Académique Documents
Professionnel Documents
Culture Documents
HUAMANGA
FACULTAD DE INGENIERA DE MINAS, GEOLOGA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS
UNSCH
AYACUCHO - PER
2017
INTRODUCCIN
En la actualidad, las empresas manejan la informacin referente a sus procesos de
negocio de forma fsica y digital. Dicha informacin, independiente de sus medio de
almacenamiento y transmisin, es un recurso vital para el xito y la continuidad del
servicio en cualquier organizacin, ya que de la depende la toma de decisiones y el
conocimiento interino de la empresa.
En el caso de la CEPRE-UNSCH la integracin de sistemas de revisin y calificacin
son necesarios adems de otros TI que le permitan un mejor manejo de sus procesos
y administracin de informacin y datos que son activos muy indispensables dentro de
la Universidad.
El gran potencial que posee una adecuada gestin de las tecnologas de informacin
permite y contribuye para el logro de objetivos muy grandes e importantes para
cualquier tipo de empresa pero por el contrario pueden sufrir consecuencias, que
pueden ir desde retrasos en los procesos hasta prdidas econmicas, y mejorar la
imagen institucional tanto del CEPRE y de la misma UNSCH.
Hoy en da una correcta y aplicada gestin del rea de informacin tecnolgica permite
no solo el aseguramiento y aprovechamiento de los diferentes recursos que la misma
posee sino tambin como por ejemplo controlar el acceso no apropiado y autorizado
de personas que estn hbiles de manipular intencionalmente o no datos e
informacin significativa de cualquier organizacin o empresa.
Los riesgos de seguridad de informacin deben ser considerados en el contexto del
negocio, y las interrelaciones con otras funciones del negocio, tales como recursos
humanos, desarrollo, produccin, operaciones, administracin , TI, finanzas, etc. y los
clientes deben ser identificados para lograr una imagen global y completa de estos
riesgos.
1.
2.
3. Tabla de contenido
INTRODUCCIN .......................................................................................................... 3
CAPITULO I.................................................................................................................. 6
1.2.4 MISIN.................................................................................................... 9
CAPITULO II............................................................................................................... 11
CAPITULO III.............................................................................................................. 20
2.8. 22
2.10. 23
CONCLUSIONES ....................................................................................................... 29
FINES:
Acrecentar y transmitir la cultura universal con sentido crtico y creativo.
- Formar integralmente al hombre, humanstica, cientfica y profesionalmente,
con excelencia acadmica, de acuerdo con las necesidades de la regin y del
pas.
- Buscar permanentemente la instauracin de una sociedad justa, que permita
promover, estimular, organizar y realizar investigaciones en los campos de las
humanidades, la ciencia y la tecnologa.
- Desarrollar la Universidad al servicio de la comunidad nacional, especialmente
de su zona de influencia.
- Desarrollar una poltica concordante con los avances de la ciencia y la
tecnologa, las demandas de la era del conocimiento cientfico y proyectar sus
acciones de formacin profesional competitiva, investigacin productiva,
cientfica y humanstica.
- Valorar, conservar, defender y desarrollar el patrimonio cultural e histrico de la
comunidad local, regional y nacional.
- Fomentar y desarrollar la prctica de los valores tico-morales y cvicos; as
como buscar y defender la integridad nacional, la responsabilidad y vocacin
de servicio a la comunidad; y contribuir a la bsqueda de la independencia
econmica, poltica, cultural y tecnolgica del pas.
1.2.4 VISIN
Ser la institucin emblemtica y acreditada a nivel Nacional en la preparacin de
calidad para el ingreso y continuacin exitosa de los estudios en las universidades del
pas, preferentemente en la Universidad Nacional de San Cristbal de Huamanga
1.2.5 MISIN
El Centro Preuniversitario tiene la misin de proporcionar una formacin
complementaria a la obtenida en la educacin secundaria, mediante una preparacin
de calidad a los estudiantes que aspiran ingresar y seguir con xito sus estudios en
una Escuela acadmico Profesional de la Universidad Nacional de San Cristbal de
Huamanga.
1.3. OBJETIVOS.
1.3.1 OBJETIVO GENERAL
1.2.6
1.2.7
1.2.8
1.2.9
1.4. ORGANIGRAMA DE LA INSTITUCIN
1.2.10
CAPITULO II
5. MARCO TERICO
2.1. RECONOCIENDO RIESGOS
Qu es considerado riesgo y cmo debe ser descrito, depende del contexto de
la organizacin que enfrenta ese riesgo, y de los prejuicios del individuo que lo
evala(National Technical Authority for Information Assurance, 2015).
Amenaza
Una amenaza describe la fuente de un riesgo que se est identificando. Las amenazas
a los sistemas y servicios incluyen personas que buscaran hacer dao al negocio a
travs de la tecnologa, y peligros como desastres ambientales y accidentes.
Algunas de las amenazas que una organizacin puede enfrentar estn fuera del
control de la organizacin; slo pueden utilizar el conocimiento de amenazas para
facilitar la priorizacin de riesgos (National Technical Authority for Information
Assurance, 2015).
Vulnerabilidad
La vulnerabilidad es una debilidad que puede ser explotada por una amenaza
provocandoun impacto. Un sistema o servicio podra verse comprometido por la
explotacin de las vulnerabilidades de las personas, lugares, procesos o
tecnologa (National Technical Authority for Information Assurance, 2015).
Metodologa
1.2.11
Esta investigacin, se desarroll en un marco de investigacin tecnolgica que
hizo uso del conocimiento cientfico y tecnolgico, para modificar el proceso
productivo de la CNEL EP Unidad de Negocio Esmeraldas.
Como parte del proceso ingenieril se procede a una adaptacin intencionada de
medios para alcanzar un fin preconcebido superador de una situacin inicial
dada, y esto constituye una parte esencial de la ingeniera (Dean,2002).
IMPACTO.
El efecto de una amenaza sobre la misin de la organizacin y los objetivos de
negocio.
VALOR DEL IMPACTO
Una medida cualitativa del impacto de u riesgo especifico para la organizacin (alta,
media o baja).
CRITERIOS DE EVALUACIN DEL IMPACTO
Un conjunto de medidas cualitativas contra el cual se evala el efecto de cada riesgo
en la misin de la organizacin y los objetivos de negocio. Criterios de evaluacin de
impacto definen rangos de impacto alto, medio y bajo para una organizacin.
ACTIVOS
Algo de valor para la empresa, activos de tecnologa de la informacin son la
combinacin de los activos fsicos y lgicos y se agrupan en clases especficas
(informacin, sistemas, servicios y aplicaciones, personas).
Categora de activos:
1. Informacin: documentado (en papel o electrnicos) de datos o la propiedad
intelectual utilizada para cumplir con la misin de una organizacin.
2. Sistemas: una combinacin de la informacin, el software y los activos de
hardware que procesan y almacenan informacin. Cualquier servidor, cliente o
servidor puede ser considerado un sistema.
3. Servicios y aplicaciones: aplicaciones y servicios de software (sistemas
operativos, aplicaciones de base datos.
4. Personas: las personas en una organizacin y que poseen habilidades nicas,
el conocimiento y la experiencia que son difciles de reemplazar.
PRACTICAS DE SEGURIDAD.
Acciones que ayudan a iniciar, implementar y mantener la seguridad dentro de una
empresa.
2.4. OCTAVE-S
Este mtodo creado en el 2005 surge debido a la necesidad de organizaciones
ms pequeas con aproximadamente 100 personas o menos. Se basa en el mtodo
OCTAVE,pero est adaptado a los limitados medios y restricciones nicas de
las pequeas organizaciones; OCTAVE-S utiliza un proceso simplificado y ms
hojas de trabajo diferentes, pero produce el mismo tipo de resultados, lo cual se
acomoda a las necesidades de la Unidad de Negocio Esmeraldas de CNEL.
Cada mtodo de OCTAVE-S es nico, ya que se adapta al entorno de riesgos
de la organizacin, sus objetivos de seguridad, la capacidad de recuperacin y
el nivel de habilidad del personal de la empresa. OCTAVE se centra en las
amenazas y riesgos de seguridad de informacin, pero mira ms all del nivel del
sistema ya que se enfoca en las personas y los procesos (Pez, 2013).
Ventajas
- Flexible: Cada mtodo se puede adaptar al entorno de riesgos que es nico
para su organizacin, los objetivos de seguridad y capacidad de
recuperacin y el nivel de habilidad (Pez, 2013).
- Los escenarios de los talleres abarcan una amplia gama de posibles
incidentes de seguridad, lo que ayuda a prever y planear distintas acciones
y medidas de seguridad en caso de que se presente alguna amenaza
(Pez, 2013).
Desventajas
- La metodologa fallar si las personas involucradas no tienen un amplio
conocimiento de los procesos operativos y de seguridad de la
organizacin.
- No permite modelar matemticamente el riesgo (no es de inters
de la Unidad de Negocio).
Implementacin
El enfoque inicial de OCTAVE es preparar para la evaluacin. De acuerdo al Volumen
2 de la gua de implementacin de OCTAVE hecha por CERT (2005), se
pueden consideran cuatro puntos como factores clave del xito:
1. Conseguir el patrocinio de la alta direccin (Administrador). Este es el
factor de xito por excelencia para las evaluaciones de riesgo de seguridad de
la informacin. Si los directivos no apoyan el proceso, el personal de apoyo
para la evaluacin se disipar rpidamente.
Se aconseja llevar a cabo una evaluacin limitada. Una evaluacin
limitada se centra en un rea de la organizacin (a menudo en un solo activo).
El equipo de anlisis realiza una evaluacin de alcance limitado y presenta los
resultados a los altos directivos. En el caso de CNEL, la evaluacin
inicial podra darse en el rea comercial o tecnolgica. Este enfoque permite a
los gerentes de alto nivel ver lo que los resultados de la evaluacin y pueden
ser una buena manera de conseguir que se interesen en la metodologa.
2. Seleccin del equipo de anlisis. El equipo de anlisis se encarga de
gestionar el proceso y anlisis de la informacin. Los miembros del equipo
necesitan tener suficientes habilidades y entrenamiento para conducir la
evaluacin y para saber cundo hay que aumentar sus conocimientos y
habilidades mediante la inclusin de personas adicionales para una o ms
actividades.
Se deben incluir entre tres y cinco personas que representen el
conocimiento del negocio, su misin, los procesos y visin de TI, que
tengan buena comunicacin y compromiso.
Entre sus actividades se incluyen:
Programar actividades OCTAVE-S
Conducir las actividades de evaluacin
Reunir, analizar y mantener datos de evaluacin durante el proceso.
Coordinar logsticas (1 persona)
Si el equipo de anlisis decide empezar sin formacin, hay algunas cosas que
se pueden hacer para facilitar el proceso de aprendizaje. En primer lugar,
todos los miembros del equipo deben pasar tiempo leyendo sobre OCTAVE-S
y discutirlo entre s. El equipo debera ejecutar un piloto mediante la
seleccin de un activo que los miembros del equipo consideren que es
fundamental para la organizacin. Una vez que se complete el anlisis del
activo, el equipo puede ampliar la evaluacin para otros activos crticos.
El lder a menudo rene el equipo de anlisis despus de obtener el
patrocinio de alto nivel de gestin para la evaluacin. El Jefe del
departamento de TI sera un buen candidato para ser el lder del proyecto
OCTAVE-S no es una evaluacin de vulnerabilidad tpica que se centra
exclusivamente en cuestiones tecnolgicas. Porque tambin se ocupa de los
negocios, OCTAVE-S es una evaluacin del riesgo operacional que es similar
al proceso de negocio o de gestin de las evaluaciones tradicionales. Es
til si alguien en el equipo de anlisis est familiarizado ha realizado
evaluaciones y toma de decisiones. Al menos un miembro del equipo de
anlisis debe tener cierta familiaridad con la infraestructura informtica de la
organizacin o debe ser el punto de contacto con los proveedores que
configuran y mantienen la infraestructura de computacin. La persona que
tiene familiaridad con la infraestructura tiene que entender los procesos
bsicos de seguridad de la informacin de la organizacin.
3. Ajuste del alcance apropiado del mtodo OCTAVE. La evaluacin debe incluir
importantes reas operativas, pero el alcance no puede ser demasiado grande. Si
es demasiado amplio, ser difcil para el equipo de anlisis analizar toda la
informacin. Si el alcance de la evaluacin es demasiado pequeo, los resultados
pueden no ser tan significativos como deberan ser .Se seleccionar las reas
operacionales que reflejen las funciones principales operativas o comerciales, as
como las funciones importantes de apoyo de la organizacin. Las reas operativas
seleccionadas para la evaluacin deben representar las ms crticas para el xito
de la organizacin o las que tienen el riesgo ms alto.
1.2.12
CAPITULO III
CONFIDENCIALIDAD
Los empleados mantienen en mucha reserva toda informacin que se maneje
dentro de esta, evitando la divulgacin de manejo de ciertos privilegios que se
dan a personales de alto cargo y la forma de administracin
INTEGRIDAD.
La Unidad de Informtica no cuenta con un adecuado mecanismo de integridad
ya que la informacin que se maneja podra ser manejada por cualquier
empleado perteneciente a esta unidad para su propio beneficio o de otros
personales.
DISPONIBILIDAD
La Unidad de Informtica, cuenta con un sistema automatizado para el
almacenamiento y administracin de informacin implementado por el
Ministerio de Economa, por ende, los personales administrativos cuentan con
dicha informacin actualizada en todo momento puesto que solo acceden en
un horario de trabajo.
2.11.
2.12. 2.5. ESTABLECER LOS CRITERIOS DE EVALUACIN DE
IMPACTO
Definimos los rangos potenciales de impacto (alto, medio, bajo) de las amenazas a los
activos de informacin, en las reas propuestas.
Confianza de los usuarios.
Seguridad de las personas
Inseguridad de los sistemas
Polticas y Regulaciones de
Seguridad
La Unidad cuenta con
procedimientos para proteger la
informacin cuando se trabaja con
Gestin de la seguridad departamentos externos como
Colaborativa Recursos Naturales, Desarrollo
Social, o proyecto PRIO,
Monitoreo y Auditora de
Seguridad de Tecnologas de
Informacin
El personal administrativo est
autorizado a realizar cambios en los
activos de informacin,
especialmente el rea de Redes y
Soporte, se tiene cuentas para los
usuarios tambin se hace
seguimientos de los registros y
documentos gracias al programa
Autenticacin y Autorizacin SIGANET quien facilita esta
actividad.
Gestin de Vulnerabilidades
Diseo y Arquitectura de
Seguridad
Gestin de incidentes
CONCLUSIONES
Como resultado de la auditora realizada al sistema SISCALI de la CEPRE-
UNSCH y a la estructura organizativa de la Institucin podemos manifestar que
hemos cumplido con evaluar cada uno de los objetivos.
Por lo tanto podemos concluir en los siguientes aspectos:
Se debe implementar polticas de seguridad pasiva. Hardware y
almacenamiento:
El sistema debera de estar ubicado en lugar estratgico que pued a ser
prevenido ante desastres naturales.
REFERENCIA BIBLIOGRFICA