Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Autor
Marco Antonio Riega Reto
Asesor
Ingeniero Juan Miguel Espinoza Saucedo
PIURA PER
2010
Autor
Marco Antonio Riega Reto
Asesor
Ingeniero Juan Miguel Espinoza Saucedo
Jurado
Resumen
ndice General
CAPITULO I:
MARCO METODOLGICO.............................................................................................................. 9
1.1 EL PROBLEMA..................................................................................................................... 10
1.1.1 Realidad Problemtica.................................................................................................... 10
1.1.2 Antecedentes del Problema............................................................................................ 12
1.1.3 Formulacin Interrogativa del Problema.........................................................................13
1.1.4 Justificacin de la Investigacin.....................................................................................13
2.1.5 Limitaciones de la Investigacin.....................................................................................14
1.2 OBJETIVO GENERAL........................................................................................................... 14
1.2.1 Objetivos Especficos..................................................................................................... 14
1.3 HIPTESIS........................................................................................................................... 14
1.4 VARIABLES........................................................................................................................... 15
1.4.1 Variables Independiente................................................................................................ 15
1.4.2 Variable Dependiente.................................................................................................... 15
1.4.3 Variable Interveniente.................................................................................................... 15
1.5 DISEO DE EJECUCIN..................................................................................................... 15
1.5.1 Poblacin y Muestra....................................................................................................... 15
1.5.2 Tcnicas e instrumentos, fuentes e Informantes............................................................15
1.5.3 Formas de Anlisis e Interpretacin de Resultados........................................................16
CAPITULO II:MARCO REFERENCIAL........................................................................................... 17
2.1 MARCO TERICO REFERENCIAL......................................................................................18
2.2 MARCO CONCEPTUAL........................................................................................................ 34
CAPITULO III:DESARROLLO DE LA INVESTIGACIN.................................................................35
3.1 PLANIFICACIN DE LA LAUDITORIA..................................................................................36
3.1.1 Determinacin del Objetivo y Alcance de la auditora.....................................................36
3.1.2 Actividades realizadas en la Auditora............................................................................36
3.1.3 Anlisis del ambiente a Auditar y del entorno Auditable..................................................36
3.1.4 Determinacin de los recursos de la Auditora Informtica.............................................36
3.2 EJECUCIN DE LA AUDITORA METODOLOGA COSO BASADA EN ISO/IEC 17799..37
I EL ENTORNO DE CONTROL............................................................................................... 37
II LA MEDICIN DE RIESGOS............................................................................................... 37
III EL CONTROL DE ACTIVIDADES.......................................................................................37
IV LOS SISTEMAS DE COMUNICACIN Y LOS SISTEMAS DE INFORMACIN................38
V EL SISTEMA DE MONITOREO........................................................................................... 38
3.3 SEGUIMIENTO..................................................................................................................... 38
3.3.1 Revisin de los papeles de trabajo y desarrollo de las deficiencias...............................38
3.3.2 Elaboracin de la Carta de Introduccin correspondiente al Informe final......................38
3.4 INFORME.............................................................................................................................. 38
3.4.1 Elaboracin y presentacin del Informe..........................................................................38
CAPITULO IV:DISCUSIN DE RESULTADOS...............................................................................39
CAPITULO V:CONCLUSIONES Y RECOMENDACIONES............................................................57
CAPITULO VI:REFERENCIAS BIBLIOGRFICAS.........................................................................62
CAPITULO VII:ANEXOS................................................................................................................. 65
-ANEXO N 01 : CRONOGRAMA DE LA TESIS
-ANEXO N 02 : INDICADORES DE LA TESIS
-ANEXO N 03: FORMATO DE LAS GUAS DE OBSERVACIN.
-ANEXO N 04 : FORMATO DEL PAPEL DE TRABAJO
-ANEXO N 05: FORMATO DE DEFICIENCIA PARA LA AUDITORA BASADA EN ISO/IEC 17799
PARA LA GESTIN DE SEGURIDAD DE LAS TECNOLOGAS DE INFORMACIN EN LA
UNIVERSIDAD CSAR VALLEJO - PIURA.
-ANEXO N 06: RECURSOS, MATERIALES, PRESUPUESTO Y FINANCIAMIENTO DE LA TESIS
-ANEXO N 07: FORMATO DE LA SOLICITUD DE DOCUMENTACIN.
-ANEXO N 08: FORMATO DE LA ENTREVISTA DE USUARIO.
-ANEXO N 09: FORMATO DE EVALUACIN DEL CUMPLIMIENTO DE LAS FUNCIONES DE
LAS REAS DE LA OTI.
-ANEXO N 10: FORMATO DE LA EVALUACIN DEL PLAN OPERATIVO.
-ANEXO N 11: FORMATO DE LA EVALUACIN DEL REA DE LA OTI.
-ANEXO N 12: FORMATO DE LA EVALUACIN AL REA DE REDES.
-ANEXO N 13: FORMATOS DE LAS EVALUACINES AL REA DE DESARROLLO
-ANEXO N 14: FORMATO DE LA EVALUACIN AL REA DE SOPORTE TECNICO.
-ANEXO N 15: FORMATO DEL CUESTIONARIO APLICADO A LA JEFATURA DE LA OTI.
-ANEXO N 16: FORMATO DE LA ENTREVISTA APLICADA A LOS JEFES DE LAS REAS DE LA
OTI.
-ANEXO N 17: FORMATO DE LA ENTREVISTA CON EL PERSONAL DE LA OTI.
-ANEXO N 18: PAPELES DE TRABAJO.
-ANEXO N 19: INFORME FINAL.
-ANEXO N 20: CONSTANCIA DE LA INSTITUCIN.
-ANEXO N 21: CONSTANCIA DE RECEPCIN DE LA SOLICITUD DE DOCUMENTACIN.
Introduccin
Las sociedades avanzadas de fines del siglo XX son denominadas frecuentemente sociedades de
la informacin, pues el volumen de datos que es procesado, almacenado y transmitido es
inconmensurablemente mayor que a cualquier poca anterior. Actualmente, las tecnologas y la
informacin son medios o recursos de poder, por ello las organizaciones la valoran mucho.
Las Tecnologas de la Informacin estn presentes en todas las reas de las organizaciones. Esta
implantacin generalizada de T.I se ha realizado en muchos casos con escasa planificacin, en
parte porque los conceptos necesarios no estaban suficientemente desarrollados. Por lo tanto, se
hace necesario mejorar la planificacin de futuras implementaciones, la compatibilidad entre
sistemas y la organizacin del personal y de la empresa.
En las organizaciones modernas, tanto pblicas como privadas, la misin de las tecnologas de la
informacin es facilitar la consecucin de sus objetivos estratgicos. Para ello, se invierte una
considerable cantidad de recursos en personal, equipos y tecnologa, adems de los costos
derivados de la posible organizacin estructural que muchas veces conlleva la introduccin de
estas tecnologas. Esta importante inversin debe ser constantemente justificada en trminos de
efectividad. Por tanto, el propsito a alcanzar por una organizacin en la que se realizan auditoras
de sus Tecnologas de Informacin, es asegurar que sus objetivos estratgicos son los mismos
que los de la propia organizacin y que los sistemas de informacin prestan y aseguren el apoyo
adecuado a la consecucin de estos objetivos, tanto en el presente como en su evolucin futura.
La Universidad Csar Vallejo Piura por estar en constante desarrollo hace uso de diferentes
Tecnologas de Informacin, las cuales se apoyan en los procesos que se mantienen y que
generan informacin sobre la que se trabaja internamente, es entonces necesario proteger sta
crtica y valiosa informacin, mediante mecanismos de seguridad eficientes y valederos, por lo
antes indicado, es que he llevado a cabo la Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin, para evaluar: los controles, estrategias y los
activos de la organizacin, manteniendo y fortaleciendo confidencialidad, integridad y
disponibilidad de los datos y tecnologa, teniendo en cuenta las responsabilidades que debe
asumir cada uno de los colaboradores de la UCV Piura..
CAPTULO I
MARCO METODOLGICO
1.1 EL PROBLEMA.
1.1.1 Realidad Problemtica.
La Universidad Csar Vallejo S.A.C. como institucin de educacin superior universitaria al
crear la filial Piura busca formar profesionales debidamente instrumentados en la ciencia, en la
tecnologa y con slida formacin humanstica, que es la demanda de una calidad en cada una
de las carreras que asume desarrollar como compromiso acadmico y su responsabilidad con
la sociedad que apuesta por esta universidad. (UCVPIURA 2002)
El rgano encargado de administrar las Tecnologas de Informacin es la Oficina de
Tecnologas de Informacin o conocido por sus siglas como OTI, el cual es un rgano de apoyo
a las labores administrativas de las distintas reas de la Universidad.
Entre las labores desempeadas por la OTI tenemos:
Problemtica actual:
Parte del hardware con el que cuenta corresponde a la generacin de los equipos que
cuentan con procesadores Pentium Celeron, Pentium III y Pentium IV, lo que generalmente
Riega Reto
Las reas de: redes, soporte tcnico y desarrollo no cuentan con manuales de procesos y
procedimientos.
Control de acceso.
Extintores.
Luces de emergencia.
10
Riega Reto
JEFATURA DE LA
OFICINA DE
TECNOLOGAS DE
INFORMACIN
ASISTENTE
ADMINISTRATIVA
REA DE REDES
REA DE
DESARROLLO
REA DE
SOPORTE
TCNICO
SOPORTE HW/SW
SOPORTE
ELCTRONICO
11
Riega Reto
El autor ha considerado tomar como referencia esta investigacin ya que desarrolla un estudio
completo del estado actual y futuro posible de la Seguridad Informtica, adems brinda un
completo plan de estrategias y metodologas de Seguridad Informtica.
Antecedentes Nacionales
FIGUEROA (2003) desarroll la Auditora de Seguridad, en la Universidad Nacional Jos
Faustino Snchez Carrin. Facultad de Ingeniera.
Es de vital importancia citar esta tesis debido al aporte que brinda como gua en los
cuestionarios y encuestas que se debe realizar
12
Riega Reto
Otra limitacin que se present a lo largo del desarrollo de la tesis es la limitacin de tiempo
con que se contaba para entrevistar a los usuarios de las T.I. y al personal del rea de la
OTI.
Identificar las amenazas que afectan la seguridad y los procesos de las Tecnologas de
informacin.
Identificar el registro de revisiones peridicas sobre los derechos concedidos a los usuarios.
1.3 HIPTESIS.
13
Riega Reto
N DE PERSONAS
Jefatura de OTI
Asistente administrativo
rea de Redes
rea de Soporte Tcnico
rea de Desarrollo
TOTAL
1
1
2
3
5
12
Para el ITEM1: Amenazas que afectan la seguridad y los procesos de las Tecnologas de
observacin N 2.
Para el ITEM3: Procedimientos formales para la concesin, administracin de derechos y
observacin N 5.
Para el ITEM6: Controles preventivos y de deteccin sobre el uso de software de procedencia
dudosa, se usar la Gua de observacin N 6.
14
Riega Reto
la Gua de observacin N 7.
Para el ITEM8, Procedimiento formal para reportar incidentes de seguridad de la informacin,
observacin N 9.
Para el ITEM10: Poltica de seguridad de la informacin, se usar la Gua de observacin N
10.
Para el ITEM11: Plan de continuidad del negocio, se usar la Gua de observacin N 11.
15
Riega Reto
CAPTULO II
MARCO REFERENCIAL
17
Riega Reto
4. Velar por el cumplimiento de los estatus, reglamentos y polticas que regulan la vida
universitaria.
5. Proponer a las autoridades y funcionarios superiores, para su aprobacin del Comit
Ejecutivo, as como contratar a los docentes y no docentes, personal administrativo y de
servicios que la Filial requiera, de conformidad con los estatutos y reglamentos de la Filial.
6. Proponer al Gerente General el presupuesto anual de la filial y sus modificaciones.
7. Informar al Gerente General de los avances en la ejecucin de la programacin acadmica
y de los planes operativos y presupuestos.
8. Ejecutar las acciones dispuestas por la Gerencia General e informar de los resultados.
9. Evaluar el cumplimiento de los objetivos y metas estratgicas que se logran mediante la
ejecucin de los proyectos, programas y actividades de los planes operativos, disponiendo
de la ejecucin de las medidas correctivas.
10. Las dems que le otorguen la ley y el estatuto.
Departamento de Planificacin y Desarrollo
1. Orientar y coordinar la formulacin del plan estratgico institucional de la Filial,
monitoreando su ejecucin.
2. Coordinar la preparacin del plan de desarrollo y plan operativo de la Filial.
3. Dirigir la planificacin de proyectos de cooperacin tcnica nacional e internacional.
4. Evaluar y controlar la ejecucin de los planes operativos.
5. Orientar y coordinar las lneas de investigacin.
6. Informar respecto a los proyectos normativos y sus modificaciones.
7. Brindar asesora tcnica al comit Ejecutivo, a la Gerencia General y a las Direcciones en
materia de su competencia.
8. Impulsar el proceso de planificacin participativa en todos los rganos funcionales de las
Filiales.
9. Proponer procedimientos especficos para la evaluacin y seguimiento de la marcha de la
institucin.
10. Evaluar y consolidar las necedades de la administracin de la informacin y el desarrollo
informtico.
11. Proponer y evaluar la racionalizacin del uso de los recursos Fsicos en relacin a las
necesidades acadmicas de la Filial.
Departamento de Logstica
1. Dirigir, programar, conducir y monitorear el sistema de abastecimiento de la Universidad.
2. Proponer el plan de compras de la Universidad para cada semestre acadmico en funcin
del presupuesto aprobado y el plan operativo institucional.
3. Evaluar y realizar las acciones de materiales y equipos, y recomendar la contratacin de
servicios que la Universidad requiera para sus acciones acadmicas y administrativas.
4. Proponer, administrar y actualizar el registro de Proveedores.
18
Riega Reto
19
Riega Reto
universitaria en
20
Riega Reto
Fuente: Man
21
Riega Reto
22
Riega Reto
23
Riega Reto
desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la
gestin de la seguridad, as como proporcionar confianza en las relaciones entre
organizaciones. Las recomendaciones que se establecen en esta NTP deberan elegirse y
utilizarse de acuerdo con la legislacin aplicable en la materia. (CENTP 2009).
Estructura de este estndar
Este estndar contiene 11 clusulas de control de seguridad que contienen colectivamente un
total de 39 categoras principales de seguridad y una clusula introductoria conteniendo
temas de evaluacin y tratamiento del riesgo. (NTP ISO/IEC 17799 2009).
Clusulas
Cada clusula contiene un nmero de categoras principales de seguridad. Las 11 clusulas
(acompaadas por el nmero de categoras principales de seguridad incluidas en cada
clusula) son:
a) Poltica de seguridad (1);
b) Organizando la seguridad de informacin (2);
c) Gestin de activos (2);
d) Seguridad en recursos humanos (3);
e) Seguridad fsica y ambiental (2);
f) Gestin de comunicaciones y operaciones (10);
g) Control de acceso (7);
h) Adquisicin, desarrollo y mantenimiento de sistemas de informacin (6);
i) Gestin de incidentes de los sistemas de informacin (2);
j) Gestin de la continuidad del negocio (1);
k) Cumplimiento (3)
III. Gestin de la seguridad de las Tecnologas de Informacin.
Gestin.
Gestin es la accin y efecto de administrar. (RAE 2009).
Administrar es: gobernar, dirigir una institucin, ordenar, disponer, organizar, suministrar,
proporcionar o distribuir algo. (RAE 2009).
Seguridad.
Cualidad de seguro. (RAE 2009).
Seguro
24
Riega Reto
Tecnologas de Informacin.
Se conoce como Tecnologa de Informacin (TI) a la utilizacin de tecnologa
especficamente computadoras y ordenadores electrnicos - para el manejo y procesamiento
de informacin especficamente la captura, transformacin, almacenamiento, proteccin, y
recuperacin de datos e informacin. (DEGERENCIA 2008).
Generalmente todos pensamos que las Tecnologas de Informacin solo se usan en la etapa
de produccin, y vienen a nuestra mente los grandes sistemas de manufactura, o los
sistemas automatizados de produccin continua, sin embargo, actualmente las Tecnologas
de Informacin debern de estar presentes en todas las actividades de la empresa, en decir,
en las etapas de entrada, conversin y salida.
En la etapa de entrada, las tecnologas de informacin debern contener todas las
habilidades, procedimientos y tcnicas que permitan a las organizaciones manejar
eficientemente las relaciones existentes con los grupos de inters (Clientes, proveedores,
gobierno, sindicatos y pblico en general) y el entorno en el que se desenvuelven.
En la etapa de conversin, las Tecnologas de Informacin en combinacin con la
maquinaria, tcnicas y procedimientos, transforman las entradas en salidas.
Una mejor
tecnologa permite a la organizacin aadir valor a las entradas para disminuir el consumo as
como el desperdicio de recursos.
En la etapa de salida, las Tecnologas de Informacin permiten a la empresa ofrecer y
distribuir servicios y productos terminados. Para ser efectiva, una organizacin deber poseer
tcnicas para evaluar la calidad de sus productos terminados, as como para el marketing,
venta y distribucin y para el manejo de servicios de postventa a los clientes.
Las Tecnologas de Informacin en los procesos de entrada, conversin y salida dan a la
compaa una importante ventaja competitiva. Porqu Microsoft es la ms grande compaa
de software?
Porqu
25
Riega Reto
Gobierno de TI
El gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, los
procesos y las estructuras que aseguran que las tecnologas de la organizacin apoyen los
objetivos y estrategias de la empresa.
Sistemas
Operativos
26
Riega Reto
La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco para el
control de TI, una lista de Objetivos de Control, y un conjunto de Guas de Auditora. (Los
objetivos de control y las guas de auditora estn referenciadas a la estructura).
Las fases futuras del proyecto proveern guas de auto-evaluacin para la direccin e
identificarn objetivos nuevos o actualizados mediante incorporacin de otros estndares
globales de control que se identifiquen.
Adems, agregar guas de control e identificar indicadores claves de desempeo.
Definicin: COBIT adapt su definicin de control a partir de COSO: Las polticas,
procedimientos, prcticas y estructuras organizacionales estn diseadas para proveer
aseguramiento razonable de que se lograrn los objetivos del negocio y que se prevendrn,
detectarn y corregirn los eventos no deseables.
COBIT adapta su definicin de un objetivo de control de TI del SAC: Una declaracin del
resultado deseado o propsito a lograr implementando procedimientos de control en una
actividad particular de TI.
COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del
negocio. El documento describe objetivos de control de TI independientes de plataformas y
aplicaciones.
Recursos de TI: COBIT clasifica los recursos de TI como datos, sistemas de aplicacin,
tecnologa, instalaciones y gente. Los datos son definidos en su sentido ms amplio e
incluyen no slo nmeros, textos y fechas, sino tambin objetos tales como grficos y
sonido. Los sistemas de aplicacin son entendidos como la suma de procedimientos
manuales y programados.
La tecnologa se refiere al hardware, sistemas operativos, equipos de redes y otros.
Instalaciones son los recursos utilizados para albergar y soportar los sistemas de
informacin. Gente comprende las capacidades y habilidades individuales para planear,
organizar, adquirir, entregar, apoyar y monitorear los servicios y sistemas de informacin.
Requerimientos: Para satisfacer los objetivos del negocio, la informacin necesita
conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del
negocio respecto de la informacin. COBIT combina los principios incorporados en los
modelos de referencia existentes en tres amplias categoras: calidad, responsabilidad
fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete categoras
superpuestas de criterios para evaluar cun bien estn satisfaciendo los recursos de TI los
requerimientos de informacin del negocio. Estos criterios son efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin.
27
Riega Reto
funciones,
actividades,
subsistemas,
gente
que
son
agrupados
28
Riega Reto
29
Riega Reto
Definicin: El informe COSO define control interno como: un proceso, efectuado por el
directorio, la gerencia y otro personal de la entidad, diseado para proveer un
aseguramiento razonable en relacin al logro de los objetivos en las siguientes categoras:
El
sistema
de
control
interno
consiste
en
cinco
componentes
30
Riega Reto
necesario, reportar problemas a los altos niveles de gerencia. Fuera de la entidad, los
individuos y organizaciones que suministran o reciben bienes o servicios deben recibir el
mensaje de que la entidad no tolerar acciones impropias.
La gerencia monitorea el sistema de control revisando el output generado por las
actividades regulares de control y realizando evaluaciones especiales.
Las actividades regulares de control incluyen comparar los activos fsicos con los datos
registrados, seminarios de entrenamiento, y exmenes realizados por auditores internos y
externos. Las evaluaciones especiales pueden ser de distinto alcance y frecuencia. Las
deficiencias encontradas durante las actividades regulares de control son normalmente
reportadas al supervisor a cargo; las deficiencias detectadas durante evaluaciones
especiales son normalmente comunicadas a los niveles altos de la organizacin.
Otros Conceptos: El informe COSO encara las limitaciones de un sistema de control
interno, los roles y responsabilidades de las partes que afectan a un sistema. Las
limitaciones incluyen el juicio humano defectuoso, falta de comprensin de las instrucciones,
errores, atropellos de la gerencia, colusin, y consideraciones de costo versus beneficio.
El informe COSO define deficiencias como "condiciones dentro de un sistema de control
interno digno de atencin". Las deficiencias deberan ser reportadas a la persona
responsable por la actividad y a la gerencia que est como mnimo un nivel por encima del
individuo responsable.
Un sistema de control interno es juzgado efectivo si estn presentes y funcionando
efectivamente los cinco componentes respecto de las operaciones, los reportes financieros
y el cumplimiento.
31
Riega Reto
COBIT
Direccin, usuarios,
SAC
Auditores Internos
COSO
Auditores Internos,
auditores de SI
Conjunto de
Conjunto de
Direccin
Procesos
procesos
procesos,
incluyendo polticas,
subsistemas y gente
procedimientos,
prcticas
estructuras
organizacionales
Objetivos
Organizacionale
s
del Control
Interno
y eficientes.
y eficientes.
Informes financieros Informes financieros
Confiables.
confiables.
Cumplimiento de las
Cumplimiento de las
leyes y regulaciones.
leyes y regulaciones.
leyes y regulaciones.
Componentes o
Dominios
Dominios:
Componentes:
Planeamiento y
organizacin
Adquisicin e
implementacin
Entrega y soporte
Monitoreo y
Componentes:
Ambiente de Control
Manual y
Supervisin
Ambiente de Control
Administracin de
Automatizado
Riesgos
Procedimientos de
Actividades
de Control
Control de Sistemas
Informacin y
Comunicacin
evaluacin.
Foco
Efectividad del
CI
Evaluado
Responsabilidad
Tecnologa
Tecnologa
Tecnologa
Informtica
Por un perodo de
Informtica
Por un perodo de
Informtica
En un momento
tiempo
tiempo
dado
Direccin
Direccin
Direccin
por el Sistema
de Control
Interno
CUADRO N 02: Comparacin de las Metodologas.
Elaborado por el autor.
32
Riega Reto
33
Riega Reto
CAPTULO III
DESARROLLO DE LA INVESTIGACIN
administrativo).
Desarrollo de Entrevistas con los jefes de rea.
Registro de Informacin en Guas de observacin.
Desarrollo de cuestionarios por rea.
3.1.3 Anlisis del ambiente a Auditar y del entorno Auditable.
Para analizar el entorno a auditar realic un anlisis de la OTI, para la cual me apoye en el
organigrama del mismo.
3.1.4 Determinacin de los recursos de la Auditora Informtica.
Humanos:
En esta investigacin participan directamente indirectamente las siguientes personas:
Investigador:
35
Riega Reto
Otros Materiales:
5 Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon
IP1000.
DE LA OTI.
ANEXO N 17: FORMATO DE LA ENTREVISTA CON EL PERSONAL DE LA OTI.
IV LOS SISTEMAS DE COMUNICACIN Y LOS SISTEMAS DE INFORMACIN
4.1 Gestin de comunicacin y operaciones
36
Riega Reto
3.3 SEGUIMIENTO.
En esta etapa se realizo la:
3.3.1 Revisin de los papeles de trabajo y desarrollo de las deficiencias.
3.3.2 Elaboracin de la Carta de Introduccin correspondiente al Informe final.
-
3.4 INFORME.
3.4.1 Elaboracin y presentacin del Informe.
Se elabor y present el informe final a la Jefatura de la OTI.
-
37
Riega Reto
CAPTULO IV
DISCUSIN DE RESULTADOS
4.1 RESULTADOS
4.1.1 Amenazas identificadas que afectan la seguridad y los procesos de las Tecnologas de
informacin.
Cuadro N 03: Resultado ITEM 1
PRE TEST
Nmero de amenazas identificadas que
POST TEST
Nmero de amenazas identificadas que
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
Como se puede apreciar, el Pre Test se evidencia que no se han identificado las amenazas que
afectan la seguridad y los procesos de las Tecnologas de informacin, sin embargo despus del
Post Test, se han identificado Veinticuatro (24) amenazas. Se comprueba que aplicando la
Auditora basada en ISO/IEC 17799 se reconocen algunas amenazas que afecten la seguridad de
informacin, y con ello es necesario que se implementen controles y estrategias que permitan
enfrentar las amenazas y reducir los efectos de stas.
Grfico N 01: Resultado ITEM 1
39
Riega Reto
30
24
25
20
15
10
5
0
Las amenazas identificadas que afectan la seguridad y los procesos de las Tecnologas de
informacin en la UCV-Piura son las siguientes:
Amenazas Naturales
-
Sismos.
Amenazas No Naturales
-
Incendios
Robo de equipos.
Robo de datos.
Fraude.
Errores humanos.
Atentados.
Software malicioso.
40
Riega Reto
Vandalismo.
Terrorismo.
Explosin.
Incendio externo.
Incendio interno.
Cortocircuito.
PRE TEST
POST TEST
Grado de implementacin de los proyectos de la OTI :
Proyectos
Estado
Estado
Certificar a 01 trabajadores de la OTI en Ms
Terminada
En ejecucin
Office
Asistir a cursos de Atencin al Cliente
Capacitar
en
cursos
de
Redes
y
Telecomunicaciones
Capacitar al Soporte Tcnico de la OTI en
Cableado Estructurado
"Certificar al Personal de la OTI en: Microsoft,
Cisco,
HP(equipos
computacionales
y
multimedia), u otros"
Implementacin de una red Inalmbrica entre
Villa Rosita y la UCV Piura
Ampliacin de Anexos Telefnicos
Implementacin del Backbone de Fibra ptica
para el nuevo Edificio de Biblioteca
"Desarrollo y Actualizacin Web (Harvard
College, Centro Comunitario Santa Rosa,
Centro Mdico San Antonio, Consultorio
Jurdico, CEPRE)."
41
En ejecucin
Terminada
Cancelada
Cancelada
En ejecucin
Terminada
Sin ejecutar
Sin ejecutar
Sin ejecutar
Sin ejecutar
Cancelada
Cancelada
En ejecucin
Terminada
En ejecucin
Terminada
Riega Reto
En ejecucin
En ejecucin
En ejecucin
Terminada
En ejecucin
En ejecucin
Sin ejecutar
Sin ejecutar
En ejecucin
En ejecucin
En ejecucin
En ejecucin
En ejecucin
Terminada
En ejecucin
Terminada
En ejecucin
Terminada
Fuente:
-
Pre Test y Pos Test de la Tesis Auditora basada en COBIT de la Gestin de Tecnologas
Como se puede apreciar, en el Pre Test no se evidencia la implementacin total de algunos de los
proyectos, mientras que como resultado del Post Test se puede observar que se tienen once (11)
proyectos implementados, ello como efecto de desarrollar la actividad de control basada en la NTP
ISO 17799.
Grfico N 02: Resultado ITEM 2
42
Riega Reto
12
11
10
8
6
4
2
0
43
Riega Reto
PRE TEST
Procedimientos formales para la
POST TEST
Procedimientos formales para la
y perfiles
y perfiles
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en COBIT de la Gestin de
Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
Del resultado del PreTest, se constata que la OTI no cuenta con procedimientos formales para la
concesin, administracin de derechos y perfiles de los usuarios. Del desarrollo del Post Test se
tiene la propuesta de implementar el Procedimiento formal para la concesin, administracin de
derechos y perfiles, ello como resultado del desarrollo de la presente auditoria basada en ISO/IEC
17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.
44
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0
4.1.4 Registro de revisiones peridicas identificadas sobre los derechos concedidos a los
usuarios.
Cuadro N 06: Resultado ITEM 4
PRE TEST
Registro de revisiones peridicas sobre
POST TEST
Registro de revisiones peridicas sobre
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en COBIT de la Gestin de
Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
La OTI de la UCV Piura, carece de un Registro de revisiones peridicas sobre los derechos
concedidos a los usuarios, se llega a esta conjetura como resultado del PreTest.
Del desarrollo del Post Test, se recomienda la implementacin formal del Registro de revisiones
peridicas sobre los derechos concedidos a los usuarios
Se logra comprobar que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de
seguridad de las T.I. en la UCV-Piura.
45
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0
46
Riega Reto
PRE TEST
Nmero de controles identificados para
POST TEST
Nmero de controles identificados para
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
Como se puede apreciar en el Pre Test, carece de controles para evitar el acceso fsico no
autorizado; en el Post Test con la aplicacin de la Auditora se identifican tres controles que se
proponen implementarlos, para evitar el acceso fsico no autorizado, demostrando una vez ms
que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en
la UCV-Piura.
47
Riega Reto
3.5
3
3
2.5
2
1.5
1
0.5
0
48
Riega Reto
Los controles para evitar el acceso fsico no autorizado serian como los siguientes:
-
Implementar controles tecnolgicos que permitan proteger los recursos informticos de accesos
no autorizados, minimizando los efectos ocasionados por fenmenos naturales, usando
mecanismos de control como: barreras fsicas, alarmas, barras metlicas etc.
49
Riega Reto
PRE TEST
Nmero de controles preventivos y de
POST TEST
Nmero de controles preventivos y de
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
Como se puede apreciar en el desarrollo del Pre Test, no se identific ningn control preventivo, a
diferencia en el Post Test se pudieron identificar tres (3) controles preventivos, los cuales sern
desarrollados e implementados por la OTI, con esto se logra comprobar que aplicando la Auditora
basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.
3.5
3
3
2.5
2
1.5
1
0.5
0
50
Riega Reto
51
Riega Reto
PRE TEST
Procedimientos de respaldos regulares
POST TEST
Procedimientos de respaldos regulares
y peridicamente validados.
0
y peridicamente validados.
1
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
1.2
1
1
0.8
0.6
0.4
0.2
0
52
Riega Reto
53
Riega Reto
PRE TEST
Procedimiento formal para el reporte de
POST TEST
Procedimiento formal para el reporte de
incidentes de seguridad de la
incidentes de seguridad de la
informacin
0
informacin
1
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
Del resultado del PreTest, se constata que la OTI no cuenta con un procedimiento formal para
reportar incidentes de seguridad de la informacin. Del desarrollo del Post Test se tiene la
propuesta de implementar el procedimiento formal para el reporte de incidentes de seguridad de la
informacin, ello como resultado del desarrollo de la presente auditoria basada en ISO/IEC 17799
de gestin de seguridad de las T.I. en la UCV-Piura.
54
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0
55
Riega Reto
Comunicar el incidente.
56
Riega Reto
PRE TEST
Registro de incidentes de seguridad de
POST TEST
Registro de incidentes de seguridad de
la informacin.
0
la informacin.
1
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
1.2
1
1
0.8
0.6
0.4
0.2
0
57
Riega Reto
actualizada.
-
Etc.
Chatear, ingresando a pginas web de las cuales pueden tener acceso a sus correos.
Ingresan a pginas de telefona para mandar mensajes a celulares.
Ingresan a web sociales, para chatear, jugar, colgar fotos, etc.
-Robo de informacin.
-Fraude.
58
Riega Reto
PRE TEST
Poltica de seguridad de la informacin.
0
POST TEST
Poltica de seguridad de la informacin.
1
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
Como se puede apreciar, el Pre Test se evidencia que se ha identificado que la UCV Piura carece
de una Poltica de seguridad de la informacin, sin embargo despus del Post Test, se recomienda
el desarrollo e implementacin formal de la Poltica de seguridad de la informacin.
Se comprueba que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de
seguridad de las T.I. en la UCV-Piura.
59
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0
60
Riega Reto
PRE TEST
Plan de Continuidad del Negocio.
0
POST TEST
Plan de Continuidad del Negocio.
1
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
Como se puede apreciar, el Pre Test se evidencia que se ha identificado que la UCV Piura carece
de un Plan de Continuidad del Negocio, sin embargo despus del Post Test, se recomienda el
desarrollo e implementacin formal de un Plan de Continuidad del Negocio .
Se comprueba que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de
seguridad de las T.I. en la UCV-Piura.
61
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0
62
Riega Reto
CAPTULO V
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
-Como se puede apreciar en los resultados obtenidos en el ITEM 1, CAPITULO IV: DISCUSIN DE
RESULTADOS, se puede decir que se ha logrado identificar las amenazas que afectan la
seguridad y los procesos de las Tecnologas de informacin,
concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad
de las T.I. en la UCV-Piura.
-Como se puede apreciar en los resultados obtenidos en el ITEM 2, CAPITULO IV: DISCUSIN DE
RESULTADOS,
desarrollo de los proyectos del Plan Operativo de la OTI, con esto se comprueba y concluye
que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I.
en la UCV-Piura.
-Se puede apreciar en los resultados obtenidos en el ITEM 3, CAPITULO IV: DISCUSIN DE
RESULTADOS, se ha logrado identificar que se debe implementar un Procedimiento formal
para la concesin, administracin de derechos y perfiles, con esto se comprueba y concluye
que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I.
en la UCV-Piura.
-En el resultado obtenido en el ITEM 4, CAPITULO IV: DISCUSIN DE RESULTADOS, se ha
logrado identificar que se debe implementar un Registro formal de revisiones peridicas sobre
los derechos concedidos a los usuarios, con esto se comprueba y concluye que aplicando la
Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.
-En el ITEM 5, CAPITULO IV: DISCUSIN DE RESULTADOS, se identifico tres controles que se
proponen implementarlos, para evitar el acceso fsico no autorizado, con esto se comprueba y
concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad
de las T.I. en la UCV-Piura.
-Para el ITEM 6, CAPITULO IV: DISCUSIN DE RESULTADOS,
con esto se
comprueba y concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin
de seguridad de las T.I. en la UCV-Piura.
-Segn el resultado obtenido en el ITEM 7, CAPITULO IV: DISCUSIN DE RESULTADOS, se
puede inducir que se ha logrado identificar la necesidad de desarrollar e implementar un
procedimiento de respaldo, con esto se comprueba y concluye que aplicando la Auditora
basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.
-Con el resultado obtenido en el ITEM 8, CAPITULO IV: DISCUSIN DE RESULTADOS, se ha
logrado identificar que la UCV-Piura debe contar con un procedimiento formal para reportar
incidentes de seguridad de la informacin, con esto se comprueba y concluye que aplicando la
Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.
64
Riega Reto
con esto se
comprueba y concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin
de seguridad de las T.I. en la UCV-Piura.
-La seguridad no es un tema de un da, ni un tema exclusivo del departamento de TI.
-No se puede garantizar una seguridad al 100%, ya que siempre existen riesgos, por tanto las
medidas, controles y estrategias que se implementen permitirn reducir el riesgo
progresivamente, teniendo un enfoque de mejora continua.
-La NTP ISO/IEC 17799 es un cdigo de buenas prcticas para la administracin de la seguridad
en una organizacin de cualquier naturaleza, al ofrecer un conjunto de controles permite
normar la seguridad de manera clara, especifica y aplicativa; es por ello que se constituye en la
base fundamental para el desarrollo de la presente tesis.
-La Universidad est dando el primer paso en implementar la Gestin de Seguridad de las
Tecnologas de Informacin, indispensable en toda organizacin.
-Para implementar el Manual de Gestin de Seguridad de las Tecnologas de Informacin se
concluye que el mejor camino a seguir es: conocer la naturaleza de la organizacin, hacer un
anlisis de riesgos de posibles amenazas sobre la informacin, para poder llegar a identificar y
disear controles; los cuales sern sometidos a revisiones y aprobaciones.
-La norma ISO 17799 seala como parte esencial la definicin de una estructura organizativa en
cuanto a seguridad, donde se puntualicen roles y responsabilidades que cada integrante de la
organizacin debe asumir.
65
Riega Reto
5.2 RECOMENDACIONES
-Como auditor en la realizacin de esta tesis, siempre se debe tener presente, que una auditora no
es una persecucin de culpables, esta es la manera de evitar que las personas auditadas se
sientan intimidados y creen anticuerpos frente a la labor de control. De otra forma, al no lograr
la apertura de los entrevistados, nuestras auditoras no lograrn tener la profundidad necesaria,
afectando la deteccin de fallas del sistema y no cumplir con su objetivo, el detectar las
desviaciones frente a los criterios de la auditora. Es por eso que recomiendo dejar muy en
claro que el objetivo de la presente auditoria es emitir una opinin razonable que permita
implementar controles y estrategias de seguridad de informacin, relacionada a los procesos
del negocio, logrando fortalecer la integridad, disponibilidad y confidencialidad de la informacin
de la empresa para consolidar el logro de los objetivos institucionales.
-Desarrollar capacitacin dirigida al personal de la OTI, en relacin a la implementacin de la NTP
ISO 17799.
-Que la alta Direccin dirija la implementacin de un sistema de gestin de seguridad de
informacin, el mismo que sea difundido a todos los colaboradores de la UCV de Piura.
66
Riega Reto
CAPTULO VI
REFERENCIAS BIBLIOGRFICAS
ANR, Asamblea Nacional de Rectores (1995) Resolucin N 437-95-ANR. Oficio N 056-95-SG. Per.
BRAVO CERVANTES, Miguel H.. Auditora del Sistema Informtico. Per. Manuel Chahu E.I.R.L.
CASAE (2008) MAGERIT versin 2: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas
de Informacin. Consejo Superior de Administracin Electrnica. Espaa. [Citado 12 de Octubre del
2008] Disponible en formato PDF en: http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf
CENTP (2009) Catlogo Especializado de Normas Tcnicas Peruanas [Citado 20 de Septiembre del
2009] en formato PDF en: http://www.bvindecopi.gob.pe/
CONAFU, Consejo Nacional para la Autorizacin de Funcionamiento de Universidades (1996)
Resolucin N 265-2006-CONA.
DEGERENCIA (2008) Pgina web La Gerencia. [Citado 04 de Octubre del 2008] Disponible en:
http://www.degerencia.com/area.php?areaid=2001.FU. Per.
DELTA (2004) Planeacin Estratgica de Tecnologa Informtica. Pgina web de servicios de
asesora y consultora de tecnologa informtica Delta. [Citado 13 de Octubre del 2008] Disponible en
formato PDF en: http://www.deltaasesores.com/docum/txpeti2004a.pdf
EL PERUANO (1991) Normas Legales. Crean la Universidad Privada Csar Vallejo, teniendo como
sede la ciudad de Trujillo, Ley N 25359. p.101813.Per
EL PERUANO (1994) Normas Legales. Modifican artculo de Ley referido a la creacin de carreras
profesionales en universidad privada, Ley N 26409. Per.
GESTIOPOLIS (2008) Pagina web de Gestiopolis [Citado 04 de Octubre del 2008] Disponible en:
http://www.degerencia.com/area.php?areaid=2001.
IESE (2008) Pagina Web de la escuela de direccin de empresas de la Universidad de Navarra.
Gobernar las TI: obtener el mximo valor de la tecnologa. [Citado 04 de Diciembre del 2008]
Disponible
en
formato
en:
http://www.iese.edu/es/files/Art_ED_Cabre_Microcommerce_ESP_tcm5-7281.pdf.
INEI (2009) Qu es la Auditora Informtica?. Instituto Nacional de Estadstica e Informtica. [Citado
11
de
Octubre
del
2008]
Disponible
en
formato
en:
http://www1.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5105/Libro.pdf.
ISACA (2009) COBIT 4.1. Espaol. Information Systems Audit and Control Association. [Citado 11 de
Octubre
del
2008]
Disponible
en
formato
en:
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/CobiT4
_Espanol.pdf.
HELKYNCOELLO (2009) Pgina web de helkyn coello blog [Citado 25 de Enero del 2009] Disponible
en: http://helkyncoello.wordpress.com/2008/12/08/itil-cobit-cmmi-pmbok-como-integrar-y-adoptar-losestandares-para-un-buen-gobierno-de-ti/
68
Riega Reto
NEYRA Crdova, Omar (2008). Nuevos enfoques de Control Interno en Tecnologas de Informacin
(T.I.), COBIT 4.0., material del curso. Auditora de Sistemas. Escuela Profesional de Ingeniera de
Sistemas de la Universidad Csar Vallejo. Piura-Per.
NTP ISO/IEC 17799 (2009) Norma Tcnica Peruana
ISO/IEC17799-2007
[Citado
20
de
Septiembre
del
en
formato
en:
http://www.bvindecopi.gob.pe/
RAE (2009) Pgina web de la Real Academia Espaol. Vigsima segunda edicin. Espaa [Citado 20
de Septiembre del 2009] Disponible en: http://www.rae.es/rae.html.
SISBIB (2008) Tesis: Planeamiento Estratgico de Tecnologas de Informacin de La Escuela
Superior Privada de Tecnologa-SENATI. Sistemas de Bibliotecas. Per. [Citado 12 de Octubre del
2008]
Disponible
en
formato
en:
http://sisbib.unmsm.edu.pe/bibvirtualdata/Tesis/Basic/najarro_bj/najarro_bj.PDF.
UCVPIURA, Universidad Csar Vallejo Piura (2002) Proyecto de creacin de la Filial Piura. Piura
Per.
UCVPIURA, Universidad Csar Vallejo Piura (2006) Manual de Organizacin y Funciones. PiuraPer.
UCVPIURA, Universidad Csar Vallejo Piura (2009) Centro de Informtica y Sistemas. Pagina Web
de la Universidad Csar Vallejo-Piura. [Citado 20 de Septiembre del 2009] Disponible en:
http://www.ucvpiura.edu.pe/cis/.
UTP (2009) Pagina Web de la Universidad Tecnolgica de Puebla. [Citado 11 de Septiembre del
2008] Disponible en formato PDF en:
http://electricidad.utpuebla.edu.mx/Manuales%20de%20asignatura/1er%20cuatrimestre/Informatica
%20I.pdf
69
Riega Reto
CAPTULO VII
ANEXOS
ANEXO N 01
CRONOGRAMA DE LA TESIS
a de la Tesis
ANEXO N 02
INDICADORES DE LA TESIS
OMINACIN
enazas que
n la seguridad
rocesos de las
nologas de
ormacin.
Grado de
mentacin de
tos de la OTI.
cedimientos
ales para la
oncesin,
nistracin de
hos y perfiles.
OMINACIN
egistro de
nes peridicas
los derechos
edidos a los
usuarios.
DEFINICIN
CONCEPTUAL
Nmero de
amenazas que
afectan la seguridad
y los procesos de las
Tecnologas de
informacin.
Nmero de proyectos
implementados por la
OTI.
Nmero de
procedimientos
formales para la
concesin,
administracin de
derechos y perfiles.
DEFINICIN OPERACIONAL
NTAASPTI = NAASPTI
NTAASPTI = Nmero total de
amenazas que afectan la
seguridad y los procesos de
las Tecnologas de
informacin.
NAASPTI = Nmero de
amenazas que afectan la
seguridad y los procesos de
las Tecnologas de
informacin.
NTSDT / NSDT
NTSDT = Nmero total de
proyectos implementados por
la OTI
NSDT = Nmero total de
proyectos implementados por
la OTI.
NTPFCADP = NPFCADP
NTPFCADP = Nmero total
de procedimientos formales
para la concesin,
administracin de derechos y
perfiles.
NPFCADP = Nmero de
procedimientos formales para
la concesin, administracin
de derechos y perfiles.
UNIDAD
TECNICA
INSTRUMENTO
FUENTE
Nmero
entero
Observacin
Gua de
observacin
N 01
----
Porcentaje
Observacin
Gua de
observacin
N 02
----
Nmero
entero
Observacin
Gua de
observacin
N 03
----
INS
Nmero de registro
de revisiones
peridicas sobre los
derechos concedidos
a los usuarios.
Nmero de controles
para evitar el acceso
fsico no autorizado.
es preventivos
Nmero de controles
DEFINICIN OPERACIONAL
NTRRPDCU = NRRPDCU
NTRRPDCU = Nmero total
de registro de revisiones
peridicas sobre los derechos
concedidos a los usuarios.
NRRPDCU = Nmero de
registro de revisiones
peridicas sobre los derechos
concedidos a los usuarios.
NTCEAFA = NCEAFA
NTCEAFA = Nmero total de
controles para evitar el acceso
fsico no autorizado.
NCEAFA = Nmero de
controles para evitar el acceso
fsico no autorizado.
UNIDAD
TECNICA
INSTRUMENTO
FUENTE
Nmero
entero
Observacin
Gua de
observacin
N 04
----
Nmero
entero
Observacin
Gua de
observacin
N 05
----
Nmero
Observacin
Gua de
----
INS
OMINACIN
eteccin sobre
de software de
encia dudosa.
OMINACIN
DEFINICIN
CONCEPTUAL
DEFINICIN OPERACIONAL
UNIDAD
preventivos y de
deteccin sobre el
uso de software de
procedencia dudosa.
NTCPDSP = NCPDSP
NTCPDSP = Nmero total de
controles preventivos y de
deteccin sobre el uso de
software de procedencia
dudosa.
NCPDSP = Nmero de
controles preventivos y de
deteccin sobre el uso de
software de procedencia
dudosa.
entero
INSTRUMENTO
FUENTE
INS
INS
observacin
N 06
dimientos de
os regulares y
dicamente
alidados.
Nmero de
procedimientos de
respaldos regulares y
peridicamente
validados.
imiento formal
ra reportar
identes de
uridad de la
ormacin.
Nmero de
procedimiento formal
para reportar
incidentes de
seguridad de la
informacin.
egistro de
identes de
uridad de la
ormacin.
TECNICA
Nmero de registro
de incidentes de
seguridad de la
informacin.
DEFINICIN OPERACIONAL
NTPRRPV = NPRRPV
NTPRRPV = Nmero total de
procedimientos de respaldos
regulares y peridicamente
validados.
NPRRPV = Nmero de
procedimientos de respaldos
regulares y peridicamente
validados.
NPFRISI = NPFRISI
NTPFRISI = Nmero total de
procedimiento formal para
reportar incidentes de
seguridad de la informacin.
NPFRISI = Nmero de
procedimiento formal para
reportar incidentes de
seguridad de la informacin.
NTRISI = NRISI
NTRISI = Nmero total de
registro de incidentes de
seguridad de la informacin.
NRISI = Nmero de registro
de incidentes de seguridad de
la informacin.
UNIDAD
TECNICA
INSTRUMENTO
FUENTE
Nmero
entero
Observacin
Gua de
observacin
N 07
----
Nmero
entero
Observacin
Gua de
observacin
N 08
----
Nmero
entero
Observacin
Gua de
observacin
N 09
----
OMINACIN
DEFINICIN
CONCEPTUAL
a de seguridad
informacin.
Nmero de Poltica
de seguridad de la
informacin.
e continuidad
l negocio.
Nmero de Plan de
continuidad del
negocio.
DEFINICIN OPERACIONAL
NTPSI = NPSI
NTPSI = Nmero total de
Poltica de seguridad de la
informacin.
NPSI = Nmero de Poltica de
seguridad de la informacin.
NTPCN = NPCN
NTPCN = Nmero total de
Plan de continuidad del
negocio.
NPCN = Nmero de Plan de
continuidad del negocio.
UNIDAD
TECNICA
INSTRUMENTO
FUENTE
Nmero
entero
Observacin
Gua de
observacin
N 10
----
Nmero
entero
Observacin
Gua de
observacin
N 11
INS
ANEXO N 03
FORMATO DE LAS GUAS DE OBSERVACIN
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo - Piura.
Objetivo: Tomar datos para identificar las amenazas que afectan la seguridad y procesos de las Tecnologas de informacin.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
Evento no deseado
Observacin
NOTA(S):..
...........
...
Observador: _______________________________________________________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
Gua de Observacin N 02:
ARCHIVADO
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
Proyecto
Responsables
Estado (Pendiente, en
Proceso,
Implementado)
Nmero de proyectos
NOTA(S):.
...........
.....
Observador: ________________________________________________________________________________
PROCESADO
ARCHIVADO
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
N
1
2
3
4
Controles
Procedimiento formal para la concesin, administracin de derechos y perfiles.
Implementad
o
S
No
NOTA(S):.
...........
......
Observador: _______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
ARCHIVADO
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
Fecha
Revisin
Objetivo de la revisin
Se Realiz
S
No
Resultados
Nmero de revisiones
NOTA(S):.
......
........
Observador: _______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
ARCHIVADO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en
la Universidad Csar Vallejo - Piura.
Objetivo: Verificar la existencia de controles para evitar el acceso fsico no autorizado.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
Identificad
o
S
No
Controles
...........
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
ARCHIVADO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en
la Universidad Csar Vallejo - Piura.
Objetivo: Verificar la existencia y uso de controles preventivos y de deteccin sobre el uso de software de
procedencia dudosa.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
1
2
3
Identificad
o
S
No
Controles
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
ARCHIVADO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en
la Universidad Csar Vallejo - Piura.
Objetivo: Verificar la existencia de respaldos (copias de seguridad, generadas peridicamente).
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
Fecha
Respaldo
Tipo
Nmero de Procedimientos
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
ARCHIVADO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en
la Universidad Csar Vallejo - Piura.
Objetivo: Verificar la implementacin de aspectos relacionados al control y registro de incidentes de seguridad
de la informacin.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
1
2
3
4
5
6
7
8
9
10
Aspectos
Contemplado
S
No
Evaluacin inicial.
Comunicar el incidente
Contener el dao y minimizar el riesgo
Identificar el tipo y la gravedad del ataque
Proteger las pruebas
Notificar a las reas correspondientes
Recuperar los sistemas
Compilar y organizar la documentacin del incidente
Valorar los daos y costos del incidente
Revisar las directivas de respuesta y actualizacin
Nmero de Procedimientos
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
ARCHIVADO
Gua de Observacin N 9:
Gestin de seguridad de las T.I.
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo - Piura.
Objetivo: Tomar datos para identificar el nmero de incidentes registrados en seguridad de informacin.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
Incidentes
rea
Fecha
Nmero de Incidentes
NOTA(S):.
......
........
Observador: _______________________________________________________________________________
Fecha Entrega: ____/____/____
Medidas Correctivas
REVISADO
PROCESADO
ARCHIVADO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en
la Universidad Csar Vallejo - Piura.
Objetivo: Verificar la existencia de la Poltica de seguridad de la informacin.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
Control
Identificad
a
S
No
Fecha de
Aprobacin
Fecha de
ltima
Actualizacin
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
ARCHIVADO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en
la Universidad Csar Vallejo - Piura.
Objetivo: Verificar la existencia de la Poltica de continuidad del negocio.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
Control
Identificad
a
S
No
Fecha de
Aprobacin
Fecha de
ltima
Actualizacin
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
ARCHIVADO
ANEXO N 04
FORMATO DEL PAPEL DE TRABAJO
En la parte inferior:
ANEXO N 05
FORMATO DE DEFICIENCIA PARA LA AUDITORA
BASADA EN ISO/IEC 17799 PARA LA GESTIN DE
SEGURIDAD DE LAS TECNOLOGAS DE INFORMACIN
EN LA UNIVERSIDAD CSAR VALLEJO - PIURA.
DEFICIENCIA N ______
FECHA DE LLENADO
DA
MES
REA AUDITADA:
AO
AUDITOR JUNIOR:
DETALLE
Condicin:
Criterio:
Causa:
Efecto:
Recomendaciones:
FECHA DE REVISIN
SUPERVISOR:
DA
MES
AO
Campos del Formato de deficiencia para la Auditora basada en ISO/IEC 17799 para la
gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo Piura.
N:
- Se coloca el nmero del hallazgo el cual debe de seguir un orden correlativo conforme se van
descubriendo los mismos.
DETALLE:
- Condicin: Lo que es Aquello que el auditor encuentra o descubre.
- Criterio: Lo que debe ser Marco de referencia con el que se compara la condicin para
encontrar divergencias. Ley, reglamento, carta, circular, memorando, procedimiento, norma de
control interno, norma de sana administracin, principio de contabilidad generalmente aceptado,
opinin de un experto o finalmente juicio del auditor. Para auditoras de sistemas de informacin
y TI: GAISP, COBIT, ISO 17799, SB 443/20a03, NAG 270 y otros.
- Causa: Por qu El origen de la condicin observada. El porqu de la diferencia entre la
condicin y el criterio, debern ser desarrolladas de acuerdo a la explicacin que de el
responsable.
- Efecto: Las consecuencias Surge de las diferencias entre la condicin y el criterio, el efecto
tendr un resultado positivo o negativo
- Recomendacin: Arregla la condicin La recomendacin se deber elaborar habiendo
desarrollado los anteriores atributos del hallazgo. La recomendacin deber emitirse con la idea
de mejorar o anular la condicin y llegar al criterio atacando la causa y arreglar el efecto para
futuras situaciones. La recomendacin deber ser viable tcnica y econmicamente.
ANEXO N 06
RECURSOS, MATERIALES, PRESUPUESTO Y
FINANCIAMIENTO DE LA TESIS
Recursos.
Humanos:
En esta investigacin participan directamente o indirectamente las siguientes personas:
Investigador:
Materiales.
Hardware:
Notebook HP530, Up Core 2 Duo de 1.60 GHZ, HD 120 GB, RAM 2 GB, Lector quemador DVD.
Windows XP SP3.
Internet Explorer 8.
WinRar 3.6.2.
WinZip 10.
Nero 7 Premium.
Adobe Reader 9.
WinAudit 2.1.7.0.
SPSS17.
Otros Materiales:
5 Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon
IP1000.
Servicios:
Fotocopiado.
Transporte Urbano.
Energa elctrica.
Internet.
Presupuesto:
Financiamiento:
El Proyecto fue financiado de la siguiente manera:
ANEXO N 07
FORMATO DE SOLICITUD DE DOCUMENTACIN
Sirva la presente para saludarle cordialmente y comunicarle que como parte del Desarrollo de mi
Tesis Auditoria basada en ISO 17799 para la gestin de la seguridad de las Tecnologas de
Informacin en la Universidad Csar Vallejo de Piura requiero contar con la documentacin que
detallo a continuacin:
equipos de comunicacin.
Inventario de Software por tipo de software: Sistema operativo, antivirus, software
Breve descripcin de su
funcionalidad
sistema.
Atentamente,
___________________________
Autor
DNI N XXXXXXXX
ANEXO N 08
FORMATO DE LA ENTREVISTA DE USUARIO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
No ( )
Desconozco ( )
Por qu?....
...
2. Su cuenta de usuario para acceder a la red es la misma que utiliza para acceder a los
sistemas de informacin de la UCV-Piura?
S ( )
No ( )
Desconozco ( )
S, Por qu?.........
...
3. Para las diferentes cuentas de usuario asignadas como: cuenta de usuario de red, cuenta de
correo electrnico, cuentas de usuarios de sistemas administrativos. Utiliza la misma
contrasea o password?
S ( )
No ( )
S, Por qu?......
...
4. Usted proporciona a otra persona su(s) cuenta(s) de su usuario (login) y clave (password)?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( )
Por qu?....
...
5. Considera que los servicios que brinda el OTI en el desarrollo de sistemas, instalacin de
redes, mantenimiento, reparacin de computadoras e impresoras, d los resultados esperados
en el desempeo de sus actividades?
S ( )
No ( )
Por qu?....
...
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
Mejorable ( )
Aceptable ( )
Excelente ( )
Por qu?....
...
7. Hay disponibilidad de la OTI para sus requerimientos?
Nunca ( )
Algunas veces ( )
Casi siempre ( )
Siempre ( )
Por qu?....
...
8. Por qu problemas suele usted llamar al OTI? Marque los problemas por lo que usted suele
llamar.
Problemas con la PC ( )
Otro (
Cual?..................................................................................................................................................
9. Son entregados con puntualidad los trabajos de que realiza el OTI?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( )
Por qu?....
...
10. Cubre sus necesidades la computadora que le ha sido asignada para las actividades
procesos que realiza?
No las cubre ( )
Parcialmente ( )
La mayor parte ( )
Todas ( )
Por qu?....
...
11. Usted considera que su computadora es:
Lenta ( )
Aceptable ( )
Rpida ( )
Por qu?....
...
12. Existen fallas de exactitud en los procesos de informacin del sistema o sistemas que
utiliza?
S ( )
No ( )
S, En cules?.........
...
13. Le son tiles los reportes que le proporcionan el sistema o sistemas que utiliza?
S ( )
No ( )
Algunos (
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
14. Cuenta con un manual de usuario por Sistema, completo y actualizado, bien sea en medio
impreso o magntico?
S (
No ( )
15. Es claro y objetivo el manual del usuario? (marcar si respondi S en la pregunto 15)
S (
No ( )
Excelente ( )
Por qu?....
...
19. Alguna vez ha hecho un informe con los requerimientos de la computadora que usted
necesita?
S (
No ( )
S, Por qu?....
...
20. Le atendieron su requerimiento? (marcar si respondi S en la pregunta 21)
S (
No ( )
No ( )
Para qu lo utiliza?......
...
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
22. Cuenta con el antivirus (Kaspersky 6.0.3.) instalado y actualizado en la computadora que le
asignaron?
S (
No ( )
Desconoco ( )
No ( )
No ( )
No ( )
Algunas veces ( )
No ( )
Algunas veces ( )
ANEXO N 09
FORMATO DE EVALUACIN DEL CUMPLIMIENTO DE
LAS FUNCIONES DE LAS REAS DE LA OTI
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
forma clara; usar lapicero de color azul o negro. Evite los borrones o enmendaduras ya que se
dar por anulada su respuesta.
FUNCIONES DE LA JEFATURA DE LA OTI
Formular y ejecutar el PACI (Plan de Avance y Capacitacin Informtica) de la UCV Piura.
Controlar y evaluar la ejecucin de los planes
Proponer, coordinar y supervisar la renovacin en la tecnologa informtica utilizada en la
institucin.
Formular, ejecutar y controlar los programas, aprobado para su funcionamiento y desarrollo
Desarrollar un Plan de Seguridad para proteger la informacin de la base de datos, correos y
pgina web de nuestra institucin.
Evaluar y definir las polticas de seguridad para la red informtica de la universidad
Investigar, estudiar y proponer nuevas tcnicas informticas recomendando a la empresa las
alternativas ms adecuadas para su implementacin.
Administrar las licencias adquiridas por nuestra institucin con las instaladas en las
computadoras de la red de la UCV Piura.
Promover reuniones de trabajo con el personal a cargo para tratar en forma conjunta sobre
resolucin de problemas, informacin de nuevas actividades necesarias.
Elaborar, presentar y sustentar el Plan Operativo del rea.
Otras funciones que asigne el Directorio de la UCV Piura.
FUNCIONES DE LA ASISTENCIA ADMINISTRATIVA
Atender y orientar al cliente (interno y externo) que solicite los servicios de una manera cortes y
amable.
Mantener actualizados archivos fsicos y en base de datos, clasificndolos ordenadamente por
tipo y fecha.
Elaboracin de diversos documentos del rea.
Coordinar reuniones y agenda respectiva.
Hacer y recibir llamadas telefnicas para tener informado a la Jefatura de la OTI
de los
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
enlaces inalmbricos.
Instalacin y configuracin de equipos de conectividad (modems, switch, routers, wireless).
Administracin, configuracin y mantenimiento de sistemas antivirus en servidores.
Deteccin y control de virus.
Asegurar el mantenimiento, crecimiento, seguridad y operacin de la infraestructura de la red
de enlaces de telefona.
Monitorear, diagnosticar el mantenimiento, aislamiento y deteccin de fallas de la red de
telecomunicaciones.
Realizar el mantenimiento, crecimiento y aplicaciones de correo electrnico.
Realizar instrucciones que le sean asignadas por la Jefatura de la OTI .
FUNCIONES DEL AREA DE DESARROLLO (SISTEMAS Y WEB)
Mantener y administrar las bases de datos de la institucin.
Mantener y actualizar la pagina de web de la institucin.
Analizar, desarrollar y soportar sistemas de acuerdo a las necesidades de las diversas reas
para tener un mejor control de la informacin.
Garantizar el ptimo funcionamiento de los diversos sistemas de informacin de la universidad.
Evaluar el hardware y software y preparar los estimados de tiempo y costos para el trabajo de
desarrollo de sistemas.
Configuracin de los servicios de Internet.
Instalacin, configuracin y mantenimiento de servidor de web.
Instalacin, configuracin y mantenimiento de servidores de datos.
Realizar copias de seguridad de la Base de Datos.
Realizar instrucciones que le sean asignadas por la Jefatura de la OTI .
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
ANEXO N 10
FORMATO DE LA EVALUACIN DEL PLAN OPERATIVO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
CONTROL DE PROYECTOS
1. Quin autoriza los proyectos?.
____________________________________________________________________________
____________________________________________________________________________
2. Cmo se asignan los recursos?.
____________________________________________________________________________
____________________________________________________________________________
3. Cmo se estiman los tiempos de duracin?.
____________________________________________________________________________
____________________________________________________________________________
4. Quin interviene en la planeacin de los proyectos?.
____________________________________________________________________________
____________________________________________________________________________
5. Cmo se calcula el presupuesto del proyecto?.
____________________________________________________________________________
____________________________________________________________________________
6. Qu tcnicas se usan en el control de los proyectos?.
____________________________________________________________________________
____________________________________________________________________________
7. Quin asigna las prioridades?.
____________________________________________________________________________
____________________________________________________________________________
8. Cmo se asignan las prioridades?.
____________________________________________________________________________
____________________________________________________________________________
9. Cmo se controla el avance del proyecto?.
____________________________________________________________________________
____________________________________________________________________________
10. Con qu periodicidad se revisa el reporte de avance del proyecto?.
____________________________________________________________________________
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
____________________________________________________________________________
11. Cmo se estima el rendimiento del personal?.
____________________________________________________________________________
____________________________________________________________________________
12. Con que frecuencia se estiman los costos de los proyectos para compararlos con los del
presupuestado?.
____________________________________________________________________________
____________________________________________________________________________
13. Qu acciones correctivas se toman en caso de desviaciones?.
____________________________________________________________________________
____________________________________________________________________________
14. Qu pasos y tcnicas siguen en la planeacin y control de los proyectos?
Enumrelos secuencialmente.
( ) Determinacin de los objetivos.
( ) Sealamiento de las polticas.
( ) Designacin del funcionario responsable del proyecto.
( ) Integracin del grupo de trabajo.
( ) Integracin de un comit de decisiones.
( ) Desarrollo de la investigacin.
( ) Documentacin de la investigacin.
( ) Anlisis y valuacin de propuestas.
( ) Seleccin de equipos.
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
S ( )
No ( )
No, Qu efectos se han tenido en el rea al no contar con suficientes recursos financieros?
____________________________________________________________________________
3. Existe un programa sobre los requerimientos del rea?
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
4. Cules son las principales limitaciones que tiene el rea en cuanto a los recursos materiales?
____________________________________________________________________________
____________________________________________________________________________
Qu sugerencias hara para superar las limitaciones actuales?
____________________________________________________________________________
____________________________________________________________________________
MOBILIARIO Y EQUIPO
5. Se cuenta con el equipo y mobiliario adecuado y en cantidad suficiente para desarrollar su
trabajo?
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
S ( )
S ( )
No ( )
No ( )
S ( )
No ( )
ANEXO N 11
FORMATO DE LA EVALUACIN DEL REA DE LA OTI
(OFICINA)
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
REA DE LA OTI
ORDEN EN LA OTI
1. Indique la periodicidad con que se hace la limpieza a la OTI:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
S ( )
No ( )
No ( )
No ( )
S, Cul? ___________________________________________________________________
5. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin?
S ( )
No ( )
S ( )
No ( )
S, Cmo? __________________________________________________________________
7. Mencione los casos en que personal ajeno a la OTI ingresa al mismo:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
SEGURIDAD
1. Se han adoptado medidas de seguridad en la OTI?
S ( )
No ( )
S ( )
No ( )
No ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
No ( )
11. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para
alcanzarlos?
S ( )
No ( )
12. Saben que hacer los el personal de la OTI, en caso de que ocurra una emergencia
ocasionado por fuego?
S ( )
No ( )
13. El personal ajeno al rea sabe qu hacer en el caso de una emergencia (incendio)?
S ( )
14. Existe salida de emergencia?
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
Desde el exterior ? ( )
Ambos Lados ( )
16. Se revisa frecuentemente que no est descompuesta la cerradura de las puertas y de las
ventanas?
S ( )
No ( )
17. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones
en caso de emergencia?
S ( )
No ( )
No ( )
No ( )
ANEXO N 12
FORMATO DE LA EVALUACIN AL REA DE REDES
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
Mensualmente ( ) Bimestralmente ( )
S ( )
No ( )
No ( )
No ( )
S, Cul? ___________________________________________________________________
5. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin?
S ( )
No ( )
S ( )
No ( )
S, Cmo? __________________________________________________________________
7. Se tiene restringida la operacin del personal ajeno al rea de Redes en el Data Center?
S ( )
No ( )
8. Mencione los casos en que personal ajeno al rea de Redes opera en el Data Center:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
CONTROL DE MANTENIMIENTO
1. Existe algn tipo de contrato de mantenimiento para los dispositivos o equipos del Data Center.
S ( )
No ( )
2. Existe un programa de mantenimiento preventivo para cada dispositivo o equipo del Data
Center?
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
No se notifican ( )
____________________________________________________________________________
5. Cmo se les da seguimiento?
No se les da seguimiento ( )
____________________________________________________________________________
6. Se realizan mantenimientos correctivos a los equipos del Data Center?
S ( )
No ( )
S, A qu equipos y porque?
____________________________________________________________________________
____________________________________________________________________________
7. Indique la periodicidad con se hace ese mantenimiento a los equipos del Data center:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
Lgica ( )
Fsica y Lgica ( )
No ( )
No ( )
No ( )
No ( )
S, Quin? __________________________________
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
No ( )
15. El edificio donde se encuentran los servidores, cuenta con medidas de proteccin frente a:
a) Inundacin ( )
b) Terremoto ( )
c) Fuego ( )
d) Sabotaje ( )
16. El Data Center tiene salida al exterior?
S ( )
No ( )
17. Describa brevemente la construccin del Data Center, de preferencia proporcionando planos y
material con que est construido y equipo (muebles, sillas etc.) dentro del mismo.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
18. Existe control en el acceso?
a) Por identificacin personal? ( )
b) Por tarjeta magntica? ( )
c) Por claves verbales? ( )
d) Otras? ( ) Cules? ____________________________________________________
e) No existe ningn control ( )
19. Son controladas las visitas y demostraciones en el Data Center?
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
No ( )
No ( )
28. Si es que existen extintores automticos son activados por detectores automticos de fuego?
S ( )
No ( )
29. Si los extintores automticos son a base de agua Se han tomado medidas para evitar que el
agua cause ms dao que el fuego?
S ( )
No ( )
30. Si los extintores automticos son a base de gas, Se ha tomado medidas para evitar que el
gas cause ms dao que el fuego?
S ( )
No ( )
31. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos para
que el personal:
a) Corte la accin de los extintores por tratarse de falsas alarmas?
b) Pueda cortar la energa Elctrica
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
S ( )
No ( )
No ( )
32. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para
alcanzarlos?
S ( )
No ( )
33. Sabe que hacer el operador de Redes, en caso de que ocurra una emergencia ocasionado
por fuego?
S ( )
No ( )
No ( )
No ( )
No ( )
39. Se ha prohibido al operador el consumo de alimentos y bebidas en el interior del Data Center
para evitar daos al equipo?
S ( )
No ( )
40. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?
SI ( )
NO ( )
No existe ( )
41. Se han implantado claves o password para garantizar operacin de los equipos del Data
Center, a personal autorizado?
S ( )
Elaborada por: Marco Antonio Riega Reto
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
42. Se mantiene un registro permanente (bitcora) de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de procesos?
43. Cuentan con servidor(es) de respaldo?.
S ( )
S ( )
No ( )
No ( )
No ( )
S ( )
S ( )
No ( )
No ( )
No ( )
S ( )
No ( )
52. Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el
ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o
deben estar- documentadas en el Documento de Seguridad?
S ( )
No ( )
53. Existen procedimientos de asignacin y distribucin de contraseas?
54. Existen procedimientos para la realizacin de las copias de seguridad?
S ( )
No ( )
S ( )
No ( )
55. Existen procedimientos que aseguran que se realizan los backups al menos una vez cada
semana?
S ( )
No ( )
56. Las copias de seguridad, o cualquier otro soporte, se almacenan fuera de las instalacines?.
S ( )
No ( )
57. Se ha determinado quienes tienen llave para acceder al Data Center?.
__________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
58. Existe un inventario de equipos y software del rea de Redes?
S ( )
No ( )
Solo de equipos ( )
Elaborada por: Marco Antonio Riega Reto
Solo de software (
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
S ( )
No ( )
No ( )
60. Estn establecidos controles especiales para salvaguardar la confidencialidad e integridad del
procesamiento de los datos que pasan a travs de las redes, y para proteger los sistemas
conectados.
S ( )
No ( )
S, especificar
___________________________________________________________________________
___________________________________________________________________________
__________________________________________________________________________
61. Existen controles y procedimientos de gestin para proteger el acceso a las conexiones y
servicios de red?
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
S ( )
No ( )
S ( )
No ( )
No ( )
____________________________________________________________________
ANEXO N 13
FORMATOS DE LAS EVALUACINES AL
REA DE DESARROLLO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
REA DE DESARROLLO
ORDEN
1. Indique la periodicidad con que se hace la limpieza al rea de Desarrollo:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
No ( )
No ( )
S, Cul? ___________________________________________________________________
4. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin?
S ( )
No ( )
S ( )
No ( )
S, Cmo? __________________________________________________________________
6. Mencione los casos en que personal ajeno al rea ingresa al mismo:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
CONTROL DE DISEO DE SISTEMAS Y PROGRAMACIN
7. Quines intervienen al disear un sistema?
Anlisis
Diseo
Etapas de Diseo
Codificaci
Prueba
n
Puesta en marcha
Usuario
Analista
Programadores
Operadores
Gerente
Auditores internos
Asesores
Jefe de rea
Otro(s)
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
) Aire acondicionado
) Cerradura especial.
) Otra: ________________________________________________
) Nmero de volumen.
) Otros: _____________________________________________________________
No ( )
No ( )
S ( )
No ( )
7. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de
acceso?.
S ( )
No ( )
Cmo? _______________________________________________________________________
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
No ( )
) Bveda
) Otro: __________________________________________________
) En otro lugar.
Cul? ________________________________________________________________________
11. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan stos?
S ( )
No ( )
No ( )
13. Se registran como parte del inventario los nuevos backups que recibe la biblioteca?
S ( )
No ( )
No ( )
No ( )
No ( )
18. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperacin
de archivos?
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
No ( )
) Mensual
) Anual
) Semestral
) Otra_______________________
No ( )
No ( )
No ( )
ANEXO N 14
FORMATO DE LA EVALUACIN AL
REA DE SOPORTE TECNICO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
Mensualmente ( ) Bimestralmente ( )
S ( )
No ( )
No ( )
S, Cul? ___________________________________________________________________
4. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin?
S ( )
No ( )
S ( )
No ( )
S, Cmo? __________________________________________________________________
6. Mencione los casos en que personal ajeno al rea ingresa al mismo:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
SEGURIDAD
1. El rea cuentan con planes y procedimientos de Mantenimiento?
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
4. Este personal de apoyo cuenta con los conocimientos necesarios para dar soporte.
S ( )
No ( )
5. Se cuenta con las licencias de los software que se instalan en las PCs?
S ( )
No ( )
6. Existe un programa de mantenimiento preventivo para cada equipo de la UCV-Piura?
S ( )
No ( )
7. Se lleva a cabo tal programa?
S ( )
No ( )
S ( )
No ( )
9. Se les da seguimiento?
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
10. Se les realizan una revisin tcnica correcta a los dispositivos y equipos que atiende en la
OTI?
S ( )
No ( )
11. Existe un documento donde este especificado la relacin de las funciones y obligaciones del
personal?.
S ( )
No ( )
S ( )
S ( )
No ( )
No ( )
S ( )
No ( )
18. Se existe una copia del Registro de Entrada y Salida del manteniendo de equipos?
S ( )
No ( )
19. Se determina que personas tienen llaves de acceso (clave administrador de equipo)?
S ( )
No ( )
S, Cmo? _________________________________________________________________
___________________________________________________________________________
20. Cuenta con todas las herramientas y materiales necesarias para poder realizar su trabajo.
S ( )
No ( )
No, Por qu? ______________________________________________________________
___________________________________________________________________________
ANEXO N 15
FORMATO DEL CUESTIONARIO APLICADO A LA
JEFATURA DE LA OTI
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
S (
S (
S (
S (
)
)
)
)
No (
No (
No (
No (
)
)
)
)
S ( )
No ( )
Operacin?
Supervisin?
S ( )
S ( )
No ( )
No ( )
S ( )
S ( )
S ( )
No ( )
No ( )
No ( )
Comunicacin ascendente?
Comunicacin descendente?
Toma de decisiones?
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
Mayor jerarqua?
Menor jerarqua?
S ( )
S ( )
No ( )
No ( )
S ( )
No ( )
No ( )
No ( )
No ( )
NOTA.- Especifique el nmero de personas que reportan a las personas que a su vez reportan a
cada puesto:
-
Jefatura ( )
Jefes de rea (
Personal ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
No ( )
EXISTENCIA
Se han establecido las funciones de las reas?
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
No ( )
S ( )
No ( )
S ( )
No ( )
Por qu no?_____________________________________________________________
ADECUADAS
Son adecuadas a la realidad las funciones?
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
De qu tipo? ____________________________________________________________
Se tiene contemplada la desconcentracin?
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
________________________________________________________________________
Cmo afecta la desconcentracin a las funciones?
_______________________________________________________________________________
_______________________________________________________________________________
Participo la Jefatura de la OTI en su elaboracin?
S ( )
No ( )
S ( )
)
A nivel de puesto? (
No ( )
No ( )
No, Qu tipo de actividades realiza que no estn acorde a las funciones asignadas?
________________________________________________________________________
________________________________________________________________________
Cul es la causa?_________________________________________________________
Quin las ordena?________________________________________________________
Las actividades que realiza actualmente cumplen en su totalidad con las funciones conferidas?
S ( )
No ( )
) Falta de personal.
) Personal no capacitado.
) Cargas de trabajo excesivas.
) Porque realiza otras actividades.
) La forma en que las ordena.
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
No ( )
S ( )
No ( )
S ( )
No ( )
No, Qu le ocasiona?______________________________________________________
No, Cmo resuelve esa falta de apoyo?_______________________________________
Con que frecuencia lo solicita?
_______________________________________________________________________________
Para cumplir con sus funciones, Proporciona apoyos a otras reas?
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
- Los de la subdireccin.
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
Cul?__________________________________________________________________
De qu manera planea el trabajo del rea?___________________________________________
FORMALES
Se han definido por escrito los objetivos del rea?
S ( )
No ( )
En qu documento? ______________________________________________________
Por qu no estn definidos por escrito? ______________________________________________
Qu problemas se han derivado de esta situacin? ____________________________________
CONOCIMIENTO
Se han dado a conocer los objetivos?
S ( )
No ( )
S ( )
No ( )
Cmo afecta la operacin del rea el hecho de que los objetivos no se hayan dado a conocer o
que su conocimiento sea parcial?
_______________________________________________________________________________
_______________________________________________________________________________
ADECUADOS
Abarcan los objetivos toda la operacin del rea?
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
Son realistas?
S ( )
No ( )
Se pueden alcanzar?
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
No ( )
S, cules? ______________________________________________________________
No, de qu manera se establece el grado de cumplimiento?_______________________
________________________________________________________________________
Se elabora algn reporte sobre el grado de avance en el cumplimiento de los objetivos?
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
_______________________________________________________________________________
_______________________________________________________________________________
ACTUALIZACIN
Se revisan los objetivos?
S ( )
No ( )
S ( )
No ( )
ANEXO N 16
FORMATO DE LA ENTREVISTA APLICADA A LOS
JEFES DE LAS REAS DE LA OTI
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
Otro (
Cual?.....................................................................................................................................
Con qu frecuencia:
( ) 1 vez a la semana ( ) 2 veces a la semana ( ) 1 vez al mes ( ) 2 veces al mes
En general, Acata el personal las polticas y procedimientos establecidos?
S ( )
No ( )
En caso responda NO, especifique las situaciones que no permiten acatar lo antes indicado
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de trabajo?
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
S ( )
No ( )
CAPACITACIN
Los programas de capacitacin incluyen al personal de:
rea
N de capacitados
Se han identificado las necesidades actuales y futuras de capacitacin del personal del rea?
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
Cules son los principales factores internos que limitan el desempeo del personal?
_______________________________________________________________________________
Cules son los principales factores externos que limitan el desempeo del personal del rea?
_______________________________________________________________________________
Cul es el ndice de rotacin de personal en:
- Redes
- Soporte
- Acadmico
- Desarrollo
No ( )
No ( )
S ( )
No ( )
No ( )
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
REMUNERACIONES
Est adecuadamente remunerado con respecto a:
-
Trabajo desempeado?
Puestos similares en otras organizaciones?
Puestos similares en otras reas?
S ( )
S ( )
S ( )
No ( )
No ( )
No ( )
S ( )
No ( )
S ( )
No ( )
Iluminacin?
S ( )
No ( )
Ventilacin?
S ( )
No ( )
Equipo de oficina?
S ( )
No ( )
Mobiliario?
S ( )
No ( )
Ruido?
S ( )
No ( )
S ( )
No ( )
Instalaciones sanitarias?
S ( )
No ( )
Instalaciones de comunicacin?
S ( )
No ( )
S ( )
No ( )
S ( )
No ( )
En calidad?
S ( )
No ( )
S ( )
No ( )
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
_______________________________________________________________________________
Existe oportunidad de ascenso o de ser promovido?
S ( )
No ( )
ANEXO N 17
FORMATO DE LA ENTREVISTA CON EL
PERSONAL DE LA OTI
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
(Mes / Ao)
_________ / ___________
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
12. Seale los vacios (falta de inters o importancia) que considere que existe en la organizacin.
___________________________________________________________________
____________________________________________________________________________
13. Cuenta con cargas de trabajo, Cmo cuales?
____________________________________________________________________________
____________________________________________________________________________
14. Cmo las controla?
____________________________________________________________________________
____________________________________________________________________________
15. Cmo se deciden las polticas que han de implantarse?
____________________________________________________________________________
____________________________________________________________________________
16. Cmo recibe las instrucciones de los trabajos encomendados?
____________________________________________________________________________
____________________________________________________________________________
17. Con qu frecuencia recibe capacitacin y de qu tipo?
____________________________________________________________________________
____________________________________________________________________________
18. Sobre qu tema le gustara recibir capacitacin?
____________________________________________________________________________
____________________________________________________________________________
19. Mencione la(s) capacitacin(es) obtenida durante el ltimo ao?
____________________________________________________________________________
____________________________________________________________________________
20. Observaciones.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
ANEXO N 18
PAPELES DE TRABAJO
El da 30/10/2009 a las 17:55 solicit al Jefe de la OTI la documentacin que detallo en el Formato
de Solicitud de Documentacin (Ver Anexo N 7); el jefe de la OTI slo me proporcion la siguiente
documentacin:
El Manual de Organizacin y Funciones.
El plan Operativo de la OTI 2009.
Inventario de hardware de la Universidad Csar Vallejo - Piura.
M.A.R.R.: 25/Nov./2009
J.M.E.S.: 30/Nov./2009
Cdigo: 001
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Cdigo: 002
Los das del 29/09/09 al 30/09/09 cumpliendo con el desarrollo de la Auditora basada en ISO/IEC
17799 para la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar
Vallejo Piura, siguiendo la metodologa COSO, se procedi a realizar la segunda fase: LA
MEDICIN DE RIESGOS, y acorde con el ISO/IEC 17799 respaldado en su dominio:
ORGANIZANDO LA SEGURIDAD DE INFORMACIN, se encontraron las siguientes deficiencias:
- DEFICIENCIA N 002: La UCV Piura carece de una organizacin adecuada de seguridad de
informacin.
- DEFICIENCIA N 003: La UCV Piura carece de un proceso de autorizacin para la gestin de cada
nuevo recurso de tratamiento de la informacin.
- DEFICIENCIA N 004: La UCV Piura carece de requerimientos de confidencialidad o acuerdos de
no divulgacin.
- DEFICIENCIA N 005: La UCV Piura no mantiene contacto apropiado con autoridades relevantes.
- DEFICIENCIA N 006: No se desarrollan actividades relacionadas a la revisin de objetivos de
control, controles, polticas, procesos y procedimientos para seguridad de informacin.
- DEFICIENCIA N 007: La UCV Piura no cuenta con acuerdos de terceras partes que cubran todos
los requisitos de seguridad relevantes.
(VER ANEXO N 19 INFORME FINAL)
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Cdigo: 003
Los das del 02/10/09 al 05/10/09 cumpliendo con el desarrollo de la Auditora basada en ISO/IEC
17799 para la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar
Vallejo Piura, siguiendo la metodologa COSO, se procedi a realizar la tercera fase: EL
CONTROL DE ACTIVIDADES, y acorde con el ISO/IEC 17799 respaldado en su dominio:
GESTIN DE ACTIVOS, se encontr la siguiente deficiencia:
-DEFICIENCIA N 008: La UCV Piura no mantiene sus activos claramente identificados ni mantiene
un inventario actualizado de todos activos importantes.
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Universidad Csar Vallejo Piura
Examen a la Oficina de Tecnologas de Informacin.
Cdigo: 004
Los das del 06/10/09 al 08/10/09 cumpliendo con el desarrollo de la Auditora basada en ISO/IEC
17799 para la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar
Vallejo Piura, siguiendo la metodologa COSO, se procedi a realizar la tercera fase: EL
CONTROL DE ACTIVIDADES, y acorde con el ISO/IEC 17799 respaldado en su dominio:
SEGURIDAD EN RECURSOS HUMANOS, se encontraron las siguientes deficiencias:
- DEFICIENCIA N 009: La UCV Piura no cuenta con las funciones y responsabilidades de los
empleados, contratistas y terceros definidas y documentadas en concordancia con la poltica de
seguridad de la organizacin.
- DEFICIENCIA N 010: La UCV Piura no proporciona entrenamiento a los empleados, contratistas y
usuarios en polticas y procedimientos organizacionales.
- DEFICIENCIA N 011: La UCV Piura carece de un proceso formal disciplinario para empleados
que han cometido un apertura en la seguridad.
- DEFICIENCIA N 012: La UCV Piura no cuenta con un procedimiento formal para las
responsabilidades, para realizar la finalizacin de un empleo o el cambio de este que estn
claramente definidas y asignadas.
(VER ANEXO N 19 INFORME FINAL)
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Universidad Csar Vallejo Piura
Examen a la Oficina de Tecnologas de Informacin.
Del 05/Sep./2009 al 01/Dic./2009.
Cdigo: 005
Los das del 09/10/09 al 12/10/09 cumpliendo con el desarrollo de la Auditora basada en ISO/IEC
17799 para la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar
Vallejo Piura, siguiendo la metodologa COSO, se procedi a realizar la tercera fase: EL
CONTROL DE ACTIVIDADES, y acorde con el ISO/IEC 17799 respaldado en su dominio:
SEGURIDAD FSICA Y AMBIENTAL, se encontraron las siguientes deficiencias:
- DEFICIENCIA N 013: La UCV Piura no cuenta con controles sofisticados para el acceso al
permetro de seguridad.
- DEFICIENCIA N 014: La UCV Piura no cuenta con equipos contra fallos de energa u otras
anomalas elctricas.
- DEFICIENCIA N 015: La OTI no cuenta con un plan o cronograma de mantenimiento preventivo
para los equipos.
- DEFICIENCIA N 016: No se brinda seguridad a los equipos que se encuentran fuera de los
locales de la organizacin tomando en cuenta los diversos riesgos a los que se est expuesto.
- DEFICIENCIA N 017: En la UCV Piura no se revisan los dispositivos de almacenamiento, con el
fin de asegurar que cualquier dato sensible y software con licencia haya sido removido o
sobrescrito con seguridad antes de la eliminacin.
- DEFICIENCIA N 018: En la UCV Piura los equipos, informacin o software son extrados del local
sin autorizacin.
(VER ANEXO N 19 INFORME FINAL)
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Cdigo: 006
ANEXO N 19
INFORME FINAL
INFORME
Auditora basada en ISO/EIC 17799 para la gestin de la
seguridad de las Tecnologas de Informacin en la
Universidad Csar Vallejo
RESPONSABLE:
Marco Antonio Riega Reto.
PERODO:
Del 12 de septiembre de 2009 al 03 de diciembre de 2009
FECHA DE EMISIN:
03 de Diciembre de 2009.
Ingeniero
Aldo Alexis Avalos Crdova
Jefe de la Oficina de Tecnologas de Informacin.
Sirva la presente para saludarle cordialmente y comunicarle que adjunto encontrar el Informe de
la Auditora practicada a la Oficina de Tecnologas de Informacin desarrollada del 12 de
Septiembre de 2009 al 03 de Diciembre de 2009.
El examen se efectu en ejercicio de desarrollo de mi tesis titulada: Auditora basada en ISO/EIC
17799 para la gestin de la seguridad de las Tecnologas de Informacin en la Universidad Csar
Vallejo - Piura.
Como resultado del examen se encontraron y evidenciaron situaciones que contravienen lo
dispuesto por la Norma, las mismas que se constituyeron como deficiencias.
Atentamente,
Objetivo de la Auditora...................................................................................... 1
Objetivos especficos...................................................................................... 166
Alcance de la Auditora................................................................................... 166
Metodologa de la auditoria............................................................................166
Desarrollo........................................................................................................... 2
Equipo auditor.................................................................................................... 2
reas auditadas.................................................................................................. 2
Marco legal......................................................................................................... 2
Comentarios de importancia.............................................................................. 2
Campos del formato de deficiencia....................................................................3
Deficiencias........................................................................................................ 4
Conclusiones.................................................................................................... 62
OBJETIVO DE LA AUDITORA
Auditar la gestin de la seguridad de las Tecnologas de Informacin en la UCV-Piura.
OBJETIVOS ESPECFICOS
Verificar el cumplimiento de los dominios establecidos en la norma.
Presentar un informe final detallando las deficiencias estructuradas en: condicin, criterio(s),
causa(s), efecto(s) y recomendacin(es), para que stas sean tomadas en cuenta en la toma
de decisiones.
ALCANCE DE LA AUDITORA
El alcance de la evaluacin comprende los 11 Dominios de control de seguridad de la ISO/EIC
17799 las cuales son:
a) Poltica de seguridad.- evaluar la direccin y soporte de la gestin de la seguridad de la
informacin en concordancia con los requerimientos del negocio.
b) Organizando la seguridad de informacin.- evaluar la gestin de seguridad de la informacin
dentro de la organizacin.
c) Gestin de activos.- evaluar la proteccin adecuada sobre los activos de la organizacin.
d) Seguridad en recursos humanos.- evaluar a los empleados, contratistas y terceros, si estos
entienden sus responsabilidades y que sean adecuados para los roles que han sido
considerados.
e) Seguridad fsica y ambiental.- evaluar los accesos no autorizados, daos e interferencias
f)
j)
METODOLOGA DE LA AUDITORIA
Esta Auditora se realiz teniendo como marco de referencia la Metodologa COSO (Comit de
organizaciones patrocinadoras de la comisin Treadway), como criterio para el Control Interno, y
la NTP ISO/IEC 17799 como marco normativo en la implementacin de seguridad de informacin.
Este procedimiento nos indica que debemos evaluar y obtener evidencias objetivas del
cumplimiento o no cumplimiento con el Estndar, por medio de:
a) Entrevista con los usuarios.
b) Revisin de documentos
c) Revisin de las actividades
d) Demostracin de la propia actividad.
DESARROLLO
Del 12 de septiembre de 2009 al 03 de diciembre de 2009 se desarroll la auditora para la gestin
de la seguridad de las Tecnologas de Informacin, llevando a cabo la agenda de trabajo definida
previamente con el equipo auditor.
En cada una de las reas de trabajo se aplicaron las listas de verificacin previamente diseadas
por el auditor, durante la jornada de trabajo se entrevistaron, adems de los responsables de las
reas y departamentos, al personal que contribuye o participa directa e indirectamente en los
procesos auditados utilizando la metodologa descrita con anterioridad.
EQUIPO AUDITOR
El equipo auditor estuvo conformado por 2 personas, de las cuales uno es Supervisor y un auditor
Junior, quedando el equipo de la siguiente manera:
Supervisor:
La OTI Piura por formar parte de una filial y dependiente de la principal de Trujillo, debera
contar con una copia de los registros de adquisicin de licencias que se tiene por software al
DTI-Trujillo, teniendo en cuenta: el proveedor, propietario, la duracin de la licencia, nmero de
actualizaciones permitidas, nmero de equipos permitidos para su instalacin y copia de factura
emitida.
En la OTI se realizan las instalaciones de los distintos software, programas o aplicaciones que
se deben o deberan estar instalados en las PCs o laptops de una manera insegura e
imprecisa, para una adecuada administracin del software, programas o aplicaciones a instalar,
sugiero tener un registro de los mismos por cargo y rea.
La UCV-Piura cuenta con personas capacitadas en conocimientos bsicos en computacin,
pero estas son pocas, con los aos que ya tiene forma la misma, se debera tomar en cuenta
que el personal administrativo, que no cuente con los conocimientos bsicos en computacin y
que utilice o tenga a cargo alguna PC u otro equipo tecnolgico, sea capacitado o se capacite
en el uso del mismo.
La OTI se encarga de administrar las T.I. de toda la UCV-Piura y otras empresas como San
Antonio, Santa Rosa, que pertenecen a los propietarios de la universidad, situacin que limita
el adecuado y oportuno soporte que frente a los problemas de T.I. que se presentan en las
unidades organizacionales de la Universidad, ya que generalmente la OTI no cuenta con el
suficiente personal para atender los diferentes problemas Tecnolgicos de las otras empresas o
centros productivos que no forman parte del UCV-Piura.
CAMPOS DEL FORMATO DE DEFICIENCIA
Detalle:
- Condicin: Lo que es Situacin o hecho evidenciado.
- Criterio: Lo que debe ser Marco de referencia con el que se compara la condicin para
encontrar divergencias. Ley, reglamento, norma de control interno.
- Causa: Por qu El origen de la condicin observada.
- Efecto: Las consecuencias Surge de las diferencias entre la condicin y el criterio, el efecto
tendr un resultado positivo o negativo
- Recomendacin: Arregla la condicin La recomendacin se emite con la idea de mejorar o
anular la condicin y llegar al criterio atacando la causa y arreglar el efecto para futuras
situaciones.
DEFICIENCIA N 001
FECHA DE LLENADO
DA
24
MES
Setiembre
Condicin:
No se ha identificado que la UCV Piura cuente con una Poltica de Seguridad de Informacin
Criterio:
NTP-ISO/IEC 17799: 4. EVALUACION Y TRATAMIENTO DEL RIESGO, 4.1.- La gerencia debera
aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de
seguridad de la informacin.
Causa(s):
- La OTI no se basa en ninguna norma o estndar para poder desempear sus funciones.
- No contar con el tiempo y personal suficientemente capacitado en la seguridad de la informacin.
Efecto(s):
- Que el personal de la UCV Piura no conozca las disposiciones necesarias que permitan salvaguardar la
Seguridad de la Informacin.
Recomendaciones:
- La implementacin, aprobacin, publicacin y divulgacin de la Poltica de Seguridad de la Informacin.
- Que una vez que se implemente la Poltica de Seguridad de Informacin, sta debe ser revisada en
intervalos planificados, para lo cual es conveniente implementar un procedimiento de actualizacin para
la Poltica de Seguridad de Informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 002
FECHA DE LLENADO
DA
29
MES
Setiembre
Condicin:
La UCV Piura carece de una organizacin adecuada de seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.1.- La gerencia debe
apoyar activamente en la seguridad dentro de la organizacin a travs de direcciones claras
demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la
seguridad de informacin;
Causa(s):
- La UCV Piura no se basa en ninguna norma o estndar para poder administrar las T.I.
- La alta Direccin de la UCV Piura carece de los conocimientos de seguridad de informacin
necesarios.
Efecto(s):
- Inadecuada administracin de la seguridad de informacin.
- No contar con los planes de: seguridad de informacin y continuidad del negocio.
Recomendaciones:
- Que la Direccin General de la UCV-Piura establezca las responsabilidades de seguridad de
informacin ya sea a travs de un puesto organizacional especfico como Oficial de Seguridad de la
Informacin, mediante la creacin de un rea organizacional de seguridad de la informacin, as
como tambin mediante la creacin de un Comit de Seguridad de Informacin.
- Se formalice la constitucin de un comit de seguridad de la informacin, el mismo que deber estar
compuesto por representantes tanto de las reas administrativas como acadmicas de la entidad.
Este comit deber ser liderar por la alta direccin de la entidad.
- Que las responsabilidades que se asignen al rea al Oficial de Seguridad de la informacin sean
concordantes con la poltica de seguridad de la informacin de la UCV-Piura.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 003
FECHA DE LLENADO
DA
29
MES
Setiembre
Condicin:
La UCV Piura carece de un proceso de autorizacin para la gestin de cada nuevo recurso de
tratamiento de la informacin.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.4.- Debera
establecerse un proceso de autorizacin para la gestin de cada nuevo recurso de tratamiento de la
informacin.
Causa(s):
- La alta Direccin de la UCV Piura carece de los conocimientos de seguridad de informacin necesarios.
Efecto(s):
- Inadecuada administracin de los nuevos recursos de tratamiento de la informacin.
- Prdidas econmicas.
Recomendaciones:
Se recomienda que se implemente un proceso de autorizacin para la gestin de recursos de
informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 004
FECHA DE LLENADO
DA
29
MES
Setiembre
Condicin:
La UCV Piura carece de requerimientos de confidencialidad o acuerdos de no divulgacin.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.5.- Requerimientos de
confidencialidad o acuerdos de no divulgacin que reflejen las necesidades de la organizacin para la
proteccin de informacin deben ser identificadas y revisadas regularmente.
Causa(s):
No contar con un Polticas de seguridad.
Efecto(s):
Divulgacin de informacin confidencial.
Recomendaciones:
Se recomienda se implementen acuerdos clausulas de confidencialidad tanto en los contratos, o
convenios con el personal y entidades externas.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 005
FECHA DE LLENADO
DA
30
MES
Setiembre
Condicin:
La UCV Piura no mantiene contacto apropiado con autoridades relevantes.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.6.- Deben ser
mantenidos contactos apropiados con autoridades relevantes.
Causa(s):
No contar con el Plan de continuidad del Negocio.
Efecto(s):
No saber las actividades que se deben desarrollar, as como a quin acudir o llamar en caso de una
emergencia fsica y lgica.
Recomendaciones:
- Se recomienda que se cree y se mantenga actualizada una lista de contactos apropiados como:
Defensa Civil, Cruz Roja, Bomberos y Proveedores de hardware y software, entre otros, que
administren o estn involucrados con los procesos o recursos crticos de informacin.
- Una creada la lista de contactos, se debe mantenerse contactos apropiados con grupos de inters
especial u otros especialistas en foros de seguridad y asociaciones profesionales.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 006
FECHA DE LLENADO
DA
30
MES
Setiembre
Condicin:
No se desarrollan actividades relacionadas a la revisin de objetivos de control, controles, polticas,
procesos y procedimientos para seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.8.- El alcance de la
organizacin para gestionar la seguridad de informacin y su implementacin (objetivos de control,
controles, polticas, procesos y procedimientos para seguridad de informacin) deben ser revisados
independientemente en intervalos planificados o cuando cambios significativos a la puesta en marcha de
la seguridad ocurran.
Causa(s):
- No contar con los conocimientos de seguridad de informacin necesarios por parte de la OTI.
- No contar con el suficiente tiempo y personal para el desarrollo de los mismos.
Efecto(s):
Inadecuada administracin de las T.I.
Recomendaciones:
- Se recomienda la implementacin, formalizacin y mantenimiento de los controles, polticas, procesos y
procedimientos para seguridad de informacin, los mismos que deberan ser actualizados
peridicamente o cuando se implemente un cambio significativo en la plataforma tecnolgica.
- Tambin se recomienda que se desarrolle un anlisis y evaluacin de riesgos asociados con el acceso a
la informacin de la entidad que tenga los terceros.
- Anexar los requisitos identificados de seguridad antes de dar a los clientes acceso a la informacin o a
los activos de la organizacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 007
FECHA DE LLENADO
DA
30
MES
Setiembre
Condicin:
La UCV Piura no cuenta con acuerdos de terceras partes que cubran todos los requisitos de seguridad
relevantes.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.11.- Los acuerdos con
terceras partes que implican el acceso, proceso, comunicacin o gestin de la informacin de la
organizacin o de las instalaciones de procesamiento de informacin o la adicin de productos o
servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes.
Causa(s):
- No contar con los conocimientos de seguridad de informacin necesarios.
- No contar con un Plan de Seguridad de Informacin.
Efecto(s):
- Daos lgicos: perdida de informacin, alteracin de la configuracin de equipos (switch, router,etc).
- Daos fsicos: prdidas materiales (servidores, switch, PCs, etc.).
Recomendaciones:
Se recomienda implementar bitcora de acceso a la sala de cmputo.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 008
FECHA DE LLENADO
DA
02
MES
Octubre
Condicin:
La UCV Piura no mantiene sus activos claramente identificados ni mantiene un inventario actualizado de
todos activos importantes.
Criterio:
NTP-ISO/IEC 17799: 7. GESTIN DE ACTIVOS, 7.1.- Todos los activos deben se claramente
identificados y se debe elaborar y mantener un inventario de todos los activos importantes.
Causa(s):
- No contar con el tiempo para el desarrollo del mismo.
- No contar con el suficiente personal para el desarrollo del mismo.
Efecto(s):
- Desconocimiento de los activos que se posee.
- Prdidas o robos de activos.
Recomendaciones:
- Se recomienda que se elabore y mantenga actualizado un inventario de activos de informacin.
- Se recomienda que una vez implementado el inventario de activos de informacin se debe identificar
formalmente a los propietarios de los mismos.
- Se recomienda identificar, revisar y actualizar las reglas asociadas al acceso a los activos de
informacin.
- Una vez identificada las reglas asociadas al acceso a los activos, se recomienda que se establezca
niveles de clasificacin en el acceso a la informacin.
- Establecidos los niveles, definir procedimientos adecuados para marcar y tratar la informacin de
acuerdo al esquema de clasificacin adoptado por la UCV-Piura.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 009
FECHA DE LLENADO
DA
06
MES
Octubre
Condicin:
La UCV Piura no cuenta con las funciones y responsabilidades de los empleados, contratistas y terceros
definidas y documentadas en concordancia con la poltica de seguridad de la organizacin.
Criterio:
NTP-ISO/IEC
17799:
8.
SEGURIDAD
EN
RECURSOS
HUMANOS,
8.1.-
Las
funciones
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 010
MES
Noviembre
AO
2009
DA
06
MES
Octubre
AO
2009
Condicin:
La UCV Piura no proporciona entrenamiento a los empleados, contratistas y usuarios en polticas y
procedimientos organizacionales.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.5.- Todos los empleados de la
organizacin y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento
apropiado del conocimiento y actualizaciones regulares en polticas y procedimientos organizacionales
como sean relevantes para la funcin de su trabajo.
Causa(s):
No contar con la Poltica de seguridad y procedimientos organizacionales.
Efecto(s):
- No saber que procedimientos adecuados seguir ante una emergencia.
- Daos fsicos y lgicos en los sistemas de informacin.
Recomendaciones:
Se recomienda la elaboracin de un plan anual de capacitacin de seguridad de la informacin el cual
contemplara el desarrollo de cursos y charlas de seguridad de la informacin dirigidas tanto al personal
como a los contratistas de la entidad.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 011
FECHA DE LLENADO
DA
07
MES
Octubre
MES
Noviembre
AO
2009
DETALLE
Condicin:
La UCV Piura carece de un proceso formal disciplinario para empleados que han cometido un apertura
en la seguridad.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.6.- Debe existir un proceso formal
disciplinario para empleados que han cometido un apertura en la seguridad.
Causa(s):
- No contar con una Poltica de seguridad.
- Inadecuado control y/o administracin de los permisos, privilegios de usuarios y accesos.
Efecto(s):
- Daos fsicos y lgicos hacia los equipos de T.I.
- Se siga cometiendo la mismo atentado.
Recomendaciones:
Se recomienda elaborar y formalizar un proceso disciplinario para empleados que cometan alguna
apertura en la seguridad.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 012
FECHA DE LLENADO
DA
08
MES
Octubre
MES
Noviembre
AO
2009
Condicin:
La UCV Piura no cuenta con un procedimiento formal para las responsabilidades, para realizar la
finalizacin de un empleo o el cambio de este que estn claramente definidas y asignadas.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.7.- Las responsabilidades para
realizar la finalizacin de un empleo o el cambio de este deben ser claramente definidas y asignadas.
Causa(s):
No contar con una Poltica de seguridad.
Efecto(s):
Inadecuada administracin de las cuentas de usuario.
Recomendaciones:
Se recomienda implementar procedimientos formales para realizar la finalizacin de un empleo o el
cambio de este.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 013
FECHA DE LLENADO
DA
09
MES
Octubre
Condicin:
La UCV Piura no cuenta con controles sofisticados para el acceso al permetro de seguridad.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.1.- Los permetros de seguridad (como
paredes, tarjetas de control de entrada a puertas o un puesto manual de recepcin) deben ser usados
para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Causa(s):
Falta de presupuesto.
Efecto(s):
- Falta de control en el acceso y salida al permetro de seguridad.
- Intrusin de personas ajenas al permetro de seguridad.
- Prdidas materiales, robo.
Recomendaciones:
- Se recomienda implementar controles ms sofisticados como: los biomtricos, con la finalidad de mejorar
la seguridad en el acceso al permetro de seguridad.
- Una vez implementado los controles, se recomienda implementar procedimientos para la asignacin del
acceso fsico a las oficinas, despachos y recursos de la entidad.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 014
FECHA DE LLENADO
DA
09
MES
Octubre
Condicin:
La UCV Piura no cuenta con equipos contra fallos de energa u otras anomalas elctricas.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.8.- Se deberan proteger los equipos
contra fallos de energa u otras anomalas elctricas en los equipos de apoyo.
Causa(s):
-
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 015
FECHA DE LLENADO
DA
10
MES
Octubre
Condicin:
La OTI no cuenta con un plan o cronograma de mantenimiento preventivo para los equipos.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.10.- Los equipos deberan mantenerse
adecuadamente para asegurar su continua disponibilidad e integridad.
Causa(s):
- No contar con un Plan de Continuidad del Negocio.
- No contar con el suficiente personal capacitado para dar mantenimiento.
- Falta de tiempo.
Efecto(s):
- Daos fsicos y lgicos irreparables a los equipos de T.I.
- Deterioro de los equipos, tiempo de vida mejor.
Recomendaciones:
Se recomienda implementar y ejecutar un plan o cronograma de mantenimiento preventivo para los
equipos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 016
FECHA DE LLENADO
DA
11
MES
Octubre
Condicin:
No se brinda seguridad a los equipos que se encuentran fuera de los locales de la organizacin tomando
en cuenta los diversos riesgos a los que se est expuesto.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.11.- Se debe aplicar seguridad a los
equipos que se encuentran fuera de los locales de la organizacin tomando en cuenta los diversos
riesgos a los que se est expuesto.
Causa(s):
No contar con un Plan de Seguridad.
Efecto(s):
- Prdidas o robo de los equipos.
- Daos fsicos y lgicos de los equipos.
- Perdida de Informacin.
Recomendaciones:
Se recomienda implementar medidas de seguridad para los equipos que se encuentra fuera de los
locales de la organizacin, que garanticen la confidencialidad de la informacin adems de la
recuperacin inmediata del hardware.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 017
FECHA DE LLENADO
DA
12
MES
Octubre
Condicin:
En la UCV Piura no se revisan los dispositivos de almacenamiento, con el fin de asegurar que cualquier
dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la
eliminacin.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.12.- Todos los elementos del equipo que
contengan dispositivos de almacenamiento deben ser revisados con el fin de asegurar que cualquier
dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la
eliminacin.
Causa(s):
No contar con un Plan de Seguridad.
Efecto(s):
Perdida de informacin.
Recomendaciones:
Se recomienda revisar los dispositivos de almacenamiento antes de su eliminacin, as como
implementar formalmente procedimiento para el caso de remover o sobrescribir la informacin que
almacenaba antes de su eliminacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 018
FECHA DE LLENADO
DA
12
MES
Octubre
Condicin:
En la UCV Piura los equipos, informacin o software son extrados del local sin autorizacin.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.13.- El equipo, informacin o software no
deben ser sacado fuera del local sin autorizacin.
Causa(s):
- No contar con un Plan de Seguridad.
- No contar con un control de seguridad adecuado, en el acceso y salida del personal.
- No formalizar los acuerdos de confidencialidad y seguridad.
Efecto(s):
- Deterioro de los equipos ms rpidos.
- Perdida de equipos y materiales.
- Desgaste de materiales.
Recomendaciones:
Se recomienda no sacar equipos, software o informacin fuera del local sin autorizacin, as como
implementar procedimiento formal para este tipo de situaciones.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 019
FECHA DE LLENADO
DA
13
MES
Octubre
Condicin:
La UCV Piura carece de los documentos de procedimientos de operacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.1.- Se deberan
documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios
que lo requieran.
Causa(s):
- No contar con un Plan de Seguridad.
- No contar con un Plan de continuidad del Negocio.
Efecto(s):
- Inadecuada utilizacin de los equipos de T.I.
- Deterioro ms rpido de los equipos de T.I.
Recomendaciones:
Se recomienda documentar y mantener los procedimientos de operacin y ponerlos a disposicin de
todos los usuarios que lo requieran, a travs de email, intranet o documentos impresos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 020
FECHA DE LLENADO
DA
13
MES
Octubre
Condicin:
No se controla formalmente los cambios en los sistemas y recursos de tratamiento de informacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.2.- Se deberan
controlar los cambios en los sistemas y recursos de tratamiento de informacin.
Causa(s):
- No contar con un Plan de Seguridad.
- No contar con planes y controles adecuados de mantenimiento a los sistemas y recursos de tratamiento
de informacin.
Efecto(s):
- Deterioro de los recursos de tratamiento de informacin.
- Daos lgicos a los sistemas.
Recomendaciones:
Implementar y mantener actualizado controles que permitan registrar los cambios en los sistemas y
recursos de tratamiento de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 021
FECHA DE LLENADO
DA
13
MES
Octubre
Condicin:
En la UCV Piura no se segregan las tareas y las reas de responsabilidad con el fin de reducir las
oportunidades de una modificacin no autorizada o no intencional, o el de un mal uso de los activos de la
organizacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.3.- Se deberan
segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una
modificacin no autorizada o no intencional, o el de un mal uso de los activos de la organizacin.
Causa(s):
No existe un adecuado anlisis para segregacin de funciones y reas de responsabilidad.
Desconocimiento de las funciones que debe desarrollar el personal.
Efecto(s):
-
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 022
MES
Noviembre
AO
2009
DA
13
MES
Octubre
AO
2009
Condicin:
La OTI no cuenta con una estructura de organizacin interna adecuada, no se encuentra bien definidas
las funciones del personal.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.4.- La separacin de
los recursos para desarrollo, prueba y produccin es importante para reducir los riesgos de un acceso no
autorizado o de cambios al sistema operacional.
Causa(s):
MOF no est bien estructurado y no es especfico en las con las funciones de las reas.
Efecto(s):
- No halla un buen desempeo del rea.
- Los trabajadores no tengan bien en claro cules son sus funciones.
- Conflictos internos entre colegas por las funciones y cargos.
Recomendaciones:
Reestructurar la organizacin interna de la OTI de tal manera que se definan claramente las reas de
desarrollo, soporte, control de calidad y produccin; teniendo en cuenta que los puestos crticos de:
administracin de red, administracin de base de datos, y programacin de sistemas deben de estar
separados.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 023
FECHA DE LLENADO
DA
14
MES
Octubre
MES
Noviembre
AO
2009
Condicin:
En la UCV Piura no se monitorean ni proyectan capacidades de los equipos de cmputo.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.8.- El uso de
recursos debe ser monitoreado y las proyecciones hechas de requisitos de capacidades adecuadas
futuras para asegurar el sistema de funcionamiento requerido.
Causa(s):
- No contar con el suficiente presupuesto.
- La carencia de la importancia de la tecnologa por parte de la gerencia.
Efecto(s):
- Retrasos en los procesos de informacin.
- Tecnologa descontinuada.
- La tecnologa no soporta los procesos y su tiempo de utilizacin se hace ms corto por el crecimiento de
la Universidad.
Recomendaciones:
Se recomienda un monitoreo y proyeccin de capacidades de los equipos de computo.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 024
FECHA DE LLENADO
DA
14
MES
Octubre
Condicin:
La UCV Piura no cuenta con controles para detectar el software malicioso y prevenirse contra l.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.10.- Se deberan
implantar controles para detectar el software malicioso y prevenirse contra l, junto a procedimientos
adecuados para concientizar a los usuarios.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Intrusin o instalacin de software malicioso.
- Daos fsicos y lgicos a los equipos.
- Robo de informacin, saturacin de procesos, errores en los sistemas.
Recomendaciones:
Se recomienda implantar controles para prevenir y detectar la presencia de software malicioso.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 025
FECHA DE LLENADO
DA
14
MES
Octubre
Condicin:
No se realizan copias de manera formal y continua de la informacin esencial del negocio.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.12.- Se deberan
hacer regularmente copias de seguridad de toda la informacin esencial del negocio y del software, en
concordancia con la poltica acordada de recuperacin.
Causa(s):
- No contar con un Plan de seguridad.
- No contar con Un Plan de continuidad.
- No lo realizan porque no lo quieren hacer.
Efecto(s):
- Si se daan los datos de los servidores, no hay copias (backups) actualizas de los mismos.
- Perdida de informacin vital para la empresa, irrecuperable.
Recomendaciones:
Realizar copias de seguridad de toda la informacin esencial del negocio, de acuerdo al procedimiento
que se formalice e implemente para la generacin de respaldos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 026
FECHA DE LLENADO
DA
15
MES
Octubre
MES
Noviembre
AO
2009
DETALLE
Condicin:
En la UCV Piura las redes no son manejadas y controladas adecuadamente.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.13.- Las redes
deben ser manejadas y controladas adecuadamente para protegerse de amenazas y para mantener la
seguridad en los sistemas y aplicaciones usando las redes, incluyendo informacin en trnsito.
Causa(s):
- No contar con la tecnologa adecuada.
- No contar con el suficiente presupuesto para comprar de equipos mas apropiados.
Efecto(s):
- Presentarse amenazas en los equipos de la UCV.
- Sistemas vulnerables.
- Perdida de informacin.
Recomendaciones:
Implementar aspectos como:
- Creacin de puesto organizacional en la OTI de Administrador de red.
- Administracin de red por consola.
- Acceso al Centro de Cmputo de slo personal autorizado.
- Contar con herramientas informticas que permitan verificar el uso de la red.
- Coordinar con las empresas de los equipos y servicios de comunicaciones a fin de que el personal del
rea sea capacitado.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 027
FECHA DE LLENADO
DA
17
MES
Octubre
MES
Noviembre
AO
2009
Condicin:
En la UCV Piura no hay procedimientos para la gestin de los medios informticos removibles.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.15.- Debera haber
procedimientos para la gestin de los medios informticos removibles.
Causa(s):
- No contar con un Plan de seguridad.
- No contar con un procedimiento para la gestin de medios informticos.
Efecto(s):
- Perdida de medios.
- Confusin de medios.
- Cambios de medios.
Recomendaciones:
Se recomienda desarrollar e implementar procedimientos para la gestin de los medios informticos
removibles.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 028
FECHA DE LLENADO
DA
21
MES
Octubre
Condicin:
En la UCV Piura no existen procedimientos formales para eliminar los medios de forma segura y sin
peligro cuando no se necesiten ms.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.16.- Se deberan
eliminar los medios de forma segura y sin peligro cuando no se necesiten ms, utilizando procedimientos
formales.
Causa(s):
No cuenta Plan de seguridad.
Efecto(s):
Que la informacin contenida en esos medios sea utilizada por otros despus de que haya sido
eliminada.
Recomendacin:
Implementar un procedimiento que garantice la adecuada y segura eliminacin de medios de
almacenamiento
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 029
FECHA DE LLENADO
DA
22
MES
Octubre
Condicin:
En la UCV Piura no hay procedimientos formales para la manipulacin y almacenamiento de la
informacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.17.- Los
procedimientos para la manipulacin y almacenamiento de la informacin deben ser establecidos para
proteger esta informacin de divulgaciones o usos no autorizados.
Causa(s):
No cuenta con un Plan de Seguridad.
Efecto(s):
- Perdida de informacin.
- Dao de informacin.
- Fuga de informacin.
Recomendaciones:
Establecer procedimientos para la manipulacin y almacenamiento de la informacin, que entre sus
objetivos figure la proteccin de la informacin frente a divulgaciones o usos no autorizados.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 030
FECHA DE LLENADO
DA
23
MES
Octubre
Condicin:
La UCV Piura con cuenta con la documentacin de todos sus sistemas.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.18.- La
documentacin de sistemas debe ser protegida contra acceso no autorizado.
Causa(s):
No cuenta con una metodologa de desarrollo.
Efecto(s):
- Errores de programacin.
- Fallas en los sistemas.
- Retraso para encontrar una falla en los sistemas.
Recomendaciones:
Generar, actualizar y resguardar la documentacin de los sistemas.
Implementar mecanismos o controles para la proteccin de la documentacin de los sistemas.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 031
FECHA DE LLENADO
DA
24
MES
Octubre
Condicin:
La UCV Piura no cuenta con polticas, procedimientos y controles formales de intercambio con el fin de
proteger la informacin a travs de todos los tipos de instalaciones de comunicacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.19.- Se deberan
establecer polticas, procedimientos y controles formales de intercambio con el fin de proteger la
informacin a travs de todos los tipos de instalaciones de comunicacin.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Fuga de informacin.
- Perdida de informacin.
Recomendaciones:
Establecer polticas, procedimientos y controles formales para el intercambio de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 032
MES
Noviembre
AO
2009
DA
25
MES
Octubre
AO
2009
Condicin:
La UCV Piura con cuenta con acuerdos formales para el intercambio de informacin y software entre la
organizacin y terceros.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.20.- Los acuerdos
deben ser establecidos para el intercambio de informacin y software entre la organizacin y terceros.
Causa(s):
No contar con una Poltica de seguridad.
Efecto(s):
- Divulgacin de informacin.
- Piratera de software.
Recomendaciones:
Establecer acuerdos de confidencialidad para el intercambio de informacin y software entre la
organizacin y terceros.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 033
FECHA DE LLENADO
DA
25
MES
Octubre
Condicin:
En la UCV Piura no son protegidos los contenedores de informacin contra acceso no autorizado, mal
uso o corrupcin durante el transporte fuera de los lmites fsicos de la organizacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.21.- Los medios
contenedores de informacin deben ser protegidos contra acceso no autorizado, mal uso o corrupcin
durante el transporte fuera de los lmites fsicos de la organizacin.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Perdida de informacin.
- Perdida o robo de los contenedores s de informacin.
Recomendaciones:
Proteger los medios contenedores de informacin contra actividades que atenten contra la
confidencialidad, integridad y disponibilidad de la informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 034
FECHA DE LLENADO
DA
25
MES
Octubre
Condicin:
La UCV Piura no cuenta con polticas y procedimientos con el fin de proteger la informacin asociada
con la interconexin de sistemas de informacin de negocios.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.23.- Se deberan
desarrollar e implementar polticas y procedimientos con el fin de proteger la informacin asociada con la
interconexin de sistemas de informacin de negocios.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Fuga de informacin.
- Intrusin de virus, etc.
Recomendaciones:
Desarrollar e implementar polticas y procedimientos con el fin de proteger la informacin asociada con la
interconexin de sistemas de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 035
MES
Noviembre
AO
2009
FECHA DE LLENADO
DA
26
MES
Octubre
Condicin:
En la UCV Piura no se protege la informacin implicada en las transacciones en lnea debe ser protegida
para prevenir la transmisin incompleta
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.25.- La informacin
implicada en las transacciones en lnea debe ser protegida para prevenir la transmisin incompleta, ruta
equivocada, alteracin no autorizada de mensajes, acceso no autorizado, duplicado no autorizado del
mensaje o reproduccin.
Causa(s):
- No contar con grupo electrgeno para los equipos que procesa la informacin de las transacciones.
- No contar con equipos de apoyo, si los equipos de transmisin de las transacciones caen.
Efecto(s):
-
Perdida de informacin.
Instrucciones de los procesos.
Usuarios insatisfechos.
Clientes insatisfechos.
Prdidas econmicas.
Recomendaciones:
Implementar mecanismos que protejan la informacin de tal manera que la transmisin de esta se
desarrolle de manera completa evitando su manipulacin por acceso no autorizado.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 036
FECHA DE LLENADO
DA
26
MES
Octubre
Condicin:
En la UCV Piura no se registran ni almacenan las actividades de los usuarios, excepciones y eventos de
la seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.27.- Los registros de
auditora grabados de las actividades de los usuarios, excepciones y eventos de la seguridad de
informacin deben ser producidos y guardados para un periodo acordado con el fin de que asistan en
investigaciones futuras y en el monitoreo de los controles de acceso.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- No tener un control y registro de las actividades desempeadas por los usuarios.
- No saber que hacen durante su hora de trabajo.
Recomendaciones:
Implementar registros de auditora tanto en la administracin de la red y los sistemas de informacin de
la UCV-Piura.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 037
FECHA DE LLENADO
DA
26
MES
Octubre
Condicin:
En la UCV Piura no se cuenta con un procedimiento para el uso del monitoreo de la instalacin de
procesamiento de informacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.28.- Los
procedimientos para el uso del monitoreo de la instalacin de procesamiento de informacin deben ser
establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.
Causa(s):
- Carencia de conocimientos en seguridad de T.I.
- Carencia de tiempo y personal para la elaboracin de los mismos.
Efecto(s):
Inadecuada manipulacin de los equipos de T.I.
Recomendaciones:
Establecer procedimientos formales de monitoreo para la instalacin de procesamiento de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 038
MES
Noviembre
AO
2009
FECHA DE LLENADO
DA
27
MES
Octubre
Condicin:
En la UCV Piura no se registran las actividades del administrador y los operadores de los sistemas.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.30.- Las actividades
del administrador y de los operadores del sistema deben ser registradas.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Manipulacin de informacin no autorizada.
- Ingresos a sistemas sin autorizaciones o permisos.
Recomendaciones:
Establecer una bitcora de las actividades del administrador y de los operadores del sistema.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 039
FECHA DE LLENADO
DA
27
MES
Octubre
Condicin:
En la UCV Piura las averas de redes no son registradas y analizadas formalmente.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.31.- Las averas
deben ser registradas, analizadas y se debe tomar acciones apropiadas.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
-
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 040
FECHA DE LLENADO
DA
27
MES
Octubre
Condicin:
En la UCV Piura no se encuentran sincronizados todos los relojes de los sistemas de procesamiento de
informacin
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.32.- Los relojes de
todos los sistemas de procesamiento de informacin dentro de la organizacin o en el dominio de
seguridad deben ser sincronizados con una fuente acordada y exacta de tiempo.
Causa(s):
No hay sincronizacin de los sistemas.
Efecto(s):
- No hay control u hora exacta a de ingreso o salida.
- Malestar de los docentes y trabajadores.
Recomendaciones:
Sincronizar todos los relojes de los sistemas de procesamiento de informacin dentro de la organizacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 041
FECHA DE LLENADO
DA
28
MES
Octubre
Condicin:
La UCV Piura no cuenta con una poltica de control de acceso.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.1.- Una poltica de control de acceso debe ser
establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del
negocio.
Causa(s):
No cuenta una Poltica de seguridad.
Efecto(s):
Acceso a personas ajenas.
Recomendaciones:
Establecer, documentar y actualizar la poltica de control de acceso.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 042
FECHA DE LLENADO
DA
02
MES
Noviembre
Condicin:
En la UCV Piura carece formalmente un procedimiento de registro de altas y bajas de usuarios para
garantizar el acceso a los sistemas y servicios de informacin multiusuario.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.2.- Se debera formalizar un procedimiento de
registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin
multiusuario.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
Suplantacin de usuarios.
Recomendaciones:
Desarrollar e implementar un procedimiento formal de registro de altas y bajas de usuarios.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 043
FECHA DE LLENADO
DA
02
MES
Noviembre
Condicin:
La gerencia no revisa los derechos de acceso de los usuarios.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.6.- La gerencia debera establecer un proceso
formal de revisin peridica de los derechos de acceso de los usuarios.
Causa(s):
Carencia de conocimientos tecnolgicos por parte de la gerencia.
Efecto(s):
Que la gerencia no sepa quines tienen permisos y accesos a diferentes programas o paginas y si las
usan si es debido.
Recomendaciones:
Establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 044
MES
Noviembre
AO
2009
FECHA DE LLENADO
DA
02
MES
Noviembre
Condicin:
Los usuarios de la UCV Piura no siguen buenas prcticas de seguridad para la seleccin y uso de sus
contraseas.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.7.- Los usuarios deberan seguir buenas prcticas
de seguridad para la seleccin y uso de sus contraseas.
Causa(s):
Carencia cocimientos y capacitaciones de la importancia de la seguridad tecnolgica.
Efecto(s):
- Fuga de informacin.
- Inseguridad para la red.
- Suplantacin de identidad del usuario.
Recomendaciones:
Instruir o capacitar a los usuarios en buenas prcticas de seguridad para la seleccin y uso de sus
contraseas.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 045
MES
Noviembre
AO
2009
DA
02
MES
Noviembre
AO
2009
Condicin:
En la UCV Piura los usuarios no aseguran si los equipos informticos desatendidos estn debidamente
protegidos.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.8.- Los usuarios deberan asegurar que los
equipos informticos desatendidos estn debidamente protegidos.
Causa(s):
- Falta de concientizacin en los usuarios.
- Falta de capacitacin en seguridad informtica a los usuarios.
Efecto(s):
Deterioro rpido de los equipos.
Recomendaciones:
Capacitar a los usuarios en seguridad para la proteccin de los equipos informticos desatendidos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 046
FECHA DE LLENADO
DA
MES
MES
Noviembre
AO
2009
02
Noviembre
2009
Condicin:
En la UCV Piura no se adopta una poltica de escritorio limpio para papeles y medios removibles de
almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de
informacin.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.9.- Se debera adoptar una poltica de escritorio
limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia
para instalaciones de procesamiento de informacin.
Causa(s):
- Usuarios desordenados.
- Usuarios con carencia en conocimientos de tecnologas de informacin.
Efecto(s):
Desorden en el escritorio de trabajo y unidades.
Recomendaciones:
Desarrollar e implementar una poltica de escritorio limpio para papeles y medios removibles de
almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de
informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 047
FECHA DE LLENADO
DA
02
MES
Noviembre
MES
Noviembre
AO
2009
DETALLE
Condicin:
Los usuarios de la UCV Piura no cuentan con los accesos directos a los servicios para los que estn
autorizados de una forma especfica.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.10.- Los usuarios slo deberan tener acceso
directo a los servicios para los que estn autorizados de una forma especfica.
Causa(s):
Inadecuada administracin de las cuentas de usuario.
Efecto(s):
- Ingresos y utilizacin de otros programas que no estn autorizados.
- Manipulacin de informacin no autorizada.
Recomendaciones:
Establecer accesos directos de los servicios a los que el usuario slo debe tener acceso.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 048
FECHA DE LLENADO
DA
09
MES
Noviembre
MES
Noviembre
AO
2009
DETALLE
Condicin:
No se utilizan mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.11.- Se deben utilizar mtodos apropiados de
autentificacin para controlar el acceso de usuarios remotos.
Causa(s):
- Inadecuada administracin de las cuentas de usuario.
- No contar con un Plan de Seguridad.
Efecto(s):
Ingresos de usuarios a travs de la red a otras PC de la Universidad.
Recomendaciones:
Utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 049
FECHA DE LLENADO
DA
09
MES
Noviembre
MES
Noviembre
AO
2009
Condicin:
Las sesiones no se desactivan tras un periodo de inactividad.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.21.- Las sesiones se deberan desactivar tras un
periodo definido de inactividad.
Causa(s):
- Inadecuada administracin de las cuentas de usuario.
- No contar con un Plan de seguridad.
Efecto(s):
- Suplantacin de usuarios.
- Inseguridad de acceso.
Recomendaciones:
Establecer periodos de desactivacin para las cuentas de usuarios, dependiendo del estado del mismo,
vacaciones, fines de semana, por jornada laboral o porque ya no labora en la empresa.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 050
FECHA DE LLENADO
DA
10
MES
Noviembre
Condicin:
No se especifica los requisitos de control para los sistemas nuevos o mejoras a sistemas existentes.
Criterio:
NTP-ISO/IEC 17799: 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIN, 12.1.- Los enunciados de los requisitos de negocio para sistemas nuevos o mejoras a
sistemas existentes deberan especificar los requisitos de control.
Causa(s):
- No contar con Metodologa de desarrollo.
- No contar con un proceso apropiado para adquisicin de sistemas o hacer mejoras a los mismos.
Efecto(s):
- Seguridad inadecuada para los sistemas.
- No tener un control de la informacin o datos que salen o se ingresan a travs de los sistemas.
- No saber si es el mismo usuario que inicio sesin quien es el que est modificando los daos.
Recomendaciones:
Especificar los requisitos de control con los que debe contar los sistemas nuevos o mejoras a los
existentes. Para los sistemas nuevos o mejoras de los existentes se debe implementar formalmente con
metodologa de prueba, as como de un proceso de desarrollo adecuado documentndolo.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 051
MES
Noviembre
AO
2009
MES
Noviembre
AO
2009
Condicin:
Se debe validar los datos de salida de un sistema de aplicacin para garantizar que el proceso de la
informacin ha sido correcto y apropiado a las circunstancias.
Criterio:
NTP-ISO/IEC 17799: 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIN, 12.5.- Se deberan validar los datos de salida de un sistema de aplicacin para
garantizar que el proceso de la informacin ha sido correcto y apropiado a las circunstancias.
Causa(s):
- No contar con una metodologa de desarrollo
- No contar con un Plan de Seguridad.
Efecto(s):
-
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 052
FECHA DE LLENADO
DA
18
MES
Noviembre
Condicin:
En la UCV Piura no se controlan formalmente los cambios de los sistemas.
Criterio:
NTP-ISO/IEC 17799: 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIN, 12.11.- La implementacin de cambios debe ser controlada usando procedimientos
formales de cambio.
Causa(s):
- No contar con Plan de Mantenimiento.
- No contar con una Metodologa de desarrollo de sistemas.
Efecto(s):
No contar con un control formal y desatollado de cambios y actualizaciones de los sistemas.
Recomendaciones:
Desarrollar e implementar procedimientos formales para controlar en los sistemas.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 053
FECHA DE LLENADO
DA
19
MES
Noviembre
Condicin:
No se reportan formalmente los eventos de seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIN, 13.1.Los eventos en la seguridad de informacin deben ser reportados lo ms rpido posible a travs de una
gestin de canales apropiada.
Causa(s):
No contar con Plan de seguridad.
Efecto(s):
- Desconocimiento por parte de la gerencia de los eventos de seguridad de informacin acontecidos.
- Inadecuada toma de decisiones, para los eventos de seguridad de informacin.
Recomendaciones:
Desarrollar e implementar un procedimiento formal de reporte de eventos en la seguridad de informacin,
el cual debe ser establecido junto con una respuesta a incidencias, estableciendo las acciones a ser
tomadas en cuenta al recibir dicho reporte.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 054
FECHA DE LLENADO
DA
19
MES
Noviembre
Condicin:
En la UCV Piura los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de
informacin no anotan y reportan cualquier debilidad observada o sospechada en la seguridad de estos
formalmente.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIN 13.2.Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de informacin
deben anotar y reportar cualquier debilidad observada o sospechada en la seguridad de estos.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
No tener un control y no saber cules son las debilidades observadas o sospechosas que afectan a la
seguridad.
Recomendaciones:
Instruir y educar a los empleados, contratistas y terceros usuarios de los sistemas y servicios de
informacin deben anotar y reportar de manera formal documentada cualquier debilidad observada o
sospechada en la seguridad de estos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 055
MES
Noviembre
AO
2009
FECHA DE LLENADO
DA
20
MES
Noviembre
Condicin:
La gerencia no cuenta con responsabilidades y procedimientos para asegurar una rpida, efectiva y
ordenada respuesta a los incidentes en la seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIN 13.3.Las responsabilidades y procedimientos de la gerencia deben ser establecidas para asegurar una rpida,
efectiva y ordenada respuesta a los incidentes en la seguridad de informacin.
Causa(s):
- No contar con un Plan de Seguridad.
- La gerencia carece de conocimientos de seguridad de T.I.
Efecto(s):
- Inadecuado control de los procesos y monitorizacin de los servicios.
- Prdida de tiempo a momento de brindar una solucin, en algunos casos toma de decisiones
esquivadas.
Recomendaciones:
Establecer las responsabilidades y procedimientos que se deben seguir para maniobrar los eventos y
debilidades en la seguridad de informacin de una manera efectiva una vez que hayan sido reportados
los mismos, el cual debe ser desarrollado en respuesta al monitoreo, evaluacin y gestin general de los
incidentes en la seguridad de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 056
FECHA DE LLENADO
DA
20
MES
Noviembre
Condicin:
No se recolecta o se le hace seguimiento formal al proceso legal o civil cuando una persona haya
cometido un incidente de seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIN 13.5.Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente en la
seguridad de informacin, implique accin legal (civil o criminal), la evidencia debe ser recolectada,
retenida y presentada para estar conforme con las reglas para la colocacin de evidencia en la
jurisdiccin relevante.
Causa(s):
No contar con una Plan de seguridad.
Efecto(s):
- No saber cmo justificar su sancin, no se tiene pruebas.
- No saber que damos pudo o cometi.
Recomendaciones:
Desarrollar e implementar procedimientos internos, los cuales deben ser desarrollados y seguidos
cuando se recolecte y presente evidencia para propsitos disciplinarios maniobrados dentro de la
organizacin. El peso en la evidencia debe cumplir con cualquier requerimiento aplicable. Para lograr
peso en la evidencia, la calidad y lo completo de los controles usados para corregir y proteger
consistentemente la evidencia (como por ejemplo el proceso de control de evidencia) durante el periodo
en que la evidencia que se recupera se almacena y se procesa, debe estar demostrado por un fuerte
seguimiento de dicha evidencia.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 057
FECHA DE LLENADO
DA
20
MES
Noviembre
Condicin:
La UCV Piura no cuenta con un proceso de gestin para el desarrollo y el mantenimiento de la
continuidad del negocio.
Criterio:
NTP-ISO/IEC 17799: 14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO 14.1.- Se debera instalar en
toda la organizacin un proceso de gestin para el desarrollo y el mantenimiento de la continuidad del
negocio a travs de la organizacin que trate los requerimientos en la seguridad de informacin
necesarios para la continuidad del negocio.
Causa(s):
- No cuenta con Plan de Continuidad del Negocio.
- No cuenta con el suficiente personal capacitado.
Efecto(s):
- Discontinuidad de los procesos.
- Prdidas econmicas.
- Falla de equipos.
Recomendaciones:
- Desarrollar e implantar un Plan de Contingencia para asegurar que los procesos del negocio se pueden
restaurar en los plazos requeridos las operaciones esenciales.
- Una vez desarrollado e implementado el plan, se deben identificar y evaluar los procesos crticos, as
como analizar las consecuencias de los desastres, fallas de seguridad, perdidas de servicio y
disponibilidad del servicio.
- Desarrollar e implantar planes de mantenimiento y recuperacin para el negocio.
- Tambin que tener en cuenta que el esquema debe ser nico para cada plan de continuidad del negocio,
el plan tambin debe especificar claramente las condiciones para su activacin, as como las personas
responsables de ejecutar cada etapa del plan.
- Realizar simulacros de los planes de continuidad del negocio para asegurar que todos los miembros del
equipo de recuperacin y otro personal relevante estn prevenidos y sepan sus responsabilidades para
la continuidad del negocio y la seguridad de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
Conclusiones
DA
06
MES
Noviembre
AO
2009
Algunos usuarios que laboran en la empresa los cuales cuentan con una PC, manipulan o
tienen a cargo algn equipo de T.I., no cuentan con la capacitacin o no cuentan con los
conocimientos bsicos en la utilizacin del mismo.
No se cuenta con el suficiente personal para cubrir y cumplir todas las labores que tiene y debe
de desempear el OTI.
El personal de la OTI trabaja de forma eficaz, las fallas se dan debido a que no se les
proporciona los materiales adecuados y en vez de eso les abastece con materiales de baja
calidad. El tiempo tambin juega un papel muy importante, ya a que los trabajos le son exigidos
en plazos de tiempo muy cortos a lo que deberan ser.
ANEXO N 20
CONSTANCIA DE LA INSTITUCIN
ANEXO N 21
CONSTANCIA DE RECEPCIN DE LA SOLICITUD
DE DOCUMENTACIN