Documente Academic
Documente Profesional
Documente Cultură
FACULTAD DE INGENIERA
ESCUELA PROFESIONAL DE INGENIERA DE COMPUTACIN Y SISTEMAS
AUTORES:
ASESOR:
TRUJILLO PER
2013
Plan de mejora de la Seguridad de Informacin y Continuidad
del Centro de Datos de la Gerencia Regional de Educacin La
Libertad aplicando lineamientos ISO 27001 y buenas prcticas
COBIT
Elaborado por:
Aprobada por:
Los Autores.
RESUMEN
La presente tesis tiene de captulos, anexos, y tiene como principal objetivo Elaborar un
Plan de Mejora de seguridad de la informacin y continuidad del Centro de Datos, y
mostrar los resultados obtenidos de la auditoria de sistemas, utilizando la metodologa
MAIGTI, el marco de trabajo y las directrices de auditora propuestas por lineamientos
ISO 27001 y buenas prcticas COBIT 4.0.
El Captulo II detalla una visin de la situacin actual del centro de datos de la GRELL y
realizacin de la auditoria de sistemas, en donde se seleccionaran los procesos de control
ms adecuados propuestos por ISO 27001 y COBIT 4.0 que se ajusten a la situacin actual
del centro de datos, en donde se evaluar y se realizar recomendaciones. Al igual se
presentar los resultados de la auditoria a travs de un informe, en donde se mostrar el
anlisis de los resultados, y se entregar las conclusiones finales por cada proceso
evaluado.
ABSTRACT
This thesis project consists of chapters, and appendices, which are aimed to develop a Plan
to Improve information security and Data Center continuity, and show the results obtained
from the information system audit, using the MAIGTI methodology, the ISO 27001
proposed framework and audit guidelines and COBIT 4.0 best practices.
Chapter I presents an overview of the definitions, best practices, guidelines and the
methodology used, and also the methodological framework used in this thesis.
Chapter II describes an overview of the GRELLs data center current situation and the
information system audit realization, where the most appropriate control processes that fit
the data center current situation will be selected proposed by ISO 27001 and COBIT 4.0,
where it will be evaluated and recommendations will be make. The audit results will also
be presented through a report where the analysis results will be shown and the final
conclusions for each evaluated process will be presented.
Chapter III details the improvement plans like the implementation of an Information
Security Management System redacting the objectives, scope, methodology, phases,
among others, a Business Continuity Plan with phases and a Normalization Plan.
DEDICATORIA 4
DEDICATORIA 5
AGRADECIMIENTO 6
RESUMEN 7
ABSTRACT 8
ABSTRACT 8
INTRODUCCIN 12
CONCLUSIONES 130
RECOMENDACIONES 132
Tabla de Figuras
En nuestra realidad, los problemas son muchos, la primera razn es que la gran mayora de
nuestros centros de datos han sido implementados sin ninguna normativa, al no tener las
normativas no se va a contar con ninguna medida de seguridad, como procedimientos y
controles en caso de alguna contingencia, entre otros.
Los centros de datos tienen que cumplir con ciertas caractersticas en cuanto la parte de la
seguridad de la infraestructura fsica, y como se ve parte de la premisa de un buen diseo
en cuanto es la confiabilidad, tenemos tambin ver la disponibilidad, seguridad al acceso
del centro de datos con cualquier tecnologa, tambin en seguridad a la ambientacin, una
buena climatizacin, refrigeracin entre otros
El aporte que brinda este proyecto a la institucin es de informar el estado actual de los
sistemas de informacin y continuidad del Centro de Datos; as como las recomendaciones
necesarias para superar las falencias encontradas segn las buenas prcticas y
alineamientos por COBIT e ISO/IEC 27001 respectivamente. Tambin se proporcionar el
Plan de Mejora para ser evaluado por la institucin y as poder a implementar.
Cap. I: FUNDAMENTO TEORICO
1.1 Conceptos/Definiciones
11
en la Constitucin Poltica, en esta Ley, las disposiciones reglamentarias y las
normas tcnicas especializadas que emita en uso de sus atribuciones.(Contralora
General de la Repblica)
Riesgo: La posibilidad de que ocurra un evento adverso que afecte el logro de los
objetivos.(Real Acadmia Espaola)
Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, as como polticas internas. (Institute, 2007)
12
ubicacin donde concentran todos los recursos necesarios para el procesamiento de
informacin de una organizacin.
13
la extensin en que se cumplen los Criterios de Auditora.
Hallazgos de Auditora son los resultados de la evaluacin de la Evidencia de
Auditora recopilada frente a los Criterios de Auditora. Los Hallazgos de Auditora
pueden indicar conformidad o no conformidad con los Criterios de Auditora u
oportunidades de mejora.(Paredes, 2011)
ITIL
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms
de la Informtica para alcanzar sus objetivos corporativos. Esta dependencia en
aumento ha dado como resultado una necesidad creciente de servicios informticos
de calidad que se correspondan con los objetivos del negocio, y que satisfagan los
requisitos y las expectativas del cliente. A travs de los aos, el nfasis pas de
estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios TI. La
aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye
a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios
y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de
mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca
del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del
producto (u obtencin). De esta manera, los procesos eficaces y eficientes de la
14
Gestin de Servicios TI se convierten en esenciales para el xito de los
departamentos de TI. Esto se aplica a cualquier tipo de organizacin, grande o
pequea, pblica o privada, con servicios TI centralizados o descentralizados, con
servicios TI internos o suministrados por terceros. En todos los casos, el servicio
debe ser fiable, consistente, de alta calidad, y de coste aceptable.(ITIL-Gestin de
Servicios TI) (Ver fig. 1).
ITIL es el enfoque ms ampliamente aceptado para la gestin de servicios de TI en
el mundo. ITIL proporciona un conjunto coherente de mejores prcticas,
procedentes de los sectores pblico y privado a nivel internacional.(ITIL-Gestin
de Servicios TI)
15
COBIT
a) Definicin:
COBIT (Control Objectives for Information and related Technology).
Es el marco aceptado internacionalmente como una buena prctica para el control
de la informacin, TI y los riesgos que conllevan. COBIT se utiliza para
implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de
control, directivas de aseguramiento, medidas de desempeo y resultados, factores
crticos de xito y modelos de madurez.(Institute, 2007)
Para ayudar a las organizaciones a satisfacer con xito los desafos de los negocios
actualmente, el IT Governance Institute (ITGI) ha publicado la versin de COBIT
4.2
COBIT es un framework de Gobierno de TI y un conjunto de herramientas de
soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha
entre los requerimientos de control, los aspectos tcnicos y riesgos de negocio.
COBIT hace posible el desarrollo de una poltica clara y las buenas prcticas
para los controles de T.I. a travs de las organizaciones.
COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a
incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica
la implementacin de la estructura COBIT.(Institute, 2007)
b) Estructura:
16
b. Planes de proyectos.
c. Plan de seguridad
d. Plan de continuidad de Negocio
e. Plan de Capacitacin
f. Plan de Licenciamiento de Software
g. Plan de mantenimiento preventivo y correctivo
h. Plan de Calidad
i. Presupuestos
j. Estructura Organizacional
k. Recursos Disponibles
l. Metodologas de trabajo
17
b. Evaluacin de posibles soluciones de lo desarrollado o comprado e
implantado
c. Medidas de Seguridad
d. Nivel de satisfaccin de los usuarios con respecto al servicio
otorgado
e. Entrega de servicios de Soporte Tcnico
f. Infraestructura de Tecnologas de la Informacin: Hardware y
Software de Base, as como servicios relacionados.
18
Integridad: Se refiere a la precisin y suficiencia de la informacin, as
como a su validez de acuerdo con los valores y expectativas del negocio.
Disponibilidad: Se refiere a la disponibilidad de la informacin cuando sta
es requerida por el proceso de negocio ahora y en el futuro. Tambin se
refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y
acuerdos contractuales a los que el proceso de negocios est sujeto, por
ejemplo, criterios de negocio impuestos externamente.
Confiabilidad de la informacin: Se refiere a la provisin de informacin
apropiada para la administracin con el fin de operar la entidad y para
ejercer sus responsabilidades de reportes financieros y de cumplimiento.
19
Tecnologa: La tecnologa cubre hardware, software, sistemas operativos,
sistemas de administracin de base de datos, redes, multimedia, etc.
Instalaciones: Recursos para alojar y dar soporte a los sistemas de
informacin.
Personal: Habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, soportar y monitorear
servicios y sistemas de informacin.
20
5 Optimizado: Los procesos se han refinado hasta un nivel de mejor
prctica, se basan en los resultados de mejoras continuas y en un modelo de
madurez con otras empresas. TI se usa de forma integrada para automatizar
el flujo de trabajo, brindado herramientas para mejorar la calidad y la
efectividad, haciendo que la empresa se adapte de manera rpida.
ISO/IEC 27001
21
Figura N 4: Naturaleza de la forma ISO/IEC 27001:00
Fuente:(Paredes, 2011)
ISO/IEC 17799
22
b. Clasificacin de la Informacin
a. Seguridad antes del empleo
E. Seguridad en Recursos Humanos b. Seguridad durante el empleo
c. Finalizacin o cambio del empleo
a. rea Seguras
F. Seguridad Fsica y del Entorno b. Seguridad de los equipos
c. Controles Generales
a. Procedimientos y Responsabilidades de Operacin
b. Gestin de Servicios externos
c. Planificacin y Aceptacin del Sistema
d. Proteccin contra software malicioso
G. Gestin de Comunicaciones y e. Gestin de respaldo y Recuperacin
Operaciones f. Gestin de Seguridad en redes
g. Uso y seguridad de los medios de informacin
h. Intercambio de Informacin y Software
i. Servicio de correo electrnico
j. Monitoreo
a. Requisito de negocio para el control de accesos
b. Gestin de Acceso a Usuarios
c. Responsabilidad de los usuarios
d. Control de Acceso a Red
H. Control de Accesos
e. Control de Acceso al sistema operativo
f. Control de acceso a las aplicaciones
g. Seguimiento de acceso y uso del sistema
i informtica mvil y teletrabajo
a. Requisito de la seguridad en los sistemas
b. Seguridad de las aplicacin
I. Adquisicin, desarrollo y c. Controles criptogrficos
Mantenimiento de Sistemas d. Seguridad de los archivos del sistema
e. Seguridad en los procesos de desarrollo y soporte
f. Gestin de la vulnerabilidad tcnica
J. Gestin de los Incidentes de la
Seguridad de la Informacin
a. planificacin
K. Gestin de la Continuidad del b. Prueba
Negocio
c. Mantenimiento y revaluacin de los planes de continuidad
23
1.2.1 Normativas
Normas de control interno para sistemas computarizados
Los sistemas computarizados permiten a los usuarios ingresar a los documentos y
programas en forma directa, ya sea a travs de un microcomputador, conocido
como computadora personal Lap Top (micro-computador porttil), o mediante
terminales que se le denominan micro-computadoras en lnea. Los controles
internos que requieren los ambientes que emplean microcomputadoras son diversas
y por lo general estn referidos a los accesos, contraseas, desarrollo y
mantenimiento del sistema; los mismos que contribuyen a brindar seguridad y
confiabilidad al procesamiento de la informacin.
Las normas de control interno que se presentan en esta seccin describen los
controles que son necesarios para la implementacin del rea de informtica y el
plan de sistemas de informacin de la entidad, segn su actividad y durante un
perodo determinado, as como los controles de datos fuente, de operacin y de
salida que preserven el flujo de informacin adems de su integridad. Asimismo,
tales normas desarrollan los controles internos requeridos para el mantenimiento de
equipos de cmputo y medidas de seguridad para el Software (programas de
computacin) y Hardware (equipamiento informtico), as como los aspectos de
implementacin del Plan de Contingencias de la Entidad. (Urbina Mancilla, 2006)
24
La informacin no solo se relaciona con los datos generados internamente, sino
tambin con sucesos, actividades y condiciones externas que deben traducirse a la
forma de datos o informacin para la toma de decisiones. Asimismo, debe existir
una comunicacin efectiva en sentido amplio a travs de los procesos y niveles
jerrquicos de la entidad.
La comunicacin es inherente a los sistemas de informacin, siendo indispensable
su adecuada transmisin al personal para que pueda cumplir con sus
responsabilidades.(Urbina Mancilla, 2006)
1.3 Metodologa
MAIGTI (Metodologa para la Auditora Integral de Gestin de las
Tecnologas de la Informacin).
MAIGTI enlaza los diversos conceptos de buenas prcticas del gobierno
corporativo de gestin de las tecnologas de la informacin( COBIT de ISACA) ,
la gestin de los procesos de ciclo de vida de desarrollo de software (ISO/IEC
12207), las buenas prcticas de la gestin de la seguridad de la informacin
(ISO/IEC 17799), la gestin de los servicios de tecnologas de
informacin(ISO/IEC 20000 o ITIL); as como la gestin de Proyectos del Project
Management Institute (PMOBOK), sobre la base de una simplificacin del proceso
general de auditora descrito en la norma ISO 19011:2002 y de una adaptacin del
esquema de procesos de la ISO 9001:2000(ISO,2000). Se usarn estas normas y
buenas prcticas por las siguientes razones:
a. El COBIT da un marco para la evaluacin basado en el ciclo de calidad
de Deming (Plan, Do, Check, Act).
b. Los estndares ISO/IEC 12207, ISO/IEC 17799 e ISO/IEC 20000 se
complementan entres si, de manera que no existe cruce entre ellos si no
interrelaciones muy tiles.
c. Si bien el PMBOK no es un estndar propio de la tecnologa de
informacin, contiene una serie de aspectos muy importantes con respecto
a la gestin de proyectos alineados a la estrategia organizacional, adems
de complementar algunos aspectos de las normas citadas previamente, y
25
hacer referencia a metodologas de gestin de proyectos en relacin a
tiempo y costos, entre otros aspectos, que son muy tiles para la gestin de
proyectos de tecnologas de informacin.
26
A continuacin se lista las fases dadas dentro de la MAIGTI.
1. Determinar el Objetivo
2. Especificar el Alcance y Elaborar el Plan de Trabajo.
3. Solicitar la Informacin.
4. Recibir la Informacin. Ordenarla e Ingresarla al proceso MAIGTI.
5. Ejecutar el proceso MAIGTI.
a. Evaluar DOC s, Planificacin y Organizacin.
b. Evaluar DOC s, Adquisicin e Implementacin.
c. Evaluar DOC s , Entrega de Servicio y Soporte
d. Evaluar DOC s, Monitoreo Y Control
e. Ejecutar Procedimientos
6. Comunicar, Discutir y Corregir Informe
7. Distribuir Informe Final
27
Documento del
Detalla las actividades a ser Open Office 2010-
Informe
4 Proceso realizadas como parte del (Writer), OpenProj -
Preliminar e
procedimiento Project Management
Informe final.
Detalla las observaciones que se
Open Office 2010- Papeles de
podra encontrar como resultado de
5 Salidas (Writer),OpenProj - Trabajo, Informe
la ejecucin de las actividades del
Project Management Final de Auditoria
procedimiento
1.4.1.1 Universo
Empleados 2
Investigadores 2
Poblacin 4
28
1.4.1.2 Muestra
Como el mtodo del muestreo utilizado fue el no probabilstico, el tipo aplicado fue
el de dirigido o directo. Ya que permite seleccionar a la poblacin adecuada, que
pueda generar la informacin suficiente y necesaria para este estudio.
Entrevista: Esta herramienta se utilizar con los miembros que estn involucrados
en el sistema, debido a que la poblacin es pequea y eso permitir realizar una
investigacin ms completa y directa.
29
preestablecido de antemano y busca unas finalidades concretas.
30
y prestigio que el auditor debe poseer. El auditor deber aplicar la Checklist de
modo que el auditado responda clara y escuetamente (concisamente).
Se deber interrumpir lo menos posible a ste, y solamente en los casos en las
respuestas sean parte sustancialmente de la pregunta. En algunas ocasiones, se har
necesario evitar aquel a que exponga con mayor amplitud un tema concreto, y en
cualquier caso, se deber evitar absolutamente la presin sobre el mismo.
Se realizar una recopilacin de datos por medio del instrumento que se disear el
cual tendr que ser tabulado en una escala porcentual; cada pregunta tabulada
pasar por un proceso de anlisis para sacar conclusiones de dicha informacin.
31
Cap. II: RESULTADOS
2.1 Prefacio
Durante el desarrollo de este captulo se conocer ms a fondo a la Gerencia
Regional de Educacin La Libertad., su descripcin, su infraestructura y cmo
est organizada estructuralmente, determinar cmo esta detallada su rea de
cmputo.
32
2.2 Diagnostico Preliminar
33
2.2.2 Programa de Auditoria
OBJETIVO OBJETIVO PROCEDIMIENTOS DE HECHO
OBJETIVOS CODIGO COMPONENTE N PROC REF. PAPEL/TRABAJO
GENERAL CONTROL COBIT CONTROL POR
Revisar las observaciones y
Verificar el estado actual de Procedimiento para el
Monitorear y Evaluar el recomendaciones de informes PT01: Recomendaciones de las
las recomendaciones de las ME2 PR01 seguimiento de informes de FY/CZ
Control Interno. de auditoras anteriores as Auditorias Anteriores.
auditorias anteriores Auditora Interna.
como su seguimiento.
Evaluar si los planes,
estrategias y presupuestos de
Procedimiento para la auditoria PT02: Planeacin Estratgica
Definir el Plan estratgico los sistemas de informacin
PO1 PR02 de la Planificacin Estratgica FY/CZ de Tecnologas de
de TI. son consistentes con las metas
Evaluar la Planeacin y de Tecnologa de Informacin. Informacin.
estratgicas y comerciales de
Estrategias de los Recursos la empresa.
de informacin.
Procedimiento para la auditoria
Evaluar si los proyectos de TI PT03: Planes de Proyecto de
de los Planes de Proyecto de
PO10 Administrar Proyectos. estn acordes con las PR03 FY/CZ Desarrollo de Sistemas de
Desarrollo de Sistemas de
necesidades de la empresa Informacin.
Elaborar el Plan de Informacin.
Mejora de la seguridad
Procedimiento de auditora
y continuidad del PT11: Mantenimiento de
PR11 para el mantenimiento de la FY/CZ
Centro de Datos de la Evaluar el estado de las Biblioteca de Medios.
Evaluar los procedimientos de biblioteca de medios
Gerencia Regional de Operaciones de los Sistemas DS11 Administrar los datos
Educacin La Libertad. de Informacin respaldo Procedimiento para la auditoria
PT12: Procedimiento de
PR12 al procedimiento de eliminacin FY/CZ
Eliminacin de Medios.
de medios
Procedimiento para la auditoria
PT04: Documentacin de los
de la documentacin de los
PR04 FY/CZ Manuales de los Sistemas de
manuales de usuario de los
Informacin.
sistemas de informacin.
Evaluar el adecuado Evaluar los manuales,
Mantenimiento e polticas, normas y Procedimiento para la auditoria
Facilitar la operacin y el PT05: Manuales de
implantacin de los sistemas AI4 procedimientos que de los manuales de
uso PR05 FY/CZ Procedimientos de desarrollo
de Aplicacin y Base de garanticen la adecuada procedimientos de desarrollo de
de sistemas de Informacin.
Datos gestin de las operaciones. sistemas de informacin.
Procedimiento para la auditoria
PT06: Manuales de
de los manuales de
PR06 FY/CZ Procedimientos de Soporte
procedimiento de soporte
Tcnico.
tcnico
34
Programa de Auditoria
OBJETIVO OBJETIVO CONTROL PROCEDIMIENTOS DE HECHO
OBJETIVOS CODIGO COMPONENTE N PROC REF. PAPEL/TRABAJO
GENERAL COBIT CONTROL POR
Procedimiento para la auditoria PT07: Metodologa
de la metodologa para la Requerimiento de Soporte
PR07 FY/CZ
Evaluar que los niveles de atencin de requerimientos de Tcnico-Sistemas de
servicio en los ambientes de soporte tcnico Informacin.
Definir y administrar
DS1 procesamiento cumplan o
niveles de Servicio Procedimiento para la auditoria
superen las expectativas de la de la metodologa para la PT08: Metodologa de
empresa. PR08 atencin de requerimientos de FY/CZ Requerimientos de Desarrollo-
Evaluar el adecuado desarrollo de sistemas de sistemas de Informacin
Mantenimiento e informacin.
implantacin de los Evaluar si los nuevos sistemas
sistemas de Aplicacin y de aplicacin se implantan de Procedimiento para la auditoria PT09: Metodologa de
Base de Datos Instalar y acreditar
AI7 manera apropiada y funciona PR09 de la metodologa de desarrollo FY/CZ Desarrollo de Sistemas de
soluciones y cambios
de acuerdo a las intenciones de sistemas de informacin Informacin.
de la empresa.
Evaluar si todas las Procedimiento para la revisin
modificaciones necesarias a de los formularios de control de
PT10: Formularios de Control
AI6 Administrar cambios los sistemas de aplicacin PR10 cambios en proyectos de FY/CZ
Elaborar el Plan de de Cambios.
existentes son implantadas Compra o Desarrollo de
Mejora de la seguridad oportunamente. Sistemas de Informacin
y continuidad del
Centro de Datos de la Evaluar los manuales,
Gerencia Regional de polticas y procedimiento que
Procedimiento para la auditoria
Educacin La Libertad garanticen la adecuada PT13: Plan de Seguridad de la
PR13 del Plan de Seguridad de la FY/CZ
seguridad de la informacin. Informacin.
Informacin
Estructura de Gobierno de
Seguridad de la Informacin.
35
2.2.3 Artefactos de Auditora
2.2.3.1 Cronograma de Ejecucin de Procedimientos de Auditoria
OBJETIVO
PROCEDIMIENTOS
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Fecha Inicio Fecha Fin Estado
DE CONTROL
COBIT
Revisar informacin de la auditoria de TI
anterior
36
Cronograma de Ejecucin de Procedimientos de Auditoria
OBJETIVO
PROCEDIMIENTOS DE Fecha
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Fecha Fin Estado
CONTROL Inicio
COBIT
Revisar informacin del Plan estratgico
de la organizacin, Plan estratgico de
TI
Evaluar si los planes,
estrategias y Verificar la alineacin de los proyectos
presupuestos de los incluidos en el PETI y el Plan
P005 Procedimiento para la
sistemas de estratgico de la Organizacin
Definir el Plan auditoria de la Planificacin
PO1 informacin son P02 FY/CZ 01-03-13 02-03-13 Ejecutado
estratgico de TI Estratgica de Tecnologa de
consistentes con las Verificar la elaboracin de presupuestos
Informacin
metas estratgicas y y cronogramas claros para cada uno de
comerciales de la los proyectos
empresa.
Verificar la existencia de indicadores de
Gestin
37
Cronograma de Ejecucin de Procedimientos de Auditoria
OBJETIVO
PROCEDIMIENTOS DE
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Fecha Inicio Fecha Fin Estado
CONTROL
COBIT
Revisar informacin del listado de
todo los manuales de usuario,
acceso a todos los manuales de
usuario y procedimiento para
otorgar accesos a los manuales de
P035 Procedimiento para la usuario
auditoria de la documentacin
P05 FY/CZ 06-03-13 06-03-13 Ejecutado
de los manuales de usuario de Revisar los manuales de usuario de
los sistemas de informacin los sistemas crticos del negocio.
38
Cronograma de Ejecucin de Procedimientos de Auditoria
OBJETIVO
PROCEDIMIENTOS DE
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Fecha Inicio Fecha Fin Estado
CONTROL
COBIT
Revisar informacin del listado de
todo los manuales de usuario,
acceso a todos los manuales de
usuario y procedimiento para
otorgar accesos a los manuales de
P035 Procedimiento para la usuario
auditoria de la documentacin
P05 FY/CZ 11-03-13 11-03-13 Ejecutado
de los manuales de usuario de Revisar los manuales de usuario de
los sistemas de informacin los sistemas crticos del negocio.
Evaluar los manuales,
polticas, normas y Verificar el acceso de los usuarios a
Administrar las procedimientos que los manuales de usuario de los
DS13
operaciones garanticen la sistemas de informacin
adecuada gestin de
las operaciones. Verificar el cumplimiento del
procedimiento de acuerdo a la FY/CZ 11-03-13 11-03-13 Ejecutado
metodologa de desarrollo
Revisin de la informacin de las
Evaluar el estado P039 Procedimiento para la metodologas y Manuales de
de las auditoria de los manuales de procedimientos de soporte tcnico
Operaciones de P07 FY/CZ 12-03-13 12-03-13 Ejecutado
procedimiento de soporte Verificar el cumplimiento de los
los Sistemas de tcnico procedimientos de acuerdo a la
Informacin metodologa de soporte tcnico
Revisar informacin de
P032 Procedimiento para la metodologas de atencin de
auditoria de la metodologa para requerimientos de soporte tcnico
P08 FY/CZ 12-03-13 12-03-13 Ejecutado
la atencin de requerimientos de Verificar la inclusin de Niveles de
soporte tcnico Servicio, para la atencin de
Evaluar que los requerimientos de soporte tcnico
niveles de servicio en Revisar informacin de
Definir y
los ambientes de Metodologas de atencin de
administrar
DS1 procesamiento requerimientos de desarrollo o
niveles de
cumplan o superen las P033 Procedimiento para la mantenimiento ya sea si lo realiza
Servicio
expectativas de la auditoria de la metodologa para personal interno o proveedor
gerencia. P09 la atencin de requerimientos de Revisar detalladamente la FY/CZ 13-03-13 13-03-13 Ejecutado
desarrollo de sistemas de metodologa y el Procedimiento de
informacin atencin de requerimientos de
desarrollo de sistemas de
informacin ya sea con personal
interno o proveedor
39
Cronograma de Ejecucin de Procedimientos de Auditoria
OBJETIVO
N PROCEDIMIENTOS DE Fecha Fecha
OBJETIVOS CODIGO CONTROL COMPONENTE ACTIVIDADES DE CONTROL Responsable Estado
PROC CONTROL Inicio Fin
COBIT
Evaluar si los Revisar informacin de procedimientos para la generacin
nuevos sistemas de de contratos para la compra de software Base (SB),
Adquirir y aplicacin se P028 Procedimiento para la cotizaciones, evaluacin de las cotizaciones, Contratos y
mantener el adquieren o auditoria de los contratos adendas para las compras de SB
AI2 P10 FY/CZ 14-03-13 14-03-13 Ejecutado
software desarrollan de para la compra de software
aplicativo acuerdo a las de base Revisar las cotizaciones y evaluaciones para la compra de
intenciones de la SB
Gerencia Revisar los contratos para la compra de SB
Evaluar si los Revisar detalladamente la metodologa de desarrollo de
nuevos sistemas de software comparndola con la ISO 12207
aplicacin se
Instalar y P031 Procedimiento para la
implantan de
acreditar auditoria de la metodologa
AI7 manera apropiada P11 FY/CZ 14-03-13 14-03-13 Ejecutado
soluciones y de desarrollo de sistemas de Revisar la ejecucin de la metodologa de desarrollo de
y funciona de
cambios informacin sistemas de informacin
acuerdo a las
intenciones de la
empresa.
40
Cronograma de Ejecucin de Procedimientos de Auditoria
OBJETIVO
PROCEDIMIENTOS Fecha Fecha
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Estado
DE CONTROL Inicio Fin
COBIT
Evaluar los Revisar informacin del Plan de Seguridad de informacin, actas de
manuales, polticas reunin donde se aprueba el plan, Diagrama de Gantt para la
y procedimiento ejecucin de actividades del Plan de Seguridad
que garanticen la Verificar la asignacin de presupuesto, cronogramas y
P010 Procedimiento
adecuada responsabilidades para la elaboracin del Plan de Seguridad de
para la auditoria del
seguridad de la P15 Informacin FY/CZ 18-03-13 18-03-13 Ejecutado
Plan de Seguridad de la
informacin.
Informacin Verificar la alineacin del Plan de Seguridad de Informacin al PETI
Estructura de
Gobierno de Verificar la implementacin de las actividades indicadas en el Plan
Seguridad de la de Seguridad de Informacin
Informacin.
Revisar informacin de listado de accesos de todos los usuarios
sobre los sistemas de informacin, procedimiento para otorgar
P037 Procedimiento accesos a los sistemas de informacin
Evaluacin del
para la auditoria de la Revisar detalladamente el perfil de accesos de cada personal y
Control de
P16 seguridad de acceso a seleccionar los de mayor riesgos para posteriormente evidenciar el FY/CZ 19-03-13 19-03-13 Ejecutado
Accesos a los
los sistemas de uso adecuado
sistemas
informacin Revisar detalladamente el procedimiento para otorgar accesos al
personal verificando la autorizacin del Jefe de rea y la unidad de
riesgos
Revisar informacin de listado de personas que tienen acceso al
Evaluar el centro de cmputo, capacitacin al personal de seguridad
Garantizar la
estado de la (vigilancia), Procedimiento para brindar acceso al centro de datos a
DS5 seguridad de los
Seguridad de personas ajenas a la organizacin
sistemas
la informacin P054 procedimiento
para la auditoria de la Revisar el acceso por la puerta principal del edificio donde se
P17 seguridad de acceso al encuentra el centro de datos principal FY/CZ 20-03-13 20-03-13 Ejecutado
centro de cmputo Revisar el acceso al piso donde se encuentra el centro de datos
principal principal
Revisar el acceso al centro de datos principal
Evaluacin del Analizar la prdida de valor que se podra originar en caso de ser
Control de violentada la seguridad de acceso al centro de datos principal
Accesos a los Revisar informacin de listado de personas que tienen acceso al
centros de centro de cmputo alterno, capacitacin al personal de seguridad
computo (vigilancia), Procedimiento para brindar acceso al centro de datos
alterno a personas ajenas a la organizacin
P056 Procedimiento
para la auditoria de la Revisar el acceso por la puerta principal del edificio donde se
P18 seguridad de acceso al encuentra el centro de datos alterno FY/CZ 21-03-13 21-03-13 Ejecutado
centro de cmputo Revisar el acceso al piso donde se encuentra el centro de datos
alterno alterno
Revisar el acceso al centro de datos alterno
Analizar la prdida de valor que se podra originar en caso de ser
violentada la seguridad de acceso al centro de datos alterno
41
Cronograma de Ejecucin de Procedimientos de Auditoria
OBJETIVO
PROCEDIMIENTOS DE Fecha Fecha
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Estado
CONTROL Inicio Fin
COBIT
Revisar informacin del Plan estratgico de la
Organizacin, PETI, Plan de contingencia
Informtica, Diagrama de Gantt del PCI
Verificar la asignacin de presupuesto,
Evaluar el estado P008 Procedimiento para la cronograma y responsabilidades para la
Garantizar la Evaluar el Plan de elaboracin del PCI
de la Gestin de auditoria del Plan de
DS4 continuidad del recuperacin de P19 FY/CZ 22-03-13 22-03-13 Ejecutado
Continuidad de Contingencias de Informtica Revisar detalladamente la funcionalidad y
servicio desastres
Negocio (PCI) claridad del PCI
Revisar el procedimiento de pruebas del PCI
Verificar la asignacin de presupuesto,
cronograma y responsabilidades para la
ejecucin del PCI
42
2.2.3.2 Lista de Documentos a Solicitar
1. Descripcin de la institucin
2. Actividades y Ubicacin donde se desarrolla los servicio de informtica.
3. Diagrama Organizacional de TI
4. Descripcin de funciones del personal de TI
5. Descripcin del Departamento de Gestin de TI
6. Datos para el Contacto del responsable del departamento de la Gestin de TI
7. Descripcin del Departamento de Desarrollo de Software
8. Datos para el Contacto del responsable del departamento de Desarrollo de
Software
9. Descripcin del Departamento de Soporte tcnico
10. Datos para el Contacto del responsable del departamento de Soporte
Tcnico
11. Descripcin del Departamento de Administracin de Base de datos
12. Datos para el Contacto del responsable del departamento de Administracin
de Base de Datos
13. Descripcin del Departamento de Operaciones
14. Datos para el Contacto del responsable del departamento de Operaciones
15. Descripcin del Departamento de Seguridad de Informacin
16. Datos para el Contacto del responsable de Seguridad de Informacin
17. 2. Inventarios
18. Inventario de Software utilizado por GRELL
19. Inventario de Equipos de Cmputo utilizado por GRELL
20. 3. Informacin para ejecucin de procedimientos de Control
21. Informe de Auditora de TI anterior
22. Evidencias (email, informes, Cartas, PrintScreen, Memorando, Oficios, etc.)
de seguimiento a las observaciones de informes de auditoras anteriores
23. Plan estratgico de la organizacin
24. Plan estratgico de TI
25. Plan de cada Proyecto de TI donde se incluya presupuestos, cronogramas y
responsabilidades de ejecucin del mismo
26. Actas de reunin donde se evale la compra de sistemas de informacin
43
27. Cotizaciones de compra de sistemas de informacin
28. Actas de reunin o documento donde se evale las propuestas para la
compra del sistema de informacin
29. Documento de presupuestos para cada proyecto de TI
30. Lista de todos los manuales de usuario
31. Procedimiento de acceso a todos los manuales de usuario
32. Procedimiento para otorgar accesos a los manuales de usuario
33. Manuales de usuario de los sistemas crticos del negocio
34. Documentos donde se describan las Metodologas de Desarrollo de software
utilizadas
35. Procedimiento de Desarrollo de sistemas de informacin
36. Documento donde se describa las Metodologas de soporte tcnico utilizadas
37. Procedimiento de soporte tcnico
38. Metodologas de atencin de requerimientos de soporte tcnico
39. Procedimiento de requerimientos de soporte tcnicos, deber incluir los
SLAs
40. Metodologas de atencin de requerimientos de desarrollo de sistemas de
informacin
41. Procedimiento de requerimientos de desarrollo de sistema de informacin
42. Procedimientos para la generacin de contratos para la compra de software
Base (SB)
43. Cotizaciones para la compra de Software Base
44. Informacin de evaluacin de las cotizaciones de compra de Software Base
45. Contratos y adendas a los contratos para las compras de Software Base
46. Metodologa de desarrollo de software
47. Metodologa de atencin de requerimientos de desarrollo o mantenimiento
de software (control de cambios en los sistemas)
48. Formularios de control de cambios funcionales en los sistemas
49. Formularios de control de cambios tcnicos en los sistemas
50. Procedimientos de mantenimiento de la biblioteca de medios
51. Procedimiento de eliminacin de los medios de almacenamiento
52. Plan de Seguridad de informacin
53. Actas de reunin donde se aprueba el Plan de Seguridad de Informacin
44
54. Diagrama de Gantt para la ejecucin de actividades del Plan de Seguridad
55. Informacin de cumplimiento de actividades indicadas en el Plan de
Seguridad de Informacin
56. Listado de accesos de todos los usuarios sobre los sistemas de informacin
(Matriz de perfiles de usuarios)
57. Procedimiento para otorgar accesos a los sistemas de informacin
58. Listado de personas que tienen acceso al centro de cmputo principal
59. Evidencia de capacitacin sobre control de acceso a las reas restringidas
(Centro de datos principal) dirigidas al personal de seguridad (vigilancia)
60. Procedimiento para brindar acceso al centro de datos principal a personas
ajenas a la organizacin
61. Listado de personas que tienen acceso al centro de cmputo alterno
62. Evidencia de capacitacin sobre control de acceso a las reas restringidas
(Centro de datos alterno) dirigidas al personal de seguridad (vigilancia)
63. Procedimiento para brindar acceso al centro de datos alterno a personas
ajenas a la organizacin
64. Plan de contingencia Informtica
65. Diagrama de Gantt de la elaboracin del Plan de Contingencia Informtica
incluyendo (costos, actividades, cronograma y responsabilidades).
2.2.3.3 Cuestionarios
Inundacin? ()
Terremoto? ()
Fuego? ()
Sabotaje? ()
45
3. Describa brevemente la construccin del centro de cmputo; de preferencia
tomando en cuenta el material con que fue construido, as como el equipo
(muebles, sillas, etc.) del centro.
________________________________________________________________
4. Tiene el cuarto de mquinas una instalacin de escaparate y, si es as, pueden
ser rotos los vidrios con facilidad?
SI NO
5. Est el centro de cmputo en un lugar de alto trfico de personas?
SI NO
6. Se tiene materiales o paredes inflamables dentro el centro de cmputo?
SI NO
7. Se tiene paredes que despiden polvo?
SI NO
8. Se tiene paredes que no estn adecuadamente selladas?
SI NO
9. Se tiene grandes ventanales orientados a la entrada o salida del sol?
SI NO
10. Existe lugar suficiente para los equipos?
SI NO
11. Est sobre saturada la instalacin?
SI NO
12. Se tiene lugar previsto? Este es el adecuado para
Almacenamiento de equipos magnticos SI NO
Formatos y papel para impresoras SI NO
Mesas de trabajo y muebles SI NO
rea y mobiliario para mantenimiento SI NO
Equipo de telecomunicaciones SI NO
Consola del operador SI NO
rea de recepcin SI NO
Microcomputadoras SI NO
Fuentes de poder SI NO
Bveda de seguridad (anti incendio, bajo mxima proteccin) SI NO
13. Se tiene piso elevado?
SI NO
En caso afirmativo
14. Est limpia la cmara plena?
SI NO
15. Est fcil la limpieza?
SI NO
46
16. El piso es antiesttico?
SI NO
SI NO
18. Los ductos del aire acondicionado cuentan con alarmas contra intrusos?
SI NO
SI NO
SI NO
21. De qu forma?
________________________________________________________________
________________________________________________________________
SI NO
SI NO
SI NO
SI NO
47
29. Se registra las acciones de los operadores para evitar que realicen alguna que
pueda daar el sistema?
SI NO
SI NO
31. De qu forma?
Vigilante ()
Recepcionista ()
Puerta de combinacin ()
Puerta electrnica ()
Puerta sensorial ()
Registro de entradas ()
Puertas dobles ()
Escolta controlada ()
Alarmas ()
Tarjetas magnticas ()
Control biomtricos ()
Identificacin personal ()
SI NO
48
34. Se ha instruido a estas personas sobre qu medidas tomar en caso de que
alguien pretenda entrar sin autorizacin?
SI NO
SI NO
SI NO
38. Identifique el nmero de copias que se tienen, e acuerdo con la forma en que se
clasifica la informacin
________________________________________________________________
39. Existe departamento de auditora interna en la institucin?
SI NO
40. Este departamento de auditora interna conoce todos los aspectos de los
sistemas?
SI NO
42. Se cumplen?
SI NO
SI NO
Cada ao ()
Otra (especifique) ()
49
45. Cunto se efectan modificaciones a los programas, a iniciativa de quin?
Usuario ()
Director ()
Jefe de cmputo ()
Otro(especifique) _____________________
Escrita ()
47. Una vez adecuadas las modificaciones Se presentan las pruebas a los
interesados?
SI NO
SI NO
49. Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?
SI NO
SI NO
SI NO
52. Se registra cada violacin a los procedimientos con el fin de llevar estadsticas
y frenar las tendencias mayores?
SI NO
50
Informacin confidencial ()
Capacitacin de documentos ()
Cmputo electrnico ()
Programas ()
Discotecas y cintotecas ()
Documentos de salida ()
Activos magnticos ()
51
2.3 Resultados de la Auditoria
52
De otro lado, se debe mencionar que las llamadas Cadas de los servidores, se
han reducido con respecto al ao 2012; sin embargo, se debe indicar que an
mantiene algunas dificultades.
2.3.2 INTRODUCCIN
Seguridad de Informacin
Respaldo de Informacin
Auditora Interna
Planificacin
Metodologas
53
La Auditoria de Sistemas se orienta a evaluar los sistemas de control dentro del
ambiente de tecnologa de informacin, con el fin de formular recomendaciones
para mejorar estos mecanismos de control y/o proponer nuevos controles que se
complementen a los actualmente implementados. La implementacin de mejoras
y nuevos controles tiene el propsito minimizar la ocurrencia de errores o
riesgos futuros que pongan en peligro la gestin informtica y, por lo tanto,
genere un impacto desfavorable.
2.3.4 Antecedentes
2.3.5 Objetivos
Objetivo General
54
servicios informticos y de tecnologa de informacin, con el fin de brindar las
recomendaciones necesarias que se incorporen en forma integral a los sistemas
de control y gestin de riesgos de tecnologas de informacin de la organizacin
Objetivos Especficos
Alcance
55
de Educacin La Libertad, acorde con los estndares ISO 27001 y de mejores
prcticas COBIT.
56
Etapa de Planificacin
57
Etapa de la Elaboracin del Informe
58
informacin cumpla los criterios de confidencialidad, integridad y
disponibilidad; en tal sentido se ha evaluado el PSI en funcin de:
59
Seguridad fsica y ambiental: Existencia de controles fsicos al acceso,
dao o interceptacin de informacin, esto incluir la revisin de
instalaciones fsicas, reas de trabajo, equipamiento, cableado, entre otros
bienes fsicos susceptibles a riesgos de seguridad.
60
Controles preventivos y de deteccin sobre el uso de software de procedencia
dudosa, virus y otros similares.
61
Definir controles sobre la implementacin de aplicaciones antes del ingreso a
produccin.
62
SITUACIN ACTUAL RIESGO ASOCIADO RECOMENDACIONES
Actualmente no se cuenta con una ambiente de La rplica de la Base de Datos de Produccin al Se recomienda que el Ambiente de Pruebas sea
pruebas en el cual se pueda realizar las pruebas de ambiente de Pruebas permitir, de alguna forma, de caractersticas idnticas al ambiente de
esfuerzo (stress) e identificar problemas de mejorar la realizacin la efectividad de las produccin (hardware, software y
performance de estos sistemas que ayuden a pruebas (por ejemplo, pruebas de esfuerzo). Sin configuraciones), para garantizar que el
mejorar los tiempos de respuesta. embargo, el acceso de esta Base de Datos con proceso de pruebas sea ms efectivo.
informacin de produccin en el ambiente de
Actualmente, esta prueba se viene desarrollando Se recomienda aplicar mecanismos de
pruebas, puede generar problemas de
en el ambiente de desarrollo. transformacin de datos para evitar que en
confidencialidad de informacin.
ambiente de prueba se utilicen datos que se
trabaja en produccin y, de esa forma, proteger
la confidencialidad de la informacin.
No se cuenta con un Sistema de Gestin de la Existe la probabilidad que existan errores en los
Establecer y mantener un Sistema de Gestin
Calidad, para asegurar la buena performance de los sistemas de informacin en el ambiente de
de la Calidad que considere los siguientes
sistemas de informacin en Produccin. produccin debido a una limitada aplicacin de
aspectos:
controles de calidad.
Responsables de control calidad (evaluar si
es necesario implementar un comit como
parte de la organizacin de la gestin de
63
SITUACIN ACTUAL RIESGO ASOCIADO RECOMENDACIONES
calidad).
Definicin de criterios de calidad.
Definicin de procesos claves de TI su
secuencia e interaccin con otros procesos.
Polticas, criterios y mtodos para descubrir
actividades erradas.
Procedimientos para supervisar y medir la
eficacia y aceptacin del QA y aplicar
proceso de mejoramiento continuo
64
2.3.6.5 Aspectos de los Procedimientos de Respaldo
65
SITUACIN ACTUAL RIESGO ASOCIADO RECOMENDACIONES
Los Servidores estn ubicados en las Instalaciones del Existe la probabilidad que, por Se recomienda:
segundo piso de la Institucin. desconocimiento del personal y por falta
El Plan de Continuidad de Negocio de La
de pruebas al plan, no se desarrollen
De acuerdo a informacin proporcionada en las Gerencia Regional de Educacin La Libertad
todas las actividades de recuperacin de
entrevistas, El ministerio de educacin tiene un Plan de debe estar sincronizado con el Plan del
operaciones de manera adecuada durante
Continuidad de Negocio para su Data Center. Ministerio de Educacin
un evento de emergencia.
66
2.3.6.7 Aspectos de la Auditora Interna
En esta etapa se verific que la institucin cuente con planes operativos, planes
estratgicos, entre otros, que le marquen el camino a seguir con respecto a las
tecnologas de informacin dentro un periodo. Para este propsito se us como
referencia el procedimiento P01 Definir Plan Estratgico TI expuesto en la
versin 4.1 de COBIT.
67
A la fecha an no cuenta con un Plan Estratgico de Tecnologa de Informacin
que marque la tendencia tecnolgica de mediano y largo plazo de acuerdo al
Plan Estratgico de La Gerencia Regional de Educacin La Libertad (estrategias
de hardware, software, comunicaciones y personal). sta fue una observacin
de la Auditora 2009. Ms adelante, en el punto 3.5 Estado al 2013, se revisa
el estado de esta observacin.
68
2.3.7 REVISIN DEL AVANCE DE IMPLEMENTACIN DE RECOMENDACIONES DE LA AUDITORIA ANTERIOR
ASPECTOS DEL PLAN DE SEGURIDAD DE INFORMACION
De acuerdo al documento Si bien se definen los proyectos de TI que Formalizar el Plan Estratgico Se est reestructurando la
denominado Manual de Seguridad debern ser desarrollados como mnimo a de Tecnologas de Informacin organizacin a fin de fortalecer el
de Informacin elaborado por lo largo del ao y estos son identificados (PETI) y, en base a la cumplimiento de todos los objetivos
sistemas GRELL; el cual es de con las reas de negocio; no se cuenta con orientacin tecnolgica del de la Institucin, lo cual permitir
aplicacin del personal de GRELL y un Plan Estratgico de Tecnologa de negocio, desarrollar el Plan de facilitar el desarrollo apropiado de
del personal de las instituciones Informacin formalmente desarrollado. Seguridad de Informacin que los planes y Sistemas de
asociadas; se tiene por objetivo crear En tal sentido existe el riesgo que los se alinee a ste. Tal como Informacin. En este contexto se
un conjunto de reglas bsicas que documentos en donde se ampla el Plan establecen las buenas prcticas proyecta formalizar el Plan
rijan el comportamiento del personal de Seguridad de Informacin no est de Control Interno de Estratgico de Tecnologas de
en el uso de informacin para el correctamente alineado con los objetivos Tecnologas de Informacin Informacin (PETI) y otros planes,
desarrollo de sus tareas. estratgicos del negocio persigue; sea por (Ver Cobit 4.1 Procedimiento tal como el Plan de Seguridad de
falta de actualizacin o por falta de P01 Definir el Plan Estratgico Informacin. Se estima que en el
Asimismo, en el documento 1.12
identificacin formal de nuevos activos de TI Control Objectives for Primer Trimestre 2013, ya se cuente
Polticas y Procedimientos se han
de tecnologa de informacin que Information and related con algunos resultados.
definido, como parte del captulo
soportan las estrategias del negocio. Technology), el desarrollo del
69
ASPECTOS DEL PLAN DE SEGURIDAD DE INFORMACION
70
ASPECTOS DEL PLAN DE SEGURIDAD DE INFORMACION
4. Respuesta inmediata a
requerimientos para revisar el
cumplimiento de
normatividad vigente.
71
ASPECTOS DEL PLAN DE SEGURIDAD DE INFORMACIN
El Manual de Seguridad de Informacin hace Realizar un inventario de activos El rea de cmputo, est en proceso
referencia a Activos de Informacin: asociados a la Tecnologa de de completar el inventario de activos
Informacin, Equipos que la soportan y Informacin, realizar un anlisis de y debe culminar esta actividad antes
personas que la utilizan; sin embargo falta los riesgos a los cuales cada uno de que finalice el presente ao. Se
identificar de manera detallada los activos stos se encuentra expuesto, obtendr, a travs de este proceso, un
especficos que requieren ser protegidos asignar una clasificacin de los inventario que permita la precisin en
segn el grado de exposicin al riesgo en el mismos en funcin de la la gestin de cambios y facilita la
que se encuentran. exposicin de los riesgos, con lo gestin de riesgos
cual se identifiquen objetivos de
control para los Activos crticos.
Beneficios:
2. Facilita la sealizacin,
72
ASPECTOS DEL PLAN DE SEGURIDAD DE INFORMACIN
73
ASAPECTOS DE LA SEGURIDAD DE LA INFORMACIN
El procedimiento de Control de Se hace necesario la Revisin Revisar y actualizar el Se recomienda revisar el nuevo servicio
Ingreso al Centro de Cmputo no permanente y la Actualizacin procedimiento de Control de ofrecido por MINISTERIO del Per, en
existe. Es por ello que en la actualidad del procedimiento de acceso Ingreso al Centro de Cmputo y el Data Center, que debe considerar
en GRELL, no se cuenta con un para garantizar la Seguridad del realizar un seguimiento aspectos de Control de Ingreso,
Sistema de Acceso al Centro de Equipamiento y el Control de peridico que facilite la administracin de los recursos y
Cmputo. acceso peridico para verificar el actualizacin del procedimiento adicionalmente se recomienda realizar
cumplimiento de los mismos. en funcin del historial de un cronograma de Visitas al Centro de
eventos que se hayan producido datos, para comprobar la realizacin de
entre el periodo comprendido pruebas para garantizar la Seguridad de
entre una revisin y otra. los Servidores y de manera especial la
Informacin que se encuentra
Beneficios:
distribuida en la Base de Datos.
1. Alineamiento de las
actividades de control en
funcin a hechos o eventos
concretos. Actualizacin en
74
ASAPECTOS DE LA SEGURIDAD DE LA INFORMACIN
2. Formalizacin /
Estandarizacin.
Al igual que es necesario mantener un Al no tener un inventario de Realizar un inventario de activos Se reitera la recomendacin que es muy
inventario de Activos de Informacin activos de TI la administracin de TI o de Elementos de necesario el inventario de activos de TI
por las razones antes expuestas; es de la hoja de vida sobre los Configuracin (CI: y los elementos que lo conforman, para
necesario tambin mantener un activos de TI se vuelve ms Configuration Item) por mantener informacin sobre las
inventario de activos de TI en donde complicada, tanto para su jerarquas o grados de caractersticas y propiedades de cada
se especifique el detalle de hardware, identificacin como para el profundidad en donde se tenga tem, para conocer su emplazamiento,
software, aplicaciones y licencias. De control y seguimiento. A travs informacin sobre sus atributos pertenencia, nmero de serie y la
la revisin de la documentacin de esta hoja de vida, se podr (fsicos, pertenencia, ubicacin, clasificacin de Seguridad que es
alcanzada se ha identificado que se asociar los activos con los etc.) y la relacin entre los necesario, por lo expuesto en Seguridad.
tiene un inventario de aplicaciones y incidentes reportados sobre stos mismos.
75
ASAPECTOS DE LA SEGURIDAD DE LA INFORMACIN
76
ASAPECTOS DE LA SEGURIDAD DE LA INFORMACIN
77
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
A pesar que existe un formato para la Un formato de solicitud de Realizar mejoras a los Las solicitudes debidamente
solicitud de requerimientos de sistemas requerimientos debe permitir al procedimientos de establecidas mediante un formato
para nuevas funcionalidades y/o proyectos, usuario canalizar sus necesidades Requerimiento de Sistemas en establecido, son revisadas por el
segn las encuestas aplicadas a los al rea de sistemas y debe ser el donde se considere una Comit de Sistemas, Comit de
usuarios claves, ste no se aplica de primer input de informacin con clasificacin por prioridad Negocios y el Comit SIAF, a
acuerdo a lo especificado. lo cual el rea de sistemas pueda (cambios de emergencia, travs de los cuales se priorizan, se
interpretar la necesidad. cambios urgentes, cambios de clasifican y se atienden de acuerdo
No se ha logrado an estandarizar la
prioridad normal, cambios de a su grado de urgencia. Todos los
canalizacin de requerimientos; los Sin embargo, el formato debe ser
baja prioridad) e impacto requerimientos solicitados
usuarios no tienen una forma estndar de un primer input de informacin
(impacto menor, impacto mediante el formato son atendidos,
solicitar sus requerimientos; las solicitudes del requerimiento; informacin
sustancial, impacto mayor). El de acuerdo a su prioridad
se hacen a travs del formato, a travs de que debe ser complementada en
formato de requerimientos debe
correo electrnico o por telfono. las etapas sucesivas con Considerar la implementacin o
estar alineados a los
informacin adicional que le d al desarrollo de una herramienta que
Asimismo, a travs de las entrevistas con procedimientos y permitir al
usuario y al equipo de sistemas permita el soporte de la
los usuarios, se percibe un distanciamiento usuario y al personal de
informacin sobre el avance de la administracin de requerimientos.
entre el rea de TI y sus clientes (usuarios). sistemas registrar la
78
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
79
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
Beneficios:
3. Mejora la informacin
administrativa sobre los
80
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
4. Mejora la flexibilidad de
adaptacin ante cambios de
mayor impacto y de mayor
prioridad; mediante un
procedimiento conocido y
aceptado por el usuario.
Actualmente se cuenta con 1 ambiente Al no tener centralizada la funcin Asignar un responsable para A la fecha, no se cuenta con un
uno de produccin en donde se de administracin de fuentes para administrar las fuentes en el control centralizado de los
encuentran los objetos organizados a realizar el checkout y check in de ambiente de desarrollo, que sea programas fuente, lo cual puede
81
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
82
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
83
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
84
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
De la revisin del Contrato de Locacin de No contar con un catlogo de Revisar el Contrato de A la fecha no se cuenta con un
Servicios celebrado en el mes de diciembre servicios detallado en el que se Servicios Informticos y catlogo de los acuerdos de niveles
de 2008; se puede observar que no se especifique como mnimo las detallar mediante un catlogo de servicios, ni se cuenta con una
detalla con precisin el alcance del servicio necesidades del cliente por los de servicios los acuerdos de persona para realizar la evaluacin
de TI ofrecido. servicios contratados, acuerdos de niveles de servicio que del cumplimiento de estos niveles
niveles de servicio, tiempos de permitan evaluar el servicio de servicio.
Especficamente el Contrato de Locacin
respuesta y esquema de monitoreo provedo.
85
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
86
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
Tal como se menciona en el Plan Cadas constantes en los Las cadas del SERVIDORES El Sistemas de la institucin, est
Estratgico de enero de 2009, uno de los SERVIDORES implica cerrar un ms que incidentes se deben de en continuo mejoramiento. Se han
objetivos estratgicos del negocio es canal de atencin que tiene un considerar como un problema revisado las causas que producan
intensificar el uso del SIAF, lo cual impacto directo en el cliente; un (entindase como problema a los problemas identificados en la
permite reducir considerablemente los impacto tanto en la operatividad una condicin identificada Auditoria 2009. La solucin
tiempos de ciclo para las operaciones tanto del negocio como en la como resultado de mltiples adoptada le ha permitido al
87
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
88
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
Beneficios:
1. Definir y documentar
workarounds reducen el
tiempo en el que se levanta
el servicio por errores
conocidos.
89
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
90
ASPECTOS DE LOS PROCEDIMIENTOS DE RESPALDO
91
ASPECTOS DE LOS PROCEDIMIENTOS DE RESPALDO
92
ASPECTOS DEL PLAN DE CONTINUIDAD DEL NEGOCIO
93
ASPECTOS DEL PLAN DE CONTINUIDAD DEL NEGOCIO
94
ASPECTOS DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Beneficios:
1. Ms all de desarrollar un
documento de Plan de
Continuidad de Negocio, el
beneficio de hacerlo es
reducir los riesgos de
paralizacin de operaciones
crticas con el consecuente
impacto en el cliente; tanto
de cobranzas, imagen,
servicio, etc.
2. Identificacin detallada de
procesos de TI crticos
95
ASPECTOS DEL PLAN DE CONTINUIDAD DEL NEGOCIO
96
ASPECTOS METODOLGICOS
El rea de sistemas mantienen comits con Aplicar parcialmente tcnicas de Hay que considerar que un A la fecha no se cuenta con la
las reas de negocio en donde se revisa el gestin de proyectos pone en proyecto no es el fin en s mismo Metodologa de Gestin de
avance de los proyectos y requerimientos, en riesgo al proyecto en s; aumenta sino un medio para aplicar una Proyectos recomendada en la
donde se levanta un acta en donde se las probabilidades de error en estrategia especfica. En tal Auditoria 2009.
describe los Acuerdos Tomadas y se asignan alguno de las reas del proyecto sentido, la misin del Gerente de
Adicionalmente se puede
responsables y fechas para las siguientes (integracin, alcance, tiempo, Proyecto es alcanzar el objetivo
mencionar que la Gerencia de TI
actividades. costo, riesgos etc.) con lo cual se deseado segn las definiciones
no cuenta con una herramienta
pueden presentar desviaciones en del negocio considerando
Sin embargo, de acuerdo al Jefe de que le permita Controlar
algunas de las fases del proyecto. tiempo, costos y calidad.
Sistemas, no existe una aplicacin efectivamente sus proyectos, para
exhaustiva de tcnicas de gestin de Tomando en cuenta la definicin determinar el grado de avance,
proyectos que permita documentar el anterior, se sugiere formalizar objetivos parciales alcanzados,
proyecto, identificar las desviaciones en la una metodologa para la gestin costos, entre otros aspectos.
planificacin, gestionar los riesgos del de proyectos con lo cual se
Actualmente cada Jefe de
proyecto, medir los costos, etc. pueda controlar con mayor
Proyecto controla sus proyectos
precisin el avance y la
con herramientas como el MS
97
ASPECTOS METODOLGICOS
Beneficios:
1. Mejorar la gestin de
98
ASPECTOS METODOLGICOS
99
ASPECTO DE PLANIFICACIN
El rea de sistemas de GRELL no cuenta Sin un Plan Estratgico de Desarrollar el Plan Estratgico An no se cuenta con un Plan
con un Plan Estratgico de Tecnologa de Tecnologa de Informacin no de Informacin en coordinacin Estratgico de Tecnologa de
Informacin que marque la tendencia se puede establecer con claridad con el rea de sistemas de Informacin que marque la
tecnolgica de mediano y largo plazo de cul es el rumbo donde se debe GRELL y las reas de negocio tendencia tecnolgica de
acuerdo al Plan Estratgico de GRELL alinear las actividades de TI, y y establecer los procedimientos mediano y largo plazo de
(estrategias de hardware, software, para GRELL resultara ms para actualizacin y revisin acuerdo al Plan Estratgico de
comunicaciones y personal). complejo hacer un seguimiento anual. GRELL (estrategias de
como usuario del servicio de TI. hardware, software,
Beneficios:
comunicaciones y personal).
No tener una Plan Estratgico de
1. Sustentar las actividades de El Usuario responsable
TI impide medir la performance
sistemas sobre la base de un manifest que mediante la
del servicio de TI y evaluar los
Plan Estratgico de Reorganizacin del Grupo en
logros obtenidos. En base a este
Tecnologas de Informacin el Primer Trimestre del ao
plan se deben elaborar otros
facilita que los esfuerzos de 2012, se tendrn resultados.
planes, tales como el plan de
sistemas en cada uno de sus
capacitacin, plan de La Unidad de TI, ha
frentes estn alineados con
100
ASPECTO DE PLANIFICACIN
101
2.3.8 CONCLUSIONES DE LA AUDITORIA
102
Existencia de material inflamable como cuadernos, papeles, madera, etc.
103
Captulo III: PLAN DE MEJORA DEL SISTEMA DE GESTIN DE
LA SEGURIDAD DE LA INFORMACIN Y CONTINUIDAD
3. SGSI Y PCN
104
3.1.1 OBJETIVOS
3.1.3 METODOLOGA
1. ENTREVISTA AL PERSONAL
Se entrevist a la Jefa de Computo, previa coordinacin.
2. REVISIN DE LA DOCUMENTACIN
105
Se solicit la documentacin existente en la institucin relacionadas a las
normas.
3. EVALUACIN IN SITU
Se bas en conversaciones con el entrevistado y el recorrido a las
reas de: rea de Cmputo y Centro de Datos
4. COMPROMISO DE CONFIDENCIALIDAD
El consultor/auditor externo se compromete a mantener absoluta reserva
de la informacin proporcionada por GRELL
1. DOCUMENTACIN DE LA EMPRESA:
a. No existen polticas de seguridad de la Informacin.
b. No existe documentacin de procesos.
c. No existe documentacin de continuidad del centro de datos.
d. Objetivos de empresa de manera informal.
e. Falta de identificacin formal de requisitos del cliente.
f. No existen plan de capacitacin establecido.
2. CONTROLES OPERACIONALES
a. No existen acciones asociadas a la normativa 27001
b. Falta de delimitacin de rea.
c. Falta de identificacin de peligros y evaluacin de peligros.
d. Desconocimiento del impacto operacional de la institucin.
f. No se cuenta con procedimientos operaciones ni controles.
g. No existe registro de accidentes.
h. No se tiene definido qu situaciones merecen dar origen a
acciones correctivas, preventivas y de mejora y cmo tratar cada una de
ellas.
Como resultado de la evaluacin documentaria se ha considerado necesario
106
elaborar la siguiente estructura documentaria como base necesaria para sustentar
el PLAN DE MEJORA:
- Manual de Gestin en Seguridad de la Informacin
- Procedimientos Generales y Especficos
- Manual de Continuidad del Centro de Datos
- Registros asociados a los procedimientos
Adicionalmente, se determinar la documentacin necesaria en funcin a la
complejidad de los procesos de GRELL y la competencia del personal
107
3.1.6 CRONOGRAMA DE ACTIVIDADES
108
3.1.7 FASES Y ACTIVIDADES
Esta fase es fundamental; tanto los niveles estratgicos como los tcticos en la
organizacin deben entender los requerimientos de la norma y la lgica del
funcionamiento del SGSI, as como sus beneficios.
El ISO 27001:2005 est concebido bajo la ptica de sistemas. Vale decir, lo que
se aplica al todo puede aplicarse a cada elemento del todo. La amplitud del
alcance en una empresa depender de muchos factores. Uno de ellos sern los
recursos disponibles, la experiencia en la implantacin y la criticidad de algunos
procesos en relacin con el riesgo de informacin. Por lo general, la
implantacin del modelo se realiza por procesos, que se han considerado
crticos, por su exposicin al riesgo y el impacto en la competitividad de la
firma. Cuando es la primera vez que se desea implantar el modelo en una
empresa, no se debe ser tan ambicioso y escoger un proceso muy complejo que
pudiera hacer fracasar la implantacin.
109
candidatos para implantar el modelo?
Esta etapa consiste en identificar los factores crticos del xito de la empresa
y, por otro lado, identificar los procesos crticos de la organizacin.
Conviene tener en cuenta que la ejecucin de las etapas estratgica y tctica para
determinar el alcance debe ser realizada por grupos multidisciplinarios,
compuestos por representantes de los procesos organizacionales que se estn
analizando. Esto es vital, porque slo los responsables del proceso son los que
ms conocimientos tienen sobre la problemtica y la naturaleza de su proceso.
En esta fase los aspectos que deben lograrse son la identificacin detallada de
todos los activos de informacin, comprendidos en el alcance del modelo de la
empresa. En seguida, para conocer el impacto de cada activo de informacin en
la organizacin, se debe tasar cada activo con base en su confidencialidad,
integridad y disponibilidad. Una vez efectuada la tasacin, la empresa decidir
cuales son aquellos activos de informacin considerados importantes.
El paso que se debe de seguir es iniciar el anlisis de riesgo para concluir con un
estimado de riesgo por cada activo de informacin. A los activos de informacin
que como resultado del anlisis de riesgo se les considere ms crticos, se les
efectuar una evaluacin de riesgo. El resultado de esa evaluacin es identificar
aquellos activos de informacin ms significativos. Se recomienda utilizar
COBIT para anlisis de riesgo.
110
Una vez concluidos el anlisis y la evaluacin del riesgo, es el momento ms
propicio para redactar la poltica y los objetivos de seguridad de informacin.
111
cerciorarse de que el SGSI opera como estaba planeado. Las actividades de esta
fase son las siguientes:
En esencia, se requieren tres competencias bsicas, las cuales conforman las tres
actividades de esta fase:
112
formal es importante. Quizs esta actividad debiera ejecutarse al inicio del
proyecto.
Para poder cumplir con los requerimientos de las auditoras internas, ellas deben
llevarse a cabo cumpliendo todas las exigencias de la clusula 6 de la norma. En
una prctica internacional que, en 12 meses, la empresa haya auditado la
implantacin de todas las clusulas de la norma.
Realizacin de las auditoras internas. La empresa debe haber decidido si las
auditoras internas sern subcontratadas o realizadas por personal interno. Bien
sea una u otra opcin, las auditoras deben realizarse cumpliendo con todas las
exigencias de la clusula 6 de la norma, y utilizando el lineamiento ISO
19011:2002.
113
3.1.7.11 FASE 11 OBTENCIN DE LA CERTIFICACIN INTERNACIONAL
FASES ACTIVIDADES
I. Entendimiento de los requerimientos del 1. Taller con niveles estratgicos y tcticos
modelo
II. Determinacin del Alcance 2.Etapa estratgica
3. Etapa Tctica
III. Anlisis y Evaluacin del riesgo 4. Realizacin del anlisis y evaluacin del
riesgo.
5.Definicin de poltica de seguridad de
informacin y objetivos
6. Evaluacin de las opciones para el
tratamiento del riesgo
7. Seleccin de controles y objetivos de
control.
8. Evaluacin de la declaracin de
aplicabilidad.
IV. Elaboracin del plan de continuidad 9.Realizar el Business Impact Analysis
del negocio 10. Efectuar el anlisis del riesgo e
identificar escenarios de amenazas.
11. Elaborar estrategias de continuidad.
12. Disear plan de reanudacin de
operaciones
13. Disear procesos de ensayos
V. Implementar y operar el SGSI 14. Elaborar el plan de tratamiento del
riesgo.
15. Determinar la efectividad de los
controles y las mtricas
VI. Monitorear y revisar el SGSI 16. Deteccin de incidentes y eventos de
seguridad.
17. Realizacin de revisiones peridicas al
SGSI.
VII. Mantener y mejorar el SGSI 18. Implementar las acciones correctivas y
preventivas.
114
VIII. Desarrollo de competencias 19. Entrenamiento en documentacin del
organizacionales SGSI.
20. Entrenamiento en manejo de la accin
correctiva y preventiva.
21. Entrenamiento en manejo de auditora
interna.
IX. Redaccin del Manual de Seguridad de 22. Redaccin de las auditoras internas
Informacin
X. Ejecucin de las auditoras internas 23. Realizacin de las auditoras internas
XI. Obtencin de la certificacin 24. Bsqueda de la empresa certificadora.
internacional. 25. Realizacin de la auditoria por parte de
la certificadora.
26. Obtencin de la certificacin
115
inesperados y sobredimensionados.
3. Reduccin de riesgos
Mediante la implantacin de controles, se garantiza la continuidad del
negocio frente a las amenazas y vulnerabilidades.
6. Cumplimiento legal
Los aspectos de conformidades legales de la norma exigen la
verificacin, la adecuacin y cumplimiento de la legislacin del pas, en
concreto, proteccin de datos, propiedad intelectual, servicios de la
sociedad de la informacin y comercio electrnico, etc.
116
2. Ausencia de una adecuada Gestin de Riesgo
4. Falta de Recursos
La provisin de recursos, aspecto fundamental para cualquier iniciativa que
se quiera llevar adelante, pero en temas asociados con un SGSI resulta
fundamental, y es tan importante que el estndar lo describe directamente en
el punto asociado a las Responsabilidades de la Direccin. Esto es
claramente as, si no contamos con los recursos necesarios, resultar muy
difcil implantar el SGSI y luego llevar a cabo las actividades asociadas al
mantenimiento y mejora del mismo. Es la Direccin la encargada de brindar
117
los recursos necesarios. Para lograr el inters de la Direccin las reas
involucradas en los proyectos de SGSI recurren a distintos mtodos, entre los
que se pueden encontrar: charlas, talleres, relevamientos de seguridad,
auditorias, etc.
5. Ausencia de Documentacin
118
superior es en aquellas industrias con fuerte regulacin al respecto, como
puede ser la industria financiera.
7. Resistencia al cambio
Las personas se resisten a los cambios, esto no es una novedad, y
obviamente no est fuera de las dificultades que vamos a enfrentar al
momento de implantar un Sistema de Gestin de la Seguridad de la
Informacin. Para ello debemos identificar los agentes del cambio que
servirn de facilitadores para convertir la Poltica de Seguridad definida en
algo tangible y objetivos cumplibles y evidenciables. Frases como esto se
viene haciendo as, no somos un banco, ya sabamos esto y un centenar
de frases ms, no son ms que ejemplos de resistencia al cambio. Es
importante tener en cuenta que la resistencia al cambio se debe reducir desde
la Direccin de la Organizacin, es ms, podramos definirla como una
nueva "responsabilidad de la direccin", dado que es sta la que tiene que
marcar el camino, brindar los recursos y apoyar cada una de las iniciativas
que permitan establecer el programa de seguridad que permita llevar a la
realidad la Poltica de Seguridad de la Informacin.
119
Por esta razn, los procesos de TI que actuarn como la plataforma de control
del SGSI, y que sern especificados en la declaracin de aplicabilidad, son los
siguientes:
120
interrumpidos y recursos al estado de operacin normal, en un tiempo
prudencial
121
3.2.1 Fases
3.2.1.1 FASE I BUSINESS IMPACT ANALYSIS (BIA)
Esta fase BIA consiste en identificar aquellos procesos relacionados con apoyar
la misin de la empresa, y analizar con muchos detalles los impactos en la
gestin comercial del negocio, si esos procesos fuesen interrumpidos como
resultados de un desastre.
122
de amenazas se elaboran estrategias que contemplen los escenarios de amenazas
identificados.
Aqu el entregable son simplemente los registros que deben llenarse para
demostrar a terceros que se realizan los ensayos, as como las acciones
correctivas que la empresa debe emprender para hacer el ajuste al Plan de
Reanudacin de Operaciones.
123
para no perjudicar el buen servicio, como pata no perjudicar la operatividad de la
Institucin.
Actividad Responsable
Evaluar condiciones del centro de cmputo principal. Equipo de Cmputo.
Inmediatamente despus que el siniestro ha concluido, se deber
evaluar la magnitud del dao que se ha producido, que sistemas se
est afectando, que equipos han quedado no operativos, cuales se
pueden recuperar, y en cunto tiempo, etc.
Adicionalmente se deber avanzar en las labores de preparacin del
Centro de Datos Alterno.
Priorizacin de actividades del Plan de Continuidad. Comit de contingencia
Toda vez que el BCP es general y contempla una prdida total, la
evaluacin de daos reales y su comparacin contra el Plan, nos dar
la lista de actividades que debemos realizar, siempre priorizndola en
vista a las actividades estratgicas y urgentes de la institucin.
Es importante evaluar la dedicacin del personal actividades que
puedan no haberse afectado, para ver su asignamiento temporal a las
actividades afectadas, en apoyo al personal de los sistemas afectados
y soporte tcnico.
Proceso de compras Jefe de Cmputo
Poner rdenes de compra de reemplazo de equipos, rdenes de
servicio y/o reparacin en la medida de que sea necesario.
Cobro de Plizas de Seguro aplicables a los daos presentados Equipo de Comunicacin
durante la contingencia
En el evento de que ocurriera una contingencia, y si estuvieran
asegurados los activos de la institucin, la primera opcin para
recuperar las operaciones normales es recurrir al cobro de plizas de
seguro.
Si bien es cierto, que este dinero ser devuelto en un plazo inmediato,
eventualmente servir para la adquisicin de toda la infraestructura
necesaria para que el negocio pueda funcionar paulatinamente como
antes. Es vital entonces que el plan contenga la informacin clave del
124
Actividad Responsable
seguro que se adquiera en la institucin.
Supervisar la instalacin del hardware, lneas , telfonos, etc. Equipo de logstica
Validad si las acometidas elctricas estn en condiciones adecuadas Jefe de Cmputo
de funcionamiento
Verificar las condiciones de seguridad fsica del centro de datos y Jefe de Cmputo
autorizar el reingreso del personal
Inspeccionar las condiciones de operatividad de los equipos de Jefe de Cmputo
cmputo
Preparar todos los respaldos de sistema operativos, aplicaciones, base Jefe de Cmputo
de datos, redes.
Iniciar la fase de recuperacin de informacin desde los registros Jefe de Cmputo
manuales de contingencia o en base a la informacin del servidor de
replicacin.
Inspeccionar las condiciones de operatividad de las instalaciones. Si Jefe de Cmputo
est apto para recibir al personal autorizar su reingreso.
Inicio de prestacin de servicios en modalidad de prueba Jefe de Cmputo
Comunicacin del fin de la contingencia. Jefe de Cmputo
Mejoramiento continuo del Plan de Normalizacin de los servicios Jefe de Cmputo
de la contingencia.
Paso Actividad
1 Lder de Cmputo decreta la salida de lnea del Sistema desde el Sitio alterno.
5 Jede de Cmputo saca respaldos de los sistemas y se traslada con ellos al Centro de
Datos.
6 Jefe de Cmputo carga respaldos de los sistemas y hace pruebas preliminares.
7 Jefe de Cmputo define y hace pruebas con la replicacin entre el Centro de Cmputo
125
Paso Actividad
126
Captulo IV: REQUERIMIENTOS DE TI E INVERSIN DE LA
SOLUCIN
Descripcin S/
Servicio de consultora Auditoria TI 14 000.00
Servicio de Implementacin SGSI 14 000.00
Servicio de Implementacin PCN 16 000.00
Total en Nuevos Soles 44 000.00
INC. IGV
P.
tem Descripcin Cant. Total
Unit.
01 Mano de Obra
127
P.
tem Descripcin Cant. Total
Unit.
Perforaciones y Resanes Gbl 1 190.00 190.00
02 Materiales
Cable 12 AWG THW Color rojo negro y amarillo x Rollo 15 43.00 645.00
128
P.
tem Descripcin Cant. Total
Unit.
Cajas de pase de 4x4 Data 12 1.53 18.36
Sub $7,854.94
Total
IGV $1,413.89
Total $9,268.83
129
CONCLUSIONES
130
puesto que los encargados del rea de cmputo, se retiraron borrando toda la
informacin. Revisar el procedimiento de contratacin de servicios con terceros
que afecten servicios de TI en que se considere un anlisis de riesgo previo por
cambios de proveedores o cambios en el alcance del servicio.
131
RECOMENDACIONES
Una buena prctica en las organizaciones para las reas de TI, en este caso rea
de Cmputo es realizar peridicamente evaluaciones de riesgos con el objeto de
minimizar los mismos y priorizar aquellos catalogados como riesgos altos. As
como tambin considerar evaluaciones peridicas de auditora de sistemas que
permitan identificar procesos a mejorar.
132
REFERENCIAS BIBLIOGRFICAS
133
ANEXOS
134
Anexo 2: Tabulacin de Encuesta Usuarios Claves
Resultado
I. SOBRE LOS SISTEMAS DE INFORMACIN
%
Oportuna
La informacin proporcionada por el Sistema Correcta
es: Consistente
Confiable
Lento
Al guardar informacin, realizar clculos y
Rpido
realizar bsquedas y consulta, el sistema es:
Normal en Velocidad
Fcil de Usar
Al utilizar el sistemas ste es:
Complicado de Usar
Flexible
La bsqueda de informacin en el sistema es:
Limitada
Por telfono
A travs de un formato
A travs de qu medios canaliza requerimientos
Personalmente
de sistemas
Por correo electrnico
A travs del jefe del departamento/rea
135
Resultado
I. SOBRE LOS SISTEMAS DE INFORMACIN
%
No hace requerimientos
Otros
Si
Tiene requerimientos que no haya solicitado
No
Si
Utiliza todas la opciones del sistema
No
Resultado
II. SOBRE EL DESARROLLO DE SISTEMAS Y HERRAMIENTAS
%
Solicitud de Requerimientos
Anlisis y Diseo
Durante el desarrollo Ud. participa en: Desarrollo
Pruebas
Implantacin
Ha recibido una buena capacitacin en el uso Si
del sistema No
136
Resultado
III. SOBRE EL SOPORTE DE SISTEMAS
%
Frecuentes
Varias veces
Las cadas (fallas) del sistema son:
Pocas veces
Nunca
Reporta e informa a Sistemas
Siempre que hay estas cadas Ud.
Reinicia la computadora
Oportuno
Ante requerimientos urgentes el soporte de
Poco oportuno
sistemas es (helpdesk):
Inoportuno
Resultado
IV. ASPECTOS DE SEGURIDAD
%
Si
Se le ha borrado informacin del disco duro
No
Si
Sabe dnde guardar su informacin
No
Si
Ha notado presencia de virus
No
137
Resultado
III. SOBRE EL SOPORTE DE SISTEMAS
%
El rea de sistemas le informa sobre nuevos Si
virus No
Si
Comparte su password
No
Vacaciones
Licencia
Ha dado su password en caso de: Enfermedad
Comisin
Nunca
Niveles de Acceso a la informacin
Creacin de claves de acceso
Cambio de claves peridicos
Copia de respaldo de documentos (word, excel,
Ha recibido orientacin en: etc.)
Uso apropiado del Internet
Uso del Intranet
Que hacer en casos de fallas del Sistema
Confidencialidad de Informacin
138
Resultado
III. SOBRE EL SOPORTE DE SISTEMAS
%
Buen uso de los recursos de cmputo
Si
Usa protector de pantalla con password
No
Si
Deja la PC encendida al finalizar el da
No
139
140