Professional Documents
Culture Documents
“EVALUACIÓN DE AMENAZAS Y VULNERABILIDADES DEL MÓDULO DE GESTIÓN ACADÉMICA - SISTEMA INFORMÁTICO INTEGRADO
Mayo- 2015
PROBLEMA
En la actualidad el Departamento de Informática de la Universidad
Técnica del Norte, no cuenta con políticas y procedimientos de gestión
de seguridad del módulo de gestión académica. El personal que labora
en esta dependencia consciente del riesgo que conlleva no aplicar
políticas de gestión de riesgos ha venido trabajando con una seguridad
relativamente aprendida en sus estudios universitarios y del
conocimiento adquirido en otras empresas.
OBJETIVO GENERAL
Realizar una Evaluación de Amenazas y Vulnerabilidades del Módulo de Gestión Académica - Sistema Informático Integrado Universitario de la
Universidad Técnica del Norte aplicando ISO 27002, con el fin de determinar el cumplimiento de políticas y controles que garanticen la seguridad
de la información del Sistema Académico
OBJETIVOS ESPECÍFICOS
Coordinar el soporte computacional a los distintos estamentos y a las distintas Unidades Académicas
de la UTN
Visión
Admisión de Estudiantes
Difusión de la guía académica.
Inscripción de Aspirantes. Registro de antecedentes académicos, y revisión de prerrequisitos para cada carrera.
Examen de admisión y registro de resultados.
Matrículas
Revisión del registro estudiantil y asignación del nivel y materias que le corresponde aprobar en el período a cada
estudiante, de acuerdo al plan curricular de la carrera.
Establecimiento de aranceles de matrícula por cada estudiante en un periodo académico.
Crear registro de matrícula de cada estudiante.
Carnet Estudiantil.
Registro de los datos persales, médicos y socioeconómicos del estudiante en los archivos universitarios y asignación a
los grupos de instrucción y materias correspondientes.
Evaluación de Estudiantes
Evaluación del rendimiento individual de los estudiantes en cada materia.
Evaluación de cambios en los valores éticos y morales, incluye evaluación de cambios de las actitudes del
estudiante, intereses, metas y características personales.
Verificación y registro de aprobación de materias y pases de nivel.
TIPO DE INVESTIGACION
Revisión y
evaluación de
controles y
seguridades
Examen
detallado de
áreas críticas
Comunicación
de resultados
TECNICAS Y HERRAMIENTAS
ENTREVISTA
OBSERVACIÓN
ENCUESTAS
CHECKLIST
REVISIÓN DE
DOCUMENTACIÓN
PROGRAMA DE AUDITORIA
EMPRESA:
UNIVERSIDAD TÉCNICA DEL NORTE- DEPARTAMENTO DE INFORMÁTICA FECHA: HOJA N.-
HORAS
FASE ACTIVIDAD ESTIMADAS RESPONSABLES
VISITA PRELIMINAR
Lic. Samia Bedón
Solicitud de Manuales y Documentaciones
I
Elaboración de cuestionarios 8 horas
Ing. Evelyn Enríquez
Recopilación de la información organizacional: estructura orgánica, recursos humanos
DESARROLLO DE LA AUDITORIA
Ing. Juan Carlos García
Aplicación de cuestionario al personal
Entrevista Director de Informática
Ing. Evelyn Enríquez
Entrevista Analista a cargo del Módulo de Gestión Académica
Análisis de claves de acceso, control, seguridad, confiabilidad y respaldos Ing. Luis Aguilar
II 32 horas
Evaluación de la estructura orgánica, puestos, funciones y responsabilidades Ing. Alex Guevara
Evaluación de Módulo de Gestión Académica: relevamiento de hardware y software, evaluación del
Ing. Vinicio Guerra
diseño lógico y del desarrollo
Evaluación del proceso de datos y de los equipos de cómputo: seguridad de los datos, control de
Ing. Javier Carlosama
operación, seguridad física y procedimiento de respaldo
REVISION Y PRE-INFORME
Revisión de los papeles de trabajo Ing. Juan Carlos García-
III Determinación del diagnóstico e Implicaciones 16 horas DIRECTOR INFORMATICA
Elaboración de carta al Rector de la Universidad Técnica del Norte UTN
Elaboración del Borrador
INFORME Dr. Miguel Naranjo- RECTOR
IV 4 horas
Elaboración y presentación del Informe UTN
DOCUMENTACION SOLICITADA Y ENTREGADA
Políticas,
normas,
procedimientos Plan estratégico
del
Diagrama de Red
Departamento de
Informática
Organigrama y
Configuraciones
manual de
Firewall
funciones
Características de
técnicos de Contratos
infraestructura
Manual de Usuario y
Comunicaciones técnico del Módulo
electrónicas (quipux) de Gestión
Académica
Requerimientos de
Registros
Usuarios
Archivos Entrevistas
ISO 27000
Seguridad física y
Política de seguridad Seguridad en las Relaciones con
ambiental
telecomunicaciones suministradores
Aspectos de seguridad
Aspectos organizativos
de la información en la
de la seguridad de la
gestión de la Gestión de activos Control de acceso (4)
información
continuidad del negocio
Adquisición, desarrollo y
Gestión de incidentes en mantenimiento de
Seguridad ligada a los Seguridad en la
la seguridad de la sistemas de información
recursos humanos operatividad
información
Cumplimiento
Cifrado
MAGERIT V3
Es de interés para todos aquellos que trabajan con información digital y sistemas
informáticos. Si dicha información, o los servicios que se prestan gracias a ella, son
valiosos, MAGERIT permite saber cuánto valor está en juego y ayuda a protegerlo.
Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente,
imprescindible para poder gestionarlos
PILAR
Determinación
de las medidas
Determinación
de seguridad
de Activos:
necesarias o
Salvaguardas
Determinación
Identificación,
de los criterios
dependencias y
de aceptación
valoración.
del riesgo
Estimación de Determinación
Impactos de Amenazas
IDENTIFICACION DE ACTIVOS Y DEPENDENCIAS
VALORACION DE ACTIVOS
IDENTIFICACION DE AMENAZAS
IMPACTO
RIESGO ACUMULADO
SITUACION ACTUAL DE CONTROLES
5. OPTIMIZADO
11% 0. INCOMPLETO
NO CUMPLE 26%
CUMPLE
48% 4. PREVISIBLE
52%
27%
1. REALIZADO
17%
3. ESTABLECIDO
14%
2. GESTIONADO
5%
CONCLUSIONES
• El análisis de riesgo aplicado, nos permitió conocer de manera global el estado actual
de la seguridad informática en el Departamento de Desarrollo y Transferencia
Tecnológica de la Universidad Técnica del Norte.