Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 1
Indicador
Nombre del Indicador Cantidad de normas de seguridad aprobadas
Objetivo del Indicador Medir la cantidad de normas de seguridad elaboradas por la Oficina de Tecnología de la Información
Fórmula Sumatoria de la cantidad de normas de seguridad propuestas que han sido aprobadas
Unidad de Medida Normas de seguridad aprobadas
Frecuencia Anual
Línea Base Corresponde a la cantidad de normas de seguridad elaboradas por la Oficina de Tecnología de la Información
Meta N.D.
Fuente de datos Oficina de Tecnología de la Información
Responsable Oficina de Tecnología de la Información / Oficina General de Estadística e Informática
Directora de OTI
Revisado por: Maria Quispe Cerna
OGEI / OTI
Fecha:
FICHA DE PROCEDIMIENTO
PROCEDIMIENTO DE GESTIÓN DE SEGURIDAD INFORMÁTICA
Base normativa
● Norma Técnica Peruana “NTP-ISO/IEC 27005:2009 EDI. el cual está diseñado para asistir a la implementación satisfactoria de la seguridad de la información
en base a un enfoque de Gestión del Riesgo.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 2
● Norma Técnica Peruana “NTP-ISO/IEC 31000:2011. proporciona los principios y las directrices genéricas sobre la Gestión de Riesgo.
● Norma Técnica Peruana “NTP-ISO/IEC 27001:2014 EDI. señala en el Anexo A. 17.1 Continuidad de Seguridad de la Información. “Objetivo: La continuidad de
seguridad de la información debe estar embebida en los sistemas de gestión de continuidad del negocio de la organización”.
Siglas y definiciones
Activo (inglés: Asset): cualquier cosa que tenga valor para un individuo, una organización o un gobierno1 .
Activo de Información: conocimiento o datos que tienen valor para el individuo u organización2. En relación con la seguridad de la información, se refiere a
cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios, personas, etc.) que tenga valor para la organización3.
Características de los activos de la información: Un activo de información puede tener las siguientes características, independiente del tipo de activo:
- El activo de información es reconocido como valioso
- No es fácilmente reemplazable sin incurrir en costos, habilidades especiales, tiempo, recursos o combinación de los mismos.
- Forma parte de la identidad de la entidad y sin la cual el MVCS puede estar en algún nivel de riesgo.
Antivirus: programas cuyo objetivo es detectar o eliminar virus informáticos.
Amenaza: potencial violación de la seguridad.
Borrado seguro: método de borrado de archivos basado en software cuya función es sobrescribir los datos con el propósito de destruir completamente todos los
datos electrónicos que residen en una unidad de disco duro u otros medios de almacenamiento, por lo que es imposible la recuperación posterior de los datos.
Características técnicas: es la descripción de los componentes de una herramienta tecnológica como pueden ser modelo, velocidad, capacidad de
almacenamiento, entre otras.
Caso: número consecutivo asignado al requerimiento o incidente.
Central de servicios de TI: sistema por medio del cual se gestiona el portafolio de servicios de TI, asesoría en proyectos de TI, desarrollo de sistemas de
información, adquisiciones tecnológicas, soporte técnico, administración de servicios de TI. (Abreviado CSTI).
Centro de datos: espacio físico ubicado en el 7° piso de la entidad en el cual se encuentran los equipos servidores, equipos de comunicaciones que alojan los
servicios de red como aplicativos, bases de datos, servicio de internet, servicio de directorio activo y seguridad perimetral del MVCS.
Centros de cableado: espacio físico ubicado en diferentes sedes y pisos de la entidad en el cual se encuentran los diferentes equipos de comunicaciones que
permite la comunicación entre las diferentes sedes y pisos del MVCS..
CSIRT: (Computer Security Incident Response Team) equipo de respuesta a incidentes de seguridad cibernética, por su sigla en inglés.
Denegar: responder negativamente a una petición o solicitud.
Enrutador (Router): dispositivo de comunicaciones encargado de enviar paquetes de datos de una red a otra de acuerdo con las reglas implementadas en la red
del MVCS.
Hardening o endurecimiento: es el proceso de asegurar un sistema al reducir sus vulnerabilidades o agujeros de seguridad, para los que se está más propenso
cuantas más funciones desempeña; el proceso de cerrar las vías para los ataques más típicos incluye el cambio de claves por defecto, desinstalar el software y
dar de baja usuarios y accesos innecesarios; también deshabilitar servicios que no serán usados y fortalecer las configuraciones de aquellos que estarán en uso.
Hardware – HW: es la parte física de cualquier dispositivo electrónico o informático, es usual que sea utilizado en una forma más amplia, generalmente para
describir componentes físicos de una tecnología, incluyendo equipos de cómputo, periféricos, redes, cableado y cualquier otro elemento físico involucrado.
Herramientas Ofimáticas: programas que facilitan las labores propias de la oficina. Ejemplo: procesadores de palabras, hojas electrónicas, mensajería y
colaboración, diagramación, entre otros.
Información: es un conjunto de datos organizados y procesados que tienen un significado, relevancia, propósito y contexto. La información sirve como evidencia
de las actuaciones de las entidades. Un documento se considera información y debe ser gestionado como tal.
Inventarios: es la relación ordenada, completa y detallada de toda clase de bienes que integran el patrimonio del MVCS. El inventario permite verificar, clasificar,
analizar, valorar y controlar los bienes, lo cual posibilita efectuar un control razonable de las existencias reales, para evitar errores, pérdidas, deterioro y
desperdicio de elementos.
Infraestructura tecnológica: es la relación ordenada, completa y detallada de toda clase de bienes que integran el patrimonio del MVCS. El inventario permite
verificar, clasificar, analizar, valorar y controlar los bienes, lo cual posibilita efectuar un control razonable de las existencias reales, para evitar errores, pérdidas,
deterioro y desperdicio de elementos.
Licencia: un acuerdo legal en el que una parte otorga a otra ciertos derechos y privilegios. En el campo de la informática, un editor de software generalmente
otorgará un derecho no exclusivo (licencia) a un usuario para la utilización de una copia de su programa informático, y prohibirá la realización de otras copias y la
distribución de dicho programa a otro usuario. Según las herramientas, las licencias tienen diferentes niveles y términos.
Logs: huellas o rastros de los sucesos que se han presentado en un equipo de cómputo o de comunicaciones de red con el fin de dar a proteger los equipos que
conforman la red del MVCS.
MVCS: Ministerio de Vivienda, Construcción y Saneamiento
Obsolescencia tecnológica: se considera obsoleto un equipo cuando en el mercado tecnológico legal, no existen partes o repuestos de soporte por tener
demasiado tiempo de haber sido adquirido o porque el fabricante ha dejado de producir el producto del modelo específico.
OGEI: Oficina General de Estadística e Informática
Plataforma tecnológica: es el conjunto de hardware y software sobre el cual funcionan los diferentes servicios tecnológicos y operativos que presta el MVCS:
equipos de cómputo, equipos de comunicaciones, sistemas de información, equipos de fotocopiado, equipos de digitalización, equipos de telefonía, impresoras,
switches, routers, firewall, escáneres, cableado estructurado, CPU´s, servidores, software informático, equipos de comunicación, internet, red LAN, etc.
OGGRH: Oficina General de Gestión de Recursos Humanos
OTI: Oficina de Tecnología de la Información
Requerimiento técnico: aviso o manifestación de una situación problema a nivel técnico.
Software - SW: se refiere al equipamiento lógico de un computador, está compuesto por todos los aplicativos y licencias que están instalados en cada uno de los
equipos de cómputo del ente departamental.
___________________________________________
1 Tomado de la Norma ISO/IEC 27032:2012 (definición 4.6, traducida al español), disponible en Internet en: https://www.iso.org/obp/ui/#iso:std:isoiec:27032:ed-1:v1:en.
2 Ibídem (definición 4.27, traducida español)
3 Tomado del Portal de ISO 27001 en español, Gestión de Seguridad de la Información. En http://www.iso27000.es/glosario.html#section10a.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 3
Riesgo: posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información.
Riesgos de seguridad de la información: registrados en los riesgos institucionales del MVCS.
Roles: conjunto de responsabilidades y actividades asignadas a una persona o grupo de personas para apoyar la adopción y aplicación del Marco de Referencia
de Arquitectura Empresarial para la gestión de TI.
Segmentación de red: proceso a través del cual se divide la red LAN en segmentos o grupos más pequeños con el fin de conseguir un mejor aprovechamiento del
ancho de banda y evitar congestión de tráfico.
Seguridad perimetral informática (FIREWALL): corresponde a hardware o software o la integración de ambos para la protección de perímetros lógicos y físicos,
detección de tentativas de intrusión y/o disuasión de intrusos en la red del MVCS.
Transferencia de información: proceso a través del cual se entrega información en formato digital que se encuentra en custodia de la Oficina de Tecnología de la
Información a un proceso del MVCS o un tercero interesado de acuerdo con la solicitud presentada.
WSUS: o Windows Server Update Services es una función dentro del catálogo disponible en Windows, permite la distribución de los parches y actualizaciones
publicadas por Microsoft de forma centralizada para todos los PC, portátiles, servidores que tengan sistemas operativos Microsoft, de forma programada. Lo
anterior, permite una gestión correcta del ancho de banda disponible en la red de comunicaciones del MVCS.
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Punto de Control:
Se debe asegurar de definir las funciones de
Asignar roles de Administración del Centro de
acuerdo a perfiles y competencias. Comunicación oficial
1 Datos y Cuartos de Comunicaciones al personal Director/a de la OTI
interna.
de Infraestructura.
Se debe realizar una descripción específica
del alcance de cada uno de los roles.
Autorizar permisos a los dispositivos de control Punto de Control:
Comunicación oficial
de acceso biométrico al Centro de Datos y Verifica que se asignen privilegios según las
interna.
Cuartos de Comunicaciones. funciones.
2 Director/a de la OTI
Acceso permanente al
Registrar el permiso diligenciado en el “Formato Se debe realizar monitoreo periódico a
Centro de Datos y Cuartos
de acceso permanente al Centro de Datos y los control de accesos, determinar pertinencia
de Comunicaciones.
Cuartos de Comunicaciones” (anexo 1). y continuidad.
Comunicar a la Oficina General de
Observación:
Administración y la Oficina General de Gestión
En caso de presentarse una emergencia en
de Recursos Humanos, la autorización de ingreso
horarios no laborales, la Oficina General de Comunicación oficial
3 en horario no laboral en casos de emergencia en Director/a de la OTI
Administración debe tener la información interna.
el Centro de Datos ubicado en el piso 4 y a los
de los especialistas de contacto de la Oficina
Cuartos de Comunicaciones ubicados en los
de Tecnología de la Información.
diferentes pisos, a los funcionarios registrados.
Realizar las actividades de administración,
monitoreo y/o mantenimiento en el Centro de
Datos y/o los Cuartos de Comunicaciones de
acuerdo a las responsabilidades definidas al rol y
de acuerdo con las planificaciones de la
actividad.
Punto de Control:
Personal de
Diligenciar el formato “Bitácora de Acceso a Director/a de la Oficina de Tecnologías de la Bitácora de Acceso a Centro
Infraestructura y el
4 Centro de Datos y los Cuartos de Información debe verificar periódicamente de Datos y/o los Cuartos de
Oficial de Seguridad de la
Comunicaciones” (Anexo 2). el diligenciamiento de la Bitácora de Acceso Comunicaciones.
Información
y los fines de los accesos.
En caso de requerir acceso al Centro de Datos
y/o Cuartos de Comunicaciones a personal no
autorizado, se debe realizar las actividades 5, 6 y
7.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 4
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Autorizar o denegar el ingreso de personal
dependiendo de la pertinencia de las labores y
Autorización Acceso al
los accesos. Punto de Control:
Centro de Datos y/o los
Restringe el acceso a áreas seguras, de
Cuartos de
En caso que el acceso sea en tiempos no almacenamiento, procesamiento y
6 Director/a de la OTI Comunicaciones.
laborales se informa a la Oficina General de transmisión de datos, permitiendo el acceso
Administración la autorización de ingreso de solo al personal autorizado y en los casos
Comunicación Oficial
personal indicando el horario de acceso y tiempo necesarios.
Interna.
de permanencia.
2: Gestión de ingreso y/o salida de Equipos y Elementos del Centro de Datos y/o Cuartos de Comunicaciones
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Solicitar autorización para ingreso y/o salida de
equipos o elementos al Centro de Datos o los Punto de Control:
Cuartos de Comunicaciones, para lo cual Personal de Verifica y registra la identificación del
1
diligencia el formato “Ingreso y Salida de Infraestructura equipo o elemento, características técnicas
Equipos y/o Elementos del Centro de Datos y/o y estado del elemento a ingresar o retirar.
Cuartos de Comunicaciones” (Anexo 4).
Punto de Control:
Verifica que la información del formato esté
completa con los datos de los equipos o
elementos que ingresan o se retiran.
Autorizar o denegar la solicitud de ingreso y/o
Ingreso y salida de equipos
salida de equipos o elementos del Centro de
Restringir el ingreso de equipos y/o y/o elementos del Centro
2 Datos o a los Cuartos de Comunicaciones, para lo Director/a de la OTI
elementos a áreas seguras, de de Datos y/o los Cuartos de
cual, debe tener en cuenta la pertinencia y
almacenamiento, procesamiento y Comunicaciones.
necesidad de la acción, para lo cual firma en la
transmisión de datos, permitiendo el acceso
casilla autoriza la solicitud.
solo a los equipos y/o elementos
autorizados y debidamente verificados y
controlados.
Ingresar y/o retirar equipos o elementos al
Centro de Datos o los Cuartos de
Comunicaciones.
Ingreso y salida de equipos
Personal de y/o elementos del Centro
3 En caso que el ingreso o retiro del equipo o
Infraestructura de Datos y/o los Cuartos de
elemento tenga afectación en el inventario, se
Comunicaciones
informa al/a Director/a de la Oficina de
Tecnología de la Información para que se
informe la novedad de inventarios.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 5
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Observación:
Se debe informar fecha, horario de acceso y
tiempo de permanencia e indicar la
afectación en la disponibilidad de los
servicios informáticos /plataforma
Solicitar autorización para ejecutar actividades
tecnológica a funcionarios y/o ciudadanos,
técnicas soporte y/o mantenimiento (instalación,
indicando el alcance de la afectación y el
configuración y/o desinstalación) de equipos o
tiempo de la misma.
elementos del Centro de Datos o Cuartos de
Personal de
1 Comunicaciones, para lo cual diligencia el
Infraestructura Punto de control:
formato “Registro de cambios en el Centro de
El/a Director/a de la Oficina de Tecnología
Datos y/o en los Cuartos de Comunicaciones”
de la Información y el/a Director/a General
(Anexo 5)
de la OGEI deben evaluar con anterioridad
el impacto de las intervenciones en la
infraestructura tecnológica instalada o
retirada, para activar los planes de
contingencia, respaldo, y comunicación en
caso de ser necesario.
Autorizar la ejecución de actividades técnicas,
para lo cual firma en la casilla autorizada de la
Registro de cambios en el
solicitud. Director/a de la Oficina
Centro de Datos y/o en los
2 de Tecnología de la
Cuartos de
En caso que la actividad tenga afectación de Información
Comunicaciones.
servicios informáticos en el MVCS, ejecuta la
actividad 3.
Punto de control:
El/a Director/a de la Oficina de Tecnología
de la Información y el/a Director/a General
Remitir a la Secretaría General, información para
Director/a de la Oficina de la OGEI deben evaluar con anterioridad Correo electrónico
su comunicación a funcionarios y/o ciudadanía
3 de Tecnología de la el impacto de las intervenciones en la institucional y/o
acerca de la actividad a realizar y los horarios de
Información infraestructura tecnológica instalada, para memorándum múltiple.
indisponibilidad de servicios informáticos del
activar los planes de contingencia, respaldo,
MVCS.
y comunicación en caso de ser necesario.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 6
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Observación:
Actualizar el Informe mensual de administración Informe mensual de
Remite el informe el/a Director/ de la OTI
del Centro de Datos, Cuartos de Comunicaciones administración del Centro
con el resultado de la actividad de
y gestión de aseguramiento de los servicios de Personal de de Datos, Cuartos de
7 instalación, configuración, soporte y/o
red, haciendo énfasis en los cambios realizados Infraestructura Comunicaciones y gestión
mantenimiento realizados, así como los
en el Centro de Datos y Cuartos de de aseguramiento de los
riesgos identificados y la implementación de
Comunicaciones. servicios de red.
controles para su remediación.
Punto de Control:
Analizar los informes y comunica las acciones a
Se debe evaluar las acciones para la
realizar a la Dirección General de OGEI y al
mitigación de los riesgos identificados en la
8 Oficial de Seguridad de la Información para la Director/a de la OTI
plataforma tecnológica, así como su
toma de decisiones.
efectividad de los controles a implementar.
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Punto de Control:
Segregación de funciones de acuerdo a
perfiles y competencias.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 7
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Revisar, administrar y monitorear, la aplicación
centralizada de actualizaciones y parches Observación:
publicados por Microsoft o plataforma Las actividades de revisar, administrar,
implementada en las PC´s y servidores del monitorear se realizan diariamente.
MVCS.
Personal de
Punto de Control:
Infraestructura con la
Previo al despliegue de la actualización o parche, Validar la correcta aplicación de
5 administración de
esta debe ser probada para no afectar el normal actualizaciones y parches de Microsoft o
Windows Server Update
funcionamiento de los equipos y servidores. plataforma implementada en los equipos de
Services - WSUS
computación con productos Microsoft .
En caso de presentar alerta de riesgo, debe
realizar actividades 6, 7, 8. Reporte del estatus de los equipos.
Personal de
En caso de presentar alerta de riesgo, comunica Infraestructura con la
el incidente e impacto en los equipos y/o administración de:
Informe de alerta de
servicios en el MVCS inmediatamente al ● Seguridad Perimetral Observación:
seguridad:
6 Director(a) de la Oficina de Tecnología de la ● Antivirus Elabora documentación técnica de la alerta
Información y al Oficial de Seguridad de la ● Windows Server presentada.
Correo Electrónico.
Información, vía correo electrónico o Update Services -
telefónicamente en caso de ser necesario. WSUS
Director/a General de la
OGEI
Oficial de Seguridad de la
Información
Personal de
Infraestructura con la
administración de:
Informe de evento de
● Seguridad Perimetral
Realizar la ejecución de acciones de mitigación seguridad (causa,
8 ● Antivirus
de riesgos. consecuencia, acciones de
● Windows Server
mitigación).
Update Services -
WSUS
Informe mensual de
seguridad perimetral.
Informe mensual de
Elaborar el informe sobre la administración de
Personal de plataforma antivirus.
9 los equipos de seguridad perimetral, antivirus,
Infraestructura
WSUS según corresponda.
Informe mensual de
plataforma WSUS.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 8
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Revisar los registros (logs) de auditoría y eventos
de los elementos de red (switches, firewall,
controladores inalámbricos, otros).
1 Administrador de Red
En caso de encontrar alertas que comprometan
la red o su seguridad, se inicia con las
actividades del “Procedimiento Gestión de
Incidentes de Seguridad”.
Observación:
Realizar actividades de administración y gestión
Se debe llevar relación de los usuarios
de privilegios de usuarios con acceso al
2 Administrador de Red habilitados en cada dispositivo como
dispositivo con el fin de verificar que se
administradores y superusuarios de los
encuentren los usuarios correctos.
sistemas de información.
Diagramación y
Revisar necesidades y/o solicitudes de cambios
documentación de la
3 de organización, segmentación, o nuevos Administrador de Red
segmentación de la red del
accesos entre redes (vlan, puertos y wifi).
MVCS.
Punto de Control:
Registro de VPN en el
4 Revisar, monitorear y gestionar las conexiones Administrador de Red Las VPN activas deben estar aprobadas por
Firewall
VPN configuradas en el firewall. la Oficina de Tecnología de la Información.
Directorio activo
Revisar y actualizar el directorio activo del MVCS actualizado Informe de
5 Administrador de Red
que permitan asegurar el acceso a los servicios administración y gestión de
de red a los funcionarios activos. conexiones de red.
Revisar las versiones del firmware de los
equipos: switches, firewall y controladores de Información de equipos
wifi, con el fin de mantener los equipos informáticos.
actualizados con las versiones estables y
recientes del fabricante. Informe de administración
6 Administrador de Red
del Centro de Datos,
Actualizar mensualmente el Informe de Cuartos de Comunicaciones
administración del Centro de Datos, Cuartos de y gestión de aseguramiento
Comunicaciones y gestión de aseguramiento de de los servicios de red.
los servicios de red.
Analizar informe de administración del Centro de
Datos, Cuartos de Comunicaciones y gestión de
aseguramiento y comunica los aspectos
7 Director/a de la OTI
relevantes al/a Director/a General de OGEI y al
Oficial de Seguridad de la Información para la
toma de decisiones.
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Observaciones:
Para solicitudes de transferencia de
información con entidades externas debe
ser solicitado por el/la Titular del Órgano,
Reportar la solicitud de transferencia o
Unidad Orgánica o Programa de la
transmisión de información, con base en las Personal del MVCS
dependencia propietario de la información. Registro en el Sistema de
1 actividades del “Procedimiento de Atención de propietario del activo de
Mesa de Ayuda
Servicio de Mesa de Ayuda y Soporte a información.
Observaciones:
Usuarios”.
Tener en cuenta los acuerdos de
confidencialidad establecidos por el MVCS.
El personal del MVCS, que trate temas o
información clasificada como información
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 9
Si es transferencia a terceros:
- Establecer un acuerdo de transferencia de
información con terceros, el cual deberá
contener cláusulas donde se establezcan las
herramientas a utilizar para asegurar la Punto de Control:
transferencia de información, acuerdo de Director/a de la OTI, revisa y aprueba la
confidencialidad de la información, solicitud antes de ser realizada.
compromiso y reserva, el cumplimiento de la
normatividad vigente nacional e internacional Observaciones:
para el tratamiento de la información, en caso La transferencia de información digital será
que se requiera. liderada por la Oficina de Tecnología de la
Información, así como el control del uso de
- Medio de envío y autenticación detallada para sistemas de transferencia en coordinación
la transferencia de información. con la dependencia y/o funcionario que
Sistema de Mesa de Ayuda
manifieste la necesidad.
Especialista o Técnico de por número de ticket.
- Tiempo aproximado de utilización de la
la OTI responsable de
3 herramienta para el traspaso de la La Oficina de Tecnología de la Información
atención de la solicitud Acuerdo de transferencia y
información. se reservará el derecho de suspender de
(Asignado) confidencialidad de
manera unilateral los servicios que hacen
información con terceros.
- Especificaciones técnicas especiales como parte del objeto del acuerdo, así como la
llaves digitales o técnicas de encriptación de terminación unilateral del mismo, si llegara
acuerdo con la entidad que se esté trabajando a detectar algún incidente de seguridad que
y la clasificación de la información. ponga en riesgo la Información del MVCS.
Pasa a la actividad No 5.
Punto de control:
Transferencia de información a terceros
Verifica si la transferencia de información
Especialista o Técnico de
hace parte del desarrollo de un contrato,
Si la transferencia de información obedece a la la OTI responsable de Sistema de Mesa de Ayuda
4 para lo cual deberá verificar que se tenga
ejecución de una función del MVCS, se procede atención de la solicitud por número de ticket.
total claridad del acuerdo de
a coordinar con la entidad interesada el medio (Asignado)
confidencialidad de la información que
de transferencia.
firmó.
Transferencia de información interna
Observación:
Especialista o Técnico de
La Oficina de Tecnología de la Información,
Realizar las actividades de transferencia de la OTI responsable de Registro en el Sistema de
5 implementará las herramientas y controles
información interna. atención de la solicitud Mesa de Ayuda
para asegurar la transferencia de
(Asignado)
información al interior del MVCS.
De lo contrario, realiza las actividades del
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 10
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Validar el medio de transferencia.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 11
7: ANEXOS
Firma: Firma:
Nombre: Nombre:
Nombre completo:
DNI:
Cargo:
1
Rol:
Teléfono Móvil:
Anexo:
Nombre completo:
DNI:
Cargo:
2
Rol:
Teléfono Móvil:
Anexo:
Nombre completo:
DNI:
Cargo:
3
Rol:
Teléfono Móvil:
Anexo:
Nombre completo:
DNI:
Cargo:
4
Rol:
Teléfono Móvil:
Anexo:
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 12
Hora
Nombre y Empresa/O Labor a Hora de
Fecha DNI/RUC de Autoriza Firma
Apellidos ficina realizar Ingreso
Salida
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 13
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 14
Nombre:
Horas
Acceso a:
Teléfono de CD: Centro de Datos
Nombres y Apellidos DNI/RUC Empresa/Oficina
contacto CC: Cuarto de
Comunicaciones (piso)
¿La actividad requiere de inactividad/ suspensión /apagado de servicio informático o dispositivos de plataforma tecnológica? SI: ▭ No: ▭
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 15
Fecha de movimiento
Dia Mes Año
Observaciones:
Autorizado
Denegado
__________________________________________________________
Firma Director/a de la Oficina de Tecnología de la Información
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 16
la actividad.
Ingreso / retiro de equipos y/o elementos Estos campos de información aplican para la solicitud de autorización para el ingreso o retiro de
equipos y/o elementos.
Fecha del movimiento Fecha de ingreso o retiro de equipos y/o elementos del Centro de Datos y/o Cuartos de
Comunicaciones.
Equipo y/o elemento Nombre de equipo y/o elemento que ingresa o retira del Centro de Datos y/o Cuartos de
Comunicaciones.
Placa / serial Placa /serial de equipo y/o elemento que ingresa o retira del Centro de Datos y/o Cuartos de
Comunicaciones.
Ubicación inicial Sitio de donde proviene el equipo y/o elemento que ingresa o retira del Centro de Datos y/o
Cuartos de Comunicaciones.
Ubicación final Sitio de donde queda ubicado el equipo y/o elemento que ingresa o retira del Centro de Datos
y/o Cuartos de Comunicaciones.
Ingreso/salida Indicar si es un ingreso o salida de equipo y/o elemento.
Observaciones Indicar observaciones de la solicitud.
Autorizado Indicar con una "X" si es autorizada la solicitud.
Denegado Indicar con una "X" si es denegada la solicitud.
Firma Director(a) de la Oficina de Tecnología de Director(a) de la Oficina de Tecnología de la información que autoriza la solicitud.
la Información
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 17
ANEXO 4. Formato de ingreso y salida de equipos y/o elementos del Centro de Datos y/o los Cuartos de
Comunicaciones
Centro de Datos
Cuarto de Comunicaciones
Edificio: Piso:
⬜⬜ Ingreso
Ejecutante Empresa:
Ubicación Características
Área Rack* Posición* Nombre Marca Modelo Serie Cod. Procesad Discos* Memor OU´s Ingres
(DC/CC) Equipo Patrimonial or* ia* Reque a/
ridas Salida
Observaciones:
Los equipos ingresados deben estar debidamente etiquetados para facilitar su identificación | Si los equipos no son de rack, estos deben venir con su respectiva bandeja | Los campos marcados
con (*) si aplica. (**) Campos exclusivos para uso del personal de Infraestructura en el Centro de Datos y/o Cuartos de Comunicaciones. Este formato no debe contener remarcados, tachones o
enmendaduras.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 18
Ubicación Lugar donde ingresará o desde donde saldrá el equipo o elemento, este puede ser DC (Centro de
datos) o CC (Cuarto de Comunicaciones).
Rack Número de gabinete donde residirá el equipo que ingresa o desde donde saldrá el equipo en
retiro.
Posición Posición espacial dentro del Rack, esta medida se expresa en OU.
Nombre de Equipo Marca y modelo del equipo que ingresa o se retira del Centro de Datos o Cuarto de
Comunicaciones
Marca Marca del equipo que ingresa o se retira del Centro de Datos o Cuarto de Comunicaciones
Modelo Modelo del equipo que ingresa o se retira del Centro de Datos o Cuarto de Comunicaciones
Serial Información con característica única con la que se referencian los equipos.
Cod. Patrimonial Información del código patrimonial institucional con característica única con la que se referencian
los equipos.
Procesador (Si aplica) Indicar la cantidad de procesadores de los equipos que ingresan o salen del Centro de Datos o
Cuarto de Comunicaciones.
Discos (Si aplica) Indicar la cantidad de discos de los equipos que ingresan o salen del Centro de Datos o Cuarto de
Comunicaciones.
Memoria (Si aplica) Indicar la cantidad de memoria de los equipos que ingresan o salen del Centro de Datos o Cuarto
de Comunicaciones.
OU’s Requerida Indicar el número de unidades de Rack que se requieren para el ingreso de los equipos o los que
quedan disponibles con el retiro.
Nombre y firma de quien ingresa o retira y de Funcionarios, contratistas o terceros que ingresan o retiran el equipo o componente del Centro
quien autoriza de Datos o Cuarto de Comunicaciones y el especialista que autoriza esta acción.
Nombre y firma del personal de Infraestructura Personal de Infraestructura responsable de la actividad.
responsables
Nombre y firma de Director/a - Subdirector/a de Director/a de OTI que autoriza.
Recursos Tecnológicos que autoriza
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 19
Espacio reservado para ser diligenciado por Mesa de Ayuda Dia Mes Año
Tiempo estimado
Fecha estimada del cambio Hora estimada del cambio para realizar el
cambio
Horas
Urgente ( )
Alto ( )control de
Alcance del cambio:
Medio ( )
Bajo ( )
Análisis de impacto
¿Qué áreas de servicio o elemento de TI afecta el cambio? (Hardware, software, aplicaciones, servicios de TI)
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 20
Plan de ejecución
Plan de pruebas
Antes de realizarlo:
Después de realizarlo:
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 21
Los siguientes ítems deben ser diligenciados por personal Infraestructura responsable
Aprobaciones respectivas
_____________________________ ___________________
Infraestructura Director/a de OTI
Fecha aprobación:
Observaciones:
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 22
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500