informe auditoria_v6
DESCRIPTION
protocoloTRANSCRIPT
UNIVERSIDAD ANDINA DEL CUSCOFACULTAD DE INGENIERIA
CARRERA PROFESIONAL DE INGENIERIA DE SISTEMAS
CURSO: Auditoria, Seguridad y Control de Sistemas
DOCENTE: Ing. Emilio Palomino Olivera
ALUMNOS:
Reyna Lovon Corazao. 007200605H
Claudia Miranda Mondragon. 010100255J
Indalicia Llamocca Quispe. 000881329E
Edward Angeles Ramires. 000038734B
Efrain Obada Delgado. 000042389D
1
PROPUESTA DE ACTIVIDADES DE LA CLAUSULA 10: GESTION DE OPERACIONES Y COMUNICACIONES SEGÚN LA NTP ISO/IEC 17799:2007
CÓDIGO DE BUENAS PRÁCTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACIÓN.
Cusco, Octubre de 2014
INDICEINTRODUCCIÓN...............................................................................................................3
1 ASPECTOS GENERALES..................................................................................................4
1.1 PLANTEAMIENTO DEL PROBLEMA....................................................................4
1.2 FORMULACION DEL PROBLEMA........................................................................5
1.3 HIPOTESIS..........................................................................................................5
1.4 OBJETIVOS.........................................................................................................5
1.4.1 OBJETIVOS GENERALES..............................................................................5
1.4.2 OBJETIVOS ESPECÍFICOS.............................................................................5
1.5 METODOLOGIA..................................................................................................5
1.6 ALCANCES..........................................................................................................6
1.7 RESULTADO ESPERADO.....................................................................................6
2 NORMA ISO/IEC 17799:2007........................................................................................6
10 CLAUSULA 10 GESTION DE COMUNICACIONES Y OPERACIONES................................8
10.1 Procedimientos y responsabilidades de operación...........................................8
10.1.1 Documentación de procedimientos operativos.........................................9
10.1.2 Gestión de Cambios.................................................................................13
10.2 Gestión de servicios externos..........................................................................17
10.2.1 Servicio de entrega..................................................................................17
10.3 Planificación y aceptación del sistema............................................................21
10.3.1 Planificación de la capacidad...................................................................21
10.3.2 Aceptación del sistema............................................................................25
10.4 Protección contra software malicioso.............................................................27
10.4.1 Medidas y controles contra software malicioso.......................................27
10.4.2 Medidas y controles contra código móvil................................................30
10.5 Gestión de respaldo y recuperación................................................................33
10.5.1 Recuperación de la información..............................................................33
10.6 Gestión de seguridad en redes........................................................................36
10.6.1 Controles de red.......................................................................................36
2
10.7 Utilización de los medios de información........................................................36
10.7.1 Gestión de medios removibles.................................................................36
3
INTRODUCCIÓNLa información para una empresa u organización es el más importante activo, por lo que consideramos que es necesario implementar un sistema de control de la misma, e implementar un flujo de esta que involucre seguridad, ordenamiento y sistematización. Con una correcta diagramación de las actividades que debe cumplir cada actor del negocio obtendremos procesos seguros y de fácil flujo con los respectivos responsables e involucrados de cada actividad.
El manejo correcto de la información y de los procesos de una organización se realiza porque las organizaciones y los sistemas de información se enfrentan, cada vez más, a riesgos e inseguridades procedentes de diferentes fuentes, y más aún cuando el sistema de redes de información es más complejo y extensible.
Es por ello que se debe implementar acciones y propuestas de seguridad de la información y de la infraestructura de las redes computacionales y de la información. Es esencial que la organización identifique sus procesos y los requisitos de seguridad en las que existen tres fuentes, que la valoración de los riesgos de la organización, el conjunto de requisitos legales y por último de los objetivos de la empresa u organización.
En este proyecto basado en la NTP-ISO/IEC 17799:2007 y en su directriz sobre la Gestión de Comunicaciones y Operaciones, implementaremos el diagrama de actividades de procesos generales de una organización, los formatos de seguimiento y ordenamiento de la información y la sistematización de los mismos.
Este proyecto nos ayudara a la dirección, organización de los procesos fundamentales de una organización en los aspectos de gestión de las comunicaciones y operaciones que rigen, su sistematización será un apoyo para la organización y determinar los procesos específicos a seguir, en requeridos procesos.
4
1 ASPECTOS GENERALES
1.1 PLANTEAMIENTO DEL PROBLEMANo existen actividades ni procesos vinculados a asegurar la comunicación y operación correcta y segura de los recursos de tratamiento de información en la organización. Consiguientemente se debería establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos de tratamiento de información. Esto incluye el desarrollo de instrucciones apropiadas de operación y de procedimientos de respuesta ante incidentes.
1.2 FORMULACION DEL PROBLEMA¿De qué manera el conjunto de actividades propiciara un mejoramiento en la gestión de comunicaciones y operaciones?
1.3 HIPOTESISSi el conjunto de actividades propuesto se llevase a cabo siguiendo en forma secuencial los procedimientos, entonces influye favorablemente en la administración de la gestión de comunicaciones y operaciones de la organización.
1.4 OBJETIVOS
1.4.1 OBJETIVOS GENERALES- Plantear un conjunto de actividades basados en la NTP ISO/IEC 17799:2007
orientadas a controlar las comunicaciones y operaciones del negocio de la organización.
1.4.2 OBJETIVOS ESPECÍFICOS- Identificar y seleccionar las actividades correspondientes a las guías de
implementación de la cláusula Gestión de las comunicaciones y operaciones de la NTP ISO/IEC 17799:2007, necesarias en la gestión de comunicaciones y operaciones de los sistemas de información y hardware de la organización.
- Identificar los Procesos de la administración y gestión de los datos, información y hardware de la organización.
- Elaborar formatos correspondientes a cada control de la Cláusula de Gestión de comunicaciones y operaciones de la NTP ISO/IEC 17799:2007.
- Implantación de los formatos de la gestión de comunicaciones y operaciones a los diferentes procesos del manejo de información y hardware de la organización como exige la Norma Técnica Peruana ISO/IEC 17799:2007.
5
1.5 METODOLOGIAEn el presente proyecto se empleará la metodología descriptiva, porque permitirá efectuar la descripción de la realidad existente sobre la gestión de comunicación y operaciones en los diferentes sistemas de información y hardware que administra la organización.
1.6 ALCANCESEl proyecto de investigación que aborda el área de control: Gestión de Comunicaciones y Operaciones, pretende alcanzar un conjunto de actividades para cada una de las categorías comprendidas en la norma NTP ISO/IEC 17799:2007, es así que lo que se quiere es alcanzar un conjunto de actividades referidas a:
- Documentar y mantener los procedimientos de operaciones.
- Controlar los cambios en los sistemas y recursos de tratamiento de información.
- Monitorear y revisar los servicios, reportes y registros por terceros.
- Implantar precauciones para prevenir y detectar la introducción de software malicioso.
- Definir y documentar políticas de uso de código móvil.
- Definir e implantar políticas para hacer copias de seguridad de toda la información esencial de la organización.
- Protección de los servicios en red.
1.7 RESULTADO ESPERADOEl propósito del proyecto es proveer al personal de la organización el planteamiento de actividades del control de la gestión de comunicaciones y operaciones de la NTP ISO/IEC 17799:2007, donde se describan los procedimientos para asegurar la correcta gestión de la comunicación y la operación de información de software, hardware e incidentes relacionados a TI.
Este conjunto de actividades del control de la gestión de comunicaciones y operaciones de la NTP ISO/IEC 17799:2007, es el principal objetivo para que el personal de la organización lo adopten como una herramienta para que de forma ordenada facilite la secuencia en cada tarea de comunicación y operación de los incidentes presentes en los sistemas de información, hardware y las posibles soluciones, para luego implementarlas con éxito y así lograr una efectiva gestión de comunicación y operación.
6
2 NORMA ISO/IEC 17799:2007La Norma ISO/IEC 17799:2007 ofrece recomendaciones para realizar la gestión de la seguridad de la información que puede utilizarse por los responsables de iniciar, implantar o mantener y mejorar la seguridad en la organización.
La implementación de los controles de esta norma ayudara a desarrollar la gestión de la seguridad en la organización. Esta norma está compuesta por las siguientes clausulas:
- Cláusulas de la Norma ISO/IEC 17799:2007
o (1) Políticas de seguridad
o (2) Organizando la seguridad de información
o (3) Gestión de Archivos
o (4) Seguridad de recursos humanos
o (5) Seguridad física y ambiental
o (7) Control de acceso
o (8) Adquisición, desarrollo y mantenimiento de sistemas de información
o (9) Gestión de incidentes de los sistemas de información
o (10) Gestión de comunicaciones y operaciones
o (11)Cumplimiento
Y cada una de estas cláusulas está dividida en categorías. Este documento tiene como fin la implementación de la cláusula 10 a la organización la cual está dividida en 10 categorías:
- Categorías de la Cláusula 10: Gestión de Comunicaciones y Operaciones
o 10.1 Procedimientos y responsabilidades de operación
o 10.2 Gestión de servicios externos
o 10.3 Planificación y aceptación del sistema
o 10.4 Protección contra software malicioso
o 10.5 Gestión de respaldo y recuperación
7
o 10.6 Gestión de seguridad en redes
o 10.7 Utilización de los medios de información
o 10.8 Intercambio de información
o 10.9 Servicios de correo electrónico
o 10.10 Monitoreo
Para los fines del presente documento, hemos de implementar 11 controles seleccionados en un orden arbitrario. Estos controles son:
- Controles a implementar de la Cláusula 10: Gestión de Comunicaciones y operaciones
o 10.1.1 Documentación de procedimientos operativos
o 10.1.2 Gestión de Cambios
o 10.2.1 Servicio de entrega
o 10.3.1 Planificación de la capacidad
o 10.3.2 Aceptación del sistema
o 10.4.1 Medidas y controles contra software malicioso
o 10.4.2 Medidas y controles contra código móvil
o 10.5.1 Recuperación de la información
o 10.6.1 Controles de red
o 10.7.1 Gestión de medios removibles
8
10 CLAUSULA 10 GESTION DE COMUNICACIONES Y OPERACIONES
10.1 Procedimientos y responsabilidades de operaciónObjetivo: Asegurar la operación correcta y segura de los recursos de tratamiento de información.
Se debería establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos de tratamiento de información. Esto incluye el desarrollo de instrucciones apropiadas de operación y de procedimientos de respuestas ante incidencias.
Se implantara la segregación de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia.
10.1.1 Documentación de procedimientos operativosControl: Se deberán documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo requieran.
Secuencia de actividades : 10.1.1 Documentación de procedimientos operativosControl: Se deberán documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo requieran.1 El área de informática Delega la elaboración de la documentación de
procedimientos operativos para los ambientes de informática que lo necesiten.
1.1 Se asigna un presupuesto y se envía el documento de elaboración de la documentación de procedimientos operativos de los ambientes de cómputo.
2 La comisión de procedimientos y responsabilidades de operación Reciben el documento y elabora una propuesta de procedimientos operativos para cada ambiente solicitante.Finalizado el proyecto se devuelve al área de informática para su verificación
3 El área de informática recibe informe analiza, revisa y establece que los procedimientos operativos concuerdan con los ambientes correspondientes cumpliendo además con los requerimientos de seguridad.
3.1 Se aprueba la documentación de procedimientos operativos y se envía a la dirección general para su aprobación
3.2 Se alcanza un informe.4 La gerencia Elabora un documento y emite la resolución de aprobación de
la documentación de procedimientos operativos, luego devuelve
9
documento con resolución para su difusión y capacitación5 La comisión de procedimientos y responsabilidades de operación
Difunden la implementación de la documentación de procedimientos operativos para ambientes de cómputo a todas las áreas y facultades, se realiza una capacitación, registrando de dicho proceso en un acta.
5.1 Capacitación de Procesos5.1.1 Proceso 15.1.2 Proceso 25.1.3 Proceso 35.2 Firma de conformidad y asistencia a la capacitación
6 Fin del proceso.
10
Diagrama – 10.1.1 Documentación de procedimientos operativos
11
Formato – 10.1.1 Documentación de procedimientos operativos
Actividad: 10.1.1 Documentación de procedimientos operativosControl: Se deberán documentar y mantener los procedimientos de operación y ponerlos
a disposición de todos los usuarios que lo requieran.Supervisor: Firma: Fecha:Comisión elaboradora de obligaciones:
DOCUMENTONombre del documento:N° de Documento: Fecha: Versión:
Procedimientos de OPERACIÓNN° Área Programa Subprograma Responsable Firma1 El área de informática
…………………...2 La comisión de
procedimientos y responsabilidades de operación
…………………...3 El área de informática
…………………...4 La gerencia
…………………...5 La comisión de
procedimientos y responsabilidades de operación
…………………...
12
10.1.2 Gestión de CambiosControl: Se deberían controlar los cambios en los sistemas y recursos de tratamiento de información.
Secuencia de actividades : Identificación y registro de cambios significativosCONTROL: Se deberían controlar los cambios en los sistemas y recursos de tratamiento de información.1 El Director del área de informática elabora la documentación para
implantar las responsabilidades y procedimientos para asegurar un control de todos los cambios en los equipos y/o el software.
1.1 Se envía Documento al sub área de Soporte.2 El sub área de Soporte acepta el documento de gestión de Cambios.
2.1 Se remite el documento y se firma su conformidad.2.2 Se Comunica a todos los áreas y/o facultades que cuenten con equipos
y/o software.2.3 Se Comunica al personal que en fechas anteriores solicitó el servicio de
soporte para su equipo y/o software.2.4 Se capacita al personal para la identificación y el registro de cambios
significativos que se puedan percibir en los equipos y/o software.2.4.1 Capacitación del Cambios Significativos2.4.1.1 Proceso 12.4.1.2 Proceso 22.4.1.3 Proceso 32.4.1.4 Proceso 42.4.2 Firma de Conformidad y asistencia a la capacitación
3 Fin del proceso.
13
Diagrama – 10.1.2 Gestión de Cambios
14
Formato – 10.1.2 Gestión de Cambios
Actividad: 10.1.2 Gestión de CambiosControl: Se deberían controlar los cambios en los sistemas y recursos de
tratamiento de información.Supervisor: Firma: Fecha:
DOCUMENTONombre del documento:N° de Documento: Fecha: Versión:
REPORTE DE CAMBIOSN° Cambio Tipo
(*)Fecha de Cambio
1…n
RESPONSABLE DEL AREA y/o FACULTAD CAPACITADOSN°
(Actividad)ÁREA Descripción de la
ActividadNombres y
Apellidos del responsable
Cargo Firma
1 Informática
Elabora la documentación para implantar las responsabilidades y procedimientos para asegurar un control de todos los cambios en los equipos y/o el software.1.1. Se envía Documento al sub área de Soporte. Acepta el documento de gestión de Cambios.2.1. Se remite el documento y se firma su conformidad.2.2. Se Comunica a todos los áreas y/o facultades que cuenten con equipos y/o software.2.3. Se Comunica al personal que en fechas anteriores solicitó el
15
2 Soporte servicio de soporte para su equipo y/o software.2.4. (**) Se capacita al personal para la identificación y el registro de cambios significativos que se puedan percibir en los equipos y/o software.(**)En este punto la capacitación consta de 4 procesos asistidos.
(*)Tipo de Cambio Equipo (E), Software (S)
10.2 Gestión de servicios externosObjetivo: Implementar y mantener un nivel apropiado de seguridad y de entrega de servicio en línea con los acuerdos con terceros.
16
La organización debe verificar la implementación de acuerdos, el monitoreo de la conformidad con los acuerdos y los cambios gestionados con el fin de asegurar que todos los servicios entregado cumplen con todos los requerimientos acordados con terceros.
10.2.1 Servicio de entregaControl: Debemos asegurarnos que todos los controles de seguridad, definiciones de servicio y niveles de entrega incluida en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa.
Secuencia de actividades : Servicio entregado por tercerosControl: Debemos asegurarnos que todos los controles de seguridad, definiciones de servicio y niveles de entrega incluida en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa.1 El área de informática elabora los requerimientos para los servicios de
entrega por terceros, especificando que toda entrega de servicio sean implementados, operados y mantenidos por la parte externa.
1.1 Se envía el documento de elaboración de requerimientos para los servicios de entrega por terceros.
2 La comisión de gestión de servicios externos recibe el documento y elabora la propuesta para los servicios de entrega por terceros.
3 El área de informática revisa que todos los controles de seguridad y acuerdo de entrega de servicio externo se cumplan.
3.1 El área de informática se debe asegurar que los terceros mantengan una capacidad suficiente para asegurar el nivel continuo del servicio.
3.2 Se hace la petición de documentos de los terceros.3.3 Se hace la observación de los documentos.3.4 Se pide un plan de implementación, operación y mantenimientos de parte de
los terceros hacia la universidad.3.5 Se verifica si cumple con los lineamientos de seguridad de la universidad.3.6 Procesos …
4 La comisión de gestión de servicios externos difunde los requerimientos para los servicios de entrega por terceros.
5 Fin del proceso.
17
Diagrama – 10.2.1 Servicio de entrega
18
Formato – 10.2.1 Servicio de entrega
Actividad: Servicio de entregaControl: Debemos asegurarnos que todos los controles de seguridad, definiciones de servicio
y niveles de entrega incluida en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa.
Supervisor: Firma: Fecha:DOCUMENTO
Nombre del documento:N° de Documento: Fecha: Versión:
PROCESOS PARA EL ACUERDO DE ENTREGA DE SERVICIOS DE TERCEROSN°(Proceso)
Área Descripción de la Actividad
Nombres y Apellidos del responsable
Cargo Firma
1 Informática
Elabora los requerimientos para los servicios de entrega por terceros, especificando que toda entrega de servicio sean implementados, operados y mantenidos por la parte externa.1.1. Se envía el
documento de elaboración de requerimientos para los servicios de entrega por terceros.
2Comisión de Gestión de servicios externos
Recibe el documento y elabora la propuesta para los servicios de entrega por terceros.Revisa que todos los controles de seguridad y acuerdo de entrega de servicio externo se cumplan.3.1. El área de informática se debe asegurar que los terceros mantengan
19
3 Informática
una capacidad suficiente para asegurar el nivel continuo del servicio.3.2. Se hace la petición de documentos de los terceros.3.3. Se hace la observación de los documentos.3.4. Se pide un plan de implementación, operación y mantenimientos de parte de los terceros hacia la universidad.3.5. Se verifica si cumple con los lineamientos de seguridad de la universidad.
4Comisión de Gestión de servicios externos
Difunde los requerimientos para los servicios de entrega por terceros.
RESPONSABLE DEL SERVICIO EXTERNONombre y Apellidos Entidad Cargo Firma
RELACIÓN DE SERVICIOS PRESTADOS POR TERCEROSN° Servicio Cumple
con (*)Observación
1…n
(*) Cumple con requerimientos acordados:
- Implementación, operación y mantenimiento (100%).- Implementación y operación (50%).- Implementación y mantenimiento (50%).- Operación y mantenimiento (50%).- Solo Implementación (30%).- Solo Operación (30%).- Solo Mantenimiento (30%).
20
10.3 Planificación y aceptación del sistemaObjetivo: Minimizar el riesgo de fallos de los sistemas. Son necesarios una planificación y preparación para asegurar la disponibilidad y de recursos adecuados para entregar el sistema de funcionamiento requerido.
Deberían realizarse proyecciones de los requisitos futuros de capacidad para reducir el riesgo de sobrecarga del sistema.
Se debería establecer, documentar y probar, antes de su aceptación, los requisitos operacionales de los sistemas nuevos.
10.3.1 Planificación de la capacidadControl: El uso de recursos debe ser monitoreado y las proyecciones futuras hechas de requisitos de capacidades adecuadas para asegurar el sistema de funcionamiento requerido.
Secuencia de actividades 10.3.1 Planificación de la capacidadControl: El uso de recursos debe ser monitoreado y las proyecciones futuras hechas de requisitos de capacidades adecuadas para asegurar el sistema de funcionamiento requerido.N itm Acciones Pr
e1 Dirección o Unidad Solicitante
1.1 El Director y los integrantes auxiliares de la Dirección identificaran las actividades que serán sistematizadas.
1.2 Identificaran los requerimientos de sistema que tendrá la actividad identificada y se formulara un informe
1.1
1.3 El Director emite un oficio de requerimiento al Vice Rectorado Académico 1.22 Vice Rectorado Académico
2.1 El Vicerrector evaluará los requerimientos establecidos 1.32.2 Si el costo de los requerimiento son de menor cuantía y son viables el Vice
Rectorado emitirá un oficia a la Dirección de Telecomunicaciones y Tecnologías de Información aprobando la implementación de los requerimientos del sistema de información de la Dirección Requerida.
2.3 Si el costo es de mayor cuantía se deriva el informe a la dirección de planificación para la evaluación de su viabilidad.
3 Dirección de Planificación3.1 La Directora de la Dirección de Planificación evaluará los requerimientos
establecidos en el informe derivado del Vice Rectorado2.3
3.2 Si los requerimientos son viables y aprobados por la Directora previo estudio del informe, se emitirá un oficio de aprobación de la implementación y se asignará los recursos necesarios para ello. El informe es remitido al Vice Rectorado para su
21
posterior resolutiva.3.3 Si los requerimientos no son viables se hace el requerimiento de la reformulación
de los pedidos de la dirección solicitante al Vice Rectorado Administrativo para su re evaluación.
4 Vice Rectorado Académico4.1 El Vicerrector emitirá un oficio solicitando la reformulación de los requerimientos a
la Dirección Solicitantes para su aprobación.3.3
5 Dirección o Unidad Solicitante5.1 El Director deberá reformular los requerimientos ajustados a las recomendaciones
de la dirección de planificación y volverá a emitir la solicitud de requerimientos al Vicerrector Administrativo.
4.1
6 Dirección de Telecomunicaciones y tecnologías de Información6.1 La Directora recibe la autorización del Vicerrectorado para la implementación de
un sistema de información y emite la autorización al área de desarrollo para su desarrollo, implementación y documentación del sistema
2.2
7 Área de Desarrollo de la DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN
7.1 Implementar y documentar el sistema requerido 6.17.2 Formular instrucciones de monitorización del sistema 7.17.3 Implementar controles y acciones contra errores en el sistema 7.2
8 Dirección de Telecomunicaciones y tecnologías de Información8.1 Realizar informe de implementación del sistema y entrega a la dirección solicitante
con copia de entrega al vicerrectorado.7.3
9 Dirección o Unidad Solicitante9.1 Una vez recepcionado el sistema la dirección debe monitorizar el funcionamiento
del sistema de información para el control contra erres8.1
9.2 SI en caso se generan errores se harán reportes que serán remitidos a la DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN para su correspondiente corrección y ajuste.
9.1
22
Diagrama – 10.3.1 Planificación de la capacidad
23
Formato – 10.3.1 Planificación de la capacidad
Actividad: 10.3.1 Planificación de la capacidadControl: El uso de recursos debe ser monitoreado y las proyecciones futuras hechas de
requisitos de capacidades adecuadas para asegurar el sistema de funcionamiento requerido.
Actividad a Controlar:Sistema RequeridoDirección Responsable:
Fecha:
Nombre del Director:
Firma:
REQUISITOS A CUMPLIRDescripción de los Requisitos:
Responsable de la abstracción de datos:
Fecha y Firma:
Documento de Informe: Fecha:MONITORIZACION DE SISTEMASDescripción de control de detección y errores encontradosN° de Documento: Fecha: Versión:RESPONSABLE DEL MONITOREONombre y Apellidos Cargo Firma Unidad
DETECCION DE ERRORESObservaciones de Fallos y Errores
………………………….Firma y DNI
24
10.3.2 Aceptación del sistemaControl: Se deberían establecer criterios de aceptación para nuevos sistemas de información y versiones nuevas o mejoradas y se deberían desarrollar con ellos las pruebas adecuadas antes de su aceptación.
Secuencia de actividades : Aceptación del sistemaControl: Se deberían establecer criterios de aceptación para nuevos sistemas de información y versiones nuevas o mejoradas y se deberían desarrollar con ellos las pruebas adecuadas antes de su aceptación.n ítem Actores / Actividades Pre1 Dirección Solicitante
1.2 El Director recibe el Sistema de Información de la DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN
1.3 El Jefe de Operaciones y el Director de la Dirección evalúan el sistema, en base a los requerimientos realizados.
1.2
1.4 Si el sistema no tiene errores en funcionamiento y cumplimiento con lo requerido se realiza la autorización para su funcionamiento y se deriva al área requerida.
1.3
1.5 Si el sistema no cumple con las condiciones requeridas se deriva un informe de errores y el Director se hace un pedido de correcciones y evaluaciones a la DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN
1.3
2 2.1 La Directora del DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN recepciona el informe de correcciones y evaluaciones del sistema y deriva al encargado del área de desarrollo aprobando la evaluación y corrección del sistema en mención.
1.5
3 3.1 El encargado del área de desarrollo implementa las correcciones 2.13.2 El encargado del área de desarrollo Genera un informe de la monitorización
del sistema3.1
3.3 El encargado del área de desarrollo genera el reporte de prevención de errores y eleva e informe correspondiente a la directora de la DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN
3.2
4 4.1 La Directora del DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN genera un informe oficiado a la dirección solicitante junto con el sistema para su entrega.
3.3
5 5.1 El jefe de la unidad recepciona el sistema y procede a la instalación del sistema 1.55.2 Los usuarios del sistema realizan un reporte de aceptación del sistema y de
errores en caso de hallarlos.5.1
25
Diagrama – 10.3.2 Aceptación del sistema
26
10.4 Protección contra software maliciosoObjetivo: Proteger la integridad del software y de la información. Se requieren ciertas precauciones para prevenir y detectar la introducción de software malicioso. El software y los recursos de tratamiento de información son vulnerables a la introducción de software malicioso como virus informáticos, gusanos de la red, caballos de Troya y bombas lógicas. Los usuarios deberían conocer los peligros que puede ocasionar el software malicioso o no autorizado y los administradores deberían introducir controles y medidas especiales para detectar o evitar su introducción.
10.4.1 Medidas y controles contra software maliciosoControl: Se deben implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concientizar a los usuarios.
Secuencia de actividades :Control: Se deben implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concientizar a los usuarios.1 Dirección Solicitantes
El operario del computador realiza requerimiento de software para la seguridad del equipo a su cargoEl Director realiza un requerimiento de software de seguridad para las computadoras de la Dirección a la DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN
2 DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓNLa DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN aprueba la instalación de software de seguridad y cursa un oficio a la unidad de soporte técnico para la instalación y la realización de los procedimientos de seguridad
3 Unidad de SoporteEl Jefe de la unidad de Soporte Técnico, evalúa los equipos e instala los sistemas de seguridad y determina los procedimientos de seguridadDetermina los las políticas de seguridad contra software malicioso
4 Unidad OperadoraLos operadores deben seguir los procedimientos de seguridad implementados por la unidad de soporte técnico
27
Diagrama – 10.4.1 Medidas y controles contra software malicioso
28
Formato – 10.4.1 Medidas y controles contra software malicioso
Actividad: 10.4.1 Medidas y controles contra software maliciosoControl: Se deben implantar controles para detectar el software malicioso y prevenirse
contra él, junto a procedimientos adecuados para concientizar a los usuarios.Equipo/IP:Dirección o Área:Director: Fecha: Firma:
Responsable del equipo:
Numero Patrimonio:
Fecha:
Responsable de Soporte:
Fecha instalación:
Firma:
SOFTWARE DE CONTROLNombre del software:N° de Licencia: Fecha
caducidad:Versión:
PROCEDIMIENTO DE PREVENCION
ACCIONES TOMADAS EN EL EQUIPON° Cambio Prioridad Fecha de Cambio
29
10.4.2 Medidas y controles contra código móvilControl: Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que este sea ejecutado.
Secuencia de actividades:Control: Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que este sea ejecutado1 Soporte técnico
1.1 El jefe de soporte técnico solicita a la Directora de la DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN apertura códigos móviles para la instalación de software a uno o varios equipos en red
2 DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN2.1 La Directora de la DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE
INFORMACIÓN autoriza la apertura de códigos móviles2.2 La Directora informa mediante oficio a la dirección o unidad en la que se
instalaran los software en forma remota aperturando códigos móviles3 Dirección o Unidad
3.1 El Director o Jede de Unidad autoriza e informa al personal de la instalación remota y toma las precauciones de seguridad
3.2 El Director informa de la culminación de la instalación al Jefe de la Unidad de Soporte Técnico de la finalización
4 Soporte Técnico4.1 Una vez terminado el Jefe de Soporte Técnico autoriza la eliminación del
código abierto para la instalación de un software
30
Diagrama – 10.4.2 Medidas y controles contra código móvil
31
Formato – 10.4.2 Medidas y controles contra código móvil
Actividad: 10.4.2 Medidas y controles contra código móvilControl: Control: Donde el uso de código móvil es autorizado, la configuración debe
asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que este sea ejecutado
Dirección:Director:Doc. Referencia:Responsable de Soporte Técnico:Equipo / IP
Tipo: Fecha:SISTEMA A INSTALARNombre del documento:N° de Documento RQ: Fecha: FirmaPROCEDIMIENTO DE SEGURIDAD
DETALLE Fecha Instalación
Observación del usuario del equipo
1. El encargado del equipo no deberá ejecutar ningún programa en el equipo.
2. El usuario deberá informar inmediatamente se termine la instalación de su equipo.
3. El personal de soporte deberá eliminar el código móvil.
4. Se verificará que el código ya no esté disponible en la red
32
10.5 Gestión de respaldo y recuperaciónObjetivo: Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación. Se deberían establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo haciendo copias de seguridad y ensayando su oportuna recuperación.
10.5.1 Recuperación de la informaciónControl: Se deberían hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en concordancia con la política acordada de recuperación.
Secuencia de actividades :Control: Se deberían hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en concordancia con la política acordada de recuperación.1 Unidad de Operaciones
1.1 El usuario de un sistema de información solicitará la recuperación de la información a Director de la Unidad o Dirección
2 Dirección o Unidad2.2 El director de la Dirección o Unidad verificara el tipo de backup y la fecha de
recuperación.2.3 Si las fechas de recuperación están en el rango o dentro de los 6 meses
hábiles se autorizará la recuperación del backup de las unidades locales de almacenamiento.
1.1
2.4 Si las fechas de recuperación son mayores a 6 meses el Director de la Dirección deberá envía una solicitud de recuperación de información a la Dirección de Tecnologías de la Información
1.1
3 DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN3.1 La dirección evaluará el tipo de backup y las fechas de solicitadas y autorizará
mediante oficio a la unidad de soporte técnico para el levantamiento de dicha información.
2.4
4 Soporte Técnico3.2 El Jefe de Soporte técnico evaluara las fechas y el tipo de backup, se
identificará la ubicación del mismo.3.1
3.3 El Jefe de Soporte verificará las políticas de recuperación normadas para la unidad
3.2
3.4 El personal de Soporte técnico instalará el backup en la unidad determinada informando de la acción a la DIRECCIÓN DE TELECOMUNICACIÓN Y TECNOLOGÍAS DE INFORMACIÓN y a la Dirección Solicitante
3.3
5 Unidad de Operaciones5.1 El encargado del equipo hará un registro de la información recuperada. 2.3 -3.4
33
Diagrama – 10.5.1 Recuperación de la información
34
Formato – 10.5.1 Recuperación de la información
Actividad: 10.5.1 Recuperación de la informaciónControl: Se deberían hacer regularmente copias de seguridad de toda la
información esencial del negocio y del software, en concordancia con la política acordada de recuperación.
Dirección:Director:Sistema de Información:Solicitante: Fecha de
Solicitud:Firma:
DATOS DEL BACKUPTipo de Backup: Completo Diferencia
lX Registro de
transaccionesFecha Inicio de Recuperación:Motivo de Recuperación: Fecha
Incidente:Referencia:SOPORTE TECNICOEncargado Documente de
AutorizaciónUnidad de Almacenamiento
Equipo Instalado
Políticas de Seguridad sobre backup y recuperación.
a. El backup se realizará al término del día guardado en la unidad local con copia a un equipo de resguardo.
b. Los backup con más de 6 meses (un semestre académico) se guardarán en equipos de la Unidad de Soporte
c. Para la recuperación de información se deberá explicar el motivo documentado y solicitarlo al Director del Área.
d. En caso de no realizar el backup diaria, en caso de que el backup sea manual, deberá hacerlo dentro de las 24 horas siguientes.
………………………….Firma y DNI
35
10.6 Gestión de seguridad en redes
10.6.1 Controles de red
10.7 Utilización de los medios de informaciónObjetivo: Prevenir acceso no autorizado, modificaciones, evitar daños a los activos e interrupciones de las actividades de la organización.
Los medios deben ser controlados y físicamente protegidos.
Se deberían establecer los procedimientos operativos adecuados para proteger los documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del sistema, de daño, modificación, robo y acceso no autorizado.
10.7.1 Gestión de medios removiblesControl: Debería haber procedimientos para la gestión de los medios informáticos removibles.
Secuencia de actividades :Control: Debería haber procedimientos para la gestión de los medios informáticos removibles.1 El responsable de medio extraíble realizará cambios del medio removible
1.1 Si se va formatear el equipo, el responsable del medio debe realizar el backup de la información
1.2 Si se va desechar por varios motivos, el responsable del medio solicitar autorización de desecho
1.3 El director de la unidad o Dirección debe evaluar los equipos dados de baja e informar a la Dirección de Patrimonio sobre el cambio o baja de un bien
2 Reportar equipos de baja y resguardarlos hasta que la Oficina de patrimonio retire el medio extraíble
36
Diagrama – 10.7.1 Gestión de medios removibles
37
Formato – 10.7.1 Gestión de medios removibles
Actividad: 10.7.1 Gestión de medios removiblesControl: Debería haber procedimientos para la gestión de los medios informáticos
removiblesAcción:Dirección:Director - Responsable:Referencia:Responsable del equipo:
Fecha: Firma:
MEDIO EXTRAIBLENombre y Marca del medio:Descripción del medio:
DIRECCION DE PATRIMONIOEncargado:ACCIONES A TOMAR DEL MESIODetallar Cambios Backup a: Observación
………………………….Firma y DNI
38