UNIVERSIDAD ANDINA DEL CUSCO FACULTAD DE INGENIERA PROGRAMA ACADMICO PROFESIONAL DE INGENIERA DE SISTEMASE

ASIGNATURA: AUDITORA, SEGURIDAD Y CONTROL DE SISTEMAS

IMPLEMENTACIN DE CONTROLES DE LA NORMA TCNICA PERUANA NTP-ISO/IEC 17799: 2007 CLAUSULA N 10 GETION DE COMUNICACIN Y OPERACIONES Integrantes:

Docente: Ing. Emilio Palomino Olivera

CUSCO, NOVIEMBRE 2013

INTRODUCCIN
La Norma Tcnica Peruana NTP-ISO/IEC 17799: 2007 EDI. Tecnologa de la informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, fue elaborada por el Comit Tcnico de Normalizacin de Codificacin en Intercambio de Datos (EDI) junto a otras instituciones que participaron en la elaboracin; para la Comisin de Reglamentos Tcnicos y Comerciales de INDECOPI en Enero del 2007, teniendo como antecedente la norma ISO/IEC 17799: 2005, el cual es un estndar internacional para la seguridad de la informacin. Dicha norma es de uso obligatorio para las instituciones del Estado y es recomendable y opcional para las instituciones privadas. En resumen esta norma es una gua para la implementacin de controles de seguridad de la informacin en las organizaciones, esto para una consecuente identificacin, evaluacin y tratamiento de los riesgos de seguridad de la informacin que puedan existir. Ya que se trata a la informacin, en sus diversas formas, como un activo importante que debido a diversos factores est expuesta a amenazas y vulnerabilidades, y por ello se debe salvaguardar su seguridad para asegurar la continuidad del negocio, minimizar los daos a la organizacin, mantener su competitividad, entre otros beneficios. Para conseguir dicha seguridad la norma sugiere la implantacin de un conjunto adecuado de controles, que si bien es cierto en esta norma es tomada de forma general, estos controles pueden ser ms especficos en cada organizacin. Estos controles pueden ser polticas, prcticas, estructuras organizativas y funciones de hardware o software. La estructura de este estndar consta de 11 clusulas de control de seguridad y un total de 39 categoras principales, nuestro equipo de trabajo tom como punto de trabajo la clusula que trata sobre Gestin de Comunicaciones y Operaciones. La Gestin de Comunicaciones y Operaciones asegura la operacin correcta y segura de los recursos de tratamiento de la informacin manteniendo su integridad y disponibilidad; protege la integridad del hardware, software, informacin, e infraestructura de apoyo, evita interrupciones de actividades. Llevar controles sobre este apartado es importante porque permite organizar de manera ptima las actividades y tareas que se llevan a cabo indicando los procedimientos, documentos de referencia, dependencias, personal interviniente, supervisiones, tiempos de duracin, frecuencia, recursos de software y de hardware.

CAPITULO I

1. IDENTIFICACIN DEL PROBLEMA 1.1. Descripcin del problema

Las instituciones pblicas en el transcurso del tiempo siguen sin contar con los Controles adecuados para la Gestin de la Seguridad de la Informacin, por lo que en general se debe implementar varios Controles de respaldo con la finalidad de responder a las dems normas ya que exige dentro de la contralora la institucin no llega a cumplirlas por temor a las exigencias. Las organizaciones y sus sistemas de informacin se enfrentan, cada vez ms, con riesgos e inseguridades procedentes de una amplia variedad de fuentes, incluyendo fraudes basados en informtica, espionaje, sabotaje, vandalismo, incendios o inundaciones. Ciertas fuentes de daos como virus informticos y ataques de intrusin o de negacin de servicios se estn volviendo cada vez ms comunes, ambiciosos y sofisticados. La mayora de las instituciones realizan sus operaciones y registros manualmente, lo que conlleva a realizar atenciones muy lentamente.

1.2. Objetivos
Implementar Controles Adecuados para la Gestin de la Seguridad de la Informacin. Minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades del negocio. Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Dirigir y dar soporte a la gestin de la informacin en concordancia con los requerimientos del negocio. Gestionar la seguridad de la informacin dentro de la organizacin. Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel de proteccin adecuado a los activos de la informacin. Evitar accesos no autorizados. Establecer responsabilidades y procedimientos para la gestin y operacin de todos los recursos de tratamiento de informacin. Implantar la segregacin de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia.

1.3. Alcances
Con esta clusula N 10 de la norma NTP-ISO-IEC-17799-2007 contara con las siguientes caractersticas: Procedimientos y responsabilidades de operacin Gestin de servicios externos Planificacin y aceptacin del sistema Proteccin contra software malicioso Gestin de respaldo y recuperacin Gestin de seguridad en redes Utilizacin de los medios de informacin Intercambio de informacin Servicios de correo electrnico Monitoreo

1.4. Metas
Diagrama de actividades. Diagrama de procesos. Formatos auditables. Automatizacin.

1.5. Limitaciones En el desarrollo del presente Proyecto, no se utiliz ningn tipo de bibliografa, por razones de que no existe ningn tipo de gua para el desarrollo de este Proyecto, por lo que todo el desarrollo es creacin propia de nuestros conocimientos.

1.6. Justificacin La necesidad de que la Informacin sea administrada de forma eficiente mediante Controles adecuados para la Gestin de la Seguridad de la Informacin, con la finalidad de que sea coherente, clara y accesible; y suministrada de forma regular y oportuna, con lleva a la necesidad de Implementar Controles que permita manejar los datos de manera rpida y eficiente. Con este Proyecto se pretende mejorar la seguridad de la informacin y agilizar el proceso de registros, facilitando y mejorando con la atencin a beneficio de los clientes.

1.7. Metodologa
Tipo de investigacin: Descriptiva y explicativa. Diseo de la investigacin: Experimental.

CAPITULO II
Procesos del Negocio

2. Identificacin de Controles La clusula N 10 de la NTP 12207 Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, realizara los siguientes controles: Procedimientos y responsabilidades de operacin Gestin de servicios externos Planificacin y aceptacin del sistema Proteccin contra software malicioso Gestin de respaldo y recuperacin Gestin de seguridad en redes Utilizacin de los medios de informacin Intercambio de informacin Servicios de correo electrnico Monitoreo

3. Descripcin y modelamiento de Controles 3.1. Procedimientos y responsabilidades de operacin OBJETIVO: Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. 3.1.1 Documentacin de procedimientos operativos

Actividad Control Responsable Supervisor Fecha Iniciacin

Documentacin de procedimientos operativos Se debern documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios que lo requieran. Ingrese Responsable y Cargo. Ingrese Supervisor. Seleccione Fecha. Duracin Firma Firma

Gua de Implementacin: Por cada actividad asociado con el procesamiento de informacin y recursos de comunicacin se deben considerar si existen: a) Procedimientos documentados que especifican las instrucciones necesarias para la ejecucin detallada de cada tarea, incluyendo el proceso y utilizacin correcta de la informacin. b) Proceso de Backup. c) Requisitos de planificacin, incluyendo las interdependencias con otros sistemas, con los tiempos de comienzo ms temprano y final ms tardo posibles de cada tarea. d) Instrucciones para manejar errores u otras condiciones excepcionales que puedan ocurrir durante la tarea de ejecucin, incluyendo restricciones en el uso de servicios del sistema. e) Contactos de apoyo en caso de dificultades inesperadas operacionales o tcnicas. f) Instrucciones especiales de utilizacin de resultados, como el uso de papel especial o la gestin de resultados confidenciales, incluyendo procedimientos de destruccin segura de resultados producidos como consecuencia de tareas fallidas. g) Reinicio del sistema y los procedimientos de recuperacin a utilizar en caso de fallo del sistema. h) Gestin de la informacin del rastro de auditoria y del registro de sistema.

Actividad a Realizar Referencia de Documento Dependencia Responsable Periodo

Ingrese el Nombre de la Actividad. Ingrese Documento(s) de Referencia. Ingrese la Dependencia. Ingrese Responsable(s). Fecha de iniciacin Fecha de culminacin Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Herramientas

Procesos

Intervinientes

Dependencia Interna

Plan de la planificacin

Reglamento para el manejo de errores

Condiciones en el uso de servicios

Personal de Apoyo

Solucin en caso de fallos

3.1.2 Gestin de Cambios

Actividad Control Responsable Supervisor

Gestin de Cambios Se debern controlar los cambios en los sistemas y recursos de tratamiento de informacin. Ingrese Responsable y Cargo. Ingrese Supervisor. Duracin Firma Firma

Fecha Seleccione Fecha. Iniciacin Gua de Implementacin:

Los sistemas operacionales y los software de aplicacin deben ser sujetos a un estricto control de la gestin de cambios. En particular se deben considerar los siguientes controles y medidas: a) La identificacin y registro de cambios significativos. b) Planeamiento y prueba de los cambios. c) Evaluacin de los posibles impactos, incluyendo impactos de seguridad de dichos cambios. d) Un procedimiento formal de aprobacin de los cambios propuestos. e) Comunicacin de los detalles de cambio a todas las personas que corresponda. f) Procedimientos que identifiquen las responsabilidades de abortar y recobrarse de los cambios sin xito y de acontecimientos imprevistos.

Nombre del Sistema Detalle de Cambio Dependencia Responsable Documentos de referencia Fecha de iniciacin Registro de procedimientos

Ingrese de Producto(s). Ingrese el Detalle de Cambio. Ingrese la Dependencia. Ingrese Responsable(s). Ingrese Documento(s) de Referencia. Fecha. Modificaciones Oportunidades Amenazas Herramientas Comunicar a:

N de pruebas Problemas Encontrados Sumilla

Fecha

Seleccione Fecha.

Hora:

Ingrese Hora

Resultado:

Ingrese Resultado.

Recomendacin

Responsable

3.1.3 Segregacin de Tareas

Actividad Control Responsable Supervisor

Segregacin de tareas Se deben segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una modificacin no autorizada o no intencional, o el de un mal uso de los activos de la organizacin. Ingrese Responsable y Cargo. Ingrese Supervisor. Duracin Firma Firma

Fecha Seleccione Fecha. Iniciacin Gua de Implementacin:

Se debe tener cuidado de que cualquier persona puede acceder, modificar o utilizar los activos sin autorizacin o sin ser detectado. Se debe considerar si existe: a) Segregacin de tareas. b) Monitorizacin de las actividades. c) Pistas de auditora. d) Supervisin de la gestin.

Nombre de la Tarea Referencia del Documento Responsable Supervisor Herramientas

Ingrese el Nombre de la Tarea. Ingrese Documento(s) de Referencia. Ingrese Supervisor. Ingrese Responsable(s). Pistas Auditables Firma Firma

Identificacin de Tipos de Usuario Grupo 1 Grupo 2 Grupo3 Grupo 4

Monitoreo por Grupos Fecha: Seleccione Fecha. Responsable: Ingrese Responsable(s). Supervisor: Ingrese Supervisor. Calificacin: Elija un elemento. Fecha: Seleccione Fecha. Responsable: Ingrese Responsable(s). Supervisor: Ingrese Supervisor. Fecha: Seleccione Fecha. Responsable: Ingrese Responsable(s). Supervisor: Ingrese Supervisor. Fecha: Seleccione Fecha. Responsable: Ingrese Responsable(s). Supervisor: Ingrese Supervisor.

Calificacin: Elija un elemento. Calificacin: Elija un elemento. Calificacin: Elija un elemento. Observaciones: Ingrese Observaciones: Ingrese

Observaciones: Ingrese Observaciones.

Observaciones.

Observaciones.

Observaciones: Ingrese Observaciones.

3.1.4 Separacin de los Recursos para Desarrollar y para produccin

Actividad Control Responsable Supervisor Fecha Inicio

Separacin de los recursos para desarrollo y para produccin La separacin de los recursos para desarrollo, prueba y produccin es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional. Ingrese Responsable y Cargo. Ingrese Supervisor. Seleccione Fecha. Duracin Firma Firma

Gua de Implementacin: Se debe identificar e implementar controles adecuados para el nivel de separacin entre los entornos de desarrollo, prueba y produccin que es necesario para evitar problemas operacionales. Se debe considerar lo siguiente: a) Las reglas de transferencia del software desde un estado de desarrollo al de produccin son definidos y documentados b) El software de desarrollo y el de produccin funcionan en procesadores diferentes, o en dominios o directorios distintos. c) Los compiladores, editores y otros servicios del sistema no son accesibles desde los sistemas de produccin, cuando no se necesiten. d) El entorno de prueba del sistema emula el entorno del sistema operacional lo ms cercano posible. e) Los usuarios utilizan diferentes perfiles de usuario para los sistemas operacionales y de prueba; y los mens exhiben mensajes de identificacin apropiados con el fin de reducir el riesgo por error. f) Los datos sensibles no son copiados en el entorno del sistema de prueba.

Entorno de Desarrollo Recurso hardware Recurso software

Entorno de Prueba Recurso hardware Recurso software

Entorno de produccin Recurso hardware Recurso software

Grupos de Usuarios

Documento de Referencia por rea Desarrollo Pruebas Produccin