UNIVERS

(Universidad del

Per, DECANA DE AMRICA)

IDAD
NACION
Plan de Seguridad de la Informacin para la Facultad de

Ingeniera de Sistemas e Informtica

AL
Integrantes : Cdigo:

I. Ramrez Vera Carlos 14200202

II. Terrazas Garca Guillermo 14200230
III. Puitiza Lpez, Anthony 14200054

MAYOR
IV. Quispe Quispe Kerly 14200199
V. Zuiga Yamashita Miguel 14200059
VI. Olivares Chuquiure, Kevin 14200223

DE SAN Profesor : Winston, Ugaz Cachay

Semestre Acadmico: 2017-II

MARCOS
Tabla de Contenidos
1. Introduccin 3
1.1 Motivacin del Proyecto 3
1.2 Enfoque del Proyecto 3

2. Contextualizacin y Documentacin 4
2.1 Presentacin de la Empresa 4
2.2 Proceso del Negocio 4
2.3 Estructura Organizativa 4
2.4 Organigrama de la Empresa 8

3. Mapeo de Procesos 9

4. Anlisis Diferencial 10
4.1 Polticas de Seguridad 10
4.2 Aspectos Organizativos de la Seguridad de la Informacin 10
4.3 Clasificacin y Control de Activos 10
4.4 Seguridad Ligada a los Recursos Humanos 10
4.5 Seguridad Fsica y del Entorno 11
4.6 Gestin de Comunicaciones y Operaciones 11
4.7 Control de Accesos 12
4.8 Adquisicin, Desarrollo y Mantenimiento de Sistemas 12
4.9 Gestin de Incidentes en la Seguridad de la Informacin 12
4.10 Gestin de Continuidad de Negocio 12
4.11 Cumplimiento 13

5. Anlisis de Riesgo 13
5.1 Introduccin 13
5.2 Inventario de Activos 13
5.3 Valoracin de Activos 14
5.4 Dimensiones de Seguridad 14
5.5 Tabla de Valoracin de Activos Procesos de Matrcula 15
Plan de Seguridad de la Informacin Facultad de
Ingeniera de Sistemas e Informtica UNMSM

1. Introduccin
1.1 Motivacin del Proyecto

La Facultad de Ingeniera de Sistemas e Informtica es una institucin perteneciente a la

Universidad Mayor de San Marcos, que brinda servicios educativos con calidad
internacional, que se encuentra en la estructura en cuanto a seguridad de las tecnologas
de la informacin se refiere. El objetivo principal de esta remodelacin entorno a la
seguridad de la informacin es mejorar la eficiencia y seguridad de los procesos de
negocio de manera que se garantice el correcto funcionamiento cumpliendo con los
estndares internaciones relacionados con la calidad de la seguridad de la informacin.

La facultad de Ingeniera de Sistemas e Informtica consciente de la necesidad de invertir

esfuerzos en fortalecer la seguridad en el proceso de negocio ha considerado oportuno
realizar un anlisis de la situacin actual en la que se encuentra la facultad, de los riesgos
y del impacto potencial que supone para el negocio. Este anlisis ser el comienzo para
asentar unas bases para establecer unos criterios y directrices corporativas en materia de
seguridad, que ayuden a mejorar de forma global los niveles corporativos en la seguridad
de la informacin.

Para garantizar estos objetivos se ha decidido por definir un plan director de seguridad de
la informacin, utilizando como marco estndar la ISO 27002. A partir de este plan director,
La ISO 27002 y en base a un anlisis de riesgos, ser posible definir una serie de
proyectos orientados a los dominios de la organizacin ms vulnerables, con el objetivo de
reducir los riesgos potenciales detectados.

1.2 Enfoque del Proyecto

Tal como se especific en la motivacin de la organizacin para implementar un plan

director de la seguridad, este estar alineado con estndares como la ISO 27002 y para
realizar el anlisis de riesgos la metodologa en la que se basar el proceso ser en
MAGERIT.

Para realizar este anlisis de riesgos se especificarn los activos de la Facultad

orientados a soportar los procesos TI fundamentalmente, y a partir de ah el alcance del
proyecto ser el reducir el riesgo de estos activos crticos para la organizacin en primer
lugar, a partir de la realizacin de un anlisis de riesgos identificando las amenazas
pueden afectar a cada activo. A partir de este punto el plan director debera tener como
referencia este anlisis previo con el objetivo final de ejecutar los planes adecuados
orientados a mejorar los niveles de seguridad de la informacin en la Facultad, de forma
que todas las dimensiones de la seguridad estn los ms prximas posibles a CMM5.
2. Contextualizacin y Documentacin

3. Presentacin de la Empresa

La Facultad de Ingeniera de Sistemas e Informtica perteneciente a la Universidad Nacional

Mayor de San Marcos, es una organizacin que brinda servicios educativos.
Tiene como objetivo formar profesionales en las ingenieras de Sistemas y de software, as
como en gestin y gobierno de tecnologas de informacin, contribuyendo al desarrollo de la
sociedad.

4. Proceso del Negocio

El proceso escogido ha sido el Proceso de Matrcula el proceso se ejecuta planificando la
evaluacin del promedio ponderado, Sunedu pide que se catalogue. Este proceso se ejecuta
rigindose en un MOF, segn la ley universitaria n30220 que fue emitida en abril del 2014
entonces antiguamente estamos con este MOF (antiguo), este reglamento.

El proceso de matrcula, se planifica segn promedio ponderado, la Sunedu pide que se

matricule segn meritocracia, de mayor a menor, entonces todos los aos se emite segn
cronograma. La pre-matricula sirve para saber los cursos que se puede llevar, luego se emiten
los horarios respectivos previa revisin de las veinte facultades en coordinacin con el
vicedecanato de cada facultad de dichas facultades, despus de aprobar el cronograma de
horarios se planifica todo el proceso.
Este proceso pide que se matricule segn meritocracia

5. Estructura Organizativa
La Facultad de Ingeniera de Sistemas e Informtica tiene una estructura organizativa
distribuida de la siguiente manera:

Consejo de Facultad

Es el rgano mximo de gobierno y direccin, encargado de dirigir la marcha de la Facultad

de Ingeniera de Sistemas e Informtica, que tiene como misin definir los lineamientos de
poltica para el accionar de la Facultad.
Decanato
Es el rgano de direccin y gobierno, que tiene como misin la gestin acadmica,
administrativa y financiera de la Facultad para el logro de los objetivos de la institucin, con las
atribuciones que le confiere la Ley Universitaria y el Estatuto de la Universidad.

Unidad de Planificacin, Presupuesto Y Racionalizacin

Unidad encargada de la formulacin del proceso de planificacin; propone las pautas y
formula proyectos de presupuesto anual de la facultad.

Oficina de Calidad Acadmica y Acreditacin

rgano de asesoramiento que tiene por misin planificar, ejecutar y evaluar lo procesos de
auto evaluacin de la facultad.
Unidad de Estadstica e Informtica
Unidad encargada de brindar asesoramiento informtico a las diversas unidades que
conforman la facultad.
Unidad Tecnolgica Educativa
Unidad encargada el asesoramiento tcnico y que tiene por misin la elaboracin de
instrumentos de apoyo al proceso enseanza- aprendizaje.

Unidad de Coordinacin Curricular

Unidad encargada del asesoramiento tcnico que tiene por misin, establecer coordinaciones
tendientes a investigar, analizar y desarrollar programas para la actualizacin curricular.
EP Ingeniera de Sistemas
rgano de lnea de la Facultad, encargada de la formacin Acadmico - Profesional de los
estudiantes de la Facultad. Est a cargo de un profesor ordinario que cumpla con lo establecido
en el Estatuto de la Universidad.

EP Ingeniera de Software
rgano de lnea de la Facultad, encargada de la formacin Acadmico - Profesional de los
estudiantes de la Facultad. Est a cargo de un profesor ordinario que cumpla con lo establecido
en el Estatuto de la Universidad.

Departamento Acadmico de Ciencias de la Computacin

rgano de apoyo acadmico de la Facultad, que tiene como misin coordinar las actividades
de los profesores y la distribucin de la Carga Acadmica. El departamento est a cargo de un
Coordinador, elegido por y entre los docentes integrantes del Departamento Acadmico, de
acuerdo a las normas que fija el Estatuto de la Universidad.

Departamento Acadmico de Ingeniera de Software

rgano de apoyo acadmico de la Facultad, que tiene como misin coordinar las actividades
de los profesores y la distribucin de la Carga Acadmica. El departamento est a cargo de un
Coordinador, elegido por y entre los docentes integrantes del Departamento Acadmico, de
acuerdo a las normas que fija el Estatuto de la Universidad.

Vicedecanato de Investigacin y Posgrado

El Vicedecanato de Investigacin y Posgrado es el rgano de lnea encargado de coordinar y
organizar las actividades de Investigacin y los programas de posgrado en todos los niveles.
Est a cargo de un Vicedecano designado por el Decano de la Facultad.
Unidad de Investigacin
rgano de lnea encargado de conducir y desarrollar todas las actividades inherentes al campo
de la investigacin.

Vicedecanato de Investigacin y Posgrado

El Vicedecanato de Investigacin y Posgrado es el rgano de lnea encargado de coordinar y
organizar las actividades de Investigacin y los programas de posgrado en todos los niveles.
Est a cargo de un Vicedecano designado por el Decano de la Facultad.

Unidad de Investigacin
rgano de lnea encargado de conducir y desarrollar todas las actividades inherentes al campo
de la investigacin.

Centro de Produccin
rgano de ejecucin encargado de desarrollar las actividades de produccin y prestacin de
servicios, con el objetivo de propiciar el desarrollo de software y hardware.

Centro de Responsabilidad Social y Extensin Universitaria

rgano de lnea encargado de integrar a la FISI a la comunidad.
Vicedecanato Acadmico
El Vicedecanato Acadmico es el rgano de lnea encargado de prestar servicios y apoyo de
orden acadmico a los estudiantes y docentes de la Facultad, como el apoyo social que se
hace extensivo al personal no docente. Est a cargo de un Secretario Docente designado por
el Comit Directivo de Gobierno de la Facultad.

Unidad de Matrcula Registros Acadmicos, Grados y Ttulos

Unidad encargada de planificar, organizar y dirigir el proceso de matrcula de los estudiantes en
el Sistema nico de Matrcula de acuerdo a las directivas emanadas por la Direccin
Acadmica y los Horarios y Carga Acadmica establecidos por las EAP's.
Encargada de otorgar Constancias y Certificados de Estudios, as como los Grados y Ttulos
correspondientes.
Encargada de la custodia de la confidencialidad de los archivos de documentos de informacin
personal de los estudiantes.

Unidad de Asesora y Orientacin al Estudiante

Unidad encargada de brindar asesoramiento y orientacin a los estudiantes de la facultad en
actividades para el xito de su formacin profesional.

Unidad de Biblioteca, Hemeroteca y Centro de Documentacin

Unidad encargada de dirigir y administrar la biblioteca, hemeroteca y asegurar la permanente
actualizacin del material bibliogrfico.

Unidad de Bienestar
Desarrolla las actividades necesarias para complementar las metas de la Facultad en materia
de bienestar social, psicolgico, fsico y econmico de los estudiantes, del personal docente y
administrativo.

Direccin Administrativa
La Direccin Administrativa es el rgano que tienen por misin programar, organizar y dirigir las
actividades de apoyo al Decanato y al Consejo de Facultad, en las reas de Personal,
Economa, Trmite Documentario, Impresiones y Publicaciones, y Servicios Generales y
Mantenimiento. Est a cargo de un Director, que es ejercido por un personal docente o no
docente de nivel profesional, especializado en las reas de trabajo.

Unidad de Economa
unidad encargada de realizar las acciones concernientes a los sistemas administrativos de
tesorera y contabilidad. Asesora a la Facultad en asuntos de su competencia. La oficina est a
cargo de un Jefe de Oficina que preferentemente debe ser un profesional No Docente.

Unidad de Personal
Unidad que tiene como misin la implementacin de los procesos tcnicos de personal, la
capacitacin y perfeccionamiento de los servidores no docentes.

Unidad de Servicio General, Operaciones y Mantenimiento

unidad encargada de brindar la oportuna y adecuada prestacin de servicios para el desarrollo
de la actividad docente y administrativa.

Unidad de Impresiones y Publicaciones

Unidad encargada de centralizar y ejecutar publicaciones e impresiones.

Unidad de Trmite Documentario

Unidad encargada de administrar el proceso de las comunicaciones internas y externas de la
facultad.
6. Organigrama de la Empresa
El organigrama de la Facultad de Ingeniera de Sistemas e Informtica est representado
en la siguiente imagen:
7. Mapeo de Procesos
8. Anlisis Diferencial
En este punto el objetivo es definir un estado inicial de cmo se encuentra la Facultad de
Ingeniera de Sistemas e Informtica, y hacia donde deseamos llegar para cumplir los objetivos
marcados en cuanto a seguridad de la informacin.
9. Polticas de Seguridad
Dado que la FISI no dispone de ninguna poltica de seguridad ni directiva parecida (slo cuenta
con el Manual de Organizacin y Funciones), actualizada y reconocida por los trabajadores, el
objetivo principal ser la creacin de una poltica adecuada para la FISI y, donde marcar las
pautas a seguir por los trabajadores para preservar la seguridad de la informacin. Junto con la
poltica, se definirn las bases del que ser el Sistema de Gestin de Seguridad de la
Informacin.

10. Aspectos Organizativos de la Seguridad de la Informacin

En cuanto a aspectos organizativos de la seguridad de la informacin, y siguiendo la ISO/IEC
27002, este apartado queda dividido en dos objetivos a organizar, por un lado, la organizacin
interna y la de terceros.
En cuanto a organizacin interna se deberan establecer estructuras de gestin adecuadas
para iniciar y controlar la implementacin de la seguridad de la informacin dentro de la FISI.
Para llevar a cabo este punto, se han de asignar roles y perfiles con el fin de definir
responsables en la gestin de la informacin. Esta tarea recaera sobre el comit de seguridad
de la informacin. Otra tarea del comit de seguridad de la informacin sera la de realizar un
seguimiento continuo para supervisar la elaboracin del plan y seguir un plan de mejora.
En cuanto a la seguridad en los accesos de terceros, se ha de mantener la seguridad de que
los recursos de tratamiento de la informacin y de los activos de la organizacin sean
accesibles por terceros, controlando su acceso a los dispositivos. Tambin se ha de implantar
medidas de evaluacin de riesgo para determinar las implicaciones sobre la seguridad y las
medidas de control que requiere el negocio cuando un tercero accede a los recursos de
informacin.
Actualmente la Facultad dispone de soporte por parte del rea de Soporte y sus grupos de
seguridad en caso de incidente, a los cuales puede acudir en busca de ayuda.

11. Clasificacin y Control de Activos

La Facultad de Ingeniera de Sistemas e Informtica no dispone actualmente de ninguna
clasificacin de activos o controles sobre el uso indebido de estos. Por tanto, es vital para el
buen funcionamiento del sistema implantar este tipo de controles y clasificacin de activos.
Junto con la poltica de seguridad, se identificarn, documentarn e implementarn
regulaciones enfocados al uso adecuado de los activos, quedando definidas tambin las
instrucciones de clasificacin de activos.
Uno de los mecanismos de ejecucin detallados en el plan director era la de obtener
informacin de los activos crticos mediante entrevistas y consultas directamente con los
trabajadores de la Facultad. Ya que el nmero de estos es reducido, se pueden tener
entrevistas individuales con ellos para determinar los activos crticos para cada uno de ellos,
con el fin de obtener un mapa de los activos y recursos esenciales y valiosos para el correcto
funcionamiento de la informacin y funciones de la Facultad. Una vez asignados los activos se
han de asignar responsabilidades de mantenimiento de los controles apropiados.
De la informacin obtenida, se debera obtener una clasificacin en funcin del valor, requisitos
legales, sensibilidad y criticidad para la Facultad. El nivel de proteccin de la informacin puede
ser determinado analizando la confidencialidad, integridad y disponibilidad, entre otros
requisitos, para la informacin considerada.

12. Seguridad Ligada a los Recursos Humanos

Actualmente la FISI, al contratar a personal nuevo se le asigna un usuario y privilegios
adecuados al puesto al que ha sido designado, con el fin de proteger la informacin que est
fuera de su competencia o que pueda obtener informacin que sensible para cometer un fraude
o hurto.
Entre las funciones a seguir por la Facultad en materia de seguridad de los recursos estas
deberan proteger los activos de un acceso no autorizado, tal como se viene haciendo.
Asegurar que la responsabilidad sea asignada al individuo para tomar acciones o reportar
eventos de seguridad o eventos potenciales u otro riesgo para la Facultad.
Actualmente no se recibe ningn tipo de formacin o entrenamiento en trminos de
conocimiento y actuaciones regulares en polticas y procedimientos organizacionales
relevantes en su funcin. Esta formacin debera empezar con una induccin formal del
proceso designado para introducir la poltica de seguridad de la Facultad y las expectativas.
Otro punto a definir son los procesos disciplinarios para empleados que cometan aperturas en
la seguridad, asegurndose que se reciba un correcto y justo tratamiento de los empleados por
los hechos ocurridos y que han provocado dicha apertura.
Al finalizar el contrato, la Facultad revoca los permisos y activos que se le prestaron al
empleado en el momento del contrato, con lo que los permisos y privilegios quedan anulados
en el momento de la desvinculacin contractual.

13. Seguridad Fsica y del Entorno

Actualmente los activos de la FISI se dividen en dos entornos. El primero es el material de
oficina y diferente hardware para el funcionamiento de los servicios; y el segundo, los activos
necesarios para el funcionamiento de los servicios de soporte y buen funcionamiento de los
diferentes laboratorios. nicamente el segundo de los activos se encuentra en una zona
restringida a los empleados no autorizados y terceros. En cuanto al resto de activos de la
Facultad fsicos, no se tiene ningn control de acceso ni registro de las personas que acceden
al recinto. Existen cmaras de seguridad, mas solo se encuentran funcionando una cierta
cantidad de ellas.
En cuanto a la mejora de la seguridad del permetro fsicamente es difcil implementarla o
mejorarla ya que, al ser parte del centro de estudios UNMSM, no se restringe el acceso a los
estudiantes de las diferentes facultades.
Sin embargo, como objetivo en este punto estara la de mejorar los mtodos de acceso
controlados y adecuados que aseguren el acceso al personal autorizado. Con el objetivo de
reducir el riesgo de amenazas del entorno. Tambin se debera proteger los equipos contra
fallos de energa, seguridad del cableado que actualmente no se contemplan.

14. Gestin de Comunicaciones y Operaciones

Actualmente, cada responsable de cada rea es responsable de su rea nicamente y por
encima de estos el Decano de la Facultad, pero no existe ningn documento dnde se detalle
la funcin de cada seccin ni determine responsabilidades en algn aspecto o actuacin en
caso de incidente de seguridad. Por tanto, se debera establecer responsabilidades y
procedimientos para la gestin y operacin de todos los recursos de tratamiento de la
informacin, como, por ejemplo, el desarrollo de instrucciones apropiadas de operacin y de
procedimiento de respuesta ante incidentes.
Por otro lado, con el objetivo de minimizar el riesgo de fallos de los sistemas, es necesario una
planificacin para asegurar la disponibilidad de capacidad y de recursos para que los sistemas
funcionen, adems de documentar y probar, antes de su aceptacin, los requisitos
operacionales de los sistemas nuevos, ya que actualmente no se realiza.
Uno de los puntos ms sensibles a tener en cuenta y que actualmente no se realiza con un
control o planificacin adecuado y peridico y donde no existe documentacin formal,
actualizada ni con unas pautas y procedimientos revisados al respecto, son las copias de
seguridad de toda la informacin esencial del negocio y que esta pueda recuperarse tras un
desastre o fallo de los medios. Tambin debera estar documentado el procedimiento de copia
de respaldo, as como su recuperacin y tambin el de uso adecuado de los medios de
informacin.
15. Control de Accesos
Tal como se coment anteriormente, los accesos son controlados mediante los privilegios de
accesos a la informacin, donde se controla que cada empleado nicamente pueda acceder a
los recursos que le estn destinados para su puesto de trabajo, sin revisar, en ningn periodo
de tiempo, si cada usuario tiene los privilegios que le tocan para su puesto. Sin embargo, no
est documentado y accesible para los empleados a modo de que sepan la poltica de la
Facultad. Tampoco est documentado y, por donde tampoco se aplica, una poltica de
contraseas robusta para acceder a los servicios de informacin.
En cuanto a la responsabilidad de los usuarios y compromiso de estos ante el buen
mantenimiento y eficacia de las medidas de control y donde no existe ningn procedimiento ni
documentacin formal, actualizado y revisado peridicamente al respecto, por tanto, es otro
punto a implementar. Este procedimiento debera documentar pautas de los empleados como
mantener el escritorio limpio, no permitir el acceso no autorizado a su zona de trabajo, una
poltica de contraseas robusta, no acceder a redes o sitios maliciosos que puedan
comprometer los activos o informacin sensible.

16. Adquisicin, Desarrollo y Mantenimiento de Sistemas

Actualmente se cuenta con propios desarrolladores en materia TIC en lo que a seguridad de
las aplicaciones del sistema se refiere (aula virtual). Por este motivo es necesario disear
medidas de control, tanto a la hora del diseo de las aplicaciones donde estas han de controlar
factores de riesgo como la entrada y salida de datos, como controles criptogrficos para
proteger la informacin sometida a riesgo.
Otro punto a mejorar e implantar en el sistema de la Facultad es la de asegurar la seguridad de
los archivos del sistema, donde deberan existir procedimientos para controlar la instalacin de
software en sistemas operacionales o tener un procedimiento bien detallado y control sobre los
datos de prueba, donde estos deben ser seleccionados, protegidos y controlados
cuidadosamente. Tambin hay que tener especial atencin y cuidado con los accesos al cdigo
fuente de los programas para evitar los cambios no intencionales o de empleados que no
tienen privilegios para ello. Por todo ello, adems, es vital mantener e implantar, ya que no se
realiza actualmente, una revisin de todo cambio al sistema con el fin de comprobar que no
debilite la seguridad del sistema en general, as como un procedimiento de control de cambios.

17. Gestin de Incidentes en la Seguridad de la Informacin

La Facultad no dispone de ningn sistema de reporte de eventos y debilidades de seguridad en
estos momentos. As pues, debera implementar los procedimientos adecuados para que todos
los empleados y terceros involucrados por la Facultad puedan reportar diferentes tipos de
eventos y debilidades que puedan tener un impacto en la seguridad de los activos. No
obstante, en caso de infeccin o cualquier otro incidente de seguridad, se puede acudir a los
servicios especficos de rea de Soporte destinados a estas tareas para obtener soporte
especializado. Por este motivo los canales de gestin son los propios de sta rea as que est
debidamente implementado, la debilidad est en la comunicacin interna de la propia Facultad
que no dispone de herramientas de reporte de eventos crticos.
De igual forma, para mantener y asegurar una efectiva y slida respuesta de los incidentes
debe establecerse un sistema de responsabilidades y procedimientos. Tambin se ha de
cuantificar mediante algn mecanismo eficiente, el costo de los incidentes en la seguridad de la
informacin. Por otra parte, es importante monitorizar y controlar los eventos que vayan
surgiendo en la Facultad con el fin de tener evidencias slidas y legales delante de cualquier
procedimiento o accin legal que pueda surgir.

18. Gestin de Continuidad de Negocio

Es de vital importancia que la Facultad implemente, ya que no dispone de ello, de un
procedimiento de gestin de continuidad del negocio para reducir a niveles asumibles la
interrupcin causada por desastres y fallas de seguridad mediante controles preventivos y de
recuperacin.
Para esto, la Facultad ha de identificar los procesos crticos de negocio (analizados en puntos
anteriores) e integrar los requisitos de gestin de la seguridad de informacin para la
continuidad del negocio con otros requisitos de continuidad relacionados con dichos aspectos
como operaciones, proveedores de personal, materiales, etc.
La Facultad debe analizar las consecuencias de los desastres, fallos de seguridad o prdidas
de servicio que puedan afectar a sus activos y una vez hecho esto, asegurarlos mediante un
plan de contingencia que minimice los riesgos hasta niveles aceptables o asumibles para la
Facultad. Es obligacin de la Facultad realizar un anlisis de la probabilidad de impacto y coste
de recuperacin del activo y coste del activo para analizar qu debe salvaguardar en primeras
instancias o dnde destinar los recursos para ello. Una vez diseados los planes de
contingencias, deberan estar sometidos a controles y revisiones regularmente para asegurarse
de su actualizacin y eficacia.
19. Cumplimiento
Un punto a tener en cuenta al redactar estos documentos y procedimientos es la proteccin de
datos y la privacidad, donde debe ser asegurada en todo momento o, el mal uso de los
recursos de tratamiento de la informacin personal con propsitos no autorizados, por ejemplo.
Junto con todos los procedimientos y documentos, los responsables deberan asegurarse que
se cumplen todas estas regulaciones de seguridad dentro de su rea de responsabilidad
cumpliendo con las polticas y estndares de seguridad.

20. Anlisis de Riesgo

21. Introduccin
En esta seccin del documento el objetivo es evaluar todos los activos que se encuentran
relacionados con la creacin de Plan Director, considerando las dependencias existentes entre
ellos y realizando una valoracin sobre estos. De esta forma se definir claramente un punto de
salida de todos los activos, sean estos tangibles o no, dentro de la FISI y pudiendo analizar a
qu amenazas podran estar expuestos estos activos.
Una vez disponemos de un listado de las amenazas reales que pueden afectar a nuestros
activos y extrados de la Gua Magerit, estaremos en disposicin de poder realizar la
evaluacin del impacto que sufrir la FISI en caso de que se materialicen estas amenazas.
El impacto dar una serie de datos que nos permitirn priorizar el plan de accin y, al mismo
tiempo, evaluar como se ve modificado este valor una vez se apliquen las contramedidas o
bien, el riesgo que estamos dispuestos a asumir (riesgo residual) por parte de la Facultad.
Como resultado de esta fase, podremos obtener:
Un anlisis detallado de los activos relevantes de seguridad de la Facultad.
Un estudio de las posibles amenazas sobre los sistemas de informacin, as como su
impacto.
El resultado final, ser el impacto potencial que tendr la materializacin de las diferentes
amenazas a las que estn expuestos nuestros activos.
22. Inventario de Activos
El primer punto para el anlisis es estudiar los activos vinculados a la informacin. Es habitual
agrupar los activos por grupos para ello. En nuestro caso, podemos agrupar los activos por
grupos basndonos en la ISO 27001. Por tanto, los grupos en los que nos centraremos son:
[L] Instalaciones *
[HW] Hardware *
[SW] Aplicacin *
[D] Datos *
[COM] Red
[S] Servicios *
[AUX] Equipamiento auxiliar
[P] Personal
(*) Se va a considerar tambin activos externos que pertenezcan a cada categora. An si no
son activos propios de la Facultad, deben ser controlados de manera similar a los activos de la
FISI, por eso se les incluye en el inventario de activos
23. Valoracin de Activos
Con la identificacin de activos en relacin a la seguridad de la informacin, har falta valorar
cada activo dentro de nuestra organizacin.
El objetivo final del proceso es tomar un conjunto de medidas que garanticen nuestros activos.
El coste de estas medidas no ha de superar el coste del activo que se tiene que proteger, de
otra forma no sera un activo rentable protegerlo, ya que sera ms fcil substituirlo en caso
contrario, por tanto, un punto por dnde empezar es la asignacin de un valor a los activos.
Para poder valorar un activo se han de tener en cuenta diferentes aspectos, como por ejemplo
el coste de reposicin, el valor del tiempo sin servicio, posibles penalizaciones, etc. Por tanto,
para facilitar esta tarea, se propone la metodologa MAGERIT, la cual realiza una valoracin
cualitativa en relacin al valor que tiene el activo respecto a nuestra organizacin, que se
completa con una valoracin cuantitativa respecto a estas categoras cualitativas.

Valoracin Abreviatura
Muy Alta MA
Alto A
Medio M
Bajo B
Muy Bajo MB

24. Dimensiones de Seguridad

Desde el punto de vista de la seguridad, junto a la valoracin de los activos, se ha de indicar
cul es el aspecto de la seguridad ms crtico. Esto ser de gran ayuda en el momento de
pensar en posibles medidas de prevencin, ya que sern enfocadas en aquellos aspectos ms
crticos.
Una vez identificados los activos, se ha de realizar la valoracin CIDAT de los mismos. Esta
valoracin mide la criticidad a las cinco dimensiones de la seguridad de la informacin
gestionada por el proceso de negocio. Esta valoracin nos permitir valorar el impacto que
tendr la materializacin de la amenaza sobre la parte del activo expuesto.
Cada activo de informacin puede tener un valor diferente en cada uno de las diferentes
dimensiones para la organizacin que deseamos analizar. Por esto, se ha de tener presente
siempre que representa cada dimensin.
Las cinco dimensiones de las que se habla son:
[C] Confidencialidad. nicamente las personas autorizadas tienen acceso a la
informacin sensible o privada.
[I] Integridad. La informacin y los mtodos de procesamiento de esta informacin son
exactos y completos, y no se han manipulado sin autorizacin
[D] Disponibilidad. Los usuarios que estn autorizados pueden acceder a la informacin
cuando lo necesiten.
[A] Autenticidad. Hay garanta de la identidad de los usuarios o procesos que
gestionarn la informacin.
[T] No repudio. Hay garanta de la autora de una determinada accin y est asociada a
quien ha producido esta accin.
Una vez detalladas las cinco dimensiones se ha de tener presente la escala en que se
realizarn las valoraciones. En este caso se utilizar una escala de valoracin de diez valores
siguiendo los siguientes criterios:

Valor Criterio
10 Dao muy grave
79 Dao grave
46 Dao importante
13 Dao menor
0 Dao irrelevante
 25. Tabla de Valoracin de Activos Procesos de Matrcula
mbito Activo Valor Aspectos crticos
C I D A T
[L.1] Centro de Datos * MA 8 9 10 8 8
[L] Instalaciones
[L.2] Oficinas A 5 7 8 - -
[HW.1] PC MB - - 7 - -
[HW.2] Impresoras MB - - 6 - -
[HW.3] Servidor web * B 9 9 9 8 8
[HW] Hardware
[HW.4] Servidor BD * B 9 9 9 8 8
[HW.5] Servidor Firewall * A 8 9 9 8 8
[HW.6] Servidor Aplicaciones * B 8 9 7 7 7
[HW.7] Servidor Backup * B 8 9 9 8 8
[SW.1] Sistema Operativo MB 5 7 7 8 7
[SW.2] Aplicaciones ofimtica MB 4 7 6 7 6
[SW.3] Antivirus MB 4 7 5 6 7
[SW] Software
[SW.4] Aplicacin Web SUM B 5 7 6 8 7
[SW.5] Navegador web MB - - 0 - -
[SW.6] Aplicacin matrcula * M 9 9 9 8 8
[D.1] Archivos de matrcula A 9 9 8 7 7
[D.2] Resoluciones M 3 2 4 4 4
[D] Datos
Rectorales y decanales
[D.3] Logs * B 8 8 6 8 8
[D.4] Datos de la aplicacin M 5 7 6 7 6
[COM.1] Router B 7 9 9 6 7
[COM] Red
[COM.2] Lnea Intranet M 6 8 6 - -
[COM.3] Lnea internet M 7 8 7 - -
[S.1] Servicio de correo MB 7 7 8 7 7
institucional Gmail *
[S.2] Servicio intranet B 8 9 9 8 7
[S] Servicios
[S.3] Servicio Web A 6 8 8 8 7
[S.4] Servicio de Limpieza* B - - 5 - -
[S.5] Servicio de aplicacin A 9 9 9 8 8
externa *
[AUX] [AUX.1] Equipo de B - - 9 - -
Equipamiento Climatizacin *
Auxiliar [AUX.2] Equipos extintores MB - - 7 - -
[P.1] Responsables del MA 9
proceso de Matrcula
[P.2] Responsable SUM A 8
[P.3] Directores de Escuela M 6
[P] Personal
[P.4] Decano A 8
[P.5] Vicedecano Acadmico M 7
[P.6] Personal estudiantil B 3