PLAN DE TESIS

CUSCO 04/04/2011.

1
 UNIVERSIDAD ANDINA DEL
CUSCO
FACULTAD DE INGENIERIA
PROGRAMA ACADEMICO
PROFESIONAL DE INGENIERIA DE
SISTEMAS

“Aplicación de los Estándares ISO/IEC

27001,27002 y 27003 en la Gestión de los
Procesos de Seguridad de Información en la
Unidad de Abastecimientos de la UAC”

Tesista: Bach. Manuel Marroquín Zapata

Docente Asesor: Ing. LuisAlberto Sota Orellana

CUSCO, ABRIL DEL 2010

2
3
 INDICE

INTRODUCCIÓN………………………………………….. PAG 5

1. PLANTEAMIENTO DEL PROBLEMA…………….… PAG 6

1.1 AMBITO DE INFLUENCIA DE LA TESIS……… PAG 6

1.2 DESCRIPCION DE LA SITUACIÓN ACTUAL…. PAG 10

1.3 JUSTIFICACIÓN………………………………… PAG 11

1.4 FORMULACIÓN DEL PROBLEMA…………….. PAG 12

1.5 HIPOTESIS………………………………………... PAG 12

1.6 OBJETIVOS……………………………………….. PAG 12

1.7 VARIABLES………………………………………. PAG 13

1.8 METODOLOGIA DE LA TESIS…………………. PAG 14

1.9 MATRIZ DE CONSISTENCIA…………………… PAG 15

2. MARCO TEORICO DE LA TESIS…………………… PAG 16

2.1 ANTECEDENTES DE LA TESIS……………….. PAG 19

2.2 BASES TEORICO CIENTIFICAS………………. PAG 20

3. CONTENIDO TENTATIVO…………………………… PAG 28

4. PLAN DE ACTIVIDADES…………………………….. PAG 29

5. RECURSOS Y PRESUPUESTO…………………….. PAG 30

REFERENCIAS…………………………………………….. PAG 31

ANEXOS…………………………………………………..… PAG 33

4
 INTRODUCCION
La Información es un Activo vital para el éxito y la continuidad en el mercado de
cualquier organización. El aseguramiento de dicha información y de los Sistemas que
la procesan es, por tanto, un objetivo de primer nivel para la Organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un
sistema que aborde esta tarea de una forma metódica, documentada y basada en unos
objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida
la información de la organización.
En la actualidad la Unidad Neurálgica de la Dirección General de Administración de la
Universidad Andina del Cusco es la Unidad de Abastecimientos,por que provee de
bienes y servicios a todas las dependencias Académicas y Administrativas de la
Universidad Andina del Cusco (UAC), en todos sus requerimientos anuales planteados
en el Plan Operativo Institucional (POI); cuyas funciones específicas son las
Ejecuciones Parciales, Inclusiones, Exclusiones y Modificaciones.Para ejecutar todas
estas funciones esta unidad se relaciona directamente con la Dirección General de
Administración (DIGA), VicerrectoradoAdministrativo (VRAD) y la Dirección de
Planificación (DIPLA).Así mismo se puede mencionar que esta unidad genera
información a la Unidad de Contabilidad, Unidad de Tesorería,Almacén, Unidad de
Patrimonio y a la Dirección de Recursos Humanos, para que estas a su vez realicen
directamente sus funciones.
La ejecución de un ítem del Operativo Institucional (POI) puede demorarse mínimo en
un plazo de tres semanas y media en algunos otros casos la demora es de más de un
año; debido a que existen procesos que se duplican y redundan en información por el
uso del nuevo sistema integrado en paralelo con el software de cada unidad, la falta de
manuales adecuados para el uso del nuevo sistema integrado y sobre todo que el
Manual de Organización y Funciones (MOF) ha quedado desfasado por qué no se
ajusta al nuevo sistema integrado.
Actualmente se cuenta con Estándares Internacionales muy bien aceptados, que
proporcionan mecanismos de seguridad que han sido estudiados detenidamente y que
se han puesto a prueba, concluyendo en que los resultados que ofrecen son los
ideales y que deberían ser implementados por todas las Organizaciones.Para lo cual
este Proyecto de Tesis plantea la aplicación de Los Estándares ISO/IEC 27001,27002
y 27003 el cual optimizaría la gestión de los procesos de seguridad de lainformación en

5
todos los procesos que se llevan a cabo en la Unidad de Abastecimientos de la
Universidad Andina del Cusco.
Este Proyecto de Tesis plantea una Metodología Experimentalya que se pretende
aplicar los ISOS 27001, 27002 y 27003 con el objetivo de optimizar la gestión de los
procesos de seguridad de información en la Unidad de Abastecimientos con un
enfoque inductivo.

1. PLANTEAMIENTO DEL PROBLEMA:

1.1. AMBITO DE INFLUENCIA DE TESIS:

La Universidad Andina del Cusco es una Institución Educativa que imparte Educación
Superior, enfocada a la Generación de Conocimiento y Tecnología y a la formación de
Profesionales para atender las demandas de la Sociedad se constituye como una
Universidad sin fines de lucro se encuentra ubicada en el Distrito de san Jerónimo,
Provincia del Cusco, Región del Cusco.El ámbito de influencia de la presente tesis
abarca la Dirección General de Administración (DIGA) yestrictamente en la Unidad de
Abastecimientos de la Universidad Andina del Cusco.
La Unidad de Abastecimientos se encuentra ubicada dentro de la estructura
organizacional de la UAC dependiente de la Dirección General de Administracióny se
relaciona con otras unidades al mismo nivel como (Tesorería, Contabilidad, Almacén y
Patrimonio), como se ve en la Fig. 1; actualmente su ubicación física de las oficinas de
la Unidad de Abastecimiento están en el sótano del Auditorio principal de la
Universidad Andina del Cusco.

6
 ORGANIGRAMA DE LA UNIVERSIDAD ANDINA DEL CUSCO

Fig. 1 Fuente: Dirección De Planificación

7
La Unidad de Abastecimientos es responsable del Abastecimiento de los Bienes y
Servicios a todas la dependencias tanto Académicas como Administrativas de la UAC.
En todos sus requerimientos anuales planteados en el Plan Operativo Institucional
(POI). Sus funciones son:
 Controlar y ejecutar los Procesos de compra de bienes y servicios.
 Ejecuciones Parciales de las órdenes de compra de bienes y servicios.
 Inclusiones de órdenes de compra de bienes y servicios.
 Ampliaciones de órdenes de compra de bienes y servicios.
 Exclusiones de órdenes de compra de bienes y servicios.
 Modificaciones de órdenes de compra de bienes y servicios. Etc.

Esta Unidad se encuentra dentro de la Dirección General de Administración,la cual se

relaciona directamente con el Vicerrectorado Administrativo (VRAD), La dirección de
Planificación (DIPLA) y la Dirección de Recursos Humanos (DDRRHH) como se ve en
la fig. 2
DIAGRAMA DE PAQUETES DEL DIGA

VRAD

DIGA DIPLA

DDRRHH
Fig. 2 Fuente: Manual De Organización Y Funciones

8
Dentro de la Dirección General de Administración, la Unidad de Abastecimientos se
encuentra Interrelacionada con las siguientes dependencias:
 Unidad de Contabilidad.
 Unidad de Tesorería.
 Almacén.
 Unidad de Patrimonio. Ver (Fig. 3):

DIAGRAMA DE PAQUETES DEL DIGA

ALMACEN

Fig. 3Fuente: Manual De Organización Y Funciones

9
La información que se genera en esta Unidad es de vital importancia ya que las demás
dependencias realizan sus operaciones a partir de dicha información, por tal motivo se
considera necesaria la optimización de la gestión de procesos de seguridad de
información en la Unidad de Abastecimientos.

Cabe mencionar que la aplicación de los estándares ISO 27001, 27002 y 27003 en la
Unidad de Abastecimientos, estará bajo la responsabilidad de la Dirección
Telecomunicaciones y Tecnologías de la Información (DTTI), debido a que está dentro
de sus responsabilidades velar por la seguridad de la información.

1.2. DESCRIPCION DE LA SITUACIÓN ACTUAL:

La Universidad Andina del Cusco viene atravesando un cambio sustancial en cuanto a

gestión de Información se refiere, pues se ha implantado el Sistema Integrado que
relaciona aspectos Académicos y Administrativos de la universidad. De acuerdo a la
investigación preliminar hecha en las dependencias de la Dirección General de
Administración se ha podido observar que actualmente los procesos de dichas
dependencias se desarrollan paralelamente en dos y hasta tres sistemas al mismo
tiempo (Sistema Integrado, SOP, SIAPA, PRINT y DYNAMICS), lo que ocasiona que la
ejecución de un ítem del (Plan Operativo Institucional) POI se demore mínimo tres
semanas y media,y,en algunos casos la demora es de más de un año, por tal motivo
no existe la disponibilidad necesaria de la información .

Así mismo se podido observar que en la Unidad de Abastecimientos existen procesos

que se ejecutan en más de un sistema, por ejemplo el proceso de ejecuciones
parciales de órdenes de compra se ejecuta en los sistemas (SOP, DYNAMICS y
PRINT), esta ejecución de los procesosen sistemas diferentes ocasiona que exista alto
grado de desconfianza en la integridad de la información.

Además que las políticas de seguridad del nuevo sistema integrado no están
claramente definidas, ya que no existen privilegios necesarios para ciertos usuarios y
en otros casos los privilegios son a nivel de administrador. Por ejemplo la asignación
de los paswords iniciales para el acceso al sistema integrado que se dan a los

10
usuarios, es el mismo para todosy no es reemplazado oportunamente por los usuarios.
Lo que ocasiona que se vulnere la confidencialidad de la información.

Entre otros problemas identificados se pueden mencionar que:

 Existe duplicidad de procesos en la Dirección de Planificación (DIPLA),

Vicerrectorado Administrativo(VRAD) y Dirección General de
Administración(DIGA), lo que genera redundancia de información en estas
dependencias.
 El crecimiento de la Universidad, la implantación del sistema integrado, la
exclusión de dependencias e inclusión de nuevas dependencias, ha generado
el desfase del Manual de Organización y Funciones (MOF) originando en
parte los problemas anteriormente descritos.

1.3. JUSTIFICACION:

Debido a la importancia que tiene la información como recurso estratégico de las

organizaciones. Se necesita garantizar la Gestión de los procesos de Seguridad de
Información, ya que una Organización como la Universidad Andina del Cusco que está
estrechamente ligado a las tecnologías de la información, necesita mejorar sus
procesos y garantizar las seguridad necesaria de los mismos, para esto, este Proyecto
de Tesis pretende aplicar Estándares ISO/IEC 27001,27002 y 27003; los cuales
proveen –herramienta que especifican los requisitos necesarios para establecer,
implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la
Información,describen
Información, los objetivos de control y controles recomendables en cuanto a
seguridad de la información y diseña e implementa un Sistema de Gestión de
Seguridad de la Información-, para optimizar los procesos de gestión de seguridad de
información en la Unidad de Abastecimientos de la Universidad Andina del Cusco.

Por ello se justifica que la aplicación de Normas Internacionales es totalmente

necesaria para cualquier organización que tenga que ver de alguna forma con
aspectos relacionados a tecnologías de información.

11
1.4. FORMULACION DEL PROBLEMA:

Antes de Optimizar la gestión de los Procesos de seguridad en la Unidad de

Abastecimientos de la UAC, se plantea la siguiente pregunta.
¿De qué manera la Aplicación de las Normas ISO/IEC 27001, 27002 y 27003
afectaranen la Gestión de los Procesos de Seguridad de Información en la Unidad de
Abastecimientos de la Universidad Andina del Cusco?

1.5. HIPOTESIS:

“La Aplicación de las Normas ISO/IEC 27001,27002 y 27003Optimizaran la

Gestión de los Procesos de Seguridad de Información en la Unidad de
Abastecimientos de la Universidad Andina del Cusco”

1.6. OBJETIVOS:

Objetivo General
Optimizar la Gestión de los Procesos de Seguridad de Información en la Unidad de
Abastecimientos aplicando los Estándares ISO/IEC 27001,27002 y 27003.

Objetivos Específicos
 Especificar Requisitos para establecer, implantar, mantener y mejorar la gestión
de procesos de Seguridad (ISO/IEC 27001).
 Aplicar Controles para mantener los datos libres de modificaciones no
autorizadas (ISO/IEC 27002).
 Implementarsistema de gestión de seguridad de información (ISO/IEC 27003).
 Aumentar la seguridad de la información base a la gestión de procesos en vez
de en la compra sistemática de productos y tecnologías.
 Establecer una metodología de gestión de la seguridad de la información clara y
estructurada, en la unidad de Abastecimientos de la Universidad Andina del
Cusco.

12
  Permitir la continuidad de las operaciones necesarias de negocio tras incidentes
de gravedad.
 Lograr el mejoramiento de la imagen institucional a nivel local, nacional e
internacional, estableciendo como elemento diferenciador la gestión de
seguridad de información.
 Proponer un marco de confianza y de reglas claras para el personal de la
Unidad de Abastecimiento de la Universidad Andina del Cusco.
 Capacitar y concientizar a todo el personal en lo relativo a la seguridad de la
información.
 Posibilitar la integración con otros sistemas de gestión como pueden ser los ISO
9001, ISO 14001, OHSAS 18001L.

1.7. VARIABLES:

VARIABLE INDEPENDIENTE

“La Aplicación de las Normas ISO/IEC 27001,27002 y 27003Optimizara….”

 Normas ISO/IEC 27001,27002 y 27003.

VARIABLE DEPENDIENTE

“……la Gestión de los Procesos de Seguridad de Información en la Unidad de

Abastecimientos de la Universidad Andina del Cusco en el Período”

 Gestión de los Procesos de Seguridad de Información.

13
1.8. METODOLOGIA DE LA TESIS

TIPO DE INVESTIGACION.
El Proyecto de Tesis Planteado implicara; la observación, manipulación, registro de las
variables (dependiente y independiente) que afectara el objeto de estudio, con el
objetivo de generalizar el conocimiento que se obtendrá para otro casos semejantes en la
Universidad Andina del Cusco por tanto la metodología que se plantea será la de;

“EXPERIMENTAL E INDUCTVO”

Sujeta además en la aplicación de la metodología PDCA del ISO/IEC 27000 y al uso

delUML como estándar para el Modelamiento de los artefactos.

POBLACION Y MUESTRA.

UNIVERSO:
Universidad Andina del Cusco; Que constituye fundamentalmente dos Vicerrectorados
que a la vez están conformados por todas las Direcciones existentes, conjuntamente
que todas las Decanaturas al igual que los Centros de Producción y la Escuela de Post
Grado.
POBLACION:
Dirección General de Administración, se Constituye como Aparato de Administrativo
del Vice Rectorado Administrativo y de todas las dependencias Universitarias en
general.
MUESTRA:
Unidad de Abastecimientos; la encargada de brindar a la universidad andina del cusco
de bienes y servicios

14
15
 2. MARCO TEORICO:

ISO

Es el acrónimo de International Organization for Standardization. Aunque si se

observan las iníciales para el acrónimo, el nombre debería ser IOS, los fundadores
decidieron que fuera ISO, derivado del griego " isos", que significa "igual". Por lo tanto,
en cualquier país o en cualquier idioma, el nombre de la institución es ISO, y no cambia
de acuerdo a la traducción de "International Organization for Standardization" que
corresponda a cada idioma. Se trata de la organización desarrolladora y publicadora de
Estándares Internacionales más grande en el mundo. ISO es una red de instituciones
de estándares nacionales de 157 países, donde hay un miembro por país, con una
Secretaría Central en Geneva, Suiza, que es la que coordina el sistema.

IEC

Es el acrónimo de International ElectrotechnicalCommission. Esta es una organización

sin fines de lucro y también no gubernamental. Se ocupa de preparar y publicar
estándares internacionales para todas las tecnologías eléctricas o relacionadas a la
electrónica

ISO/IEC

ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1
(ISO/IEC JointTechnicalCommittee). Este comité trata con todos los asuntos de
tecnología de la información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por
subcomités que tratan con un campo o área en particular. Específicamente el
subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías
de información. Dicho subcomité ha venido desarrollando una familia de Estándares
Internacionales para el Sistema Gestión y Seguridad de la Información. La familia
incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y
medición, y el lineamiento de implementación del sistema de gestión de seguridad de
la información. Esta familia adoptó el esquema de numeración utilizando las series del
número 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones

16
del ISO/IEC 17799 se encuentran bajo el esquema de numeración con el nombre
ISO/IEC 27002.

ISO/IEC 27000

Es un conjunto de estándares desarrollados -o en fase de desarrollo por ISO

(International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridadde la información
utilizable por cualquier tipo de organización, pública o privada,grande o pequeña.

ISO/IEC 27001

El estándar para la seguridad de la información ISO/IEC 27001 (Information technology

- Security techniques–Information security management systems - Requirements) fue
aprobado y publicado como estándar internacional en octubre de 2005 por International
Organization for Standardization y por la comisión International Electrotechnical
Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo
de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar,
Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual
ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la
entidad de normalización británica, la British Standards Institution (BSI).

ISO/IEC 27002

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005.Manteniendo

2005 como año de edición. Es una guía de buenas prácticas quedescribe los objetivos
de control y controles recomendables en cuanto a seguridadde la información. No es
certificable. Contiene 39 objetivos de control y 133 controles,agrupados en 11
dominios.

17
ISO/IEC 27003

ISO/IEC 27003:2010 se centra en los aspectos críticos necesarios para el éxito en el

diseño e implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI) de acuerdo con la norma ISO/IEC 27001:2005.
Se describe el proceso de especificación del SGSI y el diseño desde el inicio hasta la
elaboración de planes de ejecución. En él se describe el proceso para obtener la
aprobación de la Dirección para implementar un SGSI, se define un proyecto para
implementar un SGSI (denominado en la norma ISO/IEC 27003:2010 como el proyecto
de SGSI), y da pautas sobre cómo planificar el proyecto del SGSI, resultando un
proyecto final de ejecución del plan.

UML

Lenguaje Unificado de Modelado (LUM o UML, por sus siglas en inglés, Unified
Modeling Language) es el lenguaje de modelado de sistemas de software más
conocido y utilizado en la actualidad; está respaldado por el OMG (Object Management
Group). Es un lenguaje gráfico para visualizar, especificar, construir y documentar un
sistema. UML ofrece un estándar para describir un "plano" del sistema (modelo),
incluyendo aspectos conceptuales tales como procesos de negocio y funciones del
sistema, y aspectos concretos como expresiones de lenguajes de programación,
esquemas de bases de datos y componentes reutilizables.Es importante resaltar que
UML es un "lenguaje de modelado" para especificar o para describir métodos o
procesos. Se utiliza para definir un sistema, para detallar los artefactos en el sistema y
para documentar y construir. En otras palabras, es el lenguaje en el que está descrito
el modelo.

18
2.1 . ANTECEDENTES DE LA TESIS.

 “TÉCNICAS Y PRODUCCIÓN DE SISTEMAS” Catedrático Ing. Carlos Orellana

Universidad católica de El Salvador Facultad de ingeniería.
 “CÓMO REALIZAR UN PLAN ESTRATÉGICO PARA PARA SGSI EN LA
ASDE” Universidad de San Carlos de Guatemala Facultad de Ingeniería
Escuela de Ingeniería en Ciencias y Sistemas José Arnulfo Roldán Caracún
Asesorado por el Ingeniero Saúl Alberto Pereira Puac.
 “COMO IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE
INFORMACIÓN ISO 27001:2005”Alberto G. Alexander PhD. Administración,
Universidad de Lima.
 “GUÍA PARA LA ELABORACIÓN DEL MARCO NORMATIVO DE UN SISTEMA
DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)”29 de
noviembre de 2007 Autor(es) Firma-e, Javier Cao Avellaneda Universidad de
Queretaro Mexico.
 “GUÍA DE APLICACIÓN DE LANORMA UNE-ISO/IEC 27001SOBRE
SEGURIDAD ENSISTEMAS DE INFORMACIÓNPARA PYMES” Autores: Ana
Andrés y Luis Gómez© AENOR (Asociación Española de Normalización y
Certificación), 2009.
 “MANUAL DENORMAS Y POLÍTICAS DE
SEGURIDADINFORMÁTICA”Departamento De PosgradoMaestría En Gestión
De Tecnologías De La Información Proyecto FinalIso 27000 (Políticas De
Control De Accesos)Estudiantes: Carlos Gutiérrez Soria, Carlos J. Liceaga
Rosas, Esteban Baker Thomas, Ramiro Aguilar García México de 2009.
 “MANUAL DE SEGURIDAD DE LA INFORMACIÓN”InstitutoColombiano De
Crédito Educativo Y Estudios Técnicos En El Exterior.
 “PLAN DE GESTIÓN DE SERVICIOS TI” .Vicerrectorado de las Tecnologías de
la Comunicación Universidad de Sevilla España

19
2.2 . BASES TEORICO CIENTÍFICAS.

Campo de aplicación
 Reducción del riesgo de pérdida, robo o corrupción de información.
 Los clientes tienen acceso a la información a través medidas de
seguridad.
 Los riesgos y sus controles son continuamente revisados.
 Confianza de clientes y socios estratégicos por la garantía de calidad
yconfidencialidad comercial.
 Las auditorías externas ayudan cíclicamente a identificar las debilidades
del sistemay las áreas a mejorar.
 Continuidad de las operaciones necesarias de negocio tras incidentes
de gravedad.
 Imagen de empresa a nivel regional y elemento diferenciador de la
competencia.
 Confianza y reglas claras para las personas de la organización.
 Reducción de costes y mejora de los procesos y servicio.
 Aumento de la motivación y satisfacción del personal.
 Aumento de la seguridad en base a la gestión de procesos en vez de en
la comprasistemática de productos y tecnologías.

Términos y definiciones
Breve descripción de los términos más usados en proyecto de Tesis.
 SGSI.El concepto clave de un SGSI es para una organización del
diseño, implantación, mantenimiento de un conjunto de procesos para gestionar
eficientemente la accesibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de información
minimizando a la vez los riesgos de seguridad de la información.

 ITEM.en ingles significa artículo, y el uso de esta palabra es muy similar

al español, definido para nuestro estudio como la ejecución de una Orden de
compra de un bien o un servicio.

20
 OHSAS.La Seguridad y Salud en el lugar de trabajo son claves para
cualquier organización.Un Sistema de Gestión en Seguridad y Salud Laboral
(SGSSL) ayuda a proteger a la empresa y a sus empleados. OHSAS 18001 es
una especificación internacionalmente aceptada que define los requisitos para
el establecimiento, implantación y operación de un Sistema de Gestión en
Seguridad y Salud Laboral efectivo.
 AUDITORIA INFORMATICA.La auditoría informática es un proceso
llevado a cabo por profesionales especialmente capacitados para el efecto, y
que consiste en recoger, agrupar y evaluar evidencias para determinar si un
sistema de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización,
utiliza eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas. Permiten detectar de forma sistemática el uso de los recursos y
los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de información eficientes.
 USUARIO.Un usuario es un individuo que utiliza una computadora,
sistema operativo, servicio o cualquier sistema informático. Por lo general es
una única persona.
Un usuario generalmente se identifica frente al sistema o servicio utilizando
un nombre de usuario (nick) y a veces una contraseña, este tipo es llamado
usuario registrado. Por lo general un usuario se asocia a una única cuenta
de usuario, en cambio, una persona puede llegar a tener múltiples cuentas
en un mismo sistema o servicio (si eso está permitido).
 COBIT.(Control Objectives Control Objectives for Information and related
Technology) es el marco aceptado internacionalmente como una buena práctica
para el control de la información, TI y los riesgos que conllevan. COBIT se
utiliza para implementar el gobierno de IT y mejorar los controles de IT.
Contiene objetivos de control, directivas de aseguramiento, medidas de
desempeño y resultados, factores críticos de éxito y modelos de madurez.
 REGISTROS: Documentos que proporcionan evidencias de la
conformidad con los requisitos y del funcionamiento eficaz del SGSI.

21
 REQUERIMIENTOS: (requirements en inglés). En ingeniería del
software y el desarrollo de sistemas, un requerimiento es una necesidad
documentada sobre el contenido, forma o funcionalidad de un producto o
servicio.Los requerimientos son declaraciones que identifican atributos,
capacidades, características y/o cualidades que necesita cumplir un sistema (o
un sistema de software) para que tenga valor y utilidad para el usuario. En otras
palabras, los requerimientos muestran qué elementos y funciones son
necesarias para un proyecto.
 ACCESO: El cómo se accede al hardware o software para facilitar el uso
por parte de personas o usuarios.
 NORMA: Según se describe en [bib-imcp], las normas de auditoría son
los requisitos mínimos de calidad relativos a la personalidad del auditor, al
trabajo que desempeña ya la información que rinde como resultado de este
trabajo. Las normas de auditoría se clasifican en:

o Normas personales: Son cualidades que el auditor debe tener para

ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales
así como en un entrenamiento técnico, que le permita ser imparcial a la hora de
dar sus sugerencias.
o Normas de ejecución del trabajo: Son la planificación de los métodos y
procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.
o Normas de información: Son el resultado que el auditor debe entregar a
los interesados para que se den cuenta de su trabajo, también es conocido
como informe o dictamen.

 TECNICA:Se define a la técnica como “los métodos prácticos de

investigación y prueba que utiliza el auditor para obtener la evidencia necesaria
que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio
o juicio, según las circunstancias.
 ESTANDARES:Son herramientas base de la interoperabilidad
informática. Son los que han permitido definir cómo interactuaran los miles o
millones de componentes informáticos que existen. Sin embargo, estándares
existen de muchos tipos y según de cuál de ellos se esté hablando, se estarán
garantizando unas funcionalidades y unas capacidades de interoperabilidad

22
 técnica distintas. Así, los estándares se pueden clasificar en función de diversas
características. Las dos principales probablemente, de cara a las implicaciones
que tienen de cara a su uso son cómo de abiertos/cerrados y
permisivos/exclusivos son, y qué carácter legal tienen.
 MONITOREO:Dentro de las organizaciones todos los procesos
necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto
a las necesidades de control, integridad y confidencialidad, este es
precisamente el ámbito de esta técnica.

Estructura del estándar

Descripción de la estructura de la norma.
Plan (Planificar), Do (hacer), Check(Controlar), Act(Acción), la cual es una
estrategia de mejora continua en cuatro pasos.
Plan:
 Identificar el Proceso a mejorar.
 Recopilar Datos para profundizar en el conocimiento del proceso.
 Análisis e Interpretación de datos.
 Establecer los Objetivos de mejora.
 Detallar las Especificaciones a imponer a los resultados esperados.
 Definir los Procesos necesarios para conseguir estos Objetivos, verificando
las especificaciones.

Do:

 Ejecutar los procesos definidos en el paso anterior.

 Documentar las Acciones Realizadas.

Check:

 Pasado un período de Tiempo, volver a Recopilar datos de control y

analizarlos comparándolos con los objetivos y especificaciones iniciales,
para evaluar si se ha producido la mejora esperada.
 Documentar Conclusiones.

23
Act:

 Modificar Los procesos según las conclusiones del paso anterior para
alcanzar los objetivos con las especificaciones iniciales.
 Documentar el proceso.

Evaluación y tratamiento del riesgo

Indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la

información.

Política de Seguridad

Documento de política de seguridad y su gestión. Referencia de recursos

humanos.

Gestión de Activos

Responsabilidad sobre los activos; clasificación de la información.

 Órdenes de compra:

Una orden de compra es una solicitud escrita a un proveedor, por

determinados artículos a un precio convenido. La solicitud también
especifica los términos de pago y de entrega.

 Ordenes de servicio.

Acuerdo puntual entre el prestatario de los servicios y el receptor de los

servicios, mediante el cual el receptor de los servicios solicita servicios
esporádicos y la facturación relativa a los recursos se efectúa al terminar el
servicio.

24
Recursos Humanos

El actor y sus funciones.

JEFE DE UNIDAD.
 Programar, ejecutar y controlar el Abastecimiento de bienes y servicios
de la UAC.
 Supervisar actividades de programación, adquisición, abastecimiento y
distribución de bienes.
 Elaborar cuadro de necesidades de bienes y servicios para el
presupuesto anual.
 Formular el calendario de adquisiones.
 Programas la adquisión de los materiales de consumo continuo de la
UAC.
 Controlar el proceso de compra de bienes y servicios.
ESPECIALISTA ADMINISTRATIVO.
 Generar y emitir órdenes de compra mediante el sistema de
abastecimiento (tramitar ordenes de acuerdo a sus modalidades).
 Remitir el expediente a DIGA con la firma del jefe de la unidad con el
cuadro comparativo de precios.
 Entregar el expediente a la unidad de contabilidad.
 Actualizar el sistema de suministros de las especificaciones técnicas del
suministro usado por la UAC.
 Realizar compras según requerimientos de los diferentes unidades.
 Generar ordenes de compra, según sus necesidades y sus
modalidades.
 Generar ordenes de compra por los servicios recibidos por la UAC.
TECNICO DE IMPRESIONES.
 Realizar los trabajos impresos requeridos.
 Realizar pruebas de impresión y calidad de trabajos realizados.
 Preveer el mantenimiento de los equipos.
 Realizar pedidos de los materiales de impresión.
 Calcular presupuestos de trabajo que realiza la imprenta.
COTIZADOR.

25
  Recepcionar requerimientos de las diferentes oficinas de la UAC.
 Facilita la apertura de sobres cerrados de cotizaciones.
 Presentar cuadro comparativo y los actos de buena pro.
 Llevar a cabo el control numerado del archivo de cotizaciones.
 Clasificar según el caso de rubro de cotización.
 Elaborar el cuadro comparativo.
 Determinar el proveedor

SECRETARIA.
 Organizar, coordinar las audiencias y reuniones de trabajo.
 Realizar funciones de apoyo administrativo y secretarial.
 Recepcionar y administrar documentos clasificados.
 Mantener actualizado el archivo administrativo y técnico de la oficina.
 Redactar documentos con criterio propio de acuerdoa indicaciones.
 Revisión de los documentos que cuentan con los proveídos de
autorización correspondiente.
 Devolución de documentos que no cuentan con los requisitos.
 Generar reportes y controlar los compromisos presupuestales por
concepto de adquisición de bienes y servicios.
 Realizar el despacho diario.
 Mantener la existencia de las utilidades de la oficina.
 Velar por la seguridad y conservación de los documentos.

26
 Comunicaciones y Operaciones

Descripción de comunicaciones, las operaciones que realizan, procesos como

las demás unidades manejan esa información. Fig. 4

U.ABASTECIMIENTOS

U.PATRIMONIO SISTEMA U.TESORERIA

INTEGRADO

U.CONTABILIDAD U.ALMACEN

Fig.4 Fuente Dynamics

Jerarquía de accesos.

Requisitos de negocio para el control de accesos; gestión de acceso de usuario;

responsabilidades del usuario; control de acceso en red; control de acceso al
sistema operativo; control de acceso a las aplicaciones e informaciones;
informática y conexión móvil.

27
 3. CONTENIDO TENTATIVO.
 CARATULA.
 DEDICATORIAS.
 AGRADECIMIENTOS.
 RESUMEN.
 INDICES.
 CAPITULO1: PLANTEMIENTO DEL PROBLEMA.
o IDENTIFICACION DEL PROBLEMA.
o JUSTIFICACION E IMPORTANCIA DEL PROBLEMA.
o LIMITACIONES DE LA INVESTIGACIÒN.
o OBEJTIVOS DE LA INVETIGACION.
 OBJETIVO GENERAL.
 OBJETIVO ESPECIFICO.
 CAPITULO 2: MARCO TEORICO.
o ASPETOS TEORICOS.
o INVESTIGACIÒN ACTUAL.
o DEFINICION DE VARIABLES.
o HIPOTESIS.
 CAPITULO 3: METODOLOGÍA.
o TIPO DE INVESTIGACION.
o DISEÑO DE LA INVESTIGACION.
o POBLACION Y MUESTRA.
 DESCRIPCION DE LA POBLACION.
 MUESTRA Y METODOS DE MUESTREO.
o INSTRUMENTOS.
o PROCEDIMIENTOS DE RECOLECCION DE DATOS.
o PROCEDIMIENTOS DE ANALISIS DE DATOS.
 CAPITULO 4: RESULTADOS.
 CAPITULO 5: DISCUSIÒN.
 GLOSARIO.
 COCLUSIONES.
 RECOMENDACIONES.

28
 REFERENCIAS Y ANEXOS.

29
 5.PRESUPUESTOS.

TIPO CANTIDAD PRECIO

LIBROS 6 S/. 380.00

DOCUMENTACION ******** S/. 300.00

ARTICULOS DE ESCRITORIO ******** S/. 150.00

IMPRESIONES ******** S/. 500.00

EMPASTADOS ******** S/. 500.00

MOBILIDAD ******** S/.150.00

CONTINGENCIAS ******** S/. 200.00

TOTAL S/. 2180.00
Financiación Directa.

30
 REFERENCIAS

REFERENCIAS BIBLIOGRAFICAS.

 “DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE

INFORMACIÓN. ÓPTICA SO 27001:2005” ALBERTO G. ALEXANDER
 “ISO/IEC 20000. GUIA COMPLETA DE APLICACION PARA LA GESTION DE
LOS SERVICIOS DE TECNOLOGIAS DE LA INFORMACION”MORAN ABAD,
LUIS AENOR. ASOCIACION ESPAÑOLA DE NORMALIZACION Y
CERTIFICACION 2010
 “GUIA APLICACION NORMA UNE-ISO/IEC 27001 SOBRE SEGURIDAD EN
SISTEMAS” ANDRES,ANA
 “SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)”
COMPENDIO AUTOR: ICONTEC EDITORIAL: INSTITUTO COLOMBIANO DE
NORMAS TÉCNICAS Y CERTIFICACIÓN, ICONTEC.
 “NTC-ISO/IEC 27001. TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE
SEGURIDAD. SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN (SGSI). REQUISITOS.”AUTORES: VARIOS AUTORES
COMITÉ: TÉCNICAS DE SEGURIDAD EN TECNOLOGÍAS DE LA
INFORMACIÓN
EDITORIAL: INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y
CERTIFICACIÓN, ICONTEC.
 “ADMINISTRACIÓN AVANZADA DE SISTEMAS INFORMÁTICOS”AUTORES:
JULIO GÓMEZ LÓPEZ, FRANCISCO GIL MONTOYA, EUGENIO VILLAR
FERNÁNDEZ Y FRANCISCO MÉNDEZ CIRERA EDITORIAL: ALFAOMEGA
GRUPO EDITOR, S.A. DE C.V. (MÉXICO, D.F.)
RA-MA
 ANÁLISIS Y DISEÑO DETALLADO DE APLICACIONES INFORMÁTICAS DE
GESTIÓN
AUTORES: MARIO G. PIATTINI VELTHUIS JOSÑE CALVO - MANZANO
VILLALÓN JOAQUÍN EDITORIAL: RA-MA (MADRID, ESPAÑA)

31
  “COMPENDIO. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN (SGSI).”
AUTOR(ES): ICONTEC EDITORIAL: ICONTEC (COLOMBIA)
 “LA SEGURIDAD DE LA INFORMACIÓN”AUTORES: ENRIQUE DALTABUIT
GODÁS, LEOBARDO HERNÁNDEZ AUDELO, GUILLERMO MALLÉN
FULLERTON, JOSÉ DE JESÚS VÁZQUEZ GÓMEZ EDITORIAL: LIMUSA
(NORIEGA EDITORES - MÉXICO)
 “AUDITORÍA DE TECNOLOGÍAS Y SISTEMAS DE
INFORMACIÓN”AUTORES: MARIO PIATTINI VELTHUIS EMILIO DEL PESO
NAVARRO MAR DEL PESO RUI EDITORIAL: ALFAOMEGA

REFERENCIAS WEB.

 http://www.itu.int/ITU-T/studygroups/com17/tel-security.html..
 http://www.itu.int/ITU-T/studygroups/com17/tel-security.html..

 http://www.iso.org/iso/en/prods-services/ISOstore/store.html

 http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp.

 http://www.iso27000.es/download/ControlesISO27002-2005.pdf.

 http://www.iso27000.es/otros_estandar.html.
 http://www.itu.int/ITU-T/studygroups/com17/tel-security.html.

32
ANEXOS

33