Seguridad Informatica

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO
INGENIERA DE SISTEMAS
UNIVERSIDAD CATOLICA
SANTO TORIBIO DE MOGROVEJO
ELABORACIN Y APLICACIN DE UN SISTEMA DE

GESTIN DE LA SEGURIDAD DE LA INFORMACION
(SGSI) PARA LA REALIDAD TECNOLGICA DE LA USAT
PROYECTO DE TESIS PARA OPTAR EL TTULO DE
INGENIERO DE SISTEMAS Y COMPUTACIN
CSAR WENCESLAO DE LA CRUZ GUERRERO
JUAN CARLOS VASQUEZ MONTENEGRO
CHICLAYO, JUNIO 2008
UNIVERSIDAD CATOLICA
SANTO TORIBIO DE MOGROVEJO
PROYECTO DE TESIS PARA OPTAR EL TITULO DE INGENIERO DE

SISTEMAS Y COMPUTACIN
ASESOR ESPECIALISTA
Ing. JESSIE LEILA BRAVO JAICO
AUTORES
CSAR WENCESLAO DE LA CRUZ GUERRERO
JUAN CARLOS VASQUEZ MONTENEGRO
CHICLAYO, JUNIO 2008
ndice
CAPITULO I: Generalidades del proyecto
1.1. Realidad Problemtica
1.2. Antecedentes de la Investigacin
1.2.1. Casos en Europa.. 8

1.2.2. Casos en Latinoamrica..
10
1.2.3. Casos en Per..
11
1.3. Alcance y limitaciones
12
1.3.1. Alcance..
12
1.3.2. Limitaciones..
12
1.4. Objetivos de la Investigacin.
13
1.4.1. Objetivo General
13
1.4.2. Objetivos Especficos
13
1.5. Formulacin del Problema de Investigacin.
14
1.6. Definicin de variables..
14
1.6.1. Variable Independiente.
14
1.6.2. Variable Dependiente
14
1.6.3. Variable interviniente
15
1.7. Justificacin de la investigacin.
15
1.8. Beneficios
15
CAPITULO II: Marco referencial

2.1. Marco Terico.
18
2.1.1. ISO 27000 18

2.1.1.1. Origen 18
2.1.1.2. La serie 27000 19
2.1.1.3. Contenido.. 20
2.1.1.4. Beneficios.. 22
2.1.2. Sistema de Gestin de la Seguridad de la Informacin 23
2.1.2.1. Para qu sirve un SGSI?....................................................................... 24
2.1.2.2. Qu incluye un SGSI?.......................................................................... 25
2.1.2.3. Qu aspectos de seguridad cubre un SGSI?......................................... 27
3
2.1.2.4 Cmo se implementa un SGSI?............................................................. 28

2.1.2.5. Revisin del SGSI.. 28
2.1.3. Anlisis y Evaluacin del Riesgo.. 29
2.1.3.1. Tratamiento del Riesgo y la Toma de Decisiones Gerenciales.. 30
2.1.4. Controles de seguridad. 33
2.2. Marco Conceptual...
36
2.3. Marco Metodolgico del desarrollo de la investigacin.
38
2.3.1. Modelo del Sistema de Gestin de Seguridad de la Informacin PDCA. 38

2.3.1.1. Arranque del proyecto 39
2.3.1.2. Plan: Establecer el SGSI. 39
M.01. COBIT
40
M.02. MAGERIT versin 2
46
2.3.1.3. Do: Implementar y utilizar el SGSI 55

2.3.1.4. Check: Monitorizar y revisar el SGSI 55
2.3.1.5. ACT (Actuar). 57
2.4. Hiptesis..
57
2.5. Diseo de Contrastacin de la Hiptesis.
57
2.6. Tipo de Investigacin..
58
2.7. Poblacin Muestra
58
2.7.1. Poblacin
58
2.7.2. Muestra..
59
2.8. Tcnicas, Instrumentos, Fuentes e Informantes..
61
2.9. Indicadores..
61
2.10. Anlisis de la Informacin.
63
2.10.1. Anlisis de la informacin...
63
2.10.2. Recurso disponible..
63
CAPITULO III: Diagnstico de la situacin actual

3.1. Breve Resea Histrica...
66
3.1.1. Historia de la USAT.
66
3.1.2. Tipo de Empresa, Razn Social y Giro del Negocio
67
3.1.3. Visin y Misin
67
3.2. Procesamiento de la Informacin.
67
3.2.1. Herramientas..
67
3.2.2. Resumen de resultados..
68
3.2.2.1. Docentes y/o Administrativos
68
3.2.2.2. Alumnos. 70
3.2.2.3. Jefe y personal que labora en Taller de Cmputo y
Desarrollo de Sistemas.
72
3.3. Anlisis de los resultados.
79
CAPITULO IV: Desarrollo del modelo de sistema de gestin de

seguridad de la informacin (SGSI)
4.1. Arranque del proyecto
83
4.1.1. Compromiso de la Direccin...
83
4.1.2. Planificacin.
83
4.2. Plan: Establecer el SGSI

4.2.1. Alcance del SGSI.
85
85
4.2.1.1. Objetivo del SGSI.. 85

4.2.1.2. Advertencia. 85
4.2.2. Poltica de Seguridad 85
4.2.2.1. Generalidades. 85
4.2.2.2. Objetivo principal... 86
4.2.2.3. Objetivo secundario 86
4.2.2.4. Alcance.. 86
4.2.2.5. Responsabilidad. 86
4.2.2.6. Aspectos Generales 87
4.2.2.7. Puntos de la documentacin de la poltica
de seguridad de la informacin...
4.2.2.8. Sanciones previstas por incumplimiento
87
88
4.2.3. Metodologa. 88
4.2.3.1. Activos 88
4.2.3.2. Dependencias. 92
4.2.3.3. Dimensiones de valoracin 92
5
CAPITULO I
GENERALIDADES DEL
PROYECTO
1.1. Realidad Problemtica

En la actualidad las organizaciones y sus sistemas de informacin se enfrentan, cada vez
ms, con riesgos e inseguridades procedentes de una amplia variedad de fuentes,
incluyendo fraudes basados en informtica, espionaje, sabotaje, vandalismo, incendios o
inundaciones; tambin ciertas fuentes de daos como virus informticos y ataques de
intrusin o de negacin de servicios los cuales se estn volviendo cada vez ms comunes,
ambiciosos y sofisticados.
Es por esto que enfocando nuestro proyecto en la realidad peruana se vio por conveniente
traer a la memoria algunas empresas del medio que cuentan con un Sistema de Gestin de
la Seguridad de la Informacin como Telefnica Empresas y Nextel S.A; dichas empresas
refieren que los problemas de la Seguridad de la Informacin rara vez se centran en
aspectos de carcter tcnico exclusivamente, sino de gestin cmo alinear la tecnologa con
los objetivos de la organizacin.
Pues teniendo en cuenta que la informacin adopta diversas formas, ya que, puede estar
impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o por
medios electrnicos, mostrada en video o hablada en conversacin; sea cual sea la forma en
la que se muestra se comparta o almacene, debera protegerse adecuadamente; ante esto se
opto por elaborar y aplicar un Sistema de Gestin de la Seguridad de la Informacin en la
Universidad Catlica Santo Toribio de Mogrovejo delimitando nuestro alcance a las reas
involucradas con las TICs (Desarrollo de Sistemas y Taller de computo), con lo cual
pretendemos garantizar que los riesgos de la seguridad de la informacin sean conocidos,
asumidos, gestionados y minimizados; de manera que se busca proteger la informacin de
un amplio rango de amenazas.
1.2. Antecedentes de la Investigacin
1.2.1. Casos en Europa
Tema:
Proyecto CAMERSEC - Implantacin de Sistemas de Gestin de Seguridad de la
Informacin en PyMEs
Autor:
8
Andrs Garca Martnez.

Lugar de investigacin:
Espaa, Cmara de Comercio, Industria y Navegacin de Mlaga
Ao de investigacin:
26 de octubre de 2006
Resumen:
El Proyecto CAMERSEC promueve actuaciones de consultora para Sistemas de
Gestin de Seguridad de la Informacin realizadas por Grupo Nexus Consultores y
Auditores y Tecnotur 3000, siendo decisin de la empresa adherida certificar o no
dicho sistema. La iniciativa se est tramitando para que cuente con el apoyo a modo
de incentivos por parte de la Agencia IDEA (Consejera de Innovacin, Ciencia y
Empresa) de cara a la financiacin del mismo, as como la obtencin de precios en
condiciones ventajosas para la consultora y certificacin.
Anlisis:
Este proyecto es altamente recomendado para empresas cuyos activos de informacin
tengan un alto valor para la actividad organizacional, la implantacin de un sistema de
esta naturaleza ayuda a la gestin de la seguridad de sus activos de informacin ya
que afecta a polticas y estrategias de la empresa y constituye un aporte de valor
indiscutible para cualquier tipo de actividad empresarial.
Tema:
Proyecto Sanitas -
Sistema de Gestin de Seguridad de la Informacin y
certificacin UNE 71502 e ISO 27001

Autor:
Enrique Martn Mndez
Miguel ngel Aguilar
Espaa, El Grupo Sanitas
Ao de investigacin:
Noviembre 2006
Resumen:
Sanitas, empresa puntera en el sector de asistencia sanitaria, ha culminado con xito la
implantacin de un Sistema de Gestin de Seguridad de la Informacin y la
consiguiente obtencin de los certificados UNE 71502 e ISO 27001 bajo el sello de
Aenor. El proyecto se ha llevado a cabo con el apoyo de la consultora especializada
en seguridad de la informacin ESA Security, que ha aportado su experiencia en la
implantacin de estos sistemas. El Departamento de Seguridad de Sanitas,
perteneciente a la Direccin General de Sistemas de Informacin, ha sido el impulsor
de este proyecto con el objetivo de mejorar continuamente en su gestin.
Anlisis:
El desarrollo del proyecto en Sanitas le permiti ser certificable, esto debido a la
confianza y colaboracin de querer salir adelante; tambin al reconocer que los
activos de informacin de su empresa son muy importantes en el desarrollo de si
misma, por ello busco mtodos para salvaguardar y proteger su informacin
1.2.2. Casos en Latinoamrica
Tema:
Trabajo final: Plan de Seguridad Informtica.
Autores:
Mara Dolores Cerini.
Pablo Ignacio Pr.
Crdoba Argentina, EMPRESA ARGENTINA nacional.
Ao de investigacin:
Universidad Catlica de Crdoba - 2002
Resumen:
Esta es una empresa concesionaria automotriz que a travs del proyecto se quiere
desarrollar documentos y directrices que orienten el uso adecuado de las tecnologas
de informacin para obtener el mayor provecho de las ventajas que brindan. De esta
manera se va ha implementar polticas de seguridad de la informacin en la compaa
10
para que pueda desarrollarse y mantenerse en su sector de negocios. Las polticas de

seguridad de la informacin van ha fijar los mecanismos y procedimientos que deben
adoptar las empresas para salvaguardar sus sistemas y la informacin que estos
contienen.
Anlisis:
Este trabajo es muy importante ya que su aplicacin esta basada en un entorno
diferente al de nosotros, el cual nos permitir tener un mejor enfoque al proyecto de
investigacin que tratamos de llevar a cabo.
Tema:
Tesis
de
licenciatura:
Seguridad
Informtica
sus
Implicancias
Implementacin
Autor:
Borghello Cristian Fabian.
Argentina, situacin actual del entorno.
Ao de investigacin:
Universidad Tecnolgica Nacional - 2001
Resumen:
Esto es un proyecto general sobre la seguridad informtica en el entorno de las
empresas. El estudio se avala en la forma como utilizar las herramientas adecuadas
para la seguridad informtica desde su implantacin hasta su resultado e implicancias
que tiene dentro de las organizaciones.
Anlisis:
Este proyecto es muy interesante en cuanto al grado de conocimientos descriptos para la
implementacin y sus posteriores implicancias resultantes del proyecto.
A grandes rasgos se podr ver la forma tcnica en la que se va desarrollando el trabajo.
1.2.3. Casos en Per
Tema:
Tesis: Plan de seguridad informtica para una entidad financiera.
11
Autora:
Norma Edith Crdova Rodrguez.
Lima Per, BANCO PERUANO de capital extranjero.
Ao de investigacin:
Universidad Nacional Mayor de San Marcos - 2003.
Resumen:
Se puede observar que gracias a la liberacin y la globalizacin de los servicios
financieros, junto con la creciente sofisticacin de la tecnologa financiera, estn
haciendo cada vez ms diversas y complejas las actividad de los bancos en trminos
de seguridad de informacin para ello este proyecto busca definir un plan de
Seguridad para una entidad financiera, empezando por definir la estructura
organizacional (roles y funciones), despus pasa a definir las polticas para finalmente
concluir con un plan de implementacin o adecuacin a las polticas anteriormente
definidas.
Anlisis:
Este tema de investigacin nos permite tener un conocimiento ms amplio de la
seguridad, que se regir bajo normas para el adecuado uso de la informacin dentro y
fuera de la organizacin siendo est muy importante dentro de la misma.
1.3. Alcance y limitaciones
1.3.1. Alcance
El proyecto de Sistema de Gestin de la Seguridad de la Informacin se llevara acabo
en la Universidad Catlica Santo Toribio de Mogrovejo dentro de las reas de
Desarrollo de sistemas y Taller de cmputo, ya que son estas las encargadas del
manejo del flujo de informacin y comunicaciones.
1.3.2. Limitaciones
1.3.2.1.
Geogrfica
12
El Proyecto se desarrollara en las instalaciones de la Universidad Catlica Santo

Toribio de Mogrovejo de la Ciudad de Chiclayo, donde se diseara un sistema de
gestin de seguridad de la informacin.
1.3.2.2. Administrativa
Las reas donde se va ha realizar la investigacin no cuentan con autonoma
propia para llevar a cabo el desarrollo de la investigacin ya que son reas que
dependen de otras reas superiores.
1.3.2.3 Tecnolgica
La Universidad Catlica Santo Toribio de Mogrovejo cuenta con una variedad
tecnolgica en sus instalaciones, motivo por el cual nuestra investigacin solo se
concentrara en los puntos de mayor importancia en relacin al sistema de gestin
de seguridad de la informacin.
1.3.2.4 Cientfica
Se observo durante la investigacin del tema que no existe informacin en libros y
cualquier otro tipo de fuente escrita, solo existen artculos colgados en Internet y
acceso a informacin de consultoras va correo electrnico.
1.3.2.5 Personal
El inducir a las personas que laboran en las reas de gestin de la informacin la
importancia que tiene nuestra investigacin en relacin con sus que haceres
diarios, permitindoles trabajar con mayor seguridad.
1.3.2.6 Econmicas
A travs de la realizacin de nuestro proyecto, se proveer de medios que
permitan resolver los problemas de ahora para que en el futuro no generen grandes
gastos en relacin a todo lo que sea sistemas de informacin.
1.4. Objetivos de la Investigacin
1.4.1.Objetivo General
13
Elaborar y Aplicar un sistema de gestin de seguridad de la informacin (SGSI) para

mejorar la seguridad de las tecnologas de informacin y las comunicaciones en la
Universidad Catlica Santo Toribio de Mogrovejo.
1.4.2. Objetivos Especficos
Realizar un diagnstico de la situacin actual de la seguridad de informacin en
la organizacin.
Evaluar las reas encargadas del cuidado y distribucin de la informacin a
travs de una metodologa de trabajo con encuestas, cuestionarios, entrevistas y
otros.
Identificar a travs del anlisis de riesgo los puntos fuertes y dbiles de los
sistemas de informacin (Tecnologa de informacin y comunicaciones).

Conocer las diferentes condiciones de acceso a la informacin, tanto externo
como interno.
Seleccionar los controles de seguridad de informacin ms importantes que
garanticen la confidencialidad, integridad y disponibilidad de la informacin.

Lograr que el proyecto sea un apoyo para los responsables de la seguridad de la
informacin, para cuando deseen alcanzar en algn momento la certificacin de
la norma ISO 27001 27002.
1.5. Formulacin del Problema de Investigacin

De que manera la aplicacin de un sistema de gestin de seguridad de la informacin
permitir ayudar a los responsables de la informacin a mejorar la seguridad de las
tecnologas de informacin y comunicaciones en la Universidad Catlica Santo Toribio de
Mogrovejo?
1.6. Definicin de variables
1.6.1. Variable Independiente
Sistema de gestin de seguridad de la informacin.
1.6.2. Variable Dependiente
Gestin de las Tecnologas de Informacin

Administracin de la Seguridad.
Apoyo certificacin ISO 27001 /27002.
Minimizar los riesgos en materia de seguridad de la TICs.
14
Concientizar a los usuarios en seguridad de las TICs.
1.6.3. Variable interviniente

1.6.3.1. Metodolgica
Modelo PDCA
Metodologa anlisis de riesgos COBIT.
Metodologa anlisis de riesgos MAGERIT.
1.6.3.2. Tecnologa
Computadoras.
Internet.
Aulas Virtuales.
Foros Tecnolgicos.
1.6.3.3. Herramientas
Las tcnicas y herramientas que utilizaremos para desarrollar los sistemas
de informacin, son: entrevistas, la encuesta, el cuestionario y la
observacin.
1.7. Justificacin de la investigacin
1.7.1. En lo cientfico
En la actualidad se pueden disear sistemas que van de la mano con las tecnologas
de manera tal que permite facilitar el trabajo del personal en cualquier institucin y
a la vez tener un mayor conocimiento de la importancia e implicancia que tiene
salvaguardar la informacin en una organizacin.
1.7.2. Financiero / Econmico
El desarrollo de nuestro proyecto permitir a los encargados de la Gestin de la
Informacin
adquirir
un mejor nivel de servicio en calidad, funcionalidad y
facilidad en el uso de la seguridad, de manera tal que minimice costos a la

organizacin.
15
1.8. Beneficios
1.8.1. La Empresa (Ejecutivos, Personal)
El Sistema de Gestin de Seguridad de la informacin ser diseado con la finalidad
de ser utilizados por los propietarios de los procesos del negocio como gua clara y
entendible, con el fin de alcanzar los objetivos trazados por la empresa.
1.8.2. Futuras Investigaciones
El presente trabajo de investigacin servir como aporte para otros estudios que
tiendan al a desarrollar trabajos relacionados con la seguridad de la informacin,
pues el proyecto contara con una slida base cientfica con respecto a lo que
seguridad refiere.
1.8.3. En lo Social
El Diseo de Gestin de Seguridad de la Informacin permitir a las organizaciones
tener una mejor apreciacin y entendimiento de los riesgos y limitaciones de TI a
todos los niveles dentro de la empresa con el fin de obtener una efectiva direccin y
controles, de manera tal maximizar sus beneficios, capitalizar sus oportunidades y
ganar ventaja competitiva.
1.8.4. En lo Personal.
Se pretende adquirir nuevos conocimientos ante las posibilidades de conocer sobre
seguridad de la informacin la cual nos permitir
fijar los mecanismos y
procedimientos que deben adaptar las empresas para salvaguardar los sistemas y la
informacin que estas contienen.
16
CAPITULO II
MARCO REFERENCIAL
17
2.1. Marco Terico

2.1.1. ISO 27000
2.1.1.1. Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es
responsable de la publicacin de importantes normas como:
1979 Publicacin BS 5750 - ahora ISO 9001
1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar
a cualquier empresa britnica o no un conjunto de buenas prcticas para la gestin de la
seguridad de su informacin. La primera parte de la norma (BS 7799-1) es una gua de
buenas prcticas, para la que no se establece un esquema de certificacin. Es la segunda
parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de
un sistema de gestin de seguridad de la informacin (SGSI) para ser certificable por
una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y
la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao
2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de
sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public
por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta
ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el
contenido as como el ao de publicacin formal de la revisin.
18
Ilustracin 01: Historia de ISO 27001

Fuente: www.ISO27000.es
En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public la

BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin. En la
seccin de Artculos y Podcasts encontrar un archivo grfico y sonoro con la historia de
ISO 27001 e ISO 17799.
2.1.1.2. La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los
rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
ISO 27000: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de
2008. Contendr trminos y definiciones que se emplean en toda la serie 27000. La
aplicacin de cualquier estndar necesita de un vocabulario claramente definido,
que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma
est previsto que sea gratuita, a diferencia de las dems de la serie, que tendrn un
coste.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene
su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en
forma de resumen los objetivos de control y controles que desarrolla la ISO
27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007),
para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a
pesar de no ser obligatoria la implementacin de todos los controles enumerados en
dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de
los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma
est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse
online en AENOR.
ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que
19
describe los objetivos de control y controles recomendables en cuanto a seguridad

de la informacin. No es certificable. Contiene 39 objetivos de control y 133
controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO27001 contiene un anexo que resume los controles de
ISO 27002:2005.
2.1.1.3. Contenido
A.- ISO 27001:2005:
Generalidades
Esta Norma Internacional ha sido preparada para proporcionar un modelo que
permita establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de la Informacin (SGSI). La adopcin de un
SGSI debe ser una decisin estratgica para la organizacin. Se espera que la escala
de implementacin de un SGSI se establezca de acuerdo a las necesidades de la
organizacin, es decir, una situacin sencilla requiere una solucin de SGSI sencilla.
Qu aporta la certificacin ISO 27001?
La certificacin ISO 27001 avala la adecuada implantacin, gestin y operacin de
todo lo relacionado con la implantacin de un SGSI, siendo la norma ms completa
que existe en lo relativo a la implantacin de controles, mtricas e indicadores que
permiten establecer un marco adecuado de gestin de la seguridad de la informacin
para las organizaciones.
Entre las ventajas que ofrece, al ser un estndar ISO, se encuentran las facilidades
que ofrece de integracin con otros sistemas de gestin vigentes en la empresa, por
ejemplo ISO 9001 e ISO 14001.
Introduccin: generalidades e introduccin al mtodo PDCA.
Objeto y campo de aplicacin: se especifica el objetivo, la aplicacin y el

tratamiento de exclusiones.
Normas para consulta: otras normas que sirven de referencia.
Trminos y definiciones: breve descripcin de los trminos ms usados en la

norma.
20
Sistema de gestin de la seguridad de la informacin: cmo crear,

implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos
de documentacin y control de la misma.
Responsabilidad de la direccin: en cuanto a compromiso con el SGSI,

gestin y provisin de recursos y concienciacin, formacin y capacitacin del
personal.
Auditorias internas del SGSI: cmo realizar las auditorias internas de control
y cumplimiento.
Revisin del SGSI por la direccin: cmo gestionar el proceso peridico de

revisin del SGSI por parte de la direccin.
Mejora del SGSI: mejora continua, acciones correctivas y acciones

preventivas.
Objetivos de control y controles: anexo normativo que enumera los objetivos

de control y controles que se encuentran detallados en la norma ISO
27002:2005.
Relacin con los Principios de la OCDE: anexo informativo con la

correspondencia entre los apartados de la ISO 27001 y los principios de buen
gobierno de la OCDE.
Correspondencia con otras normas: anexo informativo con una tabla de

correspondencia de clusulas con ISO 9001 e ISO 14001.
Bibliografa: normas y publicaciones de referencia.
B.- ISO 27002:2005 (anterior ISO 17799:2005):
Introduccin: conceptos generales de seguridad de la informacin y SGSI.
Campo de aplicacin: se especifica el objetivo de la norma.
Trminos y definiciones: breve descripcin de los trminos ms usados en la

norma.
Estructura del estndar: descripcin de la estructura de la norma.
21
Evaluacin y tratamiento del riesgo: indicaciones sobre cmo evaluar y tratar

los riesgos de seguridad de la informacin.
Poltica de seguridad: documento de poltica de seguridad y su gestin.
Aspectos organizativos de la seguridad de la informacin: organizacin interna;

terceros.
Gestin de activos: responsabilidad sobre los activos; clasificacin de la

informacin.
Seguridad ligada a los recursos humanos: antes del empleo; durante el

empleo; cese del empleo o cambio de puesto de trabajo.
Seguridad fsica y ambiental: reas seguras; seguridad de los equipos.
Gestin
de
comunicaciones
operaciones:
responsabilidades
procedimientos de operacin; gestin de la provisin de servicios por terceros;

planificacin y aceptacin del sistema; proteccin contra cdigo malicioso y
descargable; copias de seguridad; gestin de la seguridad de las redes;
manipulacin de los soportes; intercambio de informacin; servicios de
comercio electrnico; supervisin.
Control de acceso: requisitos de negocio para el control de acceso; gestin de

acceso de usuario; responsabilidades de usuario; control de acceso a la red;
control de acceso al sistema operativo; control de acceso a las aplicaciones y a la
informacin; ordenadores porttiles y teletrabajo.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin:

requisitos de seguridad de los sistemas de informacin; tratamiento correcto de
las aplicaciones; controles criptogrficos; seguridad de los archivos de sistema;
seguridad en los procesos de desarrollo y soporte; gestin de la vulnerabilidad
tcnica.
Gestin de incidentes de seguridad de la informacin: notificacin de

eventos y puntos dbiles de la seguridad de la informacin; gestin de incidentes
de seguridad de la informacin y mejoras.
Gestin de la continuidad del negocio: aspectos de la seguridad de la

informacin en la gestin de la continuidad del negocio.
22
Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las

polticas y normas de seguridad y cumplimiento tcnico; consideraciones sobre
las auditorias de los sistemas de informacin.
Bibliografa: normas y publicaciones de referencia.
2.1.1.4. Beneficios
Establecimiento de una metodologa de gestin de la seguridad clara y estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de informacin.
Los clientes tienen acceso a la informacin a travs medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratgicos por la garanta de calidad y
confidencialidad comercial.
Las auditorias externas ayudan cclicamente a identificar las debilidades del sistema
y las reas a mejorar.
Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001,
OHSAS 1800).
Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
Conformidad con la legislacin vigente sobre informacin personal, propiedad
intelectual y otras.
Imagen de empresa a nivel internacional y elemento diferenciador de la
competencia.
Confianza y reglas claras para las personas de la organizacin.
Reduccin de costes y mejora de los procesos y servicio.
Aumento de la motivacin y satisfaccin del personal.
Aumento de la seguridad en base a la gestin de procesos en vez de en la compra
sistemtica de productos y tecnologas.
2.1.2. Sistema de Gestin de la Seguridad de la Informacin
El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central
sobre el que se construye ISO 27001.
La gestin de la seguridad de la informacin debe realizarse mediante un proceso
sistemtico, documentado y conocido por toda la organizacin.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el caso de
disponer de un presupuesto ilimitado. El propsito de un sistema de gestin de la
23
seguridad de la informacin es, por tanto, garantizar que los riesgos de la seguridad de
la informacin sean conocidos, asumidos, gestionados y minimizados por la
organizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente y
adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas.
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su
confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su
tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la
base sobre la que se cimienta todo el edificio de la seguridad de la informacin:
Confidencialidad: La informacin no se pone a disposicin ni se revela a

individuos, entidades o procesos; esta protegida de personas no autorizadas.
Integridad: La informacin se muestra como se pretende sin
modificaciones
inapropiadas.
Disponibilidad: Acceso y utilizacin de la informacin y los sistemas de tratamiento

de la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
Para garantizar que la seguridad de la informacin es gestionada correctamente, se
debe hacer uso de un proceso sistemtico, documentado y conocido por toda la
organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.
2.1.2.1. Para qu sirve un SGSI?

El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer
estas polticas y procedimientos en relacin a los objetivos de negocio de la
organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel
de riesgo que la propia organizacin ha decidido asumir.
24
Ilustracin 02: Riesgos - SGSI

El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por s

mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la
organizacin, con la gerencia al frente, tomando en consideracin tambin a clientes y
proveedores de bienes y servicios. El modelo de gestin de la seguridad debe
contemplar unos procedimientos adecuados y la planificacin e implantacin de
controles de seguridad basados en una evaluacin de riesgos y en una medicin de la
eficacia de los mismos.
2.1.2.2. Qu incluye un SGSI?
En el mbito de la gestin de la calidad segn ISO 9001, siempre se ha mostrado
grficamente la documentacin del sistema como una pirmide de cuatro niveles. Es
posible trasladar ese modelo a un Sistema de Gestin de la Seguridad de la
Informacin basado en ISO 27001 de la siguiente forma:
Ilustracin 03: Documentacin del Sistema de Seguridad

Documentos de Nivel 1
25
Manual de seguridad: Documentacin que inspira y dirige todo el sistema, el que

expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas
y directrices principales, etc., del SGSI.
Procedimientos: Documentacin en el nivel operativo, que aseguran que se
realicen de forma eficaz la planificacin, operacin y control de los procesos de
seguridad de la informacin.
Instrucciones, checklists y formularios: Documentacin que describen cmo se
realizan las tareas y las actividades especficas relacionadas con la seguridad de la
informacin.
Registros: Documentacin que proporcionan una evidencia objetiva del
cumplimiento de los requisitos del SGSI; estn asociados a documentos de los
otros tres niveles como output que demuestra que se ha cumplido lo indicado en
los mismos.
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI,

incluyendo una identificacin clara de las dependencias, relaciones y lmites
que existen entre el alcance y aquellas partes que no hayan sido consideradas
(en aquellos casos en los que el mbito de influencia del SGSI considere un
subconjunto de la organizacin como delegaciones, divisiones, reas,
procesos, sistemas o tareas concretas).
Poltica y objetivos de seguridad: Documento de contenido genrico que

establece el compromiso de la direccin y el enfoque de la organizacin en la
gestin de la seguridad de la informacin.
Procedimientos y mecanismos de control que soportan al SGSI: Aquellos

procedimientos que regulan el propio funcionamiento del SGSI.
26
Enfoque de evaluacin de riesgos: Descripcin de la metodologa a emplear

(cmo se realizar la evaluacin de las amenazas, vulnerabilidades,
probabilidades de ocurrencia e impactos en relacin a los activos de
informacin contenidos dentro del alcance seleccionado), desarrollo de
criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables .
Informe de evaluacin de riesgos: Estudio resultante de aplicar la

metodologa de evaluacin anteriormente mencionada a los activos de
informacin de la organizacin.
Plan de tratamiento de riesgos: Documento que identifica las acciones de la

direccin, los recursos, las responsabilidades y las prioridades para gestionar
los riesgos de seguridad de la informacin, en funcin de las conclusiones
obtenidas de la evaluacin de riesgos, de los objetivos de control identificados,
de los recursos disponibles, etc.
Procedimientos documentados: Todos los necesarios para asegurar la

planificacin, operacin y control de los procesos de seguridad de la
informacin, as como para la medida de la eficacia de los controles
implantados.
Registros: Documentos que proporcionan evidencias de la conformidad con

los requisitos y del funcionamiento eficaz del SGSI.
Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas

inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de
evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.
2.1.2.3. Qu aspectos de seguridad cubre un SGSI?
27
Ilustracin 04: Aspectos que cubre el SGSI
Niveles de seguridad:
Lgica: Confidencialidad, integridad y disponibilidad del software y datos de un
SGI.
Organizativa: Relativa a la prevencin, deteccin y correccin de riesgos.
Fsica: Proteccin de elementos fsicos de las instalaciones: servidores, PCs, etc.
Legal: Cumplimiento de la legislacin vigente.
2.1.2.4 Cmo se implementa un SGSI?
Se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.
Ilustracin 05: Modelo de Desarrollo del SGSI
2.1.2.5. Revisin del SGSI

A la direccin de la organizacin se le asigna tambin la tarea de, al menos una vez al
ao, revisar el SGSI, para asegurar que contine siendo adecuado y eficaz. Para ello,
debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las
que se pueden enumerar:
Resultados de auditorias y revisiones del SGSI.
Observaciones de todas las partes interesadas.
28
Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el

rendimiento y eficacia del SGSI.
Informacin sobre el estado de acciones preventivas y correctivas.
Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones
de riesgos anteriores.
Resultados de las mediciones de eficacia.
Estado de las acciones iniciadas a raz de revisiones anteriores de la direccin.
Cualquier cambio que pueda afectar al SGSI.
Recomendaciones de mejora.
Basndose en todas estas informaciones, la direccin debe revisar el SGSI y tomar
decisiones y acciones relativas a:
Mejora de la eficacia del SGSI.
Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.
Modificacin de los procedimientos y controles que afecten a la seguridad de la
informacin, en respuesta a cambios internos o externos en los requisitos de
negocio, requerimientos de seguridad, procesos de negocio, marco legal,
obligaciones contractuales, niveles de riesgo y criterios de aceptacin de riesgos.
Necesidades de recursos.
Mejora de la forma de medir la efectividad de los controles.
2.1.3. Anlisis y Evaluacin del Riesgo
Es un conjunto de pasos metodolgicos que debe desarrollar la empresa, que abarca
desde que se identifican los activos de informacin hasta que se establece la importancia
de las amenazas por su impacto en el riesgo de los activos. En esencia el anlisis del
riesgo busca estimar la magnitud del riesgo que afecta a los activos de informacin. A
continuacin mostramos la secuencia de pasos metodolgicos que sigue el anlisis del
riesgo.
IDENTIFICACIN
DE ACTIVOS DE
INFORMACIN
TASACIN DE
ACTIVOS DE
INFORMACIN
IDENTIFICACION DE
AMENAZAS Y
POSIBILIDADES DE
OCURRENCIA
IDENTIFICACIN DE
VULNERABILIDADES Y
POSIBILIDAD DE SER
EXPLOTADAS POR LAS
AMENAZAS
ESTIMACIN DE LA
EXPOSICIN AL
29
RIESGO DE LOS
ACTIVOS DE
INFORMACIN
PRIORIZACIN DE
LAS AMENAZAS
POR SU
EXPOSICIN AL
RIESGO
Ilustracin 06: Pasos para la Metodologa De Anlisis de Riesgos

Fuente: www.centrum.pucp.edu.pe/excelencia
Una vez concluido el anlisis del riesgo es deber realizar la evaluacin del riesgo.
La empresa debe comparar los niveles calculados de riesgo con una escala de riesgo
establecida especialmente para dicho efecto. (BS 7799-3:2006). Los criterios para
efectuar la evaluacin, que usualmente se utilizan, son: impacto econmico del riesgo
y posibilidad de interrumpir actividades de la empresa. El propsito fundamental de
realizar la evaluacin del riesgo, es la de identificar el nivel de significado que el riesgo
de los activos tienen en la organizacin y poder jerarquizarlos por su importancia.
2.1.3.1. Tratamiento del Riesgo y la Toma de Decisiones Gerenciales
Una vez que el riesgo ha sido evaluado y la empresa ha determinado cuales son
aquellos activos de informacin sujetos a riesgo con significado para la firma, debe
tomar la decisin de elegir la estrategia adecuada para tratar al riesgo.
Los riesgos pueden ser gestionados a travs de una serie de combinaciones de
prevencin y controles de deteccin, tcticas de aceptacin o realizando la
transferencia a otra empresa.
La gerencia para tomar la decisin sobre como tratar el riesgo, siempre estar
influenciada por dos factores, los cuales deben ser siempre bien analizados:
El posible impacto si el riesgo se cristalizara.
La posibilidad de su ocurrencia.
Al margen de considerar el impacto financiero del riesgo en la empresa, la firma debe
considerar el costo de actuar sobre alguna de las opciones del tratamiento del riesgo.
La organizacin debe asegurarse que existe un buen balance entre poder alcanzar
30
seguridad y los beneficios de proteccin, sin perjudicar la rentabilidad ni la

competitividad de la empresa.
A.- Opciones para el Tratamiento del Riesgo
Para el tratamiento del riesgo existen cuatro estrategias, que son las ms difundidas a
nivel internacional. A continuacin se har una breve descripcin de cada una de ella:
A.1. Reduccin del Riesgo
Para los riegos donde la opcin de reducirlos ha sido escogida, se deben
implementar los apropiados controles para disminuirlos a los niveles de
aceptacin previamente indefinidos por la empresa. Los controles deben obtenerse
del anexo A del ISO 270001:2005. Al identificar el nivel de los controles es
importante considerar los requerimientos de seguridad relacionados con el riesgo,
as como la vulnerabilidad y las amenazas previamente identificadas.
Los controles pueden reducir los riesgos valorados en varias maneras:
Reduciendo la posibilidad que la vulnerabilidad sea explotada por las
amenazas.
Reduciendo la posibilidad de impacto si el riesgo ocurre detectando eventos
no deseados, reaccionado y recuperndose de ellos.
Cualquiera de estas maneras que la empresa escoja para controlar los riesgos, es una
decisin que depender de una serie de factores, tales como: requerimientos
comerciales de la organizacin, el ambiente, y las circunstancias en que la firma
requiere operar.
A.2.- Aceptacin del Riesgo
En muchas ocasiones a la empresa se le presentan circunstancias donde no se
pueden encontrar controles ni tampoco es factible disearlos o el costo de
implantar el control es mayor que las consecuencias del riesgo. En estas
circunstancias una decisin razonable pudiera ser la de inclinarse por la aceptacin
del riesgo, y vivir con las consecuencias si el riesgo ocurriese.
Cuando la situacin se presenta donde es muy costoso para la empresa mitigar el
riesgo a travs de los controles o las consecuencias del riesgo son devastadoras
para la organizacin, se deben visualizar las opciones de transferencia de riesgo
o la de evitar el riesgo.
31
A.3.- Transferencia del Riesgo

La transferencia del riesgo, es una opcin para la empresa, cuando es muy difcil,
tanto tcnica como econmicamente para la organizacin llevar al riesgo a un
nivel aceptable. En estas circunstancias podra ser econmicamente viable,
transferir el riesgo a una aseguradora.
Se debe estar pendiente al escoger esta opcin de tratamiento de riesgo, que con
las empresas aseguradoras, siempre existe un elemento de riesgo residual.
Siempre existen condiciones con las aseguradoras de exclusiones, las cuales se
aplicaran dependiendo del tipo de ocurrencia, bajo la cual no se provee una
indemnizacin. La transferencia, del riesgo por lo tanto, debe ser muy bien
analizada para as poder identificar con precisin, cuando el riesgo actual esta
siendo transferido.
Otra posibilidad es la de utilizar a terceras partes para el manejo de activos o
procesos considerados crticos. Claro esta, en la medida que exista la preparacin
para dicho efecto, por parte de la empresa que ofrece los servicios de
tercerizacin. Lo que debe estar claro, es que al tercerizar servicios, el riesgo
residual, no se delega, es responsabilidad de la empresa.
A.4.- Evitar el Riesgo
La opcin de evitar el riesgo, describe cualquier accin donde las actividades del
negocio, o las maneras de conducir la gestin comercial del negocio, se
modifican, para as poder evitar la ocurrencia del riesgo.
Las maneras tradicionales para implementar esta opcin son:
Dejar de conducir ciertas actividades.
Desplazar activos de informacin de un rea riesgosa a otra.
Decidir no procesar cierto tipo de informacin i no se consigue la
proteccin adecuada.
32
La decisin por la opcin de evitar el riesgo debe ser balanceada contra las
necesidades financieras y comerciales de la empresa.
Ilustracin 07: Gestin de Riesgos
2.1.4. Controles de seguridad

Los controles de seguridad son polticas, procedimientos, prcticas y estructuras
organizacionales diseadas para garantizar razonablemente que los objetivos del
negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y
corregidos. El objetivo de control en tecnologas de informacin se define como una
sentencia del resultado o propsito que se desea alcanzar implementando
procedimientos de control en una actividad de tecnologa de informacin particular.
El gobierno de las tecnologas de informacin se define como una estructura de
relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus
objetivos al aadir valor mientras se equilibran los riesgos contra el retorno sobre las
tecnologas de informacin y sus procesos.
Lo que es necesario recalcar aqu es que los controles sern seleccionados e
implementados de acuerdo a los requerimientos identificados por la valoracin del
33
riesgo y los procesos de tratamiento del riesgo. Es der, que de esta actividad surgir la
primera decisin acerca de los controles que se debern abordar.
La preparacin y planificacin de SGSI, son pasos importantes, pero en definitiva, lo
importante de todo este proceso es que desencadena en una serie de controles (o
mediciones) a considerar y documentar, que se puede afirmar, son uno de los aspectos
fundamentales del SGSI (junto con la Valoracin de riesgo). Cada uno de ellos se
encuentra en estrecha relacin a todo lo que especifica la norma ISO/IEC 17799:2005
en los puntos 5 al 15, y tal vez estos sean el mximo detalle de afinidad entre ambos
estndares. La evaluacin de cada uno de ellos debe quedar claramente documentada, y
muy especialmente la de los controles que se consideren excluidos de la misma. El
estndar especifica en su Anexo A el listado completo de cada uno de ellos,
agrupndolos en once dominios. Para cada uno de ellos define el objetivo y lo describe
brevemente.
Cabe aclarar que el anexo A proporciona una buena base de referencia, no siendo
exhaustivo, por lo tanto se pueden seleccionar ms an. Es decir, estos 133 controles
(hoy) son los mnimos que se debern aplicar, o justificar su no aplicacin, pero esto no
da por completa la aplicacin de la norma si dentro del proceso de anlisis de riesgos
aparecen aspectos que quedan sin cubrir por algn tipo de control. Por lo tanto, si a
travs de la evaluacin de riesgos se determina que es necesaria la creacin de nuevos
controles, la implantacin del SGSI impondr la inclusin de los mismos, sino
seguramente el ciclo no estar cerrado y presentar huecos claramente identificables.
Los controles que el anexo A de esta norma propone quedan agrupados y numerados de
la siguiente forma:
A.5 Poltica de seguridad
A5.1 Poltica de seguridad de la informacin
A.6 Organizacin de la informacin de seguridad
A.6.1 Organizacin interna
A.6.2 Terceros
A.7 Administracin de recursos
A.7.1 Responsabilidad por los activos
A.7.2 Clasificacin de la informacin
34
A.8 Seguridad de los recursos humanos

A.8.1 Antes del empleo
A.8.2 Durante el empleo
A.8.3 Terminacin o cambio de empleo
A.9 Seguridad fsica y del entorno
A.9.1 reas aseguradas
A.9.2 Seguridad del equipo
A.10 Administracin de las comunicaciones y operaciones
A.10.1 Procedimientos y responsabilidades operativas
A.10.2
Gestin de servicios de terceros
A.10.3
Planeamiento y aceptacin de sistemas
A.10.4
Proteccin contra cdigo malicioso y cdigo mvil
A.10.5
Respaldo
A.10.6
Gestin de seguridad de redes
A.10.7
Manipulacin de medios
A.10.8
Intercambio de informacin
A.10.9
Sistemas de informacin de negocios
A.10.10 Monitoreo
A.11 Control de accesos
A.11.1 Requisito de negocios para el control de acceso
A.11.2 Gestin del acceso de usuarios
A.11.3 Responsabilidades de los usuarios
A.11.4 Control del acceso a redes
A.11.5 Control de acceso al sistema operativo
A.11.6 Control del acceso a aplicacin e informacin
A.11.7 Computacin mvil y teletrabajo
A.12 Adquisicin de sistemas de informacin, desarrollo y mantenimiento
A.12.1 Requisitos de seguridad para sistemas de informacin
A.12.2 Procesamiento correcto en aplicaciones
A.12.3 Controles criptogrficos
A.12.4 Seguridad de archivos del sistema
35
A.12.5 Seguridad en los procesos de desarrollo y soporte

A.12.6 Gestin de vulnerabilidades tcnicas
A.13 Administracin de los incidentes de seguridad
A.13.1 Reportes de eventos y debilidades de seguridad de la informacin
A.13.2 Gestin de incidentes y mejoras de seguridad de la informacin
A.14 Administracin de la continuidad de negocio
A.14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad de
negocios
A.15 Cumplimiento (legales, de estndares, tcnicas y auditorias)
A.15.1 Cumplimiento de requisitos legales
A.15.2 Cumplimiento de las polticas y normas de seguridad, y cumplimiento
tcnico
A.15.3 Consideraciones de auditoria de sistemas de informacin
(Ver Anexo 01)
2.2. Marco Conceptual

C.1. ISO 27000: Se desarrollo por ISO/IEC JTC/SC27 una familia de estndares
internacionales para sistemas de gestin de la seguridad de la informacin (SGSI),
la que incluye requerimientos de sistemas de gestin de seguridad de la
informacin, gestin de riesgo, mtricas y medidas, guas de implantacin,
vocabulario y mejora continua.
C.2. ISO
(Organizacin
Internacional
de
Normalizacin)
es
el
mayor
desarrollador y editor de Normas Internacionales: ISO is a network of the

national standards institutes of 157 countries , one member per country, with a
Central Secretariat in Geneva, Switzerland, that coordinates the system. ISO
deriva del griego isos que significa igual. Sea cual sea el pas, cualquiera que
sea el idioma, la forma corta del nombre de la organizacin es siempre la ISO. La
ISO es una organizacin no gubernamental que forma un puente entre los sectores
pblico y privado. On the one hand, many of its member institutes are part of the
36
governmental structure of their countries, or are mandated by their government.

ISO es una red de los organismos nacionales de normalizacin de 157 pases, un
miembro por pas, con una Secretara Central en Ginebra, Suiza, que coordina el
sistema.ISO is a non-governmental organization that forms a bridge between the
public and private sectors. Therefore, ISO enables a consensus to be reached on
solutions that meet both the requirements of business and the broader needs of
society.
C.3. AENOR (Asociacin Espaola de Normalizacin y Certificacin. Organismo
certificador Espaol): Es una entidad dedicada al desarrollo de la normalizacin
y la certificacin en todos los sectores industriales y de servicios. Tiene como
propsito contribuir a mejorar la calidad y la competitividad de las empresas, as
como proteger el medio ambiente. Fue designada para llevar a cabo estas
actividades por la Orden del Ministerio de Industria y Energa, de 26 de febrero de
1986, de acuerdo con el Real Decreto 1614/1985 y reconocida como organismo de
normalizacin y para actuar como entidad de certificacin por el Real Decreto
2200/1995, en desarrollo de la Ley 21/1992, de Industria.
C.4. La Seguridad de la informacin: es el conjunto de estndares, procesos,
procedimientos, estrategias, recursos informticos, recursos educativos y recurso
humano integrado para proveer toda la proteccin debida y requerida a la
informacin y a los recursos informticos de una empresa, institucin o agencia
gubernamental.
C.5. La informacin: es un recurso o activo que, como otros recursos importantes del
negocio, es esencial a una organizacin y a su operacin y por consiguiente
necesita ser protegido adecuadamente.
C.6. Concienciacin de la seguridad de informacin: Se debe ser consciente de la
necesidad de contar con sistemas y redes de informacin seguros, y tener
conocimiento de los medios para ampliar la seguridad. Deben tener el
conocimiento de los riesgos y de los mecanismos disponibles de salvaguardia, que
son el primer paso en la defensa de la seguridad de los sistemas y redes de
informacin. Estos sistemas y redes de informacin pueden verse afectados tanto
37
por riesgos internos como externos. Los participantes deben comprender que los
fallos en la seguridad pueden daar significativamente los sistemas y redes que
estn bajo su control.
C.7. Daos potenciales: La interceptacin ilegal puede causar daos tanto por
intrusin en la vida privada de las personas como por la explotacin de los datos
interceptados, como palabras clave o datos de las tarjetas de crdito, para usos
comerciales o sabotaje. Este es uno de los principales frenos del desarrollo del
comercio electrnico en Europa.
C.8. Soluciones potenciales: La defensa contra la interceptacin podr realizarse a
travs de los operadores que deben velar por la seguridad de la red con arreglo a
lo dispuesto en la Directiva 97/66 CE1 y de los usuarios que pueden encriptar los
datos transmitidos por la red.
C.9. La seguridad de las redes es un problema dinmico: La velocidad en el cambio
de la tecnologa plantea nuevos desafos de forma permanente. Los problemas que
ayer se planteaban desaparecen y las soluciones actuales de dichos problemas
dejan de tener sentido. Casi cada da aparecen en el mercado aplicaciones,
servicios y productos nuevos.
C.10. Conformidad con la legislacin: Evitar el incumplimiento de cualquier ley,
estatuto, regulacin u obligacin contractual y de cualquier requerimiento de
seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de
la organizacin y con la normativa derivada de la misma. Maximizar la
efectividad y minimizar la interferencia de o desde el proceso de auditoria de
sistemas.
2.3. Marco Metodolgico del desarrollo de la investigacin
2.3.1. Modelo del Sistema de Gestin de Seguridad de la Informacin PDCA (Plan,
Do,
Check, Act)
38
Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin

en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de
gestin de la calidad.
Ilustracin 08: Modelo de Desarrollo del SGSI

Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.

Act (actuar): mantener y mejorar el SGSI.
2.3.1.1. Arranque del proyecto

Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar
un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la
organizacin. No slo por ser un punto contemplado de forma especial por la
norma sino porque el cambio de cultura y concienciacin que lleva consigo el
proceso hacen necesario el impulso constante de la Direccin.
Planificacin, fechas, responsables: como en todo proyecto de envergadura, el
tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre
el resto de fases.
39
2.3.1.2. Plan: Establecer el SGSI

Definir el alcance del SGSI en trminos del negocio, la organizacin, su
localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier
exclusin. Definir el alcance y los lmites del SGSI (el SGSI no tiene por qu
abarcar toda la organizacin; de hecho, es recomendable empezar por un alcance
limitado).
Definir una poltica de seguridad que:
Incluya el marco general y los objetivos de seguridad de la informacin de la

organizacin;
Considere requerimientos legales o contractuales relativos a la seguridad de la

informacin;
Est alineada con el contexto estratgico de gestin de riesgos de la

organizacin en el que se establecer y mantendr el SGSI;
Establezca los criterios con los que se va a evaluar el riesgo;
Est aprobada por la direccin.
La poltica de seguridad es un documento muy general, una especie de "declaracin

de intenciones" de la Direccin, por lo que no pasar de dos o tres pginas.
Definir una metodologa de evaluacin del riesgo apropiada para para el SGSI y
las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y
determinar el nivel de riesgo aceptable. Lo primordial de esta metodologa es que
los resultados obtenidos sean comparables y repetibles. Existen muchas
metodologas de evaluacin de riesgos aceptadas internacionalmente; la
organizacin puede optar por una de ellas, hacer una combinacin de varias o
crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales
sobre cmo definirla (en el futuro, ISO 27005 proporcionar ayuda en este
sentido). El riesgo nunca es totalmente eliminable -ni sera rentable hacerlo-, por
lo que es necesario definir una estrategia de aceptacin de riesgo.
Metodologa
M.01. COBIT
40
M.01.1. La necesidad de control en tecnologas de la informacin:

Las organizaciones exitosas requieren una apreciacin y un entendimiento bsico
de los riesgos y limitaciones de TI a todos los niveles dentro de la empresa con el
fin de obtener una efectiva direccin y controles adecuados. La administracin
(management)
debe decidir cual es la inversin razonable en seguridad y en
control en TI y cmo lograr un balance entre riesgos e inversiones en control, en

un ambiente de TI frecuentemente impredecible. Mientras la seguridad y los
controles en los sistemas de informacin ayudan a administrar los riesgos, no los
eliminan. Adicionalmente, el exacto nivel de riesgo nunca puede ser conocido ya
que siempre existe un grado de incertidumbre. Finalmente, la administracin debe
decidir el nivel de riesgo que est dispuesta a aceptar. Juzgar cual puede ser el
nivel tolerable, particularmente cuando se tiene en cuenta el costo, puede ser una
decisin difcil para la administracin. Por esta razn, la Administracin
necesita un marco de referencia de las prcticas generalmente aceptadas de
control y seguridad de TI para compararlos contra el ambiente de TI
existente y planeado.
Ilustracin 09: Gobierno de Tecnologa de Informacin

Fuente: www.itgovemance.org
www.isaca.org
41
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y
administrar las actividades de TI para alcanzar un balance efectivo entre el manejo
de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita
identificar las actividades mas importantes que deben ser desarrolladas, midiendo el
progreso hacia el cumplimiento de las metas y determinando que tan bien se estn
desarrollando los procesos de TI. Aun ms, necesita tener la habilidad de evaluar el
nivel de madurez de la organizacin contra las mejores prcticas industriales y los
modelos internacionales. Para soportar estas necesidades la Gerencia necesita las
Directrices Gerenciales de COBIT en las cuales se han identificado Factores
Crticos de xito especficos, Indicadores Claves por Objetivo e Indicadores Clave
de Desempeo y un Modelo de Madurez asociado al Gobierno de TI.
M.01.2. Orientacin a objetivos de negocio:
El CobiT est alineado con los Objetivos del Negocio. Los Objetivos de Control
muestran una relacin clara y distintiva con los objetivos del negocio con el fin
de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de
auditora. Los Objetivos de Control estn definidos con una orientacin a los
procesos, siguiendo el principio de reingeniera de negocios. En dominios y
procesos identificados, se identifica tambin un objetivo de control de alto nivel
para documentar
el enlace con los objetivos del negocio. Adicionalmente, se
establecen consideraciones y guas para definir e implementar el Objetivo de

Control de TI. El Marco de Referencia de COBIT consta de Objetivos de Control
de TI de alto nivel y de una estructura general para su clasificacin y presentacin.
La teora subyacente para la clasificacin seleccionada se refiere a que existen, en
esencia, tres niveles de actividades de TI al considerar la administracin de sus
recursos.
42
Ilustracin 10: Niveles de Actividades de Tecnologa de Informacin

www.isaca.org
Por lo tanto, el Marco de Referencia conceptual puede ser enfocado desde tres
puntos estratgicos: (1) Criterios de informacin, (2) recursos de TI y (3) procesos
de TI. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra
a continuacin:
Ilustracin 11: Niveles de Actividades de Tecnologa de Informacin

www.isaca.org
Con lo anterior como marco de referencia, los dominios son identificados utilizando
las palabras que la gerencia utilizara en las actividades cotidianas de la
organizacin y no la jerga o terminologa del auditor. Por lo tanto, cuatro grandes
dominios
son
identificados:
planeacin
organizacin,
adquisicin
implementacin; entrega y soporte y monitoreo. Las definiciones para los dominios

mencionados son las siguientes:
Planeacin y organizacin
Este dominio cubre las estrategias y las tcticas y se refiere a la identificacin
de la forma en que la tecnologa de informacin puede contribuir de la
mejor manera al logro de los objetivos del negocio. Adems, la consecucin
de la visin estratgica necesita ser planeada, comunicada y administrada
desde diferentes perspectivas.
Adquisicin e implementacin
43
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser

identificadas, desarrolladas o adquiridas,
as
como
implementadas e
integradas dentro del proceso del negocio. Adems, este dominio cubre los
cambios y el mantenimiento realizados a sistemas existentes, para asegurar
que el ciclo de vida es continuo para esos sistemas
Entrega y soporte
En este dominio se hace referencia a la entrega o distribucin de los
servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por la seguridad en los sistemas y la continuidad de
las operaciones as como aspectos sobre entrenamiento. Con el fin de
proveer servicios, debern establecerse los procesos de soporte necesarios.
Este dominio incluye el procesamiento de los datos el cual es ejecutado por los
sistemas de aplicacin, frecuentemente clasificados como controles de
aplicacin.
Monitoreo
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo
para verificar su calidad y suficiencia en cuanto a los requerimientos de
control
El Gobierno de TI debe ser entrenado por la organizacin para asegurar que
los recursos de TI sern administrados por una coleccin de procesos de TI
agrupados naturalmente. El siguiente diagrama ilustra este concepto.
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS
44
Ilustracin 12: Procesos de Tecnologa de Informacin Cobit Definicin en sus cuatro dominios
www.isaca.org
45
M.01.3. Objetivos de control de la tabla resumen:

La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de
cules criterios de informacin son impactados por los objetivos de alto nivel,
as como una indicacin de cules recursos de TI son aplicables.
Ilustracin 13: Objetivos de Control

www.isaca.org
M.02. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de

Informacin - MAGERIT versin 2
M02.1. Introduccin a Magerit
La razn de ser de Magerit est directamente relacionada con la generalizacin del
uso de los medios electrnicos, informticos y telemticos, que supone unos
beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos riesgos
que deben minimizarse con medidas de seguridad que generen confianza en el uso
de tales medios. Esta metodologa interesa a todos aquellos que trabajan con
informacin mecanizada y los sistemas informticos que la tratan.
M.02.2. Objetivos de Magerit
Magerit persigue los siguientes objetivos:
Directos:
Concienciar a los responsables de los sistemas de informacin de la
existencia de riesgos y de la necesidad de atajarlos a tiempo

Ofrecer un mtodo sistemtico para analizar tales riesgos
Ayudar a descubrir y planificar las medidas oportunas para mantener los
riesgos bajo control
Indirectos:
Preparar a la Organizacin para procesos de evaluacin, auditora,

certificacin o acreditacin, segn corresponda en cada caso
M.02.3. Organizacin de las guas

Esta versin 2 de Magerit se ha estructurado en tres libros: ste, que describe El
Mtodo, un Catlogo de Elementos y una Gua de Tcnicas. Esta gua
describe la metodologa desde tres ngulos:
El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo
y para gestionar su mitigacin. Es una presentacin netamente conceptual.

El captulo 3 describe las tareas bsicas para realizar un proyecto de anlisis
y gestin de riesgos, entendiendo que no basta con tener los conceptos
claros, sino que es conveniente pautar roles, actividades, hitos y
documentacin para que la realizacin del proyecto de anlisis y gestin de
riesgos est bajo control en todo momento.

El captulo 4 aplica la metodologa al caso del desarrollo de sistemas de
informacin, en el entendimiento que los proyectos de desarrollo de sistemas
deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos
a que estn expuestos, como los riesgos que las propias aplicaciones
introducen en el sistema.
Como complemento, el captulo 5 desgrana una serie de aspectos prcticos,
derivados de la experiencia acumulada en el tiempo para la realizacin de un
anlisis y una gestin realmente efectivos.

Los apndices recogen material de consulta: un glosario, referencias
bibliogrficas, referencias al marco legal, marco normativo de evaluacin y
certificacin, las caractersticas que se requieren de las herramientas,
presentes o futuras, para soportar el proceso de anlisis y gestin de riesgos,
una gua comparativa de cmo Magerit versin 1 ha evolucionado en esta
versin 2, por ultimo, se desarrolla un caso prctico como ejemplo
M.02.4. Evaluacin, certificacin, auditoria y acreditacin

El anlisis de riesgos es una piedra angular de los procesos de evaluacin,
certificacin, auditoria y acreditacin que formalizan la confianza que merece un
sistema de informacin. Dado que no hay dos sistemas de informacin iguales, la
evaluacin de cada sistema concreto requiere amoldarse a los componentes que lo
constituyen. En anlisis de riesgos proporciona una visin singular de cmo es
cada sistema, qu valor posee, a qu amenazas est expuesto y de qu
salvaguardas se ha dotado. Es pues el anlisis de riesgos paso obligado para poder
llevar a cabo todas las tareas mencionadas, que se relacionan segn el siguiente
esquema:
Ilustracin 14: Marcos normativos relativos a sistemas de gestin y productos de seguridad

Fuente: http://publicaciones.administracion.es
M.02.5. Realizacin del anlisis y de la gestin

Este captulo expone de forma conceptual en qu consiste esto del anlisis de
riesgos y aquello de su gestin, qu se busca en cada momento y qu conclusiones
se derivan. Hay dos grandes tareas a realizar:
I. anlisis de riesgos, que permite determinar qu tiene la Organizacin y
estimar lo que podra pasar.
Elementos: Activos, amenazas, salvaguardas.

Con estos elementos se puede estimar: el impacto, el riesgo
El anlisis de riesgos permite analizar estos elementos de forma metdica para

llegar a conclusiones con fundamento. La siguiente figura recoge este primer
recorrido, cuyos pasos se detallan en las siguientes secciones:
Ilustracin 15: Pasos pautados para la realizacin de Anlisis de Riesgo

II. gestin de riesgos, que permite organizar la defensa concienzuda y prudente,

defendiendo para que no pase nada malo y al tiempo estando preparados para
atajar las emergencias, sobrevivir a los incidentes y seguir operando en las
mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un
nivel residual que la direccin asume. Informalmente, se puede decir que la
gestin de la seguridad de un sistema de informacin es la gestin de sus riesgos

y que el anlisis permite racionalizar dicha gestin.
M.02.6. Estructuracin del proyecto
Si en el captulo anterior se ha marcado de forma conceptual cmo llevar a cabo
un anlisis y una gestin de riesgos, en este capitulo se plasman aquellos
conceptos en componentes de un proyecto de anlisis y gestin de riesgos. Los
pasos se organizan en tres grandes procesos (preparacin, anlisis y gestin). Cada
proceso se organiza en actividades que, finalmente, se estructuran en tareas a
realizar. En cada tarea se indica lo que hay que hacer as como las posibles
dificultades para conseguirlo y la forma de afrontarla con xito.
Las tareas se detallan a continuacin y hay que adaptarlas:
1. Horizontalmente al alcance que se requiere.
2. Verticalmente a la profundidad oportuna.
A. Participantes:
Durante el desarrollo del proyecto AGR, desde su inicio a su terminacin, se
identifican los siguientes rganos colegiados:
Comit de Direccin
Comit de Seguimiento
Equipo de proyecto
Grupos de Interlocutores
Adems de dichos rganos colegiados, hay que identificar algunos roles
singulares:
Promotor
Director del Proyecto
Enlace operacional
B. Desarrollo del proyecto
En esta seccin se ordenan y formalizan las acciones a realizar a lo largo de un
proyecto AGR, estableciendo un marco normalizado de desarrollo. Este marco
de trabajo define: El proyecto se divide en tres grandes procesos, desglosndose
cada uno en una serie de actividades y estas, a su vez, en tareas con el grado de
detalle oportuno. Un proyecto AGR conlleva tres procesos:
Tabla 01: Procesos de un Proyecto AGR

Estos tres procesos no son necesariamente secuenciales. El proceso P1 es

claramente el iniciador del proyecto. El proceso P2 funciona como soporte del
proceso P3 en el sentido de que la gestin de riesgos (P3) es una tarea continua
soportada por las tcnicas de anlisis (P2). La gestin de riesgos supone siempre
la alteracin del conjunto de salvaguardas, bien porque aparecen nuevas
salvaguardas, bien porque se reemplazan unas por otras, bien porque se mejoran
las existentes. En definitiva, a lo largo del proceso P3 se recurrir a tareas del
proceso P2.
Ilustracin 16: Procesos de un Proyecto AGR

C. Visin global
Sin perjuicio de una exposicin detallada ms adelante, se relaciona a
continuacin el rbol completo de procesos, actividades y tareas que vertebran
un proyecto AGR.
Tabla 02: Visin Global de un Proyecto AGR

M.02.7. Desarrollo de sistemas de informacin

Las aplicaciones (software) constituyen un tipo de activos frecuente y nuclear para
el tratamiento de la informacin en general y para la prestacin de servicios
basados en aquella informacin. La presencia de aplicaciones en un sistema de

informacin es siempre una fuente de riesgo en el sentido de que constituyen un
punto donde se pueden materializar amenazas. A veces, adems, las aplicaciones
son parte de la solucin en el sentido de que constituyen una salvaguarda frente a
riesgos potenciales. En cualquier caso es necesario que el riesgo derivado de la
presencia de aplicaciones est bajo control.
El anlisis de los riesgos constituye una pieza fundamental en el diseo y
desarrollo de sistemas de informacin seguros. Es posible, e imperativo,
incorporar durante la fase de desarrollo las funciones y mecanismos que refuerzan
la seguridad del nuevo sistema y del propio proceso de desarrollo, asegurando su
consistencia y seguridad, completando el plan de seguridad vigente en la
Organizacin. Es un hecho reconocido que tomar en consideracin la seguridad
del sistema antes y durante su desarrollo es ms efectivo y econmico que tomarla
en consideracin a posteriori. La seguridad debe estar embebida en el sistema
desde su primera concepcin.
Se pueden identificar dos tipos de actividades diferenciadas:
SSI: actividades relacionadas con la propia seguridad del sistema de
informacin.
SPD: actividades que velan por la seguridad del proceso de desarrollo del
sistema de informacin.
Tras una primera exposicin sobre el desarrollo de aplicaciones en general, la
seccin 4.5 profundiza en su aplicacin a Mtrica versin 3. Mtrica ha sido
desarrollada por el CSAE como la Metodologa de Planificacin, Desarrollo y
Mantenimiento de sistemas de informacin.
A.
Ciclo de vida de las aplicaciones
Tpicamente, una aplicacin sigue un ciclo de vida a travs de varias fases:
Ilustracin 17: Ciclo de Vida de las Aplicaciones

B. Anlisis de riesgos: El mtodo permite identificar y valorar amenazas y

salvaguardas, derivando informacin de impacto y riesgo sobre la propia
aplicacin y los activos relacionados con ella.
C. Gestin de riesgos: El proceso P3 de gestin de riesgos recomienda
salvaguardas y evala el efecto de las salvaguardas desplegadas sobre el
impacto y el riesgo.
D. MTRICA versin 3: La metodologa MTRICA Versin 3 ofrece a las
Organizaciones un instrumento til para la sistematizacin de las actividades
que dan soporte al ciclo de vida del software dentro del marco que desea
alcanzar.
Ilustracin 18: MTRICA versin 3 identifica 3 procesos, 5 subprocesos y 4 interfaces

PSI Planificacin del sistema de informacin

EVS Estudio de viabilidad del sistema
ASI Anlisis del sistema de informacin
DSI Diseo del sistema de informacin.
CSI Construccin del sistema de informacin
IAS Implantacin y aceptacin del sistema
MSI Mantenimiento del sistema de informacin
Identificar los riesgos:
Identificar los activos que estn dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;
Identificar las amenazas en relacin a los activos;
Identificar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas;
Identificar los impactos en la confidencialidad, integridad y disponibilidad
de los activos.
Analizar y evaluar los riesgos:
Evaluar el impacto en el negocio de un fallo de seguridad que suponga la
prdida de confidencialidad, integridad o disponibilidad de un activo de
informacin;
Evaluar de forma realista la probabilidad de ocurrencia de un fallo de
seguridad en relacin a las amenazas, vulnerabilidades, impactos en los
activos y los controles que ya estn implementados;
Estimar los niveles de riesgo;
Determinar, segn los criterios de aceptacin de riesgo previamente
establecidos, si el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
Aplicar controles para el tratamiento el riesgo en funcin de la evaluacin
anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo
en cuenta que las exclusiones habrn de ser justificadas) y otros controles
adicionales si se consideran necesarios.
Aprobacin por parte de la Direccin del riesgo residual y autorizacin de

implantar el SGSI: hay que recordar que los riesgos de seguridad de la
informacin son riesgos de negocio y slo la Direccin puede tomar decisiones
sobre su aceptacin o tratamiento. El riesgo residual es el que queda, an
despus de haber aplicado controles (el "riesgo cero" no existe prcticamente
en ningn caso).
Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of

Applicability) es una lista de todos los controles seleccionados y la razn de su
seleccin, los controles actualmente implementados y la justificacin de
cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las
decisiones tomadas en cuanto al tratamiento del riesgo.
2.3.1.3. Do: Implementar y utilizar el SGSI
Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,

responsabilidades y prioridades en la gestin de los riesgos de seguridad de la
informacin.
Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos

de control identificados, incluyendo la asignacin de recursos, responsabilidades
y prioridades.
Implementar los controles anteriormente seleccionados que lleven a los

objetivos de control.
Definir un sistema de mtricas que permita obtener resultados reproducibles y

comparables para medir la eficacia de los controles o grupos de controles.
Procurar programas de formacin y concienciacin en relacin a la seguridad de

la informacin a todo el personal.
Desarrollo del marco normativo necesario: normas, manuales, procedimientos e

instrucciones.
Gestionar las operaciones del SGSI.
Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la

Implantar procedimientos y controles que permitan una rpida deteccin y

respuesta a los incidentes de seguridad.
2.3.1.4. Check: Monitorizar y revisar el SGSI

La organizacin deber:
Ejecutar procedimientos de monitorizacin y revisin para:
Detectar a tiempo los errores en los resultados generados por el

procesamiento de la informacin;
Identificar brechas e incidentes de seguridad;
Ayudar a la direccin a determinar si las actividades desarrolladas por las

personas y dispositivos tecnolgicos para garantizar la seguridad de la
informacin se desarrollan en relacin a lo previsto;
Detectar y prevenir eventos e incidentes de seguridad mediante el uso de

indicadores;
Determinar si las acciones realizadas para resolver brechas de seguridad

fueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la

poltica y objetivos del SGSI, los resultados de auditoras de seguridad,
incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones
de todas las partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los

riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles
cambios que hayan podido producirse en la organizacin, la tecnologa, los
objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los
controles implementados y el entorno exterior -requerimientos legales,
obligaciones contractuales, etc.-.
Realizar peridicamente auditoras internas del SGSI en intervalos planificados.
Revisar el SGSI por parte de la direccin peridicamente para garantizar que el

alcance definido sigue siendo el adecuado y que las mejoras en el proceso del
SGSI son evidentes.
Actualizar los planes de seguridad en funcin de las conclusiones y nuevos

hallazgos encontrados durante las actividades de monitorizacin y revisin.
Registrar acciones y eventos que puedan haber impactado sobre la efectividad o

el rendimiento del SGSI.
2.3.1.5. ACT (Actuar):

La organizacin deber regularmente:
Implantar en el SGSI las mejoras identificadas.
Realizar acciones preventivas adecuadas en relacin a la clusula 8 de ISO

27001 y a las lecciones aprendidas de las experiencias propias y de otras
organizaciones para solucionar no conformidades detectadas.
Realizar acciones correctivas adecuadas en relacin a la clusula 8 de ISO

27001 y a las lecciones aprendidas de las experiencias propias y de otras
organizaciones para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel
de detalle adecuado y acordar, si es pertinente, la forma de proceder.
Asegurarse de que las mejoras introducidas alcanzan los objetivos previstos

a travs de la eficacia de cualquier accin, medida o cambio debe
comprobarse siempre.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de
nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase en
cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej.,
puede haber actividades de implantacin que ya se lleven a cabo cuando otras de
planificacin an no han finalizado; o que se monitoricen controles que an no
estn implantados en su totalidad.
2.4. Hiptesis
La aplicacin de un sistema de gestin de seguridad de la informacin ayudar a los
responsables de la informacin mejorar la seguridad de las tecnologas de
informacin y comunicacin.
2.5. Diseo de Contrastacin de la Hiptesis
Se utilizar para la contratacin de la hiptesis, el mtodo de diseo en sucesin o
en lnea tambin llamado mtodo Pre-Test, Post - Test, con un solo grupo.
El esquema es el siguiente:
O1
O2
O1 : Anlisis y la gestin de riesgos de un sistema de informacin antes del

diseo del SGSI.
X : Diseo de un Sistema de Gestin de la Seguridad de la Informacin.
O2 : Anlisis y la gestin de riesgos de un sistema de informacin despus
del diseo del SGSI.
2.6. Tipo de Investigacin
El proyecto propuesto esta referido a una investigacin descriptiva y aplicada.
De acuerdo al fin que persigue:

Descriptiva; porque se intenta determinar los problemas actuales, mediante
una descripcin y comprender de forma integra el presente.
De acuerdo a la tcnica de contrastacin:

Aplicada; porque buscamos la aplicacin o utilizacin de los conocimientos
que iremos adquiriendo durante el desarrollo del proyecto.
2.7. Poblacin Muestra

2.7.1. Poblacin
La poblacin-objeto; son tres.
Docentes y Administradores a tiempo completo que cuentan con un equipo
informtico es de 343.
Alumnos (de las diferentes escuelas profesionales) de la Universidad Catlica
Santo Toribio de Mogrovejo del Departamento de Lambayeque; el nmero de
Alumnos es de 5409.
Jefes y trabajadores de las reas de Desarrollo de Sistemas y Taller de Cmputo es
de 19.
La poblacin-accesible; es aquella con la que se va a trabajar en este proyecto; se
determinara por la cantidad de Docentes y/o Administradores, Alumnos y Jefes y
trabajadores de las reas de estudio, responsables que accederan al manejos de
informacin y que de una u otra manera contribuiran en el desarrollo del
proyecto.
2.7.2. Muestra
Para la determinacin de la muestra hemos credo conveniente utilizar la tcnica
de muestreo aleatorio simple, para cada uno de los sectores a encuestar:
Docentes y administrativos
El sector de docentes y administradores a tiempo completo que cuentan con un
equipo informtico es de 343 personas, de las cuales determinaremos la
muestra a encuestar a continuacin:
Donde:
Z = Nivel de Confianza (1.96)
P = Proporcin que posee la caracterstica en estudio (0.50)
Q = Proporcin que no posee la caracterstica en estudio (0.50)
E = Estimacin de error (0.10)
N = poblacin o Universo (343)
n = 75 personas a encuestar entre Docentes y Administrativos
Alumnos de las diferentes escuelas profesionales

El sector de alumnos es de 5409 personas, de lo cual detallamos porcentajes
por escuela profesional a encuestar a continuacin:
Donde:
Z = Nivel de Confianza (1.96)
P = Proporcin que posee la caracterstica en estudio (0.50)
Q = Proporcin que no posee la caracterstica en estudio (0.50)
E = Estimacin de error (0.05)
N = poblacin o Universo (5409)
n = 359 personas que representan el 100% de alumnos a encuestar de los

cuales detallaremos el porcentaje de alumnos por escuela profesional.
Cuadro de distribucin de la Poblacin Muestra

Escuela Profesional
Administracin de Empresas
Arquitectura
Biologa y Qumica
# de
Alumnos
% de
Alumnos
# de
Alumnos a
encuestar
898
17%
61
50
1%
0.2%
Ciencias de la Comunicacin
204
4%
14
Contabilidad
427
8%
29
Derecho
988
18%
65
Economa
112
2%
0.2%
47
1%
Educacin Primaria
127
2%
Enfermera
790
15%
54
Filosofa y Religin
55
1%
Historia y Geografa
22
0.5%
149
3%
11
621
11%
39
19
0.3%
323
6%
22
Ingeniera Mecnica Elctrica
33
0.5%
Ingeniera Naval
54
1%
Lengua y Literatura
52
1%
18
0.3%
164
3%
11
64
1%
182
3%
11
5409
100%
359
Educacin Fsica y Danzas

Educacin Inicial
Ingeniera Civil y Ambiental

Ingeniera
de
Computacin
Sistemas
Ingeniera Energtica
Ingeniera Industrial
Matemtica,
Informtica
Computacin
Medicina
Odontologa
Psicologa
TOTAL
Tabla 03: Distribucin de la Poblacin - Muestra

Fuente: Direccin Acadmica de la USAT Abril 2008
Jefes y personas que laboran en las reas de Taller de Computo y de

Desarrollo de Sistemas
Debido a que la muestra del sector de jefes y personal que labora en las reas
de Taller de Cmputo y Desarrollo de Sistemas es muy pequea se vio por
conveniente aplicar la tcnica de muestreo aleatorio simple, la que nos
permitir trabajar con toda la muestra obtenida en dicho sector.
n = 19 personas a trabajar, ya sea, con entrevistas u otros instrumentos de

recoleccin de informacin.
2.8. Tcnicas, Instrumentos, Fuentes e Informantes

Para la obtencin de informacin haremos uso de herramientas como son:
entrevista, encuestas y observacin.
TECNICA /
METODO
JUSTIFICACION
Nos va a permitir
conocer
cerca
Entrevista
mas
de
procesos
APLICACION
Una
grabadora
reportera.
Cuestionarios
Trabajadores de
las
reas
en
estudio, docentes
y
alumnos
Fichas o guas de
observaciones
Trabajadores de
las
reas
en
estudio, docentes
y
alumnos
Encuesta
de
Preguntas Abiertas y
Cerradas y Checklist
Trabajadores
de
las
en
los
de
institucin,
HERRAMIENTA
la
sus
problemas,
objetivos
Observacin
requerimientos
Es el mtodo en la
cual enfocamos la
perspectiva de los
problemas
que
existen en las reas a
trabajar.
Permite conocer las
expectativas
Encuestas
que
reas
tienen los usuarios
estudio, docentes
respecto al nuevo
y alumnos
sistema
necesidades
de
Informacin de los
usuarios.
Tabla 05: Tcnicas, Instrumentos, Fuentes e Informantes

Fuente: Elaboracin propia
2.9. Indicadores
Para determinar la contrastacin de nuestra investigacin entre las operaciones antes
del diseo del Sistema de Gestin de la Seguridad de la informacin y despus del
mismo, se han determinado los siguientes indicadores:
Porcentaje de evaluacin de riesgos de seguridad identificados y evaluados con
niveles de importancia alta, media o baja
Grado de aplicacin de polticas de seguridad en la organizacin
Porcentaje de empleados que han recibido y aceptado formalmente, roles y

responsabilidades con respecto a seguridad de la informacin
Nmero de informes de inspecciones peridicas de seguridad fsica de
instalaciones, incluyendo actualizacin
Nmero y costes acumulados de incidentes por software malicioso como virus,
gusanos, troyanos o spam detectados y bloqueados
Porcentaje de backups y archivos con datos sensibles o valiosos que se
encuentran protegidos dentro y fuera de la empresa
Nmero de incidentes de seguridad de red identificados en los meses anteriores,
dividido por categoras de leve importante y grave importancia
Nmero de peticiones de cambios de acceso por parte del personal que labora en
la empresa
Estado de la seguridad en entorno porttil, es decir, un informe sobre el estado
actual de la seguridad de equipos informticos porttiles (laptops, PDAs,
telfonos mviles, etc.)
Porcentaje de sistemas para los cuales los controles de validacin de datos se
han definido e implementado y demostrado eficaces mediante pruebas
Porcentaje de sistemas evaluados de forma independiente conforme a estndares
de seguridad bsica
Numero de informes sobre el estado actual de la seguridad en los procesos de
desarrollo de software, con comentarios sobre incidentes recientes/actuales,
vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier
riesgo
Nmero de chequeos (a personas a la salida) realizados en el ltimo mes y
porcentaje de chequeos que evidenciaron movimientos no autorizados de
equipos o soportes informticos u otras cuestiones de seguridad
Porcentaje de nuevos empleados relacionados con las tecnologas de
informacin y comunicaciones (contratistas, consultores, temporales, etc.) que
hayan sido totalmente verificados y aprobados de acuerdo con las polticas de la
empresa antes de comenzar a trabajar.
2.10. Anlisis de la Informacin
2.10.1. Anlisis de la informacin
Mediante la observacin y los datos obtenidos en las investigaciones a travs del
personal de las reas involucradas, se har el anlisis respectivo con la finalidad de
mejorar la seguridad de la informacin. Esto dar origen a que se sugiera algunos
controles de seguridad para mejorar el control de la informacin.
2.10.2. Recurso disponible

A.- Personal
Tesistas
De La Cruz Guerrero, Cesar Wenceslao

Vsquez Montenegro, Juan Carlos
Asesora
Jessie Leila Bravo Jaico
B.- Equipo
Partida
01
01.01
Descripcin
Bienes
Materiales de escritorio
Hojas Elipse A4 75gr.
CD-ROM
USB
PC Intel PIV (4 meses)
Laptop PHP (3 meses; S/100
alquiler por mes)
01.02
Cantidad
Costo S/.
Costo Total S/.

975.00
1 millar
2 unidades
2 unidades
1 unidad
1 unidad
19.00
1.00
10.00
100.00
100.00
38.00
2.00
20.00
400.00
300.00
1 unidad
millar
90.00
0.05
90.00
25.00
100.00
100.00
500.00
4 meses
-
100.00
50.00
50.00
50.00
100.00
50.00
200.00
50.00
100.00
100.00
Materiales de impresin,
fotogrficos y fonotcnicos
Cartucho de impresora
Fotocopias
01.03
02
02.01
02.02
02.03
Otros
Servicios
Servicios bsicos
Luz
Telfono
Internet.
Pasajes
02.04
Otros
TOTAL
C.- Consolidado
El costo total de este proyecto es un aproximado de S/. 1475.00
D.- Financiacin
Costo Total del Proyecto: S/. 1475.00
Financiamiento: Autofinanciamiento
1475.00
CAPITULO III
DIAGNSTICO DE LA
SITUACIN ACTUAL
3.1. Breve Resea Histrica

3.1.1. Historia de la USAT
El campus de la Universidad Catlica Santo Toribio de Mogrovejo (USAT) se
encuentra en la ciudad de Chiclayo, provincia del Departamento de Lambayeque, al
norte del Per La USAT es una universidad de la iglesia catlica, promovida y
administrada por el obispado de la dicesis de Chiclayo. Fue fundada el 23 de marzo
de 1996 por Monseor Ignacio Maria De Orbegozo y Goicoechea, y puesta en
funcionamiento por Monseor Jess Molin Labarta, actual Obispo de Chiclayo, el
19 de diciembre de 1998.
Su fundacin
Las razones que condujeron a fundar la universidad tienen que ver con el respaldo
legal que tiene para crear instituciones educativas y con el trabajo pastoral y
educativo de la Dicesis de Chiclayo a partir de 1968. El antecedente inmediato
para la fundacin de USAT fue el instituto pedaggico Santo Toribio de
Mogrovejo que a sus 13 aos de vida se consolid acadmica y
administrativamente, alcanzando particular aceptacin e imagen en la comunidad
regional.
Autorizacin
El proceso empieza con la decisin de Monseor Ignacio Maria de Orbegozo y
Goicoechea, de constituir a la dicesis de Chiclayo en entidad promotora de la
USAT, cuya acta se suscribi el 23 de marzo de 1996. En este documento se
determinaron los fines, principios y metas que se planteaba la USAT. Realizado el
estudio de mercado y determinada su conveniencia se sistematizo el proyecto que
fue presentado a Monseor Ignacio Maria de Orbegozo y Goicoechea, el 25 de
marzo de 1997, como el mas carioso obsequio por el da de su onomstico, fecha
en la que se encontraba tambin compartiendo la celebracin Monseor Jess
Molin Labarta, en calidad de obispado coadjutor. El proyecto se presento a la

Comisin Nacional de Autorizacin y Funcionamiento de las Universidades
(CONAFU) el 22 de mayo de 1997 y se autoriz su funcionamiento el 14 de
octubre de 1998. De ese modo el Gran Canciller y la Comisin Ejecutiva de ese
entonces planificaron la instalacin de la universidad, que tuvo lugar el 19 de
diciembre de 1998, Este acontecimiento estuvo presidido por Monseor Jess
Molin Labarta y las autoridades de la Asamblea Nacional de Rectores, del
CONAFU y de la Comisin Ejecutiva de la USAT.
3.1.2. Tipo de Empresa, Razn Social y Giro del Negocio
Nombre
: Universidad Catlica Santo Toribio de Mogrovejo (USAT)
Direccin
: Av. Panamericana Norte N 855 Chiclayo
Rector
: Dr. Vctor Alvitres Castillo
Telfono
: (074) - 201530
Rubro al que se dedica
: Sector Educacin Servicios
3.1.3. Visin y Misin

Propsito
La consecucin de una sntesis entre la f y la cultura, que conduzca a la
formacin integral de las personas, y al desarrollo de la sociedad.
Visin
Ser reconocidos como una prestigiosa corporacin universitaria que acta en el
mbito regional lambayecano, impulsando el desarrollo nacional, con alcance
internacional.
Misin
Contribuir al desarrollo y progreso de la sociedad, mediante la investigacin
aplicada, la formacin integral de la juventud, as como la proyeccin y extensin
universitarias, dentro del respeto a la libertad de las conciencias y a los principios
de la Iglesia Catlica.
3.2.
Procesamiento de la Informacin
3.2.1. Herramientas
Las herramientas utilizadas fueron Excel y el software SPSS quienes ofrecen muy
buenas cualidades para el manejo de grandes volmenes de informacin y permite
realizar con precisin anlisis estadsticos confiables que apoyarn al desarrollo de

nuestro proyecto de Sistema de Gestin de Seguridad de la Informacin de forma
adecuada.
3.2.2. Resumen de resultados

Despus de haber aplicado nuestros instrumentos para la recoleccin de informacin y
nuestras herramientas en el procesamiento de la misma, notamos por medio de los
resultados la realidad que vive la USAT en cuanto refiere al tema de seguridad de la
informacin.
La muestra a trabajar estadsticamente est dividida en tres sectores, Docentes y/o
Administrativos, Alumnos, Jefes, personal que labora en Taller de Cmputo y
Desarrollo de Sistemas de la Universidad Santo Toribio de Mogrovejo; de la cual
mostramos resultados de manera detallada y veraz obtenidos al procesar la informacin:
3.2.2.1. Docentes y/o Administrativos, para un mayor seguimiento de dicha
descripcin de resultados
Datos obtenidos de Docentes y/o Administrativos de la encuesta realizada en el
campus de la USAT. Modelo de encuesta, (Ver Anexo 02)
En la pregunta 1, notamos que del 100% de nuestra muestra encuestada el 53%
fueron varones y los otros 47% restantes fueron mujeres.
En la pregunta 4, vemos que el 21% cont con la ayuda de algn estudiante
asignado como ocupacin temporal pasando informacin en Word, Excel, Power
Point, etc., el 42% no cont con dicha ayuda y el 37% restante ayudo llenando o
elaborando algn documento de la universidad, clasificando documentos, otros.
En la pregunta 5, pudimos percibir que el 41% no identifica a las personas que no
laboran ni estudian en la universidad, un 32% suelen identificarlos por la
indumentaria y el 27% restante suele identificarlos de otras maneras.
En las preguntas 7, 8, 9, 10 y 11, apreciamos que el 55% no se siente seguro en los
ambientes donde se encuentran los equipos informticos, el 51% no observo
extintor cerca de los equipos informticos, el 63% no observo ninguna sealizacin,
el 56% no tiene conocimiento de un adecuado manejos del extintor, el 73% no
participo de ningn simulacro frente a desastres especficamente en reas donde
hay equipos informticos, quedando as la diferencia porcentual por cada una de las
preguntas.
En la pregunta 12, pudimos notar que el 60% observo que algn compaero de
trabajo
o estudiante bebe lquidos o ingiere alimento cuando se encuentra
trabajando con algn equipo informtico y el 40% restante no observo dicho

comportamiento.
En la pregunta 13, notamos que el 59% manipulo alguna vez los componentes del
equipo asignado a su persona de manera que si este sufri algn inconveniente,
busco hacerlo funcionar correctamente y el 41% restante no intento por ningn
motivo manipular los componentes de su equipo asignado.
En la pregunta 15, vemos que el 91% asumira una responsabilidad si se le detecta
realizando actividades sospechosas como el ingreso a lugares restringidos, y el 9%
restante no asumira responsabilidad alguna.
En la preguntas 16, pudimos notar que el 40% siempre hace uso de los antivirus, ya
sea ingresando o extrayendo informacin en algn dispositivo de almacenamiento,
el 31% lo hace a veces y el 29% restante nunca los hace.
En la pregunta 17, percibimos que el 48% activa el antivirus lo detecta y elimina, el
44% hace otras cosas menos las acciones correctas y el 8% restante no sabe que
hacer.
En la pregunta 18, ntese que el 51% noto que el antivirus no funciona
adecuadamente ya que no se encuentra actualizado, y el 49% restante observo que
tiene un buen funcionamiento y una adecuada actualizacin.
En las preguntas 19, 20, 21 y 22, vemos que el 61% cuenta con una misma clave de
acceso para todos los servicios que brinda el portal de la USAT, haciendo referencia
en un 35% a su nombre y apellido, el 33% de usuarios comparten su clave con
compaeros de trabajo, por ultimo notamos que le 72% nunca cambia su clave de
acceso.
En la pregunta 23, percibimos que el 60% refiere que accede con mayor velocidad
al portal Web de la USAT dentro de la universidad que fuera de ella, el 33% refiere
que la velocidad es la misma ingresando ya sea fuera o dentro de la universidad, el
8% restante refiere que mas lento ingresando dentro de la universidad que fuera de
ella.
En la pregunta 24, ntese que el 97% hace uso del correo electrnico que le es
asignado por la USAT, de los cuales el 79% recibe de 1 a 10 correos no deseados o
spam por dicho medio diarios.
En la pregunta 25, apreciamos que el 51% utiliza laptop dentro de la universidad,

de los cuales el 74% no recibi ningn mensaje al acceder a la red de la USAT.
En la pregunta 26, observamos que el 87% no cuenta con ningn tipo de
capacitacin acerca de seguridad de la informacin, el 13% restante si no se
capacito tiene algn conocimiento acerca del tema.
En la pregunta 27, notamos que el 96% le gustara tener mayor conocimiento acerca
de seguridad de la informacin, de los cuales el 58% le gustara conocer acerca del
tema por medio de charlas y conferencias, el otro 42% a travs de otros medios
como folletos, foros por el portal y como parte de algn curso.
En la pregunta 28, vemos que el 61% no realiza ninguna actividad no autorizada en
la PC asignada a su persona, el 24% realizo la instalacin de algn software que
necesitaba, y el 15% restante realizo otras actividades como limpieza al mouse,
teclado, etc.
En la pregunta 29, observamos que el 56% no sabe que hacer cuando algn
componente o aplicativo no funciona correctamente, el 25% intenta arreglarla, y el
19% restante llama a un tcnico o intenta que lo arregle su compaero mas cercano.
En las preguntas 30 y 33, pudimos notar que el 29% solicita mantenimiento
mensual para su equipo, el otro 27% nunca lo hace; el 72% de los docentes y/o
administrativos reporta o informa los inconvenientes de su equipo por telfono
(anexo), el 28% restante lo hace mediante correo electrnico o fsicamente.
Tablas y grficos (Ver anexo 03)
3.2.2.2. Alumnos, para un mayor seguimiento de dicha descripcin de resultados
Datos obtenidos de los alumnos de la encuesta realizada en el campus de la
USAT. Modelo de encuesta, (Ver Anexo 04)
En la pregunta 1, notamos que del 100% de nuestra muestra encuestada el 70%
fueron mujeres y los otros 30% restantes fueron varones.
En la pregunta 4, vemos que el 36% ayudo algn docente y/o administrativo
designado como ocupacin temporal (bolsa de trabajo) en las siguientes actividades
como llenado de algn documento, pasando informacin, ingresando a su correo y
enviando mensajes, clasificando documentacin, otros, y el 64% restante no realizo
dichas actividades.
En la pregunta 5, pudimos percibir que el 55% no identifica a las personas que no
laboran ni estudian en la universidad, un 45% suelen identificarlos; de los cuales
64% lo hacen por medio de fotochet de la empresa para la cual trabajan e

indumentaria, el 36% restante suele identificarlos de otras maneras.
En las preguntas 7, 8, 9 y 10, pudimos notar que el 56% no se siente seguro en los
ambientes donde se encuentran los equipos informticos, el 69% no observo
extintor cerca de los equipos informticos, el 50% no observo ninguna sealizacin,
el 65% no participo de ningn simulacro frente a desastres especficamente en reas
donde hay equipos informticos, quedando as la diferencia porcentual por cada una
de las preguntas.
En la pregunta 11, pudimos notar que el 48% observo que algn compaero de
estudios o docente y/o administrativo bebe lquidos o ingiere alimento cuando se
encuentra trabajando con algn equipo informtico y el 52% restante no observo
dicho comportamiento.
En la pregunta 12, notamos que el 44% manipulo alguna vez los componentes del
equipo informtico de manera que si este sufri algn inconveniente, busco hacerlo
funcionar correctamente y el 56% restante no intento por ningn motivo manipular
los componentes del equipo asignado.
En las preguntas 13 y 14, vemos que un 79% a 82% se siente responsable y/o
identifica con el equipo informtico que usa o usaran en algn momento dentro de
la USAT, y de un 18% a 21% restante no se identifica, menos asumira
responsabilidad alguna.
En la preguntas 15, pudimos notar que el 33% siempre hace uso de los antivirus, ya
sea ingresando o extrayendo informacin en algn dispositivo de almacenamiento,
el 34% lo hace a veces y el 31% restante nunca los hace.
En la pregunta 16, percibimos que el 46% activa el antivirus lo detecta y elimina, el
41% hace otras cosas menos las acciones correctas y el 13% restante no sabe que
hacer.
En la pregunta 17, ntese que el 74% noto que el antivirus no funciona
adecuadamente, ya que, no se encuentra actualizado, y el 26% restante observo que
tiene un buen funcionamiento y una adecuada actualizacin.
En las preguntas 18, 19 y20, vemos que el 75% cuenta con una misma clave de
acceso para todos los servicios que brinda el portal de la USAT, haciendo referencia
en un 23% a su nombre y apellido, por ultimo notamos que le 55% nunca cambia su
clave de acceso.
En la pregunta 21 y 22, percibimos que el 58% accede al portal Web de la USAT
tanto dentro como fuera de la universidad, el 63% refiere la velocidad al acceder al
portal Web de la USAT es la misma ya sea dentro o fuera de la USAT, el 21%
refiere que el acceso es ms lento dentro de la universidad que fuera de ella, el 16%
refiere que la velocidad es ms rpido dentro de la universidad que fuera de ella.
En la pregunta 23, apreciamos que el 25% utiliza laptop dentro de la universidad,
de los cuales el 62% no recibi ningn mensaje al acceder a la red de la USAT.
En la pregunta 24, observamos que el 91% no cuenta con ningn tipo de
capacitacin acerca de seguridad de la informacin, el 9% restante si no se capacito
tiene algn conocimiento acerca del tema.
En la pregunta 25, notamos que el 90% le gustara tener mayor conocimiento acerca
de seguridad de la informacin, de los cuales el 50% le gustara conocer acerca del
tema por medio de charlas y conferencias, el otro 42% a travs de otros medios
como folletos, foros por el portal y como parte de algn curso.
Tabla y grficos (Ver Anexo 05)
3.2.2.3. Jefe y personal que labora en Taller de Cmputo y Desarrollo de Sistemas
A.- Jefe del rea de Taller de Cmputo
Dato obtenido de la entrevista realizada al jefe de Taller de Cmputo en el campus
de la USAT. Modelo de entrevista, (Ver Anexo 06)
Segn los datos obtenidos en la entrevista realizada al Ing. Gregorio Len jefe de taller
de cmputo se obtuvo lo siguiente:
Nos manifest que la USAT no cuenta con un equipo o comit encargado de todo lo que
concierne a la seguridad de la informacin; Se revel que el jefe de esta rea es el
encargado de la administracin de la tecnologa de la informacin y parte de la
comunicacin, debido a ello, y a la necesidad de proteger los activos de la USAT ha
establecido algunas normas, procedimiento y mecanismos de control elaborados en base
a sus conocimientos conseguidos a travs de su larga experiencia, y segn sus anlisis
previos seran los ms apropiados para salvaguardar los equipos y los activos de
informacin que se transmiten por la red de la universidad. Referente a los mecanismos
de control nos dijo que no existen documentos formales y que todo se maneja a travs
de correo electrnico donde se describe alguna informacin referente a ello, donde se
indica cuales son y como deben ejecutarse, pero que normalmente los realizan de
acuerdo a los criterio y a la experiencia que tienen dentro del rea. Nos aclar tambin
que no existe un control estricto sobre sus trabajadores, pero que cada uno conoce su
funcin y sus obligaciones. El seguimiento que se le hace es por medio de radios que
llevan permanentemente y fichas de servicio cuando dan la atencin a cualquier usuario,
cualquier actividad que van ha realizar primero es informada a la central de taller de

cmputo. Los accesos a la red se controlan a travs de permisos y esos permisos son
generados por mi persona y que la parte de restricciones a los sistemas la maneja el rea
de desarrollo de sistemas, pero nos dijo que cada permiso es notificado mediante un
correo electrnico a est rea para generrselo. Todos los usuarios que ingresan a la red
son registrados en un pequeo sistema, en el cual se detalla todas las actividades que
realizan. En cunto al acceso al rea donde se encuentra los servidores no ingresan
personas ajenas al rea, slo ingreso yo como administrador y algn trabajador del rea
que en ciertos casos me ayuda trasladando equipos siempre y cuando este presente,
todas las llaves a esos ambientes las manejo yo, esto debido a que cualquier persona que
ingrese puede manipular los equipos.
Nos manifest que anteriormente se acord que cualquier informacin correspondiente
a la seguridad de la informacin sea transmitida por correo electrnico, dado esto no
existe un documento donde se indiquen las polticas de seguridad de la informacin. En
cunto al nivel de conocimiento de seguridad de la informacin por parte de los
trabajadores del rea, estn capacitados para enfrentar cualquier tipo de desastre antes,
durante y despus, lo que sucede es que estos procedimientos tampoco estn
documentados, slo nos basamos en manuales colgados en Internet y algunas
recomendaciones brindadas por INDECI que sirven de soporte para el rea, pero como
material nuestro an no se elabora. En relacin a los activos de importancia dentro de la
USAT si saben como protegerlo y salvaguardarlo frente a cualquier incidente inminente.
El rea no ha promovido el desarrollo de un simulacro, pero dentro de la universidad si
se han desarrollado algunos simulacros ante posibles incidentes o desastres; pero
ninguno ha sido a travs de la supervisin de defensa civil. Referente a lo que es el plan
de contingencia, este se encuentra en pleno desarrollo.
Nos manifest que todos los servicios brindados son protegidos a travs de claves de
autenticacin para su mejor administracin y que estas claves no son alcanzadas a un
responsable fuera del rea, ni tampoco a una persona de la alta direccin; se manifest
esto como medida de proteccin y de seguridad del rea.
Referente a los backups no existen procedimiento documentados para realizarlo, se
realizan de forma informal y se guardan dentro del rea netamente en la oficina
designada. La backups que contienen informacin de suma importancia es almacenada
en disco duro y se realizan cada cierto periodo en este caso diariamente.
Los problemas con los que nos enfrentamos frecuentemente son la falta de cultura
informtica por parte de los usuarios ya que muchos no hacen un buen uso de sus
equipos. Todos los servicios que se brinda dentro del rea son archivados y de ellos se
conocen cuales son los problemas ms frecuentes que tienen los usuarios en base a
software o hardware, pero se ha podido notar a simple vista que los problemas ms
comunes son de software y esto a causa de la infeccin constante de virus, frente a esto
recin se ha adquirido e instalado un antivirus nod32 bussiness con el cual se desea
disminuir las infecciones de las mquinas de los usuarios ya que constantemente se
recibe una actualizacin automtica de los nuevos virus que la mquina posee, la cual
no pudo eliminar anteriormente, con este nuevo antivirus se lograra eliminar y reducir
de manera abrumadora este problema. Nos dijo que para comprobar la reduccin de
estos problemas el rea posee informacin en la cual pueda contrastar. La estrategia para
aminorar estos problemas es informar permanentemente a los usuarios sobre algunos
lineamientos que debe tener en cuenta para el uso adecuado de sus equipos a cargo.
Todas las modificaciones que se realizan son solicitadas a travs de correo electrnico
interno y registrado en el software que maneja el rea.
Existe un plan de mantenimiento de equipos informticos y de comunicacin
especficamente para los laboratorios, pero no se encuentran redactados en documentos
formales donde se indiquen cada que perodo hacerlo, en los laboratorios lo hacan
normalmente antes de iniciar las clases y antes de las evaluaciones finales, pero
normalmente por problemas de software generados por los virus, pero nos dijo que este
ao no se sabe si lo harn antes de las evaluaciones finales ya que estn esperando
resultados de la nueva versin del antivirus. Con respecto a las diversas reas de la
USAT nos dijo que normalmente la realizan cuando finalizan los ciclos acadmicos,
pero que toman en cuenta la solicitud de los usuarios para que le hagan mantenimiento a
su equipo manifestndonos que al no hacerlos toman por entendido que no tienen
problemas con su equipo, pero que cada vez que lo solicitan un servicio y las veces que
sean ellos lo atienden. Los aspectos que se toman en cuenta para realizar el plan son
aquellos en los cuales normalmente los usuarios incurren y esto se obtiene de la lista de
los problemas frecuentes. En lo que se refiere al problema del antivirus en los equipos
de la USAT estos eran actualizados permanentemente (esto se realizaba antes de instalar
el nuevo antivirus), lo que sucede es que anteriormente muchos de los usuarios no
saban utilizarlo adecuadamente generando que sus equipos se infecten constantemente,
pero con el nuevo antivirus se espera aminorar este problema.
Exactamente no existe procedimientos documentados para la adquisicin de software y

hardware, pero por el tiempo que llevo trabajando aqu se a quin dirigirme y de que
forma justificar su adquisicin. Las personas que se encargan de evaluar la parte
econmica en la adquisicin de los productos son los del rea administrativa y tambin
son ellos mismos quienes evalan a sus proveedores. Pero cuando alguna facultad desea
la adquisicin de hardware y software tienen que presentar su justificacin y mi persona
se encarga de evaluarla si realmente es importante adquirirla para el buen desarrollo de
las actividades acadmicas despus de su evaluacin la facultad se encarga de dirigirla a
administracin para su adquisicin.
B.- Personal que labora en el rea de Taller de Cmputo
Datos obtenidos de la entrevista a los que laboran en Taller de Cmputo realizada en
el campus de la USAT. Modelo de entrevista, (Ver Anexo 07)
El rea de Taller de Cmputo es una de las reas que fue trabajada minuciosamente, por
lo que se determino convenientemente aplicar como instrumento de recoleccin de
informacin la entrevista, la misma que fue aplicada al personal que labora en esta rea,
con la finalidad de obtener los resultados requeridos, los cuales son mostramos a
continuacin de manera detallada; para mayor seguimiento de la entrevista
Fueron entrevistadas 10 personas, ya que, son todos los que laboran en el rea de
Taller de Computo, la relacin laboral de este personal con la empresa es de
contrato a tiempo completo.
Cuando preguntamos acerca de que tipo de antivirus utilizan, todos los

entrevistados coincidieron que el tipo de antivirus utilizado en la USAT es el Nod
32, pero fue desorientador cuando preguntamos cada que tiempo se actualiza el
antivirus, ya que las respuestas fueron diversas como: diariamente dijo la mayora,
otros dieron como respuesta anualmente y por ultimo dieron como respuesta
dependiendo del contrato (referido dependiendo del contrato a licencia por la cual
se adquiere el software).
Se les hizo la pregunta acerca de cuantas maquinas aproximadamente de las que se
encuentran a cargo los Docentes y/o Administrativos se les brinda servicio tcnico
por sufrir alguna deficiencia mensualmente, la gran mayora por no decir todos nos
dieron como respuesta que se atienden un promedio de 15 a 25 maquinas al mes, y
que el 60% de dichas maquinas muestran deficiencia en hardware y el otro 40% en
software, registrando de manera continua los inconvenientes en fichas de

atenciones, y el tiempo promedio que lleva solucionar dichos inconvenientes es
variable, ya que, depende del tipo de inconveniente que se este tratando de resolver.
Percibimos a travs de la entrevista que los usuarios (Docentes y/o
Administradores, alumnos), no reciben ningn tipo de capacitacin por parte de los
encargados de Taller de Computo.
Preguntamos a los que laboran en Taller de Computo si se les brindaba capacitacin
acerca de seguridad de la informacin por parte de la USAT, la gran mayora se
reservo la respuesta, mientras otros refirieron ser autodidactas o auto capacitarse y
por ltimo a ver recibido de 2 a 3 capacitaciones por ao.
Las personas que laboran en Taller de Computo en su totalidad manifestaron que
cuentan con los medios y la capacidad de afrontar cualquier desastre natural o
causado por intervencin humana, ya que, fueron capacitados dentro de la
universidad, de manera tal que saben como manipular correctamente un extintor de
manera que pueden intervenir tratando de aplacar un incendio, desplazando
correctamente a los usuarios, entre otros acciones que se requieran en dicho
momento.
Vemos que los problemas mas frecuentes que se observan con respecto a hardware
tienen que ver con disco duro, memoria RAM, fuentes de energa, error en
conexin de cables, mouse, entre muchos otros; con respecto a software lo que ms
resaltan es el uso inadecuado de programas, as como errores en Windows y virus; a
su vez nos expresan que dichos problemas se podran evitar con una capacitacin
bsica con respecto al uso de hardware y software.
La mayor parte de entrevistados refieren que existen proyectos o mejoras respecto a
la seguridad de la informacin que son propuestos y que sirven de aporte a la
USAT, y que dichos proyectos surgen por iniciativa de grupo de trabajo, el cual se
encuentra integrado por los que laboran en el rea de Taller de Computo.
C.- Jefe del rea de Desarrollo de Sistemas
Dato obtenido de la entrevista al jefe de Desarrollo de Sistemas realizada en el
campus de la USAT. Modelo de entrevista, (Ver Anexo 08)
Segn los datos obtenidos en la entrevista realizada al Ing. Lus Otake jefe de desarrollo
de sistemas se obtuvo lo siguiente:
Nos manifest que la USAT no cuenta con un equipo o comit encargado de todo lo que
concierne a la seguridad de la informacin; Se pudo notar que el jefe de esta rea es el
encargado de la administracin del sistema y base de datos de la USAT, debido a ello, y

a la necesidad de proteger la informacin de valor importante para la USAT ha
establecido algunas normas y algunos procedimientos elaborados en base a sus
conocimientos y conseguidos a travs de su larga experiencia, y segn los anlisis
previos son los ms apropiados para salvaguardar el sistema y su base de datos que
contiene la informacin que se transmiten por la red de la universidad.
Referente a los mecanismos de control nos dijo que no existen documentos formales en
los cuales se describan cuales son y como deben ejecutarse, pero que normalmente los
realizan de acuerdo a los criterio y a la experiencia que tienen dentro del rea. Nos
aclar tambin que no existe un control estricto sobre sus trabajadores, pero que cada
uno conoce su funcin y sus obligaciones. Los accesos a los sistemas se controlan a
travs de permisos y esos permisos son generados por los encargados del rea, pero
cada permiso es solicitado mediante correo electrnico por recursos humanos a est rea
para generrselo. Todos los usuarios que ingresan al sistema son registrados en un
pequeo sistema, en el cual se detalla todas las actividades que realizan, que se refleja
en una bitcora. En cunto al acceso a esta rea no existe un control estricto, lo realiza
cualquier persona que busca a cualquiera persona que labore en est rea.
No existe un documento donde se indiquen las polticas de seguridad de la informacin,
esto se debe a qu anteriormente el manejo de los sistemas de informacin eran
pequeos, pero realmente ahora si vemos la necesidad de implementar uno que apoye de
manera considerable, ya que la universidad ha crecido de manera abrumadora y esto
sera de gran ayuda para nuestra rea.
En cunto al nivel de conocimiento de seguridad de la informacin por parte de los
trabajadores del rea, estn capacitados para enfrentar cualquier tipo de desastre antes,
durante y despus, lo que sucede es que estos procedimientos tampoco estn
documentados, slo nos basamos en manuales colgados en Internet
y algunas
recomendaciones que recibimos de expertos que sirven de soporte para el rea, pero
como material nuestro an no se elabora. En relacin a la informacin que se almacena
dentro de las bases de datos del sistema que utiliza la USAT si saben como protegerlo y
salvaguardarlo frente a cualquier incidente inminente. El rea no ha promovido el
desarrollo de un simulacro, pero dentro de la universidad si se han desarrollado algunos
simulacros ante posibles incidentes o desastres; pero ninguno ha sido a travs de la
supervisin de defensa civil. Referente a lo que es el plan de contingencia, este se
encuentra en pleno desarrollo.
Nos indico que para ingresar al cdigo del sistema y a la base de datos de la USAT es
necesario un usuario y contrasea, ya que estos se encuentran protegidos por medio de
claves de autenticacin para su mejor administracin y que estas claves no son
alcanzadas a un responsable fuera del rea, ni tampoco a una persona de la alta
direccin; se manifest esto como medida de proteccin y de seguridad del rea.
Referente a los backups no existen procedimiento documentados para realizarlo, se
realizan de forma informal y se guardan dentro del rea netamente en la oficina
designada; los backups se realizan cada cierto periodo en este caso mensualmente.
Los problemas con los que nos enfrentamos frecuentemente son la falta de cultura
informtica por parte de los usuarios ya que muchos no hacen un buen uso de las
aplicaciones. Todos los servicios que se brinda dentro del rea son archivados y de ellos
se conocen cuales son los problemas ms frecuentes que tienen los usuarios en base al
software, de ello se puede obtener grficos del nivel de desenvolvimiento por periodos.
La estrategia que se usa es informar permanentemente a los usuarios sobre algunos
lineamientos que debe tener para el uso adecuado del sistema.
Todas las modificaciones que se realizan son solicitadas a travs de correo electrnico
interno y registrado en el software que maneja el rea.
No existe un plan de mantenimiento de equipos informticos, pero si existen
documentos donde indican cada que perodo hacerlo. Los aspectos que se toman en
cuenta son aquellos en los cuales normalmente tienen mayores incidencias.
D.- Personal que labora en el rea Desarrollo de Sistemas
El rea de Desarrollo de Sistemas es una de las reas que al igual que Taller de Computo
fue trabajada detalladamente, por lo que se determino convenientemente aplicar como
instrumento de recoleccin de informacin un Focus Group al personal que labora en
dicha rea, a fin de obtener los resultados requeridos, los cuales son mostramos a
continuacin de manera detallada; para mayor seguimiento de las preguntas que se
desarrollaron en el Focus Group.
Herramientas utilizadas, (Ver anexo 09)
3.3. Anlisis de los resultados
Se identific que tanto los docentes y administrativos reciben en la gran mayora

ayuda de los alumnos de la USAT para realizar cualquier actividad acadmica
que en su efecto debe ser responsabilidad netamente del docente o
administrativo. Estas actividades que son en s informacin de valor relevante
para la universidad deben ser tratadas de forma secreta, confidencial, ya que
cualquier error en su escritura, lectura y envo puede ocasionar malestares en el
ambiente de trabajo, y dificultara de una u otra manera en el cumplimiento de
los objetivos trazados.
Se contempl que una gran mayora de la comunidad universitaria de la USAT

no se siente segura dentro de las instalaciones de la USAT y especialmente en
lugares donde se encuentran equipos informticos, esto debido a muchos
factores como: no se tiene una plena identificacin de personas ajenas a la
universidad, algunas de las reas no cuentan con extintor, en otros existen pero
no se encuentran visibles, no dejando de lado aquellas reas en las cuales los
extintores se encuentran ubicados estratgicamente, lo mismo sucede con las
sealizaciones, y por ltimo el personal desconoce como enfrentar un desastre
natural antes, durante y despus del mismo.
Se detect que la gran mayora de los usuarios de los sistemas de informacin de

la USAT no toman las prevenciones necesarias para incurrir en cualquier tipo de
desastre humano o sucesos provocadas y esto se vio a la luz cuando
manifestaron que parte de la comunidad universitaria en horas de trabajo con un
equipo informtico realizan otras actividades que son un peligro latente hacerlos
cerca de ellos, ejemplo: beber o ingerir alimentos.
Se revel que la gran mayora de la comunidad universitaria de la USAT asume

su responsabilidad respecto a sus equipos informticos; pero tambin se
encontr que existe un gran nmero de usuarios que intentan solucionar algn
problema que se les presente con su equipo informtico, esto se manifest en
relacin a que a veces el servicio de atencin de taller de cmputo por momentos
est ocupada y demoran en darles solucin.
Se evidenci que ms de la mitad de la comunidad universitaria de la USAT no

hace buen uso de los antivirus instalados en la universidad, malestar que agobia
a estos usuarios repercutiendo en la insatisfaccin del servicio del antivirus

instalado induciendo que no sirve o que no estn actualizados.
Se afirm que gran parte de la comunidad universitaria de la USAT cuenta con
una misma clave de acceso para todos los servicios de la universidad; tambin se
detecto que la seguridad de estos servicios no se encuentran robustos en cierta
parte por culpa de los usuarios, debido a que en ciertos casos se pierde la
confidencialidad de las claves, mostrndose como un problema de mucha
importancia en los objetivos acadmicos administrativos de la USAT.
Se confirm a travs de la comunidad universitaria de la USAT que los servicios
de intranet llmese correo electrnico, acceso al portal Web, etc. son rpidos
dentro de la USAT, pero tambin se encontr algunas molestias en cuanto a
correos no deseados o spam por la peligrosidad de su contenido, ya que, estos
son un peligro potencial en los activos de la USAT.
Se ratific que no existe ningn mecanismo de autenticacin de usuario cuando
este trata de ingresar a la red a travs un equipo informtico porttil.
Por ltimo se identific que la gran mayora de la comunidad universitaria de la
USAT no ha realizado ninguna capacitacin concerniente a la seguridad de la
informacin, esta realidad se ve reflejada en la preocupacin de los usuarios, ya
que, muchas de las organizaciones de hoy en da estn sometidas a grandes e
inminentes peligros con respecto a su informacin; es por esto que la gran
mayora de la comunidad universitaria busca conocer de que forma poder
proteger y salvaguardar su informacin frente a cualquier peligro inminente
referido a seguridad de su informacin.
De la entrevista realizada al jefe de taller de cmputo se detecto que no existe un

comit encargado de la seguridad de la informacin, vindose reflejado parte de
ello en la no elaboracin de
documentos en los cuales se describan los
procedimientos, polticas de seguridad a utilizar y los controles que permitan

garantizar la autenticidad, confidencialidad y disponibilidad de los datos de los
usuarios, esto puede en un futuro ser un peligro latente ya que la USAT est
creciendo de forma considerada, pero en lo que si ponen un especial cuidado es
en estar capacitndose permanentemente para hacer frente a cualquier

eventualidad.
Se identifico que las personas que laboran en el rea de Taller de Computo

utilizan el antivirus nod 32 pero descosen el funcionamiento, esto se confirmo
cuando se le pregunto al jefe del rea acerca del antivirus con el que se cuenta y
su uso, pues nos dijo que el antivirus con el que se trabaja actualmente es el nod
32 business, que cuenta con la instalacin de un ThreatSense (sistema de alerta
temprana) que se actualiza automticamente y a cada hora, para mantener la red
de USAT segura, permitiendo de esta manera la poco participacin fsica con
respecto a la actualizacin entre los trabajadores y el antivirus.

Se constato que el trabajo que realizan los encargados de Taller de Computo es
realmente eficiente. Pero no se coincide con el jefe del area cuando
preguntamos con que tienen que ver los inconvenientes mas frecuentes que se
atienden, afirmndonos que la mayor parte de inconvenientes por no decir casi
todos son referentes a software, pues corroboro dicha afirmacin dejando claro
que no se adquiere hardware continuamente, mucho menos por inconvenientes,
y que los problemas normalmente son: por infeccin de virus, por la
manipulacin incorrecta de programas, entre otros referentes a hardware.

Es recomendable capacitar a los Alumnos como a Docentes y/o administrativos
de manera que se conozca un poco mas acerca del tema de seguridad de la
informacin, con la finalidad de minimizar los inconvenientes que se muestran,
pero no solo son los usuarios quienes debemos recibir dicha capacitacin, debe
ser difundida desde las reas que se encuentran directamente comprometidas con
el tema, con la finalidad de mejor en algn aspectos en los que se flaquea y/o
desconoce, ya que, el tema de seguridad es muy amplio y complejo.
Se evidencio que el personal que labora en el rea de Taller de Computo se

encuentra preparado para enfrentar cualquier situacin de emergencia con
respecto a desastres naturales y/o provocados, pues afirman haber recibido
capacitacin en lo que refiere a manejo de extintores, guiar debidamente a
usuarios a travs de sealizaciones, entre otros; muestran tambin el inters por
el desarrollo de proyectos que desde su rea beneficien a la institucin que
laboran.
CAPITULO IV
DESARROLLO DEL MODELO
DE SISTEMA DE GESTIN DE
SEGURIDAD DE LA
INFORMACIN (SGSI)
4.1. Arranque del proyecto

4.1.1. Compromiso de la Direccin
Para iniciar el desarrollo del proyecto de Sistema de Gestin de Seguridad de la
Informacin para la USAT, se entablo conversaciones con la encargada de
Vice-rectorado Acadmico, la seora Dra. Olinda Vigo quin hizo un estudio
respectivo al anteproyecto que se present. Paso siguiente se obtuvo la aceptacin
del proyecto y los permisos necesarios para poder desarrollarlo. Tambin se obtuvo
el respaldo necesario de los encargados de las reas a fines, sea, de los encargados
del manejo de la tecnologa de informacin y comunicacin dentro de la USAT.
Ambas partes estuvieron de acuerdo en mejorar ayudar a incrementar la cultura y
concienciacin respecto de lo que es seguridad de la informacin en toda la
comunidad universitaria, ya que este tema es de suma importancia en las
organizaciones del futuro.
4.1.2. Planificacin
Responsables
Bravo Jaico, Jessica Leila
De la Cruz Guerrero, Cesar Wenceslao
Vsquez Montenegro, Juan Carlos
Planificacin de fecha
DIAGRAMA DE GANT
Tabla 04: Diagrama de GANT

Fuente: Elaboracin Propia
4.2. Plan: Establecer el SGSI

4.2.1. Alcance del SGSI
El Sistema de Gestin de Seguridad de Informacin de la Universidad Catlica
Santo Toribio de Mogrovejo abarcara las reas de Desarrollo de Sistemas y Taller de
Cmputo dirigido exactamente a los jefes de dichas reas y sus trabajadores,
tambin se involucrar a la comunidad universitaria (alumnos, docentes y
administrativos) ya que no se encuentra ajena a esta realidad.
4.2.1.1. Objetivo del SGSI
Establecer un plan para proteger la informacin y los activos de la USAT a travs de
la confidencialidad, integridad y disponibilidad de los datos.
4.2.1.2. Advertencia
Cualquier miembro de las reas involucradas, comunidad universitaria y personal
vinculado con firmas que prestan servicios a la universidad, que se le encuentre
realizando actividades que contravengan esta poltica podr ser investigado y puede
ser causal de sanciones, sin perjuicio de las acciones disciplinarias y /o jurdicas que
puedan ser adelantadas por las entidades de control del estado.
4.2.2. Poltica de Seguridad
Poltica de seguridad de la informacin
4.2.2.1. Generalidades
La informacin es un recurso que, como el resto de los activos, tiene valor para la
USAT y por consiguiente debe ser debidamente protegida. Las Polticas de
Seguridad de la Informacin protegen a la misma de una amplia gama de amenazas,
a fin de garantizar la continuidad de los sistemas de informacin, minimizar los
riesgos de dao y asegurar el eficiente cumplimiento de los objetivos de la misma.
Es importante que los principios de la Poltica de Seguridad sean parte de la cultura
de la USAT. Para esto, se debe asegurar un compromiso manifiesto de las mximas
Autoridades de la USAT y de los titulares de las diferentes reas de la USAT para la
difusin, consolidacin y cumplimiento de la presente Poltica.
4.2.2.2. Objetivo principal
Fijar las directrices generales que orientan la Seguridad de la informacin en la

USAT, reflejando el compromiso, apoyo, inters, fomento y desarrollo de una
cultura de seguridad institucional.
4.2.2.3. Objetivo secundario
Proteger los recursos de informacin de la USAT y la tecnologa utilizada para

su procesamiento, frente a amenazas, internas o externas, deliberadas o
accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la informacin.
Asegurar la implementacin de las medidas de seguridad comprendidas en esta

Poltica,
identificando
los
recursos
las
partidas
presupuestarias
correspondientes, sin que ello implique necesariamente la asignacin de partidas

adicionales.
Mantener la Poltica de Seguridad de la USAT actualizada, a efectos de asegurar

su vigencia y nivel de eficacia.
4.2.2.4. Alcance
Esta Poltica se aplica en todo el mbito de la USAT, a sus recursos y a la totalidad
de los procesos, ya sean internos o externos vinculados a la entidad a travs de
contratos o acuerdos con terceros.
4.2.2.5. Responsabilidad
Todos los Altos Directivos, encargados de los Sistemas de informacin y otros son
responsables de la implementacin de esta Poltica de Seguridad de la Informacin
dentro de sus reas de responsabilidad, as como del cumplimiento de dicha Poltica
por parte de su equipo de trabajo.
La Poltica de Seguridad de la Informacin es de aplicacin obligatoria para todo la
comunidad universitaria y pasante, cualquiera sea su situacin de revista, el rea a la
cual se encuentre afectada y cualquiera sea el nivel de las tareas que desempee.
Las mximas autoridades del Organismo aprueban esta Poltica y son responsables
de la autorizacin de sus modificaciones. (Ver Anexo 10)
4.2.2.6. Aspectos Generales
Esta Poltica se conforma de una serie de pautas sobre aspectos especficos de la

Seguridad de la Informacin, que incluyen los siguientes tpicos:
Organizacin de la Seguridad
Orientado a administrar la seguridad de la informacin dentro de la USAT y

establecer un marco gerencial para controlar su implementacin.
Clasificacin y Control de Activos
Destinado a mantener una adecuada proteccin de los activos de la USAT.
Seguridad del Personal
Orientado a reducir los riesgos de error humano, comisin de ilcitos contra la USAT
o uso inadecuado de instalaciones.
Seguridad Fsica y Ambiental
Destinado a impedir accesos no autorizados, daos e interferencia a las sedes de

informacin de la USAT.
Gestin de las Comunicaciones y las Operaciones
Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de

procesamiento de la informacin y medios de comunicacin.
Control de Acceso
Orientado a controlar el acceso lgico a la informacin.
Desarrollo y Mantenimiento de los Sistemas
Orientado a garantizar la incorporacin de medidas de seguridad en los sistemas de

informacin desde su desarrollo y/o implementacin y durante su mantenimiento.
Administracin de la Continuidad de las Actividades del Organismo
Orientado a contrarrestar las interrupciones de las actividades y proteger los

procesos crticos de los efectos de fallas significativas o desastres.
Cumplimiento
Destinado a impedir infracciones y violaciones de las leyes del derecho civil y

penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o
contratos; y de los requisitos de seguridad.
4.2.2.7. Puntos de la documentacin de la poltica de seguridad de la
informacin
(Ver Anexo 11)
4.2.2.8. Sanciones previstas por incumplimiento

El incumplimiento de la Poltica de Seguridad de la Informacin tendr como
resultado la aplicacin de diversas sanciones, conforme a la magnitud y
caracterstica del aspecto no cumplido (Ver Anexo 12)
4.2.3. Metodologa
La metodologa para identificar y analizar los riesgos de la seguridad de la
informacin en la USAT ser la combinacin entre la metodologa COBIT y la
metodologa MAGERIT, de ellas slo tomaremos los puntos concernientes a
evaluacin de riesgos y como complemento se desarrollaran algunos agregados de
acuerdo a nuestras investigaciones realizadas. Como resultado se buscar conocer los
puntos dbiles concernientes a tecnologas de informacin y comunicacin,
concluyendo con definir una estrategia de aceptacin de riesgo.
4.2.3.1. Activos
A continuacin se muestra una lista de los activos ms importantes de la
Universidad Catlica Santo Toribio de Mogrovejo relacionados con los sistemas de
informacin.
Relacin de activos
[S] Servicios
Identificacin de usuario
Tramitacin presencial
Tramitacin intranet
Ingreso de datos acadmicos
Consulta de datos acadmicos
World Wide Web

Correo electrnico
Portal Web
Archivos histricos central
Almacenamiento de datos
Transferencia de datos
Intercambio electrnico de datos
Servicio de directorio (1)
Gestin de identidades (2)
Gestin de privilegios
1. Localizacin de personas, empresas o servicios; permitiendo la identificacin y
facilitando los atributos que caracterizan al elemento determinado.

2. Servicios que permiten altas y bajas de usuarios de los sistemas, incluyendo su
caracterizacin y activando los servicios de aprovisionamiento asociados a sus
cambios de estado respecto de la organizacin.
[D] Datos / Informacin

Datos vitales (vital records) (1)
Datos de inters acadmico (2)
Datos de inters para la administracin
Datos de gestin interna
Voz
Multimedia
Cdigo fuente
Cdigo ejecutable
Datos de configuracin
Registro de actividad (bitcora)
Datos de prueba
Datos de carcter personal (3)

De nivel alto
De nivel medio
De nivel bsico
Datos clasificados (4)

Secreto
Reservado
Confidencial
Difusin limitada
Sin clasificar
1. Dcese de aquellos que son esenciales para la supervivencia de la Organizacin;

es decir que su carencia o dao afectara directamente a la existencia de la
Organizacin. Se pueden identificar aquellos que son imprescindibles para que
la Organizacin supere una situacin de emergencia, aquellos que permiten
desempear o reconstruir las misiones crticas, aquellos sustancian la naturaleza
legal o los derechos financieros de la Organizacin o sus usuarios.
2. Dcese de aquellos que tienen valor para la prestacin de los servicios propios
de la organizacin.
3. Dcese de cualquier informacin concerniente a personas fsicas identificadas o
identificables.
Los datos de carcter personal estn regulados por leyes y reglamentos en
cuanto afectan a las libertades pblicas y los derechos fundamentales de las
personas fsicas, y especialmente su honor e intimidad personal y familiar.
4. Dcese de aquellos sometidos a normativa especfica de control de acceso y
distribucin; es decir aquellos cuya confidencialidad es especialmente relevante.
La tipificacin de qu datos deben ser clasificados y cuales son las normas para
su tratamiento, vienen determinadas por regulaciones sectoriales, por acuerdos
entre organizaciones o por normativa interna.
[SW] Aplicaciones (software)

Desarrollo propio (in house)
Estndar (off the shelf)
Navegador web
Servidor web
Servidor de aplicaciones
Servidor de base de datos
Cliente de correo electrnico
Sistema de gestin de bases de datos
Ofimtica
Antivirus
Sistema operativo
Sistema de backup
[HW] Equipos informticos (hardware)

Grandes equipos (1)
Equipos medios (2)
Informtica personal (3)
Fcilmente reemplazable (4)
Que almacena datos (5)
Perifricos
Medios de impresin (6)
Escner
Soporte de la red (7)
Mdems
Conmutadores administrables (switch)
Encaminadotes (router)
Pasarelas (bridge)
Cortafuegos
Punto de acceso wireless
Central telefnica
1. Se caracterizan por haber pocos, frecuentemente uno slo, ser econmicamente

gravosos y requieren un entorno especfico para su operacin. Son difcilmente
reemplazables en caso de destruccin.
2. Se caracterizan por haber varios, tener un coste econmico medio tanto de
adquisicin como de mantenimiento e imponer requerimientos estndar como
entorno de operacin. No es difcil reemplazarlos en caso de destruccin.
3. Se caracterizan por ser multitud, tener un coste econmico relativamente
4.
5.
6.
7.
pequeo e imponer solamente unos requerimientos mnimos como entorno de

operacin. Son fcilmente reemplazables en caso de destruccin.
Son aquellos equipos que, en caso de avera temporal o definitiva pueden ser
reemplazados pronta y econmicamente.
Son aquellos equipos en los que los datos permanecen largo tiempo. En
particular, se clasificarn de este tipo aquellos equipos que disponen de los
datos localmente, a diferencia de aquellos que slo manejan datos en trnsito.
Dcese de impresoras y servidores de impresin.
Dcese de equipamiento necesario para transmitir datos: routers, mdems, etc.
[COM] Redes de comunicaciones

Red telefnica
ADSL
Punto a punto
Red inalmbrica
Red local
Internet
[SI] Soportes de informacin

Electrnicos
Almacenamiento en red
Disquetes
Cederrn (CD-ROM)
Dispositivos USB
DVD
Disco duro externo
No electrnicos
Material impreso
Microfilm
[AUX] Equipamiento auxiliar

Fuentes de alimentacin
Sistemas de alimentacin ininterrumpida
Generadores elctricos
Equipos de climatizacin
Cableado
Discos
Suministros esenciales
Mobiliario: armarios, etc
Cajas fuertes
Pozo a tierra
[L] Instalaciones
reas
Oficinas
Laboratorios de cmputo
Edificio
[P] Persona
Usuarios internos
Operadores
Administradores de sistemas
Administradores de comunicaciones
Administradores de BBDD
Desarrolladores
4.2.3.2. Dependencias
Para establecer la dependencia que existe entre uno y otro activo de la USAT, nos
adaptamos a la Organizacin objeto del anlisis y estructuramos su dependencia por
medio de una tabla de doble entrada.
Tabla de dependencias
[S]
[S]
[D]
[SW]
[HW]
[COM]
[SI]
[AUX]
[L]
[P]
[D]
x
[SW] [HW] [COM]
[SI] [AUX] [L] [P]
X
x
x
x
x
x
4.2.3.3. Dimensiones de valoracin

Relacin de dimensiones
[D] disponibilidad
Aseguramiento de que los usuarios autorizados tengan acceso a la informacin y
sus activos asociados cuando lo requieran.

[I] integridad de los datos
Garanta de la exactitud y completitud de la informacin y los mtodos de su
procesamiento.
[C] confidencialidad de los datos
Aseguramiento de que la informacin es accesible slo para aquellos
autorizados a tener acceso.
[A_S] autenticidad de los usuarios del servicio
Aseguramiento de la identidad u origen.
[A_D] autenticidad del origen de los datos
Aseguramiento de la identidad u origen.
[T_S] trazabilidad del servicio
Aseguramiento de que en todo momento se podr determinar quin hizo qu y
en qu momento.
[T_D] trazabilidad de los datos
Aseguramiento de que en todo momento se podr determinar quin hizo qu y
en qu momento.
ANEXOS
Anexo 01
A.5 Poltica de seguridad

A.5.1 Poltica de seguridad de la informacin
Objetivo: Proveer direccin y soporte de la direccin para la seguridad de la informacin
conforme a los requisitos del negocio, las leyes y reglamentos pertinentes.
A.5.1.1
Documento de poltica de Control
seguridad de la
El documento de poltica de seguridad de la
Informacin
informacin deber ser aprobado por Gerencia,
y publicado y comunicado a todos los
empleados y terceros pertinentes.
A.5.1.2
Revisin de la poltica de Control
seguridad de la
La poltica de seguridad de la informacin
informacin
deber revisarse a intervalos planeados o si
ocurren cambios significativos, para asegurar la
continuidad de su propiedad, adecuacin y
efectividad
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin interna
Objetivo: Gestionar la seguridad de la informacin dentro de la organizacin.
A.6.1.1
Compromiso de la Gerencia con Control
la seguridad de la Informacin.
La Gerencia deber apoyar activamente la
seguridad dentro de la organizacin mediante
una direccin clara, compromiso demostrado,
delegacin explcita, y reconocimiento de las
responsabilidades de seguridad de la
informacin.
A.6.1.2
Coordinacin de seguridad de la Control
informacin
Las actividades de seguridad de la informacin
debern coordinarse con los representantes de
diferentes partes de la organizacin que tengan
funciones y trabajos pertinentes.
A.6.1.3
Aplicacin de responsabilidades Control
de seguridad de la informacin
Todas las responsabilidades de seguridad de la
informacin deben definirse claramente.
A.6.1.4
Proceso de autorizacin para Control
instalaciones de procesamiento Deber definirse e implementarse un proceso
de informacin.
de autorizacin de gerencia para nuevas
instalaciones de procesamiento de la
informacin.
A.6.1.5
Convenios de confidencialidad
Control
Los requerimientos de convenios de
confidencialidad o de no divulgacin que
reflejen las necesidades de la organizacin para
proteccin de la informacin debern ser
identificados y revisados peridicamente.
A.6.1.6
Contacto con las autoridades
Control
Debern mantenerse contactos apropiados con
las autoridades pertinentes.
A.6.1.7
Contacto con los grupos de Control
inters especial
Debern mantenerse contactos apropiados con
los grupos de inters especial u otros foros
especializados de seguridad y asociaciones
profesionales.
A.6.1.8
Revisin independiente de la Control
seguridad de la informacin
El enfoque de la organizacin a la gestin de la

seguridad de la informacin (objetivos de
control, controles, polticas, procesos, y
procedimientos de seguridad de la informacin)
deber
revisarse
independientemente
a
intervalos planeados, o cuando ocurran
cambios significativos en la implementacin de
la seguridad.
A.6.2 Terceros
Objetivo: Mantener la seguridad de la informacin y de las instalaciones de procesamiento de
informacin de la organizacin, que son accesadas, procesadas, comunicadas a terceros, o
administradas por terceros.
A.6.2.1
Identificacin de los riesgos Control
relacionados con terceros.
Debern identificarse los riesgos para la
informacin e instalaciones de procesamiento
de
informacin
de
la
organizacin,
provenientes de procesos de negocios que
involucran a terceros, e implementarse
controles adecuados antes de conceder acceso.
A.6.2.2
Enfocar la seguridad en el trato Control
con los clientes
Debern enfocarse todos los requisitos de
seguridad identificados antes de darles a los
clientes acceso a la informacin o activos de la
organizacin.
A.6.2.3
Enfocar la seguridad en los Control
convenios con terceros.
Los convenios con terceros que involucren
acceder, procesar, comunicar o administrar la
informacin o instalaciones de procesamiento
de informacin de la organizacin, o agregar
productos o servicios a dichas instalaciones,
debern abarcar todos los requisitos de
seguridad pertinentes
A.7 Gestin de activos
A.7.1 Responsabilidad por los activos
Objetivo: Alcanzar y mantener una proteccin adecuada de los activos de la organizacin.
A.7.1.1
Inventario de activos
Control
Todos los activos debern identificarse
claramente y efectuarse y mantenerse un
inventario de todos los activos importantes.
A.7.1.2
Propiedad de activos
Control
Toda la informacin y activos relacionados con
instalaciones de procesamiento de informacin
debern tener un dueo2 que sea un miembro
designado de la organizacin.
A.7.1.3
Uso aceptable de los activos
Control
Debern
identificarse,
documentarse
e
implementarse reglas para el uso aceptable de
la informacin y de los activos relacionados
con las instalaciones de procesamiento de
informacin.
A.7.2 Clasificacin de la informacin

Objetivo: Asegurar que la informacin reciba el nivel de proteccin adecuado.
A.7.2.1
Pautas de clasificacin
Control
A.7.2.2
Rotulacin y manipulacin de la
informacin
La informacin deber clasificarse en funcin

de su valor, requisitos legales, sensibilidad y
criticabilidad para la organizacin.
Control
Deber prepararse e implementarse un conjunto
de procedimientos adecuados para la rotulacin
y manipulacin de la informacin, de acuerdo
al esquema de clasificacin adoptado por la
organizacin.
A.8 Seguridad de los recursos humanos

A.8.1 Antes del empleo
Objetivo: Asegurar que los empleados, contratistas y usuarios de terceros entiendan sus
responsabilidades y sean adecuados para las funciones en las que se les ha considerado, as
como reducir el riesgo de robo, estafa o mal uso de las instalaciones
A.8.1.1
Funciones y responsabilidades
Control
Las funciones y responsabilidades de seguridad
de los empleados, contratistas y usuarios de
terceros debern definirse y documentarse de
acuerdo a la poltica de seguridad de
A.8.1.2
Tamizaje
Control
Deber efectuarse la verificacin de
antecedentes de todos los candidatos a empleo,
contratistas, y usuarios de terceros, conforme a
las leyes, reglamentos y tica pertinentes, y en
proporcin a los requisitos del negocio, la
clasificacin de la informacin a ser accedida,
y a los riesgos percibidos.
A.8.1.3
Trminos y condiciones de Control
empleo
Como parte de su obligacin contractual, los
empleados, contratistas y usuarios de terceros
debern aceptar y firmar los trminos y
condiciones de su contrato de empleo, el cual
deber indicar sus responsabilidades de
seguridad de la informacin as como las de la
organizacin.
A.8.2 Durante el empleo
Objetivo: Asegurar que todos los empleados, contratistas y usuarios de terceros conozcan las
amenazas y problemas de seguridad de la informacin, as como sus responsabilidades y
obligaciones, y estn capacitados para apoyar la poltica de seguridad de la organizacin en el
curso de su trabajo normal, y reducir el riesgo de error humano.
A.8.2.1
Responsabilidades de la Gerencia Control
La Gerencia exigir que los empleados,
contratistas y usuarios de terceros apliquen la
seguridad de acuerdo con las polticas y
procedimientos
establecidos
por
la
organizacin.
A.8.2.2
Concientizacin, educacin y Control
entrenamiento de seguridad de la Todo el personal de la organizacin y, cuando
informacin
sea pertinente, los contratistas y usuarios de
terceros, debern recibir el entrenamiento de
concientizacin adecuado y actualizaciones
peridicas de polticas y procedimientos de la
organizacin, segn corresponda a sus
A.8.2.3
Proceso disciplinario
funciones de trabajo.
Control
Habr un proceso disciplinario formal para los
empleados que hayan cometido una violacin
de seguridad.
A.8.3 Terminacin o cambio de empleo

Objetivo: Asegurar que los empleados, contratistas y usuarios de terceros salgan de una
organizacin o cambien de empleo en forma ordenada.
A.8.3.1
Responsabilidades
de Control
terminacin
Debern definirse y asignarse claramente las
responsabilidades para efectuar la terminacin
del empleo o cambio de empleo.
A.8.3.2
Devolucin de activos
Control
Todos los empleados, contratistas y usuarios de
terceros debern devolver todos los activos de
la organizacin en su poder al terminar su
empleo, contrato o convenio.
A.8.3.3
Retiro de derechos de acceso
Control
Los derechos de acceso de todos los
empleados, contratistas y usuarios de terceros a
la informacin y a las instalaciones de
procesamiento de informacin debern retirarse
al terminar su empleo, contrato o convenio, o
modificarse segn el cambio.
A.9 Seguridad fsica y ambiental
A.9.1 reas aseguradas
Objetivo: Impedir el acceso fsico no autorizado, daos e interferencias en los locales y la
A.9.1.1
Permetro de seguridad fsico
Control
Permetros de seguridad (barreras tales como
muros, puertas controladas por tarjeta o
recepcionistas) debern utilizarse para proteger
las reas que contienen informacin y las
instalaciones de procesamiento de informacin.
A.9.1.2
Controles de ingreso fsico
Control
Las reas seguras debern protegerse mediante
controles de ingreso adecuados para asegurar
que slo se permita el acceso del personal
autorizado.
A.9.1.3
Aseguramiento
de
oficinas, Control
cuartos e instalaciones
Deber disearse y aplicarse seguridad fsica
para las oficinas, cuartos e instalaciones.
A.9.1.4
Proteccin contra amenazas Control
exteriores y
Deber disearse y aplicarse proteccin fsica
ambientales
contra daos por incendio, inundacin,
terremoto, explosin, desorden civil, y otras
formas de desastres naturales o artificiales.
A.9.1.5
Trabajo en reas aseguradas
Control
Las reas seguras debern protegerse mediante
controles de ingreso adecuados para asegurar
que slo se permita el acceso del personal
autorizado.
A.9.1.6
Acceso pblico, reas de entrega Control
y carga
Los puntos de acceso tales como las reas de
entrega y carga y otros puntos donde personas

no autorizadas pueden ingresar a los locales
debern controlarse y, de ser posible, aislarse
de las instalaciones de procesamiento de
informacin para evitar el acceso no
autorizado.
A.9.2 Seguridad del equipo
Objetivo: Impedir la prdida, dao, robo o compromiso de activos as como interrupcin de las
actividades de la organizacin.
A.9.2.1
Ubicacin y proteccin del Control
equipo
El equipo deber ubicarse y protegerse para
reducir los riesgos de amenazas y peligros
ambientales, y las oportunidades de acceso no
autorizado.
A.9.2.2
Servicios de soporte
Control
El equipo deber estar protegido contra cortes
de energa y otros trastornos ocasionados por
fallas en los servicios de soporte.
A.9.2.3
Seguridad del cableado
Control
El cableado de energa y telecomunicaciones
que conduzca datos o soporte los servicios de
informacin deber estar protegido de
intercepcin o dao.
A.9.2.4
Mantenimiento del equipo
Control
El equipo deber mantenerse correctamente
para asegurar su continua disponibilidad e
integridad.
A.9.2.5
Seguridad del equipo fuera de las Control

instalaciones
Deber aplicarse seguridad al equipo fuera de
las instalaciones, teniendo en cuenta los
diversos riesgos de trabajar fuera de las
instalaciones de la organizacin.
Eliminacin
o
reutilizacin Control
A.9.2.6
segura del equipo
Todos los artculos de equipo que contengan
medios de almacenamiento debern revisarse
para asegurar la remocin o sobre escritura
apropiada de cualquier informacin sensible y
software autorizado antes de su eliminacin.
A.9.2.7
Remocin de propiedad
Control
No se sacar equipo, informacin o software
fuera de las instalaciones sin previa
autorizacin.
A.10 Gestin de comunicaciones y operaciones
A.10.1 Procedimientos y responsabilidades operativas
Objetivo: Asegurar la correcta y segura operacin de los recursos de procesamiento de
informacin.
A.10.1.1
Procedimientos
operativos Control
documentados
Los procedimientos operativos debern
documentarse, mantenerse y ponerse a
disposicin de todos los usuarios que los
necesiten.
A.10.1.2
Gestin de los cambios
Control
Se controlarn los cambios en las instalaciones
y sistemas de procesamiento de informacin.

Control
Los deberes y reas de responsabilidad debern
separarse para reducir las oportunidades de
modificacin no autorizada o inadvertida o mal
uso de los activos de la organizacin.
A.10.1.4
Separacin de instalaciones de Control
desarrollo, prueba y operaciones
Las instalaciones de desarrollo, prueba y
operaciones debern separarse para reducirlos
riesgos de acceso o cambios no autorizados al
sistema operativo.
A.10.2 Gestin de servicios de terceros
Objetivo: Implementar y mantener el nivel adecuado de seguridad de informacin y servicios en
lnea con los convenios de servicios por terceros.
A.10.2.1
Entrega de servicios
Control
Se deber asegurar que los controles de
seguridad, definiciones de servicio y niveles de
entrega incluidos en el convenio de servicios
por terceros, sean implementados, operados y
mantenidos por el tercero.
A.10.2.2
Monitoreo y revisin de servicios Control
de terceros
Los
servicios,
informes
y
registros
suministrados
por
terceros
debern
monitorearse y revisarse peridicamente, y
efectuarse auditorias regularmente.
A.10.2.3
Gestin de cambios en terceros
Control
Deber gestionarse los cambios en la provisin
de servicios, incluyendo el mantenimiento y
mejora de las polticas, procedimientos y
controles de seguridad de informacin
existentes, tomando en cuenta la criticabilidad
de los sistemas y procesos de negocios
involucrados y la reevaluacin de los riesgos.
A.10.3 Planeamiento y aceptacin de sistemas
Objetivo: Minimizar el riesgo de fallas de sistemas.
A.10.3.1
Gestin de la capacidad
Control
El uso de los recursos debe monitorearse y
refinarse, y deben hacerse proyecciones de las
necesidades de capacidad futuras para asegurar
el desempeo requerido del sistema.
A.10.3.2
Aceptacin de sistemas
Control
Debern establecerse criterios de aceptacin de
nuevos
sistemas
de
informacin,
actualizaciones y nuevas versiones, y realizarse
pruebas adecuadas de los sistemas durante el
desarrollo y antes de la aceptacin.
A.10.4 Proteccin contra cdigo malicioso y cdigo mvil
Objetivo: Proteger la integridad del software y la informacin.
A.10.4.1
Controles
contra
cdigo Control
malicioso
Deber implementarse controles de deteccin,
prevencin y recuperacin para protegerse
contra
cdigo
malicioso
as
como
procedimientos adecuados de concientizacin
de usuarios.
A.10.1.3
Separacin de deberes
A.10.4.2
Controles contra cdigo mvil
Control
Cuando el uso de cdigo mvil est autorizado,
la configuracin deber asegurar que
el cdigo mvil autorizado opere segn una
poltica de seguridad claramente definida, y
se impedir la ejecucin de cdigo mvil no
autorizado.
A.10.5 Respaldo
Objetivo: Mantener la integridad y disponibilidad de la informacin y de las instalaciones de
procesamiento de informacin.
A.10.5.1
Respaldo de la informacin
Control
Debern hacerse copias de respaldo de la
informacin y el software, y probarse
peridicamente segn la poltica de respaldo
convenida.
A.10.6 Gestin de seguridad de redes
Objetivo: Asegurar la proteccin de la informacin en redes y la proteccin de la infraestructura
de soporte.
A.10.6.1
Controles de redes
Control
Las redes debern manejarse y controlarse
debidamente, a fin de protegerse de amenazas,
y mantener la seguridad de los sistemas y
aplicaciones que usan la red, incluyendo la
informacin en trnsito.
A.10.6.2
Seguridad de los servicios de red Control
Las caractersticas de seguridad, niveles de
servicio, y requisitos de gestin de todos los
servicios de red debern identificarse e
incluirse en cualquier convenio de servicios de
red, ya sea que los servicios se provean
internamente o del exterior.
A.10.7 Manipulacin de medios
Objetivo: Impedir la divulgacin, modificacin, remocin o destruccin no autorizadas de
activos, y la interrupcin de las actividades de negocios.
A.10.7.1
Manejo de medios removibles
Control
Deber haber procedimientos para el manejo de
medios removibles.
A.10.7.2
Eliminacin de medios
Control
Los medios debern eliminarse de modo seguro
y sin riesgo de accidente cuando no se les
necesite ms, usando procedimientos formales.
A.10.7.3
Procedimientos de manipulacin Control
de informacin
Debern establecerse procedimientos para la
manipulacin
y
almacenamiento
de
informacin, a fin de protegerla de la
divulgacin no autorizada o del mal uso.
A.10.7.4
Seguridad de la documentacin Control
del sistema
Deber protegerse la documentacin del
sistema contra el acceso no autorizado.
A.10.8 Intercambio de informacin
Objetivo: Mantener la seguridad de la informacin y software que se intercambian dentro de
una organizacin y con cualquier organizacin exterior.
A.10.8.1
Polticas y procedimientos de Control
intercambio de informacin
A.10.8.2
Convenios de intercambio
A.10.8.3
Medios fsicos en trnsito
A.10.8.4
Mensajera electrnica
A.10.8.5
Sistemas
negocios
de
informacin
Debern existir polticas, procedimientos y

controles formales de intercambio de
informacin para protegerlo mediante el uso de
todo tipo de facilidades de comunicacin.
Control
Debern establecerse convenios para el
intercambio de informacin y software entre
la organizacin y organismos externos.
Control
Los medios que contengan informacin
debern protegerse contra el acceso no
autorizado, el mal uso o corrupcin durante su
transporte ms all de los lmites fsicos de una
organizacin.
Control
La informacin contenida en la mensajera
electrnica deber protegerse debidamente.
de Control
Debern prepararse e implementarse polticas y
procedimientos para proteger la informacin
relacionada con la interconexin de los
sistemas de informacin de negocios.
A.10.9 Servicios de comercio electrnico

Objetivo: Verificar la seguridad de los servicios de comercio electrnico y su uso seguro.
A.10.9.1
Comercio electrnico
Control
La informacin involucrada en el comercio
electrnico que circula por redes pblicas,
deber protegerse de la actividad fraudulenta,
objecin de contrato y de la divulgacin y
modificacin no autorizadas.
A.10.9.2
Transacciones en lnea
Control
La
informacin
involucrada
en
las
transacciones en lnea deber protegerse para
impedir su transmisin incompleta, desviacin,
alteracin no autorizada del mensaje,
divulgacin no autorizada, y duplicacin o
reproduccin no autorizadas del mensaje.
A.10.9.3
Informacin
disponible Control
pblicamente
Deber protegerse la integridad de la
informacin colocada en un sistema de
disponibilidad pblica para impedir su
modificacin no autorizada.
A.10.10 Monitoreo
Objetivo: Detectar actividades de procesamiento de informacin no autorizadas
A.10.10.1 Registros de auditoria
Control
Los registros de auditoria que graban las
actividades, excepciones, y eventos de
seguridad de la informacin de los usuarios
debern existir y mantenerse durante un
perodo convenido para asistir futuras
investigaciones y en el monitoreo de control de
acceso.
A.10.10.2 Monitoreo del uso del sistema
Control
Debern establecerse procedimientos para
monitorear el uso de las instalaciones de

procesamiento de informacin, y los resultados
de las actividades de monitoreo debern
revisarse regularmente.
A.10.10.3 Proteccin de la informacin de Control
registro
Las instalaciones de registro y la informacin
de registro debern protegerse contra las
alteraciones y el acceso no autorizado.
A.10.10.4 Registros de Administrador y Control
operador
Se debern registrar las actividades del
administrador del sistema y del operador del
sistema.
A.10.10.5 Registro de fallas
Control
Las fallas debern registrarse, analizarse y
debern tomarse las medidas adecuadas.
A.10.10.6 Sincronizacin de reloj
Control
Los relojes de todos los sistemas de
procesamiento de informacin pertinentes
dentro de una organizacin o dominio de
seguridad, debern sincronizarse con una
fuente de tiempo exacto convenida.
A.11 Control de acceso
A.11.1 Requisito de negocios para el control de acceso
Objetivo: Controlar el acceso a la informacin
A.11.1.1
Poltica de control del acceso
Control
Se deber establecer, documentar, y revisar una
poltica de control del acceso basada en los
requisitos de negocios y de seguridad para el
acceso.
A.11.2 Gestin del acceso de usuarios
Objetivo: Asegurar el acceso de usuarios autorizados e impedir el acceso no autorizado a los
sistemas de informacin.
A.11.2.1
Inscripcin de usuarios
Control
Deber haber un procedimiento formal de
inscripcin y des-inscripcin de usuarios para
otorgar y revocar el acceso a todos los sistemas
y servicios de informacin.
A.11.2.2
Gestin de privilegios
Control
Deber restringirse y controlarse la asignacin
y uso de privilegios.
A.11.2.3
Manejo de contrasea de Control
usuarios
La asignacin de contraseas deber
controlarse mediante un proceso de manejo
formal.
A.11.2.4
Revisin de derechos de acceso Control
de usuarios
La gerencia deber revisar los derechos de
acceso de usuarios a intervalos regulares
utilizando un procedimiento formal.
A.11.3 Responsabilidades de los usuarios

Objetivo: Impedir el acceso de usuario no autorizado, as como el compromiso o robo de
informacin o de instalaciones de procesamiento de informacin.
A.11.3.1
Uso de contraseas
Control
Se deber exigir a los usuarios que sigan
buenas prcticas de seguridad en la seleccin y
uso de las contraseas.

A.11.3.2
Equipo de usuario no atendido
Control
Los usuarios debern asegurar que el equipo no
atendido tenga proteccin adecuada.
A.11.3.3
Poltica de escritorio limpio y Control
pantalla limpia
Deber adoptarse una poltica de escritorio
limpio de papeles y medios de almacenamiento
removibles, y una poltica de pantalla limpia
para instalaciones de procesamiento de
informacin.
A.11.4 Control del acceso a redes
Objetivo: Prevenir el acceso no autorizado a los servicios de redes.
Poltica sobre uso de servicios de Control
A.11.4.1
redes
A los usuarios slo deber drseles acceso a los
servicios que estn especficamente autorizados
para usar.
A.11.4.2
Autenticacin de usuarios para Control

conexiones remotas
Debern usarse mtodos de autenticacin
apropiados para controlar el acceso de usuarios
remotos.
Identificacin de equipo en redes Control
La identificacin automtica de equipo deber
considerarse como un medio de autenticar las
conexiones desde lugares y equipo especficos.
Proteccin de puertos de Control
diagnstico y configuracin Deber controlarse el acceso fsico y lgico a
remotos.
los puertos de diagnstico y configuracin.
A.11.4.3
A.11.4.4
A.11.4.5
Separacin en las redes
A.11.4.6
Control de conexin a redes
A.11.4.7
Controles de ruteo de redes
Control
En las redes debern separarse los grupos de
servicios de informacin, usuarios y sistemas
de informacin.
Control
En redes compartidas, especialmente aquellas
que se extienden ms all de los lmites de la
organizacin, deber restringirse la capacidad
de los usuarios para conectarse a la red,
conforme a la poltica de control de acceso y a
los requisitos de las aplicaciones de negocios
(ver 11.1).
Control
Deber implementarse el control de ruteo de
redes para asegurar que las conexiones y los
flujos de informacin de computadores no
violen la poltica de control de acceso de las
aplicaciones de negocios.
A.11.5 Control de acceso al sistema operativo

Objetivo: Impedir el acceso no autorizado a los sistemas operativos
A.11.5.1
Procedimientos seguros de inicio Control
de sesin
El acceso a los sistemas operativos deber
controlarse mediante un procedimiento seguro
de inicio de sesin.
A.11.5.2
Identificacin y autenticacin de Control

usuario
Todos los usuarios debern tener un cdigo de
idorganizacin nico para uso personal
solamente, y deber seleccionarse una tcnica
de autenticacin apropiada para fundamentar la
idorganizacin reclamada por un usuario.
A.11.5.3
Sistema
de
manejo
de Control
contraseas
Los sistemas de manejo de contraseas debern
ser interactivos y debern asegurar contraseas
de calidad.
A.11.5.4
Uso de utilitarios de sistema
Control
El uso de programas utilitarios que podran ser
capaces de cancelar los controles de sistema y
de aplicacin deber restringirse y controlarse
estrictamente.
A.11.5.5
Expiracin de sesin
Control
Las sesiones inactivas debern cerrarse despus
de un perodo de inactividad definido.
A.11.5.6
Limitacin del tiempo de Control
conexin
Deber usarse restricciones del tiempo de
conexin para proveer seguridad adicional a las
aplicaciones de alto riesgo.
A.11.6 Control del acceso a aplicacin e informacin
Objetivo: Impedir el acceso no autorizado a la informacin contenida en los sistemas de
aplicaciones
A.11.6.1
Restriccin del acceso a la Control
informacin
El acceso por los usuarios a las funciones del
sistema de informacin y aplicaciones deber
restringirse segn la poltica de control de
acceso definida.
A.11.6.2
Aislamiento
sensibles
de
sistemas
Control
Los sistemas sensibles debern tener un
ambiente de computacin dedicado (aislado).
A.11.7 Computacin mvil y teletrabajo

Objetivo: Asegura la seguridad de la informacin cuando se utilice computacin mvil y
actividades de teletrabajo
A.11.7.1
Computacin y comunicaciones Control
mviles
Deber existir una poltica formal y adoptarse
medidas de seguridad adecuadas para
protegerse contra los riesgos de usar facilidades
mviles de computacin y comunicacin.
A.11.7.2
Teletrabajo
Control
Deber prepararse e implementarse una
poltica, planes y procedimientos operativos
para las actividades de teletrabajo.
A.12 Adquisicin, desarrollo y mantenimiento de sistemas de informacin

A.12.1 Requisitos de seguridad para sistemas de informacin
Objetivo: Exigir que la seguridad sea parte integral de los sistemas de informacin
A.12.1.1
Anlisis y especificacin de Control
requisitos de seguridad
Los enunciados de requisitos de negocios para
nuevos sistemas de informacin, o para mejoras
de sistemas de informacin existentes, debern
especificar los requisitos para controles de

seguridad.
A.12.2 Procesamiento correcto en aplicaciones
Objetivo: Prevenir errores, prdidas, modificacin no autorizada o mal uso de la informacin en
aplicaciones
A.12.2.1
Validacin de datos de entrada
Control
Los datos de entrada para aplicaciones debern
validarse para asegurar que estos datos son
correctos y adecuados.
A.12.2.2
Control de procesamiento interno Control
Debern incorporarse comprobaciones de
validacin en las aplicaciones, para detectar
cualquier corrupcin de informacin debido a
errores de proceso o actos deliberados.
A.12.2.3
Integridad del mensaje
Control
Debern identificarse los requerimientos para
asegurar la autenticidad y proteger la integridad
del mensaje en las aplicaciones, as como
identificarse e implementarse los controles
apropiados.
A.12.2.4
Validacin de datos de salida
Control
Los datos de salida de las aplicaciones debern
validarse para asegurar que el procesamiento de
la informacin almacenada es correcto y
adecuado a las circunstancias.
A.12.3 Controles criptogrficos
Objetivo: Proteger la confidencialidad, autenticidad o integridad de la informacin por medios
criptogrficos.
A.12.3.1
Poltica sobre el uso de controles Control
criptogrficos
Deber prepararse e implementarse una poltica
sobre el uso de controles criptogrficos para
proteccin de la informacin.
A.12.3.2
Administracin de claves
Control
Deber efectuarse la administracin de claves
para apoyar el uso de tcnicas criptogrficas en
la organizacin.
A.12.4 Seguridad de archivos del sistema
Objetivo: Establecer la seguridad de los archivos del sistema
A.12.4.1
Control del software operativo Control
Debern existir procedimientos para controlar
la instalacin de software en los sistemas
operativos.
A.12.4.2
Proteccin de datos de prueba del Control
sistema
Los datos de prueba debern seleccionarse
cuidadosamente,
y
ser
protegidos
y
controlados.
A.12.4.3
Control del acceso a cdigo Control
fuente de programas
Deber restringirse el acceso al cdigo fuente
de programas.
A.12.5 Seguridad en los procesos de desarrollo y soporte
Objetivo: Mantener la seguridad del software e informacin del sistema de aplicaciones
A.12.5.1
Procedimientos de control de Control
cambios
La implementacin de cambios deber

controlarse mediante el uso de procedimientos
formales de control de cambios.
A.12.5.2
Revisin tcnica de aplicaciones Control
despus de
Cuando se cambien los sistemas operativos,
cambios en el sistema operativo
debern revisarse y probarse las aplicaciones de
negocios crticas para asegurar que no existe
impacto negativo en las operaciones o
seguridad de la organizacin.
A.12.5.3
Restricciones a cambios en Control
paquetes de software
Deber desalentarse las modificaciones a los
paquetes de software, limitarse a los cambios
necesarios, y todos los cambios debern
controlarse estrictamente.
A.12.5.4
Filtraciones de informacin
Control
Deber evitarse las ocasiones de filtracin de
informacin.
A.12.5.5
Desarrollo de programas por Control
terceros
La organizacin deber supervisar y monitorear
el desarrollo de programas por terceros.
A.12.6 Gestin de vulnerabilidades tcnicas
Objetivo: Reducir los riesgos resultantes de la explotacin de vulnerabilidades tcnicas
publicadas.
A.12.6.1
Control de vulnerabilidades Control
tcnicas
Deber obtenerse informacin oportuna sobre
las vulnerabilidades tcnicas de los sistemas de
informacin en uso, evaluarse la exposicin de
la organizacin a esas vulnerabilidades, y
tomarse medidas adecuadas para resolver el
riesgo relacionado.
A.13 Gestin de incidentes de seguridad de la informacin
A.13.1 Reportes de eventos y debilidades de seguridad de la informacin
Objetivo: Asegurar que los eventos y debilidades de la seguridad de la informacin asociadas
con los sistemas de informacin sean comunicados de tal manera que se tomen las acciones
correctivas oportunamente.
A.13.1.1
Reportes de eventos de seguridad Control
de la
Los eventos de seguridad de la informacin
informacin
debern reportarse por medio de los canales de
gerencia apropiados tan pronto como sea
posible.
A.13.1.2
Reportes de debilidades de Control
seguridad
Los eventos de seguridad de la informacin
debern reportarse por medio de los canales de
gerencia apropiados tan pronto como sea
posible.
A.13.2 Gestin de incidentes y mejoras de seguridad de la informacin
Objetivo: Verificar que se aplique un enfoque uniforme y efectivo a la gestin de la seguridad
de la informacin.
A.13.2.1
Responsabilidades
procedimientos
y Control
Debern establecerse responsabilidades y
procedimientos de gerencia para asegurar la
respuesta rpida, efectiva y ordenada a los
A.13.2.2
Aprendiendo de los incidentes de

A.13.2.3
Recoleccin de evidencia
incidentes de seguridad de la informacin.

Control
Debern existir mecanismos en ejecucin que
permitan cuantificar y monitorear los tipos,
volmenes, y costos de los incidentes de
Control
Cuando la accin de seguimiento contra una
persona o organizacin despus de un incidente
de seguridad de la informacin involucre
medidas legales (ya sea civiles o
penales), deber recolectarse, retenerse y
presentarse evidencia de conformidad con las
reglas de prueba establecidas en la legislacin
pertinente.
A.14 Gestin de la continuidad de negocios

A.14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad de negocios
Objetivo: Contrarrestar las interrupciones de las actividades de negocios y proteger los procesos
de negocio crticos de los efectos de fallas o desastres mayores de los sistemas de informacin, y
asegurar su oportuna reanudacin.
A.14.1.1
Incluir
seguridad
de
la Control
informacin en el proceso de Deber desarrollarse y mantenerse un proceso
gestin de la continuidad de gestionado de continuidad del negocio en toda
negocios
la organizacin, que se encargue de los
requerimientos de seguridad de la informacin
necesarios para la continuidad del negocio de la
organizacin.
A.14.1.2
Continuidad de negocios y Control
evaluacin de riesgos
Deber identificarse los eventos que pueden
causar interrupciones a los procesos de
negocios, junto con la probabilidad e impacto
de tales interrupciones y sus consecuencias
para la seguridad de la informacin.
A.14.1.3
Desarrollo e implementacin de Control
planes de continuidad incluyendo Deber prepararse e implementarse planes para
mantener o restaurar las operaciones y asegurar
la disponibilidad de informacin al nivel
requerido y en las escalas de tiempo requeridas
luego de la interrupcin o falla de procesos de
negocios crticos.
A.14.1.4
Marco de planeamiento de la Control
continuidad de los negocios
Deber mantenerse un solo marco de planes de
continuidad de negocios para asegurar que
todos los planes sean concordantes, para
enfocar de modo uniforme los requerimientos
de seguridad de la informacin, y para
identificar
prioridades
de
prueba
y
mantenimiento.
A.14.1.5
Prueba,
mantenimiento
y Control
reevaluacin de planes de Los planes de continuidad de los negocios
continuidad de los negocios
debern probarse y actualizarse regularmente
para asegurar que estn al da y sean efectivos.
A.15 Cumplimiento
A.15.1 Cumplimiento de requisitos legales
Objetivo: Evitar violaciones de cualquier ley u obligacin estatutaria, de regulacin o

contractual, y de cualquier requisito de seguridad.
A.15.1.1
Identificacin de la legislacin Control
aplicable
Deber definirse, documentarse y mantenerse
al da explcitamente todos los requisitos
estatutarios, de regulacin y contractuales
pertinentes y el enfoque de la organizacin
para cumplirlos, para cada sistema de
informacin en la organizacin.
A.15.1.2
Derechos
de
propiedad Control
intelectual (DPI)
Deber
implementarse
procedimientos
apropiados para asegurar el cumplimiento de
los requisitos legislativos, de regulacin y
contractuales sobre el uso del material respecto
al cual puedan existir derechos de propiedad
intelectual y sobre el uso de productos de
software propietario.
A.15.1.3
Proteccin de los registros de la Control
organizacin
Los registros importantes debern protegerse de
prdida, destruccin y falsificacin, de
conformidad con los requisitos estatutarios, de
regulacin, contractuales y de negocios.
A.15.1.4
Proteccin de datos y privacidad Control
de la informacin personal
La proteccin y privacidad de los datos deber
asegurarse como sea necesario mediante la
legislacin y reglamentos pertinentes y, si
corresponde,
mediante
las
clusulas
contractuales.
A.15.1.5
Prevencin del mal uso de las

instalaciones de procesamiento
de informacin
Control
A los usuarios se les deber disuadir de utilizar
las instalaciones de procesamiento de
informacin para fines no autorizados.
A.15.1.6
Reglamentacin de los controles Control
criptogrficos
Los controles criptogrficos debern usarse
cumpliendo con todos los convenios, leyes, y
reglamentos pertinentes.
A.15.2 Cumplimiento de las polticas y normas de seguridad, y cumplimiento tcnico
Objetivo: Asegurar que los sistemas cumplan con las polticas y normas de seguridad de la
organizacin
A.15.2.1
Cumplimiento de las polticas y Control
normas de seguridad
Los gerentes debern asegurar que todos los
procedimientos de seguridad dentro de sus
reas de responsabilidad se efectan
correctamente para lograr el cumplimiento de
las polticas y normas de seguridad.
A.15.2.2
Comprobacin del cumplimiento Control
tcnico
Deber
comprobarse
regularmente
el
cumplimiento de las normas de implementacin
de seguridad en los sistemas de informacin.
A.15.3 Consideraciones de auditoria de sistemas de informacin
Objetivo: Maximizar la efectividad del proceso de auditoria de sistemas de informacin y
minimizar la interferencia de dicho proceso.
A.15.3.1
Controles de auditoria de Control
sistemas de
informacin
A.15.3.2
Los requerimientos y actividades de auditoria

que involucren comprobaciones de los sistemas
operativos debern planearse y acordarse
cuidadosamente para minimizar el riesgo de
perturbaciones a los procesos de negocios.
Proteccin de las herramientas de Control
auditoria
de
sistemas
de Deber protegerse el acceso a las herramientas
informacin
de auditoria de sistemas de informacin para
impedir cualquier posible mal uso o
compromiso.
Anexo 02
ENCUESTA SOBRE SEGURIDAD DE LA INFORMACIN
Dirigido a los Docentes y/o Administrativos de la Universidad Catlica Santo Toribio
de Mogrovejo.
Objetivos:
Conocer que tan involucrados se encuentran los docentes y/o administrativos en el
resguardo de la Tecnologa de Informacin.
Saber si los docentes y/o administrativos utilizan de manera optima las tecnologas
de informacin y de que manera ayudaran a salvaguardar la misma.
Instrucciones:
Para desarrollar este cuestionario, usted debe leer cada pregunta y escoger una de las
alternativas propuestas con una X dentro de los parntesis o llenar dentro de las lneas
punteadas segn sea su criterio.
1. Sexo:
Masculino ( )
Femenino ( )
2. Cargo del Informante: .

3. A que departamento acadmico pertenece (Si es docente):........
4. En alguna ocasin recibi ayuda de algn alumno o de algn asignado de ocupacin temporal
(bolsa de trabajo) en alguna de las siguientes actividades dentro de la universidad:
a. Llenando o elaborando algn documento de la universidad
( )
b. Pasando informacin en Word, Excel, Power Point, etc.
( )
c. Ingresando a su correo de la USAT y enviando mensajes a travs de el
( )
d. Clasificando documentos de la universidad
( )
e. Otros, Especificar...
( )
f. Ninguno.
( )
5. Puede identificar a las personas que no trabajan y no estudian en la USAT
SI ( )
NO ( )
Si tu respuesta es Si, fue por medio de:
a. Fotochet de la empresa en que trabaja
( )
b. Indumentaria
( )
c. Fotochet de visitante (entregado por la USAT)
( )
d. Otros, Especificar.
( )
e. Ninguno
6. Usted apaga los equipos informticos debidamente despus de utilizarlos
SI ( )
NO ( )
Si tu respuesta es Si, Cmo apagas tu equipo despus de trabajar
a. Apagando directamente el estabilizador.
b. Desenchufando el cable de energa de la computadora.
c. Manteniendo presionando el botn de apagado del CPU.
d. Haciendo clic en el botn de apagado del men del sistema operativo.
e. Bajando la llave de energa.
f. Otros, Especificar..
g. Ninguno.
(
(
(
(
(
(
(
)
)
)
)
)
)
)
7. Se siente seguro en los ambientes donde se encuentran los equipos informticos dentro de la
universidad frente a cualquier desastre natural o humano
SI ( )
NO ( )
8. Ha observado algn extinguidor cerca de los equipos informticos
SI ( )
NO ( )
9. Ha observado algn tipo de sealizacin de emergencia en los ambientes donde existen
equipos informticos
SI ( )
NO ( )
10. Sabe utilizar de forma adecuada un extintor
SI ( )
NO ( )
Si la respuesta es Si; Lo aprendi a utilizar a travs de:
a. Charlas y capacitaciones fuera de la Universidad
b.Charlas y capacitaciones dentro de la Universidad
c. Manuales de extintor
d.Internet
( )
( )
( )
( )
11. Ha participado de algn simulacro frente a cualquier desastre natural o humano,

especialmente en reas donde hay equipos informticos
SI ( )
NO ( )
Si tu respuesta es No;
Como nos sugieres que se realice y cada que tiempo:
.
115
12. Ha observado que algn alumno o compaero de trabajo de la USAT ha bebido lquidos o
ingerido algn alimento cuando realiza algn trabajo en la computadora
SI ( )
NO ( )
13. Ha manipulado alguna vez las entradas de corriente al CPU, los cables del teclado, mouse y
conexiones de red que conectan al CPU para hacerlos funcionar
SI ( )
NO ( )
14. Usted cree que debe sentirse responsable e identificarse con el equipo informtico que usa o
utilizar en algn momento dentro de la USAT
SI ( )
NO ( )
15. Si en el transcurso del uso de su equipo informtico se detecta alguna actividad sospechosa
como ingresando a lugares restringidos, usted sera capaz de afrontarla (por la
responsabilidad que asume en ese determinado momento sobre el equipo asignado)
SI ( )
NO ( )
16. Hace usted uso de los antivirus en los equipos informticos de la USAT cuando ingresa o
saca informacin en algn dispositivo de almacenamiento
Si ( )
A veces ( )
Nunca ( )
17. Que hace cuando detecta un virus en la computadora de la USAT
a. Activa el antivirus
( )
b. Activa el antivirus, detecta los virus y los elimina
( )
c. Borra el archivo
( )
d. Formatea el dispositivo de almacenamiento
( )
e. No hago nada (Porqu no s)
( )
f. Otros, Especificar..
( )
18. Usted ha detectado que el antivirus de la USAT funciona adecuadamente y que se encuentra
actualizado
SI ( )
NO ( )
19. Tu clave de acceso es la misma para todos los servicios que te brinda el Portal Web de la
USAT
SI ( )
NO ( )
Normalmente tu clave hace referencia a:
a.Su nombre y apellido
( )
b.Su fecha de nacimiento
( )
c.Telfono (de casa o mvil)
( )
d.Nombre de su esposo(a) o hijo(a)
( )
e.No comparte con nadie su clave
( )
20. Y si nunca cambio su clave, cul es y porque motivo no lo hizo
.
21. La Clave con la cual ingresa al portal Web de la USAT es conocida tambin por:
a. Un compaero de trabajo
( )
b. Mi esposo(a) o hijo(a)
( )
c. Algn alumno
( )
d. Otros, Especifica.
( )
22. Cada que tiempo cambia su clave del portal WEB de la USAT
Cada 7 das ( ) Cada 15 das ( ) Cada 30 das ( ) Cada ao ( )
116
Nunca ( )
23. Qu tan veloz es el acceso al portal WEB dentro o fuera de la USAT

a. Es ms rpido dentro de la universidad que fuera de ella
( )
b. Es ms lenta dentro de la universidad que fuera de ella
( )
c. Es igual en ambos lugares
( )
24. Utiliza el servicio de correo electrnico que se le asigna en la USAT
SI ( )
NO ( )
Si su respuesta es Si; Con que frecuencia recibe correos no deseados o spam:
a. De 1 a 10 correos al da
( )
b.De 10 a 20 correos al da
( )
c. De 20 a ms correos al da
( )
25. Usted ha utilizado alguna Laptop dentro de la universidad
SI ( )
NO ( )
Si su respuesta es Si; Ha recibido algn mensaje en el cual le comunique que su equipo ha
sido registrado y puede acceder a la red
SI ( )
NO ( )
26. Usted recibi alguna capacitacin acerca de Seguridad de la Informacin en la USAT
SI ( )
NO ( )
27. Le interesara conocer o tener un mayor conocimiento de lo que refiere a Seguridad de
la Informacin
SI ( )
NO ( )
Si le interesara conocer ms acerca del tema de Seguridad de la Informacin, a travs de
que medio te gustara ser informado:
a. Folletos y boletines
( )
b.Charlas o conferencias
( )
c. Foros a travs del portal WEB de la USAT
( )
d.Como parte de algn curso en tu carrera
( )
e. Otros, Especifique: .
( )
28. Usted ha realizado alguna de las siguientes actividades en su PC:
a. Instalando algn software que necesitaba
b. Haciendo limpieza de componente de su PC (teclado, mouse, cpu, etc.)
c. Desarmando el CPU por algn sonido o falla
d. Otros, Especifique..
e. Ninguna
(
(
(
(
(
)
)
)
)
)
29. Qu hace usted cuando uno de sus componentes o aplicativos no funcionan correctamente
en su PC?
a. Intenta arreglarlo
( )
b. Lo arregla mi compaero de trabajo ms cercano
( )
c. Llamo a un tcnico de taller de computo
( )
d. No se que hacer en esos momentos (Pido sugerencias a mi compaero ms cercano)( )
30. Con qu frecuencia solicita usted que se le realice mantenimiento a la PC que se le asigno?
Mensual ( ) Trimestral ( ) Semestral ( ) Anual ( ) Nunca ( )
31. Con qu frecuencia solicita que le revisen su PC frente a cualquier falla?
A veces ( )
Casi Siempre ( )
Nunca ( )
117
32. Cree usted que su equipo se encuentra seguro frente a cualquier peligro como:
a. Acceso a sus cuentas personales
b. Ingreso de Virus
c. Existencia de un extinguidor o medida de seguridad de los equipos cerca
d. No lo se
e. Otros, Especificar..
(
(
(
(
(
)
)
)
)
)
33. Cada vez que sufre algn inconveniente con la PC o aplicacin la cual desea trabajar, porque
medio informa o reporta el inconveniente:
a. Telfono (anexo)
( )
b. Correo electrnico al rea de cmputo
( )
c. Voy fsicamente a buscar algn encargado de cmputo
( )
d. Espero que pasen por mi rea de trabajo
( )
e. Otros, Especifique
( )
f. Ninguna
( )
Anexo 03
Resultados de Procesamiento de Informacin de Docentes y Administrativos
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn
sexo.
Abril 2008
Masculino
Femenino
Total
Frecuencia
40
35
75
Porcentaje
53,3
46,7
100,0
ayuda por parte de un estudiante o asignado como ocupacin temporal (bolsa de trabajo) dentro de
la universidad.
Abril 2008
llenando o elaborando algn documento de la universidad

pasando informacin en Word, Excel, Power Point, etc.
Ingresando a su correo de la USAT y enviando mensajes a travs de l
Clasificando documentos de la universidad
Otros
Ninguno
Total
118
Frecuencia
11
16
2
4
10
10
75
Porcentaje
14,7
21,3
2,7
5,3
13,3
42,7
100,0
identificacin de personas que no trabajan ni estudian en la universidad.
Abril 2008
Si
No
Total
Frecuencia
19
56
75
Porcentaje
25,3
74,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, a modo de
que identifican a las personas que no trabajan ni estudian en la USAT.
Abril 2008
Frecuencia
2
6
2
1
8
19
Fotochet de la empresa para la cual trabajo

Indumentaria
Fotochet de visitante (entregado por la USAT)
Otros
Ninguno
Total
Porcentaje
11
32.7
10
5.8
40.5
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
apagado debido de los equipos informticos despus de utilizarlos.
Abril 2008
Si
No
Total
Frecuencia
72
3
75
Porcentaje
96,0
4,0
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
manera en apagan los equipos informticos despus de utilizarlos.
Abril 2008
Apagando directamente el estabilizador

Manteniendo presionando el botn de apagado del CPU
Haciendo clic en el botn de apagado del men del sistema operativo
Bajando la llave de energa
Otros
Total
Frecuencia
4
5
55
2
6
72
Porcentaje
5,6
6,9
76,4
2,8
8,3
100,0
seguridad que tiene en los ambientes en los que se encuentran los equipos informticos frente a un
119
desastre natural o humano. Abril 2008
Si
No
Total
Frecuencia
34
41
75
Porcentaje
45,3
54,7
100,0
observo existe algn extintor cerca de los equipos informticos.
Abril 2008
Si
No
Total
Frecuencia
37
38
75
Porcentaje
49,3
50,7
100,0
observo existe alguna tipo de sealizacin de emergencias en los ambientes que se encuentran los
equipos informticos.
Abril 2008
Si
No
Total
Frecuencia
28
47
75
Porcentaje
37,3
62,7
100,0
manejo adecuado de un extintor.
Abril 2008
Si
No
Total
Frecuencia
33
42
75
Porcentaje
44,0
56,0
100,0
medio por el cual aprendi a utilizar correctamente un extinguidor.
Abril 2008
Charlas y capacitaciones fuera de la Universidad

Charlas y capacitaciones dentro de la Universidad
Manuales de extintor
Internet
Total
Frecuencia
15
8
4
6
33
Porcentaje
45
24
12
19
100,0
participacin de simulacros frente a cualquier desastre especficamente en reas donde hay equipos
120
informticos. Abril 2008
Si
No
Total
Frecuencia
20
55
75
Porcentaje
26,7
73,3
100,0
observo algn compaero de trabajo o estudiante bebe lquidos o ingiere alimentos cuando se
encuentra trabajando con algn equipo informtico. Abril 2008
Si
No
Total
Frecuencia
45
30
75
Porcentaje
60,0
40,0
100,0
manipulacin de componentes del equipo informtico de manera que si sufri algn inconveniente
este funcione. Abril 2008
Si
No
Total
Frecuencia
44
31
75
Porcentaje
58,7
41,3
100,0
responsabilidad que asumira si se le detecta realizando actividad sospechosa como el ingreso a
lugares restringidos. Abril 2008
Si
No
Total
Frecuencia
68
7
75
Porcentaje
90,7
9,3
100,0
uso de los antivirus en los equipos informticos cuando ingresa o saca informacin en algn
dispositivo de almacenamiento. Abril 2008
Si
A veces
Nunca
Total
Frecuencia
30
23
22
75
Porcentaje
40,0
30,7
29,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn lo
que realiza cuando detecta un virus en los equipos informticos. Abril 2008
121
Activa el antivirus
Activa el antivirus detecta los virus y los elimina
Borra el archivo
No hago nada (porque no se)
Otros
Total
Frecuencia
14
36
9
6
10
75
Porcentaje
18,7
48,0
12,0
8,0
13,3
100,0
buen funcionamiento de los antivirus instalados y su adecuada actualizacin. Abril 2008
Si
No
Total
Frecuencia
37
38
75
Porcentaje
49,3
50,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn los
servicios brindados por el portal Web de la USAT utiliza una misma cuenta de usuario y clave de
acceso. Abril 2008
Si
No
Total
Frecuencia
46
29
75
Porcentaje
61,3
38,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn a
que hace referencia la clave de acceso que utilizan los usuarios. Abril 2008
Frecuencia
26
4
2
43
75
Su nombre y apellido
Telfono (de casa o mvil)
Nombre de su esposo (a) o hijo (a)
Otros
Total
Porcentaje
34,7
5,3
2,7
57,3
100,0
grado de confidencialidad de la clave con la que ingresa al Portal Web de la Universidad. Abril 2008
Un compaero de trabajo
Mi esposo(a) o hijo(a)
Algn alumno
No comparte con nadie su clave
Total
Frecuencia
25
2
2
46
75
Porcentaje
33,3
2,7
2,7
61,3
100,0
tiempo que cambia su clave para acceder al Portal Web de la USAT. Abril 2008
Frecuencia
122
Porcentaje
Cada 7 das
Cada 30 das
Cada ao
nunca
Total
2
4
15
54
75
2,7
5,3
20,0
72,0
100,0
lugar del cual accede al Portal Web de la Universidad. Abril 2008
Es mas rpido dentro de la universidad que fuera de ella

Es mas lenta dentro de la universidad que fuera de ella
Es igual en ambos lugares
Total
Frecuencia
45
5
25
75
Porcentaje
60,0
6,7
33,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI,

segn el uso del servicio de correo electrnico que se le asigna en la Universidad.
Abril 2008
Si
No
Total
Frecuencia
73
2
75
Porcentaje
97,3
2,7
100,0
frecuencia con la que recibe correos no deseados o spam.
Abril 2008
De 1 a 10 correos al da
De 10 a 20correos al da
De 20 a ms correos al da
Total
Frecuencia
57
7
9
73
Porcentaje
78,7
9,3
12,0
100,0
uso de una computadora porttil dentro de la Universidad. Abril 2008
Si
No
Total
Frecuencia
38
37
75
Porcentaje
50,7
49,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn se
muestre o autorice mediante un mensaje que comunique que el equipo porttil utilizado dentro de
la Universidad se registro y puede acceder a al red. Abril 2008
123
Si
No
Total
Frecuencia
9
29
38
Porcentaje
24,6
75,4
100,0
capacitaciones recibidas acerca de seguridad de la informacin en la Universidad.
Abril 2008
Si
No
Total
Frecuencia
10
65
75
Porcentaje
13,3
86,7
100,0
inters de conocer o tener un mayor conocimiento de lo que refiere a seguridad de la informacin.
Abril 2008
Si
No
Total
Frecuencia
72
3
75
Porcentaje
96,0
4,0
100,0
inters y el medio por el cual le gustara ser informado a cerca del tema de Seguridad de la
Informacin. Abril 2008
Folletos y boletines
Charlas y conferencias
Foros a travs del portal Web de la USAT
Como parte de algn curso en tu carrera
Total
Frecuencia
11
42
13
6
72
Porcentaje
14,7
58,7
18,7
8
100,0
algunas activas realizadas en los equipos informticos que se les asigna. Abril 2008
Instalando algn software que necesitaba

Haciendo limpieza de componentes de su PC (teclado, mouse, etc.)
Otros
Ninguna
Total
Frecuencia
18
10
1
46
75
Porcentaje
24,0
13,3
1,3
61,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn lo
que hace cuando un componente o aplicativo no funciona correctamente. Abril 2008
Frecuencia
19
Intenta arreglarlo
124
Porcentaje
25,3
Lo arregla mi compaero de trabajo mas cercano

Llamo a un tcnico encargado
No se que hacer en esos momentos (Pido
sugerencias a mi compaero ms cercano)
Total
4
10
5,3
13,3
56,0
42
75
100,0
frecuencia con la que solicita que se les realice mantenimiento a los equipos informticos que se le
asignan. Abril 2008
Mensual
Trimestral
Semestral
Anual
Nunca
Total
Frecuencia
22
17
13
3
20
75
Porcentaje
29,3
22,7
17,3
4,0
26,7
100,0
frecuencia que solicita que revisen su PC frente a inconvenientes o fallas. Abril 2008
A veces
Casi siempre
Nunca
Total
Frecuencia
44
18
13
75
Porcentaje
58,7
24,0
17,3
100,0
seguridad que puede tener su equipo frente a peligros. Abril 2008
Acceso a sus cuentas personales

Ingreso de virus
Existencia de un extinguidor o medida de seguridad Cerca
No lo se
Otros
Total
Frecuencia
18
12
4
35
6
75
Porcentaje
24,0
16,0
5,3
46,7
8,0
100,0
medio por el cual informa o reporta el inconveniente si sus equipos informticos sufre
inconvenientes. Abril 2008
Frecuencia
54
15
Telfono (anexo)
Correo electrnico al rea de computo
125
Porcentaje
72,0
20,0
Voy fsicamente a buscar algn encargado de computo

Total
6
75
8,0
100,0
Anexo 04
ENCUESTA SOBRE SEGURIDAD DE LA INFORMACIN
Dirigido a los alumnos de las diferentes escuelas profesionales de la Universidad
Catlica Santo Toribio de Mogrovejo.
Objetivos:
Conocer que tan involucrados se encuentran los alumnos en el resguardo de la
Tecnologa de Informacin.
Identificar si los alumnos utilizan de manera optima las tecnologas de informacin
y de que manera ayudaran a salvaguardar la misma.
Instrucciones:
Para desarrollar este cuestionario, usted debe leer cada pregunta y escoger una de las
alternativas propuestas con una X dentro de los parntesis o llenar dentro de las lneas
punteadas segn sea su criterio.
1. Sexo:
Masculino ( )
Femenino ( )
2. Escuela profesional a la que perteneces:

3. Ciclo de estudios en el que te encuentras:..........
4. En alguna ocasin le has ayudado a algn docente o administrativo en alguna de las
siguientes actividades dentro de la universidad:
g. Llenando algn documento de la universidad
(
h. Pasando informacin en Word, Excel, Power Point, etc.
(
i. Ingresando a su correo de la USAT y enviando mensajes a travs de el
(
j. Clasificando documentos de la universidad
(
k. Otros, Especificar...
(
l. Ninguno.
(
5. Puedes identificar a las personas que no trabajan y no estudian dentro de la universidad
SI ( )
NO ( )
Si tu respuesta es Si, fue por medio de:
f. Fotochet de la empresa en que trabaja
( )
g. Indumentaria
( )
h. Fotochet de visitante (entregado por la USAT)
( )
i. Otros, Especificar.
( )
j. Ninguno
( )
6. Usted apaga los equipos informticos debidamente despus de utilizarlos
SI ( )
NO ( )
Si tu respuesta es Si, Cmo apagas tu equipo despus de trabajar
126
)
)
)
)
)
)
h.
i.
j.
k.
l.
m.
n.
Apagando directamente el estabilizador.

Desenchufando el cable de energa de la computadora.
Manteniendo presionando el botn de apagado del CPU.
Haciendo clic en el botn de apagado del men del sistema operativo.
Bajando la llave de energa.
Otros, Especificar..
Ninguno.
(
(
(
(
(
(
(
)
)
)
)
)
)
)
7. Te sientes seguro en los ambientes donde se encuentran los equipos informticos dentro de la
universidad frente a cualquier desastre natural o humano
SI ( )
NO ( )
8. Has observado algn extinguidor cerca de los equipos informticos
SI ( )
NO ( )
9. Has observado algn tipo de sealizacin de emergencia en los ambientes donde existen
equipos informticos
SI ( )
NO ( )
10. Has participado de algn simulacro frente a cualquier desastre natural, especialmente en
reas donde hay equipos informticos
SI ( )
NO ( )
Si tu respuesta es No;
Como nos sugieres que se realice y cada que tiempo:
.
11. Has observado que algn compaero o administrativo ha bebido lquidos o ingerido algn
alimento cuando realizas algn trabajo en cualquiera de las computadoras de la USAT
SI ( )
NO ( )
12. Has manipulado alguna vez las entradas de corriente al CPU, los cables del teclado, Mouse
y conexiones de red que conectan al CPU para hacerlos funcionar
SI ( )
NO ( )
13. Usted cree que debe sentirse responsable e identificarse con el equipo informtico que usa o
utilizar en algn momento dentro de la USAT
SI ( )
NO ( )
14. Si en el transcurso del uso de un equipo informtico se te detecta realizando alguna
actividad sospechosa como ingresando a lugares restringidos, usted sera capaz de afrontarla
(por la responsabilidad que asume en ese determinado momento sobre el equipo asignado)
SI ( )
NO ( )
15. Hace usted uso de los antivirus en los equipos informticos de la USAT cuando ingresa o
saca informacin en algn dispositivo de almacenamiento
Si ( )
A veces ( )
Nunca ( )
16. Que hace cuando detecta un virus en la computadora de la USAT
g. Activa el antivirus
( )
h. Activa el antivirus, detecta los virus y los elimina
( )
i. Borra el archivo
( )
j. Formatea el dispositivo de almacenamiento
( )
k. No hago nada (Porqu no s)
( )
l. Otros, Especificar..
( )
127
17. Usted ha detectado que el antivirus de la USAT funciona adecuadamente y que se encuentra
actualizado
SI ( )
NO ( )
18. Tu clave de acceso es la misma para todos los servicios que te brinda el Portal Web de la
USAT
SI ( )
NO ( )
Normalmente tu clave hace referencia a:
f.
Tu nombre y apellido
( )
g.
T fecha de nacimiento
( )
h.
( )
i.
Nombre de tu enamorada o enamorado
( )
j.
Otros, Especifique..
( )
19. Y si nunca cambiaste tu clave, cul es y porque motivo no lo hiciste
.
20. Cada que tiempo cambia su clave del portal WEB de la USAT
Cada 7 das ( ) Cada 15 das ( ) Cada 30 das ( ) Cada ao ( )
21. Usted accede al portal WEB de la universidad
Dentro de la universidad ( )
Fuera de la universidad ( )
Nunca ( )
En ambos lugares ( )
22. Qu tan veloz es el acceso al portal WEB dentro o fuera de la USAT

d. Es ms rpido dentro de la universidad que fuera de ella
( )
e. Es ms lenta dentro de la universidad que fuera de ella
( )
f. Es igual en ambos lugares
( )
23. Usted ha utilizado alguna Laptop dentro de la universidad
SI ( )
NO ( )
Si su respuesta es Si; Ha recibido algn mensaje en el cual le comunique que su equipo ha
sido registrado y puede acceder a la red
SI ( )
NO ( )
24. Has recibi alguna capacitacin acerca de Seguridad de la Informacin en la USAT
SI ( )
NO ( )
25. Te interesara conocer o tener un mayor conocimiento de lo que refiere a Seguridad de la
Informacin
SI ( )
NO ( )
Si le interesara conocer ms acerca del tema de Seguridad de la Informacin, a travs de
que medio te gustara ser informado:
f. Folletos y boletines
( )
g.Charlas o conferencias
( )
h.Foros a travs del portal WEB de la USAT
( )
i. Como parte de algn curso en tu carrera( )
j. Otros, Especifique: .
( )
Anexo 05
Resultados de Procesamiento de Informacin de Estudiantes
128
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn sexo.

Abril 2008
Masculino
Femenino
Total
Frecuencia
106
253
359
Porcentaje
29,5
70,5
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn Escuela Acadmico
Profesional.
Abril 2008
Administracin de Empresas
Arquitectura
Biologa y Qumica
Ciencias de la Comunicacin
Contabilidad
Derecho
Economa
Educacin Fsica y Danzas
Educacin Inicial
Educacin Primaria
Enfermera
Filosofa y Religin
Historia y Geografa
Ingeniera Civil y Ambiental
Ingeniera de Sistemas y Computacin
Ingeniera Energtica
Ingeniera Industrial
Ingeniera Mecnica Elctrica
Ingeniera Naval
Lengua y Literatura
Matemtica, Computacin e Informtica
Medicina
Odontologa
Psicologa
Total
Frecuencia
Porcentaje
61
4
1
14
29
65
7
1
2
7
54
4
1
11
39
1
22
1
4
4
1
11
4
11
359
17,0
1,1
,3
3,9
8,1
18,1
1,9
,3
,6
1,9
15,0
1,1
,3
3,1
10,9
,3
6,1
,3
1,1
1,1
,3
3,1
1,1
3,1
100,0
Distribucin porcentual de los Estudiantes de la USAT acerca de SGSI, segn ayuda a docente o
administrativo en actividades dentro de la universidad asignado como ocupacin temporal (bolsa
de trabajo).
Abril 2008
Llenando o elaboracin de algn documento de la universidad
129
Frecuencia
37
Porcentaje
10,3
Pasando informacin en Word, Excel, Power Point, etc.

Ingresando a su correo de la USAT y enviando mensajes a travs de l
Clasificando documentos de la universidad
Otros
Ninguno
Total
53
27
5
6
231
359
14,8
7,5
1,4
1,7
64,3
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn identificacin de

personas que no trabajan ni estudian en la universidad.
Abril 2008
Si
No
Total
Frecuencia
162
197
359
Porcentaje
45,1
54,9
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, a modo de que identifican a
las personas que no trabajan ni estudian en la USAT.
Abril 2008
Frecuencia
50
53
25
33
1
162
Fotochet de la empresa para la cual trabajan

Indumentaria
Fotochet de visitante (entregado por la USAT)
Otros
Ninguno
Total
Porcentaje
30,9
32,7
15,4
20,4
,6
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el apagado

debido de los equipos informticos despus de utilizarlos.
Abril 2008
Si
No
Total
Frecuencia
339
20
359
Porcentaje
94,4
5,6
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la manera en apagan
los equipos informticos despus de utilizarlos.
Abril 2008
Frecuencia
Porcentaje
Apagando directamente el estabilizador
10
2,9
Desenchufando el cable de energa de la computador
20
5,9
130
Manteniendo presionando el botn de apagado del CPU

Haciendo clic en el botn de apagado del men del sistema operativo
Bajando la llave de energa
Otros
Total
22
270
3
14
339
6,5
79,6
,9
4,1
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la seguridad que
tiene en los ambientes en los que se encuentran los equipos informticos frente a un desastre
natural o humano.
Abril 2008
Si
No
Total
Frecuencia
155
204
359
Porcentaje
43,2
56,8
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn observo existe algn
extintor cerca de los equipos informticos.
Abril 2008
Si
No
Total
Frecuencia
111
248
Porcentaje
30,9
69,1
359
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn observo existe alguna
tipo de sealizacin de emergencias en los ambientes que se encuentran los equipos informticos.
Abril 2008
Si
No
Total
Frecuencia
180
179
359
Porcentaje
50,1
49,9
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la participacin de

simulacros frente a cualquier desastre especficamente en reas donde hay equipos informticos.
Abril 2008
Si
No
Total
Frecuencia
125
234
359
131
Porcentaje
34,8
65,2
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn observo algn
compaero de estudios o administrativo bebe lquidos o ingiere alimentos cuando se encuentra
trabajando con algn equipo informtico. Abril 2008
Si
No
Total
Frecuencia
170
189
359
Porcentaje
47,6
52,4
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la manipulacin de

componentes del equipo informtico de manera que si sufri algn inconveniente este funcione.
Abril 2008
Si
No
Total
Frecuencia
156
203
359
Porcentaje
43,5
56,5
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la responsabilidad

que asume al utilizar un equipo informtico.
Abril 2008
Si
No
Total
Frecuencia
285
74
359
Porcentaje
79,4
20,6
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la responsabilidad

que asumira si se le detecta realizando actividad sospechosas como el ingreso a lugares
restringidos. Abril 2008
Si
No
Total
Frecuencia
294
63
359
Porcentaje
81,9
18,1
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el uso de los antivirus
en los equipos informticos cuando ingresa o saca informacin en algn dispositivo de
almacenamiento. Abril 2008
Si
A veces
Nunca
Total
Frecuencia
117
123
119
359
132
Porcentaje
32,6
34,3
33,1
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn lo que realiza cuando
detecta un virus en los equipos informticos. Abril 2008
Activa el antivirus
Activa el antivirus detecta los virus y los elimina
Borra el archivo
Formatea el dispositivo de almacenamiento
No hago nada (porque no se)
Otros
Total
Frecuencia
Porcentaje
73
166
31
11
48
30
359
20,3
46,2
8,6
3,1
13,4
8,4
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el buen funcionamiento
de los antivirus instalados y su adecuada actualizacin. Abril 2008
Si
No
Total
Frecuencia
92
265
359
Porcentaje
25,6
73,8
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn los servicios
brindados por el portal Web de la USAT utiliza una misma cuenta de usuario y clave de acceso.
Abril 2008
Si
No
Total
Frecuencia
89
270
359
Porcentaje
24,8
75,2
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn a que hace referencia
la clave de acceso que utilizan los usuarios. Abril 2008
Tu nombre y apellido
Su fecha de nacimiento
Nombre de su esposo (a) o hijo (a)
Otros
Total
Frecuencia
83
39
43
20
174
359
Porcentaje
22,3
11,0
12,1
5,6
49,0
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el tiempo que cambia
133
su clave para acceder al Portal Web de la USAT. Abril 2008

Frecuencia
20
18
60
64
197
359
Cada 7 das
Cada 15 das
Cada 30 das
Cada ao
Nunca
Total
Porcentaje
5,4
5,0
16,7
17,9
55,0
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el lugar del cual
accede al Portal Web de la Universidad. Abril 2008
Dentro de la universidad
Fuera e la universidad
En ambos lugares
Total
Frecuencia
17
133
209
359
Porcentaje
4,7
37,0
58,2
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la velocidad referente
al acceso al Portal Web. Abril 2008
Es ms rpido dentro de la universidad que fuera de ella

Es ms lenta dentro de la universidad que fuera de ella
Es igual en ambos lugares
Total
Frecuencia
59
75
225
359
Porcentaje
16,4
20,9
62,7
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el uso de una
computadora porttil dentro de la Universidad. Abril 2008
Si
No
Total
Frecuencia
88
271
359
Porcentaje
24,5
75,5
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn se muestre o autorice
mediante un mensaje que comunique que el equipo porttil utilizado dentro de la Universidad se
registro y puede acceder a al red. Abril 2008
Si
No
Total
Frecuencia
26
62
88
Porcentaje
29,5
70,5
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn capacitaciones

recibidas acerca de seguridad de la informacin en la Universidad.
Abril 2008
134
Frecuencia
39
321
359
Si
No
Total
Porcentaje
8,5
91,5
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el inters de conocer
o tener un mayor conocimiento de lo que refiere a seguridad de la informacin. Abril 2008
si
no
Total
Frecuencia
324
35
359
Porcentaje
90,3
9,7
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el inters a cerca del
tema de Seguridad de la Informacin, a travs de que medio le gustara ser informado. Abril 2008
Folletos y boletines
Charla y conferencias
Foros a travs del portal Web de la USAT
Como parte de algn curso en tu carrera
Otros
Total
Frecuencia
77
162
52
31
2
324
Porcentaje
23,8
50,0
16,0
9,6
,6
100,0
Anexo 06
ENTREVISTA
Las empresas de hoy en da manejan su informacin por medio de sistemas integrados u
otros, los cuales muchos de ellos ven reflejado la vulnerabilidad de su informacin
frente a cualquier peligro que se les presente. Es por ello que nuestro proyecto de
investigacin busca encontrar los puntos dbiles con respecto a todo lo que es la
tecnologa de informacin y comunicacin de la USAT, motivo por el cual est
entrevista va dirigido al jefe de Taller de Cmputo como principal agente encargado de
la Seguridad de la Informacin dentro de la organizacin.
Para saber quienes son las personas que toman las decisiones con respecto a la
seguridad de la informacin se listo las siguientes preguntas:
La USAT cuenta con un comit de seguridad de la informacin?
SI ( )
Las funciones del comit se encuentran detalladas en el manual de funciones y
organizacin u otro
documento_____________________________________________
Quin conforma ese
comit________________________________________________
Ese comit es plenamente identificable por la comunidad
universitaria______________
135
NO ( )
Si no cuentan con ese comit, quienes son los encargados de establecer las polticas de
_______________________________________________
O, slo las polticas son establecidas por si mismo como jefe de rea de taller de
cmputo______________________________________________________________
_
Estas polticas son conocidas por todos los
usuarios_____________________________
A travs de que medio se les di a conocer______________________________
Preguntas sobre mecanismos de control con respecto a la seguridad de la informacin
Existe algn tipo de manual o documento donde se especifique los controles para la
seguridad de la informacin?_______________________________________________
De qu manera controla a sus trabajadores, con respecto al tema de seguridad de la
informacin?___________________________________________________________
De qu forma controla los accesos a la red y quin ordena que se genere esos
permisos?______________________________________________________________
Existen bitcoras donde se registran los sucesos de todos los usuarios que ingresan a la
red?___________________________________________________________________
Detecto en alguna ocasin algo indebido________________________________
Se registran los accesos de personas a las reas donde se encuentran los equipos
servidores?_____________________________________________________________
Preguntas sobre polticas de seguridad
Existe un documento donde se especifique las polticas de seguridad de la
informacin?
SI ( )
Quin elabor ese documento y por quin fue aprobado?
________________________
_____________________________________________________________________
Sus trabajadores y usuarios conocen este documento?
___________________________
Se aplican estas polticas a toda la comunidad universitaria?
_____________________
Cada que tiempo se revisan esas polticas?
___________________________________
NO ( )
Segn Usted, a que cree que se deba, que hasta ahora no se implementa las polticas
de seguridad de la informacin en la USAT?
_____________________________________
Cree Usted, que es de suma urgencia la elaboracin de polticas de seguridad de la
informacin para la USAT?
________________________________________________
Porqu___________________________________________________________
Y para su rea_________________________________________________________
136
Preguntas sobre el nivel conocimiento de seguridad de la informacin por parte de su

personal
Frente a cualquier desastre natural, provocado o humano Su personal conoce cuales
son los activos ms importantes que debe proteger en relacin a la informacin?
SI ( )
Para ello existen procedimientos documentados para actuar antes, durante y despus
del desastre?___________________________________________________________
Ha realizado algn simulacro con defensa civil o tiene previsto hacerlo en el futuro?
_____________________________________________________________________
Lo cree necesario hacerlo con esta organizacin_______________________________
Su rea posee algn plan de contingencia, si no lo tiene ha motivado a sus
trabajadores para elaborarlo?
_________________________________________________________
NO ( )
A qu se debe?________________________________________________________
Preguntas sobre backups y claves
La administracin de todos los servicios de tecnologa de informacin que estn a su
cargo se manejan a travs de claves de autenticacin____________________________
Cree usted necesario que la alta direccin deba poseer las claves (y su actualizacin de
las mismas) ____________________________________________________________
Porqu___________________________________________________________
Existe algn procedimiento para realizar backups, de la informacin que usted maneja?
SI ( )
Estn descritos en algn documento?
________________________________________
Se cumplen conforme estn descritos?
_______________________________________
Son depositados en algn lugar especial dentro de la USAT o fuera de ella?
_________
Porqu___________________________________________________________
Cada que tiempo se hace y quin los
realiza___________________________________
NO ( )
Porqu___________________________________________________________
Preguntas sobre problemas frecuentes
Cules son los problemas ms frecuentes con los que se enfrenta el rea que Usted
tiene a cargo?
Frente a las actividades de su rea_________________________________________
Frente a los servicios que le brinda a los usuarios__________________________
Se encuentran archivados esos problemas? Qu estrategia usa para disminuir esos
problemas frecuentes? Existe alguna estadstica de la evolucin de esos problemas
______________________________________________________________________
137
Emplean tarjetas o fichas de seguimiento de los equipos que se les brinda a los
usuarios________________________________________________________________
Preguntas sobre modificaciones en los servicios que se le presta a los usuarios
Todas las modificaciones que se haga a los servicios que se le presta a los usuarios es
registrado?____________________________________________________________
Existe algn procedimiento interno para efectuarlos____________________________
Preguntas sobre mantenimiento de los equipos
Existe un plan de mantenimiento para todos los equipos de la USAT?
SI ( )
Cada qu tiempo lo realizan________________________________________________
Qu aspectos son los que toman en cuenta para ese mantenimiento?
______________________________________________________________________
Cmo se trata el tema de los antivirus dentro de la USAT________________________
______________________________________________________________________
Preguntas sobre adquisicin de software y hardware
Cul es el procedimiento para la adquisicin de un SW o HW?___________________
______________________________________________________________________
Este procedimiento se encuentra debidamente identificado en un documento_________
Porqu___________________________________________________________
Quin justifica la adquisicin?_____________________________________________
Quin evala la adquisicin?______________________________________________
Quin evala los proveedores?_____________________________________________
Anexo 07
ENTREVISTA SOBRE SEGURIDAD DE LA INFORMACIN
Tecnologa de Informacin y Comunicacin de la USAT, motivo por el cual est
entrevista estar dirigido al personal que labora en el rea de Taller de Cmputo
como principales agente encargados de la Seguridad de la Informacin dentro de la
organizacin.
Nombre:
Cargo del informante:
Qu tipo de relacin laboral tiene Ud. con la USAT?
138
a. Contratado por horas

( )
b. Contratado tiempo Completo ( )
c. Otras
( ), especifique: ..
Cuntas personas laboran en el rea de Taller de Computo? Quin es el responsable?
Utilizan antivirus?
Si ( )
No ( )
Si la respuesta es Si,
Tipo de antivirus que utiliza?
a. Norton
( )
b. Kaspersky
( )
c. Nod 32
( )
d. Panda
( )
e. Otros
( ), especifique: ..
Cada que tiempo cambian o actualizan la versin del antivirus
a.
b.
c.
d.
e.
Mensual
Trimestral
Semestral
Anual
Otros periodos
(
(
(
(
(
)
)
)
)
), especifique: ..
A Cuntas mquinas aproximadamente de las que se encuentran a cargo los docentes y

administrativos, se les brinda servicio tcnico duramente el da. Y de qu trata dicho
servicio por lo general?
Se registran los inconvenientes? Cul es el tiempo promedio que demoras para

solucionar dichos inconvenientes?
Quines le brindan capacitacin a usuarios (profesores, administrativos, alumnos, etc.)

antes que hagan uso o buen uso de las salas de computo o de su respectivo equipo
asignado si es profesor o administrativo?
A Usted se le brinda capacitacin por parte de la USAT acerca de seguridad de la

informacin
Si ( )
No ( )
Si la respuesta es Si; Cada que tiempo y quien se encarga de hacerlo
En caso contrario, cmo se capacitan?
139
Usted cuenta con los medios y capacidad para afrontar cualquier desastre natural o
humano como:
Aplacar un incendio utilizando un extintor
Si ( ) No ( )
Desplazar a los usuarios correctamente guindose por sealizaciones Si ( ) No ( )
Utilizacin de primeros auxilios (existencia u utilidad de un botiqun) Si ( ) No ( )
Otros, Especifique _______________________________________
( )
Ninguno
( )
Usted sabe utilizar correctamente un extintor Si lo sabe, se le capacito dentro de la
USAT, o lo aprendi fuera?
Cules son los problemas ms frecuentes que se atienden con respecto a los usuarios?
Hardware:
Software: ..
Cmo se podran evitar?
Existen proyectos o mejoras con respecto a la seguridad de la informacin en el rea

que laboras (Taller de Computo)?
De quin y de donde surgen estas iniciativas?
Anexo 08
ENTREVISTA
tecnologa de informacin y comunicacin de la USAT, motivo por el cual est
entrevista va dirigido al jefe de Desarrollo de Sistemas como principal agente
encargado de la Seguridad de la Informacin dentro de la organizacin.
Para saber quienes son las personas que toman las decisiones con respecto a la
seguridad de la informacin se listo las siguientes preguntas:
La USAT cuenta con un comit de seguridad de la informacin?
SI ( )
Las funciones del comit se encuentran detalladas en el manual de funciones y
organizacin u otro documento____________________________________________
140
Quin conforma ese comit_______________________________________________

Ese comit es plenamente identificable por la comunidad universitaria_____________
NO ( )
Si no cuentan con ese comit, quienes son los encargados de establecer las polticas de
seguridad de la informacin ______________________________________________
O, slo las polticas son establecidas por si mismo como jefe de rea de taller de
cmputo______________________________________________________________
Estas polticas son conocidas por todos los usuarios____________________________
A travs de que medio se les di a conocer______________________________
Preguntas sobre mecanismos de control con respecto a la seguridad de la informacin
Existe algn tipo de manual o documento donde se especifique los controles para la
seguridad de la informacin?_______________________________________________
De qu manera controla a sus trabajadores, con respecto al tema de seguridad de la
informacin?___________________________________________________________
Cmo se controla la creacin de usuarios para acceder al sistema y quin solicita esa
creacin?______________________________________________________________
Quin se encarga de aplicar las restricciones al usuario del sistema?
Existen bitcoras donde se registran los sucesos de todos los usuarios que ingresan a la
red?___________________________________________________________________
Detecto en alguna ocasin algo indebido________________________________
Se registran los accesos de personas al rea que tiene a cargo?____________________
Se registran los sucesos o incidentes que suceden dentro del rea?_________________
Cada qu tiempo solicitan que se les de mantenimiento a sus equipos?_____________
Preguntas sobre polticas de seguridad
Existe un documento donde se especifique las polticas de seguridad de la
informacin?
SI ( )
Quin elabor ese documento y por quin fue aprobado?_______________________
Sus trabajadores y usuarios conocen este documento?_________________________
Se aplican estas polticas a toda la comunidad universitaria?____________________
Cada que tiempo se revisan esas polticas?__________________________________
NO ( )
Segn Usted, a que cree que se deba, que hasta ahora no se implementa las polticas
de seguridad de la informacin en la USAT?________________________________
Cree Usted, que es de suma urgencia la elaboracin de polticas de seguridad de la
informacin para la USAT?______________________________________________
Porqu___________________________________________________________
Y para su rea (lo cree necesario) __________________________________________
Preguntas sobre el nivel conocimiento de seguridad de la informacin por parte de su
personal
Frente a cualquier desastre natural, provocado o humano Su personal conoce cuales
son los activos ms importantes que debe proteger en relacin a la informacin?
141
SI ( )
Para ello existen procedimientos documentados para actuar antes, durante y despus
del desastre?___________________________________________________________
Ha realizado algn simulacro con defensa civil o tiene previsto hacerlo en el futuro?
_____________________________________________________________________
Lo cree necesario hacerlo con esta organizacin_______________________________
Su rea posee algn plan de contingencia, si no lo tiene ha motivado a sus
trabajadores para elaborarlo?_____________________________________________
NO ( )
A qu se debe?________________________________________________________
Preguntas sobre backups y claves
La administracin del sistema que est a su cargo, se manejan a travs de claves de
autenticacin___________________________________________________________
Cree usted necesario que la alta direccin deba poseer las claves (y su actualizacin de
las mismas) ____________________________________________________________
Porqu___________________________________________________________
Existe algn procedimiento para realizar backups, de la informacin que usted maneja?
SI ( )
Estn descritos en algn documento?______________________________________
Se cumplen conforme estn descritos?_____________________________________
Son depositados en algn lugar especial dentro de la USAT o fuera de ella?________
Porqu___________________________________________________________
Cada que tiempo se hace y quin los realiza__________________________________
NO ( )
Porqu___________________________________________________________
Preguntas sobre problemas frecuentes
Cules son los problemas ms frecuentes con los que se enfrenta el rea que Usted
tiene a cargo?
En las actividades de su rea_________________________________________
En los servicios que le brinda a los usuarios__________________________
Se encuentran archivados esos problemas? Qu estrategia usa para disminuir esos
problemas frecuentes? Existe alguna estadstica de la evolucin de esos problemas
______________________________________________________________________
Emplean tarjetas o fichas de seguimiento de los problemas en el uso del sistema por
parte usuarios__________________________________________________________
Preguntas sobre modificaciones en los servicios que se le presta a los usuarios
Todas las modificaciones que se haga a los servicios que otorga el sistema a los
usuarios son registrados?__________________________________________________
Existe algn procedimiento interno para efectuarlos____________________________
Preguntas sobre responsabilidad de software a desarrolla
142
Cada integrante del equipo de desarrollo de sistemas es responsable del software que
desarrolla?
SI ( )
Qu control de calidad para la produccin del software se le aplica?______________
Esto le permite tener una copia de resguardo en su casa?_______________________
Acata las polticas que se le impone?
NO ( )
Porqu _______________________________________________________________
Preguntas sobre manejo de base de datos
Quin es el primer responsable en el manejo de la base de datos?__________________
Toda actividad que se realice en ella es documentada?__________________________
Aparte del departamento que tiene a cargo, existe otra persona que cada cierto tiempo
realice una evaluacin del nivel de desarrollo de su rea?_________________________
Cualquier trabajador que tenga a su cargo puede modificar la base de datos en el
momento que desee?______________________________________________________
A tenido algn inconveniente con la base de datos en algn momento?_____________
Preguntas sobre software y hardware
Cuentan con los equipos necesarios para realizar sus actividades?_________________
Cuentan con el software necesario para realizar sus actividades?__________________
Todo el software que se utilizan sea SW con licencia o SW libre, son solicitado al rea
de taller de cmputo?_____________________________________________________
Su rea maneja restricciones a travs de la red, igual como cualquier otra rea?______
______________________________________________________________________
Anexo 09
CUESTIONARIO SOBRE SEGURIDAD DE LA INFORMACIN
Hacia: Trabajadores de Desarrollo de Sistemas de esta Universidad
Objetivo:
Identificar el grado de conocimiento que cuentan los Trabajadores en el resguardo de la
Tecnologa de Informacin, sus Aplicaciones y en el desarrollo, mantenimiento del
software que elaboran y como se han involucrado.
Instrucciones:
Lea cada pregunta y responda a c/u de ellas sobre las lneas punteadas, en algunos casos
seale con una X en las alternativas propuestas con parntesis
Cuntas llamadas de usuarios al da recibe por inconvenientes tcnicos en el software
que han desarrollado? Describa el inconveniente ms frecuente que sucede en la
mayora de usuarios?
Nmero de llamadas (.)
143
Inconveniente ms frecuente:
Se registran dichos inconvenientes? Cul es tiempo promedio que demoras para

solucionar dichos inconvenientes?
Guarda una copia de seguridad del cdigo que desarrollan por seguridad en un lugar
distinto a sus instalaciones?
A veces ( )
Casi siempre ( )
Siempre ( )
Nunca ( )
Usted brinda soporte y mantenimiento al equipo que le fue asignado en desarrollo de
sistemas? Y si no lo hace A quin acude o informa? A travs de que medio (si es
correo electrnico, cul es)?
Usted cuenta con los medios y la capacidad para afrontar cualquier desastre natural o
humano como:
El rea posee un extintor.
SI ( ) NO ( )
El rea posee seales de seguridad.
SI ( ) NO ( )
Me capacitan constantemente para afrontar este tipo de problema SI ( ) NO ( )
Se posee una lista de nmero de emergencia a la mano
SI ( ) NO ( )
Existe un botiqun de primeros auxilios
SI ( ) NO ( )
Otros, Especificar.. ( )
Ninguno
( )
Usted sabe utilizar el extintor Si lo sabe, donde lo aprendi?
.
.
Existe alguna persona encargada de guardar el backup del sistema general con su
respectiva base de datos de la USAT (desarrollada y en desarrollo) Cmo se llama?
Qu cargo ocupa en el rea? Cada cunto tiempo lo hace?
De qu forma se realiza el seguimiento de actividades en relacin a la produccin de

desarrollo del software de la USAT?
....
Existe algn mecanismo de control de calidad en la produccin del software de la USAT
Si existe, cul es (descrbalo)?
144
Quin asigna a la persona para que realice el control de calidad? La persona(s)

encargada(s) de llevar el control de calidad se llama(n)? Son internos o externos al
rea? Son personas ajenas a la universidad? Y cada cuanto tiempo lo realizan?
Existe un comit de seguridad de la informacin que est informado constantemente

sobre el desarrollo, inconvenientes, ocurrencias, fallas, etc. con respecto a la produccin
del software?
Cree que sus equipos informticos se encuentran completamente seguros dentro de su

rea, cmo?
Todos mis accesos al equipo son a travs de claves
SI ( ) NO ( )
Se posee un buen antivirus y siempre est actualizado
SI ( ) NO ( )
El rea de trabajo es completamente segura
SI ( ) NO ( )
Se registra los ingresos de cada persona dentro del rea
SI ( ) NO ( )
Se posee una caja fuerte en el rea
SI ( ) NO ( )
El rea es vigilada por una cmara de video
SI ( ) NO ( )
Otros, Especificar.
( )
Ninguna
( )
Sus claves de acceso a las diferentes aplicaciones, cada qu tiempo los cambia
Mensualmente ( ) Trimestralmente ( ) Semestralmente ( ) Anualmente ( )
Existe alguna clave acceso que se comparta entre los trabajadores de est rea (Si existe
Porqu razn)
.
En alguna ocasin, la alta Direccin te ha solicitado modificar data de la Base de Datos
de la universidad
A veces ( )
Casi siempre ( )
Siempre ( )
Nunca ( )
Al realizar alguna modificacin en la Base de Datos, cul es el procedimiento que
realiza el rea para realizarlo se registra est incidencia en archivos?
A veces ( )
Casi siempre ( )
Siempre ( )
Nunca ( )
Usted cree que es responsable de su equipo informtico y de cada actividad que realice
usted o terceras personas sobre ella?
A veces ( )
Casi siempre ( )
Siempre ( )
Nunca ( )
Qu recomendara Usted para mejorar el rea donde se trabaja y tambin que
recomendara para la parte de desarrollo de software (produccin del mismo)?
Anexo 10
145
El Comit de Seguridad de la Informacin de la USAT, proceder a revisar y

proponer a la mxima autoridad de la USAT para su aprobacin la Poltica de Seguridad
de la Informacin y las funciones generales en materia de seguridad de la informacin;
monitorear cambios significativos en los riesgos que afectan a los recursos de
informacin frente a las amenazas ms importantes; tomar conocimiento y supervisar la
investigacin y monitoreo de los incidentes relativos a la seguridad; aprobar las
principales iniciativas para incrementar la seguridad de la informacin , de acuerdo a las
competencias y responsabilidades asignadas a cada rea1, as como acordar y aprobar
metodologas y procesos especficos relativos a seguridad de la informacin; garantizar
que la seguridad sea parte del proceso de planificacin de la informacin; evaluar y
coordinar la implementacin de controles especficos de seguridad de la informacin
para nuevos sistemas o servicios; promover la difusin y apoyo a la seguridad de la
informacin dentro del Organismo y coordinar el proceso de administracin de la
continuidad de las actividades del Organismo.
El Coordinador del Comit de Seguridad de la Informacin ser el responsable de
coordinar las acciones del Comit de Seguridad de la Informacin y de impulsar la
implementacin y cumplimiento de la presente Poltica.
El Responsable de Seguridad Informtica cumplir funciones relativas a la seguridad
de los sistemas de informacin de la USAT, lo cual incluye la supervisin de todos los
aspectos inherentes a los temas tratados en la presente Poltica.
Los Propietarios de la Informacin son responsables de clasificarla de acuerdo con el
grado de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la
clasificacin efectuada, y de definir qu usuarios debern tener permisos de acceso a la
informacin de acuerdo a sus funciones y competencia.
El Responsable del rea de Recursos Humanos o quin desempee esas funciones,
cumplir la funcin de notificar a todo el personal que ingresa de sus obligaciones
respecto del cumplimiento de la Poltica de Seguridad de la Informacin y de todas las
normas, procedimientos y prcticas que de ella surjan. Asimismo, tendr a su cargo la
notificacin de la presente Poltica a todo el personal, de los cambios que en ella se
146
produzcan, la implementacin
de la suscripcin de los
Compromisos
de
Confidencialidad (entre otros) y las tareas de capacitacin continua en materia de

seguridad.
El Responsable del rea Informtica cumplir la funcin de cubrir los requerimientos
de seguridad informtica establecidos para la operacin, administracin y comunicacin
de los sistemas y recursos de tecnologa de la USAT. Por otra parte tendr la funcin de
efectuar las tareas de desarrollo y mantenimiento de sistemas, siguiendo una
metodologa de ciclo de vida de sistemas apropiada, y que contemple la inclusin de
medidas de seguridad en los sistemas en todas las fases.
El Responsable del rea Legal verificar el cumplimiento de la presente Poltica en la
gestin de todos los contratos, acuerdos u otra documentacin del Organismo con sus
empleados y con terceros. Asimismo, asesorar en materia legal al Organismo, en lo que
se refiere a la seguridad de la informacin.
Los usuarios de la informacin y de los sistemas utilizados para su procesamiento son
responsables de conocer, dar a conocer, cumplir y hacer cumplir la Poltica de Seguridad
de la Informacin vigente.
La Unidad de Auditora Interna, o en su defecto quien sea propuesto por el Comit de
Seguridad de la Informacin es responsable de practicar auditoras peridicas sobre los
sistemas y actividades vinculadas con la tecnologa de informacin, debiendo informar
sobre el cumplimiento de las especificaciones y medidas de seguridad de la informacin
establecida por esta Poltica y por las normas, procedimientos y prcticas que de ella
surjan (Ver Anexo 04).
Anexo 11
Sanciones Previstas por Incumplimiento
Se sancionar administrativamente a todo aquel que viole lo dispuesto en la presente
Poltica de Seguridad conforme a lo dispuesto por las normas estatutarias, escalafonarias
y convencionales que rigen al personal dentro de la USAT, y en caso de corresponder, se
realizarn las acciones correspondientes ante el o los Organismos pertinentes.
147
Las sanciones slo pueden imponerse mediante un acto administrativo que as lo

disponga cumpliendo las formalidades impuestas por los preceptos constitucionales, la
Ley de Procedimiento Administrativo y dems normativas especficas aplicables
referentes a los sistemas de informacin. Amn de las sanciones disciplinarias o
administrativas, el agente que no da debido cumplimiento a sus obligaciones pueden
incurrir tambin en responsabilidad civil o patrimonial - cuando ocasiona un dao que
debe ser indemnizado- y/o en responsabilidad penal -cuando su conducta constituye un
comportamiento considerado delito por el Cdigo Penal y leyes especiales.
Anexo 12
Puntos de la documentacin de la poltica
1. Cumplimiento de requisitos legales
1.1. Identificacin de la legislacin aplicable
Se definirn y documentarn claramente todos los requisitos normativos y contractuales
pertinentes para cada sistema de informacin. Del mismo modo se definirn y
documentarn los controles especficos y las responsabilidades y funciones individuales
para cumplir con dichos requisitos.
1.2. Derechos de Propiedad Intelectual
Se implementarn procedimientos adecuados para garantizar el cumplimiento de las
restricciones legales al uso del material protegido por normas de propiedad intelectual.
Los empleados nicamente podrn utilizar material autorizado por el Organismo.
El Organismo solo podr autorizar el uso de material producido por el mismo, o
material autorizado o suministrado al mismo por su titular, conforme los trminos y
condiciones acordadas y lo dispuesto por la normativa vigente.
La infraccin a estos derechos puede tener como resultado acciones legales que podran
derivar en demandas penales.
Se debern tener presentes las siguientes normas:
Ley de Propiedad Intelectual N 11.723: Protege los derechos de autor de las obras
cientficas, literarias y artsticas, incluyendo los programas de computacin fuente y
objeto; las compilaciones de datos o de otros materiales.
Ley de Marcas N 22.362: Protege la propiedad de una marca y la exclusividad de
su uso.
148
Ley de Patentes de Invencin y Modelos de Utilidad N 24.481: Protege el derecho

del titular de la patente de invencin a impedir que terceros utilicen su producto o
procedimiento.
1.2.1. Derecho de Propiedad Intelectual del Software
El software es considerado una obra intelectual que goza de la proteccin de la Ley
11.723 de Propiedad Intelectual. Esta Ley establece que la explotacin de la propiedad
intelectual sobre los programas de computacin incluir, entre otras formas, los
contratos de licencia para su uso o reproduccin.
Los productos de software se suministran normalmente bajo acuerdos de licencia que
suelen limitar el uso de los productos al equipamiento especfico y su copia a la
creacin de copias de resguardo solamente.
El Responsable de Seguridad Informtica, con la asistencia del rea Legal, analizar los
trminos y condiciones de la licencia, e implementar los siguientes controles:
a)
Definir normas y procedimientos para el cumplimiento del derecho de propiedad

intelectual de software que defina el uso legal de productos de informacin y de
software.
b)
Divulgar las polticas de adquisicin de software y las disposiciones de la Ley de

Propiedad Intelectual, y notificar la determinacin de tomar acciones disciplinarias
contra el personal que las infrinja.
c)
Mantener un adecuado registro de activos.
d)
Conservar pruebas y evidencias de propiedad de licencias, discos maestros,

manuales, etc.
e)
Implementar controles para evitar el exceso del nmero mximo permitido de

usuarios.
f)
Verificar que slo se instalen productos con licencia y software autorizado.
g)
Elaborar y divulgar un procedimiento para el mantenimiento de condiciones

adecuadas con respecto a las licencias.
h)
Elaborar y divulgar un procedimiento relativo a la eliminacin o transferencia de

software a terceros.
i)
Utilizar herramientas de auditora adecuadas.
j)
Cumplir con los trminos y condiciones establecidos para obtener software e

informacin en redes pblicas.
149
1.3. Proteccin de los Registros del Organismo

Los registros crticos del Organismo se protegern contra prdida, destruccin y
falsificacin. Algunos registros pueden requerir una retencin segura para cumplir
requisitos legales o normativos, as como para respaldar actividades esenciales del
Organismo. Los registros se clasificarn en diferentes tipos, por ejemplo registros
contables, registros de base de datos, registros de auditora y procedimientos operativos,
cada uno de ellos detallando los perodos de retencin y el tipo de medios de
almacenamiento, por ejemplo papel, microfichas, medios magnticos u pticos.
Las claves criptogrficas asociadas con archivos cifrados se mantendrn en forma

segura y estarn disponibles para su uso por parte de personas autorizadas cuando
resulte necesario. Se debe considerar la posibilidad de degradacin de los medios
utilizados para el almacenamiento de los registros. Los procedimientos de
almacenamiento y manipulacin se implementarn de acuerdo con las recomendaciones
del fabricante. Si se seleccionan medios de almacenamiento electrnicos, se incluirn
los procedimientos para garantizar la capacidad de acceso a los datos (tanto legibilidad
de formato como medios) durante todo el perodo de retencin, a fin de salvaguardar los
mismos contra eventuales prdidas ocasionadas por futuros cambios tecnolgicos.
Los sistemas de almacenamiento de datos sern seleccionados de modo tal que los datos
requeridos puedan recuperarse de una manera que resulte aceptable para un tribunal de
justicia, por ejemplo que todos los registros requeridos puedan recuperarse en un plazo
y un formato aceptable.
El sistema de almacenamiento y manipulacin garantizar una clara identificacin de
los registros y de su perodo de retencin legal o normativa. Asimismo, se permitir una
adecuada destruccin de los registros una vez transcurrido dicho perodo, si ya no
resultan necesarios para el Organismo.
A fin de cumplir con estas obligaciones, se tomarn las siguientes medidas:
a) Elaborar y divulgar los lineamientos para la retencin, almacenamiento,
manipulacin y eliminacin de registros e informacin.
150
b) Preparar un cronograma de retencin identificando los tipos esenciales de registros

y el perodo durante el cual deben ser retenidos.
c) Mantener un inventario de programas fuentes de informacin clave.
d) Implementar adecuados controles para proteger la informacin y los registros
esenciales contra prdida, destruccin y falsificacin.
En particular, se debern tener presente las siguientes normas:
tica en el Ejercicio de la Funcin Pblica. Ley 25.188: Establece que las personas
que se desempeen en la funcin pblica deben proteger y conservar la propiedad
del Estado y slo emplear sus bienes con los fines autorizados.
Cdigo de tica de la Funcin Pblica: Dispone que el funcionario pblico debe
proteger y conservar los bienes del Estado y utilizar los que le fueran asignados para
el desempeo de sus funciones de manera racional, evitando su abuso, derroche o
desaprovechamiento.
Cdigo Penal Art. 255: Sanciona a quien sustrajere, ocultare, destruyere o inutilizare
objetos destinados a servir de prueba ante la autoridad competente, registros o
documentos confiados a la custodia de un funcionario o de otra persona en el inters
del servicio pblico. Si el culpable fuere el mismo depositario, sufrir adems
inhabilitacin especial por doble tiempo.
Ley N 24.624. Artculo 30: Autoriza el archivo y la conservacin en soporte
electrnico u ptico indeleble de la documentacin financiera, de personal y de
control de la Administracin Pblica Nacional y otorga valor jurdico y probatorio a
la documentacin existente que se incorpore al Archivo General de la
Administracin, mediante la utilizacin de tecnologa que garantice la estabilidad,
perdurabilidad, inmutabilidad e inalterabilidad del soporte de guarda fsico de la
mencionada documentacin.
Decisin Administrativa 43/96: Reglamenta el Art. 30 de la Ley 24.624. Determina
su mbito de aplicacin, define conceptos y precisa los requisitos de carcter
general, los relacionados con los documentos en particular y con el soporte a utilizar
en la redaccin, produccin o reproduccin de aquellos.
Ley de Propiedad Intelectual N 11.723: Protege los derechos de autor de las obras
cientficas, literarias y artsticas, incluyendo las compilaciones de datos o de otros
materiales.
151
Ley N 25.506: Establece que la exigencia legal de conservar documentos, registros

o datos, tambin queda satisfecha con la conservacin de los correspondientes
documentos digitales firmados digitalmente, segn los procedimientos que
determine la reglamentacin, siempre que sean accesibles para su posterior consulta
y permitan determinar fehacientemente el origen, destino, fecha y hora de su
generacin, envo y/o recepcin.
1.4. Proteccin de Datos y Privacidad de la Informacin Personal
Todos los empleados debern conocer las restricciones al tratamiento de los datos y de
la informacin respecto a la cual tengan conocimiento con motivo del ejercicio de sus
funciones.
El Organismo redactar un Compromiso de Confidencialidad, el cual deber ser
suscrito por todos los empleados. La copia firmada del compromiso ser retenida en
forma segura por el Organismo. Mediante este instrumento el empleado se
comprometer a utilizar la informacin solamente para el uso especfico al que se ha
destinado y a no comunicar, diseminar o de alguna otra forma hacer pblica la
informacin a ninguna persona, firma, compaa o tercera persona, salvo autorizacin
previa y escrita del Responsable del Activo de que se trate. A travs del Compromiso
de Confidencialidad se deber advertir al empleado que determinadas actividades
pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de
no violar el derecho a la privacidad del empleado. En particular, se debern tener
presente las siguientes normas:
Ley Marco de Regulacin de Empleo Pblico Nacional. Ley 25.164: Establece que
los
Funcionarios Pblicos deben observar el deber de fidelidad que se derive de la
ndole de las tareas que le fueron asignadas y guardar la discrecin correspondiente
o la reserva absoluta, en su caso, de todo asunto del servicio que as lo requiera.
Convenio Colectivo de Trabajo General: Dispone que todos los agentes deben
observar el deber de fidelidad que se derive de la ndole de las tareas que le fueran
asignadas y guardar la discrecin correspondiente, con respecto a todos los hechos e
informaciones de los cuales tenga conocimiento en el ejercicio o con motivo del
ejercicio de sus funciones.
152
tica en el Ejercicio de la Funcin Pblica. Ley 25.188: Obliga a todas las personas
que se desempeen en la funcin pblica a abstenerse de utilizar informacin
adquirida en el cumplimiento de sus funciones para realizar actividades no
relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses
privados.
Cdigo de tica de la Funcin Pblica: Establece que el funcionario pblico debe
abstenerse de difundir toda informacin que hubiera sido calificada como reservada
o secreta conforme a las disposiciones vigentes, ni la debe utilizar, en beneficio
propio o de terceros o para fines ajenos al servicio, informacin de la que tenga
conocimiento con motivo o en ocasin del ejercicio de sus funciones y que no est
destinada al pblico en general.
Proteccin de Datos Personales. Ley 25.326: Establece responsabilidades para
aquellas personas que recopilan, procesan y divulgan informacin personal y define
criterios para procesar datos personales o cederlos a terceros.
Confidencialidad. Ley N 24.766: Impide la divulgacin a terceros, o su utilizacin
sin previo consentimiento y de manera contraria a los usos comerciales honestos, de
informacin secreta y con valor comercial que haya sido objeto de medidas
razonables para mantenerla secreta.
Cdigo Penal: Sanciona a aquel que teniendo noticias de un secreto cuya
divulgacin pueda causar dao, lo revelare sin justa causa (Art. 156), al funcionario
pblico que revelare hechos, actuaciones o documentos que por la ley deben quedar
secretos (Art. 157), al que revelare secretos polticos o militares concernientes a la
seguridad, a los medios de defensa o a las relaciones exteriores de la Nacin, o al
que por imprudencia o negligencia diere a conocer los secretos mencionados
anteriormente, de los que se hallare en posesin en virtud de su empleo u oficio
(Art. 222 y 223).
Asimismo, deber considerarse lo establecido en el Decreto 1172/03, que regula el
acceso a la informacin pblica por parte de los ciudadanos.
1.5. Prevencin del Uso Inadecuado de los Recursos de
Procesamiento de Informacin
153
Los recursos de procesamiento de informacin del Organismo se suministran con un

propsito determinado. Toda utilizacin de estos recursos con propsitos no autorizados
o ajenos al destino por el cual fueron provistos debe ser considerada como uso indebido.
Todos los empleados deben conocer el alcance preciso del uso adecuado de los recursos
informticos y deben respetarlo.
En particular, se debe respetar lo dispuesto por las siguientes normas:
Ley Marco de Regulacin de Empleo Pblico Nacional. Ley 25.164: Prohbe hacer
uso indebido o con fines particulares del patrimonio estatal.
Convenio Colectivo de Trabajo General: Obliga a los agentes a no hacer uso
indebido con fines particulares del patrimonio estatal.
tica en el Ejercicio de la Funcin Pblica. Ley 25.188: Obliga a las personas que
se desempeen en la funcin pblica a proteger y conservar la propiedad del Estado
y slo emplear sus bienes con los fines autorizados.
Cdigo de tica de la Funcin Pblica: Obliga al funcionario pblico a proteger y
conservar los bienes del Estado y utilizar los que le fueran asignados para el
desempeo de sus funciones de manera racional, evitando su abuso, derroche o
desaprovechamiento.
1.6. Regulacin de Controles para el Uso de Criptografa
Al utilizar firmas digitales o electrnicas, se deber considerar lo dispuesto por la Ley
25.506 y su decreto reglamentario Decreto 2628/02, que establecen las condiciones bajo
las cuales una firma digital es legalmente vlida.
Respecto a la comercializacin de controles criptogrficos, nuestro pas ha suscrito el
acuerdo Wassennar, que establece un listado de materiales y tecnologas de doble uso,
cuya comercializacin puede ser considerada peligrosa.
El Decreto 603/92 regula el Rgimen de Control de las Exportaciones Sensitivas y de
Material Blico, estableciendo un tratamiento especial para la exportacin de
determinados bienes que pueden ser comprendidos dentro del concepto de material
blico. Se debe obtener asesoramiento antes de transferir a otro pas informacin cifrada
o controles criptogrficos. Para ello se puede consultar a la Direccin General de
Poltica, de la Secretaria de Asuntos Militares, Ministerio de Defensa, a fin de saber si el
material exportable requiere algn tratamiento especial.
154
1.7. Recoleccin de Evidencia

Es necesario contar con adecuada evidencia para respaldar una accin contra una
persona u organizacin. Siempre que esta accin responda a una medida disciplinaria
interna, la evidencia necesaria estar descrita en los procedimientos internos.
Cuando la accin implique la aplicacin de una ley, tanto civil como penal, la evidencia
presentada debe cumplir con lo establecido por las normas procesales. Para lograr la
validez de la evidencia, el Organismo garantizar que sus sistemas de informacin
cumplen con la normativa y los estndares o cdigos de prctica relativos a la
produccin de evidencia vlida.
Para lograr la calidad y totalidad de la evidencia es necesaria una slida pista de la
misma. Esta pista se establecer cumpliendo las siguientes condiciones:
a) Almacenar los documentos en papel originales en forma segura y mantener
registros acerca de quin lo hall, dnde se hall, cundo se hall y quin
presenci el hallazgo.
b) Cualquier investigacin debe garantizar que los originales no sean alterados.
c) Copiar la informacin para garantizar su disponibilidad. Se mantendr un registro
de todas las acciones realizadas durante el proceso de copia. Se almacenar en
forma segura una copia de los medios y del registro. Cuando se detecta un
incidente, puede no resultar obvio si ste derivar en una demanda legal por lo
tanto se deben tomar todos los recaudos establecidos para la obtencin y
preservacin de la evidencia.
Se deber tener presente lo dispuesto por el Reglamento de Investigaciones
Administrativas, procedimiento administrativo especial, de naturaleza correctiva interna
que constituye garanta suficiente para la proteccin de los derechos y correcto ejercicio
de las responsabilidades impuestas a los agentes pblicos. Este Decreto debe ser
complementado por lo dispuesto en la Ley N 19.549 (Ley de Procedimientos
Administrativos) y por toda otra normativa aplicable, incluido el Cdigo Penal, el que
sanciona a quien sustrajere, ocultare, destruyere o inutilizare objetos destinados a servir
de prueba ante la autoridad competente (Art. 255).
155
Bibliografa:
Informacin general
http://www.iso27000.es/
Pgina donde encontramos informacin general de la norma 27000 en espaol.
http://iso9001-iso27001-gestion.blogspot.com/2006/05/familia-iso-27000.html
nformacin de la familia del estndar 27000
http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCCMU_archivos/Nextel.pdf
Modelo de SGSI en NEXTEL
www.iso27001certificates.com
Registro internacional de organizaciones certificadas en ISO 27001 y BS 7799-2.
www.securityforum.org
Information Security Forum (ISF). Asociacin de empresas a nivel mundial con ms
de 300 socios, de la que forman parte ms del 50% de las empresas Fortune 100.
Con los fondos aportados por los socios, desarrolla proyectos relacionados con
seguridad de la informacin para sus miembros, buscando sinergias.
www.european-accreditation.org
European Cooperation for Accreditation. Asociacin sin nimo de lucro que cubre la
acreditacin de laboratorios, organismos de inspeccin y organismos de
certificacin en sistemas de gestin de la calidad, sistemas de gestin
medioambientales, productos y servicios, personas y esquemas de auditora y de
gestin europeos.
www.isaca.org
156
Information Systems Audit and Control Association. Organizacin centrada en el

buen gobierno de las tecnologas de la informacin, desde la que se comparte
informacin y guas tiles entre sus asociados (ms de 50.000 en ms 140 pases),
que cubren una amplia variedad de puestos en el campo de TI (auditores,
consultores, profesionales de la seguridad, profesores, reguladores, etc.). Tiene
captulos en Espaa y varios pases hispanoamericanos.
www.isc2.org
International Information Systems Security Certification Consortium. Institucin
que certifica a nivel mundial a profesionales de la seguridad de la informacin con
programas como, por ejemplo, CISSP.
www.arcert.gov.ar/politica
Web gubernamental argentina de implantacin de polticas de seguridad en la
Administracin Pblica.
www.inteco.es
INTECO. Instituto Nacional de Tecnologas de la Comunicacin de Espaa.
www.ecgi.org
European Corporate Governance Institute. Instituto europeo fundado en 2002 que
acta como foro de debate e investigacin sobre gobierno corporativo. Ofrece una
recopilacin de principios y cdigos de buen gobierno por pases.
www.csi.map.es/csi/pg6000.htm
Ministerio de Administraciones Pblicas Consejo Superior de Informtica.
www.cni.es
Centro Nacional de Inteligencia / Centro Criptolgico Nacional (Espaa).
www.oc.ccn.cni.es
Organismo de Certificacin (OC) del Esquema Nacional de Evaluacin y
Certificacin de la Seguridad de las Tecnologas de la Informacin (ENECSTI).
Proteccin de Datos
www.informationcommissioner.gov.uk
Information Commissioner's Office (ICO) es una autoridad de supervisin
independiente que informa directamente al parlamento del Reino Unido. El ICO
regula y hace cumplir el Data Protection Act 1998, Freedom of Information Act
157
2000, Privacy and Electronic Communications (EC Directive) Regulations 2003 y

Environmental Information Regulations 2004.
www.agpd.es
Agencia Espaola de Proteccin de Datos.
www.datospersonales.org
Agencia de Proteccin de Datos de la Comunidad de Madrid.
www.alfa-redi.org
Foro latinoamericano de privacidad y proteccin de datos.
Gestin de incidentes y respuesta a emergencias
alerta-antivirus.red.es/portada
Centro de Alerta Antivirus, Entidad pblica del Ministerio de Industria, Turismo y
Comercio.
www.ccn-cert.cni.es
Equipo de Respuesta ante Incidentes de Seguridad Informtica del CCN (Centro

Criptolgico Nacional de Espaa).
www.rediris.es/cert
CERT pblico de RedIRIS, red acadmica y de investigacin nacional.
escert.upc.edu
esCERT-Universidad Politcnica de Catalua, Equipo de Seguridad para la
Coordinacin de Emergencias en Redes Telemticas.
sec.ietf.org
IETF Grupos de trabajo para la seguridad y manejo de incidentes.
www.microsoft.com/security/portal/default.aspx
Microsoft Malware Protection Center.
Acreditacin y Normalizacin
www.iso.org
International Standards Organization.
www.bsi-global.com
158
British Standards Institute. Organismo oficial de normalizacin del Reino Unido.

Es el editor, entre otras muchas, de las normas BS 7799, precursoras de la serie
ISO 27000.
www.aenor.es
AENOR, Asociacin Espaola de Normalizacin y Certificacin. En su pgina
web puede encontrarse gran cantidad de informacin sobre normas as como la
posibilidad de adquirir normas ISO en espaol.
www.enac.es
ENAC, Entidad de Nacional de Acreditacin de Espaa.
www.iram.com.ar
IRAM, Instituto Argentino de Normalizacin y Certificacin.
www.oaa.org.ar
OAA, Organismo Argentino de Acreditacin.
www3.inn.cl
INN, Instituto Nacional de Normalizacin de Chile. Tambin es la entidad
nacional de acreditacin de Chile.
www.inteco.or.cr
INTECO, Instituto de Normas Tcnicas de Costa Rica.
www.calidadecuador.gov.ec
OAE, Organismo de Acreditacin Ecuatoriano.
www.conacyt.gob.sv/conacyt/acreditacion/quees.php
CONACYT, Consejo Nacional de Ciencia y Tecnologa de El Salvador. Entidad
de acreditacin.
www.economia.gob.mx/index.jsp?P=85
DGN, Direccin General de Normas de Mxico.
www.ema.org.mx
EMA, Entidad Mexicana de Acreditacin.
www.mici.gob.pa/nortec.php
DGNTI, Direccin General de Normas y Tecnologa Industrial de Panam.
www.indecopi.gob.pe
159
INDECOPI, Instituto Nacional de Defensa de la Competencia y de la Proteccin

de la Propiedad Intelectual de Per. Es la entidad de normalizacin y de
acreditacin de Per.
www.etsi.org
European Telecommunications Standards Institute.
Blogs
alancalder.blogspot.com
Alan Calder. IT Governance, information security and ISO 27001.
seguridad.crackvan.net
Alejandro Delgado, Rafael Daz y Laura Martn. Auditora y seguridad de la
informacin.
www.securitymetrics.org
Andrew Jaquith. Security Metrics.
gobiernotic.blogspot.com
Antonio Valle. Gobierno de las TIC.
www.schneier.com/blog
Bruce Schneier. Schneier on Security.
cavaju.blogspot.com
Carlos Jumbo. CAVAJU - Informtica y Seguridad.
gaonasec.blogspot.com
Jos A. Ruiz Gaona. GaonaSec - TIC en general y seguridad en particular.
iso9001-iso27001-gestion.blogspot.com
Jos M. Fernndez. ISO 9001, ISO 27001, Gestin.
160

Seguridad Informatica

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad Informatica

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

ELABORACIN Y APLICACIN DE UN SISTEMA DE

CHICLAYO, JUNIO 2008

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

PROYECTO DE TESIS PARA OPTAR EL TITULO DE INGENIERO DE

CHICLAYO, JUNIO 2008

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

1.2. Antecedentes de la Investigacin

1.2.1. Casos en Europa.. 8

1.2.3. Casos en Per..

1.3. Alcance y limitaciones

1.4. Objetivos de la Investigacin.

1.4.1. Objetivo General

1.4.2. Objetivos Especficos

1.5. Formulacin del Problema de Investigacin.

1.6. Definicin de variables..

1.6.1. Variable Independiente.

1.6.2. Variable Dependiente

1.6.3. Variable interviniente

1.7. Justificacin de la investigacin.

CAPITULO II: Marco referencial

2.1.1. ISO 27000 18

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

2.1.2.4 Cmo se implementa un SGSI?............................................................. 28

2.3. Marco Metodolgico del desarrollo de la investigacin.

2.3.1. Modelo del Sistema de Gestin de Seguridad de la Informacin PDCA. 38

M.02. MAGERIT versin 2

2.3.1.3. Do: Implementar y utilizar el SGSI 55

2.5. Diseo de Contrastacin de la Hiptesis.

2.6. Tipo de Investigacin..

2.7. Poblacin Muestra

2.8. Tcnicas, Instrumentos, Fuentes e Informantes..

2.10. Anlisis de la Informacin.

2.10.1. Anlisis de la informacin...

2.10.2. Recurso disponible..

CAPITULO III: Diagnstico de la situacin actual

3.1.1. Historia de la USAT.

3.1.2. Tipo de Empresa, Razn Social y Giro del Negocio

3.1.3. Visin y Misin

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

3.2. Procesamiento de la Informacin.

3.2.2. Resumen de resultados..

3.2.2.1. Docentes y/o Administrativos

3.3. Anlisis de los resultados.

CAPITULO IV: Desarrollo del modelo de sistema de gestin de

4.1.1. Compromiso de la Direccin...

4.2. Plan: Establecer el SGSI

4.2.1.1. Objetivo del SGSI.. 85

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

1.1. Realidad Problemtica

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

Andrs Garca Martnez.

Sistema de Gestin de Seguridad de la Informacin y

certificacin UNE 71502 e ISO 27001

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

para que pueda desarrollarse y mantenerse en su sector de negocios. Las polticas de

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

El Proyecto se desarrollara en las instalaciones de la Universidad Catlica Santo

UNIVERSIDAD SANTO TORIBIO DE MOGROVEJO

Elaborar y Aplicar un sistema de gestin de seguridad de la informacin (SGSI) para