ESCUELA POLITECNICA DEL EJRCITO INGENIERIA EN SISTEMAS E INFORMATICA DEPARTAMENTO DE CIENCIAS DE LA COMPUTACION PERFIL DEL PROYECTO DE GRADO 1.

TITULO DEL PROYECTO: MANUAL DE BUENAS PRCTICAS PARA LA IMPLANTACIN DE SISTEMAS DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN, CASO PARCTICO SISTEMA GESTIN PARA EL GOBIERNO PROVINCIAL DE COTOPAXI. 2. DATOS REFERENCIALES DEL PROYECTO: a. Fecha de Presentacin:
23 de Enero de 2012

b. Duracin del Proyecto: 6 meses. c. Unidad Responsable: Escuela Politcnica del Ejrcito (ESPE) Departamento de Ciencias de la Computacin. d. Responsable del Desarrollo del Proyecto: Danny Pal Tapia Tapia. e. Orientadores del Perfil de Proyecto: Ing.. f. Nombre de la Institucin para la que se Desarrolla el Proyecto: Gobierno Provincial de Cotopaxi.

Contenido 1. TITULO DEL PROYECTO: .................................................................... 1 2. DATOS REFERENCIALES DEL PROYECTO: .................................... 1
a. b. c. e. f. Fecha de Presentacin:........................................................................................................ 1 Duracin del Proyecto: ....................................................................................................... 1 Unidad Responsable: .......................................................................................................... 1 Orientadores del Perfil de Proyecto: .................................................................................... 1 Nombre de la Institucin para la que se Desarrolla el Proyecto: ........................................... 1

3. DEFINICION DEL PROYECTO: ......................................................... 3

a. b. c. d. e. i. ii. f. g. h. i. ii. iii. i. i. ii. j. k. Contexto. ............................................................................................................................ 3 Planteamiento del Problema. ............................................................................................... 4 Justificacin e importancia. ................................................................................................. 5 Alcance del Proyecto. ......................................................................................................... 6 Objetivos. ........................................................................................................................... 8 General: .......................................................................................................................... 8 Especficos: .................................................................................................................... 8 Framework. ........................................................................................................................ 8 Herramientas. ..................................................................................................................... 8 Factibilidad. ........................................................................................................................ 9 Factibilidad Tcnica. ....................................................................................................... 9 Factibilidad Operativa. .................................................................................................... 9 Factibilidad Econmica. ............................................................................................ 10

Metodologa. .................................................................................................................... 11 Introduccin al modelo ITIL v3..................................................................................... 11 Descripcin de la Biblioteca Diseo del Servicio. .......................................................... 13 ESQUEMA DE CONTENIDOS. ...................................................................................... 15 BIBLIOGRAFA. ............................................................................................................. 17

3. DEFINICION DEL PROYECTO: a. Contexto.

El Honorable Gobierno Provincial de Cotopaxi, se cre el 12 de enero de 1946; caus gran satisfaccin y expectativa en los ciudadanos de aquella poca en vista que existan mltiples necesidades que agobiaban a la poblacin en diferentes reas, por lo tanto las esperanzas se fincaron en esta naciente institucin en buscar el adelanto y progreso de Cotopaxi.

El gobierno provincial de Cotopaxi se cre con el fin de contribuir al desarrollo y progreso de la provincia generando polticas pblicas en el marco de un nuevo modelo de gestin, de tal manera que la Institucin coordine y articule el desarrollo local en favor de la comunidad y de los sectores ms necesitados, tendientes a conseguir el bienestar de toda la poblacin cotopaxense.

Gobierno Provincial autnomo, transparente, lder y articulador del desarrollo econmico, ambiental, social y cultural de la provincia.

Promueve la participacin ciudadana, brinda servicios de calidad con equidad e igualdad. Cuenta con personal capacitado, que cumple eficientemente sus funciones ayudndose con la tecnologa para alcanzar ptimos resultados.

Es un Gobierno Provincial solidario, humano, eficiente, democrtico, receptivo frente a las expectativas de la ciudadana y con aceptacin plena de nuestra interculturalidad.

b. Planteamiento del Problema.

La inexistencia de un manual de implantacin para sistemas de gestion de la seguridad de la informacin, el que es necesario que posea pasos y contemple mtodo con el fin de utilizarlo para rastrear y mejorar la seguridad de un sistema de gestin documentos electrnicos y/o imgenes digitales de documentos originalmente soportados en papel.

Durante mucho tiempo y hasta en la actualidad, la segiridad de la gestin documental en las organizaciones estuvo bajo el dominio de

administradores, archiveros y bibliotecarios, cuyas herramientas bsicas eran: libros de registro, carpetas, archivadores, cajas y estanteras en que se guardan los documentos de papel (y ms tarde audiovisuales y documentos en soportes magnticos u pticos), los ficheros o krdex que permiten hacer referencias cruzadas y una larga lista de tcnicas de recuperacin de informacin mediante sistemas de codificacin y clasificacin; las carecteristiacas antes mencionadas disponen de mtodos de seguridad, al

igual que ellos en la informtica es necesario establecer y comprobar que se cumplan de alguna manera.

El uso del computador para la gestin documental es necesario en la prctica ya que cuando las tecnologas de informacin y comunicacin se hicieron comunes en la administracin pblica y privada, con el inicio de las bases de datos y la aparicin de procesadores de textos y otras aplicaciones ofimticas, y sobre todo con la llegada del correo electrnico, surgi la necesidad de capturar y conservar tambin documentos que nacen, viven y mueren en formato electrnico. Conseguir esto representa un nuevo salto en la complejidad y exigencias a los sistemas informatizados, siendo que deben disponer un protocolo de seguridad con la solucin de salvarguardar los datos por medio de administradores y archiveros.

c. Justificacin e importancia.

El gobierno de la provincia de Cotopaxi cuenta con equipos servidores y PCs de caractersticas bsicas y con una red de uso interno y externo, dicha infraestructura tiene la capacidad para implementar el servicio de gestin documental.

En la actualidad, la prefectura del Gobierno Provincial de Cotopaxi se ve en la necesidad de implementar un software para la gestin documental, el que

tendr como objetivo controlar los flujos de trabajo del servicio de tramitacin de los expedientes, capturar informacin desde bases de datos de produccin, enlaces con el contenido de archivos, centros de documentacin que permitan realizar bsquedas sofisticadas y recuperar informacin de cualquier lugar de forma rpida y oportuna.

Con el fin de garantizar un buen servicio en la implementacin del software de cdigo abierto, en la prefectura del Gobierno Provincial de Cotopaxi, es necesario apoyarse en un estndar de tecnologa, para este caso en particular hemos decidido apoyarnos en el estndar de ISO 27001, el mismo que est orientado a cubrir las necesidades de los clientes y al mismo tiempo de la propia organizacin, siendo una gua fcil y rpida en el manejo de tecnologas de informacin; ISO 27001 nos garantiza que si el resultado de un proceso cumple con el estndar definido, entonces el proceso es efectivo, y si las actividades en el proceso estn cumpliendo con el mnimo requerido esfuerzo y costo, entonces el proceso es eficiente.

d. Alcance del Proyecto.

El proyecto constara con las mejores prcticas de este modelo sujerido para la implantacin del servicio de Gestin Documental en el Gobierno Provincial de Cotopaxi el mismo que se lo realiza en la actualidad de forma manual y sin ninguna seguridad; al realizar la automatizacin del servicio

antes mencionado se garantiza un estndar de buenas practicas para la implantacin en un sistema de gestin documental, el software escogido en nuestro caso es
QUIPUX,

su caracterstica principal es ser de cdigo abierto

para la gestin del contenido institucional.

El propsito de este trabajo es el de ayudar a manipular de una manera rpida, ordenada y segura todo tipo de documentacin que maneje el Gobierno Provincial de Cotopaxi, de esta manera podemos asegurar que no se pierdan documentos o exista duplicaciones y al mismo tiempo garantizar un buen servicio tanto interno como externo con una respuesta eficaz.

Podemos decir entonces que se trabajara en la creacin de un manual de buenas practicas para gestionar de manera eficas el servicio de gestin documental con ISO 27001, El manual de gestin documental abarca el ciclo de vida completo de los documentos, es decir, la confidencialidad, integridad y disponibilidad de la informacin dando un tratamiento coherente a los documentos, desde que se producen o reciben en las distintas unidades hasta el momento en que son eliminados o conservados, en funcin de su valor testimonial o histrico como fuente para el conocimiento de la trayectoria documental.

e. Objetivos.
i. General: Creacion del manual de buenas prcticas para la implantacin de sistemas de gestin de la seguridad de la informacin, caso parctico sistema gestin para el Gobierno Provincial de Cotopaxi. ii. Especficos: j Analizar el funcionamiento de los procesos que intervengan en de sistemas de gestin de la seguridad de la informacin. j Aplicar el estndar ISO 27001 para la implantacin de los procesos que intervienen en el Manual de sistemas de gestin de la seguridad de la informacin. j Construir el servicio de gestin documental segn el Manual de sistemas de gestin de la seguridad de la informacin.
j Evaluar caso practico con QUIPUX en base al Manual de

sistemas de gestin de la seguridad de la informacin en el gobierno provincial de Cotopaxi.

f. Framework.

(a) ISO 2001.

g. Herramientas. i. Computador

ii. Windows XP o Linux. iii. Microsoft Project 2003 o iv. Microsoft Office 2010 u OpenOffice 3.2. v. Microsoft Visio 2003 vi. Internet

h. Factibilidad. i. Factibilidad Tcnica. Requisitos de hardware: a. Computador con procesador Pentium 4 o superior. b. 1 GB en memoria RAM. c. Capacidad de al menos 100 Gb en disco duro. d. Requisitos de software: e. Windows Server 2003, Seven o Linux. f. Microsoft Project 2007

g. Microsoft Office 2010 u OpenOffice 3.2. h. Microsoft Visio 2007

ii. Factibilidad Operativa. El desarrollo del plan de tesis es factible, considerando:

j Recurso humano: existe personal capacitado y disponible, para proveer datos y ejecutar las distintas actividades que

conciernen a este proyecto, adems de la disponibilidad de trabajo de los estudiantes y de los docentes involucrados en el proyecto de tesis. j Adicional ya existe la aprobacin de las autoridades para la realizacin de la misma.

iii. Factibilidad Econmica. Condiciones Microsoft.

Descripcin Licencia Windows server 2003 Licencia de Microsoft Visio Licencia de Microsoft Project Conexin a Internet Banda Ancha Papel de Impresin Gastos operacionales de agua, luz y

Cantidad 1 2 2 5 meses 3 (resma) 4 (meses)

Valor Unitario 180 120 175 25 4 25 TOTAL

Total 180 240 350 125 12 100 1007

telfono

Condiciones Open Source.

10

Descripcin Licencia Linux Licencia de gaphor

Licencia de OpenProj

Cantidad 1 2 2 5 meses 3 (resma) 4 (meses)

Valor Unitario 0 0 0 25 4 25 TOTAL

Total 0 0 0 125 12 100 237

Conexin a Internet Banda Ancha Papel de Impresin Gastos operacionales de agua, luz y telfono

i.

Metodologa. i. Introduccin al modelo ISO 2001.

Las soluciones y las prcticas de ISO 2001 son altamente complementarias a la hora de ayudar a las organizaciones a gestionar la TI desde la perspectiva del negocio.

Estrictamente hablando, ISO 27001 es un conjunto de publicaciones (libros).

En ellos se definen la estructura y las habilidades requeridas de una organizacin de IT (Information Technology) y especifican un conjunto de procedimientos y prcticas, siendo

11

que el estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques Information security management systems - Requirements) fue aprobado y publicado como estndar internacional en octubre de 2005 y por por International la Organization for

Standardization

comisin

International

Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).

Estas prcticas y procedimientos se definen en forma independiente de proveedores y/o productos, y aplican a todos los aspectos de la infraestructura IT para la seguridad de la informacin.

12

La metodologa en s misma, se encuentra en constante evolucin, ISO 27001 consta de procesos basados en el ciclo de vida del Deming:

ii. Implantacion de la ISO 27001

La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Para la organizacin que este de mejor forma y adecuada con su sistemas de informacin y sus procesos de trabajo a las exigencias de las normativas legales de proteccin de datos o que hayan

13

realizado un acercamiento progresivo a la seguridad de la informacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002, partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantacin debe estar formado por representantes de todas las reas de la organizacin que se vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados en seguridad informtica generalmente Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin (que hayan realizado un curso de implantador de SGSI).

iii. Certificacin de la ISO 27001

La certificacin de un SGSI es un proceso mediante el cual una entidad de certificacin externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran certificadas segn el estndar britnico BS 7799-2.

14

Desde finales de 2005, las organizaciones ya pueden obtener la certificacin ISO/IEC 27001 en su primera certificacin con xito o mediante su recertificacin trienal, puesto que la certificacin BS 7799-2 ha quedado reemplazada. El Anexo C de la norma muestra las correspondencias del Sistema de Gestin de la Seguridad de la Informacin (SGSI) con el Sistema de Gestin de la Calidad segn ISO 9001:2000 y con el Sistema de Gestin Medio Ambiental segn ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organizacin en varias normas y con base en un sistema de gestin comn.

j. ESQUEMA DE CONTENIDOS.

CAPITULO I MARCO TERICO 1. Introduccin al rea de Sistemas. 2. ITILv3. a. Diseo del Servicio i. Gestin del Catlogo de Servicios ii. Gestin de Niveles de Servicio iii. Gestin de la Disponibilidad

15

iv. Gestin de la Capacidad v. Gestin de la Continuidad de los Servicios de TI vi. Gestin de Proveedores vii. Gestin de la Seguridad de Informacin CAPITULO II ANALISIS DEL CENTRO DEL CENTRO INFORMATICO DEL GOBIERNO DE LA PROVINCIA DE COTOPAXI. y y y y y Revisin de la infraestructura del rea de Sistemas. Servicios que presta el rea de Sistemas. El rea de Sistemas y su estructura organizacional. Disponibilidad de hardware, software y personal. Recopilacin de Informacin necesaria para el servicio de gestin documental.

CAPITULO III DISEO DEL SERVICIO GESTION DOCUMENTAL y y y y y Establecimiento de polticas de calidad. Establecimiento de niveles y parmetros de calidad de servicio. Monitoreo del nivel de soporte al servicio proporcionado. Diseo de reportes y estadsticas. Evaluacin de la calidad de servicio y acciones de mejoramiento.

16

IMPLANTACIN Y ACCIONES PARA LA GESTION DOCUMENTAL y y y y y y Administracin de Eventos Administracin de Incidentes Administracin Solicitudes de Servicio Administracin de Problemas Administracin de Acceso Plan general de implantacin

CAPITULO IV CONCLUSIONES Y RECOMENDACIONES y y Conclusiones Recomendaciones

k. BIBLIOGRAFA.

http://www.cybertesis.cl/tesis/uchile/2006/donoso_f/sources/donoso_f.pdf
http://www.uc3m.es/portal/page/portal/congresos_jornadas/congreso_itsmf/Evaluac ion_de_los_procesos_ITIL.pdf http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library#Sopo rte_de_Servicio http://wikipedia

17