You are on page 1of 78

DISEÑO DE DOCUMENTO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LA OFICINA DE EDUCACIÓN VIRTUAL UNIVERSIDAD SANTO TOMÁS SECCIONAL BUCARAMANGA

JOSÉ JOAQUÍN SALCEDO DURAN

UNIVERSITARIA DE INVESTIGACIÓN Y DESARROLLO UDI INGENIERÍA DE SISTEMAS ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BUCARAMANGA 2012

DISEÑO DE DOCUMENTO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LA OFICINA DE EDUCACIÓN VIRTUAL UNIVERSIDAD SANTO TOMÁS SECCIONAL BUCARAMANGA

JOSÉ JOAQUÍN SALCEDO DURAN

Monografía Para optar al Título de Especialista en Seguridad Informática

Director: Fernando Barajas

UNIVERSITARIA DE INVESTIGACIÓN Y DESARROLLO UDI INGENIERÍA DE SISTEMAS ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BUCARAMANGA 2012

Nota de Aceptación

Firma Presidente del Jurado

Firma del Jurado

Firma del Jurado

Bucaramanga, 22 de Junio de 2012

PRESENTACIÓN DE LA MONOGRAFÍA 1.2 ¿Qué es un SGSI? 2.2 MARCO CONCEPTUAL 2.3 JUSTIFICACIÓN 2.1 Objetivo general 1.2 OBJETIVO 3.3 ALCANCE .2 Objetivos específicos 1.2 OBJETIVOS 1.1 INTRODUCCIÓN Y CONCEPTUALIZACIÓN 3.3 MARCO TEÓRICO 2.1 PLANTEAMIENTO DEL PROBLEMA 1.3 Análisis y control de riesgos 3.1 ANTECEDENTES 2.3.3. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 3. INTRODUCCIÓN 1. MARCO DE REFERENCIA 2.TABLA DE CONTENIDO pág.3.1 Sistema de gestión de la seguridad de la información 2.2.2.

8] 6.2 Concienciación.7.1.8.1.1.1.3] SEGURIDAD LIGADA A LOS RECURSOS HUMANOS [ISO/IEC 27001:2005 .1.4 Acuerdos de Confidencialidad [ISO/IEC 27001:2005 A.1.1.5] 4.1.7.2 Asignación de las responsabilidades de la seguridad de la información [ISO/IEC 27001:2005 A. A.A.7.2] 5.1.1.6.6 POLÍTICAS GENERALES DE SEGURIDAD DE LA INFORMACIÓN 3.1] 4.7.1.1 Inventario de activos Información [ISO/IEC 27001:2005 A.1.1] 6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN[ISO/IEC A.1.7] 5.8] 5.1 ANTES DEL EMPLEO [ISO/IEC 27001:2005 A.1.1] 6. formación y capacitación en seguridad de la información [ISO/IEC 27001:2005 A.4 COMPROMISO DE LA DIRECCIÓN 3.1.2.8 RECOLECCIÓN DE INFORMACIÓN Y ANÁLISIS DE RIESGOS 4.2] 6.1.3] 4.5 TÉRMINOS Y DEFINICIONES 3.3.8.1.4 Cese del empleo o cambio del puesto de trabajo [ISO/IEC 27001:2005 A.6.1.2 Uso aceptable de los activos [ISO/IEC 27001:2005 A.1.3 Etiquetado de la Información [ISO/IEC 27001:2005 A.7 SANCIONES PREVISTAS POR EL INCUMPLIMIENTO 3.4] 4.6] 27001:2005 4.8.6.1 ORGANIZACIÓN INTERNA [ISO/IEC 27001:2005 A.1.3] 6.2] 6.2] 4.2.6.3 Proceso Disciplinario [ISO/IEC 27001:2005 A.1.A.2.8.7.3] 5.1 RESPONSABILIDAD SOBRE LOS ACTIVOS [ISO/IEC 27001:2005 A.1 Coordinación de la Seguridad de la Información [ISO/IEC 27001:2005 A.1. GESTIÓN DE ACTIVOS [ISO/IEC 27001:2005 A.6.5 Revisión Independiente de la Seguridad de la Información [ISO/IEC 27001:2005 A.1 Funciones y Responsabilidades [ISO/IEC 27001:2005 A.6.7.3 Proceso de autorización de recursos para el procesado de la información [ISO/IEC 27001:2005 A.1] 5.1.1.8.

10.1] 8.1.3.9.1] 8.1] 8.1.2 PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA[ISO/IEC 27001:2005 A.10.4] 8.1.1 Perímetros de Seguridad Física [ISO/IEC 27001:2005 A.1.A.3] 8.5.2] 8.1 Documentación de los procedimientos de operación [ISO/IEC 27001:2005 A.10.7.1 RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIÓN[ISO/IEC 27001:2005 A.1 . SEGURIDAD FÍSICA Y AMBIENTAL [ISO/IEC 27001:2005 A.4.9.8] 8.1] 8.10.11] GESTIÓN DE COMUNICACIONES Y OPERACIÓN [ISO/IEC 27001:2005 .1.4. A.4 COPIAS DE SEGURIDAD [ISO/IEC 27001:2005 A.10.10.1.1] 9.1.1.10] 8.3 PROTECCIÓN CONTRA CÓDIGO MALICIOSO Y DESCARGABLE [ISO/IEC 27001:2005 A.1 Políticas y procedimientos para intercambio de información [ISO/IEC 27001:2005 A.1 Gestión de la capacidad [ISO/IEC 27001:2005 A.9.1] 7.10.1] 8.5.3.1.10.1] 7.1 ÁREAS SEGURAS [ISO/IEC 27001:2005 A.10.4] 8.1.8.5] 8.9.1 Controles contra el código malicioso [ISO/IEC 27001:2005 A.10.5 INTERCAMBIO DE INFORMACIÓN [ISO/IEC 27001:2005 A.1 Copias de seguridad de la información [ISO/IEC 27001:2005 A.1.10.2] 7.3 Protección contra las amenazas externas y de origen ambiental [ISO/IEC 27001:2005 A.2 Controles de Ingreso físico [ISO/IEC 27001:2005 A.2 Gestión del cambio [ISO/IEC 27001:2005 A.9. CONTROL DE ACCESO [ISO/IEC 27001:2005 A.9] 7.2.

3] 9.1.11.2.1.2.1.1.1 Registro de usuarios [ISO/IEC 27001:2005 A.5] 10.1.1] 10.2] 9.3 CONTROL DE ACCESO AL SISTEMA OPERATIVO [ISO/IEC 27001:2005 A. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO [ISO/IEC 27001:2005 A.14] 10.1] 9.1 Política de control de acceso [ISO/IEC 27001:2005 A.2 GESTIÓN DE ACCESO DE USUARIO [ISO/IEC 27001:2005 A.3] .14.11.2 Gestión de contraseñas de usuario [ISO/IEC 27001:2005 A.14.9.3 DESARROLLO E IMPLEMENTACIÓN DE PLANES DE CONTINUIDAD DE NEGOCIO [ISO/IEC 27001:2005 A.11.2.2.2 CONTINUIDAD DE NEGOCIO Y EVALUACIÓN DE RIESGO [ISO/IEC 27001:2005 A.14.11.1] 9.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO [ISO/IEC 27001:2005 A.11.2] 10.1] 9.1 SEGURIDAD DE LA INFORMACIÓN EN LA CONTINUIDAD DEL NEGOCIO [ISO/IEC 27001:2005 A.11.

Imagen 1 Procesamiento de Datos .LISTA DE IMÁGENES pág.

LISTA DE GRÁFICOS pág. Grafico 1 Factores que afectan el Riesgo .

Tabla 1 Antecedente caso 1 Tabla 2 Antecedente caso 2 Tabla 3 Antecedente caso 3 Tabla 4 Antecedente caso 4 Tabla 5 Antecedente caso 5 Tabla 6 Amenazas y vulnerabilidades Tabla 7 Conformación del grupo de trabajo Tabla 8 Responsabilidades de la Seguridad Informática. Tabla 9 Propietarios de los activos Tabla 10 Activos de Información Tabla 11 Activos de Aplicación Tabla 12 Activos de Físicos Tabla 13 Responsabilidades .LISTA DE TABLAS pág.

LISTA DE ANEXOS pág. ANEXO A Formato de Registro Capacitación Seguridad de la Información ANEXO B Formato de Visita Cuarto de Telecomunicaciones ANEXO C Formato de Registro Gestión de Cambios ANEXO D Formato de Registro de Copias de Seguridad Campus virtual ANEXO E Articulo IEEE .

COBIT: es un marco de referencia de Gobierno TI y un conjunto de herramientas de soporte que permite a los gerentes reducir la brecha entre los requerimientos de control. COBIT acentúa el cumplimiento regulatorio. SLR.” . DVDs o cintas magnéticas (DDS.GLOSARIO ANÁLISIS DE RIESGO: uso sistemático de la información para identificar las fuentes y estimar el riesgo. los temas técnicos y los riesgos del negocio.DLT y VXA). COBIT permite el desarrollo de una política clara y una buena práctica para el control TI en las organizaciones. incentivar el aprendizaje interactivo y personalizando el análisis crítico. AULA VIRTUAL: es un sistema innovador de educación a distancia orientado a mejorar la comunicación. BACK UP: es la copia total o parcial de información importante del disco duro. Travan. bases de datos u otro medio de almacenamiento. CDs. CDs. Esta copia de respaldo debe ser guardada en algún otro sistema de almacenamiento masivo. habilita la alineación y simplifica la puesta en práctica del marco de referencia COBIT. como ser discos duros. AIT. Los Backups se utilizan para tener una o más copias de información considerada importante y así poder recuperarla en el caso de pérdida de la copia original. ayuda a las organizaciones a aumentar el valor asociado al área de TI.

EDUCACIÓN VIRTUAL: la educación virtual. GESTIÓN DEL RIESGO: actividades coordinadas para dirigir y controlar una organización en relación con el riesgo GOBIERNO DE TI: el Gobierno de TI es una disciplina relativa a la forma en la que la alta dirección de las organizaciones dirige la evolución y el uso de las tecnologías de la información. también llamada "educación en línea".CONFIDENCIALIDAD: propiedad que determina que la información no está disponible ni sea revelada a individuos. . que tiene una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. E-LEARNING: el e-learning consiste en la educación y capacitación a través de Internet. La información permite resolver problemas y tomar decisiones. DISPONIBILIDAD: propiedad de que la información sea accesible y utilizable para solicitud de una entidad autorizada. INFORMACIÓN: la información es un conjunto organizado de datos. que constituye un mensaje sobre un cierto fenómeno o ente. se refiere al desarrollo de programas de formación que tienen como escenario de enseñanza y aprendizaje el ciberespacio. ya que su uso racional es la base del conocimiento. INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN: un evento o serie de eventos de seguridad de la información no deseada o inesperada. entidades o procesos no autorizados.

en inglés SAN (Storage Área Network). es una red concebida para conectar servidores. integridad y disponibilidad de la información. está basada en tecnología fiber channel y más recientemente en iSCSI. POLÍTICA DE SEGURIDAD: las políticas de seguridad son las reglas y procedimientos que regulan la forma en que una organización previene. que ayuda a los educadores a crear comunidades de aprendizaje en línea. de distribución libre. matrices (arrays) de discos y librerías de soporte. INTEGRIDAD: propiedad de salvaguardar la exactitud y el estado completo de los activos MOODLE: moodle es un Ambiente Educativo Virtual. SOLUCIÓN SAN: una red de área de almacenamiento. sistema de gestión de cursos. TRATAMIENTO DEL RIESGO: proceso de selección e implementación de medidas para modificar el riego. no repudio y fiabilidad pueden ser también consideradas. SEGURIDAD DE LA INFORMACIÓN: según [ISO/IEC 27002:2005]: Preservación de la confidencialidad. . Su función es la de conectar de manera rápida. segura y fiable los distintos elementos que la conforman. Principalmente. otras propiedades como autenticidad. Este tipo de plataformas tecnológicas también se conoce como LMS (Learning Management System). protege y maneja los riesgos de diferentes daños. responsabilidad.ISO 27001: la ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo. además.

Santo Tomás. La Universidad Santo Tomás Bucaramanga a través de la oficina de Educación Virtual implementa las Tecnologías de Información y comunicación (TIC) en el proceso enseñanza aprendizaje mediante la creación y puesta en marcha de aulas virtuales. aplicables a la oficina de educación virtual con el propósito de garantizar la seguridad y continuidad de las operaciones. SGSI. Este documento muestra la elaboración de una política de seguridad de la Información acompañada de una serie de controles obtenidos de la Norma ISO 27001. por tanto la información que maneja es de vital importancia para el proceso y necesita ser incorporada dentro de un proceso de gestión de Seguridad de la Información que garantice su buena administración. es por ello en que en la actualidad el uso de las aulas virtuales en las instituciones de educación Superior se han convertido en una herramienta de vital importancia para su desarrollo y cumplimiento de objetivos institucionales. seguridad. Además en esta documentación se muestran una serie de Formatos para facilitar el registro y control de ciertos aspectos importantes y cruciales al momento de proteger la información de daños y pérdida en la oficina de educación virtual.RESUMEN TITULO: RESUMEN (Diseño de política de seguridad de la Información) AUTOR: JOSÉ JOAQUÍN SALCEDO DURAN PALABRAS CLAVES: Aula virtual. . educación virtual. política Descripción Con el avance tecnológico la educación toma nuevas formas para hacerse notar.

Also in this documentation are shown a number of formats to facilitate the registration and control of certain important and crucial when protecting information of damage and loss in virtual education office. SGSI.ABSTRACT TITLE: ABSTRACT (Security Policy Design Information) AUTHOR: JOSÉ JOAQUÍN SALCEDO DURAN KEYWORDS: Virtual classroom. security. Santo Tomás University of Bucaramanga uses Virtual Education Department to implement Information and Communication Technologies (ICT) in teaching and learning process by creating and using virtual classrooms. . virtual classrooms are a very important tool in higher education institutions because these help them to develop themselves and achieve their institutional objectives. which are applicables in Virtual Education Department management with the purpose of ensure the Security and continuity of operations. virtual education. Santo Tomás. For this reason. political Description Technological advance makes education excel in different ways. accompanied of a serie of control mechanims taken from ISO 27001 Norms. This document shows the creation of an assurance information policy. For this reason information used in this process is very important and it requires an Assurance information process in order to ensure its good administration.

.

INTRODUCCIÓN En agosto de 2011 se da inicio el desarrollo de una monografía que busca la implementación de una política de seguridad de la información en la oficina de educación virtual de la Universidad Santo Tomás con el propósito de cumplir el requisito de grado de la especialización en seguridad informática cursada en la Universitaria de Investigación y Desarrollo UDI. 17 . Con este objetivo se inicia un proceso de documentación de mejores prácticas y estándares nacionales referentes a la seguridad de la información como los son la ISO 27001 y sus anexos esto con el fin de entender el concepto de sistema de gestión de la seguridad de la información y los controles aplicables a las organización.

PRESENTACIÓN DE LA MONOGRAFÍA 1.1. puedan estar afectando negativamente el desempeño de la misma (o un funcionamiento que no es el óptimo).jsp> [consultado Diciembre 1 de 2011] 18 . implementar aplicaciones que contribuyan a la educación E-learning y 1 Universidad Santo Tomás.edu. cabe resaltar que la Universidad Santo Tomás seccional Bucaramanga tiene como misión “promover la formación integral de las personas.co/inicio/quienesomos/index. Misión. mediante acciones y procesos de enseñanza-aprendizaje. desde el marco de la temática de la Especialización en Seguridad Informática. y ya que los autores tienen vínculo con la Universidad Santo Tomás. Con esta idea en mente. investigación y proyección social. se pudiesen aportar. se han indagado elementos que. para ello cuenta con la Oficina de educación Virtual encargada de apoyar el proceso de enseñanza aprendizaje logrando cumplir una parte del objetivo principal de la institución utilizado como medio las nuevas tecnologías de información y comunicación ( TIC ). en su empresa. es muy común que los profesionales se encuentren con necesidades que. para que respondan de manera ética. en el campo de la educación superior. El desarrollo en tecnología a nivel mundial ha permitido a la Oficina de educación Virtual. creativa y crítica a las exigencias de la vida humana y estén en condiciones de aportar soluciones a la problemática y necesidades de la sociedad y del país”1.1 PLANTEAMIENTO DEL PROBLEMA En el quehacer profesional.ustabuca. [En línea] <http://www. En ese sentido.Bucaramanga.

el registro de usuarios. eliminar o matricular usuarios a las diferentes aulas Virtuales del Campus. 10 Gb de memoria RAM y 1100 Gb de almacenamiento. y disponibilidad de la información.telefonica. entre otros son los procesos críticos de la Oficina en su diario funcionamiento.2 es importante tener claro aspectos importantes. Actualmente la Oficina de educación Virtual no cuenta con una política de seguridad de la información documentada. en el uso de tecnologías tanto a nivel nacional o internacional para el desarrollo de herramientas E-learning llego a la decisión de implementar un servidor HP Proliant ML150 G6 con dos procesadores Quad Core (2. RETOS DE LA SEGURIDAD <http://avirtual. Como lo menciona Eduardo Chavarro Ovalle en su video ”RETOS DE LA SEGURIDAD INFORMTICA AVA”. no existe política documentada al momento de crear. en el cual se optó por instalar el sistema para enseñanza y aprendizaje en línea Moodle que permite la administración aulas Virtuales. Eduardo.5 GHz).es/p81328926/> . cuando . el incremento en el manejo de información. La función de la Oficina de educación Virtual en la Universidad Santo Tomás ha crecido con el transcurrir del tiempo. eliminar o restaurar aulas Virtuales. la creación de aulas Virtuales. integridad. roles de acceso. como los son proteger el Entorno Virtual de Aprendizaje. que garantice la confidencialidad. proteger 2 CHAVARRO OVALLE.apostarle a una educación totalmente Virtual aumentando su responsabilidad ante el cuerpo estudiantil y administrativo de la institución. modificar . [consultado 1 de Noviembre de 2011] INFORMTICA AVA [en línea] 19 . es decir no existen protocolos que indiquen como etiquetar la información . ni tampoco al momento de crear . En el año 2007 y después de un análisis por parte de la Dirección y departamento de Tecnología de la Oficina de Educación Virtual.como y donde generar y salvaguardar copias de seguridad tanto de los equipos de cómputo como del Campus Virtual. evaluar aplicaciones en las maquinas locales que pueden afectar la operación .

la instalación de software y equipos tecnológicos así como su administración .”RETOS DE LA SEGURIDAD <http://avirtual. responsables de los procesos y controles de acceso a los diferentes ítems anteriormente mencionados . modificación. con el fin de garantizar que los proceso llevados en la Oficina de Educación Virtual en los cuales se ven involucrados la manipulación de información y administración del Campus Tecnológica. Elaborar la política de seguridad de la información de la Oficina de educación Virtual de la Universidad Santo Tomás seccional Bucaramanga. integridad y disponibilidad de la información. disponibilidad de la información y 3 CHAVARRO OVALLE.1 Objetivo general. [en línea]. [Consultado 1 de Noviembre de 2011] INFORMTICA AVA”.2. integridad . No cumplir con políticas de seguridad mínimas en la administración del Campus virtual entre ellas la creación.telefonica.los contenidos desarrollados con licenciamiento Creative Commons.2 OBJETIVOS 1. permitiría el ingreso a personal no autorizado afectando la confidencialidad de la información. a la documentación interna y equipos de cómputo.1 y la ISO 27001 para garantizar la confidencialidad.es/p81328926/ > . además el no implementar controles de acceso a las diferentes aulas virtuales creadas en el Campus.3 Es importante elaborar y documentar una política de seguridad de la información en la cual se incluya toda una serie de procedimientos para la manipulación de la información . 20 . utilizando como marco de referencia COBIT 4. Eduardo. cumplan con un mínimo de seguridad garantizando la calidad de la Oficina y la confidencialidad. entre michas otras cosas que garanticen el óptimo funcionamiento del sistema. 1. eliminación o matricula de usuarios en el Campus traería como consecuencia la mala administración manejo de la información.

los procesos de administración del Campus Virtual de la Universidad Santo Tomás Seccional Bucaramanga. equipo tecnológico y secretaria mediante charlas de sensibilización cada mes con el fin de garantizar el conocimiento y la aplicación en los procesos en la organización. la Confidencialidad. 1. 1.2. asesores pedagógicos. integridad y - Documentar la política de seguridad de la Oficina de Educación Virtual que garantice las mejores prácticas de seguridad de la información y que incluyan los procedimientos a realizar.2 Objetivos específicos - Clasificar la información de la Oficina de Educación Virtual según la necesidad. - Socializar políticas de seguridad de la información con el equipo de Educación Virtual conformado por la Dirección. - Implementar instrumentos de registro de información que garanticen la confiabilidad en el proceso que involucren manipulación de la información en la Oficina de Educación Virtual.3 JUSTIFICACIÓN Según el Ministerio de Educación en su portal web afirma las ventajas de la educación superior y la importancia en nuestro país” El desarrollo de las 21 . las prioridades y el grado esperado de protección como indica la norma ISO 27001 mediante un esquema de clasificación de la información que defina un conjunto apropiado de niveles y garantice disponibilidad de la misma.

auditorías de seguridad más precisas y confiables. La Educación Virtual en Colombia cada vez adquiere más fuerza y se convierte en el medio ideal para apoyar la educación presencial en las instituciones educativas. Por otro lado el establecer políticas de seguridad en la administración de la plataforma Moodle al momento de crear. eliminar y modificar tanto aulas virtuales como usuarios del Campus virtual. las alternativas de acceso que se han puesto en manos de las personas han eliminado el tiempo y la distancia como un obstáculo para enseñar y aprender”4. mayor control de la información. Educación [en línea].mineducacion. En efecto. minimización de los riesgos inherentes a la seguridad de la información.gov. mejor reacción a incidentes de seguridad. El desarrollo de este trabajo servirá como guía fundamental para la creación y documentación de una política de seguridad de la información en la oficina de Educación Virtual de la Universidad Santo Tomás.html>. que ayude a mejorar los procesos que actualmente se llevan garantizando el manejo adecuado de la información. [consultado 01 de Noviembre de 2011] 22 .co/1621/article196492. evitara problemas de suplantación de identidad por parte de los usuarios del Campus y pérdida de información en las aulas diferentes aulas virtuales que salvaguarda la oficina de educación virtual de la Universidad Santo Tomás. lo cual conlleva a un extenso manejo de información y que en la mayoría de los casos no hay políticas de seguridad para garantizar la continuidad y confiabilidad de la misma. mayor facilidad para la toma de decisiones. <http://www.Tecnologías de la Información y Comunicación –TIC.ha abierto un sin número de posibilidades para realizar proyectos educativos en el que todas las personas tengan la oportunidad de acceder a educación de calidad sin importar el momento o el lugar en el que se encuentren. la variedad de plataformas virtuales han permitido que las instituciones implementen este medio sin mayor dificultad y creen oficinas dedicadas exclusivamente a este trabajo. 4 MINISTERIO DE EDUCACIÓN NACIONAL.

Piso 11. Universitaria. dado que esto podría implicar riesgo y pérdida de esa información. amenazas vulnerabilidades. Cd. 23 . así como los problemas derivados del acceso de esa información.mx/scielo. Copilco Universidad URL:http://www.php?script=sci_arttext&pid=S0187358X2010000100008&lang=es PAIS: México AÑO: 2009 EMPRESA: Centro Universitario de Investigaciones Bibliotecológicas de la UNAM DESCRIPCION: Se analiza la problemática actual de la producción y acumulación mundial de información en forma de documentos electrónicos o digitales. Se determinan los riesgos. sobre todo en red. MARCO DE REFERENCIA 2. Col. Torre II de Humanidades.scielo.2.org. etcétera. Circuito Interior.1 ANTECEDENTES Tabla 1 Antecedente caso 1 1 ESPACIO ANTECEDENTE – CASO 1 TITULO: Preservación documental digital y seguridad informática FUENTE: Centro Universitario de Investigaciones Bibliotecológicas de la UNAM.

edu. certificado bajo la norma ISO 27001:2005 FUENTE: Repositorio de la Escuela Superior Politécnica del litoral URL: https://www. Fuente http://www.scielo. garantizando siempre la disponibilidad.dspace. La forma más adecuada para proteger los activos de información es mediante una correcta gestión del riesgo.org. la confidencialidad e integridad de la misma. Se estudian y establecen con detalle los factores que inciden a favor y en contra de los documentos digitales. La implementación de un Sistema de Gestión de Seguridad de la información garantiza que la organización adopte las buenas prácticas 24 . logrando así identificar y focalizar esfuerzos hacia aquellos elementos que se encuentren más expuestos. así como diversas estrategias para establecer la seguridad informática y la relación de ésta con la preservación confiable de esa información. en el ecuador.que afectan a esa información.ec/handle/123456789/7718 PAIS: Ecuador AÑO: 2009 EMPRESA: Escuela Superior Politécnica Del Litoral DESCRIPCION: Dada la evolución de la Tecnologías de la información y su relación directa con los objetivos del negocio de la organizaciones. el universo de amenazas y vulnerabilidades aumenta por lo tanto es necesario proteger uno de los activos más importantes de la organización. la información.espol.php?script=sci_arttext&pid=S0187-358X2010000100008&lang=es Tabla 2: Antecedente caso 2 ANTECEDENTE – CASO 2 TITULO: Implementación del primer sistema de gestión de seguridad de la información.mx/scielo.

ec/bitstream/15000/9946/1/DESARROLLO%20DE%20POL %3FTICAS%20DE%20SEGURIDAD%20INFORM%3FTICA%20E%20IMPLEMEN TACI%3FN%20DE%20TRES%20DOMINIOS%20EN%20BASE%20A%20LA%20 N.edu. se expone un caso de éxito de una implementación de un SGSI y su respectiva certificación bajo la norma ISO 27001:2005 Fuente https://www.epn.sugeridas por la ISO 27001:2005 para un correcto tratamiento del riesgo. En el presente informe de trabajo profesional.pdf PAIS: ECUADOR AÑO: 2010 EMPRESA: UNIPLEX SYSTEMS S. URL: http://dspace.edu.A 25 . EN QUITO” FUENTE: Repositorio digital de la Universidad Pública de Navarra.A.espol.dspace.ec/handle/123456789/7718 Tabla 3: Antecedente caso 3 ANTECEDENTE – CASO 3 TITULO: DESARROLLO DE POLÍTICAS DE SEGURIDAD INFORMÁTICA E IMPLEMENTACIÓN DE TRES DOMINIOS EN BASE A LA NORMA 27002 PARA EL ÁREA DE HARDWARE EN LA EMPRESA UNIPLEX SYSTEMS S.

Se analiza también la situación de las políticas de Seguridad Informática instauradas previo a la implementación del Plan Piloto.edu.epn. se indica la implementación de las políticas de Seguridad Informática y se dispone de una guía para que los usuarios las apliquen sin dificultad. se detalla la documentación e instructivos que se desarrollaron para implementar la norma. Se desarrollan las nuevas políticas en base al procedimiento visto y se procede a la implementación de las mismas. Universitaria. Se analizan tres dominios de la norma que tienen estrecha relación con la Seguridad Informática. Se describe la metodología para desarrollar un Sistema de Seguridad Informática y se desarrolla el Plan Piloto de Políticas de Seguridad Informática. Torre II de Humanidades. pdf Tabla 4: Antecedente caso 4 ANTECEDENTE – CASO 4 TITULO: Preservación documental digital y seguridad informática FUENTE: Centro Universitario de Investigaciones Bibliotecológicas de la UNAM.DESCRIPCION: En el presente proyecto se desarrolla un Plan Piloto de Políticas de Seguridad Informática para ser implementado en el área de Networking de la empresa Uniplex Systems S. Circuito Interior. Cd.ec/bitstream/15000/9946/1/DESARROLLO%20DE%20POL%3FTICAS%20DE%20SEGURIDAD%20I NFORM%3FTICA%20E%20IMPLEMENTACI%3FN%20DE%20TRES%20DOMINIOS%20EN%20BASE%20A%20LA%20N. Se presenta un resumen de la historia de la ISO 27000 y se describe la norma de Seguridad de la Información ISO/IEC 27002. Fuente http://dspace. Col. Se presentan las conclusiones y recomendaciones del presente proyecto. En los anexos se dispone de conceptos importantes de este proyecto. Piso 11. Copilco Universidad 26 .A.

ar/tesis/ PAIS: Argentina 27 .com.php?script=sci_arttext&pid=S0187-358X2010000100008&lang=es Tabla 5: Antecedente caso 5 ANTECEDENTE – CASO 5 TITULO: Seguridad Informática . Se estudian y establecen con detalle los factores que inciden a favor y en contra de los documentos digitales. Fuente http://www.segu-info.php?script=sci_arttext&pid=S0187- 358X2010000100008&lang=es PAIS: México AÑO: 2009 EMPRESA: Centro Universitario de Investigaciones Bibliotecológicas de la UNAM DESCRIPCION: Se analiza la problemática actual de la producción y acumulación mundial de información en forma de documentos electrónicos o digitales. que afectan a esa información.scielo. etcétera.scielo. Se determinan los riesgos.org. amenazas vulnerabilidades.mx/scielo. dado que esto podría implicar riesgo y pérdida de esa información. sobre todo en red.Implicancias e Implementación FUENTE: Segu-Info URL: http://www.org.URL: http://www. así como diversas estrategias para establecer la seguridad informática y la relación de ésta con la preservación confiable de esa información.mx/scielo. así como los problemas derivados del acceso de esa información.

AIT. Los Backups se utilizan para tener una o más copias de información considerada importante y así poder recuperarla en el caso de pérdida de la copia original”. 5 5 Definición de Back Up.com. [consultado 7 de Noviembre de 2011] 28 .segu-info.” BACK UP: es la copia total o parcial de información importante del disco duro.AÑO: 2001 DESCRIPCION: Hoy es imposible hablar de un sistema cien porciento seguro.ar/Dic/backup.ar/tesis/ 2. Esta copia de respaldo debe ser guardada en algún otro sistema de almacenamiento masivo.2 MARCO CONCEPTUAL AULA VIRTUAL: es un sistema innovador de educación a distancia orientado a mejorar la comunicación. [en línea]. CDs. Fuente http://www. DVDs o cintas magnéticas (DDS. sencillamente porque el costo de la seguridad es muy alto por eso ls empresas en general asumen riesgos: debe optar por perder un negocio o arriesgarse a ser hackedas. Travan. procesamiento y estrategias que minimicen el riesgo de vulnerabilidad informática. incentivar el aprendizaje interactivo y personalizando el análisis crítico. es importante empezar a trabajar en algo y lo mejor es diseñar plataformas.php>. CDs.com.DLT y VXA). bases de datos u otro medio de almacenamiento. SLR. Ya que el costo de la seguridad es muy alto. <http://www. como ser discos duros.alegsa.

se refiere al desarrollo de programas de formación que tienen como escenario de enseñanza y aprendizaje el ciberespacio. [consultado 08 de Noviembre de 2011] 29 .co/1621/article-196492.7 E-LEARNING: el e-learning consiste en la educación y capacitación a través de Internet.es/?q=node/57>.aspx>.gov. [consultado 08 de Noviembre de 2011] 8 Definición de E-learning. COBIT permite el desarrollo de una política clara y una buena práctica para el control TI en las organizaciones. <http://www.isaca-bogota. <http://www. COBIT acentúa el cumplimiento regulatorio.html>. La información permite 6 COBIT.net/metodologias/cobit.8 GOBIERNO DE TI: el Gobierno de TI es una disciplina relativa a la forma en la que la alta dirección de las organizaciones dirige la evolución y el uso de las tecnologías de la información. [en línea].tgti. <http://www.e-abclearning. 6 EDUCACIÓN VIRTUAL: la educación virtual. [consultado 07 de Noviembre de 2011] 7 Educación virtual o educación [en línea]. los temas técnicos y los riesgos del negocio. [en línea]. ayuda a las organizaciones a aumentar el valor asociado al área de TI. también llamada "educación en línea".COBIT: es un marco de referencia de Gobierno TI y un conjunto de herramientas de soporte que permite a los gerentes reducir la brecha entre los requerimientos de control.9 INFORMACIÓN: la información es un conjunto organizado de datos. habilita la alineación y simplifica la puesta en práctica del marco de referencia COBIT.com/definicione-learning>.mineducacion. [consultado 08 de Noviembre de 2011] 9 Definición de Gobierno de TI. <http://www. [en línea]. que constituye un mensaje sobre un cierto fenómeno o ente.

org/wiki/Moodle>. en inglés SAN (Storage Área Network).htm>.[consultado 08 de 11 12 13 Noviembre de 2011] 14 Red de Área de Almacenamiento. [consultado 08 de Noviembre de 2011] Moodle.11 MOODLE: es un Ambiente Educativo Virtual. <http://www. [consultado 08 de Noviembre de 2011] ISO 27000.info/politicas_de_seguridad.cu/index. [consultado 08 de Noviembre de 2011] Política de Seguridad.13 SOLUCIÓN SAN: red de área de almacenamiento. segura y fiable los distintos elementos que la conforman.ecured. [en línea]. <http://www. es una red concebida para conectar servidores. de distribución libre. <http://www. [en línea]. está basada en tecnología fiber channel y más recientemente en iSCSI. protege y maneja los riesgos de diferentes daños.iso27000. matrices (arrays) de discos y librerías de soporte. que ayuda a los educadores a crear comunidades de aprendizaje en línea.resolver problemas y tomar decisiones.123innovationgroup. ya que su uso racional es la base del conocimiento. [en línea]. <http://definicion.de/informacion/ >.html>. Este tipo de plataformas tecnológicas también se conoce como LMS (Learning Management System). sistema de gestión de cursos.php/Red_de_%C3%A1rea_de_almacenamiento>.14 10 Definición de Información.”10 ISO 27001: la ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo.12 POLÍTICA DE SEGURIDAD: las políticas de seguridad son las reglas y procedimientos que regulan la forma en que una organización previene.es/iso27000. [en línea]. [consultado 08 de Noviembre de 2011] 30 . [en línea]. [en línea]. Principalmente.wikipedia. <http://en. Su función es la de conectar de manera rápida.

iso27000.1 Sistema de gestión de la seguridad de la información. [consultado 08 de Noviembre de 2011] 16 Seguridad de la Información. documentado y conocido por toda la organización. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático. 2. por tanto la principal función del Sistema de Gestión de la Seguridad de la Información es identificar los factores de riesgo.SEGURIDAD DE LA INFORMACIÓN: según [ISO/IEC 27002:2005]: Preservación de la confidencialidad.3. no repudio y fiabilidad pueden ser también consideradas. además.es/glosario.iso27000. [consultado 08 de Noviembre de 2011] 31 . integridad y disponibilidad de la información.2 ¿Qué es un SGSI? Con base en la Norma ISO 27001 se toman una serie de conceptos entre ellos el de SGSI cual se define como la abreviatura utilizada 15 Seguridad de la Información.es/glosario. En la norma ISO 27000 se define todo un esquema referente al Sistema de Gestión de seguridad de la Información y da un concepto claro del mismo “El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.html#section10s>.15 2. [en línea].html#section10s>. [en línea]. <http://www.3 MARCO TEÓRICO 2.3. <http://www.” 16 Es imposible garantizar la protección total de un Sistema aun disponiendo de un amplio presupuesto. otras propiedades como autenticidad. documentarlos y hacerlos conocer a la organización con el fin de aplicar a cada uno de ellos un control específico para minimizar la probabilidad de falla del sistema. responsabilidad.

32 . consiste “en la preservación de su confidencialidad. impresa . ISMS es el concepto equivalente en idioma inglés. siglas de Information Security Management System.para referirse a un Sistema de Gestión de la Seguridad de la Información. En el contexto que se está tratando referente a la seguridad informática se entiende como información . así como de los sistemas implicados en su tratamiento. en correos electrónicos Imagen 1 Procesamiento de Datos Fuente www. el conjunto de datos organizados y que para la organización tiene algún tipo de valor .iso27000.es La seguridad de la información. sin importar la forma en que se encuentre almacenada ya sea en equipos de cómputo . según ISO 27001. dentro de una organización”. integridad y disponibilidad.

como violación de la información. junto a los procesos y sistemas que hacen uso de ella. con el fin de mejorar la continuidad del negocio y proteger su información. integridad y disponibilidad de información llegan a ser elementos importantes para garantizar la competitividad. la imagen entre otros factores empresariales necesarios para lograr los objetivos de la organización y asegurar beneficios económicos de la misma. sabotaje. Hacking. son activos muy importantes de una organización”. Las organizaciones deben ser entidades dinámicas que se adapten a los nuevos cambios del mundo. a este proceso se le conoce como SGSI (Sistemas de Gestión de la Seguridad de la Información). • Disponibilidad: La información estará disponible al momento en que se necesite. • Integridad: La información no puede sufrir alteración o modificaciones.Estos tres términos anteriormente tratados son los pilares de la información y que se incumpla uno de ellos afectara directamente las características de la información. Para garantizar la seguridad de la información se debe hacer uso de un proceso sistemático que garantice las tres características principales de la información. denegación de servicios. y que pueden llegar a impactar de manera negativa el objetivo de la organización así como su imagen. Actualmente los sistemas de información en las organizaciones están expuestos a ataques informáticos. A continuación se presenta una grafica general que presenta la 33 . la información de manera completa “La En la norma ISO 27000 define información. La confidencialidad. • Confidencialidad: La información solo estará disponible a personal autorizado. entre otros.

” 17 “Sistema de Gestión de la Seguridad de la Información“. [en línea]. Factores que afectan el riesgo Fuente www.html> . Asimismo.es/sgsi. [consultado 15 de Noviembre de 2011] 34 .” Auditabilidad: “define que todos los eventos de un sistema deben poder ser registrados para su control posterior. forma - y distribución. se garantiza el origen de la información.iso27000. validando el emisor para evitar suplantación de identidades.17 Grafico 1. deberán considerarse los conceptos de: Autenticidad: “busca asegurar la validez de la información en tiempo.es Adicionalmente.iso27000. <http://www.Norma ISO 27000 indicando que factores afectan el riesgo en la seguridad de la información.

Impedir que se grabe una transacción para luego reproducirla. la Confidencialidad. <http://www. reglamentaciones - o disposiciones a las que está sujeto el Organismo. a menos que se especifique lo contrario. 2006]”. [consultado 15 de Noviembre de 2011.3 Análisis y control de riesgos. con el objeto de simular múltiples peticiones del mismo remitente original.- Protección a la duplicación: “consiste en asegurar que una transacción sólo se realiza una vez. Integridad y Disponibilidad de la información.com/new/blog/2011/08/dimensiones-de- seguridad-de-la-informacion/>.Además Tudor firma “ 18 “Dimensiones de la seguridad de Ia Información“. normas.” Confiabilidad de la Información: “es decir.legitec.3.] 35 . que la información generada sea - adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones. Los riesgos informáticos que se pueden llegar a presentar dependen del tipo de organización en conclusión los riesgos informáticos que puede llegar a ocurrir son diferentes. Según una revista publicada en ACIS. Tipton dice “los controles de seguridad informática usualmente se clasifican en tres categorías: controles físicos.” Legalidad: “referido al cumplimiento de las leyes. La seguridad de la información puede entenderse como la preservación de tres cualidades importantes.”18 2. controles lógicos o técnicos y controles administrativos [Tipton. [en línea].” No repudio: “se refiere a evitar que una entidad que haya enviado o recibido - información alegue ante terceros que no la envió o recibió.

Recomendar controles que disminuyan la probabilidad de los riesgos. 2005. una fase fundamental en el diseño de la arquitectura de seguridad informática es la etapa de análisis de riesgos [Peltier. Las metodologías más utilizadas son cualitativas. En una publicación de ACIS ubicada en su portal Web hablan sobre los controles de seguridad adaptativos y da puntos claves para el mejoramiento de la seguridad 19 www. < http://www. 2. Las diferentes metodologías de análisis de riesgos cambian de acuerdo a la probabilidad de que una amenaza se lleve a cabo y del impacto en la organización que esa pueda llegar a tener.org. Landoll.acis.co/fileadmin/Revista_105/JMGarcia. 6. éstos deben estar integrados en lo que se denomina una arquitectura de seguridad informática [Tudor.org.Para que los controles sean efectivos. 2005]: 1. 2005]. [consultado18 de Noviembre de 2011] 36 . 3. 5.co. Documentar el proceso. el análisis de riesgos comprende los siguientes pasos según los autores antes mencionados [Peltier. Identificar las amenazas que pueden comprometer la seguridad de los activos. con el objeto de establecer una priorización de las mismas. 2006]”19.acis. 4. en el sentido de que dan una caracterización de “alta/media/baja” a la posibilidad de contingencia más que una probabilidad específica. Definir los activos informáticos a analizar. Sin importar cual sea el proceso que se siga. Por lo tanto.pdf>. [en línea]. la cual debe ser congruente con los objetivos de la organización y las prioridades de las posibles amenazas de acuerdo al impacto que éstas tengan en la organización. Determinar la probabilidad de ocurrencia de las amenazas. Determinar el impacto de las amenaza.

Estos deben estar relacionados a la confidencialidad. debe establecerse una medida del grado en que se están cumpliendo los objetivos de seguridad para determinar cuándo es necesario un ajuste en los parámetros del controlador. Para que el control pueda adaptarse a los cambios debe contar con un mecanismo de ajuste de sus parámetros de acuerdo al comportamiento actual del sistema y a un modelo de referencia que indique cuál debería ser el comportamiento deseado.co/fileadmin/Revista_105/JMGarcia. la clave para lograr controles de seguridad adaptativos es convertirlos en controles de lazo cerrado. los sistemas. y como aspecto esencial. los controles de seguridad son de lazo abierto. Las reglas de un cortafuego generalmente son fijas.pdf>. etc. < http://www.de la información a través de controles a continuación se menciona el contenido del portal. El primer punto es entonces establecer objetivos de control que se desean alcanzar mediante el mecanismo de control. [consultado 18 de Noviembre de 2011] 37 . y ante un cambio en los requerimientos de tráfico en la red.” 20 20 ACIS. la información. [en línea]. “En la mayoría de los casos. Una manera de convertir al cortafuego en un mecanismo de lazo cerrado sería acoplarlo a un detector de intrusiones de modo tal que ante la detección de un posible ataque. Este punto supone que existe un modelo del comportamiento normal del sistema así como de las acciones requeridas para restablecerlo a la normalidad cuando se presente una anomalía. el cortafuego es uno de los controles más comúnmente utilizados en las redes informáticas. En general. las reglas del cortafuego se modifiquen automáticamente para bloquear el tráfico sospechoso. esto es.org. el resultado de su funcionamiento no es retroalimentado para mejorar el desempeño del control. se deben cambiar manualmente las reglas de filtraje. En segundo lugar. Por ejemplo. integridad y/o disponibilidad de los datos.acis.

38 . Este documento describe las políticas generales de seguridad de la información definidas en la oficina de educación virtual de la Universidad Santo Tomás. es por ello que cada uno de los integrantes debe conocerla para que no afecte la integridad de la misma. es por ello que toma la dedición de implementar un marco de trabajo que garantice protección de la información independientemente de cómo se manipule. con el fin de regular la administración de la información y administración del campus virtual. almacene. 3. distribuya.2 OBJETIVO El objetivo de este documento es definir políticas de seguridad de la información de la Oficina de Educación Virtual de la Universidad Santo Tomás. para su elaboración se tomo como referencia el estándar ISO 27001:2005 y las recomendaciones de la ISO 27002:2005 que establece los controles aplicables a la organización.1 INTRODUCCIÓN Y CONCEPTUALIZACIÓN La oficina de educación virtual de la Universidad Santo Tomás identifica la información como un elemento primordial en el desarrollo de sus objetivos organizacionales. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 3. La Seguridad de la Información es algo que la Oficina de Educación Virtual de la Universidad Santo Tomás desea adoptar como una práctica.3.

3 ALCANCE Las políticas de Seguridad de la información establecidas en este documento cubren aspectos administrativos y de control que deben ser cumplidos por el director y empleados de la dependencia. Promover la cultura de la seguridad de la Información entre los miembros de la Oficina de Educación Virtual de la Universidad Santo Tomás. 3.3. Verificación del cumplimiento de las políticas mencionadas en este documento.      La revisión y aprobación de las políticas establecidas en este documento. esto para logar un nivel adecuado de protección de la información. 3. Facilitar la divulgación de este documento entre los miembros de la Oficina de Educación Virtual de la Universidad Santo Tomás.5 TÉRMINOS Y DEFINICIONES 39 .4 COMPROMISO DE LA DIRECCIÓN La dirección de la Oficina de Educación Virtual de la Universidad Santo Tomás como muestra de su compromiso y apoyo en el diseño de esta política de seguridad de la información realizara las siguientes actividades. El suministro de recursos adecuados para la implementación de la política de Seguridad de la Información.

cuyo fin es establecer.  Tratamiento del riesgo: proceso de selección e implementación de medidas para modificar el riego. Confidencialidad: propiedad que determina que la información no está disponible ni sea revelada a individuos. Disponibilidad: propiedad de que la información sea accesible y utilizable para solicitud de una entidad autorizada. que tiene una probabilidad significativa de comprometer las operaciones amenazar la seguridad de la información. además puede involucrar otras actividades como: autenticidad. para determinar la importancia del riesgo. hacer seguimiento . Evaluación del riesgo: Proceso de comparar el riesgo estimado contra criterios de riesgos dados. trazabilidad. Gestión del Riesgo: actividades coordinadas para dirigir y controlar una organización en relación con el riesgo Incidente de seguridad de la Información: un evento o serie de eventos de seguridad de la información no deseados o inesperados. mantener y mejorar la seguridad de la información. integridad y disponibilidad de la información.  Sistema de gestión de seguridad de la información: parte del sistema de gestión global . basada en un enfoque hacia los riegos globales de un negocio. revisar. Seguridad de la Información: preservación de la confidencialidad.   Integridad: propiedad de salvaguardar la exactitud y el estado completo de del negocio y los activos. entidades o procesos no autorizados. 40 .        Aceptación de riesgo: decisión de asumir el riesgo Activo: cualquier cosa que tiene valor para la organización Análisis de Riesgo: uso sistemático de la información para identificar las fuentes y estimar el riesgo. implementar . no repudio y fiabilidad. operar.

3. 6. con el fin de evitar la pérdida en la confidencialidad. 2. 41 .3. El Software utilizado será únicamente el licenciado por la Universidad Santo Tomás o de libre distribución. 8. la perdida de información y garantizando la confidencialidad. integridad y disponibilidad de la misma. Los activos de la oficina de educación virtual serán identificados y clasificados para establecer mecanismos de protección. Las copias de seguridad de aulas virtuales se salvaguardaran en un dispositivo extraíble y se registraran en el formato establecido. Está prohibido el uso de correos electrónicos personales para el envió de información institucional. La Oficina de Educación Virtual de la Universidad Santo Tomás definirá controles con el propósito de proteger la información contra acceso no autorizado. integridad y disponibilidad de la información. Todos los miembros de la Oficina de Educación Virtual de la Universidad Santo Tomás serán responsables de la protección de la información a la cual tengan acceso y manipulen. 5.6 POLÍTICAS GENERALES DE SEGURIDAD DE LA INFORMACIÓN La Oficina de Educación Virtual de la Universidad Santo Tomás ha establecido las siguientes políticas generales de seguridad de la información en cuanto a la protección de sus activos de información: 1. La divulgación de información confidencial será autorizada por el Director de la Oficina de Educación Virtual de la Universidad Santo Tomás. Toda la información que no sea propia de la institución y se desee publicar con anterioridad revisada por la oficina de educación virtual debe cumplir con todas la normas de derechos de autor pertinentes. 7. 4.

9. Las violaciones a las políticas de Seguridad de la Información en la oficina de Educación Virtual de la Universidad Santo Tomás. es por ello que en la oficina de educación virtual de la Universidad Santo Tomás se inicia identificando los activos de información que son administrados actualmente. 42 . 10. serán reportadas.8 RECOLECCIÓN DE INFORMACIÓN Y ANÁLISIS DE RIESGOS El análisis de riesgos en la organizaciones es el primer paso para el desarrollo e implementación de políticas de Seguridad de la Información en las Organizaciones. identificando en cada uno de ellos cada uno de ellos las vulnerabilidades y amenazas que puede llegar a afectar la confidencialidad . 3. 3. integridad y disponibilidad de la información. La oficina de Educación virtual de la Universidad Santo Tomás contara con un plan de contingencia de negocio que implique la continuidad de su operación en caso de desastre natural o eventos no previstos.7 SANCIONES PREVISTAS POR EL INCUMPLIMIENTO El incumplimiento a la Política de Seguridad de la Información establecida en la Oficina de Educación Virtual de la Universidad Santo Tomás. registradas y monitoreadas. De igual forma la Oficina de Educación Virtual de la Universidad Santo Tomás cuenta con una serie de controles documentados basados en la norma ISO 27001 y sus anexos con el propósito de mejorar la seguridad de la información. implicara diversas sanciones establecida por el departamento de recursos Humanos.

Tabla 6: Amenazas y vulnerabilidades Activos Servidor Moodle Aplicación Moodle Copias de Seguridad del Campus virtual Vulnerabilidades No existe gestión de contraseñas de usuario Administrador El Servidor se encuentra en un espacio disponible al publico No se cuenta con servidor de respaldo en otra seccional No se exige cambiar contraseña a usuarios al ingresar al sistema por primera vez No hay procedimiento eliminación de usuario o cambio de password inmediato al desvincular a un administrador o coadministrador del software utilizado para la creación de aulas virtuales El sistema no está parametrizado para cambio de contraseña periódica No existe procedimiento para etiquetado de las copias de seguridad No existe formato para registrar las copias de seguridad del Campus virtual que se han descargado No existe responsable de salvaguardar las copias de seguridad Amenazas ingreso al servidor por parte de personal no autorizado Cualquier persona puede tener acceso físico a la maquina Daño irreparable de la maquina Suplantación de identidad Administración del la aplicación por personal no vinculado a la organización Se Pueden a llegar a capturar contraseñas de usuarios de manera fácil Perdida de Información y errores al momento de restaurar aulas virtuales Perdida de Información 43 .

del Campus virtual. Rutas de aprendizaje Archivos fuente de Diseño Grafico Objetos de aprendizaje Desarrollo de Software Documentos generales No existe un dispositivo que permita salvaguardar las copias de seguridad del Campus virtual No existe procedimiento para etiquetado de la información No existe un equipo de computo matriz donde se almacene esta información No existe información de respaldo de la información No existe procedimiento para etiquetado de la información No existe información de respaldo de la información No existe procedimiento para etiquetado de la información No existe información de respaldo de la información No existe información de respaldo de la aplicaciones desarrolladas por el departamento No existe procedimiento para etiquetado de la información Perdida de Información Perdida de Información Perdida de Información Perdida de Información Perdida de Información 44 .

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN [ISO/IEC 27001:2005 A. La oficina de Educación Virtual de la Universidad Santo Tomás establece un comité interdisciplinario de personas.1 ORGANIZACIÓN INTERNA [ISO/IEC 27001:2005 A.2]. 4. con la responsabilidad de analizar.1] 4.1. revisar.6.6] 4. se optara por implementar una serie de controles basados en la norma ISO 27001 que garanticen en gran parte la protección de la información. monitorear y mejorar la seguridad de la información en la oficina.1. además contará con un coordinador que impulsara a la implementación y socialización de la política de seguridad de la información.6. 45 .Equipos de Computo funcionarios educación virtual Oficina de Educación Virtual No existe información de respaldo de la información No existe gestión de Ingreso a archivos por contraseñas parte de personal no autorizado No cuenta con No hay rutas de señalización evacuación en caso de incidencia No tiene extintores Incendio queme los equipos de computo Fuente: Autor del proyecto Después de analizar los activos de información y los riesgos a los que se encuentran expuestos.1 Coordinación de la Seguridad de la Información [ISO/IEC 27001:2005 A.

4. A continuación se listan los procesos de seguridad involucrados. Tabla 8: Responsabilidades de la Seguridad Informática. indicando en cada uno de ellos los responsables al cumplimento de esta política de seguridad de la información.2 Asignación de las responsabilidades de la seguridad de la información [ISO/IEC 27001:2005 A. e) Promover la educación y concientización de la política de Seguridad de la Información en la oficina.Tabla 7: Conformación del grupo de trabajo Cargo Director Oficina Educación Virtual Asesor Tecnológico Auxiliar Educación Virtual Webmaster Fuente Autor del proyecto Representante Richard Alexander Caicedo Elucides Alfonso Rueda Mauricio Gallo José Joaquín Salcedo Duran El comité tendrá las siguientes responsabilidades: a) Asegurar que las actividades de seguridad de la información sean ejecutas según la política de seguridad de la información.6.1. b) c) Aprobar metodologías y procesos para la seguridad de la información Identificar cambios significativos en las amenazas y la exposición de la información y los medios de procesamiento de la información ante amenazas.1. 46 .3]. d) Evaluar la idoneidad y coordinar la implementación de controles de seguridad de la información.

equipo de computo Archivo fuentes Director Oficina Equipo de de diseño grafico Educación Virtual computo Objetos de Director Oficina Archivos aprendizaje Educación Virtual fuentes. Tabla 9: Propietarios de los activos Información Campus Virtual Propietarios Director Educación Virtual Copias de Director Oficina Seguridad Aulas Educación Virtual virtuales Recursos Servidor. base de datos Dispositivos extraíbles.Proceso Política de Seguridad Aspectos organizativos de Seguridad de la Información Gestión de Activos Responsable Director Oficina Educación Virtual la Director Oficina Educación Virtual Director Oficina Educación Virtual – Ingeniero soporte Tecnológico Seguridad ligada a los recursos Director Oficina Educación Virtual Humanos Gestión de comunicaciones y Ingeniero soporte Tecnológico operaciones Control de acceso Ingeniero soporte Tecnológico Gestión de incidentes de seguridad Director Oficina Educación virtual de la información Gestión de continuidad de negocio Director Oficina Educación Virtual – Ingeniero soporte Tecnológico Fuente Autor del proyecto A continuación se indican los propietarios de la información en la Oficina de Educación virtual de la Universidad Santo Tomás y los administradores de la misma con el propósito de definir responsabilidades en los activos de información. equipo de computo Rutas de Director Oficina Equipo de aprendizaje Educación Virtual computo Fuente Autor del proyecto Administrador Ingeniero soporte Tecnológico Auxiliar Educación Virtual Diseñador educación virtual Diseñador educación virtual. Asesores pedagógicos 47 .

5].5 Revisión Independiente de la Seguridad de la Información [ISO/IEC 27001:2005 A.1. 48 . en caso contrario.8]. 4. de igual forma la instalación de cualquier software la realizara un encargado del departamento de sistemas.6.3 Proceso de autorización de recursos para el procesado de la información [ISO/IEC 27001:2005 A. la idoneidad y el criterio independiente de revisión en temas de seguridad de la información.1. serán los suministrados por la misma.6. realizara revisión en su política de seguridad de la información para valorar su cumplimiento.1.1. Cada empleado de la Oficina de Educación Virtual de la Universidad Santo Tomás firmara los acuerdos de confidencialidad y no divulgación de la información diseñada por la institución en los cuales se enmarca el buen uso y protección de la información al momento de firmar su contrato laboral. Esta auditoría la podrá desarrollar un empleado de la Universidad Santo Tomás a excepción que trabaje en la misma oficina. el será el Director de la Oficina de Educación Virtual será quien autorice a utilizar dispositivos tecnológicos diferentes a los suministrados por la Universidad Santo Tomás. Este funcionario debe contar con el perfil.1.4 Acuerdos de Confidencialidad [ISO/IEC 27001:2005 A.4.6. Los dispositivos tecnológicos que se utilizaran para el desarrollo de las actividades en la oficina de educación virtual. El software instalado en los equipos de cómputo de la Oficina de educación Virtual será el licenciado por la Universidad Santo Tomás o Software de libre distribución que apunte al cumplimiento de la misión de la oficina.1. La oficina de Educación Virtual mediante auditorías internas. 4.4]. la eficiencia de sus controles y procedimientos para la protección de la información.

A continuación se realiza el inventario de activos de la Oficina de Educación Virtual de la Universidad Santo Tomás.1. GESTIÓN DE ACTIVOS [ISO/IEC 27001:2005 A.7] 5. Tabla 10: Activos de Información Tipo activo Información Propietario Responsable de Respaldo Base de Base de Servidor Solución Director Ingeniero datos Mysql Datos Moodle SAN oficina Soporte Moodle Educación Tecnológico Virtual Documentos Rutas de Equipo Disco Duro Director Asesores aprendizaje Asesores Extraíble oficina Pedagógicos Pedagógicos Educación de Nombre del Activo Ubicación 49 .1 RESPONSABILIDAD SOBRE LOS ACTIVOS [ISO/IEC 27001:2005 A.7. Ante cualquier modificación este inventario de activos deberá ser modificado y revisado con una periodicidad de mínimo 6 meses.2].7. con base en la clasificación de activos que suministra la norma ISO/IEC 27001:2005. Se identificaran los activos más importantes de la Oficina de Educación Virtual de la Universidad Santo Tomás junto con sus propietarios y administradores de los mismos. además el encargado de revisar y mantener el inventario de activos será el Director de la Oficina de Educación Virtual y el Ingeniero de Soporte Tecnológico.1.1] 5.7.A.1.1 Inventario de activos Información [ISO/IEC 27001:2005 A.5.1.

Copias de Copias Seguridad Campus Virtual Archivos fuentes Ejecutables Documentos Virtual Disco Duro Equipo de Director Extraíble Computo oficina Educación Virtual Archivos Equipo de Disco Duro Director Fuentes Computo Extraíble Oficina Diseño Diseñador Educación Grafico Virtual Objetos de Equipo de Disco Duro Director aprendizaje Computo Extraíble oficina Diseñador Educación Virtual Archivos Equipo de Disco Duro Director generales Secretaria Extraíble oficina Educación Educación Virtual Virtual Asistente Educación Virtual Diseñador Grafico Diseñador Grafico Secretaria Educación Virtual Fuente: Autor del proyecto Tabla 11: Activos de Aplicación Tipo activo de Nombre del Activo Moodle Ubicación Aplicación Servidor Moodle Información Propietario Responsable de Respaldo Solución Director Ingeniero SAN oficina Soporte Educación Tecnológico Virtual Fuente: Autor del proyecto 50 .

Tabla 12: Activos de Físicos Tipo activo Servidor de Nombre del Activo Servidor Moodle Ubicación Oficina Educación Virtual Oficina Educación Virtual Oficina Educación Virtual Oficina Educación Virtual Oficina Educación Virtual Oficina Educación Virtual Oficina Educación Virtual Oficina Educación Virtual Equipo de Equipo computo Ingeniero soporte Tecnológico Equipo de Equipo computo Diseño Grafico Equipo de Equipo computo Asesor Pedagógico Uno Equipo de Equipo computo Asesor Pedagógico Dos Equipo de Equipo computo Asistente Virtual Equipo de Equipo computo Secretaria Equipo de Equipo computo Director Educción Virtual Fuente Autor del proyecto Información Propietario Responsable de Respaldo Solución Director Ingeniero SAN Oficina Soporte Educación Tecnológico Virtual Disco Duro Director Ingeniero Extraíble Oficina Soporte Educación Tecnológico Virtual Disco Duro Director Diseñador Extraíble Oficina Grafico Educación Virtual Disco Duro Director Asesor Extraíble Oficina Pedagógico Educación Uno Virtual Disco Duro Director Asesor Extraíble Oficina Pedagógico Educación Dos Virtual Disco Duro Director Asistente Extraíble Oficina Virtual Educación Virtual Disco Duro Director Secretaria Extraíble Oficina Educación Educación Virtual Virtual Disco Duro Director Director Extraíble Oficina Oficina Educación Educación Virtual Virtual 51 .

La información. webproxys.2 Uso aceptable de los activos [ISO/IEC 27001:2005 A.1. dispositivos tecnológicos.1.7.3]. tomando como referencia los siguientes lineamientos: - Se prohíbe el acceso a páginas relacionadas con pornografía. 52 .1.1.  Acceso a Internet Internet es una herramienta fundamental que permite navegar en muchos sitios de interés y fundamental para el desarrollo de las funciones de la oficina de Educación Virtual de la Universidad Santo Tomás.7. por lo cual el uso adecuado de este recurso se debe controlar. copias de seguridad o dispositivos Tecnológicos de la oficina de Educación Virtual requiere autorización del Director de la Oficina de Educación Virtual. La Universidad Santo Tomás podrá monitorear y utilizar la información. El intercambio no autorizado de información privada institucional con terceros o personas que no tengan relación con la oficina de Educación virtual de la Universidad Santo Tomás. Extraer la base de Datos de Moodle. drogas. cuentas a sistemas de información entre otros) son activos de la Universidad Santo Tomás y serán suministrados a los empleados de la Oficina de Educación Virtual para cumplir con las actividades asignadas por la misma. dispositivos tecnológicos y servicios suministrados a los empleados de la Oficina de Educación Virtual de la Universidad Santo Tomás para procesos de investigación internos o procesos legales.A. físicos y servicios (Cuentas de correo electrónico.5. verificar y monitorear. hacking o cualquier página que vaya en contra de las leyes vigentes nacionales sobre la seguridad de la Información.

software no licenciado o productos que afecten de alguna forma la propiedad intelectual. integridad y disponibilidad de la Información. pornográfico. Cada funcionario es responsable del uso adecuado de este recurso. confidencialidad. cadenas de correo (religioso. político. uso. - Las cuentas de correo electrónico Institucional otorgadas por la Universidad Santo Tomás a los empleados de la Oficina de Educación Virtual deberán asignadas. razonable. instalación de juegos. Los mensajes y toda la información contenida en los buzones de correo ser utilizadas para uso exclusivo de las funciones institucionales electrónico institucional son de propiedad de la Universidad Santo Tomás.- La descarga. El envió de información Institucional debe hacerse exclusivamente a través del correo que suministro la Universidad Santo Tomás para el desarrollo de las actividades laborales. terceros o leyes nacionales vigentes.  Uso de Correo electrónico Los empleados de la Oficina de Educación Virtual de la Universidad Santo Tomás que tengan acceso a cuentas de correo electrónico institucionales deberán seguir las siguientes políticas. responsable y lo más importante que no afecte contra la confidencialidad. publicitario no corporativo. no abusiva. 53 . en ningún momento puede ser usado como practica que atente contra personal interno. integridad o disponibilidad de la infraestructura tecnológica o de la información. así como mensajes que puedan afectar los sistemas informáticos de la Universidad Santo Tomás o terceros. El uso de internet no es permitido siempre y cuando se utilice de manera ética. No es permitido enviar correos personales. software malicioso. derechos de autor. películas.

La información que administra y manipula la Oficina de Educación Virtual debe ser etiquetada de la siguiente manera. Oa_Pronostico Periodontal 54 . Recursos Tecnológicos El uso adecuado de los recursos tecnológicos de la Oficina de Educación Virtual se reglamento bajo las siguientes políticas: - Solo será posible instalar software licenciado por la Universidad Santo Tomás o en su defecto software de libre distribución todo por supervisión de una persona del departamento de sistemas.1. Copias de Seguridad del Campus virtual: cp_codigo asignatura_nombre de la Asignatura_(nombre y apellidos del docente) Ejemplo. con el objetivo de garantizar la disponibilidad de la información y la continuidad de las operaciones.2]. Los usuarios de la Oficina de Educación virtual. Estos cambios los debe realizar el departamento de Tecnología de la Universidad Santo Tomás. como IP. archivos del sistema entre otros. 5. No se permite llevar los dispositivos tecnológicos de la Oficina de Educación Virtual a las casa de los empleados sin previa autorización de la dirección.7.3 Etiquetado de la Información [ISO/IEC 27001:2005 A. Cp_170315 Filosofía Institucional (Manuel cárdenas) Rutas de aprendizaje: Ra_ código asignatura_nombre de la Asignatura_Unidad # Ejemplo.2. cuentas de usuario. o pueden cambiar las configuraciones de la maquinas tales. Ra_170315 Filosofía Institucional unidad Uno Objetos de aprendizaje: Oa_Nombre del objeto Ejemplo.

1] 6.8.1. Af_Pronostico Periodontal Copias de seguridad de los equipos de cómputo: Fecha copias_Nombre cargo Ejemplo.1]. manipulación malintencionada entre otros.8] 6. 07-Julio-2011-Director Educación Virtual La forma de etiquetar la información que no se encuentra en el punto anterior se deja a consideración de los responsables de cada proceso siempre y cuando el nombre que le asigna a cada archivo o carpeta sea fácil de identificar.8.1 ANTES DEL EMPLEO [ISO/IEC 27001:2005 A.1. divulgación. con el propósito de proteger los activos de información contra acceso. por personal no autorizado.1 Funciones y Responsabilidades [ISO/IEC 27001:2005 A.Archivos fuentes: Af_Nombre del objeto Ejemplo. destrucción. La oficina de Educación Virtual de la Universidad Santo Tomás define a continuación las funciones y responsabilidades de cada uno de los cargos establecidos en la misma. 6 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS [ISO/IEC 27001:2005 A. 55 .

2 Concienciación.2. Responsable de la Administración del Campus Virtual de la Universidad Santo Tomás Asesoría diseño de aulas virtuales de aprendizaje ( Rutas de aprendizaje) Asistente en gestión de administración del Campus Virtual: .Subir contenidos a la aulas virtuales Elaboración de material Multimedia para apoyo de la Educación Virtual. La oficina de Educación Virtual de la Universidad Santo Tomás .3 Proceso Disciplinario [ISO/IEC 27001:2005 A.Generar Copias de seguridad .8. Este procedimiento se llevara a cabo en compañía del 56 .1.Tabla 13: Responsabilidades Cargo Director Oficina Educación Virtual Ingeniero Soporte Tecnológico Asesor Pedagógico Asistente Virtual Educación Diseñador grafico Secretaria Virtual Educación Responsabilidades Responsable de todos los procesos de la oficina de Educación Virtual. para ser analizado con las autoridades pertinentes ya se legales o propias de la institución.2.) Fuente Autor del proyecto 6. etc. Administración de Información general (Correos electrónicos. Información de la Dirección.8. este se documentara mediante un acta. realizara capacitaciones a sus funcionarios cada seis meses en temas relacionados a la política de seguridad de la información y temas relacionados a seguridad de la información en las organizaciones. En caso de presentarse un incidente de seguridad de la información. formación y capacitación en seguridad de la información [ISO/IEC 27001:2005 A.1.Restaurar aulas virtuales .3]. de igual forma al momento de ingreso de personal nuevo se realizara una capacitación en la cual se le indique las políticas de seguridad de la información que maneja la oficina de educación virtual y las responsabilidades que se asignan a su cargo. solicitudes.2]. 6.

acceso entre otros que dicho usuario pueda llegar a tener en el Campus virtual. eliminara todos los permisos. 7. tendrá que hacer un documento en el cual indique la información de manera clara la información que administraba y su ubicación.1.1 . 6. El empleado que se desvincule de la Oficina de Educación Virtual. SEGURIDAD FÍSICA Y AMBIENTAL [ISO/IEC 27001:2005 A.9] 7.A.1] 7.3].1 Perímetros de Seguridad Física [ISO/IEC 27001:2005 A. roles. así como se restablecerán las claves de correo electrónico y equipo de cómputo por un miembro autorizado del departamento de sistemas. El Ingeniero de Soporte Tecnológico de la oficina de Educación Virtual de la Universidad Santo Tomás.1 ÁREAS SEGURAS [ISO/IEC 27001:2005 A.Director de recursos humanos. el director de la oficina de edición virtual y si se cree pertinente de acuerdo la gravedad del incidente otros miembros delegados por la Universidad Santo Tomás.1.9. es por ello que se debe contar 57 .4 Cese del empleo o cambio del puesto de trabajo [ISO/IEC 27001:2005 A.9. Al momento de desvinculación de un empleado de la oficina de Educación Virtual el departamento de almacén realizar el inventario de todos los insumos registrados a nombre de dicho empleado.1.1].8. Toda la Infraestructura tecnológica y de telecomunicaciones que garantiza el funcionamiento del Campus virtual de la Universidad Santo Tomás Bucaramanga se considera como un área de acceso restringido.1.9.

con sus debidas señalizaciones. - Se deberá considerar un equipo contra incendios ubicado adecuadamente dentro de la oficina de Educación Virtual.3 Protección contra las amenazas externas y de origen ambiental [ISO/IEC 27001:2005 A. La oficina de Educación Virtual contara con un listado de teléfonos de autoridades pertinentes en caso de caer en cualquier siniestro. hora de llega. Se debiera asignar y aplicar protección física contra daño por fuego. explosión.4]. 58 .1. esto para garantizar la protección de la información.1. descripción en la cual indique porque ingreso al cuarto de telecomunicaciones y firma del director de la oficina de Educación Virtual o Ingeniero Soporte Tecnológico los cuales autorizan el acceso. revuelta civil y otras formas de desastres naturales o causados por el hombre. hora de salida. hardware y software de acciones malintencionadas o accidentales. Cada vez que se requiera el ingreso al cuarto de telecomunicaciones que salvaguarda el servidor Moodle por personal diferente a los autorizados anteriormente se debe diligenciar el Anexo B “Formato de visita cuarto de telecomunicaciones” 7.2 Controles de Ingreso físico [ISO/IEC 27001:2005 A. La oficina de Educación Virtual llevara una bitácora en la cual indique la fecha.9. inundación.1.2]. 7. nombre de la persona que entro al cuarto de telecomunicaciones. terremoto. este listado debe permanecer siempre en un lugar visible a cualquier empleado de la oficina.con medidas de control de acceso físico mediante un cuarto de telecomunicaciones al cual tenga acceso el Director de la Oficina de Educación Virtual y el Ingeniero de Soporte Tecnológico de cualquier otro debe ser autorizado por el director de la oficina de Educación Virtual.9.1.

10. debe ser gestionado.1.2]. GESTIÓN DE COMUNICACIONES Y OPERACIÓN [ISO/IEC 27001:2005 A. controlado y autorizado por la Dirección y debe ser sometido a una evaluación que permita identificar los riesgos asociados a la operación 59 . 8.2 Gestión del cambio [ISO/IEC 27001:2005 A.1 RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIÓN [ISO/IEC 27001:2005 A.8.1] 8.10] 8.10.1 Documentación de los procedimientos de operación [ISO/IEC 27001:2005 A.1] - Las personas autorizadas para encender al servidor en el cual se encuentra en la aplicación que soporta el Campus virtual de la Universidad Santo Tomás son el Director de la Oficina de Educación Virtual y el Ingeniero de soporte Tecnológico.1. Todo cambio que se realice sobre la plataforma tecnológica que soporte el Campus Virtual de la Universidad Santo Tomás.10.1. - Las copias de seguridad del Campus virtual serán administradas por el Ingeniero de Soporte Tecnológico tanto en la SAN como en los dispositivos extraíbles en los que se almacene.1. - El ingeniero de Soporte Tecnológico será el encargado de realizar los mantenimientos preventivos y correctivos del servidor en el cual se encuentra alojada la aplicación del Campus virtual de la Universidad Santo Tomás.

el alcance. en caso de requerir más recursos ya sean tecnológicos o de personal se iniciara el proceso respectivo para la consecución de los mismos. la evaluación apropiada sobre el impacto potencial que estos puedan generar y cualquier otro aspecto que se considere importante por los responsables del cambio.2.10.3 PROTECCIÓN CONTRA CÓDIGO MALICIOSO Y DESCARGABLE [ISO/IEC 27001:2005 A.2 PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA[ISO/IEC 27001:2005 A.10.1].4.1].3. el plan de trabajo para la definición de pruebas funcionales.El Anexo C “Formato de Registro Gestión de Cambios” debe contener como mínimo la justificación y evidencia de los cambios que se vayan a realizar sobre la infraestructura tecnológica.1 Controles contra el código malicioso [ISO/IEC 27001:2005 A. 8.10.3] 8. La oficina de educación virtual de la Universidad Santo Tomás realizara un monitoreo.10. Todos los resultados de dichas mediciones serán presentados a la dirección para ser analizados. 8.4] 8. responsabilidades definidas.3. evaluación de rendimiento y análisis de la infraestructura tecnología que soporta el Campus Virtual con el propósito de revisar el consumo de recursos y prever su crecimiento de manera planificada. La oficina de Educación Virtual estable los siguientes lineamientos: 60 . autorización.1 Gestión de la capacidad [ISO/IEC 27001:2005 A.

La oficina de Educación Virtual de la Universidad Santo Tomás debe asegurar que la información almacenada en el servidor que soporta la aplicación del Campus virtual sea periódicamente resguardada mediante controles que garanticen su identificación.5. eliminar. disponibilidad.10. dañar. intentar introducir.1]. copiar.1 Copias de seguridad de la información [ISO/IEC 27001:2005 A. El Anexo D “Formato de Registro de Copias de Seguridad Campus virtual” es un formato para el registro de copias de seguridad de las aulas virtuales que se generen y se descargan después de finalizado el curso. 8. interceptar.4.10. modificar. generar.4 COPIAS DE SEGURIDAD [ISO/IEC 27001:2005 A. No está permitido escribir. compilar.- Todos los equipos de cómputos conectados en la oficina de Educación virtual tendrá instalado y actualizado el antivirus suministrado por el departamento de Sistemas. integridad. No está permitido desactivar o desinstalar software avalado por la Universidad Santo Tomás.5] 8. ejecutar . cualquier código de programación para auto replicarse . Estas copias de seguridad se salvaguardan en un Disco Duro extraíble y como respaldo un en equipo de computo destinado a almacenamiento de copias de seguridad para futura restauración. borrar la información del servidor que contiene la aplicación del Campus Virtual de la Universidad Santo Tomás si no tiene los roles para hacerlo. 61 . propagar.

1.1.11] 9. 8. 9.1 Políticas y procedimientos para intercambio de información [ISO/IEC 27001:2005 A. se almacenan diariamente a las 12:00 am en una solución SAN adquirida por la Universidad Santo Tomás y alojada en el primer piso del departamento de Biblioteca.1] 9.1].5.11. Las copias de seguridad de las aulas virtuales. entidad externa o de la institución sin previa autorización vía correo electrónico por parte del Director de la Oficina.1 Política de control de acceso [ISO/IEC 27001:2005 A.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO [ISO/IEC 27001:2005 A. información que necesita los 62 .8.8] 8. CONTROL DE ACCESO [ISO/IEC 27001:2005 A.11. de la base de datos del servidor Moodle o archivos fuentes de objetos de aprendizaje no pueden ser intercambiadas con ninguna persona.10.1].Las copias de seguridad de la aplicación Moodle.10. La autorización para el acceso a la aplicación del Campus virtual de la Oficina de Educación virtual está a cargo del ingeniero de soporte Tecnológico garantizando de acuerdo al grado de manipulación de la privilegios pertinentes.5 INTERCAMBIO DE INFORMACIÓN [ISO/IEC 27001:2005 A.

2] 9. - Todos los usuarios tendrá un identificador único en la base de de la siguiente manera: Estudiantes de pregrado: Código estudiantil Estudiantes de posgrado: Numero de cedula Docentes: Numero de cedula Administrativos: Numero de cedula - Cuando se requiera matricular un grupo de estudiantes a cursos virtuales se debe diligenciar el formato de registro de estudiantes interno de la oficina por la unidad académica que lo solicite. Eliminar o bloquear inmediatamente los derechos de acceso de los usuarios que han cambiado de puesto o trabajo o han dejado la organización. Una vez matriculados los usuarios en el Campus de debe verificar que el nivel de acceso que se le otorgo es el que se solicito inicialmente.11. Cuando se requiera crear usuarios de manera individual o eliminar del Campus se debe diligencia el formato de soporte a estudiantes de la oficina de Educación Virtual.11.9. Solicitar al estudiante firmar el formato de soporte a estudiantes de la oficina de educación virtual una vez terminado el registro o la actualización.2 GESTIÓN DE ACCESO DE USUARIO [ISO/IEC 27001:2005 A.2. Se les asignara temporalmente el número de identificación sin puntos como contraseña de acceso al campus virtual.2. La Oficina de Educación virtual establece las siguientes políticas para el registro de usuarios en el Campus virtual. 63 .1 Registro de usuarios [ISO/IEC 27001:2005 A.1].

11.3]. La asignación de contraseñas para los usuarios del Campus virtual de la Universidad Santo Tomás contara con las siguientes políticas: - Garantizar que los usuarios cambien la contraseña temporal al ingresar por primera vez al sistema del Campus virtual. En caso de solicitar cambio de contraseña en la oficina de Educación virtual. con el propósito de validar la identidad del usuario.2.- Chequeo periódico para eliminar o bloquear los IDs de usuario y cuentas redundantes Asegurar que no se emitan IDs de usuario redundantes a otros usuarios. 64 .2 Gestión de contraseñas de usuario [ISO/IEC 27001:2005 A. debe quedar registrado en el formato de atención a estudiantes de la oficina de educación virtual y firma del usuario que solicito el procedimiento. este debe enviar vía correo electrónico una contraseña temporal. Todos los equipos de cómputo como el servidor deben estar protegidos por contraseñas seguras. Garantizar que tanto la contraseña de usuarios como la del administrador del Campus virtual cumpa con los siguientes requisitos: Alfanumérica Mínimo de ocho caracteres Mínimo una letra mayúscula Mínimo un carácter especial - El sistema pedirá cambio de contraseña cada 45 días y esta parametrizado para que no permita establecer las dos últimas contraseñas. Al solicitar cambio de contraseña u olvido de contraseña en el Campus virtual. 9.2.

9. Registrar los eventos exitosos y fallidos de autenticación al sistema operativo. en vista de la importancia para el desarrollo de los objetivos organizaciones deberá implementar un plan de contingencia y recuperación de desastres que garantice la continuidad de las operaciones en caso de cualquier falla ya sea natural o mal intencionado basada en buenas prácticas o estándares internacionales.14.1] La oficina de educación virtual de la Universidad Santo Tomás. con una letra mayúscula y un carácter especial.3 CONTROL DE ACCESO AL SISTEMA OPERATIVO [ISO/IEC 27001:2005 A. 10. 65 . GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO [ISO/IEC 27001:2005 A. El usuario para acceder al sistema operativo no debe ser root y debe estar protegido por una contraseña alfanumérica.1 SEGURIDAD DE LA INFORMACIÓN EN LA CONTINUIDAD DEL NEGOCIO [ISO/IEC 27001:2005 A.14] 10.11. mínimo de ocho caracteres.1.5] - Para acceder al sistema operativo el cual está alojada la aplicación del Campus virtual de la Universidad Santo Tomás debe solicitar usuario y contraseña.

2 CONTINUIDAD DE NEGOCIO Y EVALUACIÓN DE RIESGO [ISO/IEC 27001:2005 A. así como las personas encargadas para dar inicio a un plan de contingencia. 66 .2] La oficina de educación virtual de la Universidad Santo Tomás debe realizar un análisis de riesgos con el propósito de definir un plan de continuidad de negocio y recuperación a desastres por lo menos una vez a la año.14.3 DESARROLLO E IMPLEMENTACIÓN DE PLANES DE CONTINUIDAD DE NEGOCIO [ISO/IEC 27001:2005 A. Una vez se inicie el plan de contingencia se deben seguir los pasos en según el plan establecido.3] La oficina de educación virtual de la Universidad Santo Tomas definiría los responsables en notificar un desastre.1.1. 10.10.14.

67 . integridad y disponibilidad de la información.11. es el primer paso para crear un esquema que garantice los tres principios básicos que toda organización de bebe implementar la confidencialidad. Al documentar la política de seguridad de la información para la Oficina de Educación Virtual lo que se busca es identificar sus activos más importantes y aplicar controles en cuanto a la administración. CONCLUSIONES La documentación de políticas de seguridad de la información en las organizaciones no garantiza el 100% de seguridad. sin embargo.

68 .12. El uso de aulas virtuales estructuradas de una manera pedagógica que garantice el aprendizaje continuo en temas relacionados a la seguridad de la información disponible al personal administrativo y estudiantil de la Universidad Santo Tomás Ya que el sistema de gestión de seguridad de la información es un ciclo que inicia pero nunca termina es necesaria que la política de seguridad de la información sea revisada para ver si está funcionando de manera correcta o es necesario realizar modificaciones. se recomienda usar como estándar la ISO 27031 que trata de la adecuación de tecnologías de información y comunicación (TIC) para la gestión de planes de contingencia. RECOMENDACIONES Es de vital importancia realizar campañas de sensibilización periódicamente sobre la política de seguridad de la información con los empleados de la oficina de educación virtual de la universidad Santo Tomas. Con el propósito de abarcar mejores prácticas para garantizar la continuidad de negocio.

ustabuca.mineducacion. Cristian. [en línea]. EDUARDO. [En línea]. Seguridad Informática .htm>.telefonica. [Consultado 08 de Noviembre de 2011].es/p81328926/]>.zip >.edu. [en línea].info/politicas_de_seguridad.de. 69 . [En línea].123innovationgroup. <http://avirtual. <http://www.co/inicio/quienesomos/index.ar/tesis/cap9.BIBLIOGRAFIA BORGHELLO. <http://definicion. Quienes Somos. [Consultado 08 de Noviembre de 2011] Definición.] CHAVARRO. <http://www. <http://www.Implicancias e Implementación. <http://www.jsp>. Retos de la seguridad informática.de/informacion/>. [Consultado 1 de Noviembre de 2011] MINISTERIO DE EDUACIÓN NACIONAL.segu-info. [en línea]. [Consultado 01 de Noviembre de 2011] Universidad Santo Tomás.gov.com. [Consultado 01 de Noviembre de 2011] Auditoria informática Barcelona.co/1621/article-196492. [Consultado 05 de Noviembre de 2011.html]>. [En línea]. Definición de Información. Política de Seguridad.

[En línea]. Análisis y control de riesgos de seguridad informática.php>. [en línea]. <http://www. ISO 27000. <http://www.pdf>.ar/Dic/backup. Definición de E-learning. Definición de Back Up.php/Red_de_%C3%A1rea_de_almacenamiento>. [Consultado 07 de Noviembre de 2011] Iso27000. [Consultado 08 de Noviembre de 2011] Ecured. Análisis y control de riesgos de seguridad informática. COBIT.com. [en línea].co/fileadmin/Revista_105/JMGarcia. <http://www.com/definicione-learning>. Red de Área de Almacenamiento. [en línea]. 2011] [Consultado 7 de Noviembre de e-ABClearning. [en línea].pdf>.cu/index.acis. [en línea]. <http://www.net/metodologias/cobit. [Consultado 18 de Noviembre de 2011] García. [Consultado 08 de Noviembre de 2011] García. <http://www.org.ecured.acis. <http://www.org.alegsa. Juan Manuel.iso27000.aspx>.e- abclearning.es.es/iso27000.Diccionario de informática. Juan Manuel. [Consultado 18 de Noviembre de 2011] ISACA.co/fileadmin/Revista_105/JMGarcia. [En línea]. <http://www.isacabogota. [Consultado 08 de Noviembre de 2011] 70 .html>.

Definición de Gobierno de TI.html>.es. <http://www. [Consultado15 de Noviembre de 2011] Ministerio de educación nacional.iso27000.html#section10s>. Sistema de Gestión de la Seguridad de la Información.es/sgsi.html#section2a>.mineducacion.gov. Seguridad de la Información.es.es/glosario. <http://www. [Consultado 15 de Noviembre de 2011] Iso27000.es/?q=node/57>.[En línea]. <http://www. [en línea]. [Consultado 08 de Noviembre de 2011] Temas de gobierno y gestión de tecnologías de la información.html >. [Consultado 08 de Noviembre de 2011] Iso27000.co/1621/article-196492. [en línea].es. [Consultado 08 de Noviembre de 2011] 71 . <http://www.tgti.Iso27000. Que es un SGSI.iso27000.iso27000. [en línea]. [En línea]. Educación virtual o educación en línea. <http://www.es/sgsi.

ANEXOS

Anexo A Formato de Registro Capacitación Seguridad de la Información
Fecha de capacitación Capacitador Lugar Tema Hora Nombre de asistente Cargo Correo electrónico Firma

72

Firma Capacitador

Anexo B Formato de Visita Cuarto de Telecomunicaciones
Fecha de Ingreso y hora de ingreso

Hora de salida

Persona que Ingresa

Motivo

Cambios realizados

Autorizo

73

Anexo C Formato de Registro Gestión de Cambios

Fecha de Inicio del Cambio Responsable de Proyecto

Registro Cambios Significativos que se realizarán

Planeación y prueba de cambios

Impactos potenciales Versión en la que estaba la aplicación Versión a la que se actualizara la aplicación

74

Autorización de la Dirección Ingeniero de Soporte Tecnológico Estado de la Copia Anexo D Formato de Registro de Copias de Seguridad Campus virtual Categoría Facultad Docente Curso Nombre de la Copia 75 .

Palabras clave— Aula virtual. I. con el propósito de establecer mejores prácticas en la administración de información del campus virtual. virtual. El primer paso para documentar una política de seguridad de la información es identificar los activos de información e identificar las amenazas y vulnerabilidades que los pueden llegar a afectar y con base en esto aplicar una serie de controles. Abstract— En esta monografía que lleva por nombre “ Diseño de documento de la política de seguridad de la información para la oficina de educación virtual Universidad Santo Tomás seccional Bucaramanga” se documentara una política de seguridad de la información acompañada de una serie de controles basados en la norma ISO 27001 y sus anexos que componen todo un sistema de gestión de seguridad de la información. es por ello que se documento una política de seguridad de la información basado en la norma ISO 27001 y sus anexos. Introducción E n el desarrollo continuo de las operaciones organizacionales nos olvidamos por completo de la gestión de la seguridad de la información 1 . II. La gestión de la información en el proceso de administración del campus virtual de la oficina de educación virtual es de vital importancia para garantizar un optimo funcionamiento de la misma. dejando su administración en un segundo plano y exponiéndola a los diversos peligro informáticos en los que el mundo actual se encuentra sometido. La oficina de educación virtual de la universidad Santo Tomás manipula información de vital importancia para el cumplimento de los objetivos organizacionales y por ende debe documentar una política de seguridad de la información que garantice Confiabilidad en su administración para la continuidad de las operaciones.Anexo E: Articulo IEEE DISEÑO DE DOCUMENTO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LA OFICINA DE EDUCACIÓN VIRTUAL UNIVERSIDAD SANTO TOMÁS SECCIONAL BUCARAMANGA (25 Junio 2012) Resumen— En esta monografía que lleva por nombre “ Diseño de documento de la política de seguridad de la información para la oficina de educación virtual Universidad Santo Tomás seccional Bucaramanga” se documentara una política de seguridad de la información acompañada de una serie de controles basados en la norma ISO 27001 y sus anexos que componen todo un sistema de gestión de seguridad de la información. Desarrollo del ARTÍCULO. con el fin de gestionar de una manera sistemática y segura la información. con el propósito de establecer mejores prácticas en la administración de información del campus virtual. ISO 27001. Seguridad Informática. campus controles.

el Palacio de Justicia de Bucaramanga y la Universidad Santo Tomás como administrador del Sitio Web de esta prestigiosa institución educativa. Oficina Educación Virtual Dir. Oficina Educación Virtual Dir. Conclusiones La documentación de políticas de seguridad de la información en las organizaciones no garantiza el 2 .es. [en línea]. pues no se pretendía la documentación de un Sistema de Gestión de Seguridad de la Información (SGSI) sino una política de seguridad de la información basado en la Norma ISO 27001 que garantizara en un grado aceptable la integridad. Oficina Educación Virtual Ingeniero soporte Tecnológico Ingeniero soporte Tecnológico Dir. sin embargo. Referencias ISO 27000. Oficina Educación Virtual Dir. Los controles aplicables en esta política no son todos los referenciados en la norma. Oficina Educación Virtual – Ingeniero soporte Tecnológico Dir. es el primer paso para crear un esquema que garantice los tres principios básicos que toda organización de bebe implementar la confidencialidad.html>. En su vida laborar ha estado vinculado a importantes organización como el Call Center CESS LTDA. integridad y disponibilidad de la información. Oficina Educación Virtual – Ingeniero soporte Tecnológico 100% de seguridad.Después de identificados los activos de información en la oficina de educación virtual se inicio a la documentación de objetivos de control con base en la Norma ISO 27001. controles que son aplicables a cualquier tipo de organización y de cualquier tamaño. Estudio Ingeniería de Sistemas en la Universitaria de investigación y desarrollo UDI universidad en la cual realizo un posgrado en seguridad informática. Al documentar la política de seguridad de la información para la Oficina de Educación Virtual lo que se busca es identificar sus activos más importantes y aplicar controles en cuanto a la administración. <http://www. La política de seguridad de la información toma como referencia los siguientes dominios y asigna responsables al proceso: Tabla 1: Asignación de responsabilidades Proceso Política de Seguridad Aspectos organizativos de la Seguridad de la Información Gestión de Activos Responsable Dir. Nació en Colombia – Bucaramanga el 22 de Julio de 1986.es/iso27000. IV. III. confidencialidad y disponibilidad de la información.[Consul tado 15 de Junio de 2012] Seguridad ligada a los recursos Humanos Gestión de comunicaciones y operaciones Control de acceso Gestión de incidentes de seguridad de la información Gestión de continuidad de negocio José Joaquín Salcedo D. Iso27000.iso27000.