Documente Academic
Documente Profesional
Documente Cultură
NACIONAL HERMILIO
VALDIZAN
FACULTAD DE INGENIERA
INDUSTRIAL Y DE SISTEMAS
E.A.PAPLICACIN DE LA
INGENIERA DE SISTEMAS
TEM METODOLOGA MAGERIT PARA
ANLISIS Y GESTIN DE
A: RIESGOS EN LA DIRECCIN DE
INFORMTICA DE LA UNHEVAL
INTEGRANTES :
Huamn Aranda, Luis.
Huaman Callupe, Carla.
Ramn Espinoza, Javier
Talenas Pasquel, Lisbeth.
Hunuco Per
2014
INDICE
INDICE.......................................................................................................2
PRESENTACIN.........................................................................................5
INTRODUCCIN.........................................................................................6
PLANTEMIENTO DEL PROBLEMA...............................................................8
JUSTIFICACIN.........................................................................................10
OBJETIVOS...............................................................................................11
OBJETIVO GENERAL..............................................................................11
OBJETIVOS ESPECFICOS......................................................................11
HIPOTESIS...............................................................................................12
MARCO TERICO.....................................................................................13
DEFINICINES:.....................................................................................13
1) SEGURIDAD DE LA INFORMACIN....................................................13
2) CONSIDERACIONES DELIBERADAS A LA SEGURIDAD DE LA
INFORMACIN..................................................................................... 14
3) METODOLOGIAS DE ANLISIS DE RIESGO.......................................17
4) HERRAMIENTA DE APOYO..................................................................18
5) MAGERIT.............................................................................................. 18
6) REGULACIONES Y NORMAS QUE TRATAN EL RIESGO.....................20
ANALISIS DE RIESGO DE LOS ACTIVOS DE LA DIRECCIN DE
INFORMTICA....................................................................................22
a) ACTIVOS DE LA DIRECCIN DE INFORMTICA UNHEVAL............23
b) SALVAGUARDA ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 26
c) VALORACIN ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 34
d) AMENAZASEN ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 39
e) VULNERABILIDAD DE ACTIVOS DE LA DIRECCIN DE
INFORMTICA UNHEVAL..................................................................48
f) IMPACTO DE ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 57
g) TIPIFICACIN DE ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL............................................................................................. 68
h) RIESGO EFECTIVO DE ACTIVOS DE LA DIRECCIN DE
INFORMTICA UNHEVAL..................................................................81
ANALISIS E INTERPRETACIN DE RESULTADOS..............................92
ANALISIS DE RIESGO............................................................................92
SEMAFORIZACIN DE RESULTADOS.....................................................94
CALIFICACIN DE LOS RIESGOS...........................................................95
a) RIESGOS ASUMIBLES ACEPTABLES:..............................................95
b) RIESGOS APRECIABLES TOLERABLES...........................................96
c) RIESGOS GRAVES INACEPTABLES.................................................99
d) RIESGOS CRTICOS INADMISIBLES:.............................................101
MANEJO DE LOS RIESGOS..................................................................102
TIPO DE MANEJO DE LOS RIESGOS.......................................................103
POLITICAS DE SEGURIDAD DE LOS ACTIVOS DE LA DIRECCIN
DE INFORMTICA............................................................................105
GENERALIDADES.................................................................................... 105
NIVELES DE SEGURIDAD........................................................................112
PLAN DE CONTINGENCIA DE LA DIRECCIN DE INFORMTICA...137
INTRODUCCIN..................................................................................137
DEFINICIONES Y ALCANCES..................................................................138
1.1.1.LA SEGURIDAD FSICA..................................................................141
1.1.2.CONCEPTOS GENERALES.............................................................145
1.2. SEGURIDAD INTEGRAL DE LA INFORMACIN.............................149
DESARROLLO DEL PLAN DE CONTINGENCIA DE LA INFORMACIN. .149
1.3. FASE I :PLANIFICACIN.............................................................150
1.3.1.DIAGNOSTICO.............................................................................. 150
1.3.2.PLANIFICACIN............................................................................ 158
1.4. FASE II :IDENTIFICACIN DE RIESGOS......................................160
1.4.1.ANLISIS Y EVALUACIN DE RIESGOS.....................................160
1.4.2.Identificar los procesos crticos.................................................160
1.5. FASE III : IDENTIFICACIN DE SOLUCIONES.............................161
1.5.1.IDENTIFICACIN DE ALTERNATIVAS..........................................161
1.5.2.IDENTIFICACIN DE EVENTOS ACTIVADORES.........................162
1.5.3.IDENTIFICACIN DE SOLUCIONES.............................................162
1.5.4.FALLAS GENRICAS FUNCIONALES DE LOS SISTEMAS.........164
1.5.5.SEGURIDAD EN REDES...............................................................165
1.6. FASE 5: IMPLEMENTACIN........................................................166
1.6.1.DE LAS EMERGENCIAS FSICAS.................................................166
1.6.2.DE LAS EMERGENCIAS LGICAS DE DATOS............................171
CONCLUSIONES Y RECOMENDACIONES.............................................173
CONCLUSIONES.....................................................................................174
RECOMENDACIONES.............................................................................176
BIBLIOGRAFA........................................................................................177
PRESENTACIN
OBJETIVOS ESPECFICOS
HIPOTESIS
El uso de la metodologa MAGERIT nos permitir analizar, evaluar y
gestionar riesgos en base a resultados cuantitativos y cualitativos
obtenidos en su anlisis en la Direccin de Informtica de la
Universidad Nacional Hermilio Valdizn de Hunuco.
MARCO TERICO
DEFINICINES:
1) SEGURIDAD DE LA INFORMACIN
a) ATAQUES PASIVOS
b) ATAQUES ACTIVOS
a) ACTIVO
b) AMENAZAS
c) AUDITORA
d) CONTROL
e) IMPACTO
g) MECANISMOS DE SALVAGUARDA
h) VULNERABILIDAD
i) CONFIDENCIALIDAD
j) AUTENTICACIN
k) INTEGRIDAD
l) DISPONIBILIDAD
5) MAGERIT
ENTORNO
9 Servidor WEB
10 Servidor Firewal
11 Servidor de Correos
12 ASA (Servidor para la Seguridad de la Red)
13 Fibra ptica
14 Gabinetes Switch CISCO
15 Cmaras IP de Seguridad
16 computadoras de oficio
17 Impresora
18 Router
19 CD's de Instalacin de Aplicativos
20 Servidor FTP(ProFTP)
21 Servidor de Base de Datos(MySQL)
22 Servidor HTTP(APACHE)
SISTEMA DE INFORMACIN
23 Sistema Acadmico
24 Sistema de Caja
25 Sistema SIGA - SIAF (Herramienta del Estado)
26 Sistema SIGU (Estadstica)
27 Sistema de Tesorera
28 MS SQL Server 2005, 2008
29 MS Windows Server 2003, 2008
30 MS Office
31 MS Visual Studio
32 MS Windows 7
33 HIPER-V
34 VMWare Workstation
35 FIREWALL Interno-Externo
36 Backups de la Pagina institucional - Bases de Datos
37 Documentos recibidos a la DI INFORM
38 Documento Emitidos de la DI ACIN
39 Documentos oficiales impresos de la DI
40 Plan estratgico
FUNCIONES DE LA
ORGANIZACIN
41 MOF para la DI
42 ROF de la DI
43 Plan Operativo Informtico
44 Plan estratgico de Sistemas de informacin
45 Manual de Configuracin
46 Soporte Tcnico Interno
47 Soporte Tcnico Externo
48 Administracin de Permisos INFORM
ACION-
49 Identidad del Usuario GESTIO
N
Una vez identificados los activos que estn relacionados con el proyecto
de software es necesario valorar el nivel de importancia que tienen estos
en el desarrollo del mismo, para ello se debe definir las dimensiones o
criterios bajo los cuales se van a evaluar, como por ejemplo:
Es importante recordar que recordar que tanto los activos como los
mecanismos asociados a ellos se corresponden con el Sistema de
Informacin en desarrollo y no con el actual pues el principal objetivo de
este proyecto es la automatizacin total del proyecto lo que implica un
cambio radical en el conjunto de activos, de mecanismos asociados y de
amenazas sobre stos. Teniendo en cuenta estas caractersticas del
sistema en desarrollo se cambia el cometido de esta actividad, as en lugar
de seleccionar mecanismo existentes se proponen funciones o servicios de
salvaguardas nuevos. A continuacin se muestran una tabla con los
activos, las salvaguardas propuestas y los estados de seguridad que
refuerzan.
ESTADO DE
N ACTIVO NIVEL SALVAGUARDA
SEGURIDAD
Integridad El de
Mantenimiento del
1 UPS General compro
equipo en uso Disponibilidad
Restriccin del acceso, Disponibilidad Si el activo
2 Switch Core Mantenimiento del desp
activo en uso Autenticacin dispon
Restriccin del acceso, Disponibilidad Si el activo
Switch CISCO
3 Mantenimiento del desp
Administrable Autenticacin
activo en uso dispon
Disponibilidad Si el ser
Restriccin del acceso a
ENTONO
Confidencialidad despe
Servidor las instalaciones e
autori
4 Administrador de implementacin de Autenticacin integridad
Switch's contraseas de
y no
seguridad Integridad
info
Disponibilidad Si el ser
Restriccin del acceso a
Confidencialidad despe
las instalaciones e
Servidor Proxy (ISA autori
5 implementacin de Autenticacin
Server) integridad
contraseas de
y no
seguridad Integridad
info
Restriccin del acceso a Disponibilidad Si el ser
6 Servidor Antivirus las instalaciones e Confidencialidad despe
implementacin de Autenticacin autori
Integridad
contraseas de integridad
seguridad y no
Disponibilidad Si el ser
Restriccin del acceso a
Confidencialidad despe
las instalaciones e
Servidor Base de autori
7 implementacin de Autenticacin
Datos integridad
contraseas de
y no
seguridad Integridad
info
Disponibilidad Si el ser
Restriccin del acceso a
Confidencialidad despe
las instalaciones e
autori
8 Servidor DNS, DHCP implementacin de Autenticacin integridad
contraseas de
y no
seguridad Integridad
info
Disponibilidad Si el ser
Restriccin del acceso a
Confidencialidad despe
las instalaciones e
autori
9 Servidor WEB implementacin de Autenticacin integridad
contraseas de
y no
seguridad Integridad
info
Disponibilidad Si el ser
Restriccin del acceso a
Confidencialidad despe
las instalaciones e
autori
10 Servidor Firewal implementacin de Autenticacin integridad
contraseas de
y no
seguridad Integridad
info
Disponibilidad Si el ser
Restriccin del acceso a
Confidencialidad despe
las instalaciones e
autori
11 Servidor de correos implementacin de Autenticacin integridad
contraseas de
y no
seguridad Integridad
info
Confidencialidad El acces
ASA (Servidor para Limitacin de acceso al Integridad comprom
12 la Seguridad de la sistema(acceso de destrucci
Red) personal autorizado) Disponibilidad errn
inte
Integridad la mala c
Mantenimiento
13 Fibra ptica trae conse
Preventivo y correctivo Disponibilidad dispon
Sistemas de acceso Integridad No se de
Gabinetes Switch digital y de video gabinetes
14
CISCO vigilancia derechos de Disponibilidad esto afe
acceso
Integridad Al acceso
Mantenimiento por entid
Cmaras IP de Preventivo y correctivo, hurto, robo
15
Seguridad tanto electro como Disponibilidad de vigilan
Fsico de los equipos la auten
CIONES DE LA ORGANIZACIN
Acceso fsico de Disponibilidad
personal autorizado y/o
Plan Operativo La prdida
43 con permiso, copia de
Informtico Confidencialidad confiden
documentacin, copia
digital
Acceso fsico de Disponibilidad
Plan estratgico de personal autorizado y/o
La prdida
44 Sistemas de con permiso, copia de
Confidencialidad confiden
informacin documentacin, copia
digital
Acceso fsico de Disponibilidad
personal autorizado y/o
Manual de La prdida
45 con permiso, copia de
Configuracin Confidencialidad confiden
documentacin, copia
digital
Disponibilidad Si no se co
interno es
Soporte Tcnico
46 Actualizacin continua equipos
Interno Integridad inform
integ
Disponibilidad Si no se co
interno es
Soporte Tcnico
47 Actualizacin continua equipos
Externo Integridad informaci
afectara l
Confidencialidad Para acced
Identificacin doble
que tener
Administracin de tanto por categora
48 o se comp
Permisos INFORMACIO como por usuario y Autenticacin debe trata
N-GESTION contrasea
se com
Identidad del Identificacin por La su
49 Autenticacin
Usuario usuario y contrasea. compr
c) VALORACIN ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL
Valoracin intrnseca.
Debido a que el sistema tiene como funcin una actividad sin nimo de
lucro, las prdidas temporales no tienen un coste econmico asociado,
por tanto slo ser posible el valor intrnseco de los activos
inventariables, que ser directamente su valor econmico.
S/.
1 UPS General --- BAJO
26,000.00
S/.
2 Switch Core --- BAJO
127,000.00
S/.
3 Switch CISCO --- BAJO
10,000.00
S/.
4 Servidor Administrador de Switch's MAXIMA MUY ALT
12,000.00
5 Servidor Proxy (ISA Server) S/. 500.00 MAXIMA MUY ALT
6 Servidor Antivirus S/. 700.00 MUY ALTA MUY ALT
7 Servidor Base de Datos S/. 5,000.00 MUY ALTA MUY ALT
8 Servidor DNS, DHCP S/. 2,000.00 MAXIMA MAXIMA
9 Servidor WEB S/. ,000.00 MAXIMA Maxima
10 Servidor Firewal S/. 5,500.00 MAXIMA Maxima
11 Servidor de Correos S/. 2,000.00
ASA (Servidor para la Seguridad de
12 S/. 1,000.00 - Mxima
la Red)
13 Fibra ptica S/. 500.00
14 Gabinetes Switch CISCO S/. 2,000.00
15 Cmaras IP de Seguridad S/. 5,000.00
16 computadora de oficio S/. 8,000.00 Muy Alt
17 Impresora S/. 3,500.00
18 Router S/. 1,335.00
19 CD's de Instalacin de Aplicativos S/. -
Resumen de Sistemas de S/.
MXIMA MUY ALT
Informacin 88,911.60
S/.
SISTEMAS DE INFORMACIN
20 Servidor FTP(ProFTP)
-
S/.
21 Servidor de Base de Datos(MySQL)
-
S/.
22 Servidor HTTP(APACHE)
-
S/.
23 Sistema Acadmico Maxima
50,000.00
S/.
24 Sistema de Caja Maxima Muy Alt
10,500.00
Sistema SIGA - SIAF (Herramienta S/.
25 Maxima
del Estado) -
26 Sistema SIGU (Estadstica)
S/.
27 Sistema de Tesorera Maxima
10,500.00
28 MS SQL Server 2005, 2008
S/.
29 MS Windows Server 2003, 2008
441.60
S/.
30 MS Office
620.00
S/.
31 MS Visual Studio
890.00
S/.
32 MS Windows 7
1,500.00
S/.
33 HIPER-V
280.00
S/.
34 VMWare Workstation
180.00
35 FIREWALL Interno-Externo S/. Maxima
14,000.00
S/.
36 Backups de las Bases de Datos Maxima
-
S/.
Resumen de Informacion MXIMA MUY ALT
-
S/.
37 Documentos recibidos a la DI Muy Alt
-
INFORMA S/.
38 Documento Emitidos de la DI Muy Alt
CION -
Documentos oficiales impresos de S/.
39 Muy Alta Muy Alt
la DI -
Resumen de Funciones de la S/.
MUY ALT
organizacin -
S/.
40 Plan estratgico
-
FUNCIONES DE LA ORGANIZACIN
S/.
41 MOF para la DI
-
S/.
42 ROF de la DI
-
S/.
43 Plan Operativo Informtico Muy Alt
-
Plan estratgico de Sistemas de S/.
44 Muy Alt
informacin -
S/.
45 Manual de Configuracin Alta
-
S/.
46 Soporte Tcnico Interno
-
S/.
47 Soporte Tcnico Externo
-
Resumen de Funciones de S/.
MUY ALTA
Organizacin -
S/.
48 Administracin de Permisos INFORMA Muy Alta
-
CION-
S/.
49 Identidad del Usuario GESTION Muy Alta
-
d) AMENAZAS EN ACTIVOS DE LA DIRECCIN DE INFORMTICA
UNHEVAL
Entre los orgenes puede que interese identificar los agentes de las
amenazas y ciertas caractersticas como su capacidad y oportunidad
de accin, as como su motivacin en el caso de amenazas
intencionadas.
En la siguiente tabla mostramos las amenazas por cada activo, junto con
su origen y capacidad. Al estar los activos agrupados por niveles no se
estima necesario agrupar las amenazas, las relaciones entre stas se
estudian en la prxima tarea.
INTENCIONALIDAD
N Activo Nivel AMENAZA
(ORIGEN)
ENTORNO
Hurto Inters por los equipos
Intencion de retrazar las
Ataque Fisico
actividades planificadas
1 UPS General Averia Mal uso o infortunio
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Hurto Inters por los equipos
Intencion de retrazar las
Ataque Fisico
actividades planificadas
2 Switch Core Averia Mal uso o infortunio
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Hurto Inters por los equipos
Intencion de retrazar las
Ataque Fisico
actividades planificadas
3 Switch CISCO Averia Mal uso o infortunio
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Averia Mal uso o infortunio
Hurto Interes por los equipos
Servidor Administrador de Dao causado por agente
4 Ataque Fisico
Switch's interno/externo
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Averia Mal uso o infortunio
Hurto Interes por los equipos
5 Servidor Proxy (ISA Server) Dao causado por agente
Ataque Fisico
interno/externo
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
6 Servidor Antivirus Averia Mal uso o infortunio
Hurto Interes por los equipos
Dao causado por agente
Ataque Fisico
interno/externo
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Averia Mal uso o infortunio
Hurto Interes por los equipos
7 Servidor Base de Datos Dao causado por agente
Ataque Fisico
interno/externo
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Averia Mal uso o infortunio
Hurto Interes por los equipos
8 Servidor DNS, DHCP Dao causado por agente
Ataque Fisico
interno/externo
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Averia Mal uso o infortunio
Hurto Interes por los equipos
9 Servidor Web Dao causado por agente
Ataque Fisico
interno/externo
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Averia Mal uso o infortunio
Hurto Interes por los equipos
10 Servidor Firewal Dao causado por agente
Ataque Fisico
interno/externo
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Averia Mal uso o infortunio
Hurto Interes por los equipos
11 Servidor de Correos Dao causado por agente
Ataque Fisico
interno/externo
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
12 ASA (Servidor para la
Averia Mal uso o infortunio
Seguridad de la Red)
Hurto Interes por los equipos
Dao causado por agente
Ataque Fisico
interno/externo
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Intencin de desconfigurar
Hurto de
e impedir el acceso cliente
accesorios
- servidor
13 Fibra ptica
Intencin de invalidar el
Ataques fsicos equipo limitando el acceso
a la informacin
Intencin de limitar las
Hurto de equipos
actividades de la direccin
y accesorios
de informtica
14 Gabinetes Switch CISCO
Intencin de invalidar
Ataques fsicos informacin disponible en
los Gabinetes
Urto
Intencin de limitar la
seguridad y monitoreo de
Averia actividades
15 Camaras IP de Seguridad
Intencin de fluctuar el
Ataque Fisico
correcto funcionamiento
Avera
Mal uso o infortunio
Deterioro
16 Computadora de Oficio
Desastre natural sin
Rayo intencionalidad, pero
causa daos severos
Avera
17 Impresora Mal uso o infortunio
Deterioro
Intencin de desconfigurar
Hurto de equipos
e impedir el acceso cliente
y accesorios
- servidor
Ocurrencia de dao
18 Router Rayo
directo.
Intencin de invalidar el
Ataques fsicos equipo limitando el acceso
a la informacin
Intencin de limitar
Hurto
CD's de Instaladon de software de aplicativos
19
Aplicativos Intencin de deterioros
Ataques fsicos
anulando su uso
Intencin de dao y
Ataque remoto
20 Servidor FTP(ProFTP) modificacin de la
con virus, spam
informacin
Intencin de dao y
Servidor de Base de Ataque remoto
21 modificacin de la
Datos(MySQL) con virus, spam
informacin
Intencin de dao y
Ataque remoto
22 Servidor HTTP(APACHE) modificacin de la
con virus, spam
informacin
Intencin de manipulacin
Ataques remotos
del SA
23 Sistema Acadmico
Intencion de no
Rayo
funcionalidad del sistema.
Intencin de modificacin
Ataques remotos
de registros de pagos
24 Sistema de Caja
Intencion de no
SISTEMA DE INFORMACIN
Rayo
funcionalidad del sistema.
Ataque con virus, Intencin de dao y
spam, dialers modificacin de la
Sistema SIGA - SIAF
25 informticos informacin
(Herramienta del Estado)
Intencion de no
Rayo
funcionalidad del sistema.
Ataque con virus, Intencin de dao y
spam, dialers modificacin de la
26 Sistema SIGU (Estadstica) informticos informacin
Intencion de no
Rayo
funcionalidad del sistema.
Intencin de dao y
Ataque remoto
modificacin de la
con virus, spam
27 Sistema de Tesoreria informacin
Intencion de no
Rayo
funcionalidad del sistema.
Ataque remoto
Intencin de dao y
con virus, spam,
modificacin de la
dialers
informacin
informticos
28 MS SQL Server 2005, 2008
Ataques con
Intencin de acceso a la
hackers y
informacin
spyware
Intencin de dao y
Ataque remoto
33 HIPER-V modificacin de la
con virus, spam
informacin
Intencin de dao y
Ataque remoto
34 VMWare Workstation modificacin de la
con virus, spam
informacin
Ataque a la red
interna con Intencin de saltar
35 FIREWALL Interno-Externo
hackers y restricciones del firewall
spyware
Intencin de destruir
informacin importante y
Destruccin
confidencial de la
organizacin
36 Backups de las Bases de Datos
Intencin de acceder a los
documentos de planes
Hurto estratgicos
administrativos de la
direccin de Informtica
Acceso no
Intencin de obtener
permitido a
informacin interna de
documentos
40 Plan estratgico manuales de
normativos de la
funcionamiento de la
direccin de
direccin de Informtica
informtica
Acceso no
Intencin de obtener
permitido a
informacin interna de
documentos
41 MOF para la DI reglamentos y normativas
normativos de la
de la direccin de
direccin de
Informtica
informtica
Intencin de obtener
42 ROF de la DI Hurto informacin confidencial
FUNCIONES DE LA ORGANIZACIN
en material de informtica
Suplantacin de
48 Administracin de Permisos datos
identidad
personales.
RMACION-
GESTION
Suplantacin de Intencin de actuar con
49 Identidad del Usuario
identidad. impunidad.
Muy alta 7
Alta 6
Medio Alta 5
Media 4
Medio Baja 3
Baja 2
Muy Baja 1
SALVAGUAR VULNERA
N ACTIVOS NIVEL AMENAZA
DA INTRINSECA EFECTIVA
ENTORNO
documentos copia de
ORGANIZACIN
Identificacin
Suplantacin Se reduce
Administracin de por
48 de Media-Alta al
Permisos usuario y
identidad mnimo.
contrasea.
INFORMACI
ON-
GESTION
Identificacin Se reduce
Suplantacin
Identidad del por en
49 de Media-Alta
Usuario usuario y gran
identidad
contrasea. medida
PROMEDIO DE LA VULNERABILIDAD
N
Activo Nivel AMENAZA Impacto Coste
ENTORNO
Hurto
Ataque Fisico
Reduccin a la
2 Switch Core S/. 127,000.00
Disponibilidad
Averia
Rayo
Hurto
Ataque Fisico
Reduccin a la
3 Switch CISCO S/. 10,000.00
Disponibilidad
Averia
Rayo
Averia Reduccin a la
Disponibilidad
Hurto
Servidor Administrador de Reduccin de la
4 S/. 12,000.00
Switch's Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
Averia Reduccin a la
Disponibilidad
Hurto
Reduccin de la
5 Servidor Proxy (ISA Server) S/. 500.00
Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
Averia Reduccin a la
Disponibilidad
Hurto
Reduccin de la
6 Servidor Antivirus S/. 700.00
Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
Averia Reduccin a la
Disponibilidad
Hurto
Reduccin de la
7 Servidor Base de Datos S/. 5,000.00
Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
Rayo Reduccin de la
Disponibilidad
Averia Reduccin a la
Disponibilidad
Hurto
Reduccin de la
9 Servidor WEB S/. 1,000.00
Confidencialidad
Ataque Fisico
Reduccin de la
Rayo Integridad
Averia
Reduccin de la
Hurto
Confidencialidad
10 Servidor Firewal S/. 5,500.00
Reduccin de la
Ataque Fisico
Integridad
Rayo
Averia
Reduccin de la
Hurto Autentificacin
Reduccin de la
11 Servidor de Correos S/. 2,000.00
Ataque Fisico Disponibilidad
Reduccin de la
Rayo confidencialidad
Averia
Reduccin de la
Hurto
ASA (Servidor para la Confidencialidad
12 S/. 1,000.00
Seguridad de la Red) Reduccin de la
Ataque Fisico
Integridad
Rayo
Hurto de
accesorios
Reduccion de la
Integridad
13 Fibra ptica S/. 500.00
Reduccin de la
Ataques
Disponibilidad
fsicos
Reduccin de la
Ataques Disponibilidad
S/. 85.00
fsicos Reduccin de la
Integridad
Reduccin a la
Urto S/. 5,000.00
Disponibilidad
Reduccin de la
Averia S/. 8,000.00
15 Camaras IP de Seguridad Integridad
Reduccin de la
Ataque Fisico S/. 1,819.00
Confidencialidad
Deterioro Reduccin de
Confidencialidad
16 Computadora de oficio Averia S/. 3,500.00
Reduccin de
Rayo Disponibilidad
Robo y Hurto
Reduccin de
17 Impresora S/. 300.00
Disponibilidad
Averia
Hurto de
equipos y
accesorios
Reduccin a la
18 Router S/. 1,335.00
Rayo Disponibilidad
Ataques
fsicos
Hurto Reduccin de la
CD's de Instaladon de Disponibilidad
19 ------------
Aplicativos Ataques Reduccin de la
fsicos Integridad
Reduccin de la
Ataque
Disponibilidad
20 Servidor FTP(ProFTP) remoto con -------------
Reduccin de la
virus, spam
integridad
Ataque Reduccin de la
Servidor de Base de
21 remoto con Disponibilidad -------------
Datos(MySQL)
virus, spam Reduccin de la
integridad
Reduccin de la
Ataque
Disponibilidad
22 Servidor HTTP(APACHE) remoto con -------------
Reduccin de la
virus, spam
integridad
Reduccion de la
Autenticidad
Ataques Reduccin de la
remotos Disponibilidad
23 Sistema Acadmico Reduccin de la S/. 50,000.00
confidencialidad
Reduccion a la
Rayo
Integridad
Reduccion de la
Ataques Autenticidad
remotos Reduccin de la
Disponibilidad
24 Sistema de Caja S/. 10,500.00
Reduccin de la
confidencialidad
Rayo Reduccin de la
intergridad
Reduccion de la
Ataque con Autenticidad
virus, spam, Reduccin de la
dialers Disponibilidad
26 Sistema SIGU (Estadstica) informticos Reduccin de la ------------
confidencialidad
Reduccion a la
Rayo
Integridad
Ataque
remoto con
Reduccin de la
virus, spam,
Confidencialidad
dialers
informticos
28 MS SQL Server 2005, 2008 ------------
Reduccin de la
Rayo
Integridad
Reduccin de la
Autenticidad
Reduccin de la
Ataques con
MS Windows Server 2003, Confidencialidad
29 hackers y S/. 44,160.00
2008 Reduccin de la
spyware
Disponibilidad
Reduccin de la
integridad
Reduccin de la
Ataques con
Disponibilidad
30 MS Office hackers y S/. 620.00
Reduccin de la
spyware
integridad
Reduccin de la
Ataques con
Disponibilidad
31 MS Visual Studio hackers y S/. 890.00
Reduccin de la
spyware
integridad
Reduccin de la
Autenticidad
Ataque con Reduccin de la
virus, spam, Confidencialidad
32 MS Windows 7 S/. 1,500.00
dialers Reduccin de la
informticos Disponibilidad
Reduccin de la
integridad
Ataques Reduccin de la
33 HIPER-V S/. 280.00
remotos con Confidencialidad
hackers y Reduccin de la
spyware Integridad
Reduccin de la
Confidencialidad
Ataque
34 VMWare Workstation remoto con S/. 180.00
virus, spam Reduccin de la
Integridad
Reduccin de la
Ataque
Confidencialidad
35 FIREWALL Interno-Externo remoto con S/. 14,000.00
Reduccin de la
virus, spam
Integridad
Destruccin Reduccin de la
Confidencialidad
Backups de la Pagina
Reduccin de la
36 institucional - Bases de ------------
Disponibilidad
Datos Hurto
Reduccin de la
integridad
Reduccin de la
INFORMACION
Confidencialidad
Documentos recibidos a la Reduccin de la
37 Hurto -------------
DI Disponibilidad
Reduccin de la
integridad
Reduccin de la
Confidencialidad
Documento Emitidos de la Reduccin de la
38 Hurto -------------
DI Disponibilidad
Reduccin de la
integridad
FUNCIONES DE LA ORGANIZACIN
permitido a
documentos
40 Plan estratgico normativos Reduccin de la -------------
de la Disponibilidad
direccin de Reduccin de la
informtica integridad
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
41 MOF para la DI normativos -------------
Reduccin de la
de la
integridad
direccin de
informtica
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
42 ROF de la DI normativos -------------
Reduccin de la
de la
integridad
direccin de
informtica
acceso a
informacin Reduccin de la
de gestin Disponibilidad
43 Plan Operativo Informtico -------------
de los Reduccin de la
sistemas de integridad
informacin
acceso a
informacin Reduccin de la
Plan estratgico de de gestin Disponibilidad
44 -------------
Sistemas de informacin de los Reduccin de la
sistemas de integridad
informacin
acceso a
informacin Reduccin de la
de gestin Disponibilidad
45 Manual de Configuracion -------------
de los Reduccin de la
sistemas de integridad
informacin
INFORMACION-GESTION
Reduccin de la
Administracin de Suplantacin
48 Confidencialidad -----------
Permisos de identidad
Reduccin de la
integridad
Reduccin de la
Suplantacin Confidencialidad
49 Identidad del Usuario ----------
de identidad. Reduccin de la
integridad
o SA: Autenticacin
o SC: Confidencialidad
o SI: Integridad
o SD: Disponibilidad
ENTORNO
Reduccion a la S/.
Hurto N1, N2, N3 L2
Disponibilidad 5,000.00
Averia N2, N3 L2
Reduccin a la
Hurto Disponibilidad N2, N3 L2, L3
Servidor
Reduccin de la S/.
4 Administrador de
Confidencialidad 12,000.00
Switch's Ataque Fisico N2 L2, L3
Reduccin de la
Integridad
Rayo N1, N2 L1, L4
Averia N2, N3 L2
Reduccin a la
Hurto Disponibilidad N2, N3 L2, L3
Servidor Base de Reduccin de la S/.
7
Datos Confidencialidad 5,000.00
Ataque Fisico Reduccin de la N2 L2, L3
Integridad
Rayo N1, N2 L1, L4
Averia N2 L2
Hurto Reduccion de la N2 L2
Servidor DNS, Integridad S/.
8
DHCP Reduccin de la 2,000.00
Ataque Fisico Disponibilidad N2 L2
Averia N2, N3 L2
Reduccin a la
Hurto Disponibilidad N2, N3 L2, L3
Reduccin de la S/.
9 Servidor WEB
Confidencialidad 1,000.00
Ataque Fisico Reduccin de la N2 L2, L3
Integridad
Rayo N1, N2 L1, L4
Averia N2, N3 L2
Averia N2, N3 L2
Deterioro N1 L4
Reduccin de
Computadora de Confidencialidad S/.
16 Avera N1 L4
oficio Reduccin de 3,500.00
Disponibilidad
Rayo N1, N2 L1, L4
Averia N1
Reduccin a la
Hurto N1, N2 L2
Disponibilidad
Reduccion a la S/.
18 Router Rayo N1, N2 L2
Integridad 1,335.00
Ataques Reduccin a la
N1 L2
fsicos Disponibilidad
Reduccin de la
Disponibilidad
Hurto N2 L2
Reduccin de la
CD's de Instaladon Integridad
19 -
de Aplicativos Reduccin de la
Ataques Disponibilidad
N2 L2
fsicos Reduccin de la
Integridad
Ataque
remoto con Reduccin de la
Servidor virus, Disponibilidad
20 - N2 L2
FTP(ProFTP) troyanos , Reduccin de la
dialers integridad
informticos
Ataque
remoto con Reduccin de la
Servidor de Base virus, Disponibilidad
21 - N2 L2
de Datos(MySQL) troyanos , Reduccin de la
dialers integridad
informticos
Ataque
remoto con Reduccin de la
Servidor virus, Disponibilidad
22 - N2 L2
HTTP(APACHE) troyanos , Reduccin de la
dialers integridad
informticos
Ataques
Reduccion de la
remotos
Autenticidad
Introduccin
Reduccin de la
de datos N2 L2
Sistema Disponibilidad S/.
23 incorrectos
Acadmico Reduccin de la 50,000.00
Borrado de
confidencialidad
datos
Reduccion a la
Rayo N1, N2 L2
Integridad
24 Sistema de Caja Ataques Reduccion de la S/. N2 L2
remotos Autenticidad 10,500.00
Introduccin Reduccin de la
de datos Disponibilidad
incorrectos Reduccin de la
Borrado de confidencialidad
Reduccin de la
datos
integridad
Reduccin a la
Rayo N1, N2 L2
Integridad
Suplantacion Reduccin de la
identidad Autenticidad
compartir Reduccin de la
contrasea Disponibilidad
Sistema SIGA - N2, N3 L2, L3
Ataque Reduccin de la
25 SIAF (Herramienta -
remoto con confidencialidad
del Estado)
virus, spam Reduccin de la
informticos intergridad
Reduccion a la
Rayo N1, N2 L2
Integridad
Suplantacion Reduccion de la
identidad Autenticidad
compartir Reduccin de la
contrasea Disponibilidad
N2 L2, L3
Sistema SIGU Ataque Reduccin de la
26 -
(Estadstica) remoto con confidencialidad
virus, spam Reduccin de la
informticos intergridad
Reduccion a la
Rayo N1, N2 L2
Integridad
Suplantacion Reduccion de la
identidad Autenticidad
compartir Reduccin de la
contrasea Disponibilidad
N2 L2
Sistema de Ataque Reduccin de la S/.
27
Tesoreria remoto con confidencialidad 10,500.00
virus, spam Reduccin de la
informticos intergridad
Reduccion a la
Rayo N1, N2 L2
Integridad
Acceso a la Reduccin de la
N2, N3 L2
MS SQL Server informacin Confidencialidad
28 -
2005, 2008 Modificacin Reduccin de la
N2, N3 L2
de datos Integridad
29 MS Windows Ataque Reduccin de la S/. 441.60
Server 2003, 2008 remoto con Autenticidad
virus, spam, Reduccin de la N2 L2
dialers Confidencialidad
informticos Reduccin de la
Ataques con Disponibilidad N2 L2
hackers y Reduccin de la
spyware integridad
Ataque
remoto con Reduccin de la
virus, Disponibilidad
30 MS Office S/. 620.00 N2 L2
troyanos , Reduccin de la
dialers integridad
informticos
Ataque
remoto con Reduccin de la
virus, Disponibilidad
31 MS Visual Studio S/. 890.00 N2 L2
troyanos , Reduccin de la
dialers integridad
informticos
Reduccin de la
Ataques Autenticidad
remotos con Reduccin de la
hackers, Confidencialidad S/.
32 MS Windows 7 N2, N3 L2
spyware Reduccin de la 1,500.00
,virus y Disponibilidad
troyanos Reduccin de la
integridad
Ataque
remoto con Reduccin de la
virus, Disponibilidad
33 HIPER-V S/. 280.00 N2 L2
troyanos , Reduccin de la
dialers integridad
informticos
Ataque
remoto con Reduccin de la
VMWare virus, Disponibilidad
34 S/. 180.00 N2 L2
Workstation troyanos , Reduccin de la
dialers integridad
informticos
Ataque a la Reduccin de la
FIREWALL Interno- red interna Confidencialidad S/.
35 N2 L2, L3
Externo con hackers y Reduccin de la 14,000.00
spyware Integridad
Reduccin de la
Destruccin N2 L2
Backups de la Confidencialidad
Pagina Reduccin de la
36 -
institucional - Disponibilidad
Hurto N2, N3 L2
Bases de Datos Reduccin de la
integridad
Reduccin de la
INFORMACION
Confidencialidad
Documentos Reduccin de la
37 Hurto - N2 L2
recibidos a la DI Disponibilidad
Reduccin de la
integridad
38 Documento Hurto Reduccin de la - N2, N3 L2
Emitidos de la DI Confidencialidad
Reduccin de la
Disponibilidad
Reduccin de la
Reduccin de la
Confidencialidad
Documentos
Reduccin de la
39 oficiales impresos Destruccin - N2 L2
Disponibilidad
de la DI
Reduccin de la
integridad
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
40 Plan estratgico normativos - N2 L2
Reduccin de la
de la
integridad
direccin de
informtica
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
41 MOF para la DI normativos - N2 L2
Reduccin de la
de la
integridad
direccin de
informtica
FUNCIONES DE LA ORGANIZACIN
Acceso no
permitido a
Reduccin de la
documentos
Disponibilidad
42 ROF de la DI normativos - N2 L2
Reduccin de la
de la
integridad
direccin de
informtica
acceso a
informacin Reduccin de la
Plan Operativo de gestin Disponibilidad
43 - N2, N3 L2
Informtico de los Reduccin de la
sistemas de integridad
informacin
acceso a
informacin Reduccin de la
Plan estratgico
de gestin Disponibilidad
44 de Sistemas de - N2, N3 L2
de los Reduccin de la
informacin
sistemas de integridad
informacin
acceso a
informacin Reduccin de la
Manual de de gestin Disponibilidad
45 - N2 L2
Configuracion de los Reduccin de la
sistemas de integridad
informacin
Acceso a
Reduccin de la
Soporte Tecnico informacin
47 Disponibilidad - N2 L2
Externo en materia de
Reduccin de la
Informtica
integridad
Reduccin de la
INFORMACION-GESTION
Confidencialidad
Administracin de Suplantacin Reduccin de la
48 - N2 ,N3 L2
Permisos de identidad integridad
Reduccin de la
Autenticacin
Reduccin de la
Confidencialidad
Identidad del Suplantacin Reduccin de la
49 - N2 ,N3 L2
Usuario de identidad. integridad
Reduccin de la
Autenticacin
VULNERABILID Valorac
N NIVE SALVAGUAR AD IMPAC
ACTIVOS AMENAZA Impacto
L DA
Valoraci
EFECTIVA VALOR
n
Reduccion a la
ENTORNO
SEMAFORIZACIN DE RESULTADOS
6 6 12 18 24 30 36 42
5 5 10 15 20 25 30 35
IMPACTO
4 4 8 12 16 20 24 28
3 3 6 9 12 15 18 21
2 2 4 6 8 10 12 14
1 1 2 3 4 5 6 7
1 2 3 4 5 6 7
VULNERABILIDAD
Escala:
Riesgo Bajo 1-20 1 20
Riesgo
21-30 21 30
Medio
Riesgo Alto 31-42 31 42
< 25.00
ACEPTABLE = %
25.00 < 50.00
TOLERABLE > % = %
50.00 < 74.00
INACEPTABLE > % = %
74.00
INADMISIBLE > %
CALIFICACIN DE LOS RIESGOS
Es asumible o Aceptable:
En el sentido de que no se van a tomar acciones para atajarlo.
Es apreciable o Tolerable:
En el sentido de que pueda ser objeto de estudio para su
tratamiento.
Es Grave o Inaceptable:
En el sentido de que requiere atencin.
Es Crtico o Inadmisible :
En el sentido de que requiere atencin urgente.
a) RIESGOS ASUMIBLES ACEPTABLES:
Valoracin
VULNERABILIDAD Riesgo
IMPACTO Riesgo
N ACTIVOS AMENAZA Efectiv
EFECTIV Valoraci Valo Calculado
VALOR o
A n r
Computadora
16 Averia Muy baja 1 Alto 4 Medio 4 9.52%
de oficio
CD's de
Ataques
19 Instaladon de Muy Baja 1 Alto 4 Medio 4 9.52%
fsicos
Aplicativos
Documentos
38 recibidos a la Hurto baja 2 Bajo 2 Mnimo 4 9.52%
DI
Documento
Media- 21.43
39 Emitidos de la Hurto 3 Medio 3 Medio 9
baja %
DI
Documentos
oficiales Destrucci Media- 21.43
40 3 Medio 3 Medio 9
impresos de la n baja %
DI
Acceso
no
permitido
a
documen
tos 14.29
42 MOF para la DI baja 2 Medio 3 Medio 6
normativ %
os de la
direccin
de
informti
ca
43 ROF de la DI Acceso baja 2 Medio 3 Medio 6 14.29
no %
permitido
a
documen
tos
normativ
os de la
direccin
de
informti
ca a
acceso
informaci
n de
gestin
Manual de 14.29
46 de los baja 2 Medio 3 baja 6
Configuracion %
sistemas
de
informaci
n
Acceso a
informaci
Soporte n en
14.29
47 Tecnico materia baja 2 Medio 3 baja 6
%
Interno de
Informti
ca
Acceso a
informaci
Soporte n en
19.05
48 Tecnico materia baja 2 Alto 4 Medio 8
%
Externo de
Informti
ca
Suplanta
Administraci 23.81
49 cin de baja 2 Muy alto 5 Alto 10
n de Permisos %
identidad
Riesgo
Valoracin Riesgo
VULNERABILIDAD Efectiv
IMPACTO Calculado
N ACTIVOS AMENAZA o
EFECTIV Valoraci Valo
VALOR
A n r
Ataque 38.10
Media 4 Alto 4 Alto 16
Fisico %
2 Switch Core
38.10
Averia Media 4 Alto 4 Alto 16
%
Ataque 38.10
Media 4 Alto 4 Alto 16
Fisico %
3 Switch CISCO
38.10
Averia Media 4 Alto 4 Alto 16
%
Servidor
Ataque 47.62
4 Administrador Medio Alta 5 Alto 4 Alto 20
Fisico %
de Switch's
Servidor Proxy Ataque 47.62
5 Medio Alta 5 Alto 4 Alto 20
(ISA Server) Fisico %
Ataque 47.62
9 Servidor WEB Medio Alta 5 Alto 4 Alto 20
Fisico %
Robo y 38.10
17 Impresora Media 4 Alto 4 Alto 16
Hurto %
Hurto de
equipos y Muy 47.62
Media 4 Muy alto 5 20
accesorio Alto %
18 Router
s
Ataques 38.10
Media 4 Alto 4 Alto 16
fsicos %
19 CD's de Hurto Medio 3 Muy alto 5 Alto 15 35.71
Instaladon de Baja %
Aplicativos
Ataques
remotos
Introducci
n de
Sistema de Muy 47.62
25 datos Media 4 Muy alto 5 20
Caja Alto %
incorrect
os
Borrado
de datos
Suplantac
ion
identidad
compartir
Sistema SIGA -
contrase
SIAF 71.43
26 a Medio Alta 5 Critico 6 Mximo 30
(Herramienta %
Ataque
del Estado)
remoto
con virus,
spam
informti
cos
Suplantac
ion
identidad
compartir
contrase
Sistema SIGU Muy 59.52
27 a Medio Alta 5 Muy alto 5 25
(Estadstica) Alto %
Ataque
remoto
con virus,
spam
informti
cos
Suplantac
ion
identidad
compartir
contrase
Sistema de Muy 47.62
28 a Media 4 Muy alto 5 20
Tesoreria Alto %
Ataque
remoto
con virus,
spam
informti
cos
29 MS SQL Server Acceso a Medio 3 Critico 6 Mximo 18 42.86
2005, 2008 la Baja %
informaci
n
Modificaci
28.57
n de Baja 2 Critico 6 Mximo 12
%
datos
Ataques
MS Windows
con Muy 47.62
30 Server 2003, Media 4 Muy alto 5 20
hackers y Alto %
2008
spyware
Acceso no
permitido
a
document
os
Plan Media- 35.71
41 normativ 3 Muy alto 5 Alto 15
estratgico Baja %
os de la
direccin
de
informti
ca
acceso a
informaci
n de
gestin
Plan Operativo 28.57
44 de los baja 2 Critico 6 Maximo 12
Informtico %
sistemas
de
informaci
n
acceso a
informaci
n de
Plan
gestin
estratgico de 28.57
45 de los baja 2 Critico 6 Maximo 12
Sistemas de %
sistemas
informacin
de
informaci
n
Suplantac
Identidad del in de Medio- 35.71
50 3 Muy alto 5 Alto 15
Usuario identidad bajo %
.
Valoracin
VULNERABILIDAD Riesgo
IMPACTO Riesgo
N ACTIVOS AMENAZA Efectiv
EFECTIV Valoraci Valo Calculado
VALOR o
A n r
Hurto Alta 6 Critico 6 Mximo 36 85.71%
1 UPS General Averia Muy Alta 7 Muy alto 5 Mximo 35 83.33%
100.00
Rayo Muy Alta 7 Crtico 6 Mximo 42
%
100.00
2 Switch Core Rayo Muy Alta 7 Crtico 6 Mximo 42
%
100.00
3 Switch CISCO Rayo Muy Alta 7 Crtico 6 Mximo 42
%
Servidor
100.00
4 Administrador Rayo Muy Alta 7 Crtico 6 Mximo 42
%
de Switch's
Servidor 100.00
6 Rayo Muy Alta 7 Crtico 6 Mximo 42
Antivirus %
100.00
9 Servidor WEB Rayo Muy Alta 7 Crtico 6 Mximo 42
%
Servidor 100.00
10 Rayo Muy Alta 7 Crtico 6 Mximo 42
Firewal %
Servidor de 100.00
11 Rayo Muy Alta 7 Crtico 6 Mximo 42
Correos %
ASA (Servidor
para la 100.00
12 Rayo Muy Alta 7 Crtico 6 Mximo 42
Seguridad de %
la Red)
Computadora 100.00
16 Rayo Muy Alta 7 Crtico 6 Mximo 42
de oficio %
Sistema de
28 Rayo Muy Alta 7 Muy alto 5 Maximo 35 83.33%
Tesoreria
1) INSTRUCCIONES DE INTERPRETACIN
Las polticas fueron creadas segn el contexto de aplicacin,
organizadas por niveles de seguridad y siguiendo un entorno de
desarrollo, por la norma tcnica peruana NTP/ISO 17799 sobre la
problemtica dela institucin, aplicada sobre los diferentes recursos o
activos de la institucin.
GERENCIA
DIRECCION DE INFORMTICA
RESPONSABLE DE ACTIVOS
5) OBJETIVO GENERAL
7) BASE LEGAL
8) ALCANCE
9) VIGENCIA
12) DESARROLLO
Estas polticas de seguridad informtica y las medidas de seguridad
en ellas especificadas deben ser revisadas peridicamente, analizando la
necesidad de cambios o adaptaciones para cubrir los riesgos existentes
y auditando su cumplimiento.
NIVELES DE SEGURIDAD
ASPECTOS ADMINISTRATIVOS
DE COORDINACIN
DE LA RESPONSABILIDADES Y PROPIEDAD
DE LOS ACTIVOS
DE LA CLASIFICACIN DE INFORMACIN
DE LA CONFIDENCIALIDAD
DEL CONTRATO
CAPACITACIN
DE PROCESO DISCIPLINARIO
DE LA CULMINACIN DE CONTRATO
DE LOS EQUIPOS
DEL CABLEADO
DEL MANTENIMIENTO
CONTROL DE ACCESO
DE GESTIN DE ACCESO
DE LA SEGURIDAD DE LA RED
DE LA PROCESOS DE DESARROLLO
DEFINICIONES Y ALCANCES
1.1.1.1.ANTES
1.1.1.2.DURANTE
1.1.1.3.DESPUS
N ACTIVOS NIVEL
1 UPS General
2 Switch Core
3 Switch CISCO Administrable
4 Servidor Administrador de Switch's
5 Servidor Proxy (ISA Server)
6 Servidor Antivirus
7 Servidor Base de Datos
8 Servidor DNS DHCP
ENTORNO
9 Servidor WEB
10 Servidor Firewal
11 Servidor de Correos
ASA (Servidor para la Seguridad de
12
la Red)
13 Fibra Optica
14 Gabinetes Switch CISCO
15 Camaras IP de Seguridad
16 computadoras de oficio
17 Impresora
18 Router
19 CD's de Instaladon de Aplicativos
SISTEMA DE INFORMACIN
20 Servidor FTP(ProFTP)
21 Servidor de Base de Datos(MySQL)
22 Servidor HTTP(APACHE)
23 Sistema analizador de Banda Ancha
24 Sistema Acadmico
25 Sistema de Caja
Sistema SIGA - SIAF (Herramienta
26
del Estado)
27 Sistema SIGU (Estadstica)
28 Sistema de Tesoreria
29 MS SQL Server 2005, 2008
30 MS Windows Server 2003, 2008
31 MS Office
32 MS Visual Studio
33 MS Windows 7
34 HIPER-V
35 VMWare Workstation
36 FIREWALL Interno-Externo
37 Backups de las Bases de Datos
39 Documentos recibidos a la DI
40 Documento Emitidos de la DI INFORMACION
Documentos oficiales impresos de la
41
DI
42 Plan estratgico
FUNCIONES DE LA
43 MOF para la DI
ORGANIZACIN
44 ROF de la DI
45 Plan Operativo Informtico
Plan estratgico de Sistemas de
46
informacin
47 Manual de Configuracion
48 Soporte Tecnico Interno
49 Soporte Tecnico Externo
50 Administracin de Permisos
INFORMACION-GESTION
51 Identidad del Usuario
1.3.2. PLANIFICACIN
1.3.2.1.ALCANCE
la implementacin y el desarrollo
Ing.
Unidad de de Software mediante el cual las
Miguel
desarrollo de otras reas hacen las peticiones
Apac
software de acuerdo a las necesidades para
Luna.
su elaboracin
Unidad de Eco. rea Esta rea es el encargado de dar
telecomunicacio Gloria mantenimient soporte y mantenimiento tcnico a
nes Eloiza o y soporte las sub reas, est relacionada con
Garca tcnico los sistemas de informacin con
Berr. base a la tecnologa y normativa
actual.
Autentificacin.
Cifrado.
Implementacin.
Confianza implcita.
Compartimiento implcito
Comunicacin entre p r o c e s o s
Verificacin de la legalidad.
Desconexin de lnea.
Contraseas.
Valores de umbral.
1.6.2.2.CASO DE VIRUS:
Dado el caso crtico de que se presente virus en las
computadoras se proceder a lo siguiente:
Para servidor:
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
La aplicacin de la metodologa MAGERIT, para la realizacin del
Anlisis y Gestin de Riesgos, para cualquier institucin pblica o
privada que contenga activos.
BIBLIOGRAFA
o MAGERIT
o www.google.com /MAGUERIT
o Plan de contingencia MLDP. Pdf
o MAGERIT V2.0
o