Ari Trabajo v1

UNIVERSIDAD NACIONAL JOS MARA ARGUEDAS
FACULTAD DE INGENIERA
ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS
IMPLEMENTACIN DE ITIL EN
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN APLICADA
AL REA DE RECURSOS HUMANOS DE LA UNIVERSIDAD NACIONAL
JOSE MARIA ARGUEDAS
AUTORES:
ALAN DEIVER TELLO RAMOS
MILTON ERIK VIVANCO QUINTANA
CURSO: ADMINISTRACION DE RECURSOS INFORMATICOS

CICLO: NOVENO
DOCENTE:
ING.LEONIDAS ASTO HUAMAN
FECHA DE ENTREGA:24 DE ENERO DE 2017
Pgina 1 de 58
RESUMEN GENERAL
El presente Trabajo de caso de estudio se enfoca en la reorganizacin del

departamento de Recursos Humanos para mejorar sus procedimientos y
aplicarlos a la seguridad de la informacin, tomando esta ltima como un activo
ms de la universidad e indispensable para el desarrollo de sus actividades.
La implementacin de un sistema de gestin de seguridad de informacin en la

institucin busca un avance significativo en la confianza de sus estudiantes
para con ellos. Al conocer de la obtencin de una certificacin o la ejecucin de
la misma, la universidad crea una imagen de prestigio y de inters en resaltar
entre las dems.
Se decidi la aplicacin de la gestin de seguridad de informacin en el

departamento de personal debido a la importancia que tiene la informacin en
la institucin escogida. UNAJMA es una institucin que maneja datos muy
importantes. Se consider relevante aplicar procedimientos a la etapa de
Aplicacin de Funciones (Durante el empleo) debido a que existan situaciones
tratadas sin lineamientos que solucionen los posibles problemas que atentaban
la integridad de la informacin.
A continuacin, se determinan las generalidades de la universidad, los

conceptos principales de sistema de gestin de seguridad de informacin (ISO
27002), la planeacin total aplicada a la universidad y el desarrollo de los
lineamientos a cada procedimiento segn la norma.
El esfuerzo empleado en realizar este trabajo de estudio garantiza la calidad

del contenido. Exponemos, por ltimo, que el elaborar dicho instrumento y
adentrarlos en la aplicacin de la norma, nos ha dejado grandes experiencias
sobre distintos temas competentes y realidades desconocidas sobre el
ambiente laboral y el tratamiento con recurso humano para transmitir ideas y
tecnologas.
ndice General
CAPTULO 1 8
Marco Referencial 8
CAPTULO 2 10
Generalidades de la Universidad: 11
2.1 Antecedentes de la universidad: 11
2.2 Descripcin del funcionamiento del rea Recursos Humanos 11
2.2.1 Seleccin de personal 11
2.2.2 Contratacin de personal 11
2.2.4 Durante el empleo 12
2.2.5 Cambio o reubicacin del empleado 12
2.2.6 Separacin del empleado 12
CAPTULO 3 13
3 Etapa 1: Planeacin 13
3.1 Definicin de la Norma ISO 27002 13
3.1.1 Seguridad Informtica: 13
3.1.2 Gestin de Seguridad de la informacin 13
3.1.3 International Organization for Standarization (ISO): 14
3.1.4 ISO 27000, aplicada a la seguridad de la informacin: 14
3.1.4.1 Serie ISO 27000 15
3.1.5 ISO 27001 15
3.1.6 PDCA (Planear-Hacer-Verificar-Actuar) 16
3.1.6.1 PLANIFICACIN 16
3.1.6.2 IMPLEMENTACIN (HACER) 18
3.1.6.3 SEGUIMIENTO (CHEQUEAR) 19
3.1.6.4 MEJORA CONTINA (ACTUAR) 20
3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI) 20
3.1.8 ISO 27002 21

3.2 Polticas de la UNIVERSIDAD JOSE MARIA ARGUEDAS., aplicadas a
Recursos Humanos 21
Reclutamiento, seleccin e ingreso de personal 22
Capacitacin de personal 22
Calificacin de personal 22
Transporte y Alimentacin 22
CAPTULO 4 22
4. Anlisis de Riesgo 22
4.1 Valoracin de Activos 22
4.1.1 Determinacin de Activos: 23
4.1.2 Ponderacin de la Dimensiones de los Activos: 23
4.1.3 Determinacin de las Amenazas por Activo: 25
4.1.4 Clculo de riesgo: 27
4.2 Plan de tratamiento de riesgo 30
4.3 Declaracin de Aplicacin 34
CAPTULO 5 37
Etapa 2: Hacer 37
5.1 Alcance y Lmites de la Gestin de Seguridad 37
5.1.1 Control: Supervisin de las obligaciones 37
5.1.2 Control: Formacin y capacitacin en seguridad de la informacin 38
5.1.3 Control: Procedimiento disciplinario 38
5.2 Objetivos 38
5.2.1 Objetivo General: 38
5.2.2 Objetivos Especficos: 38
5.3Definicin de Polticas de Seguridad 39
5.3.1 Polticas de Confiabilidad 39
5.3.2 Polticas de integridad 40
5.3.3 Polticas de disponibilidad 40
5.3.4 Polticas de manejo de Recursos Humanos (Durante el Empleo) 41
5.5 Procedimientos segn el sistema de gestin: 41

5.5.1 Procedimiento para verificar que las polticas y procedimientos de
seguridad de la informacin estn siendo aplicados 41
5.5.2 Procedimiento para capacitar sobre las polticas y procedimientos de

seguridad de la informacin y sus actualizaciones 43
Procedimiento para aplicar sanciones por infraccin sobre alguna poltica de

seguridad de la universidad. 46
ndice de Ilustraciones
CAPITULO 3: Etapa 1: Planeacin
Ilustracin 3. 1 Fase Planificacin 24

Ilustracin 3. 2 Fase Hacer 25
Ilustracin 3. 3 Fase Chequear 26
Ilustracin 3. 4 Fase Actuar 27
ndices de Tablas
CAPITULO 4: Anlisis de Riesgo
CAPTULO 1 10
Marco Referencial 10
CAPTULO 2 12
CAPTULO 3 15
3Etapa 1: Planeacin 15

3.1.4.1 Serie ISO 27000 17
3.1.5 ISO 27001 17
3.1.8 ISO 27002 23

Recursos Humanos 23
CAPTULO 4 24
CAPTULO 5 39
Etapa 2: Hacer 39
5.2 Objetivos 40



seguridad de la universidad. 48
CAPITULO 5: Etapa 2: Hacer
Tabla 5. 1 Infracciones o Violaciones de Polticas de Seguridad 58

Tabla 5. 2 Deteccin de las Infracciones o Violaciones de Polticas de Seguridad 59
ANEXOS
CAPTULO 1 12
Marco Referencial 12
CAPTULO 2 15
CAPTULO 3 18
3Etapa 1: Planeacin 18
3.1.4.1 Serie ISO 27000 20
3.1.5 ISO 27001 20
3.1.8 ISO 27002 26

Recursos Humanos 26
CAPTULO 4 27
CAPTULO 5 42
Etapa 2: Hacer 42
5.2 Objetivos 43




seguridad de la universidad.
51
CAPTULO 1
MARCO REFERENCIAL
1. Marco Referencial
Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestin de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.
Uno de los activos ms valiosos que hoy en da posee las diferentes

universidades, es la informacin y parece ser que cada vez ms sufre grandes
amenazas en cuanto a su confiabilidad y su resguardo, de igual forma la
informacin es vital para el xito y sobrevivencia de la universidad. Con todo
esto todo parece indicar que uno de los principales objetivos de toda
organizacin es el aseguramiento de dicha informacin, as como tambin de
los sistemas que la procesan.
Para que exista una adecuada gestin de la seguridad de la informacin dentro

de las organizaciones, es necesario implantar un sistema que aborde esta
tarea de una forma metdica y lgica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est
sometida la informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.
La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
El objetivo de desarrollar un sistema de gestin de seguridad de la informacin
para la organizacin es disminuir el nmero de amenazas que, aprovechando
cualquier vulnerabilidad existente, pueden someter a activos de informacin a
diversas formas de fraude, sabotaje o vandalismo. Las amenazas que pueden
considerarse de mayor relevancia en la institucin son los virus informticos, la
violacin de la privacidad de los empleados y estudiantes, los empleados
deshonestos, intercepcin de transmisin de datos o comunicaciones y/o fallas
tcnicas de manera voluntaria o involuntariamente.
La importancia de realizar el anlisis referente a la gestin de Recursos

Humanos, radica en conocer el manejo de la informacin correspondiente a
esta rea y su flujo dentro de la universidad. De esta manera, se establece que
personas conocen o manejan que informacin y se establecen los
procedimientos a seguir para resguardar dicha informacin. Al implementar
estos procedimientos se deben realizar controles u observaciones de su
funcionamiento dentro del rea dispuesta, los cuales permitirn desarrollar
cambios en los mismos.
La universidad Nacional JosMara Arguedas se requiere implementar un

sistema de gestin de seguridad de la informacin con respecto a los recursos
humanos debido a que regirn lineamientos que permitirn reclutar personal
calificado de acuerdo al rol a desempear. La universidad maneja informacin
de vital importancia para sus clientes (estudiantes), la cual se considera
delicada y no se puede arriesgar a incorporar personal que pueda hacer mal
uso, voluntaria o involuntariamente, de sta.
UNAJMA considera que una seleccin adecuada de su personal evitara

problemas a futuro con el mismo. Adems, cree que aplicar un sistema de
gestin de seguridad de la informacin agregara confiabilidad al desarrollo de
sus actividades. La universidad desea ser pionera en la implementacin de
dicho sistema.
CAPTULO 2
GENERALIDADES DE LA UNIVERSIDAD
2. Generalidades de la Universidad:
2.1 Antecedentes de la universidad:

Prdida de informacin.-Los trabajadores elimina de casualidad la informacin
que est almacenado a falta de capacitacin en los mbitos de seguridad de
informacin.
Vulnerabilidad en el sistema de siga web.-Los trabajadores pueden ingresar
fcilmente a esta sitio porque ya estn en la red la cual es muy peligroso pueda
que se filtre la informacin.
Mala contratacin de personal.- Se contrata malos personal porque hoy en da
se necesita personales capacitados `para el manejo de la seguridad de la
informacin de la universidad ya que es lo ms primordial este rea.
2.2 Descripcin del funcionamiento del rea Recursos

Humanos
2.2.1 Seleccin de personal
Se recibe una carpeta o CV y se analiza los datos del postulante y si lo

considera apto para alguna de las posiciones de la universidad. Se archiva
para posterior contratacin, en caso de que se requiera.
Antes de iniciar el reclutamiento de personal, se analiza si dentro de la

universidad no hay algn colaborador que pueda ser promovido o reasignado
para ocupar la vacante.
En caso de realizar el reclutamiento de personal, se preseleccionan algunos

CV y se realizan entrevistas.
2.2.2 Contratacin de personal
Califica al candidato que apruebe la entrevista, tomando como base la

informacin del perfil del cargo. Una vez finiquitada la contratacin se coordina
la presentacin de los documentos para archivo en la Carpeta de Personal. Se
elabora el contrato de trabajo y se procede a la obtencin de la firma de ambas
partes.
2.2.3 Iniciacin del cargo
Se realiza una breve presentacin de la universidad informndole entre otros,

sobre los siguientes aspectos: ubicaciones, misin y visin de la universidad,
reglamentos, horarios de trabajo, beneficios, organigrama, entre dems
detalles que ayudaran a un mejor desempeo de sus actividades.
Tambin, es presentado a su Jefe Inmediato, quien le entrega copia de su

Manual de Funciones, donde se especifica la descripcin de cada cargo ,
supervisando su lectura y comprensin y despejando cualquier duda que tenga
al respecto.
2.2.4 Durante el empleo
El empleado realiza las funciones de forma correcta y honesta. A cada

empleado es asignado un equipo informtico con su respectiva informacin de
acceso al sistema, para el proceso de autenticacin.
2.2.5 Cambio o reubicacin del empleado
En caso de cambio de cargo o reubicacin del empleado no existe

documentacin que detalle o deje constancia de lo sucedido. Se notifica,
oralmente al empleado; el rea de recursos humanos realiza en el sistema el
cambio de cargo y por ende, de sueldo, y el empleado se acerca al
departamento de sistema para comunicar su cambio de rol ya que ste puede
conllevar que se le concedan o restringen permisos dentro del sistema.
2.2.6 Separacin del empleado
El jefe de recursos humanos comunica al empleado de la finalizacin de la

relacin laboral. En este proceso se finiquita el contrato laboral y se inactiva la
informacin de acceso correspondiente a dicho empleado. Los trmites de
liquidacin son llevados como un procedimiento perteneciente a la universidad
CAPTULO 3
ETAPA 1: PLANEACIN
3. Etapa 1: Planeacin
3.1 Definicin de la Norma ISO 27002
3.1.1 Seguridad Informtica:
Proteccin de la Infraestructura de las tecnologas de la Informacin dentro de

la universidad. Este tipo de seguridad es importante para la institucin, ya que
se encarga de precautelar por el perfecto estado y funcionamiento de los
equipos informticos donde fluye la informacin. La informacin reside en
medios como estos equipos, soportes de almacenamiento y redes de datos, y
teniendo en cuenta estos aspectos, se hace vital mantener la seguridad
informtica a travs de lineamientos de proteccin.
3.1.2 Gestin de Seguridad de la informacin
La seguridad de la informacin es la proteccin de los activos de la informacin

de un rango amplio de amenazas para poder asegurar la continuidad del
negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones
y las oportunidades comerciales. Estos activos se pueden detallar como:
correos electrnicos, pginas web, imgenes, base de datos,
telecomunicaciones, contratos, documentos, etc.
La seguridad de estos activos de la informacin se logra implementando un

adecuado conjunto de controles; incluyendo polticas, procesos,
procedimientos, estructuras organizacionales y funciones de software y
hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar
estos controles cuando sea necesario para asegurar que se cumplan los
objetivos de seguridad y comerciales especficos.
La gestin de seguridad de la informacin apunta a mantener la estabilidad en

los siguientes aspectos con respecto a estos activos:
Confiabilidad: Acceso solo de personal autorizados.
Integridad: Exactitud y completitud de la informacin y procesos.

Disponibilidad: Acceso a la informacin y procesos por parte del personal
autorizado, cuando lo requieran.
3.1.3 International Organization for Standarization (ISO):
La ISO es una federacin internacional con sede en Ginebra (Suiza) de los

institutos de normalizacin de 157 pases (uno por cada pas). Es una
organizacin no gubernamental (sus miembros no son delegados de gobiernos
nacionales), puesto que el origen de los institutos de normalizacin nacionales
es diferente en cada pas (entidad pblica, privada).
Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestin de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.
3.1.4 ISO 27000, aplicada a la seguridad de la informacin:
Uno de los activos ms valiosos que hoy en da posee las diferentes

universidades, es la informacin y parece ser que cada vez ms sufre grandes
amenazas en cuanto a su confiabilidad y su resguardo, de igual forma la
informacin es vital para el xito y sobrevivencia de las universidades. Con
todo esto todo parece indicar que uno de los principales objetivos de toda
universidad es el aseguramiento de dicha informacin, as como tambin de los
sistemas que la procesan.
Para que exista una adecuada gestin de la seguridad de la informacin dentro

de las organizaciones, es necesario implantar un sistema que aborde esta
tarea de una forma metdica y lgica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est
sometida la informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.
La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
3.1.4.1 Serie ISO 27000
ISO ha reservado la serie de numeracin 27000 para las normas relacionadas

con sistemas de gestin de seguridad de la informacin. En el 2005 incluy en
ella la primera de la serie (ISO 27001), las dems son:
ISO27000 (trminos y definiciones),

ISO27002 (objetivos de control y controles),
ISO27003 (se centra en aspectos crticos en la
implementacin SGSI),
ISO27004 (desarrollo y utilizacin de mtricas y tcnicas
de medida de la efectividad de un SGSI),
ISO27005 (directivas gua para la gestin del riesgo de
seguridad de la informacin)
ISO27006 (proceso de acreditacin de entidades de
auditoras, certificacin y el registro de SGSI).
ISO/IEC 27007 Gua de Auditoria de un SGSI
3.1.5 ISO 27001
Es un estndar ISO que proporciona un modelo para establecer, implementar,

operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de
Seguridad de la Informacin (SGSI). Se basa en el ciclo de vida PDCA
(Planear-Hacer-Verificar-Actuar) de mejora continua, al igual que otras normas
de sistemas de gestin.
Este estndar es certificable, es decir, cualquier organizacin que tenga

implantado un SGSI segn este modelo, puede solicitar una auditora externa
por parte de una entidad acreditada y, tras superar con xito la misma, recibir la
certificacin en ISO 27001.
El origen de la Norma ISO27001 est en el estndar britnico BSI (British

StandardsInstitution) BS7799- Parte 2, estndar que fue publicado en 1998 y
era certificable desde entonces. Tras la adaptacin pertinente, ISO 27001 fue
publicada el 15 de Octubre de 2005.
El enfoque del proceso para la gestin de la seguridad de la informacin
presentado en este estndar internacional fomenta que sus usuarios enfaticen
la importancia de:
Entender los requerimientos de seguridad de la informacin de

una organizacin y la necesidad de establecer una poltica y objetivos para
la seguridad de la informacin.
Implementar y operar controles para manejar los riesgos de la
seguridad de la informacin.
Monitorear y revisar el desempeo del SGSI
Realizar mejoramiento continuo en base a la medicin del objetivo
3.1.6 PDCA (Planear-Hacer-Verificar-Actuar)
El modelo de proceso PDCA, se detalla a continuacin a travs de cada una de

sus fases:
3.1.6.1 PLANIFICACIN
Ilustracin 3. 1 Fase Planificacin
Definir alcance del SGSI: en funcin de caractersticas del

negocio, organizacin, localizacin, activos y tecnologa, los lmites del
SGSI. El SGSI no tiene por qu abarcar toda la organizacin; de hecho, es
recomendable empezar por un alcance limitado.
Definir poltica de seguridad: que incluya el marco general y los
objetivos de seguridad de la informacin de la organizacin, tenga en
cuenta los requisitos de negocio, legales y contractuales en cuanto a
seguridad.
Definir el enfoque de evaluacin de riesgos: definir una
metodologa de evaluacin de riesgos apropiada para el SGSI y las
necesidades de la organizacin, desarrollar criterios de aceptacin de
riesgos y determinar el nivel de riesgo aceptable.
Inventario de activos: todos aquellos activos de informacin que
tienen algn valor para la organizacin y que quedan dentro del alcance del
SGSI.
Identificar amenazas y vulnerabilidades: todas las que afectan a
los activos del inventario.
Identificar los impactos: los que podra suponer una prdida de la
confidencialidad, la integridad o la disponibilidad de cada uno de los
activos.
Anlisis y evaluacin de los riesgos: evaluar el dao resultante de
un fallo de seguridad y la probabilidad de ocurrencia del fallo; estimar el
nivel de riesgo resultante y determinar si el riesgo es aceptable o requiere
tratamiento.
Identificar y evaluar opciones para el tratamiento del riesgo: el
riesgo puede reducido, eliminado, aceptado o transferido.
Seleccin de controles: seleccionar controles para el tratamiento
el riesgo en funcin de la evaluacin anterior.
Aprobacin por parte de la Direccin del riesgo residual y
autorizacin de implantar el SGSI: hay que recordar que los riesgos de
seguridad de la informacin son riesgos de negocio y slo la Direccin
puede tomar decisiones sobre su aceptacin o tratamiento.
Confeccionar una Declaracin de Aplicabilidad: Es, en definitiva,
un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
3.1.6.2 IMPLEMENTACIN (HACER)
Ilustracin 3. 2 FaseHacer
Definir plan de tratamiento de riesgos: que identifique las acciones, recursos,

responsabilidades y prioridades en la gestin de los riesgos de seguridad de la
informacin.
Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos
de control identificados.
Implementar los controles: todos los que se seleccionaron en la fase anterior.
Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de
la informacin.
Desarrollo del marco normativo necesario: normas, manuales, procedimientos
e instrucciones.
Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
Implantar procedimientos y controles de deteccin y respuesta a incidentes de
seguridad.
3.1.6.3 SEGUIMIENTO (CHEQUEAR)
Ilustracin 3. 3 FaseChequear
Ejecutar procedimientos y controles de monitorizacin y revisin: para detectar
errores en resultados de procesamiento, identificar brechas e incidentes de
seguridad, y comprobar si las acciones tomadas para resolver incidentes de
seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI: en funcin de los resultados de
auditoras de seguridad.
Medir la eficacia de los controles.
Revisar regularmente la evaluacin de riesgos: influencian los cambios en la
organizacin, tecnologa, procesos y objetivos de negocio, amenazas, eficacia
de los controles o el entorno.
Realizar regularmente auditoras internas: para determinar si los controles,
procesos y procedimientos del SGSI mantienen la conformidad con los
requisitos de ISO 27001.
Revisar regularmente el SGSI por parte de la Direccin.
Actualizar planes de seguridad: teniendo en cuenta los resultados de la
monitorizacin y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o el
rendimiento del SGSI.
3.1.6.4 MEJORA CONTINA (ACTUAR)
Ilustracin 3. 4 FaseActuar
Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto
en la fase anterior.
Acciones correctivas: para solucionar no conformidades detectadas.
Acciones preventivas: para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras: a todos los interesados y con el nivel
adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia
de cualquier accin, medida o cambio debe comprobarse siempre.
3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI)
El Sistema de Gestin de Seguridad de la Informacin es el concepto central

sobre el que se construye ISO 27001. La gestin de la seguridad de la
informacin debe realizarse mediante un proceso sistemtico, documentado y
conocido por toda la organizacin. Este proceso es el que constituye un SGSI,
que podra considerarse, como el sistema de calidad para la seguridad de la
informacin.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el

caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
gestin de la seguridad de la informacin es, por tanto, garantizar que los
riesgos de la seguridad de la informacin sean conocidos, asumidos,
gestionados y minimizados por la organizacin de una forma documentada,
sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologas.
3.1.8 ISO 27002
ISO/IEC 27002 es un estndar para la seguridad de la informacin publicado

por primera vez como ISO/IEC 17799:2000 por la ISO e IEC en el ao 2000.
Tras un periodo de revisin y actualizacin de los contenidos del estndar, se
public en el ao 2005 el documento actualizado denominado ISO/IEC
17799:2005.
ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la

gestin de la seguridad de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestin de la
seguridad de la informacin. La seguridad de la informacin se define en el
estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)".
La versin de 2005 del estndar incluye las siguientes once secciones
principales:
1. Poltica de Seguridad de la Informacin.

2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. SeguridadFsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de
Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada seccin, se especifican los objetivos de los distintos controles

para la seguridad de la informacin. Para cada uno de los controles se indica,
asimismo, una gua para su implantacin.
3.2 Polticas de la UNIVERSIDAD JOSE MARIA ARGUEDAS.,

aplicadas a Recursos Humanos
3.2.1 Reclutamiento, seleccin e ingreso de personal
POLTICA
Toda creacin de un nuevo puesto y/o cargo, debe ser aprobado por sesin
de consejo, previo al inicio de cualquier proceso de reclutamiento.
3.2.2 Capacitacin de personal
POLTICA
Se promueve la capacitacin del personal, con nfasis el entrenamiento

interno y continuo que cada Jefe de rea debe dar.
3.2.3 Calificacin de personal
POLTICA
Definir la forma de calificar el personal que labora en la universidad.
3.2.4 Transporte y Alimentacin

POLTICA
Normar el pago que por concepto de movilizacin y alimentacin que se

debe efectuar a los colaboradores que por motivo de trabajo deban
permanecer en la institucin. No aplica a jefes de rea.
CAPTULO 4
ANLISIS DE RIESGO
4. Anlisis de Riesgo
4.1 Valoracin de Activos
La valoracin de activos comprende el proceso de determinacin de activos,

establecimiento de las amenazas sobre los activos y clculo del impacto a
partir de varias escalas de valoracin.
4.1.1 Determinacin de Activos:
Los activos que intervienen en el rea de Recursos Humanos de la universidad

JOSE MARIA ARGUEDAS. Son los siguientes:
Tipo de Activo Activo
Servicios Servicio de Internet
Correo Electrnico Interno
Gestin de Identidades
Datos Datos de Gestin Interna
Datos de Carcter Personal
Aplicaciones Software Utilitario
Sistemas Operativos
Navegador Web
Antivirus
EquiposInformticos Informtica Personal
Perifricos
Soporte de Red
Redes de Comunicaciones Celulares
Equipos de Acceso a Internet
Personal Oficina de Admisin
Oficina de Servicios Generales
Oficina de Sistema de Informacin
Oficina de Registros Acadmicos
Oficina de Tesorera
Oficina de Planificacin y presupuesto
Oficina de Recursos Humanos
Oficina de logstica y patrimonio
Oficina de BienestarUniversitario
Tabla 4. 1 Determinacin de Activos
4.1.2 Ponderacin de la Dimensiones de los Activos:
Los activos enlistados sern ponderados en base a la escala correspondiente. Las

dimensiones referenciadas son Confiabilidad, Integridad y Disponibilidad. A
continuacin, se detalla los activos y se estipula la ponderacin de las dimensiones
segn el levantamiento de informacin:
Activo: Servicio Disponibilidad Confiabilidad Integridad Total
Servicio de Internet 5 4 4 13
CorreoElectrnicoInter 5 4 5 14
no
Gestin de 5 5 5 15
Identidades
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio
Activo: Datos Disponibilidad Confiabilidad Integridad Total
Datos de 5 5 4 14
GestinInterna
Datos de Carcter 5 3 3 11
Personal
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos
Activo: Aplicaciones Disponibilidad Confiabilidad Integridad Total
Software Utilitario 5 4 4 13
Sistema Operativo 5 4 3 12
Navegador Web 3 3 3 9
Antivirus 4 4 4 12
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones
Activo: Disponibilidad Confiabilidad Integridad Total

EquiposInformticos
Informtica Personal 5 4 4 13
Perifricos 5 4 3 12
Soporte de Red 5 4 4 13
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos
Activo: Redes de Disponibilidad Confiabilidad Integridad Total

Comunicaciones
Celulares 5 5 4 14
Equipo de Acceso a 5 5 5 15
Internet
Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal
4.1.3 Determinacin de las Amenazas por Activo:

Activo: Servicio Amenazas
Servicio de Internet Uso inapropiado
Acceso no autorizado
Falta de servicio
Interferencia
CorreoElectrnicoInter Usurpacin de identidad

no
Falta de servicio
Reencaminamiento de mensajes
Uso no previsto
Gestin de Uso no previsto

Identidades
Manipulacin de la credencial de acceso
Falta de energa elctrica
Manipulacin de la configuracin del aplicativo
Usurpacin de identidad
Robo o perdida de la credencial de acceso

Tabla 4. 8 Determinacin de Amenazas Activo Servicio
Activo: Datos Amenazas
Datos de Alteracin de la informacin

GestinInterna
Destruccin de la informacin
Cambio de ubicacin de la informacin
Conocimiento no autorizado
Manipulacin de la configuracin
Divulgacin de la informacin
Datos de Carcter Errores de los usuarios

Personal
Conocimiento no autorizado
Degradacin de la informacin
Tabla 4. 9 Determinacin de Amenazas Activo Datos
Activo: Aplicaciones Amenazas
Software Utilitario Ataque de virus
Manipulacin de programas
Errores de usuario
Sistema Operativo Suplantacin de la identidad de usuario
Errores de administracin
Propagacin de software malicioso
Navegador Web Abuso de privilegio de acceso
Manipulacin de configuracin de red
Antivirus Desactualizacin de antivirus
Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones

Activo: Amenazas
EquiposInformticos
Informtica Personal Acceso no autorizado
Modificacin de la asignacin del equipo
Accidentes imprevistos
Manipulacin de las propiedades del equipo
Ingreso no autorizado del equipo

Perifricos Acceso no autorizado
Cambio de ubicacin no autorizado
Soporte de Red Manipulacin de la configuracin de red
Ausencia de puntos de red

Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos
Activo: Redes de Amenazas

Comunicaciones
Celulares Falta de energa elctrica
Cada del servidor de la central telefnica
Equipo de Acceso a Manipulacin de la configuracin

Internet
Cada del servidor proveedor
Problemas con las conexiones del proveedor

Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones
Activo: Personal Amenazas
Oficina de Admisin Desconocimiento de sus funciones
Oficina de Servicios Mala organizacin

Generales
Indisponibilidad del personal
Oficina de Sistema de
Informacin
Oficina de Registros
Acadmicos Extorsin
Oficina de Tesorera Manipulacin de la informacin

Oficina de
Planificacin y
presupuesto
Oficina de Recursos
Humanos
Oficina de logstica y
patrimonio
Oficina de
BienestarUniversitario
Tabla 4. 13 Determinacin de Amenazas Activo Personal
4.1.4 Clculo de riesgo:

A partir del levantamiento de informacin, donde se arrojo el nivel de frecuencia
e impacto al activo mediante la amenaza se han calculado los riesgos por cada
una:
Activo Amenazas Frecuencia Impacto Total
Servicio de Usoinapropiado 3 3 9
Internet
Acceso no autorizado 2 4 8
Falta de servicio 1 5 5
Interferencia 2 4 8
CorreoElectrnicoI Usurpacin de 2 4 8
nterno identidad
Falta de servicio 1 4 4
Reencaminamiento 4 3 12
de mensajes
Uso no previsto 3 3 9
Gestin de Uso no previsto 2 4 8

Identidades
Manipulacin de la 3 5 15
credencial de acceso
Falta de 4 2 8
energaelctrica
configuracin del
aplicativo
Usurpacin de 3 4 12
identidad
Robo o perdida de la 4 5 20
credencial de acceso
Datos de Alteracin de la 2 5 10
GestinInterna informacin
Destruccin de la 3 5 15
informacin
configuracin
Divulgacin de 4 4 16
informacin
Datos de Carcter Errores de los 4 4 16

Personal usuarios
Destruccin de 2 5 10
informacin
Degradacin de la 2 5 10
informacin
Divulgacin de 2 3 6
informacin
Software Utilitarios Ataque de virus 2 2 4
Manipulacin de 3 2 6
programas
Errores de usuario 4 4 16
SistemasOperativ Suplantacin de 3 3 9
os identidad de usuario
Errores de 3 4 12
administracin
Propagacin de 2 3 6
software malicioso
Navegador Web Abuso de privilegios 4 3 12

de acceso
configuracin de red
programas
Antivirus Desactualizacin de 1 2 2
antivirus
Errores de 2 2 4
administracin
programas
Informtica Acceso no autorizado 3 2 6

Personal
Modificacin de la 3 2 6
asignacin del equipo
Accidentesimprevisto 3 2 6
s
Falta de 3 2 6
energaelctrica
Manipulacin de las 3 2 6
propiedades del
equipo
Ingreso no autorizado 2 3 6
de equipo
Perifricos Acceso no autorizado 5 3 15
Impresoras Accidentesimprevisto 4 3 12
Scanners s
Cambio de ubicacin 3 3 9
no autorizado
Soporte de Red Manipulacin de 2 4 8

configuracin de red
Errores de 2 4 8
administracin
Falta de 4 5 20
energaelctrica
Ausencia de puntos 4 4 16
de red
Celulares
Falta de 3 5 15
energaelctrica
s
Cada del servidor de 4 4 16

la central telefnica
Equipo de Acceso Manipulacin de 2 4 8

a Internet configuracin
s
Cada del 2 4 8
servidorproveedor
Problemas con las 2 4 8

conexiones del
proveedor
Errores de 2 4 8
administracin
Falta de 3 5 15
energaelctrica
Personal: Desconocimientos de 4 4 16
susfunciones
Diferentesreas
Mala organizacin 3 3 9
Indisponibilidad del 2 2 4
personal
Divulgacin de 3 3 9
informacin
Extorsin 3 2 6
Manipularinformacin 4 4 16
Destruirinformacin 4 4 16
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos
4.2 Plan de tratamiento de riesgo

ACTIVOS AMENAZAS VULNERABILIDADES PTR
Servicio de Usoinapropiado No respetar los lmites de Aceptar

Internet acceso
Falta de capacitacin
sobre los lmites de Reducir
acceso
Acceso no autorizado No respetar los lmites Aceptar

de acceso
Falta de servicio Problemas del Transferir
proveedor de internet
Interferencia Falta de proteccin de Aceptar

la red
CorreoElect Usurpacin de identidad Falta de control en el Reducir

rnicoIntern acceso
o
Divulgacin de la
Reducir
informacin de acceso
Falta de servicio Falta del servicio de Transferir

Internet
Interferencia con el
Reducir
servidor interno de
correo
Acceso no autorizado No respetar los lmites Aceptar

de acceso
Usurpacin de identidad
Reducir
Reencaminamiento de Falta de seguridad en la Aceptar

mensajes transferencia de
mensajes
Uso no previsto Falta de polticas Reducir

Gestin de Uso no previsto Falta de polticas Reducir
Identidades
Manipulacin de la Falta de Reducir
credencial de acceso implementacin de
mayor seguridades en
la credencial
Falta de energaelctrica Falta de Aceptar

generadorelctrico
Manipulacin de la Falta de polticas Reducir

configuracin del
aplicativo
Usurpacin de identidad Falta de control en el Reducir

acceso
Robo o perdida de la Falta de mtodo de Reducir
credencial de acceso apoyo para el caso
Datos de Alteracin de la Insuficienteentrenamien Reducir

GestinInt informacin to de empleados
erna
Destruccin de la Falta de un debido Reducir
informacin control de acceso a
usuarios y de una
proteccin fsica
Cambio de ubicacin de Falta de proteccin Reducir

la informacin fsica adecuada
Manipulacin de la Falta de un debido Reducir

configuracin control de acceso a
usuarios
Divulgacin de la Almacenamiento no Reducir

informacin protegido
Errores de los usuarios Falta de conocimiento y Reducir

oportuno entrenamiento
Datos de Acceso no autorizado Falta de polticas y Reducir

Carcter proteccin fsica
Personal
usuarios y de una
proteccin fsica
Degradacin de la Falta de Reducir

informacin mantenimientoadecuad
o
Divulgacin de la Almacenamiento no Aceptar

informacin protegido
Ataque de virus Falta de proteccin Aceptar

contra aplicaciones
dainas
Manipulacin de Insuficienteentrenamien Aceptar

programas to de empleados
Software Errores de usuario Falta de conocimiento y Reducir
Utilitario oportuno entrenamiento
Suplantacin de la Falta de control de Aceptar

identidad de usuario acceso
Errores de administracin Falta de conocimiento Reducir

de funciones del
administrador
Sistema Propagacin de software Falta de proteccin y Aceptar

Operativo malicioso controles en las
configuraciones de la
red
Acceso no autorizado Falta de polticas y Reducir

proteccin fsica
Abuso de privilegio de Falta de conocimiento y Reducir

acceso oportuno entrenamiento
Manipulacin de Falta de control de Aceptar

configuracin de red acceso
Navegador Manipulacin de Insuficienteentrenamien Aceptar
Web programas to de empleados
Suplantacin de la Falta de control de Aceptar

identidad de usuario acceso
Cada del servidor web Instalacin de SW no Aceptar

Open KM
Autorizado
Antivirus Acceso no autorizado Falta de polticas Reducir
Modificacin de la Falta de control de Aceptar

asignacin del equipo Acceso
Accidentesimprevistos Condiciones locales Reducir

donde los recursos son
fcilmente afectados
Informtica Falta de energaelctrica Falta de acuerdos bien Aceptar
Personal
definidos con terceras
partes
Manipulacin de las Falta de control de Aceptar
propiedades del equipo acceso
Ingreso no autorizado del Falta de control de Aceptar

equipo acceso
Acceso no autorizado Falta de control de Reducir

acceso

fcilmente afectados
Cambio de ubicacin no Falta de proteccin Aceptar

autorizado fsica adecuada
Perifricos Manipulacin de la Falta de control de Aceptar
configuracin de red seguridad

de funciones del
administrador
Falta de energaelctrica Falta de acuerdos bien Reducir

partes
Soporte de Ausencia de puntos de Capacidad insuficiente Reducir

Red red de los recursos
Manipulacin de la Falta de control de Aceptar

asignacin de las Ips acceso
Falta de energaelctrica Falta de acuerdos bien Reducir

partes

fcilmente afectados
Celulares Cada del servidor de la Falta de acuerdos bien Reducir

central telefnica definidos con terceras
partes
Manipulacin de la Falta de control de Aceptar

configuracin acceso
fcilmente
afectados
Cada del Falta de acuerdos bien Transferir

servidorproveedor definidos con terceras
partes
Equipo de Problemas con las Falta de acuerdos bien Transferir

Acceso a conexiones del proveedor
Internet definidos con terceras
partes

de funciones del
administrador
Falta de energaelctrica Falta de capacitacin Reducir

del administrador
Desconocimiento de Falta de conocimiento y Reducir

susfunciones oportuno entrenamiento
Mala organizacin Desconocimiento de Reducir

estndares y reglas
establecidas por la
universidad
Falta de reglas segn el

caso
Indisponibilidad del Falta de conocimiento y Aceptar

personal oportuno entrenamiento
RecursosH Divulgacin de la Almacenamiento no Reducir

umanos informacin protegido
Extorsin Desconocimiento de Reducir

estndares y reglas
establecidas por la
universidad
Falta de reglas segn el

caso
Manipulacin de la Insuficienteentrenamien Reducir
informacin to de empleados

usuarios y de una
proteccin fsica
Falla en la eleccin del Falta de Reducir

personal especificaciones con
respecto a la seleccin
de personal
Tabla 4. 15 Plan de Tratamiento de Riesgo
4.3 Declaracin de Aplicacin
A continuacin, se detallara la Declaracin de Aplicacin (SOA) para determinar

las responsabilidades del control a realizar a travs del sistema de gestin de
seguridad de la informacin.
CAPTULO 5
ETAPA 2: HACER
5. Etapa 2: Hacer
5.1 Alcance y Lmites de la Gestin de Seguridad
El Sistema de Gestin de Seguridad de la Informacin aplicado al rea de

Recursos Humanos de la universidad JOSE MARIA ARGUEDAS., se desea
implementar en la siguiente rea:
rea Seguridad en el desempeo de las funciones del empleo (Durante el

empleo):
Objetivos:
Asegurar que los empleados, contratistas y terceras partes son conscientes de

las amenazas de seguridad, de sus responsabilidades y obligaciones y que
estn equipados para cumplir con la poltica de seguridad de la organizacin
en el desempeo de sus labores diarias, para reducir el riesgo asociado a los
errores humanos.
5.1.1 Control: Supervisin de las obligaciones
Descripcin: La Direccin debera requerir a empleados, contratistas y

usuarios de terceras partes aplicar la seguridad en concordancia con las
polticas y los procedimientos establecidos de la organizacin.
5.1.2 Control: Formacin y capacitacin en seguridad de la informacin
Descripcin: Todos los empleados de la organizacin y donde sea relevante,

contratistas y usuarios de terceros deberan recibir entrenamiento apropiado
del conocimiento y actualizaciones regulares en polticas y procedimientos
organizacionales como sean relevantes para la funcin de su trabajo.
5.1.3 Control: Procedimiento disciplinario
Descripcin: Debera existir un proceso formal disciplinario para empleados

que produzcan brechas en la seguridad.
5.2 Objetivos
5.2.1 Objetivo General:
Efectuar un sistema de gestin de seguridad de la informacin correspondiente

al rea de recursos humanos para mejorar los procesos de capacitacin y
formacin de seguridad de informacin y demostracin del aplicar el
conocimiento transmitido, mediante el establecimiento de procedimientos y
lineamientos referentes al tema ajustados a controles de actualizacin.
5.2.2 ObjetivosEspecficos:
Establecer y documentar los procedimientos a seguir para realizar

la capacitacin de las polticas de seguridad de informacin que posee la
universidad.
Definir los lineamientos de introduccin del personal a las
tecnologas de la universidad.
Desarrollar controles que permite verificar que las seguridades de
la organizacin estn siendo utilizadas dentro de sus procesos.
Implementar procesos para actualizacin de los posibles cambios
de las polticas de seguridad de la informacin.
Desarrollar los procedimientos debidos para control y resguardo
del flujo de la informacin de recursos humanos.
Crear una conciencia de seguridad aplicable a los activos de
informacin.
Reducir el riesgo de robo, fraude y mal uso de los medios a travs
de informacin vigente, de conocimiento pblico y la conciencia de
seguridad dentro de la universidad.
Determinar procedimientos disciplinarios que permitan sancionar
a todo aquel que infrinja alguna de las polticas de seguridad
implementadas.
Establecer una metodologa de gestin de la seguridad clara y
estructurada.
Accesar a la informacin a travs medidas de seguridad, por
parte de los usuarios.
Revisar continuamente, los controles implementados por la
gestin realizada.
Crear un ambiente de confianza y reglas claras dentro de la
compaa, con respecto a la seguridad de informacin que manipulan y
corresponde al rea gestionada.
Brindar la posibilidad de integrarse con otros sistemas de gestin
y certificar.
Minimizar la paralizacin de las operaciones de negocio por
incidentes de gravedad.
Mantener y mejorar la imagen de confiabilidad y seguridad de la
universidad, siendo elemento diferenciador de la competencia.
Todos estos propsitos tienen la finalidad de cumplir el general, desarrollando

el sistema de gestin indicado para disminuir el nmero de amenazas que
pueden someter a activos de informacin a diversas formas de fraude, sabotaje
o vandalismo. En rea donde se desea aplicar la gestin de seguridad permitir
entre tanto que las amenazas referentes al personal sean conocidas y
reducidas.
5.3Definicin de Polticas de Seguridad

5.3.1 Polticas de Confiabilidad
La gestin a desarrollar indica los siguientes parmetros para mantener la

confiabilidad de la informacin:
Todo cambio dentro de la informacin del sistema debe ser
notificada va escrita firmada por el jefe de departamento que comunica el
cambio, directamente, al encargado del rea de sistemas.
La informacin a ingresar debe ser correctamente revisada, y
teniendo en cuenta que los datos manejados son de vital importancia para
el desempeo de las funciones de la compaa y aun ms relevantes para
los clientes de la misma.
La eliminacin de la informacin no es permitida, solamente se
pueden realizar registros nuevos con la modificacin.
5.3.2 Polticas de integridad
Se sugiere a la universidad seguir los siguientes lineamientos para mantener la

integridad de su informacin:
Cada acceso al sistema deber mediante nombre de usuario y

clave.
El nombre de usuario y clave ser dado al momento de la
incorporacin a la universidad.
En caso de cambio de los datos de acceso, deber ser notificado
por escrito, detallando la causa del cambio y firmado por el responsable y
el jefe del departamento de recursos humanos. Los cambios de cargo,
sueldo, carga familiar, etc. se podrn realizar directamente en el sistema
asignado al rea de recursos humanos.
En caso de finalizacin de la relacin laboral, deber ser
notificado por escrito, detallando la causa y firmado por el responsable y el
jefe del departamento de recursos humanos. El cambio cambiar el estado
de la informacin de acceso a inactivado. Una vez inactivado esta
informacin no podr ser cambiado a ningn otro estado.
Al intentar ingresar al sistema, solo se podr escribir la clave
hasta cinco veces. Al completar el limite, el usuario de bloquear.
El bloqueo de un usuario solo podr ser inhabilitado, mediante un
oficio escrito donde se detalle la causa del bloqueo firmado por el
responsable y el jefe del departamento referido. Este documento debe ser
entregado al encargado del rea de sistemas.
La informacin de acceso es responsabilidad, totalmente, del
empleado a la cual fue asignada y no debe ser divulgada a ningn tercero.
La informacin de acceso es considerada de carcter secreto e
intransferible.
5.3.3 Polticas de disponibilidad
Las polticas de disponibilidad detallan las especificaciones para mantener la

informacin correcta para quienes la puedan consultar:
El ingreso o modificacin de la informacin del sistema ser un
proceso en lnea.
La informacin de los clientes (estudiantes) es considerada de
carcter privado.
En caso de modificacin de la informacin del sistema, el registro
o los registros utilizados sern bloqueados para evitar error en el cambio de
los datos.
5.3.4 Polticas de manejo de Recursos Humanos (Durante el Empleo)
La universidad determina los principios del cumplimiento de las

disposiciones que norman las conductas a seguir para lograr los resultados
buscados, dentro de un clima de trabajo positivo y ajustarlo a la aplicacin
de una justa retribucin.
La universidad debe entrenar, capacitar y actualizar al personal
en las polticas y procedimientos de seguridad que prevn proteger los
activos de informacin.
El personal de la universidad debe estar siempre presto a la
capacitacin de las polticas y procedimientos de seguridad para evitar
realizar infracciones o violaciones de los mismos.
La universidad debe publicar, peridicamente, el listado de
infracciones o violaciones de polticas de seguridad.
El personal de la universidad debe conocer los procedimientos
disciplinarios a seguir en caso de infraccin o violacin de las polticas de
seguridad.
La universidad determina los lineamientos de verificacin de
aplicabilidad de las polticas y procedimientos de seguridad de la
informacin.
5.5 Procedimientos segn el sistema de gestin:

seguridad de la informacin estn siendo aplicados
5.5.1.1 Objetivo
Verificar que las polticas y procedimientos de seguridad de informacin

instalados en la universidad estn siendo aplicados y mediante los mismos se
mantenga el desenvolvimiento de la universidad.
5.5.1.2 Alcance
La Direccin debera requerir a empleados, contratistas y usuarios de terceras
partes aplicar la seguridad en concordancia con las polticas y los
procedimientos establecidos de la organizacin. La aplicacin y cumplimiento
de ste procedimiento es responsabilidad del departamento de Recursos
Humanos.
5.5.1.3 Responsabilidades
Del jefe de rea junto con elJefe Administrativo: Definir los lineamientos de
aplicabilidad de las polticas y procedimientos de seguridad.
Del Jefe de cada rea: Realizar la aplicacin del formulario de aplicabilidad de

polticas de seguridad. Los formularios completados deben ser remitidos al Jefe
Administrativo.
De la Jefe Administrativa: Revisar el formulario de aplicabilidad de polticas

de seguridad, para generar un informe de observaciones. De encontrar alguna
anomala, se registra en el formulario de registro de inconformidad 1. Los
documentos generados deben ser remitidos a los jefes de rea. Aplicar alguna
sancin segn la infraccin realizada y la anotacin de los jefes de rea.
De los jefes de rea: Revisar los informes enviados por el Jefe Administrativo
y realizar anotaciones por cualquier ndole.
5.5.1.4 Descripcin Del Procedimiento
Necesidades de Verificacin de Aplicabilidad de Seguridades.-
Las razones por la cuales se podra considerar que se necesite de realizar

verificacin de la aplicabilidad de las polticas y procedimientos de seguridad
son:
Infringir alguna de las polticas de seguridad que cree dificultades graves

dentro de la organizacin.
Seguimiento de la aplicabilidad de las seguridades.
Cumplir el seguimiento a la aplicabilidad de las polticas y
procedimientos de seguridad.
Sugerencias de los empleados.
Cualquier requerimiento para verificacin de aplicabilidad del personal puede

ser canalizado por escrito.
Plan de Verificacin de Aplicabilidad de Seguridades
1
El Jefe Administrativo
Al inicio de cada ao elabora el Plan de Verificacin de

Aplicabilidad de Seguridades en la planilla correspondiente al plan a elaborar,
el cual debe ser aprobado por el jefe de rea.
En caso de que se hubieran detectado Necesidades de
Verificaciones de Aplicabilidad por cualquiera de los puntos indicados, estas
deben ser consideradas por Actualizacin del Plan de Verificacin de
Aplicabilidad de Seguridades.
El Plan de Verificacin de Aplicabilidad prev aplicar el formulario
de verificacin de aplicabilidad de las polticas de seguridad que incluye serie
de preguntas acerca de las seguridades implementadas en la universidad y
como es aplicada por el cuestionado.
Los empleados
Sern informados sobre la ejecucin del Plan de Verificacin de Aplicabilidad

mediante un boletn de informacin publicado en la cartelera de la universidad.
No se permitirn faltas ni atraso durante la ejecucin del

Plan de Verificacin, sin importancia de ndoles. Cualquier empleado que no
cumpla con lo estipulado, ser considerado para sancin, segn
procedimientos disciplinarios.
Actualizacin del Plan de Verificacin de Aplicabilidad de Seguridades
Si se presentan actividades que se consideren como necesidades de

verificacin de aplicabilidad adicionales a las previstas en el Plan de
Verificacin de Aplicabilidad, estas se ingresarn mediante solicitud escrita.
Dicha verificacin de aplicabilidad deber ser aprobada por el jefe de rea.
5.5.2 Procedimiento para capacitar sobre las polticas y procedimientos

de seguridad de la informacin y sus actualizaciones
5.5.2.1 Objetivo
Comunicar las polticas y procedimientos de seguridad de informacin

instalados en la universidad, a travs de capacitaciones pertinentes para ser
aplicadas en el desarrollo de las actividades diarias.
5.5.2.2 Alcance
La Direccin debera capacitar a empleados, contratistas y usuarios de terceras
partes acerca de la seguridad en concordancia con las polticas y los
procedimientos establecidos de la organizacin. La aplicacin y cumplimiento
de ste procedimiento es responsabilidad del departamento de Recursos
Humanos.
De los Jefes de reajunto con la Jefe Administrativo: Definir el Plan de

Capacitacin: Seguridad de la Informacin.
De la Jefe Administrativo: de coordinar la ejecucin de las actividades de

capacitacin del personal que lo necesite y de hacer seguimiento al
cumplimiento del Plan de Capacitacin.
5.5.2.4 Descripcin del Procedimiento
Necesidades de Capacitacin
Las razones por la cuales se podra considerar que se necesite de capacitacin

son:
Infringir alguna de las polticas de seguridad por desconocimiento de la
misma.
Desarrollar conciencia con respecto a la seguridad de la informacin.
Calificacin del personal que indique necesidad de capacitacin.
Capacitacin organizada por requerimiento del Jefe Administrativo.
Se considera que los empleados desconocen sobre las polticas y los
procedimientos de seguridad.
Sugerencias de los empleados.
Cualquier requerimiento para capacitacin del personal debe ser canalizado

por escrito.
Plan de Capacitacin: Seguridad de la Informacin
Al inicio de cada ao elabora el Plan de Capacitacin: Seguridad

de Informacin en la planilla correspondiente al plan a elaborar, el cual
debe ser aprobado por el jefe de rea.
En caso de que se hubieran detectado Necesidades de
Capacitacin por cualquiera de los puntos indicados, estas deben ser
consideradas para Actualizacin del Plan de Capacitacin: Seguridad de la
Informacin.
El Plan de Capacitacin incluye la informacin referente a:
tema, participantes, horas, y fechas aproximadas.
Los empleados
Sern informados del inicio de una capacitacin con un

tiempo prudente, mediante carta de convocatoria.
No se permitirn faltas ni atraso para ninguna capacitacin,
sin importancia de ndoles, siempre y cuando el empleado haya sido
convocado.
Actualizacin del Plan de Capacitacin: Seguridad de la Informacin
Si se presentan actividades de capacitacin adicionales a las previstas en el

Plan de Capacitacin, estas se ingresarn mediante solicitud escrita. Dicha
capacitacin deber ser aprobada por el jefe de rea. Esto se aplica
principalmente cuando se requiere de capacitaciones externas.
Analiza la solicitud y determina la logstica, presupuesto, costos y posible

cronograma. Toda esta informacin la remite al jefe de rea quien da su
aprobacin.
Si la capacitacin es aprobada, es incluida en el Plan de Capacitacin.
Los incumplimientos al Plan de Capacitacin: Seguridad de la informacin
debern ser justificados en el mismo formato, columna Justificacin de
incumplimiento. En dicha columna se debe registrar la causa de la falta.
Control de Asistencia a Capacitacin
Se estructura un formulario de registro de asistencia a

capacitacin. Si la capacitacin es externa, se debe entregar un formulario
similar a cargo de uno de los enviados y deber ser firmada por los
empleados de la compaa.
Una vez que la capacitacin ha sido terminada, se archiva el
registro de asistencia de la misma.
Certificado de la Capacitacin
Los certificados de capacitacin sern entregados en mismo da
en que la misma ser terminada. Se archiva una copia del certificado en la
carpeta de personal.
Si la capacitacin ha sido externa, el certificado ser entregado
segn la entidad externa. De igual manera, se archiva una copia del
certificado en la carpeta de personal.
5.5.3 Procedimiento para aplicar sanciones por infraccin sobre alguna poltica
de seguridad de la universidad.
5.5.3.1 Objetivo
Aplicar sanciones por infraccin o violacin de alguna poltica de seguridad que

rige en la universidad, por parte del personal que ha sido capacitado, a travs,
de distintos procedimientos disciplinarios.
5.5.3.2 Alcance
Debera existir un proceso formal disciplinario para empleados que produzcan

brechas en la seguridad.
De los Jefes de rea junto con elJefe Administrativo: Definir los

procedimientos disciplinarios que se aplicarn por infraccin o violacin de
alguna poltica de seguridad.
De Jefe Administrativo: de aplicar el procedimiento disciplinario
correspondiente a la infraccin o violacin realizada. Comunicar a los
empleados de dichos procedimientos disciplinarios, valindose del Plan de
Capacitacin: Polticas de Seguridad.
5.5.3.4 Descripcin Del Procedimiento
Tipos de Infracciones o Violaciones a las Polticas de Seguridad.-
Algunos tipos de infraccin o violaciones a las polticas de seguridad por la

cuales se podra considerar aplicar procedimiento disciplinario son:
Alteracin, destruccin, divulgacin y cambio de ubicacin de

informacin (Dentro y fuera de la compaa).
Uso inapropiado de los diferentes recursos (Acceso no
autorizado).
Usurpacin de identidad.
Manipulacin de credenciales de acceso (Ingreso del trabajo)
Manipulacin de la configuracin de los aplicativos de las
estaciones de trabajo.
Errores de administracin aplicados a los aplicativos.
Abuso de privilegios de acceso
Desconocimiento de sus funciones y responsabilidades dentro de
la universidad.
Extorsin
Cualquiera de las infracciones o violaciones detalladas deben ser reportadas

por medio del formulario de infracciones de polticas de seguridad. Las mismas
que deben ser reportadas al Jefe de rea, para que el mismo las remita al Jefe
Administrativo.
Procedimientos Disciplinarios aplicables a Infracciones o Violaciones de

Polticas de Seguridad
Todas las infracciones se vern afectadas por el siguiente flujo:
Se realiza llamado de atencin por escrito al infractor.

Se detalla un memorndum donde se especifica el hecho
realizado y la consecuencia del mismo. Las consecuencias son para la
universidad y para el empleado tanto de tipo monetaria como para su hoja
de vida.
Cada infraccin tiene una diferenciacin en el procedimiento
disciplinario, inscripta a continuacin:
Infraccin o Violacin de Polticas de Procedimiento Disciplinario

Seguridad
Alteracin, destruccin, divulgacin y Llamado de atencin en la hoja de

cambio de ubicacin de informacin vida.
(Dentro y fuera de la compaa).
Capacitacin acerca de activos de
informacin y su proteccin.
Uso inapropiado de los diferentes Capacitacin acerca de los recursos

recursos (Acceso no autorizado). de la universidad y su uso autorizado.
Usurpacin de identidad Llamado de atencin grave en la hoja
de vida.
Reunin directa con el jefe de rea

Regional y El Jefe Administrativo.
Manipulacin de credenciales de Llamado de atencin grave en la hoja

acceso (Ingreso del trabajo) de vida.
Reunin directa con el jefe

administrativo
Manipulacin de la configuracin de Capacitacin acerca de recursos

los aplicativos y recursos de las informticos de la compaa, a cargo
estaciones de trabajo. de delegado de Jefe de rea
Sistemas.
Errores de administracin aplicados Reunin con el Jefe de rea

al software informtico. Sistemas.
Revisin del Manual de Funciones y

Responsabilidades del rea Sistemas.
Abuso de privilegios de acceso Llamado de atencin en la hoja de

vida.
Capacitacin acerca de recursos

informticos de la compaa, a cargo
de delegado de Jefe de rea
Sistemas.
Desconocimiento de sus funciones y Llamado de atencin en la hoja de

responsabilidades dentro de la vida.
universidad.
Reunin con el Jefe de rea para
revisin de Manual de Funciones y
Responsabilidad del rea al cual
pertenezca el infractor.
Extorsin Separacin de la universidad
Tabla 5. 1 Infracciones o Violaciones de Polticas de Seguridad
La aplicacin de cualquier procedimiento disciplinario ser supervisada por el

encargado de la misma de mayor rango jerrquico y generara un formulario de
seguimiento de aplicacin de procedimientos disciplinarios. Cada
procedimiento disciplinario generara un archivo final que reflejara lo dispuesto,
segn la sancin. Toda la documentacin que arroje cualquiera de los
procedimientos disciplinarios ser archivada en la Carpeta de Personal.
Deteccin de las Infracciones o Violaciones de Polticas de Seguridad:
Infraccin o Violacin de Polticas de Procedimiento de Deteccin

Seguridad
Alteracin, destruccin, divulgacin y Falta o modificacin de la informacin,

cambio de ubicacin de informacin detectada mediante consulta de la
(Dentro y fuera de la compaa). misma.
Divulgacin escrita o verbal de

informacin
Conocimiento de informacin por

personas externas a la universidad
Uso inapropiado de los diferentes Observacin visual

recursos (Acceso no autorizado).
Revisin de recursos mal utilizados
Usurpacin de identidad Doble inicio de sesin
Manipulacin de la configuracin de
usuario o de las opciones permitidas
al mismo.
Manipulacin de credenciales de Alteraciones en la credencial de

acceso (Ingreso del trabajo) acceso
Manipulacin de la configuracin de Observacin visual, incluye reubicacin
los aplicativos y recursos de las
Comprobacin de manipulacin de
estaciones de trabajo.
aplicativo por otro usuario
Inhabilitacin del usuario por

manipulacin de usuario.
Errores de administracin aplicados Fallas del aplicativo en el nivel de

al software informtico. clientes
Fallas en los privilegios de acceso

(Desactivar acceso de pginas web
para desarrollo de trabajo)
Abuso de privilegios de acceso Observacin visual
Atraso de la productividad por uso

inapropiado de los recursos
informticos
Desconocimiento de sus funciones y Mal desempeo de sus actividades

responsabilidades dentro de la
universidad. Intermisin en las actividades de otro
empleado
Atraso de la productividad
Extorsin Prueba escrita recibida por cualquier

medio, que muestra la extorsin
(Dentro o fuera de la universidad)
Tabla 5. 2 Deteccin de las Infracciones o Violaciones de Polticas de Seguridad
Aplicacin de los Procedimientos Disciplinarios
Los Jefes de rea
Detecta la infraccin y enva por llamado de atencin por escrito

al infractor.
Realiza memorndum donde se especifica el hecho realizado y la
consecuencia del mismo.
Enva los documentos al Jefe Administrativo para realizar la
aplicacin de los procedimientos disciplinarios.
Realiza la capacitacin si el caso lo requiere.
Colabora con la definicin de los procedimientos disciplinarios.

Revisa la documentacin enviada por cualquier Jefe de rea en
caso de infraccin o violacin de polticas de seguridad.
Aplica el procedimiento disciplinario segn la infraccin realizada.
Reporta al Jefe Administrativo - Recursos Humanos, la
documentacin resultante de la aplicacin del procedimiento disciplinario.
El Jefe de rea
Define los procedimientos disciplinarios en colaboracin con la

Jefe Administrativo.
Colabora con la aplicacin de los procedimientos disciplinarios
dependiendo de la infraccin.
Los empleados
Conocen los procedimientos disciplinarios.

Evitan infringir las polticas y procedimientos de seguridad de
informacin.
Acatan los procedimientos disciplinarios, segn su infraccin. Se
acogen a las actividades a seguir.
Actualizacin de los Procedimientos Disciplinarios
Si se presentan infracciones o violaciones a polticas de seguridad que se

consideran relevantes y que se realicen por primera vez, se debe adjuntar a los
Tipos de Infracciones y Violaciones de Polticas de Seguridad.
Los Jefes de rea
Redactan un informe, detallando la infraccin, las consecuencias

para el empleado y para la universidad y la forma como fue detectada.
Dichoinformeesremitido al Jefe Administrativo.
Analiza el informe enviado por cualquiera de los Jefes de rea y

determina el nivel de afectacin de la infraccin.
Si la infraccin se determina importante, es incluida en los Tipos
de Infracciones y Violaciones de Polticas de Seguridad.
CONCLUSIONES Y RECOMENDACIONES
Conclusiones y Recomendaciones
La gestin de la seguridad de la informacin se realiza mediante un proceso
sistemtico, documentado y conocido por toda la organizacin. La utilizacin de
un SGSI permite dotar a la entidad de las herramientas o mecanismos
necesarios para poder afrontar los riesgos presentes en las universidades.
Una de las razones ms importantes para implementar un SGSI es la de
atenuar los riesgos propios de los activos de informacin de la universidad. Una
acertada identificacin de tales activos, su definicin correcta del alcance y
unas polticas de seguridad claras y completas, son determinantes para la
correcta implantacin del SGSI.
Un SGSI no se ajusta cada vez que se genera un incidente de seguridad, pues
la labor de quienes tienen la funcin de seguridad de la informacin en la
universidad no debe ser nicamente la administracin de los controles creados
para cada situacin de riesgo. Se debe actuar de manera que se anticipe a los
hechos y para ello el SGSI debe estar en capacidad de ayudar a la universidad
en la definicin de acciones que mitigan los riesgos sobre los activos ms
crticos sin tener que esperar que los eventos ocurran.
La implantacin y operacin de un SGSI ofrece ventajas para la universidad al
disponer de una metodologa dedicada a la seguridad de la informacin
reconocida internacionalmente, contar con un proceso definido para evaluar,
implementar, mantener y administrar la seguridad de la informacin, diferencia
una universidad de otro con esto satisfacemos de una mejor manera los
requerimientos de clientes(estudiantes), proveedores y organismos de control,
formalizando las responsabilidades operativas y legales de los usuarios
internos y externos de la Informacin y ayuda al cumplimiento de las
disposiciones legales nacionales e internacionales.

Ari Trabajo v1

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ari Trabajo v1

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSIDAD NACIONAL JOS MARA ARGUEDAS

ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

CURSO: ADMINISTRACION DE RECURSOS INFORMATICOS

El presente Trabajo de caso de estudio se enfoca en la reorganizacin del

La implementacin de un sistema de gestin de seguridad de informacin en la

Se decidi la aplicacin de la gestin de seguridad de informacin en el

A continuacin, se determinan las generalidades de la universidad, los

El esfuerzo empleado en realizar este trabajo de estudio garantiza la calidad

2.1 Antecedentes de la universidad: 11

2.2 Descripcin del funcionamiento del rea Recursos Humanos 11

2.2.1 Seleccin de personal 11

2.2.2 Contratacin de personal 11

2.2.4 Durante el empleo 12

2.2.5 Cambio o reubicacin del empleado 12

2.2.6 Separacin del empleado 12

3.1 Definicin de la Norma ISO 27002 13

3.1.1 Seguridad Informtica: 13

3.1.2 Gestin de Seguridad de la informacin 13

3.1.3 International Organization for Standarization (ISO): 14

3.1.4 ISO 27000, aplicada a la seguridad de la informacin: 14

3.1.4.1 Serie ISO 27000 15

3.1.5 ISO 27001 15

3.1.6 PDCA (Planear-Hacer-Verificar-Actuar) 16

3.1.6.2 IMPLEMENTACIN (HACER) 18

3.1.6.3 SEGUIMIENTO (CHEQUEAR) 19

3.1.6.4 MEJORA CONTINA (ACTUAR) 20

3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI) 20

3.1.8 ISO 27002 21

Reclutamiento, seleccin e ingreso de personal 22

4.1 Valoracin de Activos 22

4.1.1 Determinacin de Activos: 23

4.1.2 Ponderacin de la Dimensiones de los Activos: 23

4.1.3 Determinacin de las Amenazas por Activo: 25

4.1.4 Clculo de riesgo: 27

4.2 Plan de tratamiento de riesgo 30

4.3 Declaracin de Aplicacin 34

5.1 Alcance y Lmites de la Gestin de Seguridad 37

5.1.1 Control: Supervisin de las obligaciones 37

5.1.2 Control: Formacin y capacitacin en seguridad de la informacin 38

5.1.3 Control: Procedimiento disciplinario 38

5.2.1 Objetivo General: 38

5.2.2 Objetivos Especficos: 38

5.3Definicin de Polticas de Seguridad 39

5.3.1 Polticas de Confiabilidad 39

5.3.2 Polticas de integridad 40

5.3.3 Polticas de disponibilidad 40

5.3.4 Polticas de manejo de Recursos Humanos (Durante el Empleo) 41

5.5 Procedimientos segn el sistema de gestin: 41

5.5.2 Procedimiento para capacitar sobre las polticas y procedimientos de

Procedimiento para aplicar sanciones por infraccin sobre alguna poltica de

Ilustracin 3. 1 Fase Planificacin 24

2.1 Antecedentes de la universidad: 13

2.2 Descripcin del funcionamiento del rea Recursos Humanos 13

2.2.1 Seleccin de personal 13

2.2.2 Contratacin de personal 13

2.2.4 Durante el empleo 14

2.2.5 Cambio o reubicacin del empleado 14

2.2.6 Separacin del empleado 14

3.1 Definicin de la Norma ISO 27002 15

3.1.1 Seguridad Informtica: 15

3.1.2 Gestin de Seguridad de la informacin 15

3.1.4 ISO 27000, aplicada a la seguridad de la informacin: 16

3.1.4.1 Serie ISO 27000 17

3.1.5 ISO 27001 17