SlideShare ist ein Scribd-Unternehmen logo

Plan de seguridad de la informacion

Als DOCX, PDF herunterladen
A
Anthony Brayan Puitiza Lopez

Ese documento es un pequeño avance de un Plan de seguridad de la Informacion

Ingenieurwesen
1 von 15
2017 PLAN DE SEGURIDAD DE LA INFORMACIÓN PARA LA FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA Curso Seguridad de Redes UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
Página 1 de 14 CARGO NOMBRE FIRMA JEFE DE GRUPO: Oficial De Seguridad de la Información Puitiza López, Anthony INTEGRANTES DEL GRUPO: 1 Comité de Seguridad de la Información Quispe Quispe, Kerly Janeth 2 Terrazas García, Guillermo Moisés 3 Ramírez Vera, Carlos Augusto 4 Zuñiga Yamashita, Miguel Ángel 5 Olivares Chuquiure, Kevin REVISADO POR: Ugaz Cachay, Winston GERENTE GENERAL: Gonzales Suarez, Juan Carlos Semestre Académico: 2017-II
Página 2 de 14 Tabla de Contenidos 1. Introducción 3 1.1 Motivación del Proyecto 3 1.2 Enfoque del Proyecto 3 2. Contextualización y Documentación 4 3. Presentación de la Empresa 4 4. Proceso del Negocio 4 5. Estructura Organizativa 4 6. Organigrama de la Empresa 7 7. Mapeo de Procesos 8 8. Análisis Diferencial 9 8.1 Políticas de Seguridad 9 8.2 Aspectos Organizativos de la Seguridad de la Información 9 8.3 Clasificación y Control de Activos 9 8.4 Seguridad Ligada a los Recursos Humanos 9 8.5 Seguridad Física y del Entorno 10 8.6 Gestión de Comunicaciones y Operaciones 10 8.7 Control de Accesos 11 8.8 Adquisición, Desarrollo y Mantenimiento de Sistemas 11 8.9 Gestión de Incidentes en la Seguridad de la Información 11 8.10 Gestión de Continuidad de Negocio 11 8.11 Cumplimiento 12 9. Análisis de Riesgo 12 9.1 Introducción 12 9.2 Inventario de Activos 12 9.3 Valoración de Activos 13 9.4 Dimensiones de Seguridad 13 9.5 Tabla de Valoración de Activos – Procesos de Matrícula 14
Página 3 de 14 Plan de Seguridad de la Información Facultad de Ingeniería de Sistemas e Informática UNMSM 1. Introducción 1.1 Motivación del Proyecto La Facultad de Ingeniería de Sistemas e Informática es una institución perteneciente a la Universidad Mayor de San Marcos, que brinda servicios educativos con calidad internacional, que se encuentra en la estructura en cuanto a seguridad de las tecnologías de la información se refiere. El objetivo principal de esta remodelación entorno a la seguridad de la información es mejorar la eficiencia y seguridad de los procesos de negocio de manera que se garantice el correcto funcionamiento cumpliendo con los estándares internaciones relacionados con la calidad de la seguridad de la información. La facultad de Ingeniería de Sistemas e Informática consciente de la necesidad de invertir esfuerzos en fortalecer la seguridad en el proceso de negocio ha considerado oportuno realizar un análisis de la situación actual en la que se encuentra la facultad, de los riesgos y del impacto potencial que supone para el negocio. Este análisis será el comienzo para asentar unas bases para establecer unos criterios y directrices corporativas en materia de seguridad, que ayuden a mejorar de forma global los niveles corporativos en la seguridad de la información. Para garantizar estos objetivos se ha decidido por definir un plan director de seguridad de la información, utilizando como marco estándar la ISO 27002. A partir de este plan director, La ISO 27002 y en base a un análisis de riesgos, será posible definir una serie de proyectos orientados a los dominios de la organización más vulnerables, con el objetivo de reducir los riesgos potenciales detectados. 1.2 Enfoque del Proyecto Tal como se especificó en la motivación de la organización para implementar un plan director de la seguridad, este estará alineado con estándares como la ISO 27002 y para realizar el análisis de riesgos la metodología en la que se basará el proceso será en MAGERIT. Para realizar este análisis de riesgos se especificarán los activos de la Facultad orientados a soportar los procesos TI fundamentalmente, y a partir de ahí el alcance del proyecto será el reducir el riesgo de estos activos críticos para la organización en primer lugar, a partir de la realización de un análisis de riesgos identificando las amenazas pueden afectar a cada activo. A partir de este punto el plan director debería tener como referencia este análisis previo con el objetivo final de ejecutar los planes adecuados orientados a mejorar los niveles de seguridad de la información en la Facultad, de forma que todas las dimensiones de la seguridad están los más próximas posibles a CMM5.
Página 4 de 14 2. Contextualización y Documentación 3. Presentación de la Empresa La Facultad de Ingeniería de Sistemas e Informática perteneciente a la Universidad Nacional Mayor de San Marcos, es una organización que brinda servicios educativos. Tiene como objetivo formar profesionales en las ingenierías de Sistemas y de software, así como en gestión y gobierno de tecnologías de información, contribuyendo al desarrollo de la sociedad. 4. Proceso del Negocio El proceso escogido ha sido el Proceso de Matrícula el proceso se ejecuta planificando la evaluación del promedio ponderado, Sunedu pide que se catalogue. Este proceso se ejecuta rigiéndose en un MOF, según la ley universitaria n°30220 que fue emitida en abril del 2014 entonces antiguamente estamos con este MOF (antiguo), este reglamento. El proceso de matrícula, se planifica según promedio ponderado, la Sunedu pide que se matricule según meritocracia, de mayor a menor, entonces todos los años se emite según cronograma. La pre-matricula sirve para saber los cursos que se puede llevar, luego se emiten los horarios respectivos previa revisión de las veinte facultades en coordinación con el vicedecanato de cada facultad de dichas facultades, después de aprobar el cronograma de horarios se planifica todo el proceso. Este proceso pide que se matricule según meritocracia 5. Estructura Organizativa La Facultad de Ingeniería de Sistemas e Informática tiene una estructura organizativa distribuida de la siguiente manera: Consejo de Facultad Es el órgano máximo de gobierno y dirección, encargado de dirigir la marcha de la Facultad de Ingeniería de Sistemas e Informática, que tiene como misión definir los lineamientos de política para el accionar de la Facultad. Decanato Es el órgano de dirección y gobierno, que tiene como misión la gestión académica, administrativa y financiera de la Facultad para el logro de los objetivos de la institución, con las atribuciones que le confiere la Ley Universitaria y el Estatuto de la Universidad. Unidad de Planificación, Presupuesto Y Racionalización Unidad encargada de la formulación del proceso de planificación; propone las pautas y formula proyectos de presupuesto anual de la facultad. Oficina de Calidad Académica y Acreditación Órgano de asesoramiento que tiene por misión planificar, ejecutar y evaluar lo procesos de auto evaluación de la facultad. Unidad de Estadística e Informática Unidad encargada de brindar asesoramiento informático a las diversas unidades que conforman la facultad. Unidad Tecnológica Educativa
Página 5 de 14 Unidad encargada el asesoramiento técnico y que tiene por misión la elaboración de instrumentos de apoyo al proceso enseñanza- aprendizaje. Unidad de Coordinación Curricular Unidad encargada del asesoramiento técnico que tiene por misión, establecer coordinaciones tendientes a investigar, analizar y desarrollar programas para la actualización curricular. EP Ingeniería de Sistemas Órgano de línea de la Facultad, encargada de la formación Académico - Profesional de los estudiantes de la Facultad. Está a cargo de un profesor ordinario que cumpla con lo establecido en el Estatuto de la Universidad. EP Ingeniería de Software Órgano de línea de la Facultad, encargada de la formación Académico - Profesional de los estudiantes de la Facultad. Está a cargo de un profesor ordinario que cumpla con lo establecido en el Estatuto de la Universidad. Departamento Académico de Ciencias de la Computación Órgano de apoyo académico de la Facultad, que tiene como misión coordinar las actividades de los profesores y la distribución de la Carga Académica. El departamento está a cargo de un Coordinador, elegido por y entre los docentes integrantes del Departamento Académico, de acuerdo a las normas que fija el Estatuto de la Universidad. Departamento Académico de Ingeniería de Software Órgano de apoyo académico de la Facultad, que tiene como misión coordinar las actividades de los profesores y la distribución de la Carga Académica. El departamento está a cargo de un Coordinador, elegido por y entre los docentes integrantes del Departamento Académico, de acuerdo a las normas que fija el Estatuto de la Universidad. Vicedecanato de Investigación y Posgrado El Vicedecanato de Investigación y Posgrado es el órgano de línea encargado de coordinar y organizar las actividades de Investigación y los programas de posgrado en todos los niveles. Está a cargo de un Vicedecano designado por el Decano de la Facultad. Unidad de Investigación Órgano de línea encargado de conducir y desarrollar todas las actividades inherentes al campo de la investigación. Vicedecanato de Investigación y Posgrado El Vicedecanato de Investigación y Posgrado es el órgano de línea encargado de coordinar y organizar las actividades de Investigación y los programas de posgrado en todos los niveles. Está a cargo de un Vicedecano designado por el Decano de la Facultad. Unidad de Investigación Órgano de línea encargado de conducir y desarrollar todas las actividades inherentes al campo de la investigación. Centro de Producción Órgano de ejecución encargado de desarrollar las actividades de producción y prestación de servicios, con el objetivo de propiciar el desarrollo de software y hardware. Centro de Responsabilidad Social y Extensión Universitaria Órgano de línea encargado de integrar a la FISI a la comunidad. Vicedecanato Académico El Vicedecanato Académico es el órgano de línea encargado de prestar servicios y apoyo de orden académico a los estudiantes y docentes de la Facultad, como el apoyo social que se hace extensivo al personal no docente. Está a cargo de un Secretario Docente designado por
Página 6 de 14 el Comité Directivo de Gobierno de la Facultad. Unidad de Matrícula Registros Académicos, Grados y Títulos Unidad encargada de planificar, organizar y dirigir el proceso de matrícula de los estudiantes en el Sistema Único de Matrícula de acuerdo a las directivas emanadas por la Dirección Académica y los Horarios y Carga Académica establecidos por las EAP's. Encargada de otorgar Constancias y Certificados de Estudios, así como los Grados y Títulos correspondientes. Encargada de la custodia de la confidencialidad de los archivos de documentos de información personal de los estudiantes. Unidad de Asesoría y Orientación al Estudiante Unidad encargada de brindar asesoramiento y orientación a los estudiantes de la facultad en actividades para el éxito de su formación profesional. Unidad de Biblioteca, Hemeroteca y Centro de Documentación Unidad encargada de dirigir y administrar la biblioteca, hemeroteca y asegurar la permanente actualización del material bibliográfico. Unidad de Bienestar Desarrolla las actividades necesarias para complementar las metas de la Facultad en materia de bienestar social, psicológico, físico y económico de los estudiantes, del personal docente y administrativo. Dirección Administrativa La Dirección Administrativa es el órgano que tienen por misión programar, organizar y dirigir las actividades de apoyo al Decanato y al Consejo de Facultad, en las áreas de Personal, Economía, Trámite Documentario, Impresiones y Publicaciones, y Servicios Generales y Mantenimiento. Está a cargo de un Director, que es ejercido por un personal docente o no docente de nivel profesional, especializado en las áreas de trabajo. Unidad de Economía unidad encargada de realizar las acciones concernientes a los sistemas administrativos de tesorería y contabilidad. Asesora a la Facultad en asuntos de su competencia. La oficina está a cargo de un Jefe de Oficina que preferentemente debe ser un profesional No Docente. Unidad de Personal Unidad que tiene como misión la implementación de los procesos técnicos de personal, la capacitación y perfeccionamiento de los servidores no docentes. Unidad de Servicio General, Operaciones y Mantenimiento unidad encargada de brindar la oportuna y adecuada prestación de servicios para el desarrollo de la actividad docente y administrativa. Unidad de Impresiones y Publicaciones Unidad encargada de centralizar y ejecutar publicaciones e impresiones. Unidad de Trámite Documentario Unidad encargada de administrar el proceso de las comunicaciones internas y externas de la facultad.
Página 7 de 14 6. Organigrama de la Empresa El organigrama de la Facultad de Ingeniería de Sistemas e Informática está representado en la siguiente imagen:
Página 8 de 14 7. Mapeo de Procesos
Página 9 de 14 8. Análisis Diferencial En este punto el objetivo es definir un estado inicial de cómo se encuentra la Facultad de Ingeniería de Sistemas e Informática, y hacia donde deseamos llegar para cumplir los objetivos marcados en cuanto a seguridad de la información. 8.1 Políticas de Seguridad Dado que la FISI no dispone de ninguna política de seguridad ni directiva parecida (sólo cuenta con el Manual de Organización y Funciones), actualizada y reconocida por los trabajadores, el objetivo principal será la creación de una política adecuada para la FISI y, donde marcará las pautas a seguir por los trabajadores para preservar la seguridad de la información. Junto con la política, se definirán las bases del que será el Sistema de Gestión de Seguridad de la Información. 8.2 Aspectos Organizativos de la Seguridad de la Información En cuanto a aspectos organizativos de la seguridad de la información, y siguiendo la ISO/IEC 27002, este apartado queda dividido en dos objetivos a organizar, por un lado, la organización interna y la de terceros. En cuanto a organización interna se deberían establecer estructuras de gestión adecuadas para iniciar y controlar la implementación de la seguridad de la información dentro de la FISI. Para llevar a cabo este punto, se han de asignar roles y perfiles con el fin de definir responsables en la gestión de la información. Esta tarea recaería sobre el comité de seguridad de la información. Otra tarea del comité de seguridad de la información sería la de realizar un seguimiento continuo para supervisar la elaboración del plan y seguir un plan de mejora. En cuanto a la seguridad en los accesos de terceros, se ha de mantener la seguridad de que los recursos de tratamiento de la información y de los activos de la organización sean accesibles por terceros, controlando su acceso a los dispositivos. También se ha de implantar medidas de evaluación de riesgo para determinar las implicaciones sobre la seguridad y las medidas de control que requiere el negocio cuando un tercero accede a los recursos de información. Actualmente la Facultad dispone de soporte por parte del Área de Soporte y sus grupos de seguridad en caso de incidente, a los cuales puede acudir en busca de ayuda. 8.3 Clasificación y Control de Activos La Facultad de Ingeniería de Sistemas e Informática no dispone actualmente de ninguna clasificación de activos o controles sobre el uso indebido de estos. Por tanto, es vital para el buen funcionamiento del sistema implantar este tipo de controles y clasificación de activos. Junto con la política de seguridad, se identificarán, documentarán e implementarán regulaciones enfocados al uso adecuado de los activos, quedando definidas también las instrucciones de clasificación de activos. Uno de los mecanismos de ejecución detallados en el plan director era la de obtener información de los activos críticos mediante entrevistas y consultas directamente con los trabajadores de la Facultad. Ya que el número de estos es reducido, se pueden tener entrevistas individuales con ellos para determinar los activos críticos para cada uno de ellos, con el fin de obtener un mapa de los activos y recursos esenciales y valiosos para el correcto funcionamiento de la información y funciones de la Facultad. Una vez asignados los activos se han de asignar responsabilidades de mantenimiento de los controles apropiados. De la información obtenida, se debería obtener una clasificación en función del valor, requisitos legales, sensibilidad y criticidad para la Facultad. El nivel de protección de la información puede ser determinado analizando la confidencialidad, integridad y disponibilidad, entre otros requisitos, para la información considerada. 8.4 Seguridad Ligada a los Recursos Humanos Actualmente la FISI, al contratar a personal nuevo se le asigna un usuario y privilegios
Página 10 de 14 adecuados al puesto al que ha sido designado, con el fin de proteger la información que está fuera de su competencia o que pueda obtener información que sensible para cometer un fraude o hurto. Entre las funciones a seguir por la Facultad en materia de seguridad de los recursos estas deberían proteger los activos de un acceso no autorizado, tal como se viene haciendo. Asegurar que la responsabilidad sea asignada al individuo para tomar acciones o reportar eventos de seguridad o eventos potenciales u otro riesgo para la Facultad. Actualmente no se recibe ningún tipo de formación o entrenamiento en términos de conocimiento y actuaciones regulares en políticas y procedimientos organizacionales relevantes en su función. Esta formación debería empezar con una inducción formal del proceso designado para introducir la política de seguridad de la Facultad y las expectativas. Otro punto a definir son los procesos disciplinarios para empleados que cometan aperturas en la seguridad, asegurándose que se reciba un correcto y justo tratamiento de los empleados por los hechos ocurridos y que han provocado dicha apertura. Al finalizar el contrato, la Facultad revoca los permisos y activos que se le prestaron al empleado en el momento del contrato, con lo que los permisos y privilegios quedan anulados en el momento de la desvinculación contractual. 8.5 Seguridad Física y del Entorno Actualmente los activos de la FISI se dividen en dos entornos. El primero es el material de oficina y diferente hardware para el funcionamiento de los servicios; y el segundo, los activos necesarios para el funcionamiento de los servicios de soporte y buen funcionamiento de los diferentes laboratorios. Únicamente el segundo de los activos se encuentra en una zona restringida a los empleados no autorizados y terceros. En cuanto al resto de activos de la Facultad físicos, no se tiene ningún control de acceso ni registro de las personas que acceden al recinto. Existen cámaras de seguridad, mas solo se encuentran funcionando una cierta cantidad de ellas. En cuanto a la mejora de la seguridad del perímetro físicamente es difícil implementarla o mejorarla ya que, al ser parte del centro de estudios UNMSM, no se restringe el acceso a los estudiantes de las diferentes facultades. Sin embargo, como objetivo en este punto estaría la de mejorar los métodos de acceso controlados y adecuados que aseguren el acceso al personal autorizado. Con el objetivo de reducir el riesgo de amenazas del entorno. También se debería proteger los equipos contra fallos de energía, seguridad del cableado que actualmente no se contemplan. 8.6 Gestión de Comunicaciones y Operaciones Actualmente, cada responsable de cada área es responsable de su área únicamente y por encima de estos el Decano de la Facultad, pero no existe ningún documento dónde se detalle la función de cada sección ni determine responsabilidades en algún aspecto o actuación en caso de incidente de seguridad. Por tanto, se debería establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos de tratamiento de la información, como, por ejemplo, el desarrollo de instrucciones apropiadas de operación y de procedimiento de respuesta ante incidentes. Por otro lado, con el objetivo de minimizar el riesgo de fallos de los sistemas, es necesario una planificación para asegurar la disponibilidad de capacidad y de recursos para que los sistemas funcionen, además de documentar y probar, antes de su aceptación, los requisitos operacionales de los sistemas nuevos, ya que actualmente no se realiza. Uno de los puntos más sensibles a tener en cuenta y que actualmente no se realiza con un control o planificación adecuado y periódico y donde no existe documentación formal, actualizada ni con unas pautas y procedimientos revisados al respecto, son las copias de seguridad de toda la información esencial del negocio y que esta pueda recuperarse tras un desastre o fallo de los medios. También debería estar documentado el procedimiento de copia de respaldo, así como su recuperación y también el de uso adecuado de los medios de información.
Página 11 de 14 8.7 Control de Accesos Tal como se comentó anteriormente, los accesos son controlados mediante los privilegios de accesos a la información, donde se controla que cada empleado únicamente pueda acceder a los recursos que le están destinados para su puesto de trabajo, sin revisar, en ningún periodo de tiempo, si cada usuario tiene los privilegios que le tocan para su puesto. Sin embargo, no está documentado y accesible para los empleados a modo de que sepan la política de la Facultad. Tampoco está documentado y, por donde tampoco se aplica, una política de contraseñas robusta para acceder a los servicios de información. En cuanto a la responsabilidad de los usuarios y compromiso de estos ante el buen mantenimiento y eficacia de las medidas de control y donde no existe ningún procedimiento ni documentación formal, actualizado y revisado periódicamente al respecto, por tanto, es otro punto a implementar. Este procedimiento debería documentar pautas de los empleados como mantener el escritorio limpio, no permitir el acceso no autorizado a su zona de trabajo, una política de contraseñas robusta, no acceder a redes o sitios maliciosos que puedan comprometer los activos o información sensible. 8.8 Adquisición, Desarrollo y Mantenimiento de Sistemas Actualmente se cuenta con propios desarrolladores en materia TIC en lo que a seguridad de las aplicaciones del sistema se refiere (aula virtual). Por este motivo es necesario diseñar medidas de control, tanto a la hora del diseño de las aplicaciones donde estas han de controlar factores de riesgo como la entrada y salida de datos, como controles criptográficos para proteger la información sometida a riesgo. Otro punto a mejorar e implantar en el sistema de la Facultad es la de asegurar la seguridad de los archivos del sistema, donde deberían existir procedimientos para controlar la instalación de software en sistemas operacionales o tener un procedimiento bien detallado y control sobre los datos de prueba, donde estos deben ser seleccionados, protegidos y controlados cuidadosamente. También hay que tener especial atención y cuidado con los accesos al código fuente de los programas para evitar los cambios no intencionales o de empleados que no tienen privilegios para ello. Por todo ello, además, es vital mantener e implantar, ya que no se realiza actualmente, una revisión de todo cambio al sistema con el fin de comprobar que no debilite la seguridad del sistema en general, así como un procedimiento de control de cambios. 8.9 Gestión de Incidentes en la Seguridad de la Información La Facultad no dispone de ningún sistema de reporte de eventos y debilidades de seguridad en estos momentos. Así pues, debería implementar los procedimientos adecuados para que todos los empleados y terceros involucrados por la Facultad puedan reportar diferentes tipos de eventos y debilidades que puedan tener un impacto en la seguridad de los activos. No obstante, en caso de infección o cualquier otro incidente de seguridad, se puede acudir a los servicios específicos de Área de Soporte destinados a estas tareas para obtener soporte especializado. Por este motivo los canales de gestión son los propios de ésta área así que está debidamente implementado, la debilidad está en la comunicación interna de la propia Facultad que no dispone de herramientas de reporte de eventos críticos. De igual forma, para mantener y asegurar una efectiva y sólida respuesta de los incidentes debe establecerse un sistema de responsabilidades y procedimientos. También se ha de cuantificar mediante algún mecanismo eficiente, el costo de los incidentes en la seguridad de la información. Por otra parte, es importante monitorizar y controlar los eventos que vayan surgiendo en la Facultad con el fin de tener evidencias sólidas y legales delante de cualquier procedimiento o acción legal que pueda surgir. 8.10 Gestión de Continuidad de Negocio Es de vital importancia que la Facultad implemente, ya que no dispone de ello, de un procedimiento de gestión de continuidad del negocio para reducir a niveles asumibles la interrupción causada por desastres y fallas de seguridad mediante controles preventivos y de recuperación.
Página 12 de 14 Para esto, la Facultad ha de identificar los procesos críticos de negocio (analizados en puntos anteriores) e integrar los requisitos de gestión de la seguridad de información para la continuidad del negocio con otros requisitos de continuidad relacionados con dichos aspectos como operaciones, proveedores de personal, materiales, etc. La Facultad debe analizar las consecuencias de los desastres, fallos de seguridad o pérdidas de servicio que puedan afectar a sus activos y una vez hecho esto, asegurarlos mediante un plan de contingencia que minimice los riesgos hasta niveles aceptables o asumibles para la Facultad. Es obligación de la Facultad realizar un análisis de la probabilidad de impacto y coste de recuperación del activo y coste del activo para analizar qué debe salvaguardar en primeras instancias o dónde destinar los recursos para ello. Una vez diseñados los planes de contingencias, deberían estar sometidos a controles y revisiones regularmente para asegurarse de su actualización y eficacia. 8.11 Cumplimiento Un punto a tener en cuenta al redactar estos documentos y procedimientos es la protección de datos y la privacidad, donde debe ser asegurada en todo momento o, el mal uso de los recursos de tratamiento de la información personal con propósitos no autorizados, por ejemplo. Junto con todos los procedimientos y documentos, los responsables deberían asegurarse que se cumplen todas estas regulaciones de seguridad dentro de su área de responsabilidad cumpliendo con las políticas y estándares de seguridad. 9. Análisis de Riesgo 9.1 Introducción En esta sección del documento el objetivo es evaluar todos los activos que se encuentran relacionados con la creación de Plan Director, considerando las dependencias existentes entre ellos y realizando una valoración sobre estos. De esta forma se definirá claramente un punto de salida de todos los activos, sean estos tangibles o no, dentro de la FISI y pudiendo analizar a qué amenazas podrían estar expuestos estos activos. Una vez disponemos de un listado de las amenazas reales que pueden afectar a nuestros activos y extraídos de la Guía Magerit, estaremos en disposición de poder realizar la evaluación del impacto que sufrirá la FISI en caso de que se materialicen estas amenazas. El impacto dará una serie de datos que nos permitirán priorizar el plan de acción y, al mismo tiempo, evaluar como se ve modificado este valor una vez se apliquen las contramedidas o bien, el riesgo que estamos dispuestos a asumir (riesgo residual) por parte de la Facultad. Como resultado de esta fase, podremos obtener: ● Un análisis detallado de los activos relevantes de seguridad de la Facultad. ● Un estudio de las posibles amenazas sobre los sistemas de información, así como su impacto. El resultado final, será el impacto potencial que tendrá la materialización de las diferentes amenazas a las que están expuestos nuestros activos. 9.2 Inventario de Activos El primer punto para el análisis es estudiar los activos vinculados a la información. Es habitual agrupar los activos por grupos para ello. En nuestro caso, podemos agrupar los activos por grupos basándonos en la ISO 27001. Por tanto, los grupos en los que nos centraremos son: ● [L] Instalaciones * ● [HW] Hardware * ● [SW] Aplicación * ● [D] Datos * ● [COM] Red ● [S] Servicios * ● [AUX] Equipamiento auxiliar ● [P] Personal (*) Se va a considerar también activos externos que pertenezcan a cada categoría. Aún si no son activos propios de la Facultad, deben ser controlados de manera similar a los activos de la FISI, por eso se les incluye en el inventario de activos
Página 13 de 14 9.3 Valoración de Activos Con la identificación de activos en relación a la seguridad de la información, hará falta valorar cada activo dentro de nuestra organización. El objetivo final del proceso es tomar un conjunto de medidas que garanticen nuestros activos. El coste de estas medidas no ha de superar el coste del activo que se tiene que proteger, de otra forma no sería un activo rentable protegerlo, ya que sería más fácil substituirlo en caso contrario, por tanto, un punto por dónde empezar es la asignación de un valor a los activos. Para poder valorar un activo se han de tener en cuenta diferentes aspectos, como por ejemplo el coste de reposición, el valor del tiempo sin servicio, posibles penalizaciones, etc. Por tanto, para facilitar esta tarea, se propone la metodología MAGERIT, la cual realiza una valoración cualitativa en relación al valor que tiene el activo respecto a nuestra organización, que se completa con una valoración cuantitativa respecto a estas categorías cualitativas. Valoración Abreviatura Muy Alta MA Alto A Medio M Bajo B Muy Bajo MB 9.4 Dimensiones de Seguridad Desde el punto de vista de la seguridad, junto a la valoración de los activos, se ha de indicar cuál es el aspecto de la seguridad más crítico. Esto será de gran ayuda en el momento de pensar en posibles medidas de prevención, ya que serán enfocadas en aquellos aspectos más críticos. Una vez identificados los activos, se ha de realizar la valoración CIDAT de los mismos. Esta valoración mide la criticidad a las cinco dimensiones de la seguridad de la información gestionada por el proceso de negocio. Esta valoración nos permitirá valorar el impacto que tendrá la materialización de la amenaza sobre la parte del activo expuesto. Cada activo de información puede tener un valor diferente en cada uno de las diferentes dimensiones para la organización que deseamos analizar. Por esto, se ha de tener presente siempre que representa cada dimensión. Las cinco dimensiones de las que se habla son: ● [C] Confidencialidad. Únicamente las personas autorizadas tienen acceso a la información sensible o privada. ● [I] Integridad. La información y los métodos de procesamiento de esta información son exactos y completos, y no se han manipulado sin autorización ● [D] Disponibilidad. Los usuarios que están autorizados pueden acceder a la información cuando lo necesiten. ● [A] Autenticidad. Hay garantía de la identidad de los usuarios o procesos que gestionarán la información. ● [T] No repudio. Hay garantía de la autoría de una determinada acción y está asociada a quien ha producido esta acción. Una vez detalladas las cinco dimensiones se ha de tener presente la escala en que se realizarán las valoraciones. En este caso se utilizará una escala de valoración de diez valores siguiendo los siguientes criterios: Valor Criterio 10 Daño muy grave 7 – 9 Daño grave 4 – 6 Daño importante 1 – 3 Daño menor 0 Daño irrelevante
Página 14 de 14 9.5 Tabla de Valoración de Activos – Procesos de Matrícula Ámbito Activo Valor Aspectos críticos C I D A T [L] Instalaciones [L.1] Centro de Datos * MA 8 9 10 8 8 [L.2] Oficinas A 5 7 8 - - [HW] Hardware [HW.1] PC MB - - 7 - - [HW.2] Impresoras MB - - 6 - - [HW.3] Servidor web * B 9 9 9 8 8 [HW.4] Servidor BD * B 9 9 9 8 8 [HW.5] Servidor Firewall * A 8 9 9 8 8 [HW.6] Servidor Aplicaciones * B 8 9 7 7 7 [HW.7] Servidor Backup * B 8 9 9 8 8 [SW] Software [SW.1] Sistema Operativo MB 5 7 7 8 7 [SW.2] Aplicaciones ofimática MB 4 7 6 7 6 [SW.3] Antivirus MB 4 7 5 6 7 [SW.4] Aplicación estadística B 5 7 6 8 7 [SW.5] Navegador web MB - - 0 - - [SW.6] Aplicación matrícula * M 9 9 9 8 8 [D] Datos [D.1] Archivos de matrícula A 9 9 8 7 7 [D.2] Resoluciones Rectorales y decanales M 3 2 4 4 4 [D.3] Logs * B 8 8 6 8 8 [D.4] Datos estadísticos M 5 7 6 7 6 [COM] Red [COM.1] Router B 7 9 9 6 7 [COM.2] Línea Intranet M 6 8 6 - - [COM.3] Línea internet M 7 8 7 - - [S] Servicios [S.1] Servicio de correo institucional – Gmail * MB 7 7 8 7 7 [S.2] Servicio intranet B 8 9 9 8 7 [S.3] Servicio Web A 6 8 8 8 7 [S.4] Servicio de Limpieza* B - - 5 - - [S.5] Servicio de aplicación externa * A 9 9 9 8 8 [AUX] Equipamiento Auxiliar [AUX.1] Equipo de Climatización * B - - 9 - - [AUX.2] Equipos extintores MB - - 7 - - [P] Personal [P.1] Responsables del proceso de Matrícula MA 9 [P.2] Responsable SUM A 8 [P.3] Directores de Escuela M 6 [P.4] Decano A 8 [P.5] Vicedecano Académico M 7 [P.6] Personal estudiantil B 3

Empfohlen

Planeación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosPlaneación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosMarco
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticasToli Rozas Cordova
 
Plan2008 utn frro
Plan2008 utn frroPlan2008 utn frro
Plan2008 utn frroIvan Paredes
 
Plan de estudios masti 11 virtual
Plan de estudios masti 11 virtualPlan de estudios masti 11 virtual
Plan de estudios masti 11 virtualJorgeConde44
 
Auditoria luisanny quintero
Auditoria luisanny quinteroAuditoria luisanny quintero
Auditoria luisanny quinteroluisatero
 
Informe final de_prácticas_profesionales
Informe final de_prácticas_profesionalesInforme final de_prácticas_profesionales
Informe final de_prácticas_profesionalesJosé Antonio Castro Reslen
 
T espe-021849 tesis
T espe-021849 tesisT espe-021849 tesis
T espe-021849 tesisMarko Eduardo Cruz Salgado
 
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL ADMINISTRATIVO PARA ISACA-CR
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL ADMINISTRATIVO PARA ISACA-CRDISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL ADMINISTRATIVO PARA ISACA-CR
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL ADMINISTRATIVO PARA ISACA-CRUNIVERSIDAD MAGISTER (Sitio Oficial)
 

Empfohlen

Planeación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosPlaneación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosMarco
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticasToli Rozas Cordova
 
Plan2008 utn frro
Plan2008 utn frroPlan2008 utn frro
Plan2008 utn frroIvan Paredes
 
Plan de estudios masti 11 virtual
Plan de estudios masti 11 virtualPlan de estudios masti 11 virtual
Plan de estudios masti 11 virtualJorgeConde44
 
Auditoria luisanny quintero
Auditoria luisanny quinteroAuditoria luisanny quintero
Auditoria luisanny quinteroluisatero
 
Informe final de_prácticas_profesionales
Informe final de_prácticas_profesionalesInforme final de_prácticas_profesionales
Informe final de_prácticas_profesionalesJosé Antonio Castro Reslen
 
T espe-021849 tesis
T espe-021849 tesisT espe-021849 tesis
T espe-021849 tesisMarko Eduardo Cruz Salgado
 
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL ADMINISTRATIVO PARA ISACA-CR
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL ADMINISTRATIVO PARA ISACA-CRDISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL ADMINISTRATIVO PARA ISACA-CR
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE CONTROL ADMINISTRATIVO PARA ISACA-CRUNIVERSIDAD MAGISTER (Sitio Oficial)
 
Diapositivas de presentación de diseño de sistemas dentro de la estructura de...
Diapositivas de presentación de diseño de sistemas dentro de la estructura de...Diapositivas de presentación de diseño de sistemas dentro de la estructura de...
Diapositivas de presentación de diseño de sistemas dentro de la estructura de...Juan Pablo Bustos Thames
 
CODETEC- Proyecto Final Taller de Investigacion 2
CODETEC- Proyecto Final Taller de Investigacion 2CODETEC- Proyecto Final Taller de Investigacion 2
CODETEC- Proyecto Final Taller de Investigacion 2Hugo Alberto Rivera Diaz
 
Trabajo de grado
Trabajo de gradoTrabajo de grado
Trabajo de gradopaola benitez
 
Metodologías De Diseño Y Desarrollo De Sistemas De Información
Metodologías De Diseño Y Desarrollo De Sistemas De InformaciónMetodologías De Diseño Y Desarrollo De Sistemas De Información
Metodologías De Diseño Y Desarrollo De Sistemas De Informacióndavinson garcia
 
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTOINVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTOMarlen Jiménez
 
Metodologías de Diseño y Desarrollo de Sistemas de Información
Metodologías de Diseño y Desarrollo de Sistemas de InformaciónMetodologías de Diseño y Desarrollo de Sistemas de Información
Metodologías de Diseño y Desarrollo de Sistemas de InformaciónErnesto Souquet Guevara
 
Estado del arte de la carrera de informática
Estado del arte de la carrera de informáticaEstado del arte de la carrera de informática
Estado del arte de la carrera de informáticaCaleb Flores
 
Trabajo final
Trabajo finalTrabajo final
Trabajo finalLuis Alberto Socorro Gonzalez
 
Trabajofinalati - Aula virtual version 1.0
Trabajofinalati - Aula virtual version 1.0Trabajofinalati - Aula virtual version 1.0
Trabajofinalati - Aula virtual version 1.0Leonardo Figueroa Loyola
 
Proyecto de grado jesse, villa
Proyecto de grado jesse, villaProyecto de grado jesse, villa
Proyecto de grado jesse, villaJesse Chavez
 
Proyecto de grado Jefferson Villamar
Proyecto de grado Jefferson VillamarProyecto de grado Jefferson Villamar
Proyecto de grado Jefferson VillamarJerson Villamar
 
Temario software de aplicacion ejecutivo
Temario software de aplicacion ejecutivoTemario software de aplicacion ejecutivo
Temario software de aplicacion ejecutivoWilberth_Gongora
 
Auditoria a centro educativo narcisa de jesús
Auditoria a centro educativo narcisa de jesúsAuditoria a centro educativo narcisa de jesús
Auditoria a centro educativo narcisa de jesúsStephany Méndez Gordillo
 
Auditoria “centro educativo santa paula”
Auditoria “centro educativo santa paula”Auditoria “centro educativo santa paula”
Auditoria “centro educativo santa paula”karen_27segovia
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseñodreyco3030
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseñodreyco3030
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseñodreyco3030
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseñodreyco3030
 
Triptico ge
Triptico geTriptico ge
Triptico gegenibel
 
ADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANA
ADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANAADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANA
ADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANASiefren Méndez
 
413924447-Clasificacion-de-Inventarios-ABC-ppt.ppt
413924447-Clasificacion-de-Inventarios-ABC-ppt.ppt413924447-Clasificacion-de-Inventarios-ABC-ppt.ppt
413924447-Clasificacion-de-Inventarios-ABC-ppt.pptUNIVERSIDAD TECNOLOGICA NUEVO LAREDO
 
27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.pptjacnuevarisaralda22
 

Weitere ähnliche Inhalte

Ähnlich wie Plan de seguridad de la informacion

Diapositivas de presentación de diseño de sistemas dentro de la estructura de...
Diapositivas de presentación de diseño de sistemas dentro de la estructura de...Diapositivas de presentación de diseño de sistemas dentro de la estructura de...
Diapositivas de presentación de diseño de sistemas dentro de la estructura de...Juan Pablo Bustos Thames
 
CODETEC- Proyecto Final Taller de Investigacion 2
CODETEC- Proyecto Final Taller de Investigacion 2CODETEC- Proyecto Final Taller de Investigacion 2
CODETEC- Proyecto Final Taller de Investigacion 2Hugo Alberto Rivera Diaz
 
Metodologías De Diseño Y Desarrollo De Sistemas De Información
Metodologías De Diseño Y Desarrollo De Sistemas De InformaciónMetodologías De Diseño Y Desarrollo De Sistemas De Información
Metodologías De Diseño Y Desarrollo De Sistemas De Informacióndavinson garcia
 
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTOINVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTOMarlen Jiménez
 
Metodologías de Diseño y Desarrollo de Sistemas de Información
Metodologías de Diseño y Desarrollo de Sistemas de InformaciónMetodologías de Diseño y Desarrollo de Sistemas de Información
Metodologías de Diseño y Desarrollo de Sistemas de InformaciónErnesto Souquet Guevara
 
Estado del arte de la carrera de informática
Estado del arte de la carrera de informáticaEstado del arte de la carrera de informática
Estado del arte de la carrera de informáticaCaleb Flores
 
Trabajofinalati - Aula virtual version 1.0
Trabajofinalati - Aula virtual version 1.0Trabajofinalati - Aula virtual version 1.0
Trabajofinalati - Aula virtual version 1.0Leonardo Figueroa Loyola
 
Proyecto de grado jesse, villa
Proyecto de grado jesse, villaProyecto de grado jesse, villa
Proyecto de grado jesse, villaJesse Chavez
 
Proyecto de grado Jefferson Villamar
Proyecto de grado Jefferson VillamarProyecto de grado Jefferson Villamar
Proyecto de grado Jefferson VillamarJerson Villamar
 
Temario software de aplicacion ejecutivo
Temario software de aplicacion ejecutivoTemario software de aplicacion ejecutivo
Temario software de aplicacion ejecutivoWilberth_Gongora
 
Auditoria a centro educativo narcisa de jesús
Auditoria a centro educativo narcisa de jesúsAuditoria a centro educativo narcisa de jesús
Auditoria a centro educativo narcisa de jesúsStephany Méndez Gordillo
 
Auditoria “centro educativo santa paula”
Auditoria “centro educativo santa paula”Auditoria “centro educativo santa paula”
Auditoria “centro educativo santa paula”karen_27segovia
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseñodreyco3030
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseñodreyco3030
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseñodreyco3030
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseñodreyco3030
 
Triptico ge
Triptico geTriptico ge
Triptico gegenibel
 
ADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANA
ADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANAADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANA
ADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANASiefren Méndez
 

Ähnlich wie Plan de seguridad de la informacion (20)

Diapositivas de presentación de diseño de sistemas dentro de la estructura de...
Diapositivas de presentación de diseño de sistemas dentro de la estructura de...Diapositivas de presentación de diseño de sistemas dentro de la estructura de...
Diapositivas de presentación de diseño de sistemas dentro de la estructura de...
 
CODETEC- Proyecto Final Taller de Investigacion 2
CODETEC- Proyecto Final Taller de Investigacion 2CODETEC- Proyecto Final Taller de Investigacion 2
CODETEC- Proyecto Final Taller de Investigacion 2
 
Trabajo de grado
Trabajo de gradoTrabajo de grado
Trabajo de grado
 
Metodologías De Diseño Y Desarrollo De Sistemas De Información
Metodologías De Diseño Y Desarrollo De Sistemas De InformaciónMetodologías De Diseño Y Desarrollo De Sistemas De Información
Metodologías De Diseño Y Desarrollo De Sistemas De Información
 
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTOINVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
 
Metodologías de Diseño y Desarrollo de Sistemas de Información
Metodologías de Diseño y Desarrollo de Sistemas de InformaciónMetodologías de Diseño y Desarrollo de Sistemas de Información
Metodologías de Diseño y Desarrollo de Sistemas de Información
 
Estado del arte de la carrera de informática
Estado del arte de la carrera de informáticaEstado del arte de la carrera de informática
Estado del arte de la carrera de informática
 
Trabajo final
Trabajo finalTrabajo final
Trabajo final
 
Trabajofinalati - Aula virtual version 1.0
Trabajofinalati - Aula virtual version 1.0Trabajofinalati - Aula virtual version 1.0
Trabajofinalati - Aula virtual version 1.0
 
Proyecto de grado jesse, villa
Proyecto de grado jesse, villaProyecto de grado jesse, villa
Proyecto de grado jesse, villa
 
Proyecto de grado Jefferson Villamar
Proyecto de grado Jefferson VillamarProyecto de grado Jefferson Villamar
Proyecto de grado Jefferson Villamar
 
Temario software de aplicacion ejecutivo
Temario software de aplicacion ejecutivoTemario software de aplicacion ejecutivo
Temario software de aplicacion ejecutivo
 
Auditoria a centro educativo narcisa de jesús
Auditoria a centro educativo narcisa de jesúsAuditoria a centro educativo narcisa de jesús
Auditoria a centro educativo narcisa de jesús
 
Auditoria “centro educativo santa paula”
Auditoria “centro educativo santa paula”Auditoria “centro educativo santa paula”
Auditoria “centro educativo santa paula”
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseño
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseño
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseño
 
Proyecto de analisis y diseño
Proyecto de analisis y diseñoProyecto de analisis y diseño
Proyecto de analisis y diseño
 
Triptico ge
Triptico geTriptico ge
Triptico ge
 
ADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANA
ADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANAADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANA
ADMINISTRACIÓN DE RIESGOS TALLER TICS MESOAMERICANA
 

Kürzlich hochgeladen

27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.pptjacnuevarisaralda22
 
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023RonaldoPaucarMontes
 
Herramientas de la productividad - Revit
Herramientas de la productividad - RevitHerramientas de la productividad - Revit
Herramientas de la productividad - RevitDiegoAlonsoCastroLup1
 
Quimica Raymond Chang 12va Edicion___pdf
Quimica Raymond Chang 12va Edicion___pdfQuimica Raymond Chang 12va Edicion___pdf
Quimica Raymond Chang 12va Edicion___pdfs7yl3dr4g0n01
 
Desigualdades e inecuaciones-convertido.pdf
Desigualdades e inecuaciones-convertido.pdfDesigualdades e inecuaciones-convertido.pdf
Desigualdades e inecuaciones-convertido.pdfRonaldLozano11
 
Six Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo processSix Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo processbarom
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDEdith Puclla
 
Gestion de proyectos para el control y seguimiento
Gestion de proyectos para el control y seguimientoGestion de proyectos para el control y seguimiento
Gestion de proyectos para el control y seguimientoMaxanMonplesi
 
Lineamientos del Plan Oferta y Demanda sesión 5
Lineamientos del Plan Oferta y Demanda sesión 5Lineamientos del Plan Oferta y Demanda sesión 5
Lineamientos del Plan Oferta y Demanda sesión 5juanjoelaytegonzales2
 
CALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptxCALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptxCarlosGabriel96
 
ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGUROATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGUROalejandrocrisostomo2
 
QUIMICA GENERAL UNIVERSIDAD TECNOLOGICA DEL PERU
QUIMICA GENERAL UNIVERSIDAD TECNOLOGICA DEL PERUQUIMICA GENERAL UNIVERSIDAD TECNOLOGICA DEL PERU
QUIMICA GENERAL UNIVERSIDAD TECNOLOGICA DEL PERUManuelSosa83
 
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptTippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptNombre Apellidos
 
Sesion 6 _ Curso Integrador II_TSZVQJ.pdf
Sesion 6 _ Curso Integrador II_TSZVQJ.pdfSesion 6 _ Curso Integrador II_TSZVQJ.pdf
Sesion 6 _ Curso Integrador II_TSZVQJ.pdfOmarPadillaGarcia
 
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSIONCALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSIONJuan Carlos Meza Molina
 
Tinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaTinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaAlexanderimanolLencr
 
JM HIDROGENO VERDE- OXI-HIDROGENO en calderas - julio 17 del 2023.pdf
JM HIDROGENO VERDE- OXI-HIDROGENO en calderas - julio 17 del 2023.pdfJM HIDROGENO VERDE- OXI-HIDROGENO en calderas - julio 17 del 2023.pdf
JM HIDROGENO VERDE- OXI-HIDROGENO en calderas - julio 17 del 2023.pdfMiguelArango21
 
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJODIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJOJimyAMoran
 

Kürzlich hochgeladen (20)

413924447-Clasificacion-de-Inventarios-ABC-ppt.ppt
413924447-Clasificacion-de-Inventarios-ABC-ppt.ppt413924447-Clasificacion-de-Inventarios-ABC-ppt.ppt
413924447-Clasificacion-de-Inventarios-ABC-ppt.ppt
 
27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt
 
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
COMPEDIOS ESTADISTICOS DE PERU EN EL 2023
 
Herramientas de la productividad - Revit
Herramientas de la productividad - RevitHerramientas de la productividad - Revit
Herramientas de la productividad - Revit
 
Quimica Raymond Chang 12va Edicion___pdf
Quimica Raymond Chang 12va Edicion___pdfQuimica Raymond Chang 12va Edicion___pdf
Quimica Raymond Chang 12va Edicion___pdf
 
Desigualdades e inecuaciones-convertido.pdf
Desigualdades e inecuaciones-convertido.pdfDesigualdades e inecuaciones-convertido.pdf
Desigualdades e inecuaciones-convertido.pdf
 
Six Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo processSix Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo process
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCD
 
Gestion de proyectos para el control y seguimiento
Gestion de proyectos para el control y seguimientoGestion de proyectos para el control y seguimiento
Gestion de proyectos para el control y seguimiento
 
Lineamientos del Plan Oferta y Demanda sesión 5
Lineamientos del Plan Oferta y Demanda sesión 5Lineamientos del Plan Oferta y Demanda sesión 5
Lineamientos del Plan Oferta y Demanda sesión 5
 
CALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptxCALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptx
 
ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGUROATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
 
QUIMICA GENERAL UNIVERSIDAD TECNOLOGICA DEL PERU
QUIMICA GENERAL UNIVERSIDAD TECNOLOGICA DEL PERUQUIMICA GENERAL UNIVERSIDAD TECNOLOGICA DEL PERU
QUIMICA GENERAL UNIVERSIDAD TECNOLOGICA DEL PERU
 
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptTippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
 
Sesion 6 _ Curso Integrador II_TSZVQJ.pdf
Sesion 6 _ Curso Integrador II_TSZVQJ.pdfSesion 6 _ Curso Integrador II_TSZVQJ.pdf
Sesion 6 _ Curso Integrador II_TSZVQJ.pdf
 
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSIONCALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
CALCULO SISTEMA DE PUESTA A TIERRA PARA BAJA TENSION Y MEDIA TENSION
 
Tinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaTinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiología
 
JM HIDROGENO VERDE- OXI-HIDROGENO en calderas - julio 17 del 2023.pdf
JM HIDROGENO VERDE- OXI-HIDROGENO en calderas - julio 17 del 2023.pdfJM HIDROGENO VERDE- OXI-HIDROGENO en calderas - julio 17 del 2023.pdf
JM HIDROGENO VERDE- OXI-HIDROGENO en calderas - julio 17 del 2023.pdf
 
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJODIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
 

Plan de seguridad de la informacion

  • 1. 2017 PLAN DE SEGURIDAD DE LA INFORMACIÓN PARA LA FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA Curso Seguridad de Redes UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
  • 2. Página 1 de 14 CARGO NOMBRE FIRMA JEFE DE GRUPO: Oficial De Seguridad de la Información Puitiza López, Anthony INTEGRANTES DEL GRUPO: 1 Comité de Seguridad de la Información Quispe Quispe, Kerly Janeth 2 Terrazas García, Guillermo Moisés 3 Ramírez Vera, Carlos Augusto 4 Zuñiga Yamashita, Miguel Ángel 5 Olivares Chuquiure, Kevin REVISADO POR: Ugaz Cachay, Winston GERENTE GENERAL: Gonzales Suarez, Juan Carlos Semestre Académico: 2017-II
  • 3. Página 2 de 14 Tabla de Contenidos 1. Introducción 3 1.1 Motivación del Proyecto 3 1.2 Enfoque del Proyecto 3 2. Contextualización y Documentación 4 3. Presentación de la Empresa 4 4. Proceso del Negocio 4 5. Estructura Organizativa 4 6. Organigrama de la Empresa 7 7. Mapeo de Procesos 8 8. Análisis Diferencial 9 8.1 Políticas de Seguridad 9 8.2 Aspectos Organizativos de la Seguridad de la Información 9 8.3 Clasificación y Control de Activos 9 8.4 Seguridad Ligada a los Recursos Humanos 9 8.5 Seguridad Física y del Entorno 10 8.6 Gestión de Comunicaciones y Operaciones 10 8.7 Control de Accesos 11 8.8 Adquisición, Desarrollo y Mantenimiento de Sistemas 11 8.9 Gestión de Incidentes en la Seguridad de la Información 11 8.10 Gestión de Continuidad de Negocio 11 8.11 Cumplimiento 12 9. Análisis de Riesgo 12 9.1 Introducción 12 9.2 Inventario de Activos 12 9.3 Valoración de Activos 13 9.4 Dimensiones de Seguridad 13 9.5 Tabla de Valoración de Activos – Procesos de Matrícula 14
  • 4. Página 3 de 14 Plan de Seguridad de la Información Facultad de Ingeniería de Sistemas e Informática UNMSM 1. Introducción 1.1 Motivación del Proyecto La Facultad de Ingeniería de Sistemas e Informática es una institución perteneciente a la Universidad Mayor de San Marcos, que brinda servicios educativos con calidad internacional, que se encuentra en la estructura en cuanto a seguridad de las tecnologías de la información se refiere. El objetivo principal de esta remodelación entorno a la seguridad de la información es mejorar la eficiencia y seguridad de los procesos de negocio de manera que se garantice el correcto funcionamiento cumpliendo con los estándares internaciones relacionados con la calidad de la seguridad de la información. La facultad de Ingeniería de Sistemas e Informática consciente de la necesidad de invertir esfuerzos en fortalecer la seguridad en el proceso de negocio ha considerado oportuno realizar un análisis de la situación actual en la que se encuentra la facultad, de los riesgos y del impacto potencial que supone para el negocio. Este análisis será el comienzo para asentar unas bases para establecer unos criterios y directrices corporativas en materia de seguridad, que ayuden a mejorar de forma global los niveles corporativos en la seguridad de la información. Para garantizar estos objetivos se ha decidido por definir un plan director de seguridad de la información, utilizando como marco estándar la ISO 27002. A partir de este plan director, La ISO 27002 y en base a un análisis de riesgos, será posible definir una serie de proyectos orientados a los dominios de la organización más vulnerables, con el objetivo de reducir los riesgos potenciales detectados. 1.2 Enfoque del Proyecto Tal como se especificó en la motivación de la organización para implementar un plan director de la seguridad, este estará alineado con estándares como la ISO 27002 y para realizar el análisis de riesgos la metodología en la que se basará el proceso será en MAGERIT. Para realizar este análisis de riesgos se especificarán los activos de la Facultad orientados a soportar los procesos TI fundamentalmente, y a partir de ahí el alcance del proyecto será el reducir el riesgo de estos activos críticos para la organización en primer lugar, a partir de la realización de un análisis de riesgos identificando las amenazas pueden afectar a cada activo. A partir de este punto el plan director debería tener como referencia este análisis previo con el objetivo final de ejecutar los planes adecuados orientados a mejorar los niveles de seguridad de la información en la Facultad, de forma que todas las dimensiones de la seguridad están los más próximas posibles a CMM5.
  • 5. Página 4 de 14 2. Contextualización y Documentación 3. Presentación de la Empresa La Facultad de Ingeniería de Sistemas e Informática perteneciente a la Universidad Nacional Mayor de San Marcos, es una organización que brinda servicios educativos. Tiene como objetivo formar profesionales en las ingenierías de Sistemas y de software, así como en gestión y gobierno de tecnologías de información, contribuyendo al desarrollo de la sociedad. 4. Proceso del Negocio El proceso escogido ha sido el Proceso de Matrícula el proceso se ejecuta planificando la evaluación del promedio ponderado, Sunedu pide que se catalogue. Este proceso se ejecuta rigiéndose en un MOF, según la ley universitaria n°30220 que fue emitida en abril del 2014 entonces antiguamente estamos con este MOF (antiguo), este reglamento. El proceso de matrícula, se planifica según promedio ponderado, la Sunedu pide que se matricule según meritocracia, de mayor a menor, entonces todos los años se emite según cronograma. La pre-matricula sirve para saber los cursos que se puede llevar, luego se emiten los horarios respectivos previa revisión de las veinte facultades en coordinación con el vicedecanato de cada facultad de dichas facultades, después de aprobar el cronograma de horarios se planifica todo el proceso. Este proceso pide que se matricule según meritocracia 5. Estructura Organizativa La Facultad de Ingeniería de Sistemas e Informática tiene una estructura organizativa distribuida de la siguiente manera: Consejo de Facultad Es el órgano máximo de gobierno y dirección, encargado de dirigir la marcha de la Facultad de Ingeniería de Sistemas e Informática, que tiene como misión definir los lineamientos de política para el accionar de la Facultad. Decanato Es el órgano de dirección y gobierno, que tiene como misión la gestión académica, administrativa y financiera de la Facultad para el logro de los objetivos de la institución, con las atribuciones que le confiere la Ley Universitaria y el Estatuto de la Universidad. Unidad de Planificación, Presupuesto Y Racionalización Unidad encargada de la formulación del proceso de planificación; propone las pautas y formula proyectos de presupuesto anual de la facultad. Oficina de Calidad Académica y Acreditación Órgano de asesoramiento que tiene por misión planificar, ejecutar y evaluar lo procesos de auto evaluación de la facultad. Unidad de Estadística e Informática Unidad encargada de brindar asesoramiento informático a las diversas unidades que conforman la facultad. Unidad Tecnológica Educativa
  • 6. Página 5 de 14 Unidad encargada el asesoramiento técnico y que tiene por misión la elaboración de instrumentos de apoyo al proceso enseñanza- aprendizaje. Unidad de Coordinación Curricular Unidad encargada del asesoramiento técnico que tiene por misión, establecer coordinaciones tendientes a investigar, analizar y desarrollar programas para la actualización curricular. EP Ingeniería de Sistemas Órgano de línea de la Facultad, encargada de la formación Académico - Profesional de los estudiantes de la Facultad. Está a cargo de un profesor ordinario que cumpla con lo establecido en el Estatuto de la Universidad. EP Ingeniería de Software Órgano de línea de la Facultad, encargada de la formación Académico - Profesional de los estudiantes de la Facultad. Está a cargo de un profesor ordinario que cumpla con lo establecido en el Estatuto de la Universidad. Departamento Académico de Ciencias de la Computación Órgano de apoyo académico de la Facultad, que tiene como misión coordinar las actividades de los profesores y la distribución de la Carga Académica. El departamento está a cargo de un Coordinador, elegido por y entre los docentes integrantes del Departamento Académico, de acuerdo a las normas que fija el Estatuto de la Universidad. Departamento Académico de Ingeniería de Software Órgano de apoyo académico de la Facultad, que tiene como misión coordinar las actividades de los profesores y la distribución de la Carga Académica. El departamento está a cargo de un Coordinador, elegido por y entre los docentes integrantes del Departamento Académico, de acuerdo a las normas que fija el Estatuto de la Universidad. Vicedecanato de Investigación y Posgrado El Vicedecanato de Investigación y Posgrado es el órgano de línea encargado de coordinar y organizar las actividades de Investigación y los programas de posgrado en todos los niveles. Está a cargo de un Vicedecano designado por el Decano de la Facultad. Unidad de Investigación Órgano de línea encargado de conducir y desarrollar todas las actividades inherentes al campo de la investigación. Vicedecanato de Investigación y Posgrado El Vicedecanato de Investigación y Posgrado es el órgano de línea encargado de coordinar y organizar las actividades de Investigación y los programas de posgrado en todos los niveles. Está a cargo de un Vicedecano designado por el Decano de la Facultad. Unidad de Investigación Órgano de línea encargado de conducir y desarrollar todas las actividades inherentes al campo de la investigación. Centro de Producción Órgano de ejecución encargado de desarrollar las actividades de producción y prestación de servicios, con el objetivo de propiciar el desarrollo de software y hardware. Centro de Responsabilidad Social y Extensión Universitaria Órgano de línea encargado de integrar a la FISI a la comunidad. Vicedecanato Académico El Vicedecanato Académico es el órgano de línea encargado de prestar servicios y apoyo de orden académico a los estudiantes y docentes de la Facultad, como el apoyo social que se hace extensivo al personal no docente. Está a cargo de un Secretario Docente designado por
  • 7. Página 6 de 14 el Comité Directivo de Gobierno de la Facultad. Unidad de Matrícula Registros Académicos, Grados y Títulos Unidad encargada de planificar, organizar y dirigir el proceso de matrícula de los estudiantes en el Sistema Único de Matrícula de acuerdo a las directivas emanadas por la Dirección Académica y los Horarios y Carga Académica establecidos por las EAP's. Encargada de otorgar Constancias y Certificados de Estudios, así como los Grados y Títulos correspondientes. Encargada de la custodia de la confidencialidad de los archivos de documentos de información personal de los estudiantes. Unidad de Asesoría y Orientación al Estudiante Unidad encargada de brindar asesoramiento y orientación a los estudiantes de la facultad en actividades para el éxito de su formación profesional. Unidad de Biblioteca, Hemeroteca y Centro de Documentación Unidad encargada de dirigir y administrar la biblioteca, hemeroteca y asegurar la permanente actualización del material bibliográfico. Unidad de Bienestar Desarrolla las actividades necesarias para complementar las metas de la Facultad en materia de bienestar social, psicológico, físico y económico de los estudiantes, del personal docente y administrativo. Dirección Administrativa La Dirección Administrativa es el órgano que tienen por misión programar, organizar y dirigir las actividades de apoyo al Decanato y al Consejo de Facultad, en las áreas de Personal, Economía, Trámite Documentario, Impresiones y Publicaciones, y Servicios Generales y Mantenimiento. Está a cargo de un Director, que es ejercido por un personal docente o no docente de nivel profesional, especializado en las áreas de trabajo. Unidad de Economía unidad encargada de realizar las acciones concernientes a los sistemas administrativos de tesorería y contabilidad. Asesora a la Facultad en asuntos de su competencia. La oficina está a cargo de un Jefe de Oficina que preferentemente debe ser un profesional No Docente. Unidad de Personal Unidad que tiene como misión la implementación de los procesos técnicos de personal, la capacitación y perfeccionamiento de los servidores no docentes. Unidad de Servicio General, Operaciones y Mantenimiento unidad encargada de brindar la oportuna y adecuada prestación de servicios para el desarrollo de la actividad docente y administrativa. Unidad de Impresiones y Publicaciones Unidad encargada de centralizar y ejecutar publicaciones e impresiones. Unidad de Trámite Documentario Unidad encargada de administrar el proceso de las comunicaciones internas y externas de la facultad.
  • 8. Página 7 de 14 6. Organigrama de la Empresa El organigrama de la Facultad de Ingeniería de Sistemas e Informática está representado en la siguiente imagen:
  • 9. Página 8 de 14 7. Mapeo de Procesos
  • 10. Página 9 de 14 8. Análisis Diferencial En este punto el objetivo es definir un estado inicial de cómo se encuentra la Facultad de Ingeniería de Sistemas e Informática, y hacia donde deseamos llegar para cumplir los objetivos marcados en cuanto a seguridad de la información. 8.1 Políticas de Seguridad Dado que la FISI no dispone de ninguna política de seguridad ni directiva parecida (sólo cuenta con el Manual de Organización y Funciones), actualizada y reconocida por los trabajadores, el objetivo principal será la creación de una política adecuada para la FISI y, donde marcará las pautas a seguir por los trabajadores para preservar la seguridad de la información. Junto con la política, se definirán las bases del que será el Sistema de Gestión de Seguridad de la Información. 8.2 Aspectos Organizativos de la Seguridad de la Información En cuanto a aspectos organizativos de la seguridad de la información, y siguiendo la ISO/IEC 27002, este apartado queda dividido en dos objetivos a organizar, por un lado, la organización interna y la de terceros. En cuanto a organización interna se deberían establecer estructuras de gestión adecuadas para iniciar y controlar la implementación de la seguridad de la información dentro de la FISI. Para llevar a cabo este punto, se han de asignar roles y perfiles con el fin de definir responsables en la gestión de la información. Esta tarea recaería sobre el comité de seguridad de la información. Otra tarea del comité de seguridad de la información sería la de realizar un seguimiento continuo para supervisar la elaboración del plan y seguir un plan de mejora. En cuanto a la seguridad en los accesos de terceros, se ha de mantener la seguridad de que los recursos de tratamiento de la información y de los activos de la organización sean accesibles por terceros, controlando su acceso a los dispositivos. También se ha de implantar medidas de evaluación de riesgo para determinar las implicaciones sobre la seguridad y las medidas de control que requiere el negocio cuando un tercero accede a los recursos de información. Actualmente la Facultad dispone de soporte por parte del Área de Soporte y sus grupos de seguridad en caso de incidente, a los cuales puede acudir en busca de ayuda. 8.3 Clasificación y Control de Activos La Facultad de Ingeniería de Sistemas e Informática no dispone actualmente de ninguna clasificación de activos o controles sobre el uso indebido de estos. Por tanto, es vital para el buen funcionamiento del sistema implantar este tipo de controles y clasificación de activos. Junto con la política de seguridad, se identificarán, documentarán e implementarán regulaciones enfocados al uso adecuado de los activos, quedando definidas también las instrucciones de clasificación de activos. Uno de los mecanismos de ejecución detallados en el plan director era la de obtener información de los activos críticos mediante entrevistas y consultas directamente con los trabajadores de la Facultad. Ya que el número de estos es reducido, se pueden tener entrevistas individuales con ellos para determinar los activos críticos para cada uno de ellos, con el fin de obtener un mapa de los activos y recursos esenciales y valiosos para el correcto funcionamiento de la información y funciones de la Facultad. Una vez asignados los activos se han de asignar responsabilidades de mantenimiento de los controles apropiados. De la información obtenida, se debería obtener una clasificación en función del valor, requisitos legales, sensibilidad y criticidad para la Facultad. El nivel de protección de la información puede ser determinado analizando la confidencialidad, integridad y disponibilidad, entre otros requisitos, para la información considerada. 8.4 Seguridad Ligada a los Recursos Humanos Actualmente la FISI, al contratar a personal nuevo se le asigna un usuario y privilegios
  • 11. Página 10 de 14 adecuados al puesto al que ha sido designado, con el fin de proteger la información que está fuera de su competencia o que pueda obtener información que sensible para cometer un fraude o hurto. Entre las funciones a seguir por la Facultad en materia de seguridad de los recursos estas deberían proteger los activos de un acceso no autorizado, tal como se viene haciendo. Asegurar que la responsabilidad sea asignada al individuo para tomar acciones o reportar eventos de seguridad o eventos potenciales u otro riesgo para la Facultad. Actualmente no se recibe ningún tipo de formación o entrenamiento en términos de conocimiento y actuaciones regulares en políticas y procedimientos organizacionales relevantes en su función. Esta formación debería empezar con una inducción formal del proceso designado para introducir la política de seguridad de la Facultad y las expectativas. Otro punto a definir son los procesos disciplinarios para empleados que cometan aperturas en la seguridad, asegurándose que se reciba un correcto y justo tratamiento de los empleados por los hechos ocurridos y que han provocado dicha apertura. Al finalizar el contrato, la Facultad revoca los permisos y activos que se le prestaron al empleado en el momento del contrato, con lo que los permisos y privilegios quedan anulados en el momento de la desvinculación contractual. 8.5 Seguridad Física y del Entorno Actualmente los activos de la FISI se dividen en dos entornos. El primero es el material de oficina y diferente hardware para el funcionamiento de los servicios; y el segundo, los activos necesarios para el funcionamiento de los servicios de soporte y buen funcionamiento de los diferentes laboratorios. Únicamente el segundo de los activos se encuentra en una zona restringida a los empleados no autorizados y terceros. En cuanto al resto de activos de la Facultad físicos, no se tiene ningún control de acceso ni registro de las personas que acceden al recinto. Existen cámaras de seguridad, mas solo se encuentran funcionando una cierta cantidad de ellas. En cuanto a la mejora de la seguridad del perímetro físicamente es difícil implementarla o mejorarla ya que, al ser parte del centro de estudios UNMSM, no se restringe el acceso a los estudiantes de las diferentes facultades. Sin embargo, como objetivo en este punto estaría la de mejorar los métodos de acceso controlados y adecuados que aseguren el acceso al personal autorizado. Con el objetivo de reducir el riesgo de amenazas del entorno. También se debería proteger los equipos contra fallos de energía, seguridad del cableado que actualmente no se contemplan. 8.6 Gestión de Comunicaciones y Operaciones Actualmente, cada responsable de cada área es responsable de su área únicamente y por encima de estos el Decano de la Facultad, pero no existe ningún documento dónde se detalle la función de cada sección ni determine responsabilidades en algún aspecto o actuación en caso de incidente de seguridad. Por tanto, se debería establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos de tratamiento de la información, como, por ejemplo, el desarrollo de instrucciones apropiadas de operación y de procedimiento de respuesta ante incidentes. Por otro lado, con el objetivo de minimizar el riesgo de fallos de los sistemas, es necesario una planificación para asegurar la disponibilidad de capacidad y de recursos para que los sistemas funcionen, además de documentar y probar, antes de su aceptación, los requisitos operacionales de los sistemas nuevos, ya que actualmente no se realiza. Uno de los puntos más sensibles a tener en cuenta y que actualmente no se realiza con un control o planificación adecuado y periódico y donde no existe documentación formal, actualizada ni con unas pautas y procedimientos revisados al respecto, son las copias de seguridad de toda la información esencial del negocio y que esta pueda recuperarse tras un desastre o fallo de los medios. También debería estar documentado el procedimiento de copia de respaldo, así como su recuperación y también el de uso adecuado de los medios de información.
  • 12. Página 11 de 14 8.7 Control de Accesos Tal como se comentó anteriormente, los accesos son controlados mediante los privilegios de accesos a la información, donde se controla que cada empleado únicamente pueda acceder a los recursos que le están destinados para su puesto de trabajo, sin revisar, en ningún periodo de tiempo, si cada usuario tiene los privilegios que le tocan para su puesto. Sin embargo, no está documentado y accesible para los empleados a modo de que sepan la política de la Facultad. Tampoco está documentado y, por donde tampoco se aplica, una política de contraseñas robusta para acceder a los servicios de información. En cuanto a la responsabilidad de los usuarios y compromiso de estos ante el buen mantenimiento y eficacia de las medidas de control y donde no existe ningún procedimiento ni documentación formal, actualizado y revisado periódicamente al respecto, por tanto, es otro punto a implementar. Este procedimiento debería documentar pautas de los empleados como mantener el escritorio limpio, no permitir el acceso no autorizado a su zona de trabajo, una política de contraseñas robusta, no acceder a redes o sitios maliciosos que puedan comprometer los activos o información sensible. 8.8 Adquisición, Desarrollo y Mantenimiento de Sistemas Actualmente se cuenta con propios desarrolladores en materia TIC en lo que a seguridad de las aplicaciones del sistema se refiere (aula virtual). Por este motivo es necesario diseñar medidas de control, tanto a la hora del diseño de las aplicaciones donde estas han de controlar factores de riesgo como la entrada y salida de datos, como controles criptográficos para proteger la información sometida a riesgo. Otro punto a mejorar e implantar en el sistema de la Facultad es la de asegurar la seguridad de los archivos del sistema, donde deberían existir procedimientos para controlar la instalación de software en sistemas operacionales o tener un procedimiento bien detallado y control sobre los datos de prueba, donde estos deben ser seleccionados, protegidos y controlados cuidadosamente. También hay que tener especial atención y cuidado con los accesos al código fuente de los programas para evitar los cambios no intencionales o de empleados que no tienen privilegios para ello. Por todo ello, además, es vital mantener e implantar, ya que no se realiza actualmente, una revisión de todo cambio al sistema con el fin de comprobar que no debilite la seguridad del sistema en general, así como un procedimiento de control de cambios. 8.9 Gestión de Incidentes en la Seguridad de la Información La Facultad no dispone de ningún sistema de reporte de eventos y debilidades de seguridad en estos momentos. Así pues, debería implementar los procedimientos adecuados para que todos los empleados y terceros involucrados por la Facultad puedan reportar diferentes tipos de eventos y debilidades que puedan tener un impacto en la seguridad de los activos. No obstante, en caso de infección o cualquier otro incidente de seguridad, se puede acudir a los servicios específicos de Área de Soporte destinados a estas tareas para obtener soporte especializado. Por este motivo los canales de gestión son los propios de ésta área así que está debidamente implementado, la debilidad está en la comunicación interna de la propia Facultad que no dispone de herramientas de reporte de eventos críticos. De igual forma, para mantener y asegurar una efectiva y sólida respuesta de los incidentes debe establecerse un sistema de responsabilidades y procedimientos. También se ha de cuantificar mediante algún mecanismo eficiente, el costo de los incidentes en la seguridad de la información. Por otra parte, es importante monitorizar y controlar los eventos que vayan surgiendo en la Facultad con el fin de tener evidencias sólidas y legales delante de cualquier procedimiento o acción legal que pueda surgir. 8.10 Gestión de Continuidad de Negocio Es de vital importancia que la Facultad implemente, ya que no dispone de ello, de un procedimiento de gestión de continuidad del negocio para reducir a niveles asumibles la interrupción causada por desastres y fallas de seguridad mediante controles preventivos y de recuperación.
  • 13. Página 12 de 14 Para esto, la Facultad ha de identificar los procesos críticos de negocio (analizados en puntos anteriores) e integrar los requisitos de gestión de la seguridad de información para la continuidad del negocio con otros requisitos de continuidad relacionados con dichos aspectos como operaciones, proveedores de personal, materiales, etc. La Facultad debe analizar las consecuencias de los desastres, fallos de seguridad o pérdidas de servicio que puedan afectar a sus activos y una vez hecho esto, asegurarlos mediante un plan de contingencia que minimice los riesgos hasta niveles aceptables o asumibles para la Facultad. Es obligación de la Facultad realizar un análisis de la probabilidad de impacto y coste de recuperación del activo y coste del activo para analizar qué debe salvaguardar en primeras instancias o dónde destinar los recursos para ello. Una vez diseñados los planes de contingencias, deberían estar sometidos a controles y revisiones regularmente para asegurarse de su actualización y eficacia. 8.11 Cumplimiento Un punto a tener en cuenta al redactar estos documentos y procedimientos es la protección de datos y la privacidad, donde debe ser asegurada en todo momento o, el mal uso de los recursos de tratamiento de la información personal con propósitos no autorizados, por ejemplo. Junto con todos los procedimientos y documentos, los responsables deberían asegurarse que se cumplen todas estas regulaciones de seguridad dentro de su área de responsabilidad cumpliendo con las políticas y estándares de seguridad. 9. Análisis de Riesgo 9.1 Introducción En esta sección del documento el objetivo es evaluar todos los activos que se encuentran relacionados con la creación de Plan Director, considerando las dependencias existentes entre ellos y realizando una valoración sobre estos. De esta forma se definirá claramente un punto de salida de todos los activos, sean estos tangibles o no, dentro de la FISI y pudiendo analizar a qué amenazas podrían estar expuestos estos activos. Una vez disponemos de un listado de las amenazas reales que pueden afectar a nuestros activos y extraídos de la Guía Magerit, estaremos en disposición de poder realizar la evaluación del impacto que sufrirá la FISI en caso de que se materialicen estas amenazas. El impacto dará una serie de datos que nos permitirán priorizar el plan de acción y, al mismo tiempo, evaluar como se ve modificado este valor una vez se apliquen las contramedidas o bien, el riesgo que estamos dispuestos a asumir (riesgo residual) por parte de la Facultad. Como resultado de esta fase, podremos obtener: ● Un análisis detallado de los activos relevantes de seguridad de la Facultad. ● Un estudio de las posibles amenazas sobre los sistemas de información, así como su impacto. El resultado final, será el impacto potencial que tendrá la materialización de las diferentes amenazas a las que están expuestos nuestros activos. 9.2 Inventario de Activos El primer punto para el análisis es estudiar los activos vinculados a la información. Es habitual agrupar los activos por grupos para ello. En nuestro caso, podemos agrupar los activos por grupos basándonos en la ISO 27001. Por tanto, los grupos en los que nos centraremos son: ● [L] Instalaciones * ● [HW] Hardware * ● [SW] Aplicación * ● [D] Datos * ● [COM] Red ● [S] Servicios * ● [AUX] Equipamiento auxiliar ● [P] Personal (*) Se va a considerar también activos externos que pertenezcan a cada categoría. Aún si no son activos propios de la Facultad, deben ser controlados de manera similar a los activos de la FISI, por eso se les incluye en el inventario de activos
  • 14. Página 13 de 14 9.3 Valoración de Activos Con la identificación de activos en relación a la seguridad de la información, hará falta valorar cada activo dentro de nuestra organización. El objetivo final del proceso es tomar un conjunto de medidas que garanticen nuestros activos. El coste de estas medidas no ha de superar el coste del activo que se tiene que proteger, de otra forma no sería un activo rentable protegerlo, ya que sería más fácil substituirlo en caso contrario, por tanto, un punto por dónde empezar es la asignación de un valor a los activos. Para poder valorar un activo se han de tener en cuenta diferentes aspectos, como por ejemplo el coste de reposición, el valor del tiempo sin servicio, posibles penalizaciones, etc. Por tanto, para facilitar esta tarea, se propone la metodología MAGERIT, la cual realiza una valoración cualitativa en relación al valor que tiene el activo respecto a nuestra organización, que se completa con una valoración cuantitativa respecto a estas categorías cualitativas. Valoración Abreviatura Muy Alta MA Alto A Medio M Bajo B Muy Bajo MB 9.4 Dimensiones de Seguridad Desde el punto de vista de la seguridad, junto a la valoración de los activos, se ha de indicar cuál es el aspecto de la seguridad más crítico. Esto será de gran ayuda en el momento de pensar en posibles medidas de prevención, ya que serán enfocadas en aquellos aspectos más críticos. Una vez identificados los activos, se ha de realizar la valoración CIDAT de los mismos. Esta valoración mide la criticidad a las cinco dimensiones de la seguridad de la información gestionada por el proceso de negocio. Esta valoración nos permitirá valorar el impacto que tendrá la materialización de la amenaza sobre la parte del activo expuesto. Cada activo de información puede tener un valor diferente en cada uno de las diferentes dimensiones para la organización que deseamos analizar. Por esto, se ha de tener presente siempre que representa cada dimensión. Las cinco dimensiones de las que se habla son: ● [C] Confidencialidad. Únicamente las personas autorizadas tienen acceso a la información sensible o privada. ● [I] Integridad. La información y los métodos de procesamiento de esta información son exactos y completos, y no se han manipulado sin autorización ● [D] Disponibilidad. Los usuarios que están autorizados pueden acceder a la información cuando lo necesiten. ● [A] Autenticidad. Hay garantía de la identidad de los usuarios o procesos que gestionarán la información. ● [T] No repudio. Hay garantía de la autoría de una determinada acción y está asociada a quien ha producido esta acción. Una vez detalladas las cinco dimensiones se ha de tener presente la escala en que se realizarán las valoraciones. En este caso se utilizará una escala de valoración de diez valores siguiendo los siguientes criterios: Valor Criterio 10 Daño muy grave 7 – 9 Daño grave 4 – 6 Daño importante 1 – 3 Daño menor 0 Daño irrelevante
  • 15. Página 14 de 14 9.5 Tabla de Valoración de Activos – Procesos de Matrícula Ámbito Activo Valor Aspectos críticos C I D A T [L] Instalaciones [L.1] Centro de Datos * MA 8 9 10 8 8 [L.2] Oficinas A 5 7 8 - - [HW] Hardware [HW.1] PC MB - - 7 - - [HW.2] Impresoras MB - - 6 - - [HW.3] Servidor web * B 9 9 9 8 8 [HW.4] Servidor BD * B 9 9 9 8 8 [HW.5] Servidor Firewall * A 8 9 9 8 8 [HW.6] Servidor Aplicaciones * B 8 9 7 7 7 [HW.7] Servidor Backup * B 8 9 9 8 8 [SW] Software [SW.1] Sistema Operativo MB 5 7 7 8 7 [SW.2] Aplicaciones ofimática MB 4 7 6 7 6 [SW.3] Antivirus MB 4 7 5 6 7 [SW.4] Aplicación estadística B 5 7 6 8 7 [SW.5] Navegador web MB - - 0 - - [SW.6] Aplicación matrícula * M 9 9 9 8 8 [D] Datos [D.1] Archivos de matrícula A 9 9 8 7 7 [D.2] Resoluciones Rectorales y decanales M 3 2 4 4 4 [D.3] Logs * B 8 8 6 8 8 [D.4] Datos estadísticos M 5 7 6 7 6 [COM] Red [COM.1] Router B 7 9 9 6 7 [COM.2] Línea Intranet M 6 8 6 - - [COM.3] Línea internet M 7 8 7 - - [S] Servicios [S.1] Servicio de correo institucional – Gmail * MB 7 7 8 7 7 [S.2] Servicio intranet B 8 9 9 8 7 [S.3] Servicio Web A 6 8 8 8 7 [S.4] Servicio de Limpieza* B - - 5 - - [S.5] Servicio de aplicación externa * A 9 9 9 8 8 [AUX] Equipamiento Auxiliar [AUX.1] Equipo de Climatización * B - - 9 - - [AUX.2] Equipos extintores MB - - 7 - - [P] Personal [P.1] Responsables del proceso de Matrícula MA 9 [P.2] Responsable SUM A 8 [P.3] Directores de Escuela M 6 [P.4] Decano A 8 [P.5] Vicedecano Académico M 7 [P.6] Personal estudiantil B 3