SISTEMA SEGURIDAD INFORMATICA.
Enviado por lino1956 • 19 de Julio de 2016 • Informe • 8.533 Palabras (35 Páginas) • 310 Visitas
UNIVERSIDAD NACIONAL
“JOSÉ FAUSTINO SÁNCHEZ CARRIÓN”
[pic 1]
FACULTAD DE INGENIERÍA INDUSTRIAL, SISTEMAS E INFORMÁTICA
ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA INFORMÁTICA
“
PROPUESTA DE UN PLAN DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EL TRIBUNAL CONSTITUCIONAL BASADA EN LA NORMA TÉCNICA PERUANA: NTP - ISO / IEC 27001:2008 EDI. TECNOLOGÍA DE LA INFORMACIÓN
Tesis para optar por el título de Ingeniero Informático, que presentan
los bachilleres:
Callirgos de la Cruz Jayne Marly
Utani Suel Erika Roxana
Asesor:
Ing Lino R. Rodriguez Alegre
HUACHO - PERÚ
2 016
INTRODUCCIÓN
Los sistemas de información de las organizaciones desarrollan su misión en un entorno hostil y son responsables de la protección de la información que gestionan ante las amenazas de este entorno y deben, por todos los medios disponibles, garantizar su confidencialidad, integridad y disponibilidad.
Desde hace tiempo, hay una creciente preocupación por todos los aspectos relacionados con la seguridad. La organizaciones, públicas o privadas, grandes o pequeñas, se enfrentan día a día a amenazas contra sus recursos informáticos, con elevado riesgo de sufrir incidentes de alto impacto en su actividad. El imparable avance de las nuevas tecnologías en las organizaciones y, en general, el desarrollo de la Era de la información agrava constantemente esta situación.
Los riesgos que surgen relacionados con tecnologías y procesos, requieren soluciones y servicios emergentes para garantizar, de forma continua en el tiempo, la actividad de las organizaciones, la seguridad de la información base del negocio y los derechos de los individuos, en una sociedad cada vez más informatizada. Podemos inferir que la seguridad no es un producto: es un proceso continuo que debe ser controlado, gestionado y monitorizado.
El contenido del trabajo de investigación que se pone a consideración analizará el desarrollo la formulación un Plan de Seguridad de la Información para proteger los datos e información del Tribunal Constitucional tomando como referencia la norma ISO/IEC 27001 y que tiene como equivalencia en la normativa nacional la Norma Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información: Código de Buenas Prácticas para la gestión de la Seguridad de la Información. Requisitos”, la misma que sienta las bases para la implementación de los sistemas de gestión de seguridad de la información en las entidades integrantes del sistema nacional de informática.
Capítulo I: GENERALIDADES
1.1 Aproximación al Sistema de Gestión de la Seguridad de la Información
El uso intensivo de las Tecnologías de Información y Comunicaciones (TICs) contribuye a la optimización de las actividades y procesos de las organizaciones además de potenciar la productividad de las personas. Adicionalmente, las TICs facilitan el manejo de la información la que puede estar en almacenada en múltiples formatos: papel, electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, entre otras, haciendo que la misma se haya convertido en uno de los activos más importantes dentro de las organizaciones[1].
De allí la necesidad de protegerla sea si esta tiene relación con el negocio o sus clientes. Por ello las organizaciones destinan parte importante de su presupuesto a la gestión de seguridad de la información; sin embargo, tampoco deja de ser cierto que los avances tecnológicos han creado un acceso a la información que es demasiado grande para las barreras que se puedan establecer. Por lo tanto, las organizaciones deben aprender la manera de cómo aceptar el cambio de manera segura.
En el contexto de la investigación a desarrollarse entenderemos por información al conjunto de datos organizados en poder de una entidad los cuales poseen valor para la misma, independientemente de la forma en que se guarde o transmita, su origen (de la propia organización o de fuentes externas) o la fecha de elaboración.
Ahora bien, los sistemas de información de las organizaciones, como activos críticos de esta, están expuestos producto de cualquier vulnerabilidad existente en los sistemas a un número cada vez más elevado de amenazas tanto de orden fortuito como destrucción, incendio o inundaciones o las de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.
La presencia de amenazas como los virus informáticos, malware, phishing, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes, pero también están los riesgos de incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o las provocadas de modo accidental por catástrofes naturales y fallas técnicas.
La Ilustración 1-1 nos muestra como los activos de información de una organización están rodeados de un ambiente complejo lleno de amenazas que pueden ir desde simples virus de computadora hasta robo de la propiedad intelectual de la empresa.
[pic 2]
Figura 1.1.Activos de Información y sus amenazas
Los modelos de seguridad tradicionales se enfocan en mantener alejados a los atacantes externos. La realidad es que existen amenazas tanto dentro como fuera de la organización. La tecnología móvil, computación en nube, las redes sociales y el sabotaje por parte de los empleados son solo algunas de las amenazas internas que enfrentan las empresas. A nivel externo, no solo se trata del hacker solitario que ataca por gusto. En general, el entorno de riesgo está cambiando
Un Sistema de Gestión de la Seguridad de la Información (SGSI), es pues, en primera instancia una herramienta de la que disponen los segmentos estratégicos de la organización para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información.
Al igual que otros Sistemas de Gestión, la articulación de la secuencia y la documentación de las actividades que comprende toman como referencia estándares internacionales. Así, por ejemplo, la calidad se gestiona según la Norma ISO 9001, el impacto medioambiental según la Norma ISO 14001 y la prevención de riesgos laborales según el OHSAS 18001.
...