Sistema de Gestión para Mejorar La Seguridad de La Información

UNIVERSIDAD NACIONAL DEL SANTA

FACULTAD DE INGENIERA
E.A.P. DE INGENIERA DE SISTEMAS E INFORMTICA
"SISTEMA DE GESTIN PARA MEJORAR LA

SEGURIDAD DE LA INFORMACIN EN LA INSTITUCIN
SERVICIOS INDUSTRIALES DE LA MARINA"
TESIS PARA OPTAR EL TTULO PROFESIONAL DE

INGENIERO DE SISTEMAS E INFORMTICA
INVESTIGADOR:
BACH. JEINER MARTNEZ RAMOS
ASESOR:
ING. LUIS RAMREZ MILLA
NVO. CHIMBOTE PER

2014
FACULTAD DE INGENIERA
E.A.P. DE INGENIERA DE SISTEMAS E INFORMTICA
"SISTEMA DE GESTIN PARA MEJORAR LA

SEGURIDAD DE LA INFORMACIN EN LA INSTITUCIN
SERVICIOS INDUSTRIALES DE LA MARINA"
TESIS PARA OPTAR EL TTULO PROFESIONAL DE INGENIERO DE

SISTEMAS E INFORMTICA
APROBADO POR EL SIGUIENTE JURADO EVALUADOR
Mg. Hugo Caselli Gismondi

GtgJ;S\:
Mg. Carlos Vega Moreno
Presidente Integrante
NVO. CHIMBOTE -PERU

2014
INDICE GENERAL
Pg.
DEDICATORIA
AGRADECIMIENTO ii
PRESENTACIN iii
RESUMEN iv
ABSTRACT V
INTRODUCCIN vi-viii
CAPTULOI
LA INSTITUCIN 01-04
l.l Nombre 01
1.2 Domicilio legal 01
1.3 Misin 01
1.4 Visin 01
1.5 Valores 01
1.6 Centros de operaciones 02
l. 7 Certificaciones 02
1.8 Organigrama Estructural 03
1.9 rea de Estudio 04
CAPTULO TI
PLAN DE INVESTIGACIN 05-19
2.1 El Problema 05
2.1.1 Realidad Problemtica 05
2.1.2 Anlisis del Problema 08
2.1.3 Formulacin del Problema 09
2.1.4 Antecedentes del Problema 09
2.1.5 Justificacin 11
2.1.5 Importancia de la Investigacin 12
2.2 Objetivos 13
2.2.1 Objetivo General 13
2.2.2 Objetivos Especficos 13
2.3 Hiptesis 14
2.4 Variables 14
2.4.1 Variable independiente 14
2.4.2 Variable dependiente 14
2.5 Metodologa 15
2.5.1 Tipo de investigacin 15
2.5.2 Nivel de investigacin 15
2.6 Diseo de Investigacin 15
2.7 Cobertura de Investigacin 16
2.7.1 Poblacin 16
2.7.2 Muestra 17
2.7.3 Tipo de muestreo 17
2.& Tcnicas e Instrumentos de recoleccin de datos 17
2.8.1 Tcnicas 17
2.8.2 Instrumentos 18
2.9 Tcnicas de procesamiento y anlisis de datos 18
2.1 O Limitaciones 19
CAPTULO 111
MARCO REFERENCIAL 20-31
3.1 Marco Terico 20

3 .1.1 Seguridad de la Informacin 20
3.1.2 Seguridad y Acceso de la Informacin 22
3.1.3 Respaldo de Seguridad 23
3.1.4 Acciones de Prevencin 24
3.2 Marco Conceptual 25
3 .2.1 Sistema de Gestin de Seguridad de la Informacin 25
3.2.2 Confidencialidad 25
3.2.3 Disponibilidad 26
3 .2.4 Integridad 26
3.2.5 Poltica de Seguridad Informtica 27
3.2.6 Plan de Contingencias 28
3.2. 7 Procedimiento de Seguridad 28
3.2.8 ISO/lEC 27001 29
3.2.9 Activo Informtico 29
3.2.10NTP ISO/lEC 17799 30
3 .2.11 Auditora de Seguridad Informtica 30
3.2.12 Metodologa PDCA 31
CAPTULO IV
RESULTADOS 32-88
4.1 Desarrollo del Sistema de Gestin de Seguridad 32

4.1.1 Plan (Establecer el SGSij 33
a) Clasificacin y Control de Activos 33
b) Seguridad Ligada al Personal 34
e) Seguridad Fsica y del Entorno 35
d) Gestin de Comunicaciones y Operaciones 36
e) Control de Accesos 40
f) Adquisicin, Desarrollo y Mantenimiento de Sistemas 42
g) Gestin de Continuidad del Negocio 44
4.1.2 Do (Implementar y operar el SGSij 45
a) Clasificacin y Control de Activos 45
b) Seguridad Ligada al Personal 49
e) Seguridad Fsica y del Entorno 50
d) Gestin de Comunicaciones y Operaciones 51
e) Control de Accesos 59
f) Adquisicin, Desarrollo y Mantenimiento de Sistemas 64
g) Gestin de Continuidad del Negocio 70
4.1.3 Check (Monitorizar y revisar el SGSI) 72
4.1.4 Act (Mantener y mejorar el SGSI) 73
4.2 Resultados para el pre-test 75
4.2.1 Clasificacin y control de activos 75
4.2.2 Seguridad ligada al personal 76
4.2.3 Seguridad fsica y del entorno 77
4.2.4 Gestin de comunicaciones y operaciones 78
4.2.5 Control de accesos 79
4.2.6 Adquisicin, desarrollo y mantenimiento de sistemas 80
4.2.7 Gestin de continuidad del negocio 81
4.3 Resultados para el post-test 82
4.3.1 Clasificacin y control de activos 82
4.3.2 Seguridad ligada al personal 83
4.3.3 Seguridad fsica y del entorno 84
4.3.4 Gestin de comunicaciones y operaciones 85
4.3.5 Control de accesos 86
4.3.6 Adquisicin, desarrollo y mantenimiento de sistemas 87
4.3.7 Gestin de continuidad del negocio 88
CAPTULO V
DISCUSIN 89-115
5.1 Demostracin de la hiptesis 89

5.1.1 Indicador 1 90
y 1: Confidencialidad de la informacin 90
a) Seguridad ligada al personal 90
b) Seguridad fsica y del entorno 93
5.1.2 Indicador 2 97
y2: Disponibilidad de la informacin 97
a) Gestin de comunicaciones y operaciones 97
b) Adquisicin, desarrollo y mantenimiento de sistemas 101
e) Gestin de continuidad del negocio 105
5 .1.3 Indicador 3 108
Y3: Integridad de la informacin 108
a) Clasificacin y control de activos 108
b) Control de accesos 112
CAPTULO VI
CONCLUSIONES 116-117
6.1 Conclusin General 116
6.2 Conclusiones Especficas 116
CAPTULO VII
RECOMENDACIONES 118
REFERENCIA BIBLIOGRFICA 119-122
ANEXOS
INDICE DE TABLAS
Pg.
Tabla N O1: reas que utilizan servicios informticos 16
Tabla N 02: Activos informticos de la DTI 33
Tabla N 03: Clasificacin de Software 46
Tabla N 04: Clasificacin e Inventario de Hardware 47

Tabla N 05: Clasificacin de Servidores 48
Tabla N 06: Clasificacin de Back:up 48
Tabla N 07: Clasificacin de Documentos 49
Tabla N 08: Formato de Monitoreo por proceso 72
Tabla N 09: Clasificacin y control de activos del pre-test 75
Tabla N 10: Seguridad ligada al personal del pre-test 76
Tabla N 11: Seguridad fsica y del entorno del pre-test 77
Tabla N 12: Gestin de comunicaciones y operaciones del pre-test 78
Tabla N 13: Control de accesos del pre-test 79
Tabla N 14: Adquisicin, desarrollo y mantenimiento de sistemas del pre-test 80
Tabla N 15: Gestin de continuidad del negocio del pre-test 81
Tabla N 16: Clasificacin y control de activos del post-test 82
Tabla N 17: Seguridad ligada al personal del post-test 83
Tabla N 18: Seguridad IISica y del entorno del post-test 84
Tabla N 19: Gestin de comunicaciones y operaciones del post-test 85
Tabla N 20: Control de accesos del post-test 86

Tabla N 21: Adquisicin, desarrollo y mantenimiento de sistemas del post-test 87
Tabla N 22: Gestin de continuidad del negocio del post-test 88
Tabla N 23: Clasificacin de indicadores de la variable dependiente 89
Tabla N 24: Resultados por pregunta 91

INDICE DE FIGURAS
Pg.
Figura N O1: Organigrama Estructural de Sima Chimbote 3
Figura N 02: Proceso de Seguridad de la Informacin 20
Figura N 03: Gobierno Corporativo de Seguridad de la Informacin 22
Figura N 04: Medios de respaldo de informacin 23
Figura N 05: Caractersticas de la Seguridad de la Informacin 25
Figura N 06: Confidencialidad de la Informacin 26
Figura N 07: Disponibilidad de la Informacin 26
Figura N 08: Integridad de la Informacin 27
Figura N 09: Poltica de Seguridad Informtica 21
Figura N 10: Plan de Contingencias 28
Figura N 11: Procedimiento de Seguridad 28
Figura N 12: ISO/lEC 27001 29

Figura N 13: Activos Informticos 29
Figura N 14: Modelo de Seguridad de ISO/lEC 17799 30
Figura N 15: Auditora de Seguridad Informtica 30
Figura N 16: Fases de la Metodologa PDCA 31

DEDICATORIA
A Dios por haberme dado la dicha

de la vida y permitirme concluir con
xito mi carrera profesional.
A mis padres, Luis Martnez Arambur

y Carmen Ramos Torres, por haberme
brindado da a da su apoyo incondicional
durante mi formacin profesional.
A mis hermanos Luis y Elas;

y hermanas Jeily y Magdalena,
por apoyarme en todo momento
y brindarme su confianza.
A todos m1s profesores, por haberme

transmitido sus conocimientos y
experiencias a lo largo de mi formacin
profesional.
A todas aquellas personas que

estuvieron a mi lado siempre y
compartieron conmigo muchos
momentos.
AGRADECIMIENTO
Para el logro del presente trabajo recib el apoyo de muchas personas que contribuyeron con
su ayuda a la realizacin y finalizacin del informe de tesis, a quienes expreso mis sinceros
agradecimientos:
A Dios por haberme dado la vida y el apoyo constante da tras da
A mis padres, que gracias a sus esfuerzos permitieron que pueda finalizar con xito mi
carrera profesional
A mis hermanos, que siempre me brindaron su apoyo y consejos en los momentos que
necesite de ellos.
A Joanna Rodrguez, por sus consejos y apoyo para la finalizacin del presente
trabajo.
A la Universidad Nacional del Santa y a los docentes, por la ensefianza recibida

durante el transcurso de mi formacin profesional.
A mi asesor Luis Ramrez Milla, que con su conocimiento y experiencia me gui

durante el transcurso del presente informe de tesis..
Al Ing. Santos Bias, por su apoyo durante mi permanencia en los Servicios Industriales
de la Marina.
Al personal de la Divisin de Tecnologas de la Informacin, por su colaboracin y

apoyo para el xito del presente trabajo de tesis.
ii
PRESENTACIN
SEORES MffiMBROS DEL JURADO EVALUADOR:
De mi mayor consideracin:
En cumplimiento a lo dispuesto en el Reglamento General de Grados y Ttulos de la

Universidad Nacional del Santa y en conformidad a la Ley Universitaria N" 23733 y al D.L.
N 739 para optar el Ttulo de INGENIERO en la Escuela Acadmico Profesional de
Ingeniera de Sistemas e Informtica, pongo a vuestra disposicin el presente proyecto de
tesis titulado: "Sistema de Gestin para mejorar la Seguridad de la Informacin en
la Institucin Servicios Industriales de la Marina", para su valiosa revisin y

aprobacin.
La presente tesis tiene como lugar de aplicacin la Institucin Servicios Industriales de la

Marina (SIMA) de Ja ciudad de Chimbote, cuyo propsito consiste en implementar los
procesos del Sistema de Gestin para mejorar la Seguridad de la Informacin.
Atentamente,
Bach. Jeiner Martnez Ramos
iii
RESUMEN
La presente tesis se realiz en la fustitucin Servicios fudustriales de la Marina (SIMA) de la

ciudad de Chimbote, cuyo propsito fue implementar los procesos del Sistema de Gestin de
Seguridad de la Informacin con la finalidad de mejorar los procesos informticos de la Divisin
de Tecnologas de la fuformacin y de esa manera garantizar la confidencialidad, disponibilidad
e integridad de ]a informacin.
Se implementaron los procesos de clasificacin y control de activos, seguridad ligada al

personal, seguridad fisica y del entorno, gestin de comunicaciones y operaciones, adquisicin,
desarrollo y mantenimiento de sistemas, control de accesos y gestin de continuidad del negocio;
los cuales permitieron clasificar adecuadamente los activos de la Institucin, mejorar el control
de acceso a los servicios informticos e implementar una cultura de seguridad de informacin a
todos los usuarios de la Institucin.
Logrando as gestionar la seguridad de la informacin de todos los procesos de la Divisin de

Tecnologas de la Informacin, y de esta manera lograr reducir el nmero de observaciones por
parte de la Oficina de Gestin de Control en las auditorias de seguridad de la informacin que se
realizan peridicamente.
Autor: Bach. Jeiner Martnez Ramos
Asesor: Ing. Luis Ramrez Milla
iv
ABSTRACT
This thesis was perfonned at the Institute of Marine Industrial Services (SIMA) of the city of
Chimbote, whose purpose was to implement processes Management System Information
Security in order to improve computer processes Technology Division Information and thereby
ensure the confidentiality, availability and integrity of infonnation.
Processes of asset classification and control, security link.ed to personal, physical and
environmental security, communications and operations management, acquisition, development
and maintenance of systems, access control and business continuity management were
implemented, which allowed to classify properly assets of the Institution, improve the control of
access to computer services and implement a culture of safety infonnation to all users of the
Institution.
Achieving and managing infonnation security in all processes of the Division of Infonnation
Technology and thus to reduce the number of observations by the Office ofManagement Control
in security audits ofthe infonnation place regularly.
Author: Bach. Jeiner Martnez Ramos
Adviser: lng. Luis Ramrez Milla
V
INTRODUCCIN
En la actualidad las tecnologas de informacin han ido evolucionando a razn de progresin

geomtrica, permitiendo reducir el tiempo de procesamiento de los procesos tecnolgicos de
las Empresas. Los sistemas de informacin cada vez se disean con mayores propsitos
estratgicos que operacionales, ayudando a la toma de decisiones a travs de la informacin
que se obtiene y permitiendo su almacenamiento en diferentes dispositivos de seguridad.
Situacin que ha implicado que las Empresas brinden una mayor importancia a la seguridad
de la informacin. ya que as como evoluciona la tecnologa tambin se ha evidenciado el
crecimiento de ataques informticos, que a travs del uso de software tratan de alterar o
sustraer informacin clasificada como confidencial para uso indebido. Es por ello que el
presente trabajo de tesis titulado "Sistema de Gestin para mejorar la Seguridad de la
Informacin e la Institucin Servicios Industriales de la Marina" tiene por finalidad
implementar los procesos de un Sistema de Gestin de Seguridad a los procesos informticos
de la Divisin de Tecnologas de la Informacin. Consiguiendo as garantizar la
confidencialidad, disponibilidad e integridad de la informacin distribuida y almacenada en
los equipos informticos de la Institucin. El trabajo de tesis de encuentra dividido en siete
captulos, los cuales se detallan a continuacin:
EL CAPTULO I: describe los datos de la Institucin (nombre, direccin, misin, visin,

valores, estructura organizativa, etc.)
EL CAPTULO 11: describ el plan de investigacin, indicando la realidad problemtica,

anlisis, formulacin y antecedentes del problema, hiptesis, objetivos generales y
especficos, etc.
EL CAPTULO III: describe el marco referencial a emplearse en el presente trabajo,

indicando los conceptos e informacin necesaria para facilitar su realizacin.
EL CAPTULO IV: describe los resultados, indicando el desarrollo de los procesos del
sistema de gestin de seguridad y los resultados de su aplicacin en la Divisin de
Tecnologas de la Informacin.
V1
EL CAPTULO V: describe la discusin a travs de la comprobacin de las hiptesis
formuladas y las conclusiones por cada indicador.
EL CAPTULO VI: describe las conclusiones generales y especficas luego de haber

finalizado el trabajo de tesis.
EL CAPTULO VII: describe las recomendaciones que debe tomar en cuenta la Institucin
para continuar mejorando la seguridad de la informacin.
Finalmente se detallan las conclusiones y recomendaciones obtenidas de la presente tesis.
vii
CAPITULO!
DATOS GENERALES DE LA INSTITUCIN
1.1 Nombre
Servicios Industriales de la Marina Chimbote (Sima Chimbote)
1.2 Domicilio legal
El Centro de Operaciones de Sima Chimbote se encuentra ubicado en Avenida Los

Pescadores N 151, Zona Industrial 27 de Octubre, Distrito de Chimbote, Provincia
del Santa, Departamento de Ancash.
1.3 Misin
La misin de Sima Chimbote es efectuar el mantenimiento, modernizacin, diseo y

construccin de las unidades de la Marina de Guerra del Per y
complementariamente ejecutar proyectos relacionados con la industria naval y metal
mecnica para el sector estatal y privado, dentro de los ms exigentes estndares de
calidad, con el fin de contribuir a la Defensa Nacional y al desarrollo socio-
econmico y tecnolgico del pas.
1.4 Visin
La visin de Sima Chimbote es ser reconocido como el mejor Astillero Naval en

Latinoamrica, orgullo de la industria nacional.
1.5 Valores
Los valores que tiene cada trabajador de Sima Chimbote son:
Entrega de personal
Identificacin y orgullo de ser trabajador de Sima Chimbote
Destreza y calidad del trabajo
Integridad
Competencia
Compromiso con la mejora continua
CAPiTULO I: DATOS DE LA INSTITUCIN 1

1.6 Centros de operaciones
Sima Chimbote cuenta con 03 centros de operaciones en el pas, los cuales se

encuentran distribuidos en lugares estratgicos al entorno de la construccin y
reparacin de buques industriales, pesqueros y militares.
Los centros de operaciones son:
Sima Chimbote {astillero y metal mecnica)

Sima Callao
Sima Iquitos
l. 7 Certificaciones
Sima Chimbote cuenta con las siguientes certificaciones:
ISO 9001 :2008 - Gestin de calidad

ISO 14001 :2004 - Gestin ambiental
OHSAS 18001:2007- Gestin de seguridad y salud en el trabajo
CAPTULO 1: DATOS DE LA INSTITUCIN 2

1.8 Organigrama Estructural
. Jef3tur.t
SIMACHLV!SOTE
Oepanarnento tia l)ip!)rtomenlo de

l"rcduccl6n Produedn
A$tllletl> Meti'JI. MetailiGl'l
-
, . [ 01~1$~1.!e
~-__,.... . 'l o~r::Jo
Figura N 01: Organigrama Estructural de Sima Chimbote

1.9 rea de Estudio
El rea donde se realiz la investigacin es la Divisin de Tecnologas de la

Informacin (DTI), quien es la encargada de llevar a cabo todas las funciones
relacionadas a tecnologas de la informacin (sistemas, redes, informtica, etc.).
La DTI est conformada por las reas de Desarrollo de Sistemas, Soporte Informtico
y Seguridad de la Informacin.

CAPITULOII
PLAN DE INVESTIGACIN
2.1 El Problema
2.1.1 Realidad Problemtica
Los Servicios Industriales de la Marina Chimbote (Sima Chimbote) es el

mayor astillero nacional para embarcaciones de bajo bordo y uno de los
principales centros de produccin de metal mecnica en el pas. Brinda en
todo momento servicios de calidad a sus clientes, contribuye con la
conservacin del medio ambiente y brinda una seguridad y salud adecuada
a todos sus trabajadores.
Cuenta actualmente con oficinas y divisiones, dentro de las cuales se

encuentra la Divisin de Tecnologas de la Informacin (DTI), quin se
encarga de brindar a las diferentes reas la informacin estratgca
requerida para la toma de decisiones en los diferentes niveles
organizacionales, a travs de la aplicacin de las tecnologas de
informacin. La DTI est conformada por las reas de Desarrollo de
Sistemas, Soporte Informtico y Seguridad de la Informacin; de esta
manera la DTI se encarga de dar cumplimiento a las funciones establecidas
en el Manual de Organizacin y Funciones vigente. Los problemas
relacionados a la seguridad de la informacin son los siguientes:
El personal de desarrollo de sistemas desconoce las nociones de seguridad

de la informacin, ya que ningn sistema de informacin tiene
implementado controles de seguridad que garanticen un procesamiento
adecuado de la informacin (controles de entrada, procesamiento y salida).
Lo que ha venido originando que el 50% de los sistemas registren datos
incompletos, incoherentes y por lo tanto el resultado no sea el correcto y
adecuado. Provocando que se emplee tiempo adicional en solucionar estos
problemas.
El 80% de los usuarios de los servicios informticos proporcionan

informacin confidencial (contrasefias), lo que ha originado que en 02
CAPITULO JI: PLAN DE INVESTIGACIN 5

ocasiones, desde reas como contabilidad y tesorera se operen los
sistemas asignados exclusivamente al rea de personal (control de
asistencia, clculo de las planillas, etc.) provocando problemas internos y
manipulacin de informacin no autorizada.
El 90% de contraseas de los usuarios no cumplen con niveles de

seguridad adecuados ya que se realiz una verificacin y se pudo
comprobar que usan datos como su primer nombre, nombre del rea,
nmeros del 1 al 6, nombre del sistema, nombre de alguna familiar, etc.
Informacin que es sencilla de obtener por cualquier usuario, lo que ha
ocasionado que en mas de 07 ocasiones se manipulen sistemas e
informacin por parte de usuarios que desconocen la correcta operacin de
dichos sistemas, teniendo que intervenir en estos casos el personal de
desarrollo de sistemas para corregir dicha manipulacin.
La DTI alberga activos informticos de gran importancia para la Empresa

(servidores, equipos de comunicaciones, base de datos, sistemas de
informacin, documentacin, software, etc.). Pero frente a un simulacro
de tsunami realizado en la Institucin el personal de la DTI no supo que
activos salvaguardar en primera instancia; ya que no existe una
clasificacin de los activos de acuerdo al nivel de importancia para la
continuidad de los servicios informticos frente a algn desastre.
La DTI por ser un rea que aloja equipos e informacin de gran

importancia para la Empresa debe implementar cmaras que permita
monitorear y supervisar en todo momento el ingreso de personal interno y
externo (contratistas, tcnicos de telefnica, visitas, etc.); ya que
diariamente ingresan un promedio de 45 personas al rea, y en una ocasin
ingres personal tcnico a la sala de servidores y por alguna mala
manipulacin dej sin servicios informticos a los usuarios; y en este caso
nadie supo quien provoc el incidente, ya que no se realiz dicho registro.
En 04 oportunidades se pudo verificar que usuarios de diferentes reas

tenan ms niveles de accesos sobre los sistemas (eliminar y modificar).
Lo que ocasion que se elimine informacin del sistema de produccion,
CAPITULO 11: PLAN DE INVESTIGACIN 6

relacionado a operaciones realizadas durante la semana. Para ello fue
necesario ingresar y procesar nuevamente la informacin. Todo ello
debido a que no se realiza un control peridico de los niveles de
accesibilidad de los usuarios sobre el uso de los sistemas en relacin al
tipo de usuario y rea donde se encuentran.
La baja de los usuarios sobre los servicios informticos (sistemas,

computadora, correo electrnico) se realiza hasta con 02 semanas de
retraso, debido a que el Jefe de dicha rea no comunica a la DTI dicha
situacin y ni el encargado de seguridad de la informacin se comunica
con el rea de personal para obtener informacin de los usuarios que
renuncian, son despedidos o no son renovados (con acceso a los servicios
informticos). Se pudo comprobar en 03 ocasiones que usuarios de la
misma rea (logstica, contabilidad, personal) usaron los servicios
informticos del personal que ya no forma parte de la Institucin,
provocando el uso incorrecto de los sistemas correspondientes.
No se realiza un control del acceso que realiza el personal de desarrollo

(analistas de sistemas y programador) a las libreras y cdigo fuente de los
sistemas en produccin, dando la posibilidad a que el personal de
desarrollo acceda al cdigo fuente de sistemas a los que no se encuentra
asignado y debido a su desconocimiento realice alteraciones que pueden
afectar con el funcionamiento normal de los sistemas, ya que estos se
encuentran en produccin y son utilizados por los diferentes usuarios para
el procesamiento de la informacin.
En la codificacin de los sistemas de informacin no se implementan

reglas de integridad y validacin, lo que origin en mas de 04 ocasiones,
desbordamiento de la informacin en los sistemas de comercial y
produccin, generndose as un conflicto en el sistema por lo cual no
estuvo disponible por un lapso de O1 hora, dejando sin servicio informtico
a los usuarios.
La Institucin se encuentra ubicada cerca del mar, por lo cual despus de

un sismo se podra originar un tsunami o maremoto; u otro desastre
CAPTULO 11: PLAN DE INVESTIGACIN 7

(incendio, sismo, etc.). Razn por la cual debe existir un plan de
contingencias debidamente actualizado y realizado dentro de la Institucin
como simulacro frente a los desastres mencionados anteriormente. Pero se
pudo comprobar que ms del 50% del personal de la DTI desconoce que
actividades realizar en estas situaciones, a la vez el plan de contingencias
se encuentra desactualizado y no contempla toda la informacin necesaria
para poder actuar y recuperarse frente algn desastre.
2.1.2 Anlisis del Problema
La presencia de estos problemas relacionados con la seguridad de la

informacin en la DTI, se debe a los siguientes factores:
./ No se cumplen adecuadamente las funciones de seguridad de la

informacin, tales como coordinacin de las acciones sobre
mejoramiento de los sistema$ respecto a medidas de seguridad,
mantener polticas y estndares vigentes de seguridad, identificar
objetivos de seguridad, realizar evaluaciones peridicas sobre las
vulnerabilidades en los sistemas, capacitaciones a los usuarios de los
servicios informticos en temas de seguridad de la informacin, etc .
./ Falta de inters por parte del personal de desarrollo de sistemas, en

investigar y aplicar los estndares de seguridad de la informacin;
para garantizar que los sistemas de informacin estn disponibles en
todo momento, estn permitidos solo a usuarios autorizados y
conserven la informacin en los diferentes procesos.
./ Falta de inters por parte del personal de soporte tcnico, en

implementar medidas de seguridad en los equipos informticos y la
red.
./ El 95% del tiempo se emplea para actividades de desarrollo de

sistemas y soporte tcnico, dejando de lado las actividades de
seguridad de la informacin.
CAPTULO 11: PLAN DH INVHSTIGACIN 8

Para poder solucionar los problemas detallados anteriormente es necesario
implementar un conjunto de polticas, procedimientos y estndares; que permitan
garantizar en todo momento una confidencialidad, disponibilidad e integridad de
la informacin; a la vez debe existir el compromiso por parte del personal de
seguridad de la informacin en cumplir adecuadamente sus funciones; y la
capacitacin permanente al personal (desarrollo de sistemas y soporte tcnico).
2.1.3 Formulacin del Problema
En qu medida el Sistema de Gestin permitir mejorar la Seguridad de la

Informacin en la Institucin Servicios Industriales de la Marina?
2.1.4 Antecedentes del Problema
Los siguientes Proyectos de Investigacin realizados por egresados de la

Universidad Nacional del Santa permitieron resolver problemas parecidos
de los cuales afronta el presente Proyecto, para lo cual se detallan a
continuacin:
- Sistema de Gestin de Seguridad de la Informacin para la

financiera Edyficar -oficina de Nuevo Chimbote
Autores: Mara Flores Coronel y Jessica Ruiz Cortez
Ao: 2011
Resumen: La presente Tesis tiene por objeto investigar las normas y
estndares que van difundindose con mayor nfasis en el mercado
peruano, en especial en el sector financiero. Para lo cual se pretende
rescatar los aspectos ms saltantes de cada norma y estndar, a partir de los
cuales se va a plantear un esquema de gestin de seguridad de informacin
que puede ser empleado por una Financiera en el Per, en este caso su
aplicabilidad ser en la Financiera Edyficar.
Conclusin: Se plante un esquema de seguridad lo cual permiti

implementar normas y estndares sobre cada proceso de la Institucin;
mejorando de esta manera la seguridad de los diferentes procesos
financieros y de la informacin con la que se trabaja. Esta investigacin
CAPTULO JI: PLAN DE INVESTIGACIN 9

ayud a establecer un esquema basado en normas y estndares de
seguridad de la informacin, para su posterior aplicacin.
Informacin utilizada: Se utiliz informacin relacionada a normas y

estndares de seguridad de la informacin, con la cual se permiti facilitar
la investigacin.
- Auditora de las comunicaciones y seguridad informtica para

optimizar los controles y procedimientos informticos de la Empresa
Pesquera Tecnolgica de Alimentos S.A ~ sede Malabrigo.
Autores: Bonye Villarreal Snchez y Glirio Sarzo Miranda
Ao: 2010
Resumen: El presente informe de tesis desarrolla una auditora a las
comunicaciones y seguridad informtica en la Sede Malabrigo de la
Pesquera Tecnolgica de Alimentos S.A., con el fm de revelar la
consistencia de las polticas y procedimientos prescriptos, y el
cumplimiento de los mismos. Como resultado se detallan las debilidades
encontradas y se emiten las recomendaciones que contribuyan a mejorar su
nivel de seguridad. Finalmente se concluye con la contrastac6n de la
hiptesis de cada uno de los segmentos establecidos, como resultado del
desarrollo de la Auditora a las Comunicaciones y Seguridad Informtica.
Conclusin: Se realiz una auditora de seguridad informtica y se pudo

obtener las debilidades que tiene la Empresa respecto a seguridad de la
informacin; realizndose las recomendaciones necesarias para su
mejoramiento. Esta investigacin ayud en la elaboracin de
procedimientos y polticas de seguridad; previos a una auditora realizada.
Informacin utilizada: Se utiliz informacin relacionada al proceso de

auditora de seguridad informtica, con lo cual se facilit realizar dicho
proceso en la Empresa.
CAPTULO ll: PLAN DE INVESTIGACIN 10

- Auditora orientado a los sistemas de informacin, comunicaciones y
seguridad informtica en corporacin pesquera San Antonio S.A
oficina Samanco.
Autor: Edward Romero Bustamante
Ao: 2001
Resumen: El presente informe de tesis realiza una auditora a los sistemas
de informacin, comunicaciones y seguridad informtica en la corporacin
pesquera San Antonio, con el fin de verificar las polticas y
procedimientos, junto al cumplimiento de los mismos. Como resultado se
detallan las debilidades encontradas y se emiten las recomendaciones que
contribuyan a mejorar el nivel de seguridad en los procesos auditados.
Conclusin: Se realiz la auditora a la seguridad informtica,

comunicaciones y sistemas de la informacin, detallndose las debilidades
y recomendaciones a la Empresa. Esta investigacin ayud6 a verificar de
manera adecuada las polticas y procedimientos de seguridad de la
informacin.
Informacin utilizada: Se utiliz informacin relacionada a polticas y

procedimientos para garantizar una adecuada implementacin de la
2.1.5 Justificacin
Justificacin Social
La realizacin del presente Proyecto de Investigacin en la DTI permitir

lo siguiente:
./ Controlar y cJasificar adecuadamente los activos de gran

importancia.
./. Controlar adecuadamente el acceso a los servicios info:nnticos.
./ Promover una cultura de seguridad entre los usuarios de los
diferentes servicios informticos.
./ Brindar a los usuarios servicios adecuados.
CAPITULO ll: PLAN DE INVESTIGACIN 11

v" Garantizar una adecuada recuperacin ante posibles
contingencias.
Justificacin Econmica
Sima Chimbote es una Institucin que cuenta con recursos econmicos

necesarios para invertir en la realizacin de proyectos que mejoren los
servicios que actualmente brinda, y debido a que el presupuesto del
proyecto no es demasiado alto entonces no existen inconvenientes para
su ejecucin.
Justificacin Operativa
Para la ejecucin del Sistema de Gestin, Sima Chimbote cuenta

actualmente con todos los recursos necesarios (personal, software,
hardware, etc.) para lograr una adecuada gestin de la seguridad de la
informacin.
2.1.5 Importancia de la Investigacin
La realizacin del presente Proyecto denominado "Sistema de Gestin

para mejorar la Seguridad de la Informacin en la Institucin Servicios
Industriales de la Marina'', es de gran importancia ya que permitir lo
siguiente:
v" Gestionar adecuadamente la seguridad de la informacin sobre los

activos de gran importancia.
v" Controlar de manera adecuada el acceso a la informacin sensible
por parte de los usuarios.
v" Proteger la informacin sensible de robos o ataques de agentes
externos.
v" Clasificar los activos de acuerdo a su nivel de importancia para la
continuidad de Jas actividades de la Empresa.
./ Incentivar una cultura de seguridad de la informacin entre los
usuarios.
CAPTULO ll: PLAN DE INVESTIGACIN 12

2.2 Objetivos
2.2.1 Objetivo General
v" Mejorar la Seguridad de la Informacin en la Institucin Servicios

Industriales de la Marina.
2.2.2 Objetivos Especficos
./ Utilizar la metodologa PDCA, para una adecuada implementacin del

sistema de gestin de seguridad.
./ Capacitar peridicamente a los usuarios de los servicios informticos

sobre temas relacionados a la Seguridad de la Informacin. (C)
./ Establecer y supervisar los niveles de accesibilidad a los sistemas de

informacin. (C)
./ Actualizar y ejecutar el Plan de Contingencias, con la fmalidad de

preparar y capacitar al personal frente a algn desastre que pueda
interrumpir la continuidad de los servicios informticos. (D)
./ Establecer controles de seguridad (entrada, proceso y salida) en todos

los sistemas de informacin operativos. (I)
./ Implementar niveles adecuados de seguridad en el uso y creacin de las

contraseas de acceso a los diferentes servicios informticos. (I)
./ Clasificar los activos informticos (servidores, backup, software,

documentacin, etc.) de acuerdo al nivel de importancia para la
Empresa. (I)
./ Establecer un procedimiento para dar de baja a los usuarios de los

servicios informticos. (I)
./ Emplear normas nacionales relacionadas a seguridad de la informacin,

para una adecuada implementacin del sistema de gestin de seguridad.
CAPTULO 11: PLAN DE INVESTIGACIN 13

2.3 Hiptesis
El Sistema de Gestin mejora la Seguridad de la Informacin en la Institucin

Servicios Industriales de la Marina.
2.4 Variables
2.4.1 Variable independiente
X: Sistema de Gestin
Definicin: Sistema de gestin compuesto por un conjunto de polticas,

procedimientos y estndares, para mejorar un proceso especfico.
2.4.2 Variable dependiente
Y: Seguridad de la Informacin
Definicin: Conjunto de procesos para establecer un nivel de seguridad

adecuado a la informacin.
Indicadores:
yl: Confidencialidad de la informacin

Nmero de accesos garantizados
Nivel de seguridad de las contraseas
Nmero de niveles de accesibilidad
y2: Disponibilidad de la informacin

Nmero de sistemas de informacin operativos
Tiempo de continuidad de los sistemas
Nmero de activos clasificados
y3: Integridad de la informacin

Nmero de modificaciones no autorizadas
Numero de permisos establecidos
Nmero de controles establecidos
CAPiTULO ll: PLAN DE INVESTIGACIN 14

2.5 Metodologa
2.5.1 Tipo de investigacin
El tipo de investigacin es aplicada, porque se hace uso de las teoras y

las leyes de la investigacin bsica y sobre gestin de seguridad de la
informacin. A la vez se utilizar informacin obtenida en diferentes
investigaciones relacionadas con el tema, las cuales servirn de ayuda
para poder resolver el problema identificado.
2.5.2 Nivel de investigacin
El nivel de investigacin es descriptivo, porque se seala como se

manifiesta un fenmeno o evento; cuando se busca especificar las
propiedades importantes para medir y evaluar aspectos, dimensiones o
componentes del fenmeno a estudiar.
2.6 Diseo de Investigacin
El Diseo de la Investigacin que aplicaremos ser: Series cronolgicas de un

solo gr11po, donde a un nico grupo se le administran varias pre:..pruebas, despus
se le aplica el tratamiento experimental y finalmente varias post-pruebas. El
diagrama del diseo sera:
Donde:
G: grupo nico
01, 02,03: pre pruebas
X variable independiente
04, 05,06: post pruebas
El nmero de mediciones est sujeto a las necesidades especficas de la
investigacin.
X ~ Y (yl, y2, y3)

2. 7 Cobertura de Investigacin
2.7.1 Poblacin
La poblacin est conformada por todas las oficinas, divisiones,

departamentos y talleres que utilizan los servicios informticos; reas en
las cuales la seguridad de la informacin pueda ser vulnerada.
, Oficina/Departamento Divisin/Taller Total

Gestin ambiental 01
....:..
Gestin Integrada Gestin de la calidad 01

Seguridad y salud 01
Contrataciones 01
Logstica Almacenes 01
Evaluacin y desarrollo 01
Estratgica Tecnologas deJa informacin 01
Clientes particulares 02
Mantenimiento y servicios 02
Control de calidad 02
Diseno y desarrollo 02
Planeamiento y control 02
Produccin Construcciones navales 01
Mecnica naval 01
Mecnica 01
Tratamiento de superficies 02
Maniobras 01
Fabricaciones 01
TOTAL 24
Tabla N 01: reas que utilizan servicios informticos

2.7.2 Muestra
La muestra ser la Divisin de Tecnologas de la Informacin, ya que es

el rea donde se encuentran los servidores (correo, base de datos,
archivos, etc.), sistemas de informacin, documentacin y diferentes
activos de gran importancia para la realizacin de las actividades de la
Institucin; la cual representa a la vez la divisin ms vulnerable a sufrir
algn ataque relacionado con la seguridad de la informacin.
2.7.3 Tipo de muestreo
Se va a utilizar un muestreo no probabilstico intencionado, con la

fmalidad de seleccionar como muestra a la DTI para la investigacin.
2.8 Tcnicas e Instrumentos de recoleccin de datos
2.8.1 Tcnicas
Las tcnicas que utilizaremos para la recoleccionar, conservar, analizar y

transmitir los datos de los fenmenos sobre los cuales realizamos la
investigacin son las siguientes:
La observacin: Consiste en la percepcin sistemtica y dirigida a

captar los aspectos ms significativos de los objetos, hechos,
realidades sociales y personas en el contexto donde se desarrollan
normalmente.
La encuesta: Es una tcnica que al igual que la observacin est

destinada para recopilar Jos datos necesarios para realizar la
nvestigacin.
La entrevista: Consiste en una conversacin personal que el

entrevistador establece con los sujetos investigados, con el
propsito de obtener los datos necesarios para realizar la
investigacin.
CAPTULO 11: PLAN DE INVESTIGACIN . 17

2.8.2 Instrumentos
Los instrumentos facilitan a las tcnicas el proceso de recoleccin de los

datos. Los instrumentos a emplear en la investigacin son los siguientes:
Fichas
Fotografia
Cuaderno de notas
Cuestionarios
Checklist
2.9 Tcnicas de procesamiento y anlisis de datos
Para el procesamiento, anlisis contrastacin e interpretacin de resultados de la

investigacin se aplicarn las tcnicas estadsticas.
./ Medidas de tendencia central

Media aritmtica
./ Medidas de dispersin
Desviacin estndar
./ Presentacin de los datos

Elaboracin de cuadros estadsticos y grficos
./ Pruebas de hiptesis
Prueba de normalidad: Para probar el supuesto de normalidad.
CAPiTULO ll: PLAN DE INVESTIGACIN 18

2.10 Limitaciones
En la presente investigacin encontramos las siguientes limitaciones:
./ El personal de la DTI disponen de un tiempo reducido para colaborar con

la investigacin, ya que tienen tareas asignadas diariamente .
./ La DTI dispone solo del 10% de informacin relacionado a seguridad de

la informacin, haciendo complicado la investigacin.
./ El acceso a los recursos y servicios informticos se encuentran

restringidos.
CAPiTULO 11: PLAN DE INVESTIGACIN 19

CAPITULO lB
MARCO REFERENCIAL
3.1 Marco Terico
3.1.1 Seguridad de la Informacin
La informacin es un activo que, como otros activos importantes del negocio,

tiene valor para la organizacin y requiere en consecuencia una proteccin
adecuada. Esto es muy importante en el creciente ambiente interconectado de
negocios. Como resultado de esta creciente interconectividad, la informacin
expuesta a un mayor rango de amenazas y vulnerabilidades. La informacin
adopta diversas formas. Puede estar impresa o escrita en papel, almacenada
electrnicamente, transmitida por correo o por medios electrnicos, mostrada
en video o hablada en conversacin. Deberla protegerse adecuadamente
cualquiera que sea la forma que tome o los medios por los que se comparta o
almacene. La seguridad de la informacin se consigue implantando un
conjunto adecuado de controles, que puedes ser politicas, prcticas,
procedimiento, estructuras orgatiizativas y funciones de software y hardware.
Estos controles necesitan ser establecidos, implementados, monitoread.Os,
revisados y mejorados donde sea necesario, para asegurar que se cumplan los
1
objetivos especficos de seguridad y negocios de la organizacin .
Figura N 02: Proceso de Seguridad de la Informacin
CAPTULO ll/: MARCO REFERENCIAL 20

La necesidad de mantener la integridad de la informacin y de proteger los
activos de T.I, requiere de un proceso de administracin de la seguridad. Este
proceso incluye el establecimiento y mantenimiento de roles y
responsabilidades de seguridad, polticas, estndares y procedimientos de T.I.
La administracin de la seguridad tambin incluye realizar monitoreos de
seguridad y pruebas peridicas as como realizar acciones correctivas sobre
las debilidades o incidentes de seguridad identificados. Una efectiva
administracin de la seguridad protege todos los activos de T .I para
minimizar el impacto en el negocio causado por vulnerabilidades o incidentes
2
de seguridad
Definir la seguridad de la informacin es complejo, debido a la gran cantidad

de factores que intervienen. Sin embargo es posible dar una aproximacin a la
definicin y se puede decir que la seguridad es el conjunto de recursos
(metodologas, documentos, programas y dispositivos fisicos) encaminados a
lograr que los recursos de cmputo disponibles en un ambiente dado, tengan
acceso nica y exclusivamente quienes tengan la autorizacin para hacerlo.
La complejidad creciente y el alcance del uso de las computadoras en una
organizacin ha propiciado que los sistemas de almacenamiento y
divulgacin de informacin se encuentren en manos de unas cuantas
personas, las cuales al efectuar su trabajo y concentrarse mas que de nada en
ello, no realizan controles adecuados en el uso de los mismos, es decir, en
. 3
estos sistemas .
Para lograr un gobierno efectivo de seguridad de informacin, la gerencia

debe establecer y mantener un marco para guiar el desarrollo y administracin
de un programa completo de seguridad de informacin que soporte los
4
objetivos del negocio
CAPTULO lll: MARCO REFERENCIAL 21

Figura N 03: Gobierno Corporativo de Seguridad de la Informacin
3.1.2 Seguridad y Acceso de la Informacin
En los procedimientos administrativos es recomendable la identificacin

previa del personal que va a ingresar a las reas de cmputo, verificando si
cuenta con la autorizacin correspondiente y registrndose el ingreso y salida
al rea. Las rutinas de control, permiten que los usuarios ingresen al sistema,
previa identificacin, mediante una palabra clave (password),. la cual ser
nica para cada uno de ellos; negando el acceso a las personas que no han
sido definidos como usuarios del sistema. Las rutinas de control de acceso
. identificarn a los usuarios autorizados a usar determinados sistemas con su
correspondiente nivel de acceso, el cual incluye la lectura o modificacin en
5
sus diferentes formas .
Toda informacin almacenada en medios magnticos u pticos debe contar

con un documento donde se registre:
Intensificacin del archivo, especificndose .si se trata de un
archivo maestro, base de datos, archivo primario o archivo
temporal.
CAPiTULO III: MARCO REFERENCIAL 22

Identificacin del sistema o aplicacin que lo usa.
Frecuencia del proceso.
La longitud del registro del archivo (numero total de caracteres por
registro).
Los campos contenidos, cada uno con su nombre mnemotcnico,
una explicacin descriptiva, longitud -y tipo de campo
(alfanumrico, numrico, fecha, etc.).
3.1.3 Respaldo de Seguridad
La informacin almacenada en medios magnticos u pticos tendrn al menos

una copia de respaldo en (diskettes o en otro medio de que disponga la
Institucin), debido a que el costo de recuperacin de la informacin puede
ser demasiado alto. La informacin almacenada debe ser verificada
ntegramente, tanto el original como las copias (en caso de encontrarse
empaquetada, desempaquetarla como verificacin). Asimismo, debe
verificarse que la informacin no est contaminada con virus informtico.
Debe existir una copia de los archivos importantes que estn concluidos, tanto
en el rgano central como en uno de sus locales, como respaldo preventivo.
Los archivos que son textos, hojas de clculo, grficos, etc.; mientras no se
concluyan, ser guardado en una sola copia por cada actualizacin para
6
facilitar su almacenamiento.
Figura N 04: Medios de respaldo de informacin
CAPiTULO lll: MARCO REFERENCIAL 23

3.1.4 Acciones de Prevencin
Con relacin a las reas de trabajo y a las aplicaciones utilizadas:
El rea de cmputo, donde operan los servicios de informacin y

sistemas interactivos orientados a internet, deben ser de acceso
restringido, solo para personal autorizado.
La informacin, servicios y procedimientos administrativos a
proveer a la ciudadana, deben administrarse por medios
electrnicos con aplicaciones seguras.
Debe incorporarse un sistema de seguridad antivirus, a los
servidores que gestionan las bases de datos y las aplicaciones de los
servicios a la ciudadana.
Se recomienda incluir una herramienta de deteccin de intrusos y
control de accesos para proteger la informacin de carcter
confidencial de la Institucin.
Disponer de copias completas de seguridad (backup) de la
informacin base de datos y aplicativos, con herramientas de
respaldo en lnea que evite interrumpir los servicios de los
servidores.
Disponer de dispositivos de backup SCSI de tecnologa actual, para
un respaldo adecuado de Jos servidores.
Resolver el problema de administracin de cuentas y grupos para
tener el absoluto control de quienes son las personas autorizadas y
con derechos en los recursos de almacenamiento.
Tener una adecuada alimentacin elctrica, que involucra el estado
de los pozos a tierra, UPS, estabilizador, grupo electrgeno y redes
7
de alimentacin elctrica independientes
CAPTULO ll/: MARCO REFERENCIAL 24

3.2 Marco Conceptual
3.2.1 Sistema de Gestin de Seguridad de la Informacin: El SGSI, es el

concepto central sobre el que se construye ISO 2700 l. La gestin de la
seguridad de la informacin debe realizarse mediante un proceso sistemtico,
documentado y conocido por toda la organizacin. Este proceso es el que
constituye un SGSI, que podra considerarse, por analoga con una norma tan
conocida como ISO 9001, como el sistema. de calidad para la seguridad de la
informacin. Garantizar un nivel de proteccin total es virtualmente
imposible, incluso en el caso de disponer de un presupuesto ilimitado. El
propsito de un sistema de gestin de la seguridad de la informacin es, por
tanto, garantizar que los riesgos de la seguridad de la informacin sean
conocidos, asumidos, gestionados y minimizados por la organizacin de una
forma documentada, sistemtica, estructurada, repetible, eficiente y adaptada
1
a los cambios que se produzcan en los riesgos, el entorno y las tecnologas.
Figura N 05: Caractersticas de la Seguridad de la Informacin
3.2.2 Confidencialidad: La confidencialidad se entiende en el mbito de la

seguridad informtica, como la proteccin de datos y de informacin
intercambiada entre un emisor y uno o ms destinatarios frente a terceros.
Esto debe hacerse independientemente de la seguridad del sistema de
comunicacin utilizado: de hecho, un asunto de gran inters es el problema
de garantizar la confidencialidad de la comunicacin utilizada cuando el
sistema es inherentemente insegura (como Internet). En un sistema que
garantice la confidencialidad, un tercero que entra en posesin de la
informacin intercambiada entre el remitente y el destinatario no es capaz
de extraer cualquier contenido inteligible.
CAPITULO ll/: MARCO REFERENCIAL 25

Figura N 06: Confidencialidad de la Informacin
3.2.3 Disponibilidad: Se refiere a la continuidad de acceso a los elementos de

informacin almacenados y procesados en un sistema informtico. Basndose
en este principio, las herramientas de seguridad informtica deben reforzar la
permanencia del sistema informtico, en condiciones de actividad adecuadas
para que los usuarios accedan a los datos con la frecuencia y dedicacin que
requieran. Este principio es particularmente importante en sistemas
informticos cuyo compromiso con el usuario es prestar servicio permanente.
Figura N 07: Disponibilidad de la Informacin
3.2.4 Integridad: Se refiere a la validez y consistencia de los elementos de

informacin almacenados y procesados en un sistema informtico.
Basndose en este principio, las herramientas de seguridad informtica
deben asegurar que los procesos de actualizacin estn sincronizados y no
se dupliquen, de forma que todos los elementos del sistema manipulen
adecuadamente los mismos datos. Este principio es particularmente
CAPTULO lll: MARCO REFERENCIAL 26

importante en sistemas descentralizados, es decir, aquellos en los que
diferentes usuarios, computadoras y procesos comparten la misma
informacin.
Figura N 08: Integridad de la InformaCin
3.2.5 Poltica de Seguridad Informtica: Una poltica de seguridad informtica es

una forma de comunicarse con los usuarios y los gerentes. Establecen el canal
formal de actuacin del personal, en relacin con los recursos y serviCios
informticos, importantes de la organizacin. No se trata de una descripcin
tcnica de mecanismo de seguridad, ni de una expresin legal que involucre
sanciones a conductas de los empleados. Es mas bien una descripcion de lo
que deseamos proteger y el porque de ello. Es a la vez un conjunto de
requisitos definidos por los responsables de un sistema, que indica en
trminos generales que est y que no est permitido en el rea de seguridad
durante la operacin general de los sistemas.
Figura N 09: Poltica de Seguridad Informtica
CAPiTULO Ill: MARCO REFERENCIAL 27

3.2.6 Plan de Contingencias: Es un procedimiento alternativo al orden normal de
una Empresa, cuyo fm es permitir el normal funcionamiento de esta, aun
cuando alguna de sus funciones se viese daada por un accidente interno o
externo. El plan de contingencia supone un avance a la hora de superar
cualquier eventualidad que puedan ocasionar prdidas y llegado el caso no
solo materiales sino personales.
t.~..;..\fi:.
tJ.{,~.~I,'ctt,;t"c..;.~
Figura N 10: Plan de Contingencias
3.2. 7 Procedimiento de Seguridad: Determina las acciones o tareas a realizar en el

desempeo de un proceso relacionado con la seguridad y las personas o
grupos responsables de su ejecucin. Son, por tanto, la especificacin de una
serie de pasos en relacin a la ejecucin de un proceso o actividad que trata
de cumplir con una norma o garantizar que en la ejecucin de actividades se
considerarn determinados aspectos de seguridad.
Figura N 11: Procedimiento de Seguridad
CAPiTULO lll: MARCO REFERENCIAL 28

3.2.8 ISO/lEC 27001: Es el estndar para la seguridad de la informacin, fue
aprobado y publicado como estndar internacional en octubre de 2005 por la
Organizacin Internacional de Estandarizacin y por la Comisin
Electrotcnica Internacional. Especifica los requisitos necesarios para
establecer, implantar, mantener y mejorar un Sistema de Gestin de la
Seguridad de la Informacin (SGSI) segn el conocido ciclo de Deming. Es
consistente con las mejores prcticas descritas en ISO/lEC 17799 y tiene su
origen en la norma BS 7799-2:2002, desarrollada por la entidad de
normalizacin britnica British Standars Institution (BSI).
Figura No 12: ISO/lEC 27001
3.2.9 Activo Informtico: Recurso del sistema de informacin o relacionado con

ste, necesario para que la Organizacin funcione correctamente y alcance los
objetivos propuestos.
Figura N 13: Activos Informticos
CAPITULO /11: MARCO REFERENCIAL 29

3.2.10 NTP ISO/lEC 17799: Es la Norma Tcnica Peruana publicada por la
Oficina Nacional de Gobierno Electrnico, encargada de proporcionar el
cdigo de buenas prcticas para la gestin de la seguridad de la informacin
en las Entidades del Estado.
Figura N 14: Modelo de Seguridad de ISO/lEC 17799
3.2.11 Auditora de Seguridad Informtica: Abarca los conceptos de seguridad

fisica y lgica. La seguridad fisica se refiere a la proteccin del hardware y
los soportes de datos, as como la seguridad de los edificios e instalaciones
que los albergan. El auditor informtico debe contemplar situaciones de
incendios, inundaciones, sabotajes, robos, catstrofes naturales, etc. Por su
parte, la seguridad lgica se refiere a la seguridad en el uso de software, la
proteccin de los datos, procesos y programas; as como la del acceso
ordenado y autorizado de los usuarios a la informacin.
Figura N 15: Auditora de Seguridad Informtica
CAPTULO Ill: MARCO REFERENCIAL 30

3.2.12 Metodologa PDCA: Es la metodologa empleada para la implementacin
de un sistema gestin de seguridad de la informacin. Est compuesto por
las siguientes etapas: planificar, hacer, verificar y actuar, donde cada etapa
comprende una serie de actividades correspondientes.
Figura N 16: Fases de la Metodologa PDCA
027267
CAPTULO II/: MARCO REFERENCIAL 3l

CAPITULO IV
RESULTADOS
4.1 Desarrollo del Sistema de Gestin de Seguridad
Para el desarrollo del SGSI es necesario tomar como base la norma ISO 27001 e
ISO/lEC 17799. Estos estndares fueron elaborados para proveer un modelo para el
establecimiento, implementacin, operacin, monitoreo, mantenimiento y mejora
de un SGSI. La decisin por parte de la Institucin de adoptar un SGSI es una
decisin estratgica, ya que el SGSI est fuertemente ligado a las necesidades y
objetivos de la misma.
Para el desarrollo del SGSI adoptaremos el modelo "Plan- Do- Check- Act",
tambin conocido como PDCA, el cual es aplicado a toda la estructura de procesos
del SGSI.
Plan (Establecer el SGSI): Implica establecer la poltica del SGSI, sus

objetivos, procesos y procedimientos relevantes para la administracin de
riesgos y mejoras para la seguridad de la informacin, con resultados
acordes a las polticas y objetivos de toda la Organizacin.
Do (Implementar y operar el SGSI): Representa la forma en que se debe

operar e implementar las polticas, controles, procesos y procedimientos que
se vayan a definir en la planificacin del SGSI.
Check (Monitorizar y revisar el SGSI): Analizar y medir donde sea

aplicable, los procesos ejecutados con relacin a la poltica del SGSI,
evaluar objetivos, experiencias e informar los resultados a la administracin
para su revisin.
Act (Mantener y mejorar el SGSI): Realizar las acciones preventivas y

correctivas, basados en las auditoras internas y/o externas, revisiones del
SGSI o cualquier otra informacin relevante para permitir la- continua
mejorar del sistema.
CAPTULO IV: RESULTADOS 32

4.1.1 Plan (Establecer el SGSI)
El Sistema de Gestin de Seguridad de la Informacin a implementar

estar conformado por 07 procesos: clasificacin y control de activos,
seguridad ligada al personal, seguridad fisica y del entorno, gestin de
comunicaciones y operaciones, control de accesos, desarrollo y
mantenimiento de sistemas, y gestin de continuidad del negocio.
Para conocer la actual situacin en la que se encuentran estos procesos en

la DTI se realiz una auditora a cada proceso identificado, obteniendo Jos
siguientes resultados:
a) Clasificacin y Control de Activos
Para este proceso aplicamos la Gua de Observacin N 01

Clasificacin y Control de Activos (Anexo 01)
Los activos informticos con los que cuenta la DTI son los
siguientes:
01 Software Se cuenta con software de ofimtica,

desarrollo. disefio, etc.
02 Hardware Se cuenta con equipos de cmputo,
impresin, fotocopiado, etc.
03 Servidores Se cuenta con los servidores de correo,
base de datos, archivos, impresin, etc.
04 Backup Se cuenta con backup de todas las
reas almacenados en DVDs.
05 Documentacin Se cuenta con documentacin de los
procesos de desarrollo, soporte y
seguridad.
Tabla N 02: Activos informticos de la DTI

El software con que cuenta la DTI no se encuentra clasificado
de acuerdo a su uso y al nivel de importancia para el rea,
teniendo en cuenta que todo el software es licenciado y original
El hardware con que cuenta la DTI se encuentra inventariado

hasta el afio 2009, en adelante no se ha realizado una
actualizacin de los nuevos equipos informticos adquiridos.
Los servidores con que cuenta la DTI no se encuentran

clasificados de acuerdo a su importancia para la Institucin en
una situacin de contingencia.
El backup con que cuenta la DTI se encuentra almacenada en un

estante de madera por fecha de respaldo, pero no se encuentra
clasificado de acuerdo a su importancia, ya que en este backup
se encuentra informacin de los sistemas, correo, base de datos,
etc. Informacin que es de gran importancia para la Institucin.
La documentacin con que cuenta la DTI se encuentra archivada

en estantes de madera pero no clasificada adecuadamente por
ejemplo en documentacin de usuarios (solicitudes, formatos,
trmites, etc.) y sistemas (manuales, diagramas, formatos, listas
de accesos, etc.).
El control de los activos informticos no se realiza como parte

de las funciones del rea, obvindose informacin de cmo se
encuentran actualmente y cuales son las acciones a tomar para
garantizarles una seguridad de la informacin adecuada.
b) Seguridad Ligada al Personal
Para este proceso aplicamos la Gua de Observacin No 02 -

Seguridad Ligada al Personal (Anexo 02)
Cuando un personal ingresa a laborar a la DTI no se le hace

firmar ningn acuerdo de confidencialidad, ya que por su

naturaleza el rea procesa y almacena informacin confidencial
y de gran importancia para la Institucin.
Cuando un personal ingresa a laborar al Sima Chimbote y segn

sus funciones har uso de los servicios informticos (correo,
internet, sistemas, etc.), actualmente no se le brinda a nadie una
pequea capacitacin relacionada a seguridad informtica,
concerniente al uso y cambio de las contraseas de los sistemas,
accesos a pginas web y acceso a informacin confidencial. Lo
que implica que los usuarios de los servicios informticos no
cuentan con nociones de seguridad en la realizacin de sus
funciones.
Cuando se contrata personal externo (outsorcing) para realizar

trabajos dentro de la DTI, no se le hace firmar ningn
compromiso para proteger la confidencialidad e integridad de la
informacin y a la vez en los contratos no existe ningn clusula
el cual garantice que la seguridad de la informacin de la
Institucin no se ver comprometida ni afectada con el
cumplimiento de sus actividades.
e) Seguridad Fsica y del Entorno
Para este proceso aplicamos la Gua de Observacin N 03

Seguridad Fsica y del Entorno (Anexo 03)
El acceso principal a la DTI es utilizado tanto para personal

interno como externo (terceros), en los casos donde personal
externo ingresan al rea a realizar trabajos de mantenimiento de
servidores o verificacin de algn servicio informtico.
Actualmente hay dos 02 puertas de ingresos al rea pero
solamente su utiliza la principal, razn por la cual se puede
visualizar fcilmente los trabajos que realizan los analistas de
sistemas y documentacin propia del rea.

Las puertas de ingreso a la DTI son de madera y no tienen
ninguna proteccin adicional. Una vez que se retira todo el
personal del rea el ltimo es el encargado de ponerle seguro,
pero mensualmente 03 veces no se realiza esto por olvido.
Quedando el rea libre para el acceso de cualquier personal.
El permetro de la DTI no cuenta con dispositivos de seguridad

como sensores o cmaras, los cuales se encarguen de alertar al
personal de seguridad sobre posibles incidentes que puedan
vulnerar la seguridad fisica del rea.
El control del ingreso a las instalaciones del Sima Chimbote es

realizado por personal de seguridad (interna y externa), desde la
garita de ingreso, En todo momento el personal de seguridad se
encuentra distribuido en las diferentes zonas (almacn, talleres,
muelle y oficinas de produccin), pero actualmente no se realiza
verificaciones en el transcurso de la noche de la DTI; con la
finalidad de evitar que personal no autorizado intente ingresar
con algn fm. Todo esto debido a que en meses de produccin
(Febrero -Abril y Agosto - Octubre), tanto personal interno
como externo se quedan a laborar en turnos de noche y
amanecida.
d) Gestin de Comunicaciones y Operaciones
Para este proceso aplicamos la Gua de Observacin N 04 - Gestin

de Comunicaciones y Operaciones (Anexo 04)
En la DTI no existen procedimientos documentados para

actividades del sistema asociados con el procesamiento de
informacin y los recursos de comunicacin, tales como
procedimientos de encendido y apagado de la computadora,
Backup, correo corporativo y seguridad. Los cuales se
encarguen de brindar los conocimientos necesarios a los

usuarios de los diferentes servicios informticos, relacionados
con la manipulacin de informacin.
La DTI actualmente tiene en operacin 16 sistemas

informticos:
o Sistema Comercial (visual)

o Sistema de Produccin (visual)
o Sistema Logstico (dos)
o Sistema de Tesorera (dos)
o Sistema de Contabilidad General (dos)
o Sistema de Contabilidad de Costos (dos)
o Sistema de Control Patrimonial (dos)
o Sistema de Personal (dos)
o Sistema de Mantenimiento (dos)
o Sistema de Parqueadero (visual)
o Sistema de Requerimientos de Oficina (visual)
o Sistema de Control de Paoles (dos)
o Sistema de Guas de Remisin (dos)
o Sistema de Calidad (visual)
o Sistema de back:up (visual)
o Sistema de Registro de Llamadas (visual)
Cada sistema es asignado de acuerdo al rea y al cumplimiento

de sus funciones a los usuarios con acceso permitido.
Actualmente no existe un procedimiento para comunicar los
incidentes que se producen cuando se est manipulando los
sistemas informticos. Los errores que se producen
frecuentemente son bloqueo del sistema por saturacin del
servidor, desbordamiento por ingreso de parmetros no
permitidos, sincronizacin inadecuada entre los servidores de
base de datos. Problemas que causan muchas veces prdida de
informacin y que no son comunicados oportunamente a los
analistas de sistemas.

Los cambios en los sistemas informticos se realizan a
propuesta de los analistas de sistemas o requerimiento de los
usuarios. Actualmente estos cambios son realizados pero en el
50% de los casos no son comunicados oportunamente a los
usuarios implicados en estas transacciones, lo que ha provocado
prdida de informacin y bloqueo temporal de las aplicaciones;
siendo necesarios la intervencin de los analistas de sistemas y
personal de soporte tcnico.
Los sistemas informticos actualmente estn implementados en

Fox Pro 2.6 (57%) y Power Builder 11.5 (43%). El mayor
porcentaje de sistemas estn implementados en versin dos, el
cual emplea el motor de base de datos DBase IV, mientras que
los sistemas visuales emplean el motor de datos SQL Server
2000. Estos sistemas en su mayora comparten los mismos datos
para realizar ciertas transacciones, lo que ocasiona que la
informacin no se encuentre sincronizado en las diferentes
estaciones de trabajo; provocando as un inadecuado
procesamiento de la informacin, para lo cual es necesario la
intervencin de los analistas de sistemas para la sincronizacin
de la informacin.
Para la puesta en marcha de un sistema informtico nuevo o

modificado, no se estn tomando en cuenta los siguientes
criterios:
o Garanta de que operacionalmente cumplir con los

objetivos para los cuales fue implementado
o No afectar el funcionamiento del resto de los sistemas
o Mantendr en todo momento una seguridad acorde al
nivel de informacin a procesar
o Cuenta con los controles necesarios para la recuperacin
en caso de errores
CAPITULO IV: RESULTADOS 38

o Cuenta con los mecanismos necesarios para su baja en
caso genere repercusin negativa frente al resto de los
sistemas.
Cada usuario tiene asignado un rol y en base a ello se le instala

una cantidad de programas para el cumplimiento de sus
funciones. Actualmente el personal de Soporte Tcnico no
realiza revisiones peridicas para comprobar si todos los
programas autorizados inicialmente coinciden, lo que ha
ocasionado encontrar en Ol usuario de la DTI programas no
licenciados ni autorizados (desarrollo y disefio); lo cual pone a
la Institucin en riesgo de recibir una sancin por el uso de
software no licenciado y a la vez producir estos programas
dafios en la computadora que es utilizada para el desarrollo y
mantenimiento de sistemas DOS.
Actualmente los puertos USB de todos los usuarios se

encuentran deshabilitados, a excepcin de la computadora del
Administrador. La cual apoya a los diferentes usuarios a pasar
informacin desde los dispositivos USB a sus computadoras a
travs de la red. Al no conocer la naturaleza de estos
dispositivos externos es necesario analizarlo con el software
antivirus en el modo avanzando, tarea que no siempre se realiza
por tema de tiempo y que en O1 ocasin origin que troyanos
infecten la red, provocando bloqueos y avisos de infeccin en
las computadoras de la DTI y de las diferentes reas.
La infraestructura de la red actualmente no usa tecnologa

adecuada, lo cual hace carecer la implementacin de controles y
medidas para proteger y salvaguardar la informacin que se
transmite entre los diferentes usuarios. Por ello se ha formulado
la modernizacin de las tecnologas de la informacin (switch y
servidores), tecnologas que cuenta con sistemas de encriptacin
y de deteccin de intrusos en toda la red.

En la DTI actualmente se emplean medios removibles (CD,
DVD, disquete) para el copiado o traslado de informacin
(cdigos, formatos, registros). Dichos medios una vez utilizados
se dejan en lugares de fcil acceso o se botan a los tachos. No se
toma en cuenta la importancia de la informacin que puede
contener si es que es utilizado por usuarios de otras reas,
quienes llegan a solicitar apoyo de algn servicio informtico.
e) Control de Accesos
Para este proceso aplicamos la Gua de Observacin N 05 - Control

de Accesos (Anexo 05)
Actualmente la baja de un usuario (acceso a los sistemas

informticos, correo, PC) se realiza luego de haber transcurrido
ms de 07 das de la renuncia o despido del trabajador (con
acceso a servicios informticos). Lo que ha generado que en 01
oportunidad se utilicen los accesos de un usuario que ya no
laboraba, para manipular sistemas de informacin y correo
electrnico, siendo necesario la intervencin del personal de
Soporte Tcnico para restringir el acceso.
Actualmente la DTI no maneja un registro de altas y bajas, el

cual permita tener un r~gistro actualizado de los usuarios que
cuentan o no con acceso a los servicios informticos, criterio de
gran importancia cuando se realizan auditoras de seguridad
informtica.
Actualmente la DTI no. maneja un registro de accesos a los

servicios informticos por cada usuario (bitcora), en el cual se
visualicen los accesos iniciales y los que se den durante su
permanencia en la Institucin. Situacin que no permite realizar
verificaciones peridicas sobre los accesos de los usuarios para
verificar si estos siguen teniendo los privilegios iniciales y poder

verificar si se han realizado cambios que afecten la
confidencialidad de la informacin.
La DTI actualmente no tiene definido niveles de acceso en

relacin a las reas de la Institucin y la informacin que stas
manipulan. Lo cual implica que para dar acceso a un nuevo
usuario solamente se realiza en funcin al puesto de trabajo.
Actualmente los accesos de un usuario son solicitados por el

Jefe de Oficina solicitante. Luego son aprobados por el Jefe de
la Oficina Estratgica y derivadas para su accin al Jefe de la
DTI. SituaCin que ha generado que ms de O1 usuario tenga
accesos a sistemas que no se relacionan con sus funciones
(Oficina de Logstica). En este proceso la DTI no est
realizando ninguna observacin ya que para brindar un acceso
debe existir una clasificacin de las reas y usuarios.
Las contraseas de acceso a la computadora y sistemas

informticos no cumplen con requisitos de seguridad,
pudindose verificar que el 70% de usuarios usan contraseas
muy sencillas (nmeros de 1 al 6, nombre de usuario, datos
personales, etc.), lo cual ha provocado que en 03 ocasiones se
ingrese a sistemas desde reas no autorizadas, esto debido a que
actualmente los sistemas informticos no implementan polticas
de seguridad que permitan que en caso de creacin o
modificacin de las contraseas estas se generen de manera
segura y confiable.
Una vez creada las contraseas de acceso de un determinado

usuario, se .ha podido comprobar que en 03 ocasiones stas se
han escrito en los memorndum (documento interno de
autorizacin). Luego estos documentos se archivaron de manera
normal, con libre acceso a cualquier personal del rea.

t) Adquisicin, Desarrollo y Mantenimiento de Sistemas
Para este proceso aplicamos la Gua de Observacin N" 06

Adquisicin, Desa17'0llo y Mantenimiento de Sistemas (Anexo 06)
Todos los sistemas actualmente realizan solo validacin de

campos vacos, obvindose las validaciones para evaluar valores
fuera de rango, caracteres invlidos, datos incompletos, datos
que exceden los rangos establecidos, datos inconsistentes, etc.;
los cuales provocan en todo momento cierres inesperados del
sistema y por lo tanto la prdida de los datos de las operaciones
(registro de facturas, clculo de planillas, conciliaciones
bancarias, emisin de vales de materiales, etc.).
Solamente el 30% de las transacciones (procedimientos

almacenados, desencadenadores, etc.) implementan dentro de su
estructura rutinas de recuperacin de datos (excepciones).
Provocando en muchas ocasiones que se realice el
procesamiento de una transaccin incompleta, debido a la falta
de parmetros o el ingreso de datos inconsistentes.
Actualmente no existe ningn registro de fallas de los sistemas,

los cuales involucren la prdida de datos de gran importancia.
Esto no ha permitido conocer por cada sistema cuales son las
fallas que se generan al momento de su ejecucin; para de esta
manera evitar la prdida de datos y el inadecuado procesamiento
de los sistemas.
Cuando se realiza el desarrollo o modificacin de un sistema, en

la fase de pruebas se realizan todas las revisiones necesarias
para garantizar que el sistema obtiene como resultado la
informacin que requieren las reas usuarias; una vez aprobado
esto se pone en operacin el sistema. Pero una vez finalizado
esto, ya no se realizan validaciones peridicas sobre todo en los
sistemas que procesan informacin de importancia

(contabilidad, produccin, comercial), con la fmalidad de seguir
garantizando la obtencin de la informacin requerida. Lo cual
ha provocado el reclamo de los usuarios en los reportes que
procesan ciertos sistemas.
Las modificaciones que involucran varias funcionalidades de los

sistemas se realizan localmente en la computadora del Analista
de Sistemas (previo memorndum del rea solicitante), para que
una vez finalizado y probado se pase a un ambiente de
operacin (servidor). Pero el 80% de las modificaciones
pequeas (el usuario se acerca personalmente) se realiZan
directamente del servidor, lo cual ha provocado en ms de 02
ocasiones el bloqueo del sistema involucrado y la prdida de los
datos que se encontraban procesando por los diferentes usuarios
del sistema.
Debido a que la DTI cuenta con 16 Sistemas de Informacin, se

le asigna a cada Analista de Sistemas una cantidad de sistemas
para que se encuentren bajo su responsabilidad. Actualmente el
cdigo fuente se encuentra accesible a todos los Analistas, lo
cual ha generado en 02 oportunidades que personal nuevo
realice cambios sobre sistemas que no se encuentran bajo su
responsabilidad. Provocando as la paralizacin del sistema,
debiendo intervenir el Analista responsable para restablecer el
servicio a los usuarios.
Las modificaciones que involucran varias funcionalidades son

solicitadas por medio de memorndum. Una vez recepcionado
esto, el Analista responsable del sistema empieza a realizar los
cambios solicitados. Obvindose as la evaluacin de los
impactos que pudieran provocar dichos cambios con relacin a
la informacin y al resto de los sistemas en operacin. Esto ha
generado en O1 oportunidad la prdida de datos, ya que las
modificaciones realizadas eran incompatibles con la estructura
de la base de datos.

g) Gestin de Continuidad del Negocio
Para este proceso aplicamos la Gua de Observacin N 07 - Gestin

de Continuidad del Negocio (Anexo 07)
Actualmente existe un documento de plan de contingencias

2009, el cual presen1a las siguientes observaciones:
./ No se identifican todos los riesgos a los que est

expuesto la DTI en caso de producirse algn desastre
natural o artificial.
./ No se especifica la frecuencia y probabilidad de

ocurrencia por cada riesgo identificado.
./ No se especifica las acciones que se estn realizando

para mitigar Jos riesgos potenciales a los cuales se est
expuesto cada da.
./ No se especifican las acciones a seguir para la

restauracin de los sistemas de informacin en caso de
producirse alguna contingencia..
./ En los equipos de trabajo existen integrantes que

actualmente no laboran en la Institucin.
./ No se encuentran defmidas las actividades generales que

debe realizar el personal operativo de evaluacin.
./ El personal no tiene claro conocimiento de las acciones

que tiene que realizar durante un desastre, situacin que
provocara mayores daos con respecto a los activos
informticos y el personal del rea .
./ No existe un cronograma de entrenamiento y simulacros

donde participe todo el personal involucrado, de acuerdo

a los grupos definidos; con la finalidad de estar
preparados frente a cualquier contingencia.
4.1.2 Do (Implementar y operar el SGSI)
Una vez identificado todos los problemas en la etapa anterior y en cada

uno de los procesos, ahora defmiremos las acciones y actividades
necesarias para la implementacin del SGSI por cada proceso.
a) Clasificacin y Control de Activos
o Clasificacin de Software
La clasificacin del software se realizar en base al uso e

importancia, donde el total estar representado por el producto
de ambos criterios.
./ 1: Software usado frecuentemente; poca importancia

./ 2: Software usado regularmente; mediana importancia
./ 3: Software usado siempre; gran importancia
SOFIWARE LICENCIADO DE LA DTI

SISl'EMAS OPERATIVOS VERSION CANTIDAD uso IMPORTAN
CIA
TOTAL
Windows95 95 1 1 1 . J.
Windows98 98 12 1 1 ;.:::.- t\,.
..
... 9
Windows XP Profesional 2002 143 3 3
Windows Vista Bussines 2008 38 1 1 .'T
SISTEMAS OPERATIVOS SERVIDORES
Windows Server Enterprise 2003 2 3 3 ... <9> . .
..
Windows Server Enterorise 2005 1 3 3 ..... 9
OFIMATICA
Office Xp Standard 2002 2 1 1 >.
Office Xp Profesional 2002 1 1 1 :._.::> f>/
Office Profesional 2003 4 1 1 t ..
Office Standard 2003 32 2 3 ... .. 6. :::
Office Standard 2007 55 2 3 :.6". . : .
Office Profesional 2007 17 2 3 . . . ..6.
Microsoft Visio Pro 2007 1 1 1 << 1 <.
Microsoft Project Standard 2000 2 1 1 :.-:.:::~ l>
...... .-.l <-..
Microsoft Project Profesional 2003 4 1 1
Microsoft Project Standard 2007 14 2 3 ... >6<
Microsoft Proiect Profesional 2007 3 1 1 . 1':..'...
SOF1WARE ANTIVIRUS

Tabla N 03: Clasificacin de Software
CAPiTULO IV: RESULTADOS 46

o Clasificacin de Hardware
Para tener una mejor clasificacin e inventario del hardware se

utilizar la siguiente estructura:
Tabla N 04: Clasificacin e Inventario de Hardware
Donde:
C.C, representa el centro de costo del hardware
Usuario, descripcin del usuario
C. actuall, cdigo actual del equipo
Tec, tecnologa utilizada
Descripcin, descripcin de las caractersticas del hardware
Ghz, cantidad de ghz del hardware
C. actual2, cdigo actual del monitor
Marca, descripcin de la marca del monitor
PR, cdigo de portaretrato del usuario
Cargo, descripcin del cargo que desempea el usuario
Nombre, nombre del usuario que utiliza el hardware
Con este nuevo formato se ha realizado el inventario de todo el hardware de la

DTI y del resto de divisiones de la Institucin.

o Clasificacin de Servidores
La clasificacin del servidor se realizar en base a su uso e

importancia para la Institucin, de igual manera el total est
representado por el producto de ambos criterios:
./ 1: Usado frecuentemente; regular importancia

./ 2: Usado regularmente; mediana importancia
./ 3: Usado siempre; gran @port:ml.cia
Tabla N OS: Clasificacin de Servidores
o Clasificacin de Backup
El backup diario actualmente se almacena en DVD's, y el ltimo

da de la semana se copia toda esta informacin a un disco duro
externo (1 TB) como medida de contingencia. La clasificacin a
realizarse de ahora en adelante es la siguiente (el criterio ser el
mismo empleado en la clasificacin de Jos servidores):
Archivos usuarios
Sistemas
Tabla N 06: Clasificacin de Backup

o Clasificacin de Documentos
La clasificacin de los documentos archivados en la DTI se

realizar de la siguiente manera (el criterio ser el mismo
empleado en la clasificacin de back:up):
Tabla N 07: Clasificacin de Documentos
b) Seguridad Ligada al Personal
o Acuerdo de Confidencialidad (Interno)
Encontrando la necesidad de contar con un documento en el cual

todo el personal de la DTI (Analista de Sistemas, Coordinador
de Soporte Informtico, Analista de Seguridad de la Informacin
y Jefe de la DTI), responsable de manipular informacin
confidencial se comprometa en todo momento a mantener en
reserva toda informacin "confidencial" perteneciente a la
Institucin, se ha elaborado el Acuerdo de Confidencialidad
para ~ersonal Interno (Anexo 08)
o Acuerdo de Confidencialidad (Externo)
Debido a que la DTI trabaja con personal externo es necesario

tener el compromiso que no se divulgar y/o manipular ningn
tipo de informacin sin autorizacin y conocimiento del
Analista de Seguridad y Jefe de la DTI. Por ello se ha elaborado
el Acuerdo de Confidencialidad para Personal Externo
(Anexo 09). Adicionalmente se realizarn supervisiones
mensuales para hacer cumplir esta disposicin.

o Capacitacin al Personal Nuevo
Se logr coordinar con la Oficina de Personal para que todo

personal nuevo sea enviado antes de empezar sus funciones a 1a
DTI, donde el Analista de Seguridad le brindar una pequefa
capacitacin en nociones bsicas de seguridad de la informacin
en base a los servicios informticos que manipular para el
desarrollo de sus funciones en su rea respectiva. Para
evidenciar esta actividad se ha elaborado el Formato de
Capacitacin en Seguridad de la Informacin (Anexo JO).
Adicional a esto se programar peridicamente capacitaciones a
las divisiones para mantener a los usuarios actualizados en
temas de seguridad de la informacin, lo cual ser supervisado
mensualmente por el Jefe de la DTIC.
e) Seguridad Fsica y del Entorno
o Ingreso de Personal Externo a la DTIC
En la DTI se ha dispuesto que todo personal externo deba

ingresar por la segunda puerta y no por la principal. En todo
momento estar acompafado de un personal de Soporte Tcnico
hasta la finalizacin de las actividades programadas,
adicionalmente se ha elaborado el Registro de Ingreso de
Personal Externo (Anexo 11), especificndose detalladamente
los datos de la persona y el motivo de la visita. Este registro ser
supervisado mensualmente por el Jefe de la DTI.
o Seguridad Fsica de la DTI
Frente a esta situacin se ha propuesto al Jefe de la Oficina

Estratgica, considerar un presupuesto para la adquisicin de
cmaras de vigilancia y sistema de cierre automtico de la
puerta de ingreso a las instalaciones de la DTI. Con la fmalidad
de establecer una seguridad fisica adecuada a los activos
informticos almacenados interiormente.

o Vigilancia de la DTI
Se ha coordinado con vigilancia para que en todo momento se

resguarde las instalaciones de la DTI; sobre todo en meses de
produccin (Agosto -Noviembre y Enero -Abril) que es donde
en las instalaciones del Sima Chimbote laboran una gran
cantidad de contratistas; quienes de desplazan por diferentes
oficinas y talleres hasta altas hora de la noche.
Las incidencias ocurridas sern reportadas de inmediato al Jefe

de Oficina; quin a la vez le comunicar al Jefe de la DTI para
que se realicen las coordinaciones respectivas e investigar lo
ocurrido. Este incidente se registrar en el Registro de
Incidentes en horario anormal (Anexo 12).
d) Gestin de Comunicaciones y Operaciones
o Documentacin de Procesos Informticos Operativos
Con la fmalidad de facilitar a los usuarios la realizacin de sus

actividades, se documentarn y publicarn los siguientes
procesos a cargo del Coordinador de Soporte Informtico
./ Back:up
./ Correo electrnico
./ Acceso intemet
./ Uso de equipos de cmputo
A la vez se programar una capacitacin peridica por parte de

la DTI a todas las reas del Sima Chimbote, empleando para ello
el Registro de Capacitacin de Procesos Informticos
Operativos (Anexo 13).
o Gestin de Comunicacin
La DTI ha establecido que cuando se produzca cualquier

incidente relacionado a los procesos del rea, se realicen las
siguientes acciones:

./ El usuario reportar el incidente al Jefe de la DTI con
copia a toda el rea, va correo electrnico.
./ El Coordinador de Soporte Informtico asignar a un

Tcnico para que brinde el apoyo correspondiente al
usuario y evale el incidente.
./ Una vez solucionado el incidente el Tcnico reportar

esta informacin al Coordinador de Soporte Informtico,
Analista de Seguridad de la Informacin y Jefe de la
DTI.
./ El Analista de Seguridad de la Informacin registrar el

incidente en el Registro de Incidentes de Seguridad de
la Ioformacip. <Anexo 14). A la ve;z evaluar el
incidente y junto al Coordinador de Soporte Informtico
solucionarn el incidente para casos futuros .
./ El Jefe de la DTI comunicar va correo electrnico al

usuario que el incidente se encuentra identificado y
solucionado.
o Gestinde Cambios
La DTI ha establecido comunicar va correo electrnico a todos

los usuarios de los servicios informticos, las siguientes
actividades:
./ Cambios en los sistemas informticos (a solicitud de los

usuarios o a propuesta de la DTI} .
./ Mantenimiento de los servidores (base de datos,

archivos, etc.).
./ Mantenimiento de algn sistema informtico .
./ Incidentes con algn servicio infonntico

Todo ello con la finalidad de que los usuarios estn informados
y eviten la prdida de informacin o algn incidente relacionado
a los servicios informticos brindados por la DTL
o Proteccin contra Software Malicioso
La DTI protege la informacin de la Institucin de cualquier

software malicioso a travs de las siguientes acciones:
../ Todo el software (diseo, editores, desarrollo, etc.) es

licenciado y se actualizan a travs de upgrade.
Cumplieudo de e$~ mMe:ra con las uorm~ relacionadas
al uso de software licenciado en las Entidades del Estado
y garantizando la proteccin contra cualquier software
malicioso.
../ Ningn usuario tiene el privilegio de instalar software; a

excepcin del rea de Soporte Tcnico. Esto con la
fmalidad de evitar que ~e ms@len ~oftware no
licenciados, software no relacionados a sus actividades,
software que consuman recursos innecesarios o software
maliciosos con intenciones de infectar el equipo y la red
de la Institucin.
../ Revisiones trimestrales para la verificacin del software

instalado en los equipos de cmputo de los usuarios; esto
con la fmalidad de comprobar que solamente software
licenciado se encuentran siendo usado por los usuarios.
../ Cuando se adquiere o licita algn software, este pasa por

un periodo de evaluacin en base a las especificaciones
tcnicas; esto con la fmalidad de que se garantice un
eficiente uso del software, no se reduzca la capacidad de
los equipos y no produzca alguna infeccin en la red.

o Gestin de Respaldo y Recuperacin
El respaldo y recuperacin de la informacin es un proceso de

gran importancia para la DTI, por que se han establecido las
./ El personal de Soporte Tcnico realiza un Backup diario

de los servidores (base de datos, correo) y de los
archivos de los usuarios (realizados a travs del sistema
de Backup).
./ El personal de Soporte Tcnico realiza un Backup

semanal (da sbado) donde se recopila el Back:up diario
de la semana.
./ Esta informacin se almacena en 02 discos duros

externos, de los cuales una copia se guarda en un estante
de la DTI y la otra copia en las instalaciones de Sima
Metal Mecnica (ubicado por Sider Per).
./ Para ello se emplea el Registro de Backup Semanal

(Anexo 15), formato supervisado semanalmente por el
Jefe de la nn.
./ En caso de que algn usuario desee recuperar alguna

informacin y haya realizado su Backup respectivo,
comunicar va correo al Jefe de la PTl con copia al
personal de Soporte Tcnico, para que se realice un
respaldo de la informacin solicitada.
o Gestin de Seguridad en Redes
La seguridad de la red de la Institucin se protege de la siguiente

manera:
./ Implementacin de Firewall en el router principal (filtro

de paquetes), crendose de esta manera una capa de

aislamiento entre la red interna y externa; con la
fmalidad de que el firewall filtre todos los paquetes
entrantes y salientes a travs de las direcciones IP/TCP
de origen y destino.
./ Implementacin de VPN (Red Privada Virtual) para

brindar una comunicacin segura entre los usuarios y la
red de internet. Esta tecnologa encripta mediante
algoritmos muy complejos toda la informacin que sale
desde las estaciones de red. Brindando una garanta en la
seguridad informtica de la red institucionaL
./ Se ha propuesto y expuesto al Jefe de la Oficina

Estratgica la compra de switch de ltima generacin,
quien implementa tecnologa para encriptar de manera
eficiente toda la informacin de la red y evitar todo tipo
de ataques externos. Modernizando as los equipos de
comunicaciones.
./ Se est evaluando la adquisicin de software para

monitorear redes (GFI LANguard, ISS Internet Scanner,
Tripwire, etc.); Con la finalidad de administrar
eficientemente la red institucional y evitar ataques contra
alguna vulnerabilidad interna.
./ Se ha coordinado con Vigilancia que informe cualquier

ingreso de equipos de cmputo (laptop) de personal
externo (contratistas), ya que por la naturaleza de la
Institucin el ingreso de estos equipos es muy frecuente,
debido a que se comparte informacin de planos,
diseos, presupuestos, etc. Luego el personal de Soporte
Tcnico se encarga de brindar el apoyo correspondiente,
supervisado en todo momento por el Analista de
Seguridad de la Informacin para verificar que la red

interna no sufra ninguna exposicin y se brinde accesos
innecesarios.
o Gestin de Sistemas Informticos
Con la finalidad de brindar una operatividad adecuada a los

Sistemas Informticos, se han establecido las siguientes
acciones:
./ Implementar una rutina en Java, cuya funcin sea

sincronizar las bases de datos de DBase y SQL Server
por cada ve:z que se manipulen los procedimientos que
trabajan con ambos sistemas gestores de base de datos.
Este es un problema que ocasiona la utilizacin de
tiempo extra en solucionar los problemas de prdida o
sincronizacin de la informacin.
./ Para la puesta en marcha de un sistema (nuevo o por

mantenimiento) se coordinar entre el Analista de
Sistemas y Seguridad de la Informacin para que se
garantice lo siguiente:
Operacionalmente cumple con todos los objetivos

para cuaJes fue creado o modificado, esto ser
validado por el Analista de Sistemas y usuarios.
No afecta el funcionamiento del resto de los

sistemas, esto debido a que ms del 50% de los
sistemas comparten procedimientos, tablas,
funciones, etc. Validado por el Analista de
Sistemas y usuarios.
La seguridad de la informacin tendr el mismo

nivel al del resto de los sistemas operativos.
Validado por el Analista de Seguridad de la
Informacin.

Implementa controles adecuados en caso de
presentarse errores en tiempo de ejecucin,
quienes permitan recuperar la informacin de
manera adecuada. Validado por el Analista de
Sistemas y Seguridad de la Informacin.
Todas estas acciones sern reportadas al Jefe de

la DTI para su respectiva aprobacin y
supervisin.
o Gestin de Medios de Almacenamiento
La DTI utiliza diferentes medios para el almacenamiento y

desplazamiento de informacin entre el personal del rea. Para
establecer una seguridad adecuada se ha establecido las
./ A excepcin de Soporte Tcnico, todos los usuarios

tienen bloqueado los puertos USB, disquetera y lectora
CD/DVD. Para garantizar esta poltica el Analista de
Seguridad de la informacin realizar revisiones
mensuales en las reas crticas (Contabilidad, Tesorera,
Remuneraciones, Evaluacin y Control). Comunicando
en todo momento al Jefe de la DTI y Coordinador de
Soporte Informtico sobre cualquier incidente .
./ Todo usuario que desee copiar informacin desde un

dispositivo USB (memoria, cmara, filmadora, disco
duro externo, mp3, etc.) a su equipo de cmputo o
viceversa deber recurrir al rea de Soporte Tcnico para
que le brinden el apoyo correspondiente, debiendo
realizar lo siguiente:
Analizar el dispositivo USB en modo avanzado

(ESET NOD 32), hasta completar todas las

revisiones correspondientes y comprobar que no
existe ninguna infeccin del dispositivo.
Revisar que los archivos a copiar no tengan

extensiones .exe, .inf, .bat, etc. (entrada). De ser
as copiar solamente los archivos necesarios en la
Carpeta Compartida de red o directamente en el
directorio del usuario.
Usar el Registro de Ingreso y/o Salida de

Informacin (Anexo 16). Documento
supervisado mensualmente por el Analista de
Seguridad de la Informacin y Jefe de la DTI.
./ Los dispositivos USB utilizados por personal interno y

que contienen informacin de importancia deben
almacenarse en lugares ~eguros, donde solo personal
autorizado tenga acceso a ellos. Esto ser supervisado
por el Analista de Seguridad de la Informacin,
reportando al Jefe de la DTI cualquier incidencia
./ Se ha propuesto y expuesto al Jefe de la Oficina

Estratgica incluya en el presupuesto anual la
adquisicin de una mquina trituradora. Inicialmente en
la DTI, que es el rea que debido al gran uso de
dispositivos de almacenamiento se requiere un
mecanismo que garantice la prdida total de la
informacin almacenada en dichos medios. Luego se
adquirirn ms unidades para las reas crticas de la
Institucin.

e) Control de Accesos
o Gestin de Acceso de Usuarios
Para brindar una seguridad adecuada en el acceso de usuarios a

los servicios informticos, se ha complementado la seguridad de
la siguiente manera:
~ El alta de un usuario se complementar con las

El Jefe de la Oficina solicitante enviar un

memorndum de acceso a la red, al Jefe de la
Oficina Estratgica.
El Jefe de la Oficina Estratgica aprobar el

documento respectivo y lo derivar al Jefe de la
DTI.
El Jefe de la DTI comunicar va correo

electrnico al Coordinador de Soporte
Informtico para que realice dicha accin, con
copia al Analista de Seguridad de la Informacin
para que pueda monitorear dicha accin.
El Coordinador de Soporte Informtico brindar

el acceso del nuevo usuario a la red de la
Institucin (correo electrnico, sistemas
informticos y pe), de acuerdo al petl solicitado.
El Coordinador de Soporte Tcnico actualizar el

Registro de Alta/Baja de usuarios (Anexo 17),
formato supervisado mensualmente por el Jefe de
la DTI y peridicamente por el Analista de
Seguridad de la Informacin.

./ La baja de un usuario por renuncia o despido se
complementar con las siguientes acciones:
El usuario con acceso a los servicios

informticos que renuncie o sea despedido
comunicar va correo electrnico al Jefe de la
DTI, la fecha de permanencia en la Institucin.
Este correo se enviar con copia a su Jefe
inmediato y al Jefe de la Oficina de Personal
(adicional a la carta en caso de renuncia).
El Jefe de la DTI comunicar al Coordinador de

Soporte Informtico y Analista de Seguridad de
la Informacin dicha informacin, con la
finalidad de que se revisen oportunamente todos
los accesos con los que cuenta el usuario.
El Jefe de la Oficina de Personal enviar un

memorndum al Jefe de la Oficina Estratgica
indicndole el cese del personal.
El Jefe de la Oficina Estratgica derivar dicha

informacin al Jefe de la DTI para su accin.
El Jefe de la DTI derivar dicha accin al

Coordinador de Soporte. Informtico para su
ejecucin.
El coordinador de Soporte Informtico realizar

la baja respectiva y actualizar el Registro de
Alta/Baja de usuarios. Formato supervisado por
el Jefe de la DTI y Analista de Seguridad de la
Informacin.

o Gestin de Accesos a los Sistemas
Con la finalidad de garantizar una adecuada supervisin a los

accesos que realizan los usuarios, este proceso se
complementar con las siguientes acciones:
./ Implementacin de una bitcora en cada sistema de

informacin operativo, cuyo objetivo ser registrar todos
los eventos que realicen los usuarios Ullli vez ingresados
al sistema.
./ Las altas y/o modificaciones de accesos de usuarios

(previa solicitud y aprobacin), sern informados al
Analista de Seguridad de la Informacin por parte del
Analista de Sistemas.
./ El Analista de Seguridad de la Informacin verificar

trimestralmente estos eventos, y en caso de encontrar
algn acceso no permitido lo reportar al Analista de
Sistemas y Jefe de la DTI. Esto ser supervisado por ei
Jefe de la DTI.
./ El Analista de Seguridad de la Informacin verificar la

estructura de la bitcora y plantear modificaciones para
facilitar la ob~ncin de incidentes de seg.rridad.
o Clasificacin de Sistemas
Para brindar un acceso adecuado de los sistemas a los usuarios

solicitantes, el Analista de Sistemas y Analista de Seguridad de
la Informacin han elaborada la siguiente clasificacin de los
sistemas en base a las reas de la Institucin. Sirviendo de
esquema para garantizar accesos de manera adecuada y en
funcin de las actividades que realizan (Anexo 18).

o Gestin de Contraseas
Debido a la ausencia de un esquema de seguridad para la

creacin de las contraseas de acceso a servidores, sistemas y
computadoras, se han establecido las siguientes acciones:
./ El Analista de Seguridad de la Informacin estableci el

Esquema de Seguridad para Contraseiias (A11exo 19).
./ El Analista de Sistema implement el Mdulo de

Contraseas, cuya funcin es la generacin de
contraseiias seguras de acuerc:lo al perfil del usuario. A la
vez se encarga de generar las contraseas de acceso a los
servidores.
./ El cambio de contraseas se realiz por reas,

empezando por las ms criticas. Cumpliendo as el
proceso de Gestin de Contras~iias.
./ Las contraseas generadas se entregarn personalmente

al usuario, evitndose el envo por correo electrnico o
escritura en docUIPentos de fcil acceso. Esto ser
supervisado por el Analista de Seguridad de la
Informacin y reportado directamente al Jefe de la DTI.
./ El Analista de Seguridad de la Informacin se encargar

de supervisar que el proceso se desarrolle de manera
segura. A la vez propondr al1ef~ de la DTI mejoras en
la seguridad en base a los estndares de seguridad
informtica, de manera peridica.
./ El Jefe de la DTI supervisar mensualmente todas las

acciones referidas al proceso de Gestin de Contraseas.

o Gestin de Acceso a la Red
La gestin de acceso de la Red Institucional se complementar

con las siguientes acciones:
./ Restriccin de ingreso de laptops o equipos

computacionales sin autorizacin respectiva. En caso de
producirse lo contrario, se repo~ a la PTJ.
./ Para personal contratista que desee hacer uso de equipo

de cmputo y red, se usar el registro Autorizacin de
Ingreso de Equipo$ E~tern~ (Anexo 20) y
Autorizacin de Acceso a la Red (Anexo 11); formatos
proporcionados por personal de Soporte Tcnico y
autorizados por el Jefe de la oficina o rea donde se
realizar el trabajo y Jefe de la DTI.
./ Para personal interno se coordinar con Soporte Tcnico,

y se emplearn los formatos correspondientes.
./ La red wifi utilizar el sistema de seguridad WPA-

PSKIWPA2~PSK.
./ El Analista de Seguridad de la Informacin supervisar

estas acciones y propondr alternativas pam mejomr la
./ El Jefe de la DTI supervisar trimestralmente el

desarrollo adecuado de todas las acciones establecidas.

f) Adquisicin, Desarrollo y Mantenimiento de Sistemas
o Seguridad en los sistemas
Para implementar una adecuada seguridad a los sistemas

informticos, tomaremos en cuenta lo siguiente:
./ Validacin de los datos de entrada
Verificacin de datos duplicados u otras

verificaciones para detectar los siguientes errores:
Valores fuera de rango

Caracteres invlidos en los campos de datos
Datos faltantes o incompletos
Datos que exceden el lmite de volumen
Revisin peridica del contenido de los campos clave

o los archivos de datos para comprobar su validez e
integridad.
Inspeccin de los documentos fiSicos de entrada para

ver si hay cambios autorizados.
Elaboracin de procedimientos para actuar frente a

los errores de validacin .
./ Control del proceso interno
Implementacin de excepciones dentro de las

transacciones (procedimientos almacenados y
desencadenadores), con la fmalidad de evitar que se
ejecuten lneas de cdigo despus de un error.
Control del orden de las aplicaciones en la ejecucin

de los sistemas, con la finalidad de asegurar la
integridad de los datos.

Verificacin de los equipos de cmputo involucrados
en el procesamiento de los sistemas informticos.
Implementar un procedimiento para recuperar los

procesos internos de los sistemas informticos.
./ Validacin de datos de salida
Validaciones de verosimilitud para comprobar que

los datos de salida son los que el usuario solicit.
Proporcionar a los usuarios una adecuada

informacin para poder determinar la exactitud,
completitud, precisin y clasificacin de la
informacin.
o Seguridad de los archivos
Los archivos de los sistemas debern estar disponibles

solamente para personal autorizado de la DTI.
./ Control del software en produccin
Verificar que las libreras de funciones,

procedimientos, estructuras, etc., sean modificados
solo por personal de desarrollo debidamente
capacitado.
El Analista de Seguridad de la Informacin deber

impedir que se instale cdigo ejecutable mientras que
todas las pruebas no sean exitosas. En caso de probar
cdigos incompletos, stos debern ejecutarse en
ambientes separados.
Documentar las versiones antiguas de los sistemas,

junto a toda la informacin requerida (parmetros,
funciones, procedimientos, bases de datos, etc.), con

la finalidad de que el rea tenga un respaldo frente
alguna contingencia con las actualizaciones
realizadas.
Elaborar un registro de todas las actualizaciones

realizadas a las libreras de los sistemas informticos
operativos, indicando datos del Analista, fecha,
cambios realizados y motivo de la actualizacin.
El Jefe de la DTI y el Analista de Seguridad de la

Informacin supervisarn todas estas indicaciones.
./ Proteccin de los datos de prueba
Evitar el uso de bases de datos operativas, ya que

stas almacenan todos los datos importantes de la
Institucin (contabilidad, personal, logstica,
produccin, etc.).
Solicitar autorizacin al Jefe de la DTI en

coordinacin con el Analista de Seguridad de la
Informacin, cuando se copie informacion de las
bases de datos operativas para un ambiente de
prueba. Ello con la finalidad de no afectar la
integridad de los datos utilizados en los siStemas de
informacin, pudiendo originarse cierres inesperados
y dejar sin servicio a todos los usuarios.
Eliminar todos los datos de pruebas una vez que las

pruebas se han completado exitosamente, ello con la
finalidad de evitar que estos datos se almacenen en
las bases de datos operativas.
El Jefe de la DTI y el Analista de Seguridad de la

Informacin supervisarn el cumplimiento de lo
establecido.

./ Control de acceso al cdigo
Implementacin de un perfil para el acceso a las

libreras de cdigo fuente de los sistemas de
informacin, con la finalidad de evitar cambios no
intencionales. Con lo cual cada Analista de Sistemas
contar con un listado de accesos de acuerdo a los
sistemas que tiene asignado.
Contar con un ambiente separado para el personal de

apoyo (practicantes o terceros), el cual contenga
informacin de los cdigos y libreras de los sistemas
de informacin.
Mantener un registro de todos los accesos al cdigo

fuente de los sistemas de informacin en produccin.
El Jefe de la DTI y e~ Analista de Seguridad de la

Informacin supervisarn el cumplimiento de lo
establecido.
o Seguridad en los procesos de desarrollo y soporte
Se realizarn las acciones necesarias para garantizar una

adecuada seguridad en desarrollo y mantenimiento de los
sistemas de informacin.
./ Procedimiento de control de cambios
Verificar que los cambios a un sistema se realicen

por parte del Analista de Sistemas autorizado, ello
con la fmalidad de evitar cambios no intencionales.
Verificacin de los controles de seguridad por parte

del Analista de Seguridad de la Informacin, con la
finalidad de garantizar que los cambios realizados no
debilitan la seguridad de los sistemas.

Identificacin de todo el software, informacin y
entidades que requieren aumentar el nivel de
seguridad para los sistemas de informacin.
Verificar que para iniciar un cambio o desarrollo de

un sistema de informacin exista una autorizacin
formal por parte del Jefe de la DTI, con pleno
conocimiento del Jefe de la oficina Estratgica.
Coordinar con los usuarios antes de dar inicio a una

actualizacin del sistema de informacin, detallando
las acciones a realizar, tiempo estimado y el objetivo.
Documentar toda la informacin de un sistema antes

de una modificacin, incluyendo toda la informacin
relacionada (bases de datos, funciones,
procedimientos).
./ Revisin tcnica de los cambios
Revisin peridica de los controles de seguridad de

los sistemas, para asegurar que los cambios
realizados no han comprometido la seguridad
implementada.
Elaboracin de un plan anual de modificaciones a los

sistemas de informacin, con la finalidad de
garantizar un adecuado procesamiento de los datos y
proporcionar una informacin adecuada a las oficinas
de la Institucin.
El Analista de Seguridad de la Informacin

supervisar que los cambios realizados son los
mismos que han sido autorizados por el Jefe de la
DTI, con la finalidad de evitar cambios no

intencionados sobre los sistemas de informacin
operativos.
./ Fuga de informacin
El Jefe de DTI monitorear regularmente bajo los

procedimientos internos y la legislacin vigente, las
actividades que realice el personal de desarrollo y
El Coordinador de Soporte Informtico en

coordinacin con el Analista de Seguridad de la
Informacin, supervisarn regularmente todos los
equipos de cmputo encargados del procesamiento
de los datos.
./ Desarrollo de software externo
La DTI trabaja con ,personal externo para el

desarrollo de sistemas (dos), para lo cual se tendr en
cuenta los siguientes aspectos:
Acuerdo bajo licencia sobre la propiedad del

cdigo y derechos de propiedad intelectual.
Calidad del trabajo realizado con respecto al

desarrollo del sistema.
Derechos de acceso para auditar el desarrollo

del sistema.
Requisitos de funcionalidad segura del cdigo

desarrollado.
Informe de pruebas completas y exitosas en

relacin a los requerimientos solicitados.

g) Gestin de Continuidad del Negocio
La DTI tomar en cuenta los siguientes aspectos para implementar

una adecuada Gestin de Continuidad del Negocio.
o Seguridad de la informacin en la continuidad del negocio
Comprender los riesgos que la Institucin corre

desde el punto de vista de su vulnerabilidad e
impacto, incluyendo la identificacin y priorizacin
de los procesos crticos del negocio.
Identificar todos los activos implicados en los

procesos crticos del negocio.
Comprender el impacto que tendran las

interrupciones en los procesos de la DTI y su
repercusin hacia el resto de rea de la Institucin.
Identificar los recursos financieros, institucionales,

tcnicos y ambientales necesarios para actuar frente
el desarrollo de alguna contingencia en la Institucin.
Considerar un plan de seguridad del personal y

proteccin de las instalaciones de procesamiento de
informacin (servidores, Backup y equipos
computacionales).
Actualizar y documentar el plan de continuidad del

negocio, incorporando los requisitos de seguridad de
la informacin identificados en las etapas anteriores.
o Continuidad del negocio y evaluacin de riesgos
Identificar los eventos que pueden ocasionar

interrupciones en los procesos de la Institucin.

Evaluacin de los riesgos por parte de las personas
encargadas de la direccin de la Institucin,
asesorado en todo momento por el Jefe de la DTI y
en Analista de Seguridad de la Informacin.
Cuantificar y priorizar los riesgos contra criterios y

objetivos relevantes para la Institucin, incluyendo
recursos crticos, impacto de las interrupciones y
tiempo de recuperacin.
Elaborar el Plan Estratgico, con la fmalidad de

determinar un enfoque global de la continuidad de
los procesos de la DTI.
o Marco de planificacin para la continuidad del negocio
Establecer adecuadamente el alcance para garantizar

la seguridad y disponibilidad de los sistemas de
informacin, incluyendo los datos almacenados en
los servidores de la DTI.
Designar formalmente equipos de trabajo y

responsabilidades sobre cada personal de la DTI, a
propuesta del Jefe de la DTI.
Establecer un cronograma de simulacros, el cual

permita brindar un entrenamiento adecuado al
personal de la DTI.
Elaborar un procedimiento de emergencia, que

describa las actividades a realizar y los responsables
de la ejecucin, cuando alguna contingencia amenace
las operaciones de la DTI.
Designar activos y recursos, los cuales permitan

realizas los procedimientos de emergencia.

4.1.3 Check (Monitorizar y revisar el SGSI)
Una vez realizado los 07 procesos del SGSI, se realizar un monitoreo de

cada proceso del SGSI, con la fmalidad de verificar si todo lo establecido
ha brindado resultados positivos con la seguridad de la informacin en la
DTI. La frecuencia de monitoreo ser de cada 04 meses, teniendo la
participacin del Analista de Sistemas, Analista de Seguridad de la
Informacin y Coordinador de Soporte Informtico y estar supervisada
por el Jefe de la DTI y Jefe de la Oficina Estratgica.
El formato a utilizar para el monitoreo es el siguiente:
Tabla N 08: Formato de Monitoreo por proceso

4.1.4 Act (Mantener y mejorar el SGSI)
Para lograr mantener y mejorar el SGSI se ha impartido responsabilidades

a todos los miembros de la DTI, con la fmalidad de contribuir al
mejoramiento de la seguridad de la informacin de la DTI y de la
Institucin. Estas responsabilidades se detallan en la siguiente tabla:
~~~~-~~,mf~Bme~~~~~t.
- Liderar el equipo de trabajo.
Proponer al Jefe de la Institucin la asignacin de los recursos
necesarios para el mejoramiento de la seguridad de la informacin.
- Proponer mejorar al equipo de trabajo en los aspectos de seguridad de
la informacin.
- Proponer procesos de mejoras en el aspecto de seguridad de la

informacin.
- Coordinar equipos de trabajo para la implementacin de alternativas de
seguridad.
- Asignar responsabilidades para mantener y mejorar el SGSI.
- Aprobar las alternativas de seguridad propuestas por el personal de la
DTI.
.~~~~#:~~~~~~~~~t)r#t~#:M . }:.;: }./}}/.. ./:?<..

- Liderar el equipo frente a aspectos de seguridad de la informacin.
- Proponer al Jefe de la DTI nuevas metodologas, tcnicas o
procedimientos de seguridad de la informacin.
- Sustentar alternativas de mejora de los procesos de seguridad de la
informacin.
- Investigar e implementar todo lo relacionado a seguridad de la
informacin.
- Supervisar y coordinar las acciones propuestas por el personal de la
DTI, re]acionados a seguridad de la informacin.

AJlaliSitesiStet,tt~~ / ~ ; ;-,. .:rcL.~ .??, rx:c.)ru)...;... .
- Implementar los procesos del SGSI en el desarrollo y mantenimiento de
los sistemas de informacin.
- Coordinar con el Analista de Seguridad de la Informacin la
implementacin de procedimientos de seguridad.
- Proponer nuevas tcnicas y procedimientos que permitan mejorar la
seguridad de la informacin de los sistemas en funcionamiento.
- Implementar metodologias de desarrollo que involucren aspectos de
seguridad de la informacin~
@*~ff.l~~~ci# ~~$~p~i'f~\t,#fr~i~c~ i . .
- Implementar los procesos del SGSI en las actividades de soporte
tcnico.
- Proponer la adquisicin de software y hardware que permita brindar
una adecuada seguridad de la informacin.
- Implementar procedimientos de seguridad a la infraestructura con que
cuenta la Institucin.
Implementar planes y procedimientos que permitan una fcil
restauracin de los procesos de la DTI, en caso de producirse alguna
contingencia.

4.2 Resultados para el pre-test
Para la obtencin de los resultados de la investigacin en el pre-test utilizaremos las

Guas de Observacin de los anexos correspondientes a cada proceso (01 al 07).
Para la ponderacin respectiva se utiliz el criterio siguiente:

Si: 10 puntos (cumple, realiza o implementa lo indicado)
Avanee: 6 puntos (cumple, realiza o implementa lo indicado parcialmente)
No: 2 puntos (no cumple, realiza o implementa lo indicado)
4.2.1 Clasificacin y control de activos
El software operativo se encuentra clasificado en base a algn

criterio
02 Se conoce la cantidad de software con la que cuenta la 02
Institucin
03 Se conoce la cantidad de software que se actualiz mediante 10
upgrade
04 Conoce el nmero de computadoras operativas e inoperativas 02
05 Conoce el nmero de impresoras por tipo con los que cuenta 1O
la Institucin
06 Los servidores se encuentran clasificados de acuerdo a su 06
nivel de importancia frente a algn siniestro
07 Para el almacenamiento del backup se utiliz algn criterio de 02
clasificacin, el cual asegure su disponibilidad, integridad y
confidencialidad
08 La documentacin de los sistemas informticos se controla 02
peridicamente
09 Revisa o recopila informacin sobre controles de seguridad 02
para respaldar los activos informticos
1O En caso de producirse algn siniestro sabe qu tipo de 02
documentacin tiene que respaldar primeramente
/..ii)4t) / . . . .)
Tabla N 09: Clasificacin y control de activos del pre-test
Fuente: Elaboracin propia

4.2.2 Seguridad ligada al personal
personal nuevo dentro del rea

02 Se incluyen charlas relacionadas a seguridad de la 02
informacin en las inducciones a nuevo personal
03 Existe algn control para asegurar que la informacin no sea 06
comprometida en los trabajos de personal tercero
04 Es consciente de las amenazas y riesgos en el mbito de la 02
seguridad de la informacin
05 Existe algn procedimiento de entrenamiento al personal 02
sobre la adecuada manipulacin de los equipos informticos
06 Sabe que hacer en caso de presentarse alguna fuga o robo de 02
informacin en el rea
07 El cese de personal incluye actividades de verificacin de la 06
seguridad de la informacin, durante el tiempo de
permanencia
08 Se analizan y solucionan los errores producidos por mala 02
manipulacin de informacin
09 Existe planificacin alguna de como difundir en la Institucin 02
las nociones de seguridad de la informacin
1O Dentro de las sanciones al personal se encuentra incluido 02
aquellas relacionadas con la prdida o robo de infotnlacin
confidencial
Tabla N 10: Seguridad ligada al personal del pre-test

't' '.'.

4.2.3 Seguridad fsica y del entorno
O1 El acceso a las instalaciones de la DTI permite el ingreso

personal interno como externo por diferentes situaciones
02 Existen dispositivos de seguridad (cmaras, alarmas, etc.) 02
instalados en puntos estratgicos del rea o de la Institucin
03 En los meses de produccin hay algn resguardo adicional debido 02
a la presencia de una gran cantidad de personal tercero
04 Existe una bitcora con informacin de fecha, hora y motivo de 06
ingreso de personal externo al rea
05 La estructura fisica que contiene los equipos de comunicaciones es 02
la adecuada en relacin la informacin que almacena
06 La DTI tiene sealizaciones adecuadas para diferenciar las 02
diferentes reas internas (desarrollo, soporte tcnico, etc.)
07 El personal de la DTI cuenta con capacitacin sobre uso adecuado 06
de extinguidores frente a posibles incendios dentro de las
instalaciones
08 Dentro de la DTI se diferencia las reas seguras e inseguras, en 02
caso de producirse algn siniestro
09 El cableado elctrico implementado para los equipos de 10
comunicaciones es adecuado
1O Los equipos computacionales tienen una adecuado plan de 02
mantenimiento para evitar fallas elctricas al personal
Tabla N 11: Seguridad fsica y del entorno del pre-test


4.2.4 Gestin de comunicaciones y operaciones
O1 Existe defmido procedimientos necesarios parn una correcta

operacin de los equipos informticos
02 Se realizan capacitaciones peridicas a los usuarios de los servicios 06
informticos (sobre diversos temas)
03 Existe un procedimiento' de comunicacin de incidentes 02
relacionados a sistemas o equipos informticos
04 La informacin perdida por un falla en el funcionamiento de un 02
sistema o equipo informtico es recuperada
05 Existe una adecuada coordinacin entre los Analistas de Sistemas y 02
usuarios con respecto al uso de los sistemas informticos
06 La informacin se encuentra sincronizada y actualizada en todos los 06
sistemas informticos de la DTI
07 Se ejecutan revisiones a los sistemas despus de un mantenimiento 06
finalizado parn comprobar que no se ha aherndo los controles de
08 Operacionalmente un sistema informtico despus de un 1O
mantenimiento solicitado, sigue manteniendo los mismo objetivos
por los cuales fue diseado
09 Se realizan verificaciones peridicas sobre los equipos de cmputo 06
a fin de evitar el uso o instalacin de software no licenciado
10 El proceso de desinfeccin de medios extrables de usuarios se 02
realizan en todo momento
Tabla N 12: Gestin de comunicaciones y operaciones del pre-test


4.2.5 Control de accesos
servicios informticos cesa de la Institucin

02 Existe un registro actualizado de las ahas y bajas de usuarios, el cual 02
permita mostrar informacin de historial de usuarios
03 Existe un registro de perfiles y accesos de los usuarios a los 02
servicios informticos operativos
04 Existe una clasificacin de perfiles para el acceso a la informacin 02
en base a las reas de la Institucin
05 Los accesos a los sistemas informticos se han brindado siempre en 02
funcin a las actividades del usuario solicitante
06 Las contraseas de usuarios para el acceso a los sistemas 06
informticos son seguras, teniendo en cuenta la informacin que
procesan y almacenan
07 Existe algn control que brinde seguridad adecuada a los 02
documentos (memorndum). que contienen informacin de acceso a
servicios informticos
08 La alta de servicios informticos cuenta con un procedimiento 06
establecido a fin de evitar brindar acceso antes de tener todas las
aprobaciones correspondientes
09 Los archivos utilizados para almacenar contraseas de acceso a los 02
diferentes servicios informticos se encuentran protegidos
1O Existe algn procedimiento para controlar el acceso a la red 02
Institucional
Tabla N 13: Control de accesos del pre-test


4.2.6 Adquisicin, desarrollo y mantenimiento de sistemas
-:::.::
ft!rittlj~
-::::::.".'-> . . . .
.N<i. Pr~t:fullf:i. .<..-..
01 Se utiliza ms de un criterio de validacin de datos en el 06
procesamiento de la informacin de los sistemas infonnticos
02 Todos los sistemas informticos implementan rutinas de 02
recuperacin de datos, a fin de evitar procesamientos errneos o
incompletos de informacin
03 Existe un registro actualizado de los errores producidos por los 02
sistemas informticos, en los cuales se haya perdido una gran
cantidad informacin para su posterior revisin y solucin
04 Se realizan revisiones peridicas a los sistemas informticos en 02
produccin, a fin de garantizar que cumplen con los objetivos
iniciales e implementan los controles de seguridad adecuados
05 Todas las modificaciones solicitadas por los usuarios se realizan en 06
un ambiente de prueba y luego se ejecutan en el ambiente de
produccin
06 Existe una asignacin de los sistemas informticos por cada Analista 02
de Sistemas, para que estos se hagan responsable de su
implementacin y mantenimiento; en la cual el acceso al cdigo
fuente se encuentra restringido
07 Los archivos de datos se encuentran debidamente documentados y 06
almacenados, debido a las migraciones realizadas
08 La implantacin de cdigo ejecutable en los equipos de cmputo 02
siempre se realiza luego de concluir con todas las pruebas
respectivas
09 Se realiza una coordinacin adecuada entre el personal de soporte 06
tcnico para la configuracin de los archivos y software necesario
10 Se autoriza el copiado de informacin en produccin a ambientes de 02
prueba o viceversa
1). i/ix.-. .-G}_~

i..) ._ sGiillY:S'nJT~/.}?/:}-.>
. :L;LJj ._. <
-. ... . . _. ._. . . . . . . . .-..y.-. . < ;.//~~-..
.-. -. .. ><--
Tabla N 14: Adquisicin, desarrollo y mantenimiento de sistemas del pre-test

4.2.7 Gestin de continuidad del negocio
O1 Se tiene identificado todos los riesgos a los que est expuesto la

DTI
02 De los riesgos identificados, se ha elaborada el conjunto de 02
acciones necesarias a realizar para su mitigacin
03 Se tiene definido el grupo de trabajo y las actividades a realizar en 06
caso de presentarse algn siniestro en la DTI o en la Institucin
04 Se planifican entrenamientos del personal a travs de simulacros 02
internos del rea, con la fmalidad de que se pongan en prctica las
acciones a realizar en caso de un siniestro
OS Se tiene un presupueSto asignado para una posible recuperacin de 02
los activos informticos de la Institucin
06 La Jefatura de la Institucin tiene alcance de los riesgos a los que 02
se encuentran expuestos los equipos de informticos y el impacto
que stos pueden ocasionar
07 Existe una coordinacin con las reas de seguridad y patrimonio 06
para que brinden su apoyo en caso de presentarse un siniestro en la
DTI (incendio, corto circuito, explosiones, etc.)
08 Existe una coordinacin con los proveedores de servicios para que 02
restauren los servicios interrumpidos en un corto plazo
09 Existe una coordinacin con la sede de Metal Mecnica en la 06
provisin temporal de los equipos informticos
1O Los lineamientos estratgicos de la Institucin incluyen planes de 02
continuidad del negocio y recuperacin de los daos ocasionados
frente algn siniestro
Tabla N 15: Gestin de continuidad del negocio del pre-test

Fuente: Elaboraein propia

4.3 Resultados para el post-test
4.3.1 Clasificacin y control de activos
O1 El software operativo se encuentra clasificado en base a algn

criterio
Institucin
upgrade
04 Conoce el nmero de computadoras operativas e inoperativas 1O
05 Conoce el nmero de impresoras por tipo con los que cuenta 1O
la Institucin
confidencialidad
08 La documentacin de los sistemas informticos se controla 1O
peridicamente
10 En caso de producirse algn siniestro sabe qu tipo de 10
\ ?~ .
Tabla N 16: Clasificacin y control de activos del post-test

4.3.2 Seguridad ligada al personal
02 Se incluyen charlas relacionadas a seguridad de la 10

03 Existe algn control para asegurar que la informacin no sea 1O
comprometida en los trabajos de per$onal tercero
04 Es consciente de las amenazas y riesgos en el mbito de la lO
05 Existe algn procedimiento de entrenamiento al personal 1O
06 Sabe que hacer en caso de presentatse alguna fuga o robo de 1O
07 El cese de personal incluye actividades de verificacin de la 10
permanencia
08 Se analizan y solucionan los errores producidos por mala 10
09 Existe planificacin alguna de como difundir en la Institucin 1O
1O Dentro de las sanciones al personal se encuentra incluido 06
aquellas relacionadas con la prdida o robo de infonnacin
confidencial
Tabla N 17: Seguridad ligada al personal del post-test


4.3.3 Seguridad ISica y del entorno
O1 El acceso a las instalaciones de la DTI permite el ingreso de

03 En los meses de produccin hay algn resguardo adicional debido 1O
04 Existe una bitcora con informacin de fecha, hora y motivo de 1O
06 La DTI tiene sealizaciones adecuadas para diferenciar las 1O
07 El personal de la DTI cuenta con capacitacin sobre uso adecuado 1O
instalaciones
08 Dentro de la DTI se diferencia ls reas seguras e inseguras, en 1O
09 El cableado elctrico implementado para los equipos de 1O
10 Los equipos computacionales tienen una adecuado plan de 10
Tabla N 18: Seguridad fsica y del entorno del post-test


4.3.4 Gestin de comunicaciones y operaciones
O1 Existe defmido procedimientos necesarios para una correcta

operacin de los equipos inforroticos
02 Se realizan capacitaciones peridicas a los usuarios de los servicios 1O
03 Existe un procedimiento de comunicacin de incidentes 10
relacionados a sistetnas o equipos informticO$
05 Existe una adecuada coordinacin entre los Analistas de Sistemas y 1O
06 La informacin se encuentra sincronizada y actualizada en todos los 1O
sistemas informticos. de la DTI
07 Se ejecutan revisiones a los sistemas despus de un mantenimiento 1O
fmalizado para comprobar que no se ha alterado los controles de
08 Operacionalmente un sistema informtico despus de un 1O
por los cuales fue dise:ado
09 Se realizan verificaciones peridicas sobre los equipos de cmputo 1O
Tabla N 19: Gestin de comunicaciones y operaciones del post-test


4.3.5 Control de accesos
01 un usuario
02 Existe un registro actualizado de las altas y bajas de usuarios, el c\uil 10
03 Existe un registro de perfiles y accesos de los usuarios a los 1O
en base a las reas de la Institucin
06 Las contraseas de usuarios para el acceso a los sistemas 1O
07 Existe algn control que brinde seguridad adecuada a los 1O
documentos (memorndum), que contienen informacin de acceso a
08 La alta de servicios informticos cuenta con un procedimiento 1O
09 Los archivos utilizados para almacenar contraseas de acceso a los 1O
1O Existe algn procedimiento para controlar el acceso a la red 1O
Institucional
. :)9\.
Tabla N 20: Control de accesos del post-test


4.3.6 Adquisicin, desarrollo y mantenimiento de sistemas
01 ms de un criterio de validacin de datos

procesamiento de la infonnacin de los sistemas informticos
-
02 Todos los sistemas informticos implementan rutinas de 10

sistemas infonnticos, en los cuales se haya perdido una gran
cantidad infonnacin para su posterior revisin y solucin
04 Se realizan revisiones peridicas a los sistemas informticos en 1O
produccin
06 Existe una asignacin de los sistemas informticos por cada Analista 10
07 Los archivos de datos se encuentran debidamente documentados y 1O
respectivas
1O Se autoriza el copiado de informacin en produccin a ambientes de 1O
prueba o viceversa
Tabla N 21: Adquisicin, desarrollo y mantenimiento de sistemas del post-test

Fuente: Elaboraei6n propia

4.3.7 Gestin de continuidad del negocio
... -_.::;.. _.: .:_:.:.<:;.. :.... .-.:-

.N~\ fr~gtitit:l , . >.
-=::-.:.."::.
: : .. ::: ::-. -: -~ :'. :.:"::-~---~: :; :->.:.;:~ ;,.:; ~
P#JI.tijj'e
=:.
01 Se tiene identificado todos los riesgos a los que est expuesto la 10

DTI
internos del rea, con la finalidad de que se pongan en prctica las
05 Se tiene un presupuesto asignado para una posible recuperacin de 06
10 Los lineamientos estratgicos de la Institucin incluyen planes de 06
i>>i u.i/r\. ;.>.;r. . e..wY /.YH\rr-~~m;~

. /. :e.
. - ex) :..:in"x<.is _ss(lli(i
'>-'.':O:<: ::.. nx 9l
Tabla N 22: Gestin de continuidad del negocio del post-test

CAPTULO V
DISCUSIN
El problema que el presente trabajo de investigacin pretende resolver es En qu medida

el Sistema de Gestin permitir mejorar la Seguridad de la Informacin en la Institucin
Servicios Industriales de la Marina?
Para dar solucin a este problema se plante la siguiente hiptesis:
El Sistema de Gestin permite mejorar la Seguridad de la Informacin en la Institucin

Servicios Industriales de la Marina.
5.1 Demostracin de la hiptesis
Para medir los indicadores de la variable dependiente utilizaremos las Guas de

Observacin realizadas (anexos) y la siguiente clasificacin:
.PROCESO. ... INDICADOR

Seguridad ligada al personal Confidencialidad
Seguridad fisica y del entorno
Gestin de comunicaciones y operaciones
Adquisicin, desarrollo y mantenimiento de sistemas Disponibilidad
Gestin de continuidad del negocio
Clasificacin y control de activos Integridad
Control de accesos
Tabla N 23: Clasificacin de indicadores de la variable dependiente

CAPTULO V: DISCUSIN 89
5.1.1 Indicador 1
y1: Confidencialidad de la informacin
a) Seguridad ligada al personal
Resultado:
Para la aplicacin de la Gua de Observacin N 02 se utiliz las preguntas de

la tabla (Anexo 02), con la finalidad de establecer un promedio de las preguntas
en relacin a las respuestas y el tamao de la muestra.
El resultado se muestra a continuacin:
N Prefft!llta . . ... .... . . Pontaje

O1 . Existe algn acuerdo d.e confidencialidad de informacin para 1O
02 Se incluyen charlas relacionadas a seguridad de la 1O
03 Existe algn control para asegurar que la informacin no sea 1O
04 Es consciente de las amenazas y riesgos en el mbito de la 10
05 Existe algn procedimiento de entrenamiento al personal 1O
06 Sabe que hacer en caso de presentarse alguna fuga o robo de 1O
07 El cese de personal incluye actividades de verificacin de la 1O
permanencia
08 Se analizan y solucionan los errores producidos por mala 1O
09 Existe planificacin alguna de como difundir en la Institucin 1O
--
10 Dentro de las sanciones al personal se encuentra incluido 06
aquellas relacionadas con la prdida o robo de informacin
confidencial
.. : . < ....
' :
.PROMEDIO. ..... : .. ..
. .
9,6
.
Tabla N 24: Resultados por pregunta

Para la obtencin del puntaje se utiliz 03 criterios:
Si: 10 puntos
Avanee: 6 puntos
No: 2 puntos
El rango de puntuacin se muestra a continuacin:
2 10
1 1 1 )
- Promedio= 9.6 +
Se consider 2 en el extremo izquierdo, debido a que representa el puntaje

mnimo que se puede ponderar a una pregunta, mientras que en el extremo
derecho se consider 1O. el cual representa el puntaje ptimo (ideal).
El resultado de la aplicacin de la Guia de Observacin No 02 es 9.6, el cual

nos indica que la Seguridad ligada al personal es la adecuada y contribuye
a mejorar la confidencialidad de la informacin.
Prueba de t student
Adicional a la aplicacin de la Gua de Observacin, tambin probaremos si

es estadsticamente significativo. Esto lo lograremos a travs de la prueba de
t student, tal como se muestra a continuacin:
Paso 1: Planteamiento de las hiptesis estadsticas
Seleccionamos la hiptesis nula y la hiptesis alternativa
H0 : J1 = 6: No se aplica una adecuada seguridad ligada al personal
Ha: p > 6: Se aplica una adecuada seguridad ligada al personal
Paso 2: Nivel de confianza o significancia: (95%)
a = 5% (margen de error)
Paso 3: Regiones de aceptacin y rechazo
Segn la tabla de t student:
t(0.95,9) = 1.833
Sito<= 1.833 entonces Hose acepta
Si to > 1.833 entonces Hose rechaza
Paso 4: Clculos
Las frmulas para calcular el valor del t student y la desviacin

estndar de la muestra, son las siguientes:
DOn e:
t: FormUla estadstica t
S~
i=-1 <le. Student
- .-- S : Desviacin estnaf
N : Nmero de elementos
N
X : Mdia obtenida

JJ : Meda. estadstica
X. p
t = ..... ~ N -1
S
Entonces para:
N= 10 X=9,6 J.L= 6
Calculamos la desviacin estndar S= 1,20
Por lo tanto to = 9,00
t 0 = 9,00 > 1.833 entonces Ho se rechaza
1..833 +
Paso 5: Conclusin
Como el resultado no cae en la zona de aceptacin (to > l. 83 3) se

rechaza la hiptesis nula y se acepta la hiptesis alternativa, por lo
tanto podemos decir que ante la hiptesis "El Sistema de Gestin
permite mejorar la Seguridad de la Informacin en la Institucin
Servicios fudustriales de la Marina" el indicador confidencialidad
de la informacin es vlido, ya que est demostrado.
b) Seguridad fsica y del entorno
Resultado:

la tabla (Anexo 03), con la fmalidad de establecer un promedio de las preguntas
No Pregunta Puntaje
01 El acceso a las instalaciones de la DTI permite el ingreso de 10
03 En los meses de produccin hay algn resguardo adicional debido 10
04 Existe una bitcora con informacin de fecha, hora y motivo de 10
06 La DTI tiene sealizaciones adecuadas para diferenciar las 10
07 El personal de la DTI cuenta con capacitacin sobre uso adecuado 10
instalaciones
08 Dentro de la DTI se diferencia las reas seguras e inseguras, en 10
09 El cableado elctrico implementado para los equipos de 10
10 Los equipos computacionales tienen una adecuado plan de 10
PROMEDIO .....

9,2
Tabla N 25: Resultados porpregunta

Si: 1Opuntos
Avance: 6 puntos
No: 2 puntos
2 '10
1 1 1)
- Promedio= 9;2 +
derecho se consider 10. el cual representa el puntaje ptimo (ideal).
El resultado de la aplicacin de la Guia de Observacin N 03 es 9.2, el cual

nos indica que la Seguridad fisica y del entorno es la adecuada y
contribuye a mejorar la confidenciaUdad de la informacin.
Prueba de t student

es estadsticamente significativo. Esto lo lograremos atravs de la prueba de
Paso 1: Planteamiento de las hiptesis estadisticas
Ho: J1 = 6: No se aplica una adecuada seguridad fsica y del entorno
Ha: J1 > 6: Se aplica una adecuada seguridad fsica y del entorno
Paso 2: Nivel de confianza o significanca: (95%)
a= 5% (margen de error)
t(0.95,9) = 1.833
Si to <= 1.833 entonces Ho se acepta
Sito> 1.833 entonces Hose rechaza
Paso 4: Clculos

Dona e:
t :. Formula estdstlca t
i'=1 oe Student
S : Desviacin estrular
----~-
N : Nmero de elementos
x : Meca obtenida
JJ: Media. estadstica

X IJ
t = --- ~N 1
S
Entonces para:
N= 10 X=9,2 J..L=6
to = 6,00 > 1.833 entonces Ho se rechaza

~,.
Zonae
Rechazo "
1.833 6.00
Paso 5: Conclusin
Como el resultado no cae en la zona de aceptacin (to > 1.833) se

tanto podemos decir que ante la hiptesis ''El Sistema de Gestin
Servicios Industriales de la Marina" el indicador confidencialidad
de la informacin es vlido, ya que est demostrado.
5.1.2 Indicador 2
y2: Disponibilidad de la informacin
a) Gestin de comunicaciones y operaciones
Resultado:

No Pregunta .... ..
Pontaje

01 Existe definido procedimientos necesanos para una correcta 10

02 Se realizan capacitaciones peridicas a los usuarios de los servicios 10
03 Existe un procedimiento de comunicacin de incidentes 10
05 Existe una adecuada coordinacin entre los Analistas de Sistemas y 10
06 La informacin se encuentra sincronizada y actualizada en todos los 10
-- -
sistemas informticos de la DTI

.
07 Se ejecutan revisiones a los-sistemas despus de un mantenimiento 10
tmalizado para comprobar que no se ha alterado los controles de
08 Operacionalmente un sistema informtico despus de un 10
por los cuales fue diseado
09 Se realizan verificaciones peridicas sobre los equipos de cmputo 10
PROMEDIO. 9,6

Si: 10 puntos
Avance: 6 puntos
No: 2 puntos
.2
1 1 1
-
derecho se consider 10, el cual representa el puntajc ptimo (ideal).
El resultado de la aplicacin de la Gua de Observacin N 04 es 9.6, el cual
nos indica que la Gestin de Comunicaciones y Operaciones es la
adecuada y contribuye a mejorar la confidencialidad de la informacin.
Prueba de t student

Paso 1: Planteamiento de las hiptesis estadisticas
Ho: p = 6: No se aplica una adecuada gestin de operaciones y

comunicaciones
Ha: p > 6: Se aplica una adecuada gestin de operaciones y

comunicaciones
Paso 2: Nivel de confianza o significancia: (95/o)
t(0.95,9) = 1.833
Sito> 1.833 entonces H 0 se rechaza
Paso 4: Clculos

Donde:
t: Formula estadstiCa t
deStudent
.. ----. - S : Desviadn estndar
N N: Nmero de elementos
X : Media obtenida
'-' : Media estadstica
t = ------
S
Entonces para:
N= lO X=9,6 Jt= 6
to = 9,00 > 1.833 entonces Hose rechaza
. '"
~:~~~ ~." "
'
.
~-----~---------------~. -r
1.833 9.00 +
Paso 5: Conclusin


Servicios Industriales de la Marina" el indicador disponibilidad de
la informacin es vlido, ya que est demostrado.
b) Adquisicin, desarrollo y mantenimiento de sistemas
Resultado:

NO Pre20nta .. .. .. ..... :Pontaje

01 Se utiliza ms de un criterio de validacin de datos en el 10
procesamiento de la informacin de los sistemas informticos
02 Todos los sistemas informticos implementan rutinas de lO
recuperacin de datos, a fm de evitar procesamientos errneos o
04 Se realizan revisiones peridicas a los sistemas informticos en 10
produccin
06 Existe una asignacin de los sistemas informticos por cada Analista lO
07 Los archivos de datos se encuentran debidamente documentados y 10
CAP[TULO V: DISCUSIN 101

respectivas
10 Se autoriza el copiado de informacin en produccin a ambientes de 10
prueba o viceversa
PROMEDIO . 9,2 ..
.e .

Si: 10 puntos
Avance: 6 puntos
No: 2 puntos
2 '10
1 1 1 >
- Promedio =9,2 +
derecho se consider 1O. el cual representa el puntaje ptimo (ideal).

nos indica que la Adquisicin, desarrollo y mantenimiento de sistemas es
la adecuada y contribuye a mejorar la disponibilidad de la informacin.

Prueba de t student

t student. tal como se muestra a continuacin:
Sel~ccionamos la hiptesis nula y la hiptesis alternativa
H0 : tt = 6: No se aplica una adecuada adquisicin, desarrollo y

mantenimiento de sistemas
Ha: tt > 6: Se aplica una adecuada adquisicin, desarrollo y

mantenimiento de sistemas
a. = 5% (margen de error)
t(0.95,9) = 1.833
Paso 4: Clculos


N
Donde:
t : Formula estadstica t
i=1 deStudnt
-- S : DesviaCin estndar
N N :Nmero de elementos
.X : Media obtenida
~ : Media estadstica
Entonces para:
N= lO X= 9,2 J.t= 6
to = 6,00 > 1.833 entonces Ho se rechaza
. . ._- -'-. . . .--~-:_n_~= ~

1.833 6.00 +
Paso 5: Conclusin


e) Gestin de continuidad del negocio
Resultado:

No .Pregunta Puntaje
01 Se tiene identificado todos los riesgos a los que est expuesto la 10
DTI
internos del rea, con la finalidad de que se pongan en prctica las
05 Se tiene un presupuesto asignado para una posible recuperacin de 06
CAP{TULO V: DISCUSIN 105

~ - -~ -

10 Los lineamientos estratgicos de la Institucin incluyen planes de 06
PROMEDIO . 92
. .. ... .. - . . . . ,, .... - .-
-....
' .. '

Si: 10 puntos
Avance: 6 puntos
No: 2 puntos
2 10
1 1 1 1)
- Promedio~= 9;2 +
derecho se consider 10, el cual representa el puntaje ptimo (ideal).

nos indica que la Gestin de continuidad del negocio es la adecuada y
contribuye a mejorar la disponibj)jdad de la informacin.
Prueba de t student

CAPITULO V: DISCUSIN 106

Ho: J1 = 6: No se aplica una adecuada gestin de continuidad del

negocio
Ha: J1 > 6: Se aplica una adecuada gestin de continuidad del

negocio
a.= 5% (margen de error)
t(0.95,9) = 1.833
Si ~ <= 1.833 entonces Ho se acepta
Paso 4: Clculos

oon<le:
.t: Fbtmwa estadistica t

i=1 ese student
-- S : Desviacin estndar
N : Nmero ae e!emntos ..
N
x : Media obtenlda
.
1J : Me<lia estadistica
t= -----~---------~-- ~ .N~~1
S

Entonces para:
N= lO X=9,2 J.t= 6
t 0 = 6,00 > 1.833 entonces Ho se rechaza
1.833 +
Paso 5: Conclusin

5.1.3 Indicador 3
y3: Integridad de la informacin
a) Clasificacin y control de activos
Resultado:
Para la aplicacin de la Gua de Observacin N O1 se utiliz las preguntas de

la tabla (Anexo 01 ), con la fmalidad de establecer un promedio de las preguntas

No Pre2unta Punta_ e
01 El software operativo se encuentra clasificado en base a algn 10
criterio
Institucin
upgrade
04 Conoce el nmero de computadoras operativas e inoperativas 10
05 Conoce el nmero de impresoras por tipo con los que cuenta 10
la Institucin
confidencialidad
08 La documentacin de los sistemas informticos se controla 10
peridicamente
.. . .. . ..

10 En caso de producirse algn siniestro sabe qu tipo de 10
PROMEDIO ..
9,2

Si: 1Opuntos
Avanee: 6 puntos

No: 2 puntos
.2 6 10
1 1 1 1)
- Promedio,= 9,2 +
derecho se consider 10, el cual representa el puntaje ptimo (ideal).
El resultado de la aplicacin de la Gua de Observacin No 07 es 9.2, el cual

nos indica que la Clasificacin y control de activos es la adecuada y
contribuye a mejorar la integridad de la informacin.
Prueba de t student

H 0 : p. = 6: No se aplica una adecuada clasificacin y control de

activos
Ha: p. > 6: Se aplica una adecuada clasificacin y control de activos
Segn la tabla de t student

t(0.95,9) = 1.833
Paso 4: Clculos

Dnde:
t(.X- X)l
t : Forf"!1l11 estadstica t
i:1 de Student
s : DesviaCin estndar
----~-
N N : Nmero e elemento~
X : Media obtenida
lJ: Media estadstica

X. iJ. ,r-
l = ............-....- ~N 1
S
Entonces para:
N=10 X=9,2 J.L= 6
t 0 = 6,00 > 1.833 entonces H0 se rechaza
Zonade
R
.,ec1.azo
;,
'""' ... ~
'
'"". .
1~833 6.00

Paso 5: Conclusin

Servicios Industriales de la Marina" el indicador integridad de la
informacin es vlido, ya que est demostrado.
b) Control de accesos
Resultado:
Para la aplicacin de la Guia de Observacin N 05 se utiliz las preguntas de

No Pregunta Puntaje
01 Est definido las actividades a realizarse cuando un usuario de 10
02 Existe un registro actualizado de las altas y bajas de usuarios, el cual 10
03 Existe un registro de perfiles y accesos de los usuarios a los 10
en base a las reas de la .Institucin
06 Las contraseas de usuanos para el acceso a los sistemas 10
07 Existe algn control que brinde seguridad adecuada a los 10

1. documentos (memorndum), que contienen informacin de acceso a
08 La alta de servicios informticos cuenta con un procedimiento 10
09 Los archivos utilizados para almacenar contraseas de acceso a los 10
10 Existe algn procedimiento para controlar el acceso a la red 10
Institucional
' ... TOTAL ' '.
.: ..
..
..
96
.. . .
'
. .

Si: 1Opuntos
Avance: 6 puntos
No: 2 puntos
2 6 10
1 1 1 1 >
- Promedio= 9,6 +

derecho se consider 1o. el cual representa el puntaje ptimo (ideal).

nos indica que el Control de accesos es el adecuado y contribuye a mejorar
la integridad de la informacin.

Prueba de t student

Paso 1: Planteamiento de las hiptesis estadistlcas
Ho: f.l = 6: No se aplica un adecuado control de accesos
Ha: f.l > 6: Se aplica un adecuado control de accesos
Paso 2: Nivel de confianza o significancia: (95/o)
t(0.95,9) = 1.833
Paso 4: Clculos


.r---------------~
oonoeY
t :Formol estadstiCa t
\ i=1 de Student
S : Oesviadn estnclaf
.m4w ----
N N. :. Nmero de elementos
. .
X : Media obtenida
- ~ : Media estadstica
X J.l
l= -..-----~
S
Entonces para:
N= lO X=9,6 J.l= 6
to = 9,00 > 1.833 entonces Hose rechaza
r----"--'--~-~---.-~~-)~
1~833 9.()0 .+
Paso 5: Conclusin

Servicios Industriales de la Marina" el indicador integridad de la
informacin es vlido, ya que est demostrado.
CAPITULO V: D/SCUSI6N 115

CAPTULO VI
CONCLUSIONES
6.1 Conclusin General
Se mejor en 58% la Seguridad de la Informacin en la Institucin Servicios

Industriales de la Marina, a travs de la implementacin de los procesos del Sistema de
Gestin de Seguridad de la Informacin.
6.2 Conclusiones Especficas
Se utiliz la metodologa POCA, el cual permiti implementar adecuadamente el

Sistema de Gestin de Seguridad en los Servicios Industriales de la Marina.
Se capacit a todos los usuarios de los servicios informticos sobre temas relacionadas
a la Seguridad de la Informacin, logrando disminuir la prdida de informacin en las
diferentes divisiones de los Servicios Industriales de la Marina. (C)
Se establecieron y supervisaron los niveles de accesibilidad a los sist~mas de

informacin, logrando implementar niveles de seguridad desde el acceso a los sistemas
hasta su procesamiento. (C)
Se actualiz el Plan de Contingencias, logrando preparar y capacitar al personal de la

DTI frente a algn desastre que pueda interrumpir la continuidad de los servicios
informticos. (D)
Se establecieron controles de seguridad (entrada, proceso y salida) en todos los

sistemas de informacin operativos, logrando alinear los procesos con la seguridad de
la informacin. (I)
Se implementaron niveles de seguridad en el uso y creacin de las contraseas de

acceso a los diferentes servicios informticos, logrando brindar una adecuada
seguridad a toda la informacin almacenada en los equipos informticos. (I)
CAPITULO VI: CONCLUSIONES 116

Se realiz una clasificacin de los activos informticos (servidores, backup, software y
documentacin) de acuerdo al nivel de importancia para la Empresa, ya que representa
un recurso de gran importancia para la Institucin. (l)
Se estableci el procedimiento para la baja de usuarios de los servicios informticos,

logrando disminuir el tiempo de baja los usuarios que se desvinculan de la Institucin.
(I)
Se emplearon normas relacionadas a la seguridad de la informacin, para lograr una

adecuada implementacin del Sistema de Gestin de Seguridad en los Servicios
Se logr disminuir el nmero de observaciones en las auditoras que realiza la Oficina

de Gestin de Control, gracias a la implementacin de las medidas y controles de
seguridad de la informacin en los diferentes procesos de la Divisin de Tecnologas
de la Informacin.
CAPITULO VI: CONCLUSIONES 117

CAPTULO VD
RECOMENDACIONES
);> Contratar peridicamente la asesora de consultoras de seguridad de la informacin,

con la finalidad de seguir mejorando los procesos informticos de los Servicios
);> Planificar reuniones peridicas entre el equipo de la Divisin de Tecnologas de la

Informacin, lideras por el Jefe de la DTI y los Analistas de Seguridad de la
Informacin.
);> Continuar con el programa de capacitacin a los usuarios de los servicios informticos,
con la finalidad de seguir mejorando la seguridad de la informacin.
);> Investigar e implementar nuevos controles de seguridad en los diferentes procesos de

);> Incluir partidas presupuestarias por parte del Jefe de la Oficina Estratgica, con la
fmalidad de mejorar los activos informticos de la DTI.
);> Continuar con la implementacin de nuevas medidas de seguridad en el Plan de

Contingencias, con la finalidad de evitar prdidas e interrupciones de los servicios
informticos de la Institucin.
);> Continuar con la realizacin de simulacros internos, la cual sirva para brindar una
mejor capacitacin y entrenamiento al personal de la DTI.
' );> Brindar todas las facilidades a la Oficina de Control de Gestin en las auditoras que
realiza, con la finalidad disminuir las observaciones encontradas y seguir todas las
recomendaciones indicadas.
CAPTULO VII: RECOMENDACIONES 118

REFERENCIABffiLIOGRFICA
Areitio, J. (2009). "Seguridad de la Infonnacin: Redes, Infonntica y Sr'. Cengage

Leaming-Paraninfo.
Areitio, J. (2006). "Anlisis en tomo a la auditoria de seguridad en tecnologas de la

informacin y las comunicaciones". REE. N 625.
Areitio, J. (2009). "Test de penetracin y gestin de vulnerabilidades, estrategias clave

para evaluarla seguridad de red". REE. N 653.
Areitio, J. (2005). "Tipificacin de amenazas, identificacin de contramedidas de

seguridad en el mbito de gestin de redes y sistemas~. REE. N 613.
Areitio, J. (2008). Seguridad de la Informacin. Barcelona. Paraninfo.
Daltabuit, E., Hernndez, L., Malln, G. & V, Jos. (2007). La Seguridad de la

1nformacin. Mxico. Limusa.
Indacochea, A. (2005). Una propuesta para mejorar las prcticas de Gobierno Corporativo
en el Per. Pontificia Universidad Catlica del Peri. Recuperado de
http://centrum.pucp.edu~pe/docentes/Alndacochea_Libros/documentos_publicados/Gobiem
o_Corporativo.pdf.
Piattini, M. y Del Peso, E. (2001). Auditora Informtica. Un enfoque prctico, (2a ed.).
Mxico. Alfaomega RA-MA.
H, Enrique. (1996). Auditora en informtica un enfoque metodolgico, (la ed.). Mxico.

McGraw Hill Editorial.
Herzog, P. (2003). Metodologa Abierta de Testeo de Seguridad 2.1, Institute for

Security and Open Methodologies.
Stuart, Me (2003). Hacking Exposed:. Network Security, 4th edition. McGraw-Hill
REFERENCIA BILBIOGRFICA 119

Siles, R. (2003). Hacking TCP/IP, EE.UU
Siles, R. (2003). GNU Free Software Foundation, EE.UU
Zwicky, T. (2004). Building Internet Firewalls~ EE.UU: O'Relly Media lnc.
Klarp, J. (2000). How to Conduct a Security Audit, PC Network Advisor
Cresson, Ch. (2002). Information Security Police Made Easy, EE.UU, Pentasafe
D, Sullivan. (2004). The Definite Guide to Security Management, Computer Associates
M, Juarez. (2000). La Seguridad de Informacin. Grupo lbermtica, N 93
L, Anzola. (2008). IT Govemance Regulation - A Latin American Perspective de

Information Systems Control Joumal
S, Hamaker. (2005). Enterprise Govemance and the Role of IT, Information Systems
Control Joumal
M, Parkinson. (2005). IT and Enterprise Govemance, Information Systems Control

Jouma1
A, Servat. (2007). Diseo de un sistema de gestin de seguridad de informacin, ptica

ISO 27001:2005, Primera edicin, Mxico
J, Cano. (2011). El Debido Cuidado en Seguridad de Informacin. Un ejercicio de virtudes

para el responsable de la Seguridad de Informacin
REFERENCIA BILBIOGRFICA 120

WEBLOGRAFA
NTP-ISO/IEC 17799:2007 (2007). Tecnologa de la Informacin. Cdigo de buenas

prcticas para la gestin de la seguridad de la 1nformaCin.
Disponible en:
http://www:bvndepopi.gob.pe/normas/isoiec17799.pdf
Consultado el24 de Agosto del2013.
COBIT 4.1 (2007). Entregar y dar soporte. Garantizar la seguridad de los sistemas.
Disponible en:
http://cs.-uns.edu.ar/-ece/auditoria/cobiT4.1spanish.pdf
ONGEI (2005). Auditoria de Sistemas.

Disponible en:
http://www.ongei:gob;pe/publicalmetodologias/Lib50()2/libro.-htm
ONGEI (2005). Plan de contingencias y seguridad de la Informacin.

Disponible en:
http://www;ongei.gob.pe/publica/metodologias/Lib5007/libro.htm
INEI (2007). Recomendaciones tcnicas para la seguridad e integridad de la informacin

que se procesa en la Administracin Pblica.
Disponible en:
http://www.ongei.gob.pe/publicalmetodologias/lib5082/cap03:htm
INEI (2006). Normas tcnicas para el almacenamiento y respaldo de la informacin que se

procesan en las Entidades del Estado.
Disponible en:
REFERENCIA BILBJOGRFICA 121

http://www.ongei.gob. pe/publica/metodologias/lib5082/cap0 l.htm
Consultado el24 de Agosto del 2013.
INEI (2006). Normas y procedimientos tcnicos para garantizar la seguridad de la

informacin publicadas por las Entidades de la AdministracinPblica.
Disponible en:
http://www .ongei.gob.pe/publica/metodologias/lib5082/cap0 l.htm
J, Miller (2013). Sistema de Gestin de la Seguridad de la Informacin.

Disponible en:
http://es.wikipedia;org/wiki/Sistema_:de_Gesti%C3 %B3n_:de_la:_Seguridad_:de~Ja_Informa
ci%C3%B3n
J, Miller (2013). Seguridad de la Informacin.

Disponible en:
http:/Jes;wikipedia.orglwiki/Seguridad_:de__:la_:informaci%C3%B3n
Consultado el24 de Agosto de12013,
B, Ignacio. (2004). Confidencialidad, Disponibilidad e Integridad de la informacin.

Disponible en:
http://www.belt.es/expertos/expertQ.asp?id=2245
Consultado el 24 de Agosto del 2013.
REFERENCIA BILBJOGRFICA 122

ANEXOOl
GUIA DE OBSERVACIN N 01- CLASIFICACION Y CONTROL DE ACTIVOS
' . N(j..
-o
ifi~:;,; ""~.,.... . .i\./>>.\.:.. ,0<?.\\({...;~~:.. :_o.o~:.{?-/(\(.- sr Nil -AY811~~-
01 El software operativo se encuentra clasificado en base a algn X
criterio
02 Sabe la cantidad de software con la que cuenta la Institucin X
03 Sabe la cantidad de software que se actualiz mediante upgrade X
04 Conoce el nmero de computadoras operativas e inoperativas X
05 Conoce el nmero de impresoras por tipo con los que cuenta la X
Institucin
06 Los servidores se encuentran clasificados de acuerdo a su nivel X
de importancia frente a algn siniestro
07 Para el almacenamiento del backup se utiliz algn criterio de X
confidencialidad
()8 La documentacin de los sistemas informticos se controla X
peridicamente
09 Revisa o recopila informacin sobre controles de seguridad X
10 En caso de producirse algn siniestro sabe qu tipo de X
ANEX002
GUIA DE OBSERVACIN N 02- SEGURIDAD LIGADA AL PERSONAL
N~.. -'r> ..l..;: > ., /; .:,x. . r.>~~..;c .. :~ . \,.. : . .;:r. i$i >N~ ..t\.r~ll<
01 Existe algn acuerdo de confidencialidad de informacin para X
02 Se incluyen charlas relacionadas a seguridad de la informacin X
en las inducciones a nuevo personal
03 Existe algn control para asegurar que la informacin no sea X
04 Es consciente de las amenazas y riesgos en el mbito de la X
05 Existe algn procedimiento de entrenamiento al personal sobre X
la adecuada manipulacin de los equipos informticos
06 Sabe que hacer en caso de presentarse alguna fuga o robo de X
07 El cese de personal incluye actividades de verificacin de la X
seguridad de la informacin, durante el tiempo de permanencia
08 Se analizan y solucionan los errores producidos por mala. X
09 Existe planificacin alguna de como difundir en la Institucin X
10 Dentro de las sanciones al personal se encuentra incluido X
aquellas relacionadas con la prdida o robo de informacin
.
confidencial
ANEX003
GUIA DE OBSERVACIN N 03- SEGURIDAD FISICA Y DEL ENTORNO
.
\N~\ > ..~~~~~ ~Lc /.{};!... y<{C).~YL.:LN.L \? :L_;<L;.. /Sf Asi J(va:r.ee
01 El acceso a_ las instalaciones de la DTI permite el ingreso de X
02 Existen dispositivos de seguridad (cmaras, alarmas, etc.) X
03 En los meses de produccin hay algn resguardo adicional X
debido a la presencia de una gran cantidad de personal tercero
04 Existe una bitcora con informacin de fecha, hora y motivo de X
05 La estructura fisica que contiene los equipos de X
comunicaciones es la adecuada en relacin la informacin que
almacena
06 La DTI tiene sealizaciones adecuadas para diferenciar las X
07 El personal de la DTI cuenta con capacitacin sobre uso X
adecuado de extinguidores frente a posibles incendios dentro de
las instalaciones
08 Dentro de la DTI se diferencia las reas seguras e inseguras, en X
09 .El cableado elctrico implementado para los equipos de X
10 Los equipos computacionales tienen una adecuado plan de X
ANEX004
GUIA DE OBSERVACIN N 04 - GESTION DE COMUNICACIONES Y

OPERACIONES
..:N?..".
1
if';;;;;~;;~.4.;:>\L .Qi2L22 /L_</ >F //i' < :;< . i ,.~ $i Ni{ AY:lln~~.i
01 Existe definido procedimientos necesarios para una correcta X
02 Se realizan capacitaciones peridicas a los usuarios de los X
servicios informticos (sobre diversos temas)
03 Existe un procedimiento de comunicacin de incidentes X
04 La informacin perdida por un falla en el funcionamiento de un X
05 Existe una adecuada coordinacin entre los Analistas de X
Sistemas y usuarios con respecto al uso de los sistemas
informticos
06 La informacin se encuentra sincronizada y actualizada en X
todos los sistemas informticos de la DTI
07 Se ejecutan revisiones a los sistemas despus de un X
mantenimiento fmalizado para comprobar que no se ha alterado
los controles de seguridad de la informacin
08 Operacionalmente un sistema informtico despus de un X
mantenimiento solicitado, sigue manteniendo los mismo
objetivos por los cuales fue diseado
09 Se realizan verificaciones peridicas sobre los equipos de X
cmputo a fm de evitar el uso o instalacin de software no
licenciado
10 El proceso de desinfeccin de medios extrables de usuarios se X
ANEXO OS
GUIA DE OBSERVACIN N 05- CONTROL DE ACCESOS
y. Nl)\ . 1 ; -.. -.. -_- . >.-./>_N;.-.-. >c. ,)r \-x/..s_2tiL__L. ,.\Si> 'N: Avap~e
01 Est definido las actividades a realizarse cuando un usuario de X
02 Existe un registro actualizado de las altas y bajas de usuarios, el X
cual permita mostrar informacin de historial de usuarios
03 Existe un registro de perfiles y accesos de los usuarios a los X
04 Existe una clasificacin de perfiles para el acceso a la X
informacin en base a las reas de la Institucin
05 Los accesos a los sistemas informticos se han brindado X
siempre en funcin a las actiVidades del usuario solicitante
06 Las contraseas de usuarios para el acceso a los sistemas X
informticos son seguras, teniendo en cuenta la informacin
que procesan y almacenan
07 Existe algn control que brinde seguridad adecuada a los X
documentos (memorndum), que contienen informacin de
acceso a servicios informticos
08 La alta de servicios informticos cuenta con un procedimiento X
establecido a fin de evitar brindar acceso antes de tener todas
las aprobaciones correspondientes
09 Los archivos utilizados para almacenar contraseas de acceso a X
los diferentes servicios informticos se encuentran protegidos
10 Existe algn procedimiento para controlar el acceso a la red X
Institucional
ANEX006
GUIA DE OBSERVACIN N 06 ADQUISICION, DESARROLLO Y

MANTENIMIENTO DE SISTEMAS
L':rie::-.>.C c::::i:
N~/ ~. . ~- \ ?._. > .\u-~>
_;;vE. i\L);
xi_; Y.-_ . .}}i>. :$i> N#> Avi:nce
01 Se utiliza ms de un criterio de validacin de datos en el X
procesamiento de la informacin de los sistemas informticos
02 Todos los sistemas informticos implementan rutinas de X
03 Existe un registro actualizado de los errores producidos por los X
04 Se realizan revisiones peridicas a los sistemas informticos en X
produccin, a fm de garantizar que cumplen con los objetivos
05 Todas las modificaciones solicitadas por los usuarios se realizan en X
produccin
06 Existe una asignacin de los sistemas informticos por cada Analista X
07 Los archivos de datos se encuentran debidamente documentados y X
08 La implantacin de cdigo ejecutable en los equipos de cmputo X
respectivas
09 Se realiza una coordinacin adecuada entre el personal de soporte X
10 Se autoriza el copiado de informacin en produccin a ambientes de X
prueba o viceversa
ANEX007
GUIA DE OBSERVACIN N' 07- GESTION DE CONTINUIDAD DEL NEGOCIO
.
\Nf'\ .)'~c~liull#t>x>.:o\./..\)i<.xnix;xx/nx r:>..: XSf Ni A:vJ~nte
01 Se tiene identificado todos los riesgos a los que est expuesto la X
DTI
02 De los riesgos identificados, se ha elaborada el conjunto de X
03 Se tiene definido el grupo de trabajo y las actividades a realizar X
en caso de presentarse algn siniestro en la DTI o en la
Institucin
04 Se planifican entrenamientos del personal a travs de X
simulacros internos del rea, con la finalidad de que se pongan
en prctica las acciones a realizar en caso de un siniestro
05 Se tiene un presupuesto asignado para una posible recuperacin X
de los activos informticos de la Institucin
06 La Jefatura de la Institucin tiene alcance de los riesgos a los X
que se encuentran expuestos los equipos de informticos y el
impacto que stos pueden ocasionar
07 Existe una coordinacin con las reas de seguridad y X
patrimonio para que brinden su apoyo en caso de presentarse
un siniestro en la DTI (incendio, corto circuito, explosiones,
etc.)
08 Existe una coordinacin con los proveedores de servicios para X
que restauren los servicios interrumpidos en un corto plazo
09 Existe una coordinacin con la sede de Metal Mecnica en la X
10 Los lineamientos estratgicos de la Institucin incluyen planes X
.,
de continuidad del negoc10 y recuperac10n de los daos
ocasionados frente algn siniestro
ANEXO OS
ACUERDO DE CONFIDENCIALIDAD PERSONAL INTERNO
Como parte de la poltica de seguridad de la informacin de los Servicios Industriales de la

Marina Chimbote, tenemos al Sr. Capitn de Fragata _ _ _ _ _ _ _ _ _ _, Jefe de Sima
Chimbote y por otro lado al Sr (a). con PR , desempea
el cargo de en la Divisin de , se ha
acordado celebrar el presente Acuerdo de Confidencialidad que se regir por las siguientes
clusulas:
CONSIDERACIONES
l. Debido a la naturaleza del trabajo, se hace necesario que se maneJe informacin

confidencial y/o informacin sujeta a derechos de propiedad intelectual, antes, durante y en la
etapa posterior.
CLAUSULAS
PRIMERA
OBJETO. El objeto del presente acuerdo es fijar los trminos y condiciones bajo los cuales
las partes mantendrn la confidencialidad de los datos e informacin intercambiados entre
ellas. incluyendo informacin objeto de derecho de autor. patentes. tcnicas. modelos.
invenciones, procesos, algoritmos, programas, ejecutables, investigaciones, detalles de dise.o,
informacin fmanciera, lista de clientes, inversionistas, empleados, relaciones de negocios y
contractuales y cualquier informacin revelada sobre terceras personas.
SEGUNDA
CONFIDENCIALIDAD. Las partes acuerdan que cualquier informacin intercambiada,

facilitada o creada entre ellas en el tiempo que el personal labore en la Institucin, ser
mantenida en estricta confidencialidad. La parte receptora correspondiente solo podr revelar
informacin confidencial a quienes la necesiten y estn autorizados previamente por la parte
de cuya informacin confidencial se trata. Se considera tambin informacin confidencial: a)
Aquella que como conjunto o por su naturaleza, no sea conocida entre el resto de personal. b)
La que no sea de fcil acceso, y e) Aquella informacin que est sujeta a medidas de
proteccin razonables, de acuerdo con las circunstancias del caso, a fm de mantener su
carcter confidencial.
TERCERA.
EXCEPCIONES. No habr deber alguno de confidencialidad en los siguientes casos: a)

Cuando la parte receptora tenga evidencia de que conoce previamente la informacin recibida;
b) Cuando la informacin recibida sea de dominio pblico y, e) Cuando la informacin deje de
ser confidencial por ser revelada al resto de personal.
CUARTA.
DURACION. Este acuerdo regir durante todo el tiempo que el personal labore en la
Institucin
QUINTA.
DERECHOS DE PROPIEDAD. Toda informacin intercambiada es de propiedad exclusiva

de la Institucin. En consecuencia, ninguna de las partes utilizar informacin de la otra para
su prop1o uso.
SEXTA.
MODIFICACIN. Este acuerdo solo podr ser modificado por el Jefe de Sima Chimbote, y
este se encargar de comunicar al personal responsable para su respectiva difusin y
publicacin en los medios utilizados actualmente.
Chimbote, de - - - de - - -
Jefe Sima Chimbote Trabajador

ANEX009
ACUERDO DE CONFIDENCIALIDAD PERSONAL EXTERNO
Como parte de la poltica de seguridad de la informacin de los Servicios Industriales de la

Marina Chimbote, tenemos al Sr. Capitn de Fragata _ _ _ _ _ _ _ _ _ _, Jefe de Sima
Chimbote y por otro lado al Sr (li). _ _ _ _ _ _ _ _ _con DNI N _ _ _ _ _ ,razn
social RUC N , se ha acordado celebrar el
presente Acuerdo de Confidencialidad que se regir por las siguientes clusulas:
CONSIDERACIONES
l. Debido a la naturaleza del trabajo, se hace necesario u opcional que se maneje informacin
confidencial y/o informacin sujeta a derechos de propiedad intelectual, dependiendo de las
actividades a realizar dentro de la Institucin.
CLUSULAS
PRIMERA
OBJETO. El objeto del presente acuerdo es fijar los trminos y condiciones bajo los cuales
las partes mantendrn la confidencialidad de los datos e informacin intercambiados entre
ellas, incluyendo informacin objeto de derecho de autor, patentes, tcnicas, modelos,
invenciones, procesos, algoritmos, programas, ejecutables, investigaciones, detalles de disefio,
informacin financiera, lista de clientes, inversionistas, empleados, relaciones de negocios y
contractuales y cualquier informacin revelada sobre terceras personas.
SEGUNDA
CONFIDENCIALIDAD. Las partes acuerdan que cualquier informacin intercambiada,

facilitada o creada entre ellas en el tiempo que se labore en la Institucin, ser mantenida en
estricta confidencialidad. Se considera tambin informacin confidencial: a) Aquella que
como conjunto o por su naturaleza, no sea conocida entre el resto de personal. b) ta que no
sea de fcil acceso, y e) Aquella informacin que est sujeta a medidas de proteccin
razonables, de acuerdo con las circunstancias del caso, a fin de mantener su carcter
confidencial.
TERCERA.
EXCEPCIONES. No habr deber alguno de confidencialidad en los siguientes casos: a)

Cuando la parte receptora tenga evidencia de que conoce previamente la informacin recibida;
b) Cuando la informacin recibida sea de dominio pblico y, e) Cuando la informacin deje de
ser confidencial por ser revelada al resto de personal.
CUARTA.
DURACION. Este acuerdo regir durante todo el tiempo que se realicen labores en la
Institucin
QUINTA.
DERECHOS DE PROPIEDAD. Toda informacin intercambiada es de propiedad exclusiva

de la Institucin. En consecuencia, ninguna de las partes utilizar informacin de la otra para
su propio uso.
SEXTA.
MODIFICACIN. Este acuerdo solo podr ser modificado por el Jefe de Sima Chimbote, y
este se encargar de comunicar al personal tercero por el medio utilizado actualmente en la
Institucin.
Chimbote, de ___ de _ __
Jefe Sima Chimbote Personal Tercero

ANEXO lO
REGISTRO DE CAPACITACION EN SEGURIDAD DE LA INFORMACION

ANEXO U
REGISTRO DE INGRESO DE PERSONAL EXTERNO A LA DTI

ANEX012
REGISTRO DE INCIDENTES EN HORARIO ANORMAL
SIMA
ANEX013
REGISTRO DE CAPACITACION DE PROCESOS INFORMATNOS OPERATNOS
Firma
ANEX014
REGISTRO DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
ANEX015
REGISTRO DE BACKUP SEMANAL

ANEX016
REGISTRO DE INGRESO Y/0 SALIDA DE INFORMACION

ANEX017
REGISTRO DE AL TAIBAJA DE USUARIOS
Usuario
ANEXO 18
CLASIFICACIN DE SISTEMAS DE INFORMACIN POR OFICINAS/DIVISIONES
. . . . . . . . . . . . i.E.sttat~gi~~Li< . .?[ . Financiera ~~.0l/0~- .Jtlteu~ttti. iH~. yf. <.ci /l..O:g$dc~Ti>... ><.:.< > . /~efs.J)natdH.r>>
Backup 1 Backup 1 Backup 1 Backup 1 Backup
Registro de llamadas Registro de llamadas Registro de llamadas Registro de llamadas Registro de llamadas
Requerimiento de Requerimiento de Calidad Calidad Requerimiento de oficina
oficina oficina
Contabilidad de costos 1 Requerimiento de Guas de emisin Personal
oficina
Contabilidad general Mantenimiento Control de paales
Tesorera Produccin Requerimiento de
oficina
Mantenimiento
.. Control patrimonial
Logstico
Produccin
Comercial
ANEX019
ESQUEMA DE SEGURIDAD PARA CONTRASEAS
l. ACCESO A LAS COMPUTADORAS (Nivel 1)
a) reas que manejan informacin confidencial
Divisin de TIC -Longitud: 8 caracteres

Divisin de Remun. Control -Complejidad: las contraseas deben
Divisin de Contabilidad incluir maysculas (3). nmeros (3) y
Divisin de Tesorera caracteres especiales (2).
-No deben contener datos personales
-Frecuencia de cambio: 06 meses
b) reas que no manejan informacin confidencial
-Longitud: 8 caracteres
-Complejidad: las contraseas deben
Todas las reas a excepcin de incluir maysculas (3), nmeros (4) y
las expuestas en el cuadro a) caracteres especiales (1 ).
-No deben contener datos personales
-Frecuencia de cambio: 06 meses
11. ACCESO A LOS SISTEMAS DE INFORMACIN (Nivel 11)
cnt~tJ:()< ) >/ // /J?.~s~fivt.~~#< : >> _,_._. . . . . . . . . . . . . ...:. , < .
Longitud 8 caracteres
Las contraseas deben incluir maysculas
Complejidad (1), minsculas (2), nmeros (4) y
caracteres especiales (1)
No deben contener datos personales
Frecuencia de
cambio 06meses
111. ACCESO A LOS SERVIDORES (Nivel 111)
-<;;Hten'd>f r//\ P:#*~~~ij~i*#- _ i c.cc. . . . . . . .- . . . -. : - -. _._-_. ---. -

Longitud 14 caracteres
Las contraseas deben incluir :
Complejidad -maysculas (4)
-minsculas (3),
-nmeros (4)
-caracteres especiales (3)
Frecuencia de
cambio 04meses
ANEX020
REGISTRO DE AUTORIZACIN DE INGRESO DE EQUIPOS EXTERNOS
....
1\-o Few Em~euiNmnbre ...-.
ANEX021
REGISTRO DE AUTORIZACIN DE ACCESO A LA RED
liMA
ANEX022
DOCUMENTOS REVISADOS DE LA DTI
CONTROL DE ASISTENCIA DE CAPACITACION
;~~~,~~t>~~~~lf~~~-~11(~~.,.;\!:ll'~~.
. .. t
.;,~_,.,,..., ....;.~--- ---;:- .... :~= . -----:~---:'-=----;. -~--- ~-~-_,_-___ ,___ .
l-~- r
.t
t-~'*
~ ... '"" ~- . ~.. -.- .. ~.,. .:.-_,_.:.~ . . . . . ,-....,..,_ ,,...,..-."=-~---'' ..'<'----m.,__.._,.,.............~:..:.--- .,,.f..,_. _.,.,_ ,__ ._.-:,_. _
.........~:..--.--.:--..----.. .-.-:..:t..... :.-:--.'
~
~ J_-----
.. . . .-. .. ........,.,.,.._.,..,____ ,.______ .
1.:.... .........
~ ,,~_._.._..,.__.
. .
___.,. ___,._.~--:::--:~~.,.., ..,_, ...,....,+ ...,....._, __~-~-- ... k..,..,... .... ._,...,.._,___--i-..,.,-;-.-.,." .......-,~~-'-"'""--..... ~--- ,_ =-=.-...... ""'7--

'!'i- -.... -"
'
~-.f-~. i_:.= ~._~ .-~==:..-.:.:._- .~..;_._=-.-.-.~- . =:.:::=:t========r:-=-~

. ,.- .
. .
-- ...
.
.. ..
-~> ..,v.O.:~<.:;,;-:-~.--- -~-.- .-..:-:...... _.,...._._._ _.
Hil~--~i"''--'""'''"'--. -~~---.<-'i'' --<--W'"'";-<'---'1

'-;~I~--~- . . ~::~---~---~:r----~:==-~~=~~~~-=-~-=~-:~~-=~~-=~~r:===:===--~~:~-:-~:~--~------~--,=--_:::
\..n
r. ......... --!- . . - ~"~-----.:...-- ..... ,.,.~ --:,.~----.o.,.-,.,.,_. -..

_..,.~--~- _:;_ _..,_
. ....., .... .:. """'" - - ....,,, ......
,
Ji_,______ . - ___,_ ,. """'"'"'t,.
~ 1:~ J t
< ... :,-,\.. ...... ,... ,.:--:.'"'"~-.. -.v~-<"'"""""o. ;:":--}'-',-:.". -"-<--"O"t- ,,.:~- ..,......~--- o\"'t"f.
e~"'.. ! ~
&-- ."<"'-:'~---'~' --:.-<~-.,.--<----"""'~--,-.---<-c.-_,~_, _._.,-_.. ,. . ...,. ._......,_'-(._,_, ., .... ,.,....,_.~---"-:""-'-'~-----..-c-i-"'"";.:..:<--...=..:-<-'--;:~,.,.__...,..~-e""-'-'~"'---;:...-,...,.,.-e--:.'-""'"""":,i'O,....,.,.,_.,.:...:;-e.,-_,_,., ...~, .. ,....,..:-'-'-e-<"-'-"''';"-.,
. "2:(1: : !; -
t ..
' ~-,.~_,..l...,n.\1-....,..,....;.-~,.,,_. ..,....~.<L...-._~,.,....-..,.,.J., .,_.,-.,..~_,-.,....,-.<.!IH.,..,,,,._.._..,..,..~h""''..._.,_.._..,....,J.,"1f''"'""''""'"'"< .....,,..<,-..,.,.,_.,,..,.,,. ...... ._.. }... <'...........,............... , ...... ~.--.-,,...., ..,,.,.,._,...,.~, ...,,..,_.,,.,.,..,.,,~;
::,~;_. ._ Jt.~'. _ -~,

__.-.
.... .
--~
f. ._.._.................................. . -.:'. . . . .-.. .

.. - _:

.. . . , .... _._-,
........~---~-"< ..... ><"-'"'""'-~~ .... -~----+.-. . . -.-:-. . ~....--~--=------.,_,...-

.v.-.-... ---:< .-~,. .-.,-...-,-.;":"---.-,.;--.~:- .,._,-....,-.-,~,..-- -:<---::-'"-t-" ,. -\"':"---- -~': ..... ,... ,._.,.._._ -----~.,.-.... _._, ... ,.. -.~=--f::----~. . _, _.,_ -,. -\~.-- ....,.,.,,-, __.,._,._,_. _,J_..~---i
............-,..-,,....,..,.......,_._.~--=----=-"'-:-"~--~--..--.-,;;,,,...,.....,_._, __ ~---:<>:-<.r......,_._, __ ....,__...., .., ....,,....__.....-~--~,-.-.. ........,.......,.,__,____#"--~.............................. ...,~.

REQUERIM1ENTO PARA MANTENIMIENTO DE SISTEMAS
r~"~'"'-,.~~--~"'-~-~-"-'T""'""~"''--~~;o;;;;;;--H---~~.,-~~
f (!EIJGJaB! !--RiaTRii.iNro'PAAA---fy.~mr
L_.,_,_,.,~...~-~-~-L.J!.__~~~A.!-.~
N''~~ r;l\~~~;~~;':'~~~ ~!!/1$. .6;1i!~1'~~- 'J.:f~...;,&~f);~1~ .. ,,
1. ~$C-.CloUOO~~~Q;;
:. =;::~:m!:1~~ 8
{;;,_ 1\.~ti'!~~.-~~f~~o
~~ ~l:~~ f61
M~'t;.;.o:, -~~4;~t;".'. ,, ... ~;;:M~;;'I."o: .;~~~-!'f~~~~~"!- ., ..t'k~~~~~~$.,,;;:~"- ,t)h~~:J~~l
-~~.fObf~~,- --'"~~JJi"ui.:i""-~-.~1~11<-!"~'J:f ... M ...~;t-f: ... ~c. ~-~~~ ..
--~~----~~...... 3:),.,;(,.4~~~$-..... ~~~~?~ .. :.,l ...1:~~~'!";~,_~pf..,_,.~!':., .!:!'!.
~~~"~e~ 5~~"~~.~~- ~~::.:.~=~-

MEMORANDO DEPARTAMENTO DE PRODUCCIN
ANEX023
MEJORA SE SEGURIDAD DE LA INFORMACIN POR INDICADOR Y PROCESO
OEj:wniblidad 92%.
Disponibili(la 96%
Oisporitbilidd Gestin de continuidad dei.negodo 92%: 56%
lntgridad
:94"

Sistema de Gestión para Mejorar La Seguridad de La Información

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Sistema de Gestión para Mejorar La Seguridad de La Información

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSIDAD NACIONAL DEL SANTA

UNIVERSIDAD NACIONAL DEL SANTA

"SISTEMA DE GESTIN PARA MEJORAR LA

TESIS PARA OPTAR EL TTULO PROFESIONAL DE

NVO. CHIMBOTE PER

E.A.P. DE INGENIERA DE SISTEMAS E INFORMTICA

"SISTEMA DE GESTIN PARA MEJORAR LA

TESIS PARA OPTAR EL TTULO PROFESIONAL DE INGENIERO DE

APROBADO POR EL SIGUIENTE JURADO EVALUADOR

Mg. Hugo Caselli Gismondi

NVO. CHIMBOTE -PERU

3.1 Marco Terico 20

4.1 Desarrollo del Sistema de Gestin de Seguridad 32

5.1 Demostracin de la hiptesis 89

REFERENCIA BIBLIOGRFICA 119-122

Tabla N O1: reas que utilizan servicios informticos 16

Tabla N 02: Activos informticos de la DTI 33

Tabla N 03: Clasificacin de Software 46

Tabla N 04: Clasificacin e Inventario de Hardware 47

Tabla N 06: Clasificacin de Back:up 48

Tabla N 07: Clasificacin de Documentos 49

Tabla N 08: Formato de Monitoreo por proceso 72

Tabla N 09: Clasificacin y control de activos del pre-test 75

Tabla N 10: Seguridad ligada al personal del pre-test 76

Tabla N 11: Seguridad fsica y del entorno del pre-test 77

Tabla N 12: Gestin de comunicaciones y operaciones del pre-test 78

Tabla N 13: Control de accesos del pre-test 79

Tabla N 14: Adquisicin, desarrollo y mantenimiento de sistemas del pre-test 80

Tabla N 15: Gestin de continuidad del negocio del pre-test 81

Tabla N 16: Clasificacin y control de activos del post-test 82

Tabla N 17: Seguridad ligada al personal del post-test 83

Tabla N 18: Seguridad IISica y del entorno del post-test 84

Tabla N 19: Gestin de comunicaciones y operaciones del post-test 85

Tabla N 20: Control de accesos del post-test 86

Tabla N 22: Gestin de continuidad del negocio del post-test 88

Tabla N 23: Clasificacin de indicadores de la variable dependiente 89

Tabla N 24: Resultados por pregunta 91

Tabla N 25: Resultados por pregunta 94

Tabla N 26: Resultados por pregunta 98

Tabla N 27: Resultados por pregunta 102

Tabla N 28: Resultados por pregunta 106

Tabla N 29: Resultados por pregunta 109

Tabla N 30: Resultados por pregunta 113

Figura N O1: Organigrama Estructural de Sima Chimbote 3

Figura N 02: Proceso de Seguridad de la Informacin 20

Figura N 03: Gobierno Corporativo de Seguridad de la Informacin 22

Figura N 04: Medios de respaldo de informacin 23

Figura N 05: Caractersticas de la Seguridad de la Informacin 25

Figura N 06: Confidencialidad de la Informacin 26

Figura N 07: Disponibilidad de la Informacin 26

Figura N 08: Integridad de la Informacin 27

Figura N 09: Poltica de Seguridad Informtica 21

Figura N 10: Plan de Contingencias 28

Figura N 11: Procedimiento de Seguridad 28

Figura N 12: ISO/lEC 27001 29

Figura N 15: Auditora de Seguridad Informtica 30

Figura N 16: Fases de la Metodologa PDCA 31

A Dios por haberme dado la dicha

A mis padres, Luis Martnez Arambur

A mis hermanos Luis y Elas;

A todos m1s profesores, por haberme

A todas aquellas personas que

A Dios por haberme dado la vida y el apoyo constante da tras da