INTEGRANTES: GASPAR TACUNAN, Manuel. MENDOZA REVOLLAR, Frank. MUNAYLLA ROJAS, Eberson.

1. 2.

IMPLEMENTACIONDE UN SGSI EN LA OFICINA DE GENERAL DE ADMISION-USNCH. DESCRIPCION GENERAL DE LA ORGANIZACION

La Universidad Nacional de San Cristbal de Huamanga cuenta con muchas reas y oficinas que interactan entre si para brindar los servicios que ofrece a los miembros de la comunidad universitaria; Una de las oficinas cuya informacin es crtica para el buen funcionamiento de la universidad es la Oficina General de Admisin, encargada de administrar todos los procesos relacionados al proceso de admisin de los postulantes a la universidad por las diversas modalidades existentes. Todos los datos de los postulantes son registrados para que los ingresantes en la universidad queden registrados como miembros de la comunidad universitaria. La informacin que registra la Oficina General de Admisin son datos como: datos generales del postulante, vacantes, trabajadores encargados, informacin para la formulacin del examen de admisin, etc. Un pequeo error en el procesamiento de esta informacin podra traer grandes problemas en la universidad y malestar en los postulantes.

2.1. -

OBJETIVOS

Brindar ala comunidad universitaria un servicio de calidad en sus diferentes estamentos de tramite Dar mejor servicio acadmico comunidad estudiantil. Obtener buenos eficientes para el campo laboral. Establecer un proceso administrativo de trmite referidos al estudiante y a los trabajadores de la universidad MISION:

2.2.

Llegar a obtener la calidad en capacidad directiva y organizacional en el proceso acadmico.

METODOLOGA MAGERIT La Metodologa MAGERIT, es un mtodo formal para investigar los riesgos que soportan los Sistemas de Informacin y para recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. MAGERIT es un instrumento para facilitar la implantacin y aplicacin del Esquema Nacional de Seguridad proporcionando los principios bsicos y requisitos mnimos para la proteccin adecuada de la informacin.

MAGERIT nos permite: Estudiar los riesgos que soporta un sistema de informacin y el entorno asociado a l. MAGERIT propone la realizacin de un anlisis de los riesgos que implica la evaluacin del impacto que una violacin de la seguridad tiene en la organizacin; seala los riesgos existentes, identificando las amenazas que acechan al sistema de informacin, y determina la vulnerabilidad del sistema de prevencin de dichas amenazas, obteniendo unos resultados. Los resultados del anlisis de riesgos permiten a la gestin de riesgos recomendar las medidas apropiadas que deberan adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y as reducir al mnimo su potencialidad o sus posibles perjuicios. MAGERIT persigue los siguientes objetivos: Concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo. Ofrecer un mtodo sistemtico para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso.

3. -

ANALISIS DE LA ORGANIZACIN DESDE EL PUNTO DE VISTA DE LA SEGURIDAD DE LA INFORMACION Seguimiento del procesamiento de los datos de los postulantes. Garantizar las transacciones delos proceso s de admisin en sus diferentes modalidades. Dar soporte tcnico a la infraestructura de los equipos de cmputo.

4.

Determinar las parte o reas que integran LSGSI Oficina General de Admisin Por el volumen de procesamiento de los datos y la transacciones que se desarrolla en el proceso de admisin. rea de sistemas

Maneja datos relevantes de los diferentes estamentos de la informacin.

5.

ANALISIS SE RIESGO: Oficina General de Admisin

capa 1: el entorno: activos que se precisan para garantizar las siguientes capas equipamiento y suministros: energa, climatizacin, comunicaciones personal: de direccin, de operacin, de desarrollo, etc. otros: edificios, mobiliario, etc. Software de computo (XP y Windows 7) Datos del personal (DNI , RUC) Datos del postulante (DNI, Certificado de Estudio y Partida de Nacimiento) 4. Servidores (Server 2003) 5. Base de datos (SQL) 6. Equipo informtico (PCs ,laptop, Impresora Lector a ptica) 7. Medios de almacenamiento (Disco Duro, CDs, USB y disket) 8. Aplicacin web (Admisin-UNSCH 2012) 9. Cartilla del postulante 10. Cartilla de examen 11. Lneas de comunicacin (inter, intranet, telfono mvil y fijo) 12. Copias de respaldo (Backup) 13. Registro de incidencias (Documentos) 14. Conexin a internet (Servicios) 15. Reserva de energa (Motores de energa) capa 2: el sistema de informacin propiamente dicho equipos informticos (hardware) aplicaciones (software) comunicaciones soportes de informacin: discos, cintas, etc. capa 3: La informacin datos meta-datos: estructuras, ndices, claves de cifra, etc. capa 4: las funciones de la Organizacin, que justifican la existencia del sistema de informacin y le dan finalidad objetivos y misin bienes y servicios producidos

PROCESO:

Inscripcin de postulantes. Registrar los datos de los postulantes al examen de admisin.

PROCESO: OBJETIVO DEL PROCESO

Inscripcin de postulantes. Registrar los datos de los postulantes al examen de admisin.

CAUSAS

RIESGO

DESCRIPCIN

EFECTOS

-La informacin que maneja la oficina de admisin es importante y valiosa. -Sistema web vulnerable ante ataques.

Hackers.

Gente apasionada por la seguridad informtica, que pueden alterar o robarla informacin de los postulantes.

No existe la garanta de la integridad de datos.

-Antivirus vulnerable. -Alta disponibilidad del sistema (sistema web).

Virus, Programas maliciosos entre otros.

Son programas que pueden alterar o eliminar los datos de los postulantes.

Perdida de datos y mal funcionamiento del software.

-Informacin importante en el sistema. -Mal funcionamiento del sistema.

Robos de informacin.

Es un hecho que realiza el hacker para apropiarse de los datos del postulante.

Perdida de datos de los postulantes.

-Virus. -Fallas en el hardware.

Mal funcionamiento del servidor.

Fallas que ocurren en el servidor ocasionando prdidas de informacin

Falta de disponibilidad de la pgina web.

-Falla en las Instalaciones elctricas.

Falla en el suministro de energa elctrica.

Fallas que ocurren el cualquier parte de las instalaciones elctricas.

Falta de disponibilidad de la pgina web.

-Sismos. -Incendios.

Desastres naturales.

Perdidas de materiales e informacin ocasionados por fenmenos naturales.

Perdida de informacin de los postulantes.

6.

GESTION DE RIESGO

Identificacin de activos Software de computo para el proceso de admisin Registro del personal y de los postulantes en la base de datos Material para el proceso de admisin y de oficina Hardware para el proceso de registro de la base de datos y
de oficina

Valorar los activos Es de vital importancia el software de computo para realizar el control y registro del proceso de admisin del personal Para el control adecuado y la disponibilidad de la informacin en tiempo real Es una forma de agilizar los procesos y tener archivado adecuadamente. Agiliza el proceso de manera adecuada los procesos

Identificar las amenazas Puede estar propenso a robo modificacin por el mismo personal o externo como el hacker Los servidores o el equipo de almacenamiento masivo pueden estar afecto en su seguridad por negligencia de su seguridad fsica o lgica Afecto a robo falsificacin Dao fsico mal uso de los equipos

Determinar el impacto de una amenaza El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un amenaza activo. El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado. Reconocer los impactos de amenazas o ataques activos y pasivos

Determinacin del riesgo Robo y modificacin Falsificacin y Beneficio indebido

Robo falsificacin Dao en su sistema y su arquitectura

Establecer Salvaguardas Registrar las incidencias del uso del software Establecer metodologas de criptografa y control en la administracin de la base de datos y usar software libre para servidores Tener un sistema de respaldo en caso de incidencias que se pueda dar Actualizar y tener registrado la informacin del hardware

Determinar el impacto residual Estableces las normas correctivas en caso que exista impacto residual para su control. Calcular el riesgo residual de la magnitud de la degradacin y la frecuencia de amenaza para su mejor control

7.

CONTROLES DE SEGURIDAD

Documentar todos los procedimientos lo cual se recurrir a una ampliacin del contrato de consultora y asesoramiento que permita controlar la amenaza. Aplicar las normas de seguridad ISO Esperar un registro de incidencias en cada proceso

TASACION DE ACTIVOS DE INFORMACION

ACTIVOS DE INFORMACION 1. Software de computo (XP y Windows 7) 2. Datos del personal (DNI , RUC) 3. Datos del postulante (DNI, Certificado de Estudio y Partida de Nacimiento) 4. Servidores (Server 2003) 5. Base de datos (SQL) 6. Equipo informtico (PCs ,laptop, Impresora Lector a ptica) 7. Medios de almacenamiento (Disco Duro, CDs, USB y disket) 8. Aplicacin web (AdmisinUNSCH 2012) 9. Cartilla del postulante 10. Cartilla de examen 11. Lneas de comunicacin (inter, intranet, telfono mvil y fijo) 12. Copias de respaldo (Backup) 13. Registro de incidencias (Documentos) 14. Conexin a internet (Servicios) 15. Reserva de energa (Motores de energia)

CONFIDENCIABILDAD 5 3 4

INTEGRIDAD 4 3 5

DISPONIBILIDAD 4 3 5

TOTAL 4 3 4

5 5 3

4 4 3

4 4 4

4 4 3

2 4 5 5 3 5 3 3 3

4 5 5 5 2 5 3 4 2

3 5 5 5 4 5 4 5 3

3 4 5 5 3 5 3 4 2

ANALISIS Y EVALUACION DE RIESGO

Activos de informacin

Amenazas

Posibili dad de ocurren cia

Vulnerabilidad

Posibilida d que amenaza , penetre vulnerabil idad

Valor de activos de riesgo

Posibilida d de ocurrenci a de amenaza

Tota l

Critici dad

Criterio para aceptar el riesgo

Objetivos de control

Control es

Nivel de aceptaci n de riesgo

1.

Software de computo (XP y Windows 7)

-Hacker

-Falta de antivirus

12

-Verificacin del sistema semanal -Actualizaciones peridicas

A.6.1.1 Compromiso de la gerencia con la seguridad de la informacin A.6.1.3 Asignacin de responsabilidades de la seguridad de la informacin A.6.1.4 Proceso de autorizacin para los medios de procesamiento de informacin A.8.2.2 Capacitacin y educacin en seguridad de la informacin A.9.1.2 Controles de entrada fsicos A.6.1.3 Asignacin de responsabilidades de la seguridad de la informacin A.8.1.1 Roles y responsabilidades A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.1.4 Proteccin contra amenazas externas y ambientales

A.6.1.1 A.6.1.3 A.6.1.4 A.8.2.2 A.9.1.2

Alto

2.

Datos del personal

(DNI , RUC)

-Mala Digitacin

-Libre acceso

N.C

-Restringir el acceso a terceros -Actualizacin de los datos

A.6.1.3 A.8.1.1 A.9.1.4

Medio

3. Datos del postulante (DNI, Certificado de Estudio y Partida de Nacimiento)

-Mala Digitacin

-Libre acceso

12

-verificacin y actualizacin de datos de postulante -registro de incidencias en sistema

A.9.1.4

Alto

4. Servido res (Server 2003)

-Deterioro -Virus -Hacker -Ambiental

4 4 1 3

-Falta de mantenimiento -Falta Antivirus

16

-parches del software -verificacin semanal y actualizaciones -polticas de prevenciones ante desastres

5. Base de datos (SQL)

-Virus -hacker

4 1

-Falta de antivirus -Mala programacin

3 2

12

-verificacin diaria y actualizaciones -Permite acceso a personal autorizado -parches de software

6. Equipo informtico (PCs ,laptop, Impresora Lector a ptica)

-Deterioro -Ambiental

2 1

-Falta de mantenimiento

N.C

-aplicar soporte tcnico -gua de manejo -verificar la fecha de caducidad

7. Medios de almacenamiento (Disco Duro, CDs, USB y disket)

-Deterioro -Virus -Hacker

3 2 1

-Falta de mantenimiento -Falta de antivirus

N.C

-soporte tcnico -colocar en zonas de mejor interferencia esttica -guas de manuales

A.6.1.1 Compromiso de la gerencia con la seguridad de la informacin A.8.2.2 Capacitacin y educacin en seguridad de la informacin A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del Equipo A.6.1.4 Proceso de autorizacin para los medios de procesamiento de informacin A.8.2.2 Capacitacin y educacin en seguridad de la informacin A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.1.1 Permetro de seguridad fsica A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del equipo A.9.1.1 Permetro de seguridad fsica A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del Equipo

A.6.1.1 A.8.2.2 A.9.1.2 A.9.1.4 A.9.2.1

Alto

A.6.1.4 A.8.2.2 A.9.1.2 A.9.1.4

Alto

A.9.1.1 A.9.1.2 A.9.1.4 A.9.2.1

Medio

A.9.1.1 A.9.1.4 A.9.2.1

Bajo

8. Aplicaci n web (Admisin-UNSCH 2012)

-Hacker -Hacking

3 2

-Falta de antivirus

12

9. Cartilla del postulante

-Deterioro

-Mala digitacin

20

-obtener servicios de certificacin en seguridad -verificacin de datos -verificacin de la ficha inscripcin -tenerlos en un ambiente seco -verificacin de los datos

A.6.1.4 Proceso de autorizacin para los medios de procesamiento de informacin

A.6.1.4

Alto

A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.10.1.1 Procedimientos de operacin documentados A.9.1.2 Controles de entrada fsicos A.9.1.4 Proteccin contra amenazas externas y ambientales A.10.1.1 Procedimientos de operacin Documentados A.9.1.1 Permetro de seguridad fsica A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del Equipo A.9.1.1 Permetro de seguridad fsica A.9.1.3 Seguridad de oficinas, habitaciones y medios A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.1.3 Seguridad de oficinas, habitaciones y medios

A.9.1.2 A.9.1.4 A.10.1.1

Alto

10. Cartilla de examen

-Deterioro

-Mala digitacin -Falta de archivadores

4 3

20

-tenerlos en un ambiente seco

A.9.1.2 A.9.1.4 A.10.1.1

Alto

11. Lneas de comunicacin (inter, intranet, telfono mvil y fijo) 12. Copias de respaldo (Backup)

-Interceptacin de lnea -Deterioro

3 2

-Falta de seguridad en red -Falta de mantenimiento

N.C

-aplicar soporte tcnico -gua de manejo -verificar la fecha de caducidad

A.9.1.1 A.9.1.4 A.9.2.1

Medio

-Hacker -Virus

2 1

-Falta de antivirus

10

-permite hacer copia de respaldo -actualizacin del Backup

A.9.1.1 A.9.1.3 A.9.1.4

Alto

13. Registr o de incidencias (Documentos)

-Deterioro

-Falta de archivador

N.C

-tenerlos en un ambiente seco -permitir el

A.9.1.3 A.9.1.4

Medio

acceso a personal autorizado 14. Conexi n a internet (Servicios)

A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del equipo A.9.1.1 Permetro de seguridad fsica A.9.1.4 Proteccin contra amenazas externas y ambientales A.9.2.1 Ubicacin y proteccin del equipo A.9.1.4 A.9.2.1

-Cracker

-Falta de cortafuegos

12

-verificar el nivel de banda ancha -reducir el problema de las horas puntas -soporte tcnico -ambiente cerrado

Alto

15. Reserv a de energa (Motores de energa)

-Ambiental

-Fuente de reserva de energa

N.C

A.9.1.1 A.9.1.4 A.9.2.1

Medio