Beruflich Dokumente
Kultur Dokumente
INVESTIGADOR:
BACH. JEINER MARTNEZ RAMOS
ASESOR:
ING. LUIS RAMREZ MILLA
Pg.
DEDICATORIA
AGRADECIMIENTO ii
PRESENTACIN iii
RESUMEN iv
ABSTRACT V
INTRODUCCIN vi-viii
CAPTULOI
LA INSTITUCIN 01-04
l.l Nombre 01
1.2 Domicilio legal 01
1.3 Misin 01
1.4 Visin 01
1.5 Valores 01
1.6 Centros de operaciones 02
l. 7 Certificaciones 02
1.8 Organigrama Estructural 03
1.9 rea de Estudio 04
CAPTULO TI
PLAN DE INVESTIGACIN 05-19
2.1 El Problema 05
2.1.1 Realidad Problemtica 05
2.1.2 Anlisis del Problema 08
2.1.3 Formulacin del Problema 09
2.1.4 Antecedentes del Problema 09
2.1.5 Justificacin 11
2.1.5 Importancia de la Investigacin 12
2.2 Objetivos 13
2.2.1 Objetivo General 13
2.2.2 Objetivos Especficos 13
2.3 Hiptesis 14
2.4 Variables 14
2.4.1 Variable independiente 14
2.4.2 Variable dependiente 14
2.5 Metodologa 15
2.5.1 Tipo de investigacin 15
2.5.2 Nivel de investigacin 15
2.6 Diseo de Investigacin 15
2.7 Cobertura de Investigacin 16
2.7.1 Poblacin 16
2.7.2 Muestra 17
2.7.3 Tipo de muestreo 17
2.& Tcnicas e Instrumentos de recoleccin de datos 17
2.8.1 Tcnicas 17
2.8.2 Instrumentos 18
2.9 Tcnicas de procesamiento y anlisis de datos 18
2.1 O Limitaciones 19
CAPTULO 111
MARCO REFERENCIAL 20-31
CAPTULO IV
RESULTADOS 32-88
CAPTULO V
DISCUSIN 89-115
CAPTULO VI
CONCLUSIONES 116-117
6.1 Conclusin General 116
6.2 Conclusiones Especficas 116
CAPTULO VII
RECOMENDACIONES 118
ANEXOS
INDICE DE TABLAS
Pg.
Pg.
Para el logro del presente trabajo recib el apoyo de muchas personas que contribuyeron con
su ayuda a la realizacin y finalizacin del informe de tesis, a quienes expreso mis sinceros
agradecimientos:
A mis padres, que gracias a sus esfuerzos permitieron que pueda finalizar con xito mi
carrera profesional
A mis hermanos, que siempre me brindaron su apoyo y consejos en los momentos que
necesite de ellos.
A Joanna Rodrguez, por sus consejos y apoyo para la finalizacin del presente
trabajo.
Al Ing. Santos Bias, por su apoyo durante mi permanencia en los Servicios Industriales
de la Marina.
ii
PRESENTACIN
De mi mayor consideracin:
Atentamente,
iii
RESUMEN
iv
ABSTRACT
This thesis was perfonned at the Institute of Marine Industrial Services (SIMA) of the city of
Chimbote, whose purpose was to implement processes Management System Information
Security in order to improve computer processes Technology Division Information and thereby
ensure the confidentiality, availability and integrity of infonnation.
Processes of asset classification and control, security link.ed to personal, physical and
environmental security, communications and operations management, acquisition, development
and maintenance of systems, access control and business continuity management were
implemented, which allowed to classify properly assets of the Institution, improve the control of
access to computer services and implement a culture of safety infonnation to all users of the
Institution.
Achieving and managing infonnation security in all processes of the Division of Infonnation
Technology and thus to reduce the number of observations by the Office ofManagement Control
in security audits ofthe infonnation place regularly.
V
INTRODUCCIN
Situacin que ha implicado que las Empresas brinden una mayor importancia a la seguridad
de la informacin. ya que as como evoluciona la tecnologa tambin se ha evidenciado el
crecimiento de ataques informticos, que a travs del uso de software tratan de alterar o
sustraer informacin clasificada como confidencial para uso indebido. Es por ello que el
presente trabajo de tesis titulado "Sistema de Gestin para mejorar la Seguridad de la
Informacin e la Institucin Servicios Industriales de la Marina" tiene por finalidad
implementar los procesos de un Sistema de Gestin de Seguridad a los procesos informticos
de la Divisin de Tecnologas de la Informacin. Consiguiendo as garantizar la
confidencialidad, disponibilidad e integridad de la informacin distribuida y almacenada en
los equipos informticos de la Institucin. El trabajo de tesis de encuentra dividido en siete
captulos, los cuales se detallan a continuacin:
EL CAPTULO IV: describe los resultados, indicando el desarrollo de los procesos del
sistema de gestin de seguridad y los resultados de su aplicacin en la Divisin de
Tecnologas de la Informacin.
V1
EL CAPTULO V: describe la discusin a travs de la comprobacin de las hiptesis
formuladas y las conclusiones por cada indicador.
EL CAPTULO VII: describe las recomendaciones que debe tomar en cuenta la Institucin
para continuar mejorando la seguridad de la informacin.
vii
CAPITULO!
1.1 Nombre
1.3 Misin
1.4 Visin
1.5 Valores
Entrega de personal
Identificacin y orgullo de ser trabajador de Sima Chimbote
Destreza y calidad del trabajo
Integridad
Competencia
Compromiso con la mejora continua
l. 7 Certificaciones
. Jef3tur.t
SIMACHLV!SOTE
-
, . [ 01~1$~1.!e
La DTI est conformada por las reas de Desarrollo de Sistemas, Soporte Informtico
y Seguridad de la Informacin.
PLAN DE INVESTIGACIN
2.1 El Problema
2.1.5 Justificacin
Justificacin Social
Justificacin Econmica
Justificacin Operativa
2.4 Variables
X: Sistema de Gestin
Y: Seguridad de la Informacin
Indicadores:
Donde:
G: grupo nico
01, 02,03: pre pruebas
X variable independiente
04, 05,06: post pruebas
El nmero de mediciones est sujeto a las necesidades especficas de la
investigacin.
2.7.1 Poblacin
2.8.1 Tcnicas
Fichas
Fotografia
Cuaderno de notas
Cuestionarios
Checklist
./ Medidas de dispersin
Desviacin estndar
./ Pruebas de hiptesis
Prueba de normalidad: Para probar el supuesto de normalidad.
MARCO REFERENCIAL
t.~..;..\fi:.
tJ.{,~.~I,'ctt,;t"c..;.~
027267
RESULTADOS
Para el desarrollo del SGSI es necesario tomar como base la norma ISO 27001 e
ISO/lEC 17799. Estos estndares fueron elaborados para proveer un modelo para el
establecimiento, implementacin, operacin, monitoreo, mantenimiento y mejora
de un SGSI. La decisin por parte de la Institucin de adoptar un SGSI es una
decisin estratgica, ya que el SGSI est fuertemente ligado a las necesidades y
objetivos de la misma.
Para el desarrollo del SGSI adoptaremos el modelo "Plan- Do- Check- Act",
tambin conocido como PDCA, el cual es aplicado a toda la estructura de procesos
del SGSI.
Los activos informticos con los que cuenta la DTI son los
siguientes:
e) Control de Accesos
o Clasificacin de Software
Donde:
o Clasificacin de Backup
Archivos usuarios
Sistemas
./ Back:up
./ Correo electrnico
./ Acceso intemet
./ Uso de equipos de cmputo
o Gestin de Comunicacin
o Gestinde Cambios
o Clasificacin de Sistemas
./ Fuga de informacin
~~~~-~~,mf~Bme~~~~~t.
- Liderar el equipo de trabajo.
Proponer al Jefe de la Institucin la asignacin de los recursos
necesarios para el mejoramiento de la seguridad de la informacin.
- Proponer mejorar al equipo de trabajo en los aspectos de seguridad de
la informacin.
-:::.::
ft!rittlj~
-::::::.".'-> . . . .
.N<i. Pr~t:fullf:i. .<..-..
01 Se utiliza ms de un criterio de validacin de datos en el 06
procesamiento de la informacin de los sistemas infonnticos
02 Todos los sistemas informticos implementan rutinas de 02
recuperacin de datos, a fin de evitar procesamientos errneos o
incompletos de informacin
03 Existe un registro actualizado de los errores producidos por los 02
sistemas informticos, en los cuales se haya perdido una gran
cantidad informacin para su posterior revisin y solucin
04 Se realizan revisiones peridicas a los sistemas informticos en 02
produccin, a fin de garantizar que cumplen con los objetivos
iniciales e implementan los controles de seguridad adecuados
05 Todas las modificaciones solicitadas por los usuarios se realizan en 06
un ambiente de prueba y luego se ejecutan en el ambiente de
produccin
06 Existe una asignacin de los sistemas informticos por cada Analista 02
de Sistemas, para que estos se hagan responsable de su
implementacin y mantenimiento; en la cual el acceso al cdigo
fuente se encuentra restringido
07 Los archivos de datos se encuentran debidamente documentados y 06
almacenados, debido a las migraciones realizadas
08 La implantacin de cdigo ejecutable en los equipos de cmputo 02
siempre se realiza luego de concluir con todas las pruebas
respectivas
09 Se realiza una coordinacin adecuada entre el personal de soporte 06
tcnico para la configuracin de los archivos y software necesario
10 Se autoriza el copiado de informacin en produccin a ambientes de 02
prueba o viceversa
\ ?~ .
Tabla N 16: Clasificacin y control de activos del post-test
Fuente: Elaboracin propia
01 un usuario
servicios informticos cesa de la Institucin
02 Existe un registro actualizado de las altas y bajas de usuarios, el c\uil 10
permita mostrar informacin de historial de usuarios
03 Existe un registro de perfiles y accesos de los usuarios a los 1O
servicios informticos operativos
04 Existe una clasificacin de perfiles para el acceso a la informacin 10
en base a las reas de la Institucin
05 Los accesos a los sistemas informticos se han brindado siempre en 06
funcin a las actividades del usuario solicitante
06 Las contraseas de usuarios para el acceso a los sistemas 1O
informticos son seguras, teniendo en cuenta la informacin que
procesan y almacenan
07 Existe algn control que brinde seguridad adecuada a los 1O
documentos (memorndum), que contienen informacin de acceso a
servicios informticos
08 La alta de servicios informticos cuenta con un procedimiento 1O
establecido a fin de evitar brindar acceso antes de tener todas las
aprobaciones correspondientes
09 Los archivos utilizados para almacenar contraseas de acceso a los 1O
diferentes servicios informticos se encuentran protegidos
1O Existe algn procedimiento para controlar el acceso a la red 1O
Institucional
. :)9\.
DISCUSIN
CAPTULO V: DISCUSIN 89
5.1.1 Indicador 1
Resultado:
CAPTULO V: DISCUSIN 90
--
10 Dentro de las sanciones al personal se encuentra incluido 06
aquellas relacionadas con la prdida o robo de informacin
confidencial
.. : . < ....
' :
.PROMEDIO. ..... : .. ..
. .
9,6
.
Si: 10 puntos
Avanee: 6 puntos
No: 2 puntos
El rango de puntuacin se muestra a continuacin:
2 10
1 1 1 )
- Promedio= 9.6 +
Prueba de t student
CAPTULO V: DISCUSIN 91
Paso 1: Planteamiento de las hiptesis estadsticas
a = 5% (margen de error)
t(0.95,9) = 1.833
Paso 4: Clculos
DOn e:
t: FormUla estadstica t
S~
i=-1 <le. Student
N : Nmero de elementos
N
X : Mdia obtenida
JJ : Meda. estadstica
X. p
t = ..... ~ N -1
S
CAPTULO V: DISCUSIN 92
Entonces para:
N= 10 X=9,6 J.L= 6
1..833 +
Paso 5: Conclusin
Resultado:
CAPTULO V: DISCUSIN 93
No Pregunta Puntaje
01 El acceso a las instalaciones de la DTI permite el ingreso de 10
personal interno como externo por diferentes situaciones
02 Existen dispositivos de seguridad (cmaras, alarmas, etc.) 06
instalados en puntos estratgicos del rea o de la Institucin
03 En los meses de produccin hay algn resguardo adicional debido 10
a la presencia de una gran cantidad de personal tercero
04 Existe una bitcora con informacin de fecha, hora y motivo de 10
ingreso de personal externo al rea
05 La estructura fisica que contiene los equipos de comunicaciones es 06
la adecuada en relacin la informacin que almacena
06 La DTI tiene sealizaciones adecuadas para diferenciar las 10
diferentes reas internas (desarrollo, soporte tcnico, etc.)
07 El personal de la DTI cuenta con capacitacin sobre uso adecuado 10
de extinguidores frente a posibles incendios dentro de las
instalaciones
08 Dentro de la DTI se diferencia las reas seguras e inseguras, en 10
caso de producirse algn siniestro
09 El cableado elctrico implementado para los equipos de 10
comunicaciones es adecuado
10 Los equipos computacionales tienen una adecuado plan de 10
mantenimiento para evitar fallas elctricas al personal
PROMEDIO .....
9,2
Si: 1Opuntos
Avance: 6 puntos
No: 2 puntos
CAPTULO V: DISCUSIN 94
El rango de puntuacin se muestra a continuacin:
2 '10
1 1 1)
- Promedio= 9;2 +
Se consider 2 en el extremo izquierdo, debido a que representa el puntaje
mnimo que se puede ponderar a una pregunta, mientras que en el extremo
derecho se consider 10. el cual representa el puntaje ptimo (ideal).
Prueba de t student
a= 5% (margen de error)
t(0.95,9) = 1.833
CAPTULO V: DISCUSIN 95
Si to <= 1.833 entonces Ho se acepta
Paso 4: Clculos
Dona e:
t :. Formula estdstlca t
i'=1 oe Student
S : Desviacin estrular
----~-
N : Nmero de elementos
x : Meca obtenida
Entonces para:
N= 10 X=9,2 J..L=6
Zonae
Rechazo "
1.833 6.00
CAPTULO V: DISCUSIN 96
Paso 5: Conclusin
5.1.2 Indicador 2
Resultado:
No Pregunta .... ..
Pontaje
CAPTULO V: DISCUSIN 97
-- -
Si: 10 puntos
Avance: 6 puntos
No: 2 puntos
El rango de puntuacin se muestra a continuacin:
.2
1 1 1
-
Se consider 2 en el extremo izquierdo, debido a que representa el puntaje
mnimo que se puede ponderar a una pregunta, mientras que en el extremo
derecho se consider 10, el cual representa el puntajc ptimo (ideal).
CAPTULO V: DISCUSIN 98
El resultado de la aplicacin de la Gua de Observacin N 04 es 9.6, el cual
nos indica que la Gestin de Comunicaciones y Operaciones es la
adecuada y contribuye a mejorar la confidencialidad de la informacin.
Prueba de t student
a= 5% (margen de error)
t(0.95,9) = 1.833
Paso 4: Clculos
CAPTULO V: DISCUSIN 99
Donde:
t: Formula estadstiCa t
deStudent
N N: Nmero de elementos
X : Media obtenida
t = ------
S
Entonces para:
N= lO X=9,6 Jt= 6
. '"
~:~~~ ~." "
'
.
~-----~---------------~. -r
1.833 9.00 +
Paso 5: Conclusin
Resultado:
Si: 10 puntos
Avance: 6 puntos
No: 2 puntos
El rango de puntuacin se muestra a continuacin:
2 '10
1 1 1 >
- Promedio =9,2 +
Se consider 2 en el extremo izquierdo, debido a que representa el puntaje
mnimo que se puede ponderar a una pregunta, mientras que en el extremo
derecho se consider 1O. el cual representa el puntaje ptimo (ideal).
a. = 5% (margen de error)
t(0.95,9) = 1.833
Paso 4: Clculos
t : Formula estadstica t
i=1 deStudnt
-- S : DesviaCin estndar
N N :Nmero de elementos
.X : Media obtenida
~ : Media estadstica
Entonces para:
N= lO X= 9,2 J.t= 6
Paso 5: Conclusin
Resultado:
No .Pregunta Puntaje
01 Se tiene identificado todos los riesgos a los que est expuesto la 10
DTI
02 De los riesgos identificados, se ha elaborada el conjunto de 10
acciones necesarias a realizar para su mitigacin
03 Se tiene definido el grupo de trabajo y las actividades a realizar en 10
caso de presentarse algn siniestro en la DTI o en la Institucin
04 Se planifican entrenamientos del personal a travs de simulacros 10
internos del rea, con la finalidad de que se pongan en prctica las
acciones a realizar en caso de un siniestro
05 Se tiene un presupuesto asignado para una posible recuperacin de 06
los activos informticos de la Institucin
06 La Jefatura de la Institucin tiene alcance de los riesgos a los que 10
se encuentran expuestos los equipos de informticos y el impacto
que stos pueden ocasionar
07 Existe una coordinacin con las reas de seguridad y patrimonio 10
para que brinden su apoyo en caso de presentarse un siniestro en la
DTI (incendio, corto circuito, explosiones, etc.)
08 Existe una coordinacin con los proveedores de servicios para que 10
restauren los servicios interrumpidos en un corto plazo
09 Existe una coordinacin con la sede de Metal Mecnica en la 10
Si: 10 puntos
Avance: 6 puntos
No: 2 puntos
El rango de puntuacin se muestra a continuacin:
2 10
1 1 1 1)
- Promedio~= 9;2 +
Se consider 2 en el extremo izquierdo, debido a que representa el puntaje
mnimo que se puede ponderar a una pregunta, mientras que en el extremo
derecho se consider 10, el cual representa el puntaje ptimo (ideal).
Prueba de t student
t(0.95,9) = 1.833
Paso 4: Clculos
oon<le:
-- S : Desviacin estndar
N : Nmero ae e!emntos ..
N
x : Media obtenlda
.
1J : Me<lia estadistica
t= -----~---------~-- ~ .N~~1
S
N= lO X=9,2 J.t= 6
1.833 +
Paso 5: Conclusin
5.1.3 Indicador 3
Resultado:
No Pre2unta Punta_ e
01 El software operativo se encuentra clasificado en base a algn 10
criterio
02 Se conoce la cantidad de software con la que cuenta la 10
Institucin
03 Se conoce la cantidad de software que se actualiz mediante 10
upgrade
04 Conoce el nmero de computadoras operativas e inoperativas 10
05 Conoce el nmero de impresoras por tipo con los que cuenta 10
la Institucin
06 Los servidores se encuentran clasificados de acuerdo a su 10
nivel de importancia frente a algn siniestro
07 Para el almacenamiento del backup se utiliz algn criterio de 06
clasificacin, el cual asegure su disponibilidad, integridad y
confidencialidad
08 La documentacin de los sistemas informticos se controla 10
peridicamente
.. . .. . ..
Si: 1Opuntos
Avanee: 6 puntos
.2 6 10
1 1 1 1)
- Promedio,= 9,2 +
Se consider 2 en el extremo izquierdo, debido a que representa el puntaje
mnimo que se puede ponderar a una pregunta, mientras que en el extremo
derecho se consider 10, el cual representa el puntaje ptimo (ideal).
Prueba de t student
a= 5% (margen de error)
Paso 4: Clculos
Dnde:
t(.X- X)l
t : Forf"!1l11 estadstica t
i:1 de Student
s : DesviaCin estndar
----~-
N N : Nmero e elemento~
X : Media obtenida
Entonces para:
Zonade
R
.,ec1.azo
;,
'""' ... ~
'
'"". .
1~833 6.00
b) Control de accesos
Resultado:
No Pregunta Puntaje
01 Est definido las actividades a realizarse cuando un usuario de 10
servicios informticos cesa de la Institucin
02 Existe un registro actualizado de las altas y bajas de usuarios, el cual 10
permita mostrar informacin de historial de usuarios
03 Existe un registro de perfiles y accesos de los usuarios a los 10
servicios informticos operativos
04 Existe una clasificacin de perfiles para el acceso a la informacin 10
en base a las reas de la .Institucin
05 Los accesos a los sistemas informticos se han brindado siempre en 06
funcin a las actividades del usuario solicitante
06 Las contraseas de usuanos para el acceso a los sistemas 10
informticos son seguras, teniendo en cuenta la informacin que
procesan y almacenan
07 Existe algn control que brinde seguridad adecuada a los 10
Si: 1Opuntos
Avance: 6 puntos
No: 2 puntos
El rango de puntuacin se muestra a continuacin:
2 6 10
1 1 1 1 >
- Promedio= 9,6 +
a= 5% (margen de error)
t(0.95,9) = 1.833
Paso 4: Clculos
S : Oesviadn estnclaf
.m4w ----
N N. :. Nmero de elementos
. .
X : Media obtenida
- ~ : Media estadstica
X J.l
l= -..-----~
S
Entonces para:
N= lO X=9,6 J.l= 6
r----"--'--~-~---.-~~-)~
1~833 9.()0 .+
Paso 5: Conclusin
CONCLUSIONES
Se capacit a todos los usuarios de los servicios informticos sobre temas relacionadas
a la Seguridad de la Informacin, logrando disminuir la prdida de informacin en las
diferentes divisiones de los Servicios Industriales de la Marina. (C)
RECOMENDACIONES
);> Continuar con el programa de capacitacin a los usuarios de los servicios informticos,
con la finalidad de seguir mejorando la seguridad de la informacin.
);> Incluir partidas presupuestarias por parte del Jefe de la Oficina Estratgica, con la
fmalidad de mejorar los activos informticos de la DTI.
);> Continuar con la realizacin de simulacros internos, la cual sirva para brindar una
mejor capacitacin y entrenamiento al personal de la DTI.
' );> Brindar todas las facilidades a la Oficina de Control de Gestin en las auditoras que
realiza, con la finalidad disminuir las observaciones encontradas y seguir todas las
recomendaciones indicadas.
Indacochea, A. (2005). Una propuesta para mejorar las prcticas de Gobierno Corporativo
en el Per. Pontificia Universidad Catlica del Peri. Recuperado de
http://centrum.pucp.edu~pe/docentes/Alndacochea_Libros/documentos_publicados/Gobiem
o_Corporativo.pdf.
Piattini, M. y Del Peso, E. (2001). Auditora Informtica. Un enfoque prctico, (2a ed.).
Mxico. Alfaomega RA-MA.
Cresson, Ch. (2002). Information Security Police Made Easy, EE.UU, Pentasafe
S, Hamaker. (2005). Enterprise Govemance and the Role of IT, Information Systems
Control Joumal
COBIT 4.1 (2007). Entregar y dar soporte. Garantizar la seguridad de los sistemas.
Disponible en:
http://cs.-uns.edu.ar/-ece/auditoria/cobiT4.1spanish.pdf
Consultado el24 de Agosto del2013.
' . N(j..
-o
ifi~:;,; ""~.,.... . .i\./>>.\.:.. ,0<?.\\({...;~~:.. :_o.o~:.{?-/(\(.- sr Nil -AY811~~-
01 El software operativo se encuentra clasificado en base a algn X
criterio
02 Sabe la cantidad de software con la que cuenta la Institucin X
03 Sabe la cantidad de software que se actualiz mediante upgrade X
04 Conoce el nmero de computadoras operativas e inoperativas X
05 Conoce el nmero de impresoras por tipo con los que cuenta la X
Institucin
06 Los servidores se encuentran clasificados de acuerdo a su nivel X
de importancia frente a algn siniestro
07 Para el almacenamiento del backup se utiliz algn criterio de X
clasificacin, el cual asegure su disponibilidad, integridad y
confidencialidad
()8 La documentacin de los sistemas informticos se controla X
peridicamente
09 Revisa o recopila informacin sobre controles de seguridad X
para respaldar los activos informticos
10 En caso de producirse algn siniestro sabe qu tipo de X
documentacin tiene que respaldar primeramente
ANEX002
N~.. -'r> ..l..;: > ., /; .:,x. . r.>~~..;c .. :~ . \,.. : . .;:r. i$i >N~ ..t\.r~ll<
01 Existe algn acuerdo de confidencialidad de informacin para X
personal nuevo dentro del rea
02 Se incluyen charlas relacionadas a seguridad de la informacin X
en las inducciones a nuevo personal
03 Existe algn control para asegurar que la informacin no sea X
comprometida en los trabajos de personal tercero
04 Es consciente de las amenazas y riesgos en el mbito de la X
seguridad de la informacin
05 Existe algn procedimiento de entrenamiento al personal sobre X
la adecuada manipulacin de los equipos informticos
06 Sabe que hacer en caso de presentarse alguna fuga o robo de X
informacin en el rea
07 El cese de personal incluye actividades de verificacin de la X
seguridad de la informacin, durante el tiempo de permanencia
08 Se analizan y solucionan los errores producidos por mala. X
manipulacin de informacin
09 Existe planificacin alguna de como difundir en la Institucin X
las nociones de seguridad de la informacin
10 Dentro de las sanciones al personal se encuentra incluido X
aquellas relacionadas con la prdida o robo de informacin
.
confidencial
ANEX003
.
\N~\ > ..~~~~~ ~Lc /.{};!... y<{C).~YL.:LN.L \? :L_;<L;.. /Sf Asi J(va:r.ee
01 El acceso a_ las instalaciones de la DTI permite el ingreso de X
personal interno como externo por diferentes situaciones
02 Existen dispositivos de seguridad (cmaras, alarmas, etc.) X
instalados en puntos estratgicos del rea o de la Institucin
03 En los meses de produccin hay algn resguardo adicional X
debido a la presencia de una gran cantidad de personal tercero
04 Existe una bitcora con informacin de fecha, hora y motivo de X
ingreso de personal externo al rea
05 La estructura fisica que contiene los equipos de X
comunicaciones es la adecuada en relacin la informacin que
almacena
06 La DTI tiene sealizaciones adecuadas para diferenciar las X
diferentes reas internas (desarrollo, soporte tcnico, etc.)
07 El personal de la DTI cuenta con capacitacin sobre uso X
adecuado de extinguidores frente a posibles incendios dentro de
las instalaciones
08 Dentro de la DTI se diferencia las reas seguras e inseguras, en X
caso de producirse algn siniestro
09 .El cableado elctrico implementado para los equipos de X
comunicaciones es adecuado
10 Los equipos computacionales tienen una adecuado plan de X
mantenimiento para evitar fallas elctricas al personal
ANEX004
..:N?..".
1
if';;;;;~;;~.4.;:>\L .Qi2L22 /L_</ >F //i' < :;< . i ,.~ $i Ni{ AY:lln~~.i
01 Existe definido procedimientos necesarios para una correcta X
operacin de los equipos informticos
02 Se realizan capacitaciones peridicas a los usuarios de los X
servicios informticos (sobre diversos temas)
03 Existe un procedimiento de comunicacin de incidentes X
relacionados a sistemas o equipos informticos
04 La informacin perdida por un falla en el funcionamiento de un X
sistema o equipo informtico es recuperada
05 Existe una adecuada coordinacin entre los Analistas de X
Sistemas y usuarios con respecto al uso de los sistemas
informticos
06 La informacin se encuentra sincronizada y actualizada en X
todos los sistemas informticos de la DTI
07 Se ejecutan revisiones a los sistemas despus de un X
mantenimiento fmalizado para comprobar que no se ha alterado
los controles de seguridad de la informacin
08 Operacionalmente un sistema informtico despus de un X
mantenimiento solicitado, sigue manteniendo los mismo
objetivos por los cuales fue diseado
09 Se realizan verificaciones peridicas sobre los equipos de X
cmputo a fm de evitar el uso o instalacin de software no
licenciado
10 El proceso de desinfeccin de medios extrables de usuarios se X
realizan en todo momento
ANEXO OS
y. Nl)\ . 1 ; -.. -.. -_- . >.-./>_N;.-.-. >c. ,)r \-x/..s_2tiL__L. ,.\Si> 'N: Avap~e
01 Est definido las actividades a realizarse cuando un usuario de X
servicios informticos cesa de la Institucin
02 Existe un registro actualizado de las altas y bajas de usuarios, el X
cual permita mostrar informacin de historial de usuarios
03 Existe un registro de perfiles y accesos de los usuarios a los X
servicios informticos operativos
04 Existe una clasificacin de perfiles para el acceso a la X
informacin en base a las reas de la Institucin
05 Los accesos a los sistemas informticos se han brindado X
siempre en funcin a las actiVidades del usuario solicitante
06 Las contraseas de usuarios para el acceso a los sistemas X
informticos son seguras, teniendo en cuenta la informacin
que procesan y almacenan
07 Existe algn control que brinde seguridad adecuada a los X
documentos (memorndum), que contienen informacin de
acceso a servicios informticos
08 La alta de servicios informticos cuenta con un procedimiento X
establecido a fin de evitar brindar acceso antes de tener todas
las aprobaciones correspondientes
09 Los archivos utilizados para almacenar contraseas de acceso a X
los diferentes servicios informticos se encuentran protegidos
10 Existe algn procedimiento para controlar el acceso a la red X
Institucional
ANEX006
.
\Nf'\ .)'~c~liull#t>x>.:o\./..\)i<.xnix;xx/nx r:>..: XSf Ni A:vJ~nte
01 Se tiene identificado todos los riesgos a los que est expuesto la X
DTI
02 De los riesgos identificados, se ha elaborada el conjunto de X
acciones necesarias a realizar para su mitigacin
03 Se tiene definido el grupo de trabajo y las actividades a realizar X
en caso de presentarse algn siniestro en la DTI o en la
Institucin
04 Se planifican entrenamientos del personal a travs de X
simulacros internos del rea, con la finalidad de que se pongan
en prctica las acciones a realizar en caso de un siniestro
05 Se tiene un presupuesto asignado para una posible recuperacin X
de los activos informticos de la Institucin
06 La Jefatura de la Institucin tiene alcance de los riesgos a los X
que se encuentran expuestos los equipos de informticos y el
impacto que stos pueden ocasionar
07 Existe una coordinacin con las reas de seguridad y X
patrimonio para que brinden su apoyo en caso de presentarse
un siniestro en la DTI (incendio, corto circuito, explosiones,
etc.)
08 Existe una coordinacin con los proveedores de servicios para X
que restauren los servicios interrumpidos en un corto plazo
09 Existe una coordinacin con la sede de Metal Mecnica en la X
provisin temporal de los equipos informticos
10 Los lineamientos estratgicos de la Institucin incluyen planes X
.,
de continuidad del negoc10 y recuperac10n de los daos
ocasionados frente algn siniestro
ANEXO OS
CONSIDERACIONES
CLAUSULAS
PRIMERA
OBJETO. El objeto del presente acuerdo es fijar los trminos y condiciones bajo los cuales
las partes mantendrn la confidencialidad de los datos e informacin intercambiados entre
ellas. incluyendo informacin objeto de derecho de autor. patentes. tcnicas. modelos.
invenciones, procesos, algoritmos, programas, ejecutables, investigaciones, detalles de dise.o,
informacin fmanciera, lista de clientes, inversionistas, empleados, relaciones de negocios y
contractuales y cualquier informacin revelada sobre terceras personas.
SEGUNDA
TERCERA.
CUARTA.
DURACION. Este acuerdo regir durante todo el tiempo que el personal labore en la
Institucin
QUINTA.
SEXTA.
MODIFICACIN. Este acuerdo solo podr ser modificado por el Jefe de Sima Chimbote, y
este se encargar de comunicar al personal responsable para su respectiva difusin y
publicacin en los medios utilizados actualmente.
Chimbote, de - - - de - - -
CONSIDERACIONES
l. Debido a la naturaleza del trabajo, se hace necesario u opcional que se maneje informacin
confidencial y/o informacin sujeta a derechos de propiedad intelectual, dependiendo de las
actividades a realizar dentro de la Institucin.
CLUSULAS
PRIMERA
OBJETO. El objeto del presente acuerdo es fijar los trminos y condiciones bajo los cuales
las partes mantendrn la confidencialidad de los datos e informacin intercambiados entre
ellas, incluyendo informacin objeto de derecho de autor, patentes, tcnicas, modelos,
invenciones, procesos, algoritmos, programas, ejecutables, investigaciones, detalles de disefio,
informacin financiera, lista de clientes, inversionistas, empleados, relaciones de negocios y
contractuales y cualquier informacin revelada sobre terceras personas.
SEGUNDA
TERCERA.
CUARTA.
DURACION. Este acuerdo regir durante todo el tiempo que se realicen labores en la
Institucin
QUINTA.
SEXTA.
MODIFICACIN. Este acuerdo solo podr ser modificado por el Jefe de Sima Chimbote, y
este se encargar de comunicar al personal tercero por el medio utilizado actualmente en la
Institucin.
Chimbote, de ___ de _ __
SIMA
ANEX013
Firma
ANEX014
REGISTRO DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
ANEX015
Usuario
ANEXO 18
. . . . . . . . . . . . i.E.sttat~gi~~Li< . .?[ . Financiera ~~.0l/0~- .Jtlteu~ttti. iH~. yf. <.ci /l..O:g$dc~Ti>... ><.:.< > . /~efs.J)natdH.r>>
Backup 1 Backup 1 Backup 1 Backup 1 Backup
Registro de llamadas Registro de llamadas Registro de llamadas Registro de llamadas Registro de llamadas
Requerimiento de Requerimiento de Calidad Calidad Requerimiento de oficina
oficina oficina
Contabilidad de costos 1 Requerimiento de Guas de emisin Personal
oficina
Contabilidad general Mantenimiento Control de paales
Tesorera Produccin Requerimiento de
oficina
Mantenimiento
.. Control patrimonial
Logstico
Produccin
Comercial
ANEX019
-Longitud: 8 caracteres
-Complejidad: las contraseas deben
Todas las reas a excepcin de incluir maysculas (3), nmeros (4) y
las expuestas en el cuadro a) caracteres especiales (1 ).
-No deben contener datos personales
-Frecuencia de cambio: 06 meses
11. ACCESO A LOS SISTEMAS DE INFORMACIN (Nivel 11)
Longitud 8 caracteres
Las contraseas deben incluir maysculas
Complejidad (1), minsculas (2), nmeros (4) y
caracteres especiales (1)
No deben contener datos personales
Frecuencia de
cambio 06meses
....
1\-o Few Em~euiNmnbre ...-.
ANEX021
liMA
ANEX022
;~~~,~~t>~~~~lf~~~-~11(~~.,.;\!:ll'~~.
. .. t
.;,~_,.,,..., ....;.~--- ---;:- .... :~= . -----:~---:'-=----;. -~--- ~-~-_,_-___ ,___ .
l-~- r
.t
t-~'*
~ ... '"" ~- . ~.. -.- .. ~.,. .:.-_,_.:.~ . . . . . ,-....,..,_ ,,...,..-."=-~---'' ..'<'----m.,__.._,.,.............~:..:.--- .,,.f..,_. _.,.,_ ,__ ._.-:,_. _
.........~:..--.--.:--..----.. .-.-:..:t..... :.-:--.'
~
~ J_-----
.. . . .-. .. ........,.,.,.._.,..,____ ,.______ .
1.:.... .........
~ ,,~_._.._..,.__.
. .
___.,. ___,._.~--:::--:~~.,.., ..,_, ...,....,+ ...,....._, __~-~-- ... k..,..,... .... ._,...,.._,___--i-..,.,-;-.-.,." .......-,~~-'-"'""--..... ~--- ,_ =-=.-...... ""'7--
'!'i- -.... -"
'
.. . . , .... _._-,
r~"~'"'-,.~~--~"'-~-~-"-'T""'""~"''--~~;o;;;;;;--H---~~.,-~~
f (!EIJGJaB! !--RiaTRii.iNro'PAAA---fy.~mr
L_.,_,_,.,~...~-~-~-L.J!.__~~~A.!-.~
N''~~ r;l\~~~;~~;':'~~~ ~!!/1$. .6;1i!~1'~~- 'J.:f~...;,&~f);~1~ .. ,,
1. ~$C-.CloUOO~~~Q;;
:. =;::~:m!:1~~ 8
{;;,_ 1\.~ti'!~~.-~~f~~o
~~ ~l:~~ f61
M~'t;.;.o:, -~~4;~t;".'. ,, ... ~;;:M~;;'I."o: .;~~~-!'f~~~~~"!- ., ..t'k~~~~~~$.,,;;:~"- ,t)h~~:J~~l
-~~.fObf~~,- --'"~~JJi"ui.:i""-~-.~1~11<-!"~'J:f ... M ...~;t-f: ... ~c. ~-~~~ ..
--~~----~~...... 3:),.,;(,.4~~~$-..... ~~~~?~ .. :.,l ...1:~~~'!";~,_~pf..,_,.~!':., .!:!'!.
OEj:wniblidad 92%.
Disponibili(la 96%
Oisporitbilidd Gestin de continuidad dei.negodo 92%: 56%
lntgridad
:94"