Generalidades pág.

92
Generalidades del Departamento de Informática

El personal encargado en el área de la informática en UCC MANAGUA no ha

implementado o no cuenta con un sistema de gestión de incidencias donde lleve un
control de los hallazgos encontrados, por tanto no hay un registro de los problemas
reportados en los equipos de informática de la universidad ya que los estudiantes y
docentes, normalmente en mayoría de los casos por cuenta propia manejan lo que son
sus equipo de labores el cual no hacen uso de los equipos de la UCC, y en el apartado de
informática en las oficinas no cuentan con un plan de análisis de los equipos en cual
proponga cambios y mejoras de tal manera que los equipos posean un mejor
funcionamiento y rendimiento a la hora de procesar datos e información. Por lo cual no se
reportan los problemas o riesgos que puedan dar soluciones en los laboratorios y oficinas
de informática de la Universidad.

El soporte que reciben los equipos de informática son momentáneo, es decir que cuando
ocurre una falla a nivel de software o hardware en los equipos de UCC, esta se les hace
saber a los encargados del área de informática de forma imprevista, es por eso que no se
lleva un control de los hallazgos tomando las medidas necesarias que puedan abordar el
funcionamiento y el rendimiento de estos equipos a la hora de procesar en si los
información dependiendo el software a utilizar. Por el cual se hace más difícil tratarlos y
con mayor tiempo buscarles las soluciones correctas pese a que no hay una asistencia de
control y soporte técnico reportados por los clientes tantos externos e internos se
complementa con los objetivos que esta se encuentre.

Los planes de mantenimiento generales preventivo de los equipos de la UCC, elaborado

por el personal de informática para las terminales de los clientes interno o externos son
ejecutados 2 veces al año, inicio y ha mediado de año cada 6 meses. El de los servidores
se ejecuta cada 12 meses, se comunica y se programa con un mes de antelación.

Los equipos internos de UCC MANAGUA reciben lo que actualizaciones de mejoras pero
no seguidamente a nivel de los sistemas operativos y software, pone en riesgo la
vulnerabilidad, a mayor antigüedad, mayores posibilidades de que los sistemas sean
deficiente, ya que un cambio moderno además de que incluye mejoras en la seguridad da
un mejor rendimiento a la hora de estar laborando en nuestras responsabilidades.
Servicios pág. 90
Servicios y soluciones de infraestructura a los equipos informáticos de UCC – Managua
que brinda, tantos clientes externos e internos.

Clientes Servicios
1)Instalación y configuración de los sistemas operativos en los
distintos equipos de cómputo en los lab y oficinas de la universidad
de ciencia comerciales UCC, para adaptarlo a los requerimiento que
establece los docente o personales de administración ajustables ala
nuevas tecnología de la información.
Servicios informáticos
que brindan a 2) personalización e instalación de drivers necesario para el
Personal externo e funcionamiento exacto del sistema operativo y que permita
interno de la reconocer e instalar los distintos dispositivos que nos permitan
UCC MANAGUA realizar funciones que deben efectuar con los controladores.
Según la
documentación. 3) Instalación de programas más comunes utilizados por los
personales de admón. y directivos (Office,
PhotoShop,Courel,Autocad,Visual studio etc...)
Personal Directivo
4) Mantenimiento a los distintos equipos de la universidad evitar
incidentes inesperados, relacionado con los sistemas operativos
Personal Administrativo llegando a un diagnostico preventivo de los equipos informáticos.

5) Instalación de Antivirus, protocolo de seguridad, antispyware y

Personal Docente antimalware.

6) Remplazo y reparación en los componentes físicos de hardware

de los equipos que se encuentren en mal estado, con el fin de
Estudiantes obtener un mejor rendimiento en las maquinas dado a ampliar la
disponibilidad de los equipos que no estén en uso por ciertos
motivos de hardware.

Servicios de informática a clientes externos e internos – UCC MANAGUA NICARAGUA.

 Clientes Servicios
1)Instalacion, actualizacion y configuracion de los sistemas operativos en los distinto
equipos de computo en los lab y oficinas de la universidad de ciencia comerciales UC
para adapatarlo a los requerimiento que establece los docente o personales de
administracion ajustables ala nuevas tecnologia de la informacion.

Servicios informaticos 2) personalalizacion e instalacion de drivers necesario para el funcionamiento exacto

que brinda a del sistema operativo y que permita reconocer e instalar los distintos dispositivos qu
Personal interno nos permitan realizar funciones que deben efectuar con los controladores.
Principales de la
UCC MANAGUA 3)Instalacion de programas mas comunes utilizados por los personales de admin y
Según la documentacion. directivos(Office, PhotoShop,Courel,Autocad,Visual studio etc..)

4)Mantenimiento a los distintos equipos de la universidad evitar incidentes

inesperados, relacionado con los sistemas operativos llegando a un diagnostico
Personal Directivo preventivo de los equipos informaticos.

5)Instalacion de Antivirus, protocolo de seguridad, antispyware y antimalware.

Personal Administrativo 6) Remplazo y reparacion en los componentes fisicos de hardware de los equipos qu
se encuentren en mal estado, con el fin de obtener un mejor rendimiento en las
maquinas dado a ampliar la disponibilidad de los equipos que no esten en uso por
ciertos motivos de hardware.
Personal Docente
6)Servicio a lo que es cambio de pasta termica, limpieza de piezas externas e interna
memoria ram, tarjeta etc..
 Clientes Servicios
1)Instalacion, actualizacion y configuracion de los sistemas operativos en los distintos
equipos de computo en los lab y oficinas de la universidad de ciencia comerciales UCC,
para adapatarlo a los requerimiento que establece los docente o personales de
administracion ajustables ala nuevas tecnologia de la informacion.

Servicios informáticos 2) personalalizacion e instalacion de drivers necesario para el funcionamiento exacto

que brinda a del sistema operativo y que permita reconocer e instalar los distintos dispositivos que
Personal interno nos permitan realizar funciones que deben efectuar con los controladores.
Principales de la
UCC MANAGUA 3)Instalacion de programas mas comunes utilizados por los personales de admin y
Según la documentación. directivos(Office, PhotoShop,Courel,Autocad,Visual studio etc..)

4) Mantenimiento a los distintos equipos de la universidad evitar incidentes

inesperados, relacionado con los sistemas operativos llegando a un diagnostico
Personal Directivo preventivo de los equipos informaticos.

5)Instalacion de Antivirus, protocolo de seguridad, antispyware y antimalware.

Personal Administrativo 6) Remplazo y reparacion en los componentes fisicos de hardware de los equipos que
se encuentren en mal estado, con el fin de obtener un mejor rendimiento en las
maquinas dado a ampliar la disponibilidad de los equipos que no esten en uso por
ciertos motivos de hardware.
Personal Docente
6)Servicio a lo que es cambio de pasta termica, limpieza de piezas externas e internas,
memoria ram, tarjeta etc..
Libro guía profesional
Para maximizar los beneficios de dicha gestión y contar con garantías de éxito, los
esfuerzos han de ser empleados de forma metódica, estructurada y, sobre todo, siguiendo
un proceso de evaluación y mejora continua. Las organizaciones se encuentran en un
entorno en cambio constante. Los logros obtenidos ante las amenazas de hoy no suponen
ninguna garantía de éxito para las amenazas de mañana.

Dedicación:
La información es el activo principal pero también debemos considerar: infraestructura
informática, equipos auxiliares, redes de comunicaciones, instalaciones y personas.

hardware: PC, portátiles, servidores, impresoras, discos, documentos en papel

o software: sistemas operativos, paquetes, aplicaciones,…
o redes: conmutadores, cableado, puntos de acceso,…
o personal: usuarios, desarrolladores, responsables,…
o edificios, salas, y sus servicios
o estructura organizativa: responsables, áreas, contratistas,…

Existen distintos métodos para analizar amenazas por ejemplo:

Gestión de riesgos. Una guía de aproximación para el empresario Página 20 de 28
entrevistas con usuarios y cuestionarios
inspección física
uso de herramientas para el escaneo automatizado

Estos criterios se concretan en escalas para valorar:

pérdidas financieras
costes de reparación o sustitución
interrupción del servicio
pérdida de reputación y confianza de los clientes
disminución del rendimiento
infracciones legales o ruptura de condiciones contractuales
pérdida de ventaja competitiva
daños personales
 Servicios
Clientes Servicios
1)Instalación, actualización y configuración de los sistemas operativos en los
distintos equipos de cómputo en los lab y oficinas de la universidad de ciencia
comerciales UCC, para adaptarlo a los requerimiento que establece los docente o
personales de administración ajustables ala nuevas tecnología de la información.
Servicios informáticos 2) personalización e instalación de drivers necesario para el funcionamiento
que brindan a exacto del sistema operativo y que permita reconocer e instalar los distintos
Personal interno dispositivos que nos permitan realizar funciones que deben efectuar con los
Principales de la controladores.
UCC MANAGUA
Según la documentación. 3) Instalación de programas más comunes utilizados por los personales de admón.
y directivos (Office, PhotoShop,Courel,Autocad,Visual studio etc...)

4) Mantenimiento a los distintos equipos de la universidad evitar incidentes

Personal Directivo inesperados, relacionado con los sistemas operativos llegando a un diagnostico
preventivo de los equipos informáticos.

5) Instalación de Antivirus, protocolo de seguridad, antispyware y antimalware.

Personal Administrativo
6) Remplazo y reparación en los componentes físicos de hardware de los equipos
que se encuentren en mal estado, con el fin de obtener un mejor rendimiento en
las maquinas dado a ampliar la disponibilidad de los equipos que no estén en uso
Personal Docente por ciertos motivos de hardware.

6) Servicio a lo que es cambio de pasta térmica, limpieza de piezas externas e

internas, memoria ram, tarjeta etc...

7) Instalaciones y configuraciones de los Acces Point inalambricos en UCC.

Dgfgfg
Citas Bibliográficas
Este proyecto fue llevado a cabo mediante los conocimientos adquiridos mediante el módulo
Auditoria de TI y Seguridad de la Especialización en Tecnologías de la Información que oferta la
Universidad de Ciencias Comerciales UCC.

También fue de mucha ayuda los libros, material digital y los videos conferencias brindadas por el
Msc. Elsner B. González O. que se detallan a continuación:

Guía gestión de riesgo PDF:

http://campusvirtual.ucc.edu.ni/pluginfile.php/131541/mod_resource/content/0/Gu
%C3%ADaGesti%C3%B3nRiesgos.pdf

MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información LIBRO 1:
http://campusvirtual.ucc.edu.ni/pluginfile.php/131540/mod_resource/content/
0/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf

MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información LIBRO 2:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/
pae_Metodolog/pae_Magerit.html#.X6KwLogzbDc

Guía maestría Elsner B. González O. Gustavo A. Rodríguez B. PROPUESTA DE UN SISTEMA DE

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI):

http://campusvirtual.ucc.edu.ni/pluginfile.php/131542/mod_resource/content/0/Maestr
%C3%ADa%20Elsner%20B.%20Gonz%C3%A1lez%20O.%20%20Gustavo%20A.%20Rodr
%C3%ADguez%20B.pdf

Análisis de Riesgos con Magerit InstEcuatorianoPropIntelectual Archivo:

http://campusvirtual.ucc.edu.ni/pluginfile.php/134144/mod_resource/content/0/An%C3%A1lisis
%20de%20Riesgos%20con%20Magerit%20InstEcuatorianoPropIntelectual.pdf

Herramienta de SW [PILAR]:
http://campusvirtual.ucc.edu.ni/mod/folder/view.php?id=91485

CONCLUCIONES Y RECOMENDACIONES
El análisis del contexto actual de la Universidad de Ciencias Comerciales UCC.,
podemos concluir que enfrenta con algunos riesgos de seguridad de los
componentes informáticos, que ponen en riesgos el desempeño de los
estudiantes, docentes y personal administrativo, sin embargo, hemos
implementado este análisis de riesgo demostrando interés en adoptar la
implementación de nuevas tecnología SGSI (Sistema de gestión de la seguridad
de la información)

Hemos determinado únicamente aquellas áreas en relación con lo informático de

UCC con el fin de seguir el contexto de la seguridad de la tecnología de la
información brindando mejoras y soluciones a futuro para fluir el servicios de la
universidad, se seleccionaron los dominios en los distintos factores a como son los
objetivos de control y controles de seguridad propuestos por la norma
internacional ISO/IEC 27002:2013 que necesita la organización para definir el
alcance del SGSI, tomando en cuenta que la Universidad de Ciencias Comerciales
UCC.

Valorando los riesgos los activos y recursos de Tecnologías de la Información (TI)

de la UCC MANAGUA bajo la responsabilidad de dirección general de la
tecnología de la Información y comunicación, tomando en cuenta en cuenta sus
dos colaboradores como son la administración de redes y soporte técnico fueron
debidamente identificados, inventariados de activos, clasificados (Hardware con
una presencia del 11%, Software con el 4%, Redes 4%, Área del personal 69% y
Datos con un 4%) y valorados, así como también se detectaron las
vulnerabilidades de los mismos ante las amenazas según el contexto actual de
seguridad de la información, logrando proponer y evaluar los mecanismos de
protección y prevención que ayudarán a reducir los riesgos a unos niveles que la
organización pueda asumir.

Involucramos el área de TI para brindar los servicios seleccionados con los

resultados obtenidos de los inventarios y activos que se llevaron a cabo en el
transcurso del análisis y riesgo que la universidad se encuentra actualmente y no
esperar que ocurra una eventualidad de anomalía de los servicios que esta brinde.
Se propuso la norma de riesgo tecnológico para uso interno, que contiene el
conjunto de políticas de seguridad de la información, basados en los objetivos y
controles de seguridad seleccionados de la ISO/IEC 27002:2013, así como
también de los resultados obtenidos en el análisis y evaluación de riesgos de cada
uno de los activos mediante la aplicación de MAGERIT, la cual será una guía de
mucha utilidad para que el departamento de informática de Universidad de
Ciencias Comerciales.
Al Sector de Informática de la Universidad de Ciencias Comerciales UCC le
recomendamos que al momento de implementar el SGSI utilicen el ciclo PDCA
(Plan-do-check-act) que traducido al español significa planificar, hacer, verificar
y actuar, la cual además de proponer las fases de implementación garantiza la
mejora continua del contexto que este se encuentre, porque el ciclo de sus
actividades es en forma de espiral o círculo.

Al Sector de Informática de la Universidad de Ciencias Comerciales UCC le

recomendamos que deben aplicar la metodología MAGERIT el cual gestionara la
seguridad de la información en el ámbito informático como enfoque de la
Universidad para el desarrollo de la cuarta actividad el cual consiste en el método
de análisis y gestión de riesgo de la situación en que esta se encuentre, consiste
en la estimación del impacto sobre los activos identificados y la estimación del
riesgo potencial sobre las salvaguardas propuestas.
Glosario

ACTIVO: En relación con la seguridad de la información se refiere a cualquier

información o elemento relacionado con el tratamiento de la misma (sistemas, soporte,
edificios, personas) que tenga valor para la organización.

AMENAZA: Causa potencial de un incidente no deseado que puede provocar daños a

un sistema o a la organización.

ANÁLISIS DE RIESGOS: Proceso sistemático para estimar la magnitud de los riesgos

a que está expuesta una Organización.

AUTENTICIDAD: Propiedad o característica consistente en que una entidad es quien

dice ser o bien que garantiza la fuente de la que proceden los datos.
Anexos
Entrevista al Director general en el área de tecnología de la información y
comunicación
[MBA. Jorge Ulises Rivera]
Guía de entrevista aplicada al Director. Ulises Rivera en la Universidad de
Ciencias Comerciales UCC – MANAGUA.

ENTREVISTA

Objetivo: Determinar el contexto de la organización

informática en la universidad de ciencias comerciales en base
a la seguridad de la Información.

Nombre completo: _____________________________ Fecha: ____ / ____ / ____

Preguntas
¿Desde cuándo está operando en el cargo de director general en la UCC -
MANAGUA?
¿El departamento de informática compuesto por sus 3 colaboradores tiene
declarada su misión y visión?
¿En base al equipo colaborador en el área informático de la universidad cuales
son las principales funciones del cargo de cada uno?
¿Según su cargo, usted puede tomar decisiones? ¿En qué aspectos de la
organización?
¿Cuáles son las áreas informática o departamentos, S.A. que funcionan
actualmente?
¿En el organigrama de la UCC dónde se ubican las áreas de informática tanto
como redes, dirección general de informática y soporte?
¿Según sus colaboradores conoce usted los procesos de cada una de las áreas a
las que brinda servicios a la universidad?
¿Cuáles son sus principales clientes externos? Mencione 3.
¿Qué servicios informáticos les brinda a clientes internos y externos en la
Universidad?
¿Existe un sistema de evaluación al desempeño del personal de UCC -
MANAGUA?
Introducción
Hoy en día la UCC es una de las universidades conmocionada nacionalmente por
sus servicios y ofertas académicas que esta oferta a sus estudiantes,
considerando los múltiples factores susceptibles de evaluación en la organización,
con el objetivo de conformar jóvenes profesionales de UCC transfiriendo
conocimientos científicos y tecnológicos en un ámbito académico, humanista y
empresarial con un compromiso el cual es participar activamente en la búsqueda
de condiciones para el desarrollo de nuestro país.

La gestión de los riesgos en las tecnologías de información y comunicación están

presentes con mayor o menos protagonismos en distintos ámbitos laborales,
llevando a cabo las organizaciones a estar a la vanguardia con los adelantos
tecnológicos consientes de las amenazas suponen un peligro para la consecución,
la información que esta contenga se convierte en un recurso o ayuda primordial
que pueda ser aprovechar teniendo en cuenta en como se encuentre para lograr
ser competitivos con los nuevos avances, es por esta razón que debe ser
protegida de diferentes formas, con el uso de las nuevas tecnologías que hoy en
día abarcan en las grandes compañías, teniendo en cuenta que estas se han
vuelto más vulnerable ante ataques informáticos.

SGSI es la abreviatura que se utiliza para referirse a un Sistema de Gestión de la

Seguridad de la Información, tomando en consideración que la información es un
conjunto de datos organizados en poder de una entidad u organización y que
posee un alto valor para la misma, independientemente de la forma en que se
guarde o transmita (escrita, oral, impresa, almacenada electrónicamente,
proyectada, enviada por correo electrónico, fax o transmitida en conversaciones,
etc.).
La seguridad de la información, según ISO 27001, consiste en la preservación de
su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización.

La Universidad de Ciencias Comerciales UCC es una institución académica de

enseñanza superior nicaragüense dedicada a la formación de profesionales en
determinada áreas de trabajos. En la actualidad es de la universidades con un
gran número de ingresos por los distintas ofertas que ofrece a como son grado,
pregrado, postgrado, maestrías y especializaciones.

El activo más valioso de esta Universidad es su cartera de clientes externos sin

duda alguna, es por eso que el ámbito de tecnologías deben de obtener lo más
sobresaliente para sus ensenas y servicios que esta ofrezca para dar un mejor
provecho a la hora de que estos se le den usos a los componentes informáticos en
las distintas áreas tanto los clientes internos como externos que vayan a utilizar
dentro de la universidad, reconoce que carece de un Sistema de Gestión de
Seguridad de la Información (SGSI) confiable para la protección de la Información
sensible de la organización, puesto que diariamente se enfrentan con amenazas
de fuentes diversas que ponen en riesgo la confidencialidad, integridad,
disponibilidad y seguridad de la misma.

Solución

En las instituciones como la universidad de ciencias comerciales UCC es

necesario realizar un análisis cualitativo, trabajar con magnitudes económicas y
que beneficien la situación en la que se encuentre y otorgar ventajas en ciertos
aspectos estableciendo el llamado a la protección con los recursos y esfuerzos
que se dedicaran a mantener en nivel del de riesgo de la universidad.

Como objetivo tenemos el garantizar la confidencialidad, integridad y

disponibilidad de la información en los servicios ofertados, para brindar un servicio
de calidad a los clientes externos e internos de la universidad y sacarle el mayor
provecho posible.

Buscando soluciones y estrategias de los controles de seguridad sean necesarios

aplicar ala universidad, que reduzcan considerablemente los riesgos y amenazas
actuales, que enfrenta la Institución, para garantizar el resguardo de los activos de
información crítica.
Justificación

El presente proyecto consiste en realizar un análisis y gestión de riesgos para los

activos de TI de la Universidad de ciencias comerciales, mediante la metodología
MAGERIT con el apoyo de la herramienta pilar que contribuirá los riesgos que
pueden presentar los activos de TI y además identificar los activos críticos que se
puedan presentar.

La información en formato digital en las universidades cada día juega un papel

muy fundamental a la hora de hacer toma de decisiones, está sujeta a amenazas
constantes de tipo natural o humanos. Es esencial para las organizaciones
protegerlas, así como también los activos y recursos informáticos que soportan los
procesos críticos de la institución, por tal razón es fundamental la adopción de un
Sistema de Gestión de Seguridad de la Información.

Para UCC, la información que se registra en los equipos de cómputo de

administración es muy valiosa debido a que se almacena la información registros
en ámbitos distintos de los estudiantes, por tal razón estos datos se deben
resguardar, proteger y estar disponible cuando sea necesario; esta es la razón que
ha motivado analizar una propuesta de un SGSI basado en la norma ISO/IEC
27001:2013, que determine y garantice que cumplan las premisas de la seguridad
informática con confidencialidad, integridad y disponibilidad.

El propósito fundamental de esta forma de culminación de estudio de auditoria es

que el personal de las áreas informática de la UCC, pueda utilizar los resultados
como una guía para la implementación del SGSI, analizando y gestionando los
riesgos de la información de la institución, de tal forma que se puedan tomar las
decisiones correctas en cuanto a la selección de estrategias y controles de
seguridad para el resguardo y aseguramiento tanto de los equipos como la
información que estas contenga.
Antecedentes

La universidad de ciencias comerciales es una institución con más de 60 años en

trayectoria de ámbitos académicos, con el pasar de los años han ido abordando
cambio de mejoras en los servicios que va ofreciendo hoy en día, puede sufrir
ciertos tipos de riesgos los cuales pueden ser de origen tecnológicos, ataques
intencionados por los sistemas, desastres naturales en las distintas áreas y el
manejo inadecuado de los activos presentes de TI, situación que puede afectar el
correcto funcionamiento de la organización y su reputación como universidad.

Los activos de TI son de gran importancia para la Universidad de ciencias

comerciales para garantizar la seguridad de estos activos en sus tres dimensiones
que ofrece a los clientes como son confiabilidad, integridad y disponibilidad, es
necesario establecer medidas de seguridad y control que ayudara a reducir los
riesgos a un nivel adaptable. Para conseguir este nivel se emplean métodos de
análisis y gestión de riesgos, el cual consiste en cómo medir los riesgos que se
encuentre la universidad y saber cómo afrontarlos.

Posterior a lo descrito se procederá a realizar el diseño de un plan de mitigación

para los riesgos de los activos de TI, alineando argumentalmente a la seguridad
de la información.
Impactar residual

Dado el conjunto de salvaguardas desplegadas y una medida de la madurez de su proceso

de gestión con la institución actual, el sistema informático por mucho años lleva el mismo
mecanismo de los activos presentes sin modificaciones exclusivas que brinden seguridad a
la gestión de los procesos a la hora de actuar, queda en una situación de posible impacto
que se denomina residual.

Como no han cambiado los activos presentes, ni sus dependencias, queda en una situación
que la institución dependerá de los riesgos actuales en que esta se encuentre con base a la
magnitud de la degradación, se repiten los cálculos de impacto con este nuevo nivel de
degradación.

En circunstancias desfavorable que puede ocurrir y que cuando suceda algún inconveniente
traerá consecuencias negativas sobre los activos presentes.

sss

Presente al impacto de las salvaguardas desplegadas y la medida de la madurez

de su proceso de gestión, el sistema queda en una situación de riesgo que se
denomina residual, desde un valor potencial en cada uno de los activos presente.

Se repiten los cálculos de riesgo usando el impacto residual y la probabilidad de

ocurrencia.