Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INGENIERA DE SISTEMAS
UNIVERSIDAD CATOLICA
SANTO TORIBIO DE MOGROVEJO
INGENIERA DE SISTEMAS
UNIVERSIDAD CATOLICA
SANTO TORIBIO DE MOGROVEJO
INGENIERA DE SISTEMAS
ndice
CAPITULO I: Generalidades del proyecto
1.1. Realidad Problemtica
10
11
12
1.3.1. Alcance..
12
1.3.2. Limitaciones..
12
13
13
13
14
14
14
14
15
15
1.8. Beneficios
15
18
INGENIERA DE SISTEMAS
36
38
40
46
57
57
58
58
2.7.1. Poblacin
58
2.7.2. Muestra..
59
61
2.9. Indicadores..
61
63
63
63
66
66
67
67
INGENIERA DE SISTEMAS
67
3.2.1. Herramientas..
67
68
68
3.2.2.2. Alumnos. 70
3.2.2.3. Jefe y personal que labora en Taller de Cmputo y
Desarrollo de Sistemas.
72
79
83
83
4.1.2. Planificacin.
83
85
85
87
88
4.2.3. Metodologa. 88
4.2.3.1. Activos 88
4.2.3.2. Dependencias. 92
4.2.3.3. Dimensiones de valoracin 92
5
INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS
CAPITULO I
GENERALIDADES DEL
PROYECTO
INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS
Resumen:
Sanitas, empresa puntera en el sector de asistencia sanitaria, ha culminado con xito la
implantacin de un Sistema de Gestin de Seguridad de la Informacin y la
consiguiente obtencin de los certificados UNE 71502 e ISO 27001 bajo el sello de
Aenor. El proyecto se ha llevado a cabo con el apoyo de la consultora especializada
en seguridad de la informacin ESA Security, que ha aportado su experiencia en la
implantacin de estos sistemas. El Departamento de Seguridad de Sanitas,
perteneciente a la Direccin General de Sistemas de Informacin, ha sido el impulsor
de este proyecto con el objetivo de mejorar continuamente en su gestin.
Anlisis:
El desarrollo del proyecto en Sanitas le permiti ser certificable, esto debido a la
confianza y colaboracin de querer salir adelante; tambin al reconocer que los
activos de informacin de su empresa son muy importantes en el desarrollo de si
misma, por ello busco mtodos para salvaguardar y proteger su informacin
1.2.2. Casos en Latinoamrica
Tema:
Trabajo final: Plan de Seguridad Informtica.
Autores:
Mara Dolores Cerini.
Pablo Ignacio Pr.
Lugar de investigacin:
Crdoba Argentina, EMPRESA ARGENTINA nacional.
Ao de investigacin:
Universidad Catlica de Crdoba - 2002
Resumen:
Esta es una empresa concesionaria automotriz que a travs del proyecto se quiere
desarrollar documentos y directrices que orienten el uso adecuado de las tecnologas
de informacin para obtener el mayor provecho de las ventajas que brindan. De esta
manera se va ha implementar polticas de seguridad de la informacin en la compaa
10
INGENIERA DE SISTEMAS
de
licenciatura:
Seguridad
Informtica
sus
Implicancias
Implementacin
Autor:
Borghello Cristian Fabian.
Lugar de investigacin:
Argentina, situacin actual del entorno.
Ao de investigacin:
Universidad Tecnolgica Nacional - 2001
Resumen:
Esto es un proyecto general sobre la seguridad informtica en el entorno de las
empresas. El estudio se avala en la forma como utilizar las herramientas adecuadas
para la seguridad informtica desde su implantacin hasta su resultado e implicancias
que tiene dentro de las organizaciones.
Anlisis:
Este proyecto es muy interesante en cuanto al grado de conocimientos descriptos para la
implementacin y sus posteriores implicancias resultantes del proyecto.
A grandes rasgos se podr ver la forma tcnica en la que se va desarrollando el trabajo.
1.2.3. Casos en Per
Tema:
Tesis: Plan de seguridad informtica para una entidad financiera.
11
INGENIERA DE SISTEMAS
Autora:
Norma Edith Crdova Rodrguez.
Lugar de investigacin:
Lima Per, BANCO PERUANO de capital extranjero.
Ao de investigacin:
Universidad Nacional Mayor de San Marcos - 2003.
Resumen:
Se puede observar que gracias a la liberacin y la globalizacin de los servicios
financieros, junto con la creciente sofisticacin de la tecnologa financiera, estn
haciendo cada vez ms diversas y complejas las actividad de los bancos en trminos
de seguridad de informacin para ello este proyecto busca definir un plan de
Seguridad para una entidad financiera, empezando por definir la estructura
organizacional (roles y funciones), despus pasa a definir las polticas para finalmente
concluir con un plan de implementacin o adecuacin a las polticas anteriormente
definidas.
Anlisis:
Este tema de investigacin nos permite tener un conocimiento ms amplio de la
seguridad, que se regir bajo normas para el adecuado uso de la informacin dentro y
fuera de la organizacin siendo est muy importante dentro de la misma.
1.3. Alcance y limitaciones
1.3.1. Alcance
El proyecto de Sistema de Gestin de la Seguridad de la Informacin se llevara acabo
en la Universidad Catlica Santo Toribio de Mogrovejo dentro de las reas de
Desarrollo de sistemas y Taller de cmputo, ya que son estas las encargadas del
manejo del flujo de informacin y comunicaciones.
1.3.2. Limitaciones
1.3.2.1.
Geogrfica
12
INGENIERA DE SISTEMAS
1.3.2.2. Administrativa
Las reas donde se va ha realizar la investigacin no cuentan con autonoma
propia para llevar a cabo el desarrollo de la investigacin ya que son reas que
dependen de otras reas superiores.
1.3.2.3 Tecnolgica
La Universidad Catlica Santo Toribio de Mogrovejo cuenta con una variedad
tecnolgica en sus instalaciones, motivo por el cual nuestra investigacin solo se
concentrara en los puntos de mayor importancia en relacin al sistema de gestin
de seguridad de la informacin.
1.3.2.4 Cientfica
Se observo durante la investigacin del tema que no existe informacin en libros y
cualquier otro tipo de fuente escrita, solo existen artculos colgados en Internet y
acceso a informacin de consultoras va correo electrnico.
1.3.2.5 Personal
El inducir a las personas que laboran en las reas de gestin de la informacin la
importancia que tiene nuestra investigacin en relacin con sus que haceres
diarios, permitindoles trabajar con mayor seguridad.
1.3.2.6 Econmicas
A travs de la realizacin de nuestro proyecto, se proveer de medios que
permitan resolver los problemas de ahora para que en el futuro no generen grandes
gastos en relacin a todo lo que sea sistemas de informacin.
1.4. Objetivos de la Investigacin
1.4.1.Objetivo General
13
INGENIERA DE SISTEMAS
la organizacin.
Evaluar las reas encargadas del cuidado y distribucin de la informacin a
travs de una metodologa de trabajo con encuestas, cuestionarios, entrevistas y
otros.
Identificar a travs del anlisis de riesgo los puntos fuertes y dbiles de los
como interno.
Seleccionar los controles de seguridad de informacin ms importantes que
INGENIERA DE SISTEMAS
Computadoras.
Internet.
Aulas Virtuales.
Foros Tecnolgicos.
1.6.3.3. Herramientas
Las tcnicas y herramientas que utilizaremos para desarrollar los sistemas
de informacin, son: entrevistas, la encuesta, el cuestionario y la
observacin.
1.7. Justificacin de la investigacin
1.7.1. En lo cientfico
En la actualidad se pueden disear sistemas que van de la mano con las tecnologas
de manera tal que permite facilitar el trabajo del personal en cualquier institucin y
a la vez tener un mayor conocimiento de la importancia e implicancia que tiene
salvaguardar la informacin en una organizacin.
1.7.2. Financiero / Econmico
El desarrollo de nuestro proyecto permitir a los encargados de la Gestin de la
Informacin
adquirir
15
INGENIERA DE SISTEMAS
1.8. Beneficios
1.8.1. La Empresa (Ejecutivos, Personal)
El Sistema de Gestin de Seguridad de la informacin ser diseado con la finalidad
de ser utilizados por los propietarios de los procesos del negocio como gua clara y
entendible, con el fin de alcanzar los objetivos trazados por la empresa.
1.8.2. Futuras Investigaciones
El presente trabajo de investigacin servir como aporte para otros estudios que
tiendan al a desarrollar trabajos relacionados con la seguridad de la informacin,
pues el proyecto contara con una slida base cientfica con respecto a lo que
seguridad refiere.
1.8.3. En lo Social
El Diseo de Gestin de Seguridad de la Informacin permitir a las organizaciones
tener una mejor apreciacin y entendimiento de los riesgos y limitaciones de TI a
todos los niveles dentro de la empresa con el fin de obtener una efectiva direccin y
controles, de manera tal maximizar sus beneficios, capitalizar sus oportunidades y
ganar ventaja competitiva.
1.8.4. En lo Personal.
Se pretende adquirir nuevos conocimientos ante las posibilidades de conocer sobre
seguridad de la informacin la cual nos permitir
procedimientos que deben adaptar las empresas para salvaguardar los sistemas y la
informacin que estas contienen.
16
INGENIERA DE SISTEMAS
CAPITULO II
MARCO REFERENCIAL
17
INGENIERA DE SISTEMAS
18
INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS
2.1.1.3. Contenido
A.- ISO 27001:2005:
Generalidades
Esta Norma Internacional ha sido preparada para proporcionar un modelo que
permita establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de la Informacin (SGSI). La adopcin de un
SGSI debe ser una decisin estratgica para la organizacin. Se espera que la escala
de implementacin de un SGSI se establezca de acuerdo a las necesidades de la
organizacin, es decir, una situacin sencilla requiere una solucin de SGSI sencilla.
Qu aporta la certificacin ISO 27001?
La certificacin ISO 27001 avala la adecuada implantacin, gestin y operacin de
todo lo relacionado con la implantacin de un SGSI, siendo la norma ms completa
que existe en lo relativo a la implantacin de controles, mtricas e indicadores que
permiten establecer un marco adecuado de gestin de la seguridad de la informacin
para las organizaciones.
Entre las ventajas que ofrece, al ser un estndar ISO, se encuentran las facilidades
que ofrece de integracin con otros sistemas de gestin vigentes en la empresa, por
ejemplo ISO 9001 e ISO 14001.
20
INGENIERA DE SISTEMAS
Auditorias internas del SGSI: cmo realizar las auditorias internas de control
y cumplimiento.
21
INGENIERA DE SISTEMAS
Gestin
de
comunicaciones
operaciones:
responsabilidades
INGENIERA DE SISTEMAS
2.1.1.4. Beneficios
Establecimiento de una metodologa de gestin de la seguridad clara y estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de informacin.
Los clientes tienen acceso a la informacin a travs medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratgicos por la garanta de calidad y
confidencialidad comercial.
Las auditorias externas ayudan cclicamente a identificar las debilidades del sistema
y las reas a mejorar.
Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001,
OHSAS 1800).
Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
Conformidad con la legislacin vigente sobre informacin personal, propiedad
intelectual y otras.
Imagen de empresa a nivel internacional y elemento diferenciador de la
competencia.
Confianza y reglas claras para las personas de la organizacin.
Reduccin de costes y mejora de los procesos y servicio.
Aumento de la motivacin y satisfaccin del personal.
Aumento de la seguridad en base a la gestin de procesos en vez de en la compra
sistemtica de productos y tecnologas.
2.1.2. Sistema de Gestin de la Seguridad de la Informacin
El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central
sobre el que se construye ISO 27001.
La gestin de la seguridad de la informacin debe realizarse mediante un proceso
sistemtico, documentado y conocido por toda la organizacin.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el caso de
disponer de un presupuesto ilimitado. El propsito de un sistema de gestin de la
23
INGENIERA DE SISTEMAS
seguridad de la informacin es, por tanto, garantizar que los riesgos de la seguridad de
la informacin sean conocidos, asumidos, gestionados y minimizados por la
organizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente y
adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas.
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su
confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su
tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la
base sobre la que se cimienta todo el edificio de la seguridad de la informacin:
modificaciones
inapropiadas.
24
INGENIERA DE SISTEMAS
Documentos de Nivel 1
25
INGENIERA DE SISTEMAS
26
INGENIERA DE SISTEMAS
27
INGENIERA DE SISTEMAS
Niveles de seguridad:
Lgica: Confidencialidad, integridad y disponibilidad del software y datos de un
SGI.
Organizativa: Relativa a la prevencin, deteccin y correccin de riesgos.
Fsica: Proteccin de elementos fsicos de las instalaciones: servidores, PCs, etc.
Legal: Cumplimiento de la legislacin vigente.
2.1.2.4 Cmo se implementa un SGSI?
Se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.
28
INGENIERA DE SISTEMAS
IDENTIFICACIN
DE ACTIVOS DE
INFORMACIN
TASACIN DE
ACTIVOS DE
INFORMACIN
IDENTIFICACION DE
AMENAZAS Y
POSIBILIDADES DE
OCURRENCIA
IDENTIFICACIN DE
VULNERABILIDADES Y
POSIBILIDAD DE SER
EXPLOTADAS POR LAS
AMENAZAS
ESTIMACIN DE LA
EXPOSICIN AL
29
RIESGO DE LOS
ACTIVOS DE
INFORMACIN
PRIORIZACIN DE
LAS AMENAZAS
POR SU
EXPOSICIN AL
RIESGO
INGENIERA DE SISTEMAS
Una vez concluido el anlisis del riesgo es deber realizar la evaluacin del riesgo.
La empresa debe comparar los niveles calculados de riesgo con una escala de riesgo
establecida especialmente para dicho efecto. (BS 7799-3:2006). Los criterios para
efectuar la evaluacin, que usualmente se utilizan, son: impacto econmico del riesgo
y posibilidad de interrumpir actividades de la empresa. El propsito fundamental de
realizar la evaluacin del riesgo, es la de identificar el nivel de significado que el riesgo
de los activos tienen en la organizacin y poder jerarquizarlos por su importancia.
2.1.3.1. Tratamiento del Riesgo y la Toma de Decisiones Gerenciales
Una vez que el riesgo ha sido evaluado y la empresa ha determinado cuales son
aquellos activos de informacin sujetos a riesgo con significado para la firma, debe
tomar la decisin de elegir la estrategia adecuada para tratar al riesgo.
Los riesgos pueden ser gestionados a travs de una serie de combinaciones de
prevencin y controles de deteccin, tcticas de aceptacin o realizando la
transferencia a otra empresa.
La gerencia para tomar la decisin sobre como tratar el riesgo, siempre estar
influenciada por dos factores, los cuales deben ser siempre bien analizados:
El posible impacto si el riesgo se cristalizara.
La posibilidad de su ocurrencia.
Al margen de considerar el impacto financiero del riesgo en la empresa, la firma debe
considerar el costo de actuar sobre alguna de las opciones del tratamiento del riesgo.
La organizacin debe asegurarse que existe un buen balance entre poder alcanzar
30
INGENIERA DE SISTEMAS
amenazas.
Reduciendo la posibilidad de impacto si el riesgo ocurre detectando eventos
no deseados, reaccionado y recuperndose de ellos.
Cualquiera de estas maneras que la empresa escoja para controlar los riesgos, es una
decisin que depender de una serie de factores, tales como: requerimientos
comerciales de la organizacin, el ambiente, y las circunstancias en que la firma
requiere operar.
A.2.- Aceptacin del Riesgo
En muchas ocasiones a la empresa se le presentan circunstancias donde no se
pueden encontrar controles ni tampoco es factible disearlos o el costo de
implantar el control es mayor que las consecuencias del riesgo. En estas
circunstancias una decisin razonable pudiera ser la de inclinarse por la aceptacin
del riesgo, y vivir con las consecuencias si el riesgo ocurriese.
Cuando la situacin se presenta donde es muy costoso para la empresa mitigar el
riesgo a travs de los controles o las consecuencias del riesgo son devastadoras
para la organizacin, se deben visualizar las opciones de transferencia de riesgo
o la de evitar el riesgo.
31
INGENIERA DE SISTEMAS
32
INGENIERA DE SISTEMAS
La decisin por la opcin de evitar el riesgo debe ser balanceada contra las
necesidades financieras y comerciales de la empresa.
Ilustracin 07: Gestin de Riesgos
Fuente: www.ISO27001.es
33
INGENIERA DE SISTEMAS
riesgo y los procesos de tratamiento del riesgo. Es der, que de esta actividad surgir la
primera decisin acerca de los controles que se debern abordar.
La preparacin y planificacin de SGSI, son pasos importantes, pero en definitiva, lo
importante de todo este proceso es que desencadena en una serie de controles (o
mediciones) a considerar y documentar, que se puede afirmar, son uno de los aspectos
fundamentales del SGSI (junto con la Valoracin de riesgo). Cada uno de ellos se
encuentra en estrecha relacin a todo lo que especifica la norma ISO/IEC 17799:2005
en los puntos 5 al 15, y tal vez estos sean el mximo detalle de afinidad entre ambos
estndares. La evaluacin de cada uno de ellos debe quedar claramente documentada, y
muy especialmente la de los controles que se consideren excluidos de la misma. El
estndar especifica en su Anexo A el listado completo de cada uno de ellos,
agrupndolos en once dominios. Para cada uno de ellos define el objetivo y lo describe
brevemente.
Cabe aclarar que el anexo A proporciona una buena base de referencia, no siendo
exhaustivo, por lo tanto se pueden seleccionar ms an. Es decir, estos 133 controles
(hoy) son los mnimos que se debern aplicar, o justificar su no aplicacin, pero esto no
da por completa la aplicacin de la norma si dentro del proceso de anlisis de riesgos
aparecen aspectos que quedan sin cubrir por algn tipo de control. Por lo tanto, si a
travs de la evaluacin de riesgos se determina que es necesaria la creacin de nuevos
controles, la implantacin del SGSI impondr la inclusin de los mismos, sino
seguramente el ciclo no estar cerrado y presentar huecos claramente identificables.
Los controles que el anexo A de esta norma propone quedan agrupados y numerados de
la siguiente forma:
A.5 Poltica de seguridad
A5.1 Poltica de seguridad de la informacin
A.6 Organizacin de la informacin de seguridad
A.6.1 Organizacin interna
A.6.2 Terceros
A.7 Administracin de recursos
A.7.1 Responsabilidad por los activos
A.7.2 Clasificacin de la informacin
34
INGENIERA DE SISTEMAS
A.10.3
A.10.4
A.10.5
Respaldo
A.10.6
A.10.7
Manipulacin de medios
A.10.8
Intercambio de informacin
A.10.9
A.10.10 Monitoreo
A.11 Control de accesos
A.11.1 Requisito de negocios para el control de acceso
A.11.2 Gestin del acceso de usuarios
A.11.3 Responsabilidades de los usuarios
A.11.4 Control del acceso a redes
A.11.5 Control de acceso al sistema operativo
A.11.6 Control del acceso a aplicacin e informacin
A.11.7 Computacin mvil y teletrabajo
A.12 Adquisicin de sistemas de informacin, desarrollo y mantenimiento
A.12.1 Requisitos de seguridad para sistemas de informacin
A.12.2 Procesamiento correcto en aplicaciones
A.12.3 Controles criptogrficos
A.12.4 Seguridad de archivos del sistema
35
INGENIERA DE SISTEMAS
(Organizacin
Internacional
de
Normalizacin)
es
el
mayor
36
INGENIERA DE SISTEMAS
37
INGENIERA DE SISTEMAS
por riesgos internos como externos. Los participantes deben comprender que los
fallos en la seguridad pueden daar significativamente los sistemas y redes que
estn bajo su control.
C.7. Daos potenciales: La interceptacin ilegal puede causar daos tanto por
intrusin en la vida privada de las personas como por la explotacin de los datos
interceptados, como palabras clave o datos de las tarjetas de crdito, para usos
comerciales o sabotaje. Este es uno de los principales frenos del desarrollo del
comercio electrnico en Europa.
C.8. Soluciones potenciales: La defensa contra la interceptacin podr realizarse a
travs de los operadores que deben velar por la seguridad de la red con arreglo a
lo dispuesto en la Directiva 97/66 CE1 y de los usuarios que pueden encriptar los
datos transmitidos por la red.
C.9. La seguridad de las redes es un problema dinmico: La velocidad en el cambio
de la tecnologa plantea nuevos desafos de forma permanente. Los problemas que
ayer se planteaban desaparecen y las soluciones actuales de dichos problemas
dejan de tener sentido. Casi cada da aparecen en el mercado aplicaciones,
servicios y productos nuevos.
C.10. Conformidad con la legislacin: Evitar el incumplimiento de cualquier ley,
estatuto, regulacin u obligacin contractual y de cualquier requerimiento de
seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de
la organizacin y con la normativa derivada de la misma. Maximizar la
efectividad y minimizar la interferencia de o desde el proceso de auditoria de
sistemas.
2.3. Marco Metodolgico del desarrollo de la investigacin
2.3.1. Modelo del Sistema de Gestin de Seguridad de la Informacin PDCA (Plan,
Do,
Check, Act)
38
INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS
Definir una metodologa de evaluacin del riesgo apropiada para para el SGSI y
las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y
determinar el nivel de riesgo aceptable. Lo primordial de esta metodologa es que
los resultados obtenidos sean comparables y repetibles. Existen muchas
metodologas de evaluacin de riesgos aceptadas internacionalmente; la
organizacin puede optar por una de ellas, hacer una combinacin de varias o
crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales
sobre cmo definirla (en el futuro, ISO 27005 proporcionar ayuda en este
sentido). El riesgo nunca es totalmente eliminable -ni sera rentable hacerlo-, por
lo que es necesario definir una estrategia de aceptacin de riesgo.
Metodologa
M.01. COBIT
40
INGENIERA DE SISTEMAS
41
INGENIERA DE SISTEMAS
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y
administrar las actividades de TI para alcanzar un balance efectivo entre el manejo
de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita
identificar las actividades mas importantes que deben ser desarrolladas, midiendo el
progreso hacia el cumplimiento de las metas y determinando que tan bien se estn
desarrollando los procesos de TI. Aun ms, necesita tener la habilidad de evaluar el
nivel de madurez de la organizacin contra las mejores prcticas industriales y los
modelos internacionales. Para soportar estas necesidades la Gerencia necesita las
Directrices Gerenciales de COBIT en las cuales se han identificado Factores
Crticos de xito especficos, Indicadores Claves por Objetivo e Indicadores Clave
de Desempeo y un Modelo de Madurez asociado al Gobierno de TI.
M.01.2. Orientacin a objetivos de negocio:
El CobiT est alineado con los Objetivos del Negocio. Los Objetivos de Control
muestran una relacin clara y distintiva con los objetivos del negocio con el fin
de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de
auditora. Los Objetivos de Control estn definidos con una orientacin a los
procesos, siguiendo el principio de reingeniera de negocios. En dominios y
procesos identificados, se identifica tambin un objetivo de control de alto nivel
para documentar
42
INGENIERA DE SISTEMAS
Por lo tanto, el Marco de Referencia conceptual puede ser enfocado desde tres
puntos estratgicos: (1) Criterios de informacin, (2) recursos de TI y (3) procesos
de TI. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra
a continuacin:
Con lo anterior como marco de referencia, los dominios son identificados utilizando
las palabras que la gerencia utilizara en las actividades cotidianas de la
organizacin y no la jerga o terminologa del auditor. Por lo tanto, cuatro grandes
dominios
son
identificados:
planeacin
organizacin,
adquisicin
Planeacin y organizacin
Este dominio cubre las estrategias y las tcticas y se refiere a la identificacin
de la forma en que la tecnologa de informacin puede contribuir de la
mejor manera al logro de los objetivos del negocio. Adems, la consecucin
de la visin estratgica necesita ser planeada, comunicada y administrada
desde diferentes perspectivas.
Adquisicin e implementacin
43
INGENIERA DE SISTEMAS
as
como
implementadas e
integradas dentro del proceso del negocio. Adems, este dominio cubre los
cambios y el mantenimiento realizados a sistemas existentes, para asegurar
que el ciclo de vida es continuo para esos sistemas
Entrega y soporte
En este dominio se hace referencia a la entrega o distribucin de los
servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por la seguridad en los sistemas y la continuidad de
las operaciones as como aspectos sobre entrenamiento. Con el fin de
proveer servicios, debern establecerse los procesos de soporte necesarios.
Este dominio incluye el procesamiento de los datos el cual es ejecutado por los
sistemas de aplicacin, frecuentemente clasificados como controles de
aplicacin.
Monitoreo
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo
para verificar su calidad y suficiencia en cuanto a los requerimientos de
control
El Gobierno de TI debe ser entrenado por la organizacin para asegurar que
los recursos de TI sern administrados por una coleccin de procesos de TI
agrupados naturalmente. El siguiente diagrama ilustra este concepto.
44
INGENIERA DE SISTEMAS
Ilustracin 12: Procesos de Tecnologa de Informacin Cobit Definicin en sus cuatro dominios
Fuente: www.itgovemance.org
www.isaca.org
45
Indirectos:
El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo
deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos
a que estn expuestos, como los riesgos que las propias aplicaciones
introducen en el sistema.
Como complemento, el captulo 5 desgrana una serie de aspectos prcticos,
derivados de la experiencia acumulada en el tiempo para la realizacin de un
C. Visin global
Sin perjuicio de una exposicin detallada ms adelante, se relaciona a
continuacin el rbol completo de procesos, actividades y tareas que vertebran
un proyecto AGR.
A.
Identificar los activos que estn dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;
Identificar las amenazas en relacin a los activos;
Identificar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas;
Identificar los impactos en la confidencialidad, integridad y disponibilidad
de los activos.
Analizar y evaluar los riesgos:
Evaluar el impacto en el negocio de un fallo de seguridad que suponga la
prdida de confidencialidad, integridad o disponibilidad de un activo de
informacin;
Evaluar de forma realista la probabilidad de ocurrencia de un fallo de
seguridad en relacin a las amenazas, vulnerabilidades, impactos en los
activos y los controles que ya estn implementados;
Estimar los niveles de riesgo;
Determinar, segn los criterios de aceptacin de riesgo previamente
establecidos, si el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
Aplicar controles para el tratamiento el riesgo en funcin de la evaluacin
anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo
en cuenta que las exclusiones habrn de ser justificadas) y otros controles
adicionales si se consideran necesarios.
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel
de detalle adecuado y acordar, si es pertinente, la forma de proceder.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de
nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase en
cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej.,
puede haber actividades de implantacin que ya se lleven a cabo cuando otras de
planificacin an no han finalizado; o que se monitoricen controles que an no
estn implantados en su totalidad.
2.4. Hiptesis
La aplicacin de un sistema de gestin de seguridad de la informacin ayudar a los
responsables de la informacin mejorar la seguridad de las tecnologas de
informacin y comunicacin.
2.5. Diseo de Contrastacin de la Hiptesis
Se utilizar para la contratacin de la hiptesis, el mtodo de diseo en sucesin o
en lnea tambin llamado mtodo Pre-Test, Post - Test, con un solo grupo.
El esquema es el siguiente:
O1
O2
Docentes y administrativos
El sector de docentes y administradores a tiempo completo que cuentan con un
equipo informtico es de 343 personas, de las cuales determinaremos la
muestra a encuestar a continuacin:
Donde:
Z = Nivel de Confianza (1.96)
P = Proporcin que posee la caracterstica en estudio (0.50)
Q = Proporcin que no posee la caracterstica en estudio (0.50)
E = Estimacin de error (0.10)
N = poblacin o Universo (343)
Donde:
Z = Nivel de Confianza (1.96)
P = Proporcin que posee la caracterstica en estudio (0.50)
Q = Proporcin que no posee la caracterstica en estudio (0.50)
E = Estimacin de error (0.05)
N = poblacin o Universo (5409)
# de
Alumnos
% de
Alumnos
# de
Alumnos a
encuestar
898
17%
61
50
1%
0.2%
Ciencias de la Comunicacin
204
4%
14
Contabilidad
427
8%
29
Derecho
988
18%
65
Economa
112
2%
0.2%
47
1%
Educacin Primaria
127
2%
Enfermera
790
15%
54
Filosofa y Religin
55
1%
Historia y Geografa
22
0.5%
149
3%
11
621
11%
39
19
0.3%
323
6%
22
33
0.5%
Ingeniera Naval
54
1%
Lengua y Literatura
52
1%
18
0.3%
164
3%
11
64
1%
182
3%
11
5409
100%
359
Sistemas
Ingeniera Energtica
Ingeniera Industrial
Matemtica,
Informtica
Computacin
Medicina
Odontologa
Psicologa
TOTAL
JUSTIFICACION
Nos va a permitir
conocer
cerca
Entrevista
mas
de
procesos
APLICACION
Una
grabadora
reportera.
Cuestionarios
Trabajadores de
las
reas
en
estudio, docentes
y
alumnos
Fichas o guas de
observaciones
Trabajadores de
las
reas
en
estudio, docentes
y
alumnos
Encuesta
de
Preguntas Abiertas y
Cerradas y Checklist
Trabajadores
de
las
en
los
de
institucin,
HERRAMIENTA
la
sus
problemas,
objetivos
Observacin
requerimientos
Es el mtodo en la
cual enfocamos la
perspectiva de los
problemas
que
existen en las reas a
trabajar.
Permite conocer las
expectativas
Encuestas
que
reas
estudio, docentes
respecto al nuevo
y alumnos
sistema
necesidades
de
Informacin de los
usuarios.
Asesora
B.- Equipo
Partida
01
01.01
Descripcin
Bienes
Materiales de escritorio
Hojas Elipse A4 75gr.
CD-ROM
USB
PC Intel PIV (4 meses)
Laptop PHP (3 meses; S/100
alquiler por mes)
01.02
Cantidad
Costo S/.
1 millar
2 unidades
2 unidades
1 unidad
1 unidad
19.00
1.00
10.00
100.00
100.00
38.00
2.00
20.00
400.00
300.00
1 unidad
millar
90.00
0.05
90.00
25.00
100.00
100.00
500.00
4 meses
-
100.00
50.00
50.00
50.00
100.00
50.00
200.00
50.00
100.00
100.00
Materiales de impresin,
fotogrficos y fonotcnicos
Cartucho de impresora
Fotocopias
01.03
02
02.01
02.02
02.03
Otros
Servicios
Servicios bsicos
Luz
Telfono
Internet.
Pasajes
02.04
Otros
TOTAL
C.- Consolidado
El costo total de este proyecto es un aproximado de S/. 1475.00
D.- Financiacin
Costo Total del Proyecto: S/. 1475.00
Financiamiento: Autofinanciamiento
1475.00
CAPITULO III
DIAGNSTICO DE LA
SITUACIN ACTUAL
Direccin
Rector
Telfono
: (074) - 201530
Procesamiento de la Informacin
3.2.1. Herramientas
Las herramientas utilizadas fueron Excel y el software SPSS quienes ofrecen muy
buenas cualidades para el manejo de grandes volmenes de informacin y permite
hay equipos informticos, quedando as la diferencia porcentual por cada una de las
preguntas.
En la pregunta 12, pudimos notar que el 60% observo que algn compaero de
trabajo
refiere que el acceso es ms lento dentro de la universidad que fuera de ella, el 16%
refiere que la velocidad es ms rpido dentro de la universidad que fuera de ella.
En la pregunta 23, apreciamos que el 25% utiliza laptop dentro de la universidad,
de los cuales el 62% no recibi ningn mensaje al acceder a la red de la USAT.
En la pregunta 24, observamos que el 91% no cuenta con ningn tipo de
capacitacin acerca de seguridad de la informacin, el 9% restante si no se capacito
tiene algn conocimiento acerca del tema.
En la pregunta 25, notamos que el 90% le gustara tener mayor conocimiento acerca
de seguridad de la informacin, de los cuales el 50% le gustara conocer acerca del
tema por medio de charlas y conferencias, el otro 42% a travs de otros medios
como folletos, foros por el portal y como parte de algn curso.
Tabla y grficos (Ver Anexo 05)
3.2.2.3. Jefe y personal que labora en Taller de Cmputo y Desarrollo de Sistemas
A.- Jefe del rea de Taller de Cmputo
Dato obtenido de la entrevista realizada al jefe de Taller de Cmputo en el campus
de la USAT. Modelo de entrevista, (Ver Anexo 06)
Segn los datos obtenidos en la entrevista realizada al Ing. Gregorio Len jefe de taller
de cmputo se obtuvo lo siguiente:
Nos manifest que la USAT no cuenta con un equipo o comit encargado de todo lo que
concierne a la seguridad de la informacin; Se revel que el jefe de esta rea es el
encargado de la administracin de la tecnologa de la informacin y parte de la
comunicacin, debido a ello, y a la necesidad de proteger los activos de la USAT ha
establecido algunas normas, procedimiento y mecanismos de control elaborados en base
a sus conocimientos conseguidos a travs de su larga experiencia, y segn sus anlisis
previos seran los ms apropiados para salvaguardar los equipos y los activos de
informacin que se transmiten por la red de la universidad. Referente a los mecanismos
de control nos dijo que no existen documentos formales y que todo se maneja a travs
de correo electrnico donde se describe alguna informacin referente a ello, donde se
indica cuales son y como deben ejecutarse, pero que normalmente los realizan de
acuerdo a los criterio y a la experiencia que tienen dentro del rea. Nos aclar tambin
que no existe un control estricto sobre sus trabajadores, pero que cada uno conoce su
funcin y sus obligaciones. El seguimiento que se le hace es por medio de radios que
llevan permanentemente y fichas de servicio cuando dan la atencin a cualquier usuario,
Los problemas con los que nos enfrentamos frecuentemente son la falta de cultura
informtica por parte de los usuarios ya que muchos no hacen un buen uso de sus
equipos. Todos los servicios que se brinda dentro del rea son archivados y de ellos se
conocen cuales son los problemas ms frecuentes que tienen los usuarios en base a
software o hardware, pero se ha podido notar a simple vista que los problemas ms
comunes son de software y esto a causa de la infeccin constante de virus, frente a esto
recin se ha adquirido e instalado un antivirus nod32 bussiness con el cual se desea
disminuir las infecciones de las mquinas de los usuarios ya que constantemente se
recibe una actualizacin automtica de los nuevos virus que la mquina posee, la cual
no pudo eliminar anteriormente, con este nuevo antivirus se lograra eliminar y reducir
de manera abrumadora este problema. Nos dijo que para comprobar la reduccin de
estos problemas el rea posee informacin en la cual pueda contrastar. La estrategia para
aminorar estos problemas es informar permanentemente a los usuarios sobre algunos
lineamientos que debe tener en cuenta para el uso adecuado de sus equipos a cargo.
Todas las modificaciones que se realizan son solicitadas a travs de correo electrnico
interno y registrado en el software que maneja el rea.
Existe un plan de mantenimiento de equipos informticos y de comunicacin
especficamente para los laboratorios, pero no se encuentran redactados en documentos
formales donde se indiquen cada que perodo hacerlo, en los laboratorios lo hacan
normalmente antes de iniciar las clases y antes de las evaluaciones finales, pero
normalmente por problemas de software generados por los virus, pero nos dijo que este
ao no se sabe si lo harn antes de las evaluaciones finales ya que estn esperando
resultados de la nueva versin del antivirus. Con respecto a las diversas reas de la
USAT nos dijo que normalmente la realizan cuando finalizan los ciclos acadmicos,
pero que toman en cuenta la solicitud de los usuarios para que le hagan mantenimiento a
su equipo manifestndonos que al no hacerlos toman por entendido que no tienen
problemas con su equipo, pero que cada vez que lo solicitan un servicio y las veces que
sean ellos lo atienden. Los aspectos que se toman en cuenta para realizar el plan son
aquellos en los cuales normalmente los usuarios incurren y esto se obtiene de la lista de
los problemas frecuentes. En lo que se refiere al problema del antivirus en los equipos
de la USAT estos eran actualizados permanentemente (esto se realizaba antes de instalar
el nuevo antivirus), lo que sucede es que anteriormente muchos de los usuarios no
saban utilizarlo adecuadamente generando que sus equipos se infecten constantemente,
pero con el nuevo antivirus se espera aminorar este problema.
y algunas
recomendaciones que recibimos de expertos que sirven de soporte para el rea, pero
como material nuestro an no se elabora. En relacin a la informacin que se almacena
dentro de las bases de datos del sistema que utiliza la USAT si saben como protegerlo y
salvaguardarlo frente a cualquier incidente inminente. El rea no ha promovido el
desarrollo de un simulacro, pero dentro de la universidad si se han desarrollado algunos
simulacros ante posibles incidentes o desastres; pero ninguno ha sido a travs de la
supervisin de defensa civil. Referente a lo que es el plan de contingencia, este se
encuentra en pleno desarrollo.
Nos indico que para ingresar al cdigo del sistema y a la base de datos de la USAT es
necesario un usuario y contrasea, ya que estos se encuentran protegidos por medio de
claves de autenticacin para su mejor administracin y que estas claves no son
alcanzadas a un responsable fuera del rea, ni tampoco a una persona de la alta
direccin; se manifest esto como medida de proteccin y de seguridad del rea.
Referente a los backups no existen procedimiento documentados para realizarlo, se
realizan de forma informal y se guardan dentro del rea netamente en la oficina
designada; los backups se realizan cada cierto periodo en este caso mensualmente.
Los problemas con los que nos enfrentamos frecuentemente son la falta de cultura
informtica por parte de los usuarios ya que muchos no hacen un buen uso de las
aplicaciones. Todos los servicios que se brinda dentro del rea son archivados y de ellos
se conocen cuales son los problemas ms frecuentes que tienen los usuarios en base al
software, de ello se puede obtener grficos del nivel de desenvolvimiento por periodos.
La estrategia que se usa es informar permanentemente a los usuarios sobre algunos
lineamientos que debe tener para el uso adecuado del sistema.
Todas las modificaciones que se realizan son solicitadas a travs de correo electrnico
interno y registrado en el software que maneja el rea.
No existe un plan de mantenimiento de equipos informticos, pero si existen
documentos donde indican cada que perodo hacerlo. Los aspectos que se toman en
cuenta son aquellos en los cuales normalmente tienen mayores incidencias.
D.- Personal que labora en el rea Desarrollo de Sistemas
El rea de Desarrollo de Sistemas es una de las reas que al igual que Taller de Computo
fue trabajada detalladamente, por lo que se determino convenientemente aplicar como
instrumento de recoleccin de informacin un Focus Group al personal que labora en
dicha rea, a fin de obtener los resultados requeridos, los cuales son mostramos a
continuacin de manera detallada; para mayor seguimiento de las preguntas que se
desarrollaron en el Focus Group.
Herramientas utilizadas, (Ver anexo 09)
CAPITULO IV
DESARROLLO DEL MODELO
DE SISTEMA DE GESTIN DE
SEGURIDAD DE LA
INFORMACIN (SGSI)
Planificacin de fecha
DIAGRAMA DE GANT
identificando
los
recursos
las
partidas
presupuestarias
4.2.2.4. Alcance
Esta Poltica se aplica en todo el mbito de la USAT, a sus recursos y a la totalidad
de los procesos, ya sean internos o externos vinculados a la entidad a travs de
contratos o acuerdos con terceros.
4.2.2.5. Responsabilidad
Todos los Altos Directivos, encargados de los Sistemas de informacin y otros son
responsables de la implementacin de esta Poltica de Seguridad de la Informacin
dentro de sus reas de responsabilidad, as como del cumplimiento de dicha Poltica
por parte de su equipo de trabajo.
La Poltica de Seguridad de la Informacin es de aplicacin obligatoria para todo la
comunidad universitaria y pasante, cualquiera sea su situacin de revista, el rea a la
cual se encuentre afectada y cualquiera sea el nivel de las tareas que desempee.
Las mximas autoridades del Organismo aprueban esta Poltica y son responsables
de la autorizacin de sus modificaciones. (Ver Anexo 10)
4.2.2.6. Aspectos Generales
Organizacin de la Seguridad
Orientado a reducir los riesgos de error humano, comisin de ilcitos contra la USAT
o uso inadecuado de instalaciones.
Control de Acceso
Cumplimiento
Identificacin de usuario
Tramitacin presencial
Tramitacin intranet
Ingreso de datos acadmicos
Consulta de datos acadmicos
Almacenamiento de datos
Transferencia de datos
Intercambio electrnico de datos
Servicio de directorio (1)
Gestin de identidades (2)
Gestin de privilegios
Voz
Multimedia
Cdigo fuente
Cdigo ejecutable
Datos de configuracin
Registro de actividad (bitcora)
Datos de prueba
La tipificacin de qu datos deben ser clasificados y cuales son las normas para
su tratamiento, vienen determinadas por regulaciones sectoriales, por acuerdos
entre organizaciones o por normativa interna.
Escner
Soporte de la red (7)
Mdems
Encaminadotes (router)
Pasarelas (bridge)
Cortafuegos
Punto de acceso wireless
Central telefnica
4.
5.
6.
7.
Pozo a tierra
[L] Instalaciones
reas
Oficinas
Laboratorios de cmputo
Edificio
[P] Persona
Usuarios internos
Operadores
Administradores de sistemas
Administradores de comunicaciones
Administradores de BBDD
Desarrolladores
4.2.3.2. Dependencias
Para establecer la dependencia que existe entre uno y otro activo de la USAT, nos
adaptamos a la Organizacin objeto del anlisis y estructuramos su dependencia por
medio de una tabla de doble entrada.
Tabla de dependencias
[S]
[S]
[D]
[SW]
[HW]
[COM]
[SI]
[AUX]
[L]
[P]
[D]
x
X
x
x
x
x
x
ANEXOS
Anexo 01
seguridad de la informacin
A.6.2 Terceros
Objetivo: Mantener la seguridad de la informacin y de las instalaciones de procesamiento de
informacin de la organizacin, que son accesadas, procesadas, comunicadas a terceros, o
administradas por terceros.
A.6.2.1
Identificacin de los riesgos Control
relacionados con terceros.
Debern identificarse los riesgos para la
informacin e instalaciones de procesamiento
de
informacin
de
la
organizacin,
provenientes de procesos de negocios que
involucran a terceros, e implementarse
controles adecuados antes de conceder acceso.
A.6.2.2
Enfocar la seguridad en el trato Control
con los clientes
Debern enfocarse todos los requisitos de
seguridad identificados antes de darles a los
clientes acceso a la informacin o activos de la
organizacin.
A.6.2.3
Enfocar la seguridad en los Control
convenios con terceros.
Los convenios con terceros que involucren
acceder, procesar, comunicar o administrar la
informacin o instalaciones de procesamiento
de informacin de la organizacin, o agregar
productos o servicios a dichas instalaciones,
debern abarcar todos los requisitos de
seguridad pertinentes
A.7 Gestin de activos
A.7.1 Responsabilidad por los activos
Objetivo: Alcanzar y mantener una proteccin adecuada de los activos de la organizacin.
A.7.1.1
Inventario de activos
Control
Todos los activos debern identificarse
claramente y efectuarse y mantenerse un
inventario de todos los activos importantes.
A.7.1.2
Propiedad de activos
Control
Toda la informacin y activos relacionados con
instalaciones de procesamiento de informacin
debern tener un dueo2 que sea un miembro
designado de la organizacin.
A.7.1.3
Uso aceptable de los activos
Control
Debern
identificarse,
documentarse
e
implementarse reglas para el uso aceptable de
la informacin y de los activos relacionados
con las instalaciones de procesamiento de
informacin.
A.7.2.2
Rotulacin y manipulacin de la
informacin
A.8.2.3
Proceso disciplinario
funciones de trabajo.
Control
Habr un proceso disciplinario formal para los
empleados que hayan cometido una violacin
de seguridad.
Separacin de deberes
A.10.4.2
Control
Cuando el uso de cdigo mvil est autorizado,
la configuracin deber asegurar que
el cdigo mvil autorizado opere segn una
poltica de seguridad claramente definida, y
se impedir la ejecucin de cdigo mvil no
autorizado.
A.10.5 Respaldo
Objetivo: Mantener la integridad y disponibilidad de la informacin y de las instalaciones de
procesamiento de informacin.
A.10.5.1
Respaldo de la informacin
Control
Debern hacerse copias de respaldo de la
informacin y el software, y probarse
peridicamente segn la poltica de respaldo
convenida.
A.10.6 Gestin de seguridad de redes
Objetivo: Asegurar la proteccin de la informacin en redes y la proteccin de la infraestructura
de soporte.
A.10.6.1
Controles de redes
Control
Las redes debern manejarse y controlarse
debidamente, a fin de protegerse de amenazas,
y mantener la seguridad de los sistemas y
aplicaciones que usan la red, incluyendo la
informacin en trnsito.
A.10.6.2
Seguridad de los servicios de red Control
Las caractersticas de seguridad, niveles de
servicio, y requisitos de gestin de todos los
servicios de red debern identificarse e
incluirse en cualquier convenio de servicios de
red, ya sea que los servicios se provean
internamente o del exterior.
A.10.7 Manipulacin de medios
Objetivo: Impedir la divulgacin, modificacin, remocin o destruccin no autorizadas de
activos, y la interrupcin de las actividades de negocios.
A.10.7.1
Manejo de medios removibles
Control
Deber haber procedimientos para el manejo de
medios removibles.
A.10.7.2
Eliminacin de medios
Control
Los medios debern eliminarse de modo seguro
y sin riesgo de accidente cuando no se les
necesite ms, usando procedimientos formales.
A.10.7.3
Procedimientos de manipulacin Control
de informacin
Debern establecerse procedimientos para la
manipulacin
y
almacenamiento
de
informacin, a fin de protegerla de la
divulgacin no autorizada o del mal uso.
A.10.7.4
Seguridad de la documentacin Control
del sistema
Deber protegerse la documentacin del
sistema contra el acceso no autorizado.
A.10.8 Intercambio de informacin
Objetivo: Mantener la seguridad de la informacin y software que se intercambian dentro de
una organizacin y con cualquier organizacin exterior.
A.10.8.1
Polticas y procedimientos de Control
intercambio de informacin
A.10.8.2
Convenios de intercambio
A.10.8.3
A.10.8.4
Mensajera electrnica
A.10.8.5
Sistemas
negocios
de
informacin
Control
Los usuarios debern asegurar que el equipo no
atendido tenga proteccin adecuada.
A.11.3.3
Poltica de escritorio limpio y Control
pantalla limpia
Deber adoptarse una poltica de escritorio
limpio de papeles y medios de almacenamiento
removibles, y una poltica de pantalla limpia
para instalaciones de procesamiento de
informacin.
A.11.4 Control del acceso a redes
Objetivo: Prevenir el acceso no autorizado a los servicios de redes.
Poltica sobre uso de servicios de Control
A.11.4.1
redes
A los usuarios slo deber drseles acceso a los
servicios que estn especficamente autorizados
para usar.
A.11.4.2
A.11.4.3
A.11.4.4
A.11.4.5
A.11.4.6
A.11.4.7
Control
En las redes debern separarse los grupos de
servicios de informacin, usuarios y sistemas
de informacin.
Control
En redes compartidas, especialmente aquellas
que se extienden ms all de los lmites de la
organizacin, deber restringirse la capacidad
de los usuarios para conectarse a la red,
conforme a la poltica de control de acceso y a
los requisitos de las aplicaciones de negocios
(ver 11.1).
Control
Deber implementarse el control de ruteo de
redes para asegurar que las conexiones y los
flujos de informacin de computadores no
violen la poltica de control de acceso de las
aplicaciones de negocios.
A.11.5.2
Aislamiento
sensibles
de
sistemas
Control
Los sistemas sensibles debern tener un
ambiente de computacin dedicado (aislado).
cambios
y Control
Debern establecerse responsabilidades y
procedimientos de gerencia para asegurar la
respuesta rpida, efectiva y ordenada a los
A.13.2.2
A.13.2.3
Recoleccin de evidencia
Control
A los usuarios se les deber disuadir de utilizar
las instalaciones de procesamiento de
informacin para fines no autorizados.
A.15.1.6
Reglamentacin de los controles Control
criptogrficos
Los controles criptogrficos debern usarse
cumpliendo con todos los convenios, leyes, y
reglamentos pertinentes.
A.15.2 Cumplimiento de las polticas y normas de seguridad, y cumplimiento tcnico
Objetivo: Asegurar que los sistemas cumplan con las polticas y normas de seguridad de la
organizacin
A.15.2.1
Cumplimiento de las polticas y Control
normas de seguridad
Los gerentes debern asegurar que todos los
procedimientos de seguridad dentro de sus
reas de responsabilidad se efectan
correctamente para lograr el cumplimiento de
las polticas y normas de seguridad.
A.15.2.2
Comprobacin del cumplimiento Control
tcnico
Deber
comprobarse
regularmente
el
cumplimiento de las normas de implementacin
de seguridad en los sistemas de informacin.
A.15.3 Consideraciones de auditoria de sistemas de informacin
Objetivo: Maximizar la efectividad del proceso de auditoria de sistemas de informacin y
minimizar la interferencia de dicho proceso.
A.15.3.1
Controles de auditoria de Control
sistemas de
informacin
A.15.3.2
Anexo 02
ENCUESTA SOBRE SEGURIDAD DE LA INFORMACIN
Dirigido a los Docentes y/o Administrativos de la Universidad Catlica Santo Toribio
de Mogrovejo.
Objetivos:
Conocer que tan involucrados se encuentran los docentes y/o administrativos en el
resguardo de la Tecnologa de Informacin.
Saber si los docentes y/o administrativos utilizan de manera optima las tecnologas
de informacin y de que manera ayudaran a salvaguardar la misma.
Instrucciones:
Para desarrollar este cuestionario, usted debe leer cada pregunta y escoger una de las
alternativas propuestas con una X dentro de los parntesis o llenar dentro de las lneas
punteadas segn sea su criterio.
1. Sexo:
Masculino ( )
Femenino ( )
INGENIERA DE SISTEMAS
4. En alguna ocasin recibi ayuda de algn alumno o de algn asignado de ocupacin temporal
(bolsa de trabajo) en alguna de las siguientes actividades dentro de la universidad:
a. Llenando o elaborando algn documento de la universidad
( )
b. Pasando informacin en Word, Excel, Power Point, etc.
( )
c. Ingresando a su correo de la USAT y enviando mensajes a travs de el
( )
d. Clasificando documentos de la universidad
( )
e. Otros, Especificar...
( )
f. Ninguno.
( )
5. Puede identificar a las personas que no trabajan y no estudian en la USAT
SI ( )
NO ( )
Si tu respuesta es Si, fue por medio de:
a. Fotochet de la empresa en que trabaja
( )
b. Indumentaria
( )
c. Fotochet de visitante (entregado por la USAT)
( )
d. Otros, Especificar.
( )
e. Ninguno
6. Usted apaga los equipos informticos debidamente despus de utilizarlos
SI ( )
NO ( )
Si tu respuesta es Si, Cmo apagas tu equipo despus de trabajar
a. Apagando directamente el estabilizador.
b. Desenchufando el cable de energa de la computadora.
c. Manteniendo presionando el botn de apagado del CPU.
d. Haciendo clic en el botn de apagado del men del sistema operativo.
e. Bajando la llave de energa.
f. Otros, Especificar..
g. Ninguno.
(
(
(
(
(
(
(
)
)
)
)
)
)
)
7. Se siente seguro en los ambientes donde se encuentran los equipos informticos dentro de la
universidad frente a cualquier desastre natural o humano
SI ( )
NO ( )
8. Ha observado algn extinguidor cerca de los equipos informticos
SI ( )
NO ( )
9. Ha observado algn tipo de sealizacin de emergencia en los ambientes donde existen
equipos informticos
SI ( )
NO ( )
10. Sabe utilizar de forma adecuada un extintor
SI ( )
NO ( )
Si la respuesta es Si; Lo aprendi a utilizar a travs de:
a. Charlas y capacitaciones fuera de la Universidad
b.Charlas y capacitaciones dentro de la Universidad
c. Manuales de extintor
d.Internet
( )
( )
( )
( )
115
INGENIERA DE SISTEMAS
12. Ha observado que algn alumno o compaero de trabajo de la USAT ha bebido lquidos o
ingerido algn alimento cuando realiza algn trabajo en la computadora
SI ( )
NO ( )
13. Ha manipulado alguna vez las entradas de corriente al CPU, los cables del teclado, mouse y
conexiones de red que conectan al CPU para hacerlos funcionar
SI ( )
NO ( )
14. Usted cree que debe sentirse responsable e identificarse con el equipo informtico que usa o
utilizar en algn momento dentro de la USAT
SI ( )
NO ( )
15. Si en el transcurso del uso de su equipo informtico se detecta alguna actividad sospechosa
como ingresando a lugares restringidos, usted sera capaz de afrontarla (por la
responsabilidad que asume en ese determinado momento sobre el equipo asignado)
SI ( )
NO ( )
16. Hace usted uso de los antivirus en los equipos informticos de la USAT cuando ingresa o
saca informacin en algn dispositivo de almacenamiento
Si ( )
A veces ( )
Nunca ( )
17. Que hace cuando detecta un virus en la computadora de la USAT
a. Activa el antivirus
( )
b. Activa el antivirus, detecta los virus y los elimina
( )
c. Borra el archivo
( )
d. Formatea el dispositivo de almacenamiento
( )
e. No hago nada (Porqu no s)
( )
f. Otros, Especificar..
( )
18. Usted ha detectado que el antivirus de la USAT funciona adecuadamente y que se encuentra
actualizado
SI ( )
NO ( )
19. Tu clave de acceso es la misma para todos los servicios que te brinda el Portal Web de la
USAT
SI ( )
NO ( )
Normalmente tu clave hace referencia a:
a.Su nombre y apellido
( )
b.Su fecha de nacimiento
( )
c.Telfono (de casa o mvil)
( )
d.Nombre de su esposo(a) o hijo(a)
( )
e.No comparte con nadie su clave
( )
20. Y si nunca cambio su clave, cul es y porque motivo no lo hizo
.
21. La Clave con la cual ingresa al portal Web de la USAT es conocida tambin por:
a. Un compaero de trabajo
( )
b. Mi esposo(a) o hijo(a)
( )
c. Algn alumno
( )
d. Otros, Especifica.
( )
22. Cada que tiempo cambia su clave del portal WEB de la USAT
Cada 7 das ( ) Cada 15 das ( ) Cada 30 das ( ) Cada ao ( )
116
Nunca ( )
INGENIERA DE SISTEMAS
(
(
(
(
(
)
)
)
)
)
29. Qu hace usted cuando uno de sus componentes o aplicativos no funcionan correctamente
en su PC?
a. Intenta arreglarlo
( )
b. Lo arregla mi compaero de trabajo ms cercano
( )
c. Llamo a un tcnico de taller de computo
( )
d. No se que hacer en esos momentos (Pido sugerencias a mi compaero ms cercano)( )
30. Con qu frecuencia solicita usted que se le realice mantenimiento a la PC que se le asigno?
Mensual ( ) Trimestral ( ) Semestral ( ) Anual ( ) Nunca ( )
31. Con qu frecuencia solicita que le revisen su PC frente a cualquier falla?
A veces ( )
Casi Siempre ( )
Nunca ( )
117
INGENIERA DE SISTEMAS
32. Cree usted que su equipo se encuentra seguro frente a cualquier peligro como:
a. Acceso a sus cuentas personales
b. Ingreso de Virus
c. Existencia de un extinguidor o medida de seguridad de los equipos cerca
d. No lo se
e. Otros, Especificar..
(
(
(
(
(
)
)
)
)
)
33. Cada vez que sufre algn inconveniente con la PC o aplicacin la cual desea trabajar, porque
medio informa o reporta el inconveniente:
a. Telfono (anexo)
( )
b. Correo electrnico al rea de cmputo
( )
c. Voy fsicamente a buscar algn encargado de cmputo
( )
d. Espero que pasen por mi rea de trabajo
( )
e. Otros, Especifique
( )
f. Ninguna
( )
Anexo 03
Resultados de Procesamiento de Informacin de Docentes y Administrativos
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn
sexo.
Abril 2008
Masculino
Femenino
Total
Frecuencia
40
35
75
Porcentaje
53,3
46,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn
ayuda por parte de un estudiante o asignado como ocupacin temporal (bolsa de trabajo) dentro de
la universidad.
Abril 2008
118
Frecuencia
11
16
2
4
10
10
75
Porcentaje
14,7
21,3
2,7
5,3
13,3
42,7
100,0
INGENIERA DE SISTEMAS
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn
identificacin de personas que no trabajan ni estudian en la universidad.
Abril 2008
Si
No
Total
Frecuencia
19
56
75
Porcentaje
25,3
74,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, a modo de
que identifican a las personas que no trabajan ni estudian en la USAT.
Abril 2008
Frecuencia
2
6
2
1
8
19
Porcentaje
11
32.7
10
5.8
40.5
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
apagado debido de los equipos informticos despus de utilizarlos.
Abril 2008
Si
No
Total
Frecuencia
72
3
75
Porcentaje
96,0
4,0
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
manera en apagan los equipos informticos despus de utilizarlos.
Abril 2008
Frecuencia
4
5
55
2
6
72
Porcentaje
5,6
6,9
76,4
2,8
8,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
seguridad que tiene en los ambientes en los que se encuentran los equipos informticos frente a un
119
INGENIERA DE SISTEMAS
Si
No
Total
Frecuencia
34
41
75
Porcentaje
45,3
54,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn
observo existe algn extintor cerca de los equipos informticos.
Abril 2008
Si
No
Total
Frecuencia
37
38
75
Porcentaje
49,3
50,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn
observo existe alguna tipo de sealizacin de emergencias en los ambientes que se encuentran los
equipos informticos.
Abril 2008
Si
No
Total
Frecuencia
28
47
75
Porcentaje
37,3
62,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
manejo adecuado de un extintor.
Abril 2008
Si
No
Total
Frecuencia
33
42
75
Porcentaje
44,0
56,0
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
medio por el cual aprendi a utilizar correctamente un extinguidor.
Abril 2008
Frecuencia
15
8
4
6
33
Porcentaje
45
24
12
19
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
participacin de simulacros frente a cualquier desastre especficamente en reas donde hay equipos
120
INGENIERA DE SISTEMAS
Si
No
Total
Frecuencia
20
55
75
Porcentaje
26,7
73,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn
observo algn compaero de trabajo o estudiante bebe lquidos o ingiere alimentos cuando se
encuentra trabajando con algn equipo informtico. Abril 2008
Si
No
Total
Frecuencia
45
30
75
Porcentaje
60,0
40,0
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
manipulacin de componentes del equipo informtico de manera que si sufri algn inconveniente
este funcione. Abril 2008
Si
No
Total
Frecuencia
44
31
75
Porcentaje
58,7
41,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
responsabilidad que asumira si se le detecta realizando actividad sospechosa como el ingreso a
lugares restringidos. Abril 2008
Si
No
Total
Frecuencia
68
7
75
Porcentaje
90,7
9,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
uso de los antivirus en los equipos informticos cuando ingresa o saca informacin en algn
dispositivo de almacenamiento. Abril 2008
Si
A veces
Nunca
Total
Frecuencia
30
23
22
75
Porcentaje
40,0
30,7
29,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn lo
que realiza cuando detecta un virus en los equipos informticos. Abril 2008
121
INGENIERA DE SISTEMAS
Activa el antivirus
Activa el antivirus detecta los virus y los elimina
Borra el archivo
No hago nada (porque no se)
Otros
Total
Frecuencia
14
36
9
6
10
75
Porcentaje
18,7
48,0
12,0
8,0
13,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
buen funcionamiento de los antivirus instalados y su adecuada actualizacin. Abril 2008
Si
No
Total
Frecuencia
37
38
75
Porcentaje
49,3
50,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn los
servicios brindados por el portal Web de la USAT utiliza una misma cuenta de usuario y clave de
acceso. Abril 2008
Si
No
Total
Frecuencia
46
29
75
Porcentaje
61,3
38,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn a
que hace referencia la clave de acceso que utilizan los usuarios. Abril 2008
Frecuencia
26
4
2
43
75
Su nombre y apellido
Telfono (de casa o mvil)
Nombre de su esposo (a) o hijo (a)
Otros
Total
Porcentaje
34,7
5,3
2,7
57,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
grado de confidencialidad de la clave con la que ingresa al Portal Web de la Universidad. Abril 2008
Un compaero de trabajo
Mi esposo(a) o hijo(a)
Algn alumno
No comparte con nadie su clave
Total
Frecuencia
25
2
2
46
75
Porcentaje
33,3
2,7
2,7
61,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
tiempo que cambia su clave para acceder al Portal Web de la USAT. Abril 2008
Frecuencia
122
Porcentaje
Cada 7 das
Cada 30 das
Cada ao
nunca
Total
INGENIERA DE SISTEMAS
2
4
15
54
75
2,7
5,3
20,0
72,0
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
lugar del cual accede al Portal Web de la Universidad. Abril 2008
Frecuencia
45
5
25
75
Porcentaje
60,0
6,7
33,3
100,0
Si
No
Total
Frecuencia
73
2
75
Porcentaje
97,3
2,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
frecuencia con la que recibe correos no deseados o spam.
Abril 2008
De 1 a 10 correos al da
De 10 a 20correos al da
De 20 a ms correos al da
Total
Frecuencia
57
7
9
73
Porcentaje
78,7
9,3
12,0
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
uso de una computadora porttil dentro de la Universidad. Abril 2008
Si
No
Total
Frecuencia
38
37
75
Porcentaje
50,7
49,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn se
muestre o autorice mediante un mensaje que comunique que el equipo porttil utilizado dentro de
la Universidad se registro y puede acceder a al red. Abril 2008
123
Si
No
Total
Frecuencia
9
29
38
INGENIERA DE SISTEMAS
Porcentaje
24,6
75,4
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn
capacitaciones recibidas acerca de seguridad de la informacin en la Universidad.
Abril 2008
Si
No
Total
Frecuencia
10
65
75
Porcentaje
13,3
86,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
inters de conocer o tener un mayor conocimiento de lo que refiere a seguridad de la informacin.
Abril 2008
Si
No
Total
Frecuencia
72
3
75
Porcentaje
96,0
4,0
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
inters y el medio por el cual le gustara ser informado a cerca del tema de Seguridad de la
Informacin. Abril 2008
Folletos y boletines
Charlas y conferencias
Foros a travs del portal Web de la USAT
Como parte de algn curso en tu carrera
Total
Frecuencia
11
42
13
6
72
Porcentaje
14,7
58,7
18,7
8
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn
algunas activas realizadas en los equipos informticos que se les asigna. Abril 2008
Frecuencia
18
10
1
46
75
Porcentaje
24,0
13,3
1,3
61,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn lo
que hace cuando un componente o aplicativo no funciona correctamente. Abril 2008
Frecuencia
19
Intenta arreglarlo
124
Porcentaje
25,3
INGENIERA DE SISTEMAS
4
10
5,3
13,3
56,0
42
75
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
frecuencia con la que solicita que se les realice mantenimiento a los equipos informticos que se le
asignan. Abril 2008
Mensual
Trimestral
Semestral
Anual
Nunca
Total
Frecuencia
22
17
13
3
20
75
Porcentaje
29,3
22,7
17,3
4,0
26,7
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
frecuencia que solicita que revisen su PC frente a inconvenientes o fallas. Abril 2008
A veces
Casi siempre
Nunca
Total
Frecuencia
44
18
13
75
Porcentaje
58,7
24,0
17,3
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn la
seguridad que puede tener su equipo frente a peligros. Abril 2008
Frecuencia
18
12
4
35
6
75
Porcentaje
24,0
16,0
5,3
46,7
8,0
100,0
Distribucin porcentual de los Docentes y/o Administrativos de la USAT acerca de SGSI, segn el
medio por el cual informa o reporta el inconveniente si sus equipos informticos sufre
inconvenientes. Abril 2008
Frecuencia
54
15
Telfono (anexo)
Correo electrnico al rea de computo
125
Porcentaje
72,0
20,0
INGENIERA DE SISTEMAS
6
75
8,0
100,0
Anexo 04
ENCUESTA SOBRE SEGURIDAD DE LA INFORMACIN
Dirigido a los alumnos de las diferentes escuelas profesionales de la Universidad
Catlica Santo Toribio de Mogrovejo.
Objetivos:
Conocer que tan involucrados se encuentran los alumnos en el resguardo de la
Tecnologa de Informacin.
Identificar si los alumnos utilizan de manera optima las tecnologas de informacin
y de que manera ayudaran a salvaguardar la misma.
Instrucciones:
Para desarrollar este cuestionario, usted debe leer cada pregunta y escoger una de las
alternativas propuestas con una X dentro de los parntesis o llenar dentro de las lneas
punteadas segn sea su criterio.
1. Sexo:
Masculino ( )
Femenino ( )
126
)
)
)
)
)
)
h.
i.
j.
k.
l.
m.
n.
INGENIERA DE SISTEMAS
(
(
(
(
(
(
(
)
)
)
)
)
)
)
7. Te sientes seguro en los ambientes donde se encuentran los equipos informticos dentro de la
universidad frente a cualquier desastre natural o humano
SI ( )
NO ( )
8. Has observado algn extinguidor cerca de los equipos informticos
SI ( )
NO ( )
9. Has observado algn tipo de sealizacin de emergencia en los ambientes donde existen
equipos informticos
SI ( )
NO ( )
10. Has participado de algn simulacro frente a cualquier desastre natural, especialmente en
reas donde hay equipos informticos
SI ( )
NO ( )
Si tu respuesta es No;
Como nos sugieres que se realice y cada que tiempo:
.
11. Has observado que algn compaero o administrativo ha bebido lquidos o ingerido algn
alimento cuando realizas algn trabajo en cualquiera de las computadoras de la USAT
SI ( )
NO ( )
12. Has manipulado alguna vez las entradas de corriente al CPU, los cables del teclado, Mouse
y conexiones de red que conectan al CPU para hacerlos funcionar
SI ( )
NO ( )
13. Usted cree que debe sentirse responsable e identificarse con el equipo informtico que usa o
utilizar en algn momento dentro de la USAT
SI ( )
NO ( )
14. Si en el transcurso del uso de un equipo informtico se te detecta realizando alguna
actividad sospechosa como ingresando a lugares restringidos, usted sera capaz de afrontarla
(por la responsabilidad que asume en ese determinado momento sobre el equipo asignado)
SI ( )
NO ( )
15. Hace usted uso de los antivirus en los equipos informticos de la USAT cuando ingresa o
saca informacin en algn dispositivo de almacenamiento
Si ( )
A veces ( )
Nunca ( )
16. Que hace cuando detecta un virus en la computadora de la USAT
g. Activa el antivirus
( )
h. Activa el antivirus, detecta los virus y los elimina
( )
i. Borra el archivo
( )
j. Formatea el dispositivo de almacenamiento
( )
k. No hago nada (Porqu no s)
( )
l. Otros, Especificar..
( )
127
INGENIERA DE SISTEMAS
17. Usted ha detectado que el antivirus de la USAT funciona adecuadamente y que se encuentra
actualizado
SI ( )
NO ( )
18. Tu clave de acceso es la misma para todos los servicios que te brinda el Portal Web de la
USAT
SI ( )
NO ( )
Normalmente tu clave hace referencia a:
f.
Tu nombre y apellido
( )
g.
T fecha de nacimiento
( )
h.
Telfono (de casa o mvil)
( )
i.
Nombre de tu enamorada o enamorado
( )
j.
Otros, Especifique..
( )
19. Y si nunca cambiaste tu clave, cul es y porque motivo no lo hiciste
.
20. Cada que tiempo cambia su clave del portal WEB de la USAT
Cada 7 das ( ) Cada 15 das ( ) Cada 30 das ( ) Cada ao ( )
21. Usted accede al portal WEB de la universidad
Dentro de la universidad ( )
Fuera de la universidad ( )
Nunca ( )
En ambos lugares ( )
Anexo 05
Resultados de Procesamiento de Informacin de Estudiantes
128
INGENIERA DE SISTEMAS
Masculino
Femenino
Total
Frecuencia
106
253
359
Porcentaje
29,5
70,5
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn Escuela Acadmico
Profesional.
Abril 2008
Administracin de Empresas
Arquitectura
Biologa y Qumica
Ciencias de la Comunicacin
Contabilidad
Derecho
Economa
Educacin Fsica y Danzas
Educacin Inicial
Educacin Primaria
Enfermera
Filosofa y Religin
Historia y Geografa
Ingeniera Civil y Ambiental
Ingeniera de Sistemas y Computacin
Ingeniera Energtica
Ingeniera Industrial
Ingeniera Mecnica Elctrica
Ingeniera Naval
Lengua y Literatura
Matemtica, Computacin e Informtica
Medicina
Odontologa
Psicologa
Total
Frecuencia
Porcentaje
61
4
1
14
29
65
7
1
2
7
54
4
1
11
39
1
22
1
4
4
1
11
4
11
359
17,0
1,1
,3
3,9
8,1
18,1
1,9
,3
,6
1,9
15,0
1,1
,3
3,1
10,9
,3
6,1
,3
1,1
1,1
,3
3,1
1,1
3,1
100,0
Distribucin porcentual de los Estudiantes de la USAT acerca de SGSI, segn ayuda a docente o
administrativo en actividades dentro de la universidad asignado como ocupacin temporal (bolsa
de trabajo).
Abril 2008
129
Frecuencia
37
Porcentaje
10,3
INGENIERA DE SISTEMAS
53
27
5
6
231
359
14,8
7,5
1,4
1,7
64,3
100,0
Si
No
Total
Frecuencia
162
197
359
Porcentaje
45,1
54,9
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, a modo de que identifican a
las personas que no trabajan ni estudian en la USAT.
Abril 2008
Frecuencia
50
53
25
33
1
162
Porcentaje
30,9
32,7
15,4
20,4
,6
100,0
Si
No
Total
Frecuencia
339
20
359
Porcentaje
94,4
5,6
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la manera en apagan
los equipos informticos despus de utilizarlos.
Abril 2008
Frecuencia
Porcentaje
10
2,9
20
5,9
130
INGENIERA DE SISTEMAS
22
270
3
14
339
6,5
79,6
,9
4,1
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la seguridad que
tiene en los ambientes en los que se encuentran los equipos informticos frente a un desastre
natural o humano.
Abril 2008
Si
No
Total
Frecuencia
155
204
359
Porcentaje
43,2
56,8
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn observo existe algn
extintor cerca de los equipos informticos.
Abril 2008
Si
No
Total
Frecuencia
111
248
Porcentaje
30,9
69,1
359
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn observo existe alguna
tipo de sealizacin de emergencias en los ambientes que se encuentran los equipos informticos.
Abril 2008
Si
No
Total
Frecuencia
180
179
359
Porcentaje
50,1
49,9
100,0
Si
No
Total
Frecuencia
125
234
359
131
Porcentaje
34,8
65,2
100,0
INGENIERA DE SISTEMAS
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn observo algn
compaero de estudios o administrativo bebe lquidos o ingiere alimentos cuando se encuentra
trabajando con algn equipo informtico. Abril 2008
Si
No
Total
Frecuencia
170
189
359
Porcentaje
47,6
52,4
100,0
Si
No
Total
Frecuencia
156
203
359
Porcentaje
43,5
56,5
100,0
Si
No
Total
Frecuencia
285
74
359
Porcentaje
79,4
20,6
100,0
Si
No
Total
Frecuencia
294
63
359
Porcentaje
81,9
18,1
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el uso de los antivirus
en los equipos informticos cuando ingresa o saca informacin en algn dispositivo de
almacenamiento. Abril 2008
Si
A veces
Nunca
Total
Frecuencia
117
123
119
359
132
Porcentaje
32,6
34,3
33,1
100,0
INGENIERA DE SISTEMAS
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn lo que realiza cuando
detecta un virus en los equipos informticos. Abril 2008
Activa el antivirus
Activa el antivirus detecta los virus y los elimina
Borra el archivo
Formatea el dispositivo de almacenamiento
No hago nada (porque no se)
Otros
Total
Frecuencia
Porcentaje
73
166
31
11
48
30
359
20,3
46,2
8,6
3,1
13,4
8,4
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el buen funcionamiento
de los antivirus instalados y su adecuada actualizacin. Abril 2008
Si
No
Total
Frecuencia
92
265
359
Porcentaje
25,6
73,8
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn los servicios
brindados por el portal Web de la USAT utiliza una misma cuenta de usuario y clave de acceso.
Abril 2008
Si
No
Total
Frecuencia
89
270
359
Porcentaje
24,8
75,2
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn a que hace referencia
la clave de acceso que utilizan los usuarios. Abril 2008
Tu nombre y apellido
Su fecha de nacimiento
Telfono (de casa o mvil)
Nombre de su esposo (a) o hijo (a)
Otros
Total
Frecuencia
83
39
43
20
174
359
Porcentaje
22,3
11,0
12,1
5,6
49,0
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el tiempo que cambia
133
INGENIERA DE SISTEMAS
Cada 7 das
Cada 15 das
Cada 30 das
Cada ao
Nunca
Total
Porcentaje
5,4
5,0
16,7
17,9
55,0
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el lugar del cual
accede al Portal Web de la Universidad. Abril 2008
Dentro de la universidad
Fuera e la universidad
En ambos lugares
Total
Frecuencia
17
133
209
359
Porcentaje
4,7
37,0
58,2
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn la velocidad referente
al acceso al Portal Web. Abril 2008
Frecuencia
59
75
225
359
Porcentaje
16,4
20,9
62,7
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el uso de una
computadora porttil dentro de la Universidad. Abril 2008
Si
No
Total
Frecuencia
88
271
359
Porcentaje
24,5
75,5
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn se muestre o autorice
mediante un mensaje que comunique que el equipo porttil utilizado dentro de la Universidad se
registro y puede acceder a al red. Abril 2008
Si
No
Total
Frecuencia
26
62
88
Porcentaje
29,5
70,5
100,0
134
INGENIERA DE SISTEMAS
Frecuencia
39
321
359
Si
No
Total
Porcentaje
8,5
91,5
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el inters de conocer
o tener un mayor conocimiento de lo que refiere a seguridad de la informacin. Abril 2008
si
no
Total
Frecuencia
324
35
359
Porcentaje
90,3
9,7
100,0
Distribucin porcentual de los estudiantes de la USAT acerca de SGSI, segn el inters a cerca del
tema de Seguridad de la Informacin, a travs de que medio le gustara ser informado. Abril 2008
Folletos y boletines
Charla y conferencias
Foros a travs del portal Web de la USAT
Como parte de algn curso en tu carrera
Otros
Total
Frecuencia
77
162
52
31
2
324
Porcentaje
23,8
50,0
16,0
9,6
,6
100,0
Anexo 06
ENTREVISTA
Las empresas de hoy en da manejan su informacin por medio de sistemas integrados u
otros, los cuales muchos de ellos ven reflejado la vulnerabilidad de su informacin
frente a cualquier peligro que se les presente. Es por ello que nuestro proyecto de
investigacin busca encontrar los puntos dbiles con respecto a todo lo que es la
tecnologa de informacin y comunicacin de la USAT, motivo por el cual est
entrevista va dirigido al jefe de Taller de Cmputo como principal agente encargado de
la Seguridad de la Informacin dentro de la organizacin.
Para saber quienes son las personas que toman las decisiones con respecto a la
seguridad de la informacin se listo las siguientes preguntas:
La USAT cuenta con un comit de seguridad de la informacin?
SI ( )
Las funciones del comit se encuentran detalladas en el manual de funciones y
organizacin u otro
documento_____________________________________________
Quin conforma ese
comit________________________________________________
Ese comit es plenamente identificable por la comunidad
universitaria______________
135
INGENIERA DE SISTEMAS
NO ( )
Si no cuentan con ese comit, quienes son los encargados de establecer las polticas de
seguridad de la informacin
_______________________________________________
O, slo las polticas son establecidas por si mismo como jefe de rea de taller de
cmputo______________________________________________________________
_
Estas polticas son conocidas por todos los
usuarios_____________________________
A travs de que medio se les di a conocer______________________________
Preguntas sobre mecanismos de control con respecto a la seguridad de la informacin
Existe algn tipo de manual o documento donde se especifique los controles para la
seguridad de la informacin?_______________________________________________
De qu manera controla a sus trabajadores, con respecto al tema de seguridad de la
informacin?___________________________________________________________
De qu forma controla los accesos a la red y quin ordena que se genere esos
permisos?______________________________________________________________
Existen bitcoras donde se registran los sucesos de todos los usuarios que ingresan a la
red?___________________________________________________________________
Detecto en alguna ocasin algo indebido________________________________
Se registran los accesos de personas a las reas donde se encuentran los equipos
servidores?_____________________________________________________________
Preguntas sobre polticas de seguridad
Existe un documento donde se especifique las polticas de seguridad de la
informacin?
SI ( )
Quin elabor ese documento y por quin fue aprobado?
________________________
_____________________________________________________________________
Sus trabajadores y usuarios conocen este documento?
___________________________
Se aplican estas polticas a toda la comunidad universitaria?
_____________________
Cada que tiempo se revisan esas polticas?
___________________________________
NO ( )
Segn Usted, a que cree que se deba, que hasta ahora no se implementa las polticas
de seguridad de la informacin en la USAT?
_____________________________________
Cree Usted, que es de suma urgencia la elaboracin de polticas de seguridad de la
informacin para la USAT?
________________________________________________
Porqu___________________________________________________________
Y para su rea_________________________________________________________
136
INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS
Emplean tarjetas o fichas de seguimiento de los equipos que se les brinda a los
usuarios________________________________________________________________
Preguntas sobre modificaciones en los servicios que se le presta a los usuarios
Todas las modificaciones que se haga a los servicios que se le presta a los usuarios es
registrado?____________________________________________________________
Existe algn procedimiento interno para efectuarlos____________________________
Preguntas sobre mantenimiento de los equipos
Existe un plan de mantenimiento para todos los equipos de la USAT?
SI ( )
Cada qu tiempo lo realizan________________________________________________
Qu aspectos son los que toman en cuenta para ese mantenimiento?
______________________________________________________________________
Cmo se trata el tema de los antivirus dentro de la USAT________________________
______________________________________________________________________
Preguntas sobre adquisicin de software y hardware
Cul es el procedimiento para la adquisicin de un SW o HW?___________________
______________________________________________________________________
Este procedimiento se encuentra debidamente identificado en un documento_________
Porqu___________________________________________________________
Quin justifica la adquisicin?_____________________________________________
Quin evala la adquisicin?______________________________________________
Quin evala los proveedores?_____________________________________________
Anexo 07
ENTREVISTA SOBRE SEGURIDAD DE LA INFORMACIN
Las empresas de hoy en da manejan su informacin por medio de sistemas integrados u
otros, los cuales muchos de ellos ven reflejado la vulnerabilidad de su informacin
frente a cualquier peligro que se les presente. Es por ello que nuestro proyecto de
investigacin busca encontrar los puntos dbiles con respecto a todo lo que es la
Tecnologa de Informacin y Comunicacin de la USAT, motivo por el cual est
entrevista estar dirigido al personal que labora en el rea de Taller de Cmputo
como principales agente encargados de la Seguridad de la Informacin dentro de la
organizacin.
Nombre:
Cargo del informante:
Qu tipo de relacin laboral tiene Ud. con la USAT?
138
INGENIERA DE SISTEMAS
Utilizan antivirus?
Si ( )
No ( )
Si la respuesta es Si,
Tipo de antivirus que utiliza?
a. Norton
( )
b. Kaspersky
( )
c. Nod 32
( )
d. Panda
( )
e. Otros
( ), especifique: ..
Cada que tiempo cambian o actualizan la versin del antivirus
a.
b.
c.
d.
e.
Mensual
Trimestral
Semestral
Anual
Otros periodos
(
(
(
(
(
)
)
)
)
), especifique: ..
139
INGENIERA DE SISTEMAS
Usted cuenta con los medios y capacidad para afrontar cualquier desastre natural o
humano como:
Aplacar un incendio utilizando un extintor
Si ( ) No ( )
Desplazar a los usuarios correctamente guindose por sealizaciones Si ( ) No ( )
Utilizacin de primeros auxilios (existencia u utilidad de un botiqun) Si ( ) No ( )
Otros, Especifique _______________________________________
( )
Ninguno
( )
Usted sabe utilizar correctamente un extintor Si lo sabe, se le capacito dentro de la
USAT, o lo aprendi fuera?
Cules son los problemas ms frecuentes que se atienden con respecto a los usuarios?
Hardware:
Software: ..
Cmo se podran evitar?
Anexo 08
ENTREVISTA
Las empresas de hoy en da manejan su informacin por medio de sistemas integrados u
otros, los cuales muchos de ellos ven reflejado la vulnerabilidad de su informacin
frente a cualquier peligro que se les presente. Es por ello que nuestro proyecto de
investigacin busca encontrar los puntos dbiles con respecto a todo lo que es la
tecnologa de informacin y comunicacin de la USAT, motivo por el cual est
entrevista va dirigido al jefe de Desarrollo de Sistemas como principal agente
encargado de la Seguridad de la Informacin dentro de la organizacin.
Para saber quienes son las personas que toman las decisiones con respecto a la
seguridad de la informacin se listo las siguientes preguntas:
La USAT cuenta con un comit de seguridad de la informacin?
SI ( )
Las funciones del comit se encuentran detalladas en el manual de funciones y
organizacin u otro documento____________________________________________
140
INGENIERA DE SISTEMAS
INGENIERA DE SISTEMAS
SI ( )
Para ello existen procedimientos documentados para actuar antes, durante y despus
del desastre?___________________________________________________________
Ha realizado algn simulacro con defensa civil o tiene previsto hacerlo en el futuro?
_____________________________________________________________________
Lo cree necesario hacerlo con esta organizacin_______________________________
Su rea posee algn plan de contingencia, si no lo tiene ha motivado a sus
trabajadores para elaborarlo?_____________________________________________
NO ( )
A qu se debe?________________________________________________________
Preguntas sobre backups y claves
La administracin del sistema que est a su cargo, se manejan a travs de claves de
autenticacin___________________________________________________________
Cree usted necesario que la alta direccin deba poseer las claves (y su actualizacin de
las mismas) ____________________________________________________________
Porqu___________________________________________________________
Existe algn procedimiento para realizar backups, de la informacin que usted maneja?
SI ( )
Estn descritos en algn documento?______________________________________
Se cumplen conforme estn descritos?_____________________________________
Son depositados en algn lugar especial dentro de la USAT o fuera de ella?________
Porqu___________________________________________________________
Cada que tiempo se hace y quin los realiza__________________________________
NO ( )
Porqu___________________________________________________________
Preguntas sobre problemas frecuentes
Cules son los problemas ms frecuentes con los que se enfrenta el rea que Usted
tiene a cargo?
En las actividades de su rea_________________________________________
En los servicios que le brinda a los usuarios__________________________
Se encuentran archivados esos problemas? Qu estrategia usa para disminuir esos
problemas frecuentes? Existe alguna estadstica de la evolucin de esos problemas
______________________________________________________________________
Emplean tarjetas o fichas de seguimiento de los problemas en el uso del sistema por
parte usuarios__________________________________________________________
Preguntas sobre modificaciones en los servicios que se le presta a los usuarios
Todas las modificaciones que se haga a los servicios que otorga el sistema a los
usuarios son registrados?__________________________________________________
Existe algn procedimiento interno para efectuarlos____________________________
Preguntas sobre responsabilidad de software a desarrolla
142
INGENIERA DE SISTEMAS
Cada integrante del equipo de desarrollo de sistemas es responsable del software que
desarrolla?
SI ( )
Qu control de calidad para la produccin del software se le aplica?______________
Esto le permite tener una copia de resguardo en su casa?_______________________
Acata las polticas que se le impone?
NO ( )
Porqu _______________________________________________________________
Preguntas sobre manejo de base de datos
Quin es el primer responsable en el manejo de la base de datos?__________________
Toda actividad que se realice en ella es documentada?__________________________
Aparte del departamento que tiene a cargo, existe otra persona que cada cierto tiempo
realice una evaluacin del nivel de desarrollo de su rea?_________________________
Cualquier trabajador que tenga a su cargo puede modificar la base de datos en el
momento que desee?______________________________________________________
A tenido algn inconveniente con la base de datos en algn momento?_____________
Preguntas sobre software y hardware
Cuentan con los equipos necesarios para realizar sus actividades?_________________
Cuentan con el software necesario para realizar sus actividades?__________________
Todo el software que se utilizan sea SW con licencia o SW libre, son solicitado al rea
de taller de cmputo?_____________________________________________________
Su rea maneja restricciones a travs de la red, igual como cualquier otra rea?______
______________________________________________________________________
Anexo 09
CUESTIONARIO SOBRE SEGURIDAD DE LA INFORMACIN
Hacia: Trabajadores de Desarrollo de Sistemas de esta Universidad
Objetivo:
Identificar el grado de conocimiento que cuentan los Trabajadores en el resguardo de la
Tecnologa de Informacin, sus Aplicaciones y en el desarrollo, mantenimiento del
software que elaboran y como se han involucrado.
Instrucciones:
Lea cada pregunta y responda a c/u de ellas sobre las lneas punteadas, en algunos casos
seale con una X en las alternativas propuestas con parntesis
Cuntas llamadas de usuarios al da recibe por inconvenientes tcnicos en el software
que han desarrollado? Describa el inconveniente ms frecuente que sucede en la
mayora de usuarios?
Nmero de llamadas (.)
143
INGENIERA DE SISTEMAS
Inconveniente ms frecuente:
Guarda una copia de seguridad del cdigo que desarrollan por seguridad en un lugar
distinto a sus instalaciones?
A veces ( )
Casi siempre ( )
Siempre ( )
Nunca ( )
Usted brinda soporte y mantenimiento al equipo que le fue asignado en desarrollo de
sistemas? Y si no lo hace A quin acude o informa? A travs de que medio (si es
correo electrnico, cul es)?
Usted cuenta con los medios y la capacidad para afrontar cualquier desastre natural o
humano como:
El rea posee un extintor.
SI ( ) NO ( )
El rea posee seales de seguridad.
SI ( ) NO ( )
Me capacitan constantemente para afrontar este tipo de problema SI ( ) NO ( )
Se posee una lista de nmero de emergencia a la mano
SI ( ) NO ( )
Existe un botiqun de primeros auxilios
SI ( ) NO ( )
Otros, Especificar.. ( )
Ninguno
( )
Usted sabe utilizar el extintor Si lo sabe, donde lo aprendi?
.
.
Existe alguna persona encargada de guardar el backup del sistema general con su
respectiva base de datos de la USAT (desarrollada y en desarrollo) Cmo se llama?
Qu cargo ocupa en el rea? Cada cunto tiempo lo hace?
....
Existe algn mecanismo de control de calidad en la produccin del software de la USAT
Si existe, cul es (descrbalo)?
144
INGENIERA DE SISTEMAS
.
En alguna ocasin, la alta Direccin te ha solicitado modificar data de la Base de Datos
de la universidad
A veces ( )
Casi siempre ( )
Siempre ( )
Nunca ( )
Al realizar alguna modificacin en la Base de Datos, cul es el procedimiento que
realiza el rea para realizarlo se registra est incidencia en archivos?
A veces ( )
Casi siempre ( )
Siempre ( )
Nunca ( )
Usted cree que es responsable de su equipo informtico y de cada actividad que realice
usted o terceras personas sobre ella?
A veces ( )
Casi siempre ( )
Siempre ( )
Nunca ( )
Qu recomendara Usted para mejorar el rea donde se trabaja y tambin que
recomendara para la parte de desarrollo de software (produccin del mismo)?
Anexo 10
145
INGENIERA DE SISTEMAS
146
produzcan, la implementacin
INGENIERA DE SISTEMAS
de la suscripcin de los
Compromisos
de
Anexo 11
Sanciones Previstas por Incumplimiento
Se sancionar administrativamente a todo aquel que viole lo dispuesto en la presente
Poltica de Seguridad conforme a lo dispuesto por las normas estatutarias, escalafonarias
y convencionales que rigen al personal dentro de la USAT, y en caso de corresponder, se
realizarn las acciones correspondientes ante el o los Organismos pertinentes.
147
INGENIERA DE SISTEMAS
Anexo 12
Puntos de la documentacin de la poltica
1. Cumplimiento de requisitos legales
1.1. Identificacin de la legislacin aplicable
Se definirn y documentarn claramente todos los requisitos normativos y contractuales
pertinentes para cada sistema de informacin. Del mismo modo se definirn y
documentarn los controles especficos y las responsabilidades y funciones individuales
para cumplir con dichos requisitos.
1.2. Derechos de Propiedad Intelectual
Se implementarn procedimientos adecuados para garantizar el cumplimiento de las
restricciones legales al uso del material protegido por normas de propiedad intelectual.
Los empleados nicamente podrn utilizar material autorizado por el Organismo.
El Organismo solo podr autorizar el uso de material producido por el mismo, o
material autorizado o suministrado al mismo por su titular, conforme los trminos y
condiciones acordadas y lo dispuesto por la normativa vigente.
La infraccin a estos derechos puede tener como resultado acciones legales que podran
derivar en demandas penales.
Se debern tener presentes las siguientes normas:
Ley de Propiedad Intelectual N 11.723: Protege los derechos de autor de las obras
cientficas, literarias y artsticas, incluyendo los programas de computacin fuente y
objeto; las compilaciones de datos o de otros materiales.
Ley de Marcas N 22.362: Protege la propiedad de una marca y la exclusividad de
su uso.
148
INGENIERA DE SISTEMAS
b)
c)
d)
e)
f)
g)
h)
i)
j)
149
INGENIERA DE SISTEMAS
150
INGENIERA DE SISTEMAS
151
INGENIERA DE SISTEMAS
152
INGENIERA DE SISTEMAS
tica en el Ejercicio de la Funcin Pblica. Ley 25.188: Obliga a todas las personas
que se desempeen en la funcin pblica a abstenerse de utilizar informacin
adquirida en el cumplimiento de sus funciones para realizar actividades no
relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses
privados.
Cdigo de tica de la Funcin Pblica: Establece que el funcionario pblico debe
abstenerse de difundir toda informacin que hubiera sido calificada como reservada
o secreta conforme a las disposiciones vigentes, ni la debe utilizar, en beneficio
propio o de terceros o para fines ajenos al servicio, informacin de la que tenga
conocimiento con motivo o en ocasin del ejercicio de sus funciones y que no est
destinada al pblico en general.
Proteccin de Datos Personales. Ley 25.326: Establece responsabilidades para
aquellas personas que recopilan, procesan y divulgan informacin personal y define
criterios para procesar datos personales o cederlos a terceros.
Confidencialidad. Ley N 24.766: Impide la divulgacin a terceros, o su utilizacin
sin previo consentimiento y de manera contraria a los usos comerciales honestos, de
informacin secreta y con valor comercial que haya sido objeto de medidas
razonables para mantenerla secreta.
Cdigo Penal: Sanciona a aquel que teniendo noticias de un secreto cuya
divulgacin pueda causar dao, lo revelare sin justa causa (Art. 156), al funcionario
pblico que revelare hechos, actuaciones o documentos que por la ley deben quedar
secretos (Art. 157), al que revelare secretos polticos o militares concernientes a la
seguridad, a los medios de defensa o a las relaciones exteriores de la Nacin, o al
que por imprudencia o negligencia diere a conocer los secretos mencionados
anteriormente, de los que se hallare en posesin en virtud de su empleo u oficio
(Art. 222 y 223).
Asimismo, deber considerarse lo establecido en el Decreto 1172/03, que regula el
acceso a la informacin pblica por parte de los ciudadanos.
1.5. Prevencin del Uso Inadecuado de los Recursos de
Procesamiento de Informacin
153
INGENIERA DE SISTEMAS
154
INGENIERA DE SISTEMAS
155
INGENIERA DE SISTEMAS
Bibliografa:
Informacin general
http://www.iso27000.es/
Pgina donde encontramos informacin general de la norma 27000 en espaol.
http://iso9001-iso27001-gestion.blogspot.com/2006/05/familia-iso-27000.html
nformacin de la familia del estndar 27000
http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCCMU_archivos/Nextel.pdf
Modelo de SGSI en NEXTEL
www.iso27001certificates.com
Registro internacional de organizaciones certificadas en ISO 27001 y BS 7799-2.
www.securityforum.org
Information Security Forum (ISF). Asociacin de empresas a nivel mundial con ms
de 300 socios, de la que forman parte ms del 50% de las empresas Fortune 100.
Con los fondos aportados por los socios, desarrolla proyectos relacionados con
seguridad de la informacin para sus miembros, buscando sinergias.
www.european-accreditation.org
European Cooperation for Accreditation. Asociacin sin nimo de lucro que cubre la
acreditacin de laboratorios, organismos de inspeccin y organismos de
certificacin en sistemas de gestin de la calidad, sistemas de gestin
medioambientales, productos y servicios, personas y esquemas de auditora y de
gestin europeos.
www.isaca.org
156
INGENIERA DE SISTEMAS
157
INGENIERA DE SISTEMAS
alerta-antivirus.red.es/portada
Centro de Alerta Antivirus, Entidad pblica del Ministerio de Industria, Turismo y
Comercio.
www.ccn-cert.cni.es
www.rediris.es/cert
CERT pblico de RedIRIS, red acadmica y de investigacin nacional.
escert.upc.edu
esCERT-Universidad Politcnica de Catalua, Equipo de Seguridad para la
Coordinacin de Emergencias en Redes Telemticas.
sec.ietf.org
IETF Grupos de trabajo para la seguridad y manejo de incidentes.
www.microsoft.com/security/portal/default.aspx
Microsoft Malware Protection Center.
Acreditacin y Normalizacin
www.iso.org
International Standards Organization.
www.bsi-global.com
158
INGENIERA DE SISTEMAS
159
INGENIERA DE SISTEMAS
160