Referencias Bibliografía – [DOC Document]
XIX
PONTIFICIA UNIVERSIDAD CATLICA DEL ECUADOR
FACULTAD DE INGENIERA
MAESTRA EN REDES DE COMUNICACIONES
TESIS PREVIO A LA OBTENCIN DEL TTULO DE MAGISTER EN REDES DE COMUNICACIONES
IMPLANTACIN DE UN SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN (SGSI) EN EL DISTRITO DE SALUD 13D04 24 DE MAYO SANTA ANA OLMEDO SALUD DE LA PROVINCIA DE MANAB
AUTOR:
ALEJANDRO FABIAN MERO GARCIA
DIRECTOR DE TESIS
ING. CARLOS EGAS
Quito, Junio 2016
RESUMEN
La presente investigacin se centra en la implementacin de un sistema de gestin de la seguridad de la informacin en la Direccin Distrital 13D04 de Salud adoptando los estndares ISO 27000 para enfocarse en el control de activos, Seguridad fsica y del entorno, Gestin de comunicaciones, Control de accesos y gestin de los incidentes de la seguridad de la informacin.
La clave de la implementacin del SGSI en la institucin es la aplicacin de la metodologa PDAC; se inicia el sistema con un plan, luego del cual pasa a la implantacin y puesta en marcha del SGSI, inmediatamente de aquello se debe realizar el seguimiento y control para finalmente evaluar y presentar mejoras continuas para que el proceso del sistema de gestin de seguridad en la informacin adquiera acciones preventivas y correctivas constantemente.
Para el anlisis y gestin de riesgo se solicit la colaboracin de una licencia educativa para utilizar la herramienta EAR/PILAR las cual fue concedida para el lapso de 6 meses segn el cronograma de ejecucin del trabajo presentado; tambin se trabaj con las herramientas MSAT de Microsoft y NESSUS de Tenable.
Se realiza un anlisis a travs de un flujo de proceso para detectar las necesidades de capacitaciones que requieren los funcionarios de la institucin que coadyuvaran a la concientizacin y aplicacin de los procedimientos establecidos.
Se investigaron varias herramientas de software libre para la consecucin de la implementacin del SGSI con lo cual se logr integrar, normalizar y automatizar procesos basndonos en los estndares ISO 27000.
En esta investigacin se utilizaron la herramienta Open Computer and Software Inventory (OCS Inventory) para el control de activos; el sistema de Gestin Unificada de Amenazas (UTM) endian para la parte de la seguridad fisca y del entorno; el aplicativo nagios3 para la gestin de las comunicaciones; el servidor Zentyal 3.5 para el control de acceso, el cual incluye sistemas de autenticacin y varios servicios de red integrado; y, finalmente, una mesa de ayuda implementada con el software Gestionnaire Libre de Parc informatique (GLPI) para la gestin de incidentes de seguridad de la informacin.
ABSTRACT
This research focuses on the implementation of a management system of information security in the District Direction 13D04 Salud adopting the ISO 27000 standard to focus on the control of assets, physical and environmental security, communication management, access control incident management and security of information.
The key to the implementation of the ISMS in the institution is implementing the PDAC methodology; It is part of a plan, after which goes to the establishment and implementation of the ISMS, immediately what must monitor and control to finally assessing and making continuous improvements to the process of management system of information security since it can acquire preventive and corrective actions constantly.
For analysis and risk management it was requested the collaboration of an educational license to use the EAR / PILAR the tool which was granted for the period of 6 months according to the implementation schedule of the work presented.
An analysis through a process flow is performed to detect training needs that require officials of the institution that will contribute to the awareness and application of established procedures.
Several free software tools for achieving the implementation of the ISMS with which it was possible to integrate, standardize and automate processes based on ISO 27000 standards were investigated.
In this present study it was applied the Open Computer and Software Inventory tool to control assets; for the part of the physical and environmental security it is used the system of Unified Threat Management endian; for managing communication nagios3 application is used; for access control it is used the Zentyal 3.5 server which includes several authentication systems and integrated network services and finally to manage incidents of information security it was implemented the help desk with the Gestionnaire Libre de Parc informatique software.
Tabla de Contenido
201.Marco Tericoa
201.1.Antecedentes.
201.1.1.Sistema de Gestin de Seguridad De Informacin (SGSI)
261.1.2.Normativas
31Seguridad fsica y del entorno
32Gestin de comunicaciones y operaciones
32Control de accesos
33Desarrollo y mantenimiento de sistemas
33Gestin de continuidad del negocio
33Conformidad con la legislacin
341.1.3.Modelo Plan-Do-Check-Act (PDCA)
36PLAN
37DO
37CHECK
37ACT
381.1.4.Distribucin de los dominios de la Norma ISO 27002
432.Metodologa Margerit
432.1.Definicin
44Directos:
44Indirectos:
44Modelo de valor
45Mapa de riesgos
45Declaracin de aplicabilidad
45Evaluacin de salvaguardas
45Estado de riesgo
45Informe de insuficiencias
45Cumplimiento de normativa
45Plan de seguridad
462.1.1.Estructuracin de la metodologa
633.Implementacin de un Sistema de Gestin de Seguridad de Informacin
633.1.Documentacin
633.1.1.Polticas
643.1.2.Determinacin de procesos y alcance
703.1.3.Organizacin de la seguridad
723.1.4.Fases de implementacin
974.Capitulo IV – Elaboracin de la documentacin formal necesaria para construir el Sistema de Gestin se Seguridad de Informacin
974.1.Documentacin de Normas y Procedimientos
974.1.1.Normas de seguridad
1004.1.2.Procedimientos de seguridad
1085.Captulo V – Acciones Formativas y de Concienciacin
1085.1.Acciones formativas y de concienciacin
1126.Captulo VI – Implementacin de Herramientas
1126.1.Herramientas Usadas en Sistema de Gestin de Seguridad de Informacin.
1126.1.1.Descripcin de herramientas
1297.Captulo VII – Revisin del Sistema de Gestin de Seguridad de la Informacin implementado con herramientas
1307.1.Revisin del Sistema de Gestin de Seguridad de la Informacin implementado con herramientas
1307.1.1.Esquema de polticas de seguridad implementadas
1317.1.2.Verificacin del controlador de dominio
1357.1.3.Verificacin del funcionamiento del sistema de inventario e incidencias.
1357.1.4.Verificacin del funcionamiento de pilar
1367.1.5.Verificacin del funcionamiento de herramienta de respaldo
1367.1.6.Verificacin de la herramienta monitoreo de red.
1397.1.7.Verificacin de los sistemas de gestin unificada de amenazas
1417.1.8.Manuales de operacin de las herramientas
1417.1.9.Manual de instalacin de las herramientas
142Conclusiones
144Recomendaciones
146Referencias Bibliogrficas
151Glosario
153Anexo
154Abarca los siguientes manuales:
154Manual de instalacin endian.
154Manual de instalacin y configuracin OCSInventory.
154Manual de instalacin zentyal.
154Manual de instalacin y configuracin AP HP.
154Manual de instalacin y configuracin AP Motorola.
154Manual de instalacin de GLPI.
155Abarca las siguientes polticas:
155Poltica Uso Servicios Red Servicios Informticos MSP.
155Poltica Coordinacin Centro Soporte Tecnologa
155Poltica Coordinacin Redes Comunicaciones Infraestructura Seguridad Informtica
155Poltica Coordinacin Proyectos Tecnologa Informacin
155Poltica Coordinacin Ingeniera Software.
155A continuacin se detalla el borrador realizado por el autor de Poltica general de seguridad de la informacin en la Direccin Distrital 13D04 24 de Mayo Santa Ana Olmedo Salud.
156Abarca los siguientes manuales de operaciones:
156Manual de registro de equipo al servidor Active Directory
156Manual de registro de equipos en OCSInventory
156Manual de Operacin de endian.
156Manual de Operacin de Zentyal.
157Anexos Generales:
157Material de capacitaciones realizada
157Formatos de Hoja de soporte diseado por el autor
157Formato de Hoja de inventario de equipo tecnolgico diseado por el autor.
157Formato ASA. Matriz Para Levantamiento De Equipos De Cmputo modificado por el autor.
157Licencia Pilar
157Solicitud de realizacin de proyecto de Tesis.
157Archivo trabajado en la de Herramienta Pilar sobre el anlisis y gestin de riesgo.
ndices de figuras
23Figura 1 Esquemas de polticas de un SGSI (Rodrigo Ferrer V., 2014)
23Figura 2 Pirmide de Documentacin SGSI, Analizado y elaborado por el autor.
26Figura 3 Familia ISO 27000 (slideshare, 2014)
29Figura 4 Contexto normativo de un SGSI (fing, 2009)
29Figura 5 Relacin de Familia de Estndares (k504, 2014)
35Figura 6 Metodologa PDCA aplicada en un SGSI (criptored, 2005)
37Figura 7 Modelo PDCA aplicada a los Procesos del SGSI (GALEON, 2014)
37Figura 8 Actividades en las fases PDCA aplicada en un SGSI (nexusasesores, 2014)
38Figura 9 Distribucin de los dominios de la norma ISO 27002 (INTECO, 2014)
40Figura 10 Distribucin de los dominios de la norma ISO 27002 (wikispaces, s.f.)
44Figura 11 ISO 31000