Tesis para optar por el Ttulo de Ingeniero Informtico, que presenta el bachiller:
Dedicatoria
A ti mam, por ser mi ejemplo a seguir, por darme fuerzas cuando flaqueaba y por
guiarme con tu luz siempre por el camino correcto. Nunca estar lo suficiente
agradecido con Dios por haberme regalado una madre como t.
Nada de esto hubiera sido posible sin tu apoyo pap. Estuviste fsicamente lejos pero
gracias a tus consejos y aliento soy la persona que soy ahora. Estos son los frutos de
tu empuje y valenta al emprender la aventura que iniciaste hace ms de 10 aos atrs.
A Emily, por darme otra visin de las cosas y por apoyarme a que yo cumpla
exitosamente los retos de la vida.
Agradecimientos
Al Ing. Moiss Villena por su valioso apoyo y asesora en el desarrollo del presente
trabajo.
A la Sra. Rosa Mara Marisca por su valioso apoyo y disposicin para el desarrollo del
presente trabajo.
Al Ing. Manuel Tupia por ensearme que no todo en la carrera de Ingeniera
Informtica es programacin. Usted fue el que me inspir a seguir esta lnea de carrera
profesional.
ndice de Contenido
Captulo 1: Generalidades ......................................................................................................... 1
1.
Introduccin ...................................................................................................................... 1
2.
3.
4.
5.
6.
Alcance ..................................................................................................................... 4
6.2.
Limitaciones ............................................................................................................. 5
7.
7.1.
7.2.
8.
9.
Plan de proyecto.............................................................................................................. 9
9.1.
9.2.
10.
10.1.
10.1.1.
Activo ............................................................................................................... 11
10.1.1.1.
Control ............................................................................................................. 11
10.1.1.2.
Informacin ..................................................................................................... 12
10.1.1.3.
Confidencialidad ............................................................................................ 12
10.1.1.4.
Disponibilidad ................................................................................................. 12
10.1.1.5.
Integridad ........................................................................................................ 12
10.1.2.
10.1.2.1.
10.1.2.2.
10.1.3.
10.1.3.1.
Proyecto de SGSI.......................................................................................... 13
10.1.4.
Amenaza ......................................................................................................... 13
10.1.5.
Vulnerabilidad ................................................................................................ 13
10.1.6.
Riesgo ............................................................................................................. 13
10.1.6.1.
10.1.6.2.
10.1.6.3.
10.1.6.4.
10.1.6.5.
10.1.6.6.
10.1.7.
Poltica ............................................................................................................ 14
10.2.
10.3.
10.4.
10.5.
10.6.
COBIT 5 .............................................................................................................. 19
11.
11.1.
11.2.
11.3.
Discusin sobre los resultados de la revisin del estado del arte ..................... 26
12.
1.2.
1.2.1.
1.2.2.
1.2.3.
1.3.
1.3.1.
1.3.2.
1.4.
1.4.1.
1.4.2.
1.5.
2.
3.
2.
3.
4.
2.
Recomendaciones ........................................................................................................ 83
Bibliografa ................................................................................................................................. 85
ndice de Figuras
Figura 1. Modelo PDCA aplicado a un SGSI.................................................................. 6
Figura 2. EDT del proyecto ............................................................................................ 9
Figura 3. Diagrama de Gantt del proyecto ................................................................... 10
Figura 4. Modelo PDCA aplicado los procesos ISO/IEC 27001 ................................... 15
Figura 5. Secciones del ISO/IEC 27002....................................................................... 16
Figura 6. Fases del proyecto de SGSI ......................................................................... 17
Figura 7. Proceso de la gestin de riesgos de seguridad de informacin ..................... 19
Figura 8. Los cinco principios del marco COBIT 5 ....................................................... 21
Figura 9. Los siete habilitadores del marco COBIT 5 ................................................... 22
Figura 10. La cascada de objetivos de COBIT 5 .......................................................... 23
ndice de Tablas
Tabla 1. Inventario de activos ...................................................................................... 34
Tabla 2. Criterios de valorizacin de activos ............................................................... 39
Tabla 3. Valores segn nivel de criticidad ................................................................... 40
Tabla 4. Valorizacin de los activos ............................................................................ 41
Tabla 5. Matriz de calor .............................................................................................. 47
Tabla 6. Descripcin de los niveles de la Probabilidad de Afectacin ......................... 47
Tabla 7. Descripcin de los niveles de Impacto en el Negocio ..................................... 47
Tabla 8. Matriz de riesgos ........................................................................................... 48
Tabla 9. Plan de tratamiento de riesgos....................................................................... 56
Tabla 10. Polticas de seguridad ................................................................................. 57
Tabla 11. Controles para el tratamiento de riesgos ..................................................... 59
Tabla 12. Objetivos organizacionales de la entidad educativa segn COBIT 5 ............ 65
Tabla 13. Objetivos de TI de la entidad educativa segn los objetivos organizacionales
.................................................................................................................................... 66
Tabla 14. Procesos habilitadores de COBIT 5 segn los objetivos de TI de la entidad
educativa .................................................................................................................... 69
Tabla 15. Procesos habilitadores de COBIT 5 para la entidad educativa ..................... 70
Tabla 16. Declaracin de la Aplicabilidad .................................................................... 76
Captulo 1: Generalidades
1. Introduccin
En este captulo se analizar sobre el contexto actual en el que la seguridad de
informacin se encuentra, en conjunto con el objetivo general, objetivos especficos y
los resultados esperados que se tendran con la finalizacin del presente proyecto de
tesis. Asimismo, se determinara el alcance y las limitaciones que el SGSI tendr dentro
de la institucin educativa de nivel superior, en conjunto con la metodologa que se
seguir para el desarrollo de proyecto y de producto. Finalmente, se especificara la
razn por la que el diseo de un SGSI es la solucin frente a la problemtica actual y
se mostrar el plan del proyecto que se seguir durante el diseo del SGSI en el
instituto educativo, de tal manera de concluir con el presente tema de tesis durante los
plazos de tiempo establecidos.
Los puntos a tratar en este captulo sern:
Justificacin de un SGSI.
Estructura de descomposicin del trabajo de tesis y el plan del proyecto de
tesis.
Marco conceptual y estado del arte.
2. Definicin de la problemtica
Hoy en da vivimos en una sociedad donde uno de los principales activos de cualquier
organizacin o empresa es la informacin, no importando su tamao o giro del negocio.
Si ocurriera algn incidente relacionado a la integridad, disponibilidad o
confidencialidad a la informacin de cualquier empresa, podran generarse desventajas
competitivas importantes con respecto a otras empresas del mismo sector e incluso
podra dejarla expuesta a la quiebra.
En conjunto con el factor humano, la tecnologa permite gestionar y manejar la
informacin de las organizaciones. A medida que esta tecnologa vaya avanzando, de
la misma manera se deber alinear y sincronizar cada vez ms a los objetivos y
procesos de negocio como soporte para su respectivo cumplimiento. Actualmente, se
puede apreciar que las empresas han automatizado casi todos los procesos de
negocio mediante algn software o uso de tecnologa.
Como resultado del incremento de la dependencia de las organizaciones respecto a la
tecnologa para el manejo de su informacin y del incremento de interconectividad en
el ambiente comercial, la informacin cada vez est ms expuesta a una variedad ms
amplia y sofisticada de amenazas y vulnerabilidades. Estas amenazas pueden ser
internas, externas, premeditadas, accidentales, etc. En la mayora de los casos
mencionados, se generan diversas prdidas dentro de la organizacin, siendo las
reputacionales las ms difciles de contrarrestar.
Por tanto, deberan aplicarse marcos y polticas de control implementadas dentro de
una organizacin para minimizar los riesgos y asegurar la continuidad del negocio. En
algunos sectores de la industria, existen entes reguladores que establecen normas
obligatorias y recomendadas con respecto a dichos marcos y polticas de la seguridad
de informacin. Sin embargo, en el sector educativo no existen leyes o normas
establecidas por parte del Ministerio de Educacin que regulen la seguridad de
informacin dentro de las organizaciones bajo su jurisdiccin. En consecuencia, se
genera una falta de conocimiento e inters de dicho tema en las instituciones
educativas
En muchos casos, la razn por la cual estas instituciones educativas no han
implementado estas polticas de seguridad de informacin es porque an no han tenido
algn incidente de seguridad relativamente grave, lo cual comprueba que las entidades
peruanas siguen siendo reaccionarias y no preventivas, o asumen que es un gasto que
2
3. Objetivo general
El objetivo de este proyecto es disear un Sistema de Gestin de Seguridad de
Informacin (SGSI) basado en las normas internacionales ISO/IEC 27001:2005 e
ISO/IEC 27002:2005, adoptando como framework de negocios la actual versin de
COBIT.
4. Objetivos especficos
i.
ii.
iii.
iv.
v.
vi.
5. Resultados esperados
i.
ii.
iii.
iv.
Lista de controles que permitan gestionar los riesgos identificados en los activos
crticos del instituto educativo.
Declaracin de la aplicabilidad (SoA) para el SGSI.
Documentacin solicitada por la norma ISO 27001 para el SGSI.
v.
vi.
6. Alcance y limitaciones
6.1. Alcance
Este instituto maneja una divisin de procesos que comprenden los estratgicos,
los operativos y los de soporte.
El Sistema de Gestin de Seguridad de Informacin (SGSI) se disear teniendo
como base los procesos que la organizacin considera como core del negocio.
Estos se encuentran dentro de la familia de procesos operativos.
Los procesos que se encuentran dentro de la familia de procesos operativos son:
6.2. Limitaciones
7. Mtodos y procedimientos
7.1. Metodologa del producto
Para el diseo de un SGSI, la norma ISO 27001 adopta el ciclo de Deming como
metodologa, el cual se puede aplicar a todos los procesos que abarca el SGSI.
Dicha metodologa es ms conocida por sus siglas en ingls como PDCA: Plan-DoCheck-Act.
El concepto del PDCA naci a finales de la dcada de 1970 y fue propuesta por
Edwards Deming, quien es considerado por muchos como el precursor del control
de la calidad moderno. Dicho concepto naci del mtodo cientfico: las etapas de
hiptesis, experimentacin y evaluacin del mtodo cientfico, se relacionan a Plan,
Do, y Check del ciclo de Deming. [5]
A continuacin, se explicaran brevemente los pasos que se siguen en el ciclo de
Deming:
Esta metodologa PDCA es la que se usa como metodologa del producto para este
proyecto. Dicho ciclo no solo ayuda a alcanzar los objetivos especficos, sino
adems a conseguir los resultados esperados mencionados anteriormente.
Adems que es fuertemente recomendada por la ISO y es la metodologa ms
usada para este tipo de proyectos. La figura 1 nos da un panorama de cmo se
adapta el ciclo de Deming para el diseo, implementacin y monitoreo de un SGSI.
Este proyecto abarcar la fase del Plan del ciclo PDCA, de acuerdo a dos etapas:
8. Justificacin y viabilidad
El SGSI que se disear en el presente proyecto proteger al instituto educativo frente
a amenazas y riesgos que puedan poner en peligro la continuidad de los niveles de
competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos
de negocio. Enfocndose, principalmente, en proteger y salvaguardar la
confidencialidad, integridad y disponibilidad de los activos de informacin que dan
soporte a los procesos de negocio establecidos como alcance.
En conjunto con lo mencionado, dicha institucin obtendr algunas otras ventajas
importantes con el diseo del SGSI para el presente proyecto de fin de carrera:
9. Plan de proyecto
9.1. Estructura de Descomposicin del Trabajo (WBS)
1.Establecer el SGSI
2. Disear el SGSI
10
10.
Marco conceptual
En ese captulo se estudiar y desarrollar el marco conceptual que se tiene que tomar
en cuenta para poder comprender, de manera adecuada, lo que abarca un SGSI. Este
marco contendr un conjunto de trminos y definiciones que se usarn a menudo en el
presente proyecto. Asimismo, los institutos educativos a nivel superior que deseen
implementar un SGSI bajo estndares internacionales debern seguirn los procesos y
procedimientos establecidos por la normas ISO/IEC 27001:2005, usando los controles
establecidos en ISO/IEC 27002:2005, siguiendo la gua de propuesta por la ISO/IEC
27003:2010 y aplicando la metodologa de tratamiento de riesgos propuesta por la
ISO/IEC 27005:2008, usando el nuevo marco de trabajo COBIT 5 como contenedor de
dichas normas. Estos estndares y buenas prcticas internacionales citados son las
que se han se han desarrollado hasta el momento conforme al diseo y la
implementacin de un SGSI en cualquier organizacin.
10.1.
Conceptos clave
10.1.1. Activo
Cualquier elemento o informacin, tenga o no valor contable para la
organizacin. [3]
10.1.1.1. Control
Medios para manejar el riesgo, incluyendo polticas, procedimientos,
lineamientos, prcticas o estructuras organizacionales, las cuales pueden
ser administrativas, tcnicas, de gestin o de naturaleza legal. [6]
11
10.1.1.2. Informacin
Es un activo esencial para el negocio de una organizacin. Puede existir de
muchas formas. Puede estar impresa o escrita en papel, almacenada
electrnicamente, transmitida por correo o utilizando medios electrnicos,
mostrada en pelculas o hablada en una conversacin. [6]
10.1.1.3. Confidencialidad
La propiedad que informacin est disponible y no sea divulgada a
personas, entidades o procesos no autorizados. [3]
10.1.1.4. Disponibilidad
La propiedad tiene que estar disponible y utilizable cuando lo requiera una
entidad autorizada. [3]
10.1.1.5. Integridad
La propiedad de guardar la exactitud e integridad de los activos. [3]
12
10.1.4. Amenaza
Una causa potencial de un incidente no-deseado, el cual puede resultar
daando a un sistema. [3]
10.1.5. Vulnerabilidad
La debilidad de un activo o grupo de activos que puede ser explotada por una o
ms amenazas. [3]
10.1.6. Riesgo
Es la combinacin de la probabilidad de un evento y su ocurrencia [2]
13
10.1.7. Poltica
Intencin y direccin general expresada formalmente por la gerencia. [6]
10.2.
ISO/IEC 27001:2005
14
10.3.
ISO/IEC 27002:2005
Poltica de Seguridad
Organizacin de la Seguridad de Informacin
Gestin de Activos
Seguridad de Recursos Humanos
Seguridad Fsica y Ambiental
Gestin de Comunicaciones y Operaciones
15
Control de acceso
Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
Gestin de Incidentes de Seguridad de Informacin
Gestin de la Continuidad Comercial
Conformidad
Este estndar tiene una clausula introductoria que nos habla sobre la evaluacin y
el tratamiento de los riesgos de seguridad: identificar, priorizar y cuantificar los
riesgos que la organizacin est expuesta, determinando cuales pueden ser
riesgos aceptables y cuales riesgos son relevantes para la organizacin. Estos
ltimos se tienen que tratar segn ciertos controles apropiados indicados en este
estndar u otro conjunto de controles.
10.4.
ISO/IEC 27003:2010
16
17
10.5.
ISO/IEC 27005:2008
Clausula 1: Alcance.
Clausula 2: Referencias normativas.
Clausula 3: Trminos y definiciones.
Clausula 4: Estructura de la norma.
Clausula 5: Background.
Clausula 6: Resumen del proceso de la gestin de los riesgos de la
seguridad de informacin.
Clausula 7: Establecimiento del contexto.
Clausula 8: Risk Assessment.
Clausula 9: Risk Treatment.
Clausula 10: Risk Acceptance.
Clausula 11: Risk Communication
Clausula 12: Risk Monitoring.
18
10.6.
COBIT 5
20
21
22
11.
11.1.
11.2.
24
11.3.
Universidad Kyushu
25
26
27
28
lineamientos
procesos para la
Gerente de Sede (en cada sede): Ejecuta y toma las decisiones finales
para la programacin de sus facilitadores.
C. Definiciones
Evaluacin de 360: es una herramienta integral de evaluacin en el que
el facilitador es calificado por su entorno acadmico para proporcionarle
informacin relevante y objetiva sobre su desempeo, ayudndolo a
identificar sus fortalezas y los aspectos que debe mejorar. Entre los
elementos que se consideran en la evaluacin se tienen: las encuestas
acadmicas, la autoevaluacin del facilitador, la evaluacin de
Secretara Acadmica, la evaluacin del Jefe Acadmico y los
resultados del monitoreo al facilitador.
Evaluacin del Jefe Acadmico: es la valoracin que realiza el Jefe
Acadmico sobre el facilitador con respecto al cumplimiento de sus
funciones. Entre los aspectos a evaluar se tienen: el uso de materiales
de estudio, asistencia a las reuniones de coordinacin y de trabajo en
equipo.
D. Diagrama del proceso
Ver Anexo 1.3
29
30
31
32
A. Objetivo
Asegurar que los alumnos obtengan el ttulo a nombre de la nacin que acredite
la culminacin satisfactoria de sus estudios.
B. Responsable del proceso
Jefe de Servicios Educativos.
C. Definiciones
No aplica.
D. Diagrama del proceso
Ver Anexo 1.9
33
2. Identificacin de activos
En este punto se identificarn los activos que estn envueltos en cada proceso descrito anteriormente. Segn el estndar
ISO 27005:2008, se pueden identificar dos tipos de activos: los primarios y los de soporte. Los primarios, segn este
estndar, son los procesos e informacin ms sensibles para la organizacin. Los activos de soporte, son los activos que
dan el debido soporte a estos activos primarios. Dentro de estas dos agrupaciones, se definieron siete distintos tipos
especficos de activos:
1) Dato: Es toda aquella informacin que se genera, enva, recibe y gestionan dentro de la organizacin. Dentro de
este tipo, podemos encontrar distintos documentos que la institucin educativa gestiona dentro de sus procesos.
2) Aplicacin: Todo aquel software que se utilice como soporte en los procesos.
3) Personal: Son todos los actores que se ven involucrados en el acceso y el manejo de una u otra manera a los
activos de informacin de la organizacin.
4) Servicio: Son los servicios que alguna rea de la organizacin suministra a otra rea o entidades externas a la
misma.
5) Tecnologa: Es todo el hardware donde se maneje la informacin y las comunicaciones.
6) Instalacin: Es cualquier lugar donde se alojan los activos de informacin. Este lugar o ambiente puede estar
ubicado dentro de la organizacin tanto como fuera de la misma.
7) Equipamiento auxiliar: Son los activos que no se hallan definidos en ninguno de los anteriores tipos.
A continuacin, se muestra el inventario de todos los activos que se pudieron identificar dentro de los procesos del instituto
educativo que se encuentran en el alcance del presente proyecto.
ID
Activo identificado
Tangible?
Tipo de Activo
Computadora de escritorio
Si
Tecnologa
No
Aplicacin
No
Aplicacin
No
Aplicacin
Intranet de la institucin
No
Aplicacin
No
Aplicacin
Telfono
Si
Tecnologa
34
ID
Activo identificado
Tangible?
Tipo de Activo
Impresora
Si
Tecnologa
Fotocopiadora
Si
Tecnologa
10
Scanner
Si
Tecnologa
11
Cableado Ethernet
Si
Tecnologa
12
No
Aplicacin
13
Firewall
No
Tecnologa
14
Aula
Si
Instalacin
15
Vitrinas informativas
Si
Instalacin
16
Oficina de reuniones
Si
Instalacin
17
No
Aplicacin
18
Si
Tecnologa
19
Si
Equipamiento Auxiliar
20
Archivos de la sede
Si
Instalacin
21
Gabinetes
Si
Equipamiento Auxiliar
22
Llaves de ingreso
Si
Equipamiento Auxiliar
23
Director Acadmico
Si
Personal
24
Stakeholder interno
Si
Personal
25
Stakeholder externo
Si
Personal
26
Gerente de Sede
Si
Personal
27
Si
Personal
28
Analista de procesos
Si
Personal
29
Director de Operaciones
Si
Personal
30
Director Comercial
Si
Personal
31
Jefe Acadmico
Si
Personal
32
Asistente de Programacin
Si
Personal
33
Facilitador
Si
Personal
34
Si
Personal
35
Jefe Comercial
Si
Personal
36
Si
Personal
35
ID
Activo identificado
Tangible?
Tipo de Activo
37
Cliente
Si
Personal
38
Alumno
Si
Personal
39
Cajero
Si
Personal
40
Asistente Administrativo
Si
Personal
41
Calgrafo
Si
Personal
42
Egresado
Si
Personal
43
Asistente de Admisin
Si
Personal
44
Asistente Acadmico
Si
Personal
45
Jefe de Coordinacin
Si
Personal
46
Servidor web
Si
Tecnologa
47
Documento del perfil profesional de la nueva carrera (misin, perfil del egresado, etc.)
Si
Dato
48
Si
Dato
49
Si
Dato
50
Si
Dato
51
Si
Dato
52
Documento de encuestas
Si
Dato
53
Si
Dato
54
Si
Dato
55
Si
Dato
56
Si
Dato
57
Si
Dato
58
Si
Dato
59
Si
Dato
60
Si
Dato
61
Si
Dato
62
Evaluacin 360
Si
Dato
63
Si
Dato
64
Encuesta acadmica
Si
Dato
65
Si
Dato
36
ID
Activo identificado
Tangible?
Tipo de Activo
66
Si
Dato
67
Si
Dato
68
Si
Dato
69
Si
Dato
70
Si
Dato
71
Registro de aulas
Si
Dato
72
Si
Dato
73
Si
Dato
74
Si
Dato
75
Si
Dato
76
Si
Tecnologa
77
Si
Dato
78
Si
Dato
79
Si
Dato
80
Si
Dato
81
Si
Dato
82
Reglamento de admisin
Si
Dato
83
Formulario de Preinscripcin
Si
Dato
84
Ficha de Admisin
Si
Dato
85
Si
Dato
86
Si
Dato
87
Si
Dato
88
Si
Dato
89
Si
Dato
90
Si
Dato
91
Fotocopia de DNI
Si
Dato
92
Si
Dato
93
Si
Dato
94
Si
Dato
37
ID
Activo identificado
Tangible?
Tipo de Activo
95
Si
Dato
96
97
Si
Dato
No
Dato
98
Si
Dato
99
Si
Dato
100
Si
Dato
101
Si
Dato
102
Si
Dato
103
Si
Dato
104
Si
Dato
105
Si
Dato
106
Foto
Si
Dato
107
Si
Dato
108
Si
Dato
109
Si
Dato
110
Diploma
Si
Dato
111
Si
Dato
112
Ttulo de egresado
Si
Dato
113
Si
Dato
38
Criterio
Disponibilidad
Integridad
Confidencialidad
Valor
Descripcin
No Aplica / No es relevante
No Aplica / No es relevante
No Aplica / No es relevante
Para hallar el valor final del activo, se realizar una suma de los valores de los distintos criterios. Esta suma se ubicar en el
rango de valores de 0 a 9, para lo cual cada valor representara a un nivel de criticidad. Mientras ms alto sea el nmero
39
final que resulto de la suma, ms alta ser su criticidad. Para este proyecto, se definieron cuatro niveles de criticidad del
activo: no aplica, bajo, medio y alto.
A continuacin, la siguiente tabla detalla el universo de valores que se puede obtener, asociados a un nivel de criticidad
especfico.
Valor
Criticidad
No Aplica
Baja
Baja
Baja
Medio
Medio
Medio
Alta
Alta
9
Alta
Tabla 3. Valores segn nivel de criticidad
40
Luego de haber definido el contexto de la valorizacin, se proceder a mostrar el total de los activos identificados con el
valor respectivo que cada activo tiene dentro de la organizacin:
ID
Activo
Valor
total
Criticidad
Computadora de escritorio
Alta
Alta
Alta
Alta
Intranet de la institucin
Alta
Alta
Telfono
Medio
Impresora
Medio
Fotocopiadora
Medio
10
Scanner
Medio
11
Cableado Ethernet
Alta
12
Alta
13
Firewall
Medio
14
Aula
Medio
15
Vitrinas informativas
Baja
16
Oficina de reuniones
Medio
17
Alta
18
Alta
19
Medio
20
Archivos de la sede
Alta
21
Gabinetes
Medio
22
Llaves de ingreso
Alta
41
ID
Activo
Valor
total
Criticidad
23
Director Acadmico
Baja
24
Stakeholder interno
Medio
25
Stakeholder externo
Medio
26
Gerente de Sede
Medio
27
Medio
28
Analista de procesos
Baja
29
Director de Operaciones
Medio
30
Director Comercial
Medio
31
Jefe Acadmico
Medio
32
Asistente de Programacin
Medio
33
Facilitador
Medio
34
Medio
35
Jefe Comercial
Medio
36
Medio
37
Cliente
Medio
38
Alumno
Medio
39
Cajero
Medio
40
Asistente Administrativo
Medio
41
Calgrafo
Medio
42
Egresado
Medio
43
Asistente de Admisin
Medio
44
Asistente Acadmico
Medio
45
Jefe de Coordinacin
Medio
46
Servidor web
Alta
47
Documento del perfil profesional de la nueva carrera (misin, perfil del egresado, etc.)
Medio
48
Alta
42
ID
Activo
Valor
total
Criticidad
49
Alta
50
Medio
51
Medio
52
Documento de encuestas
Baja
53
Medio
54
Alta
55
Medio
56
Medio
57
Alta
58
Alta
59
Alta
60
Medio
61
Medio
62
Evaluacin 360
Medio
63
Medio
64
Encuesta acadmica
Baja
65
Medio
66
Medio
67
Medio
68
Medio
69
Medio
70
Medio
71
Registro de aulas
Medio
72
Alta
73
Alta
74
Medio
43
ID
Activo
Valor
total
Criticidad
75
Alta
76
Alta
77
Alta
78
Alta
79
Medio
80
Medio
81
Medio
82
Reglamento de admisin
Medio
83
Formulario de Preinscripcin
Alta
84
Ficha de Admisin
Alta
85
Alta
86
Alta
87
Medio
88
Alta
89
Medio
90
Medio
91
Fotocopia de DNI
Medio
92
Medio
93
Alta
94
Alta
95
Alta
96
Alta
97
Alta
98
Medio
99
Medio
100
Medio
44
ID
Activo
Valor
total
Criticidad
101
Alta
102
Medio
103
Medio
104
Medio
105
Alta
106
Foto
Alta
107
Alta
108
Alta
109
Baja
110
Diploma
Alta
111
Medio
112
Ttulo de egresado
Alta
113
Alta
45
46
Impacto en el
Negocio
Probabilidad de Afectacin
Muy Baja
Baja
Media
Alta
Muy Alta
Muy Alto
Relevante
Relevante
Alto
Crtico
Crtico
Alto
Relevante
Relevante
Alto
Alto
Crtico
Medio
Moderado
Moderado
Relevante
Alto
Crtico
Bajo
Bajo
Bajo
Bajo
Moderado
Relevante
Muy Bajo
Bajo
Bajo
Moderado
Bajo
Bajo
Tabla 5. Matriz de calor
Los significados de los cinco valores que los criterios de Impacto en el Negocio y Probabilidad de Afectacin puedan
tener son descritos a continuacin.
Con respecto al criterio de Probabilidad de Afectacin:
Probabilidad de
Afectacin
Muy Alta
Alta
Media
Baja
Interpretacin
Es casi seguro que la amenaza afectar la vulnerabilidad.
Es probable que la amenaza afectar la vulnerabilidad.
Es posible que la amenaza afectar la vulnerabilidad.
Es improbable que la amenaza afectar la vulnerabilidad.
Muy Baja
Es impensable que la amenaza afectar la vulnerabilidad.
Tabla 6. Descripcin de los niveles de la Probabilidad de Afectacin
Interpretacin
Afecta por ms de una semana las operaciones del instituto.
Afecta hasta en 72 horas las operaciones del instituto.
47
Impacto en el
Negocio
Medio
Interpretacin
Afecta hasta en 24 horas las operaciones del instituto.
Bajo
Luego de evaluar y definir la probabilidad y el impacto en el negocio que pueda ocasionar la materializacin de los riesgos
identificados obtenemos el nivel de dichos riesgos. Como se observa en el mapa de calor, se pudieron obtener cinco
valores de riesgo: bajo, moderado, relevante, alto y crtico. En el siguiente captulo, se establecer un criterio de aceptacin
del riesgo, el cual servir para realizar un plan de tratamiento de riesgo: si el riesgo es aceptable o si requiere algn
tratamiento para reducir, evitar o transferir dicho riesgo.
A continuacin se presenta la matriz completa de riesgos de los activos (crticos) que entraron en el anlisis, segn el
apetito de riesgo establecido.
Matriz de Riesgos
ID de
Riesgo
Activo
Computadora de escritorio
R1
R2
R3
R4
R5
R6
R7
Computadora de escritorio
Computadora de escritorio
Computadora de escritorio
Computadora de escritorio
Computadora de escritorio
Licencia de Microsoft
Windows XP
Vulnerabilidad
Falta de cierre de sesin al
momento de salir de la
estacin de trabajo
Sensibilidad a la humedad,
polvo y al calor
Susceptibilidad a variaciones
en el voltaje
Sensibilidad de golpes o
cadas
Falta de backups de
informacin
Mala seguridad de
contraseas
Falta de mecanismos de
autenticacin e identificacin
de usuarios
Posibilidad de que la
amenaza explote la
vulnerabilidad
Impacto
estimado en la
institucin
Nivel de
Riesgo
Alto
Alto
Alto
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Bajo
Muy Alto
Relevante
Muy Alto
Muy Alto
Crtico
Espionaje remoto
Alto
Muy Alto
Crtico
Abuso o forzado de
derechos
Bajo
Muy Alto
Relevante
Amenaza
Manipulacin de
informacin
Polvo, corrosin,
congelamiento
Perdida de suministro de
energa
Destruccin de equipos o
medios de comunicacin
Robo de informacin o del
mismo equipo
48
Matriz de Riesgos
ID de
Riesgo
R8
R9
R10
R11
R12
R13
R14
R15
R16
R17
R18
R19
Activo
Licencia de Microsoft
Windows XP
Licencia de Microsoft
Windows XP
Licencia de Microsoft
Office 2007
Licencia de Microsoft
Office 2007
Licencia de Microsoft
Office 2007
Pgina web del Instituto
Educativo
Pgina web del Instituto
Educativo
Pgina web del Instituto
Educativo
Pgina web del Instituto
Educativo
Pgina web del Instituto
Educativo
Intranet de la institucin
Intranet de la institucin
Vulnerabilidad
Mala gestin de contraseas
Servicios innecesarios para el
usuario
Falta de mecanismos de
autenticacin e identificacin
de usuarios
Amenaza
Abuso o forzado de
derechos
Procesamiento ilegal de
los datos
Abuso o forzado de
derechos
Posibilidad de que la
amenaza explote la
vulnerabilidad
Impacto
estimado en la
institucin
Nivel de
Riesgo
Bajo
Muy Alto
Relevante
Alto
Muy Alto
Crtico
Bajo
Alto
Relevante
Bajo
Alto
Relevante
Alto
Alto
Alto
Abuso o forzado de
derechos
Procesamiento ilegal de
los datos
Abuso de derechos
Medio
Medio
Relevante
Defectos en el funcionamiento
del software
Abuso de derechos
Alto
Medio
Alto
Alto
Medio
Alto
Medio
Medio
Relevante
Alto
Medio
Alto
Abuso de derechos
Alto
Alto
Alto
Abuso de derechos
Alto
Alto
Alto
Alto
Alto
Alto
Intranet de la institucin
R21
Intranet de la institucin
Fechas incorrectas
Error en el accionar
Bajo
Alto
Relevante
R22
Intranet de la institucin
Abuso de derechos
Medio
Alto
Alto
Intranet de la institucin
Procesamiento ilegal de
los datos
Alto
Alto
Alto
Defectos en el funcionamiento
del software
Abuso de derechos
Alto
Alto
Alto
Abuso de derechos
Medio
Alto
Alto
Fechas incorrectas
Error en el accionar
Muy Bajo
Alto
Relevante
R20
R23
R24
R25
R26
49
Matriz de Riesgos
ID de
Riesgo
R27
R28
R29
R30
R31
R32
R33
R34
R35
R36
R37
R38
R39
R40
R41
R42
R43
R44
R45
R46
Activo
Vulnerabilidad
Amenaza
Posibilidad de que la
amenaza explote la
vulnerabilidad
Impacto
estimado en la
institucin
Nivel de
Riesgo
Falta de mecanismos de
autenticacin e identificacin
de usuarios
Abuso de derechos
Medio
Alto
Alto
Falta de backups de
informacin
Manipulacin de
informacin
Medio
Alto
Alto
Cableado Ethernet
Trafico de informacin
desprotegido
Medio
Alto
Alto
Cableado Ethernet
Cableado desprotegido
Escuchar informacin
ilegalmente
Falla en los equipos de
comunicaciones
Alto
Alto
Alto
Cableado Ethernet
Bajo
Alto
Relevante
Alto
Alto
Alto
Alto
Alto
Alto
Muy Alto
Alto
Crtico
Alto
Alto
Alto
Alto
Alto
Alto
Medio
Alto
Alto
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Abuso de derechos
Medio
Muy Alto
Alto
Abuso de derechos
Alto
Muy Alto
Crtico
Alto
Muy Alto
Crtico
Medio
Muy Alto
Alto
Muy Bajo
Muy Alto
Relevante
Alto
Muy Alto
Crtico
Muy Alto
Muy Alto
Crtico
Cableado Ethernet
Falta de controles en el
traspaso de informacin
Falta de privilegios en los
permisos
Mala seguridad de
contraseas
Sistema de informacin
SMART
Sistema de informacin
SMART
Sistema de informacin
SMART
Sistema de informacin
SMART
Sistema de informacin
SMART
Sistema de informacin
SMART
Sistema de informacin
SMART
Sistema de informacin
SMART
Espionaje remoto
Saturacin de los sistemas
de informacin
Robo de documentos o de
equipos tecnolgicos
Manipulacin de
informacin
Manipulacin de
informacin
Saturacin de los sistemas
de informacin
Uso no autorizado de los
equipos de red
Abuso de derechos
Manipulacin de
informacin
Fechas incorrectas
Error en el accionar
Procesamiento ilegal de
los datos
Mal funcionamiento del
software
50
Matriz de Riesgos
ID de
Riesgo
R47
R48
R49
R50
R51
R52
R53
R54
R55
R56
Activo
Muy Alto
Alto
Alto
Muy Alto
Crtico
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Muy Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Muy Bajo
Muy Alto
Relevante
Alto
Muy Alto
Crtico
Robo de documentos o de
equipos tecnolgicos
Alto
Muy Alto
Crtico
Robo o prdida de
documentos
Alto
Muy Alto
Crtico
Alto
Muy Alto
Crtico
Destruccin o robo de
equipos o medios de
comunicacin
Alto
Muy Alto
Crtico
Destruccin de equipos o
medios de comunicacin
Sensibilidad a la humedad,
polvo y al calor
Sensibilidad a la radiacin
electromagntica
Susceptibilidad a variaciones
en el voltaje
Susceptibilidad a variaciones
en la temperatura
Sensibilidad de golpes o
cadas
Falta de controles para
acceder al ambiente del
servidor
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Uso inadecuado o sin cuidado
de accesos a instalaciones o
habitaciones
Polvo, corrosin,
congelamiento
Radiacin
electromagntica
Perdida de suministro de
energa
Fenmenos
meteorolgicos
Destruccin de equipos o
medios de comunicacin
Servidor web
Falta de mecanismos de
autenticacin e identificacin
de usuarios
Abuso de derechos
Bajo
Alto
Relevante
Servidor web
Abuso de derechos
Muy Bajo
Alto
Relevante
Procesamiento ilegal de
los datos
Robo o prdida de
documentos
Bajo
Alto
Relevante
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
R59
R64
Medio
R58
R63
Nivel de
Riesgo
Manipulacin de
informacin con software
Robo o prdida de
documentos
Llaves de ingreso
R62
Impacto
estimado en la
institucin
Falta de backups de
informacin
Falta de mecanismos de
backup
R57
R61
Posibilidad de que la
amenaza explote la
vulnerabilidad
Amenaza
Sistema de informacin
SMART
Sistema de informacin
SMART
Archivos de la sede
R60
Vulnerabilidad
Servidor web
Documento del nuevo plan
de estudios
Documento del nuevo plan
de estudios
Documento del nuevo plan
de estudios
51
Matriz de Riesgos
ID de
Riesgo
R65
R66
R67
R68
R69
R70
R71
R72
R73
R74
R75
R76
R77
R78
R79
Posibilidad de que la
amenaza explote la
vulnerabilidad
Impacto
estimado en la
institucin
Nivel de
Riesgo
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Robo o prdida de
documentos
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Pocos o nulos controles de
acceso
Robo o prdida de
documentos
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Robo o prdida de
documentos
Bajo
Alto
Relevante
Medio
Alto
Alto
Documento de frecuencia
de cursos por campaa
Falta de mecanismos de
backup
Robo o prdida de
documentos
Bajo
Muy Alto
Relevante
Documento de frecuencia
de cursos por campaa
Falta de cuidado en el
transporte o en su
transferencia
Medio
Muy Alto
Alto
Documento de frecuencia
de cursos por campaa
Alto
Muy Alto
Crtico
Documento de alumnos
inscritos por campaa
Falta de mecanismos de
backup
Robo o prdida de
documentos
Bajo
Muy Alto
Relevante
Activo
Vulnerabilidad
Amenaza
Robo o prdida de
documentos
52
Matriz de Riesgos
ID de
Riesgo
R80
R81
R82
R83
R84
Activo
Documento de alumnos
inscritos por campaa
Documento de alumnos
inscritos por campaa
Formulario de
Preinscripcin
Formulario de
Preinscripcin
Ficha de Admisin
Ficha de Admisin
R85
Vulnerabilidad
Falta de cuidado en el
transporte o en su
transferencia
Pocos o nulos controles de
acceso
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Amenaza
Robo o manipulacin del
activo
Robo o manipulacin del
activo
Robo o prdida de
documentos
Robo o manipulacin del
activo
Robo o prdida de
documentos
Robo o manipulacin del
activo
Posibilidad de que la
amenaza explote la
vulnerabilidad
Impacto
estimado en la
institucin
Nivel de
Riesgo
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Muy Alto
Alto
Crtico
Bajo
Alto
Relevante
Muy Alto
Alto
Crtico
Bajo
Alto
Relevante
Muy Alto
Alto
Crtico
Robo o prdida de
documentos
Falta de cuidado en el
Registro de orden de cobro
transporte o en su
a los clientes inscritos
transferencia
Bajo
Alto
Relevante
Muy Alto
Alto
Crtico
Falta de mecanismos de
backup
Robo o prdida de
documentos
Bajo
Muy Alto
Relevante
R89
Consolidado de la
informacin de las fichas
de admisin (virtual)
Falta de cuidado en el
transporte o en su
transferencia
Medio
Muy Alto
Alto
R90
Consolidado de la
informacin de las fichas
de admisin (virtual)
Alto
Muy Alto
Crtico
R91
Consolidado de la
informacin de las fichas
de admisin (virtual)
Falta de mecanismos de
backup
Robo o prdida de
documentos
Bajo
Muy Alto
Relevante
R92
Resultados de la
Evaluacin de Aptitud
Emprendedora
Falta de cuidado en el
transporte o en su
transferencia
Medio
Muy Alto
Alto
R93
Resultados de la
Evaluacin de Aptitud
Emprendedora
R86
R87
R88
53
Matriz de Riesgos
ID de
Riesgo
R94
R95
R96
R97
R98
R99
R100
R101
R102
R103
R104
R105
R106
R107
R108
R109
Activo
Resultados de la
Evaluacin de Aptitud
Emprendedora
Ficha de Admisin (en
fsico)
Ficha de Admisin (en
fsico)
Ficha de Matricula (en
fsico)
Ficha de Matricula (en
fsico)
Reporte de alumnos
matriculados (en fsico)
Reporte de alumnos
matriculados (en fsico)
Reporte de alumnos
matriculados (en fsico)
Ficha de preinscripcin de
matrcula
Ficha de preinscripcin de
matrcula
Reporte visado de cartas
de descuento
Reporte visado de cartas
de descuento
Certificado de estudios
superiores (original)
Certificado de estudios
superiores (original)
Certificado de estudios
superiores (original)
Foto
Foto
R110
Vulnerabilidad
Posibilidad de que la
amenaza explote la
vulnerabilidad
Impacto
estimado en la
institucin
Nivel de
Riesgo
Alto
Muy Alto
Crtico
Muy Alto
Muy Alto
Crtico
Bajo
Alto
Relevante
Muy Alto
Alto
Crtico
Bajo
Alto
Relevante
Robo o prdida de
documentos
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Muy Alto
Alto
Crtico
Bajo
Alto
Relevante
Muy Alto
Alto
Crtico
Bajo
Alto
Relevante
Robo o prdida de
documentos
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Amenaza
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Pocos o nulos controles de
acceso
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Pocos o nulos controles de
acceso
Falta de mecanismos de
backup
Falta de cuidado en el
transporte o en su
transferencia
Robo o prdida de
documentos
Robo o manipulacin del
activo
Robo o prdida de
documentos
54
Matriz de Riesgos
ID de
Riesgo
R111
R112
R113
R114
Activo
Foto
Recibo de pago por
derecho de titulacin
Recibo de pago por
derecho de titulacin
Acta visada por la DRE
Acta visada por la DRE
R115
R116
R117
R118
R119
R120
Diploma
Ttulo de egresado
Ttulo de egresado
R121
R122
R123
R124
R125
Ttulo de egresado
Fotocopia del ttulo de
egresado
Fotocopia del ttulo de
egresado
Fotocopia del ttulo de
egresado
Vulnerabilidad
Posibilidad de que la
amenaza explote la
vulnerabilidad
Impacto
estimado en la
institucin
Nivel de
Riesgo
Alto
Muy Alto
Crtico
Muy Alto
Alto
Crtico
Bajo
Alto
Relevante
Robo o prdida de
documentos
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Bajo
Muy Alto
Relevante
Medio
Muy Alto
Alto
Alto
Muy Alto
Crtico
Amenaza
55
Nivel de Riesgo
Crtico
Alto
Relevante
Riesgo aceptable
Moderado
Riesgo aceptable
Bajo
Riesgo aceptable
Tabla 9. Plan de tratamiento de riesgos
El tratamiento de los riesgos cuyo nivel sea Crtico o Alto es recurrir a la implementacin de ciertos controles para reducir
la probabilidad que dichos riesgos identificados se materialicen. Finalmente, no se requerir de tratamiento para los niveles
de riesgos de Relevante, Moderado y Bajo ya que se considera que la institucin educativa puede convivir con dichos
riesgos.
Para empezar se defini controles respecto a las polticas de seguridad que la institucin busca establecer para alcanzar el
nivel de seguridad deseado. Cabe resaltar que todos estos controles o polticas contribuyen a la mitigacin de todos los
riesgos identificados y, en su mayora, debern ser desarrollados y promovidos por la Alta Gerencia de la entidad educativa.
Estos controles y polticas de seguridad son los siguientes:
Clausula
Poltica de seguridad
Organizacin de la
seguridad de la
informacin
Categora de
Seguridad
Poltica de seguridad de
informacin
Organizacin interna
Entidades externas
Gestin de activos
Nombre Control
Descripcin
Coordinacin de la seguridad de
informacin
Asignacin de responsabilidades de la
seguridad de la informacin
Acuerdos de confidencialidad
Inventarios de activos
57
Clausula
Categora de
Seguridad
Nombre Control
Lineamientos de clasificacin
Responsabilidades y procedimientos
Se
deben
establecer
las
responsabilidades
y
procedimientos gerenciales para asegurar una respuesta rpida,
efectiva y ordenada a los incidentes de seguridad de la informacin.
Recoleccin de evidencia
Clasificacin de la
informacin
Reporte de eventos y
debilidades en la seguridad
de la informacin
Gestin de incidentes en
la seguridad de la
informacin
Gestin de incidentes y
mejoras en la seguridad de
la informacin
Cumplimiento
Cumplimiento con
requerimientos legales
Descripcin
58
Clausula
Categora de
Seguridad
Nombre Control
Descripcin
Gestin de las
comunicaciones y
operaciones
Procedimientos y
responsabilidades
operacionales
Procedimientos de operacin
documentados
Control de acceso
Adquisicin, desarrollo y
mantenimiento de los
sistemas de informacin
Luego de definir las polticas de seguridad que la organizacin deber adoptar, se procede a listar los controles para el
tratamiento de los diversos riesgos identificados; especificando el control, su descripcin segn la norma ISO 27002, los
riesgos que mitigar y la adaptacin de dicho control con la realidad organizacional de la institucin educativa.
Clausula
Seguridad fsica y
ambiental
Categora de
Seguridad
Nombre
Control
Descripcin
Riesgos a
Controlar
Adaptacin a la entidad
educativa
Controles de entrada
fsicos
R55, R58
Seguridad de
oficinas,
habitaciones y
medios
R55, R58
reas seguras
59
Clausula
Categora de
Seguridad
Nombre
Control
Adaptacin a la entidad
educativa
Servicios pblicos
Seguridad en el
cableado
Mantenimiento de
equipo
Aceptacin del
sistema
Controles contra
software malicioso
La
proteccin
contra
cdigos
maliciosos se deber basar en la
Se deben implementar controles
deteccin de cdigos maliciosos
de
deteccin,
prevencin y
R14, R18, R24, R38 dentro de los sistemas del instituto y
recuperacin para protegerse de
la reparacin del software, conciencia
cdigos malicioso.
de seguridad, y los apropiados
controles de acceso a los sistemas.
Gestin de las
comunicaciones y
operaciones
Proteccin contra
software malicioso
y cdigo mvil
Riesgos a
Controlar
Ubicacin y
proteccin del
equipo
Seguridad del
equipo
Planeacin y
aceptacin del
sistema
Descripcin
60
Clausula
Categora de
Seguridad
Respaldo (back-up)
Gestin de
seguridad de redes
Gestin de medios
Nombre
Control
Descripcin
Riesgos a
Controlar
Adaptacin a la entidad
educativa
Back-up o respaldo
de la informacin
Controles de red
Las
redes
deben
ser
adecuadamente
manejadas
y
controladas para poderlas proteger
de amenazas, y para mantener la
seguridad de los sistemas y
aplicaciones utilizando la red,
incluyendo la informacin en
trnsito.
Procedimientos de
manejo de la
informacin
Se
deben
establecer
los
procedimientos para el manejo y
almacenaje de la informacin para
proteger dicha informacin de una
divulgacin no autorizada o un mal
uso.
Se
debern
establecer
procedimientos para la manipulacin,
procesamiento, almacenamiento y
comunicacin de la informacin
consistente con su clasificacin
Procedimientos y
polticas de
informacin y
software
R24, R27
La
institucin
deber manejar
distintas polticas y controles que le
permitan manejar de manera segura
el intercambio de informacin va
Email.
R25, R40
Intercambio de
informacin
Monitoreo
Mensajes
electrnicos
Registro de auditoria
61
Clausula
Categora de
Seguridad
Nombre
Control
Inscripcin del
usuario
Gestin de
privilegios
Riesgos a
Controlar
Adaptacin a la entidad
educativa
Se
deben
establecer
procedimientos para monitorear el
uso
de
los
medios
de
procesamiento de informacin y el
resultado de las actividades de
monitoreo
se
debe
revisar
regularmente.
R25, R40
Descripcin
Control de acceso
Gestin de la clave
del usuario
Control de acceso
Sistema de gestin
al sistema operativo de claves
62
Clausula
Categora de
Seguridad
Responsabilidades
del usuario
Nombre
Control
Uso de clave
Descripcin
Equipo de usuario
desatendido
Poltica de pantalla y
escritorio limpio
Riesgos a
Controlar
Adaptacin a la entidad
educativa
R1, R39
R1, R5
R37
Responsabilidades
del usuario
63
Clausula
Categora de
Seguridad
Nombre
Control
Descripcin
Identificacin y
autenticacin del
usuario
Sesin inactiva
Riesgos a
Controlar
Adaptacin a la entidad
educativa
R5, R6
Se
restringir
y
controlar
estrictamente
el uso
de los
programas de utilidad que podran
ser capaces de superar los controles
de Windows y de las aplicaciones a
las cuales el usuario tiene acceso.
R1, R39
Control de acceso
al sistema operativo
Control de acceso a
Aislamiento del
la aplicacin de
sistema sensible
informacin
Adquisicin, desarrollo y
mantenimiento de los
sistemas de informacin
Requerimientos de
seguridad de los
sistemas
Anlisis y
especificacin de los
requerimientos de
seguridad
Los
enunciados
de
los
requerimientos comerciales para
sistemas nuevos, o mejorar los
R41, R45, R46, R48
sistemas
existentes
deben
especificar los requerimientos de
los controles de seguridad.
64
Dimensin BSC
Metas de la organizacin
Financiero
Financiero
Financiero
Financiero
Cliente
Cliente
Cliente
Cliente
Interno
11
Interno
12
Interno
14
65
Dimensin BSC
Metas de la organizacin
Interno
15
Aprendizaje y Crecimiento
16
Aprendizaje y Crecimiento
17
A continuacin, en la tabla siguiente podemos apreciar la relacin de los objetivos de TI requeridos para el logro de los
objetivos organizacionales mencionados en la tabla anterior. La lista completa de los objetivos de TI propuestos por COBIT
5 se ubica en el anexo 3.
ID
66
ID
TI
Objetivos de TI
11
13
Agilidad de TI
12
ID
10
11
ID
TI
17
10
16
10
10
14
Agilidad de TI
17
14
67
Objetivos de TI
11
ID
12
14
15
16
17
ID
TI
Objetivos de TI
Agilidad de TI
12
11
16
10
15
16
Agilidad de TI
17
Siguiendo con el mapeo, en la siguiente tabla se procede a relacionar los objetivos de TI con los procesos habilitadores que
COBIT 5 define. Cabe resaltar que estos procesos habilitadores dan soporte a la realizacin y logro de dichos objetivos.
68
ID TI
Objetivos de TI
ID Proc.
BAI02
EDM01
APO12
BAI10
MEA02
MEA03
EDM01
EDM05
APO10
APO12
BAI06
DSS03
DSS06
MEA01
MEA02
MEA03
Procesos habilitadores
Gestionar la definicin de requisitos
Asegurar el mantenimiento y ajuste del marco de gobierno
Gestionar riesgos
Gestionar la configuracin
Monitorear y evaluar el sistema de control interno
Monitorear y evaluar el cumplimiento de requerimientos
externos
Asegurar el mantenimiento y ajuste del marco de gobierno
Garantizar la transparencia de los stakeholders
Administrar Proveedores
Gestionar riesgos
Gestionar los cambios
Gestin de problemas
Administrar los controles de procesos del negocio
Monitorear y evaluar el rendimiento y la conformidad
Monitorear y evaluar el sistema de control interno
Monitorear y evaluar el cumplimiento de requerimientos
externos
BAI07
Agilidad de TI
APO10
Administrar Proveedores
69
APO10
Administrar Proveedores
APO12
BAI09
EDM05
APO10
BAI02
BAI06
DSS03
DSS06
EDM01
EDM05
MEA01
Gestionar riesgos
Gestionar los activos
Garantizar la transparencia de los stakeholders
Administrar Proveedores
Gestionar la definicin de requisitos
Gestionar los cambios
Gestin de problemas
Administrar los controles de procesos del negocio
Asegurar el mantenimiento y ajuste del marco de gobierno
Garantizar la transparencia de los stakeholders
Monitorear y evaluar el rendimiento y la conformidad
ID TI
Objetivos de TI
ID Proc.
10
11
12
13
14
15
16
17
Procesos habilitadores
BAI08
APO12
BAI06
BAI09
BAI10
DSS03
MEA01
BAI02
BAI07
APO12
Gestionar riesgos
BAI10
DSS03
MEA01
MEA02
APO12
Gestionar la configuracin
Gestin de problemas
Monitorear y evaluar el rendimiento y la conformidad
Monitorear y evaluar el sistema de control interno
Gestionar riesgos
BAI08
Tabla 14. Procesos habilitadores de COBIT 5 segn los objetivos de TI de la entidad educativa
Finalmente, se presenta la tabla con el detalle del mapeo entre los procesos habilitadores identificados y los controles
establecidos en el punto anterior para el tratamiento de los riesgos de los activos en la institucin.
ID
APO10
Proceso Habilitador
Administrar Proveedores
Nombre
Control
ID Control
A.6.1.5
Acuerdos de
confidencialidad
70
Descripcin
Se deben identificar y revisar regularmente los
requerimientos de confidencialidad o los acuerdos de
no-divulgacin reflejando las necesidades de la
organizacin para la proteccin de la informacin.
ID
Proceso Habilitador
A.12.5.5
A.15.1.4
A.13.1.1
APO12
A.13.1.2
A.10.1.1
Procedimientos
de operacin
documentados
A.12.1.1
BAI07
Aceptacin del
sistema
Descripcin
Reporte de
debilidades en la
seguridad
A.11.6.2
BAI06
Desarrollo de
software por
terceros
Proteccin de
data y privacidad
de informacin
personal
Reporte de
eventos en la
seguridad de la
informacin
Gestionar riesgos
A.10.3.2
BAI02
Nombre
Control
ID Control
Aislamiento del
sistema sensible
Anlisis y
especificacin de
los
requerimientos de
seguridad
A.11.5.4
Uso de utilidades
del sistema
A.6.1.4
Proceso de
autorizacin para Se debe definir e implementar un proceso de
los medios de
autorizacin gerencial para los nuevos medios de
procesamiento de procesamiento de informacin
informacin
71
ID
BAI08
BAI09
Proceso Habilitador
Descripcin
A.10.3.2
Aceptacin del
sistema
A.10.1.1
Procedimientos
de operacin
documentados
A.10.3.2
Aceptacin del
sistema
A.13.2.2
Aprendizaje de
Deben existir mecanismos para permitir cuantificar y
los incidentes en
monitorear los tipos, volmenes y costos de los
la seguridad de la
incidentes en la seguridad de la informacin.
informacin
A.7.1.1
Inventarios de
activos
A.7.2.2
Etiquetado y
manejo de la
informacin
A.15.1.5
A.7.1.1
BAI10
Nombre
Control
ID Control
Gestionar la configuracin
A.7.2.2
Prevencin de
mal uso de
Se debe desanimar a los usuarios de utilizar los
medios de
medios de procesamiento de la informacin para
procesamiento de propsitos no-autorizados.
informacin
Todos los activos deben estar claramente
Inventarios de
identificados; y se debe elaborar y mantener un
activos
inventario de todos los activos importantes.
Etiquetado y
manejo de la
informacin
72
ID
DSS03
Proceso Habilitador
Gestin de problemas
A.15.1.5
A.13.2.2
Aprendizaje de
Deben existir mecanismos para permitir cuantificar y
los incidentes en
monitorear los tipos, volmenes y costos de los
la seguridad de la
incidentes en la seguridad de la informacin.
informacin
A.10.5.1
Back-up o
respaldo de la
informacin
A.10.7.3
A.10.8.4
EDM01
A.6.1.1
A.6.1.1
EDM05
Descripcin
Prevencin de
mal uso de
Se debe desanimar a los usuarios de utilizar los
medios de
medios de procesamiento de la informacin para
procesamiento de propsitos no-autorizados.
informacin
A.10.6.1
DSS06
Nombre
Control
ID Control
73
ID
MEA01
Proceso Habilitador
A.6.1.3
A.6.1.4
Proceso de
autorizacin para Se debe definir e implementar un proceso de
los medios de
autorizacin gerencial para los nuevos medios de
procesamiento de procesamiento de informacin
informacin
Se deben identificar y revisar regularmente los
requerimientos de confidencialidad o los acuerdos de
no-divulgacin reflejando las necesidades de la
organizacin para la proteccin de la informacin.
A.6.1.5
Acuerdos de
confidencialidad
A.5.1.2
Revisin de la
poltica de
seguridad de la
informacin
A.10.10.2
Descripcin
Asignacin de
responsabilidades Se deben definir claramente las responsabilidades de
de la seguridad
la seguridad de la informacin.
de la informacin
A.5.1.1
MEA02
Nombre
Control
ID Control
A.5.1.2
A.10.10.2
Documentar
poltica de
seguridad de
informacin
Revisin de la
poltica de
seguridad de la
informacin
Uso del sistema
de monitoreo
74
ID
Proceso Habilitador
ID Control
Nombre
Control
Descripcin
MEA03
A.15.1.4
Proteccin de
data y privacidad
de informacin
personal
75
Riesgos a Controlar
Aplica?
Justificacin
Controles de entrada
fsicos
R55, R58
Si
Seguridad de oficinas,
habitaciones y medios
R55, R58
Si
Ubicacin y proteccin
del equipo
Si
76
Nombre Control
Riesgos a Controlar
Aplica?
Servicios pblicos
Si
Seguridad en el cableado
No
Mantenimiento de equipo
Si
Si
Si
Back-up o respaldo de la
informacin
Si
77
Justificacin
Nombre Control
Riesgos a Controlar
Aplica?
Justificacin
Controles de red
Si
Procedimientos de
manejo de la informacin
Si
Si
Mensajes electrnicos
R24, R27
Si
Registro de auditoria
R25, R40
Si
R25, R40
No
78
Nombre Control
Riesgos a Controlar
Gestin de privilegios
Sistema de gestin de
claves
Uso de clave
79
Aplica?
Justificacin
Si
Si
Si
Si
Si
Nombre Control
Riesgos a Controlar
Aplica?
Justificacin
R1, R39
Si
Si
Equipo de usuario
desatendido
Poltica de pantalla y
escritorio limpio
R37
Si
Identificacin y
autenticacin del usuario
R5, R6
Si
Si
R1, R5
80
Nombre Control
Riesgos a Controlar
Aplica?
Justificacin
Sesin inactiva
R1, R39
Si
Si
Anlisis y especificacin
de los requerimientos de
seguridad
Si
81
Conforme a las observaciones, si bien los controles ayudan a mitigar o reducir algn
riesgo identificado, algunos de estos no aplican a la realidad del instituto educativo en
particular por diversos factores. Estos factores son importantes que se detallen dentro
de la justificacin de la aplicabilidad de dichos controles, la cual se especifica dentro
del documento de la Declaracin de Aplicabilidad que es un entregable de la presente
tesis.
Finalmente, cabe resaltar que si no se cuenta con el apoyo de la alta gerencia de la
institucin educativa, no se contara con el soporte necesario para lograr los objetivos
del SGSI. Asimismo, si el personal de la organizacin no sigue las polticas y
lineamientos propuestos por la alta gerencia siguiendo dicho SGSI, no se obtendr el
nivel adecuado de seguridad en los flujos de informacin de los distintos procesos del
instituto educativo.
2. Recomendaciones
Algunas recomendaciones que son importantes seguir para el desarrollo e
implementacin del SGSI dentro de un instituto educativo de nivel superior son:
84
Bibliografa
AMPUERO CHANG, Carlos Enrique
[1] 2011
CANO, Jeimy
[17] 2011
[3] 2004a
ISO/IEC 13335-1:2004 Information technology -- Security techniques -Management of information and communications technology security -Part 1: Concepts and models for information and communications
technology security management. EEUU.
[4] 2004b
ISO/IEC TR 18044:2004 Information technology -- Security techniques -Information security incident management.EEUU.
[5] 2005a
ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems Requirements.EEUU.
[6] 2005b
ISO/IEC 27002:2005 Information technology - Security techniques Code of practice for information security management.EEUU.
[7] 2010
[12] 2008
ISO/IEC 27005:2008 Information technology - Security techniques Information security risk management.EEUU.
IT GOVERNANCE INSTITUTE
[8] 2012
PELNEKAR, Charu
[14] 2011
QUAGLIATA, Karen
[18] 2011
ROSS, Steven J.
[15] 2010
[16] 2011
What is the Value of Security?. ISACA Journal. 2011, Volumen 2, pp. 12.
86