Jose Joaquin Salcedo - Esp. Seguridad Inf. (Revisar)
108
DISEÑO DE DOCUMENTO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LA OFICINA DE EDUCACIÓN VIRTUAL UNIVERSIDAD SANTO TOMÁS SECCIONAL BUCARAMANGA JOSÉ JOAQUÍN SALCEDO DURAN UNIVERSITARIA DE INVESTIGACIÓN Y DESARROLLO UDI
Transcript of Jose Joaquin Salcedo - Esp. Seguridad Inf. (Revisar)
DISEÑO DE DOCUMENTO DE LA POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN PARA LA OFICINA DE EDUCACIÓN VIRTUAL UNIVERSIDAD
SANTO TOMÁS SECCIONAL BUCARAMANGA
JOSÉ JOAQUÍN SALCEDO DURAN
UNIVERSITARIA DE INVESTIGACIÓN Y DESARROLLO UDI
INGENIERÍA DE SISTEMAS
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BUCARAMANGA
2012
DISEÑO DE DOCUMENTO DE LA POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN PARA LA OFICINA DE EDUCACIÓN VIRTUAL UNIVERSIDAD
SANTO TOMÁS SECCIONAL BUCARAMANGA
JOSÉ JOAQUÍN SALCEDO DURAN
Monografía Para optar al Título de Especialista en Seguridad Informática
Director:
Fernando Barajas
UNIVERSITARIA DE INVESTIGACIÓN Y DESARROLLO UDI
INGENIERÍA DE SISTEMAS
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BUCARAMANGA
2012
Nota de Aceptación
Firma Presidente del Jurado
Firma del Jurado
Firma del Jurado
Bucaramanga, 22 de Junio de 2012
TABLA DE CONTENIDO
pág.
INTRODUCCIÓN
1. PRESENTACIÓN DE LA MONOGRAFÍA
1.1 PLANTEAMIENTO DEL PROBLEMA
1.2 OBJETIVOS
1.2.1 Objetivo general1.2.2 Objetivos específicos
1.3 JUSTIFICACIÓN
2. MARCO DE REFERENCIA
2.1 ANTECEDENTES
2.2 MARCO CONCEPTUAL
2.3 MARCO TEÓRICO
2.3.1 Sistema de gestión de la seguridad de la información2.3.2 ¿Qué es un SGSI?2.3.3 Análisis y control de riesgos
3. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
3.1 INTRODUCCIÓN Y CONCEPTUALIZACIÓN
3.2 OBJETIVO
3.3 ALCANCE
3.4 COMPROMISO DE LA DIRECCIÓN
3.5 TÉRMINOS Y DEFINICIONES
3.6 POLÍTICAS GENERALES DE SEGURIDAD DE LA INFORMACIÓN
3.7 SANCIONES PREVISTAS POR EL INCUMPLIMIENTO
3.8 RECOLECCIÓN DE INFORMACIÓN Y ANÁLISIS DE RIESGOS
4. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN[ISO/IEC
27001:2005 A.6]
4.1 ORGANIZACIÓN INTERNA [ISO/IEC 27001:2005 A.6.1]
4.1.1 Coordinación de la Seguridad de la Información [ISO/IEC 27001:2005 A.6.1.2]4.1.2 Asignación de las responsabilidades de la seguridad de la información [ISO/IEC 27001:2005 A.6.1.3]4.1.3 Proceso de autorización de recursos para el procesado de la información [ISO/IEC 27001:2005 A.6.1.4]4.1.4 Acuerdos de Confidencialidad [ISO/IEC 27001:2005 A.6.1.5]4.1.5 Revisión Independiente de la Seguridad de la Información [ISO/IEC 27001:2005 A.6.1.8]
5. GESTIÓN DE ACTIVOS [ISO/IEC 27001:2005 A.7]
5.1 RESPONSABILIDAD SOBRE LOS ACTIVOS [ISO/IEC 27001:2005 A.7.1]
5.1.1 Inventario de activos Información [ISO/IEC 27001:2005 A.7.1.1- A.7.1.2]5.1.2 Uso aceptable de los activos [ISO/IEC 27001:2005 A.7.1.1- A.7.1.3]5.1.3 Etiquetado de la Información [ISO/IEC 27001:2005 A.7.2.2]
6. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS [ISO/IEC 27001:2005
A.8]
6.1 ANTES DEL EMPLEO [ISO/IEC 27001:2005 A.8.1]
6.1.1 Funciones y Responsabilidades [ISO/IEC 27001:2005 A.8.1.1]6.1.2 Concienciación, formación y capacitación en seguridad de la información [ISO/IEC 27001:2005 A.8.2.2]6.1.3 Proceso Disciplinario [ISO/IEC 27001:2005 A.8.2.3]6.1.4 Cese del empleo o cambio del puesto de trabajo [ISO/IEC 27001:2005 A.8.3]
7. SEGURIDAD FÍSICA Y AMBIENTAL [ISO/IEC 27001:2005 A.9]
7.1 ÁREAS SEGURAS [ISO/IEC 27001:2005 A.9.1]
7.1.1 Perímetros de Seguridad Física [ISO/IEC 27001:2005 A.9.1.1 - A.9.1.1]7.1.2 Controles de Ingreso físico [ISO/IEC 27001:2005 A.9.1.2]7.1.3 Protección contra las amenazas externas y de origen ambiental [ISO/IEC 27001:2005 A.9.1.4]
8. GESTIÓN DE COMUNICACIONES Y OPERACIÓN [ISO/IEC 27001:2005
A.10]
8.1 RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIÓN[ISO/IEC
27001:2005 A.10.1]
8.1.1 Documentación de los procedimientos de operación [ISO/IEC 27001:2005 A.10.1.1]8.1.2 Gestión del cambio [ISO/IEC 27001:2005 A.10.1.2]
8.2 PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA[ISO/IEC 27001:2005
A.10.3]
8.2.1 Gestión de la capacidad [ISO/IEC 27001:2005 A.10.3.1]
8.3 PROTECCIÓN CONTRA CÓDIGO MALICIOSO Y DESCARGABLE [ISO/IEC
27001:2005 A.10.4]
8.3.1 Controles contra el código malicioso [ISO/IEC 27001:2005 A.10.4.1]
8.4 COPIAS DE SEGURIDAD [ISO/IEC 27001:2005 A.10.5]
8.4.1 Copias de seguridad de la información [ISO/IEC 27001:2005 A.10.5.1]
8.5 INTERCAMBIO DE INFORMACIÓN [ISO/IEC 27001:2005 A.10.8]
8.5.1 Políticas y procedimientos para intercambio de información [ISO/IEC
27001:2005 A.10.8.1]
9. CONTROL DE ACCESO [ISO/IEC 27001:2005 A.11]
9.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO [ISO/IEC
27001:2005 A.11.1]
9.1.1 Política de control de acceso [ISO/IEC 27001:2005 A.11.1.1]
9.2 GESTIÓN DE ACCESO DE USUARIO [ISO/IEC 27001:2005 A.11.2]
9.2.1 Registro de usuarios [ISO/IEC 27001:2005 A.11.2.1]9.2.2 Gestión de contraseñas de usuario [ISO/IEC 27001:2005 A.11.2.3]
9.3 CONTROL DE ACCESO AL SISTEMA OPERATIVO [ISO/IEC 27001:2005
A.11.5]
10. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO [ISO/IEC 27001:2005
A.14]
10.1 SEGURIDAD DE LA INFORMACIÓN EN LA CONTINUIDAD DEL
NEGOCIO [ISO/IEC 27001:2005 A.14.1.1]
10.2 CONTINUIDAD DE NEGOCIO Y EVALUACIÓN DE RIESGO [ISO/IEC
27001:2005 A.14.1.2]
10.3 DESARROLLO E IMPLEMENTACIÓN DE PLANES DE CONTINUIDAD DE
NEGOCIO [ISO/IEC 27001:2005 A.14.1.3]
LISTA DE IMÁGENES
pág.
Imagen 1 Procesamiento de Datos
LISTA DE GRÁFICOS
pág.
Grafico 1 Factores que afectan el Riesgo
LISTA DE TABLAS
pág.
Tabla 1 Antecedente caso 1
Tabla 2 Antecedente caso 2
Tabla 3 Antecedente caso 3
Tabla 4 Antecedente caso 4
Tabla 5 Antecedente caso 5
Tabla 6 Amenazas y vulnerabilidades
Tabla 7 Conformación del grupo de trabajo
Tabla 8 Responsabilidades de la Seguridad Informática.
Tabla 9 Propietarios de los activos
Tabla 10 Activos de Información
Tabla 11 Activos de Aplicación
Tabla 12 Activos de Físicos
Tabla 13 Responsabilidades
LISTA DE ANEXOS
pág.
ANEXO A Formato de Registro Capacitación Seguridad de la Información
ANEXO B Formato de Visita Cuarto de Telecomunicaciones
ANEXO C Formato de Registro Gestión de Cambios
ANEXO D Formato de Registro de Copias de Seguridad Campus virtual
ANEXO E Articulo IEEE
GLOSARIO
ANÁLISIS DE RIESGO: uso sistemático de la información para identificar las
fuentes y estimar el riesgo.
AULA VIRTUAL: es un sistema innovador de educación a distancia orientado a
mejorar la comunicación, incentivar el aprendizaje interactivo y personalizando el
análisis crítico.
BACK UP: es la copia total o parcial de información importante del disco duro,
CDs, bases de datos u otro medio de almacenamiento. Esta copia de respaldo
debe ser guardada en algún otro sistema de almacenamiento masivo, como ser
discos duros, CDs, DVDs o cintas magnéticas (DDS, Travan, AIT, SLR,DLT y
VXA).
Los Backups se utilizan para tener una o más copias de información considerada
importante y así poder recuperarla en el caso de pérdida de la copia original.
COBIT: es un marco de referencia de Gobierno TI y un conjunto de herramientas
de soporte que permite a los gerentes reducir la brecha entre los requerimientos
de control, los temas técnicos y los riesgos del negocio.
COBIT permite el desarrollo de una política clara y una buena práctica para el
control TI en las organizaciones. COBIT acentúa el cumplimiento regulatorio,
ayuda a las organizaciones a aumentar el valor asociado al área de TI, habilita la
alineación y simplifica la puesta en práctica del marco de referencia COBIT.”
CONFIDENCIALIDAD: propiedad que determina que la información no está
disponible ni sea revelada a individuos, entidades o procesos no autorizados.
DISPONIBILIDAD: propiedad de que la información sea accesible y utilizable para
solicitud de una entidad autorizada.
EDUCACIÓN VIRTUAL: la educación virtual, también llamada "educación en
línea", se refiere al desarrollo de programas de formación que tienen como
escenario de enseñanza y aprendizaje el ciberespacio.
E-LEARNING: el e-learning consiste en la educación y capacitación a través de
Internet.
GESTIÓN DEL RIESGO: actividades coordinadas para dirigir y controlar una
organización en relación con el riesgo
GOBIERNO DE TI: el Gobierno de TI es una disciplina relativa a la forma en la que
la alta dirección de las organizaciones dirige la evolución y el uso de las
tecnologías de la información.
INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN: un evento o serie de
eventos de seguridad de la información no deseada o inesperada, que tiene una
probabilidad significativa de comprometer las operaciones del negocio y amenazar
la seguridad de la información.
INFORMACIÓN: la información es un conjunto organizado de datos, que
constituye un mensaje sobre un cierto fenómeno o ente. La información permite
resolver problemas y tomar decisiones, ya que su uso racional es la base del
conocimiento.
ISO 27001: la ISO 27001 es un Estándar Internacional de Sistemas de Gestión de
Seguridad de la Información que permite a una organización evaluar su riesgo.
INTEGRIDAD: propiedad de salvaguardar la exactitud y el estado completo de los
activos
MOODLE: moodle es un Ambiente Educativo Virtual, sistema de gestión de
cursos, de distribución libre, que ayuda a los educadores a crear comunidades de
aprendizaje en línea. Este tipo de plataformas tecnológicas también se conoce
como LMS (Learning Management System).
POLÍTICA DE SEGURIDAD: las políticas de seguridad son las reglas y
procedimientos que regulan la forma en que una organización previene, protege y
maneja los riesgos de diferentes daños.
SOLUCIÓN SAN: una red de área de almacenamiento, en inglés SAN (Storage
Área Network), es una red concebida para conectar servidores, matrices (arrays)
de discos y librerías de soporte. Principalmente, está basada en tecnología fiber
channel y más recientemente en iSCSI. Su función es la de conectar de manera
rápida, segura y fiable los distintos elementos que la conforman.
SEGURIDAD DE LA INFORMACIÓN: según [ISO/IEC 27002:2005]: Preservación
de la confidencialidad, integridad y disponibilidad de la información; además, otras
propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden
ser también consideradas.
TRATAMIENTO DEL RIESGO: proceso de selección e implementación de
medidas para modificar el riego.
RESUMEN
TITULO: RESUMEN (Diseño de política de seguridad de la Información)
AUTOR: JOSÉ JOAQUÍN SALCEDO DURAN
PALABRAS CLAVES: Aula virtual, Santo Tomás, educación virtual, SGSI,
seguridad, política
Descripción
Con el avance tecnológico la educación toma nuevas formas para hacerse notar, es por ello en que en la actualidad el uso de las aulas virtuales en las instituciones de educación Superior se han convertido en una herramienta de vital importancia para su desarrollo y cumplimiento de objetivos institucionales.
La Universidad Santo Tomás Bucaramanga a través de la oficina de Educación Virtual implementa las Tecnologías de Información y comunicación (TIC) en el proceso enseñanza aprendizaje mediante la creación y puesta en marcha de aulas virtuales, por tanto la información que maneja es de vital importancia para el proceso y necesita ser incorporada dentro de un proceso de gestión de Seguridad de la Información que garantice su buena administración.
Este documento muestra la elaboración de una política de seguridad de la Información acompañada de una serie de controles obtenidos de la Norma ISO 27001, aplicables a la oficina de educación virtual con el propósito de garantizar la seguridad y continuidad de las operaciones.
Además en esta documentación se muestran una serie de Formatos para facilitar el registro y control de ciertos aspectos importantes y cruciales al momento de proteger la información de daños y pérdida en la oficina de educación virtual.
ABSTRACT
TITLE: ABSTRACT (Security Policy Design Information)
AUTHOR: JOSÉ JOAQUÍN SALCEDO DURAN
KEYWORDS: Virtual classroom, Santo Tomás, virtual education, SGSI,
security, political
Description
Technological advance makes education excel in different ways. For this reason, virtual classrooms are a very important tool in higher education institutions because these help them to develop themselves and achieve their institutional objectives.
Santo Tomás University of Bucaramanga uses Virtual Education Department to implement Information and Communication Technologies (ICT) in teaching and learning process by creating and using virtual classrooms. For this reason information used in this process is very important and it requires an Assurance information process in order to ensure its good administration.
This document shows the creation of an assurance information policy, accompanied of a serie of control mechanims taken from ISO 27001 Norms, which are applicables in Virtual Education Department management with the purpose of ensure the Security and continuity of operations.
Also in this documentation are shown a number of formats to facilitate the registration and control of certain important and crucial when protecting information of damage and loss in virtual education office.
INTRODUCCIÓN
En agosto de 2011 se da inicio el desarrollo de una monografía que busca la
implementación de una política de seguridad de la información en la oficina de
educación virtual de la Universidad Santo Tomás con el propósito de cumplir el
requisito de grado de la especialización en seguridad informática cursada en la
Universitaria de Investigación y Desarrollo UDI.
Con este objetivo se inicia un proceso de documentación de mejores prácticas y
estándares nacionales referentes a la seguridad de la información como los son la
ISO 27001 y sus anexos esto con el fin de entender el concepto de sistema de
gestión de la seguridad de la información y los controles aplicables a las
organización.
17
1. PRESENTACIÓN DE LA MONOGRAFÍA
1.1 PLANTEAMIENTO DEL PROBLEMA
En el quehacer profesional, es muy común que los profesionales se encuentren
con necesidades que, en su empresa, puedan estar afectando negativamente el
desempeño de la misma (o un funcionamiento que no es el óptimo).
Con esta idea en mente, y ya que los autores tienen vínculo con la Universidad
Santo Tomás- Bucaramanga, se han indagado elementos que, desde el marco de
la temática de la Especialización en Seguridad Informática, se pudiesen aportar.
En ese sentido, cabe resaltar que la Universidad Santo Tomás seccional
Bucaramanga tiene como misión “promover la formación integral de las personas,
en el campo de la educación superior, mediante acciones y procesos de
enseñanza-aprendizaje, investigación y proyección social, para que respondan de
manera ética, creativa y crítica a las exigencias de la vida humana y estén en
condiciones de aportar soluciones a la problemática y necesidades de la sociedad
y del país”1, para ello cuenta con la Oficina de educación Virtual encargada de
apoyar el proceso de enseñanza aprendizaje logrando cumplir una parte del
objetivo principal de la institución utilizado como medio las nuevas tecnologías de
información y comunicación ( TIC ).
El desarrollo en tecnología a nivel mundial ha permitido a la Oficina de educación
Virtual, implementar aplicaciones que contribuyan a la educación E-learning y
1 Universidad Santo Tomás. Misión. [En línea] <http://www.ustabuca.edu.co/inicio/quienesomos/index.jsp> [consultado Diciembre 1 de 2011]
18
apostarle a una educación totalmente Virtual aumentando su responsabilidad ante
el cuerpo estudiantil y administrativo de la institución.
En el año 2007 y después de un análisis por parte de la Dirección y departamento
de Tecnología de la Oficina de Educación Virtual, en el uso de tecnologías tanto a
nivel nacional o internacional para el desarrollo de herramientas E-learning llego a
la decisión de implementar un servidor HP Proliant ML150 G6 con dos
procesadores Quad Core (2.5 GHz), 10 Gb de memoria RAM y 1100 Gb de
almacenamiento, en el cual se optó por instalar el sistema para enseñanza y
aprendizaje en línea Moodle que permite la administración aulas Virtuales.
La función de la Oficina de educación Virtual en la Universidad Santo Tomás ha
crecido con el transcurrir del tiempo, el incremento en el manejo de información,
la creación de aulas Virtuales, el registro de usuarios, entre otros son los procesos
críticos de la Oficina en su diario funcionamiento. Actualmente la Oficina de
educación Virtual no cuenta con una política de seguridad de la información
documentada, que garantice la confidencialidad, integridad, y disponibilidad de la
información, es decir no existen protocolos que indiquen como etiquetar la
información , roles de acceso, cuando ,como y donde generar y salvaguardar
copias de seguridad tanto de los equipos de cómputo como del Campus Virtual, no
existe política documentada al momento de crear, eliminar o restaurar aulas
Virtuales, ni tampoco al momento de crear , modificar , eliminar o matricular
usuarios a las diferentes aulas Virtuales del Campus.
Como lo menciona Eduardo Chavarro Ovalle en su video ”RETOS DE LA
SEGURIDAD INFORMTICA AVA”,2 es importante tener claro aspectos
importantes, como los son proteger el Entorno Virtual de Aprendizaje, evaluar
aplicaciones en las maquinas locales que pueden afectar la operación , proteger
los contenidos desarrollados con licenciamiento Creative Commons, entre michas 2 CHAVARRO OVALLE, Eduardo, RETOS DE LA SEGURIDAD INFORMTICA AVA [en línea] <http://avirtual.telefonica.es/p81328926/> , [consultado 1 de Noviembre de 2011]
19
otras cosas que garanticen el óptimo funcionamiento del sistema. No cumplir con
políticas de seguridad mínimas en la administración del Campus virtual entre ellas
la creación, modificación, eliminación o matricula de usuarios en el Campus
traería como consecuencia la mala administración manejo de la información;
además el no implementar controles de acceso a las diferentes aulas virtuales
creadas en el Campus, a la documentación interna y equipos de cómputo,
permitiría el ingreso a personal no autorizado afectando la confidencialidad de la
información.3
Es importante elaborar y documentar una política de seguridad de la información
en la cual se incluya toda una serie de procedimientos para la manipulación de la
información , la instalación de software y equipos tecnológicos así como su
administración , responsables de los procesos y controles de acceso a los
diferentes ítems anteriormente mencionados , con el fin de garantizar que los
proceso llevados en la Oficina de Educación Virtual en los cuales se ven
involucrados la manipulación de información y administración del Campus
Tecnológica, cumplan con un mínimo de seguridad garantizando la calidad de la
Oficina y la confidencialidad, integridad y disponibilidad de la información.
1.2 OBJETIVOS
1.2.1 Objetivo general. Elaborar la política de seguridad de la información de la
Oficina de educación Virtual de la Universidad Santo Tomás seccional
Bucaramanga, utilizando como marco de referencia COBIT 4.1 y la ISO 27001
para garantizar la confidencialidad, integridad , disponibilidad de la información y
3
CHAVARRO OVALLE, Eduardo.”RETOS DE LA SEGURIDAD INFORMTICA AVA”, [en línea], <http://avirtual.telefonica.es/p81328926/ > , [Consultado 1 de Noviembre de 2011]
20
los procesos de administración del Campus Virtual de la Universidad Santo Tomás
Seccional Bucaramanga.
1.2.2 Objetivos específicos
- Clasificar la información de la Oficina de Educación Virtual según la
necesidad, las prioridades y el grado esperado de protección como indica la norma
ISO 27001 mediante un esquema de clasificación de la información que defina un
conjunto apropiado de niveles y garantice la Confidencialidad, integridad y
disponibilidad de la misma.
- Documentar la política de seguridad de la Oficina de Educación Virtual que
garantice las mejores prácticas de seguridad de la información y que incluyan los
procedimientos a realizar.
- Implementar instrumentos de registro de información que garanticen la
confiabilidad en el proceso que involucren manipulación de la información en la
Oficina de Educación Virtual.
- Socializar políticas de seguridad de la información con el equipo de
Educación Virtual conformado por la Dirección, asesores pedagógicos, equipo
tecnológico y secretaria mediante charlas de sensibilización cada mes con el fin de
garantizar el conocimiento y la aplicación en los procesos en la organización.
1.3 JUSTIFICACIÓN
Según el Ministerio de Educación en su portal web afirma las ventajas de la
educación superior y la importancia en nuestro país” El desarrollo de las
21
Tecnologías de la Información y Comunicación –TIC- ha abierto un sin número de
posibilidades para realizar proyectos educativos en el que todas las personas
tengan la oportunidad de acceder a educación de calidad sin importar el momento
o el lugar en el que se encuentren.
En efecto, las alternativas de acceso que se han puesto en manos de las personas
han eliminado el tiempo y la distancia como un obstáculo para enseñar y
aprender”4. La Educación Virtual en Colombia cada vez adquiere más fuerza y se
convierte en el medio ideal para apoyar la educación presencial en las
instituciones educativas; la variedad de plataformas virtuales han permitido que las
instituciones implementen este medio sin mayor dificultad y creen oficinas
dedicadas exclusivamente a este trabajo, lo cual conlleva a un extenso manejo de
información y que en la mayoría de los casos no hay políticas de seguridad para
garantizar la continuidad y confiabilidad de la misma.
El desarrollo de este trabajo servirá como guía fundamental para la creación y
documentación de una política de seguridad de la información en la oficina de
Educación Virtual de la Universidad Santo Tomás, que ayude a mejorar los
procesos que actualmente se llevan garantizando el manejo adecuado de la
información, mejor reacción a incidentes de seguridad, minimización de los riesgos
inherentes a la seguridad de la información, mayor facilidad para la toma de
decisiones, mayor control de la información, auditorías de seguridad más precisas
y confiables; Por otro lado el establecer políticas de seguridad en la
administración de la plataforma Moodle al momento de crear, eliminar y modificar
tanto aulas virtuales como usuarios del Campus virtual, evitara problemas de
suplantación de identidad por parte de los usuarios del Campus y pérdida de
información en las aulas diferentes aulas virtuales que salvaguarda la oficina de
educación virtual de la Universidad Santo Tomás.
2. MARCO DE REFERENCIA4 MINISTERIO DE EDUCACIÓN NACIONAL. Educación [en línea], <http://www.mineducacion.gov.co/1621/article-196492.html>, [consultado 01 de Noviembre de 2011]
22
2.1 ANTECEDENTES
Tabla 1 Antecedente caso 1
1 ESPACIO
ANTECEDENTE – CASO 1
TITULO:
Preservación documental digital y seguridad informática
FUENTE: Centro Universitario de Investigaciones Bibliotecológicas de la
UNAM, Torre II de Humanidades, Piso 11, Circuito Interior, Cd. Universitaria,
Col. Copilco Universidad
URL:http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0187-
358X2010000100008&lang=es
PAIS: México
AÑO: 2009
EMPRESA: Centro Universitario de Investigaciones Bibliotecológicas de la
UNAM
DESCRIPCION: Se analiza la problemática actual de la producción y
acumulación mundial de información en forma de documentos electrónicos o
digitales, así como los problemas derivados del acceso de esa información,
sobre todo en red, dado que esto podría implicar riesgo y pérdida de esa
información. Se determinan los riesgos, amenazas vulnerabilidades, etcétera,
que afectan a esa información, así como diversas estrategias para
23
establecer la seguridad informática y la relación de ésta con la preservación
confiable de esa información. Se estudian y establecen con detalle los
factores que inciden a favor y en contra de los documentos digitales.
Fuente http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0187-358X2010000100008&lang=es
Tabla 2: Antecedente caso 2
ANTECEDENTE – CASO 2
TITULO: Implementación del primer sistema de gestión de seguridad de la
información, en el ecuador, certificado bajo la norma ISO 27001:2005
FUENTE: Repositorio de la Escuela Superior Politécnica del litoral
URL: https://www.dspace.espol.edu.ec/handle/123456789/7718
PAIS: Ecuador
AÑO: 2009
EMPRESA: Escuela Superior Politécnica Del Litoral
DESCRIPCION: Dada la evolución de la Tecnologías de la información y su
relación directa con los objetivos del negocio de la organizaciones, el
universo de amenazas y vulnerabilidades aumenta por lo tanto es necesario
proteger uno de los activos más importantes de la organización, la
información, garantizando siempre la disponibilidad, la confidencialidad e
integridad de la misma. La forma más adecuada para proteger los activos de
información es mediante una correcta gestión del riesgo, logrando así
identificar y focalizar esfuerzos hacia aquellos elementos que se encuentren
más expuestos. La implementación de un Sistema de Gestión de Seguridad
de la información garantiza que la organización adopte las buenas prácticas
sugeridas por la ISO 27001:2005 para un correcto tratamiento del riesgo. En
24
el presente informe de trabajo profesional, se expone un caso de éxito de
una implementación de un SGSI y su respectiva certificación bajo la norma
ISO 27001:2005
Fuente https://www.dspace.espol.edu.ec/handle/123456789/7718
Tabla 3: Antecedente caso 3
ANTECEDENTE – CASO 3
TITULO: DESARROLLO DE POLÍTICAS DE SEGURIDAD INFORMÁTICA E
IMPLEMENTACIÓN DE
TRES DOMINIOS EN BASE A LA NORMA 27002 PARA EL ÁREA DE
HARDWARE EN LA
EMPRESA UNIPLEX SYSTEMS S.A. EN QUITO”
FUENTE: Repositorio digital de la Universidad Pública de Navarra.
URL: http://dspace.epn.edu.ec/bitstream/15000/9946/1/DESARROLLO%20DE
%20POL%3FTICAS%20DE%20SEGURIDAD%20INFORM%3FTICA%20E
%20IMPLEMENTACI%3FN%20DE%20TRES%20DOMINIOS%20EN%20BASE
%20A%20LA%20N.pdf
PAIS: ECUADOR
AÑO: 2010
EMPRESA: UNIPLEX SYSTEMS S.A
DESCRIPCION: En el presente proyecto se desarrolla un Plan Piloto de Políticas
de Seguridad Informática para ser implementado en el área de Networking de la
empresa Uniplex Systems S.A. Se presenta un resumen de la historia de la ISO
27000 y se describe la norma de Seguridad de la Información ISO/IEC 27002. Se
analizan tres dominios de la norma que tienen estrecha relación con la Seguridad
Informática. Se analiza también la situación de las políticas de Seguridad
25
Informática instauradas previo a la implementación del Plan Piloto. Se describe la
metodología para desarrollar un Sistema de Seguridad Informática y se desarrolla
el Plan Piloto de Políticas de Seguridad Informática. Se desarrollan las nuevas
políticas en base al procedimiento visto y se procede a la implementación de las
mismas. Se presentan las conclusiones y recomendaciones del presente proyecto.
En los anexos se dispone de conceptos importantes de este proyecto; se detalla la
documentación e instructivos que se desarrollaron para implementar la norma, se
indica la implementación de las políticas de Seguridad Informática y se dispone de
una guía para que los usuarios las apliquen sin dificultad.
Fuente http://dspace.epn.edu.ec/bitstream/15000/9946/1/DESARROLLO%20DE%20POL%3FTICAS%20DE
%20SEGURIDAD%20INFORM%3FTICA%20E%20IMPLEMENTACI%3FN%20DE%20TRES%20DOMINIOS%20EN
%20BASE%20A%20LA%20N.pdf
Tabla 4: Antecedente caso 4
ANTECEDENTE – CASO 4
TITULO:
Preservación documental digital y seguridad informática
FUENTE: Centro Universitario de Investigaciones Bibliotecológicas de la
UNAM, Torre II de Humanidades, Piso 11, Circuito Interior, Cd. Universitaria,
Col. Copilco Universidad
URL: http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0187-
358X2010000100008&lang=es
PAIS: México
AÑO: 2009
26
EMPRESA: Centro Universitario de Investigaciones Bibliotecológicas de la
UNAM
DESCRIPCION: Se analiza la problemática actual de la producción y
acumulación mundial de información en forma de documentos electrónicos o
digitales, así como los problemas derivados del acceso de esa información,
sobre todo en red, dado que esto podría implicar riesgo y pérdida de esa
información. Se determinan los riesgos, amenazas vulnerabilidades, etcétera,
que afectan a esa información, así como diversas estrategias para establecer
la seguridad informática y la relación de ésta con la preservación confiable de
esa información. Se estudian y establecen con detalle los factores que
inciden a favor y en contra de los documentos digitales.
Fuente http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0187-358X2010000100008&lang=es
Tabla 5: Antecedente caso 5
ANTECEDENTE – CASO 5
TITULO: Seguridad Informática - Implicancias e Implementación
FUENTE: Segu-Info
URL: http://www.segu-info.com.ar/tesis/
PAIS: Argentina
AÑO: 2001
DESCRIPCION: Hoy es imposible hablar de un sistema cien porciento
27
seguro, sencillamente porque el costo de la seguridad es muy alto por eso ls
empresas en general asumen riesgos: debe optar por perder un negocio o
arriesgarse a ser hackedas.
Ya que el costo de la seguridad es muy alto, es importante empezar a
trabajar en algo y lo mejor es diseñar plataformas, procesamiento y
estrategias que minimicen el riesgo de vulnerabilidad informática.
Fuente http://www.segu-info.com.ar/tesis/
2.2 MARCO CONCEPTUAL
AULA VIRTUAL: es un sistema innovador de educación a distancia orientado a
mejorar la comunicación, incentivar el aprendizaje interactivo y personalizando el
análisis crítico.”
BACK UP: es la copia total o parcial de información importante del disco duro,
CDs, bases de datos u otro medio de almacenamiento. Esta copia de respaldo
debe ser guardada en algún otro sistema de almacenamiento masivo, como ser
discos duros, CDs, DVDs o cintas magnéticas (DDS, Travan, AIT, SLR,DLT y
VXA).
Los Backups se utilizan para tener una o más copias de información considerada
importante y así poder recuperarla en el caso de pérdida de la copia original”.5
COBIT: es un marco de referencia de Gobierno TI y un conjunto de herramientas
de soporte que permite a los gerentes reducir la brecha entre los requerimientos
de control, los temas técnicos y los riesgos del negocio.
5Definición de Back Up, [en línea], <http://www.alegsa.com.ar/Dic/backup.php>, [consultado 7 de Noviembre de 2011]
28
COBIT permite el desarrollo de una política clara y una buena práctica para el
control TI en las organizaciones. COBIT acentúa el cumplimiento regulatorio,
ayuda a las organizaciones a aumentar el valor asociado al área de TI, habilita la
alineación y simplifica la puesta en práctica del marco de referencia COBIT. 6
EDUCACIÓN VIRTUAL: la educación virtual, también llamada "educación en
línea", se refiere al desarrollo de programas de formación que tienen como
escenario de enseñanza y aprendizaje el ciberespacio.7
E-LEARNING: el e-learning consiste en la educación y capacitación a través de
Internet.8
GOBIERNO DE TI: el Gobierno de TI es una disciplina relativa a la forma en la que
la alta dirección de las organizaciones dirige la evolución y el uso de las
tecnologías de la información.9
INFORMACIÓN: la información es un conjunto organizado de datos, que
constituye un mensaje sobre un cierto fenómeno o ente. La información permite
resolver problemas y tomar decisiones, ya que su uso racional es la base del
conocimiento.”10
6 COBIT, [en línea], <http://www.isaca-bogota.net/metodologias/cobit.aspx>, [consultado 07 de Noviembre de 2011]
7Educación virtual o educación [en línea], <http://www.mineducacion.gov.co/1621/article-196492.html>, [consultado 08 de
Noviembre de 2011]
8 Definición de E-learning, [en línea], <http://www.e-abclearning.com/definicione-learning>, [consultado 08 de Noviembre de
2011]
9 Definición de Gobierno de TI, [en línea], <http://www.tgti.es/?q=node/57>, [consultado 08 de Noviembre de 2011]
10 Definición de Información, [en línea], <http://definicion.de/informacion/ >, [consultado 08 de Noviembre de 2011]
29
ISO 27001: la ISO 27001 es un Estándar Internacional de Sistemas de Gestión de
Seguridad de la Información que permite a una organización evaluar su riesgo.11
MOODLE: es un Ambiente Educativo Virtual, sistema de gestión de cursos, de
distribución libre, que ayuda a los educadores a crear comunidades de aprendizaje
en línea. Este tipo de plataformas tecnológicas también se conoce como LMS
(Learning Management System).12
POLÍTICA DE SEGURIDAD: las políticas de seguridad son las reglas y
procedimientos que regulan la forma en que una organización previene, protege y
maneja los riesgos de diferentes daños.13
SOLUCIÓN SAN: red de área de almacenamiento, en inglés SAN (Storage Área
Network), es una red concebida para conectar servidores, matrices (arrays) de
discos y librerías de soporte. Principalmente, está basada en tecnología fiber
channel y más recientemente en iSCSI. Su función es la de conectar de manera
rápida, segura y fiable los distintos elementos que la conforman.14
SEGURIDAD DE LA INFORMACIÓN: según [ISO/IEC 27002:2005]: Preservación
de la confidencialidad, integridad y disponibilidad de la información; además, otras
11 ISO 27000, [en línea], [en línea], <http://www.iso27000.es/iso27000.html>, [consultado 08 de Noviembre de 2011]
12 Moodle, [en línea], <http://en.wikipedia.org/wiki/Moodle>, [consultado 08 de Noviembre de 2011]
13 Política de Seguridad, [en línea], <http://www.123innovationgroup.info/politicas_de_seguridad.htm>,[consultado 08 de
Noviembre de 2011]
14 Red de Área de Almacenamiento, [en línea], <http://www.ecured.cu/index.php/Red_de_
%C3%A1rea_de_almacenamiento>, [consultado 08 de Noviembre de 2011]
30
propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden
ser también consideradas.15
2.3 MARCO TEÓRICO
2.3.1 Sistema de gestión de la seguridad de la información. En la norma ISO
27000 se define todo un esquema referente al Sistema de Gestión de seguridad
de la Información y da un concepto claro del mismo “El SGSI (Sistema de Gestión
de Seguridad de la Información) es el concepto central sobre el que se construye
ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un proceso
sistemático, documentado y conocido por toda la organización.” 16
Es imposible garantizar la protección total de un Sistema aun disponiendo de un
amplio presupuesto, por tanto la principal función del Sistema de Gestión de la
Seguridad de la Información es identificar los factores de riesgo, documentarlos y
hacerlos conocer a la organización con el fin de aplicar a cada uno de ellos un
control específico para minimizar la probabilidad de falla del sistema.
2.3.2 ¿Qué es un SGSI? Con base en la Norma ISO 27001 se toman una serie
de conceptos entre ellos el de SGSI cual se define como la abreviatura utilizada
para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es
15 Seguridad de la Información, [en línea], <http://www.iso27000.es/glosario.html#section10s>, [consultado 08 de
Noviembre de 2011]
16 Seguridad de la Información, [en línea], <http://www.iso27000.es/glosario.html#section10s>, [consultado 08 de
Noviembre de 2011]
31
el concepto equivalente en idioma inglés, siglas de Information Security
Management System.
En el contexto que se está tratando referente a la seguridad informática se
entiende como información , el conjunto de datos organizados y que para la
organización tiene algún tipo de valor , sin importar la forma en que se encuentre
almacenada ya sea en equipos de cómputo , impresa , en correos electrónicos
Imagen 1 Procesamiento de Datos
Fuente www.iso27000.es
La seguridad de la información, según ISO 27001, consiste “en la preservación de
su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización”.
32
Estos tres términos anteriormente tratados son los pilares de la información y que
se incumpla uno de ellos afectara directamente las características de la
información.
• Confidencialidad: La información solo estará disponible a personal autorizado.
• Integridad: La información no puede sufrir alteración o modificaciones.
• Disponibilidad: La información estará disponible al momento en que se necesite.
Para garantizar la seguridad de la información se debe hacer uso de un proceso
sistemático que garantice las tres características principales de la información, a
este proceso se le conoce como SGSI (Sistemas de Gestión de la Seguridad de la
Información).
En la norma ISO 27000 define la información de manera completa “La
información, junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una organización”. La confidencialidad, integridad y
disponibilidad de información llegan a ser elementos importantes para garantizar la
competitividad, la imagen entre otros factores empresariales necesarios para
lograr los objetivos de la organización y asegurar beneficios económicos de la
misma.
Actualmente los sistemas de información en las organizaciones están expuestos a
ataques informáticos, como violación de la información, sabotaje, Hacking,
denegación de servicios, entre otros, y que pueden llegar a impactar de manera
negativa el objetivo de la organización así como su imagen.
Las organizaciones deben ser entidades dinámicas que se adapten a los nuevos
cambios del mundo, con el fin de mejorar la continuidad del negocio y proteger su
información. A continuación se presenta una grafica general que presenta la
33
Norma ISO 27000 indicando que factores afectan el riesgo en la seguridad de la
información.17
Grafico 1. Factores que afectan el riesgo
Fuente www.iso27000.es
Adicionalmente, deberán considerarse los conceptos de:
- Autenticidad: “busca asegurar la validez de la información en tiempo, forma
y distribución. Asimismo, se garantiza el origen de la información, validando el
emisor para evitar suplantación de identidades.”
- Auditabilidad: “define que todos los eventos de un sistema deben poder ser
registrados para su control posterior.”
17 “Sistema de Gestión de la Seguridad de la Información“, [en línea], <http://www.iso27000.es/sgsi.html> , [consultado 15
de Noviembre de 2011]
34
- Protección a la duplicación: “consiste en asegurar que una transacción sólo
se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe
una transacción para luego reproducirla, con el objeto de simular múltiples
peticiones del mismo remitente original.”
- No repudio: “se refiere a evitar que una entidad que haya enviado o recibido
información alegue ante terceros que no la envió o recibió.”
- Legalidad: “referido al cumplimiento de las leyes, normas, reglamentaciones
o disposiciones a las que está sujeto el Organismo.”
- Confiabilidad de la Información: “es decir, que la información generada sea
adecuada para sustentar la toma de decisiones y la ejecución de las misiones y
funciones.”18
2.3.3 Análisis y control de riesgos. La seguridad de la información puede
entenderse como la preservación de tres cualidades importantes, la
Confidencialidad, Integridad y Disponibilidad de la información.
Los riesgos informáticos que se pueden llegar a presentar dependen del tipo de
organización en conclusión los riesgos informáticos que puede llegar a ocurrir son
diferentes.
Según una revista publicada en ACIS, Tipton dice “los controles de seguridad
informática usualmente se clasifican en tres categorías: controles físicos, controles
lógicos o técnicos y controles administrativos [Tipton, 2006]”.Además Tudor firma “
18 “Dimensiones de la seguridad de Ia Información“, [en línea], <http://www.legitec.com/new/blog/2011/08/dimensiones-de-
seguridad-de-la-informacion/>, [consultado 15 de Noviembre de 2011.]
35
Para que los controles sean efectivos, éstos deben estar integrados en lo que se
denomina una arquitectura de seguridad informática [Tudor, 2006]”19, la cual debe
ser congruente con los objetivos de la organización y las prioridades de las
posibles amenazas de acuerdo al impacto que éstas tengan en la organización.
Por lo tanto, una fase fundamental en el diseño de la arquitectura de seguridad
informática es la etapa de análisis de riesgos [Peltier, 2005; Landoll, 2005]. Sin
importar cual sea el proceso que se siga, el análisis de riesgos comprende los
siguientes pasos según los autores antes mencionados [Peltier, 2005]:
1. Definir los activos informáticos a analizar.
2. Identificar las amenazas que pueden comprometer la seguridad de los
activos.
3. Determinar la probabilidad de ocurrencia de las amenazas.
4. Determinar el impacto de las amenaza, con el objeto de establecer una
priorización de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
Las diferentes metodologías de análisis de riesgos cambian de acuerdo a la
probabilidad de que una amenaza se lleve a cabo y del impacto en la organización
que esa pueda llegar a tener. Las metodologías más utilizadas son cualitativas, en
el sentido de que dan una caracterización de “alta/media/baja” a la posibilidad de
contingencia más que una probabilidad específica.
En una publicación de ACIS ubicada en su portal Web hablan sobre los controles
de seguridad adaptativos y da puntos claves para el mejoramiento de la seguridad
de la información a través de controles a continuación se menciona el contenido
del portal.19
www.acis.org.co, [en línea], < http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf>, [consultado18 de Noviembre
de 2011]
36
“En la mayoría de los casos, los controles de seguridad son de lazo abierto, esto
es, el resultado de su funcionamiento no es retroalimentado para mejorar el
desempeño del control. Por ejemplo, el cortafuego es uno de los controles más
comúnmente utilizados en las redes informáticas. Las reglas de un cortafuego
generalmente son fijas, y ante un cambio en los requerimientos de tráfico en la
red, se deben cambiar manualmente las reglas de filtraje. Una manera de convertir
al cortafuego en un mecanismo de lazo cerrado sería acoplarlo a un detector de
intrusiones de modo tal que ante la detección de un posible ataque, las reglas del
cortafuego se modifiquen automáticamente para bloquear el tráfico sospechoso.
En general, la clave para lograr controles de seguridad adaptativos es convertirlos
en controles de lazo cerrado. Para que el control pueda adaptarse a los cambios
debe contar con un mecanismo de ajuste de sus parámetros de acuerdo al
comportamiento actual del sistema y a un modelo de referencia que indique cuál
debería ser el comportamiento deseado.
El primer punto es entonces establecer objetivos de control que se desean
alcanzar mediante el mecanismo de control. Estos deben estar relacionados a la
confidencialidad, integridad y/o disponibilidad de los datos, la información, los
sistemas, etc. En segundo lugar, y como aspecto esencial, debe establecerse una
medida del grado en que se están cumpliendo los objetivos de seguridad para
determinar cuándo es necesario un ajuste en los parámetros del controlador. Este
punto supone que existe un modelo del comportamiento normal del sistema así
como de las acciones requeridas para restablecerlo a la normalidad cuando se
presente una anomalía.” 20
3. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
20ACIS, [en línea], < http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf>, [consultado 18 de Noviembre de 2011]
37
3.1 INTRODUCCIÓN Y CONCEPTUALIZACIÓN
La oficina de educación virtual de la Universidad Santo Tomás identifica la
información como un elemento primordial en el desarrollo de sus objetivos
organizacionales, es por ello que toma la dedición de implementar un marco de
trabajo que garantice protección de la información independientemente de cómo
se manipule, almacene, distribuya.
Este documento describe las políticas generales de seguridad de la información
definidas en la oficina de educación virtual de la Universidad Santo Tomás, para
su elaboración se tomo como referencia el estándar ISO 27001:2005 y las
recomendaciones de la ISO 27002:2005 que establece los controles aplicables a
la organización.
La Seguridad de la Información es algo que la Oficina de Educación Virtual de la
Universidad Santo Tomás desea adoptar como una práctica, es por ello que cada
uno de los integrantes debe conocerla para que no afecte la integridad de la
misma.
3.2 OBJETIVO
El objetivo de este documento es definir políticas de seguridad de la información
de la Oficina de Educación Virtual de la Universidad Santo Tomás, con el fin de
regular la administración de la información y administración del campus virtual.
3.3 ALCANCE
38
Las políticas de Seguridad de la información establecidas en este documento
cubren aspectos administrativos y de control que deben ser cumplidos por el
director y empleados de la dependencia, esto para logar un nivel adecuado de
protección de la información.
3.4 COMPROMISO DE LA DIRECCIÓN
La dirección de la Oficina de Educación Virtual de la Universidad Santo Tomás
como muestra de su compromiso y apoyo en el diseño de esta política de
seguridad de la información realizara las siguientes actividades.
La revisión y aprobación de las políticas establecidas en este documento.
Promover la cultura de la seguridad de la Información entre los miembros
de la Oficina de Educación Virtual de la Universidad Santo Tomás.
Facilitar la divulgación de este documento entre los miembros de la Oficina
de Educación Virtual de la Universidad Santo Tomás.
El suministro de recursos adecuados para la implementación de la política
de Seguridad de la Información.
Verificación del cumplimiento de las políticas mencionadas en este
documento.
3.5 TÉRMINOS Y DEFINICIONES
Aceptación de riesgo: decisión de asumir el riesgo
Activo: cualquier cosa que tiene valor para la organización
39
Análisis de Riesgo: uso sistemático de la información para identificar las
fuentes y estimar el riesgo.
Confidencialidad: propiedad que determina que la información no está
disponible ni sea revelada a individuos, entidades o procesos no autorizados.
Disponibilidad: propiedad de que la información sea accesible y utilizable
para solicitud de una entidad autorizada.
Evaluación del riesgo: Proceso de comparar el riesgo estimado contra
criterios de riesgos dados, para determinar la importancia del riesgo.
Gestión del Riesgo: actividades coordinadas para dirigir y controlar una
organización en relación con el riesgo
Incidente de seguridad de la Información: un evento o serie de eventos de
seguridad de la información no deseados o inesperados, que tiene una
probabilidad significativa de comprometer las operaciones del negocio y
amenazar la seguridad de la información.
Integridad: propiedad de salvaguardar la exactitud y el estado completo de
los activos.
Seguridad de la Información: preservación de la confidencialidad, integridad
y disponibilidad de la información; además puede involucrar otras actividades
como: autenticidad, trazabilidad, no repudio y fiabilidad.
Sistema de gestión de seguridad de la información: parte del sistema de
gestión global , basada en un enfoque hacia los riegos globales de un negocio,
cuyo fin es establecer, implementar , operar, hacer seguimiento , revisar, mantener
y mejorar la seguridad de la información.
Tratamiento del riesgo: proceso de selección e implementación de medidas
para modificar el riego.
3.6 POLÍTICAS GENERALES DE SEGURIDAD DE LA INFORMACIÓN
40
La Oficina de Educación Virtual de la Universidad Santo Tomás ha establecido las
siguientes políticas generales de seguridad de la información en cuanto a la
protección de sus activos de información:
1. Los activos de la oficina de educación virtual serán identificados y
clasificados para establecer mecanismos de protección.
2. La Oficina de Educación Virtual de la Universidad Santo Tomás definirá
controles con el propósito de proteger la información contra acceso no autorizado,
la perdida de información y garantizando la confidencialidad, integridad y
disponibilidad de la misma.
3. Todos los miembros de la Oficina de Educación Virtual de la Universidad
Santo Tomás serán responsables de la protección de la información a la cual
tengan acceso y manipulen, con el fin de evitar la pérdida en la confidencialidad,
integridad y disponibilidad de la información.
4. Está prohibido el uso de correos electrónicos personales para el envió de
información institucional.
5. La divulgación de información confidencial será autorizada por el Director
de la Oficina de Educación Virtual de la Universidad Santo Tomás.
6. Toda la información que no sea propia de la institución y se desee publicar
con anterioridad revisada por la oficina de educación virtual debe cumplir con
todas la normas de derechos de autor pertinentes.
7. El Software utilizado será únicamente el licenciado por la Universidad Santo
Tomás o de libre distribución.
8. Las copias de seguridad de aulas virtuales se salvaguardaran en un
dispositivo extraíble y se registraran en el formato establecido.
9. Las violaciones a las políticas de Seguridad de la Información en la oficina
de Educación Virtual de la Universidad Santo Tomás, serán reportadas,
registradas y monitoreadas.
41
10. La oficina de Educación virtual de la Universidad Santo Tomás contara con
un plan de contingencia de negocio que implique la continuidad de su operación
en caso de desastre natural o eventos no previstos.
De igual forma la Oficina de Educación Virtual de la Universidad Santo Tomás
cuenta con una serie de controles documentados basados en la norma ISO 27001
y sus anexos con el propósito de mejorar la seguridad de la información.
3.7 SANCIONES PREVISTAS POR EL INCUMPLIMIENTO
El incumplimiento a la Política de Seguridad de la Información establecida en la
Oficina de Educación Virtual de la Universidad Santo Tomás, implicara diversas
sanciones establecida por el departamento de recursos Humanos.
3.8 RECOLECCIÓN DE INFORMACIÓN Y ANÁLISIS DE RIESGOS
El análisis de riesgos en la organizaciones es el primer paso para el desarrollo e
implementación de políticas de Seguridad de la Información en las
Organizaciones, es por ello que en la oficina de educación virtual de la
Universidad Santo Tomás se inicia identificando los activos de información que
son administrados actualmente, identificando en cada uno de ellos cada uno de
ellos las vulnerabilidades y amenazas que puede llegar a afectar la
confidencialidad , integridad y disponibilidad de la información.
Tabla 6: Amenazas y vulnerabilidades
Activos Vulnerabilidades AmenazasServidor Moodle No existe gestión de ingreso al servidor por
42
contraseñas de usuario Administrador
parte de personal no autorizado
El Servidor se encuentra en un espacio disponible al publico
Cualquier persona puede tener acceso físico a la maquina
No se cuenta con servidor de respaldo en otra seccional
Daño irreparable de la maquina
Aplicación Moodle No se exige cambiar contraseña a usuarios al ingresar al sistema por primera vez
Suplantación de identidad
No hay procedimiento eliminación de usuario o cambio de password inmediato al desvincular a un administrador o coadministrador del software utilizado para la creación de aulas virtuales
Administración del la aplicación por personal no vinculado a la organización
El sistema no está parametrizado para cambio de contraseña periódica
Se Pueden a llegar a capturar contraseñas de usuarios de manera fácil
Copias de Seguridad del Campus virtual
No existe procedimiento para etiquetado de las copias de seguridad
Perdida de Información y errores al momento de restaurar aulas virtuales
No existe formato para registrar las copias de seguridad del Campus virtual que se han descargado
Perdida de Información
No existe responsable de salvaguardar las copias de seguridad del Campus virtual.No existe un dispositivo que permita salvaguardar las copias de seguridad
43
del Campus virtualRutas de aprendizaje No existe
procedimiento para etiquetado de la información
Perdida de Información
No existe un equipo de computo matriz donde se almacene esta informaciónNo existe información de respaldo de la información
Archivos fuente de Diseño Grafico
No existe procedimiento para etiquetado de la información
Perdida de Información
No existe información de respaldo de la información
Objetos de aprendizaje No existe procedimiento para etiquetado de la información
Perdida de Información
No existe información de respaldo de la información
Desarrollo de Software No existe información de respaldo de la aplicaciones desarrolladas por el departamento
Perdida de Información
Documentos generales No existe procedimiento para etiquetado de la información
Perdida de Información
No existe información de respaldo de la información
Equipos de Computo funcionarios educación
virtual
No existe gestión de contraseñas
Ingreso a archivos por parte de personal no autorizado
Oficina de Educación Virtual No cuenta con señalización
No hay rutas de evacuación en caso de incidencia
44
No tiene extintores Incendio queme los equipos de computo
Fuente: Autor del proyecto
Después de analizar los activos de información y los riesgos a los que se
encuentran expuestos, se optara por implementar una serie de controles basados
en la norma ISO 27001 que garanticen en gran parte la protección de la
información.
4. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN [ISO/IEC
27001:2005 A.6]
4.1 ORGANIZACIÓN INTERNA [ISO/IEC 27001:2005 A.6.1]
4.1.1 Coordinación de la Seguridad de la Información [ISO/IEC 27001:2005
A.6.1.2]. La oficina de Educación Virtual de la Universidad Santo Tomás establece
un comité interdisciplinario de personas, con la responsabilidad de analizar,
revisar, monitorear y mejorar la seguridad de la información en la oficina, además
contará con un coordinador que impulsara a la implementación y socialización de
la política de seguridad de la información.
Tabla 7: Conformación del grupo de trabajo
45
Cargo RepresentanteDirector Oficina Educación Virtual
Richard Alexander Caicedo
Asesor Tecnológico Elucides Alfonso RuedaAuxiliar Educación Virtual Mauricio GalloWebmaster José Joaquín Salcedo Duran
Fuente Autor del proyecto
El comité tendrá las siguientes responsabilidades:
a) Asegurar que las actividades de seguridad de la información sean ejecutas
según la política de seguridad de la información.
b) Aprobar metodologías y procesos para la seguridad de la información
c) Identificar cambios significativos en las amenazas y la exposición de la
información y los medios de procesamiento de la información ante amenazas.
d) Evaluar la idoneidad y coordinar la implementación de controles de
seguridad de la información.
e) Promover la educación y concientización de la política de Seguridad de la
Información en la oficina.
4.1.2 Asignación de las responsabilidades de la seguridad de la información
[ISO/IEC 27001:2005 A.6.1.3]. A continuación se listan los procesos de seguridad
involucrados, indicando en cada uno de ellos los responsables al cumplimento de
esta política de seguridad de la información.
Tabla 8: Responsabilidades de la Seguridad Informática.
46
Fuente Autor del proyecto
A continuación se indican los propietarios de la información en la Oficina de
Educación virtual de la Universidad Santo Tomás y los administradores de la
misma con el propósito de definir responsabilidades en los activos de información.
Tabla 9: Propietarios de los activos
Información Propietarios Recursos AdministradorCampus Virtual Director
Educación VirtualServidor, base de datos
Ingeniero soporte Tecnológico
Copias de Seguridad Aulas virtuales
Director Oficina Educación Virtual
Dispositivos extraíbles, equipo de computo
Auxiliar Educación Virtual
Archivo fuentes de diseño grafico
Director Oficina Educación Virtual
Equipo de computo
Diseñador educación virtual
Objetos de aprendizaje
Director Oficina Educación Virtual
Archivos fuentes, equipo de computo
Diseñador educación virtual.
Rutas de aprendizaje
Director Oficina Educación Virtual
Equipo de computo
Asesores pedagógicos
Fuente Autor del proyecto
47
Proceso ResponsablePolítica de Seguridad Director Oficina Educación VirtualAspectos organizativos de la Seguridad de la Información
Director Oficina Educación Virtual
Gestión de Activos Director Oficina Educación Virtual – Ingeniero soporte Tecnológico
Seguridad ligada a los recursos Humanos
Director Oficina Educación Virtual
Gestión de comunicaciones y operaciones
Ingeniero soporte Tecnológico
Control de acceso Ingeniero soporte TecnológicoGestión de incidentes de seguridad de la información
Director Oficina Educación virtual
Gestión de continuidad de negocio Director Oficina Educación Virtual – Ingeniero soporte Tecnológico
4.1.3 Proceso de autorización de recursos para el procesado de la
información [ISO/IEC 27001:2005 A.6.1.4]. Los dispositivos tecnológicos que se
utilizaran para el desarrollo de las actividades en la oficina de educación virtual,
serán los suministrados por la misma, en caso contrario, el será el Director de la
Oficina de Educación Virtual será quien autorice a utilizar dispositivos tecnológicos
diferentes a los suministrados por la Universidad Santo Tomás.
El software instalado en los equipos de cómputo de la Oficina de educación Virtual
será el licenciado por la Universidad Santo Tomás o Software de libre distribución
que apunte al cumplimiento de la misión de la oficina, de igual forma la instalación
de cualquier software la realizara un encargado del departamento de sistemas.
4.1.4 Acuerdos de Confidencialidad [ISO/IEC 27001:2005 A.6.1.5]. Cada
empleado de la Oficina de Educación Virtual de la Universidad Santo Tomás
firmara los acuerdos de confidencialidad y no divulgación de la información
diseñada por la institución en los cuales se enmarca el buen uso y protección de la
información al momento de firmar su contrato laboral.
4.1.5 Revisión Independiente de la Seguridad de la Información [ISO/IEC
27001:2005 A.6.1.8]. La oficina de Educación Virtual mediante auditorías internas,
realizara revisión en su política de seguridad de la información para valorar su
cumplimiento, la eficiencia de sus controles y procedimientos para la protección de
la información.
Esta auditoría la podrá desarrollar un empleado de la Universidad Santo Tomás a
excepción que trabaje en la misma oficina. Este funcionario debe contar con el
perfil, la idoneidad y el criterio independiente de revisión en temas de seguridad de
la información.
48
5. GESTIÓN DE ACTIVOS [ISO/IEC 27001:2005 A.7]
5.1 RESPONSABILIDAD SOBRE LOS ACTIVOS [ISO/IEC 27001:2005 A.7.1]
5.1.1 Inventario de activos Información [ISO/IEC 27001:2005 A.7.1.1- A.7.1.2].
Se identificaran los activos más importantes de la Oficina de Educación Virtual de
la Universidad Santo Tomás junto con sus propietarios y administradores de los
mismos.
Ante cualquier modificación este inventario de activos deberá ser modificado y
revisado con una periodicidad de mínimo 6 meses, además el encargado de
revisar y mantener el inventario de activos será el Director de la Oficina de
Educación Virtual y el Ingeniero de Soporte Tecnológico.
A continuación se realiza el inventario de activos de la Oficina de Educación
Virtual de la Universidad Santo Tomás, con base en la clasificación de activos que
suministra la norma ISO/IEC 27001:2005.
Tabla 10: Activos de Información
Tipo de activo
Nombre del Activo
Ubicación Información de Respaldo
Propietario Responsable
Base de datos Mysql
Base de Datos Moodle
Servidor Moodle
Solución SAN
Director oficina Educación Virtual
Ingeniero Soporte Tecnológico
Documentos Rutas de aprendizaje
Equipo Asesores Pedagógicos
Disco Duro Extraíble
Director oficina Educación
Asesores Pedagógicos
49
VirtualCopias de Seguridad
Copias Campus Virtual
Disco Duro Extraíble
Equipo de Computo
Director oficina Educación Virtual
Asistente Educación Virtual
Archivos fuentes
Archivos Fuentes Diseño Grafico
Equipo de Computo Diseñador
Disco Duro Extraíble
Director Oficina Educación Virtual
Diseñador Grafico
Ejecutables Objetos de aprendizaje
Equipo de Computo Diseñador
Disco Duro Extraíble
Director oficina Educación Virtual
Diseñador Grafico
Documentos Archivos generales
Equipo de Secretaria Educación Virtual
Disco Duro Extraíble
Director oficina Educación Virtual
Secretaria Educación Virtual
Fuente: Autor del proyecto
Tabla 11: Activos de Aplicación
Tipo de activo
Nombre del Activo
Ubicación Información de Respaldo
Propietario
Responsable
Aplicación Moodle Servidor Moodle
Solución SAN
Director oficina Educación Virtual
Ingeniero Soporte Tecnológico
Fuente: Autor del proyecto
50
Tabla 12: Activos de Físicos
Tipo de activo
Nombre del Activo
Ubicación Información de Respaldo
Propietario Responsable
Servidor Servidor Moodle
Oficina Educación Virtual
Solución SAN
Director Oficina Educación Virtual
Ingeniero Soporte Tecnológico
Equipo de computo
Equipo Ingeniero soporte Tecnológico
Oficina Educación Virtual
Disco Duro Extraíble
Director Oficina Educación Virtual
Ingeniero Soporte Tecnológico
Equipo de computo
Equipo Diseño Grafico
Oficina Educación Virtual
Disco Duro Extraíble
Director Oficina Educación Virtual
Diseñador Grafico
Equipo de computo
Equipo Asesor Pedagógico Uno
Oficina Educación Virtual
Disco Duro Extraíble
Director Oficina Educación Virtual
Asesor Pedagógico Uno
Equipo de computo
Equipo Asesor Pedagógico Dos
Oficina Educación Virtual
Disco Duro Extraíble
Director Oficina Educación Virtual
Asesor Pedagógico Dos
Equipo de computo
Equipo Asistente Virtual
Oficina Educación Virtual
Disco Duro Extraíble
Director Oficina Educación Virtual
Asistente Virtual
Equipo de computo
Equipo Secretaria
Oficina Educación Virtual
Disco Duro Extraíble
Director Oficina Educación Virtual
Secretaria Educación Virtual
Equipo de computo
Equipo Director Educción Virtual
Oficina Educación Virtual
Disco Duro Extraíble
Director Oficina Educación Virtual
Director Oficina Educación Virtual
Fuente Autor del proyecto
51
5.1.2 Uso aceptable de los activos [ISO/IEC 27001:2005 A.7.1.1- A.7.1.3]. La
información, dispositivos tecnológicos, físicos y servicios (Cuentas de correo
electrónico, cuentas a sistemas de información entre otros) son activos de la
Universidad Santo Tomás y serán suministrados a los empleados de la Oficina de
Educación Virtual para cumplir con las actividades asignadas por la misma.
La Universidad Santo Tomás podrá monitorear y utilizar la información,
dispositivos tecnológicos y servicios suministrados a los empleados de la Oficina
de Educación Virtual de la Universidad Santo Tomás para procesos de
investigación internos o procesos legales.
Extraer la base de Datos de Moodle, copias de seguridad o dispositivos
Tecnológicos de la oficina de Educación Virtual requiere autorización del Director
de la Oficina de Educación Virtual.
Acceso a Internet
Internet es una herramienta fundamental que permite navegar en muchos sitios de
interés y fundamental para el desarrollo de las funciones de la oficina de
Educación Virtual de la Universidad Santo Tomás, por lo cual el uso adecuado de
este recurso se debe controlar, verificar y monitorear, tomando como referencia
los siguientes lineamientos:
- Se prohíbe el acceso a páginas relacionadas con pornografía, drogas,
webproxys, hacking o cualquier página que vaya en contra de las leyes vigentes
nacionales sobre la seguridad de la Información.
- El intercambio no autorizado de información privada institucional con
terceros o personas que no tengan relación con la oficina de Educación virtual de
la Universidad Santo Tomás.
52
- La descarga, uso, instalación de juegos, películas, software malicioso,
software no licenciado o productos que afecten de alguna forma la propiedad
intelectual, derechos de autor, confidencialidad, integridad o disponibilidad de la
infraestructura tecnológica o de la información.
- Cada funcionario es responsable del uso adecuado de este recurso, en
ningún momento puede ser usado como practica que atente contra personal
interno, terceros o leyes nacionales vigentes.
- El uso de internet no es permitido siempre y cuando se utilice de manera
ética, razonable, no abusiva, responsable y lo más importante que no afecte
contra la confidencialidad, integridad y disponibilidad de la Información.
Uso de Correo electrónico
Los empleados de la Oficina de Educación Virtual de la Universidad Santo Tomás
que tengan acceso a cuentas de correo electrónico institucionales deberán seguir
las siguientes políticas.
- Las cuentas de correo electrónico Institucional otorgadas por la
Universidad Santo Tomás a los empleados de la Oficina de Educación Virtual
deberán ser utilizadas para uso exclusivo de las funciones institucionales
asignadas.
- Los mensajes y toda la información contenida en los buzones de correo
electrónico institucional son de propiedad de la Universidad Santo Tomás.
- No es permitido enviar correos personales, cadenas de correo (religioso,
político, pornográfico, publicitario no corporativo, así como mensajes que puedan
afectar los sistemas informáticos de la Universidad Santo Tomás o terceros.
- El envió de información Institucional debe hacerse exclusivamente a través
del correo que suministro la Universidad Santo Tomás para el desarrollo de las
actividades laborales.
53
Recursos Tecnológicos
El uso adecuado de los recursos tecnológicos de la Oficina de Educación Virtual
se reglamento bajo las siguientes políticas:
- Solo será posible instalar software licenciado por la Universidad Santo
Tomás o en su defecto software de libre distribución todo por supervisión de una
persona del departamento de sistemas.
- Los usuarios de la Oficina de Educación virtual, o pueden cambiar las
configuraciones de la maquinas tales, como IP, cuentas de usuario, archivos del
sistema entre otros. Estos cambios los debe realizar el departamento de
Tecnología de la Universidad Santo Tomás.
- No se permite llevar los dispositivos tecnológicos de la Oficina de
Educación Virtual a las casa de los empleados sin previa autorización de la
dirección.
5.1.3 Etiquetado de la Información [ISO/IEC 27001:2005 A.7.2.2]. La
información que administra y manipula la Oficina de Educación Virtual debe ser
etiquetada de la siguiente manera, con el objetivo de garantizar la disponibilidad
de la información y la continuidad de las operaciones.
Copias de Seguridad del Campus virtual: cp_codigo asignatura_nombre de la
Asignatura_(nombre y apellidos del docente)
Ejemplo. Cp_170315 Filosofía Institucional (Manuel cárdenas)
Rutas de aprendizaje: Ra_ código asignatura_nombre de la Asignatura_Unidad #
Ejemplo. Ra_170315 Filosofía Institucional unidad Uno
Objetos de aprendizaje: Oa_Nombre del objeto
Ejemplo. Oa_Pronostico Periodontal
54
Archivos fuentes: Af_Nombre del objeto
Ejemplo. Af_Pronostico Periodontal
Copias de seguridad de los equipos de cómputo: Fecha copias_Nombre cargo
Ejemplo. 07-Julio-2011-Director Educación Virtual
La forma de etiquetar la información que no se encuentra en el punto anterior se
deja a consideración de los responsables de cada proceso siempre y cuando el
nombre que le asigna a cada archivo o carpeta sea fácil de identificar.
6 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
[ISO/IEC 27001:2005 A.8]
6.1 ANTES DEL EMPLEO [ISO/IEC 27001:2005 A.8.1]
6.1.1 Funciones y Responsabilidades [ISO/IEC 27001:2005 A.8.1.1]. La
oficina de Educación Virtual de la Universidad Santo Tomás define a continuación
las funciones y responsabilidades de cada uno de los cargos establecidos en la
misma, con el propósito de proteger los activos de información contra acceso,
divulgación, destrucción, manipulación malintencionada entre otros, por personal
no autorizado.
55
Tabla 13: Responsabilidades
Cargo ResponsabilidadesDirector Oficina Educación Virtual
Responsable de todos los procesos de la oficina de Educación Virtual.
Ingeniero Soporte Tecnológico
Responsable de la Administración del Campus Virtual de la Universidad Santo Tomás
Asesor Pedagógico Asesoría diseño de aulas virtuales de aprendizaje ( Rutas de aprendizaje)
Asistente Educación Virtual
Asistente en gestión de administración del Campus Virtual:
- Generar Copias de seguridad- Restaurar aulas virtuales- Subir contenidos a la aulas virtuales
Diseñador grafico Elaboración de material Multimedia para apoyo de la Educación Virtual.
Secretaria Educación Virtual
Administración de Información general (Correos electrónicos, solicitudes, Información de la Dirección, etc.)
Fuente Autor del proyecto
6.1.2 Concienciación, formación y capacitación en seguridad de la
información [ISO/IEC 27001:2005 A.8.2.2]. La oficina de Educación Virtual de la
Universidad Santo Tomás , realizara capacitaciones a sus funcionarios cada seis
meses en temas relacionados a la política de seguridad de la información y temas
relacionados a seguridad de la información en las organizaciones; de igual forma
al momento de ingreso de personal nuevo se realizara una capacitación en la cual
se le indique las políticas de seguridad de la información que maneja la oficina de
educación virtual y las responsabilidades que se asignan a su cargo.
6.1.3 Proceso Disciplinario [ISO/IEC 27001:2005 A.8.2.3]. En caso de
presentarse un incidente de seguridad de la información, este se documentara
mediante un acta, para ser analizado con las autoridades pertinentes ya se legales
o propias de la institución. Este procedimiento se llevara a cabo en compañía del
56
Director de recursos humanos, el director de la oficina de edición virtual y si se
cree pertinente de acuerdo la gravedad del incidente otros miembros delegados
por la Universidad Santo Tomás.
6.1.4 Cese del empleo o cambio del puesto de trabajo [ISO/IEC 27001:2005
A.8.3]. Al momento de desvinculación de un empleado de la oficina de Educación
Virtual el departamento de almacén realizar el inventario de todos los insumos
registrados a nombre de dicho empleado, así como se restablecerán las claves de
correo electrónico y equipo de cómputo por un miembro autorizado del
departamento de sistemas. El Ingeniero de Soporte Tecnológico de la oficina de
Educación Virtual de la Universidad Santo Tomás, eliminara todos los permisos,
roles, acceso entre otros que dicho usuario pueda llegar a tener en el Campus
virtual.
El empleado que se desvincule de la Oficina de Educación Virtual, tendrá que
hacer un documento en el cual indique la información de manera clara la
información que administraba y su ubicación.
7. SEGURIDAD FÍSICA Y AMBIENTAL
[ISO/IEC 27001:2005 A.9]
7.1 ÁREAS SEGURAS [ISO/IEC 27001:2005 A.9.1]
7.1.1 Perímetros de Seguridad Física [ISO/IEC 27001:2005 A.9.1.1 - A.9.1.1].
Toda la Infraestructura tecnológica y de telecomunicaciones que garantiza el
funcionamiento del Campus virtual de la Universidad Santo Tomás Bucaramanga
se considera como un área de acceso restringido; es por ello que se debe contar
57
con medidas de control de acceso físico mediante un cuarto de
telecomunicaciones al cual tenga acceso el Director de la Oficina de Educación
Virtual y el Ingeniero de Soporte Tecnológico de cualquier otro debe ser autorizado
por el director de la oficina de Educación Virtual, esto para garantizar la protección
de la información, hardware y software de acciones malintencionadas o
accidentales.
7.1.2 Controles de Ingreso físico [ISO/IEC 27001:2005 A.9.1.2]. La oficina de
Educación Virtual llevara una bitácora en la cual indique la fecha, hora de llega,
hora de salida, nombre de la persona que entro al cuarto de telecomunicaciones,
descripción en la cual indique porque ingreso al cuarto de telecomunicaciones y
firma del director de la oficina de Educación Virtual o Ingeniero Soporte
Tecnológico los cuales autorizan el acceso.
Cada vez que se requiera el ingreso al cuarto de telecomunicaciones que
salvaguarda el servidor Moodle por personal diferente a los autorizados
anteriormente se debe diligenciar el Anexo B “Formato de visita cuarto de
telecomunicaciones”
7.1.3 Protección contra las amenazas externas y de origen ambiental
[ISO/IEC 27001:2005 A.9.1.4]. Se debiera asignar y aplicar protección física
contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras
formas de desastres naturales o causados por el hombre.
- Se deberá considerar un equipo contra incendios ubicado adecuadamente
dentro de la oficina de Educación Virtual, con sus debidas señalizaciones.
- La oficina de Educación Virtual contara con un listado de teléfonos de
autoridades pertinentes en caso de caer en cualquier siniestro; este listado debe
permanecer siempre en un lugar visible a cualquier empleado de la oficina.
58
8. GESTIÓN DE COMUNICACIONES Y OPERACIÓN
[ISO/IEC 27001:2005 A.10]
8.1 RESPONSABILIDADES Y PROCEDIMIENTOS DE OPERACIÓN [ISO/IEC
27001:2005 A.10.1]
8.1.1 Documentación de los procedimientos de operación [ISO/IEC
27001:2005 A.10.1.1]
- Las personas autorizadas para encender al servidor en el cual se encuentra
en la aplicación que soporta el Campus virtual de la Universidad Santo Tomás son
el Director de la Oficina de Educación Virtual y el Ingeniero de soporte
Tecnológico.
- El ingeniero de Soporte Tecnológico será el encargado de realizar los
mantenimientos preventivos y correctivos del servidor en el cual se encuentra
alojada la aplicación del Campus virtual de la Universidad Santo Tomás.
- Las copias de seguridad del Campus virtual serán administradas por el
Ingeniero de Soporte Tecnológico tanto en la SAN como en los dispositivos
extraíbles en los que se almacene.
8.1.2 Gestión del cambio [ISO/IEC 27001:2005 A.10.1.2]. Todo cambio que se
realice sobre la plataforma tecnológica que soporte el Campus Virtual de la
Universidad Santo Tomás, debe ser gestionado, controlado y autorizado por la
Dirección y debe ser sometido a una evaluación que permita identificar los riesgos
asociados a la operación
59
El Anexo C “Formato de Registro Gestión de Cambios” debe contener como
mínimo la justificación y evidencia de los cambios que se vayan a realizar sobre la
infraestructura tecnológica, el alcance, autorización, el plan de trabajo para la
definición de pruebas funcionales, responsabilidades definidas, la evaluación
apropiada sobre el impacto potencial que estos puedan generar y cualquier otro
aspecto que se considere importante por los responsables del cambio.
8.2 PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA[ISO/IEC 27001:2005 A.10.3]
8.2.1 Gestión de la capacidad [ISO/IEC 27001:2005 A.10.3.1]. La oficina de
educación virtual de la Universidad Santo Tomás realizara un monitoreo,
evaluación de rendimiento y análisis de la infraestructura tecnología que soporta el
Campus Virtual con el propósito de revisar el consumo de recursos y prever su
crecimiento de manera planificada.
Todos los resultados de dichas mediciones serán presentados a la dirección para
ser analizados, en caso de requerir más recursos ya sean tecnológicos o de
personal se iniciara el proceso respectivo para la consecución de los mismos.
8.3 PROTECCIÓN CONTRA CÓDIGO MALICIOSO Y DESCARGABLE
[ISO/IEC 27001:2005 A.10.4]
8.3.1 Controles contra el código malicioso [ISO/IEC 27001:2005 A.10.4.1]. La
oficina de Educación Virtual estable los siguientes lineamientos:
60
- Todos los equipos de cómputos conectados en la oficina de Educación
virtual tendrá instalado y actualizado el antivirus suministrado por el departamento
de Sistemas.
- No está permitido desactivar o desinstalar software avalado por la
Universidad Santo Tomás.
- No está permitido escribir, generar, compilar, copiar, propagar, ejecutar ,
intentar introducir, cualquier código de programación para auto replicarse , dañar,
interceptar, eliminar, modificar, borrar la información del servidor que contiene la
aplicación del Campus Virtual de la Universidad Santo Tomás si no tiene los roles
para hacerlo.
8.4 COPIAS DE SEGURIDAD [ISO/IEC 27001:2005 A.10.5]
8.4.1 Copias de seguridad de la información [ISO/IEC 27001:2005 A.10.5.1].
La oficina de Educación Virtual de la Universidad Santo Tomás debe asegurar que
la información almacenada en el servidor que soporta la aplicación del Campus
virtual sea periódicamente resguardada mediante controles que garanticen su
identificación, integridad, disponibilidad.
El Anexo D “Formato de Registro de Copias de Seguridad Campus virtual” es un
formato para el registro de copias de seguridad de las aulas virtuales que se
generen y se descargan después de finalizado el curso. Estas copias de seguridad
se salvaguardan en un Disco Duro extraíble y como respaldo un en equipo de
computo destinado a almacenamiento de copias de seguridad para futura
restauración.
61
Las copias de seguridad de la aplicación Moodle, se almacenan diariamente a las
12:00 am en una solución SAN adquirida por la Universidad Santo Tomás y
alojada en el primer piso del departamento de Biblioteca.
8.5 INTERCAMBIO DE INFORMACIÓN [ISO/IEC 27001:2005 A.10.8]
8.5.1 Políticas y procedimientos para intercambio de información [ISO/IEC
27001:2005 A.10.8.1]. Las copias de seguridad de las aulas virtuales, de la base
de datos del servidor Moodle o archivos fuentes de objetos de aprendizaje no
pueden ser intercambiadas con ninguna persona, entidad externa o de la
institución sin previa autorización vía correo electrónico por parte del Director de
la Oficina.
9. CONTROL DE ACCESO [ISO/IEC 27001:2005 A.11]
9.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO [ISO/IEC
27001:2005 A.11.1]
9.1.1 Política de control de acceso [ISO/IEC 27001:2005 A.11.1.1]. La
autorización para el acceso a la aplicación del Campus virtual de la Oficina de
Educación virtual está a cargo del ingeniero de soporte Tecnológico garantizando
de acuerdo al grado de manipulación de la información que necesita los
privilegios pertinentes.
62
9.2 GESTIÓN DE ACCESO DE USUARIO [ISO/IEC 27001:2005 A.11.2]
9.2.1 Registro de usuarios [ISO/IEC 27001:2005 A.11.2.1]. La Oficina de
Educación virtual establece las siguientes políticas para el registro de usuarios en
el Campus virtual.
- Todos los usuarios tendrá un identificador único en la base de de la
siguiente manera:
Estudiantes de pregrado: Código estudiantil
Estudiantes de posgrado: Numero de cedula
Docentes: Numero de cedula
Administrativos: Numero de cedula
- Cuando se requiera matricular un grupo de estudiantes a cursos virtuales
se debe diligenciar el formato de registro de estudiantes interno de la oficina por la
unidad académica que lo solicite.
- Cuando se requiera crear usuarios de manera individual o eliminar del
Campus se debe diligencia el formato de soporte a estudiantes de la oficina de
Educación Virtual.
- Una vez matriculados los usuarios en el Campus de debe verificar que el
nivel de acceso que se le otorgo es el que se solicito inicialmente.
- Se les asignara temporalmente el número de identificación sin puntos como
contraseña de acceso al campus virtual.
- Solicitar al estudiante firmar el formato de soporte a estudiantes de la
oficina de educación virtual una vez terminado el registro o la actualización.
- Eliminar o bloquear inmediatamente los derechos de acceso de los usuarios
que han cambiado de puesto o trabajo o han dejado la organización.
63
- Chequeo periódico para eliminar o bloquear los IDs de usuario y cuentas
redundantes
- Asegurar que no se emitan IDs de usuario redundantes a otros usuarios.
9.2.2 Gestión de contraseñas de usuario [ISO/IEC 27001:2005 A.11.2.3]. La
asignación de contraseñas para los usuarios del Campus virtual de la Universidad
Santo Tomás contara con las siguientes políticas:
- Garantizar que los usuarios cambien la contraseña temporal al ingresar por
primera vez al sistema del Campus virtual.
- Garantizar que tanto la contraseña de usuarios como la del administrador
del Campus virtual cumpa con los siguientes requisitos:
Alfanumérica
Mínimo de ocho caracteres
Mínimo una letra mayúscula
Mínimo un carácter especial
- El sistema pedirá cambio de contraseña cada 45 días y esta parametrizado
para que no permita establecer las dos últimas contraseñas.
- Al solicitar cambio de contraseña u olvido de contraseña en el Campus
virtual, este debe enviar vía correo electrónico una contraseña temporal, con el
propósito de validar la identidad del usuario.
- En caso de solicitar cambio de contraseña en la oficina de Educación
virtual, debe quedar registrado en el formato de atención a estudiantes de la
oficina de educación virtual y firma del usuario que solicito el procedimiento.
- Todos los equipos de cómputo como el servidor deben estar protegidos por
contraseñas seguras.
64
9.3 CONTROL DE ACCESO AL SISTEMA OPERATIVO [ISO/IEC 27001:2005
A.11.5]
- Para acceder al sistema operativo el cual está alojada la aplicación del
Campus virtual de la Universidad Santo Tomás debe solicitar usuario y
contraseña.
- El usuario para acceder al sistema operativo no debe ser root y debe estar
protegido por una contraseña alfanumérica, mínimo de ocho caracteres, con una
letra mayúscula y un carácter especial.
- Registrar los eventos exitosos y fallidos de autenticación al sistema
operativo.
10. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO [ISO/IEC 27001:2005
A.14]
10.1 SEGURIDAD DE LA INFORMACIÓN EN LA CONTINUIDAD DEL
NEGOCIO [ISO/IEC 27001:2005 A.14.1.1]
La oficina de educación virtual de la Universidad Santo Tomás, en vista de la
importancia para el desarrollo de los objetivos organizaciones deberá implementar
un plan de contingencia y recuperación de desastres que garantice la continuidad
de las operaciones en caso de cualquier falla ya sea natural o mal intencionado
basada en buenas prácticas o estándares internacionales.
65
10.2 CONTINUIDAD DE NEGOCIO Y EVALUACIÓN DE RIESGO [ISO/IEC
27001:2005 A.14.1.2]
La oficina de educación virtual de la Universidad Santo Tomás debe realizar un
análisis de riesgos con el propósito de definir un plan de continuidad de negocio y
recuperación a desastres por lo menos una vez a la año.
10.3 DESARROLLO E IMPLEMENTACIÓN DE PLANES DE CONTINUIDAD
DE NEGOCIO [ISO/IEC 27001:2005 A.14.1.3]
La oficina de educación virtual de la Universidad Santo Tomas definiría los
responsables en notificar un desastre, así como las personas encargadas para dar
inicio a un plan de contingencia. Una vez se inicie el plan de contingencia se
deben seguir los pasos en según el plan establecido.
66
11.CONCLUSIONES
La documentación de políticas de seguridad de la información en las
organizaciones no garantiza el 100% de seguridad, sin embargo, es el primer paso
para crear un esquema que garantice los tres principios básicos que toda
organización de bebe implementar la confidencialidad, integridad y disponibilidad
de la información.
Al documentar la política de seguridad de la información para la Oficina de
Educación Virtual lo que se busca es identificar sus activos más importantes y
aplicar controles en cuanto a la administración.
67
12.RECOMENDACIONES
Es de vital importancia realizar campañas de sensibilización periódicamente sobre
la política de seguridad de la información con los empleados de la oficina de
educación virtual de la universidad Santo Tomas.
El uso de aulas virtuales estructuradas de una manera pedagógica que garantice
el aprendizaje continuo en temas relacionados a la seguridad de la información
disponible al personal administrativo y estudiantil de la Universidad Santo Tomás
Ya que el sistema de gestión de seguridad de la información es un ciclo que inicia
pero nunca termina es necesaria que la política de seguridad de la información
sea revisada para ver si está funcionando de manera correcta o es necesario
realizar modificaciones.
Con el propósito de abarcar mejores prácticas para garantizar la continuidad de
negocio, se recomienda usar como estándar la ISO 27031 que trata de la
adecuación de tecnologías de información y comunicación (TIC) para la gestión de
planes de contingencia.
68
BIBLIOGRAFIA
BORGHELLO, Cristian. Seguridad Informática - Implicancias e Implementación, [en línea], <http://www.segu-info.com.ar/tesis/cap9.zip >, [Consultado 05 de Noviembre de 2011.]
CHAVARRO, EDUARDO. Retos de la seguridad informática, [En línea],
<http://avirtual.telefonica.es/p81328926/ ]> , [Consultado 1 de Noviembre de 2011]
MINISTERIO DE EDUACIÓN NACIONAL, [En línea],
<http://www.mineducacion.gov.co/1621/article-196492.html ]> , [Consultado 01 de
Noviembre de 2011]
Universidad Santo Tomás, Quienes Somos, [en línea],
<http://www.ustabuca.edu.co/inicio/quienesomos/index.jsp>, [Consultado 01 de
Noviembre de 2011]
Auditoria informática Barcelona. Política de Seguridad, [en línea],
<http://www.123innovationgroup.info/politicas_de_seguridad.htm >, [Consultado 08
de Noviembre de 2011]
Definición.de. Definición de Información, [En línea],
<http://definicion.de/informacion/>, [Consultado 08 de Noviembre de 2011].
69
Diccionario de informática, Definición de Back Up, [en línea],
<http://www.alegsa.com.ar/Dic/backup.php>, [Consultado 7 de Noviembre de
2011]
e-ABClearning. Definición de E-learning, [En línea], <http://www.e-
abclearning.com/definicione-learning>, [Consultado 08 de Noviembre de 2011]
Ecured. Red de Área de Almacenamiento, [En línea],
<http://www.ecured.cu/index.php/Red_de_%C3%A1rea_de_almacenamiento>,
[Consultado 08 de Noviembre de 2011]
García, Juan Manuel, Análisis y control de riesgos de seguridad informática, [en
línea], <http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf>, [Consultado
18 de Noviembre de 2011]
García, Juan Manuel, Análisis y control de riesgos de seguridad informática, [en
línea], <http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf >, [Consultado
18 de Noviembre de 2011]
ISACA, COBIT, [en línea], <http://www.isaca-bogota.net/metodologias/cobit.aspx>, [Consultado 07 de Noviembre de 2011]
Iso27000.es, ISO 27000, [en línea], <http://www.iso27000.es/iso27000.html>,
[Consultado 08 de Noviembre de 2011]
70
Iso27000.es, Que es un SGSI, [en línea],
<http://www.iso27000.es/sgsi.html#section2a>, [Consultado 15 de Noviembre de
2011]
Iso27000.es, Seguridad de la Información, [en línea],
<http://www.iso27000.es/glosario.html#section10s>, [Consultado 08 de Noviembre
de 2011]
Iso27000.es, Sistema de Gestión de la Seguridad de la Información, [en línea],
<http://www.iso27000.es/sgsi.html>, [Consultado15 de Noviembre de 2011]
Ministerio de educación nacional, Educación virtual o educación en línea,[En
línea], <http://www.mineducacion.gov.co/1621/article-196492.html >, [Consultado
08 de Noviembre de 2011]
Temas de gobierno y gestión de tecnologías de la información. Definición de
Gobierno de TI. [En línea], <http://www.tgti.es/?q=node/57>, [Consultado 08 de
Noviembre de 2011]
71
ANEXOS
Anexo A Formato de Registro Capacitación Seguridad de la Información
Fecha de capacitación Capacitador Lugar Tema Hora
Nombre de asistente Cargo Correo electrónico Firma
72
Firma CapacitadorAnexo B Formato de Visita Cuarto de Telecomunicaciones
Fecha de Ingreso y hora de ingreso
Hora de
salidaPersona que Ingresa Motivo Cambios realizados Autorizo
73
Anexo C Formato de Registro Gestión de Cambios
Fecha de Inicio del Cambio
Responsable de Proyecto
Registro Cambios Significativos que se
realizarán
Planeación y prueba de cambios
Impactos potenciales
Versión en la que
estaba la aplicación
Versión a la que se actualizara la aplicación
Autorización de la Dirección Ingeniero de Soporte Tecnológico
74
Anexo D Formato de Registro de Copias de Seguridad Campus virtual
Categoría Facultad Docente Curso Nombre de la Copia Estado de la Copia
75
Anexo E: Articulo IEEE
Resumen— En esta monografía que lleva por nombre “ Diseño de documento de la política de seguridad de la información para la oficina de educación virtual Universidad Santo Tomás seccional Bucaramanga” se documentara una política de seguridad de la información acompañada de una serie de controles basados en la norma ISO 27001 y sus anexos que componen todo un sistema de gestión de seguridad de la información, con el propósito de establecer mejores prácticas en la administración de información del campus virtual.
Abstract— En esta monografía que lleva por nombre “ Diseño de documento de la política de seguridad de la información para la oficina de educación virtual Universidad Santo Tomás seccional Bucaramanga” se documentara una política de seguridad de la información acompañada de una serie de controles basados en la norma ISO 27001 y sus anexos que componen todo un sistema de gestión de seguridad de la información, con el propósito de establecer mejores prácticas en la administración de información del campus virtual.
Palabras clave— Aula virtual, campus virtual, controles, ISO 27001, Seguridad Informática.
I. Introducción
n el desarrollo continuo de las operaciones organizacionales nos olvidamos por
completo de la gestión de la seguridad de la información
E
dejando su administración en un segundo plano y exponiéndola a los diversos peligro informáticos
en los que el mundo actual se encuentra sometido.
La oficina de educación virtual de la universidad Santo Tomás manipula información de vital importancia para el cumplimento de los objetivos organizacionales y por ende debe documentar una política de seguridad de la información que garantice Confiabilidad en su administración para la continuidad de las operaciones.
II. Desarrollo del ARTÍCULO.
La gestión de la información en el proceso de administración del campus virtual de la oficina de educación virtual es de vital importancia para garantizar un optimo funcionamiento de la misma; es por ello que se documento una política de seguridad de la información basado en la norma ISO 27001 y sus anexos, con el fin de gestionar de una manera sistemática y segura la información.
El primer paso para documentar una política de seguridad de la información es identificar los activos de información e identificar las amenazas y vulnerabilidades que los pueden llegar a afectar y con base en esto aplicar una serie de controles.
1
DISEÑO DE DOCUMENTO DE LADISEÑO DE DOCUMENTO DE LA POLÍTICA DE SEGURIDAD DE LAPOLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN PARA LA OFICINA DEINFORMACIÓN PARA LA OFICINA DE EDUCACIÓN VIRTUAL UNIVERSIDADEDUCACIÓN VIRTUAL UNIVERSIDAD
SANTO TOMÁS SECCIONALSANTO TOMÁS SECCIONAL BUCARAMANGABUCARAMANGA
(25 Junio 2012)
Después de identificados los activos de información en la oficina de educación virtual se inicio a la documentación de objetivos de control con base en la Norma ISO 27001, controles que son aplicables a cualquier tipo de organización y de cualquier tamaño.
Los controles aplicables en esta política no son todos los referenciados en la norma, pues no se pretendía la documentación de un Sistema de Gestión de Seguridad de la Información (SGSI) sino una política de seguridad de la información basado en la Norma ISO 27001 que garantizara en un grado aceptable la integridad, confidencialidad y disponibilidad de la información.
La política de seguridad de la información toma como referencia los siguientes dominios y asigna responsables al proceso:
Tabla 1: Asignación de responsabilidades
III. Conclusiones
La documentación de políticas de seguridad de la información en las organizaciones no garantiza el 100% de seguridad, sin embargo, es el primer paso para crear un esquema que garantice los tres principios básicos que toda organización de bebe implementar la confidencialidad, integridad y disponibilidad de la información.
Al documentar la política de seguridad de la información para la Oficina de Educación Virtual lo que se busca es identificar sus activos más importantes y aplicar controles en cuanto a la administración.
IV. Referencias
Iso27000.es, ISO 27000, [en línea],
<http://www.iso27000.es/iso27000.html>,
[Consultado 15 de Junio de 2012]
José Joaquín Salcedo D.Nació en Colombia – Bucaramanga el 22 de Julio de 1986. Estudio Ingeniería de Sistemas en la Universitaria de investigación y
desarrollo UDI universidad en la cual realizo un posgrado en seguridad informática.En su vida laborar ha estado vinculado a importantes organización como el Call Center CESS LTDA, el Palacio de Justicia de Bucaramanga y la Universidad Santo Tomás como administrador del Sitio Web de esta prestigiosa institución educativa.
2
Proceso
Responsable
Política de Seguridad
Dir. Oficina Educación Virtual
Aspectos organizativos de la Seguridad de la Información
Dir. Oficina Educación Virtual
Gestión de Activos
Dir. Oficina Educación Virtual – Ingeniero soporte Tecnológico
Seguridad ligada a los recursos Humanos
Dir. Oficina Educación Virtual
Gestión de comunicaciones y operaciones
Ingeniero soporte Tecnológico
Control de acceso
Ingeniero soporte Tecnológico
Gestión de incidentes de seguridad de la información
Dir. Oficina Educación Virtual
Gestión de continuidad de negocio
Dir. Oficina Educación Virtual – Ingeniero soporte Tecnológico
