Upload
disenoproyecto
View
189
Download
0
Embed Size (px)
Citation preview
SEGURIDAD DE LA INFORMACIÓN Y SEGREGACIÓN DE FUNCIONES
SANDRA JULIET LAGOS MENDOZA COD. 52.737.641WENDY YORLADY MARTINEZ COD. 52.951.455
DIANA ELIZABETH NIÑO MORENO COD. 52.916. GRUPO 102058_409
MIRIAM MOCUATUTOR
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADDICIEMBRE, 2012
SEGURIDAD DE LA INFORMACIÓN Y SEGREGACIÓN DE FUNCIONES
Planteamiento del problema
En la actualidad en seguridad informática, el término adelantarse a las amenazas implica mucho más que mantener alejados a los malos. Las soluciones de seguridad de la información tradicionales que se enfocan en las amenazas externas podrían mostrar a las organizaciones otras formas de ataque, especialmente desde adentro. Debe conocerse las amenazas internas y externas de la red.
Formulación del Problema¿Se Han detectado y monitoreado amenazas dentro y fuera de la organización?
JUSTIFICACIÓN
Se sabe que la seguridad en sistemas de información es un capítulo de constante actualidad hoy en día, lo que no es en absoluto una buena noticia para ningún cliente, que siente como sus sistemas podrían estar expuestos a riesgos similares a los presentados con frecuencia tanto en los medios de comunicación generales como en los especializados.Los modelos de seguridad usuales se enfocan en mantener alejados a los agresores externos. En la actualidad existen amenazas tanto dentro como fuera de la organización.
La tecnología móvil, computación en nube, las redes sociales y el sabotaje por parte de los empleados son solo algunas de las amenazas internas que enfrentan las empresas. A nivel externo, no solo se trata del hacker solitario que ataca por gusto. En general, el entorno de riesgo está cambiando.
Debido a las costumbres actuales de utilizar elementos como las redes sociales, el servicio de computación en nube y los dispositivos personales móviles en la empresa.
Es por esto que es el momento adecuado para crear los programas de seguridad de la información y las estrategias que las compañías deben utilizar para mantener a salvo sus archivos. La seguridad de la información debe estar alineada estratégicamente con la agenda de negocios más general y basarse en la tolerancia al riesgo de una organización. Es una decisión difícil que debe tomarse para formar la base de un programa de seguridad de la información.Los avances tecnológicos han creado un acceso a la información que es demasiado grande para las barreras. Por lo tanto, las compañías deben aprender cómo aceptar el cambio de manera segura.
Nuestro camino de seguridad puede ayudar a su empresa a construir un programa para aumentar la confianza de su selecto grupo de integrantes de la cadena de interlocutores de manera rentable y sustentable.
OBJETIVOS
General Definir la inclinación de riesgo esto depende de
la cultura de la organización frente a la seguridad de la información y la posible exposición al riesgo que está dispuesto a enfrentar.
OBJETIVOS
Específicos Desarrollar modelos de amenaza predictivos. Una vez que el
equipo de seguridad identifique las áreas de riesgo, entendiendo y cuantificando la probabilidad de que ocurra una violación.
Determinar los mecanismos de protección adecuados
Identificar la información más importante. Debe identificar, inventar y priorizar el Valor de la información. Otorgarle un valor permitirá priorizar los activos más importantes.
MARCO CONTEXTUAL
El plan de seguridad es la recopilación de acciones y procedimientos realizados en la búsqueda de la estabilidad de un área o proceso especifico, para ello se tiene en cuenta todos los aspectos relacionados de forma directa e indirecta que puedan llegar a lesionar el normal funcionamiento.
Se soporta en las acciones tomadas producto del la evaluación total del medio y el entorno que los componen, al mismo tiempo que se definen las políticas que se adoptaran para más adelante al finalizar documentar los procedimientos que serán la guía para el personal del área de sistemas en cualquier acción que se realice.
Por ser un plan integral toma desde sus riesgos las soluciones probables en cada uno los ítems evaluados; puesto que cada empresa es totalmente diferente los planes de seguridad de igual forma deben serlo, no es conveniente generalizar; el estudio se debe realizar con responsabilidad para obtener una satisfacción y bases muy bien soportadas que no dejen fuera de foco puntos importantes que aunque pueden ser mínimos en el futuro serán los que debiliten y permitan el filtro e intrusión para la manipulación de información importante para la empresa.
REFERNTES CONCEPTUALES
Una amenaza es la posibilidad de cualquier tipo de evento o acción que puede producir un daño material o inmaterial sobre los elementos de un sistema. Debido a que la Seguridad Informática tiene como propósitos garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones.Las amenazas pueden clasificarse en dos tipos:Intencionales, en caso de que deliberadamente se intente producir un daño (por ejemplo el robo de información, la propagación de código malicioso y las técnicas de ingeniería social).No intencionales, en donde se producen acciones u omisiones de acciones que si bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden producir un daño (por ejemplo las amenazas relacionadas con fenómenos naturales).Palabras Claves: Criminalidad, Eventos de origen físico, Desidia y disposiciones organizacionales, Amenazas internas, Computación en nube, Dispositivos móviles, Ciberataques, Redes sociales
PRODUCTO O SERVICIOS A OFRECER
Este proyecto está dirigido hacia las compañías públicas y privadas que requieren fortalecer sus sistemas informáticos respecto a la seguridad de la información corporativa, pues esta es altamente confidencial, e intransferible.
La compañía CSI consultoría en seguridad informática, ofrece los siguientes productos:
Análisis de RiesgosSeguridad de la información: Protección contra pérdida y
modificación, garantizando la confidencialidad, integridad y disponibilidad de los datos.
Seguridad de Datos: Protección de la personalidad y derechos de autor, garantizando la información confidencial de las personas que laboran o tienen algún vínculo con las empresas.
Servicio de consultoríaAuditorias
CONSUMIDORES Y BENEFICIARIS DEL PRODUCTO
El tipo de demanda que tiene nuestro servicio es a nivel de empresas de todos los sectores, tanto públicas como privadas, sin importar el sector. La demanda más grande se encuentra en las compañías multinacionales, las cuales desean cada vez mas salvaguardar su información y que esta sea altamente confidencial.Los factores de aumento en seguridad informática hacen cada vez más que exista una brecha entre la oferta y la demanda, ya que las empresas exigen cada vez más a sus proveedores dar soluciones eficaces en este campo.La demanda de crear infraestructuras de seguridad completas y solidas, ha incrementado desde el 2004, pues hoy en día se suman cada vez más a la necesidad de protección de datos, los teléfonos móviles, las PDA’s, y los portátiles.El mercado de la seguridad informática tuvo unos ingresos por 186,1 millones de dólares en 2007 y se estima que llegue a los 598, 4 millones de dólares en 2013.
ESTUDIO DE MERCADEO – ANÁLISIS DE LA DEMANDA
Características: Empresas modernas que quieran garantizar a su
administración una seguridad mas amplia. Personas que utilizan la estructura tecnológica, zona
de comunicaciones y que gestionan la información. Empresas que quieran establecer normas que
minimicen los riesgos a la información o infraestructura informática.
Entidades que han tenido crecimiento en la economía por Internet y comercio electrónico.
Entidades que se enfrentan a múltiples amenazas que pueden llegar a explotar sus vulnerabilidades
ESTUDIO DE MERCADEO – ANÁLISIS DE LA OFERTA
La mayoría de oferentes brindan los siguientes servicios para sus entidades:Servicios y tecnología encaminados a una mejor comprensión de las oportunidades y amenazas de los negocios, facilitan la optimización de los procesos de toma de decisiones y contribuyen a alcanzar una mayor competitividad a través del conocimiento y la capacidad de adaptación a cambios súbitos.•Inteligencia estratégica y competitivaSe orienta a la introducción de metodologías y procesos dirigidos al aumento del conocimiento (Inteligencia) en las empresas y organizaciones; especialmente, a través de la identificación, vigilancia y análisis de los factores que caracterizan a la empresa y a su entorno (clientes, proveedores y competidores), prestando especial atención a la evolución de aquellos indicadores que puedan anticipar futuras oportunidades y amenazas.•Vigilancia DigitalTecnología dedicada a la monitorización de la web que permite un seguimiento constante de la actividad en páginas web y redes sociales y la creación de alertas preconfiguradas, minimizando los riesgos y posibilitando la configuración de estrategias de respuesta temprana en ámbitos como la reputación corporativa, vigilancia de competidores, detección temprana de oportunidades y amenazas y seguimiento de mercado.•Consultoría y formación en inteligenciaRealización de cursos “in-house” dirigidos a la formación de personal especializado en Inteligencia dentro de empresas y gobiernos.
ANALISIS DEL PRECIO
Análisis de RiesgosCosto mano de obra anual 40.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 9.000.000,00Adeacuaciones 2.900.000,00TOTAL 76.724.000,00
Seguridad de la informaciónCosto mano de obra anual 70.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 31.500.000,00Adeacuaciones 2.900.000,00TOTAL 129.224.000,00
Seguridad de DatosCosto mano de obra anual 70.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 31.500.000,00Adeacuaciones 2.900.000,00TOTAL 129.224.000,00
Servicio de consultoríaCosto mano de obra anual 40.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 9.000.000,00Adeacuaciones 2.900.000,00TOTAL 76.724.000,00
AuditoriasCosto mano de obra anual 80.000.000,00Servicios Publicos 23.520.000,00Invesion en muebles y enseres 1.304.000,00Maquinaria y equipo(software para desarrollar) 9.000.000,00Adeacuaciones 2.900.000,00TOTAL 116.724.000,00
Se analiza el costo de cada producto frente a las ventas y nos da una rentabilidad de un 40%, por lo tanto la compañía es rentable
ESTUDIO TÉCNICO – PROCESO PRODUCTIVO
La creación de un Software o programa que se adapte a las organizaciones que quieran acceder al servicio de Seguridad Informática.Se deben tener Ingenieros, Técnico y Tecnólogos los cuales darán el respectivo soporte tanto telefónicamente y presencialmente en las empresas.Igualmente se dictaran cursos seminarios y diplomados para el uso de dicho programa.
ESTUDIO TÉCNICO – LOCALIZACIÓN DEL PROYECTO
La localización del proyecto será desarrollado en la Ciudad de Bogotá, en la localidad de Usaquén en la zona más extensa de Oficinas y Empresas dedicadas al uso de la Informática, ubicada más exactamente en el barrio Chico, en la cra 10 con calle 97 en el edificio Word Trade Center Bogota, pues en un sitio donde tenemos más cercanos a nuestros clientes potenciales, y por lo tanto se nos facilita el transporte y es un sector de prestigio para nuestra compañía.
ESTUDIO TÉCNICO - NECESIDADES DE RECURSO HUMANO
A continuación presentamos el organigrama con el personal requerido para el completo funcionamiento de la organización.
ESTUDIO TÉCNICO - NECESIDADES DE MAQUINARIA Y EQUIPO
MAQUINARIA Y EQUIPO
MAQUINARIA Y EQUIPOSoftware SAP 30 licencias 30.000.000Software Citrix 30 licencias 25.000.000Software Auditorias 30 licencias 15.000.000Otros tipos de software 30 licencias 20.000.000
TOTAL 90.000.000
DETALLE CANT
COSTO UNITARI
O TOTAL
Escritorios 5 200.0001.000.0
00Sillas 5 60.000 300.000
Computadores 5 900.0004.500.0
00
Impresora multifuncional 1 200.000 200.000Teléfonos 3 50.000 150.000Sellos 2 10.000 20.000
Implementos y útiles de papelería 200.000 200.000 Archivador 1 150.000 150.000
Total 6.520.0
00
MUEBLES Y ENSERES
ESTUDIO TÉCNICO - NECESIDADES DE ADECUACIONES Y OBRAS FÍSICAS
Las oficinas serán tomadas en arriendo y se harán algunas remodelaciones:
ADECUACIÓN OFICINAS
DETALLE VALOR
Instalación de equipos y puestos de trabajo 5.500.000
Divisiones para oficina 6.000.000
Remodelaciones y adecuaciones generales 3.000.000
Total 14.500.000
RESULTADOS DEL ESTUDIO FINANCIERO - INVERSIONES NECESARIAS
PARA IMPLEMENTAR EL PROYECTO
Este proyecto cuenta con $400’000.000 de pesos como recursos propios los cuales son aportes de los socios así:
SOCIO 1: $133.000.000 SOCIO 2: $133.000.000 SOCIO3 $133.000.000
Bancoldex financiara $60’000.000.
RESULTADOS DEL ESTUDIO FINANCIERO (ESTIMACIÓN DE COSTOS,
GASTOS E INGRESOS PARA EL PRIMER AÑO)
El estudio financiero de La compañía CSI consultoría en seguridad informática para el primer año será:Inversión requerida:La compañía CSI consultoría en seguridad informática, invertirá en equipos de oficina y maquinaria necesaria para el buen funcionamiento de la empresa:$400’000.000 de pesos como recursos propios.
El valor de los costos totales incluye instalación de software y los dos años siguientes a la implementación, que son cuando los costos reales de mantenimiento, upgrades, y optimización de los sistemas son realmente sentidos.
CUADRO CON RESPUESTA A LAS 9 PREGUNTAS BÁSICAS DEL
PROYECTO
No. Pregunta Respuesta 1 ¿Qué problema resuelve el proyecto? El proyecto resuelve la problemática a la que están expuestas muchas compañías que tienen protegida su información
corporativa, de hackers, violaciones de seguridad y que aun no han establecido una segregación de funciones dentro de sus compañías, que les permita tener mas restricciones en sus datos, lo cual hará que estos sean mas confiables.
2 ¿A quién se dirige la solución? Este proyecto esta dirigido hacia las compañías publicas y privadas que requieren fortalecer sus sistemas informáticos respecto a la seguridad de la información corporativa, pues esta es altamente confidencial, e intransferible.
3 ¿Cuánto se producirá? Se espera que estas medidas de aseguramiento se implementen en muchas compañías, esta seria la forma de cuantificarlo, pues la compañía es prestará los siguientes servicios: Análisis de Riesgos Seguridad de la información: Protección contra pérdida y modificación, garantizando la confidencialidad,
integridad y disponibilidad de los datos. Seguridad de Datos: Protección de la personalidad y derechos de autor, garantizando la información confidencial
de las personas que laboran o tienen algún vínculo con las empresas. Servicio de consultoría Auditorias
4 ¿Dónde se localizará la solución? La localización del proyecto será desarrollado en la Ciudad de Bogotá, en la localidad de Usaquén en la zona más extensa de Oficinas y Empresas dedicadas al uso de la Informática, ubicada más exactamente en el barrio Chico, en la cra 10 con calle 97 en el edificio Word Trade Center Bogotá, pues en un sitio donde tenemos más cercanos a nuestros clientes potenciales, y por lo tanto se nos facilita el transporte y es un sector de prestigio para nuestra compañía
5 ¿Cómo se solucionará el problema (tecnología)?
Nuestra compañía tiene grandes expertos desarrolladores de software, para la implementación de los sistemas de seguridad corporativos. Los cuales podemos diferenciar entre Antivirus, y software que auditan y dejan un rastreo de las modificaciones de la información, lo cual nos dejara registros de los usuarios, hora, fecha, y datos que se modificaron. Al igual que desarrollos de work flow, donde se implementaran jerarquías de aprobaciones en los sistemas de compras, financieros, contables, etc. Además de restricciones a través de perfiles corporativos para que únicamente el personal autorizado pueda acceder a la información.
6 ¿Cuál es la mejor alternativa de solución al problema?
La implementación de software que permitan registros de auditorias, restricciones de personal, work flow, antivirus, y segregación de funciones, pues las compañías no solamente están expuestas a violaciones de seguridad y acceso a información confidencial de personal ajeno su compañía, si no que aun deben protegerse y tener un software especial y personal de alta confidencialidad que maneje sus datos.
7 ¿Con qué recursos se hará el proyecto?
El proyecto contara para su fase inicial con recursos de $500.000.000.
8 ¿Quién realizará el proyecto? El proyecto será realizado por Sandra Julieth Lagos,Wendy Martínez y Diana Niño
9 ¿Cuándo se realizará el proyecto? Este proyecto esta proyectado para iniciar en el año 2013 en el mes de junio.
PRESENTACIÓN DEL SISTEMA DE INDICADORES
ASPECTO A MEDIR INDICADORES DESCRIPCION DEL INDICADOR (EXPLICACION DEL INDICADOR)
¿Qué se logrará?
Indicadores de Control:•Porcentaje de virus detectados y eliminados oportunamente
•Porcentaje de ataques prevenidos•Porcentaje de parches críticos aplicados en el mismo mes de su liberación
•Porcentaje de riesgos a los que esta expuesto el cliente vrs soluciones eficientes•Porcentaje en las eficiencias de toma de backups en la restauración de la información
•Porcentaje de incidentes de seguridad auditables y reportados•Porcentaje de incidentes prevenidos
Estos son indicadores claves de desempeño, los cuales están orientados a cuantificar el cumplimiento,
confianza, prevención, tiempos de respuesta y eficiencia en los servicios prestados por la compañía CSI
consultoría en seguridad informática.
¿Cuánto se logrará?
•Costo promedio de solución por incidente (horas hombre + recursos materiales)•Costo estimado de la solución por día = (Costo de la solución de seguridad anualizado + costo
de incidentes reales en el año) / 365•Costo de controles y su mantenimiento +Sueldos de personal a cargo +Costo de servicios
tercerizados•Costo de incidentes reales en el año incluye eventos de pérdida documentados con costos
asociados al negocio•Costo promedio por incidente (sin considerar controles)
Estos indicadores de negocio y técnicos, nos permiten precisar, cuanto nos representa respectos a costos,
cada una de las soluciones ofrecidas por la empresa, en su parte técnica y administrativa, pues evalúan los gastos de personas en HH, perdidas, y reportes de
incidentes de seguridad.
¿De qué calidad se logrará?
Indicadores de Procedimiento:•Numero de registros de incidentes de seguridad diarios, semanales y mensuales vrs resultados
positivos y negativos de las soluciones•Registros ROM (Registros de Oportunidades y Mejoras) por parte del cliente
•Resultados de Auditoria interna y externa de los niveles de servicio al cliente. No conformidades
Estos índices nos permiten evaluar el nivel de calidad que tiene la compañía y que percepción tiene el cliente, respecto a nuestro nivel de servicio y oportunidad para mejorar. Estamos en un sector muy competido, donde
los estándares de calidad son cada vez más exigentes. Los indicadores de calidad nos ayudaran a obtener las certificaciones ISO 9001 y así lograr la confianza en la adquisición de los servicios de nuestra compañía por lo
clientes.
¿Cuándo se logrará? •Tiempo promedio de restauración de un sistema a partir de un incidente•Tiempo de respuesta promedio para solución de un incidente
•Tiempo de instalación e implementación del software de seguridad
Estos indicadores, nos brindan información precisa sobre los tiempos de instalación y respuesta oportuna
que les brindaremos a nuestros clientes, pues nos dará una curva de cumplimiento nos hará efectivos y
confiables ante nuestro cliente.
DIMENSIONES DEL DESARROLLO SOSTENIBLE EL PROYECTO
Ningún recurso renovable deberá utilizarse a un ritmo superior al de su generación.
Ningún contaminante deberá producirse a un ritmo superior al que pueda ser reciclado, neutralizado o absorbido por el medio ambiente.
Ningún recurso no renovable deberá aprovecharse a mayor velocidad de la necesaria para sustituirlo por un recurso renovable utilizado de manera sostenible.
En nuestro proyecto no se aplicaran recursos renovables o contaminantes para su producción crecimiento o desarrollo en cuanto a los materiales como el papel se implementara políticas de ahorro imprimiendo únicamente lo necesario y utilizando papel reciclables en cuanto sea posible para la imagen de la empresa.
CONCLUSIONES
Finalmente debemos comprender la importancia de implementar la seguridad de la información utilizando una metodología comprobada con base en la necesidad de la empresa teniendo en cuenta que cada empresa es diferente como sus necesidades.
La clave está en desarrollar efectivamente las políticas estándares y procedimientos de seguridad y así poder cumplir con sus requerimientos en la seguridad de la información.
De nosotros depende realizar una buena documentación y recopilación de la información para poder sugerir y complementar las fallas de seguridad y capacitar a la empresa en la segregación de funciones, debemos crear la cultura que no todo los empleados pueden o deben tener acceso a toda la información de la organización.
BIBLIOGRAFIA
(s.f.). Recuperado el 21 de octubre de 2012, de http://blog.segu-info.com.ar/2008/04/crece-el-mercado-de-seguridad-de redes.html#axzz29ywOVd27
The British Standards Institution 2012. (2012). bsi. Recuperado el 21 de Octubre de 2012, de http://www.bsigroup.com.mx/es-mx/Auditoria-y-Certificacion/Sistemas-de-Gestion/Normas-y-estandares/ISO-27001/
ACIS. (s.f.). Recuperado el 20 de 10 de 2012, de http://www.acis.org.co/index.php?id=778
Castellanos, W. A. (s.f.). Definicion de estrategias de seguridad de la informacion. Obtenido de http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/16-PlaneacionEstrategicaSeguridad.pdf
Erb, M. (s.f.). Gestión de Riesgo en la Seguridad Informática. Obtenido de http://protejete.wordpress.com/gdr_principal/
SALAZAR, H. C. (2011). DISEÑO DE PROYECTOS. BOGOTA: UNAD.
Semana, R. (s.f.). Recuperado el 20 de 10 de 2012, de http://www.semana.com/documents/Doc-1878_200952.pdf