Documentos de Académico
Documentos de Profesional
Documentos de Cultura
S
A
IC
S
S FÍ
A S
IC A
DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD
T I
Á C
PARA PROTEGER EL ACCESO A LA INFORMACION
M N
E IE
T C
A E
AUTORES:
E
T
ASESOR:
B
TRUJILLO – PERÚ
2015
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
DEDICATORIA
A Dios, por darme la oportunidad de vivir y por estar conmigo en cada paso que doy, por fortalecer mi
corazón e iluminar mi mente y por haber puesto en mi camino a aquellas personas que han sido mi
soporte y compañía durante todo el periodo de estudio.
A mis padres por darme la vida, por ser el pilar fundamental en todo lo que soy, en toda mi
educación, tanto académica, como de la vida, por su incondicional apoyo, por haberme forjado
como la persona que soy en la actualidad; muchos de mis logros se los debo a ustedes en los
S
que se incluye este.
A
IC
A Ali, muchas gracias por estar conmigo en todo este tiempo en donde he vivido momentos
felices y tristes, gracias por alentarme y apoyarme para continuar cuando parecía que me iba a
S
rendir, siempre te llevare en mi corazón.
S FÍ
A S
Moro Abanto Manuel.
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
DEDICATORIA
Dedico esta tesis a Dios todo poderoso, por darme la dicha de tener a mis padres con
vida y con salud. A mi padre Alberto Vera. Quien me apoyo incondicionalmente en toda
mi carrera profesional. Mi madre Adelina Zavaleta. Quien fue mi apoyo moral. Y a todos
mis hermanos quienes me dieron fuerza y ánimos para seguir adelante en mi formación
profesional, Gracias a ellos he logrado este sueño de ser profesional.
S
A
Vera Zavaleta Juan Alberto.
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
AGRADECIMIENTOS
S
A
profesionales.
IC
A nuestro director de escuela Edwin Mendoza Torres por brindarnos las facilidades
S
necesarias en el momento adecuado.
S FÍ
A S
A nuestro asesor Arturo Díaz Pulido , por los conocimientos impartidos, la
IC A
colaboración en poner a nuestra disposición los equipos necesarios para el
T I
desarrollo, junto a su empeño y paciencia entregada para la culminación de esta
Á C
investigación.
M N
E IE
Son muchas las personas que han formado parte de nuestra vida profesional a las que
T C
momentos más difíciles de nuestra vida. Algunas están presentes y otras en los
M D
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
RESUMEN
Dada la evolución de las tecnologías de la información y su relación directa con los
objetivos de las organizaciones, el universo de amenazas y vulnerabilidades
aumenta, por lo tanto es necesario proteger uno de los activos más importantes de la
organización, la información, garantizando siempre la disponibilidad, la
confidencialidad e integridad de la misma.
Frente a esta realidad, se observa que el no contar con un programa de seguridad
de información que brinde las garantías necesarias para la información en cualquier
organización, en medio de un mercado tan competitivo como el actual, representa un
S
desventaja considerable frente a empresas del mismo rubro que sí trabajan el tema
A
IC
dentro de su cultura organizacional. Esta desventaja podría traer pérdidas muy
graves, tales como la pérdida de un número importante de clientes o de acuerdos
S
laborales con otras empresas, lo cual afectaría principalmente la parte financiera de
S FÍ
la organización, y finalmente podría, si las pérdidas llegan a ser críticas, llevar a la
quiebra al negocio.
A S
IC A
En el caso de instituciones educativas, se puede observar que éstas aún no toman a
T I
la seguridad de información como prioridad. Así como también se observa que no
Á C
existe una cultura de seguridad transversal en dichas entidades. Si bien es cierto que
M N
aún no existe una regulación del Ministerio de Educación, no se tendría que esperar
E IE
controles para mitigar o reducir los riesgos a los que la información de estas
entidades está expuesta.
A E
M D
riesgos desarrollada y diseñada por los autores de este trabajo, también se usaron
C
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
ABSTRAC
Given the evolution of information technology and its direct relation to the objectives of the
organizations, the universe of threats and vulnerabilities increases, therefore it is necessary to
protect one of the most important assets of the organization, information, ensuring always
availability, confidentiality and integrity of the same.
Faced with this reality, we see that not having an information security program to provide the
guarantees necessary for the information in any organization, amid a highly competitive market
S
today, represents a considerable disadvantage against companies in the same sector who do
A
work the issue within its organizational culture. This disadvantage could bring very serious, such
IC
as the loss of a significant number of customers or working arrangements with other companies
losses, affecting mainly the financial side of the organization, and could eventually if losses
S
S FÍ
become critical, lead business bankrupt.
A S
For educational institutions, it can be seen that they do not take safety as priority information.
IC A
As also it is seen that there is a culture of safety cross those entities. While there is still no
T I
regulation of the Ministry of Education, it will not have to wait for the issue to be regulated to just
Á C
take action in establishing controls to mitigate or reduce the risks to which the information from
M N
The purpose of this work focused on the design of a management system of information
security (ISMS) under a methodology of analysis and risk assessment developed and designed
A E
by the authors of this paper, also they used as reference standards ISO 27001: 2005 and ISO
M D
17799: 2005
Y A
C
Systemic and pragmatic, not dogmatic approach is promoted, in favor of an effective and
E
sustainable approach, giving priority criteria convenience cost-effective. The need for guidance
T
In this thesis, he designed and developed the model to implement a management system for
information security for any type of information, consisting of measures to deter, prevent, detect
IB
and correct security violations that occur during the transmission of information.
B
In this context, this project provides an alternative design of a System Information Security
Management (ISMS) to an educational institution of higher level, taking the reality of a local
educational institution University Private Trujillo Peru (UPTP). This thesis focuses on protecting
the information of the main processes of this educational institution following existing
international standards.
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
ÍNDICE DE CONTENIDO
I. INTRODUCCIÓN ....................................................................................................................... 1
S
1.5. Estado del Arte .............................................................................................................. 4
A
1.6. Objetivos ........................................................................................................................ 6
IC
1.6.1. General .................................................................................................................. 6
S
1.6.2. Específicos ............................................................................................................ 6
S FÍ
1.7. Definición de variables .................................................................................................. 6
A S
1.7.1 Variable Independiente ................................................................................................ 6
IC A
T I
1.7.2. Variable Dependiente ................................................................................................. 6
Á C
M N
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
2.2.1. Modelo del Sistema de Gestión de Seguridad de la Información PDCA (Plan, Do,
Check, Act) ......................................................................................................................... 24
S
2.2.1.3. Do: Implementar y utilizar el SGSI .................................................................... 44
A
2.2.1.4. Check: Monitorizar y revisar el SGSI ................................................................ 44
IC
2.2.1.5. ACT (Actuar): .................................................................................................... 45
S
S FÍ
III. METODOLOGÍA ..................................................................................................................... 46
A S
IC A
3.2. Tipo de Investigación ....................................................................................................... 47
T I
Á C
3.3. Población – Muestra ........................................................................................................ 47
M N
3.5. Indicadores...................................................................................................................... 50
M D
4.2.8. Fase Ocho: Mapeo de los controles con COBIT 5 ................................................. 101
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
7.2. Fuentes Electrónicas ..................................................................................................... 122
A
IC
7.3. Tesis ............................................................................................................................... 123
S
VIII: ANEXOS ............................................................................................................................ 124
S FÍ
Anexo 01 ................................................................................................................................... 125
A S
Anexo 02 ................................................................................................................................... 130
IC A
Anexo 03 ................................................................................................................................... 140
T I
Á C
Anexo 04 ................................................................................................................................... 144
M N
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
ÍNDICE DE FIGURAS
S
Ilustración 8: Modelo de Desarrollo del SGSI ............................................................................ 24
A
Ilustración 9: Los 5 principios del marco COBIT 5 ...................................................................... 27
IC
Ilustración 10: El objetivo de Gobierno: Creación de Valor. ...................................................... 28
S
Ilustración 11: Visión General de la Cascada de Metas de Cobit5. ........................................... 29
S FÍ
Ilustración 12: Metas corporativas del COBIT 5. ........................................................................ 30
Ilustración 13: Gobierno y Gestión en cobit5. ............................................................................ 32
A S
Ilustración 14: Roles, Actividades y Relaciones Clave. ............................................................. 33
IC A
T I
Ilustración 15: Marco de Referencia Único Integrador Cobit5. .................................................. 35
Á C
Ilustración 16: Catalizadores Corporativos COBIT 5. ................................................................ 36
M N
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
INDICE DE TABLAS
S
Tabla 8: Descripción de los niveles de la Probabilidad de Afectación ....................................................... 80
A
Tabla 9: Descripción de los niveles de Impacto en el Negocio .................................................................. 80
IC
Tabla 10: Matriz de riesgos ........................................................................................................................ 88
S
Tabla 11: Plan de tratamiento de riesgos .................................................................................................... 89
S FÍ
Tabla 12: Políticas de seguridad ................................................................................................................. 93
Tabla 13: Controles para el tratamiento de riesgos................................................................................... 101
A S
Tabla 14: Objetivos organizacionales de la UPTP según COBIT 5 ......................................................... 102
IC A
Tabla 15: Objetivos de TI de la entidad educativa según los objetivos organizacionales ........................ 104
T I
Á C
Tabla 16: Procesos habilitadores de COBIT 5 según los objetivos de TI de la entidad educativa ........... 105
M N
Tabla 17: Procesos habilitadores de COBIT 5 para la entidad educativa ................................................. 109
E IE
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
I. INTRODUCCIÓN
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
esta información para toma de decisiones, realización de planes, reportes, inventarios,
A
entre otros.
IC
S
El acceso no autorizado a la información se ha vuelto más fácil debido a los tantos
S FÍ
métodos existentes y nuevos para extraer información, esto ha permitido que sea más
difícil salvaguardar la información y sus métodos de transmisión; ya sean estos
A S
IC A
comunicados verbales, archivos, documentos, base de datos, entre otros.
T I
Á C
Actualmente la mayoría de organizaciones públicas y privadas en el Perú no cuentan
M N
comunicaciones, etc.)
E
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
“El diseño de un sistema de gestión de seguridad de la información ayudará a los
IC
responsables de la información a mejorar la seguridad de las tecnologías de
información y comunicación.”
S
S FÍ
1.4. Justificación
A S
IC A
Debido a los riesgos a los que están expuestos los activos de información, el
T I
impacto que la interrupción de estos pueda causar, es preponderante la definición
Á C
de una metodología y el uso de herramientas que nos ayuden a reducir y mitigar
M N
estos riesgos.
E IE
Institucional
C
E
T
empresa actualizada y con mejor acceso a futuras mejoras. Es por ello que la
presente investigación se justifica institucionalmente.
IB
B
Tecnológica
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Económica
Social
S
A
El Diseño de Gestión de Seguridad de la Información permitirá a las
IC
organizaciones tener una mejor apreciación y entendimiento de los riesgos y
S
limitaciones de TI a todos los niveles dentro de la empresa con el fin de obtener
S FÍ
una efectiva dirección y controles, de manera tal maximizar sus beneficios,
capitalizar sus oportunidades y ganar ventaja competitiva.
A S
IC A
1.5. Estado del Arte
T I
Á C
M N
Casos en Europa
E IE
Tema:
Proyecto CAMERSEC - Implantación de Sistemas de Gestión de
T C
Autor:
M D
Lugar de investigación:
C
Año de investigación:
T
26 de octubre de 2006
O
Resumen:
LI
sistema. La iniciativa se está tramitando para que cuente con el apoyo a modo de
incentivos por parte de la Agencia IDEA (Consejería de Innovación, Ciencia y Empresa)
de cara a la financiación del mismo, así como la obtención de precios en condiciones
ventajosas para la consultoría y certificación.
Análisis:
Este proyecto es altamente recomendado para empresas cuyos activos de información
tengan un alto valor para la actividad organizacional, la implantación de un sistema de
esta naturaleza ayuda a la gestión de la seguridad de sus activos de información ya
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Pablo Ignacio Prá.
A
Lugar de investigación:
IC
Córdoba – Argentina, EMPRESA ARGENTINA nacional.
S
Año de investigación:
S FÍ
Universidad Católica de Córdoba – 2002
Resumen:
A S
Esta es una empresa concesionaria automotriz que a través del proyecto se quiere
IC A
desarrollar documentos y directrices que orienten el uso adecuado de las tecnologías
T I
Á C
de información para obtener el mayor provecho de las ventajas que brindan. De esta
M N
adoptar las empresas para salvaguardar sus sistemas y la información que estos
A E
contienen.
M D
Análisis:
Y A
Casos en Perú
LI
Tema:
IB
Autora:
Norma Edith Córdova Rodríguez
Lugar de investigación:
Lima – Perú, BANCO PERUANO de capital extranjero.
Año de investigación:
Universidad Nacional Mayor de San Marcos - 2003.
Resumen:
Se puede observar que gracias a la liberación y la globalización de los servicios
financieros, junto con la creciente sofisticación de la tecnología financiera, están
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
haciendo cada vez más diversas y complejas las actividad de los bancos en términos
de seguridad de información para ello este proyecto busca definir un plan de Seguridad
para una entidad financiera, empezando por definir la estructura organizacional (roles y
funciones), después pasa a definir las políticas para finalmente concluir con un plan de
implementación o adecuación a las políticas anteriormente definidas.
Análisis:
Este tema de investigación nos permite tener un conocimiento más amplio de la
S
seguridad, que se regirá bajo normas para el adecuado uso de la información dentro y
A
fuera de la organización siendo está muy importante dentro de la misma.
IC
1.6. Objetivos
S
1.6.1. General
S FÍ
Lograr un diseño de un sistema de gestión de seguridad para proteger el
A S
acceso a la información (SGSI).
IC A
1.6.2. Específicos T I
Á C
Diseñar un sistema de gestión de seguridad de la información que sea
M N
tecnología de la UPTP.
T C
niveles aceptables.
C
E
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
II MARCO REFERENCIAL
M D
Y A
C
E
T
O
LI
IB
B
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
debemos saber que puede ser confidencial. Puede ser divulgada, mal utilizada,
A
robada, borrada, saboteada, etc. La información es poder, y según las posibilidades
IC
estratégicas que ofrece tener a acceso a cierta información, ésta se clasifica como:
S
Crítica: Es indispensable para la operación de la empresa.
S FÍ
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe ser conocida por las personas autorizadas.
A S
Los términos de seguridad de la información, seguridad informática y garantía de la
IC A
información son usados frecuentemente como sinónimos porque todos ellos
T I
Á C
persiguen una misma finalidad al proteger la confidencialidad, integridad y
M N
disponibilidad de la información.
E IE
“Un activo es algo que tiene valor o utilidad para la organización, sus operaciones
A E
comerciales y su continuidad. Por esta razón, los activos necesitan tener protección
M D
para asegurar una correcta operación del negocio y una continuidad en las
Y A
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
información: [14]
IC
Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos; está protegida de personas no autorizadas.
S
La pérdida de la confidencialidad de la información puede adoptar muchas
S FÍ
formas. Cuando alguien mira por encima de su hombro, mientras usted tiene
A S
información confidencial en la pantalla, cuando se publica información privada,
IC A
cuando un laptop con información sensible sobre una empresa es robado,
T I
cuando se divulga información confidencial a través del teléfono, etc. Todos
Á C
estos casos pueden constituir una violación de la confidencialidad. [13]
M N
(por accidente o con mala intención) modifica o borra los datos importantes que
M D
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
10
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
Ilustración 2: Documentación del Sistema de Seguridad [14]
Documentos de Nivel 1
A S
IC A
Manual de seguridad: Documentación que inspira y dirige todo el sistema, el
T I
que expone y determina las intenciones, alcance, objetivos
Á C
responsabilidades, políticas y directrices principales, etc., del SGSI.
M N
Documentos de Nivel 2
E IE
de seguridad de la información.
M D
Documentos de Nivel 3
Instrucciones, checklists y formularios: Documentación que describen cómo
Y A
seguridad de la información.
T
Documentos de Nivel 4
O
los otros tres niveles como output que demuestra que se ha cumplido lo
indicado en los mismos.
B
De manera específica, ISO 27001 indica que un SGSI debe estar formado
por los siguientes documentos (en cualquier formato o tipo de medio):
11
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
funcionamiento del SGSI.
A
Enfoque de evaluación de riesgos: Descripción de la
IC
metodología a emplear (cómo se realizará la evaluación de las
S
amenazas, vulnerabilidades, probabilidades de ocurrencia e
S FÍ
impactos en relación a los activos de información contenidos dentro
del alcance seleccionado), desarrollo de criterios de aceptación de
A S
riesgo y fijación de niveles de riesgo aceptables.
IC A
Informe de evaluación de riesgos: Estudio resultante de
T I
Á C
aplicar la metodología de evaluación anteriormente mencionada a
M N
12
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
Ilustración 3: Aspectos que cubre el SGSI [05]
Niveles de seguridad:
IC A
T I
Á C
Lógica: Confidencialidad, integridad y disponibilidad del software y datos de un
M N
SGI.
E IE
13
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Resultados de auditorías y revisiones del SGSI.
A
Observaciones de todas las partes interesadas.
IC
Técnicas, productos o procedimientos que pudieran ser útiles para
mejorar el rendimiento y eficacia del SGSI.
S
S FÍ
Información sobre el estado de acciones preventivas y correctivas.
Vulnerabilidades o amenazas que no fueran tratadas
A S
adecuadamente en evaluaciones de riesgos anteriores.
IC A
Resultados de las mediciones de eficacia.
T I
Á C
Estado de las acciones iniciadas a raíz de revisiones anteriores de
M N
la dirección.
E IE
de riesgos.
T
Necesidades de recursos.
Mejora de la forma de medir la efectividad de los controles.
14
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
esencia el análisis del riesgo busca estimar la magnitud del riesgo que afecta a los
activos de información. A continuación mostramos la secuencia de pasos
metodológicos que sigue el “análisis del riesgo”. [06]
S
N
A
IC
S
IDENTIFICACIÓN ESTIMACIÓN PRIORIZACIÓ
S FÍ
DE DE LA
VULNERABILIDA
N DE LAS
EXPOSICIÓN AL AMENAZAS
DES Y
RIESGO DE LOS POR SU
POSIBILIDAD DE
A S
SER EXPLOTADAS ACTIVOS DE
EXPOSICIÓN
INFORMACIÓN
IC A
POR LAS
AL RIESGO
AMENAZAS
T I
Á C
M N
Una vez concluido el “análisis del riesgo” es deber realizar la “evaluación del riesgo”.
T C
La empresa “debe comparar los niveles calculados de riesgo con una escala de
A E
riesgo establecida especialmente para dicho efecto.” (BS 7799-3:2006). Los criterios
M D
15
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
La posibilidad de su ocurrencia.
Al margen de considerar el impacto financiero del riesgo en la empresa, la firma
debe considerar el costo de actuar sobre alguna de las opciones del
tratamiento del riesgo. La organización debe asegurarse que existe un buen
balance entre poder alcanzar seguridad y los beneficios de protección, sin
perjudicar la rentabilidad ni la competitividad de la empresa.
S
A.- Opciones para el Tratamiento del Riesgo
A
Para el tratamiento del riesgo existen cuatro estrategias, que son las más difundidas
IC
a nivel internacional. A continuación se hará una breve descripción de cada una de
ella: [6]
S
S FÍ
A.1. Reducción del Riesgo
Para los riegos donde la opción de reducirlos ha sido escogida, se deben
A S
implementar los apropiados controles para disminuirlos a los niveles de
IC A
aceptación previamente indefinidos por la empresa. Los controles deben
T I
Á C
obtenerse del anexo “A” del ISO 270001:2005. Al identificar el nivel de los
M N
amenazas.
Y A
Cualquiera de estas maneras que la empresa escoja para controlar los riesgos,
T
16
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
transferir el riesgo a una aseguradora.
IC
Se debe estar pendiente al escoger esta opción de tratamiento de riesgo, que
con las empresas aseguradoras, siempre existe un elemento de riesgo residual.
S
Siempre existen condiciones con las aseguradoras de exclusiones, las cuales se
S FÍ
aplicaran dependiendo del tipo de ocurrencia, bajo la cual no se provee una
A S
indemnización. La transferencia, del riesgo por lo tanto, debe ser muy bien
IC A
analizada para así poder identificar con precisión, cuando el riesgo actual está
T I
siendo transferido.
Á C
Otra posibilidad es la de utilizar a terceras partes para el manejo de activos o
M N
preparación para dicho efecto, por parte de la empresa que ofrece los servicios
T C
La opción de evitar el riesgo, describe cualquier acción donde las actividades del
E
protección adecuada.
La decisión por la opción de “evitar el riesgo” debe ser balanceada contra las
necesidades financieras y comerciales de la empresa.
17
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I Ilustración 6: Gestión de Riesgos [14]
Á C
M N
E IE
define como una sentencia del resultado o propósito que se desea alcanzar
E
relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus
IB
objetivos al añadir valor mientras se equilibran los riesgos contra el retorno sobre
las tecnologías de información y sus procesos.
B
18
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
2.1.6. International Organization for Standardization (ISO)
2.1.6.1. ISO 27000
IC
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
S
Standards Institution, la organización británica equivalente a AENOR en España) es
S FÍ
responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001
A S
1992 Publicación BS 7750 - ahora ISO 14001
IC A
1996 Publicación BS 8800 - ahora OHSAS 18001
T I
Á C
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
M N
información (SGSI) para ser certificable por una entidad independiente. Las dos
Y A
ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó
E
publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó
LI
19
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
Ilustración 7: Historia de ISO 2700 [09]
S
S FÍ
En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó
la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
A S
En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la
IC A
historia de ISO 27001 e ISO 17799.
T I
Á C
2.1.6.2. La serie 27000
M N
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a
27044. [09]
T C
de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás
E
20
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
2.1.6.3. Contenido
A
A.- ISO 27001:2005: [09]
IC
Generalidades
S
Esta Norma Internacional ha sido preparada para proporcionar un modelo que
S FÍ
permita establecer, implementar, operar, monitorear, revisar, mantener y mejorar
un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un
A S
SGSI debe ser una decisión estratégica para la organización. Se espera que la
IC A
escala de implementación de un SGSI se establezca de acuerdo a las
T I
Á C
necesidades de la organización, es decir, una situación sencilla requiere una
M N
Entre las ventajas que ofrece, al ser un estándar ISO, se encuentran las
E
tratamiento de exclusiones.
Normas para consulta: otras normas que sirven de referencia.
B
21
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
B.- ISO 27002:2005 (anterior ISO 17799:2005): [10]
A
Introducción: conceptos generales de seguridad de la información y SGSI.
IC
Campo de aplicación: se especifica el objetivo de la norma.
Términos y definiciones: breve descripción de los términos más usados en
S
S FÍ
la norma.
Estructura del estándar: descripción de la estructura de la norma.
A S
Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y
IC A
tratar los riesgos de seguridad de la información.
T I
Á C
Política de seguridad: documento de política de seguridad y su gestión.
M N
interna; terceros.
Gestión de activos: responsabilidad sobre los activos; clasificación de la
T C
información.
A E
22
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
sobre las auditorias de los sistemas de información.
A
IC
2.1.6.4. Beneficios
S
Establecimiento de una metodología de gestión de la seguridad clara y
S FÍ
estructurada.
Reducción del riesgo de pérdida, robo o corrupción de información.
A S
Los clientes tienen acceso a la información a través medidas de seguridad.
IC A
Los riesgos y sus controles son continuamente revisados.
T I
Á C
Confianza de clientes y socios estratégicos por la garantía de calidad y
M N
confidencialidad comercial.
E IE
gravedad.
C
competencia.
LI
23
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
En ese capítulo se estudiará y desarrollará el marco conceptual que se tiene que tomar
en cuenta para poder comprender, de manera adecuada, lo que abarca un SGSI. Este
marco contendrá un conjunto de términos y definiciones que se usarán a menudo en el
presente proyecto.
S
2.2.1. Modelo del Sistema de Gestión de Seguridad de la Información
A
PDCA (Plan, Do, Check, Act)
IC
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la
S
Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en
S FÍ
los sistemas de gestión de la calidad. [14]
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
24
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
2.2.1.2. Plan: Establecer el SGSI
A
IC
Definir el alcance del SGSI en términos del negocio, la organización, su
S
localización, activos y tecnologías, incluyendo detalles y justificación de
S FÍ
cualquier exclusión. Definir el alcance y los límites del SGSI (el SGSI no
tiene por qué abarcar toda la organización; de hecho, es recomendable
A S
empezar por un alcance limitado). [14]
IC A
Definir una política de seguridad que:
T I
Á C
Incluya el marco general y los objetivos de seguridad de la
M N
información de la organización;
E IE
SGSI;
Y A
páginas.
LI
25
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
cambio frente a sus anteriores ediciones. Este framework puede ser usado por
A
cualquier usuario de cualquier área de la empresa. Asimismo, puede ser tomado
IC
como referencia por cualquier stakeholder que tenga la organización.
COBIT 5 está basado en cinco principios clave: [15]
S
S FÍ
Principio 1: Satisfacer las necesidades de las partes interesadas
A S
IC A
Introduce la cascada de metas de COBIT 5. Las metas de la empresa para la TI se
T I
Á C
utilizan para formalizar y estructurar las necesidades de las partes interesadas. Las
M N
metas de la empresa pueden estar vinculadas a metas relacionadas con las TI, y
E IE
26
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Las empresas existen para crear valor para sus accionistas. En consecuencia,
LI
tomar muchas formas, por ejemplo, financieros para las empresas comerciales o de
servicio público para entidades gubernamentales.
27
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
Ilustración 10: El objetivo de Gobierno: Creación de Valor. [15]
S
Las actividades de gobierno tratan sobre negociar y decidir entre los diferentes
S FÍ
intereses en el valor de las partes interesadas. En consecuencia, el sistema de
gobierno debe considerar a todas las partes interesadas al tomar decisiones sobre
A S
beneficios, evaluación de riesgos y recursos. Para cada decisión, las siguientes
IC A
preguntas pueden y deben hacerse: ¿Para quién son los beneficios? ¿Quién asume el
T I
Á C
riesgo? ¿Qué recursos se requieren?
M N
E IE
Cada empresa opera en un contexto diferente; este contexto está determinado por
A E
factores externos (el mercado, la industria, geopolítica, etc.) y factores internos (la
M D
gestión personalizado.
C
con las TI y metas catalizadoras específicas, útiles y a medida. Esta traducción permite
LI
establecer metas específicas en todos los niveles y en todas las áreas de la empresa
IB
28
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Aunque esta lista no es exhaustiva, la mayoría metas corporativas específicas de la
A
empresa pueden relacionarse fácilmente con uno o más de los objetivos genéricos de
IC
la empresa. En el Apéndice D se representa una tabla de las partes interesadas y
metas corporativas.
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
29
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
relacionadas con las TI se estructuran en dimensiones del CMI. COBIT 5 define 17
A
metas relacionadas con las TI.
IC
S
Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas
S FÍ
Catalizadoras
Alcanzar metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de
A S
varios catalizadores. Los catalizadores incluyen procesos, estructuras organizativas e
IC A
información, y para cada catalizador puede definirse un conjunto de metas relevantes
T I
Á C
en apoyo de las metas relacionadas con la TI.
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
30
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Define objetivos y metas relevantes y tangibles a varios niveles de
A
responsabilidad
IC
Filtra la base de conocimiento de COBIT 5, sobre la base de las metas
corporativas, para extraer las guías relevantes a incluir en proyectos
S
S FÍ
específicos de implementación, mejora o aseguramiento.
Identifica claramente y comunica cómo (algunas veces de forma muy operativa)
A S
los catalizadores son importantes para alcanzar metas de la empresa.
IC A
T I
Á C
Utilizando Cuidadosamente la Cascada de Metas de COBIT 5
M N
Las metas en cascada — con sus tablas de relación entre metas empresariales y las
E IE
no deben intentar usarlo de una manera puramente mecánica, sino como una guía.
A E
correspondencia.
31
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
COBIT 5 contempla todos los servicios TI internos y externos relevantes, así
A
como los procesos de negocio internos y externos.
IC
COBIT 5 proporciona una visión integral y sistémica del gobierno y la gestión de la
S
empresa TI (ver el principio 4), basada en varios catalizadores. Los catalizadores son
S FÍ
para toda la empresa y extremo-a-extremo, es decir, incluyendo todo y a todos,
A S
internos y externos, que sean relevantes para el gobierno y la gestión de la información
IC A
de la empresa y TI relacionada, incluyendo las actividades y responsabilidades tanto de
T I
las funciones TI como de las funciones de negocio.
Á C
La información es una de las categorías de catalizadores de COBIT. El modelo
M N
mediante el que COBIT 5 define los catalizadores permite a cada grupo de interés
E IE
contexto.
Y A
Enfoque de Gobierno
El enfoque de gobierno extremo-a-extremo que es la base de COBIT 5 está
C
E
de gobierno.
O
LI
IB
B
32
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Además del objetivo de gobierno, los otros elementos principales del enfoque de
gobierno incluye catalizadores, alcance y roles, actividades y relaciones.
Catalizadores de Gobierno
Los catalizadores de gobierno son los recursos organizativos para el gobierno, tales
S
como marcos de referencia, principios, estructuras, procesos y prácticas, a través de
A
los que o hacia los que las acciones son dirigidas y los objetivos pueden ser
IC
alcanzados. Los catalizadores también incluyen los recursos corporativos – por
ejemplo, capacidades de servicios (infraestructura TI, aplicaciones, etc.), personas e
S
S FÍ
información. Una falta de recursos o catalizadores puede afectar a la capacidad de la
empresa de crear valor.
A S
Alcance de Gobierno
IC A
T I
Á C
M N
El gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o
E IE
Un último elemento son los roles, actividades y relaciones de gobierno. Definen quién
T
dentro del alcance de cualquier sistema de gobierno. En COBIT 5, se hace una clara
LI
gobierno y gestión, así como en la interconexión entre ellos y los actores implicados. .
B
33
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
gestión y gobierno.
A
IC
Es completo en cuanto a la cobertura de la empresa, proporcionando una base
S
para integrar de manera efectiva otros marcos, estándares y prácticas
S FÍ
utilizadas. Un marco general único sirve como una fuente consistente e
A S
integrada de guía en un lenguaje común, no-técnico y tecnológicamente
IC A
agnóstico. T I
Proporciona una arquitectura simple para estructurar los materiales de guía y
Á C
producir un conjunto consistente.
M N
ISACA. ISACA ha investigado las áreas clave del gobierno corporativo durante
T C
muchos años y ha desarrollado marcos tales como COBIT, Val IT, Risk IT,
A E
34
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
Catalizadores COBIT 5
IB
Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo
B
35
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
gestión.
A
La información impregna toda la organización e incluye toda la información
IC
producida y utilizada por la empresa.
La información es necesaria para mantener la organización funcionando y bien
S
gobernada, pero a nivel operativo, la información es muy a menudo el producto
S FÍ
clave de la empresa en sí misma.
A S
Los servicios, infraestructuras y aplicaciones incluyen la infraestructura,
IC A
tecnología y aplicaciones que proporcionan a la empresa, servicios y
T I
tecnologías de procesamiento de la información.
Á C
M N
36
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
La (ilustración 16), también transmite la mentalidad que debería ser adoptada para el
gobierno corporativo, incluyendo el gobierno de TI, que es alcanzar las principales
metas corporativas. Cualquier empresa debe siempre considerar un conjunto
interconectado de catalizadores. Es decir, cada catalizador: [15]
S
Necesita del resultado de otros catalizadores para ser completamente efectivo,
A
por ejemplo, los procesos necesitan información, las estructuras organizativas
IC
necesitan habilidades y comportamiento.
Proporciona una salida para beneficio de otros catalizadores, por ejemplo, los
S
S FÍ
procesos proporcionan información, habilidades y el comportamiento hace los
procesos eficientes.
A S
Por tanto, cuando se trata con el gobierno y la gestión de la empresa TI, se pueden
IC A
tomar buenas decisiones solo cuando se toma en consideración esta naturaleza
T I
Á C
sistémica del gobierno y de la gestión. Esto significa que para tratar con cualquier
M N
ser analizados para saber si son relevantes y contemplados si fuera necesario. Esta
mentalidad tiene que estar dirigida por la cabeza de la empresa.
T C
catalizadores
T
37
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
Ilustración 17: Catalizadores COBIT 5: Genérico. [15]
T I
Á C
Dimensiones de los Catalizadores
M N
E IE
juegan un rol activo y/o tienen un interés en el catalizador). Por ejemplo, los
M D
procesos tienen diferentes Metas que realizan actividades y/o tienen un interés
Y A
interés, que son parte de las estructuras. Los grupos de interés pueden ser
E
términos de:
Las metas del catalizador son el paso final en la cascada de metas de COBIT
38
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
información, estructuras, procesos, políticas, etc. Las fases del ciclo de vida
consisten en:
S
A
Actualizar / eliminar
IC
Buenas prácticas: Para cada uno de los catalizadores, se pueden definir
S
buenas prácticas. Las buenas prácticas soportan la consecución de los
S FÍ
objetivos del catalizador. Las buenas prácticas proporcionan ejemplos y
A S
sugerencias sobre cómo implementar de la mejor manera el catalizador y qué
IC A
productos o entradas y salidas son necesarias. COBIT 5 proporciona ejemplos
T I
de buenas prácticas para algunos catalizadores proporcionados por COBIT 5
Á C
(por ejemplo, procesos). Para otros catalizadores, se puede usar como guías,
M N
periódica:
T
O
Los primeros dos puntos tratan con el resultado actual del catalizador. Las métricas
utilizadas para medir el punto hasta el que las metas son alcanzadas pueden ser
denominadas indicadores de retraso.
Los dos últimos puntos tratan con el funcionamiento actual del catalizador en sí mismo
y las métricas para ellos pueden ser denominadas indicadores de avance.
39
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión. Estas dos
disciplinas engloban diferentes tipos de actividades, requieren estructuras organizativas
diferentes y sirven para diferentes propósitos.
La posición de COBIT 5 sobre esta fundamental distinción entre gobierno y gestión es:
[15]
S
A
Gobierno
IC
El Gobierno asegura que se evalúan las necesidades, condiciones y opciones
de las partes interesadas para determinar que se alcanzan las metas
S
S FÍ
corporativas equilibradas y acordadas; estableciendo la dirección a través de la
priorización y la toma de decisiones; y midiendo el rendimiento y el
A S
cumplimiento respecto a la dirección y metas acordadas.
IC A
En la mayoría de las empresas, el gobierno es responsabilidad del consejo de
T I
Á C
administración bajo la dirección de su presidente.
M N
E IE
Gestión
La gestión planifica, construye, ejecuta y controla actividades alineadas con la
T C
empresariales.
M D
Partiendo de las definiciones entre gobierno y gestión, está claro que comprenden
LI
40
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
de gobierno y de gestión de manera que las áreas fundamentales estén cubiertas. tal y
C
41
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando
las metas de gobierno y gestión queden cubiertas. Empresas más pequeñas pueden
tener pocos procesos; empresas más grandes y complejas pueden tener numerosos
procesos, pero todos con el ánimo de cubrir las mismas metas.
COBIT 5 incluye un modelo de referencia de procesos que define y describe en detalle
varios procesos de gobierno y de gestión. Dicho modelo representa todos los procesos
que normalmente encontramos en una empresa relacionados con las actividades de TI,
proporciona un modelo de referencia común entendible para las operaciones de TI y los
S
A
responsables de negocio. El modelo de proceso propuesto es un modelo completo e
IC
integral, pero no constituye el único modelo de procesos posible. Cada empresa debe
definir su propio conjunto de procesos, teniendo en cuenta su situación particular. [15]
S
La incorporación de un modelo operacional y un lenguaje común para todas las partes
S FÍ
de la empresa involucradas en las actividades de TI, es uno de los pasos más
A S
importantes y críticos hacia el buen gobierno. Adicionalmente proporciona un marco
IC A
para medir y vigilar el rendimiento de TI, proporcionar garantía de TI, comunicarse con
T I
los proveedores de servicio e integrar las mejores prácticas de gestión.
Á C
M N
Cada dominio contiene un número de procesos. A pesar de que, según hemos descrito
antes, la mayoría de los procesos requieren de actividades de “planificación”,
“implementación”, “ejecución” y “supervisión”, bien en el propio proceso, o bien en la
cuestión específica a resolver (como p. ej. calidad, seguridad), están situados en
42
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Catalizadores.
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
43
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
prioridades.
A
Implementar los controles anteriormente seleccionados que lleven a los objetivos
IC
de control.
S
Definir un sistema de métricas que permita obtener resultados reproducibles y
S FÍ
comparables para medir la eficacia de los controles o grupos de controles.
Procurar programas de formación y concienciación en relación a la seguridad de la
A S
información a todo el personal.
IC A
Desarrollo del marco normativo necesario: normas, manuales, procedimientos e
T I
Á C
instrucciones.
M N
procesamiento de la información;
LI
44
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los
A
controles implementados y el entorno exterior -requerimientos legales, obligaciones
IC
contractuales, etc.-.
Realizar periódicamente auditorías internas del SGSI en intervalos planificados.
S
Revisar el SGSI por parte de la dirección periódicamente para garantizar que el
S FÍ
alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI
A S
son evidentes.
IC A
Actualizar los planes de seguridad en función de las conclusiones y nuevos
T I
hallazgos encontrados durante las actividades de monitorización y revisión.
Á C
M N
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de
IB
45
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
III. METODOLOGÍA
A E
M D
Y A
C
E
T
O
LI
IB
B
46
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
O1 X O2
S
O1 : Análisis y la gestión de riesgos de un sistema de información antes del
A
diseño del SGSI.
IC
X : Diseño de un Sistema de Gestión de la Seguridad de la Información.
S
O2 : Análisis y la gestión de riesgos de un sistema de información después del
S FÍ
diseño del SGSI.
A S
IC A
3.2. Tipo de Investigación
T I
El proyecto propuesto está referido a una investigación descriptiva y aplicada.
Á C
M N
3.3.1. Población
LI
47
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
3.3.2. Muestra
Para la determinación de la muestra hemos creído conveniente utilizar la técnica de
muestreo aleatorio simple, para cada uno de los sectores a encuestar:
Docentes y administrativos
S
A
IC
S
S FÍ
Donde:
A S
Z = Nivel de Confianza (1.96)
IC A
P = Proporción que posee la característica en estudio (0.50)
T I
Á C
Q = Proporción que no posee la característica en estudio (0.50)
M N
Donde:
48
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
# de # de Alumnos a
Escuela Profesional % de Alumnos
Alumnos encuestar
S
A
Contabilidad 80 16% 25
IC
Derecho 120 24% 54
S
Ingeniería Civil 110 22% 53
S FÍ
Ingeniería de Sistemas e Informática 100 20% 50
90 18% 35
A S
Marketing y Negocios Internacionales
IC A
TOTAL T I 500 100% 217
Á C
M N
Desarrollo de Sistemas
A E
Debido a que la muestra del sector de jefes y personal que labora en las áreas de
M D
aplicar la técnica de muestreo aleatorio simple, la que nos permitirá trabajar con toda
C
recolección de información.
LI
49
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
TECNICA /
JUSTIFICACION HERRAMIENTAS APLICACION
METODO
Nos va a permitir
conocer más acerca Trabajadores de las
Una grabadora
de los procesos de la áreas en estudio,
reportera.
institución, sus docentes y
Entrevista Cuestionarios
problemas, objetivos y alumnos
requerimientos
Es el método en la cual
S
Trabajadores de las
enfocamos la perspectiva
Fichas o guías de áreas en estudio,
A
de los problemas que
Observación observaciones docentes y
IC
existen en las áreas a
alumnos
trabajar.
S
Permite conocer las
S FÍ
expectativas que tienen
los usuarios respecto Encuesta de Preguntas Trabajadores de las
A S
Encuestas al nuevo sistema y Abiertas y Cerradas y áreas en estudio,
necesidades de Checklist docentes y alumnos
IC A
Información de los
T I
usuarios.
Á C
M N
E IE
3.5. Indicadores
A E
50
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
desarrollo de software, con comentarios sobre incidentes recientes/actuales,
IC
vulnerabilidades actuales de seguridad conocidas y pronósticos sobre cualquier
riesgo
S
Número de chequeos (a personas a la salida) realizados en el último mes y
S FÍ
porcentaje de chequeos que evidenciaron movimientos no autorizados de
A S
equipos o soportes informáticos u otras cuestiones de seguridad
IC A
Porcentaje de nuevos empleados relacionados con las tecnologías de
T I
información y comunicaciones (contratistas, consultores, temporales, etc.) que
Á C
hayan sido totalmente verificados y aprobados de acuerdo con las políticas de
M N
51
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
IV. DESARROLLO DE LA METODOLOGIA
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
52
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Rubro al que se dedica: Sector Educación – Servicios
A
IC
Objetivos de la empresa: Área de investigación
S
S FÍ
El presente proyecto de tesis se llevará a cabo en la Universidad Privada de Trujillo-
Perú, en las áreas de Dirección de Departamento Académico, Dirección de Escuela y
A S
IC A
Laboratorios de Computo.
T I
Á C
Misión:
M N
mediante los programas de postgrado para los profesionales graduados que buscan
C
necesita.
T
O
Visión:
LI
Ser una universidad innovadora al servicio de la región y del país, comprometida con
su desarrollo social y económico, participando en forma determinante en la solución de
sus problemas.
53
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
realidad que vive la UPTP en cuanto refiere al tema de seguridad de la información.
A
La muestra a trabajar estadísticamente está dividida en tres sectores, Docentes y/o
IC
Administrativos, Alumnos, Jefes y personal que labora en Taller de Cómputo y
S
Desarrollo de Sistemas de la Universidad Privada de Trujillo Perú; de la cual
S FÍ
mostramos resultados de manera detallada y veraz obtenidos al procesar la
información:
A S
IC A
T I
Docentes y/o Administrativos, para un mayor seguimiento de dicha descripción
Á C
de resultados
M N
Power Point, etc., el 42% no contó con dicha ayuda y el 37% restante ayudo
E
documentos, otros.
O
54
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
equipo asignado.
IC
En la pregunta 15, vemos que el 91% asumiría una responsabilidad si se le
detecta realizando actividades sospechosas como el ingreso a lugares
S
restringidos, y el 9% restante no asumiría responsabilidad alguna.
S FÍ
En la preguntas 16, pudimos notar que el 40% siempre hace uso de los
A S
antivirus, ya sea ingresando o extrayendo información en algún dispositivo
IC A
de almacenamiento, el 31% lo hace a veces y el 29% restante nunca los
T I
hace.
Á C
En la pregunta 17, percibimos que el 48% activa el antivirus lo detecta y
M N
clave de acceso para todos los servicios que brinda el portal de la UPTP,
C
En la pregunta 23, percibimos que el 60% refiere que accede con mayor
velocidad al portal Web de la UPTP dentro de la universidad que fuera de
IB
55
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
En la pregunta 28, vemos que el 61% no realiza ninguna actividad no
IC
autorizada en la PC asignada a su persona, el 24% realizo la instalación de
algún software que necesitaba, y el 15% restante realizo otras actividades
S
como limpieza al mouse, teclado, etc.
S FÍ
En la pregunta 29, observamos que el 56% no sabe qué hacer cuando
A S
algún componente o aplicativo no funciona correctamente, el 25% intenta
IC A
arreglarla, y el 19% restante llama a un técnico o intenta que lo arregle su
T I
compañero más cercano.
Á C
En las preguntas 30 y 33, pudimos notar que el 29% solicita mantenimiento
M N
mensual para su equipo, el otro 27% nunca lo hace; el 72% de los docentes
E IE
físicamente.
M D
56
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
cuando se encuentra trabajando con algún equipo informático y el 52%
IC
restante no observo dicho comportamiento.
En la pregunta 12, notamos que el 44% manipulo alguna vez los
S
componentes del equipo informático de manera que si este sufrió algún
S FÍ
inconveniente, busco hacerlo funcionar correctamente y el 56% restante no
A S
intento por ningún motivo manipular los componentes del equipo asignado.
IC A
En las preguntas 13 y 14, vemos que un 79% a 82% se siente responsable
T I
y/o identifica con el equipo informático que usa o usaran en algún momento
Á C
dentro de la UPTP, y de un 18% a 21% restante no se identifica, menos
M N
En la preguntas 15, pudimos notar que el 33% siempre hace uso de los
T C
hace.
En la pregunta 16, percibimos que el 46% activa el antivirus lo detecta y
Y A
elimina, el 41% hace otras cosas menos las acciones correctas y el 13%
C
O
clave de acceso para todos los servicios que brinda el portal de la UPTP,
B
57
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
gustaría conocer acerca del tema por medio de charlas y conferencias, el
IC
otro 42% a través de otros medios como folletos, foros por el portal y como
parte de algún curso.
S
Tabla y gráficos (Ver Anexo 04)
S FÍ
Jefe y personal que labora en Taller de Cómputo y Desarrollo de Sistemas
A S
Jefe del área de Taller de Cómputo
IC A
Dato obtenido de la entrevista realizada al jefe de Taller de Cómputo en el campus de
T I
la UPTP. Modelo de entrevista, (Ver Anexo 05)
Á C
Según los datos obtenidos en la entrevista realizada se obtuvo lo siguiente:
M N
Nos manifestó que la UPTP no cuenta con un equipo o comité encargado de todo lo
E IE
análisis previos serían los más apropiados para salvaguardar los equipos y los activos
C
mecanismos de control nos dijo que no existen documentos formales y que todo se
T
O
a ello, donde se indica cuales son y cómo deben ejecutarse, pero que normalmente
los realizan de acuerdo a los criterios y a la experiencia que tienen dentro del área.
IB
Nos aclaró también que no existe un control estricto sobre sus trabajadores, pero que
B
cada uno conoce su función y sus obligaciones. El seguimiento que se le hace es por
medio de radios que llevan permanentemente y fichas de servicio cuando dan la
atención a cualquier usuario, cualquier actividad que van a realizar primero es
informada a la central de taller de cómputo. Los accesos a la red se controlan a través
de permisos y esos permisos son generados por mi persona y que la parte de
restricciones a los sistemas la maneja el área de desarrollo de sistemas, pero nos dijo
que cada permiso es notificado mediante un correo electrónico a esta área para
generárselo. Todos los usuarios que ingresan a la red son registrados en un pequeño
sistema, en el cual se detalla todas las actividades que realizan. En cuanto al acceso
58
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
al área donde se encuentra los servidores no ingresan personas ajenas al área, sólo
ingreso yo como administrador y algún trabajador del área que en ciertos casos me
ayuda trasladando equipos siempre y cuando esté presente, todas las llaves a esos
ambientes las manejo yo, esto debido a que cualquier persona que ingrese puede
manipular los equipos.
Nos manifestó que anteriormente se acordó que cualquier información
correspondiente a la seguridad de la información sea transmitida por correo
electrónico, dado esto no existe un documento donde se indiquen las políticas de
S
A
seguridad de la información. En cuanto al nivel de conocimiento de seguridad de la
IC
información por parte de los trabajadores del área, están capacitados para enfrentar
cualquier tipo de desastre antes, durante y después, lo que sucede es que estos
S
procedimientos tampoco están documentados, sólo nos basamos en manuales
S FÍ
colgados en Internet y algunas recomendaciones brindadas por INDECI que sirven de
A S
soporte para el área, pero como material nuestro aún no se elabora. En relación a los
IC A
activos de importancia dentro de la UPTP si saben cómo protegerlo y salvaguardarlo
T I
frente a cualquier incidente inminente.
Á C
El área no ha promovido el desarrollo de un simulacro, pero dentro de la universidad
M N
Nos manifestó que todos los servicios brindados son protegidos a través de claves de
M D
almacenada en disco duro y se realizan cada cierto periodo en este caso diariamente.
Los problemas con los que nos enfrentamos frecuentemente son la falta de cultura
IB
informática por parte de los usuarios ya que muchos no hacen un buen uso de sus
B
equipos. Todos los servicios que se brinda dentro del área son archivados y de ellos
se conocen cuáles son los problemas más frecuentes que tienen los usuarios en base
a software o hardware, pero se ha podido notar a simple vista que los problemas más
comunes son de software y esto a causa de la infección constante de virus, frente a
esto recién se ha adquirido e instalado un antivirus nod32 bussiness con el cual se
desea disminuir las infecciones de las máquinas de los usuarios ya que
constantemente se recibe una actualización automática de los nuevos virus que la
máquina posee, la cual no pudo eliminar anteriormente, con este nuevo antivirus se
lograra eliminar y reducir de manera abrumadora este problema. Nos dijo que para
59
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
documentos formales donde se indiquen cada qué período hacerlo, en los
IC
laboratorios lo hacían normalmente antes de iniciar las clases y antes de las
evaluaciones finales, pero normalmente por problemas de software generados por los
S
virus, pero nos dijo que este año no se sabe si lo harán antes de las evaluaciones
S FÍ
finales ya que están esperando resultados de la nueva versión del antivirus. Con
A S
respecto a las diversas áreas de la UPTP nos dijo que normalmente la realizan
IC A
cuando finalizan los ciclos académicos, pero que toman en cuenta la solicitud de los
T I
usuarios para que le hagan mantenimiento a su equipo manifestándonos que al no
Á C
hacerlos toman por entendido que no tienen problemas con su equipo, pero que cada
M N
vez que lo solicitan un servicio y las veces que sean ellos lo atienden. Los aspectos
E IE
que se toman en cuenta para realizar el plan son aquellos en los cuales normalmente
T C
que se refiere al problema del antivirus en los equipos de la UPTP estos eran
M D
y hardware, pero por el tiempo que llevo trabajando aquí sé a quién dirigirme y de qué
LI
también son ellos mismos quienes evalúan a sus proveedores. Pero cuando alguna
B
60
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
Fueron entrevistadas 10 personas, ya que, son todos los que laboran en el
área de Taller de Computo, la relación laboral de este personal con la
S
empresa es de contrato a tiempo completo.
S FÍ
Cuando preguntamos acerca de qué tipo de antivirus utilizan, todos los
A S
entrevistados coincidieron que el tipo de antivirus utilizado en la UPTP es el
IC A
Nod 32, pero fue desorientador cuando preguntamos cada que tiempo se
T I
actualiza el antivirus, ya que las respuestas fueron diversas como:
Á C
diariamente dijo la mayoría, otros dieron como respuesta anualmente y por
M N
61
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
errores en Windows y virus; a su vez nos expresan que dichos problemas
IC
se podrían evitar con una capacitación básica con respecto al uso de
hardware y software.
S
La mayor parte de entrevistados refieren que existen proyectos o mejoras
S FÍ
respecto a la seguridad de la información que son propuestos y que sirven
A S
de aporte a la UPTP, y que dichos proyectos surgen por iniciativa de grupo
IC A
de trabajo, el cual se encuentra integrado por los que laboran en el área de
T I
Taller de Computo.
Á C
Jefe del área de Desarrollo de Sistemas
M N
se obtuvo lo siguiente:
M D
Nos manifestó que la UPTP no cuenta con un equipo o comité encargado de todo lo
que concierne a la seguridad de la información; Se pudo notar que el jefe de esta área
Y A
previos son los más apropiados para salvaguardar el sistema y su base de datos que
contiene la información que se transmiten por la red de la universidad.
IB
Referente a los mecanismos de control nos dijo que no existen documentos formales
B
en los cuales se describan cuales son y cómo deben ejecutarse, pero que normalmente
los realizan de acuerdo al criterio y a la experiencia que tienen dentro del área. Nos
aclaró también que no existe un control estricto sobre sus trabajadores, pero que cada
uno conoce su función y sus obligaciones. Los accesos a los sistemas se controlan a
través de permisos y esos permisos son generados por los encargados del área, pero
cada permiso es solicitado mediante correo electrónico por recursos humanos a esta
área para generárselo. Todos los usuarios que ingresan al sistema son registrados en
un pequeño sistema, en el cual se detalla todas las actividades que realizan, que se
62
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
refleja en una bitácora. En cuanto al acceso a esta área no existe un control estricto, lo
realiza cualquier persona que busca a cualquiera persona que labore en esta área.
No existe un documento donde se indiquen las políticas de seguridad de la información,
esto se debe a qué anteriormente el manejo de los sistemas de información eran
pequeños, pero realmente ahora si vemos la necesidad de implementar uno que apoye
de manera considerable, ya que la universidad ha crecido de manera abrumadora y
esto sería de gran ayuda para nuestra área.
En cuanto al nivel de conocimiento de seguridad de la información por parte de los
S
A
trabajadores del área, están capacitados para enfrentar cualquier tipo de desastre
IC
antes, durante y después, lo que sucede es que estos procedimientos tampoco están
documentados, sólo nos basamos en manuales colgados en Internet y algunas
S
recomendaciones que recibimos de expertos que sirven de soporte para el área, pero
S FÍ
como material nuestro aún no se elabora. En relación a la información que se almacena
A S
dentro de las bases de datos del sistema que utiliza la UPTP si saben cómo protegerlo
IC A
y salvaguardarlo frente a cualquier incidente inminente. El área no ha promovido el
T I
desarrollo de un simulacro, pero dentro de la universidad si se han desarrollado
Á C
algunos simulacros ante posibles incidentes o desastres; pero ninguno ha sido a través
M N
Nos indicó que para ingresar al código del sistema y a la base de datos de la UPTP es
A E
designada; los backups se realizan cada cierto periodo en este caso mensualmente.
LI
Los problemas con los que nos enfrentamos frecuentemente son la falta de cultura
informática por parte de los usuarios ya que muchos no hacen un buen uso de las
IB
aplicaciones. Todos los servicios que se brinda dentro del área son archivados y de
B
ellos se conocen cuáles son los problemas más frecuentes que tienen los usuarios en
base al software, de ello se puede obtener gráficos del nivel de desenvolvimiento por
periodos. La estrategia que se usa es informar permanentemente a los usuarios sobre
algunos lineamientos que debe tener para el uso adecuado del sistema.
Todas las modificaciones que se realizan son solicitadas a través de correo electrónico
interno y registrado en el software que maneja el área.
No existe un plan de mantenimiento de equipos informáticos, pero si existen
documentos donde indican cada qué período hacerlo. Los aspectos que se toman en
cuenta son aquellos en los cuales normalmente tienen mayores incidencias
63
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
AUSENCIA DE
CONTROLES
AMENAZA DE
FALTA DE POLITICAS VULNERABILI
Y PROCEDIMIENTOS DAD
A DE SEGURIDAD
A
C C
S
T T
A
I I
V V
IC
O O
S
S S
S FÍ
FALTA DE FALTA DE FALTA DE
CONFIDENCIALIDAD CONFIDENCIALIDAD SEGURIDAD
EN CLAVES DE
P ACCESO S
A S
R O
I
IC A P
T I
M O
Á C
A R
M N
R T
E IE
S
A E
M D
Y A
C
64
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
dificultaría de una u otra manera en el cumplimiento de los objetivos trazados.
A
Se contempló que una gran mayoría de la comunidad universitaria de la UPTP no
IC
se siente segura dentro de las instalaciones de la universidad y especialmente en
S
lugares donde se encuentran equipos informáticos, esto debido a muchos factores
S FÍ
como: no se tiene una plena identificación de personas ajenas a la universidad,
algunas de las áreas no cuentan con extintor, en otros existen pero no se
A S
IC A
encuentran visibles, no dejando de lado aquellas áreas en las cuales los extintores
se encuentran
T I ubicados estratégicamente, lo mismo sucede con las
Á C
señalizaciones, y por último el personal desconoce cómo enfrentar un desastre
M N
informático realizan otras actividades que son un peligro latente hacerlos cerca de
C
existe un gran número de usuarios que intentan solucionar algún problema que se
les presente con su equipo informático, esto se manifestó en relación a que a
IB
Se afirmó que gran parte de la comunidad universitaria de la UPTP cuenta con una
misma clave de acceso para todos los servicios de la universidad; también se
detectó que la seguridad de estos servicios no se encuentran robustos en cierta
65
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
parte por culpa de los usuarios, debido a que en ciertos casos se pierde la
confidencialidad de las claves, mostrándose como un problema de mucha
importancia en los objetivos académicos – administrativos de la UPTP.
S
potencial en los activos de la UPTP.
A
IC
Se ratificó que no existe ningún mecanismo de autenticación de usuario cuando
este trata de ingresar a la red a través un equipo informático portátil.
S
S FÍ
Por último se identificó que la gran mayoría de la comunidad universitaria de la
UPTP no ha realizado ninguna capacitación concerniente a la seguridad de la
A S
IC A
información, esta realidad se ve reflejada en la preocupación de los usuarios, ya
T I
que, muchas de las organizaciones de hoy en día están sometidas a grandes e
Á C
inminentes peligros con respecto a su información; es por esto que la gran mayoría
M N
seguridad de su información.
De la entrevista realizada al jefe de taller de cómputo se detectó que no existe un
A E
M D
usuarios, esto puede en un futuro ser un peligro latente ya que la UPTP está
T
Se identificó que las personas que laboran en el área de Taller de Computo utilizan
IB
pregunto al jefe del área acerca del antivirus con el que se cuenta y su uso, pues
nos dijo que el antivirus con el que se trabaja actualmente es el nod 32 business,
que cuenta con la instalación de un “ThreatSense” (sistema de alerta temprana)
que se actualiza automáticamente y a cada hora, para mantener la red de UPTP
segura, permitiendo de esta manera la poco participación física con respecto a la
actualización entre los trabajadores y el antivirus.
Se constató que el trabajo que realizan los encargados de Taller de Computo es
realmente eficiente. Pero no se coincide con el jefe del aérea cuando preguntamos
con que tienen que ver los inconvenientes más frecuentes que se atienden,
66
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
afirmándonos que la mayor parte de inconvenientes por no decir casi todos son
referentes a software, pues corroboro dicha afirmación dejando claro que no se
adquiere hardware continuamente, mucho menos por inconvenientes, y que los
problemas normalmente son: por infección de virus, por la manipulación incorrecta
de programas, entre otros referentes a hardware.
Es recomendable capacitar a los Alumnos como a Docentes y/o administrativos de
manera que se conozca un poco más acerca del tema de seguridad de la
información, con la finalidad de minimizar los inconvenientes que se muestran,
S
A
pero no solo son los usuarios quienes debemos recibir dicha capacitación, debe
IC
ser difundida desde las áreas que se encuentran directamente comprometidas con
el tema, con la finalidad de mejor en algún aspectos en los que se flaquea y/o
S
desconoce, ya que, el tema de seguridad es muy amplio y complejo.
S FÍ
Se evidencio que el personal que labora en el área de Taller de Computo se
A S
encuentra preparado para enfrentar cualquier situación de emergencia con
IC A
respecto a desastres naturales y/o provocados, pues afirman haber recibido
T I
capacitación en lo que refiere a manejo de extintores, guiar debidamente a usuarios
Á C
a través de señalizaciones, entre otros; muestran también el interés por el
M N
67
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
4.2.2. Fase Dos: Arranque del proyecto
A
OBJETIVO
4.2.2.1. Diseño del Sistema Propuesto Proteger la información mediante el
IC
diseño de un sistema de gestión de
S
seguridad (SGSI).
S FÍ
A S
ANTECEDENTE
IC A
Planificar
Crear el SGSI
Profesionales de TI
T I
Á C
La información es el
50% del valor total de
M N
la organización. Actuar Hacer
Perdida de Mantener y mejorar el Implementar y operar
E IE
información Requerimiento y SGSI el SGSI
importante Seguridad de la
expectativas de la
T C
seguridad de la información
información manejada.
A E
Verificar
Revisar el SGSI
PROBLEMA
M D
Y A
Procedimiento
Políticas PROPUESTA DEL DISEÑO
C
Controles
E
Alcance y limite
T
Metodología de análisis y
evaluación de riesgos Identificación de Activos.
LI
CONTROLES
No son conocidos por el personal CON COBIT 5
No están diseñadas en base a un análisis Selección de controles.
B
y evaluación de riesgos.
SI Aceptación del riesgo.
NO
68
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Gráfico de la Propuesta del Sistema
A
Activo Identificado TActivo Integridad Disponibilidad Confidencialidad Criticidad Impacto en el Probabilidad de Afectación
IC
Intranet de la institución Aplicación 3 2 3 Alto Negocio Muy Baja Baja Media Alta Muy Alta
Cableado Ethernet Tecnología 3 3 2 Alto Muy Alto Relevante Relevante Alto Critico Critico
S
Servidor web Tecnología 3 3 3 Alto Alto Relevante Relevante Alto Alto Critico
Aplicación 2 3 2 Alto
S FÍ
Página web Medio Moderado Moderado Relevante Alto Critico
Email Aplicación 2 3 3 Alto Bajo Bajo Bajo Bajo Moderado Relevante
Red de la institución Aplicación 3 2 3 Alto Muy Bajo Bajo Bajo Bajo Bajo Moderado
A S
Computadora de escritorio
Tecnología 3 3 3 Alto
IC A
T I
Á C
PRESENCIA DE
POLITICAS Y
M N
PROCEDIMIENTOS DE
Matriz de Riesgos SEGURIDAD
E IE
Posibilidad que la
ID Activo Vulnerabilidad Amenaza Impacto Nivel de
amenaza explote la CONFIDENCIALIDAD DE
T C
estimado Riesgo LA INFORMACION
vulnerabilidad
Computadora Mala seguridad de Espionaje remoto
A E
R6(6) Alto Muy Alto Critico
de escritorio contraseñas CONFIDENCIALIDAD EN
M D
CLAVES DE ACCESO
Cableado Saturación de los Alto DECLARACION DE
R10(32) Gestión inadecuada de red Alto Alto
Ethernet sistemas de información LA
Y A APLICABILIDAD
R13(61) Servidor web Servicios innecesarios Procesamiento ilegal Bajo Alto Relevante SEGURIDAD EN LA
INFRAESTRUCTURA
C
Página web Defectos en el Abuso de derechos
R21(14) Alto Medio Alto
funcionamiento.
E
BUEN MANEJO DE
R26(19) Intranet Pocos controles de acceso Abuso de derechos Alto Alto Alto ANTIVIRUS
T
autenticación de usuarios
BAJA PRESENCIA DE SPAM
Red de la Falta de controles en el Robo de documentos o
LI
EFICIENTE
B
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
Identificación de activos
IC
S
En este punto se identificarán los activos. Según el estándar ISO 27005:2008, se
S FÍ
pueden identificar dos tipos de activos: los primarios y los de soporte. Los primarios,
según este estándar, son los procesos e información más sensibles para la
A S
organización. Los activos de soporte, son los activos que dan el debido soporte a
IC A
estos activos primarios. Dentro de estas dos agrupaciones, se definieron siete
T I
Á C
distintos tipos específicos de activos:
M N
E IE
procesos.
Y A
organización.
T
O
comunicaciones.
B
70
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
2 Teléfono Si Tecnología
3 Impresora Si Tecnología
4 Fotocopiadora Si Tecnología
5 Scanner Si Tecnología
S
6 Cableado Ethernet Si Tecnología
A
7 Firewall No Tecnología
IC
8 Servidor web Si Tecnología
S
9 Licencia de Microsoft Windows 7 No Aplicación
S FÍ
10 Licencia de Microsoft Office 2013 No Aplicación
A S
11 Página web No Aplicación
12
IC A
Intranet de la institución No Aplicación
T I
Á C
Email (para el envío electrónico de
13 No Aplicación
información)
M N
14 No Aplicación
compartidas)
T C
15 Aula Si Instalación
16
M D
18
C
22 Si
23 Si
26 Alumno Si Personal
27 Cajero Si Personal
29 Egresado Si Personal
71
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Información estratégica de la
32 Si Dato
Institución
S
Reporte de alumnos aptos para
37 Si Dato
A
matricularse.
Información de alumnos de semestres
IC
38 Si Dato
anteriores
S
Plan semestral/anual de cursos a
39 Si Dato
dictarse
S FÍ
40 Evaluación del Jefe Académico Si Dato
A S
41 Encuesta académica Si Dato
IC A
Materiales de estudio (silabo,
42 Si Dato
T I
presentaciones, casos, lecturas)
Á C
Registro de aulas Dato
M N
43 Si
E IE
ciclo
Documento de la programación de las
M D
46 Si Dato
aulas
Y A
47 Si
clientes
E
51 Si Dato
alumnos inscritos
Consolidado de la información de las
B
52 Si Dato
fichas de admisión (virtual)
Evaluación de Aptitud Emprendedora
53 Si Dato
(Examen de admisión)
Resultados de la Evaluación de Aptitud
54 Si Dato
Emprendedora
Certificado original de estudios de 1° a
55 Si Dato
5° de secundaria
Partida de nacimiento original (o copia
56 Si Dato
legalizada)
57 Fotocopia de DNI Si Dato
72
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Consolidación bancaria (vía email) Dato
A
63 Si
IC
64 Voucher de pago de matrícula Si Dato
Registro de las matriculas Dato
S
65 Si
S FÍ
66 Solicitud o cartas de descuento Si Dato
A S
Solicitud de expedición del título Dato
IC A
68 Si
69
T I
Ficha de inscripción para la titulación Si Dato
Á C
Declaración jurada del egresado Dato
M N
70 Si
Certificado de estudios superiores
E IE
71 Si Dato
(original)
Foto Dato
T C
72 Si
73 Si
titulación
M D
74 Diploma Si Dato
Y A
Para realizar dicha valorización, se determinó una escala cualitativa en función a los
atributos de la informacion ya que no es posible valorar económicamente todos los
activos. En la siguiente tabla se muestra cuáles son los criterios que se usaron para
realizar la correcta valorización de estos activos, en conjunto con los valores que se
tendrán en cuenta para clasificarlos y su respectivo significado dentro del contexto
actual:
73
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
0 No Aplica / No es relevante
S
A
0 No Aplica / No es relevante
IC
No es relevante los errores que tenga o la
Integridad 1
información faltante
S
Tiene que estar correcto y completo al menos en
2
S FÍ
un 50%
A S
IC A
T I 0 No Aplica / No es relevante
Daños muy bajos, el incidente no trascendería del
Á C
1
área afectada
Confidencialidad
M N
Para hallar el valor final del activo, se realizará una suma de los valores de los distintos
Y A
criterios. Esta suma se ubicará en el rango de valores de 0 a 9, para lo cual cada valor
C
representara a un nivel de criticidad. Mientras más alto sea el número final que resulto
E
de la suma, más alta será su criticidad. Para este proyecto, se definieron cuatro niveles
T
74
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Valor Criticidad
0 No Aplica
1 Baja
2 Baja
3 Baja
4 Media
5 Media
S
6 Media
A
7 Alta
IC
8 Alta
9 Alta
S
S FÍ
Tabla 5: Valores según nivel de criticidad
A S
IC A
4.2.4. Fase Cuatro: Apetito del riesgo
T I
Á C
Se definió que los activos cuya criticidad sea “Alta” son los que entrarán dentro de la
M N
Los activos con criticidad “Media” y “Baja” no se toman como activos críticos para la
T C
organización:
C
E
T
total
integridad Disponibilidad Confidencialidad
IB
1 Computadora de 3 3 3 9 Alta
escritorio
B
2 Teléfono 3 3 0 6 Medio
3 Impresora 3 2 0 5 Medio
4 Fotocopiadora 3 2 0 5 Medio
5 Scanner 3 1 0 4 Medio
75
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
12 Intranet de la 3 2 3 8 Alta
institución
S
Email (para el envío
A
13 electrónico de 2 3 3 8 Alta
IC
información)
Red de la institución
S
14 (carpetas 3 2 3 8 Alta
S FÍ
compartidas)
15 Aula 2 3 0 5 Medio
A S
IC A
16 Vitrinas informativas 1 1 0 2 Bajo
T I
17 2 2 2 6 Medio
Á C
Oficina de reuniones
M N
20 Gabinetes 2 1 2 5 Medio
A E
21 3 3 3 9 Alta
M D
Llaves de ingreso
24 Asistente de 3 2 0 5 Medio
T
Programación
O
25 Telemarketer / 3 2 0 5 Medio
LI
Promotor de Ventas
26 Alumno 3 2 0 5 Medio
IB
27 Cajero 3 2 0 5 Medio
B
28 Asistente 3 2 0 5 Medio
Administrativo
29 Egresado 3 2 0 5 Medio
30 Asistente de 3 2 0 5 Medio
Admisión
31 Asistente 3 2 0 5 Medio
Académico
Información
32 estratégica de la 3 1 3 7 Alta
Institución
76
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
33 Documento de 1 1 1 3 Baja
encuestas
Documentos
34 estadísticos del 2 1 2 5 Medio
mercado educativo
S
Documento de la
A
35 proyección anual de 2 1 2 5 Medio
la oferta educativa
IC
(presupuesto)
Documento de la
S
36 programación 3 2 3 8 Alta
S FÍ
académica anual y
mensual
A S
Reporte de alumnos
37 aptos para 3 2 3 8 Alta
IC A
matricularse T I
Á C
Información de
38 alumnos de 3 2 3 8 Alta
M N
semestres anteriores
E IE
41 1 1 1 3 Baja
M D
Encuesta académica
Materiales de estudio
Y A
42 (silabo, 2 2 1 5 Medio
C
presentaciones,
casos, lecturas)
E
T
Documento de
LI
Documento de
45 alumnos inscritos por 3 2 3 8 Alta
B
ciclo
Documento de la
46 programación de las 2 2 1 5 Medio
aulas
Información sobre
47 preferencias de los 3 2 3 8 Alta
clientes
Material informativo /
48 Documentación 2 3 0 5 Medio
relacionada a los
programas
77
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
49 Reglamento de 3 2 1 6 Medio
admisión
Registro de orden de
51 3 2 3 8 Alta
S
cobro a los alumnos
inscritos
A
Consolidado de la
IC
52 información de las 3 2 2 7 Alta
fichas de admisión
S
(virtual)
S FÍ
Evaluación de Aptitud
53 Emprendedora 3 2 1 6 Medio
A S
(Examen de
admisión)
IC A
Resultados de la
T I
Á C
54 Evaluación de Aptitud 3 3 3 9 Alta
Emprendedora
M N
Certificado original de
E IE
55 estudios de 1° a 5° 3 0 3 6 Medio
de secundaria
T C
Partida de nacimiento
A E
Voucher de pago de
C
58 3 0 3 6 Medio
Admisión
E
(en físico)
O
(en físico)
IB
Reporte de alumnos
61 matriculados (en 3 2 2 7 Alta
físico)
B
Ficha de
62 preinscripción de 3 3 1 7 Alta
matrícula
63 Consolidación 3 3 3 9 Alta
bancaria (vía email)
78
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
68 Solicitud de 2 2 1 5 Medio
S
expedición del título
A
69 Ficha de inscripción 2 3 1 6 Medio
IC
para la titulación
S
del egresado
S FÍ
Certificado de
71 estudios superiores 3 2 3 8 Alta
A S
(original)
IC A
72 Foto T I 3 2 3 8 Alta
Á C
73 Recibo de pago por 3 2 2 7 Alta
M N
derecho de titulación
E IE
74 Diploma 3 2 3 8 Alta
T C
detallada de riesgos, los cuales involucran hallar las vulnerabilidades y amenazas que
puedan afectar a los activos que se ubican dentro del apetito de riesgo previamente
definido.
Para la realización de dicha valorización, el estándar ISO 27005(Trata sobre la gestión
de riesgos de la seguridad de la información) propone varios ejemplos de métodos con
los cuales se puede llevar a cabo la valorización de riesgos de manera adecuada.
Finalmente, se optó por la realización de una matriz de calor, la cual tiene como
criterios la probabilidad que cierta amenaza explote cierta vulnerabilidad y el impacto al
79
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Medio Moderado Moderado Relevante Alto Critico
A
IC
Bajo Bajo Bajo Bajo Moderado Relevante
S
S FÍ
Tabla 7: Matriz de calor
A S
Los significados de los cinco valores que los criterios de “Impacto en el Negocio” y
IC A
“Probabilidad de Afectación” puedan tener son descritos a continuación. Con respecto
T I
Á C
al criterio de “Probabilidad de Afectación”:
M N
E IE
Probabilidad de Afectación
Interpretación
T C
Muy Alto Afecta por más de una semana las operaciones del instituto.
Alto Afecta hasta en 72 horas las operaciones del instituto
Medio Afecta hasta en 24 horas las operaciones del instituto
Bajo Afecta hasta en 6 horas las operaciones del instituto
Muy Bajo Tiene un efecto nulo o muy pequeño en las operaciones de la institución
80
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
entraron en el análisis, según el apetito de riesgo establecido.
IC
S
Matriz de Riesgos
S FÍ
Impacto
Posibilidad de
estimad
ID de que la amenaza Nivel de
Activo Vulnerabilidad Amenaza o en la
Riesgo explote la Riesgo
A S
instituci
vulnerabilidad
ón
IC A
Falta de cierre
T I
Computador de sesión al
Manipulación
Á C
a de momento de
R1 de información Alto Alto Alto
escritorio salir de la
M N
estación de
trabajo
E IE
Destrucción de
C
Computador
Sensibilidad de equipos o
R4 a de Bajo Muy Alto Relevante
E
Robo de
Computador Falta de
información o
LI
Computador
Mala seguridad Espionaje
R6 a de Alto Muy Alto Critico
de contraseñas remoto
B
escritorio
Trafico de Escuchar
Cableado
R7 información información Medio Alto Alto
Ethernet
desprotegido ilegalmente
Falla en los
Cableado Cableado equipos de
R8 Alto Alto Alto
Ethernet desprotegido comunicacione
s
Cableado Arquitectura de Espionaje
R9 Bajo Alto Relevante
Ethernet red insegura remoto
Cableado Gestión Saturación de
R10 Ethernet inadecuada de los sistemas Alto Alto Alto
la red de información
81
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Matriz de Riesgos
Impacto
Posibilidad de
estimad
ID de que la amenaza Nivel de
Activo Vulnerabilidad Amenaza o en la
Riesgo explote la Riesgo
instituci
vulnerabilidad
ón
Falta de
mecanismos de Abuso de
Servidor web
R11 autenticación e derechos Bajo Alto Relevante
identificación de
usuarios
S
Mala gestión de Abuso de
A
R12 Servidor web Muy Bajo Alto Relevante
contraseñas derechos
IC
Servicios Procesamiento
R13 Servidor web innecesarios ilegal de los Bajo Alto Relevante
S
para el usuario datos
S FÍ
Falta de
Licencia de Abuso o
mecanismos de
Microsoft forzado de
R14 autenticación e Bajo Muy Alto Relevante
Windows 7 derechos
A S
identificación de
usuarios
Licencia de
IC A Abuso o
R15
T I
Mala gestión de
Á C
Microsoft forzado de Bajo Muy Alto Relevante
contraseñas
Windows 7 derechos
M N
Falta de
Licencia de mecanismos de Abuso o
A E
usuarios
Y A
Licencia de Abuso o
Mala gestión de
R18 Microsoft forzado de Bajo Alto Relevante
C
contraseñas
Office 2013 derechos
E
Falta de
Abuso de
LI
Defectos en el
Abuso de
R21 Página web funcionamiento Alto Medio Alto
derechos
B
del software
Interfaz de
Error en el uso
R22 Página web usuario Alto Medio Alto
del software
complicada
Servicios Procesamiento
Página web
R24 innecesarios ilegal de los Alto Medio Alto
para el usuario datos
Defectos en el
Intranet de la Abuso de
R25 funcionamiento Alto Alto Alto
institución derechos
del software
82
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Matriz de Riesgos
Impacto
Posibilidad de
estimad
ID de que la amenaza Nivel de
Activo Vulnerabilidad Amenaza o en la
Riesgo explote la Riesgo
instituci
vulnerabilidad
ón
Pocos o nulos
Intranet de la Abuso de
R26 controles de Alto Alto Alto
institución derechos
acceso
Interfaz de
Intranet de la Error en el uso
S
R27 usuario Alto Alto Alto
institución del software
complicada
A
R28
Intranet de la Fechas Error en el
IC
Bajo Alto Relevante
institución incorrectas accionar
S
Intranet de la Mala gestión de Abuso de
R29 Medio Alto Alto
institución contraseñas derechos
S FÍ
Servicios Procesamiento
Intranet de la
R30 innecesarios ilegal de los Alto Alto Alto
institución
A S
para el usuario datos
IC A
Email (para
el envío Defectos en el
T I Abuso de
R31 electrónico funcionamiento Alto Alto Alto
Á C
derechos
de del software
M N
información)
Email (para
E IE
de auditoria
información)
A E
Email (para
el envío
M D
Fechas Error en el
R33 electrónico Muy bajo Alto Relevante
incorrectas accionar
de
Y A
información)
C
de identificación de
información) usuarios
O
Email (para
LI
el envío Falta de
Manipulación
R35 electrónico backups de Medio Alto Alto
de información
IB
de información
información)
B
83
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Matriz de Riesgos
Impacto
Posibilidad de
estimad
ID de que la amenaza Nivel de
Activo Vulnerabilidad Amenaza o en la
Riesgo explote la Riesgo
instituci
vulnerabilidad
ón
Red de la
Gestión Saturación de
Institución
R39 inadecuada de los sistemas Alto Alto Alto
(carpetas
la red de información
compartidas)
S
Red de la Uso no
Conexiones de
A
Institución autorizado de
R40 red Medio Alto Alto
(carpetas los equipos de
IC
desprotegidas
compartidas) red
S
Falta de Robo o
Archivos de
R41 mecanismos de pérdida de Alto Muy Alto Critico
S FÍ
la sede
backup documentos
Falta de cuidado
Robo o
A S
Archivos de en el transporte
R42 manipulación Alto Muy Alto critico
la sede o en su
IC A
del activo
transferencia
T I
Á C
Uso inadecuado Destrucción o
M N
Documento
A E
de la
Falta de Robo o
programació
M D
mensual
C
Documento
de la Falta de cuidado
E
Robo o
programació en el transporte
R45 manipulación Medio Muy Alto Alto
T
n académica o en su
del activo
anual y transferencia
O
mensual
LI
Documento
de la
IB
anual y
mensual
Reporte de Falta de Robo o
alumnos mecanismos de pérdida de
R47 Bajo Muy Alto Relevante
aptos para backup documentos
matricularse
Reporte de Falta de cuidado
Robo o
alumnos en el transporte
R48 manipulación Medio Muy Alto Alto
aptos para o en su
del activo
matricularse transferencia
Reporte de
Pocos o nulos Robo o
alumnos
R49 controles de manipulación Alto Muy Alto Critico
aptos para
acceso del activo
matricularse
84
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Matriz de Riesgos
Impacto
Posibilidad de
estimad
ID de que la amenaza Nivel de
Activo Vulnerabilidad Amenaza o en la
Riesgo explote la Riesgo
instituci
vulnerabilidad
ón
Información
de alumnos Falta de Robo o
R50 de mecanismos de pérdida de Bajo Alto Relevante
semestres backup documentos
anteriores
S
Información
de alumnos Pocos o nulos Robo o
A
R51 de controles de manipulación Medio Alto Alto
IC
semestres acceso del activo
anteriores
Documento
S
de Falta de Robo o
S FÍ
R52 frecuencia mecanismos de pérdida de Bajo Muy Alto Relevante
de cursos backup documentos
por ciclo
A S
Documento
Falta de cuidado
IC A
de Robo o
en el transporte
R53 frecuencia T I manipulación Medio Muy Alto Alto
o en su
de cursos del activo
Á C
transferencia
por ciclo
M N
Documento
de Pocos o nulos Robo o
E IE
por ciclo
Documento Robo o
Falta de
A E
de alumnos pérdida de
R55 mecanismos de Bajo Muy Alto Relevante
inscritos por documentos
M D
backup
ciclo
Y A
inscritos por o en su
del activo
ciclo transferencia
E
Documento
T
inscritos por
acceso del activo
ciclo
LI
Falta de Robo o
Ficha de
IB
85
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Matriz de Riesgos
Impacto
Posibilidad de
estimad
ID de que la amenaza Nivel de
Activo Vulnerabilidad Amenaza o en la
Riesgo explote la Riesgo
instituci
vulnerabilidad
ón
Registro de
orden de Pocos o nulos Robo o
R62 cobro a los controles de manipulación Muy Alto Alto Critico
alumnos acceso del activo
inscritos
S
Consolidado
de la
A
Falta de Robo o
información
R63 mecanismos de pérdida de Bajo Muy Alto Relevante
IC
de las fichas
backup documentos
de admisión
(virtual)
S
Consolidado
S FÍ
de la Falta de cuidado Robo o
información en el transporte manipulación
R64 Medio Muy Alto Alto
de las fichas o en su del activo
A S
de admisión transferencia
IC A
(virtual)
Consolidado T I
de la
Á C
Pocos o nulos Robo o
información
R65 controles de manipulación Alto Muy Alto Critico
M N
de las fichas
acceso del activo
de admisión
E IE
(virtual)
Resultados
T C
de la
Falta de Robo o
Evaluación
R66 mecanismos de pérdida de Bajo Muy Alto Relevante
de Aptitud
A E
backup documentos
Emprendedo
M D
ra
Resultados
Y A
Emprendedo transferencia
ra
T
Resultados
O
de la
Pocos o nulos Robo o
Evaluación
R68 controles de manipulación Alto Muy Alto Critico
LI
de Aptitud
acceso del activo
Emprendedo
IB
ra
Ficha de Falta de Robo o
B
R69 Admisión (en mecanismos de pérdida de Muy Alto Muy Alto Critico
físico) backup documentos
Falta de cuidado
Ficha de Robo o
en el transporte
R70 Admisión (en manipulación Bajo Alto Relevante
o en su
físico) del activo
transferencia
Ficha de Falta de Robo o
R71 Matricula (en mecanismos de pérdida de Muy alto Alto Critico
físico) backup documentos
Falta de cuidado
Ficha de Robo o
en el transporte
R72 Matricula (en manipulación Bajo Alto Relevante
o en su
físico) del activo
transferencia
86
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Matriz de Riesgos
Impacto
Posibilidad de
estimad
ID de que la amenaza Nivel de
Activo Vulnerabilidad Amenaza o en la
Riesgo explote la Riesgo
instituci
vulnerabilidad
ón
Reporte de
Falta de Robo o
alumnos
R73 mecanismos de pérdida de Bajo Muy Alto Relevante
matriculados
backup documentos
(en físico)
Reporte de
S
Falta de cuidado Robo o
alumnos
R74 en el transporte manipulación Medio Muy Alto Alto
A
matriculados
o en su transfer. del activo
(en físico)
IC
Reporte de Pocos o nulos
Robo o
alumnos controles de
S
R75 manipulación Alto Muy Alto Critico
matriculados acceso
del activo
S FÍ
(en físico)
Ficha de
Falta de Robo o
preinscripció
A S
R76 mecanismos de pérdida de Muy Alto Alto Critico
n de
backup documentos
IC A
matrícula
Ficha de
T I
Falta de cuidado Robo o
preinscripció
Á C
R77 en el transporte manipulación Bajo Alto Relevante
n de
o en su transfer del activo
M N
matrícula
Reporte
E IE
Falta de Robo o
visado de
R78 mecanismos de pérdida de Muy Alto Alto Critico
cartas de
backup documentos
T C
descuento
Reporte Falta de cuidado
Robo o
A E
visado de en el transporte
R79 manipulación Bajo Alto Relevante
cartas de o en su
M D
del activo
descuento transferencia
Y A
Certificado
Falta de Robo o
de estudios
R80 mecanismos de pérdida de Bajo Muy Alto Relevante
C
superiores
backup documentos
(original)
E
Certificado
T
R81 superiores
o en su transfer. del activo
(original)
LI
Certificado
Pocos o nulos Robo o
de estudios
IB
Falta de
Robo o
mecanismos de
R83 Foto pérdida de Bajo Muy Alto Relevante
backup
documentos
Falta de cuidado
Robo o
en el transporte
R84 Foto manipulación Medio Muy Alto Alto
o en su
del activo
transferencia
Pocos o nulos Robo o
R85 Foto controles de manipulación Alto Muy Alto Critico
acceso del activo
87
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Matriz de Riesgos
Impacto
Posibilidad de
estimad
ID de que la amenaza Nivel de
Activo Vulnerabilidad Amenaza o en la
Riesgo explote la Riesgo
instituci
vulnerabilidad
ón
Recibo de
Falta de Robo o
pago por
R86 mecanismos de pérdida de Muy Alto Alto Critico
derecho de
backup documentos
titulación
Recibo de Falta de cuidado
Robo o
S
pago por en el transporte
R87 manipulación Bajo Alto Relevante
derecho de o en su
A
del activo
titulación transferencia
IC
Falta de Robo o
R88 Diploma mecanismos de pérdida de Bajo Muy Alto Relevante
S
backup documentos
S FÍ
Falta de cuidado
Robo o
en el transporte
R89 Diploma manipulación Medio Muy Alto Alto
o en su
A S
del activo
transferencia
IC A
Pocos o nulos Robo o
R90 Diploma controles de manipulación Alto Muy Alto Critico
T I
Á C
acceso del activo
M N
backup documentos
Falta de cuidado
T C
Título de Robo o
en el transporte
egresado manipulación Medio Muy Alto Alto
R92 o en su
del activo
A E
transferencia
M D
Falta de cuidado
Fotocopia Robo o
O
en el transporte
R95 del título de manipulación Medio Muy Alto Alto
o en su
egresado del activo
LI
transferencia
Fotocopia Pocos o nulos Robo o
IB
Luego de definir los niveles de riesgos respecto a las vulnerabilidades de cada activo y
las amenazas que puedan afectar su integridad, confidencialidad o disponibilidad; se
definió un criterio de aceptación del riesgo el cual determina si el riesgo es aceptable o
88
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Moderado Riesgo aceptable
A
IC
Bajo Riesgo aceptable
S
Tabla 11: Plan de tratamiento de riesgos
S FÍ
El tratamiento de los riesgos cuyo nivel sea “Crítico” o “Alto” es recurrir a la
A S
implementación de ciertos controles para reducir la probabilidad que dichos riesgos
IC A
identificados se materialicen. Finalmente, no se requerirá de tratamiento para los
T I
Á C
niveles de riesgos de “Relevante”, “Moderado” y “Bajo” ya que se considera que la
M N
Los controles que se han seleccionado para el tratamiento de los riesgos son los que
A E
M D
se detallan en el estándar ISO 27002, el cual contiene una lista bastante completa de
objetivos de control y controles comúnmente relevantes para las organizaciones en
Y A
que todos estos controles o políticas contribuyen a la mitigación de todos los riesgos
IB
89
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Categoría de
Clausula Nombre Control Descripción
Seguridad
S
información
de la información debe
A
ser revisada
Revisión de la política regularmente a
IC
de seguridad de la intervalos planeados o
información si ocurren cambios
S
significativos para
asegurar la continua
S FÍ
idoneidad, eficiencia y
efectividad
A S
La alta gerencia de
IC A
debe apoyar
T I activamente la
seguridad dentro de la
Á C
Compromiso de la organización a través de
M N
reconocimiento de las
responsabilidades de la
seguridad de la
A E
información.
M D
Las actividades de
seguridad de la
Y A
diferentes partes de la
organización con las
T
funciones y roles
O
laborales relevantes.
LI
Se deben definir
Asignación de
claramente las
responsabilidades de la
IB
responsabilidades de la
seguridad de la
seguridad de la
información
información
B
Se debe definir e
Proceso de autorización implementar un proceso
para los medios de de autorización
procesamiento de gerencial para los
información nuevos medios de
procesamiento
90
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Categoría de
Clausula Nombre Control Descripción
Seguridad
Se deben identificar y
revisar regularmente los
requerimientos de
confidencialidad o los
Acuerdos de
acuerdos de no-
confidencialidad
divulgación reflejando
las necesidades de la
organización para la
protección de la
S
información
A
Se deben tratar todos
IC
los requerimientos de
Tratamiento de la
seguridad identificados
Entidades externas seguridad cuando se
antes de otorgar a los
S
trabaja con clientes
clientes acceso a la
S FÍ
información o activos de
la organización
A S
Todos los activos deben
estar claramente
IC A
Responsabilidad por los
Inventarios de activos identificados y se debe
activos
elaborar y mantener un
T I
Á C
inventario de todos los
activos importantes
M N
Se deben identificar,
E IE
documentar e
implementar las reglas
T C
los medios de
M D
procesamiento de la
información
Gestión de activos
Y A
requerimientos legales y
T
confidencialidad
O
Se debe desarrollar e
Clasificación de la implementar un
LI
etiquetar y manejar la
la información
información en
concordancia con el
B
esquema de
clasificación adoptado
por la organización.
Los eventos de
Reporte de eventos y seguridad de la
Gestión de incidentes Reporte de eventos en
debilidades en la información deben
en la seguridad de la la seguridad de la
seguridad de la reportarse a través de
información información
información los canales gerenciales
apropiados lo más
rápidamente posible
91
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Categoría de
Clausula Nombre Control Descripción
Seguridad
S
seguridad de los
sistemas o servicios.
A
IC
Se deben establecer las
responsabilidades y
procedimientos
S
Responsabilidades y gerenciales para
S FÍ
procedimientos asegurar una respuesta
rápida, efectiva y
ordenada a los
A S
incidentes de seguridad
IC A
de información
T I Deben existir
Á C
mecanismos para
Aprendizaje de los
permitir cuantificar y
M N
incidentes en la
monitorear los tipos,
seguridad de la
E IE
volúmenes y costos de
Gestión de incidentes y información
los incidentes en la
mejoras en la seguridad seguridad de la
T C
de la información información.
A E
Cuando la acción de
seguimiento contra una
M D
persona u organización
después de un incidente
Y A
en la seguridad de la
C
información involucra
Recolección de una acción legal (sea
E
presentar evidencia
O
establecidas en la(s)
jurisdicción(es)
IB
relevantes.
registros importantes de
una organización de
pérdida, destrucción y
Cumplimiento con Protección los registros falsificación, en
Cumplimiento
requerimientos legales organizacionales concordancia con los
requerimientos
estatutarios,
reguladores,
contractuales y
comerciales
92
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Categoría de
Clausula Nombre Control Descripción
Seguridad
Se deben asegurar la
protección y privacidad
Protección de data y
tal como se requiere en
privacidad de
la legislación relevante,
información personal
las regulaciones y, si
fuese aplicable, las
cláusulas contractuales.
Se debe desanimar a
S
Prevención de mal uso los usuarios de utilizar
de medios de los medios de
A
procesamiento de procesamiento de la
IC
información información para
propósitos no-
autorizados
S
S FÍ
Se deben documentar y
mantener los
Gestión de las Procedimientos y Procedimientos de
procedimientos de
comunicaciones y responsabilidades operación
A S
operación, y se deben
operaciones operacionales documentados
poner a disposición de
IC A
T I todos los usuarios que
los necesiten
Á C
La alta gerencia debe
M N
formal
El desarrollo de
A E
procede a listar los controles para el tratamiento de los diversos riesgos identificados;
B
especificando el control, su descripción según la norma ISO 27002, los riesgos que
mitigará y la adaptación de dicho control con la realidad organizacional de la UPTP.
93
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos Adaptación a la
Categoría de
Clausula Nombre Control Descripción a entidad
Seguridad
Controlar educativa
Se deben
Se deberán
proteger las
proteger las áreas
áreas seguras
seguras del
mediante
instituto mediante
controles de
Controles de controles de
entrada
entrada físicos R43 entrada
apropiados para
apropiados para
asegurar que
asegurar que sólo
S
sólo se permita
Áreas seguras se permita acceso
acceso al
A
al personal
personal
autorizado.
IC
autorizado.
Se deberán
Se debe diseñar
S
Seguridad de diseñar y aplicar
y aplicar
oficinas, controles de
S FÍ
seguridad física
habitaciones y R43 seguridad físicos
en las oficinas,
medios en las oficinas,
habitaciones y
habitaciones y
A S
medios.
medios.
IC A Los equipos
T I El equipo debe electrónicos
Á C
estar ubicado o críticos deberán
M N
Los equipos
C
electrónicos
El equipo debe
críticos deberán
E
ser protegido de
ser protegidos de
fallas de energía
T
fallas de energía y
Seguridad del y otras
otras
O
equipo interrupciones
R2,R3 interrupciones
Servicios causadas por
causadas por
LI
públicos.
eléctricos o de
telecomunicacion
B
es.
El cableado
El cableado de la
eléctrico y de las
energía y las
telecomunicacion
telecomunicacion
es que llevan data
es que llevan
o sostienen los
data o sostienen
R3,R7,R8 servicios de
Seguridad en el los servicios de
R10 información de
cableado información
Universidad
deben ser
deberá ser
protegidos de la
protegidos
intercepción o
mediante tubos u
daño.
otros controles.
94
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos Adaptación a la
Categoría de
Clausula Nombre Control Descripción a entidad
Seguridad
Controlar educativa
Los equipos
El equipo debe deberán pasar por
ser mantenido mantenimiento 1
correctamente vez mensual para
para permitir su R2,R3 asegurar la
Mantenimiento
continua R21 continuidad de los
de equipo
disponibilidad e sistemas y demás
integridad. aplicativos que
S
dan soporte a los
procesos críticos
A
Los gerentes del
IC
instituto deberán
Se deben asegurar que los
S
establecer los requerimientos y
criterios de criterios de
S FÍ
aceptación para aceptación de los
los sistemas de sistemas nuevos
información estén claramente
A S
nuevos, definidos,
IC A
actualizaciones y aceptados,
R21,R22
versiones nuevas documentados y
T I R25,R27
Á C
y se deben llevar probados. Los
Planeación y R31
Aceptación del a cabo pruebas sistemas de
aceptación del
M N
sistema(s) actualizaciones y
durante su las versiones
T C
La protección
contra códigos
C
maliciosos se
E
deberá basar en
Se deben
la detección de
T
implementar
códigos
controles de
O
maliciosos dentro
detección,
de los sistemas
Controles contra prevención y R21,R25
LI
del instituto y la
Protección contra software recuperación R31
reparación del
software malicioso malicioso para protegerse
IB
software,
y código móvil de códigos
conciencia de
malicioso.
seguridad, y los
B
apropiados
controles de
acceso a los
sistemas.
95
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos Adaptación a la
Categoría de
Clausula Nombre Control Descripción a entidad
Seguridad
Controlar educativa
La institución
Se deben realizar educativa deberá
copias de back- proporcionar
up o respaldo de medios de
la información respaldo
comercial y R58,R60 adecuados para
software esencial R69,R71 asegurar que toda
Back-up o
Respaldo (back- y se deben R76,R78 la información
respaldo de la
S
up) probar R86 esencial y crítica
información
regularmente de se pueda
A
acuerdo a la recuperar
IC
política. después de algún
desastre o falla de
medios
S
S FÍ
Las redes deben
ser El área de
adecuadamente Sistemas de la
A S
manejadas y institución deberá
controladas para implementar
seguridad de
sistemas y redes, y proteger
redes
E IE
información en autorizados.
tránsito.
A E
Se deberán
M D
Se deben
establecer
establecer los
procedimientos
Y A
procedimientos
R45,R48 para la
para el manejo y
C
R84,R89 comunicación de
información de
R92,R95 la información
O
una divulgación
consistente con
no autorizada o
su clasificación
LI
un mal uso.
IB
Se deberán
establecer
Se deben
B
políticas,
establecer
procedimientos y
política,
controles para
procedimientos y
proteger el
controles de R45,R48
Procedimientos y intercambio de
intercambio R53,R56
Intercambio de políticas de información que
formales para R64,R67
información información y se dé en la sede
proteger el R74,R81
software del instituto a
intercambio de R84,R89
través de todos
información a R92,R95
los tipos de
través del uso de
medios de
todos los tipos de
comunicación que
medios de
se manejen
comunicación.
(teléfonos, correo
electrónico, etc.).
96
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos Adaptación a la
Categoría de
Clausula Nombre Control Descripción a entidad
Seguridad
Controlar educativa
La institución
deberá manejar
Se debe proteger distintas políticas
Mensajes adecuadamente y controles que le
electrónicos los mensajes R31,R34 permitan manejar
electrónicos de manera segura
el intercambio de
información vía
S
Email.
A
Se deben La institución
IC
producir registros deberá producir
de las logs de auditoría,
actividades de excepciones y
S
auditoría, eventos de
S FÍ
excepciones y seguridad de
eventos de información. Estos
seguridad de la registros se deben
Registro de
A S
información y se mantener durante
auditoria R32
deben mantener un período
monitorear el sistemas y
control de aplicativos que se
Monitoreo
T C
acceso. necesiten
La institución
A E
deberá determinar
Se deben
M D
el nivel de
establecer
monitoreo
procedimientos
Y A
el uso de los
individuales
medios de
mediante una
E
procesamiento
R32 evaluación del
Uso del sistema de información y
T
riesgo. La
de monitoreo el resultado de
O
institución deberá
las actividades
cumplir con los
de monitoreo se
LI
requerimientos
debe revisar
legales relevantes
regularmente.
IB
aplicables para
sus actividades de
monitoreo.
B
La institución
Debe existir un R16,R19
deberá manejar
procedimiento R24,R26
un procedimiento
formal para la R30,R34
formal para la
inscripción y des- R37,R46
Gestión del inscripción y des-
Control de inscripción para R49,R51
acceso del Inscripción del inscripción para
acceso otorgar acceso a R54,R57
usuario usuario otorgar acceso a
todos los R62,R65
los usuarios de
sistemas y R68,R75
todos los sistemas
servicios de R82,R85
y servicios de
información. R90,R93
información que la
R96
institución posea.
97
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos Adaptación a la
Categoría de
Clausula Nombre Control Descripción a entidad
Seguridad
Controlar educativa
Los sistemas
multi-usuario del
instituto que
requieren
protección contra
Se debe restringir
el acceso no
Gestión de y controlar la R16,R24
autorizado
privilegios asignación y uso R30,R34
deberán controlar
S
de los privilegios R37
la asignación de
A
privilegios a
través de un
IC
proceso de
autorización
S
formal.
S FÍ
El área de
Sistemas deberá
A S
proporcionar
directrices para la
IC A La asignación de
gestión para las
T I contraseñas de
Á C
claves se debe
Gestión de la los distintos
controlar a través R6,R29
M N
se posean. Estas
políticas pueden
T C
abarcar la
generación,
cambio y entrega
A E
de la contraseña.
M D
El área de
Sistemas deberá
Y A
proporcionar
C
cambio y entrega
de la contraseña.
B
98
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos Adaptación a la
Categoría de
Clausula Nombre Control Descripción a entidad
Seguridad
Controlar educativa
El área de
Sistemas deberá
proporcionar
políticas para las
Se debe requerir
contraseñas de
que los usuarios
los distintos
sigan buenas
Responsabilidade sistemas de
Uso de clave prácticas de R6,R29
s del usuario información que
S
seguridad en la R38
se posean. Estas
selección y uso
A
políticas deberán
de claves.
seguir buenas
IC
prácticas de
seguridad en la
S
selección y uso de
claves.
S FÍ
Todos los
A S
usuarios del
instituto deberán
IC A
T I Se debe requerir estar al tanto de
que los usuarios los requerimientos
Á C
Equipo de se aseguren de de seguridad y los
usuario dar la protección procedimientos
M N
R1
desatendido apropiada al para proteger su
equipo respectivo equipo
E IE
responsabilidades
para implementar
A E
dicha protección.
M D
La políticas de
Responsabilidade escritorio limpio y
Y A
almacenaje clasificaciones de
pantalla y
removibles y una R1,R5 información,
escritorio limpio
LI
política de requerimientos
pantalla limpia legales y
IB
de la información. riesgos y
aspectos
culturales de la
organización
99
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos Adaptación a la
Categoría de
Clausula Nombre Control Descripción a entidad
Seguridad
Controlar educativa
Se deberá
formular una
política
relacionada con el
Los usuarios sólo
uso de las redes y
deben tener
los servicios de la
acceso a los
Política sobre el red, de tal manera
Control de acceso servicios para los
uso de servicios que los usuarios
a redes cuales han sido R40
S
en red del instituto sólo
específicamente
deberán tener
A
autorizados a
acceso a los
usar.
IC
servicios para los
cuales han sido
específicamente
S
autorizados a
S FÍ
usar.
A S
Todos los
usuarios de los
IC A
sistemas del
instituto deberán
T I
Á C
tener un
Todos los
identificador
M N
usuarios deben
singular (ID de
tener un
usuario) para su
E IE
identificador
uso personal y
singular (ID de
exclusivo
T C
usuario) para su
(incluyendo el
Identificación y uso personal y
personal de
autenticación del exclusivo, se
A E
técnica de
administradores
autenticación
de redes,
Y A
adecuada para
programadores de
verificar la
sistemas y
C
identidad del
Control de acceso administradores
usuario.
E
al sistema de bases de
datos) para poder
T
operativo
verificar la
O
identidad de la
persona que
LI
acceda a la PC.
IB
Se restringirá y
controlará
B
Se debe restringir
estrictamente el
y controlar
uso de los
estrictamente el
programas de
uso de los
utilidad que
Uso de utilidades programas de
R16,R19 podrían ser
del sistema utilidad que
R24,R30 capaces de
podrían superar
superar los
al sistema y los
controles de
controles de
Windows y de las
aplicación.
aplicaciones a las
cuales el usuario
tiene acceso.
100
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos Adaptación a la
Categoría de
Clausula Nombre Control Descripción a entidad
Seguridad
Controlar educativa
Las sesiones
Las sesiones inactivas de los
inactivas deben usuarios de
cerrarse después Windows deberán
Sesión inactiva
de un período de R1 cerrarse después
inactividad de un período de
definido inactividad
definido por el
S
área de Sistemas.
A
IC
Tabla 13: Controles para el tratamiento de riesgos
S
S FÍ
4.2.8. Fase Ocho: Mapeo de los controles con COBIT 5
A S
En este punto se identificarán los objetivos corporativos que COBIT 5 propone,
IC A
relacionados a los objetivos de negocio de la UPTP. Luego, se procederá a relacionar
T I
Á C
las metas de TI asociadas a dichos objetivos organizacionales y, a continuación, se
M N
identificará los procesos habilitadores que dan soporte al cumplimiento de dichas metas
E IE
de TI. Todo este mapeo sigue el esquema de la “Cascada de Objetivos" que propone
COBIT 5 (figura 10). Finalmente, se comparará y evaluara los procesos habilitadores
T C
finales con los controles para el tratamiento de los riesgos que se establecieron en el
A E
punto anterior.
M D
Cabe recordar que COBIT 5 se focaliza en lo que una empresa necesita hacer, no
Y A
conjunto con los demás gerentes de las demás áreas. Mientras que los controles que
E
propone la ISO 27002, tienen un mayor grado de detalle, siendo enfocados a la parte
T
una mayor luz al enfoque de cada marco y/o norma, se procede a realizar el mapeo
LI
correspondiente.
IB
101
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
Aprendizaje y Crecimiento 16 Personas cualificadas y motivadas
A
Aprendizaje y Crecimiento 17 Cultura de innovación de productos y del negocio
IC
Tabla 14: Objetivos organizacionales de la UPTP según COBIT 5
S
A continuación, en la tabla siguiente podemos apreciar la relación de los objetivos de TI
S FÍ
requeridos para el logro de los objetivos organizacionales mencionados en la tabla
A S
anterior. La lista completa de los objetivos de TI propuestos por COBIT 5 se ubica en el
IC A
anexo 8. T I
Á C
M N
ID
ID Objetivos de la UPTP Objetivos de TI
TI
E IE
Retorno de valor de las inversiones Servicios de TI alineados con los requerimientos del
1 7
C
estándares de calidad
IB
5
portafolio de servicios
102
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
ID
ID Objetivos de la UPTP Objetivos de TI
TI
S
cliente 7
negocio
A
1 Alineación de las TI y las estrategias del negocio
IC
4 Gestión de riesgos del negocio relacionados con TI
Continuidad y disponibilidad del
7 servicio Seguridad de la información, infraestructura de
S
10
procesamiento y aplicaciones
S FÍ
Disponibilidad de información fiable y útil para la toma de
14
decisiones
A S
Servicios de TI alineados con los requerimientos del
7
negocio
IC A
Respuesta ágil a los cambios en el
8 entorno empresarial 9 Agilidad de TI
T I
Á C
Conocimiento, experiencia e iniciativas para la
17
innovación empresarial
M N
Optimización de la funcionalidad de
Uso adecuado de las aplicaciones, información y
T
9 Agilidad de TI
LI
103
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
ID
ID Objetivos de la UPTP Objetivos de TI
TI
Personas cualificadas y motivadas
16 16 Personal de TI cualificado y motivado
S
A
Siguiendo con el mapeo, en la siguiente tabla se procede a relacionar los objetivos de
IC
TI con los procesos habilitadores que COBIT 5 define. Cabe resaltar que estos
S
procesos habilitadores dan soporte a la realización y logro de dichos objetivos .
S FÍ
A S
ID
Objetivos de TI ID Proc. Procesos habilitadores
IC A
TI
BAI02 Gestionar la definición de requisitos
T I
Alineación de las TI y las estrategias del
Á C
1 Asegurar el mantenimiento y ajuste del
negocio EDM01
marco de gobierno
M N
MEA01
conformidad
Monitorear y evaluar el sistema de
MEA02
control interno
Monitorear y evaluar el cumplimiento
MEA03
de requerimientos externos
Beneficios logrados de inversiones en TI y
5 APO10 Administrar Proveedores
en el portafolio de servicios
APO12 Gestionar riesgos
Transparencia de los costos, beneficios y BAI09 Gestionar los activos
6
riesgos de TI Garantizar la transparencia de los
EDM05
stakeholders
104
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
ID
Objetivos de TI ID Proc. Procesos habilitadores
TI
APO10 Administrar Proveedores
BAI02 Gestionar la definición de requisitos
BAI06 Gestionar los cambios
DSS03 Gestión de problemas
Administrar los controles de procesos
Servicios de TI alineados con los DSS06
del negocio
7 requerimientos del negocio
Asegurar el mantenimiento y ajuste del
EDM01
S
marco de gobierno
A
Garantizar la transparencia de los
EDM05
stakeholders
IC
Monitorear y evaluar el rendimiento y la
MEA01
conformidad
S
Uso adecuado de las aplicaciones, Gestionar la transición y aceptación del
S FÍ
8 BAI07
información y soluciones tecnológicas cambio
APO10 Administrar Proveedores
A S
9 Agilidad de TI
BAI08 Gestión del conocimiento
IC A
Seguridad de la información, infraestructura APO12 Gestionar riesgos
10
T I
de procesamiento y aplicaciones
Á C
BAI06 Gestionar los cambios
M N
de calidad
T
Tabla 16: Procesos habilitadores de COBIT 5 según los objetivos de TI de la entidad educativa
Finalmente, se presenta la tabla con el detalle del mapeo entre los procesos
habilitadores identificados y los controles establecidos en el punto anterior para el
tratamiento de los riesgos de los activos en la institución.
105
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Proceso ID
ID Nombre Control Descripción
Habilitador Control
Se deben identificar y revisar regularmente
los requerimientos de confidencialidad o
Acuerdos de
A.6.1.5 los acuerdos de no-divulgación reflejando
confidencialidad
las necesidades de la organización para la
protección de la información
S
Se deben asegurar la protección y
Protección de
privacidad tal como se requiere en la
A
data y privacidad
A.15.1.4 legislación relevante, las regulaciones y, si
de información
IC
fuese aplicable, las cláusulas
personal
contractuales.
S
Reporte de Los eventos de seguridad de la
S FÍ
eventos en la información deben reportarse a través de
A.13.1.1
seguridad de la los canales gerenciales apropiados lo más
información rápidamente posible
A S
Gestionar Se debe requerir que todos los
IC A
APO12 empleados, contratistas y terceros
riesgos T I Reporte de usuarios de los sistemas y servicios de
Á C
A.13.1.2 debilidades en la información tomen nota y reporten
seguridad cualquier debilidad observada o
M N
sistemas o servicios.
Procedimientos
procedimientos de operación, y se deben
A.10.1.1 de operación
poner a disposición de todos los usuarios
documentados
A E
aceptación.
O
Proceso de
Gestionar la
autorización para Se debe definir e implementar un proceso
transición y A.6.1.4
BAI07 los medios de de autorización gerencial para los nuevos
aceptación del
procesamiento de medios de procesamiento de información
cambio
información
106
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Proceso ID
ID Nombre Control Descripción
Habilitador Control
Se deben establecer los criterios de
aceptación para los sistemas de
información nuevos, actualizaciones y
Aceptación del
A.10.3.2 versiones nuevas y se deben llevar a cabo
sistema
pruebas adecuadas del(los) sistema(s)
durante su desarrollo y antes de su
aceptación.
S
A.10.1.1 de operación
poner a disposición de todos los usuarios
documentados
A
que los necesiten
IC
Se deben establecer los criterios de
aceptación para los sistemas de
S
información nuevos, actualizaciones y
Gestión del Aceptación del
BAI08 A.10.3.2 versiones nuevas y se deben llevar a cabo
S FÍ
conocimiento sistema
pruebas adecuadas del(los) sistema(s)
durante su desarrollo y antes de su
aceptación
A S
IC A
Aprendizaje de los Deben existir mecanismos para permitir
incidentes en la cuantificar y monitorear los tipos,
T I
A.13.2.2
seguridad de la volúmenes y costos de los incidentes en la
Á C
información seguridad de la información
M N
activos importantes
Prevención de
Se debe desanimar a los usuarios de
mal uso de
utilizar los medios de procesamiento de la
E
A.15.1.5 medios de
información para propósitos no-
procesamiento de
T
autorizados
información
O
activos importantes.
Prevención de
Se debe desanimar a los usuarios de
mal uso de
utilizar los medios de procesamiento de la
A.15.1.5 medios de
información para propósitos no-
procesamiento de
autorizados.
información
107
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Proceso ID
ID Nombre Control Descripción
Habilitador Control
Se deben realizar copias de back-up o
Back-up o
respaldo de la información comercial y
A.10.5.1 respaldo de la
software esencial y se deben probar
información
regularmente de acuerdo a la política
S
procesos del en tránsito.
negocio
A
Se deben establecer los procedimientos
IC
Procedimientos para el manejo y almacenaje de la
A.10.7.3 de manejo de la información para proteger dicha
información información de una divulgación no
S
autorizada o un mal uso.
S FÍ
Mensajes Se debe proteger adecuadamente los
A.10.8.4
electrónicos mensajes electrónicos
A S
La alta gerencia debe apoyar activamente
Asegurar el
IC A
Compromiso de la la seguridad dentro de la organización a
mantenimiento
gerencia con la través de una dirección clara, compromiso
EDM01 y ajuste del
T I
A.6.1.1
Á C
seguridad de la demostrado, asignación explícita y
marco de
información reconocimiento de las responsabilidades
gobierno
M N
de la seguridad de la información
E IE
Garantizar la
T
transparencia Asignación de
EDM05 Se deben definir claramente las
responsabilidades
O
la información
Proceso de
IB
108
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Proceso ID
ID Nombre Control Descripción
Habilitador Control
Se deben establecer procedimientos para
monitorear el uso de los medios de
Uso del sistema
A.10.10.2 procesamiento de información y el
de monitoreo
resultado de las actividades de monitoreo
se debe revisar regularmente.
La alta gerencia debe aprobar un
Documentar
documento de política, este se debe
política de
A.5.1.1 publicar y comunicar a todos los
seguridad de
empleados y entidades externas
información
S
relevantes
A
La política de seguridad de la información
Monitorear y Revisión de la
IC
debe ser revisada regularmente a
evaluar el política de
MEA02 A.5.1.2 intervalos planeados o si ocurren cambios
sistema de seguridad de la
significativos para asegurar la continua
S
control interno información
idoneidad, eficiencia y efectividad
S FÍ
Se deben establecer procedimientos para
monitorear el uso de los medios de
A S
Uso del sistema
A.10.10.2 procesamiento de información y el
de monitoreo
IC A
resultado de las actividades de monitoreo
T I se debe revisar regularmente.
Á C
Monitorear y
Se deben asegurar la protección y
evaluar el Protección de
M N
de de información
fuese aplicable, las cláusulas
requerimientos personal
contractuales.
externos
T C
A E
Riesgos a
Nombre Control Adaptación a la UPTP ¿Aplica? Justificación
Controlar
IB
Actualmente la entidad
educativa toma en cuenta la
B
109
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos a
Nombre Control Adaptación a la UPTP ¿Aplica? Justificación
Controlar
La UPTP toma en
consideración las
Seguridad de Se deberán diseñar y aplicar
recomendaciones por parte
oficinas, controles de seguridad
R43 Si de Defensa Civil con
habitaciones y físicos en las oficinas,
respecto a la seguridad en
medios habitaciones y medios.
aulas y en otros ambientes
físicos
S
Los equipos electrónicos Si bien la institución tiene
A
críticos deberán estar algunas políticas para la
ubicados de tal manera que seguridad de los equipos
IC
Ubicación y
ayudarán a reducir los electrónicos, estas no son
protección del R42 Si
riesgos de las amenazas y las más adecuadas. Estas
S
equipo
peligros ambientales, y las se ajustarán con respecto al
S FÍ
oportunidades para el acceso nivel de seguridad deseado
no autorizado. por la misma organización
A S
Los equipos electrónicos
IC A
críticos deberán ser
La UPTP no posee algún
T I
protegidos de fallas de
Á C
control con respecto a las
Servicios energía y otras
R2,R3 Si fallas de energía pero sabe
M N
controles
eléctricos o de
telecomunicaciones
T C
políticas sobre el
mensual para asegurar la
Mantenimiento R2,R3 mantenimiento de los
IB
demanda
críticos
110
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos a
Nombre Control Adaptación a la UPTP ¿Aplica? Justificación
Controlar
S
nuevos, las actualizaciones y sistemas desarrollados
A
las versiones nuevas internamente
deberán pasar a producción
IC
luego de obtener la
aceptación formal.
S
S FÍ
La protección contra códigos
maliciosos se deberá basar
Adicionalmente a la falta de
A S
en la detección de códigos
pruebas, es necesario
Controles contra maliciosos dentro de los
IC A
R21,R25 implementar controles para
software sistemas de la UPTP y la Si
R31 la detección y prevención
malicioso
T I
reparación del software,
Á C
de ataques maliciosos a los
conciencia de seguridad, y
sistemas
M N
El área de Sistemas de la
T
Controles de red
seguridad de la información R10,R39 Si crítica para la institucion ya
LI
accesos no-autorizados
B
Se deberán establecer
procedimientos para la R45,R48 Este control se relaciona
manipulación, R53,R56
Procedimientos directamente a las políticas
procesamiento, R64,R67
de manejo de la Si de seguridad de
almacenamiento y R74,R81
información R84,R89 información que la
comunicación de la
R92,R95 institución implementará
información consistente con
su clasificación
111
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos a
Nombre Control Adaptación a la UPTP ¿Aplica? Justificación
Controlar
Se deberán establecer
políticas, procedimientos y
controles para proteger el R45,R48 Este control se relaciona
Procedimientos y intercambio de información R53,R56 directamente a las políticas
políticas de que se dé en la sede de la R64,R67
Si de seguridad de
información y institución a través de todos R74,R81
R84,R89 información que la
software los tipos de medios de
R92,R95 institución implementará
comunicación que se maneje
S
(teléfonos, correo electrónico,
A
etc.).
IC
Aun no se tiene ningún
control con respecto al
S
La UPTP deberá manejar
correo electrónico. Sin
distintas políticas y controles
S FÍ
embargo, se deberá
Mensajes que le permitan manejar de
R31,R34 Si considerar ya que el mayor
electrónicos manera segura el
flujo de información entre
A S
intercambio de información
los colaboradores de la
IC A
vía Email.
T I institución se da a través de
esta vía.
Á C
La UPTP deberá producir
M N
excepciones y eventos de
de monitoreo y registro de
seguridad de información.
acciones para auditorias, es
T C
investigaciones futuras y
seguridad deseado por la
monitorear los sistemas y
institución
Y A
el nivel de monitoreo
requerido para los medios La compra e implantación
T
monitoreo
112
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos a
Nombre Control Adaptación a la UPTP ¿Aplica? Justificación
Controlar
La institución maneja
Los sistemas multi-usuario procedimientos para la
de la institución que asignación de accesos y
requieren protección contra privilegios dentro de los
Gestión de R16,R24
el acceso no autorizado sistemas de información,
privilegios R30,R34 Si
deberán controlar la R37 sin embargo estos no son
asignación de privilegios a los más adecuados. Se
través de un proceso de ajustarán con respecto al
S
autorización formal nivel de seguridad deseado
A
por la misma organización
IC
El área de Sistemas deberá
La institución gestiona las
S
proporcionar directrices para
contraseñas dentro de los
S FÍ
la gestión para las
sistemas de información
contraseñas de los distintos
Gestión de la R6,R29 que posee, sin embargo no
sistemas de información que Si
A S
clave del usuario R38 hay políticas formales.
la institución posea. Estas
Estas se crearán para
IC A
políticas pueden abarcar la
mantener un estándar en
generación, cambio y entrega
T I todos los sistemas.
Á C
de la contraseña
M N
gestión de claves
una PC. Estas políticas Windows. Sin embargo,
M D
de la contraseña. en Windows
C
R6,R29
Uso de clave información que la UPTP Si acceso a una PC y a
R38
LI
113
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Riesgos a
Nombre Control Adaptación a la UPTP ¿Aplica? Justificación
Controlar
S
aspectos culturales de la seguridad en los mismos
A
organización usuarios
IC
Se deberá formular una
S
política relacionada con el En conjunto con las
uso de las redes y los políticas de accesos a los
S FÍ
servicios de la red, de tal sistemas y siguiendo las
Política sobre el
manera que los usuarios de políticas de seguridad de
uso de servicios R40 Si
A S
la institución sólo deberán información, la institución
en red
IC A
tener acceso a los servicios buscara formular una
para los cuales han sido política para el uso de
T I
específicamente autorizados redes y servicios de red.
Á C
a usar
M N
E IE
deberán tener un
identificador singular (ID de
Al igual que se busca
A E
personal y exclusivo
Identificación y gestión de usuarios dentro
(incluyendo el personal de
autenticación del R5,R6 Si de los sistemas de la
Y A
gestionar la autenticación
programadores de sistemas y
de los usuarios de Windows
E
administradores de bases de
T
acceda a la PC
LI
Se restringirá y controlará
IB
114
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
V: DISCUSION DE RESULTADOS
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
115
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
A fin de aplicar el Diseño del SGSI en base a los controles de Cobit5, se eligió
la UPTP.
S
seguridad, falta de confidencialidad, en la información, en las claves de acceso,
A
falta de seguridad en la infraestructura, mal manejo de antivirus, alta presencia
IC
de Spam y un servicio de cómputo deficiente.
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
116
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
117
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
118
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
6.1. Conclusiones
S
información, en el futuro se presentan más activos de información, más
A
amenazas, vulnerabilidades y por lo tanto, mayores riesgos. Este escenario no
IC
se puede evitar; es por ello que se concluye, que se debe estar preparado para
S
actuar de manera inmediata ante cualquier nueva vulnerabilidad que se
S FÍ
identifique.
Diseñando una buena metodología para gestionar los riesgos y ejecutando los
A S
IC A
planes de tratamiento de riesgos planteados, se logra reducir a niveles
T I
aceptables gran porcentaje de riesgos que afecten a los activos de
Á C
información.
M N
Conforme a las observaciones, si bien los controles ayudan a mitigar o reducir algún
E
por diversos factores. Estos factores son importantes que se detallen dentro de la
O
tesis.
B
119
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
6.2. Recomendaciones
S
acciones correctivas frente a nuevas vulnerabilidades, amenazas o riesgos
A
detectados; y con base en esa información tomar acciones preventivas.
IC
Se recomienda seguir con la utilización de una metodología para gestionar los
S
riesgos; ya que, de esta manera se puede lograr una reducción en los riesgos
S FÍ
a los cuales son sometidos los activos de información y también se puede
hacer lo mismo para nuevos riesgos que aparezcan.
A S
Se recomienda formar y capacitar de manera periódica al personal en temas
IC A
de seguridad de la información y así lograr que todos los involucrados o
T I
Á C
relacionados con los activos de información tengan los alcances de la
M N
implementación claros.
E IE
mejora de estos
M D
Y A
C
E
T
O
LI
IB
B
120
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
VII: REFERENCIAS BIBLIOGRAFÍAS
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
121
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
[04] UNIT - ISO/IEC 27001:2005. “Tecnología de la información – Técnicas de Seguridad –
A
Sistemas de gestión de la seguridad de la información – Requisitos”.
IC
[05]International Organization of Standardization and International
S
ElectrotechnicalCommission. ISO/IEC 27001:2005 Tecnología de la información – Técnicas de
S FÍ
seguridad – Sistemas de gestión de seguridad de la información – Requerimientos. Primera
edición, 2005.
A S
[06] Daltabuit, E., Hernández, L., Mallen, G. & Vásquez, J. (2007). La seguridad de la
IC A
información. Mexico. Ediciones Limusa.
T I
Á C
[07] Del Carpio, G. Análisis del riesgo en la administración de proyectos de tecnología de
M N
información. (2007)
E IE
[11] Toro, M. 2014. Plan de seguridad de la información ISO 27002 Vs COBIT. Normas y
E
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n.
[14] http://www.iso27000.es/download/doc_sgsi_all.pdf
[15] https://www.isaca.org/cobit/Documents/COBIT-5-Introduction.pdf
[16] mmc.geoFÍSICA.unam.mx. (2003). Políticas de seguridad. Disponible en:
http://mmc.geoFÍSICA.unam.mx/LuCAS/Manuales-LuCAS/docunixsec/unixsec-
html/node333.html.
[17] Iso27001certificates. Disponible en: http://www.iso27001certificates.com
122
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
7.3. Tesis
[18] María Eugenia Corti. “Análisis y automatización de la implantación de SGSI en Empresas
Uruguayas”. Tesis de maestría, Universidad de la República, Facultad de Ingeniería, 2006.
[19] Nivel De Acceso Lógico Basado En La Norma ISO/IEC 27001 En La Comunidad Provincia
De Nuestra Señora De Gracia De Colombia. Proyecto de Grado, Ingeniería de Sistemas,
Fundación Universitaria Konrad Lorenz. Bogotá, Colombia 2010.
[20] Mujica, M. 2007. Diseño de un Plan de Seguridad Informática para la Universidad
S
Nacional Experimental Politécnica “Antonio José de Sucre” Sede Rectoral. Trabajo de grado.
A
Universidad Centroccidental “Lisandro Alvarado”. Barquisimeto. Venezuela.
IC
[21] Nelly, R. 2005. “Diseño e Implantación de un Esquema de Seguridad para el
Intercambio de Información de FARMASALUD” Trabajo de grado. Universidad Metropolitana.
S
Caracas. Venezuela.
S FÍ
[22] Castro Alfonso Favián & Díaz Verano, Fabián A. Análisis De Vulnerabilidades A Nivel De
A S
Acceso Lógico Basado En La Norma ISO/IEC 27001 En La Comunidad Provincia De Nuestra
IC A
Señora De Gracia De Colombia. Proyecto de Grado, Ingeniería de Sistemas, Fundación
T I
Universitaria Konrad Lorenz. Bogotá, Colombia 2010.
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
123
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
VIII: ANEXOS
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
124
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 01
ENCUESTA SOBRE SEGURIDAD DE LA INFORMACIÓN
S
A
información y de qué manera ayudarían a salvaguardar la misma.
IC
Instrucciones:
Para desarrollar este cuestionario, usted debe leer cada pregunta y escoger una de las
S
alternativas propuestas con una “X” dentro de los paréntesis o llenar dentro de las líneas
S FÍ
punteadas según sea su criterio.
A S
1. Sexo:
IC A
T I
Á C
Masculino ( ) Femenino ( )
M N
e. Otros, Especificar………………………………………………………... ( )
T
f. Ninguno. ( )
O
SI ( ) NO ( )
IB
b. Indumentaria ( )
c. Fotochet de visitante (entregado por la UPTP) ( )
d. Otros, Especificar…….………………………… ( )
e. Ninguno
6. Usted apaga los equipos informáticos debidamente después de utilizarlos
SI ( ) NO ( )
Si tu respuesta es Sí, Cómo apagas tu equipo después de trabajar
a. Apagando directamente el estabilizador. ( )
b. Desenchufando el cable de energía de la computadora. ( )
125
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
8. Ha observado algún extinguidor cerca de los equipos informáticos
IC
SI ( ) NO ( )
9. Ha observado algún tipo de señalización de emergencia en los ambientes donde existen
S
equipos informáticos
S FÍ
SI ( ) NO ( )
A S
10. Sabe utilizar de forma adecuada un extintor
IC A
SI ( ) NO ( ) T I
Si la respuesta es Sí; Lo aprendió a utilizar a través de:
Á C
a. Charlas y capacitaciones fuera de la Universidad ( )
M N
c. Manuales de extintor ( )
T C
d. Internet ( )
A E
Si tu respuesta es No;
C
……………………………………………………………………………………………………….
O
12. Ha observado que algún alumno o compañero de trabajo de la UPTP ha bebido líquidos o
LI
13. Ha manipulado alguna vez las entradas de corriente al CPU, los cables del teclado, mouse
B
126
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
SI ( ) NO ( )
16. Hace usted uso de los antivirus en los equipos informáticos de la UPTP cuando ingresa o
saca información en algún dispositivo de almacenamiento
Si ( ) A veces ( ) Nunca ( )
17. Que hace cuando detecta un virus en la computadora de la UPTP
a. Activa el antivirus ( )
b. Activa el antivirus, detecta los virus y los elimina ( )
c. Borra el archivo ( )
S
A
d. Formatea el dispositivo de almacenamiento ( )
IC
e. No hago nada (Por qué no sé) ( )
f. Otros, Especificar……………………………….. ( )
S
18. Usted ha detectado que el antivirus de la UPTP funciona adecuadamente y que se
S FÍ
encuentra actualizado
A S
SI ( ) NO ( )
IC A
19. Tu clave de acceso es la misma para todos los servicios que te brinda el Portal Web de la
T I
UPTP
Á C
SI ( ) NO ( )
M N
a. Su nombre y apellido ( )
T C
b. Su fecha de nacimiento ( )
A E
……………………………………………………………………………………………………………….
E
21. La Clave con la cual ingresa al portal Web de la UPTP es conocida también por:
T
O
a. Un compañero de trabajo ( )
LI
b. Mi esposo(a) o hijo(a) ( )
c. Algún alumno ( )
IB
d. Otros, Especifica……………………………………….… ( )
B
22. Cada que tiempo cambia su clave del portal WEB de la UPTP
Cada 7 días ( ) Cada 15 días ( ) Cada 30 días ( ) Cada año ( ) Nunca ( )
23. Qué tan veloz es el acceso al portal WEB dentro o fuera de la UPTP
a. Es más rápido dentro de la universidad que fuera de ella ( )
b. Es más lenta dentro de la universidad que fuera de ella ( )
c. Es igual en ambos lugares ( )
24. Utiliza el servicio de correo electrónico que se le asigna en la UPTP
SI ( ) NO ( )
Si su respuesta es Sí; Con qué frecuencia recibe correos no deseados o spam:
127
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
a. De 1 a 10 correos al día ( )
b. De 10 a 20 correos al día ( )
c. De 20 a más correos al día ( )
25. Usted ha utilizado alguna Laptop dentro de la universidad
SI ( ) NO ( )
Si su respuesta es Sí; Ha recibido algún mensaje en el cual le comunique que su equipo
ha sido registrado y puede acceder a la red
SI ( ) NO ( )
S
A
26. Usted recibió alguna capacitación acerca de Seguridad de la Información en la UPTP
IC
SI ( ) NO ( )
27. Le interesaría conocer o tener un mayor conocimiento de lo que refiere a Seguridad de la
S
Información
S FÍ
SI ( ) NO ( )
A S
Si le interesaría conocer más acerca del tema de Seguridad de la Información, a través de
IC A
que medio te gustaría ser informado:
T I
a. Folletos y boletines ( )
Á C
b. Charlas o conferencias ( )
M N
d. Otros, Especifique……………………………………………………….. ( )
E
e. Ninguna ( )
T
O
29. ¿Qué hace usted cuando uno de sus componentes o aplicativos no funcionan
LI
correctamente en su PC?
a. Intenta arreglarlo ( )
IB
128
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
b. Correo electrónico al área de cómputo ( )
IC
c. Voy físicamente a buscar algún encargado de cómputo ( )
d. Espero que pasen por mi área de trabajo ( )
S
e. Otros, Especifique……………………………………………… ( )
S FÍ
f. Ninguna ( )
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
129
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 02
Resultados de Procesamiento de Información de Docentes y
Administrativos
Frecuencia Porcentaje
S
Masculino 23 53,3
A
Femenino 21 46,7
IC
Total 44 100,0
S
S FÍ
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
A S
según ayuda por parte de un estudiante o asignado como ocupación temporal (bolsa de
IC A
trabajo) dentro de la universidad.
T I
Á C
M N
Frecuencia Porcentaje
E IE
2 2,7
través de él
M D
Otros 5 13,3
C
Ninguno 18 42,7
E
Total 44 100,0
T
O
Frecuencia Porcentaje
Si 11 25,3
No 33 74,7
Total 44 100,0
130
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Fotochet de la empresa para la cual
2 11
trabajo
Indumentaria 6 32.7
Fotochet de visitante (entregado por la
2 10
UPTP)
Otros 1 5.8
S
Ninguno 8 40.5
A
Total 19 100,0
IC
S
S FÍ
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
según el apagado debido de los equipos informáticos después de utilizarlos.
A S
IC A Frecuencia Porcentaje
T I
Á C
Si 42 96,0
M N
No 2 4,0
E IE
Total 44 100,0
T C
A E
Frecuencia Porcentaje
C
operativo
Bajando la llave de energía 2 2,8
LI
Otros 4 8,3
Total 44 100,0
IB
B
Frecuencia Porcentaje
Si 20 45,3
No 24 54,7
Total 44 100,0
131
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Si 21 49,3
No 23 50,7
Total 44 100,0
S
A
IC
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
S
según observo existe alguna tipo de señalización de emergencias en los ambientes que
S FÍ
se encuentran los equipos informáticos.
A S
IC A
Frecuencia Porcentaje
T I Si 16 37,3
Á C
No 28 62,7
M N
Total 44 100,0
E IE
T C
Frecuencia Porcentaje
C
Si 19 44,0
E
No 25 56,0
T
Total 44 100,0
O
LI
Frecuencia Porcentaje
Charlas y capacitaciones fuera de la Universidad 15 45
Charlas y capacitaciones dentro de la Universidad 8 24
Manuales de extintor 4 12
Internet 6 19
Total 33 100,0
132
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Si 12 26,7
No 32 73,3
S
Total 44 100,0
A
IC
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
S
según observo algún compañero de trabajo o estudiante bebe líquidos o ingiere
S FÍ
alimentos cuando se encuentra trabajando con algún equipo informático.
A S
IC A
T I Frecuencia Porcentaje
Á C
Si 26 60,0
M N
No 18 40,0
E IE
Total 44 100,0
T C
A E
Frecuencia Porcentaje
T
Si 26 58,7
O
No 18 41,3
LI
Total 44 100,0
IB
Frecuencia Porcentaje
Si 40 90,7
No 4 9,3
Total 44 100,0
133
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Si 18 40,0
A veces 14 30,7
S
Nunca 12 29,3
A
Total 44 100,0
IC
S
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
S FÍ
según lo que realiza cuando detecta un virus en los equipos informáticos.
A S
Frecuencia Porcentaje
Activa el antivirus
IC A 8 18,7
T I
Á C
Activa el antivirus detecta los virus y los
21 48,0
M N
elimina
E IE
Otros 6 13,3
A E
Total 44 100,0
M D
Y A
Frecuencia Porcentaje
O
Si 22 49,3
LI
No 22 50,7
IB
Total 44 100,0
B
Frecuenci Porcentaj
a e
Si 27 61,3
No 17 38,7
Total 44 100,0
134
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Su nombre y apellido 15 34,7
Teléfono (de casa o móvil) 3 5,3
Nombre de su esposo (a) o
S
1 2,7
A
hijo (a)
IC
Otros 25 57,3
Total 44 100,0
S
S FÍ
A S
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
IC A
según el grado de confidencialidad de la clave con la que ingresa al Portal Web de la
T I
Universidad.
Á C
M N
Frecuencia Porcentaje
E IE
Total 44 100,0
C
E
T
según el tiempo que cambia su clave para acceder al Portal Web de la UPTP.
LI
Frecuencia Porcentaje
IB
Cada 30
3 5,3
días
Cada año 8 20,0
nunca 31 72,0
Total 44 100,0
135
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Es más rápido dentro de la universidad que fuera
26 60,0
de ella
Es más lenta dentro de la universidad que fuera
4 6,7
S
de ella
A
Es igual en ambos lugares 14 33,3
IC
Total 44 100,0
S
S FÍ
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
A S
según el uso del servicio de correo electrónico que se le asigna en la Universidad.
IC A
T I
Frecuencia Porcentaje
Á C
M N
Si 42 97,3
E IE
No 2 2,7
Total 44 100,0
T C
A E
M D
Frecuencia Porcentaje
T
Frecuencia Porcentaje
Si 23 50,7
No 21 49,3
Total 44 100,0
136
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Si 11 24,6
No 33 75,4
Total 44 100,0
S
A
IC
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
S
según capacitaciones recibidas acerca de seguridad de la información en la Universidad.
S FÍ
A S
Frecuencia Porcentaje
IC A Si 6 13,3
T I
Á C
No 38 86,7
M N
Total 44 100,0
E IE
T C
de la información.
M D
Y A
Frecuencia Porcentaje
C
Si 41 96,0
E
No 3 4,0
T
Total 44 100,0
O
LI
IB
Seguridad de la Información.
Frecuencia Porcentaje
Folletos y boletines 6 14,7
Charlas y conferencias 25 58,7
Foros a través del portal Web de la UPTP 8 18,7
Como parte de algún curso en tu carrera 5 8
Total 44 100,0
137
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Instalando algún software que necesitaba 10 24,0
Haciendo limpieza de componentes de su PC (teclado,
7 13,3
mouse, etc.)
S
Otros 1 1,3
A
Ninguna 26 61,3
IC
Total 44 100,0
S
S FÍ
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
según lo que hace cuando un componente o aplicativo no funciona correctamente.
A S
IC A Frecuencia Porcentaje
T I
Á C
Intenta arreglarlo 10 25,3
M N
cercano 4
T C
56,0
sugerencias a mi compañero más cercano) 24
M D
Total 44 100,0
Y A
C
E
según la frecuencia con la que solicita que se les realice mantenimiento a los equipos
O
Frecuencia Porcentaje
Mensual 12 29,3
B
Trimestral 10 22,7
Semestral 7 17,3
Anual 4 4,0
Nunca 11 26,7
Total 44 100,0
138
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
A veces 25 58,7
Casi
10 24,0
siempre
S
Nunca 9 17,3
A
Total 44 100,0
IC
S
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,
S FÍ
según la seguridad que puede tener su equipo frente a peligros.
A S
IC A
T I Frecuencia Porcentaje
Á C
Acceso a sus cuentas personales 10 24,0
M N
No lo se 20 46,7
A E
Otros 4 8,0
M D
Total 44 100,0
Y A
C
Frecuencia Porcentaje
IB
9 20,0
Voy físicamente a buscar algún encargado de
4 8,0
computo
Total 44 100,0
139
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 03
ENCUESTA SOBRE SEGURIDAD DE LA INFORMACIÓN
S
de Información.
A
Identificar si los alumnos utilizan de manera óptima las tecnologías de información y de qué
IC
manera ayudarían a salvaguardar la misma.
S
Instrucciones:
S FÍ
Para desarrollar este cuestionario, usted debe leer cada pregunta y escoger una de las
alternativas propuestas con una “X” dentro de los paréntesis o llenar dentro de las líneas
A S
punteadas según sea su criterio.
IC A
T I
Á C
M N
1. Sexo:
E IE
Masculino ( ) Femenino ( )
T C
k. Otros, Especificar………………………………………………………... ( )
IB
l. Ninguno. ( )
B
140
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
SI ( ) NO ( )
Si tu respuesta es Sí, Cómo apagas tu equipo después de trabajar
h. Apagando directamente el estabilizador. ( )
i. Desenchufando el cable de energía de la computadora. ( )
j. Manteniendo presionando el botón de apagado del CPU. ( )
k. Haciendo clic en el botón de apagado del menú del sistema operativo. ( )
l. Bajando la llave de energía. ( )
m. Otros, Especificar……………………………………………………….. ( )
S
A
n. Ninguno. ( )
IC
7. Te sientes seguro en los ambientes donde se encuentran los equipos informáticos dentro de
la Universidad frente a cualquier desastre natural o humano
S
SI ( ) NO ( )
S FÍ
8. Has observado algún extinguidor cerca de los equipos informáticos
A S
SI ( ) NO ( )
IC A
9. Has observado algún tipo de señalización de emergencia en los ambientes donde existen
T I
equipos informáticos
Á C
SI ( ) NO ( )
M N
10. Has participado de algún simulacro frente a cualquier desastre natural, especialmente en
E IE
SI ( ) NO ( )
A E
Si tu respuesta es No;
M D
11. Has observado que algún compañero o administrativo ha bebido líquidos o ingerido algún
C
SI ( ) NO ( )
T
O
12. Has manipulado alguna vez las entradas de corriente al CPU, los cables del teclado, Mouse
LI
13. Usted cree que debe sentirse responsable e identificarse con el equipo informático que usa
B
141
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
15. Hace usted uso de los antivirus en los equipos informáticos de la UPTP cuando ingresa o
saca información en algún dispositivo de almacenamiento
Si ( ) A veces ( ) Nunca ( )
16. Que hace cuando detecta un virus en la computadora de la UPTP
g. Activa el antivirus ( )
h. Activa el antivirus, detecta los virus y los elimina ( )
i. Borra el archivo ( )
j. Formatea el dispositivo de almacenamiento ( )
S
A
k. No hago nada (Por qué no sé) ( )
IC
l. Otros, Especificar………………………………. ( )
17. Usted ha detectado que el antivirus de la UPTP funciona adecuadamente y que se
S
encuentra actualizado
S FÍ
SI ( ) NO ( )
A S
18. Tu clave de acceso es la misma para todos los servicios que te brinda el Portal Web de la
IC A
UPTP T I
SI ( ) NO ( )
Á C
Normalmente tu clave hace referencia a:
M N
f. Tu nombre y apellido ( )
E IE
g. Tú fecha de nacimiento ( )
T C
j. Otros, Especifique……………………….. ( )
Y A
……………………………………………………………………………………………………………….
E
20. Cada que tiempo cambia su clave del portal WEB de la UPTP
T
O
22. Qué tan veloz es el acceso al portal WEB dentro o fuera de la UPTP
B
142
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
SI ( ) NO ( )
25. Te interesaría conocer o tener un mayor conocimiento de lo que refiere a Seguridad de la
Información
SI ( ) NO ( )
Si le interesaría conocer más acerca del tema de Seguridad de la Información, a través de
que medio te gustaría ser informado:
f. Folletos y boletines ( )
g. Charlas o conferencias ( )
S
A
h. Foros a través del portal WEB de la UPTP ( )
IC
i. Como parte de algún curso en tu carrera ( )
j. Otros, Especifique: ………………………. ( )
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
143
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 04
Resultados de Procesamiento de Información de Estudiantes
Frecuencia Porcentaje
Masculin
S
65 29,5
o
A
Femenin
IC
152 70,5
o
S
Total 217 100,0
S FÍ
A S
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según Escuela
Académico Profesional.
IC A
T I
Á C
M N
Frecuencia Porcentaje
E IE
Contabilidad 25 16
T C
Derecho 54 24
A E
Ingeniería Civil 53 22
M D
Marketing y Negocios
35 18
C
Internacionales
E
Frecuencia Porcentaje
Llenando o elaboración de algún documento de la universidad 22 10,3
Pasando información en Word, Excel, Power Point, etc. 32 14,8
Ingresando a su correo de la UPTP y enviando mensajes a
16 7,5
través de él
Clasificando documentos de la universidad 3 1,4
Otros 5 1,7
Ninguno 139 64,3
Total 217 100,0
144
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Si 98 45,1
No 119 54,9
S
A
Total 217 100,0
IC
S
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, a modo de que
S FÍ
identifican a las personas que no trabajan ni estudian en la UPTP.
A S
IC A Frecuencia Porcentaje
T I
Á C
Fotochet de la empresa para la cual
50 30,9
M N
trabajan
E IE
Indumentaria 53 32,7
Fotochet de visitante (entregado por la
T C
25 15,4
UPTP)
A E
Otros 33 20,4
M D
Ninguno 1 ,6
Y A
Frecuencia Porcentaje
Si 204 94,4
No 13 5,6
Total 217 100,0
145
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
S
Otros 8 4,1
A
Total 217 100,0
IC
S
S FÍ
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según la
seguridad que tiene en los ambientes en los que se encuentran los equipos informáticos
A S
frente a un desastre natural o humano.
IC A
T I
Frecuencia Porcentaje
Á C
M N
Si 94 43,2
E IE
No 123 56,8
Total 217 100,0
T C
A E
M D
Frecuencia Porcentaje
E
Si 67 30,9
T
No 150 69,1
O
Frecuencia Porcentaje
Si 109 50,1
No 108 49,9
Total 217 100,0
146
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Si 76 34,8
No 141 65,2
S
Total 217 100,0
A
IC
S
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según observo
S FÍ
algún compañero de estudios o administrativo bebe líquidos o ingiere alimentos cuando
se encuentra trabajando con algún equipo informático.
A S
IC A Frecuencia Porcentaje
T I
Á C
Si 103 47,6
M N
No 114 52,4
E IE
Frecuencia Porcentaje
E
Si 95 43,5
T
O
No 122 56,5
LI
Frecuencia Porcentaje
Si 172 79,4
No 45 20,6
Total 217 100,0
147
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Si 178 81,9
No 39 18,1
Total 217 100,0
S
A
IC
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el uso de
los antivirus en los equipos informáticos cuando ingresa o saca información en algún
S
dispositivo de almacenamiento.
S FÍ
Frecuenci Porcentaj
A S
a e
IC A Si 71 32,6
T I A veces 74 34,3
Á C
Nunca 72 33,1
M N
Frecuencia Porcentaje
100 46,2
E
elimina
T
Frecuencia Porcentaje
Si 57 25,6
No 160 73,8
Total 217 100,0
148
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Si 54 24,8
No 163 75,2
S
A
Total 217 100,0
IC
S
S FÍ
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según a que hace
referencia la clave de acceso que utilizan los usuarios.
A S
IC A Frecuencia Porcentaje
T I
Á C
Tu nombre y apellido 48 22,3
M N
14 5,6
(a)
A E
Frecuencia Porcentaje
Cada 7 días 12 5,4
Cada 15 días 11 5,0
Cada 30 días 36 16,7
Cada año 39 17,9
Nunca 119 55,0
Total 217 100,0
149
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Dentro de la universidad 11 4,7
Fuera de la universidad 80 37,0
En ambos lugares 126 58,2
Total 217 100,0
S
A
IC
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según la
S
velocidad referente al acceso al Portal Web.
S FÍ
Frecuencia Porcentaje
A S
Es más rápido dentro de la universidad que fuera de ella 36 16,4
IC A
Es más lenta dentro de la universidad que fuera de ella 45 20,9
T I
Á C
Es igual en ambos lugares 136 62,7
M N
Frecuencia Porcentaje
Y A
C
Si 54 24,5
E
No 163 75,5
T
Frecuencia Porcentaje
Si 26 29,5
No 62 70,5
Total 88 100,0
150
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Frecuencia Porcentaje
Si 19 8,5
No 198 91,5
Total 217 100,0
S
A
IC
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el interés
S
de conocer o tener un mayor conocimiento de lo que refiere a seguridad de la
S FÍ
información.
Frecuencia Porcentaje
A S
si 195 90,3
IC A
no 22 9,7
T I
Á C
Total 217 100,0
M N
E IE
acerca del tema de Seguridad de la Información, a través de que medio le gustaría ser
A E
informado.
M D
Frecuencia Porcentaje
Y A
C
Otros 2 ,6
Total 324 100,0
IB
B
151
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 05
ENTREVISTA
Las empresas de hoy en día manejan su información por medio de sistemas integrados u otros,
los cuales muchos de ellos ven reflejado la vulnerabilidad de su información frente a cualquier
peligro que se les presente. Es por ello que nuestro proyecto de investigación busca encontrar
los puntos débiles con respecto a todo lo que es la tecnología de información y comunicación
de la UPTP, motivo por el cual está entrevista va dirigido al jefe de Taller de Cómputo como
S
principal agente encargado de la Seguridad de la Información dentro de la organización.
A
IC
Para saber quiénes son las personas que toman las decisiones con respecto a la seguridad de
S
la información se listo las siguientes preguntas:
S FÍ
¿La UPTP cuenta con un comité de seguridad de la información?
A S
SI ( )
IC A
Las funciones del comité se encuentran detalladas en el manual de funciones y organización
T I
Á C
u otro documento____________________________________________________________
M N
Si no cuentan con ese comité, quienes son los encargados de establecer las políticas de
A E
O, sólo las políticas son establecidas por sí mismo como jefe de área de taller de
Y A
cómputo___________________________________________________________________
C
¿Existe algún tipo de manual o documento donde se especifique los controles para la
seguridad de la información?_____________________________________________________
B
¿De qué manera controla a sus trabajadores, con respecto al tema de seguridad de la
información?__________________________________________________________________
¿De qué forma controla los accesos a la red y quién ordena que se genere esos
permisos?____________________________________________________________________
¿Existen bitácoras donde se registran los sucesos de todos los usuarios que ingresan a la
red?________________________________________________________________________
Detecto en alguna ocasión algo indebido___________________________________________
¿Se registran los accesos de personas a las áreas donde se encuentran los equipos
servidores?___________________________________________________________________
152
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
¿Se aplican estas políticas a toda la comunidad universitaria?_________________________
IC
¿Cada que tiempo se revisan esas políticas?______________________________________
S
NO ( )
S FÍ
¿Según Usted, a que cree que se deba, que hasta ahora no se implementa las políticas de
A S
seguridad de la información en la UPTP?__________________________________________
IC A
¿Cree Usted, que es de suma urgencia la elaboración de políticas de seguridad de la
T I
información para la UPTP?_____________________________________________________
Á C
Porqué_____________________________________________________________________
M N
Y para su área_______________________________________________________________
E IE
Frente a cualquier desastre natural, provocado o humano ¿Su personal conoce cuales son los
A E
SI ( )
¿Para ello existen procedimientos documentados para actuar antes, durante y después del
Y A
desastre?____________________________________________________________________
C
¿Ha realizado algún simulacro con defensa civil o tiene previsto hacerlo en el futuro?
E
__________________________________________________________________________
T
O
¿Su área posee algún plan de contingencia, si no lo tiene ha motivado a sus trabajadores para
elaborarlo?___________________________________________________________________
IB
NO ( )
B
¿A qué se debe?______________________________________________________________
Preguntas sobre backups y claves
La administración de todos los servicios de tecnología de información que están a su cargo se
manejan a través de claves de autenticación________________________________________
Cree usted necesario que la alta dirección deba poseer las claves (y su actualización de las
mismas) ____________________________________________________________________
Porqué______________________________________________________________________
¿Existe algún procedimiento para realizar backups, de la información que usted maneja?
153
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
SI ( )
¿Están descritos en algún documento?_____________________________________________
¿Se cumplen conforme están descritos?____________________________________________
¿Son depositados en algún lugar especial dentro de la UPTP o fuera de ella?______________
Porqué___________________________________________________________________
Cada que tiempo se hace y quién los realiza_________________________________________
NO ( )
Porqué______________________________________________________________________
S
A
IC
Preguntas sobre problemas frecuentes
S
¿Cuáles son los problemas más frecuentes con los que se enfrenta el área que Usted tiene a
S FÍ
cargo?
A S
Frente a las actividades de su área________________________________________________
IC A
Frente a los servicios que le brinda a los usuarios____________________________________
T I
¿Se encuentran archivados esos problemas? ¿Qué estrategia usa para disminuir esos
Á C
problemas frecuentes? Existe alguna estadística de la evolución de esos problemas
M N
____________________________________________________________________________
E IE
Emplean tarjetas o fichas de seguimiento de los equipos que se les brinda a los
T C
usuarios_____________________________________________________________________
A E
M D
Preguntas sobre modificaciones en los servicios que se les presta a los usuarios
Y A
¿Todas las modificaciones que se haga a los servicios que se le presta a los usuarios es
C
registrado?___________________________________________________________________
E
SI ( )
Cada qué tiempo lo realizan______________________________________________________
¿Qué aspectos son los que toman en cuenta para ese mantenimiento?
____________________________________________________________________________
Cómo se trata el tema de los antivirus dentro de la UPTP______________________________
____________________________________________________________________________
154
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
155
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 06
ENTREVISTA SOBRE SEGURIDAD DE LA INFORMACIÓN
Las empresas de hoy en día manejan su información por medio de sistemas integrados u otros,
los cuales muchos de ellos ven reflejado la vulnerabilidad de su información frente a cualquier
peligro que se les presente. Es por ello que nuestro proyecto de investigación busca encontrar
los puntos débiles con respecto a todo lo que es la Tecnología de Información y Comunicación
S
de la UPTP, motivo por el cual está entrevista estará dirigido al personal que labora en el
A
área de Taller de Cómputo como principales agente encargados de la Seguridad de la
IC
Información dentro de la organización.
S
S FÍ
Nombre:
A S
Cargo del informante:
IC A
T I
¿Qué tipo de relación laboral tiene Ud. con la UPTP?
Á C
a. Contratado por horas ( )
M N
…………………………………………………………………………………………………………….…
M D
……………………………………………………………………………………………………………….
¿Utilizan antivirus?
Y A
Si ( ) No ( )
C
Si la respuesta es Sí,
E
T
a. Norton ( )
LI
b. Kaspersky ( )
c. Nod 32 ( )
IB
d. Panda ( )
B
a. Mensual ( )
b. Trimestral ( )
c. Semestral ( )
d. Anual ( )
e. Otros periodos ( ), especifique: ……………………………………………………………….
156
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
………………………………………………………………………………………………………………
IC
¿Quiénes le brindan capacitación a usuarios (profesores, administrativos, alumnos, etc.) antes
que hagan uso o “buen uso” de las salas de computo o de su respectivo equipo asignado si es
S
profesor o administrativo?
S FÍ
………………………………………………………………………………………………………………
A S
……………………………………………………………………………………………………………….
IC A
T I
A Usted se le brinda capacitación por parte de la UPTP acerca de seguridad de la información
Á C
Si ( ) No ( )
M N
………………………………………………………………………………………………………………
T C
……………………………………………………………………………………………………………….
A E
………………………………………………………………………………………………………………
Y A
Usted cuenta con los medios y capacidad para afrontar cualquier desastre natural o humano
C
como:
E
Ninguno ( )
B
Usted sabe utilizar correctamente un extintor ¿Si lo sabe, se le capacito dentro de la UPTP, o lo
aprendió fuera?
………………………………………………………………………………………………………………
……………………………………………………………………………………………………………….
¿Cuáles son los problemas más frecuentes que se atienden con respecto a los usuarios?
Hardware: ………………………………………………………………………………………………….
Software: …………..………………………………………………………………………………………
157
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
IC
¿De quién y de donde surgen estas iniciativas?
………………………………………………………………………………………………………………
S
………………………………………….……………………………………………………………………
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
158
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 07
ENTREVISTA
Las empresas de hoy en día manejan su información por medio de sistemas integrados u otros,
los cuales muchos de ellos ven reflejado la vulnerabilidad de su información frente a cualquier
peligro que se les presente. Es por ello que nuestro proyecto de investigación busca encontrar
los puntos débiles con respecto a todo lo que es la tecnología de información y comunicación
de la UPTP, motivo por el cual está entrevista va dirigido al jefe de Desarrollo de Sistemas
S
como principal agente encargado de la Seguridad de la Información dentro de la organización.
A
IC
Para saber quiénes son las personas que toman las decisiones con respecto a la seguridad de
la información se listo las siguientes preguntas:
S
S FÍ
¿La UPTP cuenta con un comité de seguridad de la información?
A S
SI ( )
IC A
Las funciones del comité se encuentran detalladas en el manual de funciones y organización u
T I
otro documento_______________________________________________________________
Á C
Quién conforma ese comité______________________________________________________
M N
NO ( )
T C
Si no cuentan con ese comité, quienes son los encargados de establecer las políticas de
A E
O, sólo las políticas son establecidas por si mismo como jefe de área de taller de
cómputo_____________________________________________________________________
Y A
¿Existe algún tipo de manual o documento donde se especifique los controles para la
IB
seguridad de la información?_____________________________________________________
B
¿De qué manera controla a sus trabajadores, con respecto al tema de seguridad de la
información?__________________________________________________________________
¿Cómo se controla la creación de usuarios para acceder al sistema y quién solicita esa
creación?____________________________________________________________________
¿Quién se encarga de aplicar las restricciones al usuario del sistema?
¿Existen bitácoras donde se registran los sucesos de todos los usuarios que ingresan a la
red?________________________________________________________________________
Detecto en alguna ocasión algo indebido___________________________________________
¿Se registran los accesos de personas al área que tiene a cargo?_______________________
159
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
¿Se registran los sucesos o incidentes que suceden dentro del área?_____________________
¿Cada qué tiempo solicitan que se les de mantenimiento a sus equipos?__________________
S
A
¿Sus trabajadores y usuarios conocen este documento?_____________________________
IC
¿Se aplican estas políticas a toda la comunidad universitaria?_________________________
¿Cada que tiempo se revisan esas políticas?______________________________________
S
NO ( )
S FÍ
¿Según Usted, a que cree que se deba, que hasta ahora no se implementa las políticas de
A S
seguridad de la información en la UPTP?___________________________________________
IC A
¿Cree Usted, que es de suma urgencia la elaboración de políticas de seguridad de la
T I
información para la UPTP?______________________________________________________
Á C
Porqué_____________________________________________________________________
M N
Frente a cualquier desastre natural, provocado o humano ¿Su personal conoce cuales son los
activos más importantes que debe proteger en relación a la información?
Y A
SI ( )
C
¿Para ello existen procedimientos documentados para actuar antes, durante y después del
E
desastre?____________________________________________________________________
T
O
¿Ha realizado algún simulacro con defensa civil o tiene previsto hacerlo en el futuro?
LI
__________________________________________________________________________
Lo cree necesario hacerlo con esta organización_____________________________________
IB
¿Su área posee algún plan de contingencia, si no lo tiene ha motivado a sus trabajadores para
B
elaborarlo?___________________________________________________________________
NO ( )
¿A qué se debe?______________________________________________________________
160
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Cree usted necesario que la alta dirección deba poseer las claves (y su actualización de las
mismas) _____________________________________________________________________
Porqué______________________________________________________________________
¿Existe algún procedimiento para realizar backups, de la información que usted maneja?
SI ( )
¿Están descritos en algún documento?_____________________________________________
¿Se cumplen conforme están descritos?____________________________________________
S
A
¿Son depositados en algún lugar especial dentro de la UPTP o fuera de ella?______________
IC
Porqué_____________________________________________________________________
Cada que tiempo se hace y quién los realiza_________________________________________
S
NO ( )
S FÍ
Porqué_____________________________________________________________________
A S
IC A
Preguntas sobre problemas frecuentes
T I
Á C
¿Cuáles son los problemas más frecuentes con los que se enfrenta el área que Usted tiene a
M N
cargo?
E IE
¿Se encuentran archivados esos problemas? ¿Qué estrategia usa para disminuir esos
M D
Emplean tarjetas o fichas de seguimiento de los problemas en el uso del sistema por parte
C
usuarios_____________________________________________________________________
E
T
O
¿Todas las modificaciones que se haga a los servicios que otorga el sistema a los usuarios son
IB
registrados?__________________________________________________________________
B
¿Cada integrante del equipo de desarrollo de sistemas es responsable del software que
desarrolla?
SI ( )
¿Qué control de calidad para la producción del software se le aplica?_____________________
¿Esto le permite tener una copia de resguardo en su casa?_____________________________
161
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
S
A
¿Aparte del departamento que tiene a cargo, existe otra persona que cada cierto tiempo realice
IC
una evaluación del nivel de desarrollo de su área?____________________________________
¿Cualquier trabajador que tenga a su cargo puede modificar la base de datos en el momento
S
que desee?
S FÍ
____________________________________________________________________________
A S
¿Ha tenido algún inconveniente con la base de datos en algún momento?
IC A
____________________________________________________________________________
T I
Á C
Preguntas sobre software y hardware
M N
E IE
¿Todo el software que se utilizan sea SW con licencia o SW libre, son solicitado al área de
M D
taller de cómputo?_____________________________________________________________
¿Su área maneja restricciones a través de la red, igual como cualquier otra área?
Y A
____________________________________________________________________________
C
E
T
O
LI
IB
B
162
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 08
S
Financiero 2 Portafolio competitivo de los productos y servicios
A
Riesgos de negocio gestionados (Salvaguarda de los
Financiero 3
activos)
IC
Financiero 4 Cumplimiento de las leyes y reglamentos externos
S
Financiero 5 Transparencia financiera
S FÍ
Cliente 6 Cultura de servicio orientada al cliente
Cliente 7 Continuidad y disponibilidad del servicio
A S
IC A
Cliente 8 Respuesta ágil a los cambios en el entorno empresarial
T I
Cliente 9 Información basada en toma de decisiones estratégicas
Á C
M N
163
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
2. COBIT 5: Metas/Objetivos de TI
S
Financiero 4 Gestión de riesgos del negocio relacionados con TI
A
Beneficios logrados de inversiones en TI y en el portafolio
Financiero 5
IC
de servicios
Financiero 6 Transparencia de los costos, beneficios y riesgos de TI
S
Servicios de TI alineados con los requerimientos del
Cliente 7
S FÍ
negocio
Uso adecuado de las aplicaciones, información y
Cliente 8
soluciones tecnológicas
A S
Interno 9 Agilidad de TI
Interno 12
integrando aplicaciones y tecnologías en los mismos
Entrega de programas entregando beneficios a tiempo y en
T C
Aprendizaje y Crecimiento 17
empresarial
E
T
O
LI
IB
B
164
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 09
Documento de política de seguridad de la información según ISO 27002
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
165
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
Anexo 10
UBICACIÓN DE LA UNIVERSIDAD PRIVADA DE TRUJILLO
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
166
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/