Professional Documents
Culture Documents
1. 2.
La Universidad Nacional de San Cristbal de Huamanga cuenta con muchas reas y oficinas que interactan entre si para brindar los servicios que ofrece a los miembros de la comunidad universitaria; Una de las oficinas cuya informacin es crtica para el buen funcionamiento de la universidad es la Oficina General de Admisin, encargada de administrar todos los procesos relacionados al proceso de admisin de los postulantes a la universidad por las diversas modalidades existentes. Todos los datos de los postulantes son registrados para que los ingresantes en la universidad queden registrados como miembros de la comunidad universitaria. La informacin que registra la Oficina General de Admisin son datos como: datos generales del postulante, vacantes, trabajadores encargados, informacin para la formulacin del examen de admisin, etc. Un pequeo error en el procesamiento de esta informacin podra traer grandes problemas en la universidad y malestar en los postulantes.
2.1. -
OBJETIVOS
Brindar ala comunidad universitaria un servicio de calidad en sus diferentes estamentos de tramite Dar mejor servicio acadmico comunidad estudiantil. Obtener buenos eficientes para el campo laboral. Establecer un proceso administrativo de trmite referidos al estudiante y a los trabajadores de la universidad MISION:
2.2.
METODOLOGA MAGERIT La Metodologa MAGERIT, es un mtodo formal para investigar los riesgos que soportan los Sistemas de Informacin y para recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. MAGERIT es un instrumento para facilitar la implantacin y aplicacin del Esquema Nacional de Seguridad proporcionando los principios bsicos y requisitos mnimos para la proteccin adecuada de la informacin.
MAGERIT nos permite: Estudiar los riesgos que soporta un sistema de informacin y el entorno asociado a l. MAGERIT propone la realizacin de un anlisis de los riesgos que implica la evaluacin del impacto que una violacin de la seguridad tiene en la organizacin; seala los riesgos existentes, identificando las amenazas que acechan al sistema de informacin, y determina la vulnerabilidad del sistema de prevencin de dichas amenazas, obteniendo unos resultados. Los resultados del anlisis de riesgos permiten a la gestin de riesgos recomendar las medidas apropiadas que deberan adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y as reducir al mnimo su potencialidad o sus posibles perjuicios. MAGERIT persigue los siguientes objetivos: Concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo. Ofrecer un mtodo sistemtico para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso.
3. -
ANALISIS DE LA ORGANIZACIN DESDE EL PUNTO DE VISTA DE LA SEGURIDAD DE LA INFORMACION Seguimiento del procesamiento de los datos de los postulantes. Garantizar las transacciones delos proceso s de admisin en sus diferentes modalidades. Dar soporte tcnico a la infraestructura de los equipos de cmputo.
4.
Determinar las parte o reas que integran LSGSI Oficina General de Admisin Por el volumen de procesamiento de los datos y la transacciones que se desarrolla en el proceso de admisin. rea de sistemas
5.
capa 1: el entorno: activos que se precisan para garantizar las siguientes capas equipamiento y suministros: energa, climatizacin, comunicaciones personal: de direccin, de operacin, de desarrollo, etc. otros: edificios, mobiliario, etc. Software de computo (XP y Windows 7) Datos del personal (DNI , RUC) Datos del postulante (DNI, Certificado de Estudio y Partida de Nacimiento) 4. Servidores (Server 2003) 5. Base de datos (SQL) 6. Equipo informtico (PCs ,laptop, Impresora Lector a ptica) 7. Medios de almacenamiento (Disco Duro, CDs, USB y disket) 8. Aplicacin web (Admisin-UNSCH 2012) 9. Cartilla del postulante 10. Cartilla de examen 11. Lneas de comunicacin (inter, intranet, telfono mvil y fijo) 12. Copias de respaldo (Backup) 13. Registro de incidencias (Documentos) 14. Conexin a internet (Servicios) 15. Reserva de energa (Motores de energa) capa 2: el sistema de informacin propiamente dicho equipos informticos (hardware) aplicaciones (software) comunicaciones soportes de informacin: discos, cintas, etc. capa 3: La informacin datos meta-datos: estructuras, ndices, claves de cifra, etc. capa 4: las funciones de la Organizacin, que justifican la existencia del sistema de informacin y le dan finalidad objetivos y misin bienes y servicios producidos
PROCESO:
CAUSAS
RIESGO
DESCRIPCIN
EFECTOS
-La informacin que maneja la oficina de admisin es importante y valiosa. -Sistema web vulnerable ante ataques.
Hackers.
Gente apasionada por la seguridad informtica, que pueden alterar o robarla informacin de los postulantes.
Son programas que pueden alterar o eliminar los datos de los postulantes.
Robos de informacin.
Es un hecho que realiza el hacker para apropiarse de los datos del postulante.
-Sismos. -Incendios.
Desastres naturales.
6.
GESTION DE RIESGO
Identificacin de activos Software de computo para el proceso de admisin Registro del personal y de los postulantes en la base de datos Material para el proceso de admisin y de oficina Hardware para el proceso de registro de la base de datos y
de oficina
Valorar los activos Es de vital importancia el software de computo para realizar el control y registro del proceso de admisin del personal Para el control adecuado y la disponibilidad de la informacin en tiempo real Es una forma de agilizar los procesos y tener archivado adecuadamente. Agiliza el proceso de manera adecuada los procesos
Identificar las amenazas Puede estar propenso a robo modificacin por el mismo personal o externo como el hacker Los servidores o el equipo de almacenamiento masivo pueden estar afecto en su seguridad por negligencia de su seguridad fsica o lgica Afecto a robo falsificacin Dao fsico mal uso de los equipos
Determinar el impacto de una amenaza El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un amenaza activo. El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado. Reconocer los impactos de amenazas o ataques activos y pasivos
Establecer Salvaguardas Registrar las incidencias del uso del software Establecer metodologas de criptografa y control en la administracin de la base de datos y usar software libre para servidores Tener un sistema de respaldo en caso de incidencias que se pueda dar Actualizar y tener registrado la informacin del hardware
Determinar el impacto residual Estableces las normas correctivas en caso que exista impacto residual para su control. Calcular el riesgo residual de la magnitud de la degradacin y la frecuencia de amenaza para su mejor control
7.
CONTROLES DE SEGURIDAD
Documentar todos los procedimientos lo cual se recurrir a una ampliacin del contrato de consultora y asesoramiento que permita controlar la amenaza. Aplicar las normas de seguridad ISO Esperar un registro de incidencias en cada proceso
ACTIVOS DE INFORMACION 1. Software de computo (XP y Windows 7) 2. Datos del personal (DNI , RUC) 3. Datos del postulante (DNI, Certificado de Estudio y Partida de Nacimiento) 4. Servidores (Server 2003) 5. Base de datos (SQL) 6. Equipo informtico (PCs ,laptop, Impresora Lector a ptica) 7. Medios de almacenamiento (Disco Duro, CDs, USB y disket) 8. Aplicacin web (AdmisinUNSCH 2012) 9. Cartilla del postulante 10. Cartilla de examen 11. Lneas de comunicacin (inter, intranet, telfono mvil y fijo) 12. Copias de respaldo (Backup) 13. Registro de incidencias (Documentos) 14. Conexin a internet (Servicios) 15. Reserva de energa (Motores de energia)
CONFIDENCIABILDAD 5 3 4
INTEGRIDAD 4 3 5
DISPONIBILIDAD 4 3 5
TOTAL 4 3 4
5 5 3
4 4 3
4 4 4
4 4 3
2 4 5 5 3 5 3 3 3
4 5 5 5 2 5 3 4 2
3 5 5 5 4 5 4 5 3
3 4 5 5 3 5 3 4 2
Activos de informacin
Amenazas
Vulnerabilidad
Tota l
Critici dad
Objetivos de control
Control es
1.
-Hacker
-Falta de antivirus
12
A.6.1.1 Compromiso de la gerencia con la seguridad de la informacin A.6.1.3 Asignacin de responsabilidades de la seguridad de la informacin A.6.1.4 Proceso de autorizacin para los medios de procesamiento de informacin A.8.2.2 Capacitacin y educacin en seguridad de la informacin A.9.1.2 Controles de entrada fsicos A.6.1.3 Asignacin de responsabilidades de la seguridad de la informacin A.8.1.1 Roles y responsabilidades A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.1.4 Proteccin contra amenazas externas y ambientales
Alto
2.
(DNI , RUC)
-Mala Digitacin
-Libre acceso
N.C
Medio
-Mala Digitacin
-Libre acceso
12
A.9.1.4
Alto
4 4 1 3
16
-parches del software -verificacin semanal y actualizaciones -polticas de prevenciones ante desastres
-Virus -hacker
4 1
3 2
12
-Deterioro -Ambiental
2 1
-Falta de mantenimiento
N.C
3 2 1
N.C
A.6.1.1 Compromiso de la gerencia con la seguridad de la informacin A.8.2.2 Capacitacin y educacin en seguridad de la informacin A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del Equipo A.6.1.4 Proceso de autorizacin para los medios de procesamiento de informacin A.8.2.2 Capacitacin y educacin en seguridad de la informacin A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.1.1 Permetro de seguridad fsica A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del equipo A.9.1.1 Permetro de seguridad fsica A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del Equipo
Alto
Alto
Medio
Bajo
-Hacker -Hacking
3 2
-Falta de antivirus
12
-Deterioro
-Mala digitacin
20
-obtener servicios de certificacin en seguridad -verificacin de datos -verificacin de la ficha inscripcin -tenerlos en un ambiente seco -verificacin de los datos
A.6.1.4
Alto
A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.10.1.1 Procedimientos de operacin documentados A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.10.1.1 Procedimientos de operacin Documentados A.9.1.1 Permetro de seguridad fsica A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del Equipo A.9.1.1 Permetro de seguridad fsica A.9.1.3 Seguridad de oficinas, habitaciones y medios A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.1.3 Seguridad de oficinas, habitaciones y medios
Alto
-Deterioro
4 3
20
Alto
11. Lneas de comunicacin (inter, intranet, telfono mvil y fijo) 12. Copias de respaldo (Backup)
3 2
N.C
Medio
-Hacker -Virus
2 1
-Falta de antivirus
10
Alto
-Deterioro
-Falta de archivador
N.C
A.9.1.3 A.9.1.4
Medio
A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del equipo A.9.1.1 Permetro de seguridad fsica A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del equipo A.9.1.4 A.9.2.1
-Cracker
-Falta de cortafuegos
12
-verificar el nivel de banda ancha -reducir el problema de las horas puntas -soporte tcnico -ambiente cerrado
Alto
-Ambiental
N.C
Medio