Diseño de Software

Producto Académico N. °03 - Tarea

Evaluación para el Consolidado 2
Seguridad de la información
Corporativa

Actividad Grupal

ALUMNOS:
1. Mario AGUILAR RONDAN.
2. Anderson CHAUPIS CHOMA.
3. Jims DIAZ GUTIERREZ.
4. Beatriz Jenny ASTETE HUAMÁN.

2022
This study source was downloaded by 100000801830586 from CourseHero.com on 06-07-2023 21:07:38 GMT -05:00
1|P ági na

https://www.coursehero.com/file/152464800/PA3-SEGURIDAD-DE-LA-INFORMACIONpdf/
 1. Actividades por desarrollar:

Ustedes y el oficial de seguridad de la información de la Universidad Continental han

visto la necesidad de implementar un Framework que cumpla con los estándares de
seguridad de la información. Para la selección del Framework y controles deberá
considerar SOLO el proceso de matrículas de la universidad.

Deberá responder a las siguientes preguntas:

1) ¿Qué Framework de seguridad utilizaría? ¿Por qué? Realizar comparación

entre Frameworks.

Para este caso, se realizó una comparación entre la ISO 27001 y un framework
de ciberseguridad, evaluando a cada uno con una serie de criterios importantes
en base a qué puede aportar más para el diseño del SGSI para la Universidad
Continental.

Se escogió la ISO 27001 por los diferentes criterios: Sustenta una metodología
de implementación de la SI, al igual que el Cybersecurity Framework, pues ambos
tienen coincidencia; aplicable en cualquier organización, refiriendo a que ambas
propuestas son aplicables para la universidad; gestión de riesgos, porque ambos
requieren implementar medidas ante los riesgos que pueden avecinarse y
responder de la mejor manera; certificación, la ISO 27001 lo tiene como ventaja
a comparación de un framework, la Universidad Continental puede certificar y
mantener segura los recursos informáticos para la universidad; protección de la
información, lo que significa que a comparación de un framework, se centra más
en los sistemas de TI ante riesgos significativos; documentación, la ISO 27001
define mejor sus registros, controles, para los encargados y sus actividades, entre
otros, como en el caso de la Norma Técnica Peruana, que funciona como base
para empezar a diseñar el SGSI en la universidad.

El framework es mejor que la ISO porque divide sus funciones en identificar,

proteger, detectar, responder y recuperar y hacen referencia a la ISO y otras
reglas que se relacionan a la protección de datos; localización de brechas, pues
significa que el framework a comparación de la ISO, tiende a localizarse más
rápido; y enfoque, la ISO 27001 se plasma más en el ciclo PDCA, armar la

This study source was downloaded by 100000801830586 from CourseHero.com on 06-07-2023 21:07:38 GMT -05:00

https://www.coursehero.com/file/152464800/PA3-SEGURIDAD-DE-LA-INFORMACIONpdf/
 administración de incidentes, implementar y dar mejora continua Por lo tanto, la
selección de la ISO 27001 se evidente por tener mayores motivos según los
criterios de poder diseñar mejor el SGSI.

ISO 31000 vs Risk IT

Estas propuestas a plantear son bases fundamentales para las entidades en el

ámbito de las T.I., ya que hay un gran porcentaje de organizaciones que tomaron
la decisión de implementarlas en gran medida, conociendo que hoy en día se
deben optar por soluciones en gestionar los riesgos para minimizar el impacto que
estas pueden causar si estos riesgos tienden a perjudicar la empresa, los activos
de la información, los objetivos y a sus clientes.

Para nuestro trabajo, la ISO 31000 a comparación de la Risk IT tienen relaciones

similares respecto a la gestión de riesgos, como en las normativas, modelos,
esquemas, gráficas, etc., pues se escogió la ISO 31000 porque profundiza más
en el contexto de que se relaciona a la par con la ISO 27001, mencionando a la
ISO 31000 en la cláusula 4.1 “La 33 organización puede considerar los contextos
externos e internos de acuerdo con la cláusula 5.3 de la norma ISO 31000”.

La Gestión de la Seguridad de la Información, está alineada con la norma ISO

31000. Por esta razón, la ISO 27001 solo menciona que está alineada es decir es
compatible mas no indica que es un requisito obligatorio. Para hacer la
comparativa de las propuestas ya explicadas, la ISO 31000 tiene más
fundamentos para la documentación, cuenta con ser una guía detallada y
explicada, que se relaciona con la seguridad informática y la ISO 27001, comunica
mejor para poder identificar, analizar, evaluar y asignar tratamiento para los
respectivos casos probables de la protección de los datos. Todo lo mencionado
son los criterios que se tomaron en cuenta para tomar dicha decisión, pues cada
criterio fue asignado un número del 1 al 5 al relacionar el tema de la ISO 31000,
Risk IT con todo lo que se realiza en el departamento de sistemas del centro de
estudios universitario.

This study source was downloaded by 100000801830586 from CourseHero.com on 06-07-2023 21:07:38 GMT -05:00

https://www.coursehero.com/file/152464800/PA3-SEGURIDAD-DE-LA-INFORMACIONpdf/
 2) ¿Cómo realizaría el proceso de identificación de controles existentes?

Para la identificación de controles se trabajó en los siguientes pasos:

- Análisis del entorno interno y externo de la Universidad Continental, relevando

aspectos que corresponden a los procesos académicos y su relación con la
gestión de la seguridad de la información.
- Evaluación de la implementación de políticas de seguridad de la información
basadas en la ISO 27002, ISO 27002 y la ISO 31000 de Gestión de Seguridad
de la Información en la gestión de la información de los procesos académicos
de la Universidad Continental en su versión - servicios de Matrícula.
- Desarrollar un prototipo de soporte al Framework de seguridad de la información
basado en los controles de la ISO 27002 de Gestión de Seguridad de la
Información para los procesos académicos de la Universidad Continental.
- Hacer las pruebas funcionales en la versión piloto del proceso académico en el
proceso de matrícula de la Universidad Continental.
- Obtención de resultados y discusión de los mismos.

This study source was downloaded by 100000801830586 from CourseHero.com on 06-07-2023 21:07:38 GMT -05:00

https://www.coursehero.com/file/152464800/PA3-SEGURIDAD-DE-LA-INFORMACIONpdf/
 3) Explique qué controles físicos y administrativos podría implementar el
Framework.

Controles físicos

El control físico es la implementación de medidas de seguridad en una estructura

definida usada para prevenir o detener el acceso no autorizado a material
confidencial. Ejemplos de los controles físicos son:

● Cámaras de circuito cerrado

● Sistemas de alarmas térmicos o de movimiento
● Guardias de seguridad
● Identificación con fotos
● Puertas de acero con seguros especiales
● Biométrica (incluye huellas digitales, voz, rostro, iris, escritura a mano y otros
métodos automatizados utilizados para reconocer individuos)

Controles administrativos

Los controles administrativos definen los factores humanos de la seguridad.

Incluye todos los niveles del personal dentro de la organización y determina
cuáles usuarios tienen acceso a qué recursos e información usando medios
tales como:

● Entrenamiento y conocimiento
● Planes de recuperación y preparación para desastres
● Estrategias de selección de personal y separación
● Registro y contabilidad de personal

4) ¿Qué controles lógicos implementaría? y ¿Por qué?

Primeramente debemos de tener claro que contamos con dos tipos de

controladores lógicos con unidad operativa y sin unidad operativa para ello se
adjunta una imagen que explica las diferencias entre estos.

This study source was downloaded by 100000801830586 from CourseHero.com on 06-07-2023 21:07:38 GMT -05:00

https://www.coursehero.com/file/152464800/PA3-SEGURIDAD-DE-LA-INFORMACIONpdf/
 Una vez evaluado y teniendo claro este concepto podemos decir que la
universidad continental debería de trabajar con una unidad operativa para ello es
importante obtener una validación de documentos avanzados como son:

● Extracción del OCR: Extrae los caracteres presentes en el anverso y reverso

de cualquier documento de identidad.
● Verificación de documentos: Valida la autenticidad de más de 5000
documentos de identidad.
● Lectura de chip NFC: Lee automáticamente los datos del chip NFC de un
pasaporte electrónico (ICAO) y de documentos de identidad nacionales.
● Reconocimiento biométrico facial: Compara la imagen impresa en el
documento de identidad con el selfie capturado durante el proceso y otorga
una puntuación de similitud para determinar si es la misma persona.
● Prueba de vida avanzada: Certificada por iBeta Level 1 PAD, esta opción te
permite encontrar el equilibrio perfecto entre seguridad y experiencia de
usuario.

Cabe resaltar que estos sistemas de reconocimiento biométrico deberían de ser

implementados porque gracias a su tecnología pueden ser usados en cualquier
aplicación que requiera seguridad, control de acceso, control de presencia e
identificación o comprobación del usuario. Básicamente aporta tres ventajas:
resistencia física, bajos costes de mantenimiento y no dan problemas
electrostáticos. Permiten garantizar o denegar el paso o el acceso a las personas
sin que éstas tengan necesidad de utilizar llaves o tarjetas, ni de memorizar claves,

This study source was downloaded by 100000801830586 from CourseHero.com on 06-07-2023 21:07:38 GMT -05:00

https://www.coursehero.com/file/152464800/PA3-SEGURIDAD-DE-LA-INFORMACIONpdf/
 contraseña o códigos. Estos dispositivos ‘leen’ una característica o serie de
características físicas (estáticas) de la persona, consideradas suficientes para su
identificación: los más usuales son las huellas dactilares, el entramado de venas
de la retina, la forma del iris, los patrones faciales, las venas de la mano o la
geometría de la misma. Los lectores biométricos pueden también leer
características dinámicas o del comportamiento, tales como la firma, la forma de
caminar o la forma de teclear. Este tipo de lectores son mucho menos frecuentes
que los de características estáticas, porque según el desarrollo actual de la
tecnología presentan mayor margen de error. El sistema de lectura biométrica de
características dinámicas más utilizado es el de reconocimiento de la voz. El
rendimiento de una medida biométrica se define generalmente en términos de tasa
de falso positivo (False Acceptance Rate o FAR), la tasa de falso negativo (False
NonMatch Rate o FNMR, también False Rejection Rate o FRR), y el fallo de tasa
de alistamiento (Failure-to-enroll Rate, FTR o FER). Los distintos rendimientos de
los distintos tipos de lectura biométrica se muestran en el recuadro 1. El recuadro
2 muestra las diferentes tecnologías de lectura biométrica existentes actualmente
en el mercado, así como sus aplicaciones horizontales y los principales mercados
verticales (en el sector privado y público) que ofrece la industria biométrica.

Se adjunta cuadro de fiabilidad de los dispositivos electrónicos.

This study source was downloaded by 100000801830586 from CourseHero.com on 06-07-2023 21:07:38 GMT -05:00

https://www.coursehero.com/file/152464800/PA3-SEGURIDAD-DE-LA-INFORMACIONpdf/
 5) ¿Por qué es importante contar con el apoyo de la alta dirección al momento
de seleccionar un framework?

En nuestra Universidad Continental el estatuto indica que la alta dirección lo

conforma el consejo directivo.
El Consejo Directivo es el órgano de gestión académica de la Universidad. Está
integrado por el Rector, Vicerrector de Gestión Académica, Vicerrector de
Investigación, Vicerrector de Desarrollo y Aprendizaje Digital, Director de la Escuela
de Posgrado, Secretario General y los Decanos de Facultad. Pueden participar en el
Consejo Directivo: el Presidente del Directorio, el Gerente General, y el Gerente de
Estrategia e Innovación.
Entre una de sus atribuciones es el de aprobar los presupuestos de los
servicios complementarios de la sede y filiales de la universidad, elaborado por la
Gerencia de Administración y Finanzas.
Que indica todo esto que contar con su apoyo es fundamental ya que deciden
el presupuesto para el desarrollo del Framework a presentar, si les parece
conveniente pueden decidir tercerizar o sugerir que la área de TI en el cual trabaja el
Oficial de Seguridad lo desarrollen y con su apoyo contar con presupuesto y su
aprobación para la implantación de Framework en la Universidad.

This study source was downloaded by 100000801830586 from CourseHero.com on 06-07-2023 21:07:38 GMT -05:00

https://www.coursehero.com/file/152464800/PA3-SEGURIDAD-DE-LA-INFORMACIONpdf/
Powered by TCPDF (www.tcpdf.org)