Documente Academic
Documente Profesional
Documente Cultură
FACULTAD DE INGENIERA
IMPLEMENTACIN DE ITIL EN
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN APLICADA
AL REA DE RECURSOS HUMANOS DE LA UNIVERSIDAD NACIONAL
JOSE MARIA ARGUEDAS
AUTORES:
ALAN DEIVER TELLO RAMOS
MILTON ERIK VIVANCO QUINTANA
DOCENTE:
ING.LEONIDAS ASTO HUAMAN
FECHA DE ENTREGA:24 DE ENERO DE 2017
Pgina 1 de 58
RESUMEN GENERAL
CAPTULO 1 8
Marco Referencial 8
CAPTULO 2 10
Generalidades de la Universidad: 11
CAPTULO 3 13
3 Etapa 1: Planeacin 13
3.1.6.1 PLANIFICACIN 16
Capacitacin de personal 22
Calificacin de personal 22
Transporte y Alimentacin 22
CAPTULO 4 22
4. Anlisis de Riesgo 22
CAPTULO 5 37
Etapa 2: Hacer 37
5.2 Objetivos 38
Marco Referencial 10
CAPTULO 2 12
Generalidades de la Universidad: 13
CAPTULO 3 15
3Etapa 1: Planeacin 15
3.1.6.1 PLANIFICACIN 18
Capacitacin de personal 24
Calificacin de personal 24
Transporte y Alimentacin 24
CAPTULO 4 24
4. Anlisis de Riesgo 24
CAPTULO 5 39
Etapa 2: Hacer 39
5.2 Objetivos 40
Marco Referencial 12
CAPTULO 2 15
Generalidades de la Universidad: 16
CAPTULO 3 18
3Etapa 1: Planeacin 18
3.1.6.1 PLANIFICACIN 21
3.1.6.2 IMPLEMENTACIN (HACER) 23
Capacitacin de personal 27
Calificacin de personal 27
Transporte y Alimentacin 27
CAPTULO 4 27
4. Anlisis de Riesgo 27
CAPTULO 5 42
Etapa 2: Hacer 42
5.2 Objetivos 43
51
CAPTULO 1
MARCO REFERENCIAL
1. Marco Referencial
Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestin de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.
La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
El objetivo de desarrollar un sistema de gestin de seguridad de la informacin
para la organizacin es disminuir el nmero de amenazas que, aprovechando
cualquier vulnerabilidad existente, pueden someter a activos de informacin a
diversas formas de fraude, sabotaje o vandalismo. Las amenazas que pueden
considerarse de mayor relevancia en la institucin son los virus informticos, la
violacin de la privacidad de los empleados y estudiantes, los empleados
deshonestos, intercepcin de transmisin de datos o comunicaciones y/o fallas
tcnicas de manera voluntaria o involuntariamente.
2. Generalidades de la Universidad:
Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestin de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.
La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
3.1.6.1 PLANIFICACIN
Ilustracin 3. 2 FaseHacer
Ilustracin 3. 3 FaseChequear
Ejecutar procedimientos y controles de monitorizacin y revisin: para detectar
errores en resultados de procesamiento, identificar brechas e incidentes de
seguridad, y comprobar si las acciones tomadas para resolver incidentes de
seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI: en funcin de los resultados de
auditoras de seguridad.
Medir la eficacia de los controles.
Revisar regularmente la evaluacin de riesgos: influencian los cambios en la
organizacin, tecnologa, procesos y objetivos de negocio, amenazas, eficacia
de los controles o el entorno.
Realizar regularmente auditoras internas: para determinar si los controles,
procesos y procedimientos del SGSI mantienen la conformidad con los
requisitos de ISO 27001.
Revisar regularmente el SGSI por parte de la Direccin.
Actualizar planes de seguridad: teniendo en cuenta los resultados de la
monitorizacin y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o el
rendimiento del SGSI.
Ilustracin 3. 4 FaseActuar
Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto
en la fase anterior.
Acciones correctivas: para solucionar no conformidades detectadas.
Acciones preventivas: para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras: a todos los interesados y con el nivel
adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia
de cualquier accin, medida o cambio debe comprobarse siempre.
POLTICA
Toda creacin de un nuevo puesto y/o cargo, debe ser aprobado por sesin
de consejo, previo al inicio de cualquier proceso de reclutamiento.
POLTICA
POLTICA
CAPTULO 4
ANLISIS DE RIESGO
4. Anlisis de Riesgo
Gestin de Identidades
Sistemas Operativos
Navegador Web
Antivirus
Perifricos
Soporte de Red
Oficina de Tesorera
Oficina de BienestarUniversitario
Tabla 4. 1 Determinacin de Activos
Servicio de Internet 5 4 4 13
CorreoElectrnicoInter 5 4 5 14
no
Gestin de 5 5 5 15
Identidades
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio
Datos de 5 5 4 14
GestinInterna
Datos de Carcter 5 3 3 11
Personal
Software Utilitario 5 4 4 13
Sistema Operativo 5 4 3 12
Navegador Web 3 3 3 9
Antivirus 4 4 4 12
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones
Informtica Personal 5 4 4 13
Perifricos 5 4 3 12
Soporte de Red 5 4 4 13
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos
Celulares 5 5 4 14
Equipo de Acceso a 5 5 5 15
Internet
Acceso no autorizado
Falta de servicio
Interferencia
Acceso no autorizado
Reencaminamiento de mensajes
Uso no previsto
Usurpacin de identidad
Conocimiento no autorizado
Manipulacin de la configuracin
Divulgacin de la informacin
Conocimiento no autorizado
Destruccin de la informacin
Degradacin de la informacin
Divulgacin de la informacin
Manipulacin de programas
Errores de usuario
Errores de administracin
Acceso no autorizado
Manipulacin de programas
Errores de administracin
Manipulacin de programas
Accidentes imprevistos
Accidentes imprevistos
Errores de administracin
Accidentes imprevistos
Errores de administracin
Oficina de Recursos
Humanos
Oficina de logstica y
patrimonio
Oficina de
BienestarUniversitario
Tabla 4. 13 Determinacin de Amenazas Activo Personal
Servicio de Usoinapropiado 3 3 9
Internet
Acceso no autorizado 2 4 8
Falta de servicio 1 5 5
Interferencia 2 4 8
CorreoElectrnicoI Usurpacin de 2 4 8
nterno identidad
Falta de servicio 1 4 4
Acceso no autorizado 4 3 12
Reencaminamiento 4 3 12
de mensajes
Uso no previsto 3 3 9
Falta de 4 2 8
energaelctrica
Manipulacin de la 2 2 4
configuracin del
aplicativo
Usurpacin de 3 4 12
identidad
Robo o perdida de la 4 5 20
credencial de acceso
Datos de Alteracin de la 2 5 10
GestinInterna informacin
Destruccin de la 3 5 15
informacin
Manipulacin de la 2 5 10
configuracin
Divulgacin de 4 4 16
informacin
Acceso no autorizado 3 3 9
Destruccin de 2 5 10
informacin
Degradacin de la 2 5 10
informacin
Divulgacin de 2 3 6
informacin
Manipulacin de 3 2 6
programas
Errores de usuario 4 4 16
SistemasOperativ Suplantacin de 3 3 9
os identidad de usuario
Errores de 3 4 12
administracin
Propagacin de 2 3 6
software malicioso
Acceso no autorizado 3 4 12
Manipulacin de 2 3 6
configuracin de red
Manipulacin de 2 2 4
programas
Antivirus Desactualizacin de 1 2 2
antivirus
Errores de 2 2 4
administracin
Manipulacin de 2 2 4
programas
Accidentesimprevisto 3 2 6
s
Falta de 3 2 6
energaelctrica
Manipulacin de las 3 2 6
propiedades del
equipo
Ingreso no autorizado 2 3 6
de equipo
Impresoras Accidentesimprevisto 4 3 12
Scanners s
Cambio de ubicacin 3 3 9
no autorizado
Errores de 2 4 8
administracin
Falta de 4 5 20
energaelctrica
Ausencia de puntos 4 4 16
de red
Celulares
Falta de 3 5 15
energaelctrica
Accidentesimprevisto 3 3 9
s
Accidentesimprevisto 2 4 8
s
Cada del 2 4 8
servidorproveedor
Errores de 2 4 8
administracin
Falta de 3 5 15
energaelctrica
Personal: Desconocimientos de 4 4 16
susfunciones
Diferentesreas
Mala organizacin 3 3 9
Indisponibilidad del 2 2 4
personal
Divulgacin de 3 3 9
informacin
Extorsin 3 2 6
Manipularinformacin 4 4 16
Destruirinformacin 4 4 16
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos
Falta de capacitacin
sobre los lmites de Reducir
acceso
Interferencia con el
Reducir
servidor interno de
correo
Usurpacin de identidad
Reducir
afectados
CAPTULO 5
ETAPA 2: HACER
5. Etapa 2: Hacer
Objetivos:
5.2 Objetivos
5.2.2 ObjetivosEspecficos:
5.5.1.1 Objetivo
5.5.1.2 Alcance
La Direccin debera requerir a empleados, contratistas y usuarios de terceras
partes aplicar la seguridad en concordancia con las polticas y los
procedimientos establecidos de la organizacin. La aplicacin y cumplimiento
de ste procedimiento es responsabilidad del departamento de Recursos
Humanos.
5.5.1.3 Responsabilidades
Del jefe de rea junto con elJefe Administrativo: Definir los lineamientos de
aplicabilidad de las polticas y procedimientos de seguridad.
1
El Jefe Administrativo
Los empleados
5.5.2.1 Objetivo
5.5.2.2 Alcance
La Direccin debera capacitar a empleados, contratistas y usuarios de terceras
partes acerca de la seguridad en concordancia con las polticas y los
procedimientos establecidos de la organizacin. La aplicacin y cumplimiento
de ste procedimiento es responsabilidad del departamento de Recursos
Humanos.
5.5.2.3 Responsabilidades
Necesidades de Capacitacin
El Jefe Administrativo
Los empleados
El Jefe Administrativo
El Jefe Administrativo
5.5.3 Procedimiento para aplicar sanciones por infraccin sobre alguna poltica
de seguridad de la universidad.
5.5.3.1 Objetivo
5.5.3.2 Alcance
5.5.3.3 Responsabilidades
Manipulacin de la configuracin de
usuario o de las opciones permitidas
al mismo.
Atraso de la productividad
El Jefe Administrativo
El Jefe de rea
Los empleados
CONCLUSIONES Y RECOMENDACIONES
Conclusiones y Recomendaciones
La gestin de la seguridad de la informacin se realiza mediante un proceso
sistemtico, documentado y conocido por toda la organizacin. La utilizacin de
un SGSI permite dotar a la entidad de las herramientas o mecanismos
necesarios para poder afrontar los riesgos presentes en las universidades.
Una de las razones ms importantes para implementar un SGSI es la de
atenuar los riesgos propios de los activos de informacin de la universidad. Una
acertada identificacin de tales activos, su definicin correcta del alcance y
unas polticas de seguridad claras y completas, son determinantes para la
correcta implantacin del SGSI.
Un SGSI no se ajusta cada vez que se genera un incidente de seguridad, pues
la labor de quienes tienen la funcin de seguridad de la informacin en la
universidad no debe ser nicamente la administracin de los controles creados
para cada situacin de riesgo. Se debe actuar de manera que se anticipe a los
hechos y para ello el SGSI debe estar en capacidad de ayudar a la universidad
en la definicin de acciones que mitigan los riesgos sobre los activos ms
crticos sin tener que esperar que los eventos ocurran.
La implantacin y operacin de un SGSI ofrece ventajas para la universidad al
disponer de una metodologa dedicada a la seguridad de la informacin
reconocida internacionalmente, contar con un proceso definido para evaluar,
implementar, mantener y administrar la seguridad de la informacin, diferencia
una universidad de otro con esto satisfacemos de una mejor manera los
requerimientos de clientes(estudiantes), proveedores y organismos de control,
formalizando las responsabilidades operativas y legales de los usuarios
internos y externos de la Informacin y ayuda al cumplimiento de las
disposiciones legales nacionales e internacionales.