Informe Final de Auditoria e Informatica

UNIVERSIDAD
NACIONAL HERMILIO
VALDIZAN
FACULTAD DE INGENIERA
INDUSTRIAL Y DE SISTEMAS
E.A.PAPLICACIN DE LA
INGENIERA DE SISTEMAS
TEM METODOLOGA MAGERIT PARA
ANLISIS Y GESTIN DE
A: RIESGOS EN LA DIRECCIN DE
INFORMTICA DE LA UNHEVAL
CURSO : Seguridad y auditoria Informtica

DOCENTE : Ing. Ins Jess Tolentino
INTEGRANTES :
Huamn Aranda, Luis.
Huaman Callupe, Carla.
Ramn Espinoza, Javier
Talenas Pasquel, Lisbeth.
Hunuco Per
2014
INDICE
INDICE.......................................................................................................2
PRESENTACIN.........................................................................................5
INTRODUCCIN.........................................................................................6
PLANTEMIENTO DEL PROBLEMA...............................................................8
JUSTIFICACIN.........................................................................................10
OBJETIVOS...............................................................................................11
OBJETIVO GENERAL..............................................................................11
OBJETIVOS ESPECFICOS......................................................................11
HIPOTESIS...............................................................................................12
MARCO TERICO.....................................................................................13
DEFINICINES:.....................................................................................13
1) SEGURIDAD DE LA INFORMACIN....................................................13
2) CONSIDERACIONES DELIBERADAS A LA SEGURIDAD DE LA
INFORMACIN..................................................................................... 14
3) METODOLOGIAS DE ANLISIS DE RIESGO.......................................17
4) HERRAMIENTA DE APOYO..................................................................18
5) MAGERIT.............................................................................................. 18
6) REGULACIONES Y NORMAS QUE TRATAN EL RIESGO.....................20
ANALISIS DE RIESGO DE LOS ACTIVOS DE LA DIRECCIN DE
INFORMTICA....................................................................................22
a) ACTIVOS DE LA DIRECCIN DE INFORMTICA UNHEVAL............23
b) SALVAGUARDA ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 26
c) VALORACIN ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 34
d) AMENAZASEN ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 39
e) VULNERABILIDAD DE ACTIVOS DE LA DIRECCIN DE
INFORMTICA UNHEVAL..................................................................48
f) IMPACTO DE ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 57
g) TIPIFICACIN DE ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 68
h) RIESGO EFECTIVO DE ACTIVOS DE LA DIRECCIN DE
INFORMTICA UNHEVAL..................................................................81
ANALISIS E INTERPRETACIN DE RESULTADOS..............................92
ANALISIS DE RIESGO............................................................................92
SEMAFORIZACIN DE RESULTADOS.....................................................94
CALIFICACIN DE LOS RIESGOS...........................................................95
a) RIESGOS ASUMIBLES ACEPTABLES:..............................................95
b) RIESGOS APRECIABLES TOLERABLES...........................................96
c) RIESGOS GRAVES INACEPTABLES.................................................99
d) RIESGOS CRTICOS INADMISIBLES:.............................................101
MANEJO DE LOS RIESGOS..................................................................102
TIPO DE MANEJO DE LOS RIESGOS.......................................................103
POLITICAS DE SEGURIDAD DE LOS ACTIVOS DE LA DIRECCIN
DE INFORMTICA............................................................................105
GENERALIDADES.................................................................................... 105
NIVELES DE SEGURIDAD........................................................................112
PLAN DE CONTINGENCIA DE LA DIRECCIN DE INFORMTICA...137
INTRODUCCIN..................................................................................137
DEFINICIONES Y ALCANCES..................................................................138
1.1.1.LA SEGURIDAD FSICA..................................................................141
1.1.2.CONCEPTOS GENERALES.............................................................145
1.2. SEGURIDAD INTEGRAL DE LA INFORMACIN.............................149
DESARROLLO DEL PLAN DE CONTINGENCIA DE LA INFORMACIN. .149
1.3. FASE I :PLANIFICACIN.............................................................150
1.3.1.DIAGNOSTICO.............................................................................. 150
1.3.2.PLANIFICACIN............................................................................ 158
1.4. FASE II :IDENTIFICACIN DE RIESGOS......................................160
1.4.1.ANLISIS Y EVALUACIN DE RIESGOS.....................................160
1.4.2.Identificar los procesos crticos.................................................160
1.5. FASE III : IDENTIFICACIN DE SOLUCIONES.............................161
1.5.1.IDENTIFICACIN DE ALTERNATIVAS..........................................161
1.5.2.IDENTIFICACIN DE EVENTOS ACTIVADORES.........................162
1.5.3.IDENTIFICACIN DE SOLUCIONES.............................................162
1.5.4.FALLAS GENRICAS FUNCIONALES DE LOS SISTEMAS.........164
1.5.5.SEGURIDAD EN REDES...............................................................165
1.6. FASE 5: IMPLEMENTACIN........................................................166
1.6.1.DE LAS EMERGENCIAS FSICAS.................................................166
1.6.2.DE LAS EMERGENCIAS LGICAS DE DATOS............................171
CONCLUSIONES Y RECOMENDACIONES.............................................173
CONCLUSIONES.....................................................................................174
RECOMENDACIONES.............................................................................176
BIBLIOGRAFA........................................................................................177
PRESENTACIN
La necesidad de un estudio de las distintas metodologas de anlisis y

gestin de riesgos en los sistemas de informacin en la Direccin de
Informtica de la UNHEVAL Hunuco, ha ido creciendo por la necesidad de
combatir las vulnerabilidades existentes en cada uno de ellos.
Con el estudio se tom como mejor alternativa de prevencin la
Metodologa MAGERIT que ayudar a determinar los distintos recursos
econmicos, los riesgos que surgirn en cada uno de ellos y cmo prevenirlos
antes de que se materialicen las amenazas y perjudiquen a los recursos
informticos y por ende a la institucin.
INTRODUCCIN
La evolucin de las Tecnologas de la Informacin y la Comunicacin (TIC)

ha sido un elemento clave para que exista un sin nmero de amenazas y
riesgos.
En la mayora de los pases las empresas e instituciones poseen

Sistemas de Informacin que son afectados en el funcionamiento de sus
activos, como en la vulnerabilidad de su sistema por no tener implementadas
herramientas, polticas y normas de seguridad, sufriendo ataques de virus,
hackers, y de los propios empleados o usuarios maliciosos que acceden con
facilidad a la informacin confidencial.
En Hunuco las diferentes instituciones pblicas y privadas en su

mayora no cuentan con un plan para la implantacin de salvaguardas o
contramedidas en los sistemas informticos, que permitan disminuir las
probabilidades que se materialicen las amenazas, vulnerabilidades y riesgos en
las organizaciones; con el anlisis y gestin de riesgos encontraremos la nica
solucin de implementar los controles necesarios para garantizar los criterios
de la seguridad de la informacin en su (Autentificacin, Confidencialidad,
integridad, Disponibilidad).
Las vulnerabilidades en los sistemas de informacin en Direccin de

Informtica de la UNHEVAL se debe a la falta o desconocimiento de
metodologas de anlisis y gestin de riesgo, medidas de seguridad y
estndares para cada recurso informtico, lo cual provoca que exista
inseguridad y prdida de informacin para dicha institucin; cabe recalcar que
ya existe un estudio referente al anlisis de riesgos en la Direccin de
Informtica, por lo que es necesario su actualizacin.
PLANTEMIENTO DEL PROBLEMA
La Direccin de Informtica de la Universidad Nacional Hermilio Valdizn
de Hunuco, posee varios sistemas de informacin que son utilizados en sus
diferentes areas y sub reas dentro de la universidad, los cuales son de suma
importancia por poseer informacin vital para el funcionamiento de la
institucin.
En la actualidad, la mayora de organizaciones gubernamentales se han
visto afectadas en sus sistemas de informacin con amenazas tanto internas
como externas de la institucin debido al incremento y disponibilidad de la
infraestructura tecnolgica, reconociendo la falta de metodologas de anlisis y
gestin de riesgos de los sistemas de informacin que permitan identificar,
evaluar, valorar y controlar los riesgos que faciliten de una manera eficaz
cumplir con los objetivos propuestos en la Direccin de Informtica de la
Universidad Nacional Hermilio Valdizn de Hunuco.
Los riesgos de seguridad de informacin deben ser considerados en el
contexto de la organizacin, y las interrelaciones con otras funciones, tales
como recursos humanos, desarrollo, produccin, operaciones, administracin,
TI, finanzas, etc. y los clientes deben ser identificados para lograr una imagen
global y completa de estos riesgos.
La meta principal de la administracin del riesgo informtico debera ser

proteger a la organizacin y su habilidad de manejar su misin no solamente
la proteccin de los elementos informticos. Adems, el proceso no solo debe
de ser tratado como una funcin tcnica generada por los expertos en
tecnologa que operan y administran los sistemas, sino como una funcin
esencial de administracin por parte de toda la organizacin.
Por tanto, es imprescindible integrar una metodologa enfocada a la
seguridad del sistema en el desarrollo del mismo. La metodologa
recomendada es MAGERIT, desarrollada por el Ministerio de Administraciones
Pblicas, que permite un seguimiento exhaustivo de la seguridad del sistema
ajustndose a criterios como los de ITSEC o Criterios Comunes de Evaluacin
de la Seguridad de los Productos y Sistemas de Informacin, que permitan la
posterior homologacin y certificacin del sistema de informacin desde el
punto de vista de la seguridad.
Es importante que la Direccin de Informtica de la Universidad Nacional

Hermilio Valdizn de Hunuco, realice un estudio de las diferentes
metodologas de anlisis y gestin de riesgos informticos y la actualizacin de
ste, debido a que ayudara a identificar las vulnerabilidades, amenazas, y el
impacto del riesgo que tendr en la misma, para su adecuado funcionamiento
organizacional.
JUSTIFICACIN
El anlisis de riesgos informticos es un proceso que comprende la
identificacin de activos informticos, sus vulnerabilidades y amenazas a los
que se encuentran expuestos as como su probabilidad de ocurrencia y el
impacto de las mismas, a fin de determinar los controles adecuados para
aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotacin de un riesgo causara daos o

prdidas financieras o administrativas a una empresa u organizacin, se tiene
la necesidad de poder estimar la magnitud del impacto del riesgo a que se
encuentra expuesta mediante la aplicacin de controles. Dichos controles, para
que sean efectivos, deben ser implementados en conjunto formando una
arquitectura de seguridad con la finalidad de preservar las propiedades de
confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
Lo que se pretende en este trabajo de investigacin es realizar un

estudio en la Direccin de Informtica de la Universidad Nacional Hermilio
Valdizn de Hunuco utilizando la Metodologa MAGERIT para poder analizar,
evaluar y gestionar riesgos en base a resultados en su respectivo anlisis de
Riesgo.
OBJETIVOS
OBJETIVO GENERAL
Analizar y gestionar los riesgos de los sistemas de informacin de la
Direccin de Informtica de la Universidad Nacional Hermilio Valdizn de
Hunuco, basado en la metodologa MAGERIT para evitarla materializacin
de las amenazas.
OBJETIVOS ESPECFICOS
Identificar Activos y Grupos de Activos y valorarlos.

Identificar y agrupar Amenazas.
Identificar los mecanismos de salvaguarda existentes.
Identificar y Estimar las vulnerabilidades
Identificar y valorarlos impactos.
Evaluar el riesgo del sistema de informacin de la Direccin de
Informtica de la Universidad Nacional Hermilio Valdizn, tanto el
riesgo intrnseco, como el riesgo efectivo para implementar
salvaguardas.
Identificar las Polticas de Seguridad necesarias y existentes en la
Direccin de Informtica de la Universidad Nacional Hermilio Valdizn
de Hunuco.
Realizar un plan de contingencia para las amenazas existentes
encontradas segn el anlisis de riesgos.
HIPOTESIS
El uso de la metodologa MAGERIT nos permitir analizar, evaluar y
gestionar riesgos en base a resultados cuantitativos y cualitativos
obtenidos en su anlisis en la Direccin de Informtica de la
Universidad Nacional Hermilio Valdizn de Hunuco.
MARCO TERICO
DEFINICINES:
1) SEGURIDAD DE LA INFORMACIN
Seguridad de la Informacin tiene como fin la proteccin de la

informacin y de los sistemas de la informacin respecto al acceso, uso,
divulgacin, interrupcin o destruccin no autorizada de la informacin.
Las organizaciones estn sujetas a constantes violaciones a la Seguridad

de su Informacin producidos por diversos ataques cuyos autores son
denominados Agentes, por lo que podemos determinar su clasificacin
en:
a) ATAQUES PASIVOS
En los ataques pasivos el agente no altera el flujo de transmisin de la

informacin, sino que nicamente lee o monitoriza, para obtener
informacin que est siendo transmitida.
b) ATAQUES ACTIVOS
Estos ataques implican algn tipo de modificacin del flujo de datos

transmitido o la creacin de un falso flujo de datos.
2) CONSIDERACIONES DELIBERADAS A LA SEGURIDAD

DE LA INFORMACIN
a) ACTIVO
Es el recurso del sistema de informacin o relacionado con ste,

necesario para que la organizacin funcione correctamente y alcance
los objetivos propuestos.
Los activos se agrupan en las siguientes categoras:
a) Activos de Informacin.
b) Activos de Software.
c) Activos Fsicos.
d) Servicios.
e) Otros.
b) AMENAZAS
Es la condicin del entorno del sistema de informacin (persona,

mquina, suceso o idea) que, dada una oportunidad, podra dar lugar
a que se produjese una violacin de la seguridad.
Existen diversas modalidades en las que las amenazas pueden
presentarse, tales como:
a) Interrupcin.
b) Intercepcin.
c) Modificacin.
d) Fabricacin.
c) AUDITORA
La auditora informtica es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un Sistema de Informacin salvaguarda
el activo empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organizacin y utiliza eficientemente los
recursos.
d) CONTROL
Es un proceso establecido por el Directorio, la Gerencia, y todos los

niveles organizacionales, para brindar una seguridad razonable de que
se lograrn los objetivos del negocio. El control puede clasificarse en:
a) Controles Preventivos.
b) Controles Detectivos.
c) Controles Correctivos.
e) IMPACTO
Materializacin de una amenaza que conlleva a resultados

desfavorables sobre un activo de la organizacin.
f) RIESGO
Evento o condicin incierta que, en caso de incurrir, tiene un efecto

positivo o negativo sobre los objetivos de un proyecto.
g) MECANISMOS DE SALVAGUARDA
Procedimiento, dispositivo, fsico o lgico, que reduce el riesgo.
h) VULNERABILIDAD
Es la potencialidad o posibilidad de ocurrencia de la materializacin de

una amenaza sobre un activo. Existen tres tipos de vulnerabilidades:
a) Vulnerabilidad Intrnseca.
b) Vulnerabilidad Efectiva.
c) Vulnerabilidad Residual.
i) CONFIDENCIALIDAD
Asegura el secreto de las comunicaciones contenidas en el mensaje.
j) AUTENTICACIN
Significa que la informacin se enviada por quien aparece como

emisor y recibida por aquel a quien va dirigida.
k) INTEGRIDAD
La informacin no puede ser manipulada en el proceso de envi.
l) DISPONIBILIDAD
Requiere que los recursos del sistema informtico estn disponibles a

las entidades autorizadas en el momento en que se necesiten.
m) PROCESO DE ADMINISTRACIN DE RIESGO
Este proceso administracin de riesgo es un proceso continuo dado

que es necesario evaluar peridicamente si los riesgos encontrados y
si estos tienen una afectacin, hay que hacer calculo en las diferentes
etapas del riesgo. La mecnica que se ve inversa el mayor nmero de
las organizaciones hoy en da es en el esfuerzo del da a da. Es por
eso realizar anlisis de riesgo del proyecto referido al proyecto y el
impacto futuro en la estructura de riesgo de la organizacin.
3) METODOLOGIAS DE ANLISIS DE RIESGO
Citicus One: software comercial de Citicus, implementa el mtodo

FIRM del Foro de Seguridad de la Informacin;
CRAMM: CCTA Risk Assessment and Management Methodology

fue originalmente desarrollado para uso del gobierno de UK pero
ahora es propiedad de Siemens;
ISO TR 13335: fue el precursor de la ISO/IEC 27005;
MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los

Sistemas de Informacin est disponible tanto en espaol como en
ingls.
OCTAVE: Operationally Critical Threat, Asset, and Vulnerability

Evaluation Metodologa de Anlisis y Gestin de Riesgos
desarrollada por el CERT;
NIST SP 800-39: Gestin de Riesgos de los Sistemas de

Informacin, una perspectiva organizacional;
NIST SP 800-30: Gua de Gestin de Riesgos de los Sistemas de

Tecnologa de la Informacin, es gratuito;
Mehari: Mtodo de Gestin y Anlisis de Riesgos desarrollado por

CLUSIF (Club de la Scurit de l'Information Franais);
4) HERRAMIENTA DE APOYO
Existen varias herramientas en el mercado con las que se puede
uno apoyar a la hora de evaluar los riesgos, principalmente en el proceso
de evaluacin de los mismos. Una vez terminado este proceso se debe
documentar toda la informacin recabada para su anlisis posterior. La
herramienta que debemos seleccionar debe contener al menos un
mdulo de recoleccin de datos, de anlisis de los mismos y otro de
reportes. La importancia de un buen anlisis y una buena presentacin
de los datos analizados nos llevarn a una efectiva interpretacin de la
situacin actual de los riesgos y por ende, la seleccin de los controles
que debemos implementar ser la ms acertada en el proceso de
seleccin, ahorrando costos en productos y costos de operacin adems
del ahorro de tiempo.
5) MAGERIT
Es la metodologa de anlisis y gestin de riesgos elaborada por el

Consejo Superior de Administracin Electrnica, como respuesta a la
percepcin de que la Administracin, y, en general, toda la sociedad,
dependen de forma creciente de las tecnologas de la informacin para
el cumplimiento de su misin.
La razn de ser de MAGERIT est directamente relacionada con la

generalizacin del uso de las tecnologas de la informacin, que supone
unos beneficios evidentes para los ciudadanos; pero tambin da lugar a
ciertos riesgos que deben minimizarse con medidas de seguridad que
generen confianza.
MAGERIT interesa a todos aquellos que trabajan con informacin

digital y sistemas informticos para tratarla. Si dicha informacin, o los
servicios que se prestan gracias a ella, son valiosos, MAGERIT les
permitir saber cunto valor est en juego y les ayudar a protegerlo.
Conocer el riesgo al que estn sometidos los elementos de trabajo es,
simplemente, imprescindible para poder gestionarlos. Con MAGERIT se
persigue una aproximacin metdica que no deje lugar a la
improvisacin, ni dependa de la arbitrariedad del analista.
ISO 31000 - Marco de trabajo para la gestin de riesgos
El anlisis y gestin de los riesgos es un aspecto, por el que se

regula el Esquema Nacional de Seguridad en el mbito de la
Administracin Electrnica que tiene la finalidad de poder dar
satisfaccin al principio de proporcionalidad en el cumplimiento de los
principios bsicos y requisitos mnimos para la proteccin adecuada de
la informacin. MAGERIT es un instrumento para facilitar la implantacin
y aplicacin del Esquema Nacional de Seguridad.
Productos y servicios complementarios

PILAR es una herramienta que implementa la metodologa MAGERIT de
anlisis y gestin de riesgos, desarrollada por el Centro Criptolgico
Nacional (CCN) y de amplia utilizacin en la administracin pblica
espaola.
Objetivos del MAGERIT:
MAGERIT persigue los siguientes objetivos:
Concienciar a los responsables de las organizaciones de

informacin de la existencia de riesgos y de la necesidad de
gestionarlos
Ofrecer un mtodo sistemtico para analizar los riesgos derivados

del uso de tecnologas de la informacin y comunicaciones (TIC).
Ayudar a descubrir y planificar el tratamiento oportuno para

mantener los riesgos bajo control Indirectos:
Preparar a la Organizacin para procesos de evaluacin, auditora,

certificacin o acreditacin, segn corresponda en cada caso
ANALISIS DE RIESGO DE LOS ACTIVOS DE LA DIRECCIN

DE INFORMTICA
El primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene
como propsito determinar los componentes de un sistema que requieren
proteccin, sus vulnerabilidades y las amenazas, con el fin de valorar su grado
de riesgo.
La clasificacin de datos tiene el propsito de garantizar la proteccin de
datos (personales) y significa definir, dependiendo del tipo o grupo de personas
internas y externas. Considerando el contexto de nuestra misin institucional,
tenemos que definir los niveles de clasificacin como por ejemplo: confidencial,
privado, sensitivo y pblico. Cada nivel define por lo menos el tipo de persona
que tiene derecho de acceder a los datos, el grado y mecanismo de
autenticacin.
Una vez clasificada la informacin, tenemos que verificar los diferentes

flujos existentes de informacin internos y externos, para saber quines tienen
acceso a qu informacin y datos.
Clasificar los datos y analizar el flujo de la informacin a nivel interno y

externo es importante, porque ambas cosas influyen directamente en el
resultado del anlisis de riesgo y las consecuentes medidas de proteccin.
Porque solo si sabemos quines tienen acceso a qu datos y su respectiva
clasificacin, podemos determinar el riesgo de los datos, al sufrir un dao
causado por un acceso no autorizado.
a) ACTIVOS DE LA DIRECCIN DE INFORMTICA UNHEVAL
Este paso consiste en identificar y valorar la relevancia de los activos

determinantes para el proyecto. Los activos se evalan sobre una escala de
valor crtico donde se define qu tan importantes son para cumplir con los
objetivos del proyecto.
La relevancia de los activos marcar el rumbo definitivo de las acciones a
seguir en el anlisis del Riesgo. Cuanta mayor relevancia tenga un activo o
mayor es la importancia crtica, mayor ser el riesgo al que est expuesto
el proyecto en caso de ocurrir un incidente que materialice una amenaza.
La tarea clasifica los Activos identificados en las tipologas ofrecidas por

MAGERIT y los agrupa segn una consideracin principal de jerarqua
organizativa y segn otras posibles consideraciones:
Subestados de seguridad (Autenticacin, Confidencialidad,

Integridad, Disponibilidad, referenciados brevemente como A-C-I-D).
Amenazas que los pueden atacar,
Salvaguardas que los pueden proteger.
La tarea se completa aadiendo en el registro de cada Activo otros
campos pertinentes para su tratamiento posterior: descripcin,
ubicacin, responsable encargado, nmero o cantidad, etc.
La tarea agrupa Activos articulndolos en conjuntos definidos por el

objetivo comn de realizar un tipo de funcin determinada (que a su vez es
un componente de la misin del sistema). La agrupacin de Activos ms
prctica desde el punto de vista del Anlisis de Riesgos los articula en los 5
niveles de capas considerados en el Submodelo de Elementos de MAGERIT:
1) Entorno
2) Sistema de Informacin
3) Informacin
4) Funcionalidades de la Organizacin
5) Otros activos
Adicionalmente y por otro lado, la Tarea puede preparar
potestativamente otro tipo de agrupacin basada en la naturaleza de los
Activos, para facilitar el estudio de los mecanismos de salvaguarda ya
implantados o a implantar en aqullos. Por ejemplo, un computador
personal PC, formado por varios activos como monitor, teclado, CPU,
perifricos, sistema operativo, aplicaciones, datos, etc. puede ser atacado
en su conjunto por determinadas amenazas y requiere mecanismos de
salvaguarda adaptados individualmente a cada activo y colectivamente al
PC conjunto. Este tipo de agrupacin de Activos recoge grandes reas
tradicionales como stas:
Informacin y datos.
Hardware.
Software operativo.
Software de aplicacin.
Comunicaciones.
Documentos.
Equipamiento ambiental.
Personal interno y externo.
Infraestructura.
Activos organizacionales.
Se realiz una identificacin y agrupacin de activos atendiendo al
primer criterio (niveles de capa), aunque slo se identificaron activos en
los cuatro primeras niveles.
Los criterios identificados y agrupados por nivel son los siguientes:
N ACTIVOS NIVEL
1 UPS General
2 Switch Core
3 Switch CISCO Administrable
4 Servidor Administrador de Switch's
5 Servidor Proxy (ISA Server)
6 Servidor Antivirus
7 Servidor Base de Datos
8 Servidor DNS DHCP
ENTORNO
9 Servidor WEB
10 Servidor Firewal
11 Servidor de Correos
12 ASA (Servidor para la Seguridad de la Red)
13 Fibra ptica
14 Gabinetes Switch CISCO
15 Cmaras IP de Seguridad
16 computadoras de oficio
17 Impresora
18 Router
19 CD's de Instalacin de Aplicativos
20 Servidor FTP(ProFTP)
21 Servidor de Base de Datos(MySQL)
22 Servidor HTTP(APACHE)
SISTEMA DE INFORMACIN
23 Sistema Acadmico
24 Sistema de Caja
25 Sistema SIGA - SIAF (Herramienta del Estado)
26 Sistema SIGU (Estadstica)
27 Sistema de Tesorera
28 MS SQL Server 2005, 2008
29 MS Windows Server 2003, 2008
30 MS Office
31 MS Visual Studio
32 MS Windows 7
33 HIPER-V
34 VMWare Workstation
35 FIREWALL Interno-Externo
36 Backups de la Pagina institucional - Bases de Datos
37 Documentos recibidos a la DI INFORM
38 Documento Emitidos de la DI ACIN
39 Documentos oficiales impresos de la DI
40 Plan estratgico
FUNCIONES DE LA
ORGANIZACIN
41 MOF para la DI
42 ROF de la DI
43 Plan Operativo Informtico
44 Plan estratgico de Sistemas de informacin
45 Manual de Configuracin
46 Soporte Tcnico Interno
47 Soporte Tcnico Externo
48 Administracin de Permisos INFORM
ACION-
49 Identidad del Usuario GESTIO
N
b) SALVAGUARDA ACTIVOS DE LA DIRECCIN DE INFORMTICA

UNHEVAL
Una vez identificados los activos que estn relacionados con el proyecto
de software es necesario valorar el nivel de importancia que tienen estos
en el desarrollo del mismo, para ello se debe definir las dimensiones o
criterios bajo los cuales se van a evaluar, como por ejemplo:
Autenticidad: qu perjuicio causara no saber exactamente quien

hace o ha hecho cada cosa?
Esta valoracin es tpica de servicios (autenticidad del usuario) y de
los datos (autenticidad de quien accede a los datos para escribir o,
simplemente, consultar)
Confidencialidad: qu dao causara que lo conociera quien no
debe?
Esta valoracin es tpica de datos.
Integridad: qu perjuicio causara que estuviera daado o
corrupto?
Esta valoracin es tpica de los datos, que pueden estar
manipulados, ser total o parcialmente falsoso, incluso, faltar datos.
Disponibilidad: qu perjuicio causara no tenerlo o no poder
utilizarlo?
Esta valoracin es tpica de los servicios.
Es importante recordar que recordar que tanto los activos como los
mecanismos asociados a ellos se corresponden con el Sistema de
Informacin en desarrollo y no con el actual pues el principal objetivo de
este proyecto es la automatizacin total del proyecto lo que implica un
cambio radical en el conjunto de activos, de mecanismos asociados y de
amenazas sobre stos. Teniendo en cuenta estas caractersticas del
sistema en desarrollo se cambia el cometido de esta actividad, as en lugar
de seleccionar mecanismo existentes se proponen funciones o servicios de
salvaguardas nuevos. A continuacin se muestran una tabla con los
activos, las salvaguardas propuestas y los estados de seguridad que
refuerzan.
ESTADO DE
N ACTIVO NIVEL SALVAGUARDA
SEGURIDAD
Integridad El de
Mantenimiento del
1 UPS General compro
equipo en uso Disponibilidad
Restriccin del acceso, Disponibilidad Si el activo
2 Switch Core Mantenimiento del desp
activo en uso Autenticacin dispon
Restriccin del acceso, Disponibilidad Si el activo
Switch CISCO
3 Mantenimiento del desp
Administrable Autenticacin
activo en uso dispon
Disponibilidad Si el ser
Restriccin del acceso a
ENTONO
Confidencialidad despe
Servidor las instalaciones e
autori
4 Administrador de implementacin de Autenticacin integridad
Switch's contraseas de
y no
seguridad Integridad
info
las instalaciones e
Servidor Proxy (ISA autori
5 implementacin de Autenticacin
Server) integridad
contraseas de
y no
info
Restriccin del acceso a Disponibilidad Si el ser
6 Servidor Antivirus las instalaciones e Confidencialidad despe
implementacin de Autenticacin autori
Integridad
contraseas de integridad
seguridad y no
las instalaciones e
Servidor Base de autori
7 implementacin de Autenticacin
Datos integridad
contraseas de
y no
info
las instalaciones e
autori
8 Servidor DNS, DHCP implementacin de Autenticacin integridad
contraseas de
y no
info
las instalaciones e
autori
9 Servidor WEB implementacin de Autenticacin integridad
contraseas de
y no
info
las instalaciones e
autori
10 Servidor Firewal implementacin de Autenticacin integridad
contraseas de
y no
info
las instalaciones e
autori
11 Servidor de correos implementacin de Autenticacin integridad
contraseas de
y no
info
Confidencialidad El acces
ASA (Servidor para Limitacin de acceso al Integridad comprom
12 la Seguridad de la sistema(acceso de destrucci
Red) personal autorizado) Disponibilidad errn
inte
Integridad la mala c
Mantenimiento
13 Fibra ptica trae conse
Preventivo y correctivo Disponibilidad dispon
Sistemas de acceso Integridad No se de
Gabinetes Switch digital y de video gabinetes
14
CISCO vigilancia derechos de Disponibilidad esto afe
acceso
Integridad Al acceso
Mantenimiento por entid
Cmaras IP de Preventivo y correctivo, hurto, robo
15
Seguridad tanto electro como Disponibilidad de vigilan
Fsico de los equipos la auten
16 Computadora de Restriccin del acceso a Disponibilidad Si los equ

Integridad despe
las instalaciones e
autori
implementacin de
oficio integrid
contraseas de Confidencialidad disponib
seguridad
El de
Mantenimiento y uso
17 Impresora lser Disponibilidad compro
adecuado del activo
Confidencialidad La alter
Sistemas de acceso
Autentificacin acceso
digital, derechos de
autoriza
18 Router acceso, manteniendo Integridad auten
preventivo y Backups
integridad
de configuracin Disponibilidad
exter
CD's de Instaladon Controles fsicos y El Hurto ,d
19 Disponibilidad
de Aplicativos derechos de acceso
SISTEMA DE INFORMACIN Sw antivirus Puntos de
Servidor si el sistem
20 restauracin y backup Disponibilidad
FTP(ProFTP) con virus
de sistema
Sw antivirus Puntos de
Servidor de Base de si el sistem
Datos(MySQL) con virus
de sistema
Servidor si el sistem
HTTP(APACHE) con virus
de sistema
Identificacin de datos Autentificacin Si alguien
por perfiles y Integridad de los equ
contrasea,
23 Sistema Acadmico este as
Almacenamiento de
Disponibilidad afectara la
datos, sistemas de
respaldo
Identificacin de datos Autentificacin El incum
por perfiles y Confidencialidad manejo
contrasea, contrase
24 Sistema de Caja Disponibilidad
Almacenamiento de de datos a
datos, sistemas de confid
Integridad
respaldo
Identificacin de datos Autentificacin El mal us
por perfiles y Integridad divulgaci
Sistema SIGA - SIAF
contrasea, alteracin
25 (Herramienta del
Almacenamiento de dato
Estado) Disponibilidad
datos, sistemas de autent
respaldo
Identificacin de datos Autentificacin
por perfiles y Integridad Uso ina
Sistema SIGU contrasea, alteracin
26
(Estadstica) Almacenamiento de de estos
datos, sistemas de Disponibilidad integ
respaldo
27 Sistema de Identificacin de datos Autentificacin La altera
Tesorera por perfiles y Integridad estos r
Disponibilidad
contrasea, integ
Almacenamiento de
Un viru
MS SQL Server
28 Sw antivirus Integridad estructu
2005, 2008
af
Sw antivirus Puntos de Integridad
MS Windows Server El Hurto ,d
29 restauracin y backups
2003, 2008 Disponibilidad a inte
de sistemas operativo
30 MS Office Sw antivirus Integridad Un viru
estructu
31 MS Visual Studio Sw antivirus Disponibilidad af
si el sistem
32 MS Windows 7 restauracin y backup Disponibilidad
con virus
de sistema
Un viru
33 HIPER-V Sw antivirus Integridad estructu
af
Un viru
VMWare
34 Sw antivirus Integridad estructu
Workstation
af
Sistemas de acceso Confidencialidad Sin la re
digital, sistema video Integridad fuego para
FIREWALL Interno- vigilancia ,derechos de la red qued
35
Externo acceso, manteamiento intrusos d
preventivo y Backus de Disponibilidad lo cual afe
configuracin inte
Disponibilidad La sup
introducci
Backups de la Autenticacin
backup en discos prdida
36 Pagina institucional
pticos o externos comprom
- Bases de Datos
integ
Integridad
Confidencialidad Acce
Documentos Controles fsicos al docum
37
recibidos a la DI centro de cmputo y comprom
derechos de acceso Disponibilidad prdida
Confidencialidad Acce
Documento Emitidos Controles fsicos al docum
38 INFORMACIO
de la DI centro de cmputo y comprom
N
derechos de acceso Disponibilidad prdida
Autenticacin Acce
Documentos docum
Controles fsicos y Confidencialidad
39 oficiales impresos comp
derechos de acceso
de la DI confidenci
Disponibilidad
copia de
FUN
40 Plan estratgico documentacin, copia La prdida

digital Disponibilidad
Acceso fsico de
personal autorizado y/o La prdida
MOF para la DI Disponibilidad
41 con permiso, copia de
documentacin
Acceso fsico de
personal autorizado y/o La prdida
42 ROF de la DI Disponibilidad
con permiso, copia de
documentacin
CIONES DE LA ORGANIZACIN
Acceso fsico de Disponibilidad
personal autorizado y/o
Plan Operativo La prdida
Informtico Confidencialidad confiden
documentacin, copia
digital
Plan estratgico de personal autorizado y/o
La prdida
44 Sistemas de con permiso, copia de
Confidencialidad confiden
informacin documentacin, copia
digital
personal autorizado y/o
Manual de La prdida
Configuracin Confidencialidad confiden
documentacin, copia
digital
Disponibilidad Si no se co
interno es
Soporte Tcnico
46 Actualizacin continua equipos
Interno Integridad inform
integ
Disponibilidad Si no se co
interno es
Soporte Tcnico
47 Actualizacin continua equipos
Externo Integridad informaci
afectara l
Confidencialidad Para acced
Identificacin doble
que tener
Administracin de tanto por categora
48 o se comp
Permisos INFORMACIO como por usuario y Autenticacin debe trata
N-GESTION contrasea
se com
Identidad del Identificacin por La su
49 Autenticacin
Usuario usuario y contrasea. compr
c) VALORACIN ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL
Una vez realizado el cuadro anterior, ahora procedemos a dar

valoracin a los Activos. Se permite dos valoraciones de los Activos, una
intrnseca y otra asociada a sus subestados de seguridad (autenticacin,
confidencialidad, integridad, disponibilidad).
Valoracin intrnseca.
Los activos inventariables permiten la asociacin de un valor

monetario derivable, a efectos de cuantificar posibles Impactos, del valor
patrimonial oficial reseado en el inventario (valor de reposicin, valor
de cambio, coste de produccin en horas/hombre por precio/ hora, etc.).
Los activos no inventariables no permiten dicha asociacin directa de
un valor monetario, pero esto no impide que en la mayor parte de los
casos se pueda ponderar su valor de uso.
MAGERIT no recomienda la mezcla de valoraciones de activos

inventariables y no inventariables porque esta mezcla suele subestimar
stos ltimos, sobre todo los inmateriales y especialmente los
especficamente ligados a la Administracin Pblica. El procedimiento
recomendado por MAGERIT para valorar activos se puede resumir en un
doble esfuerzo:
Debe intentarse encontrar el valor de cambio del activo como

valor de reposicin, directa (valor de inventario) o indirectamente
(coste de su regeneracin tras un Impacto).
Si esa valoracin fuera imposible o inconveniente (valor de

reposicin de una persona tras un accidente causado por falta de
seguridad de algn activo), debe de tratarse este activo (con sus
posibles impactos y riesgo consecuentes) como un elemento del
entorno del Dominio abarcado por el proyecto de seguridad.
Valoracin asociada a los subestados de seguridad.
Proporciona un valor cualitativo de los subestados de

seguridad del Activo (autenticacin, confidencialidad, integridad,
disponibilidad, A-C-I-D), tomando como referencia el grado de
cumplimiento de la funcin y la importancia del activo para la misin del
sistema. Este tipo de valoracin asociada a los subestados de
seguridad tambin permitir en el estudio de valoracin del impacto una
primera aproximacin alternativa a la valoracin intrnseca.
Debido a que el sistema tiene como funcin una actividad sin nimo de
lucro, las prdidas temporales no tienen un coste econmico asociado,
por tanto slo ser posible el valor intrnseco de los activos
inventariables, que ser directamente su valor econmico.
VALOR Valoracin de sub

N ACTIVO NIVEL INTRINSE Autentificaci Confidenc
CO n ad
S/.
Resumen de Entorno MXIMA MUY ALT
213,035.00
ENTORNO
S/.
1 UPS General --- BAJO
26,000.00
S/.
2 Switch Core --- BAJO
127,000.00
S/.
3 Switch CISCO --- BAJO
10,000.00
S/.
4 Servidor Administrador de Switch's MAXIMA MUY ALT
12,000.00
5 Servidor Proxy (ISA Server) S/. 500.00 MAXIMA MUY ALT
6 Servidor Antivirus S/. 700.00 MUY ALTA MUY ALT
7 Servidor Base de Datos S/. 5,000.00 MUY ALTA MUY ALT
8 Servidor DNS, DHCP S/. 2,000.00 MAXIMA MAXIMA
9 Servidor WEB S/. ,000.00 MAXIMA Maxima
10 Servidor Firewal S/. 5,500.00 MAXIMA Maxima
11 Servidor de Correos S/. 2,000.00
ASA (Servidor para la Seguridad de
12 S/. 1,000.00 - Mxima
la Red)
13 Fibra ptica S/. 500.00
14 Gabinetes Switch CISCO S/. 2,000.00
15 Cmaras IP de Seguridad S/. 5,000.00
16 computadora de oficio S/. 8,000.00 Muy Alt
17 Impresora S/. 3,500.00
18 Router S/. 1,335.00
19 CD's de Instalacin de Aplicativos S/. -
Resumen de Sistemas de S/.
MXIMA MUY ALT
Informacin 88,911.60
S/.
SISTEMAS DE INFORMACIN
-
S/.
-
S/.
-
S/.
23 Sistema Acadmico Maxima
50,000.00
S/.
24 Sistema de Caja Maxima Muy Alt
10,500.00
Sistema SIGA - SIAF (Herramienta S/.
25 Maxima
del Estado) -
S/.
27 Sistema de Tesorera Maxima
10,500.00
S/.
441.60
S/.
30 MS Office
620.00
S/.
31 MS Visual Studio
890.00
S/.
32 MS Windows 7
1,500.00
S/.
33 HIPER-V
280.00
S/.
180.00
35 FIREWALL Interno-Externo S/. Maxima
14,000.00
S/.
36 Backups de las Bases de Datos Maxima
-
S/.
Resumen de Informacion MXIMA MUY ALT
-
S/.
37 Documentos recibidos a la DI Muy Alt
-
INFORMA S/.
38 Documento Emitidos de la DI Muy Alt
CION -
Documentos oficiales impresos de S/.
39 Muy Alta Muy Alt
la DI -
Resumen de Funciones de la S/.
MUY ALT
organizacin -
S/.
40 Plan estratgico
-
FUNCIONES DE LA ORGANIZACIN
S/.
41 MOF para la DI
-
S/.
42 ROF de la DI
-
S/.
43 Plan Operativo Informtico Muy Alt
-
Plan estratgico de Sistemas de S/.
44 Muy Alt
informacin -
S/.
45 Manual de Configuracin Alta
-
S/.
46 Soporte Tcnico Interno
-
S/.
47 Soporte Tcnico Externo
-
Resumen de Funciones de S/.
MUY ALTA
Organizacin -
S/.
48 Administracin de Permisos INFORMA Muy Alta
-
CION-
S/.
49 Identidad del Usuario GESTION Muy Alta
-
d) AMENAZAS EN ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL
La Actividad permite identificar y evaluar las amenazas que

sufren los activos del sistema. Cada Amenaza es un evento que
potencialmente puede desencadenar otras amenazas, todas juntas
constituyen un escenario de amenazas. La Vulnerabilidad, especfica para
el escenario de amenazas, propicia el desencadenamiento de stas que
producen Impactos (es decir deterioros) en los Activos afectados, con
distintos grados posibles de profundidad.
Se habla de un Ataque, cuando una amenaza se convirti en realidad, es

decir cuando un evento se realiz. Pero el ataque no dice nada sobre el
xito del evento y s o no, los datos e informaciones fueron perjudicado
respecto a su confidencialidad, integridad, disponibilidad y autenticidad.
La tarea realiza la identificacin de las amenazas y establece su tipologa

as como sus orgenes y sus objetivos principales o secundarios.
La tipologa atiende a la naturaleza de las amenazas (clasificables

como accidentes, errores, intencionales presenciales e intencionales
tele actuadas).
Entre los orgenes puede que interese identificar los agentes de las
amenazas y ciertas caractersticas como su capacidad y oportunidad
de accin, as como su motivacin en el caso de amenazas
intencionadas.
Los objetivos de las amenazas son los rboles de activos que

aqullas pueden afectar.
En la siguiente tabla mostramos las amenazas por cada activo, junto con
su origen y capacidad. Al estar los activos agrupados por niveles no se
estima necesario agrupar las amenazas, las relaciones entre stas se
estudian en la prxima tarea.
INTENCIONALIDAD
N Activo Nivel AMENAZA
(ORIGEN)
ENTORNO
Hurto Inters por los equipos
Intencion de retrazar las
Ataque Fisico
actividades planificadas
1 UPS General Averia Mal uso o infortunio
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Ataque Fisico
2 Switch Core Averia Mal uso o infortunio
causa daos severos
Ataque Fisico
3 Switch CISCO Averia Mal uso o infortunio
causa daos severos
Averia Mal uso o infortunio
Hurto Interes por los equipos
Servidor Administrador de Dao causado por agente
4 Ataque Fisico
Switch's interno/externo
causa daos severos
5 Servidor Proxy (ISA Server) Dao causado por agente
Ataque Fisico
interno/externo
causa daos severos
6 Servidor Antivirus Averia Mal uso o infortunio
Dao causado por agente
Ataque Fisico
interno/externo
causa daos severos
7 Servidor Base de Datos Dao causado por agente
Ataque Fisico
interno/externo
causa daos severos
8 Servidor DNS, DHCP Dao causado por agente
Ataque Fisico
interno/externo
causa daos severos
9 Servidor Web Dao causado por agente
Ataque Fisico
interno/externo
causa daos severos
10 Servidor Firewal Dao causado por agente
Ataque Fisico
interno/externo
causa daos severos
11 Servidor de Correos Dao causado por agente
Ataque Fisico
interno/externo
causa daos severos
12 ASA (Servidor para la
Seguridad de la Red)
Dao causado por agente
Ataque Fisico
interno/externo
causa daos severos
Intencin de desconfigurar
Hurto de
e impedir el acceso cliente
accesorios
- servidor
13 Fibra ptica
Intencin de invalidar el
Ataques fsicos equipo limitando el acceso
a la informacin
Intencin de limitar las
Hurto de equipos
actividades de la direccin
y accesorios
de informtica
Intencin de invalidar
Ataques fsicos informacin disponible en
los Gabinetes
Urto
Intencin de limitar la
seguridad y monitoreo de
Averia actividades
15 Camaras IP de Seguridad
Intencin de fluctuar el
Ataque Fisico
correcto funcionamiento
Avera
Mal uso o infortunio
Deterioro
16 Computadora de Oficio
causa daos severos
Avera
17 Impresora Mal uso o infortunio
Deterioro
Intencin de desconfigurar
Hurto de equipos
e impedir el acceso cliente
y accesorios
- servidor
Ocurrencia de dao
18 Router Rayo
directo.
Intencin de invalidar el
Ataques fsicos equipo limitando el acceso
a la informacin
Intencin de limitar
Hurto
CD's de Instaladon de software de aplicativos
19
Aplicativos Intencin de deterioros
Ataques fsicos
anulando su uso
Intencin de dao y
Ataque remoto
20 Servidor FTP(ProFTP) modificacin de la
con virus, spam
informacin
Intencin de dao y
Servidor de Base de Ataque remoto
21 modificacin de la
Datos(MySQL) con virus, spam
informacin
Intencin de dao y
Ataque remoto
22 Servidor HTTP(APACHE) modificacin de la
con virus, spam
informacin
Intencin de manipulacin
Ataques remotos
del SA
23 Sistema Acadmico
Intencion de no
Rayo
funcionalidad del sistema.
Intencin de modificacin
Ataques remotos
de registros de pagos
24 Sistema de Caja
Intencion de no
Rayo
Ataque con virus, Intencin de dao y
spam, dialers modificacin de la
Sistema SIGA - SIAF
25 informticos informacin
(Herramienta del Estado)
Intencion de no
Rayo
spam, dialers modificacin de la
26 Sistema SIGU (Estadstica) informticos informacin
Intencion de no
Rayo
Intencin de dao y
Ataque remoto
modificacin de la
con virus, spam
27 Sistema de Tesoreria informacin
Intencion de no
Rayo
Ataque remoto
Intencin de dao y
con virus, spam,
modificacin de la
dialers
informacin
informticos
Ataques con
Intencin de acceso a la
hackers y
informacin
spyware
Ataques con Intencin de acceso a la

MS Windows Server 2003,
29 hackers y informacin confidencial
2008
spyware de los usuarios
Ataques con Intencin de acceso a la
30 MS Office hackers y informacin confidencial
spyware de los usuarios

31 MS Visual Studio spam, dialers modificacin de la
informticos informacin
Ataques remotos Intencin de acceso a la

32 MS Windows 7 con hackers y informacin y
spyware manipulacin del sistema
Intencin de dao y
Ataque remoto
33 HIPER-V modificacin de la
con virus, spam
informacin
Intencin de dao y
Ataque remoto
34 VMWare Workstation modificacin de la
con virus, spam
informacin
Ataque a la red
interna con Intencin de saltar
hackers y restricciones del firewall
spyware
Intencin de destruir
informacin importante y
Destruccin
confidencial de la
organizacin
36 Backups de las Bases de Datos
Intencin de acceder a los
documentos de planes
Hurto estratgicos
administrativos de la
direccin de Informtica

37 Documentos recibidos a la DI Hurto
documentos de la DI
INFORMACION

38 Documento Emitidos de la DI Hurto
documentos de la DI
39 Documentos oficiales impresos Destruccin Intencin de anular o

de la DI limitar funciones de la DI
Acceso no
Intencin de obtener
permitido a
informacin interna de
documentos
40 Plan estratgico manuales de
normativos de la
funcionamiento de la
direccin de
informtica
Acceso no
Intencin de obtener
permitido a
documentos
41 MOF para la DI reglamentos y normativas
normativos de la
de la direccin de
direccin de
Informtica
informtica
Intencin de obtener
42 ROF de la DI Hurto informacin confidencial
en material de informtica
Acceso a Intencin de obtener

informacin de informacin respecto al
43 Plan Operativo Informtico gestin de los sistema de informacin y
sistemas de funcionalidades de las
informacin mismas
Acceso no
Intencin de obtener
permitido a
Plan estratgico de Sistemas documentos
44 manuales de
de informacin normativos de la
funcionamiento de la
direccin de
informtica
Intencin de obtener
Acceso a informacin de las
informacin en configuracin del sistema
45 Manual de Configuracion
materia de de informacin existente
Informtica en al Direccin de
Informtica
Intencin de identificar el
Acceso a
uso de servicios,
informacin de la
46 Soporte Tecnico Interno programas o dispositivos
Direccin de
usados por la Direccin de
Informtica
Informtica
Intencin de obtener
Acceso mediante
informacin interna y
terceros a
modificacin del uso de
47 Soporte Tecnico Externo informacin de la
servicios, programas o
Direccin de
dispositivos usados por la
Informtica
Direccin de Informtica
Intencin de acceder a
INFO
Suplantacin de
48 Administracin de Permisos datos
identidad
personales.
RMACION-
GESTION
Suplantacin de Intencin de actuar con
49 Identidad del Usuario
identidad. impunidad.
e) VULNERABILIDAD DE ACTIVOS DE LA DIRECCIN DE

INFORMTICA UNHEVAL
Una vulnerabilidad se define, como un estado de debilidad o incapacidad

para resistir un fenmeno amenazante y que al ser explotado afecta el
estado de los activos del proyecto, dicho en otras palabras es la
potencialidad o cercana previsible de la materializacin de la Amenaza
en Agresin.
Al igual que los activos las vulnerabilidades deben valorarse y priorizarse,

pero antes deben describirse claramente y evaluarla tomando como
criterios la frecuencia de ocurrencia.
MAGERIT evala la vulnerabilidad como la frecuencia de ocurrencia de la

amenaza sobre el activo correspondiente.
La tarea identifica y establece las vulnerabilidades como relaciones entre

los activos y sus amenazas, de forma individual o agrupada, a partir de las
clasificaciones realizadas en las tareas anteriores. Considera tres tipos de
vulnerabilidad:
Vulnerabilidad Intrnseca: Si no incluye ninguna salvaguarda

(fuera de las naturales o implcitamente incorporadas en el activo
considerado).
Vulnerabilidad Efectiva: Resultante de la aplicacin de las
salvaguardas existentes.
Vulnerabilidad Residual: Resultante de aplicar las

salvaguardas complementarias, aconsejadas como resultado del
Anlisis y Gestin de Riesgos.
Para identificar el grado de vulnerabilidad de los activos en estudio, se

medir de acuerdo a la escala de 7 mediciones, teniendo el factor Muy
Alta con la escala 7 hasta el factor Muy baja que tiene la escala de 1;
que a continuacin se muestra:
ESCALA
Muy alta 7
Alta 6
Medio Alta 5
Media 4
Medio Baja 3
Baja 2
Muy Baja 1
En la siguiente tabla de Vulnerabilidades, se muestran los activos, las

amenazas y salvaguardas asociados y las vulnerabilidades; intrnseca,
efectiva y residual.
Como se explic anteriormente el sistema supondr una completa

novedad, por tanto, las salvaguardas asociados a los activos no son
mecanismos existentes sino funciones o servicios de salvaguarda
propuestos, lo que garantiza que reduzcan en gran medida la
vulnerabilidad del activo, salvo excepciones detalladas en la tabla.
SALVAGUAR VULNERA
N ACTIVOS NIVEL AMENAZA
DA INTRINSECA EFECTIVA
ENTORNO
1 UPS General Hurto Mantenimiento Media Alta

del equipo en
Ataque Fisico uso Alta Alta
Averia Media Muy Alta
Rayo Muy Alta Muy Alta
Hurto Medio Alta Media

Restriccin del
Ataque Fisico acceso, Medio Alta Media
2 Switch Core Mantenimiento
Averia del activo en Medio Alta Media
uso
Hurto Medio Alta Media

Restriccin del
Ataque Fisico acceso, Medio Alta Media
3 Switch CISCO Mantenimiento
Averia del activo en Medio Alta Media
uso
Averia Restriccin del Medio Alta Medio Alta

acceso a las
Servidor Hurto Media Media
instalaciones e
4 Administrador de
Ataque Fisico implementacin Media Medio Alta
Switch's
de contraseas
Rayo de seguridad Muy Alta Muy Alta

acceso a las
Servidor Proxy (ISA Hurto instalaciones e Media Media
5
Server) Ataque Fisico implementacin Media Medio Alta
de contraseas

acceso a las
Hurto instalaciones e Media Media
de contraseas

acceso a las
Servidor Base de Hurto instalaciones e Media Media
7
Datos Ataque Fisico implementacin Media Medio Alta
de contraseas
8 Servidor DNS, DHCP Averia Restriccin del Medio Alta Medio Alta
acceso a las
implementacin
Ataque Fisico de contraseas Media Medio Alta
acceso a las
9 Servidor WEB
de contraseas

acceso a las
10 Servidor Firewal
de contraseas

acceso a las
de contraseas

acceso a las
ASA (Servidor para Hurto Media Media
instalaciones e
12 la Seguridad de la
Red)
de contraseas
Hurto de
Mantenimiento Medio alta Alta
accesorios
13 Fibra ptica Preventivo y
Ataques
correctivo Media Media Baja
fsicos
Hurto de Sistemas de
equipos y acceso digital y Baja Media
Gabinetes Switch accesorios de video
14
CISCO vigilancia
Ataques
derechos de Baja Muy baja
fsicos
acceso
Urto Mantenimiento Media Media
Preventivo y
Camaras IP de Averia correctivo, tanto Media Medio Alta
15
Seguridad electro como
Ataque Fisico Fsico de los Media Medio Alta
equipos
16 Computadora de Deterioro Restriccin del Baja Media
oficio acceso a las
Averia instalaciones e Baja Muy baja
implementacin
Rayo de contraseas Muy Alta Muy Alta
de seguridad
Robo y Hurto Mantenimiento y Baja Media
17 Impresora uso adecuado
Averia del activo Baja Muy baja
Hurto de Sistemas de
Media Media
equipos y acceso digital,
accesorios derechos de
18 Router Rayo acceso, Muy alta Media
Ataques manteniendo
preventivo y Media Media
fsicos
Backups de
Hurto Controles fsicos Media Medio Baja
CD's de Instaladon
19 y derechos de
de Aplicativos Ataques
acceso Medio Baja Muy Baja
fsicos
Servidor Ataque Controles fsicos
20 Media Media Baja
FTP(ProFTP) remoto con y derechos de
Servidor de Base de virus, spam
Ataque Swacceso
antivirus
21 Media Media Baja
Datos(MySQL) remoto con Puntos de
Servidor virus, spam
Ataque restauracin
Sw antivirusy
22 Media Media Baja
HTTP(APACHE) remoto con Puntos de
virus, spam
Ataques restauracin de
identificacin y
Medio Alta Alta
remotos datos por
23 Sistema Acadmico perfiles y
Rayo contrasea, Muy alta Media
Ataques Almacenamiento
identificacin de
Medio Alta Media
remotos datos por
24 Sistema de Caja perfiles y
Ataque con Almacenamiento
Identificacin de
Sistema SIGA - SIAF virus, spam, datos por Media Medio Alta
25 (Herramienta del dialers perfiles y
Estado) informticos contrasea,
Rayo Almacenamiento Muy alta Media
de datos,
Ataque con Identificacin de
Media Medio Alta
Sistema SIGU virus, spam, datos por
26 dialers perfiles y
(Estadstica)
Ataque Almacenamiento
Identificacin de
Media Media
Sistema de remoto con datos por
27 virus, spam perfiles y
Tesoreria
Ataque Almacenamiento
remoto con
Copias de
virus, spam, Media Medio Baja
Respaldo,
MS SQL Server dialers
28 polticas de
2005, 2008 informticos
respaldo y su
Ataques con
manejo
hackers y Medio Alta Baja
spyware
29 MS Windows Server Ataques con Sw antivirus Medio Alta Alta
hackers y Puntos de
spyware restauracin y
2003, 2008 backups de
sistemas Media Media
operativo
Ataques con
30 MS Office hackers y Sw antivirus Media Medio Alta
spyware
31 MS Visual Studio Sw antivirus Media Media Alta
Sw antivirus
Ataques
Puntos de
remotos con
32 MS Windows 7 restauracin y Media Media
hackers y
backup de
spyware
sistema
Ataque
33 HIPER-V remoto con Sw antivirus Medio Alta Alta
virus, spam
Ataque
VMWare
34 remoto con Sw antivirus Medio Alta Alta
Workstation
virus, spam
Sistemas de
acceso digital,
sistema video
Ataque a la vigilancia
FIREWALL Interno- red interna ,derechos de
35 Alta Muy alta
Externo con hackers y acceso,
spyware manteamiento
preventivo y
Backus de
configuracin
Destruccin backup en
Backups de las
36 discos opticos o Alta Muy alta
Bases de Datos Hurto externos
Documentos
37 Robo
recibidos a la DI
Limitacin de
Documento Emitidos Se reduce
38 INFORMACI acceso a las
de la DI Media-Alta al
ON instalaciones de
Documentos Destruccin mnimo.
la organizacin
39 oficiales impresos
de la DI
Acceso no
permitido a
FUNCIONES DE LA
documentos copia de
ORGANIZACIN
41 Plan estratgico normativos documentacin, Alta Muy alta

de la copia digital
direccin de
informtica
42 MOF para la DI Acceso no acceso a Se reduce
43 ROF de la DI permitido a la informacin de Media-Alta al
44 Plan Operativo gestin de los mnimo.
Informtico
Manual de comunicacin sistemas de
45
Configuracion informacin
Soporte Tecnico Acceso a
46
Interno informacin Se reduce
Actulizacin
de la Media-Alta al
Soporte Tecnico continua
47 Direccin de mnimo.
Externo
Informtica
Identificacin
Suplantacin Se reduce
Administracin de por
48 de Media-Alta al
Permisos usuario y
identidad mnimo.
contrasea.
INFORMACI
ON-
GESTION
Identificacin Se reduce
Suplantacin
Identidad del por en
49 de Media-Alta
Usuario usuario y gran
identidad
contrasea. medida
PROMEDIO DE LA VULNERABILIDAD
f) IMPACTO DE ACTIVOS DE LA DIRECCIN DE INFORMTICA

UNHEVAL
Se habla de un Impacto, cuando un ataque exitoso perjudic la

confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones.
Estimar la Magnitud de Dao generalmente es una tarea muy compleja.

La manera ms fcil es expresar el dao de manera cualitativa, lo que
significa que aparte del dao econmico, tambin se considera otros
valores como daos materiales, imagen, emocionales, entre otros.
Expresarlo de manera cuantitativa, es decir calcular todos los componentes
en un solo dao econmico, resulta en un ejercicio an ms complejo y
extenso.
Aunque conozcamos bien el impacto de un ataque exitoso, sus

consecuencias pueden ser mltiples, a veces son imprevisibles y dependen
mucho del contexto donde manejamos la informacin, sea en una ONG
(Derechos Humanos, centro de informacin etc.), en una empresa privada
(banco, clnica, produccin etc.), en una institucin Estatal o en el mbito
privado. Otro factor decisivo, respecto a las consecuencias, es tambin el
entorno donde nos ubicamos, es decir cules son las Leyes y prcticas
comunes, culturales que se aplica para sancionar el incumplimiento de las
normas.
El objetivo de esta actividad es conocer el alcance del dao

producido en el Dominio como consecuencia de la materializacin de
amenazas sobre los activos.
El Impacto, visto como caracterstica del Activo que recoge el cambio de

estado de su seguridad, permite apreciar la 'gravedad' de la consecuencia
generada por la Agresin, en forma de reduccin de niveles de los
subestados de seguridad (ACID) del Activo afectado.
Esta tarea identifica el Impacto como resultado de la agresin de una

amenaza a un activo, en forma de degradacin de valor, de necesidad de
reposicin (con su coste) o de reduccin de los niveles de uno o varios
subestados de seguridad ACID.
En la siguiente tabla se muestran los activos, sus amenazas asociadas,

el impacto directo de la materializacin de estas amenazas y las
consecuencias de dicho impacto. Cuando entre las consecuencias se
encuentra la materializacin de otra amenaza se destaca en negrita.
N
Activo Nivel AMENAZA Impacto Coste
ENTORNO
1 UPS General Reduccion a la

Hurto S/. 5,000.00
Disponibilidad
Ataque Fisico Reduccion a la S/. 26,000.00

Disponibilidad
Averia
Rayo
Hurto
Ataque Fisico
Reduccin a la
2 Switch Core S/. 127,000.00
Disponibilidad
Averia
Rayo
Hurto
Ataque Fisico
Reduccin a la
3 Switch CISCO S/. 10,000.00
Disponibilidad
Averia
Rayo
Averia Reduccin a la
Disponibilidad
Hurto
Servidor Administrador de Reduccin de la
4 S/. 12,000.00
Switch's Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
Disponibilidad
Hurto
Reduccin de la
5 Servidor Proxy (ISA Server) S/. 500.00
Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
Disponibilidad
Hurto
Reduccin de la
6 Servidor Antivirus S/. 700.00
Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
Disponibilidad
Hurto
Reduccin de la
7 Servidor Base de Datos S/. 5,000.00
Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
8 Servidor DNS, DHCP Averia Reduccion de la S/. 2,000.00

Integridad
Hurto
Ataque Fisico
Rayo Reduccin de la
Disponibilidad
Disponibilidad
Hurto
Reduccin de la
9 Servidor WEB S/. 1,000.00
Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
Averia
Reduccin de la
Hurto
Confidencialidad
10 Servidor Firewal S/. 5,500.00
Reduccin de la
Ataque Fisico
Integridad
Rayo
Averia
Reduccin de la
Hurto Autentificacin
Reduccin de la
11 Servidor de Correos S/. 2,000.00
Ataque Fisico Disponibilidad
Reduccin de la
Rayo confidencialidad
Averia
Reduccin de la
Hurto
ASA (Servidor para la Confidencialidad
12 S/. 1,000.00
Seguridad de la Red) Reduccin de la
Ataque Fisico
Integridad
Rayo
Hurto de
accesorios
Reduccion de la
Integridad
Reduccin de la
Ataques
Disponibilidad
fsicos
14 Gabinetes Switch CISCO Hurto de Reduccin a la S/. 2,000.00

equipos y Disponibilidad
accesorios Reduccin de la
confidencialidad
Reduccin de la
Ataques Disponibilidad
S/. 85.00
fsicos Reduccin de la
Integridad
Reduccin a la
Urto S/. 5,000.00
Disponibilidad
Reduccin de la
Averia S/. 8,000.00
15 Camaras IP de Seguridad Integridad
Reduccin de la
Ataque Fisico S/. 1,819.00
Confidencialidad
Deterioro Reduccin de
Confidencialidad
16 Computadora de oficio Averia S/. 3,500.00
Reduccin de
Rayo Disponibilidad
Robo y Hurto
Reduccin de
17 Impresora S/. 300.00
Disponibilidad
Averia
Hurto de
equipos y
accesorios
Reduccin a la
18 Router S/. 1,335.00
Rayo Disponibilidad
Ataques
fsicos
Hurto Reduccin de la
CD's de Instaladon de Disponibilidad
19 ------------
Aplicativos Ataques Reduccin de la
fsicos Integridad
Reduccin de la
Ataque
Disponibilidad
20 Servidor FTP(ProFTP) remoto con -------------
Reduccin de la
virus, spam
integridad
Ataque Reduccin de la
Servidor de Base de
21 remoto con Disponibilidad -------------
Datos(MySQL)
virus, spam Reduccin de la
integridad
Reduccin de la
Ataque
Disponibilidad
22 Servidor HTTP(APACHE) remoto con -------------
Reduccin de la
virus, spam
integridad
Reduccion de la
Autenticidad
Ataques Reduccin de la
remotos Disponibilidad
23 Sistema Acadmico Reduccin de la S/. 50,000.00
confidencialidad
Reduccion a la
Rayo
Integridad
Reduccion de la
Ataques Autenticidad
remotos Reduccin de la
Disponibilidad
24 Sistema de Caja S/. 10,500.00
Reduccin de la
confidencialidad
Rayo Reduccin de la
intergridad
Ataque con Reduccion de la

virus, spam, Autenticidad
dialers Reduccin de la
Sistema SIGA - SIAF informticos Disponibilidad
25 ------------
(Herramienta del Estado) Reduccin de la
confidencialidad
Rayo Reduccin de la
intergridad
Reduccion de la
Ataque con Autenticidad
virus, spam, Reduccin de la
dialers Disponibilidad
26 Sistema SIGU (Estadstica) informticos Reduccin de la ------------
confidencialidad
Reduccion a la
Rayo
Integridad
27 Sistema de Tesoreria Ataque Reduccion de la S/. 10,500.00

remoto con Autenticidad
Disponibilidad
Reduccin de la
confidencialidad
Reduccin de la
intergridad
Ataque
remoto con
Reduccin de la
virus, spam,
Confidencialidad
dialers
informticos
28 MS SQL Server 2005, 2008 ------------
Reduccin de la
Rayo
Integridad
Reduccin de la
Autenticidad
Reduccin de la
Ataques con
MS Windows Server 2003, Confidencialidad
29 hackers y S/. 44,160.00
2008 Reduccin de la
spyware
Disponibilidad
Reduccin de la
integridad
Reduccin de la
Ataques con
Disponibilidad
30 MS Office hackers y S/. 620.00
Reduccin de la
spyware
integridad
Reduccin de la
Ataques con
Disponibilidad
31 MS Visual Studio hackers y S/. 890.00
Reduccin de la
spyware
integridad
Reduccin de la
Autenticidad
Ataque con Reduccin de la
virus, spam, Confidencialidad
32 MS Windows 7 S/. 1,500.00
dialers Reduccin de la
informticos Disponibilidad
Reduccin de la
integridad
33 HIPER-V S/. 280.00
remotos con Confidencialidad
hackers y Reduccin de la
spyware Integridad
Reduccin de la
Confidencialidad
Ataque
34 VMWare Workstation remoto con S/. 180.00
Integridad
Reduccin de la
Ataque
Confidencialidad
35 FIREWALL Interno-Externo remoto con S/. 14,000.00
Reduccin de la
virus, spam
Integridad
Destruccin Reduccin de la
Confidencialidad
Backups de la Pagina
Reduccin de la
36 institucional - Bases de ------------
Disponibilidad
Datos Hurto
Reduccin de la
integridad
Reduccin de la
INFORMACION
Confidencialidad
Documentos recibidos a la Reduccin de la
37 Hurto -------------
DI Disponibilidad
Reduccin de la
integridad
Reduccin de la
Confidencialidad
Documento Emitidos de la Reduccin de la
38 Hurto -------------
DI Disponibilidad
Reduccin de la
integridad
39 Documentos oficiales Destruccin Reduccin de la -------------

impresos de la DI Confidencialidad
Reduccin de la
Disponibilidad
Reduccin de la
Acceso no
permitido a
documentos
40 Plan estratgico normativos Reduccin de la -------------
de la Disponibilidad
direccin de Reduccin de la
informtica integridad
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
41 MOF para la DI normativos -------------
Reduccin de la
de la
integridad
direccin de
informtica
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
42 ROF de la DI normativos -------------
Reduccin de la
de la
integridad
direccin de
informtica
acceso a
informacin Reduccin de la
de gestin Disponibilidad
43 Plan Operativo Informtico -------------
de los Reduccin de la
sistemas de integridad
informacin
acceso a
Plan estratgico de de gestin Disponibilidad
44 -------------
Sistemas de informacin de los Reduccin de la
informacin
acceso a
45 Manual de Configuracion -------------
informacin
46 Soporte Tecnico Interno Acceso a -------------

en materia de Disponibilidad
Informtica Reduccin de la
integridad
Acceso a
Reduccin de la
informacin
47 Soporte Tecnico Externo Disponibilidad ----------
en materia de
Reduccin de la
Informtica
integridad
INFORMACION-GESTION
Reduccin de la
Administracin de Suplantacin
48 Confidencialidad -----------
Permisos de identidad
Reduccin de la
integridad
Reduccin de la
Suplantacin Confidencialidad
49 Identidad del Usuario ----------
de identidad. Reduccin de la
integridad
g) TIPIFICACIN DE ACTIVOS DE LA DIRECCIN DE

INFORMTICA UNHEVAL
La tarea permite clasificar los impactos por el tipo de consecuencias que

las amenazas pueden producir en los activos impactados:
a. Impactos con consecuencias cuantitativas
o N1: Prdidas econmicas
o N2: Prdidas inmateriales
o N3: Responsabilidad legal, civil o penal
b. Impactos con consecuencias cualitativas orgnicas
o L1: Prdida de fondos patrimoniales

o L2: Incumplimiento de obligaciones legales
o L3: Perturbacin o situacin embarazosa poltico-administrativa
o L4: Dao a las personas
c. Impactos con consecuencias cualitativas funcionales

(reduccin de Subestados)
o SA: Autenticacin
o SC: Confidencialidad
o SI: Integridad
o SD: Disponibilidad
A continuacin se muestra en una tabla la clasificacin de los

impactos atendiendo a los criterios definidos en el enunciado.
Tambin se realiza una valoracin subjetiva pero muy intuitiva de

los impactos, se calificar el dao hecho al sistema una vez se produce el
impacto (materializacin de la amenaza asociada) en funcin del impacto
directo y de las consecuencias indirectas, es decir, se valorarn los
impactos en funcin de los campos en funcin de las consecuencias que
acarree.
Como se podr observar todos aquellos impactos que conllevan

responsabilidades legales, civiles o penales (N3), que en este sistema
sern consecuencia de la violacin de la LORTAD, tiene una valoracin de
dao Crtico.
N Activo NIVE AMENAZA Impacto Coste CONSECUENC
Cualitativ
Cuantitativ as
L as Orgnica
s
ENTORNO
Reduccion a la S/.
Hurto N1, N2, N3 L2
Disponibilidad 5,000.00
Ataque Fisico N1, N2 L2

1 UPS General
Reduccion a la S/.
Averia N1, N2 L2
Rayo N1, N2 L1, L4
Hurto N1, N2, N3 L2, L3
Ataque Fisico S/. N1, N2 L2

Reduccin a la
2 Switch Core 127,000.0
Disponibilidad
Averia 0 N1, N2 L2
Rayo N1, N2 L1, L4
Hurto N1, N2, N3 L2, L3

Reduccin a la S/.
3 Switch CISCO
Averia N1, N2 L2
Rayo N1, N2 L1, L4
Averia N2, N3 L2
Reduccin a la
Hurto Disponibilidad N2, N3 L2, L3
Servidor
Reduccin de la S/.
4 Administrador de
Confidencialidad 12,000.00
Switch's Ataque Fisico N2 L2, L3
Reduccin de la
Integridad
Rayo N1, N2 L1, L4
5 Servidor Proxy Reduccin a la S/. 500.00

(ISA Server) Averia Disponibilidad N2, N3 L2
Reduccin de la
Hurto Confidencialidad N2, N3 L2, L3
Reduccin de la
Integridad
Ataque Fisico N2 L2, L3
Rayo N1, N2 L1, L4

Averia N2, N3 L2
Reduccin a la
Reduccin de la
6 Servidor Antivirus S/. 700.00
Confidencialidad
Ataque Fisico Reduccin de la N2 L2, L3
Integridad
Rayo N1, N2 L1, L4
Averia N2, N3 L2
Reduccin a la
Servidor Base de Reduccin de la S/.
7
Datos Confidencialidad 5,000.00
Integridad
Rayo N1, N2 L1, L4
Averia N2 L2
Hurto Reduccion de la N2 L2
Servidor DNS, Integridad S/.
8
DHCP Reduccin de la 2,000.00
Ataque Fisico Disponibilidad N2 L2
Rayo N1, N2 L1, L4
Averia N2, N3 L2
Reduccin a la
Reduccin de la S/.
9 Servidor WEB
Integridad
Rayo N1, N2 L1, L4
Averia N2, N3 L2
Hurto Reduccin de la N2, N3 L2, L3

Confidencialidad S/.
10 Servidor Firewal
Reduccin de la 5,500.00
Ataque Fisico Integridad N2 L2, L3
Rayo N1, N2 L1, L4
11 Servidor de Averia Reduccin de la S/. N2, N3 L2, L3

Correos Autentificacin 2,000.00
Hurto
Reduccin de la
Disponibilidad
Ataque Fisico
Reduccin de la
confidencialidad
Rayo N1, N2 L1, L4
Averia N2, N3 L2
Hurto Reduccin de la N2, N3 L2, L3

ASA (Servidor
Confidencialidad S/.
12 para la Seguridad
de la Red) Ataque Fisico N2 L2, L3
Integridad
Rayo N1, N2 L1, L4
Hurto de Reduccion de la N1, N2 L2

accesorios Integridad
Disponibilidad N1 L2
fsicos
Reduccin a la
Hurto de
Disponibilidad S/.
equipos y N1, N2 L2
accesorios
Gabinetes Switch confidencialidad
14
CISCO Reduccin de la
S/. 85.00 N1, N2 L2
Integridad
Reduccin a la S/.
Hurto N1, N2 L2
Camaras IP de Reduccin de la S/.
15 Averia N1, N2 L2
Seguridad Integridad 8,000.00
Reduccin de la S/.
Deterioro N1 L4
Reduccin de
Computadora de Confidencialidad S/.
16 Avera N1 L4
oficio Reduccin de 3,500.00
Disponibilidad
Rayo N1, N2 L1, L4
17 Impresora Reduccin de S/. 300.00

Robo y Hurto Disponibilidad N1 L4
Averia N1
Reduccin a la
Hurto N1, N2 L2
Disponibilidad
Reduccion a la S/.
18 Router Rayo N1, N2 L2
Integridad 1,335.00
Ataques Reduccin a la
N1 L2
fsicos Disponibilidad
Reduccin de la
Disponibilidad
Hurto N2 L2
Reduccin de la
CD's de Instaladon Integridad
19 -
de Aplicativos Reduccin de la
N2 L2
Integridad
Ataque
remoto con Reduccin de la
Servidor virus, Disponibilidad
20 - N2 L2
FTP(ProFTP) troyanos , Reduccin de la
dialers integridad
informticos
Ataque
Servidor de Base virus, Disponibilidad
21 - N2 L2
de Datos(MySQL) troyanos , Reduccin de la
dialers integridad
informticos
Ataque
Servidor virus, Disponibilidad
22 - N2 L2
HTTP(APACHE) troyanos , Reduccin de la
dialers integridad
informticos
Ataques
Reduccion de la
remotos
Autenticidad
Introduccin
Reduccin de la
de datos N2 L2
Sistema Disponibilidad S/.
23 incorrectos
Acadmico Reduccin de la 50,000.00
Borrado de
confidencialidad
datos
Reduccion a la
Rayo N1, N2 L2
Integridad
24 Sistema de Caja Ataques Reduccion de la S/. N2 L2
remotos Autenticidad 10,500.00
Introduccin Reduccin de la
de datos Disponibilidad
incorrectos Reduccin de la
Borrado de confidencialidad
Reduccin de la
datos
integridad
Reduccin a la
Rayo N1, N2 L2
Integridad
Suplantacion Reduccin de la
identidad Autenticidad
compartir Reduccin de la
contrasea Disponibilidad
Sistema SIGA - N2, N3 L2, L3
Ataque Reduccin de la
25 SIAF (Herramienta -
remoto con confidencialidad
del Estado)
informticos intergridad
Reduccion a la
Rayo N1, N2 L2
Integridad
Suplantacion Reduccion de la
N2 L2, L3
Sistema SIGU Ataque Reduccin de la
26 -
(Estadstica) remoto con confidencialidad
Reduccion a la
Rayo N1, N2 L2
Integridad
Suplantacion Reduccion de la
N2 L2
Sistema de Ataque Reduccin de la S/.
27
Tesoreria remoto con confidencialidad 10,500.00
Reduccion a la
Rayo N1, N2 L2
Integridad
Acceso a la Reduccin de la
N2, N3 L2
MS SQL Server informacin Confidencialidad
28 -
2005, 2008 Modificacin Reduccin de la
N2, N3 L2
de datos Integridad
29 MS Windows Ataque Reduccin de la S/. 441.60
Server 2003, 2008 remoto con Autenticidad
virus, spam, Reduccin de la N2 L2
dialers Confidencialidad
informticos Reduccin de la
Ataques con Disponibilidad N2 L2
hackers y Reduccin de la
spyware integridad
Ataque
virus, Disponibilidad
30 MS Office S/. 620.00 N2 L2
troyanos , Reduccin de la
dialers integridad
informticos
Ataque
31 MS Visual Studio S/. 890.00 N2 L2
dialers integridad
informticos
Reduccin de la
Ataques Autenticidad
remotos con Reduccin de la
hackers, Confidencialidad S/.
32 MS Windows 7 N2, N3 L2
spyware Reduccin de la 1,500.00
,virus y Disponibilidad
troyanos Reduccin de la
integridad
Ataque
33 HIPER-V S/. 280.00 N2 L2
dialers integridad
informticos
Ataque
VMWare virus, Disponibilidad
34 S/. 180.00 N2 L2
Workstation troyanos , Reduccin de la
dialers integridad
informticos
Ataque a la Reduccin de la
FIREWALL Interno- red interna Confidencialidad S/.
35 N2 L2, L3
Externo con hackers y Reduccin de la 14,000.00
spyware Integridad
Reduccin de la
Destruccin N2 L2
Backups de la Confidencialidad
Pagina Reduccin de la
36 -
institucional - Disponibilidad
Hurto N2, N3 L2
Bases de Datos Reduccin de la
integridad
Reduccin de la
INFORMACION
Confidencialidad
Documentos Reduccin de la
37 Hurto - N2 L2
recibidos a la DI Disponibilidad
Reduccin de la
integridad
38 Documento Hurto Reduccin de la - N2, N3 L2
Emitidos de la DI Confidencialidad
Reduccin de la
Disponibilidad
Reduccin de la
Reduccin de la
Confidencialidad
Documentos
Reduccin de la
39 oficiales impresos Destruccin - N2 L2
Disponibilidad
de la DI
Reduccin de la
integridad
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
40 Plan estratgico normativos - N2 L2
Reduccin de la
de la
integridad
direccin de
informtica
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
41 MOF para la DI normativos - N2 L2
Reduccin de la
de la
integridad
direccin de
informtica
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
42 ROF de la DI normativos - N2 L2
Reduccin de la
de la
integridad
direccin de
informtica
acceso a
Plan Operativo de gestin Disponibilidad
43 - N2, N3 L2
Informtico de los Reduccin de la
informacin
acceso a
Plan estratgico
44 de Sistemas de - N2, N3 L2
informacin
informacin
acceso a
Manual de de gestin Disponibilidad
45 - N2 L2
Configuracion de los Reduccin de la
informacin
46 Soporte Tecnico Acceso a - N2 L2

Reduccin de la
informacin
Disponibilidad
Interno en materia de
Reduccin de la
Informtica
integridad
Acceso a
Reduccin de la
Soporte Tecnico informacin
47 Disponibilidad - N2 L2
Externo en materia de
Reduccin de la
Informtica
integridad
Reduccin de la
INFORMACION-GESTION
Confidencialidad
Administracin de Suplantacin Reduccin de la
48 - N2 ,N3 L2
Permisos de identidad integridad
Reduccin de la
Autenticacin
Reduccin de la
Confidencialidad
Identidad del Suplantacin Reduccin de la
49 - N2 ,N3 L2
Usuario de identidad. integridad
Reduccin de la
Autenticacin
h) RIESGO EFECTIVO DE ACTIVOS DE LA DIRECCIN DE

INFORMTICA UNHEVAL
Aqu se realiza el clculo del riesgo de activos sometidos a amenazas

como riesgo intrnseco, al no tener en consideracin los mecanismos de
salvaguarda que puedan actuar. Este tipo de riesgo intrnseco se toma
como referencia para evaluar la efectividad de las salvaguardas a aplicar.
Como se puede observar, cuando el impacto es crtico el riesgo siempre

alcanza su nivel mximo, por el contrario, si el impacto es Bajo o Muy Bajo
la consideracin del riesgo para los valores ms bajos de vulnerabilidad es
mnima o incluso inexistente. De acuerdo con las recomendaciones de
MAGERIT se puede observar que el nivel de impacto influye ms que la
vulnerabilidad en la valoracin final del riesgo.
Al realizar el clculo el riesgo efectivo, se tiene en consideracin las
funciones de salvaguarda existentes detectadas con ayuda de la tarea
previa.
De estas funciones de salvaguarda, unas reducen la frecuencia de

ocurrencia de la amenaza (disminucin de la vulnerabilidad) y otras
reducen el impacto. Los nuevos niveles actuales de vulnerabilidad y de
impacto se identifican y estiman rehaciendo el procedimiento establecido
por las Actividades de Identificacin y estimacin de VULNERABILIDADES
e Identificacin y valoracin de IMPACTOS de esta misma Etapa.
Los nuevos niveles de vulnerabilidad y de impacto permiten calcular el

riesgo efectivo aplicando la misma forma anterior de evaluacin del riesgo
presentada en el cuadro anterior
VULNERABILID Valorac
N NIVE SALVAGUAR AD IMPAC
ACTIVOS AMENAZA Impacto
L DA
Valoraci
EFECTIVA VALOR
n
Reduccion a la
ENTORNO
Hurto Alta 6 Critico

Disponibilidad
Ataque Mantenimiento
1 UPS General del equipo en Alta 6 Muy alto
Fisico Reduccion a la
Averia uso Muy Alta 7 Muy alto
Disponibilidad
Rayo Muy Alta 7 Crtico
2 Switch Core Hurto Restriccin del Media 4 Reduccin a la Critico
acceso, Disponibilidad
Ataque
Mantenimiento Media 4 Alto
Fisico
del activo en
Averia uso Media 4 Alto
Hurto Media 4 Critico
Restriccin del
Ataque acceso, Media 4 Reduccin a la Alto
3 Switch CISCO Fisico Mantenimiento
Disponibilidad
Averia del activo en Media 4 Alto
uso
Averia Medio Alta 5 Reduccin a la Muy alto
Restriccin del
Disponibilidad
Hurto acceso a las Media 4 Critico
Reduccin de
Servidor Ataque instalaciones e
Medio Alta 5 la Alto
4 Administrador Fisico implementaci
Confidencialida
de Switch's n de
d
contraseas de
Rayo Muy Alta 7 Reduccin de Crtico
seguridad
la Integridad
Restriccin del
Disponibilidad
Reduccin de
Ataque instalaciones e
Servidor Proxy Medio Alta 5 la Alto
5 Fisico implementaci
(ISA Server) Confidencialida
n de
d
contraseas de
seguridad
la Integridad
Restriccin del
Disponibilidad
Reduccin de
Servidor Medio Alta 5 la Alto
Antivirus Confidencialida
n de
d
contraseas de
seguridad
la Integridad
Restriccin del
Disponibilidad
Reduccin de
Servidor Base Medio Alta 5 la Alto
de Datos Confidencialida
n de
d
contraseas de
seguridad
la Integridad
Averia Restriccin del Medio Alta 5 Muy alto
acceso a las Reduccion de
Hurto instalaciones e Media 4 la Integridad Muy alto
Servidor DNS, Ataque
8 implementaci Medio Alta 5 Reduccin de Muy alto
DHCP Fisico n de la
contraseas de Disponibilidad
seguridad
Restriccin del
Disponibilidad
Reduccin de
Medio Alta 5 la Alto
9 Servidor WEB Fisico implementaci
Confidencialida
n de
d
contraseas de
seguridad
la Integridad
10 Servidor Averia Restriccin del Medio Alta 5 Reduccin de Muy alto
Firewal acceso a las la
Hurto instalaciones e Media 4 Confidencialida Critico
Ataque implementaci Medio Alta 5 d Alto
Fisico
Rayo n de Muy Alta 7 Reduccin de Crtico
contraseas de la Integridad
Averia Medio Alta 5 Reduccin de Critico
la
Hurto Restriccin del Media 4 Critico
Autentificacin
Ataque acceso a las
Medio Alta 5 Reduccin de Critico
Fisico instalaciones e
Servidor de la
11 implementaci
Correos Disponibilidad
n de
Reduccin de
contraseas de
Rayo Muy Alta 7 la Crtico
seguridad
confidencialida
d
Averia Restriccin del Medio Alta 5 Muy alto
Reduccin de
acceso a las
ASA (Servidor Hurto Media 4 la Critico
instalaciones e
para la Ataque Confidencialida
12 implementaci Medio Alta 5 Alto
Seguridad de Fisico d
n de
la Red) Reduccin de
contraseas de
Rayo Muy Alta 7 la Integridad Crtico
seguridad
Hurto de Reduccion de
Alta 6 Muy alto
accesorios Mantenimiento la Integridad
13 Fibra ptica Preventivo y Reduccin de
Ataques
correctivo Media Baja 3 la Alto
fsicos
Disponibilidad
Reduccin a la
Disponibilidad
Hurto de
Reduccin de
equipos y Sistemas de Media 4 Muy alto
la
accesorios acceso digital y
confidencialida
Gabinetes de video
14 d
Switch CISCO vigilancia
Reduccin de
derechos de
la
Ataques acceso
Muy baja 3 Disponibilidad Alto
fsicos
Reduccin de
la Integridad
Reduccin a la
Urto Media 4 Muy alto
Mantenimiento Disponibilidad
Preventivo y Reduccin de
Averia Medio Alta 5 Alto
Camaras IP de correctivo, la Integridad
15
Seguridad tanto electro Reduccin de
Ataque como Fsico de la
Medio Alta 5 Alto
Fisico los equipos Confidencialida
d
Deterioro Restriccin del Media 4 Alto
acceso a las Reduccin de
Averia instalaciones e Muy baja 1 Confidencialida Alto
Computadora
16 implementaci d
de oficio
n de Reduccin de
contraseas de Disponibilidad
seguridad
Robo y Mantenimiento
Media 4 Alto
Hurto y uso Reduccin de
17 Impresora
adecuado del Disponibilidad
Averia Muy baja 1 Alto
activo
18 Router Hurto de Sistemas de Media 4 Reduccin a la Muy alto
equipos y acceso digital, Disponibilidad
derechos de
accesorios
acceso,
manteniendo Reduccion a la
Rayo preventivo y Muy Alta 7 Muy alto
Disponibilidad
Ataques Backups de Reduccin a la
configuracin Media 4 Alto
fsicos Disponibilidad
Hurto Medio Baja 3 Reduccin de Muy alto
Controles
CD's de la
fsicos y
19 Instaladon de Ataques Disponibilidad
derechos de Muy Baja 1 Alto
Aplicativos fsicos Reduccin de
acceso
la Integridad
Reduccin de
Ataques con la
Servidor
20 hackers y Sw antivirus Medio Alta 5 Disponibilidad Muy alto
FTP(ProFTP)
spyware Reduccin de
la integridad
Reduccin de
Servidor de Ataques con la
21 Base de hackers y Sw antivirus Medio Alta 5 Disponibilidad Muy alto
Datos(MySQL) spyware Reduccin de
la integridad
Reduccin de
Ataques con la
Servidor
HTTP(APACHE)
spyware Reduccin de
la integridad
Reduccin de
Sistema Ataques con la
23 analizador de hackers y Sw antivirus Medio Alta 5 Disponibilidad Muy alto
Banda Ancha spyware Reduccin de
la integridad
Reduccion de
Ataques la Autenticidad
identificacin
remotos Reduccin de
de datos por
Introduccin la
perfiles y
de datos Alta 6 Disponibilidad Muy alto
Sistema contrasea,
24 incorrectos Reduccin de
Acadmico Almacenamient
Borrado de la
o de datos,
datos confidencialida
sistemas de
d
respaldo
Reduccion a la
Rayo Muy Alta 7 Muy alto
Integridad
Reduccion de
la Autenticidad
Ataques Reduccin de
identificacin
remotos la
de datos por
Introduccin Disponibilidad
perfiles y
de datos Media 4 Reduccin de Muy alto
Sistema de contrasea,
25 incorrectos la
Caja Almacenamient
Borrado de confidencialida
o de datos,
datos d
sistemas de
Reduccin de
respaldo
la intergridad
Reduccion a la
Integridad
Reduccion de
la Autenticidad
Suplantacio
Reduccin de
n identidad Identificacin
la
compartir de datos por
Disponibilidad
Sistema SIGA - contrasea perfiles y
Medio Alta 5 Reduccin de Critico
SIAF Ataque contrasea,
26 la
(Herramienta remoto con Almacenamient
confidencialida
del Estado) virus, spam o de datos,
d
informticos sistemas de
Reduccin de
respaldo
la intergridad
Reduccion a la
Rayo Muy Alta 7 Critico
Integridad
Reduccion de
la Autenticidad
Suplantacio
Reduccin de
la
Disponibilidad
contrasea perfiles y
Medio Alta 5 Reduccin de Muy alto
Sistema SIGU Ataque contrasea,
27 la
(Estadstica) remoto con Almacenamient
confidencialida
virus, spam o de datos,
d
Reduccin de
respaldo
la intergridad
Reduccion a la
Rayo Muy Alta 7 Critico
Integridad
Reduccion de
la Autenticidad
Suplantacio
Reduccin de
la
Disponibilidad
contrasea perfiles y
Media 4 Reduccin de Muy alto
Sistema de Ataque contrasea,
28 la
Tesoreria remoto con Almacenamient
confidencialida
virus, spam o de datos,
d
Reduccin de
respaldo
la intergridad
Reduccion a la
Integridad
Reduccin de
Copias de
Acceso a la la
Respaldo, Medio Baja 3 Critico
MS SQL Server informacin Confidencialida
29 polticas de
2005, 2008 d
respaldo y su
Modificacin Reduccin de
manejo Baja 2 Critico
de datos la Integridad
30 MS Windows Ataque Sw antivirus Reduccin de
Server 2003, remoto con Puntos de la Autenticidad
2008 virus, spam, restauracin y Alta 6 Reduccin de Muy alto
dialers backups de la
informticos sistemas Confidencialida
Ataques con operativo Media 4 d Muy alto
hackers y Reduccin de
spyware la
Disponibilidad
Reduccin de
la integridad
Reduccin de
Ataques con la
31 MS Office hackers y Sw antivirus Medio Alta 5 Disponibilidad Muy alto
spyware Reduccin de
la integridad
Reduccin de
Ataques con la
MS Visual
Studio
spyware Reduccin de
la integridad
Reduccin de
la Autenticidad
Reduccin de
Sw antivirus la
Ataques
Puntos de Confidencialida
remotos con
33 MS Windows 7 restauracin y Media 4 d Critico
hackers y
backup de Reduccin de
spyware
sistema la
Disponibilidad
Reduccin de
la integridad
Reduccin de
Ataques con la
34 HIPER-V hackers y Sw antivirus Medio Alta 5 Disponibilidad Muy alto
spyware Reduccin de
la integridad
Reduccin de
Ataques con la
VMWare
Workstation
spyware Reduccin de
la integridad
Sistemas de
acceso digital,
sistema video Reduccin de
Ataque a la vigilancia la
FIREWALL
red interna ,derechos de Confidencialida
36 Interno- Muy alta 7 Alto
con hackers acceso, d
Externo
y spyware manteamiento Reduccin de
preventivo y la Integridad
Backus de
configuracin
Destruccin Muy alta 6 Reduccin de Muy alto
la
Confidencialida
Backups de la
backup en d
Pagina
37 discos opticos Reduccin de
institucional - Hurto Muy alta 6 Muy alto
o externos la
Bases de Datos
Disponibilidad
Reduccin de
la integridad
38 Documentos Hurto Controles baja 2 Reduccin de Bajo
INFORMACION
recibidos a la fsicos al centro la

DI de cmputo y Confidencialida
derechos de d
acceso Reduccin de
la
Disponibilidad
Reduccin de
la integridad
Reduccin de
la
Controles Confidencialida
Documento fsicos al centro d
39 Emitidos de la Hurto de cmputo y Media-baja 3 Reduccin de Medio
DI derechos de la
acceso Disponibilidad
Reduccin de
la integridad
Reduccin de
la
Confidencialida
Documentos Controles
d
oficiales fsicos y
40 Destruccin Media-baja 3 Reduccin de Medio
impresos de la derechos de
la
DI acceso
Disponibilidad
Reduccin de
la integridad
Acceso no
Reduccin de
permitido a
copia de la
Plan documentos
41 documentacin Media-Baja 3 Disponibilidad Muy alto
estratgico normativos de
, copia digital Reduccin de
la direccin de
la integridad
informtica
Acceso no Acceso fsico
Reduccin de
permitido a de personal
la
documentos autorizado y/o
42 MOF para la DI baja 2 Disponibilidad Medio
normativos de con permiso,
Reduccin de
la direccin de copia de
la integridad
informtica documentacin
Acceso no Acceso fsico

Reduccin de
permitido a de personal
la
documentos autorizado y/o
43 ROF de la DI baja 2 Disponibilidad Medio
normativos de con permiso,
Reduccin de
la direccin de copia de
la integridad
informtica documentacin
Acceso fsico
acceso a
de personal Reduccin de
informacin
autorizado y/o la
Plan Operativo de gestin
44 con permiso, baja 2 Disponibilidad Critico
Informtico de los
copia de Reduccin de
sistemas de
documentacin la integridad
informacin
, copia digital
Acceso fsico
acceso a
de personal Reduccin de
Plan informacin
autorizado y/o la
estratgico de de gestin
45 con permiso, baja 2 Disponibilidad Critico
Sistemas de de los
copia de Reduccin de
informacin sistemas de
documentacin la integridad
informacin
, copia digital
46 Manual de acceso a Acceso fsico baja 2 Reduccin de Medio
Configuracion informacin de personal la
de gestin autorizado y/o Disponibilidad
de los con permiso, Reduccin de
sistemas de copia de la integridad
informacin documentacin
, copia digital
Reduccin de
Acceso a
la
Soporte informacin Actulizacin
47 baja 2 Disponibilidad Medio
Tecnico Interno en materia de continua
Reduccin de
Informtica
la integridad
Reduccin de
Acceso a
Soporte la
informacin Actulizacin
48 Tecnico baja 2 Disponibilidad Alto
en materia de continua
Externo Reduccin de
Informtica
la integridad
Identificacin
INFORMACION-GESTION
Reduccin de
doble tanto por
la
Administracin Suplantacin categora
49 baja 2 Confidencialida Muy alto
de Permisos de identidad como por
d Reduccin de
usuario y
la integridad
contrasea
Reduccin de
Identificacin
la
Identidad del Suplantacin por
50 Medio-bajo 3 Confidencialida Muy alto
Usuario de identidad. usuario y
d Reduccin de
contrasea.
la integridad
ANALISIS E INTERPRETACIN DE RESULTADOS

ANALISIS DE RIESGO
Existen varios mtodos de como valorar un riesgo y al final, todos tienen

los mismos retos -las variables son difciles de precisar y en su mayora son
estimaciones- y llegan casi a los mismos resultados y conclusiones.
En el mbito de la Seguridad Informtica, el mtodo ms usado es el

Anlisis de Riesgo basada en la frmula matemtica:
Riesgo = Probabilidad de Amenaza x Magnitud de Dao
Para la presentacin del resultado (riesgo) se usa una grfica de dos

dimensiones, en la cual, el eje-x (horizontal, abscisa) representa la
Vulnerabilidad y el eje-y (vertical, ordenada) la Impacto. La Vulnerabilidad
pueden tomar condiciones entre Muy Baja hasta Muy Alta teniendo as, una
escala hasta el 7; en cambio, el Impacto puede tomar condiciones desde Muy
Bajo hasta Crtico, teniendo una escala hasta el 6. En la prctica no es
necesario asociar valores aritmticos a las condiciones de las variables, sin
embargo facilita el uso de herramientas tcnicas como hojas de clculo.
El reto en la aplicacin del mtodo es precisar o estimar las condiciones

(valores) de las dos variables, porque no basen en parmetros claramente
medibles. Sin embargo, el anlisis de riesgo nos permite ubicar el riesgo y
conocer los factores que influyen, negativa o positivamente, en el riesgo.
En el proceso de analizar un riesgo tambin es importante de reconocer que

cada riesgo tiene sus caractersticas:
Dinmico y cambiante (Interaccin de Amenazas y Vulnerabilidad)
Diferenciado y tiene diferentes caracteres (caracteres de

Vulnerabilidad)
No siempre es percibido de igual manera entre los miembros de una

institucin que tal vez puede terminar en resultados inadecuados y
por tanto es importante que participan las personas especialistas
de los diferentes elementos del sistema (Coordinacin,
Administracin financiera, Tcnicos, Conserje, Soporte tcnico
externo etc.)
El modelo se pude aplicar a los diferentes elementos de manera aislada,

sino tambin al sistema completo, aunque en el primer caso, el resultado final
ser ms preciso pero tambin requiere ms esfuerzo.
Entre ms alta la Probabilidad de Amenaza y Magnitud de Dao, ms
grande es el riesgo y el peligro al sistema, lo que significa que es necesario
implementar medidas de proteccin.
SEMAFORIZACIN DE RESULTADOS
6 6 12 18 24 30 36 42
5 5 10 15 20 25 30 35
IMPACTO
4 4 8 12 16 20 24 28
3 3 6 9 12 15 18 21
2 2 4 6 8 10 12 14
1 1 2 3 4 5 6 7
1 2 3 4 5 6 7
VULNERABILIDAD
Escala:
Riesgo Bajo 1-20 1 20
Riesgo
21-30 21 30
Medio
Riesgo Alto 31-42 31 42
Se tiene en cuenta el nmero 42 porque es el valor mximo en la tabla;

segn ello, se sacan los porcentajes dividiendo por este nmero, que se
muestran a continuacin:
14.29 42.86 57.14

71.43 85.71 100.00
6 28.57%
% % % % % %
11.90 35.71 47.62
59.52 71.43 83.33
5 23.81%
% % % % % %
IMPACTO
9.52 28.57 38.10

47.62 57.14 66.67
4 19.05%
% % % % % %
7.14 21.43 28.57
35.71 42.86 50.00
3 14.29%
% % % % % %
4.76 14.29 19.05
23.81 28.57 33.33
2 9.52%
% % % % % %
2.38 11.90 14.29 16.67
1 4.76% 7.14% 9.52%
% % % %
1 2 3 4 5 6 7
VULNERABILIDAD
< 25.00
ACEPTABLE = %
25.00 < 50.00
TOLERABLE > % = %
50.00 < 74.00
INACEPTABLE > % = %
74.00
INADMISIBLE > %
CALIFICACIN DE LOS RIESGOS
Es asumible o Aceptable:
En el sentido de que no se van a tomar acciones para atajarlo.
Es apreciable o Tolerable:
En el sentido de que pueda ser objeto de estudio para su
tratamiento.
Es Grave o Inaceptable:
En el sentido de que requiere atencin.
Es Crtico o Inadmisible :
En el sentido de que requiere atencin urgente.
a) RIESGOS ASUMIBLES ACEPTABLES:
Valoracin
VULNERABILIDAD Riesgo
IMPACTO Riesgo
N ACTIVOS AMENAZA Efectiv
EFECTIV Valoraci Valo Calculado
VALOR o
A n r
Computadora
16 Averia Muy baja 1 Alto 4 Medio 4 9.52%
de oficio
17 Impresora Averia Muy baja 1 Alto 4 Medio 4 9.52%
CD's de
Ataques
19 Instaladon de Muy Baja 1 Alto 4 Medio 4 9.52%
fsicos
Aplicativos
Documentos
38 recibidos a la Hurto baja 2 Bajo 2 Mnimo 4 9.52%
DI
Documento
Media- 21.43
39 Emitidos de la Hurto 3 Medio 3 Medio 9
baja %
DI
Documentos
oficiales Destrucci Media- 21.43
40 3 Medio 3 Medio 9
impresos de la n baja %
DI
Acceso
no
permitido
a
documen
tos 14.29
42 MOF para la DI baja 2 Medio 3 Medio 6
normativ %
os de la
direccin
de
informti
ca
43 ROF de la DI Acceso baja 2 Medio 3 Medio 6 14.29
no %
permitido
a
documen
tos
normativ
os de la
direccin
de
informti
ca a
acceso
informaci
n de
gestin
Manual de 14.29
46 de los baja 2 Medio 3 baja 6
Configuracion %
sistemas
de
informaci
n
Acceso a
informaci
Soporte n en
14.29
47 Tecnico materia baja 2 Medio 3 baja 6
%
Interno de
Informti
ca
Acceso a
informaci
Soporte n en
19.05
48 Tecnico materia baja 2 Alto 4 Medio 8
%
Externo de
Informti
ca
Suplanta
Administraci 23.81
49 cin de baja 2 Muy alto 5 Alto 10
n de Permisos %
identidad
b) RIESGOS APRECIABLES TOLERABLES
Riesgo
Valoracin Riesgo
VULNERABILIDAD Efectiv
IMPACTO Calculado
N ACTIVOS AMENAZA o
EFECTIV Valoraci Valo
VALOR
A n r
Ataque 38.10
Media 4 Alto 4 Alto 16
Fisico %
2 Switch Core
38.10
Averia Media 4 Alto 4 Alto 16
%
Ataque 38.10
Fisico %
3 Switch CISCO
38.10
Averia Media 4 Alto 4 Alto 16
%
Servidor
Ataque 47.62
4 Administrador Medio Alta 5 Alto 4 Alto 20
Fisico %
de Switch's
Servidor Proxy Ataque 47.62
5 Medio Alta 5 Alto 4 Alto 20
(ISA Server) Fisico %
Servidor Ataque 47.62

Antivirus Fisico %
Servidor Base Ataque 47.62

de Datos Fisico %
Servidor DNS, Muy 47.62

8 Hurto Media 4 Muy alto 5 20
DHCP alto %
Ataque 47.62
9 Servidor WEB Medio Alta 5 Alto 4 Alto 20
Fisico %
Servidor Ataque 47.62

Firewal Fisico %
ASA (Servidor
para la Ataque 47.62
Seguridad de Fisico %
la Red)
Ataques Media 28.57
13 Fibra ptica 3 Alto 4 Medio 12
fsicos Baja %
Hurto de
equipos y Muy 47.62
Media 4 Muy alto 5 20
Gabinetes accesorio alto %
14 s
Switch CISCO
Ataques 28.57
Muy baja 3 Alto 4 Medio 12
fsicos %
Muy 47.62
Urto Media 4 Muy alto 5 20
alto %
Camaras IP de 47.62
15 Averia Medio Alta 5 Alto 4 Alto 20
Seguridad %
Ataque 47.62
Medio Alta 5 Alto 4 Alto 20
Fisico %
Computadora 38.10
16 Deterioro Media 4 Alto 4 Alto 16
de oficio %
Robo y 38.10
17 Impresora Media 4 Alto 4 Alto 16
Hurto %
Hurto de
equipos y Muy 47.62
Media 4 Muy alto 5 20
accesorio Alto %
18 Router
s
Ataques 38.10
fsicos %
19 CD's de Hurto Medio 3 Muy alto 5 Alto 15 35.71
Instaladon de Baja %
Aplicativos
Ataques
remotos
Introducci
n de
Sistema de Muy 47.62
25 datos Media 4 Muy alto 5 20
Caja Alto %
incorrect
os
Borrado
de datos
Suplantac
ion
identidad
compartir
Sistema SIGA -
contrase
SIAF 71.43
26 a Medio Alta 5 Critico 6 Mximo 30
(Herramienta %
Ataque
del Estado)
remoto
con virus,
spam
informti
cos
Suplantac
ion
identidad
compartir
contrase
Sistema SIGU Muy 59.52
27 a Medio Alta 5 Muy alto 5 25
(Estadstica) Alto %
Ataque
remoto
con virus,
spam
informti
cos
Suplantac
ion
identidad
compartir
contrase
Sistema de Muy 47.62
28 a Media 4 Muy alto 5 20
Tesoreria Alto %
Ataque
remoto
con virus,
spam
informti
cos
29 MS SQL Server Acceso a Medio 3 Critico 6 Mximo 18 42.86
2005, 2008 la Baja %
informaci
n
Modificaci
28.57
n de Baja 2 Critico 6 Mximo 12
%
datos
Ataques
MS Windows
con Muy 47.62
30 Server 2003, Media 4 Muy alto 5 20
hackers y Alto %
2008
spyware
Acceso no
permitido
a
document
os
Plan Media- 35.71
41 normativ 3 Muy alto 5 Alto 15
estratgico Baja %
os de la
direccin
de
informti
ca
acceso a
informaci
n de
gestin
Plan Operativo 28.57
44 de los baja 2 Critico 6 Maximo 12
Informtico %
sistemas
de
informaci
n
acceso a
informaci
n de
Plan
gestin
estratgico de 28.57
45 de los baja 2 Critico 6 Maximo 12
Sistemas de %
sistemas
informacin
de
informaci
n
Suplantac
Identidad del in de Medio- 35.71
50 3 Muy alto 5 Alto 15
Usuario identidad bajo %
.
c) RIESGOS GRAVES INACEPTABLES
N ACTIVOS AMENAZA VULNERABILIDAD Valoracin Riesgo Riesgo

IMPACTO Efectiv Calculado
o
EFECTIV Valoraci Valo
VALOR
A n r
Ataque 71.43
1 UPS General Alta 6 Muy alto 5 Mximo 30
Fisico %
57.14
2 Switch Core Hurto Media 4 Critico 6 Mximo 24
%
57.14
3 Switch CISCO Hurto Media 4 Critico 6 Mximo 24
%
Muy 59.52
Servidor Averia Medio Alta 5 Muy alto 5 25
alto %
4 Administrador
57.14
de Switch's Hurto Media 4 Critico 6 Mximo 24
%
Muy 59.52
Averia Medio Alta 5 Muy alto 5 25
Servidor Proxy alto %
5
(ISA Server) 57.14
Hurto Media 4 Critico 6 Mximo 24
%
Muy 59.52
Servidor alto %
6
Antivirus 57.14
%
Muy 59.52
Servidor Base alto %
7
de Datos 57.14
%
Muy 59.52
Servidor DNS, alto %
8
DHCP Ataque Muy 59.52
Medio Alta 5 Muy alto 5 25
Fisico alto %
Muy 59.52
alto %
9 Servidor WEB
57.14
%
Muy 59.52
Servidor alto %
10
Firewal 57.14
%
71.43
Averia Medio Alta 5 Critico 6 Mximo 30
%
Servidor de 57.14
11 Hurto Media 4 Critico 6 Mximo 24
Correos %
Ataque 71.43
Medio Alta 5 Critico 6 Mximo 30
Fisico %
ASA (Servidor Muy 59.52
para la alto %
12
Seguridad de 57.14
la Red) %
Hurto de
71.43
13 Fibra ptica accesorio Alta 6 Muy alto 5 Mximo 30
%
s
Ataques
Servidor con Muy 59.52
20 Medio Alta 5 Muy alto 5 25
FTP(ProFTP) hackers y Alto %
spyware
Ataques
Servidor de
con Muy 59.52
21 Base de Medio Alta 5 Muy alto 5 25
hackers y Alto %
Datos(MySQL)
spyware
Ataques
Servidor con Muy 59.52
HTTP(APACHE) hackers y Alto %
spyware
Ataques
Sistema
con Muy 59.52
23 analizador de Medio Alta 5 Muy alto 5 25
hackers y Alto %
Banda Ancha
spyware
Ataques
remotos
Introducc
in de
Sistema 71.43
24 datos Alta 6 Muy alto 5 Mximo 30
Acadmico %
incorrect
os
Borrado
de datos
Ataque
remoto
MS Windows con virus,
71.43
30 Server 2003, spam, Alta 6 Muy alto 5 Mximo 30
%
2008 dialers
informti
cos
Ataques
con Muy 59.52
31 MS Office Medio Alta 5 Muy alto 5 25
hackers y Alto %
spyware
Ataques
MS Visual con Muy 59.52
Studio hackers y Alto %
spyware
Ataques
remotos
57.14
33 MS Windows 7 con Media 4 Critico 6 Mximo 24
%
hackers y
spyware
Ataques
con Muy 59.52
34 HIPER-V Medio Alta 5 Muy alto 5 25
hackers y Alto %
spyware
35 VMWare Ataques Medio Alta 5 Muy alto 5 Muy 25 59.52
Workstation con Alto %
hackers y
spyware
Ataque a
la red
FIREWALL
interna 66.67
36 Interno- Muy alta 7 Alto 4 Alto 28
con %
Externo
hackers y
spyware
Backups de la Destrucci 71.43
Muy alta 6 Muy alto 5 Maximo 30
Pagina n %
37 institucional -
71.43
Bases de Hurto Muy alta 6 Muy alto 5 Maximo 30
%
Datos
d) RIESGOS CRTICOS INADMISIBLES:
Valoracin
VULNERABILIDAD Riesgo
IMPACTO Riesgo
N ACTIVOS AMENAZA Efectiv
EFECTIV Valoraci Valo Calculado
VALOR o
A n r
Hurto Alta 6 Critico 6 Mximo 36 85.71%
1 UPS General Averia Muy Alta 7 Muy alto 5 Mximo 35 83.33%
100.00
Rayo Muy Alta 7 Crtico 6 Mximo 42
%
100.00
2 Switch Core Rayo Muy Alta 7 Crtico 6 Mximo 42
%
100.00
3 Switch CISCO Rayo Muy Alta 7 Crtico 6 Mximo 42
%
Servidor
100.00
4 Administrador Rayo Muy Alta 7 Crtico 6 Mximo 42
%
de Switch's
Servidor Proxy 100.00

5 Rayo Muy Alta 7 Crtico 6 Mximo 42
(ISA Server) %
Servidor 100.00
Antivirus %
Servidor Base 100.00

de Datos %
Servidor DNS, 100.00

DHCP %
100.00
9 Servidor WEB Rayo Muy Alta 7 Crtico 6 Mximo 42
%
Servidor 100.00
Firewal %
Servidor de 100.00
Correos %
ASA (Servidor
para la 100.00
Seguridad de %
la Red)
Computadora 100.00
de oficio %
18 Router Rayo Muy Alta 7 Muy alto 5 Maximo 35 83.33%

Sistema
24 Rayo Muy Alta 7 Muy alto 5 Maximo 35 83.33%
Acadmico
Sistema de
Caja
Sistema SIGA -
SIAF 100.00
26 Rayo Muy Alta 7 Critico 6 Maximo 42
(Herramienta %
del Estado)
Sistema SIGU 100.00

27 Rayo Muy Alta 7 Critico 6 Maximo 42
(Estadstica) %
Sistema de
Tesoreria
MANEJO DE LOS RIESGOS

Una vez que se realiza el anlisis de riesgos, el equipo de desarrollo
tiene en sus manos una poderosa herramienta para el tratamiento de sus
vulnerabilidades y un diagnstico general sobre el estado de la seguridad de su
entorno como un todo.
A partir de este momento es posible establecer polticas para la

correccin de los problemas ya detectados y la gestin de seguridad de ellos a
lo largo del tiempo, para garantizar que las vulnerabilidades encontradas
anteriormente no persistan.
Aqu se deben determinar medidas de control que son acciones

orientadas hacia la eliminacin de vulnerabilidades, teniendo en mira evitar
que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el
aumento de la seguridad de la informacin en un ambiente de tecnologa de la
informacin por tanto deben considerar todo.
TIPO DE MANEJO DE LOS RIESGOS

Antes de definir las medidas de control se debe tomar la decisin de qu
manejo se le va a hacer a los riesgos definidos, analizados y valorados en los
pasos anteriores.
TIPO DESCRIPCIN
Evitar el riesgo Es siempre la primera alternativa a considerar. Se logra cuando al interior

se genera cambios sustanciales por mejoramiento, rediseo o eliminaci
unos adecuados controles y acciones emprendidas. Un ejemplo de est
control de calidad, manejo de los insumos, mantenimiento preventivo delos
Reducir el Si el riesgo no puede ser evitado porque crea grandes dificultades operacio
riesgo seguir es reducirlo al ms bajo nivel posible. La reduccin del riesgo es pr
mtodo ms sencillo y econmico para superar las debilidades antes de
ms costosas y difciles. Se consigue mediante la optimizacin de los proc
implementacin de controles. Ejemplo: Planes de contingencia.
Dispersar y Se logra mediante la distribucin o localizacin del riesgo en diversos luga
atomizar el por ejemplo, la informacin de gran importancia se puede duplicar y al
lugar distante y de ubicacin segura, en vez de dejarla concentrada en un s
riesgo
Transferir el Hace referencia a buscar respaldo y compartir con otro parte del riesgo, co
riesgo tomar plizas de seguros, as se traslada el riesgo a otra parte o fsicamen
otro lugar. Esta tcnica es usada para eliminar el riesgo de un lugar y pasa
un grupo a otro. As mismo, el riesgo puede ser minimizado compartindolo
o dependencia.
Asumir el Luego de que el riesgo ha sido reducido o transferido puede quedar un ries
riesgo se mantiene, en este caso el gerente del procesos implemente acepta la
probable y elabora planes de contingencia para su manejo.
Una vez establecidos cules de los anteriores manejos del riesgo se van a
deben evaluarse con relacin al beneficio costo para definir, cules son sus
aplicadas y proceder a elaborar el plan de manejo de riesgo, teniendo
anlisis elaborado para cada uno de los riesgos de acuerdo con su impacto
nivel de riesgo.
Posteriormente se definen los responsables de llevar a cabo las acciones
grado de participacin de las dependencias en el desarrollo de cada un
mismo, es importante construir indicadores, entendidos como los elemento
determinar de forma prctica el comportamiento de las variables de rie
permitir medir el impacto de las acciones.
POLITICAS DE SEGURIDAD DE LOS ACTIVOS DE

LA DIRECCIN DE INFORMTICA
GENERALIDADES
1) INSTRUCCIONES DE INTERPRETACIN
Las polticas fueron creadas segn el contexto de aplicacin,
organizadas por niveles de seguridad y siguiendo un entorno de
desarrollo, por la norma tcnica peruana NTP/ISO 17799 sobre la
problemtica dela institucin, aplicada sobre los diferentes recursos o
activos de la institucin.
El esquema de presentacin del documento consta de tres

secciones que estable la norma anteriormente mencionada, la primera
que trata especficamente de las polticas de seguridad, las cuales estn
organizadas por niveles, dentro de stos se engloban los dominios que se
detallan en el texto subsiguiente a estas lneas.
La segunda seccin est integrada por lo que son las normas de

seguridad, que tienen una relacin directa, en base a la ejecucin y
soporte de las polticas de seguridad informtica. Estas siguen el
mismo enfoque organizativo que las polticas.
Nivel de Seguridad Organizativo:

Seguridad Organizacional Polticas de Seguridad
Excepciones de Responsabilidad
Clasificacin y Control de Activos
Responsabilidad por los Activos
Clasificacin de la Informacin
Seguridad Ligada al Personal
Capacitacin de Usuarios
Respuestas a Incidentes y Anomalas de Seguridad
Nivel de Seguridad Fsica:
Seguridad Fsica
Seguridad Fsica y Ambiental
Seguridad de los Equipos
Controles Generales
Nivel de Seguridad Lgico:
Control de Accesos
Administracin del Acceso de Usuarios
Seguridad en Acceso de Terceros
Control de Acceso a la Red
Control de Acceso a las Aplicaciones
Monitoreo del Acceso y Uso del Sistema
Nivel de Seguridad Legal:
Seguridad Legal
Conformidad con la Legislacin
Cumplimiento de Requisitos Legales
Revisin de Polticas de Seguridad y Cumplimiento Tcnico
Consideraciones Sobre Auditorias de Sistemas
Todo personal deber enmarcar sus esfuerzos sin importar el nivel

organizacional en el que se encuentre dentro de la institucin, por cumplir
todas las polticas pertinentes a su entorno de trabajo, utilizacin de los
activos o recursos informticos en los que ste se desenvuelve.
2) DEFINICIN DE NORMAS Y POLTICAS DE SEGURIDAD

INFORMTICA
Que son las Polticas de Seguridad?

Son una forma de comunicacin con el personal, ya que las
mismas constituyen un canal formal de actuacin, en relacin con
los recursos y servicios informticos de la organizacin. Estas a su
vez establecen las reglas y procedimientos que regulan la forma en
que una organizacin previene, protege y maneja los riesgos de
diferentes daos, sin importar el Origen de estos.
3) IMPORTANCIA DE LAS POLTICAS DE SEGURIDAD DE LA

INFORMACIN
Polticas de Seguridad, trata de definir; Qu?, Por qu?, De

qu? y Cmo? se debe proteger la informacin. Estos engloban una
serie de objetivos, estableciendo los mecanismos necesarios para
lograr un nivel de seguridad adecuado a las necesidades
establecidas dentro de la institucin..
4) ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
GERENCIA
Autoridad de nivel superior que integra el comit de seguridad. Bajo

su administracin estn la aceptacin y seguimiento de las polticas y
normativa de seguridad en concordancia con las autoridades de nivel
superior.
GESTOR DE SEGURIDAD
Persona dotada de conciencia tcnica, encargada de velar por la

seguridad de la informacin, realizar auditoras de seguridad, elaborar
documentos de seguridad como, polticas, normas; y de llevar un estricto
control con la ayuda de la unidad de informtica referente a los
servicios prestados y niveles de seguridad aceptados para tales
servicios.
DIRECCION DE INFORMTICA
Departamento dentro de la institucin, que vela por todo lo

relacionado con la utilizacin de computadoras, sistemas de informacin,
redes informticas, procesamiento de datos e informacin y la
comunicacin en s, a travs de medios electrnicos.
RESPONSABLE DE ACTIVOS
Personal dentro de los diferentes departamentos

administrativos de la institucin, que velar por la seguridad y
correcto funcionamiento de los activos informticos, as como de la
informacin procesada en stos, dentro de sus respectivas reas o
niveles de mando.
5) OBJETIVO GENERAL
El objetivo general consiste en la realizacin de las Polticas de

Seguridad de la informacin para Universidad Nacional Hermilio
Valdizn en donde se definen los lineamientos para promover la
planeacin, el diseo e implantacin de un modelo de seguridad de la
informacin en la misma con el fin de establecer una cultura de la
seguridad en la organizacin.
6) ANTECEDENTES
Durante la realizacin de este proyecto se Auditora de Seguridad

basndonos con norma tcnica peruana NTPISO 17799 hallan y con base
en ella, se establece la presente poltica.
7) BASE LEGAL
La elaboracin del plan y de polticas de seguridad de la

informacin, est fundamentado bajo la norma ISO/IEC 17799.
8) ALCANCE
Se aplica para todos los empleados de La Universidad Nacional

Hermilio Valdizn que tenga acceso o manejo de la informacin as como a
los proveedores y personal externo que desempeen labores que
proporcionen algn tipo de servicio o producto.
9) VIGENCIA
Las Polticas de Seguridad de la informacin entraran en vigencia

luego de la revisin de la direccin de informtica y a la aprobacin de la
propuesta por el consejo universitario.
10) AUTORIDAD DE EMISIN
Este documento est realizado por unos alumnos de la escuela

acadmico profesional de Ingeniera de sistemas en calidad de
practicante de la direccin de informtica y presentado como informe de
prcticas pre profesionales.
11) AUTORIDAD DE EMISIN
Este documento presenta las Polticas de Seguridad de la Informacin

cuyo contenido se agrupa en los siguientes aspectos:
1. Nivel de Seguridad Organizativo.

2. Nivel de Seguridad Fsica.
3. Nivel de Seguridad Lgico.
4. Nivel de Seguridad Legal.
12) DESARROLLO
Estas polticas de seguridad informtica y las medidas de seguridad
en ellas especificadas deben ser revisadas peridicamente, analizando la
necesidad de cambios o adaptaciones para cubrir los riesgos existentes
y auditando su cumplimiento.
NIVELES DE SEGURIDAD
1) NIVELES DE SEGURIDAD ORGANIZATIVO
ASPECTOS ADMINISTRATIVOS
La Universidad Nacional Hermilio Valdizn nombrar un

comit de seguridad, que d seguimiento al cumplimiento
de la normativa y propicie el entorno necesario para crear
un SGSI, el cual tendr entre sus funciones:
Velar por la seguridad de los activos informticos

Monitorear cambios significativos en los riesgos que
afectan a los recursos de informacin frente a las
amenazas ms importantes.
Gestin y procesamiento de informacin.
Cumplimiento de polticas.
Aplicacin de sanciones.
Elaboracin de planes de seguridad.
Capacitacin de usuarios en temas de seguridad.
Gestionar y coordinar esfuerzos, por crear Un
plan de contingencia, que d sustento o solucin, a
problemas de seguridad dentro de la institucin. El mismo
orientar y guiar a los empleados, la forma o mtodos
necesarios para salir avante ante cualquier eventualidad
que se presente.
Informar sobre problemas de seguridad a la alta
administracin universitaria.
Se deber designar en la direccin de informtica un

profesional (gestor de seguridad) que acredite experiencia
en el manejo de los recursos informticos y comprenda los
riesgos y problemas relativos a la tecnologa y sistemas de
informacin. Es su obligacin y responsabilidad el mantener
seguros los sistemas que operan.
DE COORDINACIN
Deber designarse un encargado de la seguridad, que

coordine las tareas correspondientes, haciendo cumplir las
polticas de seguridad en toda la institucin.
la empresa, monitorizando, chequeando y auditando las
PCs y dems dispositivos que conforman los sistemas de
tratamiento de informacin de la Universidad.
El administrador de servidor es el encargado de mantener
en buen estado los servidores.
Los administradores servidor, base de datos debern informar
en tiempo de suspensiones en el servicio necesarias por
mantenimiento, especificando fecha, hora y duracin de
la suspensin.
DE LA REVISIN
Toda revisin de cumplimento de controles se debe de realizar

en forma independiente, ser debe realizar el comit de
seguridad. Para asegurar la continua eficacia de la seguridad
de la informacin.
Los resultados de la revisin independiente deben ser
registrados y reportados a la gerencia de seguridad.
CLASIFICACIN Y CONTROL DE ACTIVOS
DE LA RESPONSABILIDADES Y PROPIEDAD
Deber existir una planificacin formalizada y completa de las

para la asignacin responsabilidades claras y
documentadas para cada nivel de seguridad.
El comit de seguridad debe hacer hincapi en la

concienciacin de todos los usuarios, generando una cultura
de la seguridad, hacindolos partcipes de las medidas de
seguridad, El proceso de concienciacin debe ser renovado y
transmitido a los usuarios en forma anual.
Cada Direccin, unidad o facultad, tendr un responsable por

el/los activo/s crtico/s o de mayor importancia para la
Direccin, unidad, facultad o y/o la universidad.
La persona o entidad responsable de los activos de cada

unidad organizativa o rea de trabajo, velar por la
salvaguarda de los activos fsicos(hardware y medios
magnticos, aires acondicionados, mobiliario.),activos de
informacin(Bases de Datos, Archivos, Documentacin de
sistemas, Procedimientos Operativos, configuraciones), activos
de software (aplicaciones, software de sistemas, herramientas
y programas de desarrollo)
DE LOS ACTIVOS
Deber generarse un inventario detallado donde se

describan los sistemas de informacin y de los equipos de
cmputos utilizados en la organizacin. Deber asignarse un
responsables de mantenerlo actualizado y de realizar
controles peridicos.
DE LA CLASIFICACIN DE INFORMACIN
De forma individual, las direcciones, unidades de la

Universidad, son responsables, de clasificar de acuerdo al
nivel de importancia, la informacin que en ella se procese.
Se tomarn como base, los siguientes criterios, como

niveles de importancia, para clasificar la informacin:
Pblica: informacin que es generada especficamente
para la divulgacin de al pblico general.
Interna: Datos generado para facilitar las operaciones
diarias debe de ser manejado de forma discreta pero no
requiere de medias elaboradas de seguridad.
Confidencial: informacin sensible que solo debe de ser
divulgada a aquellas personas que la necesiten para el
cumplimiento de sus funciones.
Y se tendr en cuenta los siguientes criterios: costo de
remplazo y reconstruccin, grado de interrupcin de negocio,
Violacin de la privacidad.
Los activos de informacin de mayor importancia para la
institucin debern clasificarse por su nivel de exposicin o
vulnerabilidad.
Se debe etiquetar los documentos o dispositivo de

almacenamiento desacuerdo al tipo de la informacin que
contenga se los tipo de clasificacin de la informacin.
SEGURIDAD DE RECURSOS HUMANOS
DURANTE EL PROCESO DE SELECCIN
Las funciones de seguridad y la responsabilidad deben ser

definidas y comunicadas claramente a los candidatos al
trabajo durante el proceso de seleccin, as tambin a los que
se encuentran relacionadas atreves de organizacin de
terceros. (proyectos de outsoursing).
DE LA CONFIDENCIALIDAD
La comisin de seguridad es la encargada de establecer los

acuerdos de confidencialidad que debe de ser firmado al
momento de entrar a cumplir labores en la institucin.
Para los practicantes se realizara una reunin entre

representantes de las facultades, y el comit de seguridad
para que elaborar un acuerdo de confidencialidad para los
estudiantes que realicen sus prcticas pre profesionales
dentro de la institucin.
DEL CONTRATO
Se entregar al contratado, toda la documentacin (polticas

de seguridad, manuales de procedimientos). necesaria para
ejercer sus labores dentro de la institucin, en el momento
en que se d por establecido su contrato laboral.
CAPACITACIN
Los empleados, sern capacitados en cuestiones de seguridad de

la informacin, segn sea el rea operativa y en funcin de las
actividades que se desarrollan.
Se deben tomar todas las medidas de seguridad necesarias,

antes de realizar una capacitacin a personal ajeno o propio
de la institucin, siempre y cuando se vea implicada la utilizacin
de los servicios de red o se exponga material de importancia
considerable para la institucin.
Asegurar que los empleados reciban capacitacin continua

para desarrollar y mantener sus conocimientos competencia,
habilidades y concienciacin en materia de seguridad
informtica dentro del nivel requerido a fin de lograr un
desempeo eficaz.
El personal de la Direccin de Informtica debe mantenerse

capacitado respecto de las tecnologas utilizadas en la
organizacin.
Debe impartirse capacitacin a los usuarios finales a efectos

de que puedan operar adecuadamente los recursos informticos.
DE PROCESO DISCIPLINARIO
Se seguir el proceso disciplinario formal contemplado en las

normas estatutarias, escala fonarias y convencionales que
rigen al personal de la Administracin Pblica Nacional, para
los empleados que violen la Poltica, Normas y Procedimientos
de Seguridad del Organismo.
DE LA CULMINACIN DE CONTRATO
Se debe de comunicar con anticipadamente la desvinculacin

del personal al gestor de seguridad para que se tome las
medidas de seguridad necesarias.
retos de activos que pertenecientes a la institucin
Retiro de accesos.
RESPUESTAS A INCIDENTES Y ANIMALIAS DE SEGURIDAD
Se realizarn respaldos de la informacin, diariamente, para

los activos de mayor importancia o crticos, un respaldo
semanal que se utilizar en caso de fallas y un tercer respaldo
efectuado mensualmente, el cual deber ser guardado y evitar
su utilizacin a menos que sea estrictamente necesaria.
Las solicitudes de asistencia, efectuados por dos o ms

empleados o reas de proceso, con problemas en las
estaciones de trabajo, deber drseles solucin en el menor
tiempo posible.
El gestor de seguridad deber elaborar un documento donde

deba explicar los pasos que se debern seguir en situaciones
contraproducentes a la seguridad y explicarlo detalladamente
en una reunin ante el personal de respuesta a incidentes.
Cualquier situacin anmala y contraria a la seguridad deber

ser documentada, posterior revisin de los registros o Log de
sistemas con el objetivo de verificar la situacin y dar una
respuesta congruente y acorde al problema, ya sea est en el
mbito legal o cualquier situacin administrativa.
2) NIVELES DE SEGURIDAD FSICA
SEGURIDAD FSICA Y DEL ENTORNO
DEL PERIMETRO DE SEGURIDAD
La direccin de informtica (centro de procesamiento de

datos) deber ubicarse en un lugar alto. Debe tener
protecciones contra ruidos e interferencias electromagnticas
y visuales.
La sala o cuarto de servidores(data center), deber estar

separada de las oficinas administrativas de la unidad de
informtica o cualquier otra unidad, departamento o sala de
recepcin del personal, mediante una divisin en la unidad de
informtica, recubierta de material aislante o protegido contra
el fuego, Esta sala deber ser utilizada nicamente por las los
servidores y otros dispositivos de telecomunicacin
Todas las salidas y ventanas que dan hacia el exterior de la

oficina de la direccin informtica de debern estar protegidas
con rejas, cerraduras y contar con un circuito cerrado de
televisin que apunten directamente a las salidas.
Los ingresos o salidas que colindan a otras oficinas y que no

se utilizan deben de ser clausuradas.
DEL INGRESO A REAS SEGURAS
El rea donde se encuentran los servidores (data center) y

dems equipamiento crtico solo debe tener permitido el
acceso a los administradores.
Se deber asegurar que todos los individuos que entren a
reas restringidas(unidad de informtica ,sala de servidores
entre otros) se deben identificar y registrar.
Cualquier persona ajena a la empresa que necesite
ingresar al centro de cmputos deber anunciarse en la
puerta de entrada, un personal de la direccin de
informtica deber escoltarlo desde la puerta hacia el
interior del edificio, acompandolo durante el transcurso de
su tarea, hasta que ste concluya.
El personal de los centros de procesamiento as como el
personal contratado slo podr permanecer en las
instalaciones de la institucin durante el horario autorizado.
Se deber establecer un procedimiento de autorizacin
para el personal que deba permanecer fuera de su horario
habitual de trabajo.
Deber existir personal de seguridad en permanente
monitorizacin, durante el horario laboral y sobre todo en
horario nocturno.
DE LAS AMENAZAS AMBIENTALES
De debe de existir dispositivos de contra incendios manuales y

automticos y los trabajadores de la oficina se le debe orientar
en su uso, su ubicacin debe de estar bien sealizado.
Las sustancias inflamables tienen que contar con un lugar de

almacenaje seguro a una distancia prudente de las reas
seguras y nunca a la simple vista.
Debern existir Aire acondicionado y Calefaccin en el centro
de procesamiento de datos (data center) la temperatura debe
mantenerse entre 19 C y 20 C.
Debe contar con un pozo a tierra debido a que los rayos
podran causar daos irreparables a los equipos costos
enormes
SEGURIDAD DE LOS EQUIPOS
DE LOS EQUIPOS
Los equipos o activos crticos de informacin y proceso,

debern ubicarse en reas aisladas y seguras, protegidas con
un nivel de seguridad verificable y manejable por las personas
responsables por esos activos.
Los gabinetes donde se ubican los switches de cada una
de las oficina, facultad, escuela acadmica (bloque), debern
permanecer guardados bajo llave, y fuera del alcance de
personal no autorizado.
El ingreso de alimentos a la zona segura est
terminantemente prohibidos.
DEL SUMINISTRO ELCTRICO
El suministro de energa elctrica debe hacer sea travs de un

circuito exclusivo para los equipos de cmputo.
El centro de procesamiento de datos(data center) deben
contar con una adecuada instalacin elctrica, y proveer del
suministro de energa mediante una estacin de
alimentacin ininterrumpida o UPS para poder proteger la
informacin.
Debe de habilitarse la Descarga a tierra: debern existir
mtodos de descarga a tierra para todos los equipos de
cmputo de la universidad y primordialmente para el centro
de procesamiento de datos.
DEL CABLEADO
El cableado de red, se instalar fsicamente separado de

cualquier otro tipo de cables es decir cumplir las normas del
cableado estructurado, para su funcionamiento eficaz libre de
interferencias.
Se deber documentar en planos los canales de tendidos de
cables y las bocas de red existentes.
Ante un corte del suministro de energa elctrica debern
apagarse los equipos del centro procesamiento de datos (Data
center) de forma segura, como medida de prevencin.
DEL MANTENIMIENTO
Deber existir un encargado de llevar a cabo el

mantenimiento preventivo el equipamiento informtico.
Se debe establecer un programa calendarizado para los
mantenimiento preventivo y correctivo.
DEL USO DE EQUIPOS
Debern existir procesos de acuerdo a la importancia de

informacin manejada por el equipamiento informtico. luego
ver si es posible aplicar los mtodos de borrado, sobre,
escritura y destruccin del medio de almacenamiento del
dispositivo.
3) NIVEL DE SEGURIDAD LGICO
CONTROL DE ACCESO
DE GESTIN DE ACCESO
Deber existir una herramienta para la administracin y el

control de acceso a los datos. Debe existir una poltica formal
de control de acceso a datos donde se detalle como mnimo:
El nivel de confidencialidad de los datos y su
sensibilidad,
Los procedimientos de otorgamiento de claves de
usuarios para el ingreso a los sistemas,
Los estndares fijados para la identificacin y la
autenticacin de usuarios.
Deber restringirse el acceso al sistema o la utilizacin de

recursos en un rango horario definido, teniendo en cuenta
que:
Las cuentas de los usuarios no deben poder acceder al
sistema en horarios no laborales,
Durante las vacaciones o licencias las cuentas de
usuarios deben desactivarse,
En das feriados las cuentas de usuarios administrativos,
a excepcin de los del departamento de ventas, deben
permanecer desactivadas.
Para dar de alta un usuario al sistema debe existir un

procedimiento formal, por escrito, que regule y exija el ingreso
de los siguientes datos:
Identificacin del usuario, deber ser nica e irrepetible,
Password, debe ser personal e ingresado por el usuario,
Nombre y apellido completo,
Direccin o unidad donde trabaja,
Fecha de expiracin del password,
Fecha de anulacin de la cuenta,
Contador de intentos fallidos,
Adems, se debe llevar a cabo una poltica de desvinculacin

del personal, a travs de la cual se quitan permisos al
empleado paulatinamente, evitando un posible acto de
vandalismo.
El rea de recursos humanos deber comunicar al
administrador los cambios de personal que se produzcan.
Deben restringirse las conexiones de los usuarios slo a las
estaciones fsicas autorizadas.
Las cuentas sern dadas de baja en caso de rotaciones,
despidos, ceses, previa notificacin de la Direccin de
personal a la Direccin de informtica o cuando se detecte el
mal uso de las cuentas y esta se suspender inmediatamente
El administrador debe poder acceder solamente desde las
terminales que se encuentren en el centro de cmputos y en
una terminal especfica y habilitada por cada sucursal.
DE LA GESTIN DE PRIVILEGIOS DE ACCESO
La asignacin de los usuarios y sus privilegios solamente

estar a cargo de los administradores sistemas aplicativos
(SIGA, SIAF, Sistema proceso acadmico) como por el
administrador de la red.
Se deber minimizar la generacin y el uso de perfiles de
usuario con mximos privilegios. Todos los usos de estas
clases de perfiles debern ser registrados y revisados por el
administrador de seguridad.
CONTROL DE ACCESO A RED
El acceso a la red interna, se permitir siempre y cuando se

cumpla con los requisitos de seguridad necesarios, y ste ser
permitido mediante un mecanismo de autenticacin.
El departamento de informtica deber emplear dispositivos
de red para el bloqueo, enrutamiento, o el filtrado de trfico
evitando el acceso o flujo de informacin, no autorizada hacia
la red interna o desde la red interna hacia el exterior
DE LA SEGURIDAD DE LA RED
Cualquier alteracin del trfico entrante o saliente a travs de

los dispositivos de acceso a la red, ser motivo de verificacin
y tendr como resultado directo la realizacin de una auditoria
de seguridad.
El encargado de mantenimiento debe controlar

peridicamente la configuracin del firewall y los servicios de
red, documentando los resultados de dichas pruebas.
CONTROL DE ACCESO AL SISTEMA OPERATIVO
Al terminar una sesin de trabajo en las PCs, los operadores

o cualquier otro usuario, evitara dejar encendido el equipo,
pudiendo proporcionar un entorno de utilizacin de la estacin
de trabajo.
Se deshabilitarn las cuentas creadas por ciertas aplicaciones
con privilegios de sistema, evitando que estas corran sus
servicios con privilegios nocivos para la seguridad del sistema.
DE LOS SERVIDORES
Acceso a la configuracin del sistema operativo de los

servidores, es nicamente permitido al usuario con privilegios
de administrador.
Los administradores de servicios, tendrn acceso nico a los
mdulos de configuracin de las respectivas aplicaciones que
tienen bajo su responsabilidad.
Todo servicio provisto o instalado en los servidores, correr o
ser ejecutado bajo cuentas restrictivas, en ningn momento
se obviaran situaciones de servicios corriendo con cuentas
administrativas, estos privilegios tendrn que ser eliminados o
configurados correctamente.
Los usuarios del sistema solamente podrn abrir una sesin de
cada aplicacin, y no podrn abrir dos sesiones diferentes
terminales ni en la misma terminal.
CONTROL DE ACCESO A LAS APLICACIONES
Las aplicaciones debern estar correctamente diseadas, con

funciones de acceso especficas para cada usuario aplicacin.
Se deber definir y estructurar el nivel de permisos sobre las
aplicaciones, de acuerdo al nivel de ejecucin o criticidad de
las aplicaciones o archivos, y haciendo especial nfasis en los
derechos de escritura, lectura, modificacin, ejecucin o
borrado de informacin.
Tienen acceso total a las aplicaciones y sus archivos, los
usuarios que lo ameriten por su cargo dentro de la institucin,
siempre que sea aprobado por el comit de seguridad.
MONITOREO DEL ACCESO Y USO DEL SISTEMA

Se registrar y archivar toda actividad, procedente del uso
de las aplicaciones, sistemas de informacin y uso de la red,
mediante archivos de Logo bitcoras de sistemas.
Los archivos de Log, almacenarn nombres de usuarios, nivel
de privilegios, IP de terminal, fecha y hora de acceso o
utilizacin, actividad desarrollada, aplicacin implicada en el
proceso, intentos de conexin fallidos o acertados, archivos a
los que se tuvo acceso, entre otros.
Se efectuar una copia automtica de los archivos de Log, y
se conducir o enviara hacia otra terminal o servidor, evitando
se guarde la copia localmente donde se produce.
Se deber utilizar un programa de sincronizacin horaria en
todo el entorno de red, para asegurar la consistencia de los
datos de las aplicaciones
GESTIN DE OPERACIONES Y COMUNICACIONES
El personal administrador de algn servicio, es el responsable

absoluto por mantener en ptimo funcionamiento ese servicio,
coordinar esfuerzos con el gestor de seguridad, para fomentar
una cultura de administracin segura y servicios ptimos.
Las configuraciones y puesta en marcha de servicios, son

normadas por el departamento de informtica, yel comit de
seguridad.
El personal responsable de los servicios, llevar archivos de
registro de fallas de seguridad del sistema, revisara, estos
archivos de forma frecuente y en especial despus de ocurrida
una falla.
Los ambientes y recursos de desarrollo, prueba, produccin
deben de estar debidamente diferenciado para su
desenvolvimiento seguro y eficiente
PROTECCIN CONTRA SOFTWARE MALICIOSO
Los servidores, al igual que las estaciones de trabajo, tendrn

instalado y configurado correctamente software antivirus
corporativo actualizable y activada la proteccin en tiempo
real.
Se adquirir y utilizar software nicamente de fuentes
confiables.
Debern programarse escaneos peridicos de virus en todos los
equipos de la empresa as como medio removibles; esta
tarea estar a cargo de personal designado por el
administrador del centro de cmputos.
GESTIN DE RESPALDO Y RECUPERACIN
Se contara con dispositivos fsico (CDs, DVDs, servidores

espejo, Etc.) donde se almacenaran backup de la informacin,
software y sistemas operativos y otro tipos de informacin que
necesitan ser respaldas.
La realizacin de los backup estar a cargo de los sper
administrados y administradores, y su realizacin de estar
calendarizados de acuerdo a la versatilidad de la informacin
La periodicidad de la generacin de los resguardos debe ser
acorde a la criticidad de la informacin y la frecuencia de
cambios.
Los backup se realizaran para cada base de datos existentes
en los servidores
Todos los backup tendrn que ser debidamente etiquetada de
acuerdo a los procedimientos de salvaguarda
Las medio fsicos de almacenamiento (DVDs, CDs, Etc.) se
verificaran, su estado, antigedad y se proceder a ser
desechada y de ser necesario realizar un copia.
Debe existir una poltica de documentacin de copias de
respaldo, donde se registren todos los datos necesarios para
la gestin del procedimiento de backup. Se deber llevar un
inventario actualizado de las copias de respaldo.
La ubicacin de los backups debe contar con adecuadas
medidas de seguridad, los backups se debern almacenar en
el en otro lugar de fuera de la oficina de la direccin de
informtica, en un medio resistente que los proteja. Debe
designarse un responsable y un suplente encargados de su
custodia, y se generar un registro de los movimientos de
estos medios.
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Es tarea de programadores el realizar pruebas de validacin

de entradas, en cuanto a:
Valores fuera de rango.
Caracteres invlidos, en los campos de datos.
Datos incompletos.
Datos con longitud excedente o valor fuera de rango.
Datos no autorizados o inconsistentes.
Procedimientos operativos de validacin de errores
Procedimientos operativos para validacin de caracteres.
Procedimientos operativos para validacin de la integridad
de los datos.
Procedimientos operativos para validacin e integridad de
las salidas.
Toda prueba de las aplicaciones o sistemas, se deber hacer
teniendo en cuenta las medidas de proteccin de los archivos
de produccin reales.
Los datos de entrada y salida del sistema debern poseer
controles donde se verifique su integridad, exactitud y
validez.
Cualquier falla efectuada en las aplicaciones o sistemas, por la

manipulacin errnea de archivos, posterior mantenimiento
deber ser notificada y reparada por el personal tcnico.
Debern realizarse pruebas del software desarrollado, para
esto se generarn planes y escenarios de prueba y se
documentarn los resultados.
DE LA PROCESOS DE DESARROLLO
Se deber implementar una gestin de configuracin, y

debern documentarse los cambios desarrollados en las
aplicaciones.
Deber existir un documento formal de solicitud de cambios,
donde quede reflejado el motivo y la solicitud del cambio, all
se agregarn los requerimientos de seguridad necesarios,
definidos por el responsable de la informacin y el
administrador de sistemas. La documentacin de los cambios
debe incluir:
o sistema que afecta.
o fecha de la modificacin.
o desarrollador que realiz el cambio.
o empleado que solicit el cambio.
o descripcin global de la modificacin.
4) NIVEL DE SEGURIDAD LEGAL
CUMPLIMIENTO DE REQUISITOS LEGALES
DEL LICENCIAMIENTO DE SOFTWARE
La Universidad, se reserva el derecho de respaldo, a cualquier

miembro o trabajador miembro de las reas
administrativas, ante cualquier asunto legal relacionado ante
el uso piratera de software.
Todo el software comercial que utilice la Universidad, deber
estar legalmente registrado, en los contratos de
arrendamiento o compra de software con sus respectivas
licencias.
Tanto el software comercial como el software libre son

propiedad intelectual exclusiva de sus desarrolladores, la
universidad respeta la propiedad intelectual y se rige por el
contrato de licencia de sus autores.
El software comercial licenciado a la Universidad de Oriente,
es propiedad exclusiva de la institucin, la misma se reserva
el derecho de reproduccin de ste, sin el permiso de sus
autores, respetando el esquema de cero piratera y/o
distribucin a terceros.
En caso de transferencia de software comercial a terceros, se
harn las gestiones necesarias para su efecto y se acataran
las medidas de licenciamiento relacionadas con la propiedad
intelectual.
Las responsabilidades inherentes al licenciamiento de
software libre son responsabilidad absoluta de la Universidad.
Cualquier cambio en la poltica de utilizacin de software
comercial o software libre, se har documentado y en base a
las disposiciones de la respectiva licencia.
El software desarrollado internamente, por el personal que
labora en la institucin es propiedad exclusiva de la
Universidad.
La adquisicin del software libre o comercial deber ser
gestionado con las autoridades competentes y acatando sus
disposiciones legales, en ningn momento se obtendr
software de forma fraudulenta.
Los contratos con terceros, en la gestin o prestacin de un
servicio, debern especificar, las medidas necesarias de
seguridad, nivel de prestacin del servicio, y/o el personal
involucrado en tal proceso.
REVISIN DE POLITICAS DE SEGURIDAD Y CUMPLIMIENTO

TCNICO
Toda violacin a las polticas de licenciamiento de software,

ser motivo de sanciones aplicables al personal que incurra en la
violacin.
El documento de seguridad ser elaborado y actualizado

por el gestor de seguridad, junto al comit de seguridad, su
aprobacin y puesta en ejecucin ser responsabilidad de la
gerencia administrativa.
Cualquier violacin a la seguridad por parte del personal

que labora, para la universidad, as como terceros que tengan
relacin o alguna especie de contrato con la institucin se harn
acreedores a sanciones aplicables.
PLAN DE CONTINGENCIA DE LA DIRECCIN DE
INFORMTICA
INTRODUCCIN
Para la universidad Nacional Hermilio Valdizn es importante e

imprescindible a recursos informticos para optimizar sus procesos para
cumplir su misin institucional y tambin con el compromiso con la regin
Hunuco
Es importante resaltar que para que la organizacin logre sus objetivos

necesita garantizar tiempos de indisponibilidad mnimos, tanto en sus recursos
informticos como en las comunicaciones; de este modo podr mantener una
contingencia eficiente en todas las reas operativas.
Por todo lo anteriormente dicho, el estar sin el servicio de las tecnologas

de informacin (TICs) por un lapso considerable de tiempo origina distorsiones
al funcionamiento normal de los servicios y mayores costos de operacin. De
continuar esta situacin por un mayor tiempo nos exponemos al riesgo de
paralizar las operaciones por falta de informacin para el control y toma de
decisiones de la institucin.
Es necesario, por tanto, prever cmo actuar y qu recursos necesitamos

ante una situacin de contingencia con el objeto de que su impacto en las
actividades sea lo mejor posible.
DEFINICIONES Y ALCANCES
1) QU SON LOS SISTEMAS DE INFORMACIN?
Los sistemas de informacin tienen muchas cosas en comn. La

mayora de ellos estn formados por personas, equipos y
procedimientos. Al conjugar una serie de elementos como hombres y
computadoras se hace imprescindible tomar medidas que nos permitan
una continuidad en la operatividad de los sistemas para no ver
afectados los objetivos de las mismas y no perder la inversin de costos
y tiempo.
La figura anterior nos muestra en un sentido amplio que se puede

considerar un Sistema de Informacin (SI) como un conjunto de
componentes que interactan para que la empresa pueda alcanzar sus
objetivos satisfactoriamente. Los componentes o recursos de un SI son
los siguientes:
Datos: En general se consideran datos tanto los estructurados como

los no estructurados, las imgenes, los sonidos, etc.
Aplicaciones: Se incluyen los manuales y las aplicaciones
informticas.
Tecnologa: El software y el hardware; los sistemas operativos; los
sistemas de gestin de bases de datos; los sistemas de red, etc.
Instalaciones: En ellas se ubican y se mantienen los sistemas de
informacin.
Personal: Los conocimientos especficos que ha de tener el personal
de los sistemas de informacin para planificarlos, organizarlos,
administrarlos y gestionarlos.
2) QU ES UN PLAN DE CONTINGENCIA?
Un plan de contingencias es un instrumento de gestin para el

buen gobierno de las Tecnologas de la Informacin y las
Comunicaciones .
Dicho plan contiene las medidas tcnicas, humanas y

organizativas necesarias para garantizar la continuidad del negocio y
las operaciones de una compaa. Un plan de contingencias es un caso
particular de plan de continuidad del negocio aplicado al departamento
de informtica o tecnologas.
El plan de contingencias comprende tres sub planes. Cada plan

determina las contramedidas necesarias en cada momento del tiempo
respecto a la materializacin de cualquier amenaza:
El plan de respaldo. Contempla las contramedidas

preventivas antes de que se materialice una amenaza. Su
finalidad es evitar dicha materializacin.
El plan de emergencia. Contempla las contramedidas

necesarias durante la materializacin de una amenaza, o
inmediatamente despus. Su finalidad es paliar los efectos
adversos de la amenaza.
El plan de recuperacin. Contempla las medidas

necesarias despus de materializada y controlada la amenaza. Su
finalidad es restaurar el estado de las cosas tal y como se
encontraban antes de la materializacin de la amenaza.
3) OBJETIVOS DEL PLAN DE CONTINGENCIA
Garantizar la continuidad de las operaciones de los elementos

considerados crticos que componen los Sistemas de Informacin.
Definir acciones y procedimientos a ejecutar en caso de
fallas de los elementos que componen un Sistema de
Informacin.
4) ASPECTOS GENERALES DE LA SEGURIDAD DE

INFORMACIN
1.1.1. LA SEGURIDAD FSICA
La seguridad fsica garantiza la integridad de los activos humanos,

lgicos y materiales de un sistema de informacin de datos. Si se
entiende la contingencia o proximidad de un dao como la definicin
de Riesgo de Fallo, local o general, tres seran las medidas a
preparar para ser utilizadas en relacin a la cronologa del fallo.
1.1.1.1.ANTES
El nivel adecuado de seguridad fsica, o grado de seguridad,

es un conjunto de acciones utilizadas para evitar el fallo o,
en su caso, aminorar las consecuencias que de l se puedan
derivar.
Es un concepto aplicable a cualquier actividad, no slo a la

informtica, en la que las personas hagan uso particular o
profesional de entornos fsicos.
Ubicacin del edificio.

Ubicacin del Centro de Procesamiento de Datos
dentro del edificio.
Compartimentacin.
Elementos de la construccin.
Potencia elctrica.
Sistemas contra Incendios.
Control de accesos.
Seleccin de personal.
Seguridad de los medios.
Medidas de proteccin.
Duplicacin de medios.
1.1.1.2.DURANTE
Se debe de ejecutar un plan de contingencia a d e c u a d o . En

general, cualquier de s ast re es cualquier e ven to que,
cuando ocurre, t i e n e la capacidad de interrumpir el normal
proceso de una organizacin.
La probabilidad d e que ocurra un desastre es muy baja,

aunque se diera, el impacto podra ser tan grande que
resultara fatal para la organizacin. Por otra parte, no es
corriente que un negocio responda por s mismo ante un
acontecimiento como el que se comenta, se deduce la
necesidad de contar con los medios necesarios para
afrontarlo. Estos medios quedan definidos en el Plan de
Recuperacin de Desastres que junto con el Centro Alternativo
de Proceso de Datos, constituye e l plan de contingencia q u e
coordina l a s necesidades del negocio y las operaciones de
recuperacin del mismo.
Son puntos imprescindibles del plan de contingencia:
Realizar un anlisis de riesgos de sistemas crticos que

determine la tolerancia de los sistemas
Establecer un periodo crtico de recuperacin, en la
cual los procesos debe de ser reanudados antes
de sufrir prdidas significativas o irrecuperables.
Realizar un Anlisis de Aplicaciones Crticas por que se
establecern las prioridades del proceso.
Determinar las prioridades del proceso, por das
del ao, que indiquen cuales son las aplicaciones
y sistemas crticos en el momento de ocurrir el
desastre y el orden de proceso correcto.
Establecer objetivos de recuperacin que determinen el
perodo de tiempo (horas, das, semanas) entre la
declaracin de desastre y el momento en el que el
centro alternativo puede procesar las aplicaciones
crticas.
Designar entre los distintos tipos existentes, un Centro
Alternativo de Proceso de Datos.
Asegurar la capacidad de las comunicaciones.
Asegurar la capacidad de los servidores back-up.
1.1.1.3.DESPUS
Los contratos de seguros vienen a compensar, en mayor o

menor medida las prdidas, gastos o responsabilidades que se
puedan derivar para el centro de proceso de datos una vez
detectado y corregido el fallo. De la gama de seguros
existentes, se pueden indicar los siguientes:
Centros de proceso y equipamiento: se contrata la

cobertura sobre el dao fsico en el CPD (Centro de
Procesamiento de Datos) y el equipo contenido en l.
Reconstruccin de medios de software: cubre el dao
producido sobre medios de software tanto los que son
de propiedad del tomador de seguro como aquellos que
constituyen su responsabilidad.
Gastos extra: cubre los gastos extra que derivan de la
continuidad de las operaciones tras un desastre o dao
en el centro de proceso de datos. Es suficiente para
compensar los costos de ejecucin del plan de
contingencia.
Interrupcin del negocio: cubre las prdidas de
beneficios netos causadas por las cadas de los
medios informticos o por la suspensin de las
operaciones.
Documentos y registros valiosos: Se contrata para
obtener una compensacin en el valor metlico real por
la prdida o dao fsico sobre documentos y registros
valiosos no amparados por el seguro de reconstruccin
de medios de software.
Errores y omisiones: proporciona proteccin legal ante
la responsabilidad en que pudiera incurrir un
profesional que cometiera un acto, error u omisin
que ocasione una prdida financiera a un cliente.
Cobertura de fidelidad: cubre las prdidas derivadas de
actos deshonestos o fraudulentos cometidos por
empleados.
Transporte de medios: proporciona cobertura ante
prdidas o daos a los medios transportados.
Contratos con proveedores y de mantenimiento:
proveedores o fabricantes que aseguren la existencia
de repuestos y consumibles, as como garantas de
fabricacin.
1.1.2. CONCEPTOS GENERALES
Los conceptos generales que se usaran son los siguientes:
a) Privacidad :Se define como el derecho que tienen los

individuos y organizaciones para determinar, ellos mismos,
a quin, cundo y qu informacin referente a ellos sern
difundidas o transmitidas a otros.
b) Seguridad: Se refiere a las medidas tomadas con la
finalidad de preservar los datos o informacin que en
forma no autorizada, sea accidental o intencionalmente,
puedan ser modificados, destruidos o simplemente
divulgados.
c) Integridad: Se refiere a que los valores de los datos se
mantengan tal como fueron puestos intencionalmente en un
sistema
d) Datos: Los datos pueden ser cualquier forma de
informacin: campos de datos, registros, archivos y bases
de datos, texto (coleccin de palabras)
e) Base de datos: Una base de datos es un conjunto de datos
organizados, entre los cuales existe una correlacin y que
adems, estn almacenados con criterios independientes de
los programas que los utilizan.
Las caractersticas que presenta un DBMS son las siguientes:
Brinda seguridad e integridad a los datos.

Provee lenguajes de consulta (interactivo).
Provee una manera de introducir y editar datos
en forma interactiva.
Existe independencia de los datos, es decir, que los
detalles de la organizacin de los datos no necesitan
incorporarse a cada programa de aplicacin.
f) Acceso: Es la recuperacin o grabacin de datos que han sido

almacenados en un sistema de computacin. Cuando se
consulta a una base de datos, los datos son primeramente
recuperados hacia la computadora y luego transmitidos a la
pantalla del terminal.
g) Ataque: Trmino general usado para cualquier accin o
evento que intente interferir con el funcionamiento adecuado
de un sistema informtico, o intento de obtener de modo no
autorizado la informacin confiada a una computadora.
h) Ataque activo: Accin iniciada por una persona que amenaza
con interferir el funcionamiento adecuado de una
computadora, o hace que se difunda de modo no autorizado
informacin confiada a una computadora personal.
i) Ataque pasivo: Intento de obtener informacin o recursos de
una computadora personal sin interferir con su
funcionamiento, como espionaje electrnico, telefnico o la
intercepcin de una red.
j) Amenaza: Cualquier cosa que pueda interferir con el
funcionamiento adecuado de una computadora personal, o
causarla difusin no autorizada de informacin confiada a
una computadora.
k) Incidente: Cuando se produce un ataque o se materializa una
amenaza, tenemos un incidente, como por ejemplo las fallas
de suministro el ctrico o un intento de borrado de un
archivo protegido.
l) Golpe (breach): Es una violacin con xito de las medidas de
seguridad, como el robo de informacin, el borrado de
archivos de datos valiosos, el robo de equipos, PC, etc.
1.2. SEGURIDAD INTEGRAL DE LA INFORMACIN
La funcin del procesamiento de datos es un servicio de toda la

institucin, que apoya no slo a los sistemas de informacin
administrativa sino tambin a las operaciones funcionales. La
Seguridad u n aspecto de mucha i mp or t a n c i a en la correcta
Administracin Informtica, lo es tambin de toda la Institucin.
Las medidas de seguridad estn basadas en la definicin de

controles fsicos, funciones, procedimientos y programas que conlleven
no slo a la proteccin de la integridad de los datos, sino tambin a la
seguridad fsica de los equipos y de los ambientes en que stos se
encuentren.
DESARROLLO DEL PLAN DE CONTINGENCIA DE LA INFORMACIN
La presente metodologa se resume en ocho fases de la siguiente manera:
Planificacin: preparacin y aprobacin de esfuerzos y costos.

Identificacin de riesgos: funciones y flujos del proceso de la
empresa.
Identificacin de soluciones: Evaluacin de Riesgos de fallas o
interrupciones.
Estrategias: Otras opciones, soluciones alternativas, procedimientos
manuales.
Implementacin: creacin de las soluciones requeridas,
documentacin de los casos.
1.3. FASE I :PLANIFICACIN

1.3.1. DIAGNOSTICO
1.3.1.1.ORGANIZACIN ESTRUCTURAL Y FUNCIONAL
Las funciones de la direccin de informtica de la

UNHEVAL son:
1.3.1.2.INVENTARIO DE RECURSOS INFORMTICOS
LISTA DE ACTIVOS DE LA DIRECCION DE INFORMTICA
N ACTIVOS NIVEL
1 UPS General
2 Switch Core
3 Switch CISCO Administrable
4 Servidor Administrador de Switch's
5 Servidor Proxy (ISA Server)
7 Servidor Base de Datos
8 Servidor DNS DHCP
ENTORNO
9 Servidor WEB
10 Servidor Firewal
ASA (Servidor para la Seguridad de
12
la Red)
13 Fibra Optica
15 Camaras IP de Seguridad
16 computadoras de oficio
17 Impresora
18 Router
19 CD's de Instaladon de Aplicativos
23 Sistema analizador de Banda Ancha
24 Sistema Acadmico
25 Sistema de Caja
Sistema SIGA - SIAF (Herramienta
26
del Estado)
28 Sistema de Tesoreria
31 MS Office
32 MS Visual Studio
33 MS Windows 7
34 HIPER-V
37 Backups de las Bases de Datos
39 Documentos recibidos a la DI
40 Documento Emitidos de la DI INFORMACION
Documentos oficiales impresos de la
41
DI
42 Plan estratgico
FUNCIONES DE LA
43 MOF para la DI
ORGANIZACIN
44 ROF de la DI
45 Plan Operativo Informtico
Plan estratgico de Sistemas de
46
informacin
47 Manual de Configuracion
48 Soporte Tecnico Interno
49 Soporte Tecnico Externo
50 Administracin de Permisos
INFORMACION-GESTION
51 Identidad del Usuario
EQUIPOS EN LA DIRECCIN DE INFORMTICA
CARACTERSTICAS DE LOS EQUIPOS

HARDWARE RAM DISCO DURO N
PENTIUM IV 1.5GB 80GB 1
I 7,64BITS 8GB 500GB 1
CORE 2 DUO, 64 BITS 4GB 400GB 1
10
SISTEMAS OPERATIVOS QUE USAN EN LA DIRECCIN DE
INFORMTICA.
1.3.2. PLANIFICACIN
1.3.2.1.ALCANCE
La Implementacin del Plan de Contingencia de los Sistemas de

Informacin de la Direccin de informtica de la UNHEVAL,
incluye los elementos referidos a los software de aplicaciones,
hardware, infraestructura, comunicaciones, documentos,
personal, servicios, equipamiento ambiental y otros,
direccionado a minimizar eventuales riesgos ante situaciones
adversas, ocasionadas por personas o eventos naturales, los
cuales atentan contra el normal funcionamiento de los servicios
de la organizacin.
1.3.2.2.Identificacin y asignacin del equipo de

trabajo
UNIDAD NOMBR REAS FUNCIONES

E
Ing.
Direccin de
Adam La parte estratgica de la
informtica
francisco direccin informtica
(jefatura)
Paredes
Reporta los datos estadsticos de

Cp. Elma docentes por cantidad y
Unidad de
Vergara categoras, administrativos,
estadstica
Mallqui alumnos de la unidad de procesos
acadmicos, admisin.
la implementacin y el desarrollo
Ing.
Unidad de de Software mediante el cual las
Miguel
desarrollo de otras reas hacen las peticiones
Apac
software de acuerdo a las necesidades para
Luna.
su elaboracin
Unidad de Eco. rea Esta rea es el encargado de dar
telecomunicacio Gloria mantenimient soporte y mantenimiento tcnico a
nes Eloiza o y soporte las sub reas, est relacionada con
Garca tcnico los sistemas de informacin con
Berr. base a la tecnologa y normativa
actual.
Controla y vigila el correcto

rea redes,
funcionamiento de todos los
telefona y
equipos integrados en las distintas
soporte tcnico
redes de la empresa en cuestin
rea Esta rea se encarga de hacer

mantenimiento y cambios en la incompatibilidad de
soporte del navegadores, publicar noticias en
portal web. Portal Web de la UNHEVAL,
elaborar banner para eventos que
se realizan.
Desarrolla soluciones de
comunicacin visual en diversos
rea de diseo medios y soportes, a travs de la
grfico y integracin de diversas variables
animacin web asociadas a las problemticas
comunicacionales tales como el
contexto, requerimientos, usuarios.
1.4. FASE II :IDENTIFICACIN DE RIESGOS

1.4.1. ANLISIS Y EVALUACIN DE RIESGOS
CUADRO19.FORMATO TABLA DE ANLISIS DE

RIESGOS
RIESGOS REA REA

UNIDADES IMPACT PROBABILIDA PRIORIDA ESTRATEGIA DE
IDENTIFICAD RELACIONAD DE
AFECTADA O D DE FALLA D CONTINGENCIA
OS A ACCIN
Todas las Perdidadel

Unidades software
Falla del
Todas las software de
Unidades administraci
n
Falla de los
Todas las servicios de
Unidades red
(servidores)
Todas las Falla de las
Unidades PCs
1.4.2. Identificar los procesos crticos

PRIORIDAD DE LA
OPERACIONES OPERACI
OBJETIVOS DE LA OPERACIN
CRTICAS N
Consultas a las Bases Informes a los docentes y alumnos.
de Datos va Internet Informacin sobre la organizacin. Baja
Consultas a las Bases Inventarios
de Revistas, electrnicas, registros de notas, Regular
Datos va LAN pagos.
Procesos de Back ups de la informacin.

Sistema de Backup y Establecimiento de las frecuencias de Alta
Recuperacin de Data almacenamiento de datos.
Sistema de Ingreso y Proceso de los programas que realizan la

modificacin en la entrada y salida de la informacin.
Base de Datos de Mantenimiento adecuado de las
Alta
documentos que aplicaciones.
llegan y salen al Equipamiento necesario para un
exterior funcionamiento ptimo del sistema.
1.5. FASE III : IDENTIFICACIN DE SOLUCIONES
1.5.1. IDENTIFICACIN DE ALTERNATIVAS
Planificar la necesidad de adquirir personal adicional para atender

los problemas que ocurran.
Recurrir al procesamiento manual si fallan los sistemas
automatizados.
Planificar el cierre y reinicio progresivo de los dispositivos y
sistemas que se consideran en riesgo.
Instalar generadores si no tiene acceso a la red de energa
pblica.
Disponer del suministro adicional de combustible para los
generadores, en caso de fallas elctricas prolongadas.
Disponer de bombas manuales de combustible y usarlas si
fallan las electrnicas.
Elaborar un programa de vacaciones que garantice la presencia
permanente del personal.
Elaborar un proyecto con respecto al pozo a tierra de la
organizacin
1.5.2. IDENTIFICACIN DE EVENTOS ACTIVADORES

Tardo descubrimiento de serios problemas con una interfaz.
Tempranas (no anticipadas) fallas del sistema
correccin/reemplazo no est lista para sustituir.
Fallas del Sistema (datos corruptos en informes o pantallas,
transacciones prdidas, entre otros).
Fallas de interfaces intercambios de datos no cumplen los
requisitos.
Fallo de la infraestructura regional (energa,
telecomunicaciones, sistemas financieros)
Fallas de todo los equipos de la direccin informtica por la cada
de algn rayo
1.5.3. IDENTIFICACIN DE SOLUCIONES
El objetivo es encontrar una solucin en la medida de lo posible, a

tiempo de documentar todos los riesgos identificados.
Actividades importantes a realizar:
La asignacin de equipos de solucin para cada funcin, rea
funcional o rea de riesgo de la organizacin.
Comparar los riesgos y determinarles ponderaciones respecto a su
importancia crtica en trmino del impacto de los mismos.
Clasificar los riesgos.
La elaboracin de soluciones de acuerdo con el calendario de
eventos.
La identificacin de los modos de implementacin y restricciones
que afectan a las soluciones.
COMO PROGRA LOCALIZACI OCURRENCIA

OPERADO
RECURSO ACCIN CONFIRMA MA N PARA LA DEL
R
R PARA LA ACCIN PROBLEMA
ACCIN
El rea de
administrac
Confirmar in rea En la Todas las Falla de los
Pc la comunicara de maana oficinas de la PCs
s ocurrencia al Administr del da institucin
de los responsable acin
problemas sobre la
ocurrencia
El
administra Direcci
Software Confirmarla dor de la n En todo el Oficinas Cada de la
de ocurrencia Red Tcnica da administrativ red en ciertas
administr de los supervisar de as reas
acin de problemas la red e Soport
compras informar a e
cualquier Tcnic
problema o
El
administra Direcci
Servidore Confirmarla dor de la n En todo el Oficinas Cada de la
s de ocurrencia red Tcnica da administrativ red en el rea
Gesti de los supervisar de as de gestin
n problemas e Soport
informar e
cualquier tcnico
problema
El
administra Paralizacin o
Sistemas Confirmarla dor de los Direcci En todo el Oficinas fallas en los
de ocurrencia servidores n da administrativ programas o
Gestin de los supervisar Tcnica as aplicaciones
problemas e de
informar Soporte
cualquier
problema
Cada del
Confirmarla Cobertura rea Lugar de la sistema en el
Software ocurrencia de los de En el da persona a rea de
cliente de los medios Soport cargo inters.
problemas e
Tcnic
1.5.4. FALLAS GENRICAS FUNCIONALES DE LOS
SISTEMAS
Autentificacin.
Cifrado.
Implementacin.
Confianza implcita.
Compartimiento implcito
Comunicacin entre p r o c e s o s
Verificacin de la legalidad.
Desconexin de lnea.
Contraseas.
Valores de umbral.
1.5.5. SEGURIDAD EN REDES

1.5.5.1.CONTROL DE ACCESOS A LA RED
Restringir el acceso a las reas en que estn las estaciones de
trabajo mediante llaves, tarjetas de identificacin, tarjetas
inteligentes y sistemas biomtricos.
Identificacin para la red con clave de acceso.
Proteccin con clave de todas las reas sensitivas de datos y
restriccin de acceso a los programas.
Registro de usuario de toda la actividad de la estacin de
trabajo.
1.5.5.2.PROTECCIN DEL SERVIDOR

Aunque el conjunto de cabezales y discos viene de fbrica
sellado hermticamente, debe evitarse que los circuitos
electrnicos que se encuentran alrededor sellen en de
partculas de polvo y suciedad que pudieran ser causa de
errores.
Se debe evitar que la microcomputadora se coloque en
zonas donde haya acumulacin de calor. Esta es una de las
causas ms frecuentes de las fallas de los discos duros, sobre
todo cuando algunas piezas se dilatan ms que otras.
1.6. FASE 5: IMPLEMENTACIN

1.6.1. DE LAS EMERGENCIAS FSICAS
1.6.1.1.CASO A:ERROR FSICO DE DISCO DE UN
SERVIDOR
Dado el caso crtico de que el disco presenta fallas, tales que

no pueden ser reparadas, se debe tomar las acciones
siguientes:
1. Ubicar el disco malogrado.

2. Avisar a los usuarios que deben salir del sistema, utilizar
mensajes por red y telfono a jefes de rea.
3. Deshabilitar la entrada al sistema para que el usuario no
reintente su ingreso.
4. Bajar el sistema y apagar el equipo.
5. Retirar el disco malo y reponerlo con otro del mismo tipo,
formatearlo y darle particin.
6. Restaurar el ltimo back up en el disco, seguidamente
restaurarlas modificacin es efectuadas desde esa fecha a
la actualidad.
7. Recorrer los sistemas que se encuentran en dicho disco y
verificar su buen estado.
8. Habilitar las entradas al sistema para los usuarios.
1.6.1.2.CASO B: ERROR DE MEMORIA RAM

En este caso se dan los siguientes sntomas:
El servidor no responde correctamente, por lentitud
de proceso o por no rendir ante el ingreso masivo de
usuarios.
Ante procesos mayores se congela el proceso.
Arroja errores con mapas de direcciones
hexadecimales.
Es recomendable que el servidor cuente con ECC
(error correct checking), por lo tanto si hubiese un
error de paridad, el servidor se autocorregir.
Todo cambio interno a realizarse en el servidor ser

fuera de horario de trabajo fijado por la institucin, a
menos que la dificultad apremie, cambiarlo
inmediatamente.
Se debe tomar en cuenta que ningn proceso debe quedar

cortado y se deben tomar las acciones siguientes:
1. Avisar a los usuarios que deben salir del sistema,

utilizar mensajes por red y telfono a jefes de rea.
2. El servidor debe estar apagado, dando un correcto
apagado del sistema.
3. Ubicar las memorias malogradas.
4. Retirar las memorias malogradas y reemplazarlas por
otras iguales o similares.
5. Retirar la conexin del servidor con el concentrador,
sta se ubica detrs del servidor, ello evitar que al
encender el sistema, los usuarios ingresen.
6. Realizar pruebas locales, deshabilitar las entradas,

luego conectar el cable hacia el concentrador,
habilitar entradas para estaciones en las cuales se
realizarn las pruebas.
7. Probar los sistemas que estn en red en diferentes
estaciones.
8. Finalmente luego de los resultados, habilitar las
entradas al sistema para los usuarios.
1.6.1.3.CASO C:ERROR DE TARJETAS CONTROLADORAS
Se debe tomar en cuenta que ningn proceso debe quedar

cortado debindose ejecutar las siguientes acciones:
1. Avisar a los usuarios que deben salir del sistema,

utilizar mensajes por red y telfono a jefes de rea.
2. El servidor debe estar apagado, dando un correcto
apagado del sistema.
3. Ubicar la posicin de la tarjeta controladora.
4. Retirar la tarjeta con sospecha de deterioro y tener a
la mano otra igual o similar.
5. Retirar la conexin del servidor con el concentrador,
sta se ubica detrs del servidor, ello evitar que al
encender el sistema, los usuarios ingresen.
6. Realizar pruebas locales, deshabilitar las entradas,
luego conectar el cable hacia el concentrador,
habilitar entradas para estaciones en las cuales se
realizarn las pruebas.
7. Al final de las pruebas, luego de los resultados
de una buena lectura de informacin, habilitar las
entradas al sistema para los usuarios.
1.6.1.4.CASO D:CASO DE INCENDIO TOTAL EN LA
DIRECCIN DE INFORMTICA
En el momento que se d aviso por los altavoces

de alguna situacin de emergencia general, se deber
seguir al pie de la letra los siguientes pasos, los mismos
que estn encausados a salvaguardar la seguridad
personal, el equipo y los archivos de informacin que
tenemos
Ante todo, se recomienda conservar la serenidad. Es

obvio que en una situacin de este tipo, impera el
desorden, sin embargo, es muy recomendable tratar
de conservar la calma, lo que repercutir en un
adecuado control de nuestras acciones.
En ese momento cualquiera que sea(n) el (los)
proceso(s) que se est(n) ejecutando en el
Computador Principal, se deber enviar un
mensaje(si el tiempo lo permite) de "Salir de Red y
Apagar Computador", seguidamente digitar Down
en el(los) servidor(es).
Se apagar (poner en OFF) la caja principal de
corriente del departamento de sistemas.
Tomando en cuenta que se trata de un incendio de
mediana o mayor magnitud, se debe tratar en lo
posible detrs la dar el servidor fuera del local, se
abandonar el edificio en forma ordenada, lo ms
rpido posible, por las salidas destinadas para ello.
1.6.1.5.CASO E: CASO DE FALLAS DE FLUIDO ELCTRICO
Se puede presentar lo siguiente:
1. Si fuera cortocircuito, el UPS mantendr activo los

servidores y algunas estaciones, mientras se repare
la avera elctrica o se enciende el generador.
2. Para el caso de apagn se mantendr la autonoma
de corriente que el UPS nos brinda (corriente de
emergencia (*)), hasta que los usuarios completen
sus operaciones (para que no corten bruscamente el
proceso que tienen en el momento del apagn),hasta
que finalmente se realice el By-pass de corriente con
el grupo electrgeno, previo aviso y coordinacin.
3. Cuando el fluido elctrico de la calle se ha
restablecido se tomarn los mismos cuidados para el
paso de grupo electrgeno a corriente normal ( o
UPS).
* Llmese corriente de emergencia a la brindada

por grupo electrgeno y/o UPS.
** Llmese corriente normal a la brindada por la
compaa elctrica.
***Se contar con transformadores de aislamiento
(nivelan la corriente) asegurando que la
corriente que entre y salga sea 220v, evitando
que los equipos sufran corto circuito por
elevacin de voltaje (protegiendo de esta
manera las tarjetas, pantallas y CPU del
computador).
1.6.1.6.CASO E :FALLA DE TODOS LOS EQUIPOS ANTE
UNA CADA DE RAYO
Ante la posible cada de un rayo , se debe dejar

de usar el fluido elctrico y utilizar los UPS
Comunicar a los usuarios de las distintas reas
que apagan l sus mquinas asignadas porque
podra malograrse ante una cada de un rayo
El pozo a tierra tiene que tener un mnimo de
1.5metros
Implementar un pozo a tierra
Ya implementado el pozo a tierra sera necesario
hacer un debido mantenimiento
1.6.2. DE LAS EMERGENCIAS LGICAS DE DATOS
1.6.2.1.ERROR LGICO DE DATOS
La ocurrencia de errores en los sectores del disco duro del

servidor puede deberse a una de las siguientes causas:
Cada del servidor de archivos por falla de software

de red.
Falla en el suministro de energa elctrica por mal
funcionamiento del UPS.
Bajar incorrectamente el servidor de archivos.
Fallas causadas usualmente por un error de
chequeo de inconsistencia fsica.
1.6.2.2.CASO DE VIRUS:
Dado el caso crtico de que se presente virus en las
computadoras se proceder a lo siguiente:
Dado el caso crtico de que se presente virus en los

servidores se proceder a lo siguiente:
Para servidor:
Se contar con antivirus para el sistema que aslan

el virus que ingresa al sistema llevndolo a un
directorio para su futura investigacin
El antivirus muestra el nombre del archivo
infectado y quin lo us.
Estos archivos (exe, com, ovl, nlm, etc.) sern
reemplazados del diskett original de instalacin o
del backup.
Si los archivos infectados son aislados y an
persiste el mensaje de que existe virus en el
sistema, lo ms probable es que una de las
estaciones es la que caus la infeccin, debiendo
retirarla del ingreso al sistema y proceder a su
revisin.
CONCLUSIONES Y RECOMENDACIONES
A medida que la computacin se hace ms asequible, los

problemas de seguridad aumentan, El hecho de ser favorables
al usuario, implica tambin un incremento de la vulnerabilidad.
El plan debe ser ejecutado independiente de las operaciones

normales de la organizacin
Si ocurre un desastre (rayos), una interrupcin, o un desfase

de gran magnitud en los negocios de la organizacin durante el
perodo del calendario de eventos, se pondrn en prctica los
planes de continuidad de los negocios o de contingencia
Adicionalmente al plan de contingencias se debe desarrollar

pruebas para verificar la efectividad de las acciones en caso
de la ocurrencia de los problemas y tener la seguridad de que
se cuenta con un mtodo seguro.
Se recomienda la implementacin de un pozo a tierra debido

a que este incidente puede conllevar a daos de los equipos
que manejan la informacin y tambin sera un costo
enorme que tendra que reponer la universidad Hermilio
Valdizn.
Se recomienda que debemos cambiar los UPS antiguos y

comprar los nuevos UPS ,que tienen mayor tiempo en la
batera ,porque actualmente no se est contando con un
pozo a tierra ,para prevencin especial mente con los rayos
debern usar UPS con mayor duracin de batera
CONCLUSIONES
La aplicacin de la metodologa MAGERIT, para la realizacin del
Anlisis y Gestin de Riesgos, para cualquier institucin pblica o
privada que contenga activos.
La metodologa de anlisis y gestin de riesgos MAGERIT, ayuda a

enfocar el problema de la seguridad desde una perspectiva
completa, y evolucionable en el tiempo.
Los activos son los elementos fsicos, lgicos y organizativos que

dan soporte a la realizacin del anlisis y gestin de riesgos.
En la Direccin de Informtica no existe muchos mecanismos de

salvaguarda su riesgo principal es la falta de planes de
contingencia en los sistemas de informacin.
Como riesgo principal se encuentra el Rayo, ya que no se cuenta

implementado medidas de seguridad para este desastre natural, y
el hurto y avera de un activo.
Cabe recalcar que ya se cuenta con un anlisis de riesgo en dicha

organizacin, es por eso que se implanto el plan de contingencias
especficamente sobre el desastre natural mencionado
Los Mecanismos de Salvaguarda como Plan de Contingencia

disminuyen en un 75% la vulnerabilidad de las Amenazas.
RECOMENDACIONES
Se recomienda implementar salvaguardas preventivas hasta que

se implemente una Metodologa de Anlisis y gestin de Riesgos
Informticos.
Considerar en la ejecucin de las salvaguardas su facilidad de uso
que sea transparente para el usuario, y no aumentar una amenaza
ms, con su defectuosa ejecucin.
Se recomienda poner bajo control a las diferente amenazas
dependiendo de los niveles de criticidad: critico, muy alto, alto,
medio, bajo, muy bajo e inexistente y su valor de riesgo.
Es recomendable la revisin peridica de las amenazas y riesgos
ya que la tecnologa est cambiando constantemente y deben ser
controlados para evitar futuros problemas.
Realizar la implantacin de los Mecanismos de Salvaguarda
simulados en el anlisis y gestin de riesgos como Plan de
Contingencia en el rea de Informtica.
Los riegos y las salvaguardas en la Direccin de Informtica se
deben revisar cuando sea adecuado y peridicamente como una
parte ms de la gestin de riesgos.
Identificar correctamente los activos y realizar adecuadamente el
rbol de dependencia para el anlisis de riesgos.
BIBLIOGRAFA
o MAGERIT
o www.google.com /MAGUERIT
o Plan de contingencia MLDP. Pdf
o MAGERIT V2.0
o

Informe Final de Auditoria e Informatica

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe Final de Auditoria e Informatica

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD

CURSO : Seguridad y auditoria Informtica

La necesidad de un estudio de las distintas metodologas de anlisis y

La evolucin de las Tecnologas de la Informacin y la Comunicacin (TIC)

En la mayora de los pases las empresas e instituciones poseen

En Hunuco las diferentes instituciones pblicas y privadas en su

Las vulnerabilidades en los sistemas de informacin en Direccin de

La meta principal de la administracin del riesgo informtico debera ser

Es importante que la Direccin de Informtica de la Universidad Nacional

Teniendo en cuenta que la explotacin de un riesgo causara daos o

Lo que se pretende en este trabajo de investigacin es realizar un

Identificar Activos y Grupos de Activos y valorarlos.

Seguridad de la Informacin tiene como fin la proteccin de la

Las organizaciones estn sujetas a constantes violaciones a la Seguridad

En los ataques pasivos el agente no altera el flujo de transmisin de la

Estos ataques implican algn tipo de modificacin del flujo de datos

2) CONSIDERACIONES DELIBERADAS A LA SEGURIDAD

Es el recurso del sistema de informacin o relacionado con ste,

Es la condicin del entorno del sistema de informacin (persona,

La auditora informtica es el proceso de recoger, agrupar y evaluar

Es un proceso establecido por el Directorio, la Gerencia, y todos los

Materializacin de una amenaza que conlleva a resultados

Evento o condicin incierta que, en caso de incurrir, tiene un efecto

Procedimiento, dispositivo, fsico o lgico, que reduce el riesgo.

Es la potencialidad o posibilidad de ocurrencia de la materializacin de

Asegura el secreto de las comunicaciones contenidas en el mensaje.

Significa que la informacin se enviada por quien aparece como

La informacin no puede ser manipulada en el proceso de envi.

Requiere que los recursos del sistema informtico estn disponibles a

m) PROCESO DE ADMINISTRACIN DE RIESGO

Este proceso administracin de riesgo es un proceso continuo dado

3) METODOLOGIAS DE ANLISIS DE RIESGO

Citicus One: software comercial de Citicus, implementa el mtodo

CRAMM: CCTA Risk Assessment and Management Methodology

ISO TR 13335: fue el precursor de la ISO/IEC 27005;

MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los

OCTAVE: Operationally Critical Threat, Asset, and Vulnerability

NIST SP 800-39: Gestin de Riesgos de los Sistemas de

NIST SP 800-30: Gua de Gestin de Riesgos de los Sistemas de

Mehari: Mtodo de Gestin y Anlisis de Riesgos desarrollado por

Es la metodologa de anlisis y gestin de riesgos elaborada por el

La razn de ser de MAGERIT est directamente relacionada con la

MAGERIT interesa a todos aquellos que trabajan con informacin

ISO 31000 - Marco de trabajo para la gestin de riesgos

El anlisis y gestin de los riesgos es un aspecto, por el que se

Productos y servicios complementarios

Objetivos del MAGERIT:

MAGERIT persigue los siguientes objetivos:

Concienciar a los responsables de las organizaciones de

Ofrecer un mtodo sistemtico para analizar los riesgos derivados

Ayudar a descubrir y planificar el tratamiento oportuno para

Preparar a la Organizacin para procesos de evaluacin, auditora,

ANALISIS DE RIESGO DE LOS ACTIVOS DE LA DIRECCIN

Una vez clasificada la informacin, tenemos que verificar los diferentes

Clasificar los datos y analizar el flujo de la informacin a nivel interno y

a) ACTIVOS DE LA DIRECCIN DE INFORMTICA UNHEVAL

Este paso consiste en identificar y valorar la relevancia de los activos

La tarea clasifica los Activos identificados en las tipologas ofrecidas por

Subestados de seguridad (Autenticacin, Confidencialidad,

La tarea agrupa Activos articulndolos en conjuntos definidos por el

b) SALVAGUARDA ACTIVOS DE LA DIRECCIN DE INFORMTICA

Autenticidad: qu perjuicio causara no saber exactamente quien

16 Computadora de Restriccin del acceso a Disponibilidad Si los equ

40 Plan estratgico documentacin, copia La prdida