Este documento presenta el anteproyecto de tesis para optar el título de Ingeniero de Sistemas. El tema de la tesis es "Análisis de la seguridad de la información basado en los estándares ISO 27001:2005 e ISO 27002:2005 para el Departamento de Tecnología de la Información de la Dirección Provincial de Salud de El Oro, Período 2011-2012". El documento contiene la introducción, justificación, planteamiento del problema, objetivos, preguntas científicas y el índice general de la
Análisis de seguridad de información en salud de El Oro
1. UNIVERSIDAD TÉCNICA DE MACHALA
Facultad de Ingeniería Civil
Escuela de Informática
ANTEPROYECTO DE TESIS
Previo a la obtención del Título de
Ingeniero de Sistemas
Tema:
“ANÁ LISIS DE LA SEGURIDAD DE LA INFORMACIÓN BASADOEN
LOS ESTÁ NDARES ISO 27001:2005 E ISO 27002:2005 PARA EL
DEPARTAMENTO DE TECNOLOGÍ A DE LA INFORMACIÓNDE LA
DIRECCIÓN PROVINCIAL DE SALUD DE EL ORO, PERIODO 2011-
2012”
Autores:
Cuenca León Jesica Isabel
León Martínez Jeniffer Patricia
2. 2011 - 2012
Machala ~ El Oro ~ Ecuador
1. T ema.
“ANÁLISIS DE LA SEGURIDAD DE LA
INFORMACIÓN BASADO EN LOS
ESTÁNDARES ISO 27001:2005 E ISO
27002:2005 PARA EL DEPARTAMENTO DE
TECNOLOGÍA DE LA INFORMACIÓN
DE LA DIRECCIÓN PROVINCIAL DE SALUD
DE EL ORO, PERIODO 2011-2012”
3. 2. I ntroducción.
La seguridad informática actualmente ha adquirido gran importancia,
dadas las cambiantes condiciones y nuevas plataformas de computación
disponibles, situación que conlleva a la aparición de nuevas amenazas
en los sistemas informáticos.
Por tal motivo se pretende realizar un análisis de los sistemas de
información de la Dirección Provincial de Salud de El Oro, de tal manera
que oriente en el uso adecuado de estas tecnologías para obtener el
mayor provecho de las ventajas que brindan. De esta manera las
políticas de seguridad informática surgen como una herramienta para
concienciar a los miembros de una organización.
Las políticas y planes de seguridad informática fijan los mecanismos y
procedimientos que deben adoptar las instituciones para salvaguardar
sus sistemas y la información que estos contiene. Estas deben ser
diseñadas a medida para así ajustarse al ritmo y actividad de la
institución. No son una descripción técnica de mecanismos de
seguridad, ni una expresión legal que involucre sanciones a conductas
de los empleados, son más bien una descripción de lo que se desea
proteger y el porqué de ello, es decir que pueden tomarse como una
forma de comunicación entre los usuarios y los gerentes.
Para la generación de las políticas mencionadas, resulta conveniente la
ejecución de un análisis de la seguridad de la información basado en las
4. normas ISO 27001:2005 e ISO 27002:2005. Esta es una disciplina que
mediante el empleo de técnicas y procedimientos adecuados, evalúan el
cumplimiento de los objetivos institucionales con respecto a la seguridad
de la información y emite recomendaciones que contribuyen a mejorar
su nivel de cumplimiento.
3. J ustificación.
La información es un activo vital para el éxito y la continuidad en el
mercado de cualquier organización. El aseguramiento de dicha
información y de los sistemas que la procesan es, por tanto, un objetivo
de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es
necesario implantar un sistema que aborde esta tarea de una forma
metódica, documentada y basada en unos objetivos claros de seguridad
y una evaluación de los riesgos a los que está sometida la información
de la organización.
ISO 27000 es un conjunto de estándares desarrollados -o en fase de
desarrollo- por ISO (International Organization for Standardization), que
proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o
pequeña.
Ampliar agregando beneficios, beneficiarios, utilidad y por todas esas razones
proponer el tema.
5. 4. P lanteamiento del Problema.
Falta el resumen descriptivo del planteamiento del problema.
4.1. Problema Central
Inseguridad de la información en el Departamento de Tecnología
de la Dirección Provincial de Salud de El Oro, debido a la falta de
conocimientos por parte de los usuarios.
4.2. Problemas Particulares
Existe perdida de información por el inadecuado control de los
datos.
Los usuarios hacen un mal uso de los recursos en el
Departamento de Tecnología.
Posee debilidades en la eficacia del control técnico.
No cuenta con normativas de seguridad de la información.
Existe riesgos de uso de la información en las diferentes
interconexiones de las redes públicas y privadas.
6. 5. O bjetivos
5.1. Objetivo General
Realizar un estudio Técnico del Manejo de la Información en la
Dirección Provincial de Salud de El Oro a través de un Análisis de
la Seguridad Informática basada en los Estándares ISO
27001:2005 e ISO 27002:2005.
5.2. Objetivos Específicos
Determinar amenazas que afecten la integridad de la información.
Establecer parámetros de seguridad de la información a través de
software de protección.
Establecer un Obtener como resultado de la investigación un Plan
de Contingencia que permita al Departamento de Tecnología de la
Información de la Dirección Provincial de Salud de El Oro llevar un
manejo estable de la Información ante la presencia de
eventualidades.
Aplicar los Evaluar la eficiencia de los estándares ISO 27001:2005
E ISO 27002:2005, incluyendo continuas mejoras.
7. Proveer estados de seguridad que guíen las revisiones de los
estándares ISO 27001:2005 E ISO 27002:2005, facilitando mejoras
de seguridad y nuevas entradas para auditar.
6. P reguntas Científicas
6.1. Pregunta Científica Central
¿El Departamento de Tecnología de la Información de la Dirección
Provincial de Salud de El Oro cuenta con Medidas Básicas de
Seguridad de la Información?
1.4.2. Preguntas CientíficasEspecíficas
¿Qué deficiencia tiene el Departamento de Tecnología de la
Información de la Dirección Provincial de Salud de El Oro en el
manejo de la información?
¿Qué tecnología informática utiliza el Departamento de Tecnología
de la Información de la Dirección Provincial de Salud de El Oro?
¿Qué tecnología informática ayuda a garantizar la seguridad de la
información en el Departamento de Tecnología de la Información
del Dirección Provincial de Salud de El Oro?
¿Los estándares ISO 27001:2005 E ISO 27002:2005 serán las
adecuadas para el Departamento de Tecnología de la Información
de la Dirección Provincial de Salud de El Oro?
8. ¿Se garantizará la confiabilidad, integridad y seguridad de los datos
del Departamento de Tecnología de la Información de la Dirección
Provincial de Salud de El Oro?
ÍNDICE
CARÁTULA
AGRADECIMIENTO
DEDICATORIA
CERTIFICACIÓN DEL TUTOR
DECLARACIÓN DE AUTORIA
SISTESIS (EN ESPAÑOL)
ABSTRACT SISTESIS (EN INGLES)
INDICE GENERAL
INDICE DE FIGURAS
INDICE DE TABLAS
INDICE DE ANEXOS
INTRODUCCIÓN
CAPITULO 1: MARCO REFENCIAL
1.1. JUSTIFICACIÓN
1.2. PROBLEMA
1.2.1. PROBLEMA CENTRAL
1.2.2. PROBLEMAS PARTICULARES
1.3. OBJETIVOS
1.3.1. OBJETIVO CENTRAL
1.3.2. OBJETIVOS ESPECIFICOS
1.4. PREGUNTAS CIENTÍFICAS
9. 1.4.1. PREGUNTA CIENTÍFICA CENTRAL
1.4.2. PREGUNTAS CIENTÍFICAS ESPECIFICOS
1.5. ALCANCE
CAPITULO 2: MARCO TEÓRICO
2.1. ANTECEDENTES DE LA DIRECCIÓN PROVINCIAL DE
SALUD DE EL ORO
2.1.1. ORGANIGRAMA
2.1.1.1. ORGANIZACIÓN ESTRUCTURAL
2.1.1.2. ORGANIZACIÓN FUNCIONAL
2.1.1.2.1. PLANTA BAJA
2.1.1.2.2. PLANTA ALTA
2.2. ANTECEDENTES CONCEPTUALES
2.2.1. RESPALDO DEL SOFTWARE CENTRAL
2.2.2. GESTIÓN DE LA SEGURIDAD DE LA CENTRAL DE
COMUNICACIONES
2.2.3. MATENIMIENTO DEL CABLEADO ESTRUCTURADO
2.2.4. MAPA DE PROCESOS
2.2.5. CRITICIDAD DE PROCESOS
AMPLIAR EL MARCO CONCEPTUAL
CAPITULO 3: DESARROLLO DE LA PROPUESTA
3.1. ESTANDÁRES DE DESARROLLO
3.1.1. ESTÁNDAR ISO 27001:2005
3.1.2. ESTÁNDAR ISO 27002:2005
10. 3.2. MODELO Y MÉTODO PARA LAS MEDICIONES DE
SEGURIDAD
3.2.1. FASE DO: HACER
3.2.2. FASE CHECK Y ACT: AUDITAR Y ACTUAR
3.3. BASE DE DATOS OLYMPUS
3.4. SISTEMAS OPERATIVOS WINDOWS Y LINUX
3.5. ARCHIVOS FUENTES DEL SISTEMA OLYMPUS
3.6. BACKUP
MAS BIEN PLASMAR LOS PASOS O FASES QUE PROPONEN
LOS STANDARES
CAPITULO 4: EVALUACIÓN DE RESULTADOS
4.1. EVALUACIÓN DE EXPERTOS
4.1.1. ENTREVISTA A EXPERTOS
4.1.2. TABULACIÓN DE DATOS
4.2. EVALUACIÓN DE DIRECTIVOS
CONCLUSIONES
RECOMENDACIONES
BIBLIOGRAFÍA
GLOSARIO
ANEXOS