Universidad Peruana los Andes

Filial- lima
ESCUELA ACADEMICA PROFESIONAL DE INGENIERIA DE
SISTEMAS

CURSO:

METODOLOGIA DE SISTEMAS
TEMA:
La implementacin de las buenas prcticas de seguridad
informtica para la proteccin de la informacin en la Universidad
Peruana de los andes filial Lima 2014
INTEGRANTES:
Joaquin Suzue Caldas

LIMA- PERU





Universidad Peruana de los Andes Seguridad Informtica




TITULO
La implementacin de las buenas prcticas de seguridad
informtica para la proteccin de la informacin en la Universidad
Peruana de los andes filial Lima 2014

1.- PLANTEAMIENTO DEL PROBLEMA
1.1.-Descripcion de la realidad Problemtica
Con la llegada de los ordenadores se produce la revolucin
de la informacin, por ello es difcil encontrar un negocio o
empresa que no est informatizado o no mantenga sus datos
en soportes informticos.
Desde la consolidacin de Internet como medio de interconexin
global, los incidentes de seguridad relacionados con sistemas
informticos vienen incrementndose de manera alarmante. Este
hecho, unido a la progresiva dependencia de la mayora de
organizaciones hacia sus sistemas de informacin, viene provocando
una creciente necesidad de implantar mecanismos de proteccin que
reduzcan al mnimo los riesgos asociados a los incidentes de seguridad.
El problema es que los sistemas informticos son susceptibles
de ataques de virus, averas, accesos no autorizados, etc. que
pueden dejar el sistema afectado. Para poder hacer frente a
todos estos factores deben desarrollarse medidas o planes de
seguridad que permitan, en la medida de lo posible, eliminar
los riesgos potenciales.




Universidad Peruana de los Andes Seguridad Informtica

1.2.-Delimitaciones y Definicin del Problema
1.2.1 Delimitaciones:
o Delimitacin espacial: Esta investigacin est
comprendida en la ciudad de lima, Distrito de Jess
Mara.

o Delimitacin Temporal: Esta investigacin es
de actualidad, por cuanto el tema de satisfaccin es
vigente y ms aun en el mbito informtico.

o Delimitacin Conceptual: Esta investigacin abarca dos
conceptos fundamentales como la la seguridad
informtica y las buenas prcticas para su
implementacin.





1.3.- Formulacin del problema
1.3.1.- Formulacin del problema general
En qu medida la implementacin de las buenas
prcticas de seguridad informtica mejorara la
proteccin de la informacin en las pymes de lima
metropolitana?

Universidad Peruana de los Andes Seguridad Informtica

1.2.2.- Formulacin del problema especfico
Cules son las buenas prcticas en el uso de
software de seguridad informtica en las pymes en
el Per?
Cules son las buenas prcticas en el uso de
hardware de seguridad informtica en las pymes
en el Per?
Cules son las buenas prcticas que el usuario
debe seguir para la seguridad informtica en las
pymes en el Per?

1.3 Justificacin de la investigacin
La seguridad informtica, de igual forma a como sucede
con la seguridad aplicada a otros entornos, trata de
minimizar los riesgos asociados al acceso y utilizacin de
determinado sistema de forma no autorizada y en
general malintencionada. Esta visin de la seguridad
informtica implica la necesidad de gestin,
fundamentalmente gestin del riesgo. Para ello, se
deben evaluar y cuantificar los bienes a proteger, y en
funcin de estos anlisis, implantar medidas preventivas
y correctivas que eliminen los riegos asociados o que los
reduzcan hasta niveles manejables.

La valoracin econmica de los bienes a proteger puede
ser muchas veces una tarea compleja, la casustica de los
riesgos potenciales muy grande, y la complejidad y
diversidad de las medidas de seguridad disponibles
dificulta su seleccin. Sin embargo, el fondo sigue siendo
Universidad Peruana de los Andes Seguridad Informtica
el mismo, seguridad implica proteger alguna entidad
frente a un conjunto de riesgos y en este caso riesgos
relacionados con los sistemas informticos.

.
1.3.1 Importancia Del Proyecto
o La importancia de este Proyecto es que la
Optimizacin de procesos ayudando asi al
mejoramiento y la calidad del servicio que brinda
dicha institucin, a la vez ponindola a la altura de
la exigencia que se piden en esta poca.

1.4.- Objetivo de la investigacin
1.4.1.- Objetivo general
Determinar las buenas prcticas de seguridad
informtica en las pymes en el Per



1.4.2.- Objetivos especficos
Determinar las buenas prcticas en el uso de software
de seguridad informtica en las pymes en el Per
Establecer las buenas prcticas en el uso de hardware
de seguridad informtica en las pymes en el Per
Determinar son las buenas prcticas que el usuario
debe seguir para la seguridad informtica en las
pymes en el Per
Universidad Peruana de los Andes Seguridad Informtica

1.5. Limitaciones de La investigacin
Limitaciones
Poder encontrar buenas practicas de 5eguridad
frente a diferentes modelos de PCS
Ver la forma de no realizar mantenimiento de las
PC en periodos tan cortos .

1.6.-Tipo y Nivel de la Investigacin
Tipo de investigacin: Este trabajo es del tipo
acadmico ya que rene conocimientos avanzados
sobre un tema especifico
Nivel de Investigacin: Este trabajo es del tipo
descriptivo.
1.7.-Mtodo y Diseo de la Investigacin
Mtodo de la Investigacin: Este trabajo utilizara el
mtodo descriptivo ya que se ara mencin de cmo es la
realidad actual y se detallara todo.

Universidad Peruana de los Andes Seguridad Informtica
1.8.-Tcnicas e Instrumento de recopilacin de Informacin
Tcnicas: Se har uso de herramientas estadsticas para
obtener los resultados deseados.
Instrumentos: mediante Encuestas y entrevistas.
1.9.-Cobertura de Estudio
Universo: En la actualidad la Universidad Peruana de
los andes tiene una poblacin estudiantil de 5000
alumnos en sus diferentes carreras que ofrece
Muestra: Nuestro tamao de muestra ser de 100
alumnos para que asi sea ms fcil el procesamiento
de los datos.
1.10.- Variables e Indicadores

Variable Independiente:

IMPLEMENTACION DE LAS BUENAS PRACTICAS
Variable Dependiente:
PARA LA UNIVERSIDAD PERUANA DE LOS ANDES




Universidad Peruana de los Andes Seguridad Informtica

2 MARCO TEORICO

2.1 Antecedentes del problema

Pablo Galdmez La seguridad informtica es proteger los recursos
informticos valiosos de la organizacin, tales como la informacin,
el hardware o el software. A travs de la adopcin de las medidas
adecuadas, la seguridad informtica ayuda a la organizacin
cumplir sus objetivos, protegiendo sus recursos financieros, sus
sistemas, su reputacin, su situacin legal, y otros bienes tanto
tangibles como inmateriales. Desafortunadamente, en ocasiones se
ve a la seguridad informtica como algo que dificulta la consecucin
de los propios objetivos de la organizacin, imponiendo normas y
procedimientos rgidos a los usuarios, a los sistemas y a los
gestores. Sin embargo debe verse a la seguridad informtica, no
como un objetivo en s mismo, sino como un medio de apoyo a la
consecucin de los objetivos de la organizacin. En general el
principal objetivo de las empresas, es obtener beneficios y el de las
organizaciones pblicas, ofrecer un servicio eficiente y de calidad a
los usuarios. En las empresas privadas, la seguridad informtica
debera apoyar la consecucin de beneficios. Para ello se deben
proteger los sistemas para evitar las potenciales prdidas que
podran ocasionar la degradacin de su funcionalidad o el acceso a
los sistemas por parte de personas no autorizadas. De igual forma,
las organizaciones pblicas deben proteger sus sistemas para
garantizar la oferta de sus servicios de forma eficiente y correcta.


Universidad Peruana de los Andes Seguridad Informtica
Anlisis de impacto al negocio

El reto es asignar estratgicamente los recursos para cada equipo de seguridad y bienes que
intervengan, basndose en el impacto potencial para el negocio, respecto a los diversos
incidentes que se deben resolver.
Para determinar el establecimiento de prioridades, el sistema de gestin de incidentes
necesita saber el valor de los sistemas de informacin que pueden ser potencialmente
afectados por incidentes de seguridad. Esto puede implicar que alguien dentro de la
organizacin asigne un valor monetario a cada equipo y un archivo en la red o asignar un
valor relativo a cada sistema y la informacin sobre ella. Dentro de los valores para el
sistema se pueden distinguir: confidencialidad de la informacin, la integridad
(aplicaciones e informacin) y finalmente la disponibilidad del sistema. Cada uno de estos
valores es un sistema independiente del negocio, supongamos el siguiente ejemplo, un
servidor web pblico pueden poseer la caracterstica de confidencialidad baja (ya que toda
la informacin es pblica) pero necesita alta disponibilidad e integridad, para poder ser
confiable. En contraste, un sistema de planificacin de recursos empresariales (ERP) es,
habitualmente, un sistema que posee alto puntaje en las tres variables.
Los incidentes individuales pueden variar ampliamente en trminos de alcance e
importancia
Tcnicas para asegurar el sistema


Dos firewalls permiten crear una DMZ donde alojar los principales servidores que dan servicio a la
empresa y la relacionan con Internet. Por ejemplo, los servidores web, los servidores de correo
electrnico,... El router es el elemento expuesto directamente a Internet y, por tanto, el ms
vulnerable.
El activo ms importante que se posee es la informacin y, por lo tanto, deben existir
tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos
en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la
Universidad Peruana de los Andes Seguridad Informtica
aplicacin de barreras y procedimientos que resguardan el acceso a los datos y solo
permiten acceder a ellos a las personas autorizadas para hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio de proteccin o ms (en la
mayora de los casos es una combinacin de varios de ellos)
A continuacin se enumeran una serie de medidas que se consideran bsicas para asegurar
un sistema tipo, si bien para necesidades especficas se requieren medidas extraordinarias y
de mayor profundidad:
Utilizar tcnicas de desarrollo que cumplan con los criterios de seguridad al uso para todo
el software que se implante en los sistemas, partiendo de estndares y de personal
suficientemente formado y concienciado con la seguridad.
Implantar medidas de seguridad fsicas: sistemas anti incendios, vigilancia de los centros
de proceso de datos, sistemas de proteccin contra inundaciones, protecciones elctricas
contra apagones y sobretensiones, sistemas de control de accesos, etc.
Codificar la informacin: criptologa, criptografa y criptociencia. Esto se debe realizar en
todos aquellos trayectos por los que circule la informacin que se quiere proteger, no solo
en aquellos ms vulnerables. Por ejemplo, si los datos de una base muy confidencial se
han protegido con dos niveles de firewall, se ha cifrado todo el trayecto entre los clientes y
los servidores y entre los propios servidores, se utilizan certificados y sin embargo se dejan
sin cifrar las impresiones enviadas a la impresora de red, tendramos un punto de
vulnerabilidad.
Contraseas difciles de averiguar que, por ejemplo, no puedan ser deducidas a partir de
los datos personales del individuo o por comparacin con un diccionario, y que se cambien
con la suficiente periodicidad. Las contraseas, adems, deben tener la suficiente
complejidad como para que un atacante no pueda deducirla por medio de programas
informticos. El uso de certificados digitales mejora la seguridad frente al simple uso de
contraseas.
Vigilancia de red. Las redes transportan toda la informacin, por lo que adems de ser el
medio habitual de acceso de los atacantes, tambin son un buen lugar para obtener la
informacin sin tener que acceder a las fuentes de la misma. Por la red no solo circula la
informacin de ficheros informticos como tal, tambin se transportan por ella: correo
electrnico, conversaciones telefnica (VoIP), mensajera instantnea, navegacin
Internet, lecturas y escrituras a bases de datos, etc. Por todo ello, proteger la red es una
de las principales tareas para evitar robo de informacin. Existen medidas que abarcan
desde la seguridad fsica de los puntos de entrada hasta el control de equipos conectados,
por ejemplo 802.1x. En el caso de redes inalmbricas la posibilidad de vulnerar la
seguridad es mayor y deben adoptarse medidas adicionales.
Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso fuertes entre
los usuarios y servidores no pblicos y los equipos publicados. De esta forma, las reglas
ms dbiles solo permiten el acceso a ciertos equipos y nunca a los datos, que quedarn
tras dos niveles de seguridad.
Tecnologas repelentes o protectoras: cortafuegos, sistema de deteccin de intrusos -
antispyware, antivirus, llaves para proteccin de software, etc.
Mantener los sistemas de informacin con las actualizaciones que ms impacten en la
seguridad.
Universidad Peruana de los Andes Seguridad Informtica
Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener la
informacin en dos ubicaciones de forma asncrona.
Controlar el acceso a la informacin por medio de permisos centralizados y mantenidos
(tipo Active Directory, LDAP, listas de control de acceso, etc.). Los medios para conseguirlo
son:
Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas
y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisin minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
Asegurar que la informacin transmitida sea la misma que reciba el destinatario al
cual se ha enviado y que no le llegue a otro. y que existan sistemas y pasos de
emergencia alternativos de transmisin entre diferentes puntos.
Organizar a cada uno de los empleados por jerarqua informtica, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
Actualizar constantemente las contraseas de accesos a los sistemas de cmputo,
como se ha indicado ms arriba, e incluso utilizando programa que ayuden a los
usuarios a la gestin de la gran cantidad de contraseas que tienen gestionar en
los entornos actuales, conocidos habitualmente como gestores de identidad.
Redundancia y descentralizacin.

Puesta en marcha de una poltica de seguridad
Actualmente las legislaciones nacionales de los Estados, obligan a las empresas,
instituciones pblicas a implantar una poltica de seguridad. Por ejemplo, en Espaa, la Ley
Orgnica de Proteccin de Datos de carcter personal o tambin llamada LOPD y su
normativa de desarrollo, protege ese tipo de datos estipulando medidas bsicas y
necesidades que impidan la prdida de calidad de la informacin o su robo. Tambin en ese
pas, el Esquema Nacional de Seguridad establece medidas tecnolgicas para permitir que
los sistemas informticos que prestan servicios a los ciudadanos cumplan con unos
requerimientos de seguridad acordes al tipo de disponibilidad de los servicios que se
prestan.
Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y
recursos con las herramientas de control y mecanismos de identificacin. Estos mecanismos
permiten saber que los operadores tienen slo los permisos que se les dio.
La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores
en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza.
Por eso en lo referente a elaborar una poltica de seguridad, conviene:
Universidad Peruana de los Andes Seguridad Informtica
Elaborar reglas y procedimientos para cada servicio de la organizacin.
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una
posible intrusin
Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas
informticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables
jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que
los recursos y derechos de acceso sean coherentes con la poltica de seguridad definida.
Adems, como el administrador suele ser el nico en conocer perfectamente el sistema,
tiene que derivar a la directiva cualquier problema e informacin relevante sobre la
seguridad, y eventualmente aconsejar estrategias a poner en marcha, as como ser el punto
de entrada de la comunicacin a los trabajadores sobre problemas y recomendaciones en
trmino de seguridad informtica.

Anlisis de riesgos
El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos
informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como
su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotacin de un riesgo causara daos o prdidas financieras o
administrativas a una empresa u organizacin, se tiene la necesidad de poder estimar la
magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicacin de
controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto
formando una arquitectura de seguridad con la finalidad de preservar las propiedades de
confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

SEGURI DAD I NFORMTI CA
Toda organizacin debe estar a la vanguardia de los procesos de cambio. Donde disponer
de informacin continua, confiable y en tiempo, constituye una ventaja fundamental.
Donde tener informacin es tener poder.
Donde la informacin se reconoce como:
Crtica, indispensable para garantizar la continuidad operativa de la organizacin.
Valiosa, es un activo corporativo que tiene valor en s mismo.
Sensitiva, debe ser conocida por las personas que necesitan los datos.
Universidad Peruana de los Andes Seguridad Informtica
Donde identificar los riesgos de la informacin es de vital importancia.
La seguridad informtica debe garantizar:
La Disponibilidad de los sistemas de informacin.
El Recupero rpido y completo de los sistemas de informacin
La Integridad de la informacin.
La Confidencialidad de la informacin.
Nuestra Propuesta
Implementacin de polticas de Seguridad Informtica.
Identificacin de problemas.
Desarrollo del Plan de Seguridad Informtica.
Anlisis de la seguridad en los equipos de computacin.
Auditora y revisin de sistemas.