Show simple item record

Modelo de seguridad de la información en una organización ¿gasto o necesidad?

dc.contributor.advisorGallego Espinoza, Víctor Manuel
dc.contributor.advisorRojas Reales, Wilson Mauro
dc.contributor.authorPardo Sánchez, Luisa Fernanda
dc.contributor.authorSánchez López, Mónica Bibiana
dc.date.accessioned2025-09-16T01:30:42Z
dc.date.available2025-09-16T01:30:42Z
dc.date.issued2012
dc.identifier.urihttps://hdl.handle.net/20.500.14329/1524
dc.descriptionDigital
dc.descriptionDigital
dc.description.abstractActualmente las compañías reconocen la información como uno de los activos más importantes para su estabilidad, crecimiento y expansión, razón por la cual a este elemento se le ha organizado en sistemas que lo gestionan de forma adecuada. Debido al alto volumen de información al que se ha llegado en las compañías, se está haciendo necesario aplicar mecanismos y controles que permitan a los usuarios realizar un seguimiento exhaustivo a los procesos, procedimientos y actividades desarrolladas para su manejo adecuado
dc.description.abstractActualmente las compañías reconocen la información como uno de los activos más importantes para su estabilidad, crecimiento y expansión, razón por la cual a este elemento se le ha organizado en sistemas que lo gestionan de forma adecuada. Debido al alto volumen de información al que se ha llegado en las compañías, se está haciendo necesario aplicar mecanismos y controles que permitan a los usuarios realizar un seguimiento exhaustivo a los procesos, procedimientos y actividades desarrolladas para su manejo adecuado
dc.description.tableofcontentsCONTENIDO Pág. INTRODUCCION 1. PLANTEAMIENTO DEL PROBLEMA 26 1.1 DESCRIPCIÓN DEL PROBLEMA 26 1.2 FORMULACIÓN DEL PROBLEMA 27 1.3 JUSTIFICACIÓN 27 1.4 DELIMITACIÓN 29 1.4.1 Alcance 29 1.4.2 Limitaciones 29 1.5 OBJETIVOS 29 1.5.1 Objetivo general. 29 1.5.2 Objetivos específicos 30 2. MARCO REFERENCIAL 31 2.1 ANTECEDENTES O ESTADO DEL ARTE 31 2.1.1 Históricos 31 2.1.2 Legales 32 2.2 MARCO TEÓRICO 32 2.2.1 Seguridad de la Información 32 2.2.1.1 ¿Qué es la seguridad de la información? 32 2.2.1.2 ¿Por qué es necesaria la Seguridad de la Información? 33 2.2.2 ISO/IEC27001 33 2.2.2.1 Modelo PHVA aplicado a los procesos de SGSI.. 33 2.2.3 COBIT (Control Objectives for lnformation and Technology) 35 2.2.3.1 Principios básicos 36 2.2.3.2 Criterios de Información 36 2.2.3.3 Dominios 38 2.2.4 ITIL (lnformation Technologies lnfrastructure Library) 38 2.2.4.1 Ciclo de vida 39 2.2.5 Herramientas utilizadas para análisis de vulnerabilidades 2.2.5.1 Nmap ("mapeador de redes") 40 2.2.5.2 Nessus 44 3. MARCO METODOLÓGICO 45 3.1 METODOLOGÍA DE LA INVESTIGACIÓN 45 3.1.1 Tipo de estudio 45 3.1.2 Método y/o diseño de la investigación 45 3.1.3 Participantes 45 3.1.4 Instrumentos y equipos 46 3.1.5 Procedimiento 46 3.2 MODELO DE SEGURIDAD DE LA INFORMACIÓN 47 3.2.1 Perfil de la organización 47 3.2.2 Arquitectura de la solución del CORE del negocio 48 3.2.3 Características y restricciones de la solución CORE. 49 3.2.4 Perfil de amenazas de la entidad 51 3.2.5 Principales activos de información valorados y evaluados 52 3.2.6 Metodología empleada 53 3.2.7 Practicas actuales de Seguridad de la Información 57 3.2.8 GAP Análisis con la Norma ISO 17799 69 3.2.8.1 Política de la seguridad de la información 69 3.2.8.2 Organización de la Seguridad de la Información 70 3.2.8.3 Gestión de activos 73 3.2.8.4 Seguridad de los Recursos Humanos 74 3.2.8.5 Seguridad física y del entorno 77 3.2.8.6 Gestión de comunicaciones y operaciones 79 3.2.8. 7 Control de acceso 85 3.2.8.8 Adquisición, desarrollo y mantenimiento de sistemas de información 91 3.2.8.9 Gestión de los incidentes de la seguridad de la información 93 3.2.8.1 O Gestión de la continuidad del negocio 94 3.2.8.11 Cumplimiento 95 3.2.8.12 Análisis realizado bajo el marco de referencia de COBIT 97 3.2.8.13 Análisis bajo el marco de referencia ITIL v3 104 3.2.9 Análisis de vulnerabilidades 110 3.2.1 O Recomendaciones generales 120 3.2.11 Plan de Contingencia 124 3.2.11.1 Modelo de respaldo y recuperación 4. RESULTADOS Y DISCUSIÓN 128 5. CONCLUSIONES 136 BIBLIOGRAFIA
dc.description.tableofcontentsCONTENIDO Pág. INTRODUCCION 1. PLANTEAMIENTO DEL PROBLEMA 26 1.1 DESCRIPCIÓN DEL PROBLEMA 26 1.2 FORMULACIÓN DEL PROBLEMA 27 1.3 JUSTIFICACIÓN 27 1.4 DELIMITACIÓN 29 1.4.1 Alcance 29 1.4.2 Limitaciones 29 1.5 OBJETIVOS 29 1.5.1 Objetivo general. 29 1.5.2 Objetivos específicos 30 2. MARCO REFERENCIAL 31 2.1 ANTECEDENTES O ESTADO DEL ARTE 31 2.1.1 Históricos 31 2.1.2 Legales 32 2.2 MARCO TEÓRICO 32 2.2.1 Seguridad de la Información 32 2.2.1.1 ¿Qué es la seguridad de la información? 32 2.2.1.2 ¿Por qué es necesaria la Seguridad de la Información? 33 2.2.2 ISO/IEC27001 33 2.2.2.1 Modelo PHVA aplicado a los procesos de SGSI.. 33 2.2.3 COBIT (Control Objectives for lnformation and Technology) 35 2.2.3.1 Principios básicos 36 2.2.3.2 Criterios de Información 36 2.2.3.3 Dominios 38 2.2.4 ITIL (lnformation Technologies lnfrastructure Library) 38 2.2.4.1 Ciclo de vida 39 2.2.5 Herramientas utilizadas para análisis de vulnerabilidades 2.2.5.1 Nmap ("mapeador de redes") 40 2.2.5.2 Nessus 44 3. MARCO METODOLÓGICO 45 3.1 METODOLOGÍA DE LA INVESTIGACIÓN 45 3.1.1 Tipo de estudio 45 3.1.2 Método y/o diseño de la investigación 45 3.1.3 Participantes 45 3.1.4 Instrumentos y equipos 46 3.1.5 Procedimiento 46 3.2 MODELO DE SEGURIDAD DE LA INFORMACIÓN 47 3.2.1 Perfil de la organización 47 3.2.2 Arquitectura de la solución del CORE del negocio 48 3.2.3 Características y restricciones de la solución CORE. 49 3.2.4 Perfil de amenazas de la entidad 51 3.2.5 Principales activos de información valorados y evaluados 52 3.2.6 Metodología empleada 53 3.2.7 Practicas actuales de Seguridad de la Información 57 3.2.8 GAP Análisis con la Norma ISO 17799 69 3.2.8.1 Política de la seguridad de la información 69 3.2.8.2 Organización de la Seguridad de la Información 70 3.2.8.3 Gestión de activos 73 3.2.8.4 Seguridad de los Recursos Humanos 74 3.2.8.5 Seguridad física y del entorno 77 3.2.8.6 Gestión de comunicaciones y operaciones 79 3.2.8. 7 Control de acceso 85 3.2.8.8 Adquisición, desarrollo y mantenimiento de sistemas de información 91 3.2.8.9 Gestión de los incidentes de la seguridad de la información 93 3.2.8.1 O Gestión de la continuidad del negocio 94 3.2.8.11 Cumplimiento 95 3.2.8.12 Análisis realizado bajo el marco de referencia de COBIT 97 3.2.8.13 Análisis bajo el marco de referencia ITIL v3 104 3.2.9 Análisis de vulnerabilidades 110 3.2.1 O Recomendaciones generales 120 3.2.11 Plan de Contingencia 124 3.2.11.1 Modelo de respaldo y recuperación 4. RESULTADOS Y DISCUSIÓN 128 5. CONCLUSIONES 136 BIBLIOGRAFIA
dc.format.extent157 Páginasspa
dc.format.extent157 Páginasspa
dc.format.mimetypeapplication/pdfspa
dc.format.mimetypeapplication/pdfspa
dc.language.isospaspa
dc.language.isospaspa
dc.publisherEscuela Tecnológica Instituto Técnico Centralspa
dc.rights.urihttps://creativecommons.org/licenses/by-nc-sa/4.0/spa
dc.titleModelo de seguridad de la información en una organización ¿gasto o necesidad?spa
dc.typeTrabajo de grado - Pregradospa
dc.rights.licenseAtribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)spa
dc.rights.accessrightsinfo:eu-repo/semantics/closedAccessspa
dc.type.coarhttp://purl.org/coar/resource_type/c_7a1fspa
dc.type.driverinfo:eu-repo/semantics/bachelorThesisspa
dc.type.versioninfo:eu-repo/semantics/acceptedVersionspa
dc.description.degreelevelPregradospa
dc.description.degreenameIngeniero de sistemasspa
dc.publisher.facultyIngeniería de Sistemasspa
dc.publisher.placeBogotá D.C.spa
dc.publisher.programIngeniería de Sistemasspa
dc.relation.referencesACEITUNO CANAL, Vicente. Seguridad de la información: expectativas, riesgos y técnicas de protección, incluye ejemplos de normativas de seguridad y referencias. Barcelona. Creaciones, 2004. 149p.spa
dc.relation.referencesALVAREZ MARAÑON, Gonzalo y PÉREZ GARCÍA, Pedro Pablo. Seguridad informática para empresas y particulares. Madrid. McGraw-Hill Interamericana, 2004. 411p.spa
dc.relation.referencesANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) [en linea - .HTML] [consultado: 2011- 11-18] Disponible en http://inteqrity.abast.es/analisis impacto.shtmlspa
dc.relation.referencesANDERSON CO, JAMES P., Computer Security Threat Monitoring and Surveillance [en línea - .pdf] Washington, Febrero 1980[consultado: 2011 11- 18] http://csrc.nist.gov/publications/history/ande80.pdfspa
dc.relation.referencesASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN (Madrid). Tecnologla de la información (TI): gula para la gestión de la seguridad de TI. Madrid. AENOR, 2001. 23pspa
dc.relation.referencesAAA [en linea - .html] [consultado: 2011- 09 -15] Disponible en http://espaciolibre.com.mx/index.php?option=com content&task=view&id=17&ltemid=34spa
dc.relation.referencesCABALLERO GIL, Pino. Seguridad informática: técnicas criptográficas. México. Alfaomega Grupo Editor, 1997. 137p.spa
dc.relation.referencesCASE J., FEDOR M., SCHOFFSTALL M., y DAVIN J. Simple Network Management Protocol (SNMP) RFC. 1157. [término de búsqueda: SNMP]. [en linea - .txt] Network Working Group. Mayo 1990 [consultado: 2011- 12 - 10] Disponible en http://www.ietf.orq/rfc/rfc1157.txtspa
dc.relation.referencesCHINESE WALL [en linea - .html] [consultado: 2012- 10 - 08] Disponible en http://moneyterms_co.uk/chinese-wall/spa
dc.relation.referencesCONFIDENCIALIDAD [en linea - .html] [consultado: 2011- 10 - 24] Disponible en http://buscon.rae.es/drael/SrvltConsulta?TIPO BUS=3&LEMA=confidencia1spa
dc.relation.referencesCONFIGURACIÓN DE ROUTERS: ACL [en línea - .pdf] [consultado: 2011- 09- 10] Disponible en http://www.dsi.uclm.es/asignaturas/42550/PDFs/PRACTICA4.pdfspa
dc.relation.referencesDRAKOS NIKOS, Protocolo IKE [término de búsqueda: Protocolo IKE]. [en línea - .html] University of Leeds. Febrero 2005 [consultado: 2011- 12 - 10] Disponible enhttp://blackspiral.org/docs/pfc/itis/node11.htmlspa
dc.relation.referencesDEFENSE ADVANCED RESEARCH PROJECTS AGENCY INFORMATION PROCESSING TECHNIQUES OFFICE. ARLINGTON WILSON BOULEVARD. Internet Protocol RFC [término de búsqueda: DNS]. [en línea - .txt] Network Working Group .November 1987 [consultado: 2011 12 1 O] Disponible en http://www.ietf.org/rfc/rfc791.txtspa
dc.relation.referencesDESCRIPCIÓN NMAP [en linea - .html] [consultado: 2011- 11 - 19] Disponible enhttp://nmap._org/man/es/index.html#man-descriptionspa
dc.relation.referencesDETECCIÓN DE SERVICIOS Y VERSIONES [en línea - .html] [consultado: 2011- 09 - 28] Disponible en http://nmap.org/man/es/man-version-detection.htmlspa
dc.relation.referencesDETECCIÓN DE SISTEMA OPERATIVO [en linea - .html] [consultado: 2011- 10- 15] Disponible en http://nmap.org/man/es/man-os-detection.htmlspa
dc.relation.referencesDIARIO OFICIAL LEY 1273 DE 2009 [en línea - .pdf] [consultado: 2011- 11- 19] Disponible en http://www.elabedul.neUDocumentos/Leyes/2009/Ley 1273.pdfspa
dc.relation.referencesDROMS R., Dynamic Host Configuration Protocol RFC. [término de búsqueda: DHCP]. [en línea - .txt] Bucknell University. March 1997 [consultado: 2011- 12 - 10] Disponible en http://www.ietf.org/rfc/rfc2131.txtspa
dc.relation.referencesEL MAPA DE PROCESOS ITIL / MODELO DE REFERENCIA ITIL [en linea - .html] [consultado: 2011- 09 - 15] Disponible enhttp://pinpoint.microsoft.com/esES/ applications/A-4294993769spa
dc.relation.referencesEVASIÓN DE CORTAFUEGOS/IDS Y FALSIFICACIÓN [en línea - .html] [consultado: 2011- 10- 15] Disponible en http://nmap.org/man/es/man-bypass-firewalls-ids.htmlspa
dc.relation.referencesFERNANDEZ, LUIS LÓPEZ., Secure Electronic Transaction [término de búsqueda: SET]. [en línea - .html] Boletín del criptonomicón [consultado: 2011- 12 - 10] Disponible en http://www.iec.csic.es/criptonomicon/articulos/expertos61.htmlspa
dc.relation.referencesHM GOVERMENT INSTITUTE., ITIL Foundation v3spa
dc.relation.referencesINFORMACIÓN [en linea - .html] [consultado: 2011- 10 - 24] Disponible en http://buscon.rae.es/drael/SrvltConsulta?TIPO BUS=3&LEMA=informaci%F3nspa
dc.relation.referencesINSTITUTOCOLOMBIANODE NORMAS TÉCNICAS Y CERTIFICACIÓN. Compendio Sistema de Gestión de la Seguridad de la Información (SGSI). Bogotá, Colombia. ICONTEC, 2010. 170p.spa
dc.relation.referencesINTRODUCCIÓN AS/MIME. [en línea - .html] [consultado: 2011-09 - 15] Disponible en http://es.kioskea.net/contents/crypto/s-mime.php3spa
dc.relation.referencesISACA., Alineado COBIT 4.1, ITIL v3 e ISO/IEC 27002 IT en beneficio de la empresa [término de búsqueda: SET]. [en línea - .html] ISACA [consultado: 2012- 01- 1 O] Disponible en http://www.isaca.org/Knowledge-Center/Research/Documents/AlineandoCobit- 4.1,-ITI L-v3-y-lSO-27002-en-beneficio-de-la-empresa-v2.7.pdfspa
dc.relation.referencesIT GOVERNANCE INSTITUTE. COBIT 4.1 (Marco de Trabajo, Objetivos de Control, Directrices Gerenciales y Modelos de Madurez). Estados Unidos. 2007. 211 p.spa
dc.relation.referencesINTRODUCCIÓN AL ANÁLISIS DE PUERTOS. [en linea - .html] [consultado: 2011-11- 25]Disponible en http://nmap.org/man/es/man-port-scanning-basics. htmlspa
dc.relation.referencesKNAPP, Kenneth J. Cyber-security and global information assurance: threat analysis and response solutions. Hershey. lnformation Science Reference, 2009. 424p.spa
dc.relation.referencesKENT S., IP Authentication Header. RFC.2402 [término de búsqueda: IP AH]. [en linea - .txt] NetworkWorking Group. December 1998 [consultado: 2011- 12 -10] Disponible en http://www. ietf.org/rfc/rfc2402.txtspa
dc.relation.referencesKENT S., IP Encapsulation Security Payload RFC.4303 [término de búsqueda: ESP]. [en línea - .txt] BBN Technologies. December 2005 [consultado: 2011- 12- 10] Disponible en http://www.ietf.org/rfc/rfc4303.txtspa
dc.relation.referencesKENT S. y ATKINSON R. Arquitectura de Seguridad para el Protocolo de Internet.spa
dc.relation.referencesRFC.2401 [término de búsqueda: ESP]. [en línea - .txt] Network Working Group. Agosto 2005 [consultado: 2011- 12- 1 O] Disponible en http://www.rfc-es.org/rfc/rfc2401-es.txtspa
dc.relation.referencesLA IMPORTANCIA DE LA PROTECCIÓN DE LA INFORMACIÓN CORPORATIVA. LOS ACUERDOS O PACTOS DE CONFIDENCIALIDAD. [en linea - .html] [consultado: 2011- 11-23] Disponible en http://www.navactiva.com/es/documentacion/la-importancia-de-laproteccion- de-la-informacion-corporativa-lo 30250spa
dc.relation.referencesMODELO DE BELL-LAPADULA [en linea - .html] [consultado: 2012- 11-- 16] Disponible en http://searchsecurity.techtarget.com/definition/single-sign-onspa
dc.relation.referencesMOCKAPETRIS P., Domain Names- Concept and Facilities RFC.1034 [término de búsqueda: DNS]. [en linea - .txt] ISI. November 1987 [consultado: 2011- 12- 10] Disponible en http://www.ietf.org/rfc/rfc1034.txtspa
dc.relation.referencesMORALES VÁZQUEZ, JOSÉ MARÍA., SSL, Secure Sockets Layer y Otros Protocolos seguros para el Comercio Electrónico [término de búsqueda: SSL]. [en linea - .pdf] Universidad Politécnica de Madrid, Abril 2006[consultado: 2011 - 12 - 10] Disponible en http://yww_morales-yazquez_com/pdfs/ss]_pdfspa
dc.relation.referencesMOYANO FUENTES, José y BRUQUE CÁMARA, Sebastíán. Gestión de la calidad en empresas tecnológicas de TQM a ITIL /. 254 p.spa
dc.relation.referencesNESSUS. [en linea - .html] [consultado: 2011- 10 - 24] Disponible en http://www.tenable.com/solutions/vulnerability-scanninqspa
dc.relation.referencesNOMBELA, Juan José. Seguridad informática. Madrid: Editorial Paraninfo. Thompson Editores, 1996. 258p.spa
dc.relation.referencesPOSTEL J., Protocolo de Datagramas de Usuario (UDP) RFC. 768. [término de búsqueda: UDP]. [en línea - .txt] Network Working Group. Diciembre 1999 [consultado: 2011-12-1O] Disponible en http://www.rfc-es.org/rfc/rfc0768-es.txtspa
dc.relation.referencesPROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN [término de búsqueda: activos de información]. [en línea] [consultado: 2011- 12 - 20] Disponible en http://portal_funcionpublica_gob.my.800/yb3/york/sites/SFP/resources/LocalContent/34/2/ Capitulo 4.pdfspa
dc.relation.referencesPROYECTO CAMERSEC IMPLANTACIÓN DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN PYMES. [término de búsqueda: Proyecto Camersec]. [en linea - .pdf] Cámara Málaga. Septiembre 2006 [consultado: 2011- 08- 15] Disponible en http://www.camaramalaqa.com/archivos/Carta Proyecto CamerSec.pdfspa
dc.relation.referencesRADIUS. AUTENTICACIÓN, AUTORIZACIÓN Y CONTABILIDAD [en linea - .pdf] [consultado: 2011- 09 - 13] Disponible en http://sabia.tic.udc.es/docencia/ssi/old/2006- 2007/docs/trabajos/11%20-%20Radius.Presentation.pdfspa
dc.relation.referencesRODRIGUEZ, Luis Angel. Seguridad de la información en sistemas de cómputo. México. Ventura Ediciones, 1995. 353p.spa
dc.relation.referencesSINGLE SIGNON (SSO) [en linea - .html] [consultado: 2011- 09 - 15] Disponible en http://searchsecurity.techtarget.com/definition/single-sign-onspa
dc.relation.referencesTÉCNICAS DE SONDEO DE PUERTOS. [en línea - .html] [consultado: 2011- 09 - 28] Disponible en http://nmap.org/man/es/man-port-scanninq-techniques.htmlspa
dc.subject.armarcDesarrollo de software de aplicación
dc.subject.armarcIngeniería de sistemas
dc.subject.armarcIngeniería de software
dc.subject.armarcSistemas electrónicos de seguridad
dc.type.coarversionhttp://purl.org/coar/version/c_ab4af688f83e57aaspa
dc.type.contentTextspa
dc.type.redcolhttp://purl.org/redcol/resource_type/TPspa
dc.rights.coarhttp://purl.org/coar/access_right/c_14cbspa


Files in this item

Thumbnail
Name:
Modelo de seguridad de la ...
Size:
5.251Mb
Format:
PDF
Description:
Trabajo de grado
View/Open

This item appears in the following Collection(s)

Show simple item record

https://creativecommons.org/licenses/by-nc-sa/4.0/
Except where otherwise noted, this item's license is described as https://creativecommons.org/licenses/by-nc-sa/4.0/