UNIVERSIDAD NACIONAL DE SAN CRISTBAL DE

HUAMANGA
FACULTAD DE INGENIERA DE MINAS, GEOLOGA Y CIVIL
ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

UNSCH

PLANIFICACIN DE UN SISTEMA DE GESTIN DE SEGURIDAD DE

INFORMACION DELCENTRO PRE-UNIVERSITARIO UNSCH.

INTEGRANTES : ROCA ARANGO, Jhony B.

NEZ PREZ, Ramiro

DOCENTE : Ing. Manuel LAGOS BARZOLA

CURSO : SEGURIDAD INFORMTICA

AYACUCHO - PER
2017

INTRODUCCIN
En la actualidad, las empresas manejan la informacin referente a sus procesos de
negocio de forma fsica y digital. Dicha informacin, independiente de sus medio de
almacenamiento y transmisin, es un recurso vital para el xito y la continuidad del
servicio en cualquier organizacin, ya que de la depende la toma de decisiones y el
conocimiento interino de la empresa.
En el caso de la CEPRE-UNSCH la integracin de sistemas de revisin y calificacin
son necesarios adems de otros TI que le permitan un mejor manejo de sus procesos
y administracin de informacin y datos que son activos muy indispensables dentro de
la Universidad.

El gran potencial que posee una adecuada gestin de las tecnologas de informacin
permite y contribuye para el logro de objetivos muy grandes e importantes para
cualquier tipo de empresa pero por el contrario pueden sufrir consecuencias, que
pueden ir desde retrasos en los procesos hasta prdidas econmicas, y mejorar la
imagen institucional tanto del CEPRE y de la misma UNSCH.
Hoy en da una correcta y aplicada gestin del rea de informacin tecnolgica permite
no solo el aseguramiento y aprovechamiento de los diferentes recursos que la misma
posee sino tambin como por ejemplo controlar el acceso no apropiado y autorizado
de personas que estn hbiles de manipular intencionalmente o no datos e
informacin significativa de cualquier organizacin o empresa.
Los riesgos de seguridad de informacin deben ser considerados en el contexto del
negocio, y las interrelaciones con otras funciones del negocio, tales como recursos
humanos, desarrollo, produccin, operaciones, administracin , TI, finanzas, etc. y los
clientes deben ser identificados para lograr una imagen global y completa de estos
riesgos.
1.
2.

3. Tabla de contenido
INTRODUCCIN .......................................................................................................... 3

CAPITULO I.................................................................................................................. 6

1. FASE DE DEFINICIN PLANEACIN Y ORGANIZACIN .................................. 6

1.1. TITULO DEL PROYECTO .............................................................................. 6

1.2. CARACTERIZACIN DE LA EMPRESA ....................................................... 6

1.2.1 NATURALEZA DE LA EMPRESA ........................................................... 6

1.2.2 UBICACIN GEOGRFICA ................................................................... 7

 1.2.3 VISIN .................................................................................................... 9

1.2.4 MISIN.................................................................................................... 9

1.3. OBJETIVOS. .................................................................................................. 9

1.3.1 OBJETIVO GENERAL ............................................................................. 9

1.3.2 OBJETIVOS ESPECFICOS. ................................................................... 9

1.4. ORGANIGRAMA DE LA INSTITUCIN ........................................................ 10

CAPITULO II............................................................................................................... 11

2. MARCO TERICO ............................................................................................. 11

2.1. RECONOCIENDO RIESGOS ....................................................................... 11

2.2. GESTIN DE RIESGOS .............................................................................. 11

2.3. EL PROCESO DE ADMINISTRACIN DE RIESGOS .................................. 12

2.4. OCTAVE-S ................................................................................................... 14

CAPITULO III.............................................................................................................. 20

3. FASE DE VISTA ORGANIZACIONAL ................................................................. 20

3.1. ESTUDIO DE LA SITUACIN DE LA ORGANIZACIN DESDE EL PUNTO

DE VISTA DE LA SEGURIDAD (CID). .................................................................... 20

2.5. 2.2. ALCANCE .............................................................................................. 21

2.6. 2.2.1. SITUACIN ACTUAL DEL REA. .................................................... 21

2.7. 2.3. REA DE ESTUDIO .............................................................................. 22

1.2.5 2.3.1. ACTIVIDADES DEL PROCESO. ................................................. 22

2.8. 22

2.9. 2.4. CONSTRUIR PERFILES DE AMENAZA BASADOS EN ACTIVOS ....... 23

2.10. 23

2.11. 2.5. ESTABLECER LOS CRITERIOS DE EVALUACIN DE IMPACTO ...... 23

2.12. 2.6. IDENTIFICAR ACTIVOS ORGANIZACIONALES .................................. 24

2.13. 2.7. EVALUAR LAS PRCTICAS DE SEGURIDAD ORGANIZACIONALES 25

CONCLUSIONES ....................................................................................................... 29

REFERENCIA BIBLIOGRFICA ................................................................................ 29

 CAPITULO I
4. FASE DE DEFINICIN PLANEACIN Y ORGANIZACIN
1.1. TITULO DEL PROYECTO
Modelo De Gestin De Riesgos Aplicando Metodologa Octave-S en centro pre-
universitario de la Universidad Nacional San Cristbal De Huamanga (CEPRE-
UNSCH).

1.2. CARACTERIZACIN DE LA EMPRESA

1.2.1 NATURALEZA DE LA EMPRESA

El Centro Preuniversitario de la Universidad Nacional de San Cristbal de Huamanga
es una Unidad Acadmica descentralizada y adscrita al Centro de Produccin de
Bienes y Prestacin de Servicios (CPB & PS), creada el 15 de julio del ao 1987,
teniendo como propsito fundamental la de reforzar y consolidar los conocimientos
adquiridos en la educacin secundaria y prepararlos para la educacin universitaria,
revisando permanentemente los planes de estudio y los contenidos curriculares; el
propsito acadmico que planteamos es el de brindar una educacin integral, cientfica
y humanstica, moral, actitudinal y fsica, complementado con la orientacin
vocacional.
Para lograr los fines y objetivos mencionados, el Centro Preuniversitario de la UNSCH,
cuenta con una plana docente competente y comprometida con la institucin, producto
de una seleccin rigurosa, en la que se complementan la experiencia con la juventud.
En sus 27 aos de funcionamiento, el CEPRE brind formacin acadmica y
humanstica a ms de 55,000 estudiantes que hoy en da son profesionales y otros se
encuentran estudiando en diversas universidades del pas y centros superiores;
adems la slida formacin que se brinda en el CEPRE ha permitido que la gran
mayora de vacantes ofrecidas por la UNSCH en los exmenes de admisin ordinario
sean cubiertas por nuestros estudiantes, y muchos de ellos ocupando los primeros
puestos. La finalidad del Centro preuniversitario es:
1.2.2
VALORES INSTITUCIONALES:
Transparencia, honestidad, respeto, tolerancia, justicia, responsabilidad e identidad
cultural.
PRINCIPIOS:
La autonoma inherente a su esencia y finalidades. - Bsqueda de la verdad y estudio
crtico de los problemas locales, regionales y nacionales. - Gobierno propio, ejercido
solo por sus miembros, con carcter democrtico y representativo. - Libertad de
pensamiento, expresin y ctedra, con sujecin a los principios constitucionales y a
los fines de la UNSCH. - Afirmacin de los derechos universales del hombre y del
ciudadano, sustentada en el respeto irrestricto de los Derechos Humanos. - Servicio
permanente a la comunidad. - Gratuidad de la enseanza.

FINES:
Acrecentar y transmitir la cultura universal con sentido crtico y creativo.
- Formar integralmente al hombre, humanstica, cientfica y profesionalmente,
con excelencia acadmica, de acuerdo con las necesidades de la regin y del
pas.
- Buscar permanentemente la instauracin de una sociedad justa, que permita
promover, estimular, organizar y realizar investigaciones en los campos de las
humanidades, la ciencia y la tecnologa.
- Desarrollar la Universidad al servicio de la comunidad nacional, especialmente
de su zona de influencia.
- Desarrollar una poltica concordante con los avances de la ciencia y la
tecnologa, las demandas de la era del conocimiento cientfico y proyectar sus
acciones de formacin profesional competitiva, investigacin productiva,
cientfica y humanstica.
- Valorar, conservar, defender y desarrollar el patrimonio cultural e histrico de la
comunidad local, regional y nacional.
- Fomentar y desarrollar la prctica de los valores tico-morales y cvicos; as
como buscar y defender la integridad nacional, la responsabilidad y vocacin
de servicio a la comunidad; y contribuir a la bsqueda de la independencia
econmica, poltica, cultural y tecnolgica del pas.

1.2.3 UBICACIN GEOGRFICA

El Centro Preuniversitario de la Universidad Nacional de San Cristbal de
Huamanga, es una Unidad Acadmica descentralizada y adscrita al Centro de
Produccin de Bienes y Prestacin de Servicios (CPB & PS), que se encuentra
ubicado en el Distrito de Ayacucho, Provincia de Huamanga y Departamento de
Ayacucho.

Imagen 1 ubicacin geogrfica de CEPRE-UNSCH

Fuente: 1 Google Maps 2017

Imagen 2 localizacin de CEPRE- UNSCH

Fuente: 2 Google Maps 2017

1.2.4 VISIN
Ser la institucin emblemtica y acreditada a nivel Nacional en la preparacin de
calidad para el ingreso y continuacin exitosa de los estudios en las universidades del
pas, preferentemente en la Universidad Nacional de San Cristbal de Huamanga

1.2.5 MISIN
El Centro Preuniversitario tiene la misin de proporcionar una formacin
complementaria a la obtenida en la educacin secundaria, mediante una preparacin
de calidad a los estudiantes que aspiran ingresar y seguir con xito sus estudios en
una Escuela acadmico Profesional de la Universidad Nacional de San Cristbal de
Huamanga.

1.3. OBJETIVOS.
1.3.1 OBJETIVO GENERAL

Desarrollar un Modelo de Gestin de Riesgos para el Centro Preuniversitario de la

Universidad Nacional de San Cristbal de Huamanga.

1.3.2 OBJETIVOS ESPECFICOS.

Analizar la situacin actual del Centro Preuniversitario de la Universidad

Nacional de San Cristbal de Huamanga, con respecto a la seguridad de la
informacin.
Aplicar la metodologa OCTAVE -S para la gestin de riesgos.

1.2.6
1.2.7
1.2.8
1.2.9
1.4. ORGANIGRAMA DE LA INSTITUCIN
1.2.10
 CAPITULO II
5. MARCO TERICO
2.1. RECONOCIENDO RIESGOS
Qu es considerado riesgo y cmo debe ser descrito, depende del contexto de
la organizacin que enfrenta ese riesgo, y de los prejuicios del individuo que lo
evala(National Technical Authority for Information Assurance, 2015).

Segn la normativa ISO/IEC 27005:2008 (2008) el riesgo se define como el potencial

que tiene una determinada amenaza para explotar las vulnerabilidades de un
activo o grupo de activos y por consiguiente causar dao a la organizacin.
Las organizaciones no pueden desarrollarse sin tomar riesgos. El riesgo tecnolgico y
de informacin no se trata solamente de mitigacin y evitacin; la bsqueda y
aceptacin de riesgos crea oportunidades y pueden ayudar a conseguir los objetivos
del negocio.
Habiendo reconocido este amplio significado, se usar la palabra riesgo para
describir el potencial para el dao a la seguridad como resultado del uso de la
tecnologa e informacin con el fin de alcanzar objetivos estratgicos(National
Technical Authority for Information Assurance, 2015).

Es importante no pensar solamente en el riesgo en el contexto de

confidencialidad, integridad y disponibilidad de la tecnologa y la informacin. Adems
de estas, otras cosas sobre las que la organizacin se preocupa (como su reputacin)
pueden estar en riesgo y tambin deben ser tomadas en cuenta (National
Technical Authority for Information Assurance, 2015).

2.2. GESTIN DE RIESGOS

Segn ISACA (2006), la gestin de riesgos es el proceso de identificar
vulnerabilidades y amenazas a las fuentes de informacin usadas por una
organizacin para alcanzar objetivos estratgicos, y decidir qu medidas tomar, si se
necesitan tomarlas para reducir el riesgo hasta un nivel aceptable, basadas en el valor
de la fuente de informacin para la organizacin. El propsito de la gestin de
riesgos es ayudar a la organizacin a protegerse a s misma, y que confe que
la tecnologa e informacin que usa es suficientemente segura para que cumpla
con sus necesidades.

Componentes clave del riesgo

Las evaluaciones de riesgos tienen entradas y salidas. Los insumos fundamentales a
tener en cuenta en una evaluacin de riesgos son la amenaza, la vulnerabilidad y el
impacto. El riesgo se realiza como consecuencia de estas entradas, aunque
algunos enfoques de evaluacin de riesgos incluyen otros insumos (como la
probabilidad y el valor de los activos). Independientemente del mtodo de evaluacin
de riesgos utilizado, todas las entradas y salidas deben ser comprensibles y
significativas en el contexto de la empresa y lo que est tratando de lograr. (National
Technical Authority for Information Assurance, 2015)

Amenaza
Una amenaza describe la fuente de un riesgo que se est identificando. Las amenazas
a los sistemas y servicios incluyen personas que buscaran hacer dao al negocio a
travs de la tecnologa, y peligros como desastres ambientales y accidentes.
Algunas de las amenazas que una organizacin puede enfrentar estn fuera del
control de la organizacin; slo pueden utilizar el conocimiento de amenazas para
facilitar la priorizacin de riesgos (National Technical Authority for Information
Assurance, 2015).

Vulnerabilidad
La vulnerabilidad es una debilidad que puede ser explotada por una amenaza
provocandoun impacto. Un sistema o servicio podra verse comprometido por la
explotacin de las vulnerabilidades de las personas, lugares, procesos o
tecnologa (National Technical Authority for Information Assurance, 2015).

2.3. EL PROCESO DE ADMINISTRACIN DE RIESGOS

Jimnez (2008) expone que, en los diferentes enfoques o metodologas existentes
para la administracin de riesgos, es comn encontrar una serie de tareas o fases
principales, que se pueden definir como:
Planificacin del riesgo, define las acciones necesarias para crear un plan
de riesgo que incluya la metodologa a utilizar, los roles, las
responsabilidades y el presupuesto para implementar el plan y los
cronogramas asociados.
Identificacin del riesgo, considera la determinacin de elementos de
riesgos potenciales mediante la utilizacin de algn mtodo consistente y
estructurado, como la tormenta de ideas, tcnica Delphi, entrevistas o
FODA. Lo importante en esta fase es acceder a la experiencia del
propietario o usuario de la actividad, funcin o proceso en anlisis.
Anlisis, los riesgos se determinan en trminos de su probabilidad de
ocurrencia e impacto (consecuencia). El anlisis debera considerar el
rango de consecuencias potenciales y que tan probable es que
ocurran esas ocurrencias, se obtiene una lista priorizada de los mismos
bajo las prioridades de la administracin.
 Planificacin de la respuesta al riesgo es el proceso para desarrollar
opciones y determinar acciones para reducir las amenazas. Incluye la
identificacin y la asignacin de individuos para tomar la responsabilidad
de cada respuesta por cada riesgo. Este proceso asegura que los
riesgos identificados sean tratados correctamente.
Seguimiento y control pretende no perder de vista los riesgos identificados.
Supervisar los riesgos residuales e identificar nuevos, asegurar la
ejecucin de los planes y de evaluar su eficacia en la reduccin de riesgo
(Jimnez,2008).

Metodologa
1.2.11
Esta investigacin, se desarroll en un marco de investigacin tecnolgica que
hizo uso del conocimiento cientfico y tecnolgico, para modificar el proceso
productivo de la CNEL EP Unidad de Negocio Esmeraldas.
Como parte del proceso ingenieril se procede a una adaptacin intencionada de
medios para alcanzar un fin preconcebido superador de una situacin inicial
dada, y esto constituye una parte esencial de la ingeniera (Dean,2002).

IMPACTO.
El efecto de una amenaza sobre la misin de la organizacin y los objetivos de
negocio.
VALOR DEL IMPACTO
Una medida cualitativa del impacto de u riesgo especifico para la organizacin (alta,
media o baja).
CRITERIOS DE EVALUACIN DEL IMPACTO
Un conjunto de medidas cualitativas contra el cual se evala el efecto de cada riesgo
en la misin de la organizacin y los objetivos de negocio. Criterios de evaluacin de
impacto definen rangos de impacto alto, medio y bajo para una organizacin.
ACTIVOS
Algo de valor para la empresa, activos de tecnologa de la informacin son la
combinacin de los activos fsicos y lgicos y se agrupan en clases especficas
(informacin, sistemas, servicios y aplicaciones, personas).
Categora de activos:
1. Informacin: documentado (en papel o electrnicos) de datos o la propiedad
intelectual utilizada para cumplir con la misin de una organizacin.
 2. Sistemas: una combinacin de la informacin, el software y los activos de
hardware que procesan y almacenan informacin. Cualquier servidor, cliente o
servidor puede ser considerado un sistema.
3. Servicios y aplicaciones: aplicaciones y servicios de software (sistemas
operativos, aplicaciones de base datos.
4. Personas: las personas en una organizacin y que poseen habilidades nicas,
el conocimiento y la experiencia que son difciles de reemplazar.

PRACTICAS DE SEGURIDAD.
Acciones que ayudan a iniciar, implementar y mantener la seguridad dentro de una
empresa.

2.4. OCTAVE-S
Este mtodo creado en el 2005 surge debido a la necesidad de organizaciones
ms pequeas con aproximadamente 100 personas o menos. Se basa en el mtodo
OCTAVE,pero est adaptado a los limitados medios y restricciones nicas de
las pequeas organizaciones; OCTAVE-S utiliza un proceso simplificado y ms
hojas de trabajo diferentes, pero produce el mismo tipo de resultados, lo cual se
acomoda a las necesidades de la Unidad de Negocio Esmeraldas de CNEL.
Cada mtodo de OCTAVE-S es nico, ya que se adapta al entorno de riesgos
de la organizacin, sus objetivos de seguridad, la capacidad de recuperacin y
el nivel de habilidad del personal de la empresa. OCTAVE se centra en las
amenazas y riesgos de seguridad de informacin, pero mira ms all del nivel del
sistema ya que se enfoca en las personas y los procesos (Pez, 2013).

Figura: 1 Proceso OCTAVE (Cequeda, s.f)

 Fuente: 3 Obtenido de: https://seguridadinformaticaufps.wikispaces.com/

1. Construccin de perfiles de amenazas basados en los activos (Pez,2013).

El mtodo OCTAVE-S cuenta con 3 fases las cuales son:
Esta fase cuenta con los siguientes procesos:
Identificar la informacin organizacional
Crear perfiles de amenazas.
Para los que se desarrollan las siguientes actividades:
Establecer el impacto de los criterios de la evaluacin.
Identificar activos organizaciones.
Evaluar prcticas de seguridad organizacionales
Seleccionar activos crticos.
Identificar requerimientos de seguridad
Identificar amenazas a los activos crticos.
2. Identificacin de las vulnerabilidades de la infraestructura(Pez,2013).
Cuenta con un solo proceso en el que se examina la infraestructura computacional
en relacin a los activos crticos (Pez,2013) para lo que se definen las
siguientes actividades:
Examinar rutas de acceso.
Analizar los procesos relacionados con tecnologa.
3. Desarrollo de estrategia y planes de seguridad.
En la Fase Tres se desarrollan planes y estrategias de seguridad a travs de los
siguientes procesos: identificar y analizar los riesgos y desarrollar estrategias y
planes de mitigacin (Pez,2013).
Se cuenta con las siguientes actividades:
Evaluar el impacto de las amenazas.
 Establecer criterios basados en la frecuencia.
Evaluar probabilidades de amenaza.
Describir la estrategia de proteccin actual.
Desarrollar un plan de mitigacin.
Identificar cambios a la estrategia de proteccin e identificar siguientes
pasos.
Las dos principales diferencias en esta versin de OCTAVE que coinciden con
la situacin de la empresa son:

1. OCTAVE-S requiere un pequeo equipo de 3-5 personas que entienden

la amplitud y profundidad de la empresa. Esta versin no comienza con
el conocimiento formal sino con la obtencin de talleres para recopilar
informacin sobre los elementos importantes, los requisitos de seguridad, las
amenazas y las prcticas de seguridad. El supuesto es que el equipo de
anlisis de esta informacin ya se conoce.
2. OCTAVE-S incluye slo una exploracin limitada de la infraestructura
informtica. Las pequeas empresas con frecuencia externalizan sus procesos
de TI por completo y no tienen la capacidad de ejecutar o interpretar
los resultados de las herramientas de vulnerabilidad. La documentacin incluye
hojas de trabajo y orientaciones para cada actividad, as como una
introduccin, la gua de preparacin, y un ejemplo completo. No se incluye an
la adaptacin de orientacin a reuniones o de informacin.

Ventajas
- Flexible: Cada mtodo se puede adaptar al entorno de riesgos que es nico
para su organizacin, los objetivos de seguridad y capacidad de
recuperacin y el nivel de habilidad (Pez, 2013).
- Los escenarios de los talleres abarcan una amplia gama de posibles
incidentes de seguridad, lo que ayuda a prever y planear distintas acciones
y medidas de seguridad en caso de que se presente alguna amenaza
(Pez, 2013).

Desventajas
- La metodologa fallar si las personas involucradas no tienen un amplio
conocimiento de los procesos operativos y de seguridad de la
organizacin.
- No permite modelar matemticamente el riesgo (no es de inters
de la Unidad de Negocio).
Implementacin
El enfoque inicial de OCTAVE es preparar para la evaluacin. De acuerdo al Volumen
2 de la gua de implementacin de OCTAVE hecha por CERT (2005), se
pueden consideran cuatro puntos como factores clave del xito:
1. Conseguir el patrocinio de la alta direccin (Administrador). Este es el
factor de xito por excelencia para las evaluaciones de riesgo de seguridad de
la informacin. Si los directivos no apoyan el proceso, el personal de apoyo
para la evaluacin se disipar rpidamente.
Se aconseja llevar a cabo una evaluacin limitada. Una evaluacin
limitada se centra en un rea de la organizacin (a menudo en un solo activo).
El equipo de anlisis realiza una evaluacin de alcance limitado y presenta los
resultados a los altos directivos. En el caso de CNEL, la evaluacin
inicial podra darse en el rea comercial o tecnolgica. Este enfoque permite a
los gerentes de alto nivel ver lo que los resultados de la evaluacin y pueden
ser una buena manera de conseguir que se interesen en la metodologa.
2. Seleccin del equipo de anlisis. El equipo de anlisis se encarga de
gestionar el proceso y anlisis de la informacin. Los miembros del equipo
necesitan tener suficientes habilidades y entrenamiento para conducir la
evaluacin y para saber cundo hay que aumentar sus conocimientos y
habilidades mediante la inclusin de personas adicionales para una o ms
actividades.
Se deben incluir entre tres y cinco personas que representen el
conocimiento del negocio, su misin, los procesos y visin de TI, que
tengan buena comunicacin y compromiso.
Entre sus actividades se incluyen:
Programar actividades OCTAVE-S
Conducir las actividades de evaluacin
Reunir, analizar y mantener datos de evaluacin durante el proceso.
Coordinar logsticas (1 persona)
Si el equipo de anlisis decide empezar sin formacin, hay algunas cosas que
se pueden hacer para facilitar el proceso de aprendizaje. En primer lugar,
todos los miembros del equipo deben pasar tiempo leyendo sobre OCTAVE-S
y discutirlo entre s. El equipo debera ejecutar un piloto mediante la
seleccin de un activo que los miembros del equipo consideren que es
fundamental para la organizacin. Una vez que se complete el anlisis del
activo, el equipo puede ampliar la evaluacin para otros activos crticos.
 El lder a menudo rene el equipo de anlisis despus de obtener el
patrocinio de alto nivel de gestin para la evaluacin. El Jefe del
departamento de TI sera un buen candidato para ser el lder del proyecto
OCTAVE-S no es una evaluacin de vulnerabilidad tpica que se centra
exclusivamente en cuestiones tecnolgicas. Porque tambin se ocupa de los
negocios, OCTAVE-S es una evaluacin del riesgo operacional que es similar
al proceso de negocio o de gestin de las evaluaciones tradicionales. Es
til si alguien en el equipo de anlisis est familiarizado ha realizado
evaluaciones y toma de decisiones. Al menos un miembro del equipo de
anlisis debe tener cierta familiaridad con la infraestructura informtica de la
organizacin o debe ser el punto de contacto con los proveedores que
configuran y mantienen la infraestructura de computacin. La persona que
tiene familiaridad con la infraestructura tiene que entender los procesos
bsicos de seguridad de la informacin de la organizacin.

3. Ajuste del alcance apropiado del mtodo OCTAVE. La evaluacin debe incluir
importantes reas operativas, pero el alcance no puede ser demasiado grande. Si
es demasiado amplio, ser difcil para el equipo de anlisis analizar toda la
informacin. Si el alcance de la evaluacin es demasiado pequeo, los resultados
pueden no ser tan significativos como deberan ser .Se seleccionar las reas
operacionales que reflejen las funciones principales operativas o comerciales, as
como las funciones importantes de apoyo de la organizacin. Las reas operativas
seleccionadas para la evaluacin deben representar las ms crticas para el xito
de la organizacin o las que tienen el riesgo ms alto.

Al menos cuatro reas son recomendadas, una tiene que ser el

departamento de TI.
Hay que tener en cuenta el compromiso de tiempo que necesite el
personal y si habr conflictos significativos con las operaciones en curso.
Considerar las reas que requieren de informacin electrnica para llevar a
cabo sus funciones.
Considerar las reas en las que los sistemas e informacin electrnica estn
ms expuestos al riesgo.
Considerar las reas crticas que afectaran las operaciones de la
organizacin si estas fallaran.
Se deber registrar los nombres de las reas operacionales seleccionadas en la hoja
de trabajo. Si se ha seleccionado el equipo de anlisis antes de establecer el alcance
de la evaluacin, se deber asegurar de que los miembros del equipo tienen
comprensin de las reas operativas que se evalan. Si el equipo no tiene suficiente
conocimiento de una o ms reas, es posible que necesite ajustar la composicin del
equipo

1.2.12

CAPITULO III

6. FASE DE VISTA ORGANIZACIONAL

2.5. 3.1. ESTUDIO DE LA SITUACIN DE LA ORGANIZACIN DESDE
EL PUNTO DE VISTA DE LA SEGURIDAD (CID).

CONFIDENCIALIDAD
Los empleados mantienen en mucha reserva toda informacin que se maneje
dentro de esta, evitando la divulgacin de manejo de ciertos privilegios que se
dan a personales de alto cargo y la forma de administracin
INTEGRIDAD.
La Unidad de Informtica no cuenta con un adecuado mecanismo de integridad
ya que la informacin que se maneja podra ser manejada por cualquier
 empleado perteneciente a esta unidad para su propio beneficio o de otros
personales.

DISPONIBILIDAD
La Unidad de Informtica, cuenta con un sistema automatizado para el
almacenamiento y administracin de informacin implementado por el
Ministerio de Economa, por ende, los personales administrativos cuentan con
dicha informacin actualizada en todo momento puesto que solo acceden en
un horario de trabajo.

2.6. 3.2. ALCANCE

Las reas que se tiene a disposicin la unidad de informtica en la institucin son:

2.7. SITUACIN ACTUAL DEL REA.

a) UBICACIN
El rea donde se encuentra el sistema de calificaciones SISCALI est ubicado
en la oficina central de la CEPRE.UNSCH, teniendo la responsabilidad de
gestionar los procesos tcnicos de informtica para su utilizacin en la revisin
y calificacin de los exmenes que rinden los estudiantes matriculados tanto para
el examen de seleccin y por ciclo acadmico .

Imagen 3 Oficina de informtica

Fuente: 4 Equipo consultor

b) CARGOS FUNCIONALES Y OPERATIVOS

Imagen 4 Cargos Funcionales Y Operativos

Fuente: 5 Equipo consultor

2.8. 2.3. REA DE ESTUDIO
De acuerdo a la misin de la institucin el proceso critico que se tomar como estudio
ser el proceso de control, administracin y supervisin de la institucin en donde
reside la mayor parte de la informacin que es crtica para el negocio.
1.2.13 2.3.1. ACTIVIDADES DEL PROCESO.
Actualizaciones al control de nuevos hardware
Capacitacin del software en sus nuevas versiones (SIGAMEF,
SIGANET, SIAF)
Registro de los nuevos personales como el registro de nuevas
tecnologas
Evaluacin de los requerimientos de las diferentes reas.
Supervisin de las actividades originadas por la institucin para su
posterior publicacin.
2.9.

2.10. 2.4. CONSTRUIR PERFILES DE AMENAZA BASADOS EN

ACTIVOS
CONSTRUCCIN DE PERFILES DE AMENAZA
Identificacin de la Establecer criterios de
informacin organizacional evaluacin , identificando
los activos de informacin
de la institucin, para
evaluar y planificar
prcticas de seguridad de la
informacin
elaboracin de perfiles de seleccionar los activos
Construccin de perfiles de amenaza a los activos de crticos de informacin ,
amenaza basados en los informacin para poder identificar los
activos de informacin requerimientos de seguridad
para estos activos,
identificar las amenazas de
los activos y crticos y
evaluarlos para su prxima
 atencin

2.11.
2.12. 2.5. ESTABLECER LOS CRITERIOS DE EVALUACIN DE
IMPACTO
Definimos los rangos potenciales de impacto (alto, medio, bajo) de las amenazas a los
activos de informacin, en las reas propuestas.
Confianza de los usuarios.
Seguridad de las personas
Inseguridad de los sistemas

RANGO DE AMENAZAS POTENCIALES

MALWARE ALTO
HACKER MEDIO
SPYWARS BAJO
PISHING BAJO
INUNDACIONES BAJO
INCENDIOS BAJO
FALLAS DE SISTEMA ALTO

2.13. 2.6. IDENTIFICAR ACTIVOS ORGANIZACIONALES

En esta actividad se desarrolla el paso 2 que se describe a continuacin.
Se identificar los activos (sistemas, aplicaciones, informacin, personas) relacionados
con la informacin de la Unidad de Informtica para lo cual se realiz una entrevista al
encargado del rea ING. NILS AHMED CASTRO RUA

DATOS-INFORMACIN: son los activos que estn almacenados en los diferentes

equipos o soportes de informacin y que son transmitidos de un lugar a otro por medios
de transmisin, son: copias de documentos, datos de gestin interna, informacin de
difusin pblica.

Servicios: activos que satisfacen la necesidad de los usuarios, son: acceso a

internet, correo electrnico, correo electrnico institucional.
 Software-aplicativos: son programa y aplicativos que permiten automatizar el
desarrollo de las actividades, son: navegador web, office, correo electrnico,
antivirus, sistemas operativos, sistema de backup.
Hardware: medio material o fsico destinado a soportar de manera directa o
indirecta los servicios que se presta, son: soporte de la red, computadoras, punto
de acceso inalmbrico, cmaras de seguridad, Smartphone.
Soporte de informacin: dispositivos que permiten almacenar informacin de
forma permanente, son: DVD, USB, material impreso.
Equipamiento auxiliar: sirven de soporte a los sistemas de informacin, son:
mobiliario, cableado, fuente de alimentacin
Instalaciones: donde se establece los sistemas de informacin y comunicacin,
son: , almacn, data center.
Personal: personas relacionadas con sistemas de informacin, son: personal de
cmputo, personal de seguridad.

2.14. 2.7. EVALUAR LAS PRCTICAS DE SEGURIDAD

ORGANIZACIONALES
Segn la metodologa octave s esta evaluacin de las prcticas de seguridad se
dividen en dos:
3.1 En este primer paso se analiza hasta qu punto cada prctica de seguridad
es utilizada en la Unidad de Informtica.
3.2 Se registran lo que la organizacin est haciendo bien (prcticas de
seguridad), y lo que no est haciendo bien (vulnerabilidades organizaciones)
utilizando el estudio .
Las prcticas de seguridad que consideramos, son las siguientes.
El personal de la unidad comprende
sus roles y responsabilidades que
deben cumplir, la institucin les
entrega un reglamento en donde se
detalla las polticas en cuanto al uso
de los recursos informticos, estos
deben expresar el acuerdo de
Concienciacin y Formacin en compromiso que debe cumplir. El
Seguridad personal no debe divulgar
informacin, debe ser capaz de
utilizar el software y hardware,
reportando incidentes y su posterior
reporte al encargado

Las estrategias de negocio de la

Unidad de Informtica toman en
consideracin las seguridades
Estratgicas de Seguridad respectivas ya que la tecnologa de la
informacin es parte fundamental de
los procesos.

Esta prctica de seguridad es

administrada por rea de soporte y
el rea de redes en su mayora, es el
encargado de dar soluciones y
mantener cada una de los
Gestin de Seguridad departamentos de trabajo, no existe
un gran presupuesto para la
seguridad de la informacin. Este
punto ser el cual queramos mejorar
con el uso de la metodologa.

Polticas y Regulaciones de
Seguridad
La Unidad cuenta con
procedimientos para proteger la
informacin cuando se trabaja con
Gestin de la seguridad departamentos externos como
Colaborativa Recursos Naturales, Desarrollo
Social, o proyecto PRIO,

Respecto a este punto la institucin

implement algunos controles de
seguridad para proteger los activos
de la informacin como son los
Control de Acceso Fsico antivirus, cmaras de seguridad,
personal de cmputo, adems que no
todas las estaciones de trabajo estn
conectadas a internet y se encuentran
dentro de las salas o cuartos de
cmputo
El Unidad de Informtica existe una
gestin de inventarios de hardware
que permite controlar los cambios en
los equipos con ayuda de las oficinas
Monitoreo y Auditora de de Patrimonio. Pero no cuenta con
Seguridad Fsica. registros de monitoreo y auditoria de
seguridad fsica

La institucin no cuenta con

Gestin de Sistemas y Redes
herramientas que puedan gestionar la
seguridad de los datos. Los equipos
tienen instalados antivirus y los que
estn conectados a internet tiene la
actualizacin automtica. El
encargado de cmputo es quien se
encarga de poner en red a hardware
nuevo o de sacarlo.
una gestin planificada para estos
procedimientos.

Monitoreo y Auditora de
Seguridad de Tecnologas de
Informacin
 El personal administrativo est
autorizado a realizar cambios en los
activos de informacin,
especialmente el rea de Redes y
Soporte, se tiene cuentas para los
usuarios tambin se hace
seguimientos de los registros y
documentos gracias al programa
Autenticacin y Autorizacin SIGANET quien facilita esta
actividad.

Gestin de Vulnerabilidades

Encriptacin La Unidad de Informtica no aplica

ningn tipo de cifrado a sus datos
que estn almacenados, por lo cual
es necesario implementar esta
herramienta. En caso de algn
incidente en los datos o informacin
con el que se cuenta, no se tiene
alguna medida o instruccin para
poder gestionar respaldos o
recuperar los datos.

Diseo y Arquitectura de
Seguridad

Gestin de incidentes

Despus de completar los dos pasos, se asigna un estado de semforo (verde,

amarillo o rojo) para cada prctica de seguridad por rea, El estado de semforo debe
reflejar lo bien o mal que en la Unidad de Informtica se est llevando a cabo en cada
rea. Segn la metodologa se utiliza las siguientes definiciones de semforo como
gua.
Verde: la Unidad de Informtica va llevando de manera correcta las prcticas de
seguridad no hay necesidad real de mejora.
Amarillo: la Unidad de Informtica est llevando a cabo las prcticas de seguridad
hasta cierto punto en esa rea, se puede mejorar.
Rojo: la Unidad de Informtica no est llevando de manera correcta las prcticas de
seguridad en esta rea, existe un amplio margen de mejora.

DETERMINACIN DE PROBLEMAS Y PLANTEAMIENTO DE

POSIBLES PROBLEMAS:
Falta total o parcial de seguridades lgicas y fsicas que garanticen la
integridad , disponibilidad y confidencialidad del Sistema de calificaciones
SISCALI y de los equipos informativos que se vern afectados.
Falta de una planificacin informtica adecuada a los requerimientos y
necesidades de la Institucin .
Falta de documentacin del sistema de informacin SISCALI y del servidor
en uso, lo que dificulta efectuar el mantenimiento de estos , al margen
de las posibles amenazas.
La Institucin que no funciona correctamente por la falta de polticas,
normas, metodologa, asignacin de tareas, debidamente establecidas por
el Director de la Institucin .

REALIZACIN LAS VULNERABILIDADES

EXISTENCIA DE HALLAZGOS:
1. La inexistencia de polticas y procedimientos de registro y escaneo de los
hitos de respuestas.
2. No existe normativas formales de administracin y seguridad aplicadas por
parte de los usuarios finales del sistema.
3. Carece de oficina propia para el registro y escaneo de hitos de respuestas.
4. Carece de un rea informtica en la misma CEPRE-UNSCH
5. Los backups se guardan en la laptop del director del CEPRE -UNSCH.
6. Carece de servidor para guardar los backup para cada examen.
7. Carecen de generador de electricidad para cuando no tengan fluido
elctrico.
8. Carece de un sistema de encriptacin para asegurar las notas.
9. Carecen de protocolos de seguridad de Internet HTTPS y SSH
10. Carecen de canales seguros con el VPN.
 11. No cuentan con servidor de Cortafuegos y Proxy para dar seguridad.

CONCLUSIONES
Como resultado de la auditora realizada al sistema SISCALI de la CEPRE-
UNSCH y a la estructura organizativa de la Institucin podemos manifestar que
hemos cumplido con evaluar cada uno de los objetivos.
Por lo tanto podemos concluir en los siguientes aspectos:
Se debe implementar polticas de seguridad pasiva. Hardware y
almacenamiento:
El sistema debera de estar ubicado en lugar estratgico que pued a ser
prevenido ante desastres naturales.

REFERENCIA BIBLIOGRFICA

ISO/IEC, (2005). ISO/IEC 27001:2005 Information technology Security

techniques -Specification for an Information Security Management System.
Geneva, Switzerland: ISO/IEC.

Pez, (2013). APLICACIN DE LA NORMA OCTAVE-S EN LA

EMPRESA PIRMIDE DIGITAL CIA. LTDA [en lnea] Recuperado de:
http://repositorio.puce.edu.ec/bitstream/handle/22000/6226/T -PUCE-
6401.pdf?sequence=1&isAllowed=y [Accedido el 24 Ene. 2016].