Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fase 1
Fase 1
INTRODUCCIÓN
La información es un recurso que, como el resto de los activos tiene valor para la comunidad
universitaria como es el caso de la Universidad Tecnológica del Perú, y por consiguiente
debe ser debidamente protegida, garantizando la continuidad de los sistemas de
información, minimizando los riesgos de daño y contribuyendo de esta manera, a una mejor
Gestión de la Universidad.
La UTP dispone con mecanismo de seguridad con el fin de identificar a las personas que
acceden a las instalaciones con máquinas de control de acceso donde cada personal que
trabaja en el universidad así mismo como los alumnos tiene asignado un identificador como
los carnets, el código de alumno , DNI fotochecky que le permitirá
Ingresar a las instalaciones y acceder a un ordenador.
3. Análisis Diferencial
En este punto el objetivo es definir un estado inicial de cómo se encuentra la Universidad
y hacia dónde deseamos llegar para cumplir los objetivos marcados en cuanto a seguridad
de la información
3.1. Política de Seguridad
Dado que La Universidad Tecnológica del Perú si cuenta con políticas de seguridad
solo realizara un estudio de los controles que este tiene y después se optara por
medidas de mejoramiento o se tomara acciones correctivas conforme a la norma ISO
27001:2013.
Por otro lado, con el objetivo de minimizar el riesgo de fallos de los sistemas, es
necesario una planificación para asegurar la disponibilidad de capacidad y de
recursos para que los sistemas funcionen, además de documentar y probar, antes
de su aceptación, los requisitos operacionales de los sistemas nuevos, ya que
actualmente no se realiza.
3.9. Cumplimiento
Se debe tener en cuenta al redactar estos documentos y procedimientos de
cumplimiento es la protección de datos y la privacidad, donde debe ser asegurada
en todo momento o, el mal uso de los recursos de tratamiento de la información
personal con propósitos no autorizados, por ejemplo. Junto con todos los
procedimientos y documentos, los responsables deberían asegurarse de que se
cumplen todas estas regulaciones de seguridad dentro de su área de
responsabilidad cumpliendo con las políticas y estándares de seguridad.
4. Análisis de riesgos
Una vez disponemos de un listado de las amenazas reales que pueden afectar a nuestros
activos, estaremos en disposición de poder realizar la evaluación del impacto que sufrirá la
Universidad en caso de que se materialicen estas amenazas. El impacto, junto con los
resultados anteriormente explicados dará una serie de datos que nos permitirán priorizar
el plan de acción y, al mismo tiempo, evaluar como se ve modificado este valor una vez se
apliquen las contramedidas o bien, el riesgo que estamos dispuestos a asumir (riesgo
residual) por parte de la compañía.
5. Auditoría de cumplimiento
Esto se da con el objetivo de fortalecer dentro del SGSI los controles y
procedimientos orientados a la revisión, monitoreo de los procesos y sistemas
sensibles. Para ejecutar la auditoria de cumplimiento usaremos diversos modelos,
los cuales serán plasmados en la siguiente tabla.
La ISO/IEC 27001:2013 servirá como marco de control del estado del Sistema de
Gestión de seguridad de la Información que cuenta en total 114 controles o medidas
preventivas sobre “buenas prácticas” para la gestión de la seguridad de la
información