Referencias Bibliografía – [DOC Document]

XIX

PONTIFICIA UNIVERSIDAD CATLICA DEL ECUADOR

FACULTAD DE INGENIERA

MAESTRA EN REDES DE COMUNICACIONES

TESIS PREVIO A LA OBTENCIN DEL TTULO DE MAGISTER EN REDES DE COMUNICACIONES

IMPLANTACIN DE UN SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN (SGSI) EN EL DISTRITO DE SALUD 13D04 24 DE MAYO SANTA ANA OLMEDO SALUD DE LA PROVINCIA DE MANAB

AUTOR:

ALEJANDRO FABIAN MERO GARCIA

DIRECTOR DE TESIS

ING. CARLOS EGAS

Quito, Junio 2016

RESUMEN

La presente investigacin se centra en la implementacin de un sistema de gestin de la seguridad de la informacin en la Direccin Distrital 13D04 de Salud adoptando los estndares ISO 27000 para enfocarse en el control de activos, Seguridad fsica y del entorno, Gestin de comunicaciones, Control de accesos y gestin de los incidentes de la seguridad de la informacin.

La clave de la implementacin del SGSI en la institucin es la aplicacin de la metodologa PDAC; se inicia el sistema con un plan, luego del cual pasa a la implantacin y puesta en marcha del SGSI, inmediatamente de aquello se debe realizar el seguimiento y control para finalmente evaluar y presentar mejoras continuas para que el proceso del sistema de gestin de seguridad en la informacin adquiera acciones preventivas y correctivas constantemente.

Para el anlisis y gestin de riesgo se solicit la colaboracin de una licencia educativa para utilizar la herramienta EAR/PILAR las cual fue concedida para el lapso de 6 meses segn el cronograma de ejecucin del trabajo presentado; tambin se trabaj con las herramientas MSAT de Microsoft y NESSUS de Tenable.

Se realiza un anlisis a travs de un flujo de proceso para detectar las necesidades de capacitaciones que requieren los funcionarios de la institucin que coadyuvaran a la concientizacin y aplicacin de los procedimientos establecidos.

Se investigaron varias herramientas de software libre para la consecucin de la implementacin del SGSI con lo cual se logr integrar, normalizar y automatizar procesos basndonos en los estndares ISO 27000.

En esta investigacin se utilizaron la herramienta Open Computer and Software Inventory (OCS Inventory) para el control de activos; el sistema de Gestin Unificada de Amenazas (UTM) endian para la parte de la seguridad fisca y del entorno; el aplicativo nagios3 para la gestin de las comunicaciones; el servidor Zentyal 3.5 para el control de acceso, el cual incluye sistemas de autenticacin y varios servicios de red integrado; y, finalmente, una mesa de ayuda implementada con el software Gestionnaire Libre de Parc informatique (GLPI) para la gestin de incidentes de seguridad de la informacin.

ABSTRACT

This research focuses on the implementation of a management system of information security in the District Direction 13D04 Salud adopting the ISO 27000 standard to focus on the control of assets, physical and environmental security, communication management, access control incident management and security of information.

The key to the implementation of the ISMS in the institution is implementing the PDAC methodology; It is part of a plan, after which goes to the establishment and implementation of the ISMS, immediately what must monitor and control to finally assessing and making continuous improvements to the process of management system of information security since it can acquire preventive and corrective actions constantly.

For analysis and risk management it was requested the collaboration of an educational license to use the EAR / PILAR the tool which was granted for the period of 6 months according to the implementation schedule of the work presented.

An analysis through a process flow is performed to detect training needs that require officials of the institution that will contribute to the awareness and application of established procedures.

Several free software tools for achieving the implementation of the ISMS with which it was possible to integrate, standardize and automate processes based on ISO 27000 standards were investigated.

In this present study it was applied the Open Computer and Software Inventory tool to control assets; for the part of the physical and environmental security it is used the system of Unified Threat Management endian; for managing communication nagios3 application is used; for access control it is used the Zentyal 3.5 server which includes several authentication systems and integrated network services and finally to manage incidents of information security it was implemented the help desk with the Gestionnaire Libre de Parc informatique software.

Tabla de Contenido

201.Marco Tericoa

201.1.Antecedentes.

201.1.1.Sistema de Gestin de Seguridad De Informacin (SGSI)

261.1.2.Normativas

31Seguridad fsica y del entorno

32Gestin de comunicaciones y operaciones

32Control de accesos

33Desarrollo y mantenimiento de sistemas

33Gestin de continuidad del negocio

33Conformidad con la legislacin

341.1.3.Modelo Plan-Do-Check-Act (PDCA)

36PLAN

37DO

37CHECK

37ACT

381.1.4.Distribucin de los dominios de la Norma ISO 27002

432.Metodologa Margerit

432.1.Definicin

44Directos:

44Indirectos:

44Modelo de valor

45Mapa de riesgos

45Declaracin de aplicabilidad

45Evaluacin de salvaguardas

45Estado de riesgo

45Informe de insuficiencias

45Cumplimiento de normativa

45Plan de seguridad

462.1.1.Estructuracin de la metodologa

633.Implementacin de un Sistema de Gestin de Seguridad de Informacin

633.1.Documentacin

633.1.1.Polticas

643.1.2.Determinacin de procesos y alcance

703.1.3.Organizacin de la seguridad

723.1.4.Fases de implementacin

974.Capitulo IV – Elaboracin de la documentacin formal necesaria para construir el Sistema de Gestin se Seguridad de Informacin

974.1.Documentacin de Normas y Procedimientos

974.1.1.Normas de seguridad

1004.1.2.Procedimientos de seguridad

1085.Captulo V – Acciones Formativas y de Concienciacin

1085.1.Acciones formativas y de concienciacin

1126.Captulo VI – Implementacin de Herramientas

1126.1.Herramientas Usadas en Sistema de Gestin de Seguridad de Informacin.

1126.1.1.Descripcin de herramientas

1297.Captulo VII – Revisin del Sistema de Gestin de Seguridad de la Informacin implementado con herramientas

1307.1.Revisin del Sistema de Gestin de Seguridad de la Informacin implementado con herramientas

1307.1.1.Esquema de polticas de seguridad implementadas

1317.1.2.Verificacin del controlador de dominio

1357.1.3.Verificacin del funcionamiento del sistema de inventario e incidencias.

1357.1.4.Verificacin del funcionamiento de pilar

1367.1.5.Verificacin del funcionamiento de herramienta de respaldo

1367.1.6.Verificacin de la herramienta monitoreo de red.

1397.1.7.Verificacin de los sistemas de gestin unificada de amenazas

1417.1.8.Manuales de operacin de las herramientas

1417.1.9.Manual de instalacin de las herramientas

142Conclusiones

144Recomendaciones

146Referencias Bibliogrficas

151Glosario

153Anexo

154Abarca los siguientes manuales:

154Manual de instalacin endian.

154Manual de instalacin y configuracin OCSInventory.

154Manual de instalacin zentyal.

154Manual de instalacin y configuracin AP HP.

154Manual de instalacin y configuracin AP Motorola.

154Manual de instalacin de GLPI.

155Abarca las siguientes polticas:

155Poltica Uso Servicios Red Servicios Informticos MSP.

155Poltica Coordinacin Centro Soporte Tecnologa

155Poltica Coordinacin Redes Comunicaciones Infraestructura Seguridad Informtica

155Poltica Coordinacin Proyectos Tecnologa Informacin

155Poltica Coordinacin Ingeniera Software.

155A continuacin se detalla el borrador realizado por el autor de Poltica general de seguridad de la informacin en la Direccin Distrital 13D04 24 de Mayo Santa Ana Olmedo Salud.

156Abarca los siguientes manuales de operaciones:

156Manual de registro de equipo al servidor Active Directory

156Manual de registro de equipos en OCSInventory

156Manual de Operacin de endian.

156Manual de Operacin de Zentyal.

157Anexos Generales:

157Material de capacitaciones realizada

157Formatos de Hoja de soporte diseado por el autor

157Formato de Hoja de inventario de equipo tecnolgico diseado por el autor.

157Formato ASA. Matriz Para Levantamiento De Equipos De Cmputo modificado por el autor.

157Licencia Pilar

157Solicitud de realizacin de proyecto de Tesis.

157Archivo trabajado en la de Herramienta Pilar sobre el anlisis y gestin de riesgo.

ndices de figuras

23Figura 1 Esquemas de polticas de un SGSI (Rodrigo Ferrer V., 2014)

23Figura 2 Pirmide de Documentacin SGSI, Analizado y elaborado por el autor.

26Figura 3 Familia ISO 27000 (slideshare, 2014)

29Figura 4 Contexto normativo de un SGSI (fing, 2009)

29Figura 5 Relacin de Familia de Estndares (k504, 2014)

35Figura 6 Metodologa PDCA aplicada en un SGSI (criptored, 2005)

37Figura 7 Modelo PDCA aplicada a los Procesos del SGSI (GALEON, 2014)

37Figura 8 Actividades en las fases PDCA aplicada en un SGSI (nexusasesores, 2014)

38Figura 9 Distribucin de los dominios de la norma ISO 27002 (INTECO, 2014)

40Figura 10 Distribucin de los dominios de la norma ISO 27002 (wikispaces, s.f.)

44Figura 11 ISO 31000