PLAN DE SEGURIDAD DE SISTEMAS DE

INFORMACION
PROYECTO ESPECIAL OLMOS
TINAJONES
CHICLAYO, AGOSTO 2014

1. ALCANCE DE
INFORMACION

PLAN

DE

SEGURIDAD

DE

SISTEMAS

DE

El presente Plan de Seguridad de Sistemas de Informacin es de alcance

para todos los Sistemas de Informacin existentes en el PEOT, tantos
privados como pblicos, que soportan los diversos procesos de apoyo
administrativo de la institucin.
2. CARACTERIZACIN DE LOS SISTEMAS INFORMATICOS EN EL PEOT
Se describir de manera detallada el sistema informtico de la entidad,
precisando los elementos que permitan identificar sus particularidades y
las de sus principales componentes: la informacin, las tecnologas de
informacin, las personas y los inmuebles, considerando entre otros que
soportan los diversos procesos del negocio: De soporte como procesos
primarios.
DEFINICION DE PROCESOS DE LA CADENA DE VALOR

PROCESOS DE SOPORTE:
- Administrar la gestin de planificacin, presupuesto y
racionalizacin
- Gestin contable y tesorera
- Gestin de abastecimiento
- Administrar el Personal
- Administracin de Sistemas de Informacin y Tecnologa de la
Informacin
- Control de Documentacin
- Administrar el equipo mecnico
- Gestionar activos fijos
- Planificacin y realizacin del apoyo legal

PROCESOS PRIMARIOS
- Gestin de Proyectos de Inversin
- Gestionar y administrar servicios

CATLOGO DE SERVICIOS INFORMTICOS EN EL PEOT

Tipo
Servicios de
Aplicaciones y
Operaciones

Lnea de Servicio

Servicios de TI

Actualizacin y Documentacin
de TI

Instalacin de hardware y
software
Registro de averas
Informes y reportes

Implementacin de Sistemas

Conectividad
Servicios de
Infraestructura
y
comunicacione
s

Implementacin de sistemas
Mantenimiento y soporte de
sistemas de TI
Apoyo en inventario de bienes
Internet
Cableado y configuracin de
redes
Correo corporativo
Administracin de servidores
Central telefnica
Seguridad
Soporte a usuarios

Soporte y mantenimiento

Ensamblaje y Mantenimiento de
equipos
Asistencia externa

RELACION DE SISTEMAS UTILIZADOS EN EL PEOT

SISTEMAS DESARROLLADOS EN EL PEOT

AREA

SISTEMA

SISTEMA
USUARIO
OPERATIVO QUE
S
LO SOPORTA

CONTABILIDAD

CONTABLE

04

NOVELL

PERSONAL

PLANILLAS

02

WINDOWS 2003
SERVER

SISABA

05

NOVELL

CONTROL
COMBUSTIBLE

02

PATRIM

02

ABASTECIMIENT
OS
PATRIMONIO

WINDOWS 2003
SERVER
WINDOWS 2003
SERVER

SISTEMAS EXTERNOS
SERVIDOR
QUE LO
SOPRTA
WINDOWS
2008 SERVER
WINDOWS
2008 SERVER
WINDOWS
2008 SERVER
WINDOWS
2008 SERVEFR
WEB

AREA

SISTEMA

USUARI
OS

CONTABILIDAD

SIAF

03

PERSONAL

SIAF

02

OPP

SIAF

01

SIAF

01

WEB (SEACE,
OSCE)

02

PERSONAL

T_PLAME

01

WEB

PERSONAL

T_REGISTRO

01

WEB

PERSONAL

AFP_NET

01

WEB

PERSONAL

WEB (SIGA
CONTROL
ASISTENCIA)

01

WEB

VARIAS

SISGEDO

15

WEB

ABASTECIMIENTOS

PRINCIPALES COMPONENTES DEL SISTEMA INFORMATICO EN EL

PEOT
TIPOS DE CRITICIDAD DE LA INFORMACION
CONFIDENCIAL: Muy sensible, su divulgacin podra afectar seriamente
a la organizacin. Ejm. Secretos comerciales, cdigos de programas, etc.
PRIVADO: Informacin personal y para uso interno de la organizacin.
Ejm. Informacin de planillas del personal, informes mdicos, etc.
SENSIBLE: Debe protegerse de la perdida de confidencialidad e
integridad. Ejm. Informacin financiera, detalles de proyectos, etc.
PBLICO: Puede ser pblica, su conocimiento, no reviste gravedad. Ejm.
Pgina web, comunicados, etc.
Del tipo de criticidad de informacin administrada en los sistemas de
Informacin en el PEOT se puede detallar lo siguiente:

SITUACIN DE LOS SISTEMAS INFORMATICOS

TRANSACCIONALES
- GESTIN DE PERSONAL: Proceso encargado de gestionar el
personal de la institucin desde su ingreso hasta su baja, dicho
proceso est soportado sobre un sistema de control de personal
PLANILLAS que se encarga de gestionar planillas, pagos,
asistencias y contratos. Dicho proceso esta soportado sobre un
sistema cliente / servidor, desarrollado en Visual Fox Pro con Base
de Datos SQL Server.
La mayora de la informacin que se administra en este sistema es
de tipo PRIVADO y muy crtica. Lo cual implica una serie de
medidas que permitan su proteccin, disponibilidad e integridad de
la informacin.
-

GESTIN DE ABASTECIMIENTO: Proceso encargado de realizar

las adquisiciones a travs de los diversos tipos de procesos (Menor
cuanta, pblico, etc.), pasando por su almacenamiento y despacho
al usuario final. Este proceso est actualmente soportado sobre un
sistema cliente / servidor desarrollado en lenguaje de
programacin Visual Fox Pro y con tablas libres. Dicho Sistema est
soportado en un servidor NOVELL, cuya infraestructura no es la
adecuada, por cuanto es una PC compatible.
La informacin administrada en este sistema es de tipo PRIVADO
y de una criticidad media.

GESTIONAR ACTIVOS FIJOS O DE CONTROL PATRIMONIAL:

Proceso que permite llevar el control patrimonial de los activos fijos
de la institucin iniciando con el registro de los bienes
clasificndolos segn su precio como Activos, cuentas de Orden o
Lista Interna que son los bienes de menor precio. Dicho proceso
lleva el control de la asignacin y ubicacin de los bienes tanto en
el local central como en los campamentos anexos, permitiendo
depreciar los bienes segn la cuenta contable a la cual est
registrado el bien. Actualmente cuenta este proceso est soportado
sobre un sistema de control patrimonial cliente / servidor
desarrollado en Lenguaje de programacin Visual Fox Pro y con
tablas libres. Dicho sistema est soportado en un servidor COMPAQ
PROLINT con sistema operativo Windows 2003 Small Bussines
server.
La informacin administrada en este sistema es de tipo PRIVADO
y de una criticidad media.

CONTROL DE DOCUMENTACIN: Proceso encargado de llevar el

seguimiento de los documentos desde su ingreso a la institucin
hasta su atencin respectiva.
Actualmente est soportado sobre un sistema de trmite
documentario gestionado por el Gobierno Regional e implementado

en la web a fin de que todas las unidades pertenecientes al

Gobierno regional de Lambayeque lo utilicen.
-

Informacin gestionada con una criticidad de Tipo PBLICO:

Seguimiento de documentos internos.
Seguimiento de documentos externos.
Reporte de documentos aceptados.
Reporte de documentos rechazados.
Estadstica de documentos ingresados.
Dicho sistema es utilizado por las diversas secretarias de las
diversas reas del PEOT, y para su acceso al sistema es la
conexin a Internet.

DE SOPORTE A LA DECISIN
- ADMINISTRAR
LA
GESTIN
DE
PLANIFICACIN,
PRESUPUESTO Y RACIONALIZACIN: Proceso que permite la
planificacin presupuestaria de la institucin, a travs de la
distribucin del gasto e ingresos a las diversas metas registradas
para la institucin. Actualmente este proceso est soportando
sobre un sistema Cliente / servidor del Ministerio de Economa y
Finanzas llamado SIAF Sistema Integrado de Administracin
Financiera. Este sistema no se encuentra integrado a los sistemas
propios de la institucin y esta soportado sobre un Servidor
Compaq Proliant de ltima generacin. La informacin generada
(compromisos, gastos, etc.) son transmitidos va internet al
Servidor Central del Ministerio de Economa y Finanzas.
Fsicamente este equipo se encuentra ubicado en la unidad de
Contabilidad en un espacio de libre acceso a la oficina.
La informacin administrada en este tipo de sistema es de
PRIVADO - PUBLICO con una criticidad media.
- GESTIN CONTABLE Y TESORERA: Proceso que permite llevar
la contabilidad de la institucin el cual se encuentra soportado en
un sistema cliente / servidor soportado sobre un Servidor NOVELL,
el cual se encuentra en proceso de actualizacin.
La informacin administrada en este sistema es de tipo PRIVADO,
con una criticidad Alta.

SITUACIN DE LA RED INFORMATICA

Actualmente en el PEOT se cuenta con (03) tres redes sobre la que
soporta a los diversos sistemas de informacin. Los que se describen a
continuacin
-

LA RED PRINCIPAL, que soporta a 110 usuarios de los cuales

6 usuarios para los sistemas los Sistemas de Personal, Control
de Combustible, Control Patrimonial,
LA RED SIAF, que soporta al SIAF con 07 usuarios en la Red

LA RED NOVELL, que soporta a los sistemas de Contabilidad y

Abastecimientos con 09 usuarios en la Red

3. RESULTADOS DEL ANLISIS DE RIESGOS

Una vez definido el alcance del Plan de Seguridad de los Sistemas de
Informacin y realizada una detallada descripcin del sistema
informtico, corresponde finalizar esta primera parte con la formulacin
de las conclusiones obtenidas durante la determinacin de las
necesidades de proteccin mediante la evaluacin de los riesgos. Estas
conclusiones incluyen:
a) Cules son los bienes informticos ms importantes para la
gestin de la entidad y por lo tanto requieren de una atencin
especial desde el punto de vista de la proteccin de los Sistemas
de Informacin, especificando aquellos considerados de
importancia crtica por el peso que tienen dentro del sistema.
b) Qu amenazas pudieran tener un mayor impacto sobre la entidad
en caso de materializarse sobre los bienes a proteger.

RELACION DE ACTIVOS DE TI RELACIONADOS CON LA INFORMACIN

DE MAYOR CRTICIDAD EN EL NEGOCIO
ID

SERVICIO

MSS
TI

MANTENIMIENTO
Y SOPORTE DE
SISTEMAS
DE
INFORMACIN
ADMINISTRACIN
DE SERVIDORES

CUSTODIO
Princip
Altern
al
o
SI

PROPIETARIO
Princip
Altern
al
o
SI

SI

SI

SI

PROCESO

CCR

CABLEADO
Y
CONFIGURACIN
DE REDES

SI

INTERNET

SI

CC

CORREO
CORPORATIVO
CENTRAL
TELEFONICA
ADMINSITRACION
DE SEVIDORES
SEGURIDAD

SI

SI

GESTION DE PERSONAL, GESTION DE

CONTBILIDAD Y TESOERIA, GESTION
DE ABASTECIMEINTOS, GESTION DE
PLANIFICACIN
GESTION DE PERSONAL, GESTION DE
CONTBILIDAD Y TESOERIA, GESTION
DE ABASTECIMEINTOS, GESTION DE
PLANIFICACIN
GESTION DE PERSONAL, GESTION DE
CONTBILIDAD Y TESOERIA, GESTION
DE ABASTECIMEINTOS, GESTION DE
PLANIFICACIN
GESTION DE PERSONAL, GESTION DE
CONTBILIDAD Y TESOERIA, GESTION
DE ABASTECIMEINTOS, GESTION DE
PLANIFICACIN, GESTION NEGOCIO
GESTION NEGOCIO

SI

SI

GESTION NEGOCIO

SI

SI

GESTION NEGOCIO

SI

SI

GESTION NEGOCIO

AS

CT
ASN
SS

SI

ID

ACTIVO

CANTID
AD

MSS
TI

SISTEMA
PLANILLAS

MSS
TI
AS

PLANILLERO

01

SERVIDOR
WINDOWS
2003
SMALL
BUSSINES
INFRAESTURCT
URA DE RED
ACCESO
A
INTERNET

01

EQUIPOS DE
COMPUTO

01

INSTALACIO
NES
SERVICIO

MSS
TI

SISTEMA
DE
CONTABILIDAD

01

AS

SERVIDOR
NOVELL
SISTEMA
INTEGRADO DE
ADMINISTRACI
ON
FINANCIERA
SERVIDOR
WINDOWS
SERVER 2008
SISTEMA
DE
ABASTECIMEIN
TOS
SERVIDOR
CORREO
CORPORATIVO
- UBUNTU
CENTRAL
PANASONIC

01

ASN

CCR
E

MSS
TI

AS

DE

01

TIPO DE
ACTIVO

01

01

SISTEMAS O
APLICACION
ES
PERSONA

SISTEMAS O
APLICACION
ES
EQUIPOS DE
COMPUTO
SISTEMA O
APLIACCION
ES

CLASIFICACION DE INFORMACION

VALORACIO
N DEL
ACTIVO
Nivel
Valo
r
Alto
3

CUSTODIO

Princip
al
SI

Confiden
cial
Uso
Interno

Integrid
ad
Alta

Disponibili
dad
Muy Alta

Uso
Interno
Uso
Interno

Normal

Muy Alta

Alto

SI

Alta

Muy Alta

Alto

SI

Uso
Interno
Uso
Interno y
Externo
Uso
Interno

Normal

Muy Alta

Alto

SI

Normal

Muy Alta

Alto

SI

Alta

Muy Alta

Alto

SI

Uso
Interno
Uso
Interno

Alta

Muy Alta

Alto

SI

Alta

Muy Alta

Alto

SI

01

EQUIPOS DE
COMPUTO

Uso
Interno

Alta

Muy Alta

Alto

SI

01

SISTEMAS O
APLICACION
ES
EQUIPOS DE
COMPUTO

Uso
Interno

Media

Baja

Bajo

SI

Uso
Interno y
Externo

Media

Media

Medi
o

SI

01

TELEFONOS

Media

Media

Bajo

SI

SERVIDOR WEB

01

EQUIPOS DE
COMPUTO

Alta

Alta

Alta

SI

ASN

SERVIDOR
PROXY

01

EQUIPOS DE
COMPUTO

Alta

Alta

Alta

SI

MSS
TI
SS

PROGRAMADO
R
CAMARAS
DE
VIGILANCIA

00

PERSONA

Alta

Media

OTROS

Media

Baja

Medi
o
Majo

15

Uso
Interno y
Externo
Uso
Interno y
Externo
Uso
Interno y
Externo
Uso
Interno
Uso
Interno

SI

MSS
TI
CC

CT

01

Altern
o

IDENTIFICACION DE AMENAZAS SOBRE ACTIVOS CRTICOS DE TI QUE SOPORTAN A LOS SISTEMAS DE

INFORMACIN Y SU RESPECTIVA VALORIZACIN DEL RIESGO.
ID
MSSTI

ACTIVO CRITICO DE
TI

PERFIL DE
AMENAZAS

AMENAZAS

SISTEMA
PLANILLAS

Red
Problemas del
Sistema

Acceso de usuarios no
Autorizados

DE

VULNERABILIDADES

Mal funcionamiento del

Software

- No existe una poltica de

proteccin de contraseas
- Sistema de planillas no est
debidamente consistenciado

Error operacional por parte del

personal
MSSTI

PLANILLERO

Otros

Indisponibilidad del Personal

AS

SERVIDOR WINDOWS
2003 SMALL BUSSINES

Red
Fsico
Problemas del
Sistema

Falla de equipos

Fsico

Sabotaje

CCR

INFRAESTURCTURA DE
RED

MSSTI

ACCESO A INTERNET

SISTEMA
CONTABILIDAD

DE

Red
Problemas del
Sistema

Fallas en equipo de
telecomunicacin

Red
Problemas del
Sistema

Acceso de usuarios no
autorizados

- Falta de otro personal

capacitado en la elaboracin
de planillas.
- No existe actualmente

Corrupcin de Datos

IMPACTO
3

X
X

RIESGO
3

(P*I)

- Falta de controles fsicos

(No existe una identificacin
exacta de puntos red)
- Red no cumple los
estndares de calidad.

- Periodo largo entre

mantenimientos

Interrupcin del servicio por

parte del proveedor

Mal funcionamiento del

Software

Infecciones por virus

informticos y cdigo malicioso

Insuficiencia de Infraestructura
de seguridad
E

PROBABIL.

- Falta de controles lgicos

- Lenguaje de Programacin
obsoleto y tablas no estn
contenidas en una base de
datos.

X
X

AS

MSSTI

AS

MSSTI

ASN

MSSTI

SERVIDOR NOVELL

Problemas del
Sistema
Fsico

Hardware Deficiente

SISTEMA INTEGRADO
DE
ADMINISTRACION
FINANCIERA
SERVIDOR WINDOWS
SERVER 2008

Fsico
Otros

Infecciones por virus

informtico y cdigo malicioso

- Ausencia de Antivirus

Problemas del
Sistema
Otros

Insuficiencia de Infraestructura
de seguridad

SISTEMA
DE
ABASTECIMEINTOS

Problemas del
Sistema
Red

Corrupcin de datos

- Equipo ubicado fuera del

Centro de Cmputo en un
rea transitable sin
seguridad.
- Tablas no estn contenidas
en una base de datos

SERVIDOR PROXY

PROGRAMADOR

Software deficiente

- Sistema Operativo Obsoleto

- Pc Compatible es usada
como servidor

Hardware deficiente

Hackers y otros agresores

externos
Robo de Informacin

- Falta de Controles lgicos y

fsicos como un firewall
fsico.

Otros

Indisponibilidad del Personal

- Ausencia de Personal

Spyware / Adware

Problemas del
Sistema
Red

2
X

X
X
X

4
X

4. POLITICAS DE SEGURIDAD DE SISTEMAS DE INFORMACIN

En este acpite se establecen las normas generales que deben cumplir
los usuarios de los diversos sistemas de informacin y se derivan de los
resultados obtenidos en el anlisis de riesgos y de las definidas por las
instancias superiores en las leyes, resoluciones, reglamentos, y otros
documentos rectores.
Las polticas que se describan comprenden toda la organizacin, ya que
es obligatorio su cumplimiento en las reas que las requieran, razn por
la cual sern lo suficientemente generales y flexibles para poder
implementarse en cada caso mediante las medidas y procedimientos
que demanden las caractersticas especficas de cada lugar.

Las responsabilidades frente a la seguridad de los Sistemas de

Informacin son definidas, informadas y aceptadas por cada uno de
los usuarios de los diversos sistemas de informacin que soportan los
diversos procesos.
Proteger la informacin creada y procesada por los sistemas de
informacin, de la Entidad, as como su infraestructura tecnolgica y
activos que la soportan.
Establecer mecanismos de proteccin de su informacin contra las
amenazas originadas por parte de cualquier tipo de personas.
Proteger las instalaciones de procesamiento y la infraestructura
tecnolgica que soporta dichos sistemas de informacin.
Implementar controles de acceso a los sistemas de informacin.
Definir e implantar controles para proteger la informacin contra
violaciones de autenticidad, accesos no autorizados, la prdida de
integridad y que garanticen la disponibilidad requerida por los
clientes y usuarios de los sistemas informticos en el PEOT.
Los usuarios y contraseas de acceso a los Sistemas de Informacin
del PEOT son estrictamente de uso privado y prohibido brindar a un
tercero.
Se establecern procedimientos para el mantenimiento al perfil de los
usuarios de los Sistemas de Informacin (nuevo usuario, modificacin
de permisos y baja).
La poltica de seguridad de los Sistemas de informacin ser
complementada por procedimientos, normas y guas especficas para
orientar su implementacin.

5. RESPONSABILIDADES
Se describir la estructura concebida en la Entidad para la gestin de
la Seguridad de los Sistemas de Informacin, especificando las
atribuciones, funciones y obligaciones de las distintas categoras de
personal, que incluyen: Administrador, Jefe de Informtica y usuarios
finales
Funciones y Obligaciones del Administrador, Jefe de informtica y
usuarios Finales.

CARGO
FUNCIONES
ADMINISTRADO - Velar por el cumplimiento de las disposiciones
R
contempladas en este Plan de Seguridad de
Sistemas de Informacin
JEFE
DE - Responsable de la correcta implementacin de
INFORMATICA
las polticas referidas al Plan de seguridad en
los Sistemas de Informacin.
USUARIOS
- El uso correcto de los sistemas de informacin y
FINALES
el cumplimiento de las polticas de seguridad
emanadas segn su competencia.
6. MEDIDAS Y PROCEDIMIENTOS DE SEGURIDAD EN LOS SISTEMAS
DE INFORMACIN EN EL PEOT
6.1.
Procedimiento de aceptacin y compromiso de usuario
de los SI con las polticas concebidas
a. Hacer entrega de las polticas y procedimientos a cumplir en
materia de Seguridad de los Sistemas de Informacin
b. El usuario del SI en seal de recepcin y conocimiento de las
polticas en materia de Seguridad de Sistemas de Informacin
firma el Acta de Compromiso
6.2.

Procedimiento de Respaldo de la Informacin

a. Realizar semanalmente (Lunes) la salva de la informacin en un
Disco Duro externo, de los siguientes sistemas de informacin:
Sistema de Contabilidad
Sistema de Abastecimientos
Sistema de Planillas
Sistema de Ventas
Sistema de Compras
Sistema de Control Patrimonial
Sistema del SIAF
Sistema de Control de Combustible
b. Consignar en el registrar de salvas de los Sistemas
c. Realizar un control trimestral (incluyendo revisin de registros),
del cumplimiento de este procedimiento.
d. Responsable: Jefe de Informtica

6.3.

Procedimiento de Seguridad Fsica y ambiental

Las medidas y procedimientos de seguridad fsica y ambiental tienen

como
objetivo evitar accesos fsicos no autorizados, daos e
interferencias contra los activos que soportan a los diversos sistemas
de informacin tales como instalaciones, tecnologas y la misma
informacin de la organizacin.
La proteccin fsica se alcanza creando una o ms barreras fsicas
alrededor de las reas de procesamiento de la informacin. El uso de
mltiples barreras brinda proteccin adicional, de modo que la falta

de una barrera no significa que la seguridad se vea comprometida

inmediatamente.

Entre ellas tenemos:

a. Todos los servidores que dan soporte a los sistemas de
informacin debern estar ubicados en la sala de servidores del
PEOT cuyo acceso es permitido solo al jefe de centro de
cmputo del PEOT.
b. Los servidores debern estar conectados a unidades de
almacenamiento de energa UPS y cuya activacin ser
automtica, las cuales tienes una duracin aproximada de 1 hr.
c. Los servidores debern contar con su precinto de seguridad o
llave de seguridad fsica que impida libremente el abrir los
equipos informticos.
d. La sala de servidores deber contar con un sistema de aire
acondicionado
6.4.
Procedimiento de Registro, Modificacin y baja de
usuario en los Sistemas de Informacin
El objetivo de este procedimiento es definir los controles que deben
cubrir todo el ciclo de vida del acceso del usuario, desde el registro
inicial de nuevos usuarios hasta la cancelacin final del registro de
usuarios que no requieren ms acceso a los sistemas de informacin.
Registro de nuevo usuario
a. El rea usuaria solicita al centro de cmputo mediante
documento el registro de un nuevo usuario en el cual
identificar:
DNI y nombre del usuario y una cuenta de correo
electrnico
rea y sistema de informacin a utilizar
Perfil de funciones en el sistema
b. El centro de cmputo en un plazo de 02 hr proceder a su
registro y activacin
c. El centro de cmputo enviar al mail registrado la clave y
acceso al sistema de informacin.
Modificacin de Perfil de usuario
a. El rea usuaria solicita la modificacin del perfil de acceso
identificando:
DNI, Nombre usuario en el sistema
Nuevo perfil de funciones
b. El centro de cmputo en un plazo mximo de 15 min enviar al
correo electrnico registrado la activacin de su nuevo perfil.
Baja de Usuario en el sistema
a. El jefe de rea o el usuario del sistema de Informacin solicita
la baja del usuario en el sistema indicando:
DNI, usuario y/o correo electrnico del usuario del sistema
b. El centro de cmputo en un plazo mximo de 15 min procede a
la baja del usuario en el sistema e informa va correo
electrnico al usuario final y al jefe de rea.