UNIVERSIDAD PRIVADA DE TACNA

CONSULTORIA EN LA ADMINISTRACION DE RIESGOS DE INFORMACION Y DE

TECNOLOGIA DE LA INFORMACION

IDENTIFICACION Y EVALUACION DE RIESGOS DE SEGURIDAD DE LA

INFORMACION Y DE LOS RIESGOS DE TECNOLOGIA DE INFORMACION

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN

CONTENIDO

Resumen Ejecutivo

I. Objetivo y alcance del trabajo

II. Metodología y procedimientos utilizados

III. Diagnóstico de la Situación Actual de la Administración de Riesgos de Información y de Tecnología

de la Información

3.1 Matriz de diagnóstico de la administración de riesgos de Tecnología de Información.

IV. Sub-plan de adecuación

4.1 Desarrollo e implementación del Plan de Seguridad de la Información (PSI)

4.2 Elaboración, prueba y mantenimiento de un Plan de Continuidad de negocios (PCN)
4.3 Proyecto complementario de cumplimiento con la Circular G105-2002
Página 3 Primer entregable

Tacna, 21 de Noviembre del 2019

Señor
Marco Antonio Sebastian Coloma Yunganina
Jefe de Computo
Universidad Privada de Tacna
Presente. -

Estimado Señor Coloma:

En relación a los servicios de consultoría en la administración de riesgos de seguridad de la

información y riesgos de tecnología de información, encargados a nuestra firma mediante el
proceso de Adjudicación Directa Selectiva No 0004-2003 UNIVERSIDAD PRIVADA DE
TACNA, según lo planteado en nuestra propuesta técnica, especificaciones técnicas de la
Universidad Privada de Tacna, y en base a las coordinaciones efectuadas con los responsables de su
institución, nos es grato adjuntar el informe relacionado con el mencionado servicio “Fase de
Consultoría en la Administración de Riesgos de Información y de Tecnología de la Información”
respectivamente, informe que presentamos a continuación.

DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE RIESGOS

DE INFORMACION Y TECNOLOGÍA DE INFORMACIÓN

Resumen Ejecutivo

Del Plan de Seguridad de Información

De acuerdo al artículo 5 de la Circular G-105-2002 de la Superintendencia de Banca y Seguros, en

adelante SBS, la Universidad Privada de Tacna, debe contar con un Plan de Seguridad de la
Información, en adelante PSI. Sin embargo, a partir de la información proporcionada por personal
de la Universidad Privada de Tacna, se ha podido establecer que no existe un PSI ni políticas de
seguridad de la información.

Si bien existen controles definidos en la Oficina de Sistemas con respecto a la seguridad lógica y
física de los recursos de Tecnología de información (TI) e información en general, estos han sido
establecidos en gran medida por el conocimiento de mejores prácticas de los responsables de cada
una de las plataformas, sin directivas ni guías formales.

Del Plan de Continuidad de Negocios

De acuerdo a los artículos 11, 12 y 13 de la Circular G-105-2002 de la Superintendencia de Banca

y Seguros, la Universidad Privada de Tacna, debe contar con un Plan de Continuidad de Negocios
(PCN) basado en un análisis de sus procesos críticos de negocio y que contemple procedimientos
formales para la prueba y mantenimiento del mismo. Sin embargo, a partir de la información
proporcionada por el personal de la Universidad Privada de Tacna, indican que no existe un PCN,
motivo por el cual en el caso de las pruebas y mantenimiento de los procesos críticos, no se
especifican procedimientos ni responsables formales para dichas tareas.

SEGURIDAD Y AUDUITORIA DE SISTEMAS DE INFORMACIÓN

El detalle de la evaluación y análisis de brechas se muestra en la siguiente matriz cuyo contenido es
el siguiente:

- Situación actual: Muestra un resumen de la situación encontrada en la Universidad Privada de

Tacna, a partir de la información relevada durante las entrevistas y de los documentos
relevantes entregados a nuestro equipo.
- Mejores prácticas: Muestra un resumen de nuestras mejores prácticas y los requerimientos
mencionados en la Circular SBS N° G-105-2002 de la SBS motivo del presente proyecto.
- Análisis de brecha: Muestra de manera gráfica la brecha existente entre la situación actual y los
requerimientos de la SBS y nuestras mejores prácticas.

En el siguiente cuadro se detalla la descripción de los gráficos:

Razonablement Los requerimientos de la Circular G-105-2002 de la SBS están

e cubierto razonablemente cubiertos.
Sustancialment Faltan realizar algunas actividades para cubrir razonablemente
e cubierto los requerimientos de la Circular G-105-2002 de la SBS
Parcialmente Se han realizado actividades que cubren parcialmente los
cubierto requerimientos de la Circular G-105-2002 de la SBS.
Limitadamente Se han realizado algunas actividades para cubrir
Cubierto los requerimientos de la Circular G-105-2002 de la SBS.
No cubierto No se ha realizado ninguna actividad relacionada con los
requerimientos de la Circular G-105-2002 de la SBS.

Área Evaluada Análisis de

Brecha
1. Plan de seguridad de la Información
1.1 Políticas, estándares y procedimientos de seguridad.

1.1.1 Seguridad Lógica

1.1.2 Seguridad de Personal
1.1.3 Seguridad Física y Ambiental
Informe Detallado

El detalle de los proyectos definidos en el Sub-Plan de Adecuación se muestra en el informe

detallado y anexos adjuntos al presente resumen.

En dicho informe se presenta:

- Objetivo y alcance del trabajo.

- Metodología y procedimientos utilizados

- Diagnóstico de la situación actual de la administración de los riesgos de información y

Tecnología de Información

Este informe es para uso exclusivo del Directorio y Jefe de la Oficina de Tecnología de la
Información de la Universidad Privada de Tacna, y no debe ser usado con ningún otro propósito.

De usted muy atentamente,

---------------------------------- ------------------------------------ ------------------------------------

Ing. Andre Reinoso Aranda Ing. Marko Rivas Rios Ing. Jorge Mamani Maquera
 UNIVERSIDAD PRIVADA DE TACNA

CONSULTORIA EN LA ADMINISTRACION DE RIESGOS DE INFORMACION Y DE

TECNOLOGIA DE INFORMACION

IDENTIFICACION Y EVALUACION DE RIESGOS DE SEGURIDAD DE LA INFORMACION Y

DE LOS RIESGOS DE TECNOLOGIA DE INFORMACION

I. OBJETIVO Y ALCANCE DEL TRABAJO

El objetivo del trabajo está dirigido a asesorar a la Universidad Privada de Tacna, en el desarrollo
de un Plan de Acción que les permita contar con una infraestructura para administrar los riesgos de
información y de tecnología de información de acuerdo con las mejores prácticas y cumplir con la
normatividad del organismo regulador.

Es necesario indicar que el Diagnóstico preliminar y el Plan detallado en el presente informe,

deberán ser revisados y evaluados por la Universidad Privada de Tacna, así como los esfuerzos que
deberá desplegar para la ejecución de las actividades detalladas en el mismo, y servirán de base
para el informe que la Universidad Privada de Tacna presentará a la Superintendencia de Banca y
Seguros.

El trabajo implica fundamentalmente una consultoría en la administración de los riesgos de

información y de tecnología de información y está dirigido a revisar en forma independiente y
objetiva la situación existente relacionada con la administración de los riesgos de información y de
tecnología de información, asimismo la documentación requerida para una adecuada
administración del riesgo, tales como políticas, procedimientos y planes de continuidad del
negocio, entre otros, definidos en la circular G-105-2002 de la SBS, compararla con lo requerido
por la circular y desarrollar el plan para adecuarse a la norma del organismo regulador.

El alcance de esta fase de nuestro trabajo comprende:

- Entendimiento de la situación actual de las siguientes funciones al interior del Área de

Tecnología de Información, en adelante TI:
- Administración del área de TI
- Estructura organizacional
- Políticas y procedimientos para administrar los riesgos de TI
- Subcontratación de recursos.
- Actividades de desarrollo y mantenimiento de sistemas informáticos
- Seguridad de la Información
- Administración de la Seguridad de la Información.
- Aspectos de la seguridad de la información (lógica, personal, física y ambiental)
- Inventario periódico de activos asociados a TI
- Operaciones computarizadas
- Administración de las operaciones y comunicaciones
- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
 - Prueba del plan de continuidad de negocios
- Entendimiento de la situación actual de los siguientes aspectos:
- Cumplimiento normativo
- Privacidad de la información
- Auditoria de sistemas
- Identificación de las brechas entre la situación actual y lo normado.
- Definición de las actividades necesarias para el cumplimiento de la Circular, el desarrollo
del cronograma y la definición de los funcionarios responsables

La revisión no tiene como objetivo la detección de errores, fraudes, desfalcos u otras

irregularidades que pudieran existir; la Gerencia Mancomunada es la responsable de establecer y
mantener un sistema de control interno adecuado, así como de prevenir y detectar irregularidades y
fraudes.

II. METODOLOGIA

Durante la ejecución del proyecto se utilizó una metodología específica para cada una de las
diferentes fases y etapas del mismo, las cuales aseguran que se contemple la totalidad de los
aspectos relevantes para cada componente de revisión.

La relación de metodología utilizada y el alcance de las mismas se resumen a continuación:

Nomb Alcan
re ce
ESA/MAGERIT Metodología para el desarrollo de un modelo de seguridad, que
involucra el diseño de políticas y normas de seguridad.
Metodología utilizada para definir el proyecto del Plan de
Seguridad de la Información.
SMM / BCP Metodología para el desarrollo e implementación de un Plan de
Business continuidad de negocios utilizada como base para definir el
proyecto de PCN.
Continuity Planning

La aplicación de estas metodologías permitió desarrollar un trabajo “a la medida” de las

características y necesidades de la Universidad Privada de Tacna, concentrando esfuerzos en los
temas más significativos.

Nuestras metodologías se basan en un marco global e

integrado definido en los principios Objectives, Risk,
Controls and Alignment (ORCA). ORCA ayuda a las
organizaciones a alinear sus objetivos estratégicos con
sus propios riesgos y controles.

El enfoque ORCA está basado en las recomendaciones

del Informe COSO (Committee of Sponsoring
Organisations of the Treadway Commission) y, en el
 caso de entidades financieras, en los principios de GARP (Generally Accepted Risk Principles).

En el presente capítulo se describen los componentes principales de ORCA.

ORCA se centra en la manera en que las organizaciones, las unidades operativas, los procesos de
negocios o las personas, describen y dan prioridad a sus estrategias y objetivos. ORCA también
está basada en la premisa de que se deben asumir riesgos en la búsqueda de oportunidades y ayuda
a las compañías a planificar los procesos de administración y control de riesgos en respuesta a las
potenciales amenazas y oportunidades. Finalmente, ORCA ayuda a las organizaciones a alinear sus
objetivos estratégicos con sus propios riesgos y controles/procesos.

La implantación de una arquitectura de administración de riesgos representa un cambio rotundo en

la cultura y en la estructura de la organización. Como tal, se debe reconocer que la organización
debe atravesar un proceso típico de administración del cambio. Este proceso incluye ocho
componentes críticos:

• Compromiso de la alta gerencia

• Lenguaje y proceso común
• Un propietario o “sponsor” del proceso de gestión del cambio
• Establecimiento de un proceso para la administración continua del riesgo
• Comunicación, aprendizaje y educación eficaces
• Medición del riesgo
• Refuerzo del proceso de administración de riesgos a través de los mecanismos de recursos
humanos y
• Monitoreo del proceso de administración del riesgo.

III. PROCEDIMIENTOS UTILIZADOS

Durante el desarrollo del trabajo se utilizaron los siguientes procedimientos de trabajo:

• Entrevistas con las siguientes personas de la Universidad Privada de Tacna:

- Enrique Castillo Encargado de Soporte Técnico

• Revisión y análisis de la información y documentación proporcionada por el personal de la

Universidad Privada de Tacna.
IV. DIAGNOSTICO DE LA SITUACION ACTUAL DE LA ADMINISTRACIÓN DE RIESGOS
DE INFORMACION Y DE TECNOLOGIA DE LA INFORMACION

La evaluación de la situación actual de la Administración de riesgos de información y de tecnología

de información, contemplará los siguientes aspectos:

4.1 Plan de seguridad de la información

4.1.1 Políticas, estándares y procedimientos de seguridad
4.1.1.1 Seguridad lógica
4.1.1.2 Seguridad de Personal
4.1.1.3 Seguridad física y ambiental

El detalle de la evaluación y análisis de brechas se mostrará en una matriz, cuyo contenido es el

siguiente:

- Situación actual: Muestra un resumen de la situación encontrada en la Universidad Privada de

Tacna a partir de la información relevada durante las entrevistas y de los documentos
relevantes entregados a nuestro equipo.
- Mejores prácticas: Muestra un resumen de nuestras mejores prácticas y los requerimientos
mencionados en la Circular G-105-2002 de la SBS motivo del presente proyecto.
- Análisis de brecha: Muestra de manera gráfica la brecha existente entre la situación actual y los
requerimientos de la SBS y nuestras mejores prácticas.

En el siguiente cuadro se detalla la descripción de los gráficos:

Razonablement Los requerimientos de la Circular G-105-2002 de la SBS están

e cubierto razonablemente cubiertos.
Sustancialment Faltan realizar algunas actividades para cubrir razonablemente
e cubierto los requerimientos de la Circular G-105-2002 de la SBS
Parcialmente Se han realizado actividades que cubren parcialmente los
cubierto requerimientos de la Circular G-105-2002 de la SBS.
Limitadamente Se han realizado algunas actividades para cubrir
Cubierto los requerimientos de la de la Circular G-105-2002 de la
SBS.
No cubierto No se ha realizado ninguna actividad relacionada con los
requerimientos de la Circular G-105-2002 de la SBS.
 Página 10
4.1 PLAN DE SEGURIDAD DE LA INFORMACIÓN
4.1 La Universidad Privada de Tacna:
- Carece de una política de seguridad.
- No dispone de una evaluación de riesgos ni
inventario asociado a riesgos de seguridad de
la información.
- Existen criterios, procedimientos y acciones
específicas no integradas para evitar los
riesgos de información.
- No cuenta con una selección de controles y
objetivos de control destinados a mitigar
dichos riesgos.
- No cuentan con un plan de implementación de
los controles y procedimientos de revisión
periódica.
4.1.1 POLÍTICAS, ESTÁNDARES Y PROCEDIMIENTOS DE SEGURIDAD
4.1.1 El Banco San José no cuenta con políticas de
seguridad formales que indiquen los
procedimientos de seguridad a ser adoptados para
salvaguardar la información de posibles pérdidas
en la integridad, disponibilidad y confidencialidad.
Sin embargo, se ha observado la existencia de
algunas políticas y controles específicos en
distintos aspectos de la seguridad de la
Información, los cuales referenciamos en los
siguientes ítems.
Primer entregable
Se deberían contemplar los siguientes aspectos:
- Definición de una política de seguridad.
- Evaluación de riesgos de seguridad a los
que está expuesta la información.
- Inventario de riesgos de seguridad de la
información.
- Selección de controles y objetivos de
control para reducir, eliminar y evitar los
riesgos identificados, indicando las razones
de su inclusión o exclusión
- Plan de implementación de los controles y
procedimientos de revisión periódicos.
- Mantenimiento de registros adecuados que
permitan verificar el cumplimiento de las
normas, estándares, políticas,
procedimientos y otros definidos por la
empresa, así como mantener pistas de
auditoría.
La definición de una política de seguridad debería
contemplar:
- Declaración escrita de la política.
- Definición de la propiedad de la Política.
- Políticas debidamente comunicadas.
- Autoridad definida para realizar cambios en
la Política.
- Aprobación por el área legal.
- Alineamiento de la política con la
organización.
- Definición de responsabilidades de la
seguridad.
- Confirmación de usuarios de conocimiento
de la política.
4.1.1.1 SEGURIDAD LÓGICA

4.1.1.2 El Banco San José presenta lo siguiente: La Seguridad Lógica debería contemplar los
siguientes aspectos:
- Cumple con los Procedimientos formales - Seguimiento sobre el acceso y uso de los
para la concesión, administración de sistemas para detectar actividades no
derechos y perfiles. autorizadas.
- Los usuarios deben contar con una
identificación para su uso personal, de tal
manera que las posibles responsabilidades
puedan ser seguidas e identificadas.
- Controles especiales sobre usuarios remotos
y computación móvil.

4.2.1.2 SEGURIDAD DE PERSONAL

Se debería considerar:
4.2.1.3 El CMAC Maynas presenta lo siguiente:

- El entrenamiento de los nuevos

- Definición de roles y responsabilidades ingresantes al área de soporte
establecidos sobre la seguridad de técnico debería ser suministrada con
información. mayor seguridad.
- Procesos disciplinarios en caso de
- Verificación de antecedentes. incumplimiento de las políticas de
- Concientización y entrenamiento. seguridad.

- Procedimientos definidos en caso de cese

del personal, que incluyan aspectos como la
revocación de los derechos de acceso y la
devolución de activos.
4.1.1.2 SEGURIDAD FÍSICA Y AMBIENTAL
4.1.1. Adicionalmente se puede mencionar: Se debería considerar los siguientes aspectos:
2
- Aumentar nuevos controles para
prevenir pérdidas, daños o robos de
los activos. Esto incluye la
protección de los equipos frente a
amenazas físicas y ambientales.

- Controles para evitar el acceso físico

no autorizado, daños o interferencias
a los locales y a la información de la
empresa.

4.1.1.2 INVENTARIO DE ACTIVOS Y CLASIFICACION DE LA INFORMACION

4.1.1. Adicionalmente se puede mencionar: Se debería considerar los siguientes aspectos:
2
- Realizar y mantener un inventario de - Realizar una clasificación de la
activos asociados a la tecnología de información. Esta clasificación debe
información. Deben asignarse indicar el nivel de riesgo existente
responsabilidades respecto a la para la empresa en caso de falla sobre
protección de estos activos. la seguridad, así como las medidas
apropiadas de control que deben
-
asociarse a las clasificaciones.