Publicado el 30 de Noviembre del 2020
545 visualizaciones desde el 30 de Noviembre del 2020
2,2 MB
142 paginas
Creado hace 16a (11/05/2008)
TRABAJO ESPECIAL DE GRADO
Diseño e implantación de un Sistema de Gestión de Seguridad de la
Información (SGSI) para la protección de los activos informáticos de
la Universidad Central de Venezuela.
Presentado ante la Ilustre
Universidad Central de Venezuela
para optar al Título de Especialista en
Comunicaciones y Redes de Comunicación de Datos
Por la Lic. Reina Camacho
Caracas, Febrero 2008
�
© Camacho, Reina 2008
Hecho el Depósito de Ley
Depósito Legal lft4872008620308
�
TRABAJO ESPECIAL DE GRADO
Diseño e implantación de un Sistema de Gestión de Seguridad de la
Información (SGSI) para la protección de los activos informáticos de
la Universidad Central de Venezuela.
Tutor Académico: Prof. Vincenzo Mendillo
Presentado ante la Ilustre
Universidad Central de Venezuela
para optar al Título de Especialista en
Comunicaciones y Redes de Comunicación de Datos
Por la Lic. Reina Camacho
Caracas, Febrero 2008
�UNIVERSIDAD CENTRAL DE VENEZUELA
FACULTAD DE INGENIERÍA
COMISIÓN DE ESTUDIOS DE POSTGRADO
VEREDICTO
Quienes suscriben, miembros del Jurado designado por el Consejo de la Facultad de
Ingeniería para examinar el Trabajo Especial presentado por la Lic. REINA ALBANIA
CAMACHO MUÑOZ, Cédula de Identidad número V-10.719.898, titulado “DISEÑO E
IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
PARA LA PROTECCIÓN DE LOS ACTIVOS INFORMÁTICOS DE LA UNIVERSIDAD CENTRAL DE
VENEZUELA” a los fines de cumplir con el requisito legal para optar al título de
ESPECIALISTA EN COMUNICACIONES Y REDES DE COMUNICACIÓN DE DATOS, dan fe
de lo siguiente:
1. Una vez leído como fue dicho trabajo por cada uno de los miembros del jurado, el
coordinador del jurado convocó para efectuar la defensa en forma pública el día martes 12
de febrero de 2008, a las 5:00 p.m., en la Sala de Reuniones de la Dirección de
Tecnología de Información y Comunicaciones de la Universidad Central de Venezuela
2. La defensa comenzó a las 5:10 p.m. en el sitio y fecha antes señalados. El aspirante hizo
un resumen oral de su Trabajo Especial, luego de lo cual respondió satisfactoriamente las
preguntas que le fueron formuladas por el Jurado, todo ello conforme a lo dispuesto en el
artículo 44 del Reglamento de Estudios de Postgrado de la Universidad Central de
Venezuela.
3. Finalizada la defensa pública, el jurado deliberó en privado y por unanimidad decidió
APROBAR el Trabajo por considerar, sin hacerse solidario de las ideas expuestas por el
autor, que se ajusta a lo dispuesto y exigido en el Reglamento antes citado. Para dar este
veredicto, el Jurado estimó que el Trabajo representa un aporte valioso y moderno para
evaluar y mejorar la seguridad de la información de las instituciones académicas
utilizando la metodología basada en el nuevo estándar ISO 27001.
4. En fe de lo cual se levanta la presente acta, en original y tres copias, en Caracas, a los
doce días del mes de febrero del año dos mil ocho, dejándose constancia que conforme a
la normativa jurídica vigente, actuó como coordinador del jurado, el Prof. Vincenzo
Mendillo, tutor del trabajo.
_______________________________ _____________________________
Lic. Rina Surós (Ph. D.) Lic. Neudith Morales (M.Sc.)
_______________________________
Ing. Vincenzo Mendillo (M.Sc.)
Coordinador
�Diseño e implantación de un Sistema de Gestión de Seguridad de la Información
(SGSI) para la protección de los activos informáticos de la Universidad Central de
Venezuela.
AUTOR (ES): Reina A. Camacho M.
TUTOR: Prof. Vincenzo Mendillo
RESUMEN
Este trabajo de investigación propone el diseño y la implantación de un Sistema de Gestión de
Seguridad de la Información (SGSI) en la Red Corporativa de Datos de la Universidad Central
de Venezuela (UCV), con la finalidad de proteger los activos informáticos y mejorar la
prestación de los servicios de red que ofrece la Institución a toda la comunidad universitaria.
El Sistema de Gestión de Seguridad de la Información contempla la planificación y puesta en
marcha de controles de seguridad basados en una evaluación de riesgos, identificando las
amenazas y vulnerabilidades a los que esta expuesta la información de la institución.
Para la realización del SGSI se tomó en cuenta el modelo de proceso PDCA (Plan, Do, Check,
Act) con el fin de preservar la integridad, confiabilidad y disponibilidad de los activos
informáticos de la Red corporativa de Datos de la UCV, buscando alcanzar el aseguramiento
de la información. Este sistema SGSI permite reducir el nivel de riesgo mediante la
implantación de controles adecuados, como la creación de políticas de seguridad, diseño de la
organización de la seguridad que la institución debe tener, creación de medidas y controles
contra software malicioso, creación de controles de acceso a los servicios críticos de la
institución implementando herramientas de seguridad que mejor se adapten en función de su
aplicabilidad, adaptabilidad y costos, y creación de una propuesta de actividades que
constituyan una base fundamental de trabajo para lograr una “cultura de seguridad”.
Los resultados de la investigación revelan una necesidad imperiosa de que las normas y
políticas definidas sean aprobadas por la alta gerencia, se realice monitoreo y mejoras
continuas al SGSI implementado, para que la seguridad no se vea seriamente comprometida.
También se necesita tanto una fuerza laboral técnica bien formada que sea capaz de analizar
las situaciones y tomar decisiones de seguridad que estén acordes con los intereses de la
institución, como la participación de todos los miembros de la comunidad universitaria en
fortalecer la seguridad de la información.
�
Índice General
Lista de Tablas ......................................................................................................... iv
Lista de Figuras ......................................................................................................... v
INTRODUCCIÓN ......................................................................................................2
CAPÍTULO I….. ........................................................................................................4
PLANTEAMIENTO DEL PROBLEMA ...........................................................................4
Planteamiento del problema de la Investigación ................................................5
I.1.
I.2.
Objetivos del trabajo de Investigación............................................................12
Justificación de la Investigación.....................................................................13
I.3.
I.4.
Alcance ......................................................................................................14
I.5.
Limitaciones................................................................................................14
CAPÍTULO II ……………………………………………………………………………………………….15
SEGURIDAD DE LA INFORMACIÓN ........................................................................15
Seguridad de la Información .........................................................................16
II.1.
La norma ISO 27000....................................................................................18
II.2.
II.3.
Sistema de Gestión de Seguridad de la Información.........................................22
Políticas de Seguridad ..................................................................................25
II.4.
Proceso de Evaluación de Riesgos..................................................................27
II.5.
II.6.
Cultura de Seguridad ...................................................................................31
Firewall ......................................................................................................34
II.7.
Tipos de firewall ....................................................................................34
Evaluación de firewalls ...........................................................................35
II.8.
Sistemas de Detección de Intrusos ................................................................40
CAPÍTULO III........................................................................................................45
MARCO METODOLOGICO .......................................................................................45
III.1. Metodología a utilizar ...................................................................................46
III.2.
Desarrollo del Modelo PDCA en la UCV ...........................................................50
III.2.1. Arranque del Proyecto..................................................................................50
III.2.2. Plan (planificar): establecer el SGSI...............................................................50
III.2.2.1. Alcance del SGSI. ..................................................................................50
III.2.2.2. Definir una política de seguridad..............................................................51
III.2.2.3. Inventario de activos .............................................................................51
III.2.2.4. Identificación de las amenazas y vulnerabilidades. .....................................55
III.2.2.
Crear cuenta
Comentarios de: Diseño e implementación de un SGSI, para la protección de los activos informáticos (0)
No hay comentarios