UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO

INFORME FINAL DEL ICPNA

BRAVO MEDINA, Cinthya Paola

Integrantes: CALDERON MANAYAY, Inocente
FLORES CRUZ, Alexander
SAMANIEGO NEYRA, Victor
VALIENTE ARCE, Rolando

Materia: Seguridad Informática

Ciclo: 2016 II

Seguridad Informática

º 1
1. INFORMACION GENERAL DE LA COMPAÑÍA.

Es una institución, ubicada en la calle Manuel María Izaga N° 807 de la ciudad de

Chiclayo, que tiene por objeto realizar con carácter exclusivo actividades educativas
correspondientes a la enseñanza del idioma inglés, en la modalidad presencial.

ICPNA – CHICLAYO, como centro cultural ofrece una diversidad de actividades

culturales para su personal, estudiantes y público en general. El programa general
incluye conciertos, exhibiciones de arte, conferencias y otras actividades para promover
la cultura e historia de los EE.UU. y del PERÚ, así como valores cívicos y democráticos.

1.1. Historia.

El Instituto Cultural Peruano Norteamericano de Chiclayo fue fundado en 1957 con el

objetivo de promover el intercambio cultural y académico entre los Estados Unidos y el
Perú, y de proveer al pueblo Peruano un mayor entendimiento y conocimiento de los
Estados Unidos y su pueblo. El ICPNA Chiclayo es una asociación civil sin fines de
lucro, registrado como Centro Cultural ante el Ministerio de Cultura, y reconocido como
Centro Binacional por el Departamento de Estado y la Embajada de los EEUU en Lima.
El departamento académico del ICPNA es un área bien organizada que mantiene un
programa efectivo de enseñanza de inglés al servicio de las comunidades de Chiclayo,
Chepén, Cajamarca y Jaén donde operan sedes de la institución. El número de alumnos
en las cuatro sedes es de aproximadamente 4000. La calidad de los servicios de
instrucción mejora continuamente año a año. Tiene el apoyo de una sólida
administración y está liderado por un equipo académico muy capacitado que le permite
lograr con creces sus metas y objetivos.

1.2. Razón social.

Instituto Cultural Peruano Norteamericano – Chiclayo

Seguridad Informática

º 2
 1.3. Giro del negocio.

Educación.

1.4. Ingresos anuales.

Aproximadamente S/. 6, 382,800.00

1.5. Sector.

Educación.

1.6. Organigrama.

Seguridad Informática

º 3
 1.7. Visión y misión.

 VISIÓN: Ser una institución innovadora y líder en la enseñanza del idioma Inglés
en el país, reconocida por la alta calidad de sus servicios educativos, culturales
e informativos, y por el impacto de sus programas de promoción de valores
cívicos y democráticos.
 MISIÓN: Fomentar el buen entendimiento entre los pueblos del Perú y los
Estados Unidos de América través de la enseñanza del Idioma Inglés, programas
culturales e informativos sobre ambas naciones, bibliotecas bilingües, servicio
de asesoría educacional para estudios y becas en los EEUU, y promoción de
valores cívicos y democráticos.

1.8. Objetivos estratégicos.

Como instituto promotor de la enseñanza del idioma inglés y la cultura estadounidense,

ha realizado convenios con la Embajada de los EEUU con la finalidad de brindar a
jóvenes de bajos recursos la posibilidad de estudiar inglés para que accedan a mejores
oportunidades como:
 Becas institucionales educativas.
 Programa de especialización avanzado.

1.9. Cantidad de sede.

CPNA-Chiclayo.
 CPNA – Chepén.
 ICPNA – Cajamarca.
 ICPNA – Jaén.

Seguridad Informática

º 4
2. INFORMACION GENERAL DEL AREA DE TI.

2.1. Organigrama.

Especificación de puestos de trabajo:

 Jefe del área de sistemas.

Administrar la Oficina de Informática de acuerdo a las Planes de trabajo y normas de la
Empresa, velando que el personal a su cargo cumpla sus responsabilidades brindando
Soporte técnico a todas las áreas de la empresa.

 Asistente de soporte técnico.

Gestiona y atiende los requerimientos de las diferentes áreas de la institución.

 Asistente de programación.
Desarrolla aplicaciones a medida para la institución.

2.2. Servicios de TI.

 Soporte Técnico.
 Desarrollo de Software a medida.
 Atención al usuario.

Seguridad Informática

º 5
 2.3. Proyectos relevantes de TI.

 Sistema de biblioteca elaborado en Visual Basic y SQL Server 2012 como

contenedor de base de datos.
 Sistema académico elaborado en Java y SQL Server 2012.

2.4. Sistemas informáticos de gestión.

Incluye procesos financieros, administrativos y logísticos.

2.5. Proveedores

Sap Business One 9.1

2.6. Plataformas a nivel organización.

 Motor de base de datos:

 SQL Server 2012.

Seguridad Informática

º 6
 Sistemas operativos:
 Windows 7
 Windows 8.1
 Windows 10
 Windows Server 2008

 Antivirus:
 Kaspersky Antivirus Security Center

 Servidores:
 Cuenta con tres Servidores IBM dentro del área de sistemas desorganizados.

2.7. Políticas y procedimientos.

 Contraseñas
 Mínimo 8 dígitos.
 No debe ser números correlativos.
 No debe ser su mismo nombre de usuario.
 Debe contener número y letras.

 Procedimientos de Backup.
 Se realizan los últimos días de cada mes hasta el 10 del siguiente mes
aproximadamente, realizándose en estos días backups diarios.
 Las copias son subidas al servidor web los días 11 y 30 de cada mes.
 Los directores de cada área tienen un disco duro interno donde se realizan las
copias de seguridad de su información.
 No están documentados

 Procedimientos de administración de cuentas de usuario.

 Las cuentas de usuarios son generadas de manera automática.
 Los alumnos solo pueden entrar a ver sus notas al sistema académico.
 Las cuentas de los alumnos no son dadas de baja en ningún momento.
 No están documentados.

Seguridad Informática

º 7
 2.8. Concientización de la seguridad.

 Con respecto al robo de información sería imposible ya que cuentan con una red
local.
 Los usuarios no están autorizados a instalar programas, así mismo el acceso a
páginas de redes sociales está restringido.
 Los únicos que tienen acceso a las redes sociales son los jefes de cada área.
 Existe correo institucional el cual tiene todo el personal y algunos profesores.

2.9. Gestión de riesgos.

 Informaron que no cuentan con un plan de Gestión de riesgos a nivel de software

ni de entorno físico. Solo se informó que en caso tengan un incidente grave por
perdida de información este no afectaría ya que cuentan con el repositorio de
datos diarios y los backups mensuales que se hacen en la institución.
 No existe concentración de poder en área de Ti.

2.10. Gestión de respuesta a incidentes.

 El proceso no está documentado, pero se brindó la información que el proceso

se lleva a cabo vía oral al Jefe del área de sistemas.

2.11. Plan de continuidad de negocio.

 Informaron que no cuentan con un plan de continuidad de negocio.

3. Diagnostico.
3.1. Situación actual.

El Instituto Cultural Peruano Norteamericano filial Chiclayo, es una empresa dedicada

a brindar enseñanza del idioma inglés, cuenta con una infraestructura no prevista para
conexiones de red cableada, por ende tienen implementada improvisadamente el área
de sistemas en el primer piso del edificio con conexiones de red primordialmente por
WIFI, problemas en manejo y administración de la seguridad informática e información,
partiendo desde la no documentación de los procesos hasta el cumplimiento y la
Seguridad Informática

º 8
concientización de los trabajadores, sumándose también la falta de atención y toma de
importancia que debería tener la seguridad del área de TI, por ultimo no cuentan con la
continuidad del negocio.

3.2. Definición del nivel de madurez.

ISO PUNTUACION
Gestión de Riesgos (ISO 27005: 2011) 0.67
Políticas de Seguridad de Información (ISO 5) 1.33
Organización de la Seguridad de la Información (ISO 6) 1.29
Seguridad de los Recursos Humanos (ISO 7) 1.60
Gestión de Activos (ISO 8) 2.00
Control de Acceso (ISO 9) 0.94
Criptografía (ISO 10) 0.00
Seguridad Física y Ambiental (ISO 11) 0.86
Operaciones de Seguridad (ISO 12) 1.35
Comunicaciones de Seguridad (ISO 13) 0.83
Sistemas de Adquisición, desarrollo y mantenimiento (ISO 14) 0.60
Relaciones con los proveedores (ISO 15) 0.83
Gestión de Incidentes de Seguridad de la Información (ISO 16) 1.00
Aspectos de Seguridad de Información de Gestión de Continuidad (ISO 17) 0.00
Cumplimiento (ISO 18) 0.38
PUNTUACION FINAL 0.95

Nivel Nombre Descripción

0 No existente Los procesos no existen.

1 Inicial / Ad-hoc Los procesos son ad-hoc y desorganizados.

2 Repetible Los procesos siguen un patrón regular.

3 Definido Los procesos son consistentes, documentados y

comunicados.

4 Administrado Los procesos son integrados, monitoreados y

medidos.

5 Optimizado Los procesos son monitoreados, medidos y

automatizados.

Seguridad Informática

º 9
4. Oportunidades de mejora.

Alternativa 01: Implementar cableado estructurado adecuándolo a las circunstancias de la

infraestructura del edificio.
Breve descripción:
Implementar cableado estructurado adecuándolo a la infraestructura del edificio ya que cuenta con
conexión wifi la cual genera variados problemas de conexión.
Costo total: S/. 104, 400. 00
Fortalezas Debilidades Recomendación
 Mayor seguridad en la  Vulnerabilidad de los  Cableado por el interior de
información. cables. la pared.
 Mejor tráfico de
datos.
 Compartir recursos en
red.
 Mayor eficiencia en
sus procesos.

Alternativa 02: Ubicación estratégica del área de Sistemas.

Breve descripción:
Reubicar el área de sistemas en el piso intermedio del edificio, con la finalidad de administrar mejor
los servicios que brinda, mitigando el riesgo de acceso de personal no autorizado.
Costo total: S/. 40, 500. 00
Fortalezas Debilidades Recomendación
 Área de sistemas  No disponer de un plan  Disponer de un área para
ubicada que evite imprevistos. reubicar el área de TI.
estratégicamente.

Seguridad Informática

º 10
Alternativa 03: Documentación de procesos y normas de seguridad de informática y de la
información.
Breve descripción:
Elaboración de un documento que recoja las normas y procedimientos para los procesos informáticos
y de la información.
Costo total: S/. 18 750. 00

Fortalezas Debilidades Recomendación

 Productividad en la  Documentar es una  Para garantizar que las
empresa. herramienta cosas se hagan de la misma
 Delimitar necesaria, aunque no manera en que están
responsabilidades, suficiente ya que documentadas, se debería
unificar criterios de algunos encargados utilizar controles para
trabajo, estandarizar les resulta más verificar si el personal
las tareas y las cómodo realizar a su realiza las tareas de
capacitaciones a modo las tareas y esto acuerdo a lo especificado
nuevos integrantes, lleva a que la en la documentación.
registrar estandarización de
modificaciones y/o tareas se vea
actualizaciones. desperdiciado.
Alternativa 04: Implementación de controles físicos y virtuales de la seguridad de la información.
Breve descripción: Concretizar equipos de seguimiento y control para preservar la seguridad
informática y de la información.
Costo total: S/. 30 000. 00

Fortalezas Debilidades Recomendaciones

 Aplicación de barreras  Unas debilidades que • La seguridad tanto física
físicas y presenta es la falta de como virtual serán menos o más
procedimientos de presupuesto para seguras, de acuerdo a las
control, como poder implementar actividades que desarrollen y al
medidas de los controles. tipo de activos de información que
prevención y  Informalidad de los gestionen.
contramedidas ante empleados de la
amenazas a los entidad.
recursos e
información
confidencial.
 Protección de
hardware y medios de
almacenamiento de
datos.
 Trabajar con la
sensación de
seguridad.

Seguridad Informática

º 11