UNIVERSIDAD NACIONAL DE INGENIERÍA

FACULTAD DE CIENCIAS Y SISTEMAS

Protocolo Monográfico para Optar al Título de

Ingeniero de Sistemas

TEMA:

Implementación de un Sistema de Gestión de seguridad de la Información,

basado en la norma NTC-ISO/IEC 27001 en el Recinto Universitario Augusto C.

Sandino de la Universidad Nacional de Ingeniería.

AUTOR:

Br. Omar Ibrahim Alvarado

Rodríguez

Br. Luis Arturo Salgado García

2013 – 0404N

2013 – 0089N

TUTOR:

Ing. José Manuel Poveda Ruiz

Managua, diciembre del 2016

Introducción.

El Recinto Universitario Augusto C. Sandino (RUACS), es un programa

académico descentralizado de la Universidad Nacional de Ingeniería que forma

profesionales de excelencia, desarrolla programas y proyectos académicos en

docencia, investigación, extensión y producción, flexibles y pertinentes, con el

propósito de ampliar oportunidades para los sectores sociales menos

favorecidos y convertirse en un referente en la formación profesional de la

Región del Norte del país.

Desde su fundación, este recinto ha creciendo constantemente, y por ende ha

aumentado la información valiosa que se recoge, gestiona y trasmite a través

de diferentes medios, necesitando protección para asegurar la integridad,

confidencialidad y disponibilidad de la información.

No obstante, lo que ha hecho es ir parchando los agujeros de seguridad con

medidas puntuales, descoordinadas y poco proporcionadas al riesgo que

reducen. Algunos de estos riesgos son: Perdida de información, redundancia y

entropía de los datos, suplantación de identidad, deterioro de los equipos,

desastres naturales y provocados por el hombre – deliberado o accidentales,

etc. Y hasta ahora éstos se han tratado con medidas cuya implantación y

efectividad no son llevadas a cabo y controladas de manera planificada. El

resultado es obvio, se siguen manteniendo altos niveles de riesgo frente a las

amenazas externas tales como: Hackeo, fallos electrónicos o lógicos, ingeniería

social entre otros e internas, tales como: Errores de configuración, personal

técnico desmotivado, rosetas accesibles, redes inalámbricas desprotegidas,

equipos sin vigilancia, etc.

Por lo anterior se hace la propuesta de la implantación de un SGSI, el cual daría

mayor seguridad a la información a través de la creación de controles y políticas

basados en la norma NTC-ISO/IEC 27001, que permitan salvaguardar los

activos ya sean estos materiales, humanos, software y hardware; además de

mejorar la imagen de la institución, dándole mayor solidez ya que habría una

gestión más efectiva de su Tecnología Informática, TI.

Antecedentes.

En la sede central de la Universidad Nacional de Ingeniería, Recinto

Universitario Simón Bolívar (RUSB), el Departamento de informática – DITI,

trabaja basado en normas y políticas establecidas por el mismo departamento

para la protección de los activos informáticos de los distintos recintos de la UNI.

Sin embargo esta protección no está formalizada ni se cumple en su totalidad

en el Recinto Universitario Augusto C. Sandino: Si existe algún fallo en los

activos informáticos del RUACS, se manda por escrito el problema al DITI,

según la gravedad éste generalmente envía instrucciones para corregir el

problema y en otros casos envía personal técnico. De manera que lo que han

venido haciendo es trabajar de acuerdo al problema que se presenta, y no se

tiene un documento o estudios con procesos y procedimientos a seguir y que

cumplan con los criterios de un SGSI.

Es importante reconocer que la seguridad de la información en el RUACS ya se

ha visto comprometida en años anteriores. En el año 2010 ante el cambio de la

nueva dirección de la sede, fue necesario el uso de fuerza bruta para acceder al

departamento de informática, laboratorios y otras oficinas; servidores y equipos,

sistemas de información y red. Esto fue debido a que el responsable de

informática con su personal no apoyaba a la nueva estructura organizativa y en

su lugar negaron las llaves de las oficinas, contraseñas de los sistemas

operativos, de los servidores y otros equipos de cómputo; limitación de

privilegios de los sistemas de información y acceso a la red.

También en el 2011 los servidores de bases de datos fueron infectados por un

virus que detuvo las operaciones académicas por quince días. Y superada la

situación fue necesario el reprocesamiento de operaciones. Un año más tarde,

uno de los servidores fue dado de baja por deterioro y hasta la fecha no ha sido

sustituido ni se han mejorado las condiciones del servidor que aún está

trabajando, el cual tiene bajas capacidades, razón por la que el Sistema de

Información de Registro Académico, SIRA, no es actualizado a su última versión

como el de la sede central, Managua.

En el año del 2013 fue reestructurada la red del recinto y también se adquirieron

nuevos equipos de cómputo para los laboratorios. Sin embargo, no están

documentados los cambios ni establecidos los procedimientos; hasta ahora, el

inventario de activos sólo es llevado a cabo por la administración general del

recinto.

Finalmente, es importante mencionar que la sede no tiene definida una política

de seguridad ni documentada una normativa sobre la gestión de la Tecnología

Informática del RUACS.

 

Justificación.

La presente investigación surge de la necesidad de proteger de forma

organizada y sistémica los activos Informáticos (información, personas,

servicios, infraestructura, etc.) del Recinto Universitario Augusto C. Sandino ante

cualquier incidente de seguridad, tales como: accesos no autorizados,

interrupciones indeseadas, denegación de servicios, infección por virus, cambios

de hardware, firmware o software de los sistemas, entre otros.

Es por lo anterior que se plantea al recinto la “Implementación de un Sistema de

Gestión de seguridad de la Información, basado en la norma NTC-ISO/IEC

27001“. Implantar un SGSI en una empresa no es precisamente cuando se le

haya presentado un incidente de seguridad sobre su información, sino, cuando

ésta desea tener un crecimiento y posicionamiento ante un mercado exigente y

global teniendo en cuenta que para ello, requiere del uso de la Tecnología de la

información y las comunicaciones para lograrlo.

El principal objetivo de la implantación del SGSI en el RUACS es proporcionar

seguridad de la información que maneja con un alto grado de confiabilidad,

integridad y disponibilidad; y con ella los activos que la gestionan. Un SGSI

ayuda a mantener los riesgos por debajo del nivel aceptable.

Un beneficio de la implantación que se propone, es la reducción de costos, ya

que la seguridad de los activos incide directamente con la rentabilidad

económica de la organización, evitando situaciones que suponen costos.

Además, apoyará la optimización de recursos e inversiones en tecnología, ya

que se tomaran decisiones en base a la información fiable sobre el estado de los

sistemas de información y objetivos de la organización.

Finalmente, el SGSI apuntala a la competitividad de esta entidad educativa:

Teniendo un aumento de confianza por parte de la sociedad por la mejor

preparación para asumir retos tecnológicos, trabajando sobre reglamentos leyes

y normativas para poder demostrar ante la competencia el cumplimiento de los

mismos, manteniendo así una mejor imagen como una institución responsable,

comprometida con la mejora de sus procesos y servicios.

Objetivos.

Objetivo General

Implementar un Sistema de Gestión de Seguridad de la información, basado en

la normativa internacional NTC-ISO/IEC 27001, en el Recinto Universitario

Augusto C. Sandino.

Objetivos Específico.

Realizar un estudio de la situación actual del recinto universitario en cuanto a

sistemas de seguridad de la información.

Identificar las vulnerabilidades, riesgos y amenazas de la Tecnología informática

de la organización a través de un análisis de riesgo.

Diseñar el Sistema de Gestión de Seguridad de la Información, adaptando

políticas de seguridad y controles propuestos para la organización de acuerdo a

la Normativa ISO 27001.

Medir y evaluar la eficacia de los controles, procesos y procedimientos a través

de la auditoria interna.

Proponer medidas correctivas, preventivas y de mejoras continua basados en la

norma ISO 27001.

Marco Teórico.

En este capítulo se encuentran los conceptos básicos, complementarios y

específicos, que proporcionará una idea más clara acerca de este tema de

investigación y servirán como base para el desarrollo de la monografía.

Generalidades del SGSI.

Sistemas. Nos referimos al conjunto de partes coordinadas y en interacción

para alcanzar los objetivos para la cual fueron creados. “Un sistema está

compuesto por componentes individuales, cada uno cumpliendo un propósito

específico, y estos al interactuar entre ellos llevan a cabo procesos para cumplir

alguna tarea requerida”.

Sistema de Gestión. Se podría interpretar como una herramienta que permite

controlar una serie de eventos en la empresa, tantos internos como los que

pasean en su entorno, pudiendo visualizar los efectos que causen estos eventos

y midiendo el aprovechamiento eficaz que se tiene de los recursos que posee la

empresa, para así tener planes de los mejoramientos de los procesos y

procedimiento. “Procesos, comportamientos y herramientas que se emplean

para garantizar que la organización realice todas las tareas necesarias para

alcanzar sus objetivos, existen una serie de procesos clasificar y llevar a cabo un

sistema de gestión, como son: gestión, análisis, examen de riesgos, riesgo

residual, aceptación y tratamiento de riesgos”.

Sistema de Gestión de Seguridad de la Información SGSI. “Según la Norma

UNE-ISO/IEC 27001 es una parte del sistema de gestión general basada en un

enfoque de riesgo empresarial que se establece para crear, implementar, operar,

supervisar, revisar, mantener y mejorar la seguridad de la información”. Esto

significa que se va a dejar de operar de una manera intuitiva y se va a empezar

a tomar el control sobre lo que sucede en los sistemas de información y sobre la

propia información que se maneja en la universidad, permitiéndonos conocer

mejor nuestra organización, como funciona y que podemos hacer para que la

situación mejore.

Este sistema actualmente cuenta con un estándar de implementación planteado

por la Organización Internacional de Estandarización (International Organizatión

for Standardizacion, ISO), el cual presento su planificación más actualizada para

el año 2005.

La Organización ISO. ISO (Organización Internacional de Estándares) es una

organización especializada en el desarrollo y difusión de los estándares a nivel

mundial. Los miembros de ISO, son organismos nacionales que participan en el

desarrollo de Normas Internacionales a través de comités técnicos establecidos

para tratar con los campos particulares de actividad técnica. Los comités

técnicos de ISO colaboran en los campos de interés mutuo con la IEC

(International Electrotechnical Commission), la organización que a nivel mundial

prepara y publica estándares en el campo de la electrotecnología. En el campo

de tecnología de información, ISO e IEC han establecido unir un comité técnico,

ISO/IEC JTC 1.

La Familia de las Normas ISO.

A continuación mencionaremos los principales estándares aceptados por la

industria en el área de seguridad de la información y específicamente la que

utilizaremos para la implementación de un sistema de gestión de seguridad de la

información en la sede:

ISO/IEC27000. Sistemas de Gestión de Seguridad de la Información,

Generalidades y vocabulario, publicada en Abril del 2009, en la que se recogen

los términos y conceptos relacionados con la seguridad de la información, una

visión general de la familia de estándares de esta área, una introducción a los

SGSI, y una descripción del ciclo de mejora continua.

Norma ISO- 27001. Esta es la norma fundamental de la familia y la que

utilizaremos para la implementación del SGSI, es un conjunto de estándares

desarrollados por la organización ISO que proporcionan un marco de gestión de

la seguridad de la información utilizable por cualquier organización, pública o

privada, grande o pequeña.” La ISO 27001 permite definir y mantener un

Sistema de Gestión de la Seguridad de la Información documentado, que orienta

los esfuerzos de protección de los activos de información, facilita la

administración de los riesgos priorizando los controles necesarios de aplicar y

mantiene un nivel de seguridad adecuado para la continuidad de la

organización”.

La norma ISO 27001 está encargada de ofrecer servicios de estandarización de

procesos y operaciones en distintas ramas empresariales, en general la labor de

la ISO hace una diferencia positiva en el mundo donde vivimos, ya que sirven

para proteger a los consumidores y usuarios de productos y servicios en

general, así como hacer su vida más simple, añadiendo valor a todos los tipos

de operaciones del negocio ya que contribuyen a que el desarrollo, fabricación,

suministro de los productos y servicios sean más eficientes, más seguros, más

limpios e incluso que lleguen hacer que el comercio entre países sea más fácil y

justo.

Criterios básicos de calidad de la información:

Confidencialidad: Asegurar que a la información solo acceda quien está

autorizado para ello, esto se logra formulando procedimientos de autorización

que obliguen al usuario a identificarse para acceder a la información.

Integridad. La información ha de estar completa y correcta en todo momento,

esta característica se puede dar gracias a un conjunto de acciones que garantice

que la información no se ha trasformado o modificado durante su procesado,

trasporte y almacenamiento.

Disponibilidad: La información debe ser accesible para las personas autorizadas,

y que estas puedan llevar a cabo sus transacciones cada vez que sea necesario.

Autenticidad: La información es lo que dice ser o el transmisor de la información

es quien dice ser.

Trazabilidad: Poder asegurar en todo momento quién hizo qué y en cuando lo

hizo.

ISO/IEC27002. Tecnología de la Información, código de buenas prácticas para la

Gestión de la Seguridad de la Información, publicada en el año 2005. Esta guía

de buenas prácticas describe los objetivos de control y controles recomendables

en cuanto a seguridad de la información.

ISO/IEC27003. Guía de implementación de SGSI e información acerca del uso

del modelo PDCA y de los requerimientos de sus diferentes fases.

ISO/IEC27005:2008. Gestión del Riesgo en la Seguridad de la Información

publicada en el año 2008. Esta norma al pertenecer a la familia de las Normas

27000, se ajusta a las necesidades de las organizaciones que pretende realizar

su análisis de riesgos en este ámbito y cumplir con los requisitos de la Norma

ISO 27001.

PDCA. El ciclo PDCA será el ciclo a seguir en la implementación del sistema de

gestión de seguridad de la información para el Recinto Universitario Augusto C.

Sandino. También conocido como “Círculo de Deming” (de Edwards Deming), es

una estrategia de mejora continua de la calidad en cuatro pasos, basada en un

concepto ideado por Walter A. Shewhart. También se denomina espiral de

mejora continua. Es muy utilizado por los SGSI.

Las siglas PDCA son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer,

Verificar, Actuar), que se detallan a continuación:

Fase Planear: Establece la política, objetivos, procesos y procedimientos del

SGSI pertinentes para gestionar los riesgos y mejorar la seguridad de la

información, a fin de entregar resultados conforme a las políticas y objetivos

generales de la organización.

Planificar y diseñar el SGSI según la Norma UNE/ISO-IEC 27001 implica

establecer alcance del SGSI, establecer las responsabilidades, definir política de

seguridad, realizar análisis de riesgos, seleccionar los controles.

Fase Ejecutar: Implementa y opera las políticas, controles, procesos y

procedimientos del SGSI, los principales documentos a generar son: política de

seguridad, inventario de activos, análisis de riesgos, documento de aplicabilidad

y procedimientos.

Fase Revisar: Evalúa y, donde corresponda, mide el desempeño del proceso

según las políticas, objetivo y experiencia práctica del SGSI e informa los

resultados a la gerencia para su examen.

Tiene por objeto la medida y evaluación de la eficacia de otros controles,

mediante la auditoría se determinar si los objetivos de los controles, los procesos

y los procedimientos:

Están conformes con los requisitos de la Norma UNE/ISO-IEC 27001.

Están conformes con la legislación y regulaciones aplicables.

Están conformes con los requisitos de seguridad identificados.

Están implementados y mantenidos de manera efectiva.

Dan el resultado esperado.

Fase Actuar: Toma medidas correctivas y preventivas basadas en los resultados

de la auditoria interna del SGSI y el examen de la gerencia u otra información

pertinente para lograr el mejoramiento del SGSI.

Cuando mediante cualquiera de las actividades de comprobación realizadas o

incluso durante la operativa habitual del SGSI se descubren no conformidades,

reales o potenciales, deben tomarse medidas para solucionarlas, como son las

acciones correctoras, acciones preventivas y acciones de mejora (Deming,

1989).

Seguridad de la Información. Puede definirse como seguridad de la Información

a la que cubre los datos de la información, que son los activos más estratégicos

y valiosos relacionados con los sistemas y el uso de la tecnología de la

información.

Cada día es mayor la importancia de la de la información, especialmente la

captada, procesada y trasmitida por sistemas basados en el uso de tecnología

de la información y comunicaciones, por lo que los impactos de los fallos,

accesos no autorizados, o la revelación de información puede tener

consecuencias mayores que hace unos años, la información en esta área es

referida a los activos de información (es decir, datos, equipos, personas,

aplicaciones) que tienen un valor para la organización.

Servicios de Seguridad. Tiene como objetivo mejorar la seguridad de los

sistemas de procesamiento de datos y la transferencia de información en las

organizaciones.” Los servicios de seguridad están diseñados para contrarrestar

los ataques a la seguridad y hacen uso de uno o más mecanismos de seguridad

para proporcionar el servicio”

Clasificación de seguridad. Se debe realizar un inventario periódico de activos

físicos y activos de información, que tenga por objetivo proveer la base para una

posterior clasificación de seguridad de acuerdo a una política de clasificación

dictada por la junta directiva o la instancia competente. Esta clasificación debe

indicar el nivel de criticidad o sensibilidad y seguridad requerida por la

institución.

Fallo de Seguridad: En cualquier organización existen incidente que la

compromete, es decir que pone en peligro cualquiera de los parámetros con los

que se valora la seguridad: la confidencialidad, la disponibilidad o la integridad

de la información. ”Los fallos de seguridad son ocasionados muchas veces por

la errónea percepción de que si la seguridad física está razonablemente

asegurada, no tiene por qué haber problemas. O que protegiendo únicamente

las aplicaciones y las bases de datos ya está garantizada la seguridad. Con esos

supuestos se dejan desprotegidas muchas áreas de la organización, muchos

activos de información que pueden ser fácilmente dañados o destruidos, ya que

no se han tenido en cuenta todos los aspectos de la seguridad de la información:

la seguridad física, la seguridad lógica y las medidas organizativas”.

Política de Seguridad. La política de seguridad la definirá la Dirección,

estableciendo en ella de forma clara las líneas de actuación de esta área que

deben estar alineadas con los objetivos de negocio. La política es también una

manifestación expresa del apoyo y compromiso de la dirección con la seguridad

de la información. “El objetivo es dirigir y dar soporte a la gestión de la seguridad

de la información de acuerdo a los requisitos del negocio. Es el punto de partida

del diseño del SGSI, a partir del cual se desarrollan las actuaciones necesarias

para implantar el SGSI”.

Riesgo. Es la estimación del grado de exposición a que una amenaza se

materialice sobre uno o más activos causando daños o perjuicios a la

organización. El riesgo indica lo que le podría pasar a los activos si no se

protegieran adecuadamente.

Riesgos de Tecnología de Información: Daño, interrupción, alteración o fallas

derivadas del uso de la TI que soporta los procesos críticos de la Institución y

que conlleven a una pérdida financiera potencial.

Análisis de Riesgo. Es la estimación del grado de exposición a que una

amenaza se materialice sobre uno o más activos causando daños o perjuicios a

la organización. El riesgo indica lo que le podría pasar a los activos si no se

protegieran adecuadamente, antes de saber qué es un análisis de riesgos y lo

que conlleva es importante conocer qué son otro tipo de conceptos muy

relacionados con los Análisis de Riesgos y la seguridad de la información. Estos

son los más importantes:

Amenaza. Se define como el evento o incidente provocado por una entidad

natural, humana o artificial que, aprovechando una o varias vulnerabilidades de

un activo, pone en peligro la confidencialidad, la integridad o la disponibilidad de

ese activo. Dicho de otro modo, una amenaza explota la vulnerabilidad del

activo.

Impacto. Consecuencias de que la amenaza ocurra.

Vulnerabilidad. Se hace referencia a la debilidad de un activo que puede ser

aprovechada por una amenaza provocando que los sistemas informáticos

funcionen de manera diferente para lo que estaban pensados, afectando a la

seguridad de los mismos, pudiendo llegar a provocar entre otras cosas la

pérdida y robo de información sensible.

Salvaguarda. Medida técnica u organizativa que ayuda a paliar el riesgo.

Riesgo Intrínseco. Nos referimos al cálculo del daño probable a un activo que si

se encuentra desprotegido.

A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los

recursos de la organización para que se puedan cubrir las expectativas, llegando

al nivel de seguridad requerido con los medios disponibles. Es relativamente

sencillo calcular con cuántos recursos se cuenta (económicos, humanos,

técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las necesidades

de seguridad.

Tecnología de Información: Comprende hoy en día, en su mayoría, aspectos de

sistemas computarizados de información, que se encargan de obtener, convertir,

almacenar, procesar, recoger y convertir todos los datos que componen la

información, y así garantizar la disponibilidad de la misma en todo momento para

su uso. “La innovación tecnológica ha existido a través de todas las eras de la

humanidad, y cada vez ha ido reduciendo el periodo de transición con respecto a

la anterior, siendo por sí misma un valor social de primer grado. En este sentido

la tecnología en general, y la tecnología de la información, en particular,

constituyen puntos de referencias macro sociales que cuyo objetivo están

definidos con relación al ámbito económico que define el progreso de la

sociedad”.

Métricas. Es la metodología de planificación, desarrollo y mantenimiento de

sistemas de información, promovida por el Ministerio de Hacienda y

Administraciones Públicas para la sistematización de actividades del ciclo de

vida de los proyectos software en el ámbito de las administraciones públicas.

Estándar. Describe el modelo, criterio, regla de medida o de los requisitos

mínimos aceptables para la operación de procesos específicos, con el fin

asegurar la calidad en la prestación de los servicios de salud. Los estándares

señalan claramente el comportamiento esperado y deseado en los empleados y

son utilizados como guías para evaluar su funcionamiento y lograr el

mejoramiento continuo de los servicios.

Procedimiento: Método o sistema estructurado para ejecutar instrucciones. Lista

detallada de la secuencia lógica y consistente de actividades y cursos de acción,

por medio de las cuales se asegura el cumplimiento de una función operativa.

Proceso Crítico: Proceso considerado indispensable para la continuidad de las

operaciones y servicios de la institución, cuya falta o ejecución deficiente puede

tener un impacto financiero significativo para la institución.

Administración de las operaciones. Las instituciones deben garantizar que toda

tarea o proceso interno de Tecnología informática sea debidamente

documentado, esto con el objetivo de lograr un entorno operativo que tenga un

nivel adecuado de madurez.

Objetivos de Control: Dentro de la estructura de un SGSI es importante que

existan objetivos de control, los cuales son representados por características,

procesos y procedimientos del negocio que estarán bajo una constante o

periódica supervisión para asegurar que están cumpliendo con la planificación

del proyecto.

Software. Se define como los componentes lógicos necesarios para hacer

posible la realización de tareas específicas, en contraposición a los

componentes físicos del sistema, llamados hardware. “Es una serie de rutinas

escritas en códigos específicos que al ponerlas en marcha ejecutan un número

de instrucciones que le indican a un conjunto de componentes físicos de un

sistema como deben actuar o comportarse”.

Los componentes lógicos incluyen, entre muchos otros, las aplicaciones

informáticas; tales como el procesador de textos, que permite al usuario realizar

todas las tareas concernientes a la edición de textos; el software de sistema, tal

como el sistema operativo, que, básicamente, permite al resto de los programas

funcionar adecuadamente, facilitando también la interacción entre los

componentes físicos y el resto de las aplicaciones, y proporcionando una interfaz

para el usuario.

Virus Informáticos: Un virus informático es un software que tiene por objetivo

alterar el normal funcionamiento de la computadora, sin el permiso o

conocimiento del usuario.

Tipos de Auditoría.

La auditoría gubernamental está definida por sus objetivos y se clasifica en:

Auditoría Informática. Se hace referencia al proceso de recoger, agrupar y

evaluar evidencias para determinar si un sistema de información salvaguarda los

activos empresariales, mantiene la integridad de los datos, lleva a cabo

eficazmente los fines de la organización, utiliza eficientemente los recursos, y

cumple con las leyes y regulaciones. “La auditoría informática consiste en el

análisis objetivo, crítico, sistemático y selectivo de las políticas, normas,

prácticas, procedimientos y procesos, para dictaminar respecto a la economía,

eficiencia y eficacia de la utilización de los recursos de tecnologías de la

información, la oportunidad, confiabilidad, validez de la información y la

efectividad del sistema de control interno asociado a las tecnologías de la

información y a la entidad en general”.

Auditoría Financiera. La finalidad es el estudio, evaluación y verificación de los

estados financieros preparados por la administración de la entidad, con el

propósito de emitir una opinión respecto a la razonabilidad de dichos estados, de

conformidad con las Normas de Contabilidad Gubernamental de Nicaragua.

Auditoría Operacional o de Gestión. Es el examen de la economía, eficiencia y/o

eficacia de la entidad, programa o área en particular. Una auditoría operativa

determinada puede tener por objetivo examinar uno o varios de estos tres

aspectos, incluyendo la evaluación de conformidad a las leyes y reglamentos

vigentes relacionados con el objetivo de la auditoría.

Auditoria Interna. Actividad independiente que tiene lugar dentro de la

organización y que está encaminada a la revisión de operaciones con la finalidad

de prestar un servicio a la dirección, ya que en realidad es un control de

dirección El objetivo de una auditoría es determinar si los objetivos de los

controles, los controles, los procesos y los procedimientos están conformes con

los requisitos de la Norma en la que se audite el sistema, los requisitos legales y

reglamentarios, los requisitos de la organización (contractuales, de seguridad,

internos, etc.).

Normas de Auditoría Gubernamental de Nicaragua (NAGUN). Las NAGUN

constituyen los principios fundamentales para el ejercicio de la auditoría

gubernamental en Nicaragua, las que una vez emitidas por el Consejo Superior

de la Contraloría General de la República son de aplicación obligatoria en el

ejercicio profesional de la auditoría.

Manual de Auditoría Gubernamental (MAG). La auditoría gubernamental

consiste en un examen objetivo, sistemático y profesional de las operaciones u

actividades o de ambas a la vez, practicado con posterioridad a su ejecución,

con la finalidad de verificarlas, evaluarlas y elaborar el correspondiente informe

que debe contener comentarios, conclusiones y recomendaciones.

Control de Calidad. Está dado por la Supervisión de todo el proceso de la

misma, lo que está regulado en las Normas de Auditoría Gubernamental de

Nicaragua, que establecen, “El trabajo realizado por el equipo de auditoría será

supervisado en forma sistemática y oportuna por personal calificado en todos los

niveles”.

Estratégicas. Se describe como el conocimiento obtenido por el auditor en esta

instancia del proceso de auditoría, permite determinar las áreas de énfasis de la

auditoría.

Programa. Representa un esquema lógico, secuencial, detallado de las tareas a

realizar y los procedimientos a emplearse, determinando la extensión, alcance y

oportunidad en que serán aplicados, así como los papeles de trabajo que han de

ser elaborados.

Planeación Estratégica. Consiste en el proceso de desarrollo e implantación de

planes para alcanzar propósitos y objetivos, generalmente se aplica a

actividades del negocio, entre las varias aplicaciones que se le pueden dar a la

planeación estratégica se encuentra proporcionar una dirección a una compañía

en estrategias financieras, estrategias de desarrollo de recursos humanos u

organizativos, estrategias de marketing entre otras aplicaciones. ”Una

planificación bien fundamentada se basa en tomas de decisiones de acuerdo a

metas que se deseen alcanzar. Estas deben ser bien conocidas y analizadas de

manera que puedan llegar a alcanzarse y no sean imposibles”.

Análisis de Impacto de Negocio: Etapa de la planeación de continuidad de

negocio en la que se identifican los eventos que podrían tener un impacto sobre

la continuidad de operaciones y su impacto financiero, humano y de reputación

sobre la institución.

Gobierno de TI: Estructura de relaciones y procesos para dirigir y controlar la

institución con el objetivo de lograr sus metas, agregando valor mientras exista

un balance entre los riesgos y beneficios de TI y sus procesos.

Información: Se hará uso de diferentes fuentes de información tanto primarias

como secundarias para recolección de información que será útil para la

implantación de un sistema de gestión de seguridad de la información en el

Recinto Universitario Augusto C. Sandino.

Se denomina información a cualquier forma de registro electrónico, óptico,

magnético o en otros medios similares, susceptible de ser procesada, distribuida

y almacenada.

Incidente: Cualquier evento que no forma parte de la operación normal de un

servicio y que causa o puede causar, una interrupción o una reducción de

calidad del mismo. Esto no incluye los requerimientos de cambios a la

infraestructura tecnológica.

Mejores Prácticas Aplicables: Se entenderán como mejores prácticas, los

marcos de referencia de control, estándares internacionales, u otros estudios

que ayuden a monitorear y mejorar las actividades críticas de las tecnologías de

la información, aumentar el valor de negocio, y reducir riesgos tales como:

COBIT, ISO 27001, ISO 27000, NAGUN, entre otros.

Plan de Contingencia: Documento donde se detallan los procedimientos a seguir

en caso de una contingencia, con el fin de no afectar el funcionamiento normal

de la institución. Tiene como objetivo asegurar un nivel aceptable de

operatividad de los procesos críticos, ante fallas mayores internas o externas.

Activos. Se denomina activo a aquello que tiene algún valor para la organización

y por tanto debe protegerse. De manera que un activo de información es aquel

elemento que contiene o manipula información.

Activos de información. son ficheros y bases de datos, contratos y acuerdos,

documentación del sistema, manuales de los usuarios, material de formación,

aplicaciones, software del sistema, equipos informáticos, equipo de

comunicaciones, servicios informáticos y de comunicaciones, utilidades

generales como por ejemplo calefacción, iluminación, energía y aire

acondicionado y las personas, que son al fin y al cabo las que en última

instancia generan, transmiten y destruyen información, es decir dentro de un

organización se han de considerar todos los tipos de activos de información.

Los activos se pueden distinguir diferentes categorías de los mismos:

• Datos. Todos aquellos datos (en cualquier formato) que se generan,

recogen, gestionan, transmiten y destruyen en la organización.

• Aplicaciones. El software que se utiliza para la gestión de la información.

• Personal. La plantilla propia de la organización, como el personal

subcontratado, los clientes, usuarios y, en general, todos aquellos que tengan

acceso de una manera u otra a los activos de información de la organización.

Inventario de activos. El inventario de activos se utiliza para la gestión de la

seguridad no debería duplicar otros inventarios, pero sí que debe recoger los

activos más importantes e identificarlos de manera clara y sin ambigüedades.

El inventario de activos es la base para la gestión de los mismos, ya que tiene

que incluir toda la información necesaria para mantenerlos operativos e incluso

poder recuperarse ante un desastre. Esta información como mínimo es:

• Identificación del activo. Un código para ordenar y localizar los activos.

• Tipo de activo. A qué categoría de las anteriormente mencionadas

pertenece el activo.

• Descripción. Una breve descripción del activo para identificarlo sin

ambigüedades.

• Propietario. Quien es la persona a cargo del activo.

• Localización. Dónde está físicamente el activo. En el caso de información

en formato electrónico, en qué equipo se encuentra.

Valoración de los activos. Es el valor que tiene para la organización, cuál es su

importancia para la misma, considerando el daño que puede suponer para la

organización que un activo resulte dañado en cuanto a su disponibilidad,

integridad y confidencialidad.

Acciones correctoras: Son acciones que se toman para corregir una no

conformidad significativa con el Sistema de Gestión de Seguridad de la

Información. Las decisiones de que hacer y cómo deben en una identificación

precisa de la cauda del problema.

Acciones Preventivas: Son aquellas que se toman para prevenir que ocurra algo

no deseado, tiene como ventaja ser más eficaz y sencillo prevenir los problemas

que solucionarlos.

Acciones de Mejora: Estas acciones no surgen de la necesidad de solucionar un

problema sino de la dinámica del sistema de gestión que impulsa a refinar

procesos y superar los objetivos de forma continua.

Metodología del Trabajo.

A continuación presentamos el tipo de investigación a utilizar, procedimientos y

técnicas necesarias para desarrollar el Sistema de Gestión de Seguridad de la

Información, basado en la norma NTC-ISO/IEC 27001 en el Recinto

Universitario Augusto C. Sandino de la Universidad Nacional de Ingeniería.

Tipo de Investigación.

La presente investigación se considera de tipo descriptiva y aplicativa, ya que

describe lo que es la seguridad de la información y los principales riesgos que

tiene la carencia de la misma, así mismo los procedimientos y pasos a seguir

para la creación de un Sistema de Gestión de Seguridad de la Información,

llevando a cabo un análisis de los procesos específicos realizado, ya que

trabaja sobre realidades de hechos y su característica fundamental es la de

presentar una interpretación correcta de la información analizada.

Aplicación de un análisis de riesgo para identificar las amenazas,

vulnerabilidades de las TI, adaptando políticas y controles de acuerdo a la

normativa ISO 27001

Adoptando medidas correctivas, preventivas y de mejoras continúa en el Recinto

Universitario Augusto C. Sandino.

Ubicación del Estudio

El proyecto se llevara a cabo en el departamento de Estelí, en la Universidad

Nacional de Ingeniería, Recinto Universitario Augusto C. Sandino (UNI-

RUACS), su ubicación geográfica es: Entrada a La Tunoza, Antigua Hacienda El

Higo

Universo.

Debido a que el Proyecto a implantar es un Sistema de Gestión de Seguridad de

la Información, basado en la norma NTC-ISO/IEC 27001 en el Recinto

Universitario Augusto C. Sandino de la Universidad Nacional de Ingeniería, se

trabajara de forma paulatina iniciando por el área de informática, laboratorios de

cómputos, registro académico y administración llevándose en el orden descrito y

extendiéndose hacia el resto de áreas.

Diagnostico.

En la primera fase del proyecto, se realizara un diagnóstico para determinar

cómo se encuentra actualmente la sede en cuanto a seguridad de la

información, basándonos en el Manual de Auditoria Gubernamental (MAG), con

la finalidad de hacer un examen objetivo, sistemático de las operaciones y

actividades llevadas a cabo en el recinto, a partir de los resultados obtenidos se

realizara un informe que será presentado a la comitiva y servirá como base para

pasar a las siguientes fases.

Desarrollo.

Se trabajara mediante un sistema de gestión basado en el ciclo de Deming,

conocido como PDCA (Planificar, Hacer, Comprobar y Mejorar).

El ciclo PDCA supone la implantación de un sistema de mejora continua que

requiere una constante evolución para adaptarse a los cambios producidos en

su ámbito y para tratar de conseguir la máxima eficacia operativa.

A continuación se presenta el ciclo Deming (PDCA):

Figura 2. Ciclo PDCA (“Plan, Do, Check, Act”)

Fase Planear:

En esta fase se establecerá el alcance del Sistema de Gestión de Seguridad de

la Información, tomando en cuenta la parte de la organización que será

protegida o si es completa; así mismo se definirán las responsabilidades con el

fin de coordinar las tareas y esfuerzos en materia a la seguridad.

Se definirán políticas de seguridad de la organización para sentar base de lo que

se pretende hacer mostrando el compromiso con la dirección y coordinar

responsabilidades y tareas.

Se realizara un análisis de Riesgo, cuyo resultado generara la información

pertinente de donde provienen los problemas actuales o potenciales que

tenemos que solucionar para alcanzar el nivel de seguridad deseado; Así mismo

seleccionar controles y establecer un plan de seguridad.

En esta fase se utilizaran los diferentes fuentes de información para recopilación

de la información, que nos permita llegar a los puntos esenciales e identificación

de riesgos a los que se encuentra expuesto la Universidad en cuanto a

seguridad, de igual manera en esta etapa se interactuara con la dirección y con

el comité conformado para llevar a cabo el SGSI.

Fase Do (Hacer)

Se implementara el plan de seguridad diseñado en la fase anterior, generando

como resultado de la información obtenida, procesada y analizada a lo largo del

trabajo realizado los siguientes documentos:

• Políticas de Seguridad.

• Inventario de Activos.

• Análisis de Riesgos.

• Documento de Aplicabilidad.

• Procedimientos.

• Riesgos.

•

Fase Act (Actuar)

Esta fase es esencial ya que se adoptan medidas para contrarrestar no

conformidades, reales o potenciales como son: medidas preventivas, medidas

correctivas y de mejora, de acuerdo con los resultados que hayamos obtenido

en la fase anterior. En todo caso deberemos ir realizando los ajustes necesarios

y replanteando los procesos actuales o nuevas acciones para alcanzar nuestros

objetivos. En caso de que nuestro objetivo haya sido conseguido, en esta etapa,

nos aseguraremos de estandarizar y sistematizar los procedimientos para

mantener el resultado en el tiempo.

Fuente de Información

La utilización de fuentes de información es muy importante debido a que

recogeremos información que sea de nuestro interés para llevar a cabo el

proyecto, en este capítulo se presentaran las diferentes fuentes que se

utilizaran para la recopilación de la información, las cuales serán las primarias y

secundarias.

Fuentes Primarias: Se utilizaran diferentes métodos para la recopilación de

información necesaria para llevar a cabo el desarrollo del proyecto tales como:

Manual de Auditoria Gubernamental (MAG), encuesta al personal de la

universidad para identificar el nivel de seguridad de los activos, entrevista con el

director, reuniones con el comité, así como observación directa en la

infraestructura de la sede.

Fuentes Secundarias: Estas contienen información elaborada producto de la

información primaria original.

Se tomaran documentos elaborados por la Universidad, como las políticas,

normas, reglamentos, documentos elaborados para llevar el control de la

información y Plan de contingencia.

Instrumento para la recopilación de la Información.

Entrevista: Se hará una entrevista, dirigida al director de la Universidad, para ver

desde una perspectiva general el funcionamiento de la sede.

También se realizaran entrevista a los jefes de departamento de Informática,

Finanzas, Administración, investigación y coordinación, para obtener su opinión

de acuerdo a protección de activos y las problemáticas que se presentan.

Observación: Durante todo el desarrollo del proyecto se hará uso de la

observación directa en la sede, para identificación de los riesgos,

vulnerabilidades, amenazas en todos los activos e infraestructura.

Documentos: que cuenta la universidad, que sean de relevancia para el estudio

como, políticas, reglamentos, normas e inventarios.

Procesamiento de la Información.

Microsoft Word 2010: Es un procesador de texto el cual se estará utilizando para

la elaboración de la entrevistas y digitalización del protocolo de investigación,

este se utilizará durante todo el desarrollo del proyecto.

Microsoft Excel 2010: Libro de trabajo utilizado para la elaboración de tablas y

cronograma de trabajo.

Infostat: software estadístico que se utiliza para el procesamiento de entrevistas

y encuestas, presentando datos precisos a través de gráficos que permitirá una

mejor comprensión e interpretación de la información recolectada.

Análisis de la Información

A través de las entrevistas, encuestas y métodos de observación directa se

llevara a cabo un análisis con el objetivo de determinar las vulnerabilidades de la

empresa, si se está llevando un procedimiento adecuado para el desarrollo de

las actividades, sin poner en riesgo los activos y para la realización de un

análisis de riesgo.

Con la entrevista que se harán a los diferentes jefes de departamento y

observación directa, se obtendrá la información necesaria para el levantamiento

de activos, determinación de riegos, fallas en infraestructura y equipos, etc.

1