Mto3 gr14 compilacion_v4

MOMENTO NO. 3 - DESARROLLO DE LA ACTIVIDAD PRÁCTICA - PROYECTO DE ANÁLISIS DE

VULNERABILIDADES DE SEGURIDAD DE LA INFORMACIÓN Y PROPUESTA DE SOLUCIÓN

Henry Jiménez RoseroAndrés Orlando Rodríguez Santacruz

Universidad Nacional Abierta y a Distancia - UNADEscuela de Ciencias Básicas, Tecnología e Ingenierías

Especialización en Seguridad InformáticaModelos y Estándares de Seguridad Informática - Cód. 233002

Grupo Colaborativo No. 14

Colombia

[email protected]@unad.edu.co

UNAD - Modelos y estándares de Seguridad Informática - Momento No. 3

2

1. INTRODUCCIÓN

Con el presente trabajo, el grupo colaborativo No. 14 pretende analizar el caso de estudio propuesto por nuestro Tutor en la guía de la actividad No. 3, con el fin de plantear una propuesta de implementación de gobierno de tecnología para una entidad comercial que vende productos y servicios a través de su portal web, teniendo en cuenta su estructura organizacional y su contexto comercial actual.

Lo anterior, a partir de la aplicación de los conceptos estudiados en el módulo del curso de Modelos y Estándares en Seguridad Informática y en el material complementario disponible en el aula virtual de la asignatura, en los cuales se nos instruye acerca de los modelos y estándares aplicados dentro de un sistema de gestión de seguridad informática, el concepto de gobierno de tecnología, las certificaciones existentes dentro de esta importante área de la ingeniería de sistemas y por último, la definición de hacking ético y sus principales características.


3

OBJETIVOS

2.1. Objetivo General

Realizar una propuesta para la implementación del gobierno de tecnología en una entidad comercial que vende productos y servicios a través de su portal web.

2.2. Objetivos específicos.

• Definir el marco conceptual de la entidad comercial virtual.

• Establecer la estrategia más adecuada para la implementación del gobierno de tecnología dentro de la entidad comercial virtual.

• Seleccionar el marco de trabajo para la implementación del gobierno de tecnología dentro de la entidad comercial virtual.

• Determinar los tipos de certificaciones que deben tener los miembros del grupo de trabajo dentro del proyecto de implementación del gobierno de tecnología dentro de la entidad comercial virtual.

• Caracterizar el perfil profesional de un experto externo en hacking ético, para ser contratado por la entidad para evaluar su seguridad informática.


4

1. Marco contextual de la Comercializadora Virtual


5

1.1 Misión: (La misión define principalmente, cual es nuestra labor o actividad en el mercado): Proveer un portal web ágil, robusto, eficiente y seguro la para la venta de servicios y productos de software.

1.2. Visión: (La visión define las metas que pretendemos conseguir en el futuro): Posicionarse dentro de las cinco mejores empresas de servicios y productos enfocados al comercio electrónico.

1.3. Valores: •Liderazgo: Esforzarse en dar forma a mejores servicios.•Integridad: Ser transparentes a las transacciones.•Rendir cuentas: Ser responsables.•Pasión: Estar comprometidos con el corazón y con la mente.•Diversidad: Contar con un amplio abanico de productos y servicios.•Calidad: Búsqueda de la excelencia. Basados en nuestra Doctrina Institucional enmarcada en Principios y Valores, en nuestro Direccionamiento Estratégico del Séptimo Quinquenio “Sustentabilidad” que nos conducirá a la equidad social, equilibrio ambiental y crecimiento económico, nos comprometemos a satisfacer las necesidades, expectativas y compromisos con nuestros grupos sociales.


6

1.4. Política:

Proveer una doctrina institucional basada en valores y servicio al cliente que permita comprometernos a satisfacer los requerimientos de las empresas y personas que hacen parte de nuestro público objetivo.

1.5. Objetivos:

• El cumplimiento de las leyes de la República de Colombia, la normatividad aplicable a nuestra actividad económica y la normativa institucional.• El mejoramiento continúo mediante el estándar ISO 9001.• Las buenas prácticas de Gobierno Corporativo y de responsabilidad social empresarial.• La implementación de controles para blindar a la Compañía de actividades ilícitas.• La gestión integral de riesgos orientada a prevenir hechos que afecten la información, la infraestructura de la Compañía y la continuidad del proceso de negocio.• La ejecución de las normas y modelos de seguridad de la información garantizando su confidencialidad, integridad y disponibilidad.• La disponibilidad de los recursos necesarios para el cumplimiento de la presente política.• Promover el uso de los productos y servicios entregados por la compañía.


7

1.6. Estrategias:

• Modernizar los sistemas de gestión, empleando una plataforma propia y segura dentro de los estándares de seguridad internacionales.• Fidelizar a los clientes (trato personalizado, facilidades de pago), añadiendo novedades tecnológicas a precios asequibles para cualquier empresa: tarjetas de puntos por compras y ventas (al estilo de las de las gasolineras), boletines o newsletters online. Servicios para estar en contacto con los clientes habituales y hacerles llegar ofertas, promociones y las posibilidades del WhatsApp.• Excelencia en la atención al cliente: puede sin duda, convertirse en una de las principales ventajas competitivas de los servicios prestados ya que la gente aprecia la cercanía y los buenos consejos.• Especialización e Innovación en producto y servicio: No todo está inventado, se trata de introducir algún matiz, alguna mejora o novedad diferenciadora. Tanto en el servicio como en los productos.• Garantizar la seguridad de las compras y de la información de los clientes mediante una plataforma segura que considere todos los riesgos y amenazas existentes en un sistema de información.


8

1.7. Tecnologías Empleadas en la empresa:

• El broker de la empresa está escrito completamente en lenguaje JAVA, sobre un contenedor de aplicaciones Glassfish.• Los servidores del dominio propio ejecutan el sistema operativo Ubuntu Server. De la misma forma se utiliza una plataforma comercial propia que garantiza la seguridad de las transacciones y la información de usuario.

1.8. Servicios:

• Ofrece a las empresas la oportunidad de vender y comprar insumos mediante nuestra plataforma virtual, la cual está alineada con los principales estándares de seguridad.• Ofrece a personas naturales la oportunidad de vender bienes mediante la plataforma virtual.• Vende servicios informáticos tales como hosting, correo electrónico.• Vende productos de software tales como gestores de proyectos, gestores de calidad.• Vende servicios de desarrollo de aplicaciones de software para servidor hecho a la medida.


9

2. Estrategia para implementar el Gobierno de Tecnología en la organización.


10


11

Lo primero, es describir a la gerencia o junta directiva los beneficios económicos o valor agregado que un Gobierno de TI ofrecería a la empresa este puede ser el punto de entrada estratégico que garantice la implementación del sistema o framework en el caso de Cobit.

Se debe también enfatizar en que un gobierno de TI, no solo optimizaría el uso de los recursos tecnológicos sino que además se garantizaría la seguridad de los datos de negocio y de clientes, además permitiría seguir las operaciones o adicionar trazabilidad mediante el uso de indicadores.

Enfatizar que un Gobierno de TI debe ser sostenible, en la medida que su implementación permite dar un valor agregado al negocio. Permitirá además establecer roles y responsabilidades en el aseguramiento de la calidad, de la operación y del servicio al cliente en su interacción con el sistema informático.


12


13

3. Marco de trabajo con el cual se realizará la implementación del Gobierno de Tecnología en la Comercializadora.


14

El marco de gobernanza de T. I. COBIT está enfocado en el control de objetivos, metas y resultados permitiendo la comunicación de esta información con los propietarios del proceso, enfocado mas al manejo del riesgo, manejo de riesgos y a medidas de desempeño, siendo una herramienta que le permitirá a esta empresa controlar su modelo de negocio a nivel técnico, minimizando los riesgos para su estructura organizacional, mediante la definición de unas políticas claras y las mejores prácticas que garantizan el control de todos los procesos y servicios ofertados por esta.

COBIT hace énfasis en el cumplimiento normativo y ayuda a una organización a magnificar el valor de su infraestructura de tecnología, facilitando su alineación y simplificando su implementación. Su propósito es brindar a los directivos de la organización una tecnología de información que aporta valor al modelo de gobierno a partir de la comprensión de los riegos asociados a este proceso y su gestión. Además, ayuda a acortar diferencias entre los requerimientos del negocio, las necesidades de control y las situaciones de tipo técnico. De esta manera, obtenemos un modelo de control que satisface las necesidades de gobierno de tecnología dentro de la organización y garantiza la integridad de sus sistemas de información.


15

Por otra parte esta ITIL el cual ofrece un marco de trabajo de mejores prácticas para manejar servicios de tecnología. Está conformado por cinco estrategias principales:

• Estrategia de servicio: Se enfoca en los objetivos del negocio y sus expectativas asegurando una estrategia adecuada.

• Diseño de servicios: Inicia con un conjunto de cambios en los requerimientos de negocio y termina con una solución que documente estas necesidades.

• Transición de servicios: Se enfoca en el manejo del cambio, de riesgos y de la calidad, asegurando que durante el despliegue del servicio, su funcionamiento será soportado por la infraestructura de forma controlada.

• Operación del servicio: Trata de que la operación se vuelva usual y sea fácilmente comprendido en el entorno de producción.

• Operación continúa del servicio: La mejora continua del servicio provee una vista de su funcionalidad y de sus posibles mejoras o de los procesos involucrados durante su operación.

Debido al enfoque a servicios y a su control y gestión se escoge este marco de trabajo como el idóneo para el caso en estudio.


16

Además, el marco de gobernanza ITIL provee los siguientes beneficios.

• Mejora la reutilización de recursos.• Es más competitivo.• Decremento del re-trabajo.• Elimina el trabajo redundante.• Mejora los debates respecto a un proyecto• Mejora la viabilidad, confiabilidad y seguridad de servicios de misión critica.• Justifica el costo por la calidad del servicio• Provee servicios dentro de las necesidades del negocio, del consumidor y de las demandas del usuario.• Integra procesos centrales.• Documenta y comunica roles y responsabilidades en la provisión del servicio.• Aprende de la experiencia previa.• Provee indicadores de desempeño demostrables.


17

4. Certificaciones que debe tener el grupo de trabajo que implementará el Gobierno de Tecnología en la Comercializadora.


18

Itil Foundations: Permite un conocimiento básico del framework y de cómo puede ser usado para mejorar la calidad de los servicios. Por otra parte las personas encargadas de la implementación y de la posterior operación continúa Deben poseer un grado más avanzado en conocimientos del framework y de la teoría de Gobierno de IT Para esto será requerida la certificación en Itil intermediate o expert.

Itil Intermediate: Esta certificación ofrece una estructura modular enfocada en el core de ITlL como tal: Estrategia del servicio, Diseño del servicio, Transición del servicio, Operación del servicio y mejora continúa del servicio.

Certificación en CGIT o CISSP: La persona líder del proceso de implementación del gobierno de TI deberá tener competencias superiores que involucren las anteriores pero que mantenga el norte respecto a los lineamientos de la empresa y del gobierno de TI.


19

Curso en Sistemas de gestión de la seguridad de la información (SGSI) y Tic´s: Dictado por el Instituto Colombiano de Normas Técnicas (ICONTEC). En este módulo, el ICONTEC busca que los asistentes adquieran los conocimientos y herramientas que les permitan implementar un SGSI, teniendo como base las versiones más recientes de las normas técnicas internacionales conocidas como “la familia ISO 27000”, específicamente las normas ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005 e ISO/IEC 27006.

Certificación Lead Auditor ISO: 27001. Este curso en nuestro país es ofertado por la Fundación de Egresados de la Universidad Distrital (FEUD), en asocio con The Professional Evaluation and Certification Board (PECB), órgano reconocido internacionalmente para certificación de profesionales en torno a varios estándares internacionales, incluyendo ISO 9001, ISO 14001, ISO/IEC 20000, ISO 22301, ISO/IEC 27001, ISO/IEC 27005, OHSAS 18001, ISO 22000, ISO 26000 e ISO 28000, certificado por el Instituto Nacional Estadounidense de Estándares (ANSI®) que supervisa el desarrollo de estándares para productos, servicios, procesos y sistemas en los Estados Unidos.


20

5. Características requeridas para el

profesional que realizará la evaluación del Hacker

Ético en la Comercializadora.


21

• Trabajo en equipo• Capacidad de comunicación asertiva y efectiva tanto a nivel escrito como verbal.• Análisis y toma de decisiones ante situaciones no resueltas.• Capacidad de análisis.• Capacidad de síntesis, es decir llegar a conclusiones tras el análisis de una serie de datos.• Inteligencia emocional• Integridad• Motivación para desempeñar actividades asignadas con responsabilidad y entusiasmo• Dominio del Inglés.


22

Debe poseer conocimientos de normativas, metodologías, estándares y legislación vigente:

• Normativas y estándares de Seguridad de TI: Normas ISO, 27000, NIST, ITIL ,etc.• Metodologías de análisis de riesgos.• Metodologías de intrusión.• Análisis Forense y evidencias electrónicas.• Metodologías de desarrollo: Métrica, etc.

Además debe poseer conocimientos en:

• Sistemas operativos (Linux, Unix) a nivel de usuario avanzado.• Telecomunicaciones• Conocimientos en redes.• Conocimientos de hardware y software.•Administración de bases de datos.


23

5. BIBLIOGRAFÍA

Autores varios. Manual de seguridad informática (2009).

Centro Europeo de Empresas e Innovación (2010). Sistema de Gestión de Seguridad de la Información, ISO 27001 - Formación SGSI.

Constaín Moreno, Gustavo Eduardo (2014). Guía Integradora de la asignatura de Modelos y Estándares de Seguridad Informática. UNAD - programa de Especialización en Seguridad Informática.

Constaín Moreno, Gustavo Eduardo; Ramírez Villegas, Gabriel Mauricio (2014). Módulo de la asignatura de Modelos y Estándares de Seguridad Informática. UNAD - programa de Especialización en Seguridad Informática.

Fundación de Egresados de la Universidad Distrital (2014). Curso Auditor Líder ISO 27001. Disponible en: http://www.egresadosudistrital.edu.co/index.php/capacitaciones/normas-tecnicas/c-auditor-lider-iso-27001-por-pecb.

http://gsticperu.blogspot.com/2013/02/como-implementar-gobierno-de-ti-en-los.html

http://robertoespinosa.es/2012/10/14/como-definir-mision-vision-y-valores-en-la-empresa/


24

5. BIBLIOGRAFÍA

http://www.cio.com/article/2395122/e-commerce/5-best-ecommerce-software-platforms-for-small-business.html

http://www.redempresariosvisa.com/Ecommerce/Article/elementos-que-se-deben-considerar-al-elegir-un-hosting

http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=1579684&url=http%3A%2F%2Fieeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D1579684

http://www.cio.com.au/article/268217/it_governance_101_an_executive_guide_it_governance/

ICONTEC (2014). Página web: Sistemas de gestión de la seguridad de la información (SGSI) y Tic´s. Disponible en: http://www.icontec.org/index.php/es/inicio/programas-de-educacion/44-colombia/educacion/398-sistemas-de-gestion-de-la-seguridad-de-la-informacion-sgsi-y-tic-s.

Tarazona, Cesar (2012). Amenazas informáticas y seguridad de la información. Etek Internacional.

Zavala, Sylvia (2012). Guía a la redacción en el estilo APA, 6ta edición. Puerto Rico: Universidad Metropolitana.

Mto3 gr14 compilacion_v4

Technology

Transcript of Mto3 gr14 compilacion_v4