROBLEMA Contextualización del problema Actualmente, el uso de tecnologías de la información (TI) se ha globalizado en el paradigma corporativo: su importancia organizacional viene dada de una disminución significativa de costos y esfuerzos de comunicación entre trabajadores, departamentos, sucursales y en función a las propias formas de procesar la información (Milton et al.,
2018,
p.3).
La
naturaleza
de
interrelación
de
componentes, validación y procesamiento de datos de estos sistemas
de
información
(SI)
ha
permitido
la
automatización de una plétora de actividades, siendo una razón (de otras) que le ha otorgado su relevancia y sido causal del impulso exponencial en su utilización dentro del rubro empresarial. Las
TI
permiten
la
digitalización
de
grandes
cantidades de datos, facilitando su transporte, pero así mismo
permitiendo
que
modificada.
Si
bien
información
es
muy
el
esta uso
pueda de
beneficioso
desaparecer
la para
tecnología la
o de
sea la
organización,
existen riesgos inherentes asociados con su uso, a saber, la aparición de amenazas que pueden atentar contra la integridad de los activos de información. Toda entidad jurídica, con o sin fines de lucro, enfrenta agentes de amenaza que pueden comprometer sus
activos de información. Briceño Edgar (2021) expone que: aunque la tecnología de información nos permite ser más productivos y nos permite acceder a una gran cantidad de información con solo un clic del ratón, también conlleva una gran cantidad de problemas de seguridad. Cualquier organización nacional o extranjera que quiera mantenerse en a flote debe proteger la privacidad de sus archivos de las
acciones
de
partes
externas
malintencionadas
que
intentan acceder al hardware, al software, a las bases de datos, a las redes, así como a la información respaldada por los recursos humanos. En
Venezuela
presentado
esto
no
recientemente
es
una
sucesos
excepción, de
ataques
se
han
a
la
seguridad de la información como el altercado del 17 de septiembre de 2021, donde según el comunicado del Banco de Venezuela, S.A: Se
perpetuo
un
ataque
terrorista
al
sistema
financiero nacional… Se trata de un hackeo masivo que pretendía desaparecer y alterar la data bancaria del
sistema
financiero,
y
con
ello,
vulnerar
la
integridad del patrimonio económico de los clientes del banco de Venezuela. Entonces, como se ha podido observar, la seguridad de la información se ha convertido en un aspecto esencial para la gestión empresarial, especialmente considerando el valor de los activos de información; sin embargo, es necesario tener en cuenta que la aplicación de políticas,
procedimientos
y
protocolos,
sin
tener
en
cuenta
las
necesidades de la empresa, ni la toma en consideración del grado aceptación de estás reglas, puede causar el desuso de cualquier sistema diseñado para la seguridad de los activos de información. Aquí es donde los sistemas de seguridad de gestión de la información entran en uso, puesto que preservan la confidencialidad,
integridad
y
disponibilidad
de
la
información aplicando procesos de gestión de riesgos y proveyendo seguridad a los interesados de que los riesgos son
adecuadamente
Por
otro
administrados
lado,
tesistas
(ISO/IEC
como
Cesar
27001,
2013).
Quispe
(2021)
consideran que el no contar con un Sistema de Seguridad de
Gestión
garantías
de
la
Información
necesarias,
(SSGI)
representa
que
brinde
una
las
desventaja
considerable frente a otras entidades que sí cuentan con esta
cultura
organizacional,
tener
esto
en
cuenta
es
imperativo en el diseño de un SSGI. Tal
es
el
caso
de
la
empresa
Inversiones
Cosmo
Cosméticos, C.A. en su sucursal “La Limpia” que no posee un ambiente seguro para la seguridad de los activos de la información, donde se ha observado de manera empírica los siguientes aspectos de riesgo: 1. El
uso
de
“12345678”,
contraseñas
débiles
establecida
arbitrariamente
usuario del computador.
como
“1234”
y
por
él
2. El uso de sistemas operativos como “Windows 7” que no posee actualizaciones de seguridad desde el 14 de junio de 2020.
3. La no asignación de correos corporativos para todos los departamentos de la organización. Por esta razón, se propone la presente investigación que espera observar la influencia que posee el diseño de un sistema de seguridad de gestión de la información, sobre
el
mejoramiento
de
seguridad
de
los
activos
de
información la empresa con fines de lucro: Inversiones Cosmo Cosméticos, C.A. en su sucursal “La Limpia”.
OBJETIVOS DE LA INVESTIGACIÓN Objetivo General Diseñar un sistema de seguridad de gestión de la información basado en la ISO 27001:2013 para salvaguardar los
activos
de
información
de
la
entidad
jurídica
Inversiones Cosmo Cosméticos, C.A. Objetivos Específicos 1. Describir los riesgos de seguridad de los activos de la
información
Cosméticos, C.A.
de
la
empresa
Inversiones
Cosmo
2. Diseñar una propuesta de sistema de seguridad de gestión de la información ajustado a las necesidades de la empresa.
3. Sensibilizar al personal de la empresa sobre el tema de seguridad de la información.
JUSTIFICACIÓN DE LA INVESTIGACIÓN
Justificación Teórica
Aunque
este
estudio
posee
sus
limitaciones,
como
toda investigación que reduce su campo de trabajo, se espera
con
su
realización
atribuir
al
campo
de
la
seguridad de la información. De hecho, cabe resaltar que la falta de políticas fuertemente establecidas en tema de seguridad
informática,
sugieren
la
importancia
del
cumplimiento de los objetivos ilustrados con anterioridad en
esta
tesis
—
para
la
creación
de
políticas,
procedimientos y protocolos — como:
1. Con el propósito de reconocer las necesidades de la organización,
la
evaluación
oportuna
de
riesgos
sobre los activos de información, puesto que son un material de gran valor para la corporación.
2. El futuro diseño de un sistema de seguridad de la información,
basado
en
estándares
con
buena
aprobación de nivel internacional, que sirvan como una base certificable de la seguridad empresarial. 3. El promover un entorno de trabajo seguro, a través de la sensibilización del personal empresarial sobre los
temas
de
seguridad
de
la
información,
para
minimizar el riesgo de perdidas.
En
resumen,
la
investigación
propuesta
busca,
mediante la aplicación teórica de conceptos básicos de seguridad
informática
y
la
sustentación
basada
de
la
normativa ISO/IEC 27001:2013, estándar internacional que ha sido preparado para proveer los requerimientos para establecer, implementar, mantener y mejorar continuamente un
sistema
de
seguridad
para
la
gestión
de
la
información; encontrar una manera factible de proteger la entidad jurídica Inversiones Cosmo Cosméticos, C.A. de las
amenazas
a
las
que
está
expuesta.
Definiendo
claramente los procedimientos, protocolos y controles de seguridad
basados
en
la
evaluación
de
riesgos
de
objetivos
de
información que enfrenta la organización. Justificación Metodológica Para
lograr
el
cumplimiento
de
los
estudio, se proyecta el uso de técnicas de investigación para el análisis del riesgo presentes en la metodología MAGERIT
en
evaluación
su de
versión riesgos
3.0 y
que
proporciona
evaluar
las
métodos
opciones
de de
tratamiento. Así como, el uso del cuestionario para la recolección de datos. Los resultados de la investigación se apoyan en la aplicación de técnicas de investigación reconocidas internacionalmente, y con esto se pretende conocer las necesidades intrínsecas de la organización a un nivel globalizado teniendo en cuenta su contexto y necesidades de seguridad informática.
Justificación Practica Los agentes de amenaza de toda corporación pueden ser variados, por ende, resulta crucial poseer medios que permitan proporcionar la seguridad que estas requieren. Por
otro
lado,
organizaciones cumplimiento
es
bueno
comúnmente de
sus
tener están
objetivos
en
cuenta
que
las
en
el
amenazadas debido
a
factores
o
influencias tanto internas como externas, a este efecto se le denomina riesgos (Alcides O., 2018). El alma de cualquier empresa depende de sus activos, por esta razón una gestión altamente efectiva tiene en cuenta que la reducción de estos riesgos es una tarea crítica. Por consiguiente, de acuerdo con los objetivos de la investigación, se espera encontrar soluciones para ayudar a la organización de la presente investigación a lidiar con los aspectos y controles de seguridad para proteger los activos de información de las esas amenazas tanto externas mecanismo
como
internas,
de
aceptación
mediante para
el
estos
desarrollo medios
de
un
como
la
normativa generales,
ISO/IEC permite
27001:2013, su
uso
en
que,
por
cualquier
sus
requisitos
organización,
independientemente de su tamaño y naturaleza.
View more...
Comments