UNIVERSIDAD NACIONAL DE SAN CRISTBAL DE

HUAMANGA

FACULTAD DE INGENIERA DE MINAS, GEOLOGA Y CIVIL

ESCUELA DE FORMACIN PROFESIONAL DE INGENIERA DE SISTEMAS

PRIMER TRABAJO DE LABORATORIO

IMPLEMENTACIN DEL SISTEMA DE GESTIN DE SEGURIDAD DE

LA INFORMACIN DE LA OFICINA DE ADMISION DE LA UNSCH .
INTEGRANTES

CISNEROS SUMARI, Gaude Yunfer.

QUISPE GAMBOA, Keber.
RAMOS HUAMAN, Roger Frank.
YUPARI GLVEZ, Sherelly Yedizza.

CURSO

SEGURIDAD INFORMTICA

SIGLA

IS 444

FECHA

18-08-2014

DOCENTE

Prof. Carlos Vila Quispe

AYACUCHO

PER

2014

INTRODUCCION

Un Sistema de Gestin de la Seguridad de la informacin, es una forma

sistemtica de administrar la informacin sensible de una institucin,
para que permanezca segura. Abarca a las personas, los procesos y las
tecnologas de informacin. La forma total de la Seguridad de la
Informacin, y la integracin de diferentes iniciativas de seguridad
necesitan

ser

administradas

para

que

cada

elemento

sea

completamente efectivo. Aqu es donde entra el SGSI que permite

coordinar esfuerzos de seguridad con mayor efectividad.
La oficina de admisin es la encargada de llevar a cabo los procesos de
admisin en dos periodos durante un ao lectivo, el cual conlleva una
alta responsabilidad con la informacin que se maneja durante el
proceso.(mas info)

CAPITULO I
SITUACION ACTUAL DE LA UNIVERSIDAD NACIONAL SAN
CRISTOBAL DE HUAMANGA
1.1 DELIMITACION DEL ALCANCE

La UNSCH actualmente cuenta con diversas reas en las cuales se

disponen de activos valiosos. Una de las reas en las que hay
informacin confidencial est en custodia de la Oficina de Admisin de la
Universidad Nacional de San Cristbal de Huamanga.
La oficina de Admisin es la encargada de llevar a cabo todo el proceso
de Admisin que se lleva acabo 2 veces al ao, de manera eficaz y
objetiva.
1.1.1 ANTECEDENTES DE LA EMPRESA
1.1.2 MISION
La Universidad Nacional de San Cristbal de Huamanga es una
institucin acadmica con tradicin e identidad que genera, promueve y
difunde conocimientos, tecnologa y cultura. Forma profesionales con
capacidad creativa, innovadora y liderazgo, basados en principios ticos
y valores para el desarrollo sostenible y el bienestar de la sociedad.
1.1.3 VISION
Universidad moderna con tradicin, liderazgo y excelencia acadmica;
comprometida con el desarrollo humano.
1.1.4 DIAGRAMA ORGANIZACIONAL

1.1.5 PROCESOS
La identificacin de procesos dentro del alcance constituye un pilar
fundamental para el enfoque del SGSI. En nuestro caso los procesos
involucrados son:
Publicacin de cronograma, Inscripcin de postulantes, Publicacin de
asignacin de salones, Elaboracin del preguntas, Ejecucin examen,
Revisin del examen, Publicacin de los resultados y Entrega de
constancia de ingreso.
Publicacin de cronograma

Ejecucin examen

Inscripcin de postulantes Publicacin de asignacin salones Elaboracin preguntas

Revisin examen

Publicacin resultados

Entrega constancia ingreso

1.1.6 ACTIVOS
1.2

ANALISIS SITUACIONAL ACTUAL

1.2.1 ANALISIS CRITICO

1.3

CONCLUSIONES
CAPITULO II

DESARROLLO DE EL ANALISIS DE GESTION DE RIESGOS PARA

LA OFICINA DE ADMISION
2.1

ACTIVIDADES PRELIMINARES

2.2

ESTUDIO DE OPORTUNIDAD

2.3

DETERMINACION DEL ALCANCE DEL PROYECTO

2.4

ANALISIS DE RIESGOS

2.5

CARACTERIZACION DE LOS ACTIVOS

Esta actividad consta de 2 sub-tareas:

Identificacin de los activos
Valoracin de los activos
2.6

IDENTIFICACION DE LOS ACTIVOS

Entre los activos de informacin, segn la clasificacin de la ISO 27001:2005,

se encuentran:
A. Activos de Informacin
Documentacin y Registros
Descripcin
Soporte esttico no electrnico que contiene
datos.
Activos
Oficios
Memos
Ficha nico del examen
Reglamento
Activos auxiliares
Descripcin
Otros dispositivos que ayudan al funcionamiento
de la organizacin
Activos
Suministros de oficina
Activos auxiliares
Descripcin

Activos

Activos que representan el buen nombre de la

empresa y la imagen que los clientes tienen de
ella
Imagen y reputacin de la empresa

B. Software
Sistemas Operativos
Descripcin

Activos

Son todos los programas de una computadora que

constituyen la base operativa sobre la cual se
ejecutarn todos los otros programas (servicios o
aplicaciones)
Oficios
Memos
Ficha nico del examen
Reglamento

Paquetes de programas
Descripcin
Es un producto comercializado como tal con
soporte, versin y mantenimiento.
Activos
Antivirus
Microsoft office
Software de Aplicacin de Oficina
Descripcin
Datos y servicios informticos compartidos y
privados, que utilizan los protocolos y tecnologas
de comunicacin (por ejemplo, tecnologa de
Internet).
Activos
Aplicacin Microsoft Visual Studio

C. Activos Fsicos
PCs de Oficina
Descripcin
Activos
Equipos de Oficina
Descripcin
Activos
Servidor
Descripcin

Activos
Soporte electrnico
Descripcin

Activos

Hardware informtico que pertenece al organismo

o que es utilizado en los locales del organismo.
Computadoras personales.

Hardware para la recepcin, la transmisin o la

emisin de datos.
Impresoras, Copiadora y Telfono

Hardware informtico que pertenece al organismo

y maneja informacin importante del proceso de
Admisin y postulantes.
Servidor de Base de datos.

Soporte
informtico
conectado
a
una
computadora o una red informtica para el
almacenamiento de datos.
CD-ROM y memoria extrable.

Medios de comunicacin
Descripcin
Se
caracteriza
principalmente
por
las
caractersticas fsicas y tcnicas del soporte.
Activos
Cableado estructurado, tecnologa Ethernet,
cables y switch.
Establecimiento
Descripcin

Activos

Est formado por el conjunto de lugares que

contienen o parte del sistema y los medios fsicos
necesarios para su funcionamiento.
Local Garcilazo, Oficina de Admisin

D. Servicios
Comunicacin
Descripcin
Activos

Servicios y equipo de telecomunicaciones

brindados por un prestador.
Lnea telefnica, redes telefnicas internas.

Energa
Descripcin

Servicios y medios (fuentes de energa y

cableado)
necesarios para la alimentacin
elctrica del hardware y los perifricos.
Entrada de la red elctrica.

Activos
Portal Externo
Descripcin

Es un punto de acceso que encontrar o utilizar

un usuario cuando busque informacin o un
servicio del organismo
Pgina Web de la UNSCH.

Activos
E. Personas
Empleados
Descripcin

Es el que manipula elementos delicados del

proceso de admisin de la UNSCH y que tiene una
responsabilidad particular en este tema.
Recursos Humanos.

Activos

2.7

VALORIZACION DE ACTIVOS

El objetivo es identificar la valoracin de todos los activos dentro del

alcance del SGSI, indicando que impacto puede sufrir el negocio con la
prdida de Confidencialidad, Integridad, Disponibilidad.
Para obtener esta valoracin, se realizaron conversaciones con el personal
encargado de cada proceso; que conocen la importancia de cada activo
dentro de la empresa, para as determinar los niveles de Confidencialidad,
Integridad y Disponibilidad requeridos para cada proceso, que permitan
cumplir con las operaciones del negocio.
ACTTIVOS
Documentacin y
Registros
Sistemas
operativos
Paquetes
o
software estndar
PCs de oficina
Equipos
de
oficina
Servidor
Soporte
electrnico
Servicio
de
Comunicaciones

CONFIDENCIALIDA
D
4

INTEGRIDA
D
3

DISPONIBILID
AD
3

3
2

3
2

4
2

4
2

3
1

3
1

Servicio
de
energa elctrica
Aplicacin
de
Microsoft
Visual
Studio.
Portal
de
Informacin
Suministros
de
oficina
Empleados
Establecimiento
Medios y soporte

2.8

2
1
1

1
3
3
Tabla N 6: Tasacin de activos

2
1
3

CARACTERIZACION DE LAS AMENAZAS

Una vez terminada la valoracin se procede a la valoracin de activo

por activo de las amenazas, las amenazas estn clasificadas en
cuatro grupos:
Desastres Naturales
Desastres industriales
Errores y fallos no intencionados
Ataque intencionados
Esta actividad consta de 2 sub-tareas:
Identificacin de las amenazas
Valoracin de la amenazas
2.9

IDENTIFICACION DE LAS AMENAZAS

1.- Desastres naturales.- Sucesos que pueden ocurrir sin intervencin humana
Amenaza:
Activos:
Fuego
Activos fsicos
Daos por agua
Servicios de comunicacin, energa
Desastres naturales
Documentacin y registros
Afecta: Disponibilidad del Servicio, Integridad, Trazabilidad del servicio, Trazabilidad de
losdatos.
2.- De origen industrial.- Sucesos que pueden ocurrir de forma accidental, derivados de
laactividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o
deliberada.
Amenaza:
Activos:
Corte de suministro elctrico
Activos fsicos
Degradacin en el hardware
Servicios de comunicacin, energa
Condiciones
inadecuadas
de
Documentacin y registros
temperatura y/o humedad.
Afecta: Disponibilidad del Servicio, Integridad, Trazabilidad del servicio, Trazabilidad de los
datos, funcionamiento y procesamiento correcto de datos.
3.- Errores y Fallos no intencionados.- Fallos no intencionales causados por las personas.
Amenaza:
Activos:

Errores de los usuarios

Activos fsicos
Errores de configuracin
Servicios de comunicacin, energa
Alteracin de informacin
Documentacin y registros
Introduccin de informacin incorrecta
Software
Divulgacin de informacin
Errores de actualizacin
Virus
Afecta: Disponibilidad del Servicio, Confidencialidad, Integridad, Autenticidad de los usuariosde
servicio, Autenticidad del origen de datos, Cumplimiento con regulaciones de seguridad,
Trazabilidad del servicio y Trazabilidad de los datos.
4.- Ataques intencionados.- Fallos deliberados causados por las personas.
Amenaza:
Activos:
Instalacin no autorizada o cambios de
Activos fsicos
Servicios de comunicacin, energa
SW
Documentacin y registros
Manipulacin de la configuracin
Software
Brechas de seguridad no detectadas
Uso no previsto
Abuso de privilegios de acceso
Acceso no autorizado
Anlisis de trfico
Negacin de servicio
Robo
Ataque destructivo
Ingeniera social
Inautorizada copia de informacin
Virus
Afecta: Disponibilidad del Servicio, Confidencialidad, Integridad, Autenticidad de los usuariosde
servicio, Autenticidad del origen de datos, Cumplimiento con regulaciones de seguridad,
Trazabilidad del servicio, Trazabilidad de los daos y Plan de contingencia.

2.10

VALORIZACION DE LAS AMENAZAS

ACTIVOS

AMENAZAS
A1: Fuego

V1:
Falta
proteccin
fuego

Documentacin y
Registros

de
contra

VALO
R
Baja

Media

A2: Daos por agua

Baja

V2:
Falta
de
proteccin
fsica
adecuada
A3:
Desastres
naturales
V3:
Condiciones
locales
donde
los
recursos
son
fcilmente afectados
por desastres
A4.
Prdida
de
informacin

Baja

Baja
Media

Media

DESCRIPCIN
Es baja la probabilidad deincendios
en el sector dondese encuentra la
Oficina de Admisin
Actualmente en la Oficina de
Admisin no se
tienen ninguna proteccin
contra fuego, como extintores
No se ha registrado este tipo de
incidente
Los documentos se encuentran en
gavetasprotegidas contra ingreso
deagua.
No se ha registrado este tipo de
incidente
No existen protecciones requeridas
para enfrentardaos causados ante
desastres naturales

Se han presentado problemas

debido a fallas delos empleados

Sistemas Operativos

V4.1: Errores de los

empleados

Alta

V5.2:
Almacenamiento
no
protegido
A5: Divulgacin de
informacin
V5: Almacenamiento
no protegido

Media

A6:
Ataque
destructivo
V6:
Falta
de
proteccin fsica
A7: Modificacin no
autorizada
de
informacin.
V7:
Insuficiente
entrenamiento
de
empleados
A1:
Negacin
de
Servicio

Alta

V1:
Capacidad
insuficiente de los
recursos
A2:
Errores
de
configuracin
del
servicio
V2:
Falta
de
capacitacin
del
administrador
A3: Virus

Media

V3:
Falta
de
proteccin
actualizada
A4:
Controles
de
seguridad
no
cumplidos
V4: Falta de polticas
de seguridad

Alta

A5:
Alteracin
no
autorizado
de
la
configuracin
V5: Falta de control
de acceso

Baja

A1:
Negacin
de
servicio
V1:
Capacidad

Baja

Media
Media

Alta
Media

Baja

Baja

Baja

Media

Media

Alta

Alta

Alta

Baja

No se realizan respaldos de
la informacin, esto combinado con
los errores delos usuarios
Los documentos se encuentran en
gavetas bajollave. Pero susceptible a
daos por fuerza bruta
No se encuentran definidos polticas
de confidencialidad
Los documentos se encuentran en
gavetas bajo llave. Pero susceptible
a
daos por fuerza bruta
En la Oficina de Admisin no se ha
presentado este problema
La seguridad de estos elementos es
muy escasa
Se han registrado problemas debidos
a cambios en lainformacin no
previstos
Los empleados conocen sus
responsabilidades, y autorizaciones
permitidas a lainformacin
Esta forma de ataque no ha tomado
lugar todava, peropodra pasar en
cualquiermomento
La recursos de los SOs, es suficiente
para la cantidad deinformacin que
maneja la oficina de admisin
No se han presentado registros de
este problema
El administrador no cuenta con gran
conocimiento de los Sistemas
operativos de los servidores.
El servidor ha sido afectado una vez
por un Virus de computacin
No se sigue procedimientos
aprobados para la actualizacin y
mantenimiento del software
No se ha definido controles de
seguridad, razn por la cual ciertos
controles no han sido cumplidos
Actualmente no se tienen una
poltica aprobada, est en proceso de
desarrollo todava
No se ha registrado ningn incidente

El control de acceso puede ser

fcilmente vulnerado debido a la
dbil seguridad fsica de los equipos
de cmputo
No se ha registrado este tipo de
incidente
Se cuenta con los recursos

Paquetes o software
estndar

PCs de oficina

Equipos de oficina

insuficiente de los
recursos
A2: Virus
V2:
Falta
de
proteccin
actualizada
A3:
Escape
de
informacin
V3: Falta de control
de acceso
A4:
Falta
de
capacidad
de
restauracin
V4: Falta de copias de
backup continuas
A5: Uso no previsto

suficientes
Alta
Alta

Se ha registrado varias veces virus

No se lleva ningn tipo de
actualizacin para el software

Baja

No se ha registrado este tipo de

incidente
En el sw estndar no se necesita
ningn tipo de control de acceso
No se ha registrado este tipo de
incidente

Baja
Baja

Alta
Alta

V5: Falta de polticas

de seguridad
Fuego

Alta

Daos por agua

Baja

Desastres naturales

Baja

Acceso no autorizada

Alta

Corte de suministro
elctrico
Instalacin
no
autorizada o cambios
de sw
Uso no previsto

Media

Incumplimiento
con
controles
de
seguridad
Degradacin de hw

Alta

Inautorizada copia de
sw

Alta

Ataque destructivo

Baja

Robo
Fuego

Baja
Baja

Daos por agua

Baja

Degradacin

Medio

o Falla

Baja

Media

Alta

Medio

No se tiene copias de respaldo para

restauracin
El personal en algunas ocasiones
hacen uso de estas herramientas con
fines personales
Actualmente no se tienen una
poltica.
Es baja la probabilidad de incendios
en el sector donde se encuentra la
Oficina de Admisin
No se ha registrado este tipo de
incidente
No se ha registrado este tipo de
incidente
El control de acceso puede ser
fcilmente vulnerado debido a la
dbil seguridad fsica de los equipos
de cmputo
La energa elctrica se cort en
algunas veces
Los SW han sido cambiados e
instaladas ms de 3 veces
El personal en algunas ocasiones
hacen uso de estas herramientas con
fines personales
No se ha definido controles de
seguridad, razn por la cual ciertos
controles no han sido cumplidos
Hay algunos HWs que deberan
estar en desuso peor son utilizados.
Se realizan copias de SW sin
autorizacin, no hay nada que lo
impida.
No se encontraron incidencias de
este tipo
No hubo ningn robo de PCs
Es baja la probabilidad de incendios
en el sector donde se encuentra la
Oficina de Admisin
No se ha registrado este tipo de
incidente
Hay algunos HWs que deberan

Servidor

de HW
Ataque destructivo

Baja

Uso no previsto

Media

Fuego

Baja

Daos por agua

Baja

Desastres naturales

Baja

Negacin de servicio

Baja

Corte
suministro
elctrico
Degradacin o falla
del HW
Manipulacin de la
configuracin
Ataque destructivo

Media

Fuego

Baja

Daos por agua

Baja

Desastres naturales

Baja

Ataque destructivo

Baja

Medio
Baja
Baja

Soporte electrnico

Servicio de
comunicaciones

Servicio de energa
elctrica

Aplicacin de
Microsoft Visual

Robo
Fuego
Daos por agua
Desastres naturales
Degradacin
de
servicio y equipos
Errores
de
configuracin
Manipulacin
de
configuracin
Ataque destructivo
Fallas de servicio de
telefona
Fuego
Daos por agua
Desastres naturales
Ataque destructivo
Errores
de
los
usuarios
Errores
de
configuracin
Escapes
de
informacin
Errores
de

estar en desuso peor son utilizados.

No se encontraron incidencias de
este tipo
Se encontr que se usan algunos
equipos para hacer otras cosas
Es baja la probabilidad de incendios
en el sector donde se encuentra la
Oficina de Admisin
No se ha registrado este tipo de
incidente
No se ha registrado este tipo de
incidente
Esta forma de ataque no ha tomado
lugar todava, pero podra pasar en
cualquier momento
La energa elctrica se cort en
algunas veces
Hay algunos HWs que deberan
estar en desuso peor son utilizados.
No se ha registrado ningn incidente
No se encontraron incidencias de
este tipo
Es baja la probabilidad de incendios
en el sector donde se encuentra la
Oficina de Admisin
No se ha registrado este tipo de
incidente
No se ha registrado este tipo de
incidente
No se encontraron incidencias de
este tipo

Studio

Portal de informacin

Suministros de oficina

Empleados

Establecimiento

Medios y soporte

actualizacin
del
programa
Manipulacin
de
configuracin
Abuso de privilegios
de acceso
Modificacin
no
autorizada del sitio
web
Sitio
web
no
disponible
Publicacin
de
informacin
incorrecta
de
la
oficina de admisin
Fuego
Daos por agua
Desastres naturales
Robo
Errores
de
los
empleados
Insuficiente persona
Divulgacin
de
informacin
confidencial
Fuego
Daos por agua
Acceso no autorizada
Desastres naturales
Acceso no autorizada
a la informacin
Robo
Daos de cables
Anlisis de trfico

2.11

CARACTERIZACION DE LAS SALVAGUARDAS

2.12

IDENTIFICACION DE SALVAGUARDAS

2.13

2 JUSTIFICACIN
En la actualidad uno de los principales activos que las organizaciones
poseen, es la informacin. Por lo cual es necesario que toda organizacin
que busque una excelencia en los servicios o productos que ofrece,

adopte una Sistema de Gestin para el manejo adecuado de la

informacin, garantizando as su disponibilidad, confidencialidad e
integridad. Toda organizacin que desee convertirse en un proveedor
confiable debera garantizar la continuidad de su negocio ante posibles
escenarios de amenazas que pudieran presentarse.
Para cubrir estas necesidades la ISO -Organizacin Internacional para la
Estandarizacin- cre una norma certificable que permite a las
organizaciones encaminarse en un Sistema de Gestin de Seguridad de
la Informacin, la ISO 27001:2005.
La razn principal por la que se opta por la oficina de admisin es
porque esta maneja un gran volumen informacin que es importante y
confidencial.
3 IDENTIFICACIN DE LOS PROCESOS
La identificacin de procesos dentro del alcance constituye un pilar
fundamental para el enfoque del SGSI. En nuestro caso los procesos
involucrados son:
Publicacin de cronograma, Inscripcin de postulantes, Publicacin de
asignacin de salones, Elaboracin del preguntas, Ejecucin examen,
Revisin del examen, Publicacin de los resultados y Entrega de
constancia de ingreso.

Publicacin de cronograma

Ejecucin examen

Inscripcin de postulantes Publicacin de asignacin salones

Revisin examen

4 NIVELES A ASEGURAR:
Elementos a asegurar por nivel:

Publicacin resultados

Elaboracin preguntas

Entrega constancia ingreso

 Nivel fsico
Nivel lgico
Nivel fsico:
Proteccin del acceso al servidor de base de datos.
Proteccin de los equipos, como computadoras personales y todo
Hardware informtico que pertenece al organismo o que es utilizado en los
locales del organismo.

Controlar el acceso del personal y determinar a qu usuarios se les

puede permitir el uso de los distintos recursos y a cules se les debe
restringir.
Proteccin a los lugares que contienen parte del sistema y los medios
fsicos necesarios para su funcionamiento, como por ejemplo Local
Garcilazo, Oficina de Admisin.

Nivel lgico:
Poner contraseas para el acceso a los servidores.
Hacer backup de los datos ms importantes.
No permitir que usuarios no autorizados puedan leer la base de datos
de la nmina de personal.
5 ACTIVOS A PROTEGER
a) Activos de informacin
Documentacin y Registros
Activos auxiliares
b) Software
Sistemas Operativos
Paquetes de programas
Software de Aplicacin de Oficina
c) Activos fsicos
PCs de Oficina
Equipos de Oficina
Servidor
Soporte electrnico
Establecimiento
d)
Personas
Empleados
OBJETIVO

El objetivo es implementar un SGSI con la finalidad de contar con un

proceso definido para Evaluar, Implementar, Mantener y Administrar la
seguridad de la informacin y disponer de una Metodologa para poder
Administrar los riesgos.
DEFINICIN DEL ENTORNO
Se define como entorno la oficina de admisin de la universidad nacional
san Cristbal de huamanga.
Niveles que cubrir el proyecto
Nivel fsico;
Nivel lgico;
Hitos a cubrir en cada nivel
Alcance a nivel Fsico:
Proteccin de los establecimientos contra el acceso fsico no
autorizado.
Proteccin de las oficinas del sector de Cmputos contra el acceso
fsico no autorizado.
Proteccin del hardware e instalaciones del sector de Cmputos y
de Ventas contra el acceso fsico no autorizado.
Proteccin de la red de comunicaciones de toda la empresa contra
el acceso fsico no autorizado.
Proteccin de Cables.
Proteccin de Servidores.

Alcance a nivel Lgico:

Proteccin de los datos del sector de cmputos contra el acceso no
autorizado.
Proteccin de la integridad de los datos del sector de cmputos.
Proteccin de las aplicaciones de toda la empresa contra el acceso
no autorizado.

 Implantacin de restricciones de uso de software Implantacin de

un sistema de administracin de usuarios y contraseas.