Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Vasquez Ej
Vasquez Ej
TESIS
Para optar el Título Profesional de Ingeniero Industrial
Modalidad Ordinaria
AUTOR
Jaime Fernando VÁSQUEZ ESCALANTE
ASESOR
César CAMPOS CONTRERAS
Lima, Perú
2018
DEDICATORIA
Página 2 de 218
TABLA DE CONTENIDO
TABLA DE CONTENIDO................................................................................... 3
INTRODUCCIÓN ............................................................................................... 9
RESUMEN ....................................................................................................... 11
Página 3 de 218
4.2. POBLACIÓN DE ESTUDIO ..........................................................................36
4.3. TAMAÑO Y SELECCIÓN DE MUESTRA .....................................................36
4.4. TÉCNICA DE RECOLECCIÓN DE DATOS ..................................................36
Página 4 de 218
5.8.16. INFORMACIÓN DOCUMENTADA ........................................................92
5.9. HACER .........................................................................................................98
5.9.1. INVENTARIO DE ACTIVOS ..................................................................98
5.9.2. EVALUACIÓN DEL RIESGO...............................................................124
5.9.3. PLAN DE TRATAMIENTO DE RIESGOS............................................139
5.10. MEDIR ........................................................................................................160
5.10.1. MEDICIÓN DEL SGSI .........................................................................160
5.10.2. AUDITORIA INTERNA ........................................................................168
5.10.3. REVISIÓN DE GESTIÓN .....................................................................172
5.11. ACTUAR .....................................................................................................172
5.11.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS .....................172
5.11.2. MEJORA CONTINUA ..........................................................................174
5.12. AUDITORIA DE CERTIFICACIÓN..............................................................176
5.13. CIERRE DEL PROYECTO .........................................................................178
6.1. ANALISIS DE BRECHAS ...........................................................................181
6.2. ANALISIS DE LOS INDICADORES ...........................................................185
6.3. GRAFICO DE MEORA DE INDICADORES ................................................186
Página 5 de 218
CUADRO DE TABLAS
CUADRO N° 2.1 ETAPAS DE LA MEJORA CONTINUA ............................... 27
Página 6 de 218
CUADRO N° 5.21 CRITERIO DE ACEPTACIÓN DEL RIESGO ..................... 70
CUADRO DE FIGURAS
FIGURA N° 5.1 CRONOGRAMA DE TRABAJO ............................................ 41
Página 7 de 218
FIGURA N° 5.3 MAPA DE PROCESOS .......................................................... 54
Página 8 de 218
INTRODUCCIÓN
Página 9 de 218
de ayuda para uno de sus principales clientes del sector público: “La Oficina de
Normalización Previsional (ONP)”.
Página 10 de 218
RESUMEN
En este trabajo se detallan las actividades para una correcta implementación del
sistema de gestión de seguridad de la información, asimismo recalca la
importancia de concienciar al personal en la importancia de salvaguardar la
información que manejan en sus actividades laborales.
Página 11 de 218
CAPITULO I: PLANTEAMIENTO DEL PROBLEMA
Página 12 de 218
En el Perú la Oficina de Normalización Previsional (ONP) tiene a su cargo la
administración del Sistema Nacional de Pensiones a que se refiere el Decreto
Ley N°19990 y de otros regímenes previsionales a cargo del Estado, que le sean
encargados, siendo una de sus funciones el pago de los derechos pensionarios.
Página 13 de 218
1.2.2. PROBLEMAS ESPECÍFICOS
- ¿En qué medida la política de seguridad de la información influye en el
sistema de gestión de seguridad de la información?
- ¿Cómo influye el cumplimiento de las regulaciones legales y contractuales
en la seguridad de la información?
- ¿Cómo influye la mejora continua en la eficacia del SGSI?
- ¿Cómo se influye el mantener una cultura organizacional a que el
personal asuma su responsabilidad por la seguridad de la información?
- ¿Cómo proteger la información y sus activos de información a través de
un SGSI?
- ¿Cómo se deben atender los incidentes de seguridad de la información?
Página 14 de 218
Por no contar con licencias para brindar el servicio
Por no realizar pruebas de contingencia
Por errores que afecten el pago de uno o varios pensionistas
Por efectuar cambios en la plataforma y que afecten la operativa de los
sistemas
Por la indisponibilidad de la mesa de servicios
Por realizar cambios de personal que no hayan sido autorizados
Página 15 de 218
En lo legal: Cada vez hay más y más leyes, normativas y requerimientos
contractuales relacionados con la seguridad de la información. La buena noticia
es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que
esta norma le proporciona una metodología perfecta para cumplir con todos
ellos.
Página 16 de 218
1.6. OBJETIVOS ESPECÍFICOS
Los objetivos específicos que se plantean son los siguientes:
Página 17 de 218
CAPITULO II: MARCO TEÓRICO
2.1. ANTECEDENTES
Página 18 de 218
Villena Aguilar, Moisés Antonio (2006) en su tesis: “Sistema de gestión de
seguridad de información para una institución financiera (Perú)”
El autor concluye en que la presente tesis permitió establecer los principales
lineamientos para poder implementar de manera exitosa, un adecuado modelo
de sistema de gestión de seguridad de información (SGSI) en una institución
financiera en el Perú, el cual apunte a asegurar que la tecnología de información
usada esté alineada con la estrategia de negocio y que los activos de información
tengan el nivel de protección acorde con el valor y riesgo que represente para la
organización.
De igual forma el autor de la presente tesis pudo observar que
desafortunadamente, en ocasiones, se ve a un SGSI como una entidad
complicada que dificulta la consecución de objetivos, imponiendo normas y
procedimientos rígidos a los usuarios, a los sistemas y a los gestores. Sin
embargo, al final se puedo verse no como un objetivo en sí mismo, sino como un
medio de apoyo a la consecución de los objetivos.
Página 19 de 218
Aguirre Cardno, Juan David y Aristizabal Betancourt, Catalina (2012) en su
tesis: “Diseño del sistema de gestión de seguridad de la información para
el grupo empresarial La Ofrenda (Colombia)”
Buitrago Estrada Johanna, Bonilla Pineda Diego, Murillo Varón Carol (2012)
en su tesis: “Diseño de una metodología para la implementación del
sistema de gestión de seguridad de la información - SGSI, en el sector de
laboratorios de análisis microbiológicos (Colombia), basado en ISO
27001”.
Los autores de la tesis concluyen que el establecimiento de un SGSI en el sector
de laboratorios es de gran utilidad al proporcionar una metodología adecuada
para garantizar la confidencialidad, la integridad y la disponibilidad de los activos
de su negocio que tengan que ver con la información.
Asimismo, destacan la importancia del diseño de un SGSI que sea dinámico y
fácilmente adaptable a los cambios y las mejoras a introducir en la compañía, la
aplicación del modelo PHVA (Planear, Hacer, Verificar, Actuar) basado en el
concepto de mejora continua.
Mediante la implementación del sistema de gestión de seguridad de la
información para empresas del sector de laboratorios de análisis microbiológicos
Página 20 de 218
de control de calidad, basado en la ISO 27001, se pudieron obtener los
siguientes beneficios:
- Se cuenta con una guía práctica para el lector en la que se expliquen los
lineamientos de las normas que enmarcan la seguridad de la información,
aclarando los requisitos y contextualizándolos en el sector de laboratorios
de análisis microbiológico.
- Se cuenta con una metodología para la implementación y mantenimiento
de la norma ISO27001 que involucre fase de planificación,
implementación, revisión, mantenimiento y mejora.
- Se pueden proponer herramientas que faciliten la implementación de la
norma IS0 27001 en cada una de sus etapas.
GMD cuenta con certificaciones de calidad como la ISO 9001, ISO 27001,
OHSAS 18001, ISO 20000, ISO 22301, NTP 392-030 y metodologías de clase
mundial como la CMMI-5, ITIL y PMI. Que respaldan nuestros procesos y
operaciones, así como la satisfacción de nuestros clientes.
En junio 2013. GMD® y ONP firmaron los contratos para la administración de los
servicios: “CP 0015-2013 Centro de datos y comunicaciones”; y “CP 0016-2013
Mesa de Servicios”.
Página 21 de 218
SERVICIO DE CENTRO DE DATOS Y COMUNICACIONES
MESA DE SERVICIOS
Página 22 de 218
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin
fines de lucro, privada o pública, pequeña o grande. Está redactada por los
mejores especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una entidad
de certificación independiente confirma que la seguridad de la información ha
sido implementada en esa organización en cumplimiento con la norma ISO
27001.
Página 23 de 218
amalgamar todos estos elementos dentro del sistema de gestión de seguridad
de la información (SGSI).
Página 24 de 218
tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de
riesgos y la determinación de los objetivos de seguridad de la información.
Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo
PDCA y define los requerimientos sobre disponibilidad de recursos,
competencias, concienciación, comunicación y control de documentos y
registros.
Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación
del ciclo PDCA y define la implementación de la evaluación y el tratamiento de
riesgos, como también los controles y demás procesos necesarios para cumplir
los objetivos de seguridad de la información.
Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase
de Revisión del ciclo PDCA y define los requerimientos para monitoreo,
medición, análisis, evaluación, auditoría interna y revisión por parte de la
dirección.
Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo
PDCA y define los requerimientos para el tratamiento de no conformidades,
correcciones, medidas correctivas y mejora continua.
Annexo A – este anexo proporciona un catálogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).
Página 25 de 218
- Gestión de Alcance: Procesos requeridos para identificar todo el trabajo
requerido y sólo el trabajo requerido para obtener los entregables del
proyecto y cumplir los objetivos.
- Gestión de Tiempo: Procesos requeridos para asegurar que el proyecto
es finalizado a tiempo.
- Gestión de Costos: Procesos requeridos para asegurar que el proyecto
es finalizado dentro de un presupuesto aprobado.
- Gestión de Calidad: Procesos requeridos para asegurar que el proyecto
cumple los requerimientos y necesidades por los cuales fue emprendido.
- Gestión de Comunicaciones: Procesos requeridos para asegurar la
generación, distribución, almacenamiento y disposición última de toda la
información del proyecto, a tiempo y de forma adecuada.
- Gestión de Recursos Humanos: Procesos requeridos para administrar
eficientemente la gente que participa en el proyecto.
- Gestión de Riesgos: Procesos requeridos para identificar, analizar y
responder efectivamente a los riesgos del proyecto.
- Gestión de Adquisiciones: Procesos requeridos para adquirir bienes y
servicios fuera de la organización del proyecto.
Página 26 de 218
CUADRO N° 2.1 ETAPAS DE LA MEJORA CONTINUA
Etapa Descripción
Establecer la política. Objetivos, procesos y
Planificar procedimientos del SGSI pertinentes a la gestión de
(Establecer el riesgo y mejorar la seguridad de la información para
SGSI)
obtener resultados de acuerdo con las políticas y
objetivos generales de la organización
Implementar Implementar y operar la política, controles, procesos y
(Implementar y
operar el SGSI)
procedimientos del SGSI
Evaluar, y donde sea aplicable, medir el rendimiento del
Medir proceso contra la política del SGSI, sus objetivos y
(Monitorear y
revisar el SGSI)
experiencia práctica, e informar los resultados para
gestionar su revisión
Tomar acciones correctivas y preventivas, basadas en
Mejorar
(Mantener y los resultados de auditorías internas del SGSI y de
mejorar el SGSI) revisión de gestión u otra información relevante, para
lograr mejora continua del SGSI
Página 27 de 218
- Ayuda a establecer el valor agregado de cada una de las actividades que
componen el proceso.
- Constituye una excelente referencia para establecer mecanismos de
control y medición de los procesos, así como de los objetivos concretos
para las distintas operaciones llevadas a cabo.
- Constituye el punto de comienzo indispensable para acciones de mejora,
rediseño o reingeniería.
SIMBOLO REPRESENTA
Inicio / Termino
Indica el inicio o la terminación del proceso
Decisión
Indica un punto en el flujo en que se produce
una bifurcación del tipo “SI” – “NO”
Base de Datos / Aplicaciones
Empleado para representar la grabación de
datos
Actividad
Representa una actividad llevada a cabo en
un proceso
Documento
Se refiere a un documento utilizado en un
proceso
Línea de flujo
Proporciona indicación sobre el sentido del
flujo del proceso
Página 28 de 218
cuales son las falencias y la brecha que separa a un esquema propio de un
estándar.
Página 29 de 218
2.3. GLOSARIO DE TERMINOS
• Activo de Información: Es todo proceso, tecnología o persona que
interviene directa o indirectamente en el procesamiento, transmisión,
almacenamiento o destrucción de la información, y por lo tanto tiene
valor para la organización. Ej.: instalaciones, hardware, software,
personas, soportes de información, servicios, datos e Información,
equipamiento auxiliar, etc.
• Área de Negocio: Se refiere al área del Proyecto que forma parte del
alcance del Sistema de Gestión de Seguridad de la Información.
Página 30 de 218
circunstancia negativa, y una oportunidad representa un tipo de
circunstancia positiva para el negocio.
Página 31 de 218
en relación con el activo de información; y aprobar el tratamiento de
riesgo asociado.
Página 32 de 218
• Comité de Cambio (CAB): Es el comité responsable de la aprobación
de un cambio.
Página 33 de 218
CAPITULO III: HIPOTESIS Y VARIABLES
Página 34 de 218
3.4. OPERACIONALIZACIÓN DE VARIABLES
VARIABLE INDICADOR
V1 Implementación de un
1.1. Certificación del sistema de gestión
sistema de gestión ISO
(Certificado internacional)
27001:2013
2.1. Cantidad de personas que conocen la
política de seguridad de la información
2.2. Clientes satisfechos con el servicio
2.3. SLA establecidos que se han cumplidos
2.4. Penalidades por incumplimiento
contractuales
2.5. Cumplimiento de la norma ISO
27001:2013
V2 Protección de la 2.6. Cantidad de personas capacitadas en
información en los procesos de temas de seguridad de la información
tecnología de la información 2.7. Cantidad de Personas que aprobaron el
examen de las charlas de seguridad de la
información
2.8. Riesgos atendidos (confidencialidad,
integridad y disponibilidad de la
información)
2.9. Pruebas de continuidad ejecutadas
2.10. Incidentes reportados correctamente
2.11. Incidentes atendidos correctamente
Página 35 de 218
CAPITULO IV: METODOLOGÍA
Diseño de la investigación
Página 36 de 218
- Análisis documentario: Revisión de los procesos en comparación con la
documentación elaborada del proyecto.
- Auditorías: Revisiones del cumplimiento del estándar internacional
ISO/IEC 27001:2013 con las procedimientos y registros que el proyecto
cuente.
Página 37 de 218
CAPITULO V: DESARROLLO DEL PROYECTO
SIGLAS DEL
NOMBRE DEL PROYECTO
PROYECTO
Página 38 de 218
OBJETIVOS DEL PROJECTO
CONCEPTO OBJETIVOS CRITERIO DE ÉXITO
Cumplir con la elaboración de los siguientes
entregables: alcance del SGSI, Metodología de
Aprobación de todos los
1. ALCANCE riesgos, Política y objetivos de SI, y toda la
documentos
documentación que evidencie el cumplimiento
del SGSI
Seguimiento del
2. TIEMPO Cumplir el proyecto en los plazos establecidos
cronograma del proyecto
Cumplir con el presupuesto estimado del
3. COSTO No exceder del presupuesto
proyecto: S/ 137,666.00
Página 39 de 218
PRESUPUESTO PRELIMINAR DEL PROYECTO
CONCEPTO MONTO (S/.)
Oficial de Seguridad de la Información y
1. PERSONAL S/. 111,720.00
Analista de Procesos (MO Anual)
2. MATERIALES Licencias de Office S/. 7,256.00
3. MAQUINAS Notebook, Desktop y Proyector S/. 7,740.00
Capacitaciones (Auditor Interno, Líder y
4. OTROS COSTOS S/. 10,950.00
Riesgos)
TOTAL PRESUPUESTO S/. 137,666.00
SPONSOR QUE AUTORIZA EL PROYECTO
NOMBRE EMPRESA CARGO FECHA
Analista de
Cesar Depaz
Procesos
Página 40 de 218
5.2. CRONOGRAMA DE TRABAJO
El equipo implementador elaboro el cronograma de trabajo con la descripción de
las principales actividades a realizar para el proyecto de implementación del
sistema de gestión de seguridad de la información el cual se detalla en la figura
5.1.
Página 41 de 218
Página 42 de 218
Fuente: Elaboración propia
Costo Anual
Ahorro de Implementar el SGSI
(s/.)
Incumplimiento de los entregables en la fecha requerida S/. 30,800.00
Por incumplimiento de los niveles de servicio (SLA) S/. 115,500.00
Incumplimiento de los planes y/o procedimientos S/. 34,650.00
Página 43 de 218
Costo Anual
Ahorro de Implementar el SGSI
(s/.)
Difundir información a terceros sin contar con autorización S/. 92,400.00
Acceder de forma remota a un computador sin la
S/. 3,850.00
autorización respectiva
Por ingresar o retirar equipos informáticos sin la autorización
S/. 9,625.00
respectiva
Por compartir información, música, videos a otros usuarios o
S/. 5,775.00
terceros sin la autorización respectiva
Por no contar con licencias para brindar el servicio S/. 38,500.00
Por no realizar pruebas de contingencia S/. 19,250.00
Por errores que afecten el pago de uno o varios pensionistas S/. 38,500.00
Por efectuar cambios en la plataforma y que afecten la
S/. 115,500.00
operativa de los sistemas
Por la indisponibilidad de la mesa de servicios S/. 7,700.00
Por realizar cambios de personal que no hayan sido
S/. 30,800.00
autorizados
TOTAL DE PENALIDADES EFECTUADAS S/. 542,850.00
Costo Anual
Costo Implementación del SGSI
(s/.)
Oficial de Seguridad S/. 60,600.00
Analista de Procesos S/. 51,120.00
Curso Interpretación y Auditor Interno SGSI S/. 1,950.00
Curso Auditor Líder ISO/IEC 27001:2013 S/. 5,500.00
Curso de gestión de riesgos ISO 31000 S/. 3,500.00
Microsoft Office Estándar (2 licencias) S/. 860.00
Microsoft Visio (2 licencias) S/. 2,198.00
Microsoft Project (2 licencias) S/. 4,198.00
Notebook i7 - 320 GB, 8GB RAM (Oficial de
Seguridad) S/. 3,200.00
Desktop + Monitor + Mouse (Analista de Procesos) S/. 2,500.00
Proyector Home Cinema 2030 para las charlas de
seguridad S/. 2,040.00
COSTO TOTAL S/. 137,666.00
Página 44 de 218
CUADRO N° 5.5 ANÁLISIS COSTO/BENEFICIO
Meses 12
Meses/(B/C) 3.0432
Tiempo Recuperación 3 meses
5.4. RECURSOS
Los recursos o insumos que se requieren para el proyecto de implementación
son los que figuran en la tabla 5.7
Página 45 de 218
Nro. TIPO RECURSO PROVEEDOR
Curso de gestión de riesgos ISO PRIME
5 Capacitación
31000 PROFESIONAL
Microsoft Office Standard / Visio /
6 Software MICROSOFT
Project
7 Hardware Notebook i7 - 320 GB, 8GB RAM LENOVO
8 Hardware Desktop + Monitor + Mouse LENOVO
9 Hardware Proyector Home Cinema 2030 EPSON
DEMETRIO TANTALEAN
Gerente del Servicio
CESAR DEPAZ
Analista de Procesos
Israel Bruffau
CESAR RODRIGUEZ MIGUEL MELCHOR Gestor de Ser vicios de TI
Jefe de Operaciones Jefe de Proyecto
Alfredo Silva
EDUARDO CORONEL Fredy Quito
Coordinador del Segundo
Coordinadora de Centro Coordinador de la MAS
ADMINISTRADORES DE GESTORES DE ACCESO (4) Nivel
de Datos
REDES (3)
ADMINISTRADORES DE BASE
DE DATOS (4) ADMINISTRADORES DE
COMUNICACIONES (2) OPERADORES DEL DATA
CENTER (10) EQUIPO DE SOPORTE PRIMER
EQUIPO DE SOPORTE
Cindy Ramirez NIVEL (7)
ADMINISTRADORES DE TÉCNICO EN SITU (8)
Administrador de Aranda
APLICACIONES (4) ADMINISTRADORES DE
SEGURIDAD PERIMETRAL (1)
Primer Nivel
Página 46 de 218
5.6. RIESGOS DEL PROYECTO
CUADRO N° 5.8 RIESGOS DEL PROYECTO
Nivel del
Probabilidad Valor Impacto Valor Valor
Riesgo
Muy Frecuente 5 Muy Alto 5 Muy Alto > 49
Frecuente 4 Alto 4 Alto 30 - 49
Probable 3 Medio 3 Medio 20 -29
Poco Probable 2 Bajo 2 Bajo 10 -19
Raramente 1 Muy Bajo 1 Muy Bajo Menor a 10
Alcance 1 4
Poca
Incumplimiento de Tiempo 5 20
disponibilidad o Recarga de
los plazos y/o
ausencia del actividades Costo 1 4 Gerente del
RI001 actividades 4 Alto
personal Personal Proyecto
indicadas en el Calidad 3 12
asignado al insuficiente
cronograma
proyecto Total Probabilidad x Impacto 40
Alcance 1 4
Incumplimiento de Tiempo 5 20
Actividades
los plazos y/o
Trabajo no solicitadas por la Costo 1 4 Gerente del
RI002 actividades 4 Alto
programado alta gerencia del Proyecto
indicadas en el Calidad 4 16
proyecto
cronograma
Total Probabilidad x Impacto 44
Página 47 de 218
DESCRIPCIÓN OBJETIVO ESTIMACIÓN PROB X TIPO DE PROPIETARIO
CÓDIGO CAUSA RAÍZ CONSECUENCIA PROBABILIDAD
DEL RIESGO AFECTADO DE IMPACTO IMPACTO RIESGO DEL RIESGO
Alcance 5 10
Cambios en el Incumplimiento de
Cambio en el contexto de la los plazos y/o Tiempo 3 6
Gerente del
RI003 alcance del organización. actividades 2 Costo 3 6 Medio
Proyecto
proyecto Nuevos requisitos indicadas en el
Calidad 3 6
legales. cronograma
Total Probabilidad x Impacto 28
Alcance 1 3
Cambios en el Incumplimiento de
Modificación del contexto de la los plazos y/o Tiempo 5 15
Gerente del
RI004 cronograma de organización. actividades 3 Costo 3 9 Alto
Proyecto
trabajo Nuevos requisitos indicadas en el
Calidad 3 9
legales. cronograma
Total Probabilidad x Impacto 36
Alcance 1 3
No se
Error Humano Tiempo 1 3
identifique
Poco No conformidad del Gerente del
RI005 correctamente 3 Costo 1 3 Medio
conocimiento SGSI Proyecto
los activos de
técnico Calidad 5 15
información
Total Probabilidad x Impacto 24
Alcance 1 3
Controles Error Humano Tiempo 1 3
implementados Poco No conformidad del Gerente del
RI006 3 Costo 3 9 Alto
no son los conocimiento SGSI Proyecto
correctos técnico Calidad 5 15
Total Probabilidad x Impacto 30
desinterés del Alcance 1 3
No hay
personal Tiempo 1 3
compromiso del No conformidad del Gerente del
RI007 No hay 3 Medio
personal del SGSI Costo 1 3 Proyecto
conocimiento
proyecto
referente al SGSI Calidad 5 15
Página 48 de 218
DESCRIPCIÓN OBJETIVO ESTIMACIÓN PROB X TIPO DE PROPIETARIO
CÓDIGO CAUSA RAÍZ CONSECUENCIA PROBABILIDAD
DEL RIESGO AFECTADO DE IMPACTO IMPACTO RIESGO DEL RIESGO
Incumplimiento Alcance 1 3
en los Tiempo 5 15
Demora en el
programas y No conformidad del Gerente del
RI009 cumplimiento del 3 Costo 1 3 Alto
planes de SGSI Proyecto
plan de trabajo Calidad 5 15
auditorías
internas Total Probabilidad x Impacto 36
TIPO DE RESPONSABLE DE
CÓDIGO DESCRIPCIÓN DEL RIESGO PLAN DE RESPUESTAS
RESPUESTA LA RESPUESTA
Página 49 de 218
TIPO DE RESPONSABLE DE
CÓDIGO DESCRIPCIÓN DEL RIESGO PLAN DE RESPUESTAS
RESPUESTA LA RESPUESTA
Página 50 de 218
5.7. DIAGNOSTICO
El objetivo de esta fase es medir el nivel actual de cumplimiento de la ISO
27001:2013 en los procesos de TI.
% Cumplimiento
Descripción de la Clausula
Inicial - Cláusulas
4. CONTEXTO DE LA ORGANIZACIÓN 31%
5. LIDERAZGO 50%
6. PLANIFICACIÓN 56%
7. APOYO 38%
8. OPERACIÓN 33%
9. EVALUACIÓN DE DESEMPEÑO 52%
10. MEJORA 25%
% CUMPLIMIENTO TOTAL 41%
%
Cumplimiento
Descripción de Dominio
Inicial –
Anexo A
A.5 - Políticas de seguridad de la información 0%
A.6 - Organización de la seguridad de la
50%
información
A.7 - Seguridad ligada a los recursos humanos 70%
A.8 - Administración de activos 60%
A.9 - Control de accesos 60%
A.10 – Criptografía N.A
A.11 - Seguridad física y del ambiente 75%
A.12 - Seguridad de las operaciones 60%
A.13 - Seguridad de las comunicaciones 60%
Página 51 de 218
%
Cumplimiento
Descripción de Dominio
Inicial –
Anexo A
A.14 - Adquisición, desarrollo y mantenimiento del
50%
sistema
A.15 - Relaciones con el proveedor 50%
A.16 - Gestión de incidentes de seguridad de la
40%
información
A.17 - Aspectos de seguridad de la información
50%
en la GCN
A.18 – Cumplimiento 50%
% CUMPLIMIENTO 52%
5.8. PLANIFICAR
Página 52 de 218
CUADRO N° 5.11 LINEAMIENTOS ESTRATEGICOS
LINEAMIENTOS
OBJETIVOS
ESTRATEGICOS
Incrementar Actividad
VALOR
Asegurar rentabilidad
ESTABILIDAD Mayor eficiencia
Orientar cultura de servicio al cliente
PRESTIGIO
Desarrollar y retener talento
FACTORES
RELACIÓN CON LA SEGURIDAD
INTERNOS
PRODUCTOS Y Mayor demanda de seguridad en los
SERVICIOS servicios de tecnología
La seguridad de la información requiere
ORGANIZACIÓN
la participación de todas las áreas del
- PERSONAL
negocio
Se requiere mantener confidencialidad,
FINANZAS -
integridad y disponibilidad de la
CONTABILIDAD
información financiera-contable
FACTORES
RELACIÓN CON EL SGSI
EXTERNOS
Cumplir con las leyes y regulaciones
POLÍTICO –
relacionadas con la seguridad de la
LEGAL
información
Incremento del Cibercrimen en el Perú
ECONÓMICO - está afectando la economía y
FINANCIERO financieramente a las organizaciones
en general
SOCIAL - Se inicia el desarrollo en una cultura
CULTURAL basada en la seguridad.
Página 53 de 218
FACTORES
RELACIÓN CON EL SGSI
EXTERNOS
Uso de soluciones tecnológicas para
TECNOLÓGICO
proteger la información del negocio
Mayor demanda de servicios de
MERCADO gestión de seguridad de la
OBJETIVO información en los sectores financiero,
gobierno, etc.
Mayor atención en la seguridad de la
COMPETENCIA
información
MESA DE SERVICIOS
ADMINSITRACIÓN
SEGURIDAD GESTIÓN DE UNIX Y REDES Y
DE BASE DE DATOS
INFORMATICA ACCESOS ALMACENAMIENTO COMUNICACIONES
Y APLICACIONES
INTERNO /
INTERNO /
EXTERNO
EXTERNO
CLIENTE
CLIENTE
SATISFACCIÓN DEL
CLIENTE
REQUERIMIENTOS
/ INCIDENTES
GESTIÓN DE LA PRODUCCIÓN
Página 54 de 218
PROCESOS CORE
Los procesos core son aquellos procesos que dan valor al cliente, es decir, que
son la parte principal del negocio, para el presente trabajo tenemos los
siguientes:
Gestión de Cambio: Asegurar que los cambios que afectan al servicio sean
controlados, para ello se deberá analizar los criterios de aceptación, elaborar
planes de implementación (responsabilidades, tiempos, recursos, etc.), evaluar
el impacto a los demás servicios o al negocio y controlar los riesgos logrando
mantener los niveles aceptables de disponibilidad y continuidad del servicio.
Página 55 de 218
provisión, para lograr mantener un nivel de calidad permanente en la provisión
de los servicios.
PROCESOS OPERATIVOS
Base de Datos:
Aplicaciones:
Redes y Comunicaciones
Página 57 de 218
- Implementar un servidor de archivos para disponer de la información
necesaria de cada área de manera centralizada.
- Realizar mantenimiento periódico físico y lógico a los equipos
(hardware) que soportan el servicio.
- Mantener actualizado todo el hardware que soporta los servicios con
las últimas versiones estables de BIOS y/o Firmware
- Mantener actualizado todo el software que soporta los servicios con
las últimas versiones, hotfix, support packages, service pack y
parches, para garantizar la disponibilidad y estabilidad del servicio.
- Monitorear los componentes de todos los servicios (hardware,
software)
- Monitorear permanentemente la atención a incidentes y
requerimientos.
- Mantener un inventario actualizado de todo el hardware y software que
administre (switches, teléfonos IP, Access Point, equipos de
videoconferencia, Rack de comunicaciones).
Seguridad Perimetral
Página 58 de 218
- Ejecución de scripts
- Respaldo de información
- Restauración de información
- Traslado, almacenamiento y custodia de medios magnéticos
- Mantenimiento de los equipos de apoyo (UPS, aire acondicionado,
extintores, cámara de vigilancia, panel eléctrico, etc.)
- Monitoreo de los elementos del servicio
PROCESOS DE SOPORTE
Procesos que brindan soporte o apoyo a los procesos operativos, entre los
cuales podemos mencionar:
Página 59 de 218
5.8.3. COMPRENDER LAS NECESIDADES Y EXPECTATIVAS DE LAS
PARTES INTERESADAS
Se debe determinar quiénes son las partes interesadas y requisitos de las partes
interesadas que sean pertinentes a la seguridad de la información. En tal sentido,
se muestra a continuación las partes interesadas y los requisitos de estas:
Alianzas estratégicas
Proteger la continuidad de las
PROVEEDORES operaciones
Cumplimiento de los compromisos
pactados
Cumplir con las leyes
GOBIERNO
Responsabilidad Social
Página 60 de 218
CUADRO N° 5.15 ALCANCE DEL SGSI
Las instalaciones donde se desarrollan los procesos y servicios dentro del alcance del SGSI
son:
Centro de Datos Principal, ubicado en Jr. Chota 998, esquina con Jr. Ilo; propiedad
de GMD.
Centro de Datos de Enlace, ubicada en Jirón Bolivia 109 Sótano 01 Centro Cívico y
Comercial de Lima; propiedad de ONP.
Centro de Datos de Contingencia, ubicada en Av. Paseo de la republica 4675
Surquillo Lima; propiedad de GMD.
Oficinas administrativas ubicada en Jirón Bolivia 109 Centro Cívico y Comercial de
Lima, Piso 12
en Jirón Bolivia 109 Centro Cívico y Comercial de Lima, Piso 12
REQUISITOS CARACTERISTICAS
Lograr la adecuación de los procesos al estándar ISO
Cumplimiento de la norma
27001:2013
Obtener la certificación internacional ISO 27001:2013 Auditoria externa de certificación
CRITERIO DE ACEPTACIÓN DEL PRODUCTO
CONCEPTOS CRITERIOS DE ACEPTACIÓN
1. TÉCNICOS Se debe cumplir el 100% del cronograma de trabajo
2. DE CALIDAD Se debe obtener la certificación del sistema de gestión
3. ADMINISTRATIVOS Todos los entregables deben ser aprobados por el cliente
ENTREGABLES DEL PROYECTO
FASE DEL PROYECTO PRODUCTO ENTREGADO
DIAGNOSTICO - Informe de Diagnostico (Análisis de brecha)
- Identificación de las partes interesadas
CONTEXTO DE LA
- Requisitos de seguridad de la información
ORGANIZACIÓN
- Alcance del SGSI
- Política de SI
LIDERAZGO
- Roles y responsabilidades del SGSI
- Metodología de gestión de riesgos
PLANEACIÓN
- Declaración de aplicabilidad
- Plan de capacitación
- Plan de concienciación
SOPORTE
- Plan de comunicaciones del SGSI
- Documentos del SGSI
- Medición del SGSI
- Gestión de cambios
OPERACIÓN
- Matriz de evaluación de riesgos
- Plan de tratamiento de riesgos
- Programa de auditoria
EVALUACIÓN DEL - Plan de auditoria interna
DESEMPEÑO - Informe de auditoría interna
- Revisión de gestión
MEJORA - Solicitud de acción correctiva
AUDITORIA DE
- Certificado del SGSI
CERTIFICACIÓN
Página 61 de 218
EXCLUSIÓNES DEL PROYECTO
Para el proyecto no se consideran los siguientes controles del anexo A de la norma ISO/IEC
27001:2013
A.6.2.1 / A.6.2.2 Política de dispositivos móviles / Trabajo remoto. Dentro del alcance
del SGSI no se contempla el uso de dispositivos móviles ni teletrabajo o trabajo
remoto.
10.1.1 Política sobre el uso de controles criptográficos / 10.1.2 Gestión de claves.
Dentro del alcance del SGSI no se contempla el uso de controles criptograficos
A.11.2.6 Dentro del alcance del SGSI no se contempla el uso de equipos fuera de las
instalaciones
A.13.2.2 Acuerdos sobre mensajería de información. Dentro del alcance del SGSI no
se contempla transferencia de información a terceros.
A.13.2.3
A.14.1.1 Dentro del alcance del SGSI no se contempla desarrollo de producto de
software
A.14.2.1 hasta A.14.2.9 Dentro del alcance del SGSI no se contempla desarrollo de
producto de software
A.14.3.1 Dentro del alcance del SGSI no se contempla desarrollo de producto de
software
A.18.1.5 No hay regulación de controles criptográficos
Página 62 de 218
5.8.5. LIDERAZGO Y COMPROMISO
Página 63 de 218
5.8.7. ROLES Y RESPONSABILIDADES DEL SGSI
Página 64 de 218
- Consolidar los resultados de la gestión del SGSI y comunicar esta
información a las partes interesadas.
- Organizar la realización de las auditorías internas y externas del SGSI.
- Promover la capacitación y concientización del personal acerca de la
gestión de la seguridad de la información.
- Liderar los proyectos de mejora del SGSI.
- Gestión de los acuerdos de niveles de servicio.
Página 65 de 218
Propietario del Riesgo
Página 66 de 218
TIPO ACTIVO DESCRIPCION
Datos e Bases de datos, Archivos electrónicos,
Información Documentos y registros en papel.
Software base, Aplicaciones, Sistemas
Software
Operativos y utilitarios
Servidores, Desktop, Laptops, Storage, Librería
Hardware
de Cintas, etc.
Redes de Switches, Routers, Firewalls, Access point,
Comunicación Sistemas de telefonía, etc.
Soportes de
Cintas de backups, DVD (Microformas)
Información
Aire acondicionado, UPS, Grupo electrógeno,
Equipamiento
Alarmas, Detectores de humo, Extintores de
Auxiliar
fuego, Medidores de temperatura, etc.
Datacenters, Bóvedas, Sedes, Oficinas, Salas,
Instalaciones
Almacenes, Cintotecas, etc.
Personal interno, Personal externo,
Personas
Proveedores, Clientes
Página 67 de 218
El valor del activo será el promedio de los 3 valores registrados por cada
dimensión citada anteriormente, aquellos activos con un valor del riesgo
mayor o igual a 3 pasaran al análisis del riesgo.
PROBABILIDAD DE
OCURRENCIA
VALOR FRECUENCIA
5 Muy Frecuente
4 Frecuente
3 Normal
2 Poco Frecuente
1 Raramente
Página 68 de 218
impacto es el máximo valor obtenido de las 3 dimensiones citadas
anteriormente
IMPACTO
DISPONIBILIDAD
INTEGRIDAD
Fuente: Elaboración propia
IMPACTO
Extremo 5 5 10 15 20 25
Mayor 4 4 8 12 16 20
Moderado 3 3 6 9 12 15
Menor 2 2 4 6 8 10
Insignificante 1 1 2 3 4 5
1 2 3 4 5
Poco Muy
Raramente Normal Frecuente
Frecuente Frecuente
PROBABILIDAD
Página 69 de 218
CUADRO N° 5.21 CRITERIO DE ACEPTACIÓN DEL RIESGO
Página 70 de 218
CUADRO N° 5.22 CÁLCULO DEL RIESGO RESIDUAL
OBJETIVO DE
CONTROL ¿APLICA? JUSTIFICACIÓN
CONTROL
5.1.1 Política de seguridad de la POL.GER.001 Política de
5.1 Política de SI
información Seguridad de la Información
seguridad de la
5.1.2 Revisión de las políticas de POL.GER.001 Política de
información SI
seguridad de la información Seguridad de la Información
MAN.GER.001 Manual de
6.1.1 Roles y responsabilidades
SI Organización y Funciones del
de la seguridad de la información
SGSI
MAN.GER.001 Manual de
6.1.2 Segregación de funciones SI Organización y Funciones del
SGSI
6.1 Organización
Interna 6.1.3 Contacto con autoridades SI FOR.GER.012 Lista de Contactos
Página 71 de 218
OBJETIVO DE
CONTROL ¿APLICA? JUSTIFICACIÓN
CONTROL
7.2.2 Concientización, educación
y formación en seguridad de la SI Plan de Capacitación
información
PRO.GER.002 Proceso
7.2.3 Proceso disciplinario SI
Disciplinario
7.3 Desvinculación 7.3.1 Responsabilidades en la
PRO.GER.003 Terminación de
y cambio de desvinculación o cambio de SI
Relación Laboral
empleo empleo
FOR.GER.016 Inventario de
8.1.1 Inventario de activos SI
Activos
FOR.GER.016 Inventario de
8.1 8.1.2 Propiedad de los activos SI
Activos
Responsabilidad
8.1.3 Uso aceptable de los POL.GER.004 Política de Gestión
por los activos SI
activos de activos
PRO.GER.003 Terminación de
8.1.4 Devolución de los activos SI
Relación Laboral
8.2.1 Clasificación de la POL.GER.004 Política de Gestión
SI
información de activos
8.2 Clasificación 8.2.2 Etiquetado de la POL.GER.004 Política de Gestión
SI
de la información información de activos
POL.GER.004 Política de Gestión
8.2.3 Manejo de activos SI
de activos
8.3.1 Gestión de los medios POL.GER.004 Política de Gestión
SI
removibles de activos
8.3 Manejo de POL.GER.004 Política de Gestión
8.3.2 Eliminación de los medios SI
medios de soporte de activos
8.3.3 Transferencia física de los POL.GER.004 Política de Gestión
SI
medios de activos
9.1.1 Política de control de
9.1 Requisito de acceso SI PRO.SIN.001 Control de Accesos
negocio para el
control de acceso 9.1.2 Acceso a las redes y a los SI PRO.SIN.001 Control de Accesos
servicios de la red
9.2.1 Registro y cancelación de
SI PRO.SIN.001 Control de Accesos
registros de usuarios
9.2.2 Asignación de acceso de
SI PRO.SIN.001 Control de Accesos
usuario
9.2.3 Gestión de derechos de
SI PRO.SIN.001 Control de Accesos
9.2 Gestión de acceso privilegiados
acceso de los 9.2.4 Gestión de información
usuarios secreta de autenticación de SI PRO.SIN.001 Control de Accesos
usuarios
9.2.5 Revisión de los derechos
SI Informe Mensual de Servicio
de acceso de usuarios
9.2.6 Eliminación o ajuste de los
SI Informe Mensual de Servicio
derechos de acceso
9.3
9.3.1 Uso de información de
Responsabilidades SI Acuerdos de confidencialidad
autenticación secreta
del usuario
Controles de acceso físico
9.4 Control de
9.4.1 Restricción de acceso a la (seguridad física)
acceso al sistema SI
información Controles de acceso a los
y aplicaciones
sistemas de información
Página 72 de 218
OBJETIVO DE
CONTROL ¿APLICA? JUSTIFICACIÓN
CONTROL
9.4.2 Procedimiento de inicio de Control de acceso a los sistemas
SI
sesión seguro (Usuario y contraseña)
9.4.3 Sistema de gestión de
SI PRO.SIN.001 Control de Accesos
contraseñas
9.4.4 Uso de programas Declaración de cuentas
SI
utilitarios privilegiados privilegiadas
Herramienta Harvest para
9.4.5 Control de acceso al código protección de código fuente de los
SI
fuente de los programas programas que pasan a
producción
Dentro del alcance del SGSI no se
10.1.1 Política sobre el uso de
NO contempla el uso de controles
controles criptográficos
10.1 Controles criptográficos
criptográficos Dentro del alcance del SGSI no se
10.1.2 Gestión de claves NO contempla el uso de controles
criptográficos
11.1.1 Perímetro de seguridad Centros de Datos / Instalaciones /
SI
física Perímetros de seguridad física
Personal de vigilancia
11.1.2 Controles de acceso físico SI Control de acceso con tarjeta de
proximidad a las oficinas
11.1.3 Seguridad de oficinas, Control de acceso físico a las
SI
salas e instalaciones instalaciones ONP / GMD
11.1 Áreas 11.1.4 Protección contra Centros de Datos / Instalaciones /
seguras amenazas externas y del SI Controles de seguridad contra
ambiente amenazas externas y del ambiente
Centros de Datos / Instalaciones /
11.1.5 Trabajo en áreas seguras SI
Perímetros de seguridad física
Centros de Datos / Instalaciones /
Perímetros de seguridad física /
11.1.6 Áreas de entrega y carga SI
control de acceso físico a las
instalaciones ONP / GMD
Equipos ubicados en instalaciones
11.2.1 Ubicación y protección del protegidas
SI
equipamiento Centro de Datos Principal / Enlace
/ Contingencia
Equipos de soporte a la
infraestructura tecnológica
11.2.2 Elementos de soporte SI
Centro de Datos Principal / Enlace
/ Contingencia
Cableado estructurado, equipos
11.2.3 Seguridad en el cableado SI ubicados en racks, canaletas,
otros
11.2 Equipamiento 11.2.4 Mantenimiento del
SI Plan de Mantenimiento Preventivo
equipamiento
Control físico de ingreso y salida
11.2.5 Retiro de activos SI
de equipos
11.2.6 Seguridad de Dentro del alcance del SGSI no se
equipamiento y los activos fuera NO contempla el uso de equipos fuera
de las instalaciones de las instalaciones.
PRO.MAS.060.Borrado.de.Informa
11.2.7 Seguridad en la
ción.de.Medios
reutilización o descarte de SI
PRO.MAS.061.Respaldo.de.Inform
equipos
ación
Página 73 de 218
OBJETIVO DE
CONTROL ¿APLICA? JUSTIFICACIÓN
CONTROL
11.2.8 Equipo de usuario POL.GER.002 Política de
SI
desatendido Escritorio y Pantalla Limpios
11.2.9 Política de escritorio y POL.GER.002 Política de
SI
pantalla limpios Escritorio y Pantalla Limpios
Políticas y procedimientos de
12.1.1 Procedimiento de
SI seguridad de la información /
operación documentados
Repositorio de documentos
PRO.MAS.053 Gestión de
12.1 12.1.2 Gestión de cambios SI
Cambios
Procedimientos
Sistema de Monitoreo de Servicio
operacionales y
12.1.3 Gestión de la capacidad SI Informe de capacidad
responsabilidades
Informe Mensual de Servicio
12.1.4 Separación de los
Ambientes de desarrollo, pruebas
ambientes de desarrollo, prueba SI
y producción
y operaciones
12.2 Protección Seguridad perimetral (IPS,
12.2.1 Controles contra código
contra código SI Firewall, Anti spam, Proxy directo
malicioso
malicioso y reverso, Antivirus, Antispyware)
12.3.1 Respaldo de la PRO.CCE.001 Ejecución de
12.3 Respaldo SI
información Backup
12.4.1 Registro de evento SI Auditoria de Eventos
Seguridad perimetral /
13.1.3 Separación en las redes SI
Segregación de redes VLANs
Seguridad perimetral (IPS,
13.2.1 Políticas y procedimientos
SI Firewall, Anti spam, Proxy directo
de transferencia de información
13.2 Transferencia y reverso, Antivirus, Antispyware)
de información Dentro del alcance del SGSI no se
13.2.2 Acuerdos sobre
NO contempla transferencia de
transferencia de información
información a terceros.
Página 74 de 218
OBJETIVO DE
CONTROL ¿APLICA? JUSTIFICACIÓN
CONTROL
Dentro del alcance del SGSI no se
13.2.3 Mensajería electrónica NO contempla el uso de controles
criptográficos
13.2.4 Acuerdos de
SI Acuerdos de confidencialidad
confidencialidad o no divulgación
14.1.1 Análisis y especificación Dentro del alcance del SGSI no se
de requisitos de seguridad de la NO contempla desarrollo de productos
información software
14.1 Requisitos de
14.1.2 Aseguramiento de Seguridad perimetral (IPS,
seguridad de los
servicios de aplicación en redes SI Firewall, Anti spam, Proxy directo
sistemas de
públicas y reverso, Antivirus, Antispyware)
información
14.1.3 Protección de las Seguridad perimetral (IPS,
transacciones de servicios de SI Firewall, Anti spam, Proxy directo
aplicación y reverso, Antivirus, Antispyware)
14.2.1 Política de desarrollo
NO
seguro
14.2.2 Procedimientos de control
NO
de cambios del sistema
14.2.3 Revisión técnica de las
aplicaciones después de los
NO
cambios en la plataforma de
operación
14.2.4 Restricciones en los
14.2 Seguridad en cambios a los paquetes de NO Dentro del alcance del SGSI no se
procesos de software contempla desarrollo de productos
desarrollo y
14.2.5 Principios de ingeniería de software
soporte NO
sistema seguro
14.2.6 Entorno de desarrollo
NO
seguro
14.2.7 Desarrollo tercerizado NO
14.2.8 Prueba de seguridad del
NO
sistema
14.2.9 Prueba de aprobación del
NO
sistema
Dentro del alcance del SGSI no se
14.3 Datos de 14.3.1 Protección de datos de
NO contempla desarrollo de productos
prueba prueba
software
15.1.1 Política de seguridad de la
Bases del servicio
información para las relaciones SI
Contratos
con el proveedor
15.1.2 Abordar la seguridad Cláusulas de seguridad de la
15.1 Seguridad de dentro de los acuerdos del SI información en contratos con los
la información en proveedor proveedores
las relaciones con Contrato de servicio / ONP-GMD /
el proveedor Servicio de administración del
15.1.3 Cadena de suministro de
centro de datos y comunicaciones
tecnologías de la información y SI
Servicio de equipamiento
comunicaciones
tecnológico del personal y mesa
de administración de servicios
15.2 Gestión de 15.2.1 Supervisión y revisión de
SI Informe Mensual de Servicio
entrega del los servicios del proveedor
servicio del 15.2.2 Gestión de cambios a los PRO.MAS.053 Gestión de
SI
proveedor servicios del proveedor Cambios
Página 75 de 218
OBJETIVO DE
CONTROL ¿APLICA? JUSTIFICACIÓN
CONTROL
16.1.1 Responsabilidades y PRO.GER.008 Gestión de
SI
procedimientos Incidentes de Seguridad
16.1.2 Informe de eventos de PRO.GER.008 Gestión de
SI
seguridad de la información Incidentes de Seguridad
16.1.3 Informe de debilidades de Informe de fixes y actualización de
SI
seguridad de la información software base
16.1 Gestión de
16.1.4 Evaluación y decisión
incidentes de PRO.GER.008 Gestión de
sobre los eventos de seguridad SI
seguridad de la Incidentes de Seguridad
de la información
información y
16.1.5 Respuesta ante incidentes PRO.GER.008 Gestión de
mejoras SI
de seguridad de la información Incidentes de Seguridad
16.1.6 Aprendizaje de los
PRO.GER.008 Gestión de
incidentes de seguridad de la SI
Incidentes de Seguridad
información
PRO.GER.008 Gestión de
16.1.7 Recolección de evidencia SI
Incidentes de Seguridad
17.1.1 Planificación de la
continuidad de la seguridad de la SI Plan de Contingencia
información
17.1 Continuidad 17.1.2 Implementación de la
de la seguridad de continuidad de la seguridad de la SI Plan de Contingencia
la información información
17.1.3 Verificación, revisión y
Informe técnico de pruebas de
evaluación de la continuidad de SI
contingencia
la seguridad de la información
17.2.1 Disponibilidad de las
17.2 Centro de Datos Principal / Centro
instalaciones de procesamiento SI
Redundancias de Datos Alterno
de la información
18.1.1 Identificación de la FOR.GER.024 Identificación de
legislación vigente y los SI Requisitos de Seguridad de la
requisitos contractuales Información
18.1.2 Derechos de propiedad POL.GER.005 Política de
SI
intelectual Administración de Software
18.1 Cumplimiento PRO.GER.004 Control de
con los requisitos 18.1.3 Protección de los registros SI Documentos / PRO.GER.005
legales y Control de Registros
contractuales 18.1.4 Privacidad y protección de Controles de seguridad aplicables
la información de carácter SI a las bases de datos de carácter
personal personal
Dentro del alcance del SGSI no se
18.1.5 Regulación de los
NO contempla el uso de controles
controles criptográficos
criptográficos
18.2.1 Revisión independiente de Auditorías Internas / Externas del
SI
la seguridad de la información SGSI
18.2 Revisiones 18.2.2 Cumplimiento con las
de seguridad de la normas y políticas de seguridad FOR.GER.023 Medición de
SI
información Procesos y Controles del SGSI
de la información
18.2.3 Verificación del
SI Informe Mensual de Servicio
cumplimiento técnico
Página 76 de 218
5.8.10. CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN
Página 77 de 218
Se identifican los cambios que puedan afectar el Sistema de Gestión de Calidad
a través de:
- Los cambios menores pueden ser sencillos: agregar una ayuda visual,
aclarar un párrafo en un procedimiento documentado, etc.
- Los cambios mayores pueden implicar cambios en el alcance del sistema,
la política, los objetivos, nuevos métodos o procedimientos de trabajo,
integración con otros sistemas de gestión.
Todas las solicitudes de cambio deben ser evaluadas, para ello se debe de
contar con la información necesaria, y quien hace la solicitud de cambio debe de
estar disponible para proporcionar la información adicional que le sea requerida.
Para evaluar un cambio se tiene que contar como mínimo con la siguiente
información:
Página 78 de 218
- La finalidad del cambio.
- Sus posibles consecuencias tanto positivas como negativas.
- Cómo se controlará la implementación del cambio.
- Cuáles serán los recursos necesarios y cómo se dispondrán.
- Cuáles son las responsabilidades y autoridades.
Implementar el cambio
Página 79 de 218
5.8.12. INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Responsabilidades
- Analizar los reportes de incidentes de seguridad con las áreas del alcance,
con el propósito de identificar problemas relacionados con la seguridad de
la información y gestionar su tratamiento de manera sistemática en
coordinación con las áreas involucradas.
- Informar los resultados de la gestión de incidentes a los Comités de
Operación y de Gestión en los niveles que corresponde.
Página 80 de 218
A continuación, se definen algunos ejemplos para identificar los eventos e
incidentes de seguridad de la información:
Página 81 de 218
Informe de eventos de Seguridad de la Información
Los eventos detectados por las herramientas de monitoreo (en modo de “Alertas
del Sistema”) son registrados en la herramienta Service Desk en donde el
operador le asigna la categoría de evento o incidente teniendo en cuenta los
criterios establecidos:
Página 82 de 218
Inmediatamente, tanto los eventos o incidentes son escalados a los especialistas
para realizar las acciones correctivas necesarias.
Para los procesos del SGSI: Los eventos de seguridad de la información que
involucran a personas o procesos son identificados por cualquier colaborador y
comunicados al área que corresponda –de manera presencial, vía telefónica o
por correo electrónico– para su tratamiento oportuno.
Las acciones o mejores prácticas que dieron solución a los eventos e incidentes
de seguridad de la información que tuvieron un mayor impacto en la
organización, son compartidas por el personal de las áreas involucradas
(lecciones aprendidas) asimismo, en la herramienta Service Desk se registra la
base de datos de conocimiento.
Página 83 de 218
5.8.13. OBJETIVOS DE SI
Los objetivos de seguridad de la información se basan en los lineamientos de la política de seguridad de la información y ser medibles.
Tomando en cuenta lo citado, se definieron los siguientes objetivos de Seguridad de la Información:
LINEAMIENTOS
POLITICA / OBJETIVOS DEL SGSI INDICADOR FORMULA META
ESTRATÉGICOS
Contar con una política de seguridad Cantidad de personas que
Conocimiento de la política de
de la información que sea entendible y conocen la política / cantidad total 100%
seguridad de la información
esté disponible a todo el personal de personas
Clientes satisfechos con el servicio % Satisfacción del Cliente Interno >=90%
Cumplir con las regulaciones
SLA establecidos que se han ∑ SLAs cumplidos/ ∑ SLAs
aplicables en torno a la seguridad de 100%
cumplidos totales
la información.
Penalidades por incumplimiento
Monto de penalidades (S/.) S/. 0
PRESTIGIO contractuales
Análisis GAP / Brechas
Mejorar continuamente el SGSI Análisis de Brechas / GAP >=80%
Promedio (cláusulas y controles)
Cantidad de personas capacitadas
Personas capacitadas / Total
Mantener una cultura organizacional en temas de seguridad de la >=90%
personas en el proyecto
que aliente a todos los trabajadores a información
asumir una responsabilidad por la Cantidad de Personas que Personas que aprobaron el
seguridad de la información aprobaron el examen de las charlas examen / Personas que dieron el >=90%
de seguridad de la información examen)
Página 84 de 218
LINEAMIENTOS
POLITICA / OBJETIVOS DEL SGSI INDICADOR FORMULA META
ESTRATÉGICOS
Página 85 de 218
5.8.14. COMPETENCIAS Y CONOCIMIENTO
Nombre de la
Sustento Público objetivo Tipo
Capacitación
Formación de Desarrollar habilidades y
Oficial de
Auditor Líder de destrezas para planificar,
Seguridad de la Externa
la norma ISO ejecutar y evaluar una
Información
27001:2013 auditoría interna/externa
Desarrollar conciencia
general de los elementos,
Analista de
conceptos y terminología
Atención
utilizados en el ciclo de vida
Usuarios/Técnic
del servicio de ITIL,
ITIL os de Soporte
FOUNDATION incluyendo las relaciones Externa
en
entre las fases del ciclo de
Sitio/Administra
vida, los procesos utilizados
dores
y su contribución a las
prácticas de gestión de
servicio
ITIL Desarrollar habilidades en
INTERMEDIO:
· Estrategia del coordinar y ejecutar
Servicio actividades que permiten la
· Diseño del gestión y operación
Gestores de
Servicio constantes de los productos Externa
· Transición del y servicios desarrollados o Servicio TI
Servicio implementados durante las
· Operación del fases del ciclo de vida del
Servicio
· Mejora Continua servicio.
ITIL EXPERT:
Gestión del Desarrollar habilidades Gestores de
Ciclo de Vida superiores en cuanto a ITIL. Externa
Servicio TI
del Servicio
Optimizar el valor generado
Jefes /
por las TI, manteniendo un
Supervisores /
Cobit 5 equilibrio entre la obtención
Foundation Analistas de Externa
de beneficios y optimización
Calidad
de los niveles de riesgos y el
uso de los recursos.
Página 86 de 218
Nombre de la
Sustento Público objetivo Tipo
Capacitación
Administración Administradores
de WebSphere Adquirir los conocimientos de Base de
Interna
Application para la plataforma IBM BPM Datos /
Server Aplicaciones
Administradores
Administration de
Adquirir los conocimientos de Base de
IBM Integration Interna
para la plataforma IBM BPM Datos /
BUS
Aplicaciones
Administración
Adquirir los conocimientos
de Base de Operadores Externa
para la plataforma IBM BPM
Datos ORACLE
Página 87 de 218
- Objetivos de Seguridad de la Información.
- Contribución y beneficios al sistema de gestión.
- Consecuencias de incumplimiento de los requisitos del sistema de gestión
de la seguridad de la información.
Página 88 de 218
5.8.15. COMUNICACIÓN
Se establecen las comunicaciones del sistema de gestión el cual contempla: Que comunicar, Cuando comunicar, Quien debe
comunicar, a quien se debe comunicar y los procesos que se ven afectados por la comunicación. Para el presente trabajo se ha
establecido el siguiente plan de comunicaciones:
Página 89 de 218
ASUNTO DIRIGIDO A / FECHA DE USO DEL
TITULO DIRIGIDO POR SETIEMBRE OCTUBRE NOVIEMBRE DICIEMRE
(SUBJECT) O (ROLES) INICIO CANAL
QUE QUIEN DEBE A QUIEN CUANDO CANAL DE
QUE COMUNICAR S1 S2 S3 S4 S1 S2 S3 S4 S1 S2 S3 S4 S1 S2 S3 S4
COMUNICAR COMUNICAR COMUNICAR COMUNICAR COMUNICACIÓN
Personal ONP /
Eventos o
A.16 Gestión de Incidentes Personal del Mesa de
incidentes de
de seguridad de la Servicio / Administración Por Evento Informe
seguridad de la
información Proveedores / de Servicios
información
Visitas
Responsable
9.1 Monitoreo, medición, Servicio de Responsable del
del Proceso Mensual Informe
análisis y evaluación Monitoreo Proceso (GMD)
(ONP)
Resultados del
análisis y Oficial de Gestor de
6.1 Acciones para abordar evaluación de Seguridad de la Seguridad de
Anual Informe
los riesgos y oportunidades riesgos / Plan de Información la Información
tratamiento de (Servicio) (ONP)
riesgos
Oficial de Gestor de
Resultados de
Seguridad de la Seguridad de
9.2 Auditoría Interna informes de Anual Informe
Información la Información
auditoría
(Servicio) (ONP)
Oficial de
Resultados de la
Seguridad de la Comité del
9.3 Revisión de gestión revisión por la Mensual Acta de reunión
Información SGSI
Dirección
(Servicio)
Resultado de las Oficial de Gestor de
10.1 No Conformidades y acciones Seguridad de la Seguridad de
Permanente Informe
acciones correctivas correctivas y Información la Información
preventivas (Servicio) (ONP)
Supervisor de
Resultados del
Administración
A.12.6.1 Gestión de las análisis de Jefe de
de Anual Informe
vulnerabilidades técnicas vulnerabilidades Producción
Plataformas y
técnicas
Redes
Página 90 de 218
ASUNTO DIRIGIDO A / FECHA DE USO DEL
TITULO DIRIGIDO POR SETIEMBRE OCTUBRE NOVIEMBRE DICIEMRE
(SUBJECT) O (ROLES) INICIO CANAL
QUE QUIEN DEBE A QUIEN CUANDO CANAL DE
QUE COMUNICAR S1 S2 S3 S4 S1 S2 S3 S4 S1 S2 S3 S4 S1 S2 S3 S4
COMUNICAR COMUNICAR COMUNICAR COMUNICAR COMUNICACIÓN
Supervisor de
Resultados de las
Administración
A.17.1 Continuidad de la Pruebas de Jefe de
de Anual Informe
seguridad de la información Continuidad de Producción
Plataformas y
Servicio
Redes
Gestor de
A.18.1 Cumplimiento de los Requisitos
Seguridad de la Comité de Correo
requisitos legales y legales aplicables Por Evento
Información SGSI electrónico
contractuales al SGSI
(ONP)
Procedimientos y Responsable
7.5 Información Responsable del Correo
otros documentos del Proceso Por Evento
documentada Proceso (GMD) electrónico
del SGSI (ONP)
Página 91 de 218
5.8.16. INFORMACIÓN DOCUMENTADA
En esta fase se establecen los lineamientos para la elaboración, revisión,
aprobación, distribución y control de los documentos del Sistema de Gestión de
Seguridad de la Información para la elaboración de los documentos te considera
los siguientes ítems:
Página 92 de 218
CUADRO N° 5.28 CLASIFICACIÓN DE LA INFORMACIÓN
Fecha de
Versión Cambios del documento
aprobación
1.0 12/02/2017 Elaboración del documento
Cambio en la nomenclatura de los
2.0 21/12/2017
documentos.
Página 93 de 218
Los documentos internos del SGSI deberán ser codificados cuando sea aplicable
y se hará siguiendo la siguiente abreviatura, por ejemplo:
- Políticas (POL)
- Manuales (MAN)
- Procedimiento (PRO)
- Instructivo (INS)
- Formato (FOR)
ÁREA CÓDIGO
Gerencia del Servicio GER
Centro de Cómputo CCE
Emisión de Pagos EMI
Mesa de Administración de
MAS
Servicios
Seguridad Informática SIN
Gestión de accesos PCA
Base de Datos BDD
Aplicaciones APP
Unix y almacenamiento UNI
Redes y Comunicaciones RED
Página 94 de 218
CUADRO N° 5.31 MATRIZ DE APROBACIONES
DOCUMENTO
DOCUMENTOS DE LA
ORGANIZACIÓN Elaboración o Publicado y
Revisión
Modificación Distribuido por
Documentos del Sistema Oficial de
Gerente del Gerente del
de Gestión: Política y Seguridad de la
Proyecto Proyecto
Objetivos Información
Documentos del Sistema
Oficial de Oficial de
de Gestión: Manual, Gerente del
Seguridad de la Seguridad de la
procedimientos, formatos, Proyecto
Información Información
etc.
Personal dentro Dueño del
Dueño del
Documentos de Operación del alcance del proceso o
proceso o área
SGSI área
Página 95 de 218
DOCUMENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
PRO.GER.003 Terminación de Relación Laboral
PRO.GER.004 Control de Documentos
PRO.GER.005 Control de Registros
PRO.GER.006 Auditoria Interna SGSI
PRO.GER.007 Acciones Correctivas y Preventivas
PRO.GER.008 Gestión de Incidentes de Seguridad
PRO.GER.009 Medición efectividad de controles
PRO.GER.010 Comunicaciones del SGSI
PRO.GER.011 Cumplimiento y requisitos legales
PRO.GER.012 Gestión de activos de información
PRO.GER.013 Compresion y Encriptacion de Archivos con el Winzip
PRO.GER.014 Seguridad Física y del ambiente
PRO.GER.015 Relaciones con el proveedor
PRO.GER.016 Gestión de la continuidad
PRO.SIN.001 Control de Accesos
PRO.MAS.025 Gestión de Incidencias
PRO.MAS.053 Gestión de Cambios
FORMATOS
FOR.GER.001 Compromiso de confidencialidad
FOR.GER.002 Declaración Jurada
FOR.GER.003 Lista de personal
FOR.GER.004 Entrega de cargo
FOR.GER.005 Plan de capacitación del personal
FOR.GER.006 Plan de Contingencia
FOR.GER.007 Lista de asistencia
FOR.GER.008 Lista maestra de documentos
FOR.GER.009 Lista maestra de registros
FOR.GER.010 Solicitud de cambio
FOR.GER.011 Revisión post implementación
FOR.GER.012 Lista de Contactos
FOR.GER.013 Identificación de Partes Interesadas del SGSI
FOR.GER.014 Declaración de Responsabilidad de Uso de Cuentas
Privilegiadas
FOR.GER.015 Examen
FOR.GER.016 Inventario de Activos
Página 96 de 218
DOCUMENTOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
FOR.GER.017 Gestión de riesgos y oportunidades
FOR.GER.018 Enunciado de Aplicabilidad
FOR.GER.019 Plan De Tratamiento de Riesgos
FOR.GER.020 Programa Anual de Auditoria
FOR.GER.021 Plan de Auditoria Interna
FOR.GER.022 SAC
FOR.GER.023 Medición de Procesos y Controles del SGSI
FOR.GER.024 Identificación de Requisitos de Seguridad de la Información
FOR.GER.025 Objetivos del SGSI
Página 97 de 218
5.9. HACER
Se identifican los activos de información del proyecto, asimismo se identifican los riesgos y oportunidades que atenten contra los
activos correspondientes. A continuación, se detallan los mismos.
Página 98 de 218
INVENTARIO DE ACTIVOS DE INFORMACIÓN
VALOR DEL ACTIVO DE
NOMBRE DEL CLASIFICACIÓN INFORMACION
TIPO DE ACTIVO DESCRIPCIÓN DEL PROPIETARIO ADMINISTRADOR
ÍTEM ACTIVO DE DE LA UBICACIÓN
DE INFORMACION ACTIVO DE INFORMACION DEL ACTIVO DEL ACTIVO
INFORMACION INFORMACION
[C] [I] [D] VALOR NIVEL
Sistemas operativos de
código abierto que soporta
Gestor de Administrador de
Sistemas Operativos / aplicaciones virtualizadas, Inventario de
4 SOFTWARE RESTRINGIDO Plataforma la Base de Datos 4 4 5 4.3 ALTO
Tecnología Linux distribuciones: Oracle Linux, Servidores
Central (ONP) (Servicio)
Ubuntu, Red Hat Enterprise
Linux, Centos, entre otros
Sistemas operativos que
Plataforma de soportan servidores virtuales Gestor de Administrador de
Inventario de
5 SOFTWARE Servidores Virtuales / donde se ejecutan las RESTRINGIDO Plataforma la Base de Datos 4 4 5 4.3 ALTO
Servidores
Tecnología Vmware aplicaciones, plataforma: Central (ONP) (Servicio)
Websphere, Vmware ESXi
Analista de Operador del
SOPORTE DE Cintas donde se almacena el Centro de Datos
6 Cintas LTO4, LTO5 RESTRINGIDO centro de datos Centro de Datos 5 5 4 4.7 ALTO
INFORMACIÓN respaldo de información Principal
(ONP) (GMD)
Base de Datos BD App C/S -
Web Oracle 11.2.0.3.0,
almacena datos relacionados
a los módulos de seguridad,
gestión de requerimientos,
planillas, administración de
Gestor de Administrador de
DATOS E caja chica, información
7 BDPRD11G CONFIDENCIAL ONPPRD03 Plataforma la Base de Datos 5 5 5 5.0 MUY ALTO
INFORMACIÓN personal de afiliados,
Central (ONP) (Servicio)
empleadores y asegurados,
activos fijos, plantillas,
marcaciones,
documentación, reclamos,
control de pagos y gestión
administrativa de ONP.
Página 99 de 218
INVENTARIO DE ACTIVOS DE INFORMACIÓN
VALOR DEL ACTIVO DE
NOMBRE DEL CLASIFICACIÓN INFORMACION
TIPO DE ACTIVO DESCRIPCIÓN DEL PROPIETARIO ADMINISTRADOR
ÍTEM ACTIVO DE DE LA UBICACIÓN
DE INFORMACION ACTIVO DE INFORMACION DEL ACTIVO DEL ACTIVO
INFORMACION INFORMACION
[C] [I] [D] VALOR NIVEL
ONPVIOS03, ONPVIOS04,
ONPNIM01
IBM Power 750+ Type: 8408-
E8D con 24 CPU (IBM Power
7 4060 MHZ) y 192 GB RAM Gestor de
Servidor Físico Centro de Datos Administrador
43 HARDWARE en donde se ejcutan las RESTRINGIDO Plataforma 4 4 5 4.3 ALTO
AIXHOST3 Principal UNIX (Servicio)
LPARs ONPBDIP01, Central (ONP)
ONPBDIP02, ONPETLP01,
ONPVIOS05, ONPVIOS06
IBM System x3550 M3 Type:
7042-CR6 con 4 CPU
(Intel(R) Xeon(R) CPU Gestor de
Servidor Físico Centro de Datos Administrador
44 HARDWARE E5630 @ 2.53GHz) y 4 GB RESTRINGIDO Plataforma 4 4 5 4.3 ALTO
ONPHMC01 Principal UNIX (Servicio)
RAM. Equipo para la gestión Central (ONP)
de los servidores AIXHOST1,
AIXHOST2 y AIXHOST3
Equipos de gestión de
operaciones del centro de
datos: Gestor de
Servidores Appliance Centro de Datos Administrador
45 HARDWARE Call Manager, IP Contac RESTRINGIDO Plataforma 4 4 5 4.3 ALTO
G01 Principal UNIX (Servicio)
Center, Firewalls, Proxy, Central (ONP)
Antispam, IPS/IDS,
Balanceadores, entre otros
Cantidad: 40 Edificio principal Gerente del Personal del
46 HARDWARE Desktop RESTRINGIDO 4 4 5 4.3 ALTO
i5 320 GB ONP Servicio Servicio
Gestor de
Equipo de administración de
Cisco 2500 Series Centro de Infraestructura, Administrador de
RED DE los recursos de
53 Wireless LAN RESTRINGIDO Computo de Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES comunicación telefónica
Controller Enlace Comunicaciones (GMD)
CISCO
(ONP)
Centro de Datos
Gestor de
Equipos de optimización de de Enlace
Infraestructura, Administrador de
RED DE Aceleradores de los recursos de Edificio
54 RESTRINGIDO Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES aplicaciones comunicaciones telefónicas Principal ONP
Comunicaciones (GMD)
CISCO Sedes de ONP
(ONP)
en provincia
Centro de Datos
Gestor de
Equipos de comunicación de Enlace
Infraestructura, Administrador de
RED DE Equipo de visual IP Edificio
55 RESTRINGIDO Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES videoconferencia Polycom V500 IP (10) Principal ONP
Comunicaciones (GMD)
Televisores LG (10) 32´´ Sedes de ONP
(ONP)
en provincia
Gestor de
Centro de Datos Infraestructura, Administrador de
RED DE UCMPUB / UCMSUB
56 Call Manager RESTRINGIDO de Enlace Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES Call Manager 10.5
Sótano 01 Comunicaciones (GMD)
(ONP)
Gestor de
Cisco Unity Version Centro de Datos Infraestructura, Administrador de
RED DE
57 Cisco Unity 10.5.1.10000-7 RESTRINGIDO de Enlace Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES
ONPSRVUNITY Sótano 01 Comunicaciones (GMD)
(ONP)
Gestor de
IP Contac Center - UCCX_A Centro de Datos Infraestructura, Administrador de
RED DE
58 IP Contac Center - Contac Center / UCCX_AB- RESTRINGIDO de Enlace Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES
Contac Center Sótano 01 Comunicaciones (GMD)
(ONP)
Gestor de
Centro de Datos Infraestructura, Administrador de
RED DE Consola de operadora
59 CUEAC RESTRINGIDO de Enlace Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES telefonica
Sótano 01 Comunicaciones (GMD)
(ONP)
Gestor de
Centro de Datos Infraestructura, Administrador de
RED DE Tarificador de llamadas
60 PCSistel RESTRINGIDO de Enlace Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES telefonicas
Sótano 01 Comunicaciones (GMD)
(ONP)
Gestor de
Servidor fisico donde se
Centro de Datos Infraestructura, Administrador de
RED DE UCS01 / UCS02 / ejecutan los servidores
61 RESTRINGIDO de Enlace Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES UCS03 virtuales de la plataforma de
Sótano 01 Comunicaciones (GMD)
telefonia IP
(ONP)
Gestor de
Centro de Datos Infraestructura, Administrador de
RED DE Firewall Cisco ASA para VPN
62 ASA01 RESTRINGIDO de Enlace Redes y Comunicaciones 4 4 5 4.3 ALTO
COMUNICACIONES de telefonia IP
Sótano 01 Comunicaciones (GMD)
(ONP)
Cantidad: 01 Centro Cívico y
Responsable de la adecuada Comercial de Gerente del
63 PERSONAL Gerente de Servicio RESTRINGIDO Jefe de la OTI 4 4 4 4.0 ALTO
gestión y control del servicio Lima - Torre 1 - Servicio
de manera integral. Piso 12
Cantidad: 01 Centro Cívico y
Responsable de la adecuada Comercial de Gerente del
64 PERSONAL Jefe de Producción RESTRINGIDO Jefe de la OTI 4 4 4 4.0 ALTO
gestión del centro de datos y Lima - Torre 1 - Servicio
la gestión de accesos (PCA) Piso 12
Cantidad: 01
Responsable de la adecuada
gestión en la administración Centro Cívico y
Jefe de Soporte
de la plataforma de TI, Comercial de Gerente del
65 PERSONAL Técnico y Mesa de RESTRINGIDO Jefe de la OTI 4 4 4 4.0 ALTO
equipos de comunicaciones, Lima - Torre 1 - Servicio
Ayuda
equipos de seguridad Piso 12
perimetral y supervisar la
gestión de la mesa de ayuda
Cantidad: 01
Responsable de la adecuada
Centro Cívico y
Jefe de Emisión y gestión en la administración
Comercial de Gerente del
66 PERSONAL Aplicaciones de de base de datos, RESTRINGIDO Jefe de la OTI 4 4 4 4.0 ALTO
Lima - Torre 1 - Servicio
Negocio aplicaciones y el proceso de
Piso 12
emisión de las boletas de
pago
Cantidad: 01
Centro Cívico y
Coordinador de Base Supervisar y gestionar al
Comercial de Gerente del
67 PERSONAL de Datos y equipo de administradores RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Lima - Torre 1 - Servicio
Aplicaciones de base de datos y
Piso 12
aplicaciones
Cantidad: 03
Encargado de la
Centro Cívico y
administración, operación y
Administrador de Comercial de Gerente del
68 PERSONAL mantenimiento de las base RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Base de Datos Lima - Torre 1 - Servicio
de datos (Oracle y SQL) en
Piso 12
los ambientes de desarrollo,
QA y producción.
Cantidad: 03
Centro Cívico y
Encargado de la
Administrador de Comercial de Gerente del
69 PERSONAL administración, operación y RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Aplicaciones Lima - Torre 1 - Servicio
mantenimiento de los
Piso 12
servidores de aplicaciones
críticas y no críticas de la
ONP, en ambiente Unix,
Linux y Windows
Cantidad: 01
Administración, operación y Centro Cívico y
mantenimiento de los Comercial de Gerente del
70 PERSONAL Administrador UNIX RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
servidores UNIX/LINUX y Lima - Torre 1 - Servicio
Unidades de Piso 12
Almacenamiento.
Cantidad: 01
Supervisar las labores Centro Cívico y
Coordinador de
operativas de los Comercial de Gerente del
71 PERSONAL Redes y RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
administradores de redes, Lima - Torre 1 - Servicio
Comunicaciones
comunicaciones y Seguridad Piso 12
Perimetral
Cantidad: 01
Centro Cívico y
Encargado de la gestión de
Administrador de Comercial de Gerente del
72 PERSONAL la seguridad informática RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Seguridad Perimetral Lima - Torre 1 - Servicio
acorde a la solución
Piso 12
implementada.
Cantidad: 03 Centro Cívico y
Administrador de Identificación, diagnóstico y Comercial de Gerente del
73 PERSONAL RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Redes solución de problemas en las Lima - Torre 1 - Servicio
redes de cómputo. Piso 12
Cantidad: 01
Centro Cívico y
Responsable de garantizar la
Administrador de Comercial de Gerente del
74 PERSONAL operatividad de los equipos RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Comunicaciones Lima - Torre 1 - Servicio
de comunicaciones
Piso 12
instalados en la ONP
Cantidad: 01
Supervisa las labores de los Centro Cívico y
gestores de PCA, brinda los Comercial de Gerente del
75 PERSONAL Coordinador de PCA RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
acceso a los sistemas según Lima - Torre 1 - Servicio
el procedimiento de gestión Piso 12
de accesos
Cantidad: 03
Encargado de gestionar el Centro Cívico y
Gestor de Accesos otorgamiento de accesos a Comercial de Gerente del
76 PERSONAL RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
(PCA) los sistemas de la institución Lima - Torre 1 - Servicio
siguiendo el procedimiento Piso 12
de control de accesos.
Cantidad: 02
Encargado de administrar las Centro de Datos
Coordinador del actividades relacionadas con de Enlace Gerente del
77 PERSONAL RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Centro de Datos el centro de cómputo y Centro de Datos Servicio
supervisa las actividades de Principal
los operadores
Canitdad: 10
Encargado de ejecutar los Centro de Datos
Operadores de pases a QA y Producción y de Enlace Gerente del
78 PERSONAL RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Centro de Datos monitorea la operatividad de Centro de Datos Servicio
los equipos ubicados en el Principal
centro de datos
Cantidad: 01
Supervisar el cumplimiento
de estándares y Centro Cívico y
Oficial de Seguridad procedimientos relacionados Comercial de Gerente del
79 PERSONAL RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
de la Información con los sistemas de gestión Lima - Torre 1 - Servicio
(Calidad, Seguridad de la Piso 12
información y Salud
Ocupacional).
Cantidad: 02
Asegurar el cumplimiento de
Centro Cívico y
estándares y procedimientos
Comercial de Gerente del
80 PERSONAL Analistas de Procesos relacionados con los RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Lima - Torre 1 - Servicio
sistemas de gestión (calidad,
Piso 12
Seguridad de la información
y salud ocupacional
Cantidad: 01
Coordinar de manera eficaz
con los recursos Centro Cívico y
Coordinador del
involucrados la atención de Comercial de Gerente del
81 PERSONAL Centro de Servicios a RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
las diversas solicitudes e Lima - Torre 1 - Servicio
Usuario
incidentes en los servicios Piso 12
que se encuentran dentro del
catálogo de servicios
Cantidad: 07
Ser la primera línea de
soporte al usuario, recibir y
registrar las llamadas, Centro Cívico y
Analista de Servicio al registrar y escalar los Comercial de Gerente del
82 PERSONAL RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
Usuario incidentes, problemas, y Lima - Torre 1 - Servicio
solicitudes de servicio; y Piso 12
mantener al cliente
informado sobre el estado y
progreso del ticket.
Cantidad: 08
Brindar el soporte general de Centro Cívico y
Técnico de soporte en todo el hardware, software y Comercial de Gerente del
83 PERSONAL RESTRINGIDO Jefe de la OTI 5 4 5 4.7 ALTO
sitio periféricos de todo el Lima - Torre 1 - Servicio
equipamiento tecnológico e Piso 12
impresoras de la
Total: 6
Cantidad: 02, Marca;
Emerson-Liebert CRV
Equipo de aire
Centro de datos Analista de Coordinador del
EQUIPOS Aire acondicionado de acondicionado de precisión
91 RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES precisión Cantidad: 02, Marca; HIREF
Sótano 1 (ONP) (GMD S.A.)
Equipo de aire
acondicionado de precisión
Cantidad: 01, marca: SPLIP
Cantidad: 01, marca: York
Total: 5
Cantidad: 04 de 20KVA (c/u),
Centro de datos Analista de Coordinador del
EQUIPOS Marca: ABB
92 UPS RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES Cantidad: 01marca: ETON
Sótano 1 (ONP) (GMD S.A.)
Equipo UPS de 40KVA
(UPS03)
Cantidad: 01, marca: Fike Centro de datos Analista de Coordinador del
EQUIPOS Panel de sistema
93 Panel de control central del RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES contra incendios
sistema contra incendios Sótano 1 (ONP) (GMD S.A.)
Cantidad: 02, marca: Fike
Agente limpio de tipo de Centro de datos Analista de Coordinador del
EQUIPOS
94 Tanque de Gas aplicación de inundación RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES
total, ubicado en la sala de Sótano 1 (ONP) (GMD S.A.)
servidores y sala de energía
Centro de datos
Cantidad: 02, Marca; de enlace,
Analista de Coordinador del
EQUIPOS Radioshack Sótano 1, sla de
96 Termohigrometro RESTRINGIDO centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES Equipo sensor de servidores y
(ONP) (GMD S.A.)
temperatura y medad sala de
cintoteca
Cantidad: 09 marca:
Centro de datos Analista de Coordinador del
EQUIPOS Digital Video Hikvision
97 RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES Recorder Sistema de camaras de
Sótano 1 (ONP) (GMD S.A.)
vigilancia - CCTV
Cantidad: 01, marca: Belcon
Sistema de control de Centro de datos Analista de Coordinador del
EQUIPOS
98 Intercomunicador accesos - intercomunicador RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES
con pantalla a color de 7 Sótano 1 (ONP) (GMD S.A.)
pulgadas
Cantidad: 01, marca:
Rosslare
Centro de datos Analista de Coordinador del
EQUIPOS Lectora de tarjeta Sistema de control de
99 RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES proximidad accesos - lector de
Sótano 1 (ONP) (GMD S.A.)
proximidad restringido a
personal autorizado
Cantidad: 01, marca: Deep
SEA electronics
Tablero de Centro de datos Analista de Coordinador del
EQUIPOS Tablero de transferencia
100 transferencia RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES automática para energía
automática Sótano 1 (ONP) (GMD S.A.)
comercial y grupo
electrógeno
Total: 04
Cantidad: 02, Marca;
Emerson
Equipo condensador de aire
acondicionado de precisión
en la sala de servidores
Soporta: Aire acondicionado
Precisión (Emersón-Liebert
CRV)
Cantidad: 02, Marca; HIREF Centro de datos Analista de Coordinador del
EQUIPOS
101 Unidad condensadora Equipo condensador de aire RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES
acondicionado de precisión Sótano 1 (ONP) (GMD S.A.)
en la sala de servidores
Soporta: Aire acondicionado
Precisión (HIREF)
Cantidad: 01, Marca; MIDEA
Soporta: Aire acondicionado
Precisión (SPLIP)
Cantidad: 01, Marca; York
Soporta: Aire acondicionado
Precisión (York)
Total: 132
Marca; Orima, 12V 77W
Soporta; UPS ABB de 20
KVA
100 baterías almacenadoras
Centro de datos Analista de Coordinador del
EQUIPOS de energía para asegurar
102 Baterías RESTRINGIDO de enlace, centro de datos centro de datos 4 4 5 4.3 ALTO
AUXILIARES autonomía
Sótano 1 (ONP) (GMD S.A.)
Marca; Orima, 12V 100W
Soporta; UPS E Series
32baterias almacenadoras
de energía para asegurar
autonomía
Servicio de administración
del centro de datos y
comunicaciones sobre la
base de mantener una
infraestructura tecnológica a
Servicio de
demanda, basada en Centro Cívico y
Administración de
estándares generalmente Comercial de Gerente del
103 SERVICIOS Centro de Datos y RESTRINGIDO Jefe de la OTI 4 4 5 4.3 ALTO
aceptados por la industria del Lima - Torre 1 - Servicio
Comunicaciones
sector, transparente para los Piso 12
(GMD)
servicios de aplicaciones y
para los usuarios finales, que
permita a la ONP asumir de
forma óptima los encargos
conferidos de acuerdo a ley
Servicio de abastecimiento
de equipos tecnológicos, dar
soporte a usuarios a nivel
nacional, brindando atención
telefónica o personal en el
Servicio de
caso se requiera, ante
Equipamiento
cualquier consulta, incidente Centro Cívico y
Tecnológico del
o requerimiento; todo ello Comercial de Gerente del
104 SERVICIOS Personal y Mesa de RESTRINGIDO Jefe de la OTI 4 4 5 4.3 ALTO
sobre la base de mantener Lima - Torre 1 - Servicio
Administración de
un equipamiento tecnológico Piso 12
Servicio (Consorcio
basado en estándares,
GMD-PMC)
transparente para los
servicios de aplicaciones y
para los usuarios finales;
evitando la obsolescencia
tecnológica.
Documentación elaborada
Centro Cívico y
del SGSI y la operativa del
DATOS E Documentación del Comercial de Gerente del
105 proyecto (Políticas, RESTRINGIDO Jefe de la OTI 4 4 4 4.0 ALTO
INFORMACIÓN proyecto Lima - Torre 1 - Servicio
Manuales, Procedimientos,
Piso 12
instructivos, etc.)
EVALUACIÓN DEL
IDENTIFICACIÓN Y ANÁLISIS DEL RIESGO
RIESGO
CRITERIOS DE
IMPACTO
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
Incumplimiento de
permisos, Jefe de la
DATOS E ACCESO LOGICO privilegios y control Oficina de
AME001 3 5 4 5 5 15 ALTO NO 2 4 3 3 14
INFORMACIÓN NO AUTORIZADO de acceso / No se Tecnología de
tiene sistema de la Información
bloqueo de ataques
Jefe de la
ALTERACIÓN
DATOS E Oficina de
AME002 ACCIDENTAL DE LA SQL Injection 3 5 5 15 ALTO NO 2 4 3 3 14
INFORMACIÓN Tecnología de
INFORMACIÓN
Base de Datos la Información
BDPRD11G, El personal no tiene
Jefe de la
BDPRD11G2, claro la función de
DATOS E DIVULGACION DE Oficina de
BDPRD11G3, AME003 la gestión de la 3 5 5 15 ALTO NO 2 3 3 4 14
INFORMACIÓN INFORMACION Tecnología de
BDPRD11G4, etc seguridad de la
la Información
información
ERRORES DEL Jefe de la
Procedimientos de
DATOS E ADMINISTRADOR Oficina de
AME004 operación no 4 4 4 5 5 20 ALTO NO 2 3 3 2 7
INFORMACIÓN DEL EQUIPO O Tecnología de
documentados
SISTEMA la Información
MODIFICACIÓN
DATOS E Políticas de Jefe de la
AME005 DELIBERADA DE LA 3 5 5 15 ALTO NO 2 3 3 3 22
INFORMACIÓN Seguridad Oficina de
INFORMACIÓN
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
deficientes o Tecnología de
inexistentes la Información
Jefe de la
SUPLANTACION DE Credenciales
DATOS E Oficina de
AME006 LA IDENTIDAD DEL compartidas entre 4 4 4 5 5 20 ALTO NO 2 3 3 2 7
INFORMACIÓN Tecnología de
USUARIO usuarios
la Información
ERRORES DEL Jefe de la
Procedimientos de
DATOS E ADMINISTRADOR Oficina de
AME007 operación no 4 4 4 4 4 16 ALTO NO 2 3 3 2 26
INFORMACIÓN DEL EQUIPO O Tecnología de
documentados
SISTEMA la Información
Políticas de Jefe de la
Documentación DATOS E FUGA DE Seguridad Oficina de
AME008 3 4 4 12 MEDIO NO 2 4 4 3 29
del Proyecto INFORMACIÓN INFORMACION deficientes o Tecnología de
inexistentes la Información
Políticas de Jefe de la
MODIFICACIÓN
DATOS E Seguridad Oficina de
AME009 DELIBERADA DE LA 3 4 4 12 MEDIO NO 2 3 3 2 46
INFORMACIÓN deficientes o Tecnología de
INFORMACIÓN
inexistentes la Información
Falta de
UPS, Baterías, Mantenimiento
Jefe de la
Aire VIBRACIONES, Preventivo / No se
EQUIPOS Oficina de
acondicionado, AME010 POLVO, tienen mecanismos 3 5 5 15 ALTO NO 2 2 2 2 46
AUXILIARES Tecnología de
Termohigrometro SUCIEDAD,… para evitar los
la Información
, etc. efectos de la
contaminación
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
Acceso Físico no
Jefe de la
controlado / No se
EQUIPOS ACCESO FISICO NO Oficina de
AME011 tienen controles 3 4 3 4 12 MEDIO NO 2 2 2 2 71
AUXILIARES AUTORIZADO Tecnología de
para la seguridad
la Información
física
No tener Jefe de la
CORTE DEL
EQUIPOS mecanismos Oficina de
AME012 SUMINISTRO 3 5 5 15 ALTO NO 2 2 2 2 46
AUXILIARES alternos para el Tecnología de
ELÉCTRICO
suministro eléctrico la Información
ERRORES DE
Jefe de la
MANTENIMIENTO / Temperatura y
EQUIPOS Oficina de
AME013 ACTUALIZACIÓN DE Humedad no 3 5 5 15 ALTO NO 2 2 3 2 37
AUXILIARES Tecnología de
EQUIPOS controlados
la Información
(HARDWARE)
No se cuenta con
FALLA DEL mecanismos para Jefe de la
EQUIPOS FUNCIONAMIENTO controlar la Oficina de
AME014 3 5 5 15 ALTO NO 2 3 3 2 30
AUXILIARES DEL SISTEMA DE temperatura y Tecnología de
CLIMATIZACIÓN humedad en la Información
niveles apropiados
Antigüedad del Jefe de la
FALLA DEL
EQUIPOS Equipo / Oficina de
AME015 FUNCIONAMIENTO 3 5 5 15 ALTO NO 2 2 3 2 37
AUXILIARES Mantenimientos No Tecnología de
DEL HARDWARE
Son Planificados la Información
Jefe de la
Procedimientos de
EQUIPOS MANIPULACIÓN DE Oficina de
AME016 operación no 3 4 4 4 12 MEDIO NO 2 3 3 2 46
AUXILIARES LOS EQUIPOS Tecnología de
documentados
la Información
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
efectos de la
contaminación
Falta capacitación
en Seguridad
Insuficiente /
ERRORES DEL Jefe de la
Procedimientos de
ADMINISTRADOR Oficina de
HARDWARE AME023 operación no 4 4 4 5 5 20 ALTO NO 2 2 3 2 14
DEL EQUIPO O Tecnología de
documentados /
SISTEMA la Información
Falta de Técnicas
de Programación
de Software Seguro
No se tienen Jefe de la
mecanismos para Oficina de
HARDWARE AME024 ROBO 3 4 4 4 12 MEDIO NO 2 5 4 4 14
la seguridad física Tecnología de
de activos la Información
Antigüedad del Jefe de la
FALLA DEL
Equipo / Oficina de
HARDWARE AME025 FUNCIONAMIENTO 3 3 3 9 MEDIO NO 2 2 3 2 76
Mantenimientos No Tecnología de
DEL HARDWARE
Son Planificados la Información
Desktop /
No se tienen Jefe de la
notebook
PÉRDIDA DE mecanismos para Oficina de
HARDWARE AME026 3 4 4 4 12 MEDIO NO 2 2 4 4 33
EQUIPOS la seguridad física Tecnología de
de activos la Información
Falta de
Jefe de la
VIBRACIONES, Mantenimiento
Oficina de
HARDWARE AME027 POLVO, Preventivo / No se 3 4 4 12 MEDIO NO 2 2 3 2 61
Tecnología de
SUCIEDAD,… tienen mecanismos
la Información
para evitar los
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
efectos de la
contaminación
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
Acceso Físico no
Jefe de la
controlado / No se
ACCESO FISICO NO Oficina de
INSTALACIONES AME033 tienen controles 4 4 3 4 16 ALTO NO 2 2 3 2 33
AUTORIZADO Tecnología de
para la seguridad
la Información
física
ATAQUE
Jefe de la
DESTRUCTIVO
Inseguridad en el Oficina de
INSTALACIONES AME034 (VANDALISMO, 3 5 5 15 ALTO NO 5 5 5 5 1
contexto social Tecnología de
TERRORISMO,
la Información
ACCIÓN MILITAR…)
Conexiones de
Jefe de la
Oficinas agua dentro del
Oficina de
Administrativas INSTALACIONES AME035 INUNDACIÓN área de 3 4 4 12 MEDIO NO 2 5 5 4 12
Tecnología de
PISO 12 procesamiento de
la Información
datos
No se tienen
extintores ni Jefe de la
sistema contra Oficina de
INSTALACIONES AME036 INCENDIO 3 5 5 15 ALTO NO 5 5 5 4 3
incendio / Tomas Tecnología de
eléctricas en mal la Información
estado
Sede ubicada en Jefe de la
TERREMOTO zona sísmica / Oficina de
INSTALACIONES AME037 2 5 5 10 MEDIO NO 5 5 5 5 7
(SISMOS) Fallas estructurales Tecnología de
de las instalaciones la Información
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
INDISPONIBILIDAD
DEL PERSONAL
(HUELGAS, No hay formación Jefe de la
ABSENTISMO de Personal Alterno Oficina de
PERSONAL AME038 4 4 4 16 ALTO NO 2 2 4 3 20
LABORAL, BAJAS / Funciones no Tecnología de
Personal del NO JUSTIFICADAS, segregadas la Información
Servicio BLOQUEO DE LOS
(Gerente / jefes / ACCESOS, ...)
Analistas / Dispositivos de
Administradores / Entrada y Salida de
Asistentes / etc.) datos no Jefe de la
FUGA DE controlados / Oficina de
PERSONAL AME039 4 4 4 16 ALTO NO 2 3 4 4 6
INFORMACION Políticas de Tecnología de
Seguridad la Información
deficientes o
inexistentes
Acceso Físico no
Jefe de la
controlado / No se
RED DE ACCESO FISICO NO Oficina de
AME040 tienen controles 4 4 3 4 16 ALTO NO 2 2 2 2 45
COMUNICACIONES AUTORIZADO Tecnología de
para la seguridad
la Información
Switch Core, física
Switch de CAIDA DEL
Jefe de la
distribución, SISTEMA POR
RED DE Errores de gestión Oficina de
Teléfonos IP, Call AME041 AGOTAMIENTO DE 4 4 4 16 ALTO NO 2 2 3 3 26
COMUNICACIONES de recursos Tecnología de
Manager, etc. RECURSOS
la Información
(SATURACIÓN)
CORTE DEL
RED DE No tener Jefe de la
AME042 SUMINISTRO 3 5 5 15 ALTO NO 2 2 3 2 37
COMUNICACIONES mecanismos Oficina de
ELÉCTRICO
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
INCREMENTO DEL
COSTO DEL Alta demanda del
Jefe de la
SOFTWARE cliente por nuevos
Oficina de
SERVICIO OPO001 (LICENCIAMIENTO) servicios / 3 3 3 9 MEDIO NO 2 1 5 3 69
Tecnología de
PARA LAS equipamiento
la Información
EMPRESAS tecnológico
CLIENTES
INCREMENTO DE LA
Alta demanda del
DEMANDA POR EL Jefe de la
cliente por nuevos
USO DE LA Oficina de
SERVICIO OPO002 servicios / 3 3 3 3 3 9 MEDIO NO 2 1 5 3 69
PLATAFORMA Tecnología de
equipamiento
COMO SERVICIO la Información
tecnológico
(PAAS)
ERRORES DE
Jefe de la
MANTENIMIENTO / Falta de
Oficina de
SOFTWARE AME047 ACTUALIZACIÓN DE Capacitación 3 5 5 5 15 ALTO NO 2 2 3 2 37
Tecnología de
PROGRAMAS Técnica
la Información
(SOFTWARE)
Injección de Código Jefe de la
DIFUSIÓN DE
/ Injecciones de Oficina de
Aplicaciones SOFTWARE AME048 SOFTWARE DAÑINO 3 4 4 5 5 15 ALTO NO 2 2 4 3 22
Comandos de Tecnología de
Core de ONP (MALWARE)
Sistema Operativo la Información
Incumplimiento de
permisos, Jefe de la
ACCESO LOGICO privilegios y control Oficina de
SOFTWARE AME049 3 4 4 5 5 15 ALTO NO 2 2 3 2 37
NO AUTORIZADO de acceso / No se Tecnología de
tiene sistema de la Información
bloqueo de ataques
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
Jefe de la
Falta de
ERRORES DE Oficina de
SOFTWARE AME050 Capacitación 3 4 5 5 5 15 ALTO NO 2 4 3 2 22
CONFIGURACION Tecnología de
Técnica
la Información
Jefe de la
SUPLANTACION DE Credenciales
Oficina de
SOFTWARE AME051 LA IDENTIDAD DEL compartidas entre 4 3 3 4 4 16 ALTO NO 2 3 2 3 26
Tecnología de
USUARIO usuarios
la Información
No se realiza Jefe de la
VENCIMIENTO DE
seguimiento a la Oficina de
SOFTWARE AME052 LICENCIA DE USO 3 4 4 12 MEDIO NO 2 3 3 2 46
renovación de las Tecnología de
(SOFTWARE)
licencias la Información
Error de Diseño /
VULNERABILIDADE Problemas de Jefe de la
S DE LOS Cifrado o Oficina de
SOFTWARE AME053 3 4 4 5 5 15 ALTO NO 2 3 3 2 30
PROGRAMAS Encriptado / Tecnología de
(SOFTWARE) Validación de la Información
entrada
Incumplimiento de Jefe de la
ABUSO DE
permisos, Oficina de
SOFTWARE AME054 PRIVILEGIOS DE 3 4 4 5 5 15 ALTO NO 2 2 3 2 37
privilegios y control Tecnología de
ACCESO
de acceso la Información
ERRORES DE
Jefe de la
MANTENIMIENTO / Falta de
Aplicaciones de Oficina de
SOFTWARE AME055 ACTUALIZACIÓN DE Capacitación 3 4 4 4 12 MEDIO NO 2 2 3 3 46
ONP Tecnología de
PROGRAMAS Técnica
la Información
(SOFTWARE)
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
Incumplimiento de Jefe de la
ABUSO DE
permisos, Oficina de
SOFTWARE AME062 PRIVILEGIOS DE 3 4 4 4 4 12 MEDIO NO 2 3 2 3 46
privilegios y control Tecnología de
ACCESO
de acceso la Información
No hay Jefe de la
INSTALACIÓN DE
lineamientos para Oficina de
SOFTWARE AME063 SOFTWARE NO 3 4 4 12 MEDIO NO 2 3 2 3 46
el uso de software Tecnología de
LICENCIADO
licenciado la Información
Error de Diseño /
VULNERABILIDADE Problemas de Jefe de la
S DE LOS Cifrado o Oficina de
SOFTWARE AME064 3 4 4 4 4 12 MEDIO NO 2 2 2 3 61
PROGRAMAS Encriptado / Tecnología de
(SOFTWARE) Validación de la Información
entrada
Software / Incumplimiento de Jefe de la
ABUSO DE
Sistema permisos, Oficina de
SOFTWARE AME065 PRIVILEGIOS DE 3 4 4 4 4 12 MEDIO NO 2 3 2 3 46
Operativo privilegios y control Tecnología de
ACCESO
de acceso la Información
ERRORES DE
Jefe de la
MANTENIMIENTO / Falta de
Oficina de
SOFTWARE AME066 ACTUALIZACIÓN DE Capacitación 3 4 4 4 12 MEDIO NO 2 2 2 2 71
Tecnología de
PROGRAMAS Técnica
la Información
(SOFTWARE)
No se realiza Jefe de la
VENCIMIENTO DE
seguimiento a la Oficina de
SOFTWARE AME067 LICENCIA DE USO 3 4 4 12 MEDIO NO 2 2 2 2 71
renovación de las Tecnología de
(SOFTWARE)
licencias la Información
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
Incumplimiento de
permisos, Jefe de la
ACCESO LOGICO privilegios y control Oficina de
SOFTWARE AME068 3 4 4 4 4 12 MEDIO NO 2 2 3 2 61
NO AUTORIZADO de acceso / No se Tecnología de
tiene sistema de la Información
bloqueo de ataques
Injección de Código Jefe de la
DIFUSIÓN DE
/ Injecciones de Oficina de
SOFTWARE AME069 SOFTWARE DAÑINO 3 4 5 4 5 15 ALTO NO 2 2 3 3 30
Comandos de Tecnología de
(MALWARE)
Sistema Operativo la Información
No se tienen Jefe de la
SOPORE DE mecanismos para Oficina de
AME070 ROBO 3 4 4 4 12 MEDIO NO 2 5 4 4 14
INFORMACIÓN la seguridad física Tecnología de
de activos la Información
FALTA DE
SOPORTES DE No se tiene Jefe de la
SOPORE DE INFORMACIÓN contratado un Oficina de
AME071 3 4 4 12 MEDIO NO 2 5 3 2 33
Cintas LTO4, INFORMACIÓN (CINTAS, DISCOS proveedor de Tecnología de
LTO5 EXTERNOS, medios de soporte la Información
CD/DVD,…)
AVERÍA DE LOS
MEDIOS DE Jefe de la
SOPORE DE ALMACENAMIENTO Mal uso de las Oficina de
AME072 3 4 4 12 MEDIO NO 2 5 2 2 44
INFORMACIÓN DE INFORMACIÓN personas Tecnología de
(CINTAS, CD/DVD, la Información
HARD DISK, ETC.)
PROBABILIDAD
EVALUACIÓN
PRIORIDAD
FINANCIERO
ACTIVO / NIVEL ¿RIESGO
OPERATIVO
VALOR DEL
TIPO DE ACTIVO ID DESCRIPCIÓN DEL PROPIETARIO
IMPACTO
IMAGEN
GRUPO DE VULNERABILIDAD RIESGO DEL ACEPTAB
LEGAL
DE INFORMACIÓN RIESGO RIESGO DEL RIESGO
ACTIVOS [C] [I] [D] RIESGO LE?
El personal no tiene
Jefe de la
claro la función de
SOPORE DE DIVULGACION DE Oficina de
AME073 la gestión de la 3 4 4 12 MEDIO NO 2 3 2 2 61
INFORMACIÓN INFORMACION Tecnología de
seguridad de la
la Información
información
Jefe de la
Procedimientos de
SOPORE DE MANIPULACIÓN DE Oficina de
AME074 operación no 3 4 4 4 12 MEDIO NO 2 5 4 3 21
INFORMACIÓN LOS EQUIPOS Tecnología de
documentados
la Información
12.1.1
Revisión y/o actualización de los
Procedimiento Analista de
AME007 Mitigar procedimientos e instructivos Pe Pv Ma 90% Abr-15 Ago-15 BAJO SI CERRADO
de operación Procesos
operativos del área o proceso
documentados
Se elaborará la Política de seguridad
de la información y será difundida al 5.1.1 Política de
Oficial de Seguridad
AME008 Mitigar personal por diversos medios seguridad de la Pd Pv Ma 60% Abr-15 Ago-15 BAJO SI CERRADO
de la Información
(Correo, capacitaciones, murales, información
etc.)
Se elaborará la Política de seguridad
de la información y será difundida al 5.1.1 Política de
Oficial de Seguridad
AME009 Mitigar personal por diversos medios seguridad de la Pd Pv Ma 60% Abr-15 Ago-15 BAJO SI CERRADO
de la Información
(Correo, capacitaciones, murales, información
etc.)
A.11.2.4
Programar y ejecutar los Mantenimiento Coordinador de
AME010 Mitigar Pd Pv Sa 65% Abr-15 Ago-15 BAJO SI CERRADO
mantenimientos preventivos (anual) del Centro de Datos
equipamiento
Se llevará un control de ingreso a las
instalaciones del data center.
Los operadores acompañaran a las
visitantes durante su permanencia en
las instalaciones
A.11.1.2
El ingreso será con anticipación al
AME011 Mitigar Controles de Pe Dt Sa 75% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
data center mínimo de 4 días.
acceso físico
El acceso al data center cuenta con
los siguientes controles:
1. Puerta eléctrica con tarjetas de
proximidad.
2. Cámaras de videovigilancias.
12.1.1
Revisión y/o actualización de los
Procedimiento Analista de
AME016 Mitigar procedimientos e instructivos Pe Pv Ma 90% Abr-15 Ago-15 BAJO SI CERRADO
de operación Procesos
operativos del área o proceso
documentados
A.11.2.4
Programar y ejecutar los Mantenimiento
AME017 Mitigar Pd Pv Sa 65% Administrador Unix Abr-15 Ago-15 BAJO SI CERRADO
mantenimientos preventivos (anual) del
equipamiento
Revisar los controles de medición de
humedad y temperatura en el data
center
Los operadores monitorean el servicio 12.1.3 Gestión
AME018 Mitigar Pe Dt At 75% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
mediante la herramienta de monitoreo de la capacidad
Foglight, el cual permite monitorear la
disponibilidad de la plataforma central
a nivel nacional
Se llevará un control de ingreso a las
instalaciones del data center.
Los operadores acompañaran a las
visitantes durante su permanencia en
las instalaciones
El ingreso será con anticipación al A.11.1.2
AME019 Mitigar data center mínimo de 4 días. Controles de Pe Dt Sa 75% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
El acceso al data center cuenta con acceso físico
los siguientes controles:
1. Puerta eléctrica con tarjetas de
proximidad.
2. Cámaras de videovigilancias.
El Personal de seguridad verificara
A.11.2.4
Programar y ejecutar los Mantenimiento Coordinador de la
AME027 Mitigar Pd Pv Sa 65% Abr-15 Ago-15 BAJO SI CERRADO
mantenimientos preventivos (anual) del Mesa de Servicios
equipamiento
A.17.1.1
Elaborar planes de respuesta ante Planificación de Jefe de Producción
emergencia (continuidad) la continuidad / Oficial de
AME028 Mitigar Pe Pv Sa 95% Abr-15 Ago-15 BAJO SI CERRADO
Realizar simulacros periódicos, contar de la seguridad Seguridad de la
con brigadas de emergencia de la Información
información
A.17.1.1
Elaborar planes de respuesta ante Planificación de Jefe de Producción
emergencia (continuidad) la continuidad / Oficial de
AME029 Mitigar Pe Pv Sa 95% Abr-15 Ago-15 BAJO SI CERRADO
Realizar simulacros periódicos, contar de la seguridad Seguridad de la
con brigadas de emergencia de la Información
información
Se realizarán las revisiones y cambio
de extintores A.11.1.2
AME030 Mitigar Se formarán brigadistas y se Controles de Pe Dt Sa 75% Abr-15 Ago-15 BAJO SI CERRADO
revisarán las señales de evacuación acceso físico
en caso de emergencia
A.17.1.1
Elaborar planes de respuesta ante Planificación de Jefe de Producción
emergencia (continuidad) la continuidad / Oficial de
AME031 Mitigar Pe Pv Sa 95% Abr-15 Ago-15 BAJO SI CERRADO
Realizar simulacros periódicos, contar de la seguridad Seguridad de la
con brigadas de emergencia de la Información
información
Se llevará un control de ingreso a las A.11.1.2
AME032 Mitigar instalaciones del data center. Controles de Pe Dt Sa 75% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
Los operadores acompañaran a las acceso físico
A.17.1.1
Elaborar planes de respuesta ante Planificación de Jefe de Producción
emergencia (continuidad) la continuidad / Oficial de
AME034 Mitigar Pe Pv Sa 95% Abr-15 Ago-15 BAJO SI CERRADO
Realizar simulacros periódicos, contar de la seguridad Seguridad de la
con brigadas de emergencia de la Información
información
A.17.1.1
Elaborar planes de respuesta ante Planificación de Jefe de Producción
emergencia (continuidad) la continuidad / Oficial de
AME035 Mitigar Pe Pv Sa 95% Abr-15 Ago-15 BAJO SI CERRADO
Realizar simulacros periódicos, contar de la seguridad Seguridad de la
con brigadas de emergencia de la Información
información
Se realizarán las revisiones y cambio
de extintores A.11.1.2
AME036 Mitigar Se formarán brigadistas y se Controles de Pe Dt Sa 75% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
revisaran las señales de evacuación acceso físico
en caso de emergencia
A.17.1.1
Elaborar planes de respuesta ante Planificación de Jefe de Producción
emergencia (continuidad) la continuidad / Oficial de
AME037 Mitigar Pe Pv Sa 95% Abr-15 Ago-15 BAJO SI CERRADO
Realizar simulacros periódicos, contar de la seguridad Seguridad de la
con brigadas de emergencia de la Información
información
Elaborar esquema o plan de A.6.1.2
Jefaturas del
AME038 Mitigar reemplazo o sucesión en caso de Segregación de Pe Pv Ma 90% Abr-15 Ago-15 BAJO SI CERRADO
Proyecto
ausencia de personal del proyecto funciones
7.2.2
Se realizarán charlas de
Concientización,
concienciación en temas de
educación y Oficial de Seguridad
AME039 Mitigar seguridad al ingreso al proyecto así Pd Pv Ma 60% Abr-15 Ago-15 BAJO SI CERRADO
formación en de la Información
como de manera programada en el
seguridad de la
año
información
Se llevará un control de ingreso a las
instalaciones del data center.
Los operadores acompañaran a las
visitantes durante su permanencia en
las instalaciones
El ingreso será con anticipación al
data center mínimo de 4 días. A.11.1.2
AME040 Mitigar El acceso al data center cuenta con Controles de Pe Dt Sa 75% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
los siguientes controles: acceso físico
1. Puerta eléctrica con tarjetas de
proximidad.
2. Cámaras de videovigilancias.
El Personal de seguridad verificara
los objetos de entrada y salida de las
personas.
Se monitoreará la plataforma
tecnológica mediante el uso de la
herramienta Foglight, los 12.1.3 Gestión
AME041 Mitigar Pe Dt At 75% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
administradores tendrán 2 monitores de la capacidad
uno para sus labores operativas y
otra de monitoreo.
17.1.1
Se realizarán mantenimientos
Planificación de
preventivos a los equipos de apoyo
la continuidad
AME042 Mitigar (UPS, etc..) Pe Pv Sa 95% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
de la seguridad
Se realizarán mantenimientos y
de la
pruebas anuales al grupo electrógeno
información
12.1.1
Revisión y/o actualización de los
Procedimiento Analista de
AME043 Mitigar procedimientos e instructivos Pe Pv Ma 90% Abr-15 Ago-15 BAJO SI CERRADO
de operación Procesos
operativos del área o proceso
documentados
17.1.1
Se realizarán mantenimientos
Planificación de
preventivos a los equipos de apoyo
la continuidad
AME044 Mitigar (UPS, etc..) Pe Pv Sa 95% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
de la seguridad
Se realizarán mantenimientos y
de la
pruebas anuales al grupo electrógeno
información
A.17.1.1
Planificación de Jefe de Producción
Elaborar planes de respuesta ante la continuidad / Oficial de
AME045 Mitigar Pe Pv Sa 95% Abr-15 Ago-15 BAJO SI CERRADO
emergencia (continuidad) de la seguridad Seguridad de la
de la Información
información
Se monitoreará la plataforma
tecnológica mediante el uso de la
herramienta Foglight, los 12.1.3 Gestión
AME046 Mitigar Pe Dt At 75% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
administradores tendrán 2 monitores de la capacidad
uno para sus labores operativas y
otra de monitoreo.
Revisión y/o actualización del proceso 12.1.2 Gestión Gestor de Servicios
OPO001 Mitigar Oc Pv Sa 35% Abr-15 Ago-15 ALTO SI CERRADO
de gestión de cambios para la de cambios de TI
7.2.2
Se elaborará un plan de capacitación Concientización,
técnica anualmente según las educación y Oficial de Seguridad
AME058 Mitigar Pd Pv Ma 60% Abr-15 Ago-15 BAJO SI CERRADO
necesidades de las actividades del formación en de la Información
personal /nuevas tecnologías, etc.) seguridad de la
información
7.2.2
Se realizarán charlas de
Concientización,
concienciación en temas de
educación y Oficial de Seguridad
AME059 Mitigar seguridad al ingreso al proyecto así Pd Pv Ma 60% Abr-15 Ago-15 BAJO SI CERRADO
formación en de la Información
como de manera programada en el
seguridad de la
año
información
18.1.2 Derechos
Se realizará la renovación anual del Gerente del
AME060 Mitigar de propiedad Pd Pv Sa 65% Abr-15 Ago-15 BAJO SI CERRADO
mantenimiento de licencias Proyecto
intelectual
Se realizan pruebas de ethical
hacking de manera anual. 12.6.1 Gestión
Se realizan cambios en la plataforma de las
AME061 Mitigar Pd Pv At 65% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
según la recomendación del vulnerabilidades
fabricante ante cualquier técnicas
vulnerabilidad detectada
Se elaborará una Política de control
de accesos
Se gestionará con el personal del
proyecto la firma de los acuerdos de 9.1.1 Política de
Oficial de Seguridad
AME062 Mitigar confidencialidad de no divulgar la control de Pe Pv Ma 90% Abr-15 Ago-15 BAJO SI CERRADO
de la Información
información que accedan. acceso
Se emplearan controles de acceso
lógico:
- Uso de clave alfanumérica
generada de 8 dígitos.
- Bloqueo de cuenta por intentos
fallidos (3 veces consecutivamente)
- Se revisará de manera trimestral el
e control de acceso a las bases de
datos.
- Se conservaran y revisaran los
registros LOG de autenticación y
acceso a los bases de datos.
- Se realizara la instalación de
parches de seguridad según la
recomendación del fabricante
- Se monitoreará el acceso a la red
(IDS/IPS)
A.12.6.2
Gestor de Servicios
Se implementará control de acceso a Restricciones
de TI
AME063 Mitigar internet para restringir la instalación sobre la Pe Pv Ma 90% Abr-15 Ago-15 BAJO SI CERRADO
Oficial de Seguridad
de programas sin autorización instalación de
de la Información
software
Se realizan pruebas de ethical
hacking de manera anual. 12.6.1 Gestión
Se realizan cambios en la plataforma de las
AME064 Mitigar Pd Pv At 65% Jefe de Producción Abr-15 Ago-15 BAJO SI CERRADO
según la recomendación del vulnerabilidades
fabricante ante cualquier técnicas
vulnerabilidad detectada
Se elaborará una Política de control
de accesos 9.1.1 Política de
Oficial de Seguridad
AME065 Mitigar Se gestionará con el personal del control de Pe Pv Ma 90% Abr-15 Ago-15 BAJO SI CERRADO
de la Información
proyecto la firma de los acuerdos de acceso
confidencialidad de no divulgar la
Resultados
Dominio Objetivo del Control Evidencia de cumplimiento Ubicación Quien va a medir Que se va a medir
(mayo 2015)
4.1 Comprender la
MAN.GER.005 Manual de Alcance del Cumplimiento con los
4. CONTEXTO DE LA ORGANIZACIÓN
5.3 Roles
organizacionales, MAN.GER.001 Manual de Organización y Validar que considere todas
File Server Gestión de Calidad 100%
responsabilidades y Funciones del SGSI las areas del alcance
autoridades
oportunidades
MAN.GER.003 Manual de Gestión de
6.1.2 Evaluación de riesgo Riesgos Análisis y Evaluación de
de la seguridad de la File Server Gestión de Calidad riesgos y oportunidades de 100%
información FOR.GER.017 Gestión de riesgos y las áreas del alcance
oportunidades
MAN.GER.003 Manual de Gestión de
6.1.3 Tratamiento de Riesgos Riesgos aceptados
riesgo de la seguridad de File Server Gestión de Calidad 100%
formalmente
la información FOR.GER.018 Enunciado de Aplicabilidad
6.2 Objetivos de
FOR.GER.025 Objetivos del SGSI Objetivos alineados a la
seguridad de la
File Server Gestión de Calidad política de seguridad y a los 100%
información y planificación
Comités del SGSI objetivos estratégicos
para lograrlos
Ejecución de Comités del
7. APOYO
7.1 Recursos Comités del SGSI File Server Gestión de Calidad 100%
SGSI
MAN.GER.001 Manual de Organización y
7.2 Competencias File Server Gestión de Calidad Validar con gestión Humana 100%
Funciones del SGSI
Plan de Capacitación
Charlas de concienciación
7.4 Comunicación PRO.GER.010 Comunicaciones del SGSI File Server Gestión de Calidad Ver control A.7.2.2. 100%
7.5 Información
documentada FOR.GER.008 Lista maestra de
File Server Gestión de Calidad Ver control 100%
documentos
7.5.1 General
9.1 Monitoreo, medición, FOR.GER.023 Medición de Procesos y Revisión del Monitoreo del
9. EVALUACIÓN DEL
Ejecución de Auditorías
9.2 Auditoría Interna PRO.GER.006 Auditoria Interna SGSI File Server Gestión de Calidad internas en las áreas del 100%
alcance
Validar que se traten todos
9.3 Revisión de gestión Comités del SGSI File Server Gestión de Calidad los puntos indicados en la 100%
Norma
10 MEJORA
Frecuencia
Responsable de la
Objetivo de Control Control Método de Medición Formula de Medición Meta de may-15
Medición
Medición
Políticas de seguridad
Verificación de las políticas y
Revisión de las N° de documentos del SGSI
Políticas y procedimientos del SGSI se
políticas para la que se mantienen vigentes Oficial de Seguridad
procedimientos del mantengan como máximo 02 [ >= 80% ] Anual 100%
seguridad de la (02 años). / N° Total de de la Información
SGSI años vigentes luego de su
información documentos evaluados
aprobación.
Durante el empleo
Concientización, Verificación del número de
N° de personas capacitadas /
educación y formación participantes en las Oficial de Seguridad
Plan de Capacitación N° de personas programadas [ >= 70% ] Anual 100%
en seguridad de la capacitaciónes / charlas de de la Información
para capacitación.
información seguridad de la información.
Clasificación de la información
Verificación de los medios de
N° de medios de soporte
soportes que cuenten con el
Etiquetado de la Medios de soporte / etiquetados y conforme / N° Oficial de Seguridad
etiquetado y protección [ >= 90% ] Anual 100%
información Cintas de backups de medios de soporte de la Información
adecuada según su clasificación
evaluados.
en las cintotecas.
Responsabilidades del usuario
Verificación del número de
Uso de clave y N° de incidentes de seguridad
Uso de información de incidentes de seguridad Oficial de Seguridad
contraseña de manera relacionados a uso de [=0] Anual 0
autenticación secreta relacionados a uso compartido de la Información
adecuada contraseña y clave de acceso
de clave y contraseña de acceso
Areas seguras
Verificación del número de N° de incidentes de seguridad
Controles de acceso
Controles de acceso incidentes de seguridad relacionados a acceso no Oficial de Seguridad
físico a los Centro de [=0] Anual 0
físico relacionados a accesos físicos autorizado a instalaciones de la Información
Datos
no autorizados físicas
Equipamiento
- La auditoría interna podrá ser ejecutada por un auditor y/o equipo auditor
externo de acuerdo con los requisitos que establezca la organización y
debe contar con los siguientes perfiles:
o Debe ser liderada por un Líder Auditor y el equipo auditor que
deben de ser Auditores Internos certificados en el Sistema de
Gestión que se auditará.
o Demostrar habilidades y conocimientos suficientes, relacionados
con la disciplina y la aplicación de métodos, técnicas, procesos y
prácticas específicos del sistema de gestión a examinar,
permitiéndole generar hallazgos y conclusiones apropiados. (Lo
cual se evidenciará a través de certificados de cursos
especializados correspondientes al Sistema de Gestión que será
Auditado).
o Tener experiencia del auditor en auditorías internas de procesos
(evidencia en horas).
Realizar la auditoría
5.11. ACTUAR
En esta fase se implanta el Plan de Acción Aprobado. Para ello debe asegurarse
de que todos los que se vean afectados entiendan la razón por la cual está siendo
El Equipo de Mejora compara los resultados utilizando los datos recogidos antes
y después de la acción tomada para verificar la efectividad de la acción y la
reducción de los resultados indeseables. Si el resultado de la acción fue tan
satisfactorio como se esperaba se envía el Informe al Comité del SGSI con el
detalle correspondiente.
“La eficacia del sistema de gestión se verificó in situ, por medio de un muestreo
aleatorio, por el equipo auditor. En este proceso, se evaluaron las secuencias de
trabajo para saber si cumplen con los requisitos de la/s norma/s y con las
descripciones de la documentación del sistema de gestión. Se han tenido en
cuenta las características propias en las actividades de la empresa, así como los
requisitos legales y reglamentarios aplicables y otros documentos principales.
Esto se hizo mediante un método de muestreo, mediante la realización de
entrevistas y la revisión de la documentación pertinente. El equipo de auditoría
recomienda, por tanto: La emisión de nuevos certificado”
SIGLAS DEL
NOMBRE DEL PROYECTO
PROYECTO
IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN BAJO EL
SGSI
ESTANDAR ISO/IEC 27001:2013
NOMBRE DEL CLIENTE
OFICINA DE NORMALIZACIÓN PREVISIONAL (ONP)
DECLARACIÓN DE LA ACEPTACIÓN FORMAL
Por la presente se deja constancia que el "Proyecto Implementación del sistema de
gestión de seguridad de la información" a cargo de la empresa GMD, ha sido aceptado
y aprobado por la Oficina de Tecnologías de la Información de la ONP., damos
constancia por la presente que el proyecto ha sido culminado exitosamente.
DIAGNOSTICO
Informe de Diagnostico (Análisis de brecha)
CONTEXTO DE LA ORGANIZACIÓN
Identificación de las partes interesadas
Requisitos de seguridad de la información
Alcance del SGSI
LIDERAZGO
Política de SI
Roles y responsabilidades del SGSI
PLANEACIÓN
Metodología de gestión de riesgos
Declaración de aplicabilidad
SOPORTE
Plan de capacitación
Plan de concienciación
Plan de comunicaciones del SGSI
Documentos del SGSI
OPERACIÓN
Medición del SGSI
Gestión de cambios
Matriz de evaluación de riesgos
Plan de tratamiento de riesgos
MEJORA
Solicitud de acción correctiva
AUDITORIA DE CERTIFICACIÓN
Certificado del SGSI
100% 0%
80%
59%
60%
100%
40%
20% 41%
0%
Inicio Final
Cumplimiento Incumplimiento
CUMPLIMIENTO DE CLAUSULAS
120%
100%
80%
60% 56%
52%
50%
38%
40% 33%
31%
25%
20%
0%
4. Contexto de la 5. Liderazgo 6. Planificación 7. Apoyo 8. Operación 9. Evaluación del 10. Mejora
Organización desempeño
100%
28%
80%
52%
60%
40%
72%
20% 48%
0%
Inicial Final
Cumplimiento Incumplimiento
CUMPLIMIENTO DE CONTROLES
90%
85%
83%
80% 79% 79% 80% 80% 80% 80%
75% 75% 75% 75%
70% 70% 71%
40% 40%
30%
20%
10%
0% 0% 0%
A.5 - Políticas de A.6 - A.7 - Seguridad A.8 - A.9 - Control de A.11 - Seguridad A.12 - Seguridad A.13 - Seguridad A.14 - A.15 - Relaciones A.16 - Gestión A.17 - Aspectos A.18 -
SI Organización de ligada a los RH Administración accesos física y del de las de las Adquisición, con el proveedor de incidentes de de SI en la GCN Cumplimiento
la SI de activos ambiente operaciones comunicaciones desarrollo y SI
mantenimiento
del sistema
Inicial Final
Seguridad en procesos de Objetivo: Asegurar que la seguridad de la información está diseñada e implementada dentro del
A.14.2
desarrollo y soporte ciclo de desarrollo de los sistemas de información.
Las reglas para el desarrollo de software y de sistemas deben ser
A.14.2.1 Política de desarrollo seguro
establecidas y aplicadas a los desarrollos dentro de la organización.
Los cambios a los sistemas dentro del ciclo de desarrollo deben ser
Procedimientos de control de
A.14.2.2 controlados mediante el uso de procedimientos formales de control
cambios del sistema
de cambios.
Revisión técnica de las Cuando se cambien las plataformas de operación, se deben revisar
aplicaciones después de los y poner a prueba las aplicaciones críticas del negocio para asegurar
A.14.2.3
cambios en la plataforma de que no hay impacto adverso en las operaciones o en la seguridad de
operación la organización.
Se debe desalentar la realización de modificaciones a los paquetes
Restricciones en los cambios a los de
A.14.2.4
paquetes de software software, que se deben limitar a los cambios necesarios, los que
deben ser controlados de manera estricta.
Se deben establecer, documentar, mantener y aplicar los principios
Principios de ingeniería de sistema
A.14.2.5 para los sistemas seguros de ingeniería para todos los esfuerzos de
seguro
implementación del sistema de información.
Las organizaciones deben establecer y proteger los entornos de
desarrollo seguro, de manera apropiada, para el desarrollo del
A.14.2.6 Entorno de desarrollo seguro
sistema y los esfuerzos de integración que cubren todo el ciclo de
desarrollo del sistema.
La organización debe supervisar y monitorear la actividad del
A.14.2.7 Desarrollo tercerizado
desarrollo del sistema tercerizado.
Durante el desarrollo se debe realizar la prueba de funcionalidad de
A.14.2.8 Prueba de seguridad del sistema
seguridad
Se deben definir los programas de prueba de aceptación y los
A.14.2.9 Prueba de aprobación del sistema criterios pertinentes para los nuevos sistemas de información,
actualizaciones y versiones nuevas.
A.14.3 Datos de prueba Objetivo: Asegurar la protección de los datos usados para prueba.
Los datos de prueba se deben seleccionar, proteger y controlar de
A.14.3.1 Protección de datos de prueba
manera muy rigurosa.
A.15 Relaciones con el proveedor
Seguridad de la información en Objetivo: Asegurar la protección de los activos de la organización a los que tienen acceso los
A.15.1
las relaciones con el proveedor proveedores.
Política de seguridad de la Se deben acordar y documentar, junto con el proveedor, los
A.15.1.1 información para las relaciones con requisitos de seguridad de la información para mitigar los riesgos
el proveedor asociados al acceso del proveedor a los activos de la organización.
Todos los requisitos de seguridad de la información pertinente
deben ser definidos y acordados con cada proveedor que pueda
Abordar la seguridad dentro de los
A.15.1.2 acceder, procesar, almacenar, comunicar o proporcionar
acuerdos del proveedor
componentes de infraestructura de TI para la información de la
organización.
Cadena de suministro de
Los acuerdos con los proveedores deben incluir los requisitos para
A.15.1.3 tecnologías de la información y
abordar los riesgos de seguridad de la información asociados a los
comunicaciones
2.1.2 ONPSSE0010 SUBSERVICIOS Soporte Técnico para PC/MAC - Laptop Usuarios internos de ONP a nivel nacional (según bases) BAJO
2.2 ONPSER0004 SERVICIO SOPORTE TÉCNICO PARA PERIFÉRICOS Usuarios internos y externos de la OTI BAJO
2.2.1 ONPSSE0011 SUBSERVICIOS Soporte Técnico para Periféricos - Monitor Usuarios internos de ONP a nivel nacional (según bases) BAJO
2.2.2 ONPSSE0012 SUBSERVICIOS Soporte Técnico para Periféricos - Teclado Usuarios internos de ONP a nivel nacional (según bases) BAJO
2.2.3 ONPSSE0013 SUBSERVICIOS Soporte Técnico para Periféricos - Mouse Usuarios internos de ONP a nivel nacional (según bases) BAJO
2.2.4 ONPSSE0014 SUBSERVICIOS Soporte Técnico para Periféricos - Impresoras/Escáneres Usuarios internos de ONP a nivel nacional (según bases) BAJO
2.2.5 ONPSSE0015 SUBSERVICIOS Soporte Técnico para Periféricos - Lector de Código de Barras Usuarios internos de ONP a nivel nacional (según bases) BAJO
2.2.6 ONPSSE0016 SUBSERVICIOS Soporte Técnico para Periféricos - Otros periféricos Usuarios internos de ONP a nivel nacional (según bases) BAJO
2.3 ONPSER0005 SERVICIO SOPORTE TÉCNICO PARA COMPONENTES DE PC Usuarios internos y externos de la OTI ALTO
2.3.1 ONPSSE0017 SUBSERVICIOS Soporte Técnico para Componentes - Disco Duro Usuarios internos de ONP a nivel nacional (según bases) ALTO
2.3.2 ONPSSE0018 SUBSERVICIOS Soporte Técnico para Componentes - Memoria RAM Usuarios internos de ONP a nivel nacional (según bases) ALTO
2.3.3 ONPSSE0019 SUBSERVICIOS Soporte Técnico para Componentes - Placa Base Usuarios internos de ONP a nivel nacional (según bases) ALTO
2.3.4 ONPSSE0020 SUBSERVICIOS Soporte Técnico para Componentes - Fuente de Poder Usuarios internos de ONP a nivel nacional (según bases) ALTO
2.3.5 ONPSSE0021 SUBSERVICIOS Soporte Técnico para Componentes - Lector de CD/DVD Usuarios internos de ONP a nivel nacional (según bases) ALTO
2.3.6 ONPSSE0022 SUBSERVICIOS Soporte Técnico para Otro Tipo de Componentes Usuarios internos de ONP a nivel nacional (según bases) ALTO
SERVICIO DE GESTIÓN DE SOLUCIONES, APLICACIONES Y BASES DE
3 ONPMSE0003 MACROSERVICIO Usuarios internos de ONP a nivel nacional (según bases) ALTO
DATOS
3.1 ONPSER0006 SERVICIO GESTIÓN DE SOLUCIONES Y APLICACIONES CORE Usuarios internos de la OTI ALTO
3.1.1 ONPSSE0023 SUBSERVICIOS Gestión y Despliegue de Nuevas Aplicaciones Core de Negocio Usuarios internos de ONP a nivel nacional (según bases) ALTO
3.1.2 ONPSSE0024 SUBSERVICIOS Gestión y Ejecución del Mantenimiento de Aplicaciones Core de Negocio Usuarios internos de ONP a nivel nacional (según bases) ALTO
Gestión y Ejecución de Pruebas de Esfuerzo a Demanda para aplicaciones Core
3.1.3 ONPSSE0025 SUBSERVICIOS Usuarios internos de ONP a nivel nacional (según bases) ALTO
de Negocio
3.2 ONPSER0007 SERVICIO GESTIÓN DE SOLUCIONES Y APLICACIONES DE APOYO Usuarios internos de la OTI MEDIO
3.2.1 ONPSSE0026 SUBSERVICIOS Gestión y Despliegue de Nuevas Aplicaciones de Apoyo Usuarios internos de ONP a nivel nacional (según bases) ALTO
3.2.2 ONPSSE0027 SUBSERVICIOS Gestión y Ejecución del Mantenimiento de Aplicaciones de Apoyo Usuarios internos de ONP a nivel nacional (según bases) MEDIO
Gestión y Ejecución de Pruebas de Esfuerzo a Demanda para Aplicaciones de
3.2.3 ONPSSE0028 SUBSERVICIOS Usuarios internos de ONP a nivel nacional (según bases) MEDIO
Apoyo
3.3 ONPSER0008 SERVICIO GESTIÓN Y AUDITORÍAS DE BASES DE DATOS Usuarios internos de la OTI ALTO
3.3.1 ONPSSE0029 SUBSERVICIOS Gestión y administración de BD Usuarios internos de ONP a nivel nacional (según bases) MEDIO
3.3.2 ONPSSE0030 SUBSERVICIOS Auditoria de BD Usuarios internos de ONP a nivel nacional (según bases) MEDIO
SERVICIO DE GESTIÓN DE ACCESOS A APLICACIONES, BASE DE DATOS,
4 ONPMSE0004 MACROSERVICIO Usuarios internos de ONP a nivel nacional (según bases) ALTO
SERVICIOS TECNOLÓGICOS Y EQUIPOS
4.1 ONPSER0009 SERVICIO GESTIÓN DE ACCESO A APLICACIONES Y BASES DE DATOS Usuarios internos y externos de la OTI MEDIO
4.1.1 ONPSSE0031 SUBSERVICIOS Gestión de Acceso a Aplicaciones Usuarios internos de ONP a nivel nacional (según bases) MEDIO
4.1.2 ONPSSE0032 SUBSERVICIOS Gestión de Acceso a Bases de Datos Usuarios internos de ONP a nivel nacional (según bases) MEDIO
4.2 ONPSER0010 SERVICIO GESTIÓN DE ACCESO A SERVICIOS TECNOLÓGICOS Y DE TELEFONÍA Usuarios internos y externos de la OTI ALTO
4.2.1 ONPSSE0033 SUBSERVICIOS Gestión de Acceso a Cuenta de Red Corporativa Usuarios internos de ONP a nivel nacional (según bases) ALTO
4.2.2 ONPSSE0034 SUBSERVICIOS Gestión de Acceso al Correo Electrónico Usuarios internos de ONP a nivel nacional (según bases) ALTO
4.2.3 ONPSSE0035 SUBSERVICIOS Gestión de Acceso al Internet Corporativo Usuarios internos de ONP a nivel nacional (según bases) ALTO
4.2.4 ONPSSE0036 SUBSERVICIOS Gestión de Acceso a la Red Privada Virtual (VPN) Usuarios internos de ONP a nivel nacional (según bases) ALTO
4.2.5 ONPSSE0037 SUBSERVICIOS Gestión de Acceso a Recursos Compartidos Usuarios internos de ONP a nivel nacional (según bases) ALTO
4.2.6 ONPSSE0038 SUBSERVICIOS Gestión de Acceso a Telefonía Usuarios internos de ONP a nivel nacional (según bases) MEDIO
4.3 ONPSER0011 SERVICIO GESTIÓN DE CONTROL DE ACCESO A EQUIPOS Usuarios internos de ONP a nivel nacional (según bases) BAJO
4.3.1 ONPSSE0039 SUBSERVICIOS Gestión de Control de Acceso a Puertos y Conexiones de PC Usuarios internos de ONP a nivel nacional (según bases) ALTO
4.3.2 ONPSSE0040 SUBSERVICIOS Gestión de Control de Acceso a Escáner, Fotocopiadora e Impresión en red Usuarios internos de ONP a nivel nacional (según bases) BAJO
SERVICIO DE GESTIÓN DE PLATAFORMAS FÍSICAS, VIRTUALES Y DE
5 ONPMSE0005 MACROSERVICIO Usuarios internos de ONP a nivel nacional (según bases) BAJO
ALMACENAMIENTO Y SERVICIOS DE RED
GESTIÓN Y SOPORTE DE PLATAFORMAS FÍSICAS Y DE
5.1 ONPSER0012 SERVICIO Usuarios internos de la OTI BAJO
ALMACENAMIENTO
5.1.1 ONPSSE0041 SUBSERVICIOS Gestión de Plataformas Físicas para WINDOWS Usuarios internos de ONP a nivel nacional (según bases) ALTO
5.1.2 ONPSSE0042 SUBSERVICIOS Gestión de Plataformas Físicas para UNIX Usuarios internos de ONP a nivel nacional (según bases) ALTO
5.1.3 ONPSSE0043 SUBSERVICIOS Gestión de Plataformas Físicas para VMWARE Usuarios internos de ONP a nivel nacional (según bases) ALTO
5.1.4 ONPSSE0044 SUBSERVICIOS Gestión de Sistema de Almacenamiento Usuarios internos de ONP a nivel nacional (según bases) BAJO
5.2 ONPSER0013 SERVICIO GESTIÓN Y SOPORTE DE PLATAFORMAS VIRTUALES Usuarios internos de la OTI MEDIO
5.2.1 ONPSSE0045 SUBSERVICIOS Gestión de Plataformas Virtuales para WINDOWS Usuarios internos de ONP a nivel nacional (según bases) MEDIO
5.2.2 ONPSSE0046 SUBSERVICIOS Gestión de Plataformas Virtuales para UNIX Usuarios internos de ONP a nivel nacional (según bases) ALTO
5.2.3 ONPSSE0047 SUBSERVICIOS Gestión de Plataformas Virtuales para LINUX Usuarios internos de ONP a nivel nacional (según bases) ALTO
5.3 ONPSER0014 SERVICIO GESTIÓN DE SERVICIOS DE RED Usuarios internos de la OTI ALTO
5.3.1 ONPSSE0048 SUBSERVICIOS Gestión de Directorio Activo Usuarios internos de ONP a nivel nacional (según bases) ALTO
5.3.2 ONPSSE0049 SUBSERVICIOS Gestión de Herramientas de Colaboración Usuarios internos de ONP a nivel nacional (según bases) ALTO
5.3.3 ONPSSE0050 SUBSERVICIOS Gestión de Servidores de Archivo Usuarios internos de ONP a nivel nacional (según bases) ALTO
SERVICIO DE GESTIÓN Y SOPORTE A LAS COMUNICACIONES Y
6 ONPMSE0006 MACROSERVICIO Usuarios internos de ONP a nivel nacional (según bases) MEDIO
SEGURIDAD INFORMÁTICA Y PERIMETRAL
6.1 ONPSER0015 SERVICIO GESTIÓN PARA EL SOPORTE DE REDES LAN/WAN Usuarios internos de la OTI ALTO
6.1.1 ONPSSE0051 SUBSERVICIOS Gestión para Instalación y Mantenimiento de Cableado Estructurado Usuarios internos de ONP a nivel nacional (según bases) ALTO
6.1.2 ONPSSE0052 SUBSERVICIOS Gestión para el soporte a Switch Usuarios internos de ONP a nivel nacional (según bases) ALTO
6.1.3 ONPSSE0053 SUBSERVICIOS Gestión para el soporte a Router Usuarios internos de ONP a nivel nacional (según bases) BAJO
6.1.4 ONPSSE0054 SUBSERVICIOS Gestión para el soporte a Access Point Usuarios internos de ONP a nivel nacional (según bases) MEDIO
6.1.5 ONPSSE0055 SUBSERVICIOS Gestión para el soporte a WAAS Usuarios internos de ONP a nivel nacional (según bases) MEDIO
6.2 ONPSER0016 SERVICIO GESTIÓN DE SOPORTE DE REDES DE TELEFONÍA Usuarios internos de la OTI BAJO
6.2.1 ONPSSE0056 SUBSERVICIOS Gestión y Soporte de Central Telefónica IP Usuarios internos de ONP a nivel nacional (según bases) MEDIO
6.2.2 ONPSSE0057 SUBSERVICIOS Gestión, soporte e instalación de Telefonía IP Usuarios internos de ONP a nivel nacional (según bases) BAJO
6.3 ONPSER0017 SERVICIO GESTIÓN Y SOPORTE DE SEGURIDAD INFORMÁTICA Y PERIMETRAL Usuarios internos de la OTI ALTO
6.3.1 ONPSSE0058 SUBSERVICIOS Gestión para el soporte a Proxy Usuarios internos de ONP a nivel nacional (según bases) ALTO
6.3.2 ONPSSE0059 SUBSERVICIOS Gestión para el soporte a Firewall Usuarios internos de ONP a nivel nacional (según bases) ALTO
6.3.3 ONPSSE0060 SUBSERVICIOS Gestión para el soporte a IDS/IPS Usuarios internos de ONP a nivel nacional (según bases) ALTO
6.3.4 ONPSSE0061 SUBSERVICIOS Gestión para el soporte a Antispam Usuarios internos de ONP a nivel nacional (según bases) ALTO
6.3.5 ONPSSE0062 SUBSERVICIOS Gestión para el soporte a Consola de Seguridad Usuarios internos de ONP a nivel nacional (según bases) ALTO
6.3.6 ONPSSE0063 SUBSERVICIOS Gestión para el soporte a Load Balancer Usuarios internos de ONP a nivel nacional (según bases) ALTO
6.3.7 ONPSSE0064 SUBSERVICIOS Gestión para el soporte a la Solución de Antivirus Usuarios internos de ONP a nivel nacional (según bases) ALTO
7 ONPMSE0007 MACROSERVICIO SERVICIO DE GESTIÓN PARA EL SOPORTE A LAS OPERACIONES DE TI Usuarios internos de ONP a nivel nacional (según bases) BAJO
7.1 ONPSER0018 SERVICIO GESTIÓN DE RESPALDO DE LA INFORMACIÓN Usuarios internos de la OTI BAJO
7.1.1 ONPSSE0065 SUBSERVICIOS Gestión de Respaldo de la Información - Copia de Seguridad Usuarios internos de ONP a nivel nacional (según bases) BAJO
7.1.2 ONPSSE0066 SUBSERVICIOS Gestión de Respaldo de la Información - Restauración Usuarios internos de ONP a nivel nacional (según bases) BAJO
7.1.3 ONPSSE0067 SUBSERVICIOS Gestión de Respaldo de información - Migración de Medios Magnéticos Usuarios internos de ONP a nivel nacional (según bases) BAJO
7.2 ONPSER0019 SERVICIO GESTIÓN Y EJECUCIÓN DE SCRIPTS O PASES A PRODUCCIÓN O QA Usuarios internos de la OTI ALTO
7.2.1 ONPSSE0068 SUBSERVICIOS Gestión y Ejecución de Scripts o Pases a Producción o QA Usuarios internos de ONP a nivel nacional (según bases) MEDIO
7.3 ONPSER0020 SERVICIO GESTIÓN Y EJECUCIÓN DE MONITOREO DE PLATAFORMA. Usuarios internos de la OTI BAJO
7.3.1 ONPSSE0069 SUBSERVICIOS Gestión y Ejecución de monitoreo de plataforma Usuarios internos de ONP a nivel nacional (según bases) BAJO
GESTIÓN Y EJECUCIÓN DE ALINEAMIENTO DE BASES DE DATOS DE QA
7.4 ONPSER0021 SERVICIO Usuarios internos de la OTI MEDIO
Y PRODUCCIÓN.
7.4.1 ONPSSE0070 SUBSERVICIOS Gestión y Ejecución de alineamiento de bases de datos de QA y Producción Usuarios internos de ONP a nivel nacional (según bases) MEDIO
GESTIÓN Y SOPORTE DE EQUIPOS DE APOYO DEL CENTRO DE
7.5 ONPSER0022 SERVICIO Usuarios internos de la OTI ALTO
COMPUTO
7.5.1 ONPSSE0071 SUBSERVICIOS Soporte a Conexiones Eléctricas Usuarios internos de ONP a nivel nacional (según bases) ALTO
7.5.2 ONPSSE0072 SUBSERVICIOS Gestión y Soporte de equipos de apoyo del Centro de Cómputo Usuarios internos de ONP a nivel nacional (según bases) BAJO
Queja del cliente Revisión por la Dirección Análisis de datos (Gestión Observaciones
Proviene
de Problemas) del personal
de:
DESCRIPCIÓN DE LA NC O PROBLEMA
Norma/Requisito:
Responsable: Fecha:
ACCION CORRECTIVA O PREVENTIVA (Si el espacio no es suficiente, utilizar el reverso o adjuntar una hoja)
Actividades Responsable Plazos
CONFORME NO CONFORME
Consiste en establecer la no conformidad y luego preguntarse ¿Por qué?, al resultado de ésa pregunta volver a
preguntarse ¿Por qué? y así sucesivamente hasta que se agoten los ¿Por qué?, el resultado del último ¿Por qué? es
la causa raíz.