UNIVERSIDAD NACIONAL JOS FAUSTINO

SANCHEZ CARRIN
ESCUELA DE INGENERIA DE SISTEMAS

PLAN DE TRABAJO DE DIAGNOSTICO DE

SEGURIDAD DE LA INFORMACION EN LA
MUNICIPALIDAD PROVINCIAL HUAURA-HUACHO
AUTORES:
BEDON JAUREGUI JAHN JHORDEE
CORNEJO OTERO ARIEL
FERNANDEZ MAYTA JHONATAN
PALACIOS GARCIA, CARLOS
MONTALVO ROSALES, ANTONY

ASESOR:
ING.JORGE MARTIN FIGUEROA REVILLA

HUACHO-2015
Seguridad y Auditoria de la Informacin
1

CONTENIDO

I. Objetivo
I.1 Objetivo General
I.2 Objetivos Especficos
II. Alcance
III. Metodologa
IV. Recueros y Herramientas
IV.1Recursos
IV.2Diagrama de Actividades
V. Procedimiento
VI. Diagnostico
IDENTIFICACION Y EVALUACION

I.

OBJETIVO Y ALCANCE

Seguridad y Auditoria de la Informacin

2

Este trabajo se enfoca especficamente en una auditora de la

administracin de riesgos de seguridad de la informacin, evaluando los
procedimientos de control de operaciones, procesos y eficiencia de forma
clara y objetiva, utilizando como norma internacional ISO/IEC 17799 y
ISO/EC 27001, la cual ofrece instrucciones y recomendaciones para la
administracin de la seguridad, ofreciendo una estructura para identificar
e implementar soluciones para los riesgos existentes.
I.1

OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informtica;
de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la
organizacin que participan en el procesamiento de la informacin, a fin
de que por medio del sealamiento de cursos alternativos se logre un
plan de accin que asegure la utilizacin correcta segura de la
informacin que servir para una adecuada toma de decisiones

I.2

OBJETIVOS ESPECIFICOS
Evaluar el diseo y prueba de los sistemas del rea de Informtica
Determinar la veracidad de la informacin del rea de Informtica
Evaluar los procedimientos de control de operacin, analizar su
estandarizacin y evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de
almacenamiento bsico del rea de Informtica
Evaluar el control que se tiene sobre el mantenimiento y las fallas de
las Pcs.
Verificar las disposiciones y reglamentos de la Organizacin

El alcance es El periodo enero -2015 para esos estamos utilizando los 11

dominios,
El alcance del trabajo est determinado por:

Revisin de los 11 dominios de la ISO/IEC 17799

1. Poltica de Seguridad.
1.1. Poltica de Seguridad de la Informacin

Seguridad y Auditoria de la Informacin

3

2. Organizacin de la Seguridad de la Informacin

2.1. Organizacin Interna
2.2. Entidades Externas
3. Gestin de Activos
3.1. Responsabilidad por los Activos
3.2. Clasificacin de la Informacin
4. Seguridad de Recursos Humanos
4.1. Antes del Empleo
4.2. Durante el Empleo
4.3. Terminacin o cambio de Empleo
5. Seguridad Fsica y Ambiental
5.1. reas Seguras
5.2. Seguridad del Equipo
6. Gestin de las Comunicaciones y Operaciones
6.1. Procedimientos y responsabilidades operacionales
6.2. Gestin de la entrega del servicio de terceros
6.3. Planeacin y aceptacin del sistema
6.4. Proteccin contra el cdigo malicioso y cdigo mvil
6.5. Respaldo (Back-Up)
6.6. Gestin de seguridad de redes
6.7. Gestin de medios
6.8. Intercambio de informacin
6.9. Servicios de comercio electrnico
6.10. Monitoreo
7. Control de Acceso
7.1. Requerimiento comercial para el control del acceso
7.2. Gestin del acceso del usuario
7.3. Responsabilidades del usuario
7.4. Control de acceso a redes
7.5. Control del acceso al sistema de operacin
7.6. Control de acceso a la aplicacin e informacin
7.7. Computacin mvil y tele-trabajo
8.
Adquisicin, Desarrollo y Mantenimiento de Sistemas de
Informacin
8.1. Requerimientos de seguridad de los sistemas
8.2. Procesamiento correcto en las aplicaciones
8.3. Controles criptogrficos
8.4. Seguridad de los archivos del sistema
8.5. Seguridad en los procesos de desarrollo y soporte
8.6. Gestin de la Vulnerabilidad Tcnica
9. Gestin de Incidentes de Seguridad de la Informacin
9.1. Reporte de los eventos y debilidades en la seguridad de la informacin
9.2. Gestin de los incidentes y mejoras en la seguridad de la informacin
10. Gestin de la Continuidad Comercial
Seguridad y Auditoria de la Informacin
4

10.1. Aspectos de la seguridad de la informacin de la gestin de la

continuidad del negocio
11. Cumplimiento
11.1. Cumplimiento de los requerimientos legales
11.2. Cumplimiento con las polticas y estndares de seguridad, y el
cumplimiento tcnico.

Describo la metodoologia
Para el presente diagnostico estamos utilizando las ISOS 17799 y la 27002
en el cual con la obtencin de la informacio que se ha generado a travs
de lso cuestionarios se podrn evaluar con la comparacin con los
controles que existentes en nivel de cumplimiento

III.

METODOLOGIA

La metodologa de investigacin a utilizar en el proyecto se presenta a

continuacin: Para la evaluacin del rea de Informtica se llevarn a cabo
las siguientes actividades:

Solicitud de los estndares utilizados y programa de trabajo

Aplicacin del cuestionario al personal
Anlisis y evaluacin del La informacin
Elaboracin plan de accion segn la ISO 17799

La norma UNE-ISO/IEC 17799 establece once dominios de control que cubren

por completo la Gestin de la Seguridad de la Informacin:
Poltica de seguridad.
Aspectos organizativos para la seguridad.
Clasificacin y control de activos.
Seguridad ligada al personal.
Seguridad fsica y del entorno.
Gestin de comunicaciones y operaciones.
Control de accesos.
Desarrollo y mantenimiento de sistemas.
Gestin de continuidad del negocio.
Seguridad y Auditoria de la Informacin
5

 Conformidad con la legislacin.

Cumplimiento

A continuacin se comentan los detalles de cada dominio de control:

1. Poltica de seguridad.
Su objetivo principal es dirigir y dar soporte a la gestin de la
seguridad de la informacin. La alta direccin debe definir una poltica
que refleje las lneas directrices de la organizacin en materia de
seguridad, aprobarla y publicitarla de la forma adecuada a todo el
personal implicado en la seguridad de la informacin.
2. Aspectos organizativos para la seguridad.
Gestionan la seguridad de la informacin dentro de la organizacin.
Mantienen la seguridad de los recursos de tratamiento de la
informacin y de los activos de informacin de la organizacin que son
accedidos por terceros. Mantienen tambin la seguridad de la
informacin cuando la responsabilidad de su tratamiento se ha
externalizado a otra organizacin.
Debe disearse una estructura organizativa dentro de la compaa
que defina las responsabilidades que en materia de seguridad tiene
cada usuario o rea de trabajo relacionada con los sistemas de
informacin de cualquier forma. Dicha estructura debe poseer un
enfoque multidisciplinar: los problemas de seguridad no son
exclusivamente tcnicos.
3. Clasificacin y control de activos.
Mantener una proteccin adecuada sobre los activos de la
organizacin.
Seguridad y Auditoria de la Informacin
6

 Asegurar un nivel de proteccin adecuado a los activos de

informacin.
4. Seguridad ligada al personal.
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de
las instalaciones y los servicios. Asegurar que los usuarios son
conscientes de las amenazas y riesgos en el mbito de la seguridad
de la informacin, y que estn preparados para sostener la poltica de
seguridad de la organizacin en el curso normal de su trabajo.
Minimizar los daos provocados por incidencias de seguridad
5. Seguridad fsica y del entorno.
Evitar accesos no autorizados, daos e interferencias contra los
locales y la informacin de la organizacin.
Evitar prdidas, daos o comprometer los activos as como la
interrupcin de las actividades de la organizacin.
6. Gestin de comunicaciones y operaciones.
Asegurar la operacin correcta y segura de los recursos de
tratamiento de informacin.
Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del
software y de la informacin.
Mantener la integridad y la disponibilidad de los servicios de
tratamiento de informacin y comunicacin.
Asegurar la salvaguarda de la informacin en las redes y la proteccin
de su infraestructura de apoyo.
Evitar daos a los activos e interrupciones de actividades de la
organizacin. Prevenir la prdida, modificacin o mal uso de la
informacin intercambiada entre organizaciones.
7. Control de accesos.
Controlar los accesos a la informacin, evitar accesos no autorizados a los
sistemas de informacin, evitar el acceso de usuarios no autorizados,
proteger los servicios en red. Evitar accesos no autorizados a
ordenadores, el acceso no autorizado a la informacin contenida en el
sistema

Seguridad y Auditoria de la Informacin

7

8. Desarrollo y mantenimiento de sistemas.

Asegurar que la seguridad est incluida dentro de los sistemas de
informacin.
Evitar prdidas, modificaciones o mal uso de los datos de usuario en
las aplicaciones. Proteger la confidencialidad, autenticidad e integridad
de la informacin.

9. Gestin de continuidad del negocio.

Reaccionar a la interrupcin de actividades del negocio y proteger sus
procesos crticos frente grandes fallos o desastres. Todas las
situaciones que puedan provocar la interrupcin de las actividades del
negocio deben ser prevenidas y contrarrestadas mediante los planes
de contingencia adecuados.
10. Conformidad con la legislacin.
Evitar el incumplimiento de cualquier ley, estatuto, regulacin u
obligacin contractual y de cualquier requerimiento de seguridad.
Garantizar la alineacin de los sistemas con la poltica de seguridad
de la organizacin y con la normativa derivada de la misma.
Maximizar la efectividad y minimizar la interferencia de o desde el
proceso de auditora de sistemas.
Se debe identificar convenientemente la legislacin aplicable a los
sistemas de informacin corporativos (en nuestro caso, LOPD, LPI,
LSSI...), integrndola en el sistema de seguridad de la informacin de
la compaa y garantizando su cumplimiento.
Se debe definir un plan de auditora interna y ser ejecutado
convenientemente, para garantizar la deteccin de desviaciones con
respecto a la poltica de seguridad de la informacin.
11. Cumplimiento. Asegurar el cumplimiento de todo el proceso

Seguridad y Auditoria de la Informacin

8

IV.

RECURSOS

RECURSOS
TECNOLGICOS
Software:
1. Microsoft Word 2010.
2. Microsoft Excel 2010.
3. Microsoft Proyect 2010
Fsicos:
4.
5.
6.
7.

5 Equipos porttiles
Internet
Dispositivos mviles
Impresora

RECURSOS HUMANOS
Equipo de Trabajo:
1. Bedon Juregui Jahn
2. Cornejo Otero Ariel
3. Fernndez Mayta, Jhonatan
4. Montalvo Rosales, Antony
5. Palacios Garca, Carlos
Encargados:
1. Ing. Carlos Enrique Chinga
Ramos
Jefe
Oficina
Informtica.
2. Juan Castaeda Espinoza
Administrador de Servidores
y Seguridad Informtica.
3. William Esteban Chu Rosales
Jefe Soporte Tcnico.

4.1 ROLES Y RESPONSABILIDADES

Los roles de cada persona se encuentran especificados en la siguiente
tabla:
N
Nombres y Apellidos
1
Bedon Jauregui , Jahn
2
Cornejo Otero , Ariel
3
Fernandez Mayta Jhonatan
4
Montalvo Rosales,Antony
Seguridad
y Auditoria
de la
Informacin
5
Palacios
Garcia,
Carlos
9

Cargo
Jefe
Consultor
Consultor
Consultor
Consultor

4.2 DIAGRAMA DE ACTIVIDADES: el periodo es de 4 meses Consta las

actividades solo para el mes de Abril-Mayo.

V. PROCEDIMIENTOS A UTILIZAR.
Durante el desarrollo del trabajo se tiene prevista la utilizacin de cuestionarios
para las personas claves de la organizacin, as como la realizacin de entrevistas
especficas con las mismas personas. con la finalidad de obtener informacin para
procesar y llegar a identificar el nivel de cumplimiento de la organizacin.
Para el procedimiento del diagnstico se siguen una serie de paso que se
mencionan a continuacin:

Recoleccin de Datos

Seguridad y Auditoria de la Informacin

10

La

recoleccin

de datos se

refiere

al

uso

de

una

gran

diversidad

de tcnicas y herramientas que pueden ser utilizadas por el analista para

desarrollar los sistemas de informacin, los cuales pueden ser la entrevistas,
la encuesta,el cuestionario,la observacin,el diagrama deflujo y el diccionario de
Datos.

Durante el desarrollo de recoleccin de datos se utilizaron herramientas de

recoleccin de informacin como son:
Cuestionarios: Los cuestionarios proporcionan una alternativa muy til para la
entrevista; si embargo, existen ciertas caractersticas que pueden ser apropiada
en algunas situaciones e inapropiadas en otra. Al igual que la entrevistas, deben
disearse cuidadosamente para una mxima efectividad.
Entrevistas: Las entrevistas se utilizan para recabar informacin en forma verbal,
a travs de preguntas que propone el analista. Quienes responden pueden ser
gerentes o empleados, los cuales son usuarios actuales del sistema existente,
usuarios potenciales del sistema propuesto o aquellos que proporcionarn datos o
sern afectados por la aplicacin propuesta.
Observacion: Otra tcnica til para el analista en su progreso de investigacin,
consiste en observar a las personas cuando efectan su trabajo. Como tcnica de
investigacin,

la

observacin

tiene

Seguridad y Auditoria de la Informacin

11

amplia

aceptacin

cientfica.

4.10 Auditora interna

El detalle de la evaluacin y anlisis de brechas se mostrar en una matriz, cuyo
contenido es el siguiente:
En el cual de acuerdo a las entrevistas y encuestas planteadas y realizadas se
pueda mostrar con detalle los resultados de los requerimientos que deberan de
analizarse de acuerdo a la normativa ISO 17799, lo cual esta matriz nos indicara
de manera detallada los resultados obtenidos para su respectivo anlisis.
En el siguiente cuadro se detalla la descripcin de los grficos:

PORCENTAJE
100 %

DETALLE

DESCRIPCION

Totalmente Conforme a los Los requerimientos se

requerimientos
ajusta por completo a la
normativa

75%

Sustancialmente conforme Faltan realizar algunas

a los requerido
actividades conforme a la
normativa

50%

Parcialmente Conforme a Se cubre la mitad de lo

los requerimientos
requerido por la normativa

25%

Limitadamente conforme a Solo se han realizado

los requerimientos
algunas evaluaciones y
actividades
segn
la
normativa
No conforme a lo deseado No se realiz ninguna
actividad a lo requerido

0%

Seguridad y Auditoria de la Informacin

12