Show simple item record

dc.contributor.advisorRojas Morales, Fernando Antoniospa
dc.contributor.authorDuarte Camacho, Liliana Patriciaspa
dc.contributor.authorPérez Barbosa, Johannaspa
dc.date.accessioned2020-06-26T17:56:35Z
dc.date.available2020-06-26T17:56:35Z
dc.date.issued2007
dc.identifier.urihttp://hdl.handle.net/20.500.12749/1372
dc.description.abstractLas organizaciones deben tomar las acciones apropiadas para asegurar la información y los sistemas informáticos con el fin de que estén protegidos de amenazas y riesgos, es de gran importancia adecuar un Sistemas de Gestión de Seguridad de Información (SGSI) en las empresas de tal forma que se adopten normas de seguridad, para proteger la información, además con la adecuación del SGSI no solo se gestionaría y se mantendría los activos de información sino que se crearía una cultura de seguridad, de allí nace la necesidad de desarrollar un prototipo en ambiente WEB, que se encargue de medir la seguridad de la información con la que cuenta la empresa, teniendo en cuenta que los diferentes sistemas de información basados en la norma ISO 17799 creados hasta la actualidad han sido hechos para ser accesibles por Internet. El prototipo GEICO (Gestión, Implementación y Control), utiliza aplicaciones Web con el propósito de cumplir con necesidades, entre las cuales esta que la información sea compartida entre las partes interesadas, de manera que todas tengan acceso a la información completa o parte de ella según corresponda y de acuerdo a su función, a su ves se busca que la información sea accesible desde cualquier lugar dentro de la organización e incluso desde el exterior para el encargado de solicitar el prototipo de Gestión de Seguridad desarrollado, con el fin de evaluar la seguridad con la que cuenta la empresa para que el prototipo le de recomendaciones para mejorar las fallas referentes a la seguridad.spa
dc.description.tableofcontentsINTRODUCCIÓN 20 1. SEGURIDAD DE LA INFORMACIÓN 21 1.2 IMPORTANCIA DE LA SEGURIDAD DE INFORMACIÓN 22 1.3 ¿POR QUÉ ES NECESARIA LA SEGURIDAD DE INFORMACIÓN? 23 1.4 REQUISITOS DE SEGURIDAD DE INFORMACIÓN 24 1.5 EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD 25 1.6 SELECCIÓN DE CONTROLES DE SEGURIDAD 26 1.7 PUNTO DE PARTIDA DE LA SEGURIDAD DE LA INFORMACIÓN 27 1.8 FACTORES CRÍTICOS PARA EL ÉXITO DE LA SEGURIDAD DE INFORMACIÓN 28 2. PROBLEMAS DE SEGURIDAD DE INFORMACIÓN 29 2.1 AMENAZAS ACTIVAS 29 2.1.1 Gusanos 29 2.1.2 Bomba Lógica 30 2.1.3 Puertas Trampa 30 2.1.4 Caballo de Troya 30 2.1.5 Bacteria 30 2.1.6 Virus 31 2.2 AMENAZAS PASIVAS 31 2.2.1 Sniffing en Ambiente de Switches 31 2.2.2 Sniffing en ambiente de Switches – Macoff 32 2.2.3 Tempest 32 2.2.4 Ingeniería Social 32 2.2.5 Shoulder Surfing 33 2.2.6 Estaciones abiertas 33 2.2.7 Passwords escritas 33 2.2.8 Dumpster diving 33 3. SERVICIOS DE SEGURIDAD 34 3.1 CARACTERÍSTICAS DE LOS SERVICIO DE SEGURIDAD 34 4. POLÍTICAS DE SEGURIDAD 36 4.1 CARACTERÍSTICAS DE POLÍTICAS DE SEGURIDAD 36 4.1.1 Accesible 36 4.1.2 Definir objetivos de seguridad 36 4.1.3 Definir cada artículo 37 4.1.4 Posición de la organización 37 5. NORMA TÉCNICA SOBRE SISTEMAS DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) 38 6. NORMA TÉCNICA COLOMBIANA NTC-BS 7799-2 39 6.1 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN (SGSI) 39 6.2 DESARROLLO DE DIRECTRICES PROPIAS DE LOS SGSI 40 7. NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 17799 41 7.1 NORMA ISO 17799 41 7.2 ¿A QUIÉN VA DIRIGIDA ISO 17799? 42 7.3 ESTRUCTURA DE LA NORMA ISO 17799 44 7.3.1 Política de seguridad. 45 7.3.2 Aspectos organizativos para la seguridad. 46 7.3.3 Clasificación y control de activos. 46 7.3.4 Seguridad ligada al personal. 46 7.3.5 Seguridad física y del entorno. 46 7.3.6 Gestión de comunicaciones y operaciones. 47 7.3.7 Control de accesos. 47 7.3.8 Desarrollo y mantenimiento de sistemas. 48 7.3.9 Gestión de continuidad del negocio. 48 7.3.10 Conformidad con la legislación. 48 7.4 VENTAJAS DE LA NORMA ISO 17799 48 7.5 BENEFICIOS DE LA NORMA ISO 17799 49 7.6 DOCUMENTACIÓN DE UN SGSI 50 7.6.1 Obstáculos de Documentación SGSI 51 7.6.2 Factores de éxito 52 7.7 IMPLEMENTACIÓN DE UN SGSI 53 8. PROTOTIPO GEICO “SISTEMA DE GESTIÓN DE SEGURIDAD BASADO EN ISO 17799” 54 8.1 ARQUITECTURA Y DISEÑO DEL PROTOTIPO 54 8.1.1 Arquitectura MVC (Modelo/Vista/Control) 56 8.2 ANÁLISIS 58 8.2.1 Modelo Funcional 58 8.2.1.1 Casos de Uso 58 8.3 DISEÑO DEL PROTOTIPO 61 8.3.1 Diseño de Base de Datos 61 8.3.2 Documentación de los casos de uso 61 8.3.3 Diseño de Eventos 62 8.3.3.1 Diagrama de Secuencia 62 8.3.3.2 Diagrama de Colaboración 63 8.4 CONSTRUCCIÓN 63 8.4.1 Herramientas de Desarrollo 64 8.5 DESCRIPCIÓN DE PANTALLAS 64 8.5.1 Pantalla Principal 64 8.5.2 Registro de Usuario 66 8.5.3 Información General 66 8.5.4 Glosario 67 8.5.5 Ingresar al sistema (INICIO) 68 8.5.6 Inicio 69 8.5.7 Recopilación de Información 69 8.5.8 Preparación de Auditorias 71 9. CONCLUSIONES 76 BIBLIOGRAFÍA 77 ANEXOS 83
dc.format.mimetypeapplication/pdfspa
dc.language.isospaspa
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/2.5/co/*
dc.titlePrototipo GEICO “Sistema de gestión de seguridad de la información” basado en la Norma Técnica Colombiana NTC-ISO/IEC 17799spa
dc.title.translatedGEICO prototype "Information security management system" based on the Colombian Technical Standard NTC-ISO / IEC 17799eng
dc.degree.nameIngeniero de Sistemasspa
dc.coverageBucaramanga (Colombia)spa
dc.publisher.grantorUniversidad Autónoma de Bucaramanga UNABspa
dc.rights.localAbierto (Texto Completo)spa
dc.publisher.facultyFacultad Ingenieríaspa
dc.publisher.programPregrado Ingeniería de Sistemasspa
dc.description.degreelevelPregradospa
dc.type.driverinfo:eu-repo/semantics/bachelorThesis
dc.type.localTrabajo de Gradospa
dc.type.coarhttp://purl.org/coar/resource_type/c_7a1f
dc.subject.keywordsData protectioneng
dc.subject.keywordsElectronic data processingeng
dc.subject.keywordsSecurity measureseng
dc.subject.keywordsSystemseng
dc.subject.keywordsInvestigationseng
dc.subject.keywordsAnalysiseng
dc.subject.keywordsInformation security
dc.subject.keywordsColombian Technical Standard NTC
dc.subject.keywordsISO standards
dc.subject.keywordsGEICO prototype
dc.identifier.instnameinstname:Universidad Autónoma de Bucaramanga - UNABspa
dc.identifier.reponamereponame:Repositorio Institucional UNABspa
dc.type.hasversioninfo:eu-repo/semantics/acceptedVersion
dc.rights.accessrightsinfo:eu-repo/semantics/openAccessspa
dc.rights.accessrightshttp://purl.org/coar/access_right/c_abf2spa
dc.relation.referencesDuarte Camacho, Liliana Patricia, Pérez Barbosa, Johanna, Rojas Morales, Fernando Antonio (2007). Prototipo GEICO. Bucaramanga (Colombia) : Universidad Autónoma de Bucaramanga UNABspa
dc.relation.referencesPERDITA, Stevens Rob Pooley. “Utilización de UML en Ingeniería de Software con Objetos y Componentes”. Addison Wesley 2002.
dc.relation.referencesSCHMULLER, Joseph. Aprendiendo UML en 24 horas. México. Editorial Pearson Education 2000. 423 páginas.
dc.relation.referencesBOOCH, Grady. EL lenguaje de Modelado Unificado, Madrid. Editorial Addison Wesley 1999. 432 páginas.
dc.relation.referencesINTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology. Code of Practice for information Security Management. Genev: ISO, 200, 71p. (ISO/IEC 17799)
dc.relation.referencesBRITISH STANDARDS INSTITUTION. Information Security Management Systems. Specification with Guidance for Use. London, BSI. pp 33 (BS 7799-2:2002).
dc.relation.referencesSTALLINGS, William. Sistemas Operativos, Segunda Edición, Madrid. Editorial Prentice Hall. 707 páginas.
dc.relation.referencesICONTEC, Norma técnica sobre sistema de gestión de seguridad de la información (SGSI), NTC-ISO/IEC 17799. 2005.
dc.relation.referencesICONTEC, Norma técnica sobre sistema de gestión de seguridad de la información (SGSI), 2005.
dc.relation.referencesCORNAGO, Baratech Juan Francisco. Diseño e Implantación del Sistema de Gestión de la Seguridad de la Información (SGSI), según UNE 71502 Dirección de Consultoría.
dc.relation.referencesPEÑA, y Lillo Gloria. Gestión de riesgos tecnológicos – UDP, Modulo 6: Mejores prácticas y estándares internacionales en gestión de riesgos y control interno. Diciembre 2005
dc.relation.referencesARGUETA, Amador. Estrategias de Seguridad distribuida en redes bajo ambiente Jini y Java. Capitulo 1: Amenazas en la seguridad en redes. Tesis Licenciatura. Ingeniería de Sistemas Computacionales. Mayo 2001.
dc.relation.referencesREYES, Clemente Osvaldo. Emisiones Comprometedoras. VIII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones. CARUANA, Pablo. Breves Conceptos sobre la ingeniería Social. Mayo 06 de 2001.
dc.relation.referencesVISÓN, Jacquelin, CISSP Analista en Seguridad de Información, Callio Technologies Rene Saint-Germain, Presidente, Callio Technologies. La norma BS 7799/ISO 17799, para un mejor acercamiento al a seguridad de la información. Documento de presentación. [Online]. Disponible en Internet http://www.callio.com. Fecha de consulta 20 febrero 2006
dc.relation.referencesVILLALÓN, Antonio. Código de Buenas practicas de seguridad UNE-ISO /IEC 17799. [Online]. Publicado el 30 Septiembre 2005. Disponible en Internet http://andercheran.aiind.upv.es/toni/personal/ISO17799.pdf . Fecha de consulta 15 febrero 2006
dc.relation.referencesVILLALON, Antonio. Gestión de Seguridad de Información “La nueva norma UNE 71502. 30 de Septiembre 2004 Valencia. [online]. Disponible en http://andercheran.aiind.upv.es/toni/personal/ISO17799.pdf. Fecha de consulta 15 febrero 2006
dc.relation.referencesÁLVAREZ, José Alfonso. Desarrollo de una metodología para desarrollo e implementación de las tecnologías y sistemas de información [online]. Publicado en Agosto 2005. Disponible en Internet http://www.fca.uach.mx/posgrado/diseno%20de%20una%20metodologia%20para%20desarrollo.pdf . Fecha de consulta 25 enero 2006
dc.relation.referencesSEGURIDAD EN INTERNET “Programas Maliciosos”. [Online] http://petra.euitio.uniovi.es/~albizu/concursoposter/posters/p3.pdf Fecha de consulta 10 mayo 2006
dc.relation.referencesFICARRA, Francisco. Los Virus Informáticos. Chasqui, junio, numero 78. Centro Internacional de Estudios Superiores de Comunicación para América Latina. Quito, Ecuador. 2002 Fecha de consulta 10 mayo 2006
dc.relation.referencesCASTRO, Ospina Sandra Jeannette. “Delitos Informáticos” La información como un bien jurídico y los delitos informáticos en el nuevo código penal Colombiano. Julio 2002. [Online] http://www.sahw.com. Fecha de consulta 10 mayo 2006
dc.relation.referencesMARAÑON, Álvarez Gonzalo. Servicios de Seguridad. [Online] http://www.iec.csic.es/criptonomicon/seguridad/servicio.html Fecha de consulta 12 mayo 2006
dc.relation.referencesALEXANDER, Alberto G. Ph,D. CBRP, Auditor SGSI Certificado IRCA. Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El enfoque ISO 27001:2005. [Online] http://www.centrum.pucp.edu.pe/excelencia Fecha de consulta 15 febrero 2006
dc.relation.referencesCASTEJON, Garrido Juan Salvador. Arquitectura y diseño de sistemas web modernos. Revista de Ingeniería Informática del Colegio de Ingenieros en Informática de la Región de Murcia [Online] Disponible en internet: http://www.cii-murcia.es/informas/ene05/articulos/Arquitectura_y_disenyo_de_sistemas_web_modernos.html. Fecha de consulta 15 marzo 2006.
dc.relation.referencesMAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información [online]. Disponible en Internet http://www.csi.map.es/csi/pg5m20.htm. Fecha de consulta 01 marzo 2006
dc.relation.referencesSoftware de conformidad BS7799 / ISO17799 en español [online]. Disponible en Internet http://www.callio.com/es/ . Fecha de consulta 5 de enero 2006
dc.relation.referencesISO TS 17799. Sector Normas IT & Ebusiness [online] Disponible en http://www.bvqiarg.com.ar/certificaciones/ISO17799.html . Fecha de consulta 17 de febrero 2006
dc.relation.referencesETEK International Holding Corp [online]. Disponible en Internet http://www.etek.com.co/. Fecha de consulta 15 febrero 2006
dc.relation.referencesInternet Solutions [online]. Disponible en Internet http://www.internet-solutions.com.co. Fecha de consulta 15 febrero 2006
dc.relation.referencesGALINDO, John, Gerente de DIGIWARE S.A., Soluciones de Seguridad informática. [Online] Disponible en Internet www.digiware.com.co. Fecha de consulta 17 febrero 2006
dc.relation.referencesNorma Técnica Peruana NTO-ISO/IEC 17799. 2004 p. 10 [Online]. Disponible en Internet http://bvindecopi.gob.pe/normas/isoiec17799.pdf. Fecha de consulta 14 marzo 2006
dc.relation.referencesMARTINEZ, Juan Carlos. Seguridad en Redes. Diapositivas 7-14 [Online]. Disponible en Internet http://web.unab.edu.co/~especia/SEG_archivos/frame.htm Fecha de consulta 10 mayo 2006
dc.relation.referencesCASTILLO Maza, Juan, ISO 17799: Gestión de seguridad de los sistemas de información. Ventajas de la norma ISO 17799. 2002. [Online] Disponible en Internet http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/administracion/N10_2003/gesti%C3%B3n.htm Fecha de consulta 14 marzo 2006
dc.relation.referencesBRUNA, Ignacio-Polin. Una administración efectiva de la seguridad de la información. Publicado 09 enero 2004. [Online]. Disponible en Internet http://www.belt.es/articulos/articulo.asp?id=1439. Fecha de consulta 14 marzo 2006]:
dc.relation.referencesPEREDA, Fernando J. y CERVERA NAVARRO, Ricardo. Introducción a PHP. [online]. http://www.ferdyx.org/charlas/intro_php/charla-simo.pdf Fecha de consulta 10 diciembre 2005
dc.relation.referencesSoftware de conformidad BS7799 / ISO17799 en español. [Online] http://www.callio.com/es/ . Fecha de consulta 20 febrero 2006,
dc.contributor.cvlachttps://scienti.minciencias.gov.co/cvlac/visualizador/generarCurriculoCv.do?cod_rh=0000068993*
dc.subject.lembProtección de datosspa
dc.subject.lembProcesamiento electrónico de datosspa
dc.subject.lembMedidas de seguridadspa
dc.subject.lembSistemasspa
dc.subject.lembInvestigacionesspa
dc.subject.lembAnálisisspa
dc.description.abstractenglishOrganizations must take appropriate actions to secure information and computer systems in order to be protected from threats and risks, it is of great importance to adapt an Information Security Management Systems (ISMS) in companies in such a way that security standards are adopted to protect the information, in addition, with the adequacy of the ISMS, not only would the information assets be managed and maintained, but a culture of security would be created, hence the need to develop a prototype in a WEB environment, that is in charge of measuring the security of the information that the company has, taking into account that the different information systems based on the ISO 17799 standard created to date have been made to be accessible via the Internet. The GEICO (Management, Implementation and Control) prototype uses Web applications in order to meet needs, among which is that the information is shared between the interested parties, so that all have access to the complete information or part of it as appropriate and according to its function, in turn it is sought that the information is accessible from anywhere within the organization and even from outside for the person in charge of requesting the Security Management prototype developed, in order to evaluate the security that the company has so that the prototype gives recommendations to improve the failures related to security.eng
dc.subject.proposalSeguridad de información
dc.subject.proposalNorma Técnica Colombiana NTC
dc.subject.proposalNormas ISO
dc.subject.proposalPrototipo GEICO
dc.type.redcolhttp://purl.org/redcol/resource_type/TP
dc.rights.creativecommonsAtribución-NoComercial-SinDerivadas 2.5 Colombia*


Files in this item

Thumbnail

This item appears in the following Collection(s)

Show simple item record

Atribución-NoComercial-SinDerivadas 2.5 Colombia
Except where otherwise noted, this item's license is described as Atribución-NoComercial-SinDerivadas 2.5 Colombia