UNIVERSIDAD ANDINA DEL CUSCO

FACULTAD DE INGENIERIA
CARRERA PROFESIONAL DE INGENIERIA DE SISTEMAS

PROPUESTA DE ACTIVIDADES DE LA CLAUSULA 10:

GESTION DE OPERACIONES Y COMUNICACIONES SEGN
LA NTP ISO/IEC 17799:2007 CDIGO DE BUENAS
PRCTICAS PARA LA GESTION DE LA SEGURIDAD DE LA
INFORMACIN.

CURSO:

Auditoria, Seguridad y Control de Sistemas

DOCENTE:

Ing. Emilio Palomino Olivera

ALUMNOS:

Reyna Lovon Corazao.

Claudia Miranda Mondragon.
Indalicia Llamocca Quispe.
Edward Angeles Ramires.
Efrain Obada Delgado.

007200605H
010100255J
000881329E
000038734B
000042389D

Cusco, Octubre de 2014

INDICE
INTRODUCCIN....................................................................................3
1 ASPECTOS GENERALES......................................................................4
1.1

PLANTEAMIENTO DEL PROBLEMA.............................................4

1.2

FORMULACION DEL PROBLEMA.................................................5

1.3

HIPOTESIS.................................................................................5

1.4

OBJETIVOS.................................................................................5

1.4.1

OBJETIVOS GENERALES.......................................................5

1.4.2

OBJETIVOS ESPECFICOS.....................................................5

1.5

METODOLOGIA..........................................................................5

1.6

ALCANCES.................................................................................6

1.7

RESULTADO ESPERADO.............................................................6

2 NORMA ISO/IEC 17799:2007..............................................................6

10 CLAUSULA 10 GESTION DE COMUNICACIONES Y OPERACIONES.....8
10.1 Procedimientos y responsabilidades de operacin...................8
10.1.1 Documentacin de procedimientos operativos...................9
10.1.2 Gestin de Cambios..........................................................13
10.2 Gestin de servicios externos.................................................17
10.2.1 Servicio de entrega...........................................................17
10.3 Planificacin y aceptacin del sistema...................................21
10.3.1 Planificacin de la capacidad............................................21
10.3.2 Aceptacin del sistema.....................................................25
10.4 Proteccin contra software malicioso......................................27
10.4.1 Medidas y controles contra software malicioso.................27
10.4.2 Medidas y controles contra cdigo mvil..........................30
10.5 Gestin de respaldo y recuperacin........................................33
10.5.1 Recuperacin de la informacin........................................33
10.6 Gestin de seguridad en redes...............................................36
10.6.1 Controles de red................................................................36
10.7 Utilizacin de los medios de informacin................................36
10.7.1 Gestin de medios removibles..........................................36

INTRODUCCIN
La informacin para una empresa u organizacin es el ms
importante activo, por lo que consideramos que es necesario
implementar un sistema de control de la misma, e implementar un
flujo de
esta
que involucre
seguridad, ordenamiento y
sistematizacin. Con una correcta diagramacin de las actividades
3

que debe cumplir cada actor del negocio obtendremos procesos

seguros y de fcil flujo con los respectivos responsables e
involucrados de cada actividad.
El manejo correcto de la informacin y de los procesos de una
organizacin se realiza porque las organizaciones y los sistemas de
informacin se enfrentan, cada vez ms, a riesgos e inseguridades
procedentes de diferentes fuentes, y ms an cuando el sistema de
redes de informacin es ms complejo y extensible.
Es por ello que se debe implementar acciones y propuestas de
seguridad de la informacin y de la infraestructura de las redes
computacionales y de la informacin. Es esencial que la organizacin
identifique sus procesos y los requisitos de seguridad en las que
existen tres fuentes, que la valoracin de los riesgos de la
organizacin, el conjunto de requisitos legales y por ltimo de los
objetivos de la empresa u organizacin.
En este proyecto basado en la NTP-ISO/IEC 17799:2007 y en su
directriz sobre la Gestin
de Comunicaciones y Operaciones,
implementaremos el diagrama de actividades de procesos generales
de una organizacin, los formatos de seguimiento y ordenamiento de
la informacin y la sistematizacin de los mismos.
Este proyecto nos ayudara a la direccin, organizacin de
procesos fundamentales de una organizacin en los aspectos
gestin de las comunicaciones y operaciones que rigen,
sistematizacin ser un apoyo para la organizacin y determinar
procesos especficos a seguir, en requeridos procesos.

los
de
su
los

1 ASPECTOS GENERALES
1.1 PLANTEAMIENTO DEL PROBLEMA
No existen actividades ni procesos vinculados a asegurar la
comunicacin y operacin correcta y segura de los recursos de
4

tratamiento de informacin en la organizacin. Consiguientemente se

debera establecer responsabilidades y procedimientos para la
gestin y operacin de todos los recursos de tratamiento de
informacin. Esto incluye el desarrollo de instrucciones apropiadas de
operacin y de procedimientos de respuesta ante incidentes.

1.2 FORMULACION DEL PROBLEMA

De qu manera el conjunto de actividades propiciara
mejoramiento en la gestin de comunicaciones y operaciones?

un

1.3 HIPOTESIS
Si el conjunto de actividades propuesto se llevase a cabo siguiendo en
forma
secuencial
los
procedimientos,
entonces
influye
favorablemente en la administracin de la gestin de comunicaciones
y operaciones de la organizacin.

1.4 OBJETIVOS
1.4.1 OBJETIVOS GENERALES
- Plantear un conjunto de actividades basados en la NTP ISO/IEC
17799:2007 orientadas a controlar las comunicaciones y
operaciones del negocio de la organizacin.
1.4.2 OBJETIVOS ESPECFICOS
- Identificar y seleccionar las actividades correspondientes a las
guas de implementacin de la clusula Gestin de las
comunicaciones y operaciones de la NTP ISO/IEC 17799:2007,
necesarias en la gestin de comunicaciones y operaciones de
los sistemas de informacin y hardware de la organizacin.
-

Identificar los Procesos de la administracin y gestin de los

datos, informacin y hardware de la organizacin.

Elaborar formatos correspondientes a cada control de la

Clusula de Gestin de comunicaciones y operaciones de la NTP
ISO/IEC 17799:2007.

Implantacin de los formatos de la gestin de comunicaciones y

operaciones a los diferentes procesos del manejo de
informacin y hardware de la organizacin como exige la Norma
Tcnica Peruana ISO/IEC 17799:2007.

1.5 METODOLOGIA
En el presente proyecto se emplear la metodologa descriptiva,
porque permitir efectuar la descripcin de la realidad existente sobre
5

la gestin de comunicacin y operaciones en los diferentes sistemas

de informacin y hardware que administra la organizacin.

1.6 ALCANCES
El proyecto de investigacin que aborda el rea de control: Gestin de
Comunicaciones y Operaciones, pretende alcanzar un conjunto de
actividades para cada una de las categoras comprendidas en la
norma NTP ISO/IEC 17799:2007, es as que lo que se quiere es
alcanzar un conjunto de actividades referidas a:
-

Documentar y mantener los procedimientos de operaciones.

Controlar los cambios en los sistemas y recursos de tratamiento

de informacin.

Monitorear y revisar los servicios, reportes y registros por

terceros.

Implantar precauciones para prevenir y detectar la introduccin

de software malicioso.

Definir y documentar polticas de uso de cdigo mvil.

Definir e implantar polticas para hacer copias de seguridad de

toda la informacin esencial de la organizacin.

Proteccin de los servicios en red.

1.7 RESULTADO ESPERADO

El propsito del proyecto es proveer al personal de la organizacin el
planteamiento de actividades del control de la gestin de
comunicaciones y operaciones de la NTP ISO/IEC 17799:2007, donde
se describan los procedimientos para asegurar la correcta gestin de
la comunicacin y la operacin de informacin de software, hardware
e incidentes relacionados a TI.
Este conjunto de actividades del control de la gestin de
comunicaciones y operaciones de la NTP ISO/IEC 17799:2007, es el
principal objetivo para que el personal de la organizacin lo adopten
como una herramienta para que de forma ordenada facilite la
secuencia en cada tarea de comunicacin y operacin de los
incidentes presentes en los sistemas de informacin, hardware y las
posibles soluciones, para luego implementarlas con xito y as lograr
una efectiva gestin de comunicacin y operacin.

2 NORMA ISO/IEC 17799:2007

La Norma ISO/IEC 17799:2007 ofrece recomendaciones para realizar
la gestin de la seguridad de la informacin que puede utilizarse por
los responsables de iniciar, implantar o mantener y mejorar la
seguridad en la organizacin.
La implementacin de los controles de esta norma ayudara a
desarrollar la gestin de la seguridad en la organizacin. Esta norma
est compuesta por las siguientes clausulas:
-

Clusulas de la Norma ISO/IEC 17799:2007

o (1) Polticas de seguridad
o (2) Organizando la seguridad de informacin
o (3) Gestin de Archivos
o (4) Seguridad de recursos humanos
o (5) Seguridad fsica y ambiental
o (7) Control de acceso
o (8) Adquisicin, desarrollo y mantenimiento de sistemas
de informacin
o (9) Gestin de incidentes de los sistemas de informacin
o (10) Gestin de comunicaciones y operaciones
o (11)Cumplimiento

Y cada una de estas clusulas est dividida en categoras. Este

documento tiene como fin la implementacin de la clusula 10 a la
organizacin la cual est dividida en 10 categoras:
-

Categoras de la Clusula 10: Gestin de Comunicaciones

y Operaciones
o 10.1 Procedimientos y responsabilidades de operacin
o 10.2 Gestin de servicios externos
o 10.3 Planificacin y aceptacin del sistema
o 10.4 Proteccin contra software malicioso
7

o 10.5 Gestin de respaldo y recuperacin

o 10.6 Gestin de seguridad en redes
o 10.7 Utilizacin de los medios de informacin
o 10.8 Intercambio de informacin
o 10.9 Servicios de correo electrnico
o 10.10 Monitoreo
Para los fines del presente documento, hemos de implementar 11
controles seleccionados en un orden arbitrario. Estos controles son:
-

Controles a implementar de la Clusula 10: Gestin de

Comunicaciones y operaciones
o 10.1.1 Documentacin de procedimientos operativos
o 10.1.2 Gestin de Cambios
o 10.2.1 Servicio de entrega
o 10.3.1 Planificacin de la capacidad
o 10.3.2 Aceptacin del sistema
o 10.4.1 Medidas y controles contra software malicioso
o 10.4.2 Medidas y controles contra cdigo mvil
o 10.5.1 Recuperacin de la informacin
o 10.6.1 Controles de red
o 10.7.1 Gestin de medios removibles

1 CLAUSULA 10 GESTION DE COMUNICACIONES Y

OPERACIONES
2.1 Procedimientos y responsabilidades de operacin
Objetivo: Asegurar la operacin correcta y segura de los recursos de
tratamiento de informacin.
Se debera establecer responsabilidades y procedimientos para la
gestin y operacin de todos los recursos de tratamiento de
informacin. Esto incluye el desarrollo de instrucciones apropiadas de
operacin y de procedimientos de respuestas ante incidencias.
Se implantara la segregacin de tareas, cuando sea adecuado, para
reducir el riesgo de un mal uso del sistema deliberado o por
negligencia.
2.1.1 Documentacin de procedimientos operativos
Control: Se debern documentar y mantener los procedimientos de
operacin y ponerlos a disposicin de todos los usuarios que lo
requieran.
Secuencia de actividades : 10.1.1 Documentacin de
procedimientos operativos
Control: Se debern documentar y mantener los procedimientos de
operacin y ponerlos a disposicin de todos los usuarios que lo
requieran.
1
El rea de informtica Delega la elaboracin de la
documentacin de procedimientos operativos para los
ambientes de informtica que lo necesiten.
1.1 Se asigna un presupuesto y se enva el documento de
elaboracin de la documentacin de procedimientos
operativos de los ambientes de cmputo.
2
La comisin de procedimientos y responsabilidades de
operacin Reciben el documento y elabora una propuesta
de procedimientos operativos para cada ambiente
solicitante.
Finalizado el proyecto se devuelve al rea de informtica
para su verificacin
3
El rea de informtica recibe informe analiza, revisa y
establece que los procedimientos operativos concuerdan con
los ambientes correspondientes cumpliendo adems con los
requerimientos de seguridad.
3.1 Se aprueba la documentacin de procedimientos operativos
y se enva a la direccin general para su aprobacin
9

3.2
4

5.1
5.1.
1
5.1.
2
5.1.
3
5.2
6

Se alcanza un informe.
La gerencia Elabora un documento y emite la resolucin de
aprobacin de la documentacin de procedimientos
operativos, luego devuelve documento con resolucin para
su difusin y capacitacin
La comisin de procedimientos y responsabilidades de
operacin Difunden la implementacin de la
documentacin de procedimientos operativos para
ambientes de cmputo a todas las reas y facultades, se
realiza una capacitacin, registrando de dicho proceso en un
acta.
Capacitacin de Procesos
Proceso 1
Proceso 2
Proceso 3
Firma de conformidad y asistencia a la capacitacin
Fin del proceso.

10

11

Diagrama 10.1.1 Documentacin de procedimientos operativos

12

Formato 10.1.1 Documentacin de procedimientos operativos

Actividad:
Control:

10.1.1 Documentacin de procedimientos operativos

Se debern documentar y mantener los procedimientos de
operacin y ponerlos a disposicin de todos los usuarios que lo
requieran.
Superviso
Firm
Fecha
r:
a:
:
Comisin elaboradora
de obligaciones:
DOCUMENTO
Nombre del
documento:
N de
Fecha:
Versin:
Documento:
Procedimientos de OPERACIN
N
Subprogram Responsab
rea
Programa
Firma

a
le
1 El rea de
informtica

...
2

La comisin de
procedimientos
y
responsabilidad
es de operacin

...

El rea de
informtica

...
4

La gerencia

...
5

La comisin de
procedimientos
y
responsabilidad
es de operacin

...

13

2.1.2 Gestin de Cambios

Control: Se deberan controlar los cambios en los sistemas y recursos
de tratamiento de informacin.
Secuencia de actividades : Identificacin y registro de cambios
significativos
CONTROL: Se deberan controlar los cambios en los sistemas y
recursos de tratamiento de informacin.
1
El Director del rea de informtica elabora la
documentacin para implantar las responsabilidades y
procedimientos para asegurar un control de todos los
cambios en los equipos y/o el software.
1.1
Se enva Documento al sub rea de Soporte.
2
El sub rea de Soporte acepta el documento de gestin
de Cambios.
2.1
Se remite el documento y se firma su conformidad.
2.2
Se Comunica a todos los reas y/o facultades que cuenten
con equipos y/o software.
2.3
Se Comunica al personal que en fechas anteriores solicit
el servicio de soporte para su equipo y/o software.
2.4
Se capacita al personal para la identificacin y el registro
de cambios significativos que se puedan percibir en los
equipos y/o software.
2.4.1 Capacitacin del Cambios Significativos
2.4.1 Proceso 1
.1
2.4.1 Proceso 2
.2
2.4.1 Proceso 3
.3
2.4.1 Proceso 4
.4
2.4.2 Firma de Conformidad y asistencia a la capacitacin
3
Fin del proceso.

14

15

Diagrama 10.1.2 Gestin de Cambios

16

Formato 10.1.2 Gestin de Cambios

Actividad:
Control:
Supervisor:

10.1.2 Gestin de Cambios

Se deberan controlar los cambios en los sistemas y
recursos de tratamiento de informacin.
Firma:
Fech
a:
DOCUMENTO

Nombre del
documento:
N de Documento:

Fecha
:
REPORTE DE CAMBIOS
Cambio

Versi
n:
Tip
o
(*)

Fecha de
Cambio

n
N
(Activid
ad)

RESPONSABLE DEL AREA y/o FACULTAD CAPACITADOS

REA
Descripcin de la
Nombres y Cargo
Actividad
Apellidos
del
responsabl
e
Elabora la
documentacin para
implantar las
responsabilidades y
procedimientos para
asegurar un control
Informti de todos los cambios
ca
en los equipos y/o el
software.
1.1. Se enva
Documento al sub
rea de Soporte.
Acepta el documento
de
gestin
de
Cambios.
2.1. Se remite el
documento y se firma
su conformidad.
2.2. Se Comunica a
15

Firma

todos los reas y/o

facultades
que
cuenten con equipos
y/o software.
2.3. Se Comunica al
personal
que
en
fechas
anteriores
2
Soporte
solicit el servicio de
soporte
para
su
equipo y/o software.
2.4. (**) Se capacita
al personal para la
identificacin y el
registro de cambios
significativos que se
puedan percibir en
los equipos y/o
software.
(**)En este punto
la capacitacin
consta de 4
procesos asistidos.
(*)Tipo de Cambio Equipo (E), Software (S)

16

2.2 Gestin de servicios externos

Objetivo: Implementar y mantener un nivel apropiado de seguridad y
de entrega de servicio en lnea con los acuerdos con terceros.
La organizacin debe verificar la implementacin de acuerdos, el
monitoreo de la conformidad con los acuerdos y los cambios
gestionados con el fin de asegurar que todos los servicios entregado
cumplen con todos los requerimientos acordados con terceros.
2.2.1 Servicio de entrega
Control: Debemos asegurarnos que todos los controles de seguridad,
definiciones de servicio y niveles de entrega incluida en el acuerdo de
entrega de servicio externo sean implementados, operados y
mantenidos por la parte externa.
Secuencia de actividades : Servicio entregado por terceros
Control: Debemos asegurarnos que todos los controles de seguridad,
definiciones de servicio y niveles de entrega incluida en el acuerdo de
entrega de servicio externo sean implementados, operados y
mantenidos por la parte externa.
1
El rea de informtica elabora los requerimientos para los
servicios de entrega por terceros, especificando que toda
entrega de servicio sean implementados, operados y
mantenidos por la parte externa.
1. Se enva el documento de elaboracin de requerimientos para
1
los servicios de entrega por terceros.
2
La comisin de gestin de servicios externos recibe el
documento y elabora la propuesta para los servicios de
entrega por terceros.
3
El rea de informtica revisa que todos los controles de
seguridad y acuerdo de entrega de servicio externo se
cumplan.
3. El rea de informtica se debe asegurar que los terceros
1
mantengan una capacidad suficiente para asegurar el nivel
continuo del servicio.
3. Se hace la peticin de documentos de los terceros.
2
3. Se hace la observacin de los documentos.
3
17

3.
4
3.
5
3.
6
4
5

Se pide un plan de implementacin, operacin y

mantenimientos de parte de los terceros hacia la universidad.
Se verifica si cumple con los lineamientos de seguridad de la
universidad.
Procesos
La comisin de gestin de servicios externos difunde los
requerimientos para los servicios de entrega por terceros.
Fin del proceso.

18

Diagrama 10.2.1 Servicio de entrega

19

Formato 10.2.1 Servicio de entrega

Actividad:
Control:

Supervisor:

Servicio de entrega
Debemos asegurarnos que todos los controles de seguridad,
definiciones de servicio y niveles de entrega incluida en el acuerdo
de entrega de servicio externo sean implementados, operados y
mantenidos por la parte externa.
Firm
Fech
a:
a:
DOCUMENTO

Nombre del
documento:
N de Documento:

Fecha
Versi
:
n:
PROCESOS PARA EL ACUERDO DE ENTREGA DE SERVICIOS DE TERCEROS
N(P
rea
Descripcin de la Nombres y
Cargo
Firma
roce
Actividad
Apellidos
so)
del
responsabl
e
Elabora los
requerimientos
para los servicios
de entrega por
terceros,
especificando que
toda entrega de
servicio sean
implementados,
1
Informtic operados y
a
mantenidos por la
parte externa.
1.1. Se enva el
documento
de
elaboracin
de
requerimient
os para los
servicios de
entrega por
terceros.
Comisin Recibe el
2
de
documento y
Gestin
elabora la
de
propuesta para los
servicios servicios de
externos entrega por

19

Informtic
a

Comisin
de
Gestin
de
servicios
externos

terceros.
Revisa que todos
los controles de
seguridad y
acuerdo de entrega
de servicio externo
se cumplan.
3.1. El rea de
informtica se
debe asegurar que
los terceros
mantengan una
capacidad
suficiente para
asegurar el nivel
continuo del
servicio.
3.2. Se hace la
peticin de
documentos de los
terceros.
3.3. Se hace la
observacin de los
documentos.
3.4. Se pide un
plan de
implementacin,
operacin y
mantenimientos de
parte de los
terceros hacia la
universidad.
3.5. Se verifica si
cumple con los
lineamientos de
seguridad de la
universidad.
Difunde los
requerimientos
para los servicios
de entrega por
terceros.

RESPONSABLE DEL SERVICIO EXTERNO

Nombre y Apellidos
Entidad
Cargo

Firma

RELACIN DE SERVICIOS PRESTADOS POR TERCEROS

20

Servicio

Cumpl
e con
(*)

Observacin

(*) Cumple con requerimientos acordados:

-

Implementacin, operacin y mantenimiento (100%).

Implementacin y operacin (50%).
Implementacin y mantenimiento (50%).
Operacin y mantenimiento (50%).
Solo Implementacin (30%).
Solo Operacin (30%).
Solo Mantenimiento (30%).

2.3 Planificacin y aceptacin del sistema

Objetivo: Minimizar el riesgo de fallos de los sistemas. Son necesarios
una planificacin y preparacin para asegurar la disponibilidad y de
recursos adecuados para entregar el sistema de funcionamiento
requerido.
Deberan realizarse proyecciones de los requisitos futuros de capacidad
para reducir el riesgo de sobrecarga del sistema.
Se debera establecer, documentar y probar, antes de su aceptacin,
los requisitos operacionales de los sistemas nuevos.
2.3.1 Planificacin de la capacidad
Control: El uso de recursos debe ser monitoreado y las proyecciones
futuras hechas de requisitos de capacidades adecuadas para asegurar
el sistema de funcionamiento requerido.
Secuencia de actividades 10.3.1 Planificacin de la capacidad
Control: El uso de recursos debe ser monitoreado y las proyecciones futuras
hechas de requisitos de capacidades adecuadas para asegurar el sistema de
funcionamiento requerido.
N it
Acciones
Pr
m
e
1
Direccin o Unidad Solicitante
1. El Director y los integrantes auxiliares de la Direccin identificaran
1
las actividades que sern sistematizadas.
1. Identificaran los requerimientos de sistema que tendr la actividad 1.
2
identificada y se formulara un informe
1
1. El Director emite un oficio de requerimiento al Vice Rectorado 1.
3
Acadmico
2
2
Vice Rectorado Acadmico
21

2.
1
2.
2

2.
3
3
3.
1
3.
2

3.
3
4
4.
1
5
5.
1
6
6.
1

7
7.
1
7.
2
7.
3
8
8.
1
9

El Vicerrector evaluar los requerimientos establecidos

1.
3

Si el costo de los requerimiento son de menor cuanta y son viables

el Vice Rectorado emitir un oficia a la Direccin de
Telecomunicaciones y Tecnologas de Informacin aprobando la
implementacin de los requerimientos del sistema de informacin
de la Direccin Requerida.
Si el costo es de mayor cuanta se deriva el informe a la direccin
de planificacin para la evaluacin de su viabilidad.
Direccin de Planificacin
La Directora de la Direccin de Planificacin evaluar los
requerimientos establecidos en el informe derivado del Vice
Rectorado
Si los requerimientos son viables y aprobados por la Directora
previo estudio del informe, se emitir un oficio de aprobacin de la
implementacin y se asignar los recursos necesarios para ello. El
informe es remitido al Vice Rectorado para su posterior resolutiva.
Si los requerimientos no son viables se hace el requerimiento de la
reformulacin de los pedidos de la direccin solicitante al Vice
Rectorado Administrativo para su re evaluacin.
Vice Rectorado Acadmico
El Vicerrector emitir un oficio solicitando la reformulacin de los
requerimientos a la Direccin Solicitantes para su aprobacin.
Direccin o Unidad Solicitante
El Director deber reformular los requerimientos ajustados a las
recomendaciones de la direccin de planificacin y volver a emitir
la solicitud de requerimientos al Vicerrector Administrativo.
Direccin de Telecomunicaciones y tecnologas de Informacin
La Directora recibe la autorizacin del Vicerrectorado para la
implementacin de un sistema de informacin y emite la
autorizacin al rea de desarrollo para su desarrollo,
implementacin y documentacin del sistema
rea de Desarrollo de la DIRECCIN DE TELECOMUNICACIN Y
TECNOLOGAS DE INFORMACIN
Implementar y documentar el sistema requerido
Formular instrucciones de monitorizacin del sistema
Implementar controles y acciones contra errores en el sistema

2.
3

3.
3
4.
1

2.
2

6.
1
7.
1
7.
2

Direccin de Telecomunicaciones y tecnologas de Informacin

Realizar informe de implementacin del sistema y entrega a la 7.
direccin solicitante con copia de entrega al vicerrectorado.
3
Direccin o Unidad Solicitante
22

9.
1
9.
2

Una vez recepcionado el sistema la direccin debe monitorizar el

funcionamiento del sistema de informacin para el control contra
erres
SI en caso se generan errores se harn reportes que sern
remitidos a la DIRECCIN DE TELECOMUNICACIN Y TECNOLOGAS
DE INFORMACIN para su correspondiente correccin y ajuste.

23

8.
1
9.
1

Diagrama 10.3.1 Planificacin de la capacidad

24

Formato 10.3.1 Planificacin de la capacidad

Actividad:
Control:

10.3.1 Planificacin de la capacidad

El uso de recursos debe ser monitoreado y las proyecciones
futuras hechas de requisitos de capacidades adecuadas para
asegurar el sistema de funcionamiento requerido.

Actividad
a
Controlar:
Sistema
Requerido
Direccin
Responsa
ble:
Nombre
del
Director:
REQUISITOS A CUMPLIR
Descripcin
de
los Requisitos:
Responsable
de
la abstraccin de
datos:
Documento
de
Informe:
MONITORIZACION DE SISTEMAS
Descripcin
de
control
de
deteccin
y
errores
encontrados

Fech
a:
Firm
a:

Fech
a
y
Firm
a:
Fech
a:

Formato 10.3.1 Planificacin de la capacidad

Actividad:
Control:

10.3.1 Planificacin de la capacidad

El uso de recursos debe ser monitoreado y las proyecciones
futuras hechas de requisitos de capacidades adecuadas para
asegurar el sistema de funcionamiento requerido.

Actividad
a
Controlar:
Sistema
Requerido
Direccin
Responsa
ble:
Nombre
del
Director:
REQUISITOS A CUMPLIR
Descripcin
de
los Requisitos:
Responsable
de
la abstraccin de
datos:
Documento
de
Informe:
MONITORIZACION DE SISTEMAS
Descripcin
de
control
de
deteccin
y
errores
encontrados
N de Documento:
RESPONSABLE DEL MONITOREO
Nombre y Apellidos
Cargo

Fech
a:
Firm
a:

Fech
a
y
Firm
a:
Fech
a:

Fech
a:
Firma

Versi
n:
Unidad

DETECCION DE ERRORES
Observaciones
de
Fallos y Errores

24


.
Firma y DNI
2.3.2 Aceptacin del sistema
Control: Se deberan establecer criterios de aceptacin para nuevos
sistemas de informacin y versiones nuevas o mejoradas y se deberan
desarrollar con ellos las pruebas adecuadas antes de su aceptacin.
Secuencia de actividades : Aceptacin del sistema
Control: Se deberan establecer criterios de aceptacin para nuevos sistemas
de informacin y versiones nuevas o mejoradas y se deberan desarrollar con
ellos las pruebas adecuadas antes de su aceptacin.
n te Actores / Actividades
Pre
m
1
Direccin Solicitante
1.2 El Director recibe el Sistema de Informacin de la DIRECCIN
DE TELECOMUNICACIN Y TECNOLOGAS DE INFORMACIN
1.3 El Jefe de Operaciones y el Director de la Direccin evalan el 1.2
sistema, en base a los requerimientos realizados.
1.4 Si el sistema no
tiene errores en funcionamiento y 1.3
cumplimiento con lo requerido se realiza la autorizacin para su
funcionamiento y se deriva al rea requerida.
1.5 Si el sistema no cumple con las condiciones requeridas se 1.3
deriva un informe de errores y el Director se hace un pedido de
correcciones
y
evaluaciones
a
la
DIRECCIN
DE
TELECOMUNICACIN Y TECNOLOGAS DE INFORMACIN
2 2.1 La Directora del
DIRECCIN DE TELECOMUNICACIN Y 1.5
TECNOLOGAS DE INFORMACIN recepciona el informe de
correcciones y evaluaciones del sistema y deriva al encargado
del rea de desarrollo aprobando la evaluacin y correccin del
sistema en mencin.
3 3.1 El encargado del rea de desarrollo implementa las 2.1
correcciones
3.2 El encargado del rea de desarrollo Genera un informe de la 3.1
monitorizacin del sistema
3.3 El encargado del rea de desarrollo genera el reporte de 3.2
prevencin de errores y eleva e informe correspondiente a la
directora de la DIRECCIN DE TELECOMUNICACIN Y
TECNOLOGAS DE INFORMACIN
4 4.1 La Directora del DIRECCIN DE TELECOMUNICACIN Y 3.3
TECNOLOGAS DE INFORMACIN genera un informe oficiado a la
direccin solicitante junto con el sistema para su entrega.
25

5 5.1
5.2

El jefe de la unidad recepciona el sistema y procede a la 1.5

instalacin del sistema
Los usuarios del sistema realizan un reporte de aceptacin del 5.1
sistema y de errores en caso de hallarlos.

26

Diagrama 10.3.2 Aceptacin del sistema

27

2.4 Proteccin contra software malicioso

Objetivo: Proteger la integridad del software y de la informacin. Se
requieren ciertas precauciones para prevenir y detectar la introduccin
de software malicioso. El software y los recursos de tratamiento de
informacin son vulnerables a la introduccin de software malicioso
como virus informticos, gusanos de la red, caballos de Troya y bombas
lgicas. Los usuarios deberan conocer los peligros que puede ocasionar
el software malicioso o no autorizado y los administradores deberan
introducir controles y medidas especiales para detectar o evitar su
introduccin.
2.4.1 Medidas y controles contra software malicioso
Control: Se deben implantar controles para detectar el software
malicioso y prevenirse contra l, junto a procedimientos adecuados
para concientizar a los usuarios.
Secuencia de actividades :
Control: Se deben implantar controles para detectar el software
malicioso y prevenirse contra l, junto a procedimientos adecuados
para concientizar a los usuarios.
1
Direccin Solicitantes
El operario del computador realiza requerimiento de software
para la seguridad del equipo a su cargo
El Director realiza un requerimiento de software de seguridad
para las computadoras de la Direccin a la DIRECCIN DE
TELECOMUNICACIN Y TECNOLOGAS DE INFORMACIN
2
DIRECCIN DE TELECOMUNICACIN Y TECNOLOGAS DE
INFORMACIN
La DIRECCIN DE TELECOMUNICACIN Y TECNOLOGAS DE
INFORMACIN aprueba la instalacin de software de seguridad
y cursa un oficio a la unidad de soporte tcnico para la
instalacin y la realizacin de los procedimientos de seguridad
3
Unidad de Soporte
El Jefe de la unidad de Soporte Tcnico, evala los equipos e
instala los sistemas de seguridad y determina los
procedimientos de seguridad
Determina los las polticas de seguridad contra software
malicioso
4
Unidad Operadora
Los operadores deben seguir los procedimientos de seguridad
implementados por la unidad de soporte tcnico

28

Diagrama 10.4.1 Medidas y controles contra software

malicioso

29

Formato 10.4.1 Medidas y controles contra software malicioso

Actividad:
Control:

10.4.1 Medidas y controles contra software malicioso

Se deben implantar controles para detectar el software malicioso
y prevenirse contra l, junto a procedimientos adecuados para
concientizar a los usuarios.

Equipo/IP:
Direccin
o rea:
Director:

Responsa
ble
del
equipo:
Responsa
ble
de
Soporte:
SOFTWARE DE CONTROL
Nombre
del
software:
N
de
Licencia:

Fecha:

Firm
a:

Numero
Patrimon
io:
Fecha
instalaci
n:

Fech
a:

Fecha
caducid
ad:

Firm
a:

Versi
n:

PROCEDIMIENTO DE PREVENCION

ACCIONES TOMADAS EN EL EQUIPO

N Cambio

Priorida Fecha de Cambio

d

30

2.4.2 Medidas y controles contra cdigo mvil

Control: Donde el uso de cdigo mvil es autorizado, la configuracin
debe asegurar que dicho cdigo mvil opera de acuerdo a una poltica
de seguridad definida y que se debe prevenir que este sea ejecutado.
Secuencia de actividades:
Control: Donde el uso de cdigo mvil es autorizado, la configuracin
debe asegurar que dicho cdigo mvil opera de acuerdo a una poltica
de seguridad definida y que se debe prevenir que este sea ejecutado
1
Soporte tcnico
1. El jefe de soporte tcnico solicita a la Directora de la
1
DIRECCIN DE TELECOMUNICACIN Y TECNOLOGAS DE
INFORMACIN apertura cdigos mviles para la instalacin de
software a uno o varios equipos en red
2
DIRECCIN DE TELECOMUNICACIN Y TECNOLOGAS DE
INFORMACIN
2. La Directora de la DIRECCIN DE TELECOMUNICACIN Y
1
TECNOLOGAS DE INFORMACIN autoriza la apertura de
cdigos mviles
2. La Directora informa mediante oficio a la direccin o unidad en
2
la que se instalaran los software en forma remota aperturando
cdigos mviles
3
Direccin o Unidad
3. El Director o Jede de Unidad autoriza e informa al personal de
1
la instalacin remota y toma las precauciones de seguridad
3. El Director informa de la culminacin de la instalacin al Jefe
2
de la Unidad de Soporte Tcnico de la finalizacin
4
Soporte Tcnico
4. Una vez terminado el Jefe de Soporte Tcnico autoriza la
1
eliminacin del cdigo abierto para la instalacin de un
software

31

Diagrama 10.4.2 Medidas y controles contra cdigo mvil

32

Formato 10.4.2 Medidas y controles contra cdigo mvil

Actividad:
Control:

10.4.2 Medidas y controles contra cdigo mvil

Control: Donde el uso de cdigo mvil es autorizado, la
configuracin debe asegurar que dicho cdigo mvil opera de
acuerdo a una poltica de seguridad definida y que se debe
prevenir que este sea ejecutado

Direccin:
Director:
Doc.
Referencia:
Responsabl
e
de
Soporte
Tcnico:
Equipo / IP
Tipo
:
SISTEMA A INSTALAR
Nombre
del
documento:
N
de
Documento RQ:
PROCEDIMIENTO DE SEGURIDAD
DETALLE

Fech
a:

Fecha
:
Fecha
Instalac
in

Firm
a
Observacin
del usuario del
equipo

1. El encargado del equipo no deber ejecutar

ningn programa en el equipo.
2. El usuario deber informar inmediatamente
se termine la instalacin de su equipo.
3. El personal de soporte deber eliminar el
cdigo mvil.
4. Se verificar que el cdigo ya no est
disponible en la red
33

2.5 Gestin de respaldo y recuperacin

Objetivo: Mantener la integridad y la disponibilidad de los servicios de
tratamiento de informacin y comunicacin. Se deberan establecer
procedimientos rutinarios para conseguir la estrategia aceptada de
respaldo haciendo copias de seguridad y ensayando su oportuna
recuperacin.
2.5.1 Recuperacin de la informacin
Control: Se deberan hacer regularmente copias de seguridad de toda
la informacin esencial del negocio y del software, en concordancia con
la poltica acordada de recuperacin.
Secuencia de actividades :
Control: Se deberan hacer regularmente copias de seguridad de toda la
informacin esencial del negocio y del software, en concordancia con la poltica
acordada de recuperacin.
1
Unidad de Operaciones
1. El usuario de un sistema de informacin solicitar la
1
recuperacin de la informacin a Director de la Unidad o
Direccin
2
Direccin o Unidad
2. El director de la Direccin o Unidad verificara el tipo de backup
2
y la fecha de recuperacin.
2. Si las fechas de recuperacin estn en el rango o dentro de los 1.1
3
6 meses hbiles se autorizar la recuperacin del backup de
las unidades locales de almacenamiento.
2. Si las fechas de recuperacin son mayores a 6 meses el 1.1
4
Director de la Direccin deber enva una solicitud de
recuperacin de informacin a la Direccin de Tecnologas de
la Informacin
3
DIRECCIN DE TELECOMUNICACIN Y TECNOLOGAS DE
INFORMACIN
3. La direccin evaluar el tipo de backup y las fechas de 2.4
1
solicitadas y autorizar mediante oficio a la unidad de soporte
tcnico para el levantamiento de dicha informacin.
4
Soporte Tcnico
3. El Jefe de Soporte tcnico evaluara las fechas y el tipo de 3.1
34

2
3.
3
3.
4

5
5.
1

backup, se identificar la ubicacin del mismo.

El Jefe de Soporte verificar las polticas de recuperacin
normadas para la unidad
El personal de Soporte tcnico instalar el backup en la unidad
determinada informando de la accin a la DIRECCIN DE
TELECOMUNICACIN Y TECNOLOGAS DE INFORMACIN y a la
Direccin Solicitante
Unidad de Operaciones
El encargado del equipo har un registro de la informacin
recuperada.
Diagrama 10.5.1 Recuperacin de la informacin

35

3.2
3.3

2.3
-3.4

Formato 10.5.1 Recuperacin de la informacin

Actividad:
Control:

10.5.1 Recuperacin de la informacin

Se deberan hacer regularmente copias de seguridad de
toda la informacin esencial del negocio y del software, en
concordancia con la poltica acordada de recuperacin.

Direccin:
Director:
Sistema
de
Informacin:
Solicitante:
DATOS DEL BACKUP
Tipo de Backup:

Compl
eto

Fecha
Inicio
de
Recuperacin:
Motivo
de
Recuperacin:
Referencia:
SOPORTE TECNICO
Encargado
Documente
de
Autorizacin

Polticas
de
Seguridad
sobre
backup
y
recuperacin.

Fecha
de
Solicitud:

Firm
a:

Diferen
cial

Registro
de
transacciones

Fecha
Incidente:
Unidad
de Equipo
Almacenamiento
Instalado

a. El backup se realizar al
trmino del da guardado en la
unidad local con copia a un
equipo de resguardo.
b. Los backup con ms de 6
meses
(un
semestre
acadmico) se guardarn en
equipos de la Unidad de
Soporte
c. Para
la
recuperacin
de
informacin se deber explicar
el motivo documentado y
solicitarlo al Director del rea.
.
36

d. En caso de
backup diaria,
el backup sea
hacerlo dentro
siguientes.

no realizar el Firma y DNI

en caso de que
manual, deber
de las 24 horas

2.6 Gestin de seguridad en redes

2.6.1 Controles de red

2.7 Utilizacin de los medios de informacin

Objetivo: Prevenir acceso no autorizado, modificaciones, evitar daos
a los activos e interrupciones de las actividades de la organizacin.
Los medios deben ser controlados y fsicamente protegidos.
Se deberan establecer los procedimientos operativos adecuados para
proteger los documentos, medios informticos (discos, cintas, etc.),
datos de entrada o salida y documentacin del sistema, de dao,
modificacin, robo y acceso no autorizado.
2.7.1 Gestin de medios removibles
Control: Debera haber procedimientos para la gestin de los medios
informticos removibles.
Secuencia de actividades :
Control: Debera haber procedimientos para la gestin de los medios
informticos removibles.
1
El responsable de medio extrable realizar cambios del medio
removible
1. Si se va formatear el equipo, el responsable del medio debe
1
realizar el backup de la informacin
1. Si se va desechar por varios motivos, el responsable del medio
2
solicitar autorizacin de desecho
1. El director de la unidad o Direccin debe evaluar los equipos
3
dados de baja e informar a la Direccin de Patrimonio sobre
el cambio o baja de un bien
2
Reportar equipos de baja y resguardarlos hasta que la Oficina
de patrimonio retire el medio extrable

37

Diagrama 10.7.1 Gestin de medios removibles

38

Formato 10.7.1 Gestin de medios removibles

Actividad:
Control:

10.7.1 Gestin de medios removibles

Debera haber procedimientos para la gestin de los medios
informticos removibles

Accin:
Direccin:
Director Responsa
ble:
Referencia
:
Responsa
ble
del
equipo:
MEDIO EXTRAIBLE
Nombre
y
Marca
del
medio:
Descripcin del
medio:

Fech
a:

DIRECCION DE PATRIMONIO
Encargado:
ACCIONES A TOMAR DEL MESIO
Detallar Cambios
Backup a:

Firma:

Observacin

.
Firma y DNI

39

40