Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CUSCO 04/04/2011.
1
UNIVERSIDAD ANDINA DEL
CUSCO
FACULTAD DE INGENIERIA
PROGRAMA ACADEMICO
PROFESIONAL DE INGENIERIA DE
SISTEMAS
2
3
INDICE
INTRODUCCIÓN………………………………………….. PAG 5
REFERENCIAS…………………………………………….. PAG 31
ANEXOS…………………………………………………..… PAG 33
4
INTRODUCCION
La Información es un Activo vital para el éxito y la continuidad en el mercado de
cualquier organización. El aseguramiento de dicha información y de los Sistemas que
la procesan es, por tanto, un objetivo de primer nivel para la Organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un
sistema que aborde esta tarea de una forma metódica, documentada y basada en unos
objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida
la información de la organización.
En la actualidad la Unidad Neurálgica de la Dirección General de Administración de la
Universidad Andina del Cusco es la Unidad de Abastecimientos,por que provee de
bienes y servicios a todas las dependencias Académicas y Administrativas de la
Universidad Andina del Cusco (UAC), en todos sus requerimientos anuales planteados
en el Plan Operativo Institucional (POI); cuyas funciones específicas son las
Ejecuciones Parciales, Inclusiones, Exclusiones y Modificaciones.Para ejecutar todas
estas funciones esta unidad se relaciona directamente con la Dirección General de
Administración (DIGA), VicerrectoradoAdministrativo (VRAD) y la Dirección de
Planificación (DIPLA).Así mismo se puede mencionar que esta unidad genera
información a la Unidad de Contabilidad, Unidad de Tesorería,Almacén, Unidad de
Patrimonio y a la Dirección de Recursos Humanos, para que estas a su vez realicen
directamente sus funciones.
La ejecución de un ítem del Operativo Institucional (POI) puede demorarse mínimo en
un plazo de tres semanas y media en algunos otros casos la demora es de más de un
año; debido a que existen procesos que se duplican y redundan en información por el
uso del nuevo sistema integrado en paralelo con el software de cada unidad, la falta de
manuales adecuados para el uso del nuevo sistema integrado y sobre todo que el
Manual de Organización y Funciones (MOF) ha quedado desfasado por qué no se
ajusta al nuevo sistema integrado.
Actualmente se cuenta con Estándares Internacionales muy bien aceptados, que
proporcionan mecanismos de seguridad que han sido estudiados detenidamente y que
se han puesto a prueba, concluyendo en que los resultados que ofrecen son los
ideales y que deberían ser implementados por todas las Organizaciones.Para lo cual
este Proyecto de Tesis plantea la aplicación de Los Estándares ISO/IEC 27001,27002
y 27003 el cual optimizaría la gestión de los procesos de seguridad de lainformación en
5
todos los procesos que se llevan a cabo en la Unidad de Abastecimientos de la
Universidad Andina del Cusco.
Este Proyecto de Tesis plantea una Metodología Experimentalya que se pretende
aplicar los ISOS 27001, 27002 y 27003 con el objetivo de optimizar la gestión de los
procesos de seguridad de información en la Unidad de Abastecimientos con un
enfoque inductivo.
La Universidad Andina del Cusco es una Institución Educativa que imparte Educación
Superior, enfocada a la Generación de Conocimiento y Tecnología y a la formación de
Profesionales para atender las demandas de la Sociedad se constituye como una
Universidad sin fines de lucro se encuentra ubicada en el Distrito de san Jerónimo,
Provincia del Cusco, Región del Cusco.El ámbito de influencia de la presente tesis
abarca la Dirección General de Administración (DIGA) yestrictamente en la Unidad de
Abastecimientos de la Universidad Andina del Cusco.
La Unidad de Abastecimientos se encuentra ubicada dentro de la estructura
organizacional de la UAC dependiente de la Dirección General de Administracióny se
relaciona con otras unidades al mismo nivel como (Tesorería, Contabilidad, Almacén y
Patrimonio), como se ve en la Fig. 1; actualmente su ubicación física de las oficinas de
la Unidad de Abastecimiento están en el sótano del Auditorio principal de la
Universidad Andina del Cusco.
6
ORGANIGRAMA DE LA UNIVERSIDAD ANDINA DEL CUSCO
7
La Unidad de Abastecimientos es responsable del Abastecimiento de los Bienes y
Servicios a todas la dependencias tanto Académicas como Administrativas de la UAC.
En todos sus requerimientos anuales planteados en el Plan Operativo Institucional
(POI). Sus funciones son:
Controlar y ejecutar los Procesos de compra de bienes y servicios.
Ejecuciones Parciales de las órdenes de compra de bienes y servicios.
Inclusiones de órdenes de compra de bienes y servicios.
Ampliaciones de órdenes de compra de bienes y servicios.
Exclusiones de órdenes de compra de bienes y servicios.
Modificaciones de órdenes de compra de bienes y servicios. Etc.
VRAD
DIGA DIPLA
DDRRHH
Fig. 2 Fuente: Manual De Organización Y Funciones
8
Dentro de la Dirección General de Administración, la Unidad de Abastecimientos se
encuentra Interrelacionada con las siguientes dependencias:
Unidad de Contabilidad.
Unidad de Tesorería.
Almacén.
Unidad de Patrimonio. Ver (Fig. 3):
ALMACEN
9
La información que se genera en esta Unidad es de vital importancia ya que las demás
dependencias realizan sus operaciones a partir de dicha información, por tal motivo se
considera necesaria la optimización de la gestión de procesos de seguridad de
información en la Unidad de Abastecimientos.
Cabe mencionar que la aplicación de los estándares ISO 27001, 27002 y 27003 en la
Unidad de Abastecimientos, estará bajo la responsabilidad de la Dirección
Telecomunicaciones y Tecnologías de la Información (DTTI), debido a que está dentro
de sus responsabilidades velar por la seguridad de la información.
Además que las políticas de seguridad del nuevo sistema integrado no están
claramente definidas, ya que no existen privilegios necesarios para ciertos usuarios y
en otros casos los privilegios son a nivel de administrador. Por ejemplo la asignación
de los paswords iniciales para el acceso al sistema integrado que se dan a los
10
usuarios, es el mismo para todosy no es reemplazado oportunamente por los usuarios.
Lo que ocasiona que se vulnere la confidencialidad de la información.
1.3. JUSTIFICACION:
11
1.4. FORMULACION DEL PROBLEMA:
1.5. HIPOTESIS:
1.6. OBJETIVOS:
Objetivo General
Optimizar la Gestión de los Procesos de Seguridad de Información en la Unidad de
Abastecimientos aplicando los Estándares ISO/IEC 27001,27002 y 27003.
Objetivos Específicos
Especificar Requisitos para establecer, implantar, mantener y mejorar la gestión
de procesos de Seguridad (ISO/IEC 27001).
Aplicar Controles para mantener los datos libres de modificaciones no
autorizadas (ISO/IEC 27002).
Implementarsistema de gestión de seguridad de información (ISO/IEC 27003).
Aumentar la seguridad de la información base a la gestión de procesos en vez
de en la compra sistemática de productos y tecnologías.
Establecer una metodología de gestión de la seguridad de la información clara y
estructurada, en la unidad de Abastecimientos de la Universidad Andina del
Cusco.
12
Permitir la continuidad de las operaciones necesarias de negocio tras incidentes
de gravedad.
Lograr el mejoramiento de la imagen institucional a nivel local, nacional e
internacional, estableciendo como elemento diferenciador la gestión de
seguridad de información.
Proponer un marco de confianza y de reglas claras para el personal de la
Unidad de Abastecimiento de la Universidad Andina del Cusco.
Capacitar y concientizar a todo el personal en lo relativo a la seguridad de la
información.
Posibilitar la integración con otros sistemas de gestión como pueden ser los ISO
9001, ISO 14001, OHSAS 18001L.
1.7. VARIABLES:
VARIABLE INDEPENDIENTE
VARIABLE DEPENDIENTE
13
1.8. METODOLOGIA DE LA TESIS
TIPO DE INVESTIGACION.
El Proyecto de Tesis Planteado implicara; la observación, manipulación, registro de las
variables (dependiente y independiente) que afectara el objeto de estudio, con el
objetivo de generalizar el conocimiento que se obtendrá para otro casos semejantes en la
Universidad Andina del Cusco por tanto la metodología que se plantea será la de;
“EXPERIMENTAL E INDUCTVO”
POBLACION Y MUESTRA.
UNIVERSO:
Universidad Andina del Cusco; Que constituye fundamentalmente dos Vicerrectorados
que a la vez están conformados por todas las Direcciones existentes, conjuntamente
que todas las Decanaturas al igual que los Centros de Producción y la Escuela de Post
Grado.
POBLACION:
Dirección General de Administración, se Constituye como Aparato de Administrativo
del Vice Rectorado Administrativo y de todas las dependencias Universitarias en
general.
MUESTRA:
Unidad de Abastecimientos; la encargada de brindar a la universidad andina del cusco
de bienes y servicios
14
15
2. MARCO TEORICO:
ISO
IEC
ISO/IEC
ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1
(ISO/IEC JointTechnicalCommittee). Este comité trata con todos los asuntos de
tecnología de la información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por
subcomités que tratan con un campo o área en particular. Específicamente el
subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías
de información. Dicho subcomité ha venido desarrollando una familia de Estándares
Internacionales para el Sistema Gestión y Seguridad de la Información. La familia
incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y
medición, y el lineamiento de implementación del sistema de gestión de seguridad de
la información. Esta familia adoptó el esquema de numeración utilizando las series del
número 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones
16
del ISO/IEC 17799 se encuentran bajo el esquema de numeración con el nombre
ISO/IEC 27002.
ISO/IEC 27000
ISO/IEC 27001
ISO/IEC 27002
17
ISO/IEC 27003
UML
Lenguaje Unificado de Modelado (LUM o UML, por sus siglas en inglés, Unified
Modeling Language) es el lenguaje de modelado de sistemas de software más
conocido y utilizado en la actualidad; está respaldado por el OMG (Object Management
Group). Es un lenguaje gráfico para visualizar, especificar, construir y documentar un
sistema. UML ofrece un estándar para describir un "plano" del sistema (modelo),
incluyendo aspectos conceptuales tales como procesos de negocio y funciones del
sistema, y aspectos concretos como expresiones de lenguajes de programación,
esquemas de bases de datos y componentes reutilizables.Es importante resaltar que
UML es un "lenguaje de modelado" para especificar o para describir métodos o
procesos. Se utiliza para definir un sistema, para detallar los artefactos en el sistema y
para documentar y construir. En otras palabras, es el lenguaje en el que está descrito
el modelo.
18
2.1 . ANTECEDENTES DE LA TESIS.
19
2.2 . BASES TEORICO CIENTÍFICAS.
Campo de aplicación
Reducción del riesgo de pérdida, robo o corrupción de información.
Los clientes tienen acceso a la información a través medidas de
seguridad.
Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratégicos por la garantía de calidad
yconfidencialidad comercial.
Las auditorías externas ayudan cíclicamente a identificar las debilidades
del sistemay las áreas a mejorar.
Continuidad de las operaciones necesarias de negocio tras incidentes
de gravedad.
Imagen de empresa a nivel regional y elemento diferenciador de la
competencia.
Confianza y reglas claras para las personas de la organización.
Reducción de costes y mejora de los procesos y servicio.
Aumento de la motivación y satisfacción del personal.
Aumento de la seguridad en base a la gestión de procesos en vez de en
la comprasistemática de productos y tecnologías.
Términos y definiciones
Breve descripción de los términos más usados en proyecto de Tesis.
SGSI.El concepto clave de un SGSI es para una organización del
diseño, implantación, mantenimiento de un conjunto de procesos para gestionar
eficientemente la accesibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de información
minimizando a la vez los riesgos de seguridad de la información.
20
OHSAS.La Seguridad y Salud en el lugar de trabajo son claves para
cualquier organización.Un Sistema de Gestión en Seguridad y Salud Laboral
(SGSSL) ayuda a proteger a la empresa y a sus empleados. OHSAS 18001 es
una especificación internacionalmente aceptada que define los requisitos para
el establecimiento, implantación y operación de un Sistema de Gestión en
Seguridad y Salud Laboral efectivo.
AUDITORIA INFORMATICA.La auditoría informática es un proceso
llevado a cabo por profesionales especialmente capacitados para el efecto, y
que consiste en recoger, agrupar y evaluar evidencias para determinar si un
sistema de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización,
utiliza eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas. Permiten detectar de forma sistemática el uso de los recursos y
los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de información eficientes.
USUARIO.Un usuario es un individuo que utiliza una computadora,
sistema operativo, servicio o cualquier sistema informático. Por lo general es
una única persona.
Un usuario generalmente se identifica frente al sistema o servicio utilizando
un nombre de usuario (nick) y a veces una contraseña, este tipo es llamado
usuario registrado. Por lo general un usuario se asocia a una única cuenta
de usuario, en cambio, una persona puede llegar a tener múltiples cuentas
en un mismo sistema o servicio (si eso está permitido).
COBIT.(Control Objectives Control Objectives for Information and related
Technology) es el marco aceptado internacionalmente como una buena práctica
para el control de la información, TI y los riesgos que conllevan. COBIT se
utiliza para implementar el gobierno de IT y mejorar los controles de IT.
Contiene objetivos de control, directivas de aseguramiento, medidas de
desempeño y resultados, factores críticos de éxito y modelos de madurez.
REGISTROS: Documentos que proporcionan evidencias de la
conformidad con los requisitos y del funcionamiento eficaz del SGSI.
21
REQUERIMIENTOS: (requirements en inglés). En ingeniería del
software y el desarrollo de sistemas, un requerimiento es una necesidad
documentada sobre el contenido, forma o funcionalidad de un producto o
servicio.Los requerimientos son declaraciones que identifican atributos,
capacidades, características y/o cualidades que necesita cumplir un sistema (o
un sistema de software) para que tenga valor y utilidad para el usuario. En otras
palabras, los requerimientos muestran qué elementos y funciones son
necesarias para un proyecto.
ACCESO: El cómo se accede al hardware o software para facilitar el uso
por parte de personas o usuarios.
NORMA: Según se describe en [bib-imcp], las normas de auditoría son
los requisitos mínimos de calidad relativos a la personalidad del auditor, al
trabajo que desempeña ya la información que rinde como resultado de este
trabajo. Las normas de auditoría se clasifican en:
22
técnica distintas. Así, los estándares se pueden clasificar en función de diversas
características. Las dos principales probablemente, de cara a las implicaciones
que tienen de cara a su uso son cómo de abiertos/cerrados y
permisivos/exclusivos son, y qué carácter legal tienen.
MONITOREO:Dentro de las organizaciones todos los procesos
necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto
a las necesidades de control, integridad y confidencialidad, este es
precisamente el ámbito de esta técnica.
Do:
Check:
23
Act:
Modificar Los procesos según las conclusiones del paso anterior para
alcanzar los objetivos con las especificaciones iniciales.
Documentar el proceso.
Política de Seguridad
Gestión de Activos
Órdenes de compra:
Ordenes de servicio.
24
Recursos Humanos
25
Recepcionar requerimientos de las diferentes oficinas de la UAC.
Facilita la apertura de sobres cerrados de cotizaciones.
Presentar cuadro comparativo y los actos de buena pro.
Llevar a cabo el control numerado del archivo de cotizaciones.
Clasificar según el caso de rubro de cotización.
Elaborar el cuadro comparativo.
Determinar el proveedor
SECRETARIA.
Organizar, coordinar las audiencias y reuniones de trabajo.
Realizar funciones de apoyo administrativo y secretarial.
Recepcionar y administrar documentos clasificados.
Mantener actualizado el archivo administrativo y técnico de la oficina.
Redactar documentos con criterio propio de acuerdoa indicaciones.
Revisión de los documentos que cuentan con los proveídos de
autorización correspondiente.
Devolución de documentos que no cuentan con los requisitos.
Generar reportes y controlar los compromisos presupuestales por
concepto de adquisición de bienes y servicios.
Realizar el despacho diario.
Mantener la existencia de las utilidades de la oficina.
Velar por la seguridad y conservación de los documentos.
26
Comunicaciones y Operaciones
U.ABASTECIMIENTOS
U.CONTABILIDAD U.ALMACEN
Jerarquía de accesos.
27
3. CONTENIDO TENTATIVO.
CARATULA.
DEDICATORIAS.
AGRADECIMIENTOS.
RESUMEN.
INDICES.
CAPITULO1: PLANTEMIENTO DEL PROBLEMA.
o IDENTIFICACION DEL PROBLEMA.
o JUSTIFICACION E IMPORTANCIA DEL PROBLEMA.
o LIMITACIONES DE LA INVESTIGACIÒN.
o OBEJTIVOS DE LA INVETIGACION.
OBJETIVO GENERAL.
OBJETIVO ESPECIFICO.
CAPITULO 2: MARCO TEORICO.
o ASPETOS TEORICOS.
o INVESTIGACIÒN ACTUAL.
o DEFINICION DE VARIABLES.
o HIPOTESIS.
CAPITULO 3: METODOLOGÍA.
o TIPO DE INVESTIGACION.
o DISEÑO DE LA INVESTIGACION.
o POBLACION Y MUESTRA.
DESCRIPCION DE LA POBLACION.
MUESTRA Y METODOS DE MUESTREO.
o INSTRUMENTOS.
o PROCEDIMIENTOS DE RECOLECCION DE DATOS.
o PROCEDIMIENTOS DE ANALISIS DE DATOS.
CAPITULO 4: RESULTADOS.
CAPITULO 5: DISCUSIÒN.
GLOSARIO.
COCLUSIONES.
RECOMENDACIONES.
28
REFERENCIAS Y ANEXOS.
29
5.PRESUPUESTOS.
30
REFERENCIAS
REFERENCIAS BIBLIOGRAFICAS.
31
“COMPENDIO. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN (SGSI).”
AUTOR(ES): ICONTEC EDITORIAL: ICONTEC (COLOMBIA)
“LA SEGURIDAD DE LA INFORMACIÓN”AUTORES: ENRIQUE DALTABUIT
GODÁS, LEOBARDO HERNÁNDEZ AUDELO, GUILLERMO MALLÉN
FULLERTON, JOSÉ DE JESÚS VÁZQUEZ GÓMEZ EDITORIAL: LIMUSA
(NORIEGA EDITORES - MÉXICO)
“AUDITORÍA DE TECNOLOGÍAS Y SISTEMAS DE
INFORMACIÓN”AUTORES: MARIO PIATTINI VELTHUIS EMILIO DEL PESO
NAVARRO MAR DEL PESO RUI EDITORIAL: ALFAOMEGA
REFERENCIAS WEB.
http://www.itu.int/ITU-T/studygroups/com17/tel-security.html..
http://www.itu.int/ITU-T/studygroups/com17/tel-security.html..
http://www.iso.org/iso/en/prods-services/ISOstore/store.html
http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp.
http://www.iso27000.es/download/ControlesISO27002-2005.pdf.
http://www.iso27000.es/otros_estandar.html.
http://www.itu.int/ITU-T/studygroups/com17/tel-security.html.
32
ANEXOS
33