Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
toma como referencia un caso ocurrido en enero de 2010, denominado Operación Aurora el cual
demuestra que la vulnerabilidad que se puede dar desde las empresas más grandes hasta las más
pequeñas, llevando a que se pierda información que guarda la inteligencia del negocio reflejada
en la forma de hacer el producto, listas de clientes, traslado de fondos, información privada de las
personas y la empresa, lo que de algún modo genera falta de confianza en una empresa.
Se puede evidenciar que estas dos empresas de la ciudad de Manizales, y las cuales hacen
parte de las PYMES, como se denomina a la pequeñas y medianas empresas, no cuentan con
presupuestales para adquirir elementos tecnológicos que mitiguen el impacto ocasionado por
factores exógenos y/o endógenos, de tal manera que incorporan soluciones parciales que, si bien
sirven ante una posible amenaza, no garantizan que exista una política clara frente al tema de
seguridad.
Sin lugar a duda lo más importante para La Clínica Versalles y Distribuidora Serviexpress, es
algunos casos de forma física, la información se constituye entonces como un activo vital para la
representan un gasto de tiempo y dinero, por otra parte lo complejo que resulta implementar un
sistema, no obstante cuando se implementa se tiene como fin último una certificación que tiene
Según la norma ISO 27002, el cual es un código de buenas prácticas en el cual propone un
controles de seguridad. Algunas empresas del estado como la Policía Nacional, está
implementando SGSI, con el objeto de certificarse en la norma ISO 27001, ya que ISO 27002 no
es certificable.
Tal vez estas dos empresas no estén en condiciones de hacer una implementación de esta
En tal sentido se hace una propuesta consistente en proponer una alternativa denominada
modelo de seguridad de la información en tres capas (Lógica – Física - Humana), que consiste en
una mixtura sintetizada de algunas estrategias de seguridad, al igual que la propuesta del uso de
herramientas gratuitas como apoyo al modelo, lo que hace que este sea de fácil entendimiento,
genere costos mínimos y se cumpla con los principios universales de seguridad con la
información.
¿Qué impactos conlleva la aplicación de prácticas de seguridad informática en las áreas de
Manizales?
OBJETIVOS
General
las áreas de sistemas de las empresas Clínica Versalles y Distribuidora Serviexpress de la ciudad
de Manizales.
Específicos
información especialmente la serie ISO 27000 y modelo OSI, que permitan tener fundamentos
- Evaluar los resultados obtenidos con las prácticas de seguridad informática de las
JUSTIFICACIÓN
El motivo principal por el cual se está realizando esta investigación, es ver como protegen su
información y que practicas realizan las empresas con respecto a seguridad informática, luego de
mostrarles los conceptos y alcances de este modelo, de su gran utilización a nivel de protección.
Se diseñara un modelo de seguridad con base en tres capas (Lógica – Física - Humana), que
cuente con todos los niveles de seguridad y que sea acorde con las normas ISO 27000,
Porque sin lugar a duda lo más importante para una empresa es su información, la cual se
maneja a través de una infraestructura tecnológica donde se realizan gran cantidad de procesos
que son almacenados en medios magnéticos o algunos casos de forma física. La información se
constituye entonces como un activo vital para la empresa, pues de ella dependen sus actividades
diarias.
Es claro que apenas existe un poca concientización por parte de la dirección de las empresas
información, representan un gasto de tiempo y dinero, por otra parte lo complejo que resulta
implementar un sistema, no obstante cuando se implementa se tiene como fin último una
certificación que tiene unos costos y que para mantenerla se debe continuar pagando.
Presentar los conceptos y alcances del modelo, al personal directivo y técnico de la empresa,
especificando el modelo de seguridad a tres capas (Lógica – Física - Humana), para así tener un
concepto claro sobre los peligros a los cuales se enfrenta su organización en materia de seguridad
REFERENTE TEÓRICO
Para el desarrollo analítico de la teoría existente se busca definir la seguridad de información
CAPÍTULO I.
nacionales y a nivel mundial, un miembro por país, con una secretaría central en Ginebra, Suiza,
ISO es una organización no gubernamental que relaciona institutos del sector público y
privado logrando soluciones concertadas que satisfagan los requerimientos de los negocios y la
sociedad y orientada a la creación de normas dirigidas hacia las áreas de productos, servicios,
tratamiento, dentro de una organización, así pues, estos tres términos constituyen la base sobre la
que se cimienta todo el SGSI de la seguridad de la información, si se cumplen al menos estas tres
de proceso.
misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un
guardar todo aquello que es considerado como susceptible a perdida, daño o robo.
Esta norma describe cómo se puede gestionar la seguridad de la información, para este caso en
las empresas Clínica Versalles y distribuidora Serviexpress; teniendo en cuenta que la norma ISO
27001, puede ser implementada en cualquier tipo de organización, con o sin fines de lucro,
privada o pública, pequeña o grande. Está redactada y diseñada por los mejores especialistas del
gestión de la seguridad de la información en una organización. También permite que una empresa
sea certificada; esto significa que una entidad de certificación independiente confirma que la
información y muchas empresas han certificado su cumplimiento; teniendo en cuenta que esta
norma brinda herramientas que permitan proteger el activo más valioso para cualquier empresa u
organización, ya que en esta era tecnológica han aparecido bastantes modalidades delictivas que
tratan de vulnerar la seguridad informática a fin de obtener información privada, para ser
artículo 270 y 271 Código Penal Colombiano, Ley 23 de 1982, Ley 44 de 1993, Ley 603 de
2000.
• Optimización de recursos.
• Credibilidad y confianza.
ISO 27002
información.
dominios.
• Política de seguridad.
• Aspectos organizativos para la seguridad.
• Control de accesos.
• Conformidad.
Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus
propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es
una definición útil para conocer lo que implica el concepto de seguridad informática.
En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o
puede llevar a cabo con backups de información susceptible de robo por medios externos o
• Contar con un sistema de información estadístico para dar seguimiento a los proyectos y
seguimiento.
información.
• Mantener la actualización sobre los avances tecnológicos en este campo, con el fin fortalecer
Las funciones de la seguridad informática establecen que se deben tener estrategias ante la
vulnerabilidad de los datos, se debe contar con una serie de procedimientos y prácticas que
permitan la difusión y capacitación de los usuarios ante los riesgos operativos y sistemáticos que
Mínimo Privilegio
conceder a cada objeto (usuario, programa, sistema, etc) solo aquellos permisos o privilegios que
son necesarios para realizar las tareas que se programó para ellos. El tipo de objeto al cual se
Esta estrategia permite limitar la exposición a ataques y limitar el daño causado por ataques
particulares. Está basada en el razonamiento de que todos los servicios ofrecidos por una red
están pensados para ser utilizados por algún perfil de usuario en particular, y no que todos los
usuarios pueden utilizar todos los servicios de la red. De esta forma es posible reducir los
privilegios requeridos para varias operaciones sin afectar al servicio prestado a los usuarios de la
red.
una estrategia de mínimo privilegio, como es el caso de los sistemas de filtrado de paquetes, que
Esta estrategia es difícil de implementar cuando no está prevista como una característica de
diseño en los programas y protocolos que estén siendo utilizados. Debe tenerse cuidado en
consideración está relacionada con el objeto sobre el cual se aplica la restricción, es decir la
granularidad de la protección. Por ejemplo, aplicar la restricción sobre los usuarios, puede
restringir el uso de servicios que fueron pensados para todos los usuarios.
Para cada servicio debe establecerse cuidadosamente el objeto y las restricciones que se le
aplican.
Defensa En Profundidad
Una sola capa defensiva para toda la red pudiera llegar a ser tan fuerte como se quisiera, pero
con la perdida de una frontera definida en la red, esa capa sigue siendo necesaria para proteger
contra amenazas provenientes desde el exterior por el canal principal de comunicaciones, pero ya
no es suficiente para enfrentar las amenazas que pueden o ya han logrado ingresar por los canales
alternos que se han formado, muchos de estos a veces sin tenerlos previstos por los
administradores.
Para una efectiva protección contra las múltiples amenazas que pudieran presentarse desde
cualquier punto de entrada a la red, se asume que toda la red corporativa ya no es una sola
unidad, sino que está compuesta de varios segmentos y sub-segmentos con objetivos operativos
bien determinados y por lo tanto con riesgos y amenazas de seguridad específicos que requieren
estarán formando capas de protección una sobre la otra, donde se apoyaran mutuamente
amplificando la capacidad de protección al quedar las debilidades de una capa de una cubiertas
por las fortalezas de la capa que le sigue , y así, si un elemento hostil llega a derrotar una
protección, existe una gran probabilidad de que el ataque quede anulado, reducido o al menos se
gane tiempo para actuar con la protección que brinda la capa siguiente.
Esta estrategia para la colocación de las defensas es conocida como Defensa en Profundidad y
tiene su origen en el mundo militar, donde desde el punto de vista del atacante, las barreras que
tiene que cruzar para llegar a su objetivo ya no solo se encuentran a lo largo del frente de batalla,
Esta estrategia consiste en depender de un único punto de acceso a la red privada para todas
las comunicaciones entre ésta y la red pública. Ya que no existe otro camino para el tráfico de
Esta estrategia se considera como una solución “todo en uno”. Como consecuencia, uno de los
problemas que presenta es que si un atacante es capaz de traspasar la seguridad de este único
punto del acceso tendrá acceso a todos los recursos de la red. Esta situación puede ser tratada
la capacidad del punto de acceso de registrar los sucesos y controlar todo el tráfico de entrada y
salida.
En muchas soluciones este punto de acceso es implementado por un firewall perimetral por lo
que éste debe tener la capacidad de procesar todo el tráfico que por él pase sin afectar en gran
Esta estrategia responde a un principio de seguridad que, aplicado a redes, establece que un
sitio es tan seguro como lo es su enlace más débil. Este enlace suele ser el objetivo de los ataques
El objetivo de esta estrategia es identificar aquellos enlaces débiles de acceso a la red privada
y tratar de eliminarlos, reforzarlos y/o monitorearlos. Aunque no por esto debe restarse
De todas formas, siempre habrá algún enlace que será más débil que todos, la idea que ese
enlace debe ser lo suficientemente seguro en proporción al riesgo que implica que sea vulnerado.
ESTRATEGIA METODOLÓGICA
Tipo de Investigación
indagar al interior de la empresas, (cuales son las herramientas y/o métodos utilizados para la
información para su posterior análisis y diagnóstico inicial. Por ello las técnicas que se utilizaran
para el levantamiento de la información se tienen las entrevistas de forma personal con las
directivas y los empleados encargados de la seguridad informática y soporte técnico, con el fin de
conocer más a fondo que metodologías se encuentran utilizando para proteger la información
frente a todas las modalidades delictivas que existen actualmente en nuestro entorno laboral. Por
medio de este enfoque se pretende dar a conocer si existe algún problema de seguridad, y si
después de finalizada la investigación, reunir cuales son las falencias encontradas en cada uno de
los procesos que manipulen información y que por ende se convierten en un riesgo que puede ser
solución necesarias para proteger uno de los activos más importantes para estas empresas
utilizadas para la seguridad informática, por parte de los empleados de las empresas Distribuidora
Serviexpress y Clínica Versalles; los cuales son las Unidades de Trabajo tomadas como
objetivo principal demostrar cómo estas dos organizaciones están afrontando todas las
modalidades delictivas frente a la seguridad informática, la cual cada día se hace más vulnerable,
sin importar cual sea el tipo de empresa, ya que el objetivo principal de la delincuencia es
vulnerar los sistemas de seguridad informática, a fin de abrir brechas que faciliten la fuga de
información.
Técnicas e Instrumentos
primero realizar visitas a las instalaciones de ambas empresas, donde se pretende observar e
identificar cuáles son los elementos de protección físicos utilizados e implementados para la
seguridad de la información; una vez finalizado este paso, se pretende realizar un levantamiento
información, donde se procederá a realizar entrevistas a todos los directivos y designados para la
través de una serie instrumentos empleados para esta investigación, como son los cuestionarios
con un número máximo de 10 preguntas abiertas, el cual nos ayudara a identificar cuales son los
agrupados en 11 dominios.
Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus
propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es
una definición útil para conocer lo que implica el concepto de seguridad informática.
vulnerabilidad de los datos, se debe contar con una serie de procedimientos y prácticas que
permitan la difusión y capacitación de los usuarios ante los riesgos operativos y sistemáticos que
Mínimo Privilegio
conceder a cada objeto (usuario, programa, sistema, etc) solo aquellos permisos o privilegios que
son necesarios para realizar las tareas que se programó para ellos. El tipo de objeto al cual se
Redes.
Defensa En Profundidad
Una sola capa defensiva para toda la red pudiera llegar a ser tan fuerte como se quisiera, pero
con la perdida de una frontera definida en la red, esa capa sigue siendo necesaria para proteger
contra amenazas provenientes desde el exterior por el canal principal de comunicaciones, pero ya
no es suficiente para enfrentar las amenazas que pueden o ya han logrado ingresar por los canales
alternos que se han formado, muchos de estos a veces sin tenerlos previstos por los
administradores.
Redes.
Punto De Ahogo (Acceso)
Esta estrategia consiste en depender de un único punto de acceso a la red privada para todas
las comunicaciones entre ésta y la red pública. Ya que no existe otro camino para el tráfico de
Redes.
Esta estrategia responde a un principio de seguridad que, aplicado a redes, establece que un
sitio es tan seguro como lo es su enlace más débil. Este enlace suele ser el objetivo de los ataques
Redes.
con conocimiento básicos en seguridad informática, y el otro será dirigido a las personas que
conforman las otras dependencias administrativas, pero que de otra forma manipulan y tienen
conocimientos tienen en esta temática y que metodologías utilizan para proteger este activo de las
empresas.
dos organizaciones. Y el tiempo que se requiere para la aplicación de este instrumento será de 30
minutos, en un auditorio coordinado acondicionado para que todos puedan asistir el día en que se
La sistematización de la información que se recolecte con las herramientas diseñadas para esta
que permite ser utilizado con una versión de prueba, y después de realizar algunas pruebas con
este software, resulto siendo una aplicación muy útil y que se ajustan a las necesidades para el l
desarrollo de la investigación, ya que los resultados que se obtienen allí son muy cercanos a las
expectativas esperadas, de acuerdo un análisis preliminar con todas las técnicas e instrumentos
Para la construcción del informe final, se tomaran todos los soportes necesarios de acuerdo a
los resultados obtenidos en la recolección y análisis de información por medios de las siguientes
herramientas así:
• Métodos de observación.
• Cuestionarios
Estos serán digitados de manera cronológica en un informe final, donde queden plasmados
todos los resultados obtenidos; posterior a la elaboración de esté, se citara a una junta
extraordinaria entre los Directivos y los encargados del área de sistemas de las empresas Clínica
aplicación prezi de lo que fue el paso a paso del desarrollo de la investigación, con todos los
resultados obtenidos, explicando de manera detallada cada uno de las fallas y riesgos que se
encuentren al interior de las empresas en cuanto a lo que tiene que ver en seguridad informática,
CRONOGRAMA
Fundamentación X X
teórica
Construcción y
validación de los
X
instrumentos
Recolección y análisis
de la información
X X X
Sistematización y
análisis e interpretación
X X
de información
Construcción del
informe final y
X
socialización de
resultados
Este cronograma está diseñado para ser desarrollado y ejecutado durante 9 meses, que se
REFERENCIAS BIBLIOGRÁFICAS
Aaron, L. A, (2005). Análisis e Implementación de un esquema de Seguridad en Redes para
http://www.cujae.edu.cu/eventos/convencion/cittel/Trabajos/CIT052.pdf.
Edwars, D. (1989). Ciclo de Deming. Madrid. Díaz de Santos. ICONTEC. (2006). NORMA
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NT
C-ISO-IEC%2027001.pdf.
Yanapti.