Professional Documents
Culture Documents
ESCUELA DE SISTEMAS
Autor:
Br. Urrutia Lozada, Ivonne Jackeline
Asesor:
Ing. Juan Francisco, Pacheco Torres
TRUJILLO - PER
2011
Presentada Por:
Aprobado Por:
ii
DEDICATORIA
A Dios,
Porque es l quien da a da me ha brindado la paciencia,
el conocimiento y la fuerza para continuar con mi sueo,
sin importar los obstculos que se me han presentado en la vida
en formas distintas, pero que han tenido el objetivo de dejar
mis sueos como algo inalcanzable.
Gracias a Dios todo fue posible.
A mi familia,
que con su ejemplo de vida,
han sabido infundirme aquellos valores
que hacen de m, la persona que hoy en da soy.
A mi Novio,
Por su gran amor y por
brindarme su constante apoyo.
iii
AGRADECIMIENTOS
A todos los docentes, gracias por compartir y transmitir no slo conocimientos, sino
valiosas experiencias que me han permitido alcanzar mi objetivo primordial: formacin
como profesional y personal.
iv
PRESENTACIN
Seores Miembros del Jurado:
En cumplimiento a lo establecido en la Ley Universitaria 23733, 26409 y RES 437 95
ANR, Ley de Creacin de la UCV 25530 as como el Reglamento General de
Evaluacin Acadmico de la Universidad Csar Vallejo como requisito para obtener el
Ttulo Profesional de Ingeniero de Sistemas, es que ponemos a vuestra disposicin la
presente investigacin denominada: Plan de Seguridad de la Informacin para el
rea de Gerencia de Operaciones de la Empresa de Transportes Juvier S.A.C
NDICE GENERAL
1.2.
Plan ............................................................................................................ 24
Seguridad .................................................................................................... 24
Informacin................................................................................................. 25
Gerencia de Operaciones .............................................................................. 25
Metodologa ................................................................................................ 26
Anlisis de riesgo.......................................................................................... 26
Gestin de riesgo ......................................................................................... 27
Incidente..................................................................................................... 27
Activo ......................................................................................................... 27
Valor .......................................................................................................... 28
Amenaza..................................................................................................... 28
Salvaguardas ............................................................................................... 29
Vulnerabilidad ............................................................................................. 29
Riesgo......................................................................................................... 29
Control ....................................................................................................... 29
Datos.......................................................................................................... 29
Seguridad de la Informacin y Seguridad Informtica ........................................ 30
Auditoria ..................................................................................................... 31
vi
1.2.1.19.
1.2.1.20.
1.2.1.21.
1.2.1.22.
1.2.1.23.
1.2.1.24.
1.2.1.25.
1.2.1.26.
1.3.
Hiptesis ............................................................................................................... 49
1.4.
Variables............................................................................................................... 49
1.4.1.
1.4.2.
1.5.
1.5.1.
1.5.2.
1.6.
vii
viii
ix
NDICE DE TABLAS
Tabla N 1. 1Esquema del concepto clsico de Auditoria ................................................................. 31
Tabla N 1. 2 Escala Estndar de Likert ........................................................................................ 40
Tabla N 1. 3 Seleccin de la metodologa ..................................................................................... 42
Tabla N 1. 4 Esquema de fases MAGERIT ..................................................................................... 48
Tabla N 1. 5 Poblacin .............................................................................................................. 50
Tabla N 1. 6 Tcnicas e Instrumentos .......................................................................................... 51
Tabla N 1. 7 Indicadores ............................................................................................................ 53
Tabla N 1. 8 Descripcin de las fases de la metodologa MAGERIT................................................... 54
Tabla N 2. 1 Planificacin del Proyecto ........................................................................................ 60
Tabla N 2. 2 Determinacin de la Oportunidad ............................................................................. 60
Tabla N 2. 3 Determinacin del alcance del proyecto..................................................................... 61
Tabla N 2. 4 tcnicas e instrumentos ........................................................................................... 62
Tabla N 2. 5 Determinacin del alcance del proyecto..................................................................... 62
Tabla N 2. 6 Identificacin del entorno ........................................................................................ 63
Tabla N 2. 7 Estimacin de dimensiones y costos .......................................................................... 64
Tabla N 2. 8 Evaluacin y planificacin de entrevistas ................................................................... 65
Tabla N 2. 9 Adaptacin de los cuestionarios................................................................................ 66
Tabla N 2. 10 Criterios de evaluacin .......................................................................................... 67
Tabla N 2. 11 Recursos necesarios .............................................................................................. 68
Tabla N 2. 12 Costo total de adquisicin de hardware ................................................................... 81
Tabla N 2. 13 Informe por daos y averas de equipos informticos................................................. 83
Tabla N 2. 14 Proforma de Adquisicin de nuevos equipos informticos........................................... 83
Tabla N 2. 15 Unidades afectadas de la empresa .......................................................................... 84
Tabla N 2. 16 Lista de Dominio y Lmites ...................................................................................... 84
Tabla N 2. 17 Costos de Inversin en Hardware ............................................................................ 85
Tabla N 2. 18 Costo de Inversin en Software ............................................................................... 85
Tabla N 2. 19 Costo de Recursos Humanos ................................................................................... 86
Tabla N 2. 20 Costo de Insumos.................................................................................................. 86
Tabla N 2. 21 Costo por consumo de energa................................................................................ 87
Tabla N 2. 22 Costo por utilizacin de equipo ............................................................................... 87
Tabla N 2. 23 Costo por recursos humanos................................................................................... 88
Tabla N 2. 24 Costos por Recursos materiales............................................................................... 88
Tabla N 2. 25 Costos por Depreciacin ........................................................................................ 88
Tabla N 2. 26 Resumen de Costos ............................................................................................... 89
Tabla N 2. 27 Ahorro por los Jefes de rea ................................................................................... 89
Tabla N 2. 28 Flujo de Caja ........................................................................................................ 89
Tabla N 2. 29 Planificacin del proyecto ...................................................................................... 90
Tabla N 2. 30 Dimensin del proyecto Febrero - Mayo .................................................................. 91
Tabla N 2. 31 Dimensin del proyecto Mayo - Agosto .................................................................... 92
Tabla N 2. 32 Identificacin de los activos.................................................................................... 94
Tabla N 2. 33 Lista de activos tangibles ....................................................................................... 95
Tabla N 2. 34 Lista de activos Intangibles .................................................................................... 95
Tabla N 2. 35 Dependencia entre activos ..................................................................................... 96
Tabla N 2. 36 Valoracin de los activos........................................................................................ 98
Tabla N 2. 37 Valoracin de activos cuantitativa........................................................................... 99
Tabla N 2. 38 Valoracin segn dimensiones para activos .............................................................. 99
Tabla N 2. 39 Caracterizacin de las amenazas .......................................................................... 102
Tabla N 2. 40 Identificacin de las amenazas ............................................................................. 103
Tabla N 2. 41 Lista de amenazas para los activos intangibles ....................................................... 104
Tabla N 2. 42 Valoracin de las amenazas ................................................................................. 106
Tabla N 2. 43 Criterios para evaluacin de la frecuencia de ocurrencia .......................................... 107
Tabla N 2. 44 Criterio para evaluacin del impacto ..................................................................... 107
Tabla N 2. 45 Criterio para evaluacin de activo segn frecuencia ................................................ 107
xi
NDICE DE MATRICES
Matriz N 2. 1 Identificacin de dependencias entre activos ............................................................ 97
Matriz N 2. 2 Matriz de amenazas por cada activo...................................................................... 105
xii
NDICE DE FIGURAS
Figura N 1. 1 Esquema del anlisis de riesgo................................................................................ 27
Figura N 1. 2 Seguridad de la Informacin y Seguridad Informtica ................................................. 30
Figura N 1. 3 Esquema de Auditoria Informtica de la gestin de las tecnologas .............................. 32
Figura N 1. 4 Esquema de implementacin de controles ................................................................ 33
Figura N 1. 5 Anlisis de Contrastacin. ....................................................................................... 52
Figura N 2. 1 Modelo MAGERIT .................................................................................................. 57
Figura N 2. 2 Organigrama Formal ............................................................................................. 70
Figura N 2. 3 Determinacin del dominio ..................................................................................... 74
Figura N 2. 4 Lugar geogrfico de la empresa............................................................................... 76
Figura N 2. 5 Plano de la empresa .............................................................................................. 77
Figura N 2. 6 Plano de las oficinas de la empresa .......................................................................... 78
Figura N 2. 7 Diseo de la red actual de Juvier .............................................................................. 79
Figura N 2. 8 Diagrama de dependencias entre activos .................................................................. 97
Figura N 2. 9 Riesgo Intrnseco por activo ................................................................................. 122
Figura N 2. 10 Riesgo Residual por activo .................................................................................. 122
Figura N 2. 11 Conclusin final ................................................................................................. 127
Figura N 3. 1 Regla de decisin para una prueba de 1 cola ........................................................... 144
Figura N 3. 2 Prueba t de Hiptesis para Dif. de Medias ............................................................... 145
Figura N 3. 3 Regla de decisin para una prueba de 1 cola ........................................................... 151
Figura N 3. 4 Reporte Estadstico .............................................................................................. 151
Figura N 3. 5 Regla de decisin Indicador 2 ................................................................................ 157
Figura N 3. 6 Reporte Estadstico .............................................................................................. 157
Figura N 4. 1 Resultados del Plan en Indicador 1 ......................................................................... 159
Figura N 4. 2 Resultados del Plan en Indicador 2 ......................................................................... 160
Figura N 4. 3 Resultados del Plan en Indicador 2 ......................................................................... 161
xiii
RESUMEN
xiv
ABSTRACT
This research project "Plan of Information Security for the area of management of
operations of the Enterprise in Transport juvier S.A. C" will allow us to identify the
major security risks of the information that is facing the company, with this information,
the operations manager will determine which are the safeguards that reduce to a greater
extent to which these risks, and with this, which should be prioritized to subsequently
implement controls to mitigate risks.
The work is structured in the following chapters.
CHAPTER I: Theoretical Framework Reference. - This overall organizational issues
under study, project documentation and administration work.
CHAPTER II: Methodologies. - In the chapters, using methodology MAGERIT
analysis and risk management, with its three phases that must be mentioned that the
methodology proposed to implement plan outline Contrasting
CHAPTER III: Contrasting.-In this chapter we will evaluate the testing of the
hypothesis, in this way is detailed the definition of variables by indicator.
CHAPTER IV: Discussion of Results. - In this chapter we discuss the results of the
methodology
CHAPTER V: Conclusions and Recommendations. - This chapter embodies the
findings demonstrated in each indicator and their respective recommendations.
xv
INTRODUCCIN
xvi
CAPTULO I
MARCO TERICO
REFERENCIAL
INGENIERA
DE
SISTEMAS
18
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
y hardware:
19
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.1.3.2. Econmica
Una eficiente administracin del riesgo permitir minimizar los
peligros adversos dentro de los lmites prcticos y econmicos
permitidos.
Por ejemplo, si en el anlisis de riesgo se detecta que un posible
corte de luz puede disminuir significativamente las ventas de una
empresa, puede justificarse la compra de un equipo electrgeno
para utilizar en caso de emergencia.
Adems que los resultados obtenidos por la investigacin tendrn
un impacto directo en la optimizacin de los recursos disponibles
(humanos, tecnolgicos, financieros, materiales, etc.) facilitando
mejores resultados (productividad y rentabilidad) traducindose en
reduccin de costos e incremento de utilidades para la
organizacin.
1.1.3.3. Tecnolgica
El proyecto utilizar recursos tecnolgicos relacionados con el
anlisis y gestin de riesgos, como las herramientas de apoyo como
Microsoft Excel 2010, ideada como herramienta de ayuda en la
realizacin de los clculos asociados al anlisis de riesgos en
sistemas complejos, facilitando la toma de decisiones en cuestin
de seguridad, permitiendo priorizar las actuaciones que deben
realizarse y optimizar el uso de los recursos.
1.1.4. Antecedentes del Problema:
1.1.4.1. A nivel Local:
Ttulo del proyecto: Sistema de Gestin de Seguridad
Informtica para minimizar las vulnerabilidades de los activos
de procesamiento de informacin de la Empresa Hardtech
Solutions S.A.C. ubicada en la ciudad de Trujillo. (Azaedo
Deza, Juan Carlos & Len Shaus, Csar Edwin, 2010)
20
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tecnologas
para
mejorar
la
Gestin
21
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
- Resumen:
El proyecto describe como se define un Plan de Seguridad para
una entidad financiera, empieza por definir la estructura
organizacional (roles y funciones), despus pasa a definir las
polticas
para
finalmente
concluir
con
un
plan
de
Resumen:
El proyecto se enmarco en el desarrollo de un sistema de
Gestin de Seguridad de la Informacin cuyo desarrollo se
defini como parte del Plan Estratgico
Resumen:
El grupo de trabajo especial de anuncios ENISA sobre
evaluacin y gestin (contemplados en el presente documento
como
ha determinado una
22
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.1.5. Objetivos
1.1.5.1. Objetivo General
Mejorar la seguridad de la informacin para el rea Gerencia de
Operaciones de la Empresa de Transportes Juvier S.A.C
1.1.5.2. Objetivos Especficos
Minimizar el nmero de riesgos informticos.
Incrementar el grado de satisfaccin del usuario interno.
Incrementar el grado de Capacitacin del usuario interno.
23
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
24
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
25
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.5. Metodologa
Segn lo ledo en los textos de Maurice Eyssautier
concluimos que, es la gua que se sigue a fin de realizar las
acciones propias de una investigacin, es decir, es la gua que
nos va indicando qu hacer y cmo actuar en algn tipo de
investigacin. (Maurice Eyssautier de la Mora, 2006)
En s son muchas las metodologas que se podran seguir, pero
existen dos grandes grupos dentro de los que se encuentran
otras ms especficas, estas son las siguientes:
Metodologa
cuantitativa,
aquella
que
obtiene
la
cualitativa,
aquella
que
evita
la
26
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
27
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
equipos
informticos
que
son
dispositivos
de
almacenamiento de datos.
- El equipamiento auxiliar que complementa el material
informtico.
- Las redes de comunicaciones que permiten intercambiar datos.
- Las instalaciones que se acogen equipos informticos y de
comunicaciones.
- Las personas que explotan u operan todos los elementos
anteriormente citados. (MAGERIT, 2006)
1.2.1.10.Valor
De un activo. Es una estimacin del coste inducido por la
materializacin de una amenaza. (MAGERIT, 2006)
1.2.1.11.Amenaza
Las amenazas son los eventos que pueden desencadenar un
incidente en la organizacin, produciendo daos materiales o
prdidas inmateriales en sus activos.
Hay accidentes naturales (terremotos, inundaciones,..) y
desastres industriales (contaminacin, fallos elctricos,...) ante
los cuales el sistema de informacin es vctima pasiva; pero no
por ser pasivos hay que permanecer indefensos. Hay amenazas
causadas por las personas, bien errores, bien ataques
intencionados. (MAGERIT, 2006)
28
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.12.Salvaguardas
Procedimiento o mecanismo tecnolgico que reduce el riesgo. Si
no se gestiona adecuadamente permitir a la amenaza
materializarse. (MAGERIT, 2006)
1.2.1.13.Vulnerabilidad
Debilidad en un recurso de informacin que puede ser explotada
por una amenaza para causar un dao a un sistema o a la
Organizacin. (ISO 27000, 2005)
1.2.1.14.Riesgo
Posibilidad de que se produzca un impacto determinado en un
activo, en un dominio o en toda la Organizacin. (MAGERIT,
2006)
1.2.1.15.Control
Control se define como las polticas, procedimientos, prcticas y
estructuras organizacionales diseadas para mantener los riesgos
de seguridad de la informacin por debajo del riesgo asumido.
(Nota: Control es tambin utilizado como sinnimo de
salvaguarda o contramedida. (ISO 27000, 2005)
1.2.1.16. Datos
Los datos son hechos y cifras que al ser procesados constituyen
una informacin, sin embargo, muchas veces datos e
informacin se utilizan como sinnimos.
En su forma ms amplia los datos pueden ser cualquier forma de
informacin: campos de datos, registros, archivos y bases de
datos, texto (coleccin de palabras), hojas de clculo (datos en
forma matricial), imgenes (lista de vectores o cuadros de bits),
video (secuencia de tramas), etc. ( Oficina Nacional de Gobierno
Electrnico e Informtica, 1999)
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL
REA DE GERENCIA DE OPERACIONES DE LA EMPRESA
DE TRANSPORTES J UVIER S.A.C
29
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
30
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.18.Auditoria
Auditoria es un proceso sistemtico para obtener y evaluar de
manera objetiva, las evidencias relacionadas con informes sobre
actividades econmicas y otras situaciones que tienen una
relacin directa con las actividades que se desarrollan en una
entidad pblica o privada. El fin del proceso consiste en
determinar el grado de precisin del contenido informativo con
las evidencias que le dieron origen, as como determinar si
dichos informes se han elaborado observando principios
establecidos para el caso.
Tabla N 1. 1Esquema del concepto clsico de Auditoria
AUDITORIA
COMPARACIONES
IDEAL
REAL
DIFERENCIA
OBSERVACIONES
31
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
GESTIN DE LAS
TECNOLOGAS
COMPARACIONES
Ge stin Ideal de
las Te cnologas
de informacin
Gestin Real de
las Tecnologas
de informacin
DIFERENCIA
RIESGOS
CONTROLES
32
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
RIESGOS
CONTROLES
Cmo eliminarlos,
transferirlos reducirlo?
Proceso de Benchmarking
Estndares Internacionales
COBIT
NAGU
MAGU
Normas legales, etc
MEJORES
PRCTICAS
competitivos
lograr
su
acreditacin.
33
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.19.Proceso de Auditoria
1. Planeacin:
En esta fase se establecen las relaciones entre auditor y la
entidad, para determinar alcance y objetivos. Se hace un
bosquejo de la situacin de la entidad, sistema contable,
controles internos, estrategias y dems elementos que le
permitan al auditor elaborar el programa de auditoria que se
llevar a efecto.
2. Ejecucin:
En esta fase se realizan diferentes tipos de pruebas y anlisis
a los estados financieros para determinar su razonabilidad.
Se detectan los errores, si los hay, se evalan los resultados
de las pruebas y se identifican los hallazgos. Se elaboran las
conclusiones y recomendaciones y se las comunican a las
autoridades de la entidad auditada.
Las
Pruebas
de
Auditoria:
Son
tcnicas
34
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.20.Comit de Informtica
Se encarga de que el control de las actividades informticas, se
realicen cumpliendo los estndares fijados por la organizacin.
Este control debe tener carcter preventivo, detectivo y
correctivo.
1. Medidas preventivas: Son aquellas orientadas a la prevencin
de riesgos o situaciones anmalas a las fijadas por la
institucin.
2. Medidas detectivas: Son aquellas que muestran evidencia de
incumplimiento o intentos de quebrantar los estndares
fijados.
3. Medidas correctivas: Se orientan a recuperarnos ante la
vulnerabilidad de las medidas preventivas. Van a ser
evaluadas por su efectividad y tiempos de respuesta.
El comit interno informtico, suele ser un staff de la Direccin
del departamento de informtica y est dotado de las personas y
medios materiales proporcionados a los cometidos que se le
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL
REA DE GERENCIA DE OPERACIONES DE LA EMPRESA
DE TRANSPORTES J UVIER S.A.C
35
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.21.Poltica de Seguridad
La poltica de seguridad es la forma en que los distintos niveles
de la misma organizan, gestionan, protegen y distribuyen la
informacin tratada a cada nivel. (Romero Lucero, Mnica
Alexandra, 2005)
36
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
los usuarios,
Las polticas de
1.2.1.22.Normativas Aplicables
El anlisis de riesgos es considerado una pieza fundamental para
la seguridad de la informacin por diversos estndares y cdigos
de buenas prcticas. Algunos ejemplos de estndares y cdigos
de buenas prcticas que prescriben la realizacin de anlisis de
riesgos son:
INTERNACIONALES
- COBIT Control Objectives for Information and related
Technology
- ISO/IEC 27005:2008, Tecnologa de la informacin Tcnicas de seguridad - Informacin de Gestin de Riesgos
de seguridad.
- ISO/IEC 27002:2005 Tecnologa de Informacin -Tcnicas
de seguridad - Cdigo para la prctica de la gestin de la
seguridad de la informacin
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL
REA DE GERENCIA DE OPERACIONES DE LA EMPRESA
DE TRANSPORTES J UVIER S.A.C
37
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Objetivos de Magerit:
Directos
1. Concienciar a los responsables de los sistemas de
informacin de la existencia de riesgos y de la necesidad
de atajarlos a tiempo.
2. Ofrecer un mtodo sistemtico para analizar tales riesgos.
3. Ayudar a descubrir y planificar las medidas oportunas para
mantener los riesgos bajo control.
Indirectos
1. Preparar a la Organizacin para procesos de evaluacin,
auditora, certificacin o acreditacin, segn corresponda
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL
REA DE GERENCIA DE OPERACIONES DE LA EMPRESA
DE TRANSPORTES J UVIER S.A.C
38
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
en cada caso.
Magerit es una metodologa que se esfuerza por enfatizarse en
dividir los activos de la organizacin en variados grupos, para
identificar ms riesgos y poder tomar contramedidas para evitar
as cualquier inconveniente.
La razn de ser de MAGERIT est directamente relacionada con
la generalizacin del uso de las tecnologas de la informacin,
que supone unos beneficios evidentes para los ciudadanos; pero
tambin da lugar a ciertos riesgos que deben minimizarse con
medidas de seguridad que generen confianza. (Electrnica,
1997)
1.2.1.24.METODOLOGA OCTAVE
OCTAVE
(Operationally
Critical
Threat,
Asset,
and
39
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Puntaje
1
2
3
4
5
Criterio
Muy malo
Malo
Regular
Bueno
Muy bueno
del
tiempo
INGENIERA
DE
SISTEMAS
41
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Criterios de Calificacin:
Excelente = 5, Bueno= 4, Regular = 3, Malo =2, Deficiente =1
METODOLOGA
MAGERIT1
Flexibilidad Requerimientos
Tiempo
de
desarrollo
3
TOTAL
23
OCTAVE2
2
CRAMM3
15
3
4
15
1 Magerit:
2 Octave:
3 Cramm:
42
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.2.2.Gerencia de Operaciones
Para la Empresa Juvier Gerencia de operaciones es considerada un
rea principal como fuente de ventaja competitiva empresarial.
En esta rea laboran 3 personas y est conformado por:
- El Gerente de Operaciones
- El Jefe de Informtica
- El Asistente Tcnico
Estas 3 sub reas trabajan en conjunto para realizar evaluaciones
peridicas acerca del cumplimiento y desarrollo de metas a corto y
largo plazo para cada rea (Gerencia General, Secretaria,
Contabilidad, rea de supervisin, rea de seguridad) una de ellas
es mantener un alto nivel de disponibilidad de los equipos de
cmputo entre otras. Ver Anlisis de la Situacin Actual.
1.2.2.3.ISO 27002:2005
Desde el 1 de julio de 2007, es el nuevo nombre de ISO 1799:2005,
manteniendo 2005 como ao de edicin. Es una gua de buenas
prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin.
43
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
y sistemas
informticos
para tratarla.
Si
dicha
los
no
deje lugar a la
44
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
roles,
actividades,
hitos
45
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
realmente efectivos.
Los apndices recogen material de consulta:
- Glosario
- Referencias bibliogrficas consideradas para el desarrollo
de esta metodologa
- Referencias al marco legal que encuadra las tareas de
anlisis y gestin
- El marco normativo de evaluacin y certificacin.
- Las
caractersticas
que
se
requieren
de
las
46
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
de
proyectos,
sesiones
de
trabajo
de
evaluacin,
certificacin, auditora y
47
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
D
E
R
E
C
H
O
S
D
DERECHOS DE UTILIZACIN
- Magerit
es
una
metodologa
de
carcter
pblico,
48
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
49
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.5.1. Poblacin
La poblacin objeto de estudio est conformada por el total de personal
que labora en el rea de Gerencia de Operaciones de la Empresa de
Transportes Juvier.
Tabla N 1. 5 Poblacin
Empleados
Cantidad
Gerente General
Gerente de Operaciones
Jefe de Informtica
Asistente tcnico
Total
50
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tcnicas
Entrevista
Instrumentos
Cuestionario
Informantes
Gerente General, Gerente
de Operaciones, Jefe de
informtica
51
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
O1
O2
Dnde:
O1: El anlisis y gestin de riesgos en el rea de gerencia de
operaciones de Transportes Juvier S.A.C antes de la
implementacin del Plan de Seguridad de la informacin.
X: Plan de seguridad de la informacin
O2: El anlisis y gestin de riesgos de Transportes Juvier
S.A.C despus de la implementacin del Plan de Seguridad
de la informacin.
Al final el proyecto establece las diferencias entre el O1 y el
O2 para determinar si hay mejoramiento en los resultados
obtenidos
52
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Indicadores
Tabla N 1. 7 Indicadores
Indicador
Frecuencia
El nmero de
riesgos
informticos
Mensualmente
durante el
periodo 2011
El grado de
satisfaccin del
usuario interno
Mensualmente
durante el
periodo 2011
El grado de
capacitacin del
usuario interno
Mensualmente
durante el
periodo 2011
Tcnica
Encuesta
Encuesta
Encuesta
Instrumento
Encuesta
Encuesta
Encuesta
Formula
NUS =
Descripcin
=1
Tp = Tiempo promedio
Retraso por incidente.
n = Muestra de tomas
de
los
incidentes
realizados.
TI= Total de Incidentes
=1
Nmero de
Incidentes.
Psu = Promedio de
satisfaccin del usuario. Nmero de
nu = Numero de Usuarios.
usuarios encuestados.
NUS=
numero
de
usuarios satisfechos
TP = Total Personas
NPC = Nmero de
Personas Capacitadas.
GC=
Grado
de
Capacitacin
NPC
GC
%
TP
Unidad de
Medida
53
Nmero de
Usuarios.
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.4.4. Mtodo
Para el presente proyecto utilizaremos la metodologa MAGERIT
Metodologa de Anlisis y Gestin de Riesgos con la herramienta de
soporte Excel, en el cual se identificarn los activos, las dimensiones de
valoracin con criterios de una escala estndar, se identificarn las
amenazas por tipo de activo, y finalmente salvaguardas para cada tipo
de activo a proteger segn los catlogos de elementos que proporciona
la metodologa.
Metodologa de Anlisis y Gestin de Riesgos (MAGERIT)
Tabla N 1. 8 Descripcin de las fases de la metodologa MAGERIT
54
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO II
METODOLOGA
INGENIERA
DE
SISTEMAS
Fase II: ANLISIS DE RIESGOS: Se estima el impacto que tendrn los riesgos en
la organizacin, cuestin muy importante, puesto que si bien la seguridad es
fundamental, su uso desproporcionado puede afectar gravemente el rendimiento del
sistema por lo que es necesario establecer un umbral de riesgo deseable (tole rable)
que debe superar un determinado riesgo para ser objeto de tratamiento.
Dentro del anlisis se identifica a las salvaguardas, y entran en el clculo del riesgo
de dos formas:
56
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Impacto residual
Medida del estado presente, entre la inseguridad potencial (sin salvaguarda
alguna) y las medidas adecuadas que reducen impacto y riesgo a valores
despreciables.
Riesgo residual
Es el nivel de riesgo esperado despus de implementar y evaluar la
salvaguarda. Si se han hecho todos los deberes a la perfeccin, el riesgo
residual debe ser despreciable. Si el valor residual es despreciable ya est.
Esto no quiere decir descuidar la guardia; pero si afrontar el da a da con
confianza.
57
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
58
IVONNE J ACKELINE,
URRUTIA LOZADA
FASE I
PLANIFICACIN
INGENIERA
DE
SISTEMAS
FASE I: PLANIFICACIN
Tabla N 2. 1 Planificacin del Proyecto
2. Alcance
3. Planificacin
4. Lanzamiento
En esta primera fase del proceso, nos reunimos con el responsable del rea de Gerencia
de Operaciones, se recolectaron las respectivas muestras de informacin para nuestro
estudio de oportunidad y se concluy lo siguiente: El resultado de esta actividad es el
informe denominado preliminar. Ver Anexo N 4
A1.1: Estudio de Oportunidad
Tabla N 2. 2 Determinacin de la Oportunidad
P1: Planificacin
A1.1: Estudio de Oportunidad
T1.1.1: Determinar la Oportunidad
Objetivos:
Suscitar a la gerencia general de la empresa que requiere de un plan de seguridad
de la informacin.
Sensibilizar a la direccin para el apoyo de la obtencin de informacin.
Producto de entrada
Carta de aceptacin de la Empresa. Ver Anexo 2
Solicitud de acceso a la Informacin de la Empresa. Ver Anexo 3
Producto de salida
Informe preliminar recomendando la elaboracin de un plan de seguridad de la
informacin. Ver Anexo 4
Creacin del comit de informtica. Ver Anexo 5
Tcnicas, prcticas y pautas
Observacin.
Reunin.
Participante
La promotora del proyecto.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA
EL REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES J UVIER S.A.C
60
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
2. Alcance
4. Lanzamiento
3. Planificacin
En esta actividad se definen los objetivos finales del proyecto y su dominio. Se realiza
una primera identificacin del entorno y de las restricciones generales a considerar.
El resultado de esta actividad es un perfil del plan de seguridad de la Informacin.
A1.2: Determinacin del alcance del proyecto
Tabla N 2. 3 Determinacin del alcance del proyecto
P1: Planificacin
A1.2: Determinacin del alcance del proyecto
T1.2.1: Objetivos Generales
Objetivo
Suscitar a la gerencia general de la empresa que requiere de un plan de seguridad
de la informacin.
Producto de entrada
Recopilacin de la documentacin pertinente de la Organizacin. Ver situacin
actual de la empresa
Producto de salida
Perfil general de las unidades incluidas en el dominio del proyecto.
Lista de funciones relevantes en la unidades incluidas en el dominio.
Tcnicas, prcticas y pautas
Encuesta. Ver anexo 6 -01
Participante
El comit de informtica
La promotora del proyecto.
61
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tcnicas
Entrevista
Instrumentos
Cuestionario
Informantes
Gerente General, Gerente
de Operaciones, Jefe de
informtica
Esta tarea permite identificar las unidades objeto del anlisis y gestin de riesgos, y
especificar las caractersticas generales de dichas unidades en cuanto a responsables,
servicios proporcionados y ubicaciones geogrficas.
Tabla N 2. 5 Determinacin del alcance del proyecto
P1: Planificacin
A1.2: Determinacin del alcance del proyecto
T1.2.2: Determinacin del dominio y lmites
Objetivos
Identificar las principales relaciones de las diversas reas referente a la seguridad
de la informacin.
Identificar mejores polticas de seguridad para la informacin en todas las reas.
Identificar los incidentes que generan prdidas de la informacin en las reas
Producto de entrada
Recopilacin de la documentacin pertinente de la Organizacin.
Entrevistas no formal al personal de la empresa
Perfil general de las unidades incluidas en el dominio del proyecto
Producto de salida
Relacin de unidades de la empresa que se vern afectadas como parte del
dominio del proyecto.
Lista de funciones relevantes en la unidades incluidas en el dominio
Designacin del proyecto. Ver situacin actual de la empresa
Tcnicas, prcticas y pautas
Entrevista no formal
Participante
El comit de informtica
La promotora del proyecto.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA
EL REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES J UVIER S.A.C
62
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Esta tarea identifica las unidades objeto del proyecto seguridad de la informacin y
especifica las caractersticas generales de dichas unidades en cuanto a responsables,
servicios proporcionados y ubicaciones geogrficas.
Tabla N 2. 6 Identificacin del entorno
P1: Planificacin
A1.2: Determinacin del alcance del proyecto
T1.2.3: Identificacin del entorno
Objetivos
Revisar los equipos informticos actuales de la empresa
Revisar y analizar presupuestos de inversin de equipos informticos a nivel de
todas las reas.
Presentar informes por daos y averas de equipos informticos.
Revisar proformas de adquisicin de nuevos equipos informticos, para emitir un
informe a la Gerencia General.
Productos de entrada
Resultados de la tarea T1.2.2, Determinacin del dominio y lmites
Revisar y analizar presupuestos de inversin de equipos informticos a nivel de
todas las reas.
Productos de salida
Revisin equipos informticos actuales de la empresa. Ver anexo 8
Informes por daos y averas de equipos informticos.
Proforma de adquisicin de nuevo equipo informtico.
Relacin de unidades de la empresa que se ver afectada como permetro del
proyecto. Ver situacin actual de la empresa
Tcnicas, prcticas y pautas
Entrevistas no formal
Participantes
El comit de informtica
La promotora del proyecto.
63
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Esta tarea realiza un estudio global de los sistemas de informacin de las unidades
incluidas en el dominio del proyecto, El perfil general de las unidades, producto
obtenido en la tarea anterior, se ampla en sta con la informacin proporcionada por los
responsables de las diversas reas de dichas unidades.
Tabla N 2. 7 Estimacin de dimensiones y costos
P1: Planificacin
A1.2: Determinacin del alcance del proyecto
T1.2.4: Estimacin de dimensiones y coste
Objetivos
Productos de entrada
Relacin de unidades de la empresa que se ver afectada como permetro del
dominio.
El dominio y lmites establecidos por la gerencia de operaciones.
Productos de salida
Relacin de unidades de la Empresa que se ver afectada como permetro del
dominio.
Lista de funciones relevantes en otras unidades, a considerar para la
caracterizacin del entorno.
Dominios y lmites establecidos por la Gerencia
Dimensin y coste del proyecto. Ver situacin actual de la empresa.
Tcnicas, prcticas y pautas
Planificacin de proyecto: Diagrama de Gantt.
Participantes
El comit de informtica
La promotora del proyecto.
64
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
2. Alcance
1. Oportunidad
4. Lanzamiento
3. Planificacin
P1: Planificacin
A1.3: Planificacin del proyecto
T1.3.1: Evaluacin y planificacin de entrevistas
Objetivos
Definir los grupos de interlocutores : usuarios afectados en cada unidad
Planificar las entrevistas de recogida de informacin.
Productos de entrada
El alcance del proyecto es viable mediante el flujo de caja establecido en la tarea
T1.2.4: Estimacin de dimensiones y coste.
Productos de salida
Cuestionarios adaptados Ver anexo 7.1
Tcnicas, prcticas y pautas
Encuesta. Ver anexo 6.1
Participantes
El promotor del proyecto
El comit de informtica
65
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
2. Alcance
3. Planificacin
4. Lanzamiento
P1: Planificacin
A1.4: Lanzamiento del proyecto
T1.4.1: Adaptar cuestionarios
Objetivos
Identificar la informacin relevante a obtener, agrupada de acuerdo a la estructura
de unidades y roles de los participantes.
Productos de entrada
Resultados de la actividad A1.3, Planificacin del proyecto.
Productos de salida
Cuestionarios adaptados. Ver anexo 7.2
Tcnicas, prcticas y pautas
Encuesta Ver anexo 6.2
Participantes
El promotor del proyecto
66
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Esta tarea nos permite identificar los activos de la empresa, determinando el tipo,
dimensin de valoracin (confidencialidad, integridad y disponibilidad), valoracin de
activos y amenazas, haciendo uso del catlogo de activos que proporciona la
metodologa.
Tabla N 2. 10 Criterios de evaluacin
P1: Planificacin
A1.4: Lanzamiento del proyecto
T1.4.2: Criterios de evaluacin
Objetivos
Determinar el catlogo de tipos de activos
Determinar las dimensiones de valoracin de los activos
Determinar el catlogo de amenazas
Productos de entrada
Catalog de elementos de la metodologa Magerit.
Resultados de la actividad A1.3, Planificacin del proyecto.
Fichas de identificacin de activos.
Productos de salida
Identificacin de activos. Ver anexo 09
Catlogo de activos. Ver anexo 10
Catlogo de amenazas. Ver anexo 12
Tcnicas, prcticas y pautas
Catlogo de elementos Ver anexo 11
Participantes
El promotor del proyecto
67
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
En esta tarea identificamos los recursos necesarios a utilizar durante el desarrollo del
proyecto y el costo que este ocasionara para que se lleve a cabo el desarrollo.
P1: Planificacin
A1.4: Lanzamiento del proyecto
T1.4.3: Recursos necesarios
Objetivos
Asignar los recursos necesarios (materiales, sala de juntas, equipo, etc.) para la
realizacin del proyecto.
Productos de entrada
Resultados de la actividad A1.3, Planificacin del proyecto.
Productos de salida
Comunicacin al personal participante de su asignacin al proyecto. Ver anexo 5
Disponibilidad de los medios materiales necesarios Ver situacin actual de la
empresa.
Dimensin del Proyecto.
Tcnicas, prcticas y pautas
Entrevista no formal
Diagrama de Gantt. Ver situacin actual de la empresa.
Participantes
El promotor del proyecto
El comit de Informtica
68
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
PRESENTACIN DE LA EMPRESA
GIRO DEL NEGOCIO
Empresa de transporte JUVIER S.A.C se dedica a la prestacin de servicios de
transporte de carga pesada por carretera contado con volquetes para la minera
y construccin. Presta sus servicios a la CIA MINERA SANTA LUISA S A
DIRECCIONAMIENTO ESTRATGICO ACTUAL
Misin
Al ser una empresa de servicio, nuestro negocio principal ha sido atender y dar
al cliente servicio de transporte de carga pesada (mineral y materiales de
construccin).
Ayudando a nuestros clientes a explorar sus necesidades y les ofrecemos
alternativas con un alto valor agregado considerando las diferentes alternativas
de transporte de materiales, el objetivo que se persigue con el uso de nuestros
servicios es trasladar la cantidad requerida de materiales, a tiempo y
eficientemente, haciendo que nuestros clientes se dediquen a su actividad
principal. Fuente: JUVIER S.A.C
Visin
Ser en los prximos cinco aos una empresa lder en prestacin de servicio
de carga pesada al sector minero y construccin, proyectndose a adquirir
unidades cero (0) kilmetros, para llegar a ser una de las mejores empresas
brindando servicios, garanta, cumplimiento, seguridad, motivado por la
calidad humana de su personal, y desarrollando su proyecto de certificar con
SGS DEL PERU S.A y en un lapso prudencial el ISO-14001, y OHSAS 18001 a travs de empresas especializadas en este tema.
Fuente: JUVIER S.A.C
69
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ORGANIGRAMA FORMAL
El siguiente organigrama fue proporcionado por la Empresa de Transportes
Juvier.
Figura N 2. 2 Organigrama Formal
Coordinar con las oficinas administrativas para asegurar que los registros
y sus anlisis se estn llevando correctamente.
70
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Gerencia de Operaciones
Se encarga de realizar evaluaciones peridicas acerca del cumplimiento y
desarrollo de metas a corto y largo plazo para cada departamento (esto incluye
los departamentos administrativos (maquinarias, herramientas y talleres de
servicios).
Dentro delas responsabilidades que debe cumplir estn las siguientes:
-
Jefe de Informtica:
Se encarga de administrar los equipos de cmputo, la redes de comunicaciones,
y asistir inmediatamente al gerente de operaciones cuando lo requiera.
Dentro delas responsabilidades que debe cumplir estn las siguientes:
-
71
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Asistente tcnico:
Logra que el usuario trabaje con su computadora de forma ptima mediante
soporte tcnico y asesoramiento sobre funcionamiento de sistema y redes.
Dentro delas responsabilidades que debe cumplir estn las siguientes:
-
Instalacin de software
Configuracin de internet
Soporte a usuario
Responsable: Juan Abanto Colinas
72
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Contabilidad
Dentro de esta rea se maneja una oficina ms que es ocupada por el
practicante de contabilidad, la razn de ser de la empresa se enfoca en esta
rea, ya que se trata de proteger una activo importante para la empresa, como
lo es la informacin y datos manejados en este departamento.
-
rea de Supervisin
-
rea de Seguridad
-
73
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
74
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Jefe de Informtica:
Se encarga de administrar los equipos de cmputo, la redes de comunicaciones,
y asistir inmediatamente al gerente de operaciones cuando lo requiera.
Dentro delas responsabilidades que debe cumplir estn las siguientes:
-
Asistente tcnico:
Logra que el usuario trabaje con su computadora de forma ptima mediante
soporte tcnico y asesoramiento sobre funcionamiento de sistema y redes.
Dentro delas responsabilidades que debe cumplir estn las siguientes:
-
Instalacin de software
Configuracin de internet
Soporte a usuario
Responsable: Juan Abanto Colinas
75
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
LOCAL DE LA EMPRESA
76
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
3 Seccin
2 Seccin
1 Seccin
77
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1 Seccin
Se encuentra la puerta y portn de entrada principal que da salida a la calle los
cedros, esta primera planta corresponde a la vivienda de los propietarios.
2 Seccin
Se encuentra las habitaciones correspondientes a la puerta y portn de entrada
principal que da salida a la calle los cedros, esta primera planta corresponde a la
vivienda de los propietarios.
3 Seccin
Se encuentran las oficinas donde se realizan las mayoras de actividades, las reas
gerenciales, el rea de contabilidad, el rea de supervisin, el rea de seguridad.
Figura N 2. 6 Plano de las oficinas de la empresa
Oficina Contable
Oficina Supervicin
1 m cuadr
1 m cuadr
Oficina de Seguridad
1 m cuadr
PC
PC
Bao
1 m cuadr
PC
2 m cuadr
PC
Porttil
78
IVONNE J ACKELINE,
URRUTIA LOZADA
PC
3 m cuadr
INGENIERA
DE
SISTEMAS
Hallazgos:
- Modem Zte Zxv10 W300: La navegacin es directa a internet, no se maneja un
proxy que gestione el acceso a pginas web.
- Router Cisco 1841 / Switch Cisco Catalyst 2950 : Carecen de medidas de
seguridad, solo tienen parmetros de fbrica.
- Wirelles activa sin seguridad.
- Todos los equipos de cmputo estn en el segmento de red 192.168.1.x
79
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
80
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Descripcin
- COMPAQ 15 CRT
- Pentium IV
- Procesador Intel d915gav
- 512 MB en Memoria
- Disco duro de 80GB
- Mouse Genius PS2
- Nestscroll
- -Teclado Genius PS/2
KB- 06x
- Parlante Genius SP-Q06
- Tarjeta red D-Link DFE530TX.
- Floppy 3.5 HD
- CD-ROM 52x
- Toshiba Satellite A40
SP151
- Procesador Mobile Intel
Pentium 4 a 2.80Ghz
- Memoria RAM 256MB
- Disco duro de 40GB
- DVD-ROM + cd-rw 24x
- Pantalla TFT de 15 Pulg
Cantidad
Unidad de
Valorizado
Medida
S/.
Unidad
1,750.00
Unidad
2,100.00
81
Total S/.
1,750.00
2,100.00
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Unidad
1,764.00
5,292.00
Unidad
2,200.00
6,600.00
Unidad
Impresora hp 2330
Unidad
Impresora Matricial
Epson lx300
Router Cisco 1841
Unidad
350
350.00
Unidad
899.00
899.00
Unidad
750.00
750.00
S/. 17,741.00
Estos son los equipos actuales con los que cuenta la empresa y como se observa en el
cuadro su precio en el cual estn valorizado y la inversin que represento su compra.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA
EL REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES J UVIER S.A.C
82
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Descripcin
- COMPAQ
- (Intel d915gav)
- Procesador Pentium IV
- 2.5 Ghz con 512 Mb de
Cache, Memoria RAM
512 GB, con Disco Duro
de 120 GB IDE, Tarjeta
de Video Intel, Grabador
de CD de 20X,
disquetera
Cantidad
rea
Daos
Contabilidad
En la fuente y en el
disco duro
Descripcin
Clon:
- Procesador Intel Dual
Core E22200 2.20
ghz
- Monitor LG LCD 17
1742 1280 x 1024
- Memoria Ramn
DDR2 de 2Gb
Kingston Bus
800Mhz
- Disco duro Samsung
160gb
- DVD-ROM + CD
RW
- Lector de memoria
- Tarjeta de video Intel
- Regulador de voltaje
CDP 220V
UPS
Tarjeta de red
Cantidad
Unidad
de
Medida
Efectivo S/.
Total S/.
Unidad
1,764.00
1,764.00
Unidad
170.00
170.00
Unidad
30.00
60.00
83
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
inalmbrica
Costo Total de Hardware
S/. 1,994.00
rea
Dominio
Aprueba las nuevas polticas de seguridad a ser
Gerencia
implantadas
Gerencia de Operaciones
Establece
polticas
de
Seguridad
de
la
rea
Lmites
Dominio
La gerencia de
operaciones.
84
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Descripcin
Cantidad
Unidad de
Efectivo S/.
Total S/.
1,764.00
Medida
Clon:
- Procesador Intel Dual
Core E22200 2.20 ghz
- Monitor LG LCD 17
1742 1280 x 1024
- Memoria Ramn DDR2 de
2Gb Kingston Bus
800Mhz
- Disco duro Samsung
160gb
- DVD-ROM + CD RW
- Lector de memoria
- Tarjeta de video Intel
- Regulador de voltaje CDP
220V
UPS
Unidad
1,764.00
Unidad
170.00
170.00
Unidad
30.00
60.00
S/. 1,994.00
Licencias
Sistema
Operativo
Nombre
Windows
7
Windows
2008
server
Herramientas Microsoft
Ofimticas
Office
Keiro
Wnroute
Versin
Profesional
Estndar
$
300
Valorizado
300.00
Total S/.
840.00
789
789.00
2,209.20
850.00
850.00
2010
6.5.2
35
35.00
85
112.00
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
S/ 4,011.20
Descripcin
Administrador de
Proyecto
Cantidad
1
N Meses
10
Total S/.
0.00
S/. 0.00
Descripcin
Cantidad
Unidad
Precio
de
Unitario
Valorizad
Medida
S/.
N Meses
Tota
l S/.
DVD s
Unidad
1.00
2.00
Papel A4
Millar
13.00
13.00
Varios
Unidad
20.00
20.00
Unidad
15.00
10
30.00
Movilidad
40
Unidad
1.00
Memoria
Unidad
35.00
Unidad
60.00
75 g
Fotocopias
tiles de
Escritorio
4
35
40.00
35.00
10
120.00
USB 4 GB
Cartuchos
de Tinta
Costo Total de Insumos
S/. 260.00
86
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Consumo
Artefacto
Watts
Kw
Cantidad
Horas/Da
Das/Mes
Mensual
Kw/h
Computadora
330
0.33
24
126.72
Impresora
200
0.2
24
19.2
145.92
Consumo Total Kw/h
S/. 50.14
S/. 200.56
S/.
Costo S/. Por Kw/h
0.3436
Consumo
Artefacto
Watts
Kw
Cantida
Horas/
Da
Das/Mes
Mensual
Kw/h
Computadora
330
0.33
24
126.72
Impresora
200
0.2
24
19.2
87
S/. 50.14
S/. 601.66
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Costo
Descripcin
Costo Mes
Directo
N Veces
Personas
Total (S/.)
Al Ao
Servicio tcnico
S/. 30.00
S/. 30.00
90.00
Contingencia
S/.200.00
S/. 200.00
400.00
Otros
S/.100.00
S/. 100.00
200.00
s/. 690.00
Descripcin
Cantidad
Mensual
1
DVD s
Unidad
de
Medida
Unidad
N Veces
Al Ao
3
Precio
Unitario
S/.
1.00
Total
S/.
3.00
Papel A4 75 gr
Millar
20.00
40.00
tiles de Escritorio
Otros
30.00
150.00
Memoria USB 2 GB
Unidad
30.00
120.00
Cartuchos de Tinta N 40
Unidad
40.00
240.00
Cartuchos de Tinta N 41
Unidad
40.00
240.00
s/. 793.00
Concepto
Inversin Inicial
Dep. Ao 1
Dep. Ao 2
Dep. Ao 3
Hardware
1,944.00
1,850.00
1,600.00
1,500.00
Software
4,011.20
3,911.20
3,911.20
3,911.20
S/ 5,955.20
S/ 5,761.20
S/ 5,511.20
S/ 5,411.20
Total
88
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Resumen de Costos:
Tabla N 2. 26 Resumen de Costos
Anual
6,005.20
Costo de Desarrollo
460.56
Costo de Operacin
2,084.66
Total
S/. 6,465.76
S/. 2,084.66
N
Descripcin
Cantidad
Unidad
Compras
Costo
Subtotal
Mensual
Medida
Por Ao
Mensual
Anual
Ahorro en compra de
Millar
15
20.00
300.00
12
Otros
12
50.00
600.00
papel
Ahorro en horas
extras
Total de Beneficios Tangibles
S/. 900.00
Descripcin
1.-Costos de Inversin
A.- Costos de Hardware
B.- Costos de Software
Ao 0
2011
Ao 1
2012
Ao 2
2013
Ao 3
2014
1,944.00
4,011.20
0.00
260.00
200.56
89
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
S/. 460.56
BENEFICIO TOTAL
601.66
601.66
601.66
690.00
793.00
S/. 1,850.00
690.00
793.00
1,850.00
690.00
793.00
1,500.00
S/. 3,584.66
300.00
600.00
300.00
600.00
300.00
600.00
S/. 900.00
S/. 900.00
S/. 900.00
BENEFICIO NETO
S/. 6,465.76
S/. 3,034.66
S/. 2,784.66
S/.2,684.66
Flujo de Caja
Acumulado
S/. 6,465.76
S/. 3,034.66
S/. 2,784.66
S/.2,684.66
Cargo
Encuestados
Gerente general
Gerente de operaciones
Fernndez Antonio
Contabilidad
Beltran Cecilia
Supervisin
90
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
91
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
92
IVONNE J ACKELINE,
URRUTIA LOZADA
FASE II
ANLISIS DE RIESGOS
INGENIERA
DE
SISTEMAS
1.Activos
2.Amenazas
3. Salvaguardas
4.Estado de riesgo
Esta segunda fase del proceso es el ncleo central de Magerit y su correcta aplicacin
condiciona la validez y utilidad de todo el proyecto. La identificacin y estimacin de
los activos y de las posibles amenazas que les acechan representa una tarea compleja.
A2.1: Caracterizacin de los activos
El punto de partida de este proceso es la documentacin del anterior referente a
los objetivos del proyecto, los planes de entrevistas, la composicin y reglas de
actuacin del equipo de participante (comit de informtica) y el plan de trabajo
mostrado de la situacin actual de la empresa.
T2.1.1: Identificacin de los activos
Tabla N 2. 32 Identificacin de los activos
94
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tangibles
Categoria
Descripcin
Lptop
Equipos
Equipos de sobremesa
Informticos Impresoras
Scanners
Equipo de red (router)
CDS DVDS
Soportes de
Dispositivo USB
informacin
Documentos impresos
Diskette
Equipamiento Instalaciones
Auxiliar
Corriente elctrica
Cdigo
LAP
PCS
IMP
SCA
EQR
CDV
USB
DOI
DIS
INS
COE
Intangibles
Descripcin
Internos
A clientes
Servicios/Personal A terceros
Correo electrnico
Intercambio electrnico de
datos
Vitales
De inters comercial
Datos/Informacin De inters administrativo
Confidenciales
De difusin limitada
Software ofimtico
Aplicaciones
Sistema PDT
Categora
95
Cdigo
INT
CLI
TER
EMA
EDI
VIT
COM
ADM
CON
DDL
SOF
PDT
IVONNE J ACKELINE,
URRUTIA LOZADA
Redes
INGENIERA
Navegadores web
Antivirus
Telefnica / Internet
Red privada virtual
DE
SISTEMAS
BRO
ANT
INT
VPN
96
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
LAP
PCS
IMP
SCA
EQR
CDV
USB
DOI
DIS
INS
COE
LAP PCS IMP SCA EQR CDV USB DOI DIS INS COE
LAP
PCS
IMP
CD
V
SCA
EQ
R
DIS
US
B
DO
I
IN
S
CO
E
97
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Una vez identificados los activos, as como tambin las relaciones de dependencias
entre los mismos, fue necesario identificar y documentar el valor que su seguridad
representa para JUVIER. Para ello, se asign un conjunto de valores para cada
activo teniendo en cuenta las diferentes dimensiones de seguridad (Disponibilidad,
Integridad, Confidencialidad. La valoracin se ha realizado a travs de una
ponderacin de las prdidas ocasionadas para la entidad en caso de que se pierda,
debido a la realizacin de una amenaza, cada una de los dimensiones de seguridad
definidos para los diferentes activos de informacin.
98
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
10
7-9
4-6
1-3
0
valor
muy alto
alto
medio
bajo
despreciable
criterio
dao muy grave a la organizacin
dao grave a la organizacin
dao importante a la organizacin
dao menor a la organizacin
Irrelevante a efectos prcticos
Activos
Laptop
Equipos de sobremesa
Impresoras
Scanners
Equipos de red(router)
CDS DVDS
dimensiones de
seguridad
[D]
[I]
[C]
(1)
(2)
[5]
[5]
[6](3)
[5](4)
[5](5)
[6](6)
(7)
[3]
[3](8)
[5](9) [6](10 ) [6](11 )
[4](12 )
[4](13 )
Dispositivo USB
Documentos impresos
[3](14 )
[5](15 )
Diskette
Instalaciones
[3](18 )
[5](19 )
Corriente elctrica
[6](20 )
[5](16 )
[6](17 )
99
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
100
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
101
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
2. Anlisis de riesgos
1.Activos
2.Amenazas
4.Estado de riesgo
3.Salvaguardas
102
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Activos Tangibles
Categora
Descripcin
Cdigo
Incendio
DNI
Desastres
Inundaciones
DNN
Naturales
Derrumbes
DND
Terremotos
DNT
Variacin en la tensin de la
OIV
Origen Industrial
corriente
Corte del suministro elctrico
OIE
Polvo
OIP
Errores y Fallos
EFA
no Intenciones
ECS
agotamiento de recursos
Errores de Mantenimiento de
EMH
equipos de hw
Fallos en los equipos
EFE
Ataques
Robo
AIR
Intencionados
Uso no previsto
AIU
103
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Activos Intangibles
Categora
Errores y
Fallos no
Intencionados
Ataques
Descripcin
Cdigo
Errores de los
usuarios/administrador
Deficiencias en la organizacin
EUA
Escapes de informacin
EEI
Alteracin de la informacin.
EAI
Errores de mantenimiento/
actualizacin de programas
(Software)
Cada del sistema por agotamiento
de recurso
Indisponibilidad del personal
EMS
Manipulacin de programas no
autorizados
Suplantacin de la identidad del
usuario
Difusin de software daino
AMU
EDO
ECS
EIP
ASI
ADS
AUN
ADI
Robo de informacin
ARO
Ingeniera social
AISO
Manipulacin de la configuracin
AMC
104
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
AMENAZAS
DNI
DNN
DND
DNT
OIV
LAP
X
X
X
X
PCS
X
X
X
X
X
IMP
X
X
X
X
X
SCA
X
X
X
X
X
EQR
X
X
X
X
X
CDV
X
X
X
X
X
USB
X
X
X
X
X
DOI
X
X
X
X
X
DIS
X
X
X
X
X
INS
X
X
X
X
X
COE
X
X
X
X
X
X
OIE
OIP
EFA
ECS
EMH
EFE
AIR
AIU
DNI
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
105
X
X
X
X
X
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Sabiendo que existen una serie de posibles agravantes, como se describe en la Matriz n
2.2. Para cada amenaza sobre cada activo conviene registrar la siguiente informacin:
estimacin de la frecuencia de la amenaza
estimacin del dao (degradacin) que causara su materializacin
entrevistas realizadas de las que se han deducido las anteriores estimaciones
T2.2.2: Valoracin de las amenazas
Tabla N 2. 42 Valoracin de las amenazas
106
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Establecimiento de Parmetros:
Tabla N 2. 43 Criterios para evaluacin de la frecuencia de ocurrencia
MF
F
N
PF
Criterios de Evaluacin
Frecuencia
Criterio
Muy frecuente
1
Semanal
Frecuente
0,1
Mensualmente
Normal
0,01
Una vez al ao
Poco frecuente
0,001
Cada varios aos
A
M
B
Criterios de Evaluacin
Impacto
Alta
90
Media
50
Baja
10
Criterio
Semanal
Mensualmente
Una vez al ao
A
M
B
Cdigo
Activos
90
50
50
50
90
50
10
Valor
Equipos Informticos
Soportes de informacin
Equipamiento Auxiliar
Servicios/Personal
Datos/Informacin
Aplicaciones
Redes
Total
5000
1000
2500
1000
5000
2500
1000
S/.18,000
107
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
activos con que cuenta la empresa estn valorizados en s/.18,000 no se excede a los
ingresos mensuales, sino equipara el valor de su ganancia mensual, entonces estas
seran las perdidas si no se resguardaran dichos activos, en caso de estar propenso a un
tipo de amenaza.
Cdigo
Amenazas
Vulnerabilidades Impacto
A1
A2
A3
A4
A5
Incendio
Inundaciones
Derrumbes
Terremotos
Variacin en la tensin de
la corriente
Corte del suministro
elctrico
Polvo
Errores del Administrador
Cada del sistema por
agotamiento de recursos
Errores de Mantenimiento
de equipos de hw
Fallos en los equipos
Robo de equipos
informticos
Uso no previsto
Total
PF
PF
PF
PF
N
0,001
0,001
0,001
0,001
0,01
A
A
A
A
B
90
90
90
90
10
18000
18000
18000
18000
18000
Riesgo
Intrnseco
16,2
16,2
16,2
16,2
18
PF
0,001
10
18000
1,8
N
PF
PF
0,01 M
0,001 A
0,001 M
50
90
50
18000
18000
18000
90
16,2
9
0,01 M
50
18000
90
A6
A7
A8
A9
A10
A11
A12
A13
Activos
F
PF
0,1
0,001
A
A
90
90
18000
18000
1620
16,2
PF
0,001
10
18000
s/234000
1,8
s/1,927,8
108
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
El riesgo intrnseco es el estudio que se realiza sin tener en consideracin las diferentes
medidas de seguridad que puedan ser implementadas en la empresa.
Se obtiene una valoracin total de s/1,927.80, lo que quiere decir esa suma sera la
prdida econmica de la empresa si no se implementar controles adecuados para llevar
las amenazas identificadas a un nivel de riesgo asumible.
Tabla N 2. 48 Descripcin del impacto para activos intangibles
Cdigo
Amenazas
A14
Deficiencias en la organizacin
A15
Escapes de informacin
PF
A16
Alteracin de la informacin.
PF
A17
Errores de mantenimiento/
actualizacin de programas (Software)
A18
PF
MF
A19
Vulnerabilidad
Impacto
A20
Manipulacin de programas no
autorizados
MF
A21
PF
A22
MF
A23
Uso no previsto
MF
A24
Divulgacin de informacin
PF
A25
A26
PF
PF
A
M
A27
Manipulacin de la configuracin
109
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
2. Anlisis de riesgos
1.Activos
2.Amenazas
3.Salvaguardas
4.Estado de riesgo
110
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
calificacin se tom en cuenta por decisin del comit de informtica ,se quiere evitar
esta prdida y lograr disminuir el impacto a M=medio que dicho incidente como
mnimo ocurra mensualmente.
Tabla N 2. 50 Salvaguarda por amenaza identificada
Amenazas
Control
A1
A2
A3
A4
A5
A6
A7
A8
A9
A10
A11
A12
A13
S1
S1
S1
S1
S2
S2
S2
S3
S4
S5
S5
S6
S7
Vulnerabilidad
Criterio
Impacto
A
90
A
90
A
90
A
90
M
50
M
50
M
50
B
10
B
10
A
90
A
90
A
90
B
10
Dism. Impacto
Criterio
Impacto
M
50
M
50
M
50
M
50
B
10
B
10
B
10
B
10
B
10
B
10
B
10
M
50
B
10
Amenazas
A1
A2
A3
A4
Control
Incendio
Inundacin
Derrumbes
Terremotos
Justificacin
Impacto
A
A
A
A
Frecuencia
PF
PF
PF
PF
111
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
amenaza, incendio
de oficina.
A5
Variacin en la tensin
de la corriente
Corte del suministro
Elctrico
Polvo
Errores del
administrador
Cada del sistema por
agotamiento de recursos
PF
N
PF
Errores por
mantenimiento de hw
Fallos en los equipos
A12
Robo de Equipos
Informticos
PF
A13
A14
Uso no previsto
Deficiencias en la
organizacin
Escapes de informacin
Alteracin de la
informacin.
Errores de
mantenimiento/
actualizacin de
programas (Software)
Cada del sistema por
agotamiento de recurso
Indisponibilidad del
personal
Manipulacin de
programas no
autorizados
B
M
PF
F
M
M
PF
PF
PF
MF
MF
Suplantacin de la
identidad del usuario
Difusin de software
PF
MF
A6
A7
A8
A9
A10
A11
A15
A16
A17
A18
A19
A20
A21
A22
B
PF
M
112
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
IVONNE J ACKELINE,
URRUTIA LOZADA
A23
A24
A25
A26
A27
daino
Uso no previsto
INGENIERA
MF
Divulgacin de
informacin
Robo de Informacin
PF
PF
Ingeniera social
Manipulacin de la
configuracin
M
A
PF
F
DE
SISTEMAS
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
Cdigo
amenaza
A1
A2
Amenazas
Incendio
Inundaciones
Cdigo Descripcin
control
S1
Este control exige que se proteja la
informacin sensible mediante un
almacenamiento seguro, el depsito
de copias de respaldo fuera de las
instalaciones de la organizacin, los
medios de almacenamiento
separables, y los procesos de
eliminacin de informacin sensible o
de sus medios de almacenamiento.
S1
Este control exige que se proteja la
informacin sensible mediante un
almacenamiento seguro, el depsito
de copias de respaldo fuera de las
instalaciones de la organizacin, los
medios de almacenamiento
separables, y los procesos de
eliminacin de informacin sensible o
de sus medios de almacenamiento.
113
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
A3
Derrumbes
S1
A4
Terremotos
S1
A5
Variacin en la
tensin de la corriente
S2
A6
S2
A7
Polvo
S2
A8
Errores del
Administrador
S3
A9
S4
S5
A10
A11
S5
DE
SISTEMAS
114
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
A12
Robo de Equipos
Informticos
S6
A13
Uso no previsto
S7
A14
Deficiencias en la
organizacin
S8
A15
Escapes de
informacin
S9
A16
Alteracin de la
informacin.
S10
DE
SISTEMAS
115
IVONNE J ACKELINE,
URRUTIA LOZADA
A17
INGENIERA
Errores de
mantenimiento/
actualizacin de
programas (Software)
Cada del sistema por
agotamiento de
recurso
Indisponibilidad del
personal
S11
Manipulacin de
programas no
autorizados
Suplantacin de la
identidad del usuario
S14
A22
Difusin de software
daino
S16
A23
Uso no previsto
S17
A24
Divulgacin de
informacin
S18
A25
Robo de Informacin
S19
Ingeniera social
S20
Manipulacin de la
configuracin
S21
A18
A19
A20
A21
S12
S13
S15
A26
A27
DE
SISTEMAS
116
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Se han identificado controles para cada amenaza existente, con el fin de implantar en la
empresa dichos controles y se lleven el impacto del riesgo a niveles asumibles por la
empresa.
Utilizando
los
estndares
de
las
117
normas
ISO
27002.
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
2. Anlisis de riesgos
1.Activos
2.Amenazas
3.Salvaguardas
4.Estado de riesgo
118
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Activos
A1
Amenazas
Incendios de
oficina
A2
0,001
90
A3
A4
Manipulacin
Fallas en
de programas Indisponibilidad
los
no
del personal
equipos
autorizados
Riesgo
intrnseco
0,1
0,01
0,01
por activo
90
50
90
90
90
50
90
50
10
10
10
4,5
0,9
2,25
0,9
4,5
2,25
0,9
16,2
450
90
225
90
450
225
90
1620
25
5
12,5
20
25
12,5
5
105
45
9
22,5
9
45
22,5
9
162
119
524,5
104,9
262,25
119,9
524,5
262,25
104,9
1,903.2
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Activos
Amenazas
cdigo
90
50
50
50
90
50
10
Valor
del
activo
Vulnerabilidad
(%)
Impacto (%)
Disminucin de
vulnerabilidad
(%)
Disminucin de
impacto (%)
A1
A2
A3
A4
Incendios
de oficina
Fallas en Manipulacin
Indisponibilidad
los
de programas no
del personal
equipos autorizados
0,001
0,1
0,01
0,01
90
90
50
90
90
90
50
90
50
10
10
10
2,5
0,5
1,25
0,5
2,5
1,25
0,5
9
50
10
25
10
50
25
10
180
5
1
2,5
1
5
2,5
1
18
5
1
2,5
1
5
2,5
1
18
120
Riesgo residual
por activo
62,5
12,5
31,25
12,5
62,5
31,25
12,5
225
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
121
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Riesgos
Equipos Informticos
Soportes de informacin
Equipamiento Auxiliar
Servicios/Personal
Datos/Informacin
Aplicaciones
Redes
Activos
Riesgo
Equipos Informticos
Soportes de informacin
Equipamiento Auxiliar
Servicios/Personal
Datos/Informacin
Aplicaciones
Redes
Activos
122
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Activos
Equipos Informticos
Datos/Informacin
Equipamiento Auxiliar
Aplicaciones
Soportes de informacin
Servicios/Personal
Redes
A mayor Impacto
A mayor Riesgo
A1
A2
A3
A4
90
90
50
90
4,5
450
25
45
524,5
0,9
90
5
9
104,9
2,25 225 12,5 22,5
262,25
0,9
90
20
9
119,9
4,5
450
25
45
524,5
2,25 225 12,5 22,5
262,25
0,9
90
5
9
104,9
Leyenda:
A1: Incendios de oficina
A2: Fallas en los equipos
A3: Manipulacin de programas no autorizados
A4: Indisponibilidad del personal
90: valor s/. 5,000
50: valor s/.1,000
Resultados:
El grupo de activos Equipos Informticos y Datos / Informacin presentan la
estimacin de costos de lo que se perdera si se materializan las amenazas en los
mencionados grupos de activos.
Equipos Informticos identifica un riesgo total de s/524,5 en caso de que las 4
amenazas identificadas como prioritarias en caso que se materialicen en las
diferentes amenazas, dependiendo del momento en que se origine y de la
severidad de los daos, a mayor impacto ms prdidas para la empresa.
Datos/informacin identifica un riesgo de s/104,9 el cual se pueda ver
perjudicada la empresa en caso de que se materialicen las diferentes amenazas,
dependiendo del momento en que se origine y de la severidad de los daos, a
mayor impacto ms prdidas para la empresa.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL
REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES J UVIER S.A.C
123
IVONNE J ACKELINE,
URRUTIA LOZADA
FASE III
GESTIN DE RIESGOS
INGENIERA
DE
SISTEMAS
1. toma de decisiones
2. plan de seguridad
125
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Activos
A mayor Impacto
A1
90
Equipos Informticos
4,5
Datos/Informacin
0,9
Equipamiento
2,25
Auxiliar
Aplicaciones
0,9
Soportes de
4,5
informacin
Servicios/Personal
2,25
Redes
0,9
A2 A3
A4
90
50
90
450 25
45
90
5
9
225 12,5 22,5
90
450
20
25
A mayor
Riesgo
524,5
104,9
262,25
C
C
A
119,9
524,5
A
A
262,25
104,9
A
A
9
45
Calificacin
riesgo
C= Es critico en el sentido de que requiere atencin urgente y hay que reducir el riesgo.
G=Es grave en el sentido de que requiere atencin.
A=Es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento.
AS=Es asumible en el sentido de que no se van a tomar acciones para atajarlos.
Todas las decisiones son propuestas por el comit de informtica, oda la opinin de la
Gerente General. Todas las decisiones son adoptadas por el comit de informtica.
126
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Conclusin Final
Valor Activo
Riesgo Intrnseco
s/.18,000
s/ 1,903.2
s/.18,000
s/ 1,903.2
Total
Riesgo Residual
s/ 225
s/ 225
Conclusin Final
Total
18,000
Valor Activo
1,903.2
225,00
Riesgo Intrnseco
Riesgo Residual
En esta tabla podemos apreciar el total de valores activos que representan a la empresa
en los cuales nos hemos basados para hacer el presente trabajo, el cual expresa los activos
con que cuenta la empresa un valor activo de s/.18, 000 mientras que el riesgo intrnseco,
aquel riesgo al que se expone la empresa es de s/ 1,903.2y a su vez el riesgo residual,
aquel riesgo esperado despus de la implementar controles es s/ 225 que muestra de ello
minimiza los riesgos informticos de la empresa.
127
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Reuniones
Participante
El promotor del proyecto
El comit de informtica
Especialista en Seguridad
128
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Para cada actividad se ha elaborado una breve descripcin (objetivo), las tareas a
ser desarrolladas (etapas), la relacin de activos, un tiempo estimado de duracin ,un
alcance de posible solucin, y el control(poltica) . El tiempo estimado para el
desarrollo de cada etapa debe ser revisado antes de iniciar la misma y puede sufrir
variaciones de acuerdo a dicha evaluacin final.
Segn los datos establecidos en la Tabla N 2.62 Calificacin de impactos y riesgos:
Tabla N 2. 62 Resumen de calificacin de impactos y riesgos
Activos
Equipos
Informticos
Datos/Informacin
A mayor Impacto
A1
90
4,5
0,9
A2 A3
90
50
450 25
90
A mayor
Riesgo
Calificacin
riesgo
A4
90
45
524,5
104,9
Nos vamos a basar en actividades que nos permitan minimizar el impacto de riesgo para
esos 2 grupos de activos principales ya que son de carcter crtico, es decir de que se
requiere atencin urgente.
129
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 63 Actividad 1
Objetivo
Plan de Recuperacin.
- Actividades antes del desastre
- Formacin de equipos operativos, mediante la
designacin de responsables de seguridad de la
informacin en cada rea.
- Formacin de equipos de evaluacin para realizar la
auditoria de procedimiento de seguridad.
- Actividades durante el desastre
- Plan de emergencias
- Formacin de equipos
130
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Estndar ISO
27002
Procedimientos
Existentes
Politicas ,
Normas y
procedimientos
Polticas de la Empresa
Responsabilidades
El Gerente de operaciones, es responsable de implantar y tambin es
responsable de evaluar, adquirir e implantar productos de seguridad
informtica, As mismo promover constantemente la importancia de la
seguridad a todos los usuarios de los sistemas de informacin.
Buenas Prcticas
131
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 64 Actividad 2
Objetivo
Etapas
Estndar ISO
27002
-
132
IVONNE J ACKELINE,
URRUTIA LOZADA
Politicas ,
Normas y
procedimientos
INGENIERA
DE
SISTEMAS
Polticas de la Empresa
Funcionamiento de los equipos de cmputo
Artculo 20.- Los empleados de la empresa al usar el equipo de
cmputo, se abstendrn de consumir alimentos, fumar o realizar actos
que perjudiquen el funcionamiento del mismo o deterioren la
informacin almacenada en medios magnticos, pticos, o medios de
almacenamiento removibles de ltima generacin.
Artculo 21.- Por seguridad de los recursos informticos se deben
establecer seguridades:
- Fsicas
- Sistema Operativo
- Software
- Comunicaciones
- Base de Datos
- Proceso
- Aplicaciones
Buenas Prcticas
Mantenimiento correctivo:
- Asistencia del rea de Gerencia de Operaciones :
Asistente Tcnico
- Directorio de proveedores especializados que puedan
resolver el respecto en menor tiempo posible
Mantenimiento preventivo:
- Debe darse mantenimiento a los equipos de cmputo en
una periodicidad (semanal o quincenal)
- Adquisicin de un sistema de alimentacin
ininterrumpido (UPS)
133
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 65 Actividad 3
Objetivo
Etapas
- - Elaboracin
Elaboracindedeununinventario
inventariode
de activos
activos de
de informacin
incluyendo
incluyendo
informacin
informacin
almacenada
almacenada
enen
medios
mediosdigitales
digitalese
informacin
impresa.
e informacin
impresa.
. Inventario de activos de informacin y/o aplicaciones
- -Registro
Registro
de activos
de activos
de informacin
de informacin
- -Identificacin
Identificacin
deldel
propietario
propietario
(persona
(persona
responsable)
responsable)
- Revisin
peridica
del
inventario
- Revisin peridica del inventario
. Inventario de aplicaciones
- Registro de aplicaciones
- Registro de sistemas operativos y software de base
- Identificacin del propietario (persona responsable)
- Revisin peridica del inventario
- Para cada activo se debe identificar a su propietario, as
como su valor e importancia en trminos cuantitativos o
cualitativos, en funcin de los requisitos de, integridad,
confidencialidad y disponibilidad que le son aplicables. Esta
informacin es crucial, pues facilita el anlisis y gestin de
riesgos y, por tanto sirve, para determinar las medidas de
seguridad proporcionadas.
. En relacin con los activos de tipo informacin, se debe
documentar a qu usuarios se autoriza el acceso y los
atributos relacionados con el referido acceso
134
IVONNE J ACKELINE,
URRUTIA LOZADA
Politicas ,
Normas y
procedimientos
INGENIERA
DE
SISTEMAS
Polticas de la Empresa
Artculo 22.- Toda salida de informacin (en soportes informticos o
por correo electrnico) slo podr ser realizada por personal autorizado
y ser necesaria la autorizacin formal del responsable del rea del que
proviene.
Artculo 23.- Adems, en la salida de datos especialmente protegidos
(como son los datos de carcter confidencial para los que el reglamento
requiere medidas de seguridad de nivel alto), se debern cifrar los
mismos o utilizar cualquier otro mecanismo que garantice que la
informacin no sea inteligible ni manipulada durante su transporte.
Buenas Prcticas
135
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 66 Actividad 4
Objetivo
Etapas
Estndar ISO
27002
136
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Polticas de la Empresa
Artculo 22.- Toda salida de informacin (en soportes informticos o por
correo electrnico) slo podr ser realizada por personal autorizado y s er
necesaria la autorizacin formal del responsable del rea del que proviene.
Artculo 23.- Adems, en la salida de datos especialmente protegidos
(como son los datos de carcter personal para los que el Reglamento
requiere medidas de seguridad de nivel alto), se debern cifrar los mismos
o utilizar cualquier otro mecanismo que garantice que la informacin no
sea inteligible ni manipulada durante su transporte.
Buenas
Prcticas
Normas NAGU
- 5005-01 Organizacin del rea de Informtica
06. Corresponde a la direccin de la entidad aprobar
polticas que permitan organizar apropiadamente el rea de
informtica y asignar los recursos cualificados y equipos de
computacin necesarios que apoyen los procesos de gestin
institucional, a costos razonables.
137
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 67 Actividad 5
Etapas
-
138
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ACTIVIDAD
MES
1
MES
2
MES
3
MES
4
MES
5
MES
6
MES
7
MES
8
MES
9
MES
10
Proteccin de
Instalaciones
Seguridad de
equipos de
cmputo
Manipulacin de
programas no
autorizados
Indisponibilidad
del personal
Revisin y
adaptacin de
procedimientos
complementarios
Nota: La duracin de los proyectos est sujeta a variacin de la situacin existente y el anlisis realizo previo a cada actividad.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL REA DE GERENCIA DE
IVONNE J ACKELINE,
139
OPERACIONES DE LA EMPRESA DE TRANSPORTES J UVIER S.A.C
URRUTIA LOZADA
CAPTULO III
CONTRASTACIN
INGENIERA
DE
SISTEMAS
b) Hiptesis Estadsticas:
Hiptesis : El nmero de riesgos de la informacin en la empresa JUVIER
S.A.C con el plan actual es menor que el nmero de riesgos de la informacin
en la empresa JUVIER S.A.C con el plan propuesto.
=
Hiptesis : El nmero de riesgos de la informacin en la empresa JUVIER
S.A.C con el plan propuesto es menor que el nmero de riesgos de la
informacin en la empresa JUVIER S.A.C con el plan actual.
= >
c) Nivel de Significancia:
El nivel de significancia de significancia () escogido para la prueba de la
hiptesis ser del 5%. Por lo tanto el nivel de confianza (1 = 0.95) ser
del 95%.
d) Estadgrafo de Contraste:
Puesto que n=30 es pequeo, usaremos la distribucin normal (T student) para
la presente toma de datos se utiliz los reportes de los cuadros de distribucin
de la empresa JUVIER S.A.C
141
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
0
1
1
1
1
0
1
2
1
1
0
1
3
1
0
0
1
4
1
0
0
1
5
1
0
1
0
6
1
0
0
1
7
1
0
0
1
8
1
0
0
1
9
1
0
0
1
10
1
0
1
0
11
1
0
0
1
12
1
0
0
1
13
1
1
0
1
14
1
1
0
1
15
1
1
0
1
16
1
1
1
0
17
1
0
0
1
18
1
0
0
1
19
1
0
1
0
20
1
0
0
1
21
1
1
0
1
22
1
1
0
1
23
1
0
0
1
24
1
0
0
1
25
1
0
0
1
26
1
0
0
1
27
1
1
0
1
28
1
1
0
1
29
1
0
1
0
30
1
0
30
10
5
25
=
Definicin de Variables del Indicador 01
142
)
(
1
1
1
1
1
0
1
1
1
1
0
1
1
1
1
1
0
1
1
0
1
1
1
1
1
1
1
1
1
0
25
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
= ,
()
= .
()
Clculo T
. ()
.
.
= .
.
e) Regin de Rechazo:
Para la = 0.05, en la Fig N 3.2 encontramos = 1.97.
Entonces la regin crtica de la prueba c =< 1.97, >
143
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
f) Conclusin:
En la figura N 3.1 podemos ver la regin de aceptacin y rechazo para la
prueba de hiptesis: El nmero de riesgos informticos en la empresa JUVIER
S.A.C
Figura N 3. 1 Regla de decisin para una prueba de 1 cola
Anlisis estadstico
Para comprobar la conformidad de los valores obtenidos en la contrastacin del
indicador 1 se realiz la comprobacin con el Excel.
En conclusin se rechaza la hiptesis nula y se acepta la alternativa.
144
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
REPORTE ESTADSTICO
145
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
146
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
M Puntaje Puntaje
Total
Promedio
niveles de seguridad de 0
1.25
1.25
1.5
1.25
Preguntas
Como se siente con los
Manejo de la
Informacin
la informacin
2
la
informacin
que 0
usted utiliza es
3
El plan de seguridad de
Como
considera
tu
para
salvaguardar
la
informacin
4
como
consideras
eficiencia
de
controles
salvaguardar
la
los 0
para
la
informacin
5
Como considera
el
147
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
M Puntaje Puntaje
Total
Promedio
niveles de seguridad de 1
12
14
3.5
13
3.25
14
3.5
13
3.25
Preguntas
Como se siente con los
Manejo de a la
Informacin
la informacin
2
El plan de seguridad de
la
informacin
que 2
usted utiliza es
3
Como
considera
tu
actual
para
salvaguardar
la
informacin
4
como
consideras
eficiencia
de
controles
salvaguardar
la
los 2
para
la
informacin
5
Como considera
el
148
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
PA
PP
1.25
-175
3.06
1.25
3.5
-2.25
5.06
1.5
3.25
-1.75
3.06
1.25
3.5
-2.25
5.06
3.25
-1.25
1.56
7.25
16.5
9.5
17.08
Preguntas
Manejo de a la
Informacin
149
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
.
= .
(. ) . .
=
= .
()
Calculo T
=
. ()
.
.
= .
.
a) Regin de Rechazo:
Para la = 0.05, en la figura 3.3 encontramos = 1.9.
Entonces la regin critica de la prueba c =< 1.9678, >
b) Conclusin:
En el grfico podemos ver la regin de aceptacin y rechazo para la prueba de
hiptesis: el nivel de satisfaccin del usuario en la empresa JUVIER S.A.C.
150
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
151
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
152
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
M Puntaje
Total
Promedio
te 0
1.5
Preguntas
Como
1
consideras
informacin
Manejo de a la
Informacin
brindan
Puntaje
la
que
en
las
capacitaciones
2
las
estrategias
orientas
que
en
la 0
capacitacin son
3
Como
considera
tu
despus de la
Requerimientos de la capacitacin
capacitacin
como
consideras
eficiencia
prcticos
los
la
casos 0
en
la
capacitacin
5
cubre 0
153
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
M Puntaje Puntaje
Total
Promedio
te 1
13
3.25
16
13
3.25
14
3.5
13
3.25
Preguntas
Como
1
consideras
informacin
que
brindan
Manejo de a la
Informacin
la
en
las
capacitaciones
2
las
estrategias
orientas
que
en
la 4
capacitacin son
3
Como
considera
tu
Requerimientos de la capacitacin
actual
despus de la
capacitacin
4
como
consideras
eficiencia
los
prcticos
la
casos 2
en
la
capacitacin
5
cubre 1
154
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
PA
PP
3.25
-2.25
5.06
-3
1.5
3.25
-1.75
3.06
3.5
-2.5
6.25
3.25
-1.25
1.56
6.5
17.25 10.75
Preguntas
Manejo de a la
Informacin
Requerimientos de la
capacitacin
5
=
24.93
155
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
.
= .
(. ) . .
=
=
= .
()
Calculo T
. ()
.
.
= .
.
c) Regin de Rechazo:
Para la = 0.05, en la figura 3.6 encontramos = 1.9.
Entonces la regin critica de la prueba c =< 1.9678, >
d) Conclusin:
En el grafico podemos ver la regin de aceptacin y rechazo para la prueba de
hiptesis: el nivel de capacitacin del usuario en la empresa JUVIER S.A.C.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL
REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES J UVIER S.A.C
156
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
157
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO IV
DISCUSIN DE LOS
RESULTADOS
INGENIERA
DE
SISTEMAS
Total
Porcentaje Total
Porcentaje
incidencias (%)
incidencias (%)
(Unid.)
(Unid.)
30
100%
5
6%
Decremento
Total
Porcentaje
incidencias (%)
(Unid.)
25
94%
159
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Incremento
Puntaje
Porcentaje Puntaje
Porcentaje Puntaje
Porcentaje
(1-4)
(%)
(1-4)
(%)
(1-4)
(%)
1.45
36.25%
3.3
82.5%
1.85
46.25%
Se puede observar que el indicador del nivel del promedio de satisfaccin del usuario
final con el plan actual es de 1.45 y el nivel del promedio del usuario final con el
plan propuesto es de 3.3 sobre una escala 1 a 4 puntos. Lo que representa un
incremento de 1.85 puntos y en porcentaje 46.25 %
3.5
Nivel de satisfaccion
3
2.5
2
1.5
1.45
0.5
0
Plan Actual
Plan Propuesto
160
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Puntaje
Porcentaje Puntaje
Porcentaje
(1-4)
(%)
(1-4)
(%)
1.3
27.37%
3.45
72.63%
Incremento
Puntaje
Porcentaje
(1-4)
(%)
2.15
45.26%
161
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO V
CONCLUSIONES Y
RECOMENDACIONES
INGENIERA
DE
SISTEMAS
La Fase inicial
5. El nivel de capacitacin promedio de los usuarios con una escala del (1-4), con el
plan actual es de 1.3 (27.37%), con el plan propuesto es de 3.45 (72.63%) por lo
tanto se obtiene un incremento 2.15 (45.26%) puntos.
163
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO V
RECOMENDACIONES
INGENIERA
DE
SISTEMAS
165
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO VI
REFERENCIAS
BIBLIOGRFICAS
INGENIERA
DE
SISTEMAS
A Nivel Nacional
lvarez, Guadalupe Ramrez R. & Ezzard. 2003. Auditoria a la Gestin de las
Tecnologas y Sistemas de Informacin. Lima : s.n., 2003.
Crdova Rodrguez, Norma Edith. 2003. Plan de Seguridad Informtica para una
Entidad Financiera (2003). Lima : s.n., 2003.
A Nivel Internacional:
Juan Manuel Matalobos Veiga. 2009. Anlisis de Riesgos de Seguridad de la
Informacin. Espaa : s.n., 2009.
Grupo ENISA. 2007. Methodology for evaluating usage and comparison of risk
assessment and risk management items. . Espaa : s.n., 2007.
167
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
LIBROS
Bertoln, Javier Areitio. 2008. Seguridad de la Informacin. Madrid : Paraninfo, 2008.
CERT. 2008. CERT. [En lnea] Software Engineering Institute, 17 de 09 de 2008.
[Citado el: 28 de Abril de 2011.] http://www.cert.org/octave/.
CRAMM. 1987. CRAMM. [En lnea] 1987. [Citado el: 28 de Abril de 2011.]
www.cramm.com.
Electrnica, Administracin. 1997. Administracin Electrnica. [En lnea] 1997.
[Citado el: 28 de Abril de 2011.] http://administracionelectronica.gob.es.
FACULTAD DE CIENCIAS CONTABLES, ECONMICAS Y FINANCIERAS.
2010. scribd. [En lnea] 15 de Febrero de 2010.
http://es.scribd.com/doc/26901848/Manual-de-Auditoria-de-Sistemas.
G.Piattini, Mario. 2000. Auditoria Informtica un enfoque prctico. Espaa : Editorial
Microinformtica, 2000.
Informtica, Oficina Nacional de Gobierno Electrnico e. 1999. ONGEI. [En lnea]
1999. [Citado el: 28 de Abril de 2011.]
http://www.ongei.gob.pe/publica/metodologias/Lib5007/21.htm.
INTECO. 2008. INTECO. [En lnea] 28 de 04 de 2008. [Citado el: 28 de abril de
2011.] http://www.inteco.es.
IS027001. 2005. [En lnea] 2005. [Citado el: 2008 de Abril de 2011.]
http://www.iso27000.es/.
ISO, 27000. 2005. ISO 27000. [En lnea] 2005. [Citado el: 28 de Abril de 2011.]
http://www.iso27000.es/glosario.html#section10chttp://www.iso27000.es/glosario.html
#section10c.
MAGERIT. 2006. MAGERIT - versin 2. [En lnea] 2008 de 06 de 2006. [Citado el:
28 de Abril de 2011.] http://publicaciones.administracion.es.
Marcos, Universidad Nacional Mayor de San. 2003. AUDITORA A LA GESTIN
DE LAS TECNOLOGAS Y SISTEMAS DE INFORMACIN. . [En lnea] 2003.
[Citado el: 28 de Abril de 2011.] http://redalyc.uaemex.mx.
Meyer, Ing. Carlos Ormella. 2011. ISO27000. [En lnea] 28 de 04 de 2011. [Citado el:
28 de Abril de 2011.]
http://www.iso27000.es/download/seguridad%20informaticavsinformacion.pdf.
Mora, Maurice Eyssautier de la. 2006. Metodologa de la investigacin: desarrollo de
la inteligencia. mexico : International Thomsom Editores, 2006.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL
REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES J UVIER S.A.C
168
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
169
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO VII
ANEXOS
INGENIERA
DE
SISTEMAS
ANEXO 1
Formato Seleccin de metodologa
171
IVONNE J ACKELINE,
URRUTIA LOZADA
EXPERTO N
INGENIERA
DE
SISTEMAS
Nombres y Apellidos:
Cargo
Empresa
Aos de Experiencia:
Ttulo Profesional :
METODOLOGA
Flexibilidad
Requerimientos
Informacin
Costo
Estabilidad
Tiempo de
desarrollo
TOTAL
Metodologa
MAGERIT
Metodologa
OCTAVE
Metodologa
CRAMM
Criterios de Calificacin:
Excelente = 5, Bueno= 4, Regular = 3, Malo =2, Deficiente =1
Firma del Experto
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL REA DE GERENCIA DE
OPERACIONES DE LA EMPRESA DE TRANSPORTES J UVIER S.A.C
172
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 2
Carta de aceptacin de la empresa
173
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
174
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 3
Solicitud de acceso a la Informacin
175
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
176
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 4
Informe Preliminar recomendando la elaboracin del Plan de
Seguridad de la Informacin
177
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
178
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
3. Tcnicas y Herramientas
3.1 Tcnicas
3.2 Herramientas
Cmara Digital
Lapiceros y lpiz
Papel
179
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Asignacin de Roles
Apellidos y Nombres
Cargo
Formacin Profesional
Gerente General
Administracin
Gerente de Operaciones
Administracin
Elizabeth.
Antonio Fernndez
Quispe
Cecilia Beltram
Contadora
Contabilidad Financiera
Ingrid Esparza
Asistente Contable
Secretariado Ejecutivo
Estudiante de Ing. de
Sistemas
Esfuerzo de la Auditoria
El tiempo estimado de la auditoria fue de 1 da, y el plazo de entrega del
diagnstico de la situacin se realiz en 1 semana hbil despus de haber
concluido la auditoria.
180
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
181
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Objetivo de Control
Verificar la existencia de un plan de mantenimiento de los equipos de
cmputo
Prueba de Cumplimiento
1.
2.
3.
4.
5.
Preguntas
De acuerdo a la entrevista a la gerente General nos respondi
La empresa realiza mantenimiento a los equipos de
cmputo?
Si
Hay un personal encargado para realizar dicho
mantenimiento?
Si, personal capacitado
El encargado de dar el mantenimiento es un trabajador de l a
empresa o un tercero?
El asistente tcnico de la empresa.
Cada qu tiempo se realizan los mantenimiento?
Espordicamente(cuando el equipo lo requiera)
Se mantiene un registro permanente
de todos los
mantenimientos realizados?
No
182
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Auditor Responsable
183
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Objetivo de Control
Verificar la existencia del inventario ofimtico
Prueba de cumplimiento
Preguntas
Si No
Auditor Responsable
184
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
185
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Auditor Responsable
186
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
rea de Gerencia
187
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
rea: Contabilidad
rea de Supervisin
Pgina de Hi5
188
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Secretara
gpedit.msc
Auditor Responsable
189
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Aprobar cambio
Auditor Responsable
Si
No
190
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Aprobar cambio
Auditor Responsable
Si
No
Antonio Fernndez
Gerente de Operaciones.
191
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
192
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 5
Comit de Informtica
193
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
194
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 6
Formato de encuestas
195
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Bueno
Regular
Malo
Bueno
Regular
Malo
Bueno
Regular
Malo
Bueno
Regular
Malo
Bueno
Regular
Malo
196
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
procesos
de
gestin
de
seguridad
de
la
Bueno
Regular
Malo
No
Antivirus
Polticas de seguridad
4. La empresa cuenta con un tipo de seguridad establecido para que otros usuarios
que no sean encargados a los equipos informticos puedan acceder?
Uso de contraseas
Polticas de seguridad
197
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 7
Encuestas
198
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
CALIFICACIN
N CIU
Excelente
Bueno
Regular
Malo
CALIFICACIN
N CIU
Excelente
Bueno
Regular
Malo
199
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
CALIFICACIN
N CIU
Excelente
Bueno
Regular
Malo
la
seguridad
de
la
informacin son:
CALIFICACIN
N CIU
Excelente
Bueno
Regular
Malo
200
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
N CIU
Excelente
Bueno
Regular
Malo
201
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
0% 0%
N CIU
Excelente
Bueno
Bueno
Regular
Regular
Malo
Excelente
25%
75%
Malo
CALIFICACIN
SI
N CIU
1
NO
3
2.5
2
75%
1.5
Series1
1
0.5
25%
0
si
no
202
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
CALIFICACIN
Backup
N CIU
3
Antivirus
Polticas de
0%
politicas de seguridad
25%
antivirus
Series2
Series1
seguridad
75%
Backup
N CIU
4
4
3.5
contraseas
Polticas de
4.5
seguridad
Politicas de
seguridad
2.5
2
100%
1.5
Solo uso de
contraseas
1
0.5
0
1
203
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 8
Inventario de Equipos Informticos
204
IVONNE J ACKELINE,
URRUTIA LOZADA
CANT
1
EQUIPO
Monitor
1
1
2
1
Mouse
Teclado
Parlantes
CPU
Impresora
Laptop
1
1
1
3
Impresora
Switch
Router
Monitor
1
1
6
3
Mouse
Teclado
Parlantes
CPU
INGENIERA
DE
SISTEMAS
DESCRIPCIN
DEPARTAMENTO
- Samsung 17 LCD 1742 1280 Gerencia General
x 1024
Jefe de seguridad
Asistente Contable
- Multimedia ptico genius ps/2
- Multimedia ptico genius ps/2
- Genius SP-Q06
- Pentium IV
- Procesador Intel Core2Duo 2.2
Ghz
- Memoria RAM 3 GB DDR2
- Tarjeta de video Intel
- Disco duro Samsung 250gb
- DVD-ROM + CD RW
- Lector de memoria
- Regulador de voltaje CDP
220V
- Matricial Epson lx300
Gerente General
- Toshiba Satellite A40 SP151
Gerencia
de
Operaciones
- Procesador Mobile Intel
Pentium 4 a 2.80Ghz
- 256MB en Memoria
- Disco duro de 40GB
- DVD-ROM + cd-rw 24x
- Pantalla TFT de 15 Pulg
- Modem 56k
- Red 10/100Mbps
- Red inalmbrica 802.11g
- hp 2330
- Cisco Catalyst 2950
- Cisco 1841
- LG LCD 17 1742 1280 x Jefe de Informtica
1024
Asistente Tcnico
Jefe de Supervisin
- Multimedia ptico genius ps/2
- Multimedia ptico genius ps/2
- Genius SP-Q06
- Procesador Intel Dual Core
E2200 2.20 ghz
- Memoria Ramn DDR2 de 2Gb
Kingston Bus 800Mhz
- Disco duro Samsung 160gb
- DVD-ROM + CD RW
205
IVONNE J ACKELINE,
URRUTIA LOZADA
1
1
1
6
1
1
INGENIERA
DE
SISTEMAS
206
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 9
Fichas de Identificacin de activos
207
IVONNE J ACKELINE,
URRUTIA LOZADA
cdigo:
descripcin:
INGENIERA
DE
SISTEMAS
Servicios/Personal
nombre:
responsa ble:
208
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Datos / Informacin
cdigo:
nombre:
descripcin:
propietario:
responsa ble:
secreto
reservado
confidencial
difusin limitada
sin clasificar
209
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Aplicaciones (software)
cdigo:
descripcin:
nombre:
responsa ble:
tipo (marque todos los adjetivos que procedan):
( ) [DPR] desarrollo propio (in house)
( ) [DME] desarrollo a medida (subcontratado)
( ) estndar (off the shelf)
( ) [BRO] navegador web
( ) [SPR] servidor de presentacin
( ) [CEM] cliente de correo electrnico
( ) [SAP] servidor de aplicaciones
( ) [SEF] servidor de ficheros
( ) [SGB] sistema de gestin de bases de datos
( ) [SOF] ofimtica
( ) [ANT] antivirus
( ) [BAC] sistema de backup
( ) [SSO] sistema operativo
( ) [OOO] otros
.
210
IVONNE J ACKELINE,
URRUTIA LOZADA
cdigo:
descripcin:
INGENIERA
DE
SISTEMAS
responsa ble:
ubicacin:
nmero:
tipo (marque todos los adjetivos que procedan):
( ) [SER] servidores
( ) [PCS] equipos de sobremesa
( ) [LAP] lptop
( ) perifricos
( ) [IMP] medios de impresin
( ) [SCA] escneres
( ) [DSC] dispositivos criptogrficos
( ) Equipo de la red
( ) [MODEM] mdems
( ) [HUB] concentradores
( ) [SWI] conmutadores
( ) [EQR] router
( ) [BRI] pasarelas
( ) [FIR] cortafuegos
( ) centralita telefnica
211
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Soportes de informacin
cdigo:
nombre:
descripcin:
responsa ble:
ubicacin:
nmero:
tipo (marque todos los adjetivos que procedan):
( ) electrnicos
( ) [DIS] discos
( ) [USB] disquetes
( ) [CDV] CD`S DVD`S
( ) [USB] dispositivos USB
( ) [USB] DVD
( ) [TAP] cinta magntica
( ) [ETM] tarjetas de memoria
( ) [ETI] tarjetas inteligentes
( ) no electrnicos
( ) [DOI] documento impreso
( ) [TAP] cinta de papel
( ) [FIL] microfilm
212
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Redes de comunicaciones
cdigo:
nombre:
descripcin:
responsa ble:
ubicacin:
nmero:
tipo (marque todos los adjetivos que procedan):
( ) [INT] red telefnica
( ) [RDS] (red digital)
( ) [RDA] X25 (red de datos)
( ) [ADS] ADSL
( ) [PP] punto a punto
( ) [RII] red inalmbrica
( ) [RST] satlite
( ) [LAN] red local
( ) [MAN] red metropolitana
( ) [INT] Internet
( ) [VPN] red privada virtual
213
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 10
Catlogo de Activos
214
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
215
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 11
Criterios de Valoracin
Dimensin de seguridad del activo
216
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Escala estndar
valor
criterio
[olm] Probablemente cause un dao excepcionalmente serio a la eficacia o
seguridad de la misin operativa o logstica
[iio] Probablemente cause daos excepcionalmente graves a misiones
extremadamente importantes de inteligencia o informacin
[si]
[ps]
[po]
[ir]
[lbl]
[da]
Datos
clasificados
como
secretos
Probablemente
cause
una
interrupcin excepcionalmente seria de las
actividades propias de la Organizacin con un serio impacto en otras
organizaciones
[adm]
[lg]
10
217
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
un
incumplimiento
218
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
[ps]
[ir]
[ps]
[po]
[lbl]
219
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
[lbl]
[ps]
[lbl]
[da]
220
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
[ps]
[po]
[ir]
[lbl]
[lg]
221
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
[lbl]
[da]
[lg]
[ps]
[po]
[ir]
[lbl]
222
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
[1]
[2]
[3]
[4]
223
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 12
Catlogo de Amenazas
224
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
225
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 13
Caracterizacin de Activos Intangibles
226
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Dimensiones:
1. [I] Integridad
2. [D]Disponibilidad
3. [C] confidencialidad
Descripcin:
Equivocaciones de las personas cuando usan los servicios, datos, etc.
Equivocaciones de personas con responsabilidades de instalacin y operacin.
Introduccin de datos errneos.
Prcticamente todos los activos dependen de su configuracin y est de la diligencia
del administrador: privilegios de acceso, etc.
Escapes de informacin
Tipos de activos:
Dimensiones:
Datos/informacin
1. [C] Confidencialidad
Aplicaciones(software)
Redes de comunicaciones
Descripcin:
La informacin llega accidentalmente al conocimiento de persona que no debera
tener conocimiento de ella, sin que la informacin en s misma se ve alterada.
Alteracin de informacin
Tipos de activos:
Dimensiones:
Datos/informacin
1. [I] Integridad
Descripcin:
Alteracin accidental de la informacin.
Esta amenaza slo se identifica sobre los datos en general, pues cuando la informacin
est en algn soporte informtico, hay amenazas especficas.
227
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
228
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ATAQUES INTENCIONADOS
Manipulacin de programas no autorizados
Tipos de activos:
Dimensiones:
Aplicaciones (software)
1. [C] Confidencialidad
2. [I] Integridad
Descripcin:
Alteracin intencionada del funcionamiento de los programas, persiguiendo un
beneficio indirecto cuando una persona autorizada lo utilizada.
Dimensiones:
1. [D] Disponibilidad
2. [I] Integridad
3. [C] Confidencialidad
Descripcin:
Propagacin intencionada de virus, espas (spyware),gusanos, troyanos, etc.
Uso no previsto
Tipos de activos:
Dimensiones:
Servicios
1. [D] Disponibilidad
Aplicaciones (software)
2. [I] Integridad
Equipos informticos(hadware)
3. [C] Confidencialidad
Redes de comunicaciones
Soportes de informacin
Equipamiento auxiliar
instalaciones
Descripcin:
Utilizacin de los recursos del sistema para fines no previstos, tpicamente de inters
personal: juegos, consultas personales en internet, programas personales,
almacenamiento de datos personales, etc.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL
REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES J UVIER S.A.C
229
IVONNE J ACKELINE,
URRUTIA LOZADA
Divulgacin de la informacin
Tipos de activos:
Datos/informacin
INGENIERA
DE
SISTEMAS
Dimensiones:
1. [C] Confidencialidad
Descripcin:
Revelacin de informacin
Robo
Tipos de activos:
Redes de comunicaciones
Equipamiento informtico
Soportes de informacin
Equipamiento auxiliar.
Dimensiones:
1. [D] Disponibilidad
2. [C] Confidencialidad
Descripcin:
La sustraccin de equipamiento provoca directamente la carencia de un medio para
prestar los servicios, es decir una indisponibilidad.
El robo puede afectar a todo tipo de equipamiento, siendo el robo de equipos y el robo
de soportes de informacin los ms habituales.
El robo puede efectuarlo personal interno, personas ajenas a la empresa contratadas de
forma temporal, lo que establece diferentes grados de facilidad para acceder al objeto
sustrado
Ingeniera social
Tipos de activos:
Personal interno
Dimensiones:
1. [C] Confidencialidad
2. [I] Integridad
Descripcin:
Abuso de la buena fe de las personas para que realicen actividades que interesan a un
tercero.
230
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 14
Inventario de salvaguardas [ISO27002.05]
231
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
En este anexo se detallan las salvaguardas incluidas en el inventario base de la metodologa de anlisis
de riesgos. [ISO27002.05]
Polticas, normas y procedimientos
5.1.1 Poltica de seguridad de la informacin
5.1.2 Revisin de la poltica de seguridad de la informacin
Organizacin y estructura
6.1.1 Compromiso de la direccin con la seguridad de la informacin
6.1.2 Coordinacin de la seguridad de la informacin
6.1.3 Asignacin de las responsabilidades de la seguridad de la informacin
6.1.4 Proceso de la autorizacin para las instalaciones de tratamiento de la
informacin
6.1.5 Acuerdos de confidencialidad
6.1.6 Contacto con autoridades
6.1.7 Contacto con los grupos de inters especial
6.1.8 Revisin independiente de la seguridad de la informacin
6.2.1 Identificacin de los riesgos relacionados con externos
6.2.2 Abordando la seguridad al tratar con clientes
6.2.3 Abordando la seguridad en acuerdos con terceros
Control de activos
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.1.3 Uso aceptable de los activos
7.2.1 Guas de clasificacin
7.2.2 Etiquetado y tratamiento de la informacin
8. Control de empleados
8.1.1 Roles y responsabilidades
8.1.2 Investigacin
8.1.3 Trminos y condiciones de la ocupacin
8.2.1 Responsabilidades de la direccin
8.2.2 Conocimiento, educacin, y entrenamiento en la seguridad de la informacin
8.2.3 Proceso disciplinario
8.3.1 Responsabilidades de la terminacin
8.3.2 Devolucin de activos
8.3.3 Retirada de los derechos de acceso
9. Seguridad Fsica y del Entorno
9.1.1 Permetro de seguridad fsica
9.1.2 Controles de entrada fsica
9.1.3 Asegurar oficinas, salas, e instalaciones
9.1.4 Proteccin contra amenazas externas y ambientales
9.1.5 Trabajo en reas seguras
9.1.6 Acceso pblico, entrega, y reas de carga
9.2.1 - Localizacin y proteccin de equipos
9.2.2 Mantenimiento de suministros
9.2.3 Seguridad del cableado
232
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
233
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
234
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
235
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 16
Polticas de Seguridad
236
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
2.
OBJETIVOS
Desarrollar un plan de seguridad de la informacin lo que significa planear, organizar, dirigir y
controlar actividades para mantener y garantizar la integridad fsica de los recursos informticos,
as como resguardar los activos de la empresa
Los objetivos que se desea alcanzar luego de implantar nuestro plan de seguridad de la
informacin son los siguientes:
Establecer un esquema de seguridad con perfecta claridad y trasparencia bajo la responsabilidad
de JUVIER en la administracin del riesgo.
Compromiso con todo el personal de la empresa con el proceso de seguridad, agilizando la
aplicacin de controles con dinamismo y armona.
Todos los empleados se convierten en interventores del plan de seguridad de la informacin.
3. DEFINICIN
Una poltica de seguridad es un conjunto de reglas aplicadas a todas las actividades relacionadas
al manejo de la informacin de una entidad, teniendo el propsito de proteger la informacin,
los recursos y la reputacin de la misma.
4. PROPSITO
El propsito de las polticas de seguridad de la informacin es proteger la informacin y los
activos de datos de la empresa. Siendo guas para asegurar la proteccin y la integridad de los
datos dentro de los equipos de cmputo, redes, instalaciones y procedimientos manuales.
5. RESPONSABILIDADES
Los siguientes entes son responsables, en distintos grados, de la seguridad en el Plan:
5.1. El comit de informtica est compuesto por las reas principales de la empresa Gerente de
Operaciones, el Gerente General, la secretaria y la contadora. Este comit est encargado de
elaborar y actualizar polticas, normas pautas y procedimientos relativos a seguridad de la
informacin, y telecomunicaciones.
Tambin es responsable de coordinar el anlisis de riesgo, gestionar el plan de seguridad de
informacin. Durante sus reuniones trimestrales, el Comit efectuar la evaluacin y revisin
237
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
6. DISPOSICIONES GENERALES
Artculo 1.- El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo
informtico de las diferentes reas de Empresa de Transportes Juvier S.A.C
Artculo 2.- Para los efectos de este instrumento se entender por:
Comit
Al equipo integrado la Gerencia, los Jefes de rea y el personal administrativo (ocasionalmente)
convocado para fines como:
Gerencia de Operaciones
Est integrada por el Gerente del rea, el Jefe de Informtica, y Asistente Tcnico los cules son
responsables de:
Velar por el funcionamiento de la tecnologa informtica que se utilice en las diferentes reas.
Elaborar y efectuar seguimiento del Plan de seguridad de la informacin
Definir estrategias y objetivos a corto, media y largo plazo.
Mantener la Arquitectura tecnolgica.
Controlar la calidad del servicio brindado.
Velar por el cumplimiento de las polticas, normas, pautas y procedimientos de seguridad
establecidos.
238
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
239
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
productos de Software que se adquieran debern contar con su licencia de uso, documentacin y
garanta respectivas.
Artculo 08.- Todos los productos de Software que se utilicen a partir de la fecha en que entre en vigor
el presente ordenamiento, debern contar con su licencia de uso respectiva; por lo que se promover la
regularizacin o eliminacin de los productos ya instalados que no cuenten con el debido
licenciamiento.
Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo y trfico de
personas.
El rea de Gerencia de Operaciones, as como las dems reas debern contar con un
croquis actualizado de las instalaciones elctricas y de comunicaciones del equipo de cmputo
en red.
Las instalaciones elctricas y de comunicaciones, estarn de preferencia fijas o en su
defecto resguardadas del paso de personas o mquinas, y libres de cualquier interferencia
elctrica o magntica.
Las instalaciones se apegarn estrictamente a los requerimientos de los equipos, cuidando las
especificaciones del cableado y de los circuitos de proteccin necesarios.
En ningn caso se permitirn instalaciones improvisadas o sobrecargadas.
Artculo 10.- La supervisin y control de las instalaciones se llevar a cabo en los plazos y mediante los
mecanismos que establezca el Comit.
Artculo 12.- Los jefes de rea responsables de la informacin contenida en los departamentos a su
cargo, delimitarn las responsabilidades de sus subordinados y determinarn quien est autorizado a
efectuar operaciones emergentes con dicha informacin tomando las medidas de seguridad
pertinentes.
Artculo 13.- Se establecen tres tipos de prioridad para la informacin:
Artculo 14.- En caso de informacin vital para el funcionamiento del rea, se debern tener procesos
colaborativos, as como tener el respaldo diario de las modificaciones efectuadas, rotando los
dispositivos de respaldo y guardando respaldos histricos semanalmente.
240
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Artculo 15.- La informacin necesaria pero no indispensable, deber ser respaldado con una
frecuencia mnima de una semana, rotando los dispositivos de respaldo y guardando respaldos
histricos mensualmente.
Artculo 16.- El respaldo de la informacin ocasional o eventual queda a criterio del rea.
Artculo 17.- La informacin almacenada en medios magnticos, de carcter histrico, quedar
documentada como activos del rea y estar debidamente resguardada en su lugar de almacenamiento.
Es obligacin del responsable del rea, la entrega conveniente de la informacin, a quien le suceda en el
cargo.
Artculo 18.- Los sistemas de informacin en operacin, como los que se desarrollen debern contar
con sus respectivos manuales. Un manual del usuario que describa los procedimientos de operacin y el
manual tcnico que describa su estructura interna, programas, catlogos y archivos.
Artculo 19.- Ningn colaborador en proyectos de software y/o trabajos especficos, deber poseer,
para usos no propios de su responsabilidad, ningn material o informacin confidencial de JUVIER tanto
ahora como en el futuro
Fsicas
Sistema Operativo
Software
Comunicaciones
Base de Datos
Proceso
Aplicaciones
Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello.
Verificar la informacin que provenga de fuentes externas a fin de corroborar que est
libre de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos.
Mantener plizas de seguros de los recursos informticos en funcionamiento.
Debe respetarse y no modificar la configuracin de hardware y software establecida por el rea
de gerencia de operaciones.
Deben protegerse los equipos informticos del medioambiente (por ejemplo, polvo, incendio y
agua).
Deben usarse protectores contra transitorios (tensin) de energa elctrica y en el servidor
debe usarse fuente de poder interrumpibles.(UPS).
Cualquier falla en los equipos informticos o en la red deben reportarse inmediatamente ya
que podra causar problemas serios como prdida de la informacin o indisponibilidad de los
servicios.
Deben protegerse los equipos para disminuir el riesgo de robo, destruccin, y mal uso
Las medidas que se recomiendan incluye el uso de vigilantes y cerradura con llave.
241
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Los equipos deben marcarse para su identificacin y control de inventario. Los registros de
inventario deben mantenerse actualizados.
No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un equipo fuera de
JUVIER se requiere una autorizacin escrita.
La prdida o robo de cualquier componente de hardware o programa de software debe ser
reportada inmediatamente
Para prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseas
alfanumrico
Si un Pcs tiene acceso a datos confidenciales, deben poseer un mecanismo de control de acceso
especial, preferiblemente por hardware.
Para ayudar a restaurar los programas originales no daados o infectados, deben hacerse
copias de todo software nuevo antes de su uso, y deben guardarse tales copias en un lugar
seguro.
Peridicamente debe hacerse el respaldo de los datos guardados en PCs y servidores y las
copias de respaldo deben guardarse en un lugar seguro, a prueba de hurto, incendio e
inundaciones. Los programas y datos vitales para la operacin del Programa debe guardarse en
otra sede, lejos del edificio.
Los usuarios de PCs son responsables de proteger los programas y datos contra prdida o dao.
El Administrador de cada uno de esos computadores es responsable de hacer copias de
respaldo peridicas. Los jefes de las distintas unidades son responsables de definir qu
informacin debe respaldarse, as como la frecuencia del respaldo (por ejemplo: diario,
semanal) y el mtodo de respaldo (por ejemplo: incremental, total).
Siempre que sea posible, deba eliminarse informacin confidencial de los computadores y
unidades de disco duro antes de que les mande a reparar. Si esto no es posible, se debe
asegurar que la reparacin sea efectuada por empresas responsables, con las cuales se
haya firmado un contrato de confidencialidad. Alternativamente, debe efectuarse la
reparacin bajo la supervisin de una representante del Programa.
Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse
actualizada. Si se detecta la presencia de un virus u otro agente potencialmente
peligroso, se debe notificar inmediatamente al Asistente tcnico y poner la PC en cuarentena
hasta que el problema sea resuelto.
242
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Artculo 25.- Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos, programas o
documentos electrnicos.
Artculo 26.- Albergar datos de carcter personal en las unidades locales de disco de los computadores
de trabajo.
Artculo 27.- Los usuarios no deben copiar a un medio removible (como un diskette), el software o los
datos residentes en las computadoras de la empresa, sin la aprobacin previa de la Gerente General.
No debe utilizarse software bajado de Internet y en general software que provenga de una
fuente no confiable, a menos que se haya sido comprobado en forma rigurosa y que est
aprobado su uso por Informtica.
13. SOFTWARE
Artculo 28.-Todo el personal tiene prohibido instalar copias ilegales de cualquier programa.
Artculo 29.-Tambin tiene prohibido borrar cualquiera de los programas instalados legalmente.
243
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
244
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Artculo 42.- Es responsabilidad de cada uno de los colaboradores de JUVIER la lectura y conocimiento
de la Poltica de Seguridad ms reciente.
Artculo 43.- Para aquellas personas que incumplan con estas polticas sern sancionados con un
245
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 17
Implementacin del Plan
246
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Actividad N 1
247
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Actividad N 2
248
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Actividad N 3
249
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
250
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Servidor Proxy:
Se ha implementado con la herramienta Kerio Winroute Firewall 6.5.2 con la finalidad
de proteger la informacin de la organizacin de ataques externos mediante el internet y
tambin aumentar la productividad de empleados con controles personalizados de
acceso y supervisin de la navegacin aprovechando de la mejor manera el Ancho de
Banda de la lnea ADSL.
Configuracin del Servidor Proxy:
251
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Cach:
Servicio que nos permite incrementar la velocidad de acceso a Internet al mantener
localmente las pginas ms consultadas por los usuarios de la organizacin, evitando las
conexiones directas con los servidores remotos.
252
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Se est denegando el acceso a sitios web, .Esta operacin se realiz a las 5 equipos de
cmputo, excepto para Gerencia.
Palabras Prohibidas:
Para el caso de los motores de bsqueda se han creado limitaciones en cuanto a los
resultados segn las palabras que se digiten en la busca de resultados y se consiga
acceso a pginas que puedan afectar el rendimiento del personal bloqueando sitios no
relacionados con el trabajo.
253
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
254
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
255
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA