Búsquedas Virtuales

Escuela de Postgrado
MAESTRIA EN INGENIERIA SEGURIDAD INFORMÀTICA
Tesis:
Diseño de un Modelo de Sistema Gestión de Seguridad de la

Información para los Registros Académicos de una
Universidad Pública
PARA OPTAR EL GRADO DE MAESTRO EN INGENIERIA DE SEGURIDAD

INFORMATICA
Presentado por:
Bach. Jamanca Ramírez, Marco Antonio
Asesor:
Lima, 2013
Dedicatoria
Agradecimiento
Declaración Jurada de Autoría del Informe
Yo MARCO ANTONIO JAMANCA RAMIREZ identificado con DNI Nº 09745771

egresado de la escuela de Post Grado de la Maestría de Ingeniería de Seguridad
Informática.
Por la presente dejo en constancia de ser el autor de la tesis titulada “Diseño de
un Modelo de Sistema de Gestión de la Seguridad de la Información en los Registros
Académicos de una Universidad Pública” para optar el grado de Maestro en Ingeniería
de Seguridad Informática.
Dejo constancia que el uso de marcos, inclusión de opiniones, citas e imágenes
es de mi absoluta responsabilidad, quedando la Universidad Tecnológica del Perú - UTP
exenta de toda obligación al respecto.
Autorizo, en forma gratuita, a la Universidad Tecnológica del Perú - UTP a utilizar este
material para concursos, publicaciones y aplicaciones didácticas dado que constituyen
ejercicios académicos de uso interno sin fines comerciales
Lima, 23 de marzo de 2013 __________________________

Marco Antonio Jamanca Ramírez
DNI Nº 09745771
INDICE
INTRODUCCIÓN........................................................................................................................... 11
CAP. I.- PLANTEAMIENTO DEL PROBLEMA............................................................................12
1.1. DESCRIPCIÓN DEL PROBLEMA................................................................................................12
1.2. FORMULACIÓN DEL PROBLEMA...........................................................................................14
1.2.1. Formulación del Problema General..................................................................................14
1.2.2. Formulación del Problema Específico..............................................................................15
1.3. OBJETIVOS.............................................................................................................................15
1.3.1 Objetivos Generales............................................................................................................15
1.3.2 Objetivos Específicos..........................................................................................................15
1.4. JUSTIFICACIÓN DEL ESTUDIO...............................................................................................15
1.5. VIABILIDAD DE LA INVESTIGACIÓN......................................................................................16
CAP. II.- MARCO TEÓRICO CONCEPTUAL..............................................................................19
2.1 ANTECEDENTES DE LA INVESTIGACIÓN...............................................................................19
2.2. BASES TEÓRICAS...................................................................................................................22
2.2.1. Sistema de Gestión de Seguridad de la Información.............................................................22
2.3. DEFINICIONES CONCEPTUALES.............................................................................................63
CAPITULO III: HIPOTESIS, VARIABLES E INDICADORES.....................................................64
3.1 FORMULACIÓN DE HIPÓTESIS....................................................................................64
3.1.1. HIPÓTESIS GENERAL..................................................................................................................64
3.1.2. HIPÓTESIS ESPECÍFICAS.....................................................................................................................64
3.2 VARIABLES............................................................................................................................... 64
3.2.1. VARIABLE PRINCIPAL.......................................................................................................................64
3.2.2. VARIABLE SECUNDARIA....................................................................................................................64
CAPITULO IV: METODOLÓGIA................................................................................................. 65
4.1 TIPO Y DISEÑO DE LA INVESTIGACIÓN..................................................................................65
4.1.1 DESCRIPCIÓN DEL DISEÑO.............................................................................................................65
4.1.2 TIPO.........................................................................................................................................65
4.1.3 NIVEL.......................................................................................................................................65
4.1.4 ENFOQUE..................................................................................................................................65
4.2. POBLACIÓN Y MUESTRA....................................................................................................... 66
4.3. TÉCNICA DE RECOLECCIÓN DE DATOS...................................................................................66
4.4. TÉCNICAS PARA EL PROCEDIMIENTO Y ANÁLISIS DE LA INFORMACIÓN.................................66
4.5. ASPECTOS ÉTICOS................................................................................................................ 70
4.6 ESTUDIO DE FACTIBILIDAD................................................................................................... 71
4.6.1 RECURSOS.....................................................................................................................................71
4.6.1.1. Humanos..............................................................................................................................71
4.6.2 FINANCIEROS.............................................................................................................................71
4.6.2.1. Equipos y materiales...........................................................................................................71
4.6.2.2. Presupuesto.........................................................................................................................72
BIBLIOGRAFIA................................................................................................................................... 73
ANEXOS.......................................................................................................................................... 74
INDICE DE GRAFICOS
Gráfico Nº 1 Número de registros/personas afectadas por incidencias de seguridad….12

Gráfico Nº 2 Vulnerabilidades en Base de datos de las Universidades Peruanas……...13
Gráfico Nº 3 Etapas de la Administración de Riesgos…………………………………25
Gráfico Nº 4 Proceso de la Administración de Riesgo………………………………....26
Gráfico Nº 5 Etapas del SGSI…………………………………………………………..27
Gráfico Nº 6 Infraestructura de Registros Académicos………………………………...29
Gráfico Nº 7 Proceso de Certificación Académica……………………………………..33
Gráfico Nº 8 Elementos del Análisis de Riesgos Potenciales………………………….39
Gráfico Nº 9 Marco de Trabajo para la Gestión de Riesgos……………………………40
Gráfico Nº 10 Matriz de Riesgos……………………………………………………….41
INDICE DE TABLAS
Tabla Nº 1 Vulnerabilidades en Base de Datos en las Universidades Peruanas……….13

Tabla Nº 2 Niveles de Riesgo………………………………………………………….42
Tabla Nº 3 Matriz de Tratamiento de Riesgos………………………………………....43
Tabla Nº 4 Mapa de Riesgos…………………………………………………………...46
Tabla Nº 5 Declaración de Aplicabilidad………………………………………………47
Tabla Nº 6 Mapeo de los objetivos de control ISO 27002 con COBIT 4.1 e ITILv......47
Tabla Nº 7 Presupuesto de recursos utilizados………………………………………...79
ACRÓNIMOS
RESUMEN
INTRODUCCIÓN
En el presente Proyecto de Tesis se investigará el diseño de un modelo de sistema de

gestión de seguridad de la información en los registros académicos de una universidad
pública.
Esta investigación surgió para evidenciar y mejorar el nivel de gestión de la seguridad
de la información además de generar conocimientos nuevos a partir del estudio de las
incidencias y las debilidades de la seguridad de la información surgidas en los registros
académicos de una universidad pública.
La gestión de la seguridad de la información es un proceso fundamental en el
aseguramiento de la información de tal manera, que estas no se vean expuestas a
incidencias de seguridad.
El trabajo se encontrará organizado en partes: Planteamiento del Problema, Marco
Referencial, Metodología, Resultados, Discusión, Conclusiones y Recomendaciones
que los autores ponen a disposición.
Los investigadores consideran que los resultados de la investigación no abarcan la
totalidad de la problemática en el campo de estudio, pero sí están seguros que sus
hallazgos constituirán un valioso aporte para llenar el vacío en el sistema de
conocimientos y en el mejoramiento del tratamiento de la información.
10
Cap. I.- Planteamiento del Problema
1.1. Descripción del Problema

La información se ha convertido en activo más importante en toda organización,
ya que de ellas dependen muchas transacciones económicas, sociales y culturales;
por las cuales se rigen la vida de nuestra sociedad y muchas de las decisiones que
se toman en la vida diaria, giran en entorno a ellas, a través de las Tecnologías de
información y Comunicación.
Así mismo, la información es probablemente la fuente principal de negocio en el
primer mundo y ese negocio, a su vez, genera grandes cantidades de información.
Su correcta gestión es de importancia estratégica y no debe considerarse como una
herramienta más entre muchas otras.
Según el estándar de medición ISO 27000, Sistema de Gestión de Seguridad de la
Información, permite gestionar la seguridad en todas las organizaciones de manera
eficiente, ya que en muchas de estas se sufren pérdidas de información.
Según (KPMG, 2010) el Barómetro de Pérdida de Datos, 23 millones de personas
a nivel mundial se han visto afectadas por violaciones relativas a datos por una
persona malintencionado dentro de la propia compañía.
GRAFICO N° 01
NUMERO DE REGISTROS/PERSONAS AFECTADAS POR INCIDENCIAS
DE SEGURIDAD
Fuente: KMPG Internacional, Octubre del 2010
11
En la siguiente tabla se muestra las diversas vulnerabilidades detectadas en
algunas Universidades Peruanas en los años 2012 y 2013:
TABLA Nº 1
Nº Vulnerabilidades en Base de datos en Universidades Peruanas Tipo Vulnerabilidad Año
1 UAP Privada SQL Injection 2012

2 UTP Privada Integer Overflow 2012
3 USMP Privada SQL Injection 2013
4 UNMSM Nacional SQL Injection, XSS 2012
5 Universidad Nacional Jorge Basadre Grohmann – Tacna Nacional SQL Injection 2012
6 Universidad Marcelino Champagnat SQL Injection 2013
7 Instituto Peruano de Publicidad 2012
8 Universidad de Chiclayo Nacional SQL Injection 2013
9 Universidad Científica del Sur Privado MS Access Injection 2013
10 Universidad Nacional de Ingeniería Nacional MS Access Injection 2013
GRAFICO N° 02
VULNERABILIDADES EN BASE DE DATOS EN LAS UNIVERSIDADES
PERUANAS
Fuente: Fuente propia
12
En este contexto, la Universidad Nacional Pública objeto de estudio, actualmente
alberga en su sede a aproximadamente 6604 estudiantes distribuidos en
Facultades y Escuelas Profesionales, quienes están registrados en el sistema de
información de forma general y por facultades contando con una data
considerable, ya sea a nivel físico y lógico desde la creación de la mencionada
Universidad, la información que se maneja es de aproximadamente 24838
registros de alumnos y ex - alumnos de la universidad objeto de estudio, además
de registrar 53161 cursos, 1112530 registros de notas.
Esta situación, se agrava ante una posible incidencia de seguridad, más aun
cuando no existía el sistema de seguridad, se comprobaron alteraciones en el
sistema de información referente a notas y en la expedición de certificados, sin
pago de derechos en la tesorería de la universidad.
Estos hechos permite reflexionar, acerca de la problemática de la falta de
seguridad de las actas, base de datos que están expuestos en forma permanente y
sistemática a la alteración de la data y la expedición de certificados en forma
anómala, generando la baja recaudación económica del servicio que presta la
universidad. Este fenómeno de la inseguridad se ha ido generando desde hace 35
años de fundación que tiene la universidad en mención. Esta situación requiere
contar con un modelo de gestión para el aseguramiento de los activos de
información. Por lo que reviste de mucha importancia la creación de un diseño de
modelo de seguridad de la información.
1.2. Formulación del Problema
1.2.1. Formulación del Problema General

¿De qué manera un modelo de Sistema de Seguridad de la Información
ayudará a mejorar los controles para una adecuada Administración de los
activos de Información en los Registros Académicos de la Universidad
Pública?
13
1.2.2. Formulación del Problema Específico
¿Cuáles son los soportes de la infraestructura del modelo del Sistema de
Información de los Registros Académicos de la Universidad Pública?
¿Cuál es la relacióó n entre el Módeló de Sistema de Seguridad de la
Infórmacióó n y la Administracióó n de lós activós de infórmacióó n en lós
Registrós Acadeó micós de la Universidad Puó blica.?
¿De qué forma un Modelo de Seguridad de la Información mejorará los
controles?
1.3. Objetivos
1.3.1 Objetivos Generales

Diseñar un modelo de Sistema de Seguridad de la Información para los
Registros Académicos de una Universidad Pública.
1.3.2 Objetivos Específicos

Describir los soportes de la infraestructura del modelo del Sistema de
Información.
Determinar la relacióó n entre el Módeló de Sistema de Seguridad de la
Registrós Acadeó micós de la Universidad Puó blica.
Determinar si el Modelo de Seguridad de la Información actual
contribuye a un buen control de los activos de Información
1.4. Justificación del Estudio

La administración de activos de información en los registros académicos de las
universidades del país, es un problema generalizado a nivel nacional y local.
Esta situación se ha verificado de acuerdo a las observaciones y auditorías
realizadas en la Universidad objeto del estudio, acerca de la expedición de
certificados, sin pago previo de los derechos de certificación, que el usuario de
pre y postgrado debe realizar para su atención. Esta situación se agrava más
cuando existe un mal manejo de la expedición de certificado por parte del
14
personal encargado de esta área y en otros casos la vulneración de la base de
datos.
Este fenómeno se genera debido a la falta de un modelo de sistema de gestión de
seguridad de la información.
La investigación planteada, contribuirá al Diseño de un Modelo de sistema de
Seguridad de la información que ayudará a un mejor control de los activos de
información, así mismo los resultados de la investigación, contribuirá a tomar
conciencia de la importancia de la seguridad de estas, con relación a la
información administrada, de tal manera que se tomen las medidas adecuadas
para aminorar las posibles incidencias y/o los posibles desastres que puedan
ocurrir.
Los resultados de la investigación en Seguridad de la Información, desde el
punto de vista teórico, servirán como fuente de información a posibles trabajos
de investigación, de tal manera que contribuya a la generación de nuevos
conocimientos.
Desde el punto de vista práctico servirán como marcos orientadores a los
investigadores de esta área para la solución adecuada de la problemática en este
campo del conocimiento.
Desde el punto de vista metodológico, el modelo que el grupo de estudio
propone servirá para la replicabilidad en las diferentes Universidades Peruanas,
con la aplicación de fácil compresión y utilidad necesaria en la solución de
problemas de Seguridad de la Información.
Desde el punto de vista de la viabilidad, la ejecución del proyecto será factible,
porque se cuenta con los recursos humanos, materiales y financieros, suficientes
para el logro de los objetivos.
1.5. Viabilidad de la investigación

De acuerdo con el planteamiento del problema, la definición del mismo, los
objetivos, podremos ver que la investigación es factible, de acuerdo con ello, la
investigación se deberá de realizar de acuerdo con la metodología empleada, a
fin de llegar a cumplir los objetivos para su realización.
De acuerdo con la viabilidad de la investigación, el mismo debe de cumplir con
15
los objetivos, la metodología para la realización de la misma, para ello esta
investigación cuenta con la viabilidad para poder realizarla, con esto la
investigación podrá realizarse satisfactoriamente, pudiendo así realizarla para
solucionar esta importante necesidad en el alcance que pretende tener el presente
estudio.
Con se pretende realizar la investigación, con el fin de obtener grandes
resultados y poder así solucionar una de las múltiples necesidades con las que
cuenta este objetivo de alcance planteado, haciendo así una excelente
investigación con los objetivos concluidos, la necesidad solucionada, podremos
sentir la capacidad de solucionar múltiples necesidades, con se podrá seguir
realizando investigaciones en otros sectores de la sociedad.
Para el caso particular de este estudio, se cuenta con los tres requisitos
indispensables que aseguran su viabilidad y/o factibilidad; puesto que se cuenta
cubierto los siguientes detalles y aspectos para el desarrollo del estudio:
RECURSO TIEMPO: Siendo necesaria la disponibilidad del recurso tiempo para
ejecutar la investigación, alcanzar los objetivos y dar respuestas a los problemas
planteados; el equipo de gestión del estudio cuenta con la predisposición
absoluta que se demande, sumando así esfuerzos y calidad de tiempo dedicado
al proyecto emprendido.
RECURSOS FINANCIEROS: Por otro lado se ha presupuestado un total de S/.
3,895.00 para la ejecución de la investigación, el mismo que cubre todos los
recursos tanto en término de bienes y servicios a ser utilizados (ver cuadro de
presupuesto del estudio); por tanto se puede decir que se ha hecho la previsión
del caso en los recursos financieros que suman a la viabilidad del estudio.
RECURSOS MATERIALES Y HUMANOS: Por ultimo, también era
indefectible precisar la previsión de los recursos materiales y humanos que
hacen falta para la viabilidad del estudio, al respecto se manifiesta que se cuenta
con el apoyo y respaldo técnico – teórico, tanto del asesor y los encargados de la
investigación quienes asumen el compromiso de emprender el estudio con todo
lo que ello implica; así mismo, está presupuestado los recursos y materiales que
serán utilizados para el estudio, el mismo que estará cubierto en su totalidad por
los responsables de la investigación.
16
En resumen, se ha demostrado que la investigación cumple con las condiciones
indispensables para su realización, por lo tanto podemos decir que sí se puede
efectuar, dada la demanda tanto de recursos, tiempo y financiamiento, haciendo
del estudio viable para su ejecución e implementación.
Financiamiento Económico: Esta será cubierta en un 50% por grupo de
Investigación y el otro 50% por parte de terceros en este caso, por parte de la
Institución objeto de estudio. Para lo cual se presenta el siguiente cuadro
resumen, así como el presupuesto.
17
Cap. II.- Marco Teórico Conceptual
2.1 Antecedentes de la Investigación
(Iglesias, 2010) en su estudio, DISEÑO DE UN SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN (SGSI); cuyo estudio consistió en
realizar un diseño de seguridad de la información, teniendo como objetivo
principal obtener un SGSI que permita garantizar el nivel de seguridad en el
manejo de la información , este estudio determinó que la implantación del SGSI
en una organización, es de gran utilidad al proporcionar la garantía para el
cumplimiento de los tres pilares de la seguridad de la información y de la ISO
27001 como son la confidencialidad, integridad y disponibilidad; así mismo
afirma que para llevar a un caso particular es necesario adaptarla de acuerdo al
negocio de la organización; así también es importante la implantación de
controles de seguridad que nos permita supervisar las diversas fases de la
metodología a emplear. En conclusión se diseñó un SGSI ajustado a las
necesidades de SeBackSA, empresa pequeña cuyo principal activo es la
información y listo para ser certificado como modelo SGSI de acuerdo con la
norma ISO 27001.
(Viloria & Blanco, 2009); en la revista titulada MODELO SISTÉMICO DE LA

SEGURIDAD DE LA INFORMACIÓN EN LAS UNIVERSIDADES , cuyo
estudio propone como objetivo brindar un marco conceptual que contribuya a
tratar esta situación en las universidades Venezolanas, en cuyo estudio resalta el
modelo organizacional Dinámico de Leavitt; así como la utilización de las
tecnologías de información dentro de un marco de la seguridad informática,
adiciona también otro elemento importante dentro de las organizaciones, por un
lado la adopción de la disciplina de las organizaciones inteligentes como factores
crítico de éxito: este modelo propuesto (estudio) ayuda a los responsables de la
18
alta dirección a facilitar una planificación estratégica bajo la perspectiva de la
seguridad de la información.
(Flores Estévez, Jiménez Nuñez, & Hidalgo Lascano, 2012); En su estudio

titulado DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN PARA LA EMPRESA MEGADATOS S.A. EN LA CIUDAD
DE QUITO, APLICANDO LAS NORMAS ISO 27001 E ISO 27002 este
proyecto tenía como objetivo el diseño de un Sistema de Gestión de Seguridad
de la Información, orientado a garantizar la confidencialidad, integridad y
disponibilidad de la información asociada a los servicios que ofrece la Empresa
MEGADATOS S.A., mediante la aplicación de las normas ISO 27001 e ISO
27002. En este estudio se logró elaborar una propuesta de SGSI en base a la
evaluación del análisis de riesgos, teniendo como punto de partida los posibles
incidentes en cada nodo de la red, en base a estos resultados se seleccionaron los
objetivos de control y controles más adecuados que permitan minimizar el
impacto ante una posible incidencia de seguridad. Finalmente se desarrolló la
propuesta de implementación se la seguridad en los dispositivos de red, análisis
de costos, configuración de los equipos y un estudio de coste beneficio.
(Rodriguez , Junca, Manta, & Rocha, 2011); en su artículo de investigación

titulado DEFINICIÓN DE UN MODELO DE SEGURIDAD PARA LA RED
DE INVESTIGACIÓN DE TECNOLOGÍA AVANZADA DE LA
UNIVERSIDAD DISTRITAL “FRANCISCO JOSÉ DE CALDAS” RITA-UD y
cuyo objetivo principal fue identificar los aspectos más importantes a considerar
en la definición de un modelo de seguridad para la red de investigación de
tecnología avanzada de la Universidad Distrital Francisco José de Caldas RITA-
UD, esto basado en la aplicación de las normas ISO27001 y NTC-
ISO/IEC17799 y cuyo diseño final obtenido fue una propuesta para la
implementación de un Firewall Cisco ASA5520 que permitía el aseguramiento
de la información.
19
(Pallas & Corti); En su artículo de investigación titulado Metodología de
Implantación de un SGSI en grupos empresariales de relación jerárquica, cuyo
objetivo fue describir los lineamientos metodológicos de aplicación sistemática
para el diseño, implantación, mantenimiento, gestión, monitoreo y evaluación de
un SGSI para una empresa o grupo empresarial atendiendo a su estructura de
grupo multiempresa y diversidad en los niveles y dominios de seguridad
requeridos; además se aprecia como conclusión final de que un Sistema de
Gestión de Seguridad de la Información, está definido por la norma ISO/IEC
27001, e indica que no se debe considerar sólo el contexto de la industria y las
características culturales de la organización, indica también que debe ser
sostenible en el tiempo y que debe incorporar mejoras continuas, con beneficios
visibles en la organización. Indica que la organización requiere una metodología
que acompañe al dinamismo necesario de la organización, que a su vez respeta
las estrategias empresariales y vinculación estructural.
(Burgos Salazar & Campos); En su trabajo titulado Modelo para Seguridad de

La Información en TIC, cuyo objetivo fue presentar un modelo que facilite un
adecuado nivel de control de riesgos en Tecnologías de Información y
Comunicación, esto permitía evitar y/o disminuir la falla en los sistemas, redes,
internet y todo patrimonio informático de ataques y desastres, anticipándose a
las ocurrencias posibles; además de ello se presentaban las normas, estándares y
leyes más importantes sobre este tema, se fundamenta el modelo propuesto en
base a las normas y estándares internacionales, lo que permite que cualquier
organización pueda realizar un uso seguro de sus TIC.
(Freitas, Propuesta de metodología de gestión de seguridad de las TIC’s para el

sector universitario venezolano); En su Propuesta de Metodología de Gestión de
Seguridad de las TICs para el sector universitario venezolano, considera que la
Seguridad de la Información es un aspecto importante que debe ser revisada y
evaluada continuamente. La metodología para la gestión de riesgo orientada al
sector universitario público, permite ser adaptada a otros sectores, como por
ejemplo instituciones de servicios públicos, dado que se fundamenta en
20
conceptos generales que competen a cualquier tipo de organización. Esta
metodología permite establecer el grado de capacitación del personal
responsable de la gestión de riesgos. El análisis de riesgo requiere de una
evaluación que permitirá adoptar medidas para enfrentar las posibles amenazas
de los activos de información de la organización y en particular de las
universidades. Los cálculos necesarios para obtener las Matrices de Riesgo son
fácilmente automatizables con la utilización de plantillas electrónicas. Con esta
metodología los responsables de la seguridad de la información, sus dueños y
quienes utilizan el activo, toman mayor conciencia de los activos más riesgosos,
sus vulnerabilidades y las amenazas a los que están expuestos, por lo que podrán
tomar medidas proactivas más efectivas y eficientes antes de que se pueda
producir un incidente. Esta metodología disminuye el grado de subjetividad que
rigen las acciones en seguridad, ya que aporta precisión y confianza al valorar
cuantitativamente de las amenazas y vulnerabilidades.
(Chang, 2011); en su tesis titulada DISEÑO DE UN SISTEMA DE GESTIÓN

DE SEGURIDAD DE INFORMACIÓN PARA UNA COMPAÑÍA DE
SEGUROS, teniendo como objetivo proponer un Diseño de un sistema de
gestión de seguridad de información para una compañía de seguros, la
investigación determinó que la implementación de un SGSI, es importante
dentro de una organización, reduciendo de manera aceptable los riesgos de una
perdida de activos de información dado que se trata de una compañía de seguros,
regidos por las regulaciones del SBS, en cumplimiento además de la circular G-
140, evitando el cumplimiento de la norma establecida. Así también hace
mención que para desarrollar este sistema es necesario conocer los procesos del
negocio y debe estar enfocado a las necesidades de estas e implementar
controles en los que se considere crítico. Indica además que no es posible
implementar estos controles sin el apoyo de la alta gerencia. Concluye también
de que esta debe ser un modelo que sea adaptable en el tiempo, que se pueda
actualizar siempre, debida a revisiones periódicas a la que se ve sujeto el SGSI
2.2. Bases teóricas
21
2.2.1. Sistema de Seguridad de la Información
Información.- (Deleuze, 2008); definía a la información como un
sistema de control, en tanto que es la propagación de consignas que
deberíamos de creer o hacer que creemos. En tal sentido la información
es un conjunto organizado de datos capaz de cambiar el estado de
conocimiento en el sentido de las consignas trasmitidas.
La información es un activo muy importante dentro de la organización, el
buen tratamiento de estas permite mejorar los procesos dentro de las
organizaciones, ya que permitirá resolver problemas en la organización,
estas sirven a todo nivel ya sea en el área contable, procesos
administrativos u otros.
Riesgo.- Es la estimación del grado de exposición a que una amenaza se

materialice, sobre uno o más activos causando daños a la organización.
El riesgo indica lo que le podría pasar a los activos, si es que no se
protegieran adecuadamente, para ello es necesario saber qué
características son de interés en cada activo, así como saber en qué
medida estas características están en peligro.
Administración de riesgos.- Es el proceso en la cual la organización

administra los riesgos a los cuales está expuesta, para ello tiene que
evaluar los riesgos y amenazas al que está expuesto los activos de la
organización.
Los elementos principales del proceso de administración de riesgos son:
a) Establecer el contexto
Establecer el contexto estratégico, organizacional y de administración de

riesgos en el cual tendrá lugar el resto del proceso. Deberían establecerse
criterios contra los cuales se evaluarán los riesgos y definirse la
estructura del análisis.
22
b) Identificar riesgos
Identificar qué, por qué y cómo pueden surgir las cosas como base para
análisis posterior.
c) Analizar riesgos
Determinar los controles existentes y analizar riesgos en términos de

consecuencias y probabilidades en el contexto de esos controles. El
análisis debería considerar el rango de consecuencias potenciales y cuán
probable es que ocurran esas consecuencias.
Consecuencias y probabilidades pueden ser combinadas para producir un

nivel estimado de riesgo.
d) Evaluar riesgos
Comparar niveles estimados de riesgos contra los criterios reestablecidos.

Esto posibilita que los riesgos sean ordenados como para identificar las
prioridades de administración. Si los niveles de riesgo establecidos son
bajos, los riesgos podrían caer en una categoría aceptable y no se
requeriría un tratamiento.
e) Tratar riesgos
Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos,

desarrollar e implementar un plan de administración específico que
incluya consideraciones de fondeo.
f) Monitorear y revisar
Monitorear y revisar el desempeño del sistema de administración de

riesgos y los cambios que podrían afectarlo.
g) Comunicar y consultar
23
Comunicar y consultar con interesados internos y externos según
corresponda en cada etapa del proceso de administración de riesgos y
concerniendo al proceso como un todo.
La administración de riesgos se puede aplicar en una organización a

muchos niveles. Se lo puede aplicar a nivel estratégico y a niveles
operativos. Se lo puede aplicar a proyectos específicos, para asistir con
decisiones específicas o para administrar áreas específicas reconocidas de
riesgo.
La administración de riesgos es un proceso iterativo que puede contribuir
a la mejora organizacional. Con cada ciclo, los criterios de riesgos se
pueden fortalecer para alcanzar progresivamente mejores niveles de
administración de riesgos.
Para cada etapa del proceso deberían llevarse registros adecuados,

suficientes como para satisfacer a una auditoría independiente.
24
GRAFICO N° 03
ETAPAS DE LA ADMINISTRACIÓN DE RIESGO
Fuente: AS/NZS 4360:1999
25
GRAFICO N° 04
PROCESO DE ADMINISTRACIÓN DE RIESGO
Fuente: AS/NZS 4360:1999
Seguridad de la Información.- La información es un activo que, como

otros activos importantes del negocio, tiene valor para la organización y
requiere en consecuencia una protección adecuada.
Esto es muy importante en el creciente ambiente interconectado de
negocios. Como resultado de esta creciente interconectividad, la
26
información está expuesta a un mayor rango de amenazas y
vulnerabilidades.
Sistema de Gestión de Seguridad de la Información (SGSI).- El SGSI

(Sistema de Gestión de Seguridad de la Información) es el concepto
central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un
proceso sistemático, documentado y conocido por toda la organización.
Constituido por Dominios (11), Objetivos de control (39) y Controles
(133).
GRAFICO N° 05
ETAPAS DEL SGSI
Fuente: ISO 27000
Oficial de Seguridad .- Es el responsable máximo en planificar,

desarrollar, controlar y gestionar las políticas, procedimientos y acciones
con el fin de mejorar la seguridad de la información dentro de sus pilares
27
fundamentales de confidencialidad, integridad y disponibilidad.
Soporte de Infraestructura actual: Cuando mencionamos el soporte de
infraestructura, se refiere a todo lo concerniente a la tecnología empleada
para el modelo actual que estamos siguiendo, vale decir que actualmente
la Universidad y para ser más específico la Oficina de los Registros
Académicos, cuenta con:
1. Una línea de Internet de 2 Mb Speedy la cual en épocas de matrícula
se satura y por ello se consideran más días de lo que debería ser para
la matrícula, además de esto se tiene la misma dificultad pero en
menor magnitud en la finalización del ciclo para el ingreso de las
notas.
2. Tres servidores Hp Proliant ML 370 G6 distribuidos de la siguiente
manera:
 Un servidor de Firewall para lo cual se tiene instalado un
software de distribución libre (ClearOs) en la cuál se tiene
filtrado algunas páginas de contenidos no acordes al trabajo
que se realiza en la oficina.
 Un servidor Web, trabaja bajo la plataforma Windows 2008 en
su versión Enterprise y cuyo servidor web es IIS, sobre esto
corre una aplicación construido en PHP la cual
constantemente se realizan modificaciones por surgir nuevos
requerimientos.
 Un servidor de base de datos que corre bajo la plataforma
Windows 2008 en su versión Enterprise y cuyo motor de base
de datos es SQL SERVER 2008.
Cabe mencionar que esta base de datos también es compartida
a computadores de escritorio en la cual se encuentran
instalados un programa de siga, la cual data del año 2006, esta
reemplazo a un sistema llamado Acadsis; el cual también se
está reemplazando progresivamente por Siga Web.
También es oportuno indicar que el sistema de escritorio
todavía es usado para la emisión de certificados de estudios,
28
ya que todavía se encuentra en desarrollo esta última opción
en el Siga Web.
Además de lo antes descrito, se cuenta con diez computadoras
para la parte administrativa y desarrollo del Siga Web, el cual
Nueve cuentan con sistema operativo Windows Seven y uno
con Ubuntu 12.10. Adicionalmente se tiene una computadora
portátil a cargo el Administrador de Base de Datos.
La infraestructura de redes se encuentra distribuida de la siguiente
manera:
GRAFICO N° 06
INFRAESTRUCTURA TECNOLOGICA DE REGISTROS
ACADEMICOS
Fuente: Elaboración propia
29
Nivel de Seguridad: El nivel de seguridad según el análisis de Riesgo Vs
Modelo de Madurez, cuyo indicador fue bajo
Procesos:
ARTÍCULO 69º. La Oficina General de Estudios es un órgano de línea
del Vicerrectorado Académico, tiene como objetivo mantener el archivo y
registro central de todo lo relacionado con la gestión académica, así
como de apoyo a las Facultades. Para el cumplimiento de sus funciones
cuenta con las siguientes Unidades:
a) Registro y certificaciones Académicas; y
b) Programación y Control Académico
ARTÍCULO 70º. Son funciones de la Oficina General de Estudios:
a) Expedir los certificados de estudios de Pre y Post-Grado y
constancias académicas oficiales de la Universidad;
b) Administrar la impresión, distribución y archivo de las actas de
notas finales de todos los alumnos de la Universidad;
c) Elaborar el calendario académico y el horario de clases, en
coordinación con las Facultades, velando por su cumplimiento;
d) Organizar y controlar la matrícula de todos los alumnos de la
Universidad, en coordinación con las Facultades y la Comisión de
Admisión;
e) Velar por el cumplimiento del Reglamento de Estudios;
30
f) Supervisar las actividades académicas en la Universidad y evaluar
el avance de las mismas;
g) Propiciar la mejora del nivel académico en la Universidad, en
coordinación con el Vicerrectorado Académico;
h) Apoyar al Vicerrectorado Académico en la evaluación de las
acciones del proceso de enseñanza-aprendizaje;
i) Administrar la distribución de los cursos y las cargas académicas de
los docentes, en coordinación con los Jefes de los Departamentos
Académicos;
j) Llevar el registro del historial académico de todos y cada uno de los
alumnos de la Universidad;
k) Generar el código de los alumnos, docentes y cursos de la
Universidad;
l) Llevar el registro y control de todos los graduados y titulados, en
coordinación con la Secretaría General, así como administrar las
estadísticas académicas;
m) Proponer directivas para mejorar las actividades académicas;
n) Coordinar con el Vicerrectorado Académico y las Facultades la
evaluación de los currículos, en especial, los Planes de Estudios
de las carreras de formación profesional; y
o) Todas las demás funciones que se establezca en el Reglamento
respectivo.
Proceso para certificación Académica:
El estudiante debe presentar ciertos requisitos como:
31
a) Consolidado de cursos aprobados visados por su director de
escuela
b) Una foto tamaño pasaporte
c) Pago por derecho a certificado de estudios
d) Llenado de FUT
El proceso de emisión de certificado:
a) El solicitante entregará todo los requisitos a la secretaria.
b) La secretaria verificará la documentación y registrará el ingreso en
un formato.
c) La secretaria pasará la solicitud y toda la documentación al Jefe de
la Oficina
d) El Jefe de la Oficina devolverá a la secretaria con un proveído a la
Unidad de Registros y Certificación Académica (URCA).
e) La secretaria entregara toda la documentación a la asistente de
URCA.
f) La asistente de URCA elaborará el Certificado de estudios con el
sistema SIGA o el SISCERT, según sea el caso, ya que para lo que
es pregrado se utiliza el SIGA y para postgrado, CACIP, CPM se
utiliza el SISCERT; la asistente verificara tanto a través del
sistema y manualmente las actas. Una vez elaborado el certificado
esta pasara a la Jefa de URCA.
g) La Jefa de URCA Firmara y devolverá a la Secretaria de Jefatura.
h) La secretaria de Jefatura entregara para la firma al Jefe de OGE

32
i) El Jefe de OGE devolverá a Secretaria
j) La secretaria llevará al Secretario General para la firma. Una vez
firmado devolverá a la secretaria de OGE.
k) La secretaria de OGE hará entrega previo registro y firma de
recibido por parte solicitante.
l) Tiempo de entrega 10 días.
GRAFICO N° 07
PROCESO DE CERTIFICACION ACADEMICA
33
Actas de Notas Finales:
Una vez ingresado las notas por parte del Director de Escuela se
procederá a la impresión de actas:
a) El Administrador de la Base de Datos (DBA) imprimirá las actas y
entregará a URCA
b) URCA distribuirá las actas mediante el Asistente de esta Unidad a las
Direcciones de Escuela.
c) El Director de Escuela llevará a su Dirección para la firma del
Decano, Director de Escuela y Docente del curso y devolverá a
URCA.
d) Urca verificará la totalidad de las actas y pasara a la firma de Jefa de
Unidad y posterior almacenamiento.
Existiendo las normas:
 Ley Nº 28403
Dispone la recaudación de un aporte por supervisión y control anual por
parte del INDECOPI de las Entidades de Certificación y de
Verificación/Registro de Firmas.
 Decreto Supremo Nº 052-2008-PCM
Reglamento de la Ley de Firmas y Certificados Digitales.
34
 Decreto Supremo que modifica el Reglamento de la Ley 27269 y
establece normas aplicables al Procedimiento Registral en virtud del
Decreto Legislativo Nº 681 y ampliatorias.
Decreto Supremo que establece disposiciones para facilitar la puesta
en marcha de la firma digital y modifican el Decreto Supremo Nº
052-2008-PCM.
Los controles en la emisión de certificados, aun no se tiene establecido en
la Universidad objeto de estudio, sin embargo se considera de suma
importancia el establecer las normas anteriormente descritas.
Calendario académico y el horario de clases.
A solicitud del Vice rector Académico se procede a elaborar el calendario
académico:
a) La secretaria recibe el oficio donde se solicita la programación del
nuevo ciclo académico
b) La secretaria deriva al Jefe de OGE
c) El jefe de OGE devuelve a la secretaria y mediante un proveido
deriva a la Unidad de Programación y Control Académico (UPCA).
d) La secretaria deriva al Jefe de UPCA el documento y este elabora la
programación y la directiva bajo ciertos parámetros. El Jefe de URCA
devuelve a la secretaria.
35
e) La secretaria hace entrega al jefe de OGE para su aprobación y
devuelve a la secretaria si no hay observación de lo contrario solicita
la corrección u observación.
f) La secretaria envía al Vice rector Académico y este a Consejo
Universitario para su aprobación y expedición de la resolución
correspondiente.
Existen controles para salvaguardar la información como medios de
almacenamiento (Físico y Lógico)
Matrícula de alumnos:
La matrícula tiene un plazo aproximado de una semana
a) El DBA habilitará el sistema para la matrícula respectiva, habilitando
las fechas por facultades.
b) Los alumnos escogerán los cursos de acuerdo a su malla curricular,
ponderado y condición.
La matrícula de los alumnos se realiza mediante la Web, la cual es
activada por el DBA, el sistema está hecha en PHP y cuenta con una
conexión via Lan hacia la Base de Datos, además de ello se cuenta con
un Firewall Lógico (ClearOs), estos servidores están en una DMZ, sin
embargo tanto el lenguaje de programación con la cual ha sido elaborado
el sistema no tiene soporte, ya que la versión de PHP es antigua, los
servidores actualmente no cuenta con antivirus licenciado y en la parte
eléctrica no existe UPS, a todo esto se suma que no existe extintores ni
cámaras de seguridad.
36
Los procesos siguientes se realizan mediante la aplicación Web, el cual
hemos detallado anteriormente las distintas vulnerabilidades existentes.
Solo abra que considerar la vulnerabilidad y/o amenaza que podría existir
a nivel de persona.
Carga Académica:
Una vez establecida la matrícula concluida la matrícula se empieza a
establecer la carga académica para lo cual se sigue los pasos siguientes:
a) El Jefe de Departamento distribuye la carga lectiva a los docentes
nombrados y contratados.
b) El Jefe de Departamento hace de conocimiento mediante
Memorándum a cada docente sobre su carga lectiva para el semestre.
Programación de Horarios:
La programación de horario se hará después de la carga académica y
estará a cargo del Director de Escuela.
a) El DBA habilitará el sistema para la elaboración de horarios de
acuerdo a la programación aprobada por Consejo Universitario.
b) Los Directores de Escuela elaboraran el horario de cada docente y
tendrá un plazo de un día.
c) El DBA verificará al final del día el completo llenado de los horarios.
d) El Director de Escuela verificará el pago correspondiente y emitirá su
ficha de matrícula.
2.2.3. Administración de activos de información

Activos de Información.- Es todo aquello que las entidades consideran
37
importante o de alta validez para la misma ya que puede contener
importante información como lo puede ser Bases de Datos con usuarios,
contraseñas, números de cuentas, etc.
Seria critico que a una entidad que maneja alta información confidencial,
los intrusos pudieran acceder a ella afectando así la confidencialidad, la
disponibilidad y la integridad de dicha información por eso algunas de
tantas entidades adoptan un plan de seguridad para los activos de
información y así no tener la desgracia de que los datos se fuguen, se
modifiquen o se pierdan.
En general es toda la información que la entidad posee dentro de un
activo informático tales como servidores, switch, etc.
Identificación de Riesgo.- En esta etapa se identifica los riesgos para su

respectiva administración. Es vital realizar una identificación amplia, el
cual amerite el uso de un proceso sistémico jerarquizado, porque aquellos
riesgos potenciales que no se identifican en esta etapa son excluidos para
un análisis posterior. Es necesario incluir todos los riesgos, estén o no
bajo control de la organización.
Realizar esta actividad amerita el uso de herramientas y técnicas para
identificar riesgos “checklists”, juicios basados en la experiencia y en los
registros, diagramas de flujo, análisis de sistemas, análisis de escenarios
y técnicas de ingeniería de sistemas, dependiendo de la naturaleza de las
actividades y los tipos de riesgos.
Análisis de Riesgo.- Se considera a una aproximación metódica para

determinar el riesgo siguiendo una sería de pautas las cuales son:
1. Determinar los activos relevantes para la organización, su
interrelación y su valor, en el sentido de qué costo supondría su
degradación.
2. Determinar las amenazas a la que están expuestos los activos
3. Determinar las salvaguardas disponibles y su eficacia frente al
riesgo.
38
4. Estimar el impacto, definido como el daño sobre el activo
derivado de la materialización de la amenaza.
Al ejecutar los pasos 2 y 3 surgen los conceptos de “impacto y riesgo
potenciales”, en el caso de que no hubiera salvaguarda desplegada, estas
valoraciones son “teóricas”: Una vez obtenido este escenario teórico, se
incorporan las salvaguardas del paso 3, derivando estimaciones realistas
de impacto y riesgo.
La siguiente figura recoge este primer recorrido, cuyos pasos se detallan
en las siguientes secciones:
GRAFICO N° 08
ELEMENTOS DEL ANALISIS DE RIESGOS POTENCIALES
Fuente: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Evaluación de Riesgo.- es uno de los pasos que se utiliza en un proceso

de gestión de riesgos. El riesgo R se evalúa mediante la medición de los
dos parámetros que lo determinan, la magnitud de la pérdida o daño
posible L, y la probabilidad p que dicha pérdida o daño llegue a ocurrir.
39
Existen en la actualidad muchas metodologías, la más utilizada es
MAGERIT la cual persigue una aproximación metódica que no deje
lugar a la improvisación, ni dependa de la arbitrariedad del analista.
GRAFICO N° 09
MARCO DE TRABAJO PARA LA GESTION DE RIESGOS
Fuente: ISO 31000
MAGERIT persigue los siguientes objetivos:
Directos:
1. Concienciar a los responsables de las organizaciones de

información de la existencia de riesgos y de la necesidad de
gestionarlos
2. Ofrecer un método sistemático para analizar los riesgos derivados
del uso de tecnologías de la información y comunicaciones (TIC)
3. Ayudar a descubrir y planificar el tratamiento oportuno para
mantener los riesgos bajo control
Indirectos:
4. Preparar a la Organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso
Tratamiento de riesgos.- Involucra identificar el rango de opciones a

ejecutar mediante lo siguiente:
40
 Evitar el riesgo
 Reducir la probabilidad de la ocurrencia
 Reducir las consecuencias
 Transferir los riesgos
 Retener los riesgos
Para el Análisis de Riesgos se utilizó la siguiente matriz:
GRAFICO Nº 10
MATRIZ DE RIESGOS
Riesgo Probabilidad
Impacto raro M. Bajo Bajo Medio Alto
Desastroso
Mayor
Moderado
Menor
Insignificante
Se consideró cuatro niveles de riesgo:

Tabla Nº 2
Niveles de Riesgo
Nivel de Riesgo
1 Aceptable
2 Tolerable
3 Intolerable
4 Extremo
Declaración de Aplicabilidad: Referenciado en la cláusula 4.2.1 del

estándar ISO 27001 es un documento que lista los objetivos y controles
que se van a implementar.
41
42
Tabla Nº 3 - Matriz de tratamiento de Riesgos
43
44
45
46
Tabla Nº 5 - Declaración de Aplicabilidad / Statement of Aplicability (SOA)
47
Tabla Nº 6 - Mapeo de los objetivos de control ISO 27002 con COBIT 4.1 e ITILv3
5.1 Políticas de
Clasificaciones Áreas clave Objetivos de control Procesos TI
seguridad de la 5.0 Política de
ISO/IEC 27002 Referencia ITIL v3
información seguridad
ISO/IEC 27002 COBIT 4.1 de COBIT
información de soporte
• PO6.1 Política y entorno • PO6 Comunicar las • SS 6.4 Cultura organizacional
5.1.1 Documento de la de control de TI aspiraciones y la • ST 5.1 Gestión de las
política de seguridad • PO6.2 Riesgo corporativo dirección de la comunicaciones y el
de información y marco de referencia del gerencia compromiso
control interno de TI • DS5 Garantizar la • SO 3.6 Comunicaciones
• PO6.3 Gestión de políticas seguridad de los
sistemas • SO 4.5 Gestión de accesos
de TI
• SD 4.6.4 Políticas, principios
• PO6.5 Comunicación de • ME2 Monitorear y
y conceptos básicos
los objetivos y la dirección evaluar el control
de TI interno • SD 4.6.5.1 Controles de
seguridad (cobertura de alto
• DS5.2 Plan de seguridad nivel, sin detalle)
de TI
• DS5.3 Gestión de
identidad
• ME2.1 Monitoreo del
marco de trabajo de control
interno
• PO3.1 Planeamiento de la • PO3 Determinar la • SS 5.1 Gestión financiera
5.1.2 Revisión de la orientación tecnológica orientación tecnológica • SS 5.2.2 Retorno sobre la
política de seguridad • PO5.3 Proceso presupuestal • PO5 Gestionar la inversión
de la información inversión en TI
• PO5.4 Gestión de costos • SS 5.2.3 Retorno sobre la
de TI • PO6 Comunicar las inversión
• PO6.3 Gestión de políticas aspiraciones y la • SS 8 Estrategia y tecnología
de TI dirección de la
• SS 9.5 Riesgos
gerencia
• PO9.4 Evaluación de • SD 4.5.5.2 Etapa 2 —
riesgos de TI • PO9 Evaluar y
gestionar los riesgos Requisitos y estrategia
• DS5.2 Plan de seguridad de TI • SD 4.6.4 Políticas, principios
de TI y conceptos básicos
• DS5 Garantizar la
• DS5.3 Gestión de seguridad de los • SD 4.6.5.1 Controles de
identidad sistemas seguridad (cobertura de alto
• ME2.2 Revisiones de • ME2 Monitorear y nivel, sin detalle)
supervisión evaluar el control • SD 8.1 Análisis de impacto en
• ME2.5 Aseguramiento del interno el negocio
control interno • ME4 Proporcionar • ST 4.6 Evaluación
• ME2.7 Acciones correctivas gobierno de TI • SO 4.5 Gestión de accesos
• ME4.7 Aseguramiento
independiente
48
6.1 Organización 6.0 Organización de

interna seguridad de la
información
• PO3.3 Monitoreo de • PO3 Determinar la • SS 2.4 Principios de la

6.1.1 Compromiso tendencias y regulaciones orientación tecnológica gestión del servicio
de la gerencia con la futuras
seguridad de la • PO4 Definir los • SS 2.6 Funciones y procesos
información • PO3.5 Consejo de procesos, organización a través del ciclo de vida
arquitectura de TI y relaciones de TI
• SS 6.1 Desarrollo
• PO4.3 Comité directivo de • PO6 Comunicar las organizacional
TI aspiraciones y la
• SS 6.2 Departamentalización
• PO4.4 Ubicación dirección de la
organizacional
organizacional de la gerencia
función de TI • SS 6.3 Diseño organizacional
seguridad de los • SS 6.5 Estrategia de sourcing
• PO4.5 Estructura
sistemas
organizacional de TI • SS Apéndice B2 Gerentes de
producto
• PO4.8 Responsabilidad
sobre el riesgo, la • SD 4.3.5.7 Modelamiento y
seguridad y el tendencias
cumplimiento
• SD 4.6 Gestión de la
• PO6.3 Gestión de políticas seguridad de la información
de TI
• SD 6.3 Habilidades y atributos
• PO6.4 Implantación de
• SD 6.4 Roles y
políticas, estándares y
responsabilidades
procedimientos
• PO6.5 Comunicación de • SO 3.1 Funciones, grupos,
los objetivos y la dirección equipos, departamentos y
de TI divisiones
• DS5.1 Gestión de la • SO 3.2 Obtener balance en la

seguridad de TI operación del servicio
• SO 3.2.4 Organizaciones
reactivas versus proactivas
• SO 3.3 Prestación del servicio
• SO 3.6 Comunicaciones
• SO 5.13 Gestión de seguridad
de la información y la
operación del servicio
• SO 6.1 Funciones
• SO 6.2 Mesa de servicios
• SO 6.3 Gestión técnica
• SO 6.4 Gestión de
operaciones de TI
aplicaciones
• SO 6.7 Estructuras
organizacionales de
• ST 4.2.6.8 Consejo consultivo
de cambios
• ST 5.1 Gestión de las
comunicaciones y el
compromiso
• ST 6.2 Contexto
organizacional para la
transición de servicios
• ST 6.3 Modelos
organizacionales para apoyar
la transición de servicios
49
• PO4.4 Ubicación • PO4 Definir los • SD 4.6 Gestión de la
6.1.2 Coordinación organizacional de la procesos, organización seguridad de la información
para la seguridad función de TI y relaciones de TI
de la información • SD 4.6.4 Políticas, principios
• PO4.5 Estructura • PO6 Comunicar las y conceptos básicos
organizacional de TI aspiraciones y la
• SD 4.6.5.1 Controles de
dirección de la
• PO4.6 Establecer roles y seguridad (cobertura de alto
gerencia
responsabilidades nivel, sin detalle)
• PO4.8 Responsabilidad • SD 6.2 Análisis de actividades
seguridad de los
sobre el riesgo, la
sistemas • SD 6.3 Habilidades y atributos
seguridad y el
cumplimiento • SD 6.4 Roles y
• PO4.10 Supervisión responsabilidades
• PO6.5 Comunicación de • SO 3.1 Funciones, grupos,

los objetivos y la dirección equipos, departamentos y
de TI divisiones
• DS5.1 Gestión de la • SO 3.2 Obtener balance en la

seguridad de TI operación del servicio
• DS5.2 Plan de seguridad • SO 3.2.4 Organizaciones

de TI reactivas versus proactivas
• SO 3.3 Prestación del servicio
identidad • SO 3.6 Comunicaciones
• SO 4.5 Gestión de accesos
• SO 6.1 Funciones
• SO 6.2 Mesa de servicios
operaciones de TI
aplicaciones
• SO 6.6 Roles y
responsabilidades en la
• SO 6.7 Estructuras
organizacionales de
• SS 2.6 Funciones y procesos
a través del ciclo de vida
• SS 6.1 Desarrollo
organizacional
• SS 6.2 Departamentalización
organizacional
• SS 6.3 Diseño organizacional
• SS 6.5 Estrategia de sourcing
• SS Apéndice B2 Gerentes de
producto
• ST 4.2.6.8 Consejo consultivo
de cambios
• ST 5.1 Gestión de las
comunicaciones y el
compromiso
• ST 6.2 Contexto
organizacional para la
transición de servicios
50
• ST 6.3 Modelos
6.1.2 Coordinación organizacionales para apoyar
para la seguridad de la la transición de servicios
información (cont.)
• CSI 6 Organización para la
mejora continua del servicio
• PO4.4 Ubicación • PO4 Definir los • SS 6.1 Desarrollo

6.1.3 Asignación de las organizacional de la procesos, organización organizacional
responsabilidades para función de TI y relaciones de TI
la seguridad de la • SO 3.2.4 Organizaciones
información • PO4.6 Establecer roles y reactivas versus proactivas
responsabilidades
• PO4.8 Responsabilidad
sobre el riesgo, la • SD 6.4 Roles y
seguridad y el responsabilidades
cumplimiento
• PO4.9 Propiedad de los
datos y sistemas
• PO4.10 Supervisión
• PO4.3 Comité directivo de • PO4 Definir los • SS 6.1 Desarrollo

6.1.4 Proceso de 6.0 Organización TI procesos, organización organizacional
autorización para las para la seguridad de y relaciones de TI
instalaciones de la información • PO4.4 Ubicación • SO 3.2.4 Organizaciones
procesamiento de organizacional de la • AI1 Identificar reactivas versus proactivas
información función de TI soluciones
automatizadas • SO 4.4.5.11 Errores
• PO4.9 Propiedad de los detectados en el entorno de
datos y sistemas • AI2 Adquirir y desarrollo
mantener el software
• AI1.4 Requerimientos, • SO 5.4 Gestión y soporte de
aplicativo
decisión de factibilidad y servidores
aprobación • AI7 Instalar y acreditar
soluciones y cambios • SO 6.3 Gestión técnica
• AI2.4 Seguridad y
disponibilidad de las • DS5 Garantizar la • SD 3.6.1 Diseño de
aplicaciones seguridad de los soluciones de servicios
sistemas • ST 3.2.14 Mejora proactiva de
• AI7.6 Pruebas de cambios
la calidad durante la
• DS5.7 Protección de la transición del servicio
tecnología de seguridad
• ST 4.5.5.4 Preparar el
entorno de pruebas
• ST 4.5.5.5 Ejecutar pruebas
• ST 4.5.5.6 Evaluar criterios de
fin de pruebas y reportar
• PO4.6 Establecer roles y • PO4 Definir los • SS 2.6 Funciones y procesos

6.1.5 Acuerdos de responsabilidades procesos, organización a través del ciclo de vida
confidencialidad y relaciones de TI
• PO4.14 Políticas y • SS 6.5 Estrategia de sourcing
procedimientos para el • PO8 Gestionar la
calidad • SD 3.6 Aspectos de diseño
personal contratado
• SD 3.9 Arquitectura orientada
• PO8.3 Estándares para • AI5 Adquirir recursos
al servicio
desarrollos y adquisiciones de TI
• DS5 Garantizar la • SD 3.11 Modelos para el
• AI5.1 Control de
seguridad de los diseño de los servicios
adquisiciones
sistemas • SD 5.3 Gestión de
• AI5.2 Gestión de contratos
aplicaciones
con proveedores
• SD 6.2 Análisis de actividades
• DS5.2 Plan de seguridad
de TI • SD 6.4 Roles y
responsabilidades
identidad • SD 7 Consideraciones
tecnológicas
• DS5.4 Gestión de cuentas
de usuario
51
• SD 3.7.2 Adquisición de la
6.1.5 Acuerdos de solución elegida
confidencialidad (cont.)
• SD 4.2.5.9 Desarrollar
contratos y relaciones
y conceptos básicos
nivel, sin detalle)
• SD 4.7.5.3 Nuevos
proveedores y contratos
• ST 3.2.3 Adopción de
estándares y de un marco de
trabajo común
• ST 4.1.4 Políticas, principios y
conceptos básicos
• ST 4.1.5.1 Estrategia de
transición
• ST 6.3 Modelos
• SO 4.5.5.1 Peticiones de
acceso
• SO 4.5.5.2 Verificación
• SO 4.5.5.3 Habilitar privilegios
• SO 4.5.5.4 Monitorear el
estado de la identidad
• SO 4.5.5.5 Registro y
seguimiento de accesos
• SO 4.5.5.6 Eliminar o
restringir privilegios
• SO 6.6 Roles y
responsabilidades en la
• PO4.15 Relaciones • PO4 Definir los • SD 4.2.5.9 Desarrollar

6.1.6 Relación con las procesos, organización contratos y relaciones
autoridades • DS4.1 Marco de trabajo de y relaciones de TI
continuidad de TI • SD 4.5 Gestión de
• DS4 Garantizar la continuidad de servicios de TI
• DS4.2 Planes de
continuidad del servicio
continuidad de TI • SD 4.5.5.1 Etapa 1 — Inicio
• ME3 Garantizar el
• ME3.1 Identificación de los • SD 4.5.5.2 Fase 2—
cumplimiento de
requisitos legales, Requisitos y estrategia
requisitos externos
regulatorios y de
• SD 4.5.5.3 Fase 3 —
cumplimiento contractual
Implementación
• ME3.3 Evaluación del
• SD Apéndice K Contenido
cumplimiento con
típico de un plan de
requerimientos externos recuperación
• ME3.4 Aseguramiento
• CSI 5.6.3 Gestión de
positivo del cumplimiento
continuidad de servicios de TI
52
• PO4.15 Relaciones • PO4 Definir los • SD 4.2.5.9 Desarrollar

6.1.7 Relación con procesos, organización contratos y relaciones
• DS4.1 Marco de trabajo de
grupos de interés y relaciones de TI
continuidad de TI • SD 4.5 Gestión de
especial • DS4 Garantizar la
• DS4.2 Planes de continuidad de servicios de TI
continuidad del servicio
continuidad de TI • SD 4.5.5.1 Etapa 1 — Inicio
• SD 4.5.5.2 Fase 2—
Requisitos y estrategia
• SD 4.5.5.3 Fase 3 —
Implementación
• SD Apéndice K Contenido
típico de un plan de
recuperación
• PO6.4 Implantación de • PO6 Comunicar las • SO 4.5.5.6 Eliminar o
6.1.8 Revisión 6.0 Organización de políticas, estándares y aspiraciones y la restringir privilegios
independiente de la la seguridad de la procedimientos dirección de la • SO 5.13 Gestión de seguridad
seguridad de la información • DS5.5 Pruebas, vigilancia gerencia de la información y la operación
información y monitoreo de la • DS5 Garantizar la del servicio
seguridad seguridad de los
• ME2.2 Revisiones de sistemas
supervisión • ME2 Monitorear y
• ME2.5 Aseguramiento del evaluar el control
control interno interno
• ME4.7 Aseguramiento • ME4 Proporcionar

independiente gobierno de TI
6.2 Entidades externas
• PO4.14 Políticas y • PO4 Definir los • SS 7.3 Estrategia y

6.2.1 Identificación de procedimientos para procesos, organización transiciones
riesgos relacionados personal contratado y relaciones de TI • SD 4.7.5.1 Evaluación de
con terceros • DS2.1 Identificación de • DS2 Gestionar los nuevos proveedores y
todas las relaciones con servicios de terceros contratos
proveedores • DS5 Garantizar la • SD 4.7.5.2 Clasificación de
• DS2.3 Gestión de riesgos seguridad de los proveedores y mantenimiento
de proveedores sistemas de la base de datos de
• DS5.4 Gestión de cuentas • DS12 Gestionar el proveedores y contratos
de usuario ambiente físico • SD 4.7.5.5 Renovación y/o
• DS5.9 Prevención, término de contratos
detección y corrección de • SD 4.7.5.3 Nuevos
Software malicioso proveedores y contratos
• DS5.11 Intercambio de • SO 4.5 Gestión de accesos
datos sensitivos
• SO 4.5.5.1 Peticiones de
• DS12.3 Acceso físico acceso
• SO 5.5 Gestión de redes
• SO Apéndice E Descripción
detallada de la gestión de las
instalaciones
• SO Apéndice F Controles de
acceso físico
53
• PO6.2 Riesgo corporativo • PO6 Comunicar las • SO 4.5 Gestión de accesos

6.2.2 Considerar la y marco de referencia para aspiraciones y la • SO 4.5.5.1 Peticiones de
seguridad al tratar con el control interno de TI dirección de la acceso
los clientes gerencia
• DS5.4 Gestión de cuentas • SO 4.5.5.2 Verificación
de usuarios • DS5 Garantizar la
seguridad de los • SO 4.5.5.3 Habilitar privilegios
sistemas • SO 4.5.5.4 Monitorear el
• PO4.14 Políticas y • PO4 Definir los • SD 3.6 Aspectos de diseño
6.2.3 Considerar la procedimientos para procesos, organización • SD 3.9 Arquitectura orientada
seguridad en acuerdos personal contratado y relaciones de TI al servicio
con terceros • PO6.4 Implantación de • PO6 Comunicar las • SD 3.11 Modelos para el
políticas, estándares y aspiraciones y la diseño de los servicios
procedimientos dirección de la
gerencia • SD 4.2.5.9 Desarrollar
• PO8.3 Estándares para
contratos y relaciones
desarrollos y adquisiciones • PO8 Gestionar la
calidad • SD 4.6 Gestión de la
• AI5.2 Gestión de contratos
seguridad de la información
con proveedores • AI5 Adquirir recursos
de TI • SD 4.7.5.2 Clasificación de
proveedores y mantenimiento
relaciones con • DS2 Gestionar los de la base de datos de
proveedores servicios de terceros proveedores y contratos
• DS2.3 Gestión de riesgos • DS5 Garantizar la • SD 4.7.5.3 Nuevos
de proveedores seguridad de los
proveedores y contratos
• DS2.4 Monitoreo del sistemas
desempeño de • SD 4.7.5.4 Gestión y
• ME2 Monitorear y
proveedores desempeño de proveedores y
evaluar el control
contratos
• DS5.1 Gestión de la interno
seguridad de TI • SD 4.7.5.5 Renovación y/o
término de contratos
• ME2.6 Control interno para
terceros • SD 5.3 Gestión de
aplicaciones
• SD 7 Consideraciones
tecnológicas
• ST 3.2.3 Adopción de
estándares y de un marco de
trabajo común
• ST 4.1.4 Políticas, principios y
conceptos básicos
• ST 4.1.5.1 Estrategia de
transición
• SS 6.5 Estrategia de sourcing
7.1 Responsabilidad 7.0 Gestión de los

sobre los activos activos
• PO2.2 Diccionario de datos • PO2 Definir la • SD 5.2 Gestión de los datos y

7.1.1 Inventario de empresarial y reglas de arquitectura de la la información
activos sintaxis de los datos información
• SD 7 Consideraciones
• DS9.2 Identificación y • DS9 Gestionar la tecnológicas
mantenimiento de configuración
• ST 4.1.5.2 Preparación para
elementos de la
la transición del servicio
configuración
• ST 4.3.5.3 Identificación de la
• DS9.3 Revisión de
configuración
integridad de la
configuración • ST 4.3.5.4 Control de la
configuración
54
• ST 4.3.5.5 Contabilización y
7.1.1 Inventario de registro de estados
activos (cont.)
• ST 4.3.5.6 Auditoría y
verificación
• SO 5.4 Gestión de servidores
y soporte
• SO 7 Consideraciones de
tecnología (especialmente
para licenciamiento, indicado
en SO)
• PO4.9 Propiedad de los • PO4 Definir los • SO 6.3 Gestión técnica
7.1.2 Propiedad de los datos y sistemas procesos, organización • ST 4.1.5.2 Preparación para
activos y relaciones de TI
• DS9.2 Identificación y la transición del servicio
mantenimiento de • DS9 Gestionar la
elementos de la configuración
configuración
configuración
• ST 4.3.5.4 Control de la
configuración
registro de estados
• PO4.10 Supervisión • PO4 Definir los
7.1.3 Uso aceptable de • PO6.2 Riesgo corporativo procesos, organización
activos y marco de referencia del y relaciones de TI
control interno de TI • PO6 Comunicar las
aspiraciones y la
dirección de la
gerencia
7.2 Clasificación de
la información
• PO2.3 Esquema de • PO2 Definir la • SD 3.6.1 Diseño de

7.2.1 Lineamientos clasificación de datos arquitectura de la soluciones de servicios
para la clasificación información
• AI2.4 Seguridad y • SD 5.2 Gestión de los datos y
disponibilidad de las • AI2 Adquirir y la información
aplicaciones mantener el software
• SO 4.4.5.11 Errores
aplicativo
detectados en el ambiente de
desarrollo
• DS9.1 Repositorio y línea • DS9 Gestionar la • SS 8.2 Interfaces del servicio
7.2.2 Etiquetado y base de configuración configuración • ST 4.1.5.2 Preparación para
manejo de la
la transición del servicio
información
• ST 4.3.5.2 Gestión y
planificación
configuración
• ST 4.3.5.4 Control de la
configuración
registro de estados
8.2 Durante el Empleo
55
• PO4.6 Establecer roles y • PO4 Definir los • SS 2.6 Funciones y procesos
8.2.2 Educación, responsabilidades procesos, organización a través del ciclo de vida
entrenamiento y y relaciones de TI
concientización en • PO6.2 Riesgo corporativo • SS 7.5 Estrategia y mejora
seguridad de información y marco de referencia del • PO6 Comunicar las
aspiraciones y la • SS 8.1 Automatización del
control interno de TI
dirección de la servicio
• PO6.4 Implantación de
gerencia • SD 3.2 Diseño balanceado
políticas, estándares y
procedimientos • PO7 Gestión de los • SD 3.4 Identificar y
recursos humanos de documentar los requisitos y
• PO7.2 Competencias del
TI drivers del negocio
personal
• AI1 Identificar • SD 3.5 Actividades de diseño
• PO7.4 Entrenamiento del
soluciones
personal de TI automatizadas • SD 3.6.1 Diseño de
soluciones de servicios
• PO7.7 Evaluación del • AI7 Instalar y acreditar
desempeño del empleado soluciones y cambios • SD 3.6.2 Diseño de sistemas
de soporte, especialmente el
• AI1.1 Definición y • DS5 Garantizar la portafolio de servicios
mantenimiento de los seguridad de los
requerimientos técnicos y sistemas • SD 3.6.3 Diseño de la
funcionales del negocio arquitectura tecnológica
• DS7 Educar y entrenar
• AI7.1 Entrenamiento a los usuarios • SD 3.6.4 Diseño de procesos
• DS5.1 Gestión de la • SD 3.6.5 Diseño de sistemas
seguridad de TI de medición y métricas
• DS5.2 Plan de seguridad • SD 3.8 Limitaciones del
de TI diseño
• DS5.3 Gestión de • SD 3.9 Arquitectura orientada
identidad al servicio
• DS7.1 Identificación de las • SD 4.6 Gestión de la
necesidades de educación seguridad de la información
y entrenamiento
• DS7.2 Brindar educación y y conceptos básicos
entrenamiento
nivel, sin detalle)
• SD 6.2 Análisis de actividades
• SD 6.3 Habilidades y atributos
• SD 6.4 Roles y
responsabilidades
• ST 4.4.5.2 Preparación para
la construcción, pruebas y
despliegue
• ST 6.3 Modelos

• SO 5.14 Mejora de las

8.2.2 Educación, actividades operativas
entrenamiento y
concientización en • SO 6.6 Roles y
seguridad de responsabilidades en la
información (cont.) operación del servicio
56
9.1 Asegurar las 9.0 Seguridad

áreas física y ambiental
9.1.4 Protección contra • DS12.4 Protección contra • DS12 Gestionar el • SO Apéndice E Descripción
amenazas externas y factores ambientales ambiente físico detallada de la gestión de las
ambientales instalaciones

• AI3.3 Mantenimiento de la • AI3 Adquirir y • SO 5.3 Gestión del mainframe

9.2.4 Mantenimiento de infraestructura mantener la
equipos • SO 5.4 Gestión y soporte de
infraestructura
• DS12.5 Gestión de servidores
tecnológica
instalaciones físicas
• SO 5.5 Gestión de redes
• DS12 Gestionar el
• DS13.5 Mantenimiento
ambiente físico • SO 5.7 Administración de
preventivo del hardware
bases de datos
• DS13 Gestionar las
operaciones • SO 5.8 Gestión de servicios
de directorio
• SO 5.9 Soporte de estaciones
de trabajo
middleware
• SO 5.11 Gestión Internet/web
• SO 5.12 Gestión del centro de
datos e instalaciones

10.4 Protección
contra código móvil
y malicioso
10.4.1 Controles contra 10.0 Gestión de • DS5.9 Prevención, • DS5 Garantizar la

código malicioso las detección y corrección de seguridad de los
Software malicioso sistemas
comunicaciones y
las operaciones

11.2 Gestión de
accesos de
usuarios
57
• DS5.4 Gestión de cuentas • DS5 Garantizar la • SO 4.5 Gestión de accesos
11.2.2 Gestión de de usuario seguridad de los • SO 4.5.5.1 Peticiones de
privilegios sistemas acceso
12.2
Procesamiento
correcto en
aplicaciones
• AI2.3 Control y • AI2 Adquirir y
12.2.1 Validación de auditabilidad de las mantener el software
datos de entrada aplicaciones aplicativo

12.5 Seguridad en 12.0 Adquisición,

procesos de desarrollo desarrollo y
y soporte mantenimiento
de sistemas de
información

• AI2.4 Seguridad y • AI2 Adquirir y • SD 3.6.1 Diseño de

12.5.4 Fuga de disponibilidad de las mantener el software soluciones de servicios
información aplicaciones aplicativo
• SO 4.4.5.11 Errores
• AI7.7 Pruebas de • AI7 Instalar y acreditar detectados en el entorno de
aceptación final soluciones y cambios desarrollo
• ST 4.4.5.4 Pruebas y pilotos
del servicio
• ST 4.5.5.5 Ejecutar pruebas
• ST 4.5.5.6 Evaluar criterios de
fin de pruebas y reportar

14.1 Inclusión de SI 14.0 Gestión de

en el proceso BCP continuidad de
negocios
58
• PO3.1 Planeamiento de la • PO3 Determinar la • SS 8 Estrategia y tecnología
14.1.1 Incluir seguridad orientación tecnológica orientación tecnológica • SS 9.5 Riesgos
de información en el • PO9 Evaluar y
• PO9.1 Marco de trabajo de • SD 4.4.5.2 Actividades
proceso de gestión BCP gestionar los riesgos
gestión de riesgos proactivas de la gestión de la
de TI disponibilidad
• PO9.2 Establecimiento del
contexto del riesgo • DS4 Garantizar la • SD 4.5 Gestión de
continuidad del servicio continuidad de servicios de TI
• DS4.1 Marco de trabajo de
continuidad de TI • DS8 Gestionar la mesa • SD 4.5.5.1 Etapa 1 — Inicio
de servicios y los
• DS4.3 Recursos críticos de • SD 4.5.5.2 Etapa 2 —
incidentes
TI Requisitos y estrategia
• DS4.8 Recuperación y • SD 4.5.5.4 Etapa 4 —
reanudación de los Operación continua
servicios de TI
• SO 4.1.5.8 Selección de
• DS8.3 Escalamiento de respuestas
incidentes
• SO 4.2.5.6 Escalamiento de
incidentes
• SO 4.2.5.7 Investigación y
diagnóstico
• SO 4.2.5.8 Resolución y
recuperación
• SO 5.9 Soporte de estaciones
de trabajo
59
Control.- Se considera control al mecanismo adoptado para verificar,
comprobar, fiscalizar o intervenir que las acciones tomadas hayan, salido
como se planificó.
Terry (1999) en su libro "Principios de Administración" expone que
existen 3 tipos de control que son: El control preliminar, el concurrente y
el de retroalimentación.
Control preliminar: Este tipo de control tiene lugar antes de que
principien las operaciones e incluye la creación de políticas,
procedimientos y reglas diseñadas para asegurar que las actividades
planeadas serán ejecutadas con propiedad. En vez de esperar los
resultados y compararlos con los objetivos es posible ejercer una
influencia controladora limitando las actividades por adelantado.
Son deseables debido a que permiten a la administración evitar

problemas en lugar de tener que corregirlos después, pero
desafortunadamente este tipo de control requiere tiempo e información
oportuna y precisa que suele ser difícil de desarrollar.
Control concurrente: Este tipo de control tiene lugar durante la fase de
la acción de ejecutar los planes e incluye la dirección, vigilancia y
sincronización de las actividades según ocurran, en otras palabras,
pueden ayudar a garantizar que el plan será llevado a cabo en el tiempo
específico y bajo las condiciones requeridas.
La forma mejor conocida del control concurrente es la supervisión
directa. Cuando un administrador supervisa las acciones de un empleado
de manera directa, el administrador puede verificar de forma concurrente
las actividades del empleado y corregir los problemas que puedan
presentarse.
Control de retroalimentación: El control de retroalimentación implica
que se han reunido algunos datos, se han analizado y se han regresado los
resultados a alguien o a algo en el proceso que se está controlando de
manera que puedan hacerse correcciones.
Modelo de Gestión de Seguridad de la Información
El modelo propuesto servirá para mejorar los controles en los registros
60
académicos de la universidad objeto de estudio.
DE LOS SERVICIOS
 Información en Línea
 Certificados de Estudios
 Procesos transversales
DE LA INFRAESTRUCTURA TECNOLOGICA
 Control a nivel de usuario
 Manejo de servidores
 Seguridad a nivel de red
 Seguridad física y de infraestructura
 Seguridad Lógica
DEL PERSONAL
 Personal capacitado para el manejo del sistema
 Formatos de control de ingreso de documentos
 Directivas
POLITICAS DE GESTION
Las políticas de gestión van en paralelo al servicio que se les presta a los
recurrentes a la Oficina de Registros Académicos de la Universidad en
mención, en ese sentido se debe salvaguardar los tres pilares claves de la
Seguridad de la Información, como son: la confidencialidad, integridad y
disponibilidad. Para esto se ha tomado ciertos controles que se
consideran de mucha importancia que van alineados a los servicios que
se presta.
Políticas y Objetivos de Control
Para poder tener un mejor control se establecieron políticas y objetivos
de control alineados al tipo de negocio.
Política de Control de Acceso
Las personas que soliciten servicios en línea y que requieran mayor nivel
de seguridad como resultado de un análisis y evaluación del riesgo,
61
deben implementar mecanismos y controles que aseguren un efectivo
registro, identificación y autenticación de los usuarios de dichos
servicios. Así mismo, deben implementar mecanismos y controles que
aseguren el acceso bajo el principio del menor privilegio, necesario para
realizar únicamente las labores que a cada usuario de dichos servicios
corresponden. Igualmente, se deben implementar controles para realizar
una efectiva administración de usuarios y derechos de accesos.
Política de no repudiación
Los usuarios que soliciten los servicios de transacciones electrónicas, que

requieran mayor nivel de seguridad, deben garantizar la no repudiación
de las transacciones implementando mecanismos de seguridad que
permitan crear un ambiente de confianza entre los usuarios (Jefes de
Departamento, Directores de Escuela, u otros según su perfil), los
proveedores de servicios, con relación a la autenticidad, trazabilidad y no
repudiación de las transacciones electrónicas.
Política de Privacidad y Confidencialidad
Los datos personales de los Alumnos, Docentes y demás información

manejada a través de los servicios en Línea, deben ser protegidos y
manejados de manera responsable y segura.
Política de Integridad
La información que se recibe o se envía a través de los servicios de en

Línea, debe conservar los atributos de correcta y completa durante la
transmisión, el procesamiento y el almacenamiento. Se debe garantizar la
integridad de la información.
Política de Disponibilidad del Servicio
La entidad debe asegurar la disponibilidad continua de los servicios bajo

su control.
Política de Disponibilidad de la Información

62
La entidad debe asegurar que los datos de los usuarios se mantienen
protegidos contra pérdida, alteración o divulgación por actos accidentales
o malintencionados, o por fallas de los equipos y/o redes.
Política de Protección del Servicio
La entidad debe asegurar que los servicios y sus activos de información

relacionados, estén adecuadamente protegidos contra ataques externos o
internos.
Política de Registro y Auditoria
La entidad debe mantener y proteger los registros de las transacciones

electrónicas como evidencia para los requerimientos de las auditorias
(internas o externas) y como mecanismo para establecer
responsabilidades de los clientes y usuarios.
2.3. Definiciones conceptuales

SGSI.- Sistema de Gestión de seguridad de la Información, se podría decir que
es un conjunto de políticas para una mejor administración de los activos de
información dentro de una organización.
Información.- Un conjunto de datos procesados, que nos permite tomar

decisiones, al tomar conocimiento de esta, en un contexto dado.
Activos.- Es un bien tangible o intangible que tiene una persona natural, empresa
u organización posee.
Riesgo.- es la probabilidad de ocurrencia de un desastre, también se podría decir

que es la sumatoria de amenaza más vulnerabilidad.
Controles.- Medidas tomadas para evitar la materialización de un desastre que

pueda afectar la continuidad del negocio y asegurar la confidencialidad,
integridad y disponibilidad.
63
CAPITULO III: HIPOTESIS, VARIABLES E INDICADORES
3.1 Formulación de hipótesis
3.1.1. Hipótesis general

El Diseño de un Modelo de Seguridad de la Información permitirá
efectuar controles para una buena Administración de los Activos de
Información en los Registros Académicos de una universidad Pública
3.1.2. Hipótesis específicas

En los registros académicos existen procesos deficientes que influyen en
la eficiencia de la seguridad de la información.
Existe una relacióó n entre el Módeló de Sistema de Seguridad de la

Registrós Acadeó micós de la Universidad Puó blica.
Existe la necesidad de própóner un Módeló de Seguridad de la

Infórmacióó n en lós Registrós Acadeó micós de una Universidad
Puó blica para la Administracióó n de lós Activós de Infórmacióó n.
3.2 Variables
3.2.1. Variable Principal
Sistema de Seguridad de la Información
3.2.2. Variable Secundaria
Administración de los activos de Información
64
CAPITULO IV: METODOLÓGIA
4.1 Tipo y diseño de la investigación
4.1.1 Descripción del diseño

Diseño descriptivo con propuesta
M Ox r Oy
Donde:
M= muestra
O1= Observación en la variable 1
r= Relación
O2= Observación en la variable 2
4.1.2 Tipo
Investigación es de tipo Tecnológico – Aplicado
Esta investigación generará conocimiento, así como empleara métodos
que mejorará el servicio que brindan los Registros Académico de la
Universidad Pública, con el fin de hacerlos más competitivos, eficientes
y eficaces; dándole valor agregado al servicio, así como la confianza de
la seguridad.
4.1.3 Nivel
Nivel Descriptivo
Se describirá el fenómeno o la situación actual en la que se encuentra
enmarcada la problemática de los Registros Académico de la Universidad
Pública objeto de estudio, conoceremos el estado actual del fenómeno tal
y como se presenta.
4.1.4 Enfoque
Enfóque mixtó cuantitativó y cualitativó.
Se considera de enfoque mixto, ya que se recolectara, analizará y vinculará
los datos cualitativos y cuantitativos, para responder el planteamiento del
65
problema dentro de los registros académicos de la Universidad Pública en
mención.
4.2. Población y muestra

La población a tomar será igual a 30 personas, constituido por personal que labora y
que tiene que ver directamente con los procesos de los registros académicos de la
Universidad objeto de estudio.
Se tomará el total de la Población, ya que la población es relativamente pequeña y
no es necesario obtener una muestra.
Para este caso se tomará los criterios de inclusión y exclusión:
Criterios de Inclusión:
 Docentes y/o administrativos nombrados y/o contratados que tienen relación
con los procesos académicos de la Universidad.
 Docentes y/o administrativos que laboran en los registros académicos o
secretaria general.
 Docentes y administrativos que asistirán y llenarán el cuestionario.
Criterios de exclusión:
 Docentes y/o administrativos nombrados y/o contratados que no tiene
relación con los procesos académicos de la Universidad.
 Docentes y/o administrativos que no laboran en los registros académicos o
secretaría general.
 Docentes y administrativos que no asistirán ni llenarán el cuestionario.
4.3. Técnica de recolección de datos

Encuesta
Observacióó n
4.4. Técnicas para el procedimiento y análisis de la información
Cuestiónarió estructuradó
Lista de cótejó
66
Sistema de Gestión de Seguridad de la Información
Definición conceptual
Es la acción y manejo de la seguridad de la información, de acuerdo a los
activos y riesgos existentes, así como a la vulnerabilidad de estas.
Definición operacional
Se medirá con la escala nominal en base a las siguientes categorías:
Bueno: 11 – 16 puntos
Regular: 06 – 10 puntos
Malo: 00 – 05 puntos
Administración de los activos de Información

Definición conceptual
Mejoramiento de la buena administración de los activos de información
existentes en los Registros Académicos de la Universidad Pública objeto de
estudio.
Definición operacional
Se medirá con la escala nominal mediante las siguientes categorías:
Si Mejora: Cuando percibe el mejoramiento de la Administración de activos de
información, en los registros académicos de la Universidad Pública objeto de
estudio. Toma valores 3 y 4.
No Mejora: Cuando no percibe ningún mejoramiento de la Administración de
activos de información, en los registros académicos de la Universidad Pública
objeto de estudio. Toma valores 1 y 2.
67
4.5. Validación y Confiabilidad del Instrumento de Medición
LISTA DE COTEJO
Estimado(a)
Teniendo como base los criterios que continuación se presenta, se le solicitará

dar su opinión sobre el instrumento de recolección de datos que se adjunta.
Marque con una aspa (x) SI o NO en cada criterio según su opinión.
CRITERIOS SI NO OBSERVACION SI NO OBSERVACIÓN

1.- El instrumento recoge información que permita
dar respuesta al problema de investigación.
2.- El instrumento propuesto responde a los
objetivos del estudio.
3. La estructura del instrumento es adecuado.
4.- Los criterios del instrumento responde a la
operacionalización de la variable.
5.- La secuencia presentada facilita el desarrollo del
instrumento.
6.- Los ítems son claros y entendibles.
7.- El número de ítems es adecuado para su
aplicación.
Sugerencias:
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
___________________
Firma del Juez Experto
68
TABLA BINOMIAL - JUECES EXPERTOS
N° DE JUEZ
ITEMS 1 2 3 4 5 6 7 8 P
1 1 1 1 1 1 1 1 1 0.004
2 1 1 1 1 1 1 1 1 0.004
3 1 1 1 1 1 1 1 1 0.004
4 1 1 1 1 1 1 1 1 0.004
5 1 1 1 1 1 1 1 0 0.031
6 0 1 1 1 1 1 1 1 0.031
7 0 1 1 1 1 1 1 1 0.031
Favorable = 1 (SI)
Desfavorable = 2 (NO)
Si p < 0.05 la concordancia es significativa.
En el presente cuadro se puede evidenciar la prueba de correlación de juicio de expertos

que para la presente investigación se consideró en número de 8 de diferentes disciplinas
como: Ing. de Sistemas, Ing. de Sistemas e Informática, Ing. de Software, entre los
cuales se pudo evidenciar que existe concordancia en la opinión de los juicios en los
diferentes ítems. Encontrándose que el valor de P en la prueba binomial oscila entre
0.004 y 0.031, es decir, con valores de p< 0.05, que indica que la concordancia es
significativa, por lo que se puede concluir que el instrumento es válido.
PRUEBA DE CONFIABILIDAD ALFA DE CROMBACH

Para determinar la confiabilidad del instrumento se procedió a aplicar la prueba
estadística Alfa De Crombach:
Donde:
: Coeficiente de confiabilidad Alfa de Crombach.
K : Número de Ítems.
Vt : Varianza de cada ítem.
: Varianza Total.
69
La confiabilidad es un valor que oscila entre 0 y 1. Se dice que un instrumento tiene alta
confiabilidad cuando el resultado es mayor de 0,50. El valor fue de 0,8924. Por lo tanto
el instrumento para el presente estudio es altamente confiable.
VARIANZA DE CADA ÍTEMS (PREGUNTAS) Y VARIANZA TOTAL

Varianza de
Ítems
Cada Ítems
1 .233
2 .233
3 .100
4 .233
5 .178
6 .100
7 .233
8 .233
9 .233
10 .233
11 .400
12 .711
13 .178
14 .178
15 0.000
16 .933
17 .178
18 .178
19 .178
20 .178
Suma de las
5.122
variancias
Varianza de la
33.656
Sumatoria
4.6. Aspectos éticos

Ninguna parte de la investigación va afectar la ética y moral, toda la información
va ser conocido por el grupo de estudio con fines de investigación.
La investigación se realizó con la debida honestidad, responsabilidad y
prudencia; estableciendo responsabilidades tanto a nivel del investigador como
del participante.
4.7. Estudio de factibilidad

70
4.6.1 Recursos
4.6.1.1. Humanos
En la elaboración de la investigación se contó con el apoyo de
personas que apostaron por el proyecto en mención, desde la
planeación y recopilación de la información, hasta el análisis,
conclusiones y presentación de resultados.
4.6.1.1.1 Directamente
Los investigadores, asesor técnico, asesor
metodológico, Estadístico.
4.6.1.1.2 Indirectamente
Secretaria, aplicadores de instrumento de medición,
colaborador, personal de apoyo.
4.6.2 Financieros
4.6.2.1. Equipos y materiales
Se contó con diversos equipos, para la elaboración de la
investigación como son:
Computadora, impresora, fotocopiadora, scanner.
Así como también con los materiales necesarios:
Papel, tóner de impresora, lapicero, corrector, resaltador, CDs.
4.6.2.2. Presupuesto
71
TABLA Nº 7
72
CÓDIGO DESCRIPCIÓN CANTIDAD COSTO UNITARIO TOTAL
2.1.1 REMUNERACIONES 850.00
- Asesor de Tesis 1.00 500.00 500.00

- Estadístico 1.00 200.00 200.00
- Personal de apoyo 1.00 150.00 150.00
2.1.21.1 BIENES DE INVERSIÓN 2223.00
- Computadora 1.00 1500.00 1500.00

- Impresora 1.00 450.00 450.00
- Mobiliarios 1.00 250.00 250.00
- Regla 2.00 2.50 5.00
- Engrapador 1.00 10.00 10.00
- Perforador 1.00 8.00 8.00
2.3.15 BIENES DE CONSUMO 366.00
- Papel A4 80 grs 1000.00 0.25 250.00

- Tinta para impresora 1.00 70.00 70.00
- CDs 10.00 1.00 10.00
- Cuaderno de campo 2.00 5.00 10.00
- Lapiceros 4.00 1.50 6.00
- Corrector 2.00 5.00 10.00
- Resaltador 2.00 5.00 10.00
2.3.22 SERVICIOS 456.00
- Copias 300.00 0.10 30.00

- Empastado 5.00 15.00 75.00
- Impresión de ejemplares de
Tesis 500.00 0.10 50.00
- Servicio de internet 1.00 180.00 180.00
- Pasajes locales 0.70 30.00 21.00
- Refrigerios 10.00 10.00 100.00
TOTAL 3895.00
BIBLIOGRAFIA
73
Burgos Salazar, J., & Campos, P. (s.f.). CEUR. Obtenido de http://ceur-ws.org
Chang, C. A. (2011). Diseño de un Sistema de Gestión de Seguridad de

Información para una compañia de seguros. Tesis pregado, Lima.
Deleuze, G. (2008). La cinefilia no es patriota. Obtenido de

http://lacinefilianoespatriota.blogspot.com
Flores Estévez, F., Jiménez Nuñez, D., & Hidalgo Lascano, P. (2012). Diseño
de un Sistema de Gestión de Seguridad de la Información para la
empresa Megadatos S.A. en la ciudad de Quito, aplicando las normas
ISO 27001 e ISO 27002. Proyecto de Tesis, Quito.
Freitas, V. D. (s.f.). Revista Espacios. (R. Espacios, Editor) Obtenido de

http://www.revistaespacios.com
Iglesias, L. M. (2010). Diseño de un Sistema de Gestión de la Seguridad de la

Información (SGSI). Madrid.
KPMG. (octubre de 2010). KPMG. Obtenido de http://www.kpmg.com
Pallas, G., & Corti, M. (s.f.). CERTuy. Obtenido de http://www.cert.uy
Rodriguez , D., Junca, C., Manta, H., & Rocha, D. (2011). Redes de Ingeniería.
Obtenido de http://ingenieria1.udistrital.edu.co/digital/
Universidad Nacional Santiago Antúnez de Mayolo. (2012). Oficina General de

Estudios. Huaraz, Ancash, Perú: UNASAM.
Viloria, O., & Blanco, W. (2009). Modelo Sistémico de la Seguridad de la

Información en las universidades. Redalyc, 23.
74
ANEXOS
75

Búsquedas Virtuales

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Búsquedas Virtuales

Загружено:

Авторское право:

Доступные форматы

Escuela de Postgrado

MAESTRIA EN INGENIERIA SEGURIDAD INFORMÀTICA

Diseño de un Modelo de Sistema Gestión de Seguridad de la

PARA OPTAR EL GRADO DE MAESTRO EN INGENIERIA DE SEGURIDAD

Bach. Jamanca Ramírez, Marco Antonio

Yo MARCO ANTONIO JAMANCA RAMIREZ identificado con DNI Nº 09745771

Lima, 23 de marzo de 2013 __________________________

Gráfico Nº 1 Número de registros/personas afectadas por incidencias de seguridad….12

Tabla Nº 1 Vulnerabilidades en Base de Datos en las Universidades Peruanas……….13

En el presente Proyecto de Tesis se investigará el diseño de un modelo de sistema de

1.1. Descripción del Problema

Fuente: KMPG Internacional, Octubre del 2010

Nº Vulnerabilidades en Base de datos en Universidades Peruanas Tipo Vulnerabilidad Año

1 UAP Privada SQL Injection 2012

10 Universidad Nacional de Ingeniería Nacional MS Access Injection 2013

Fuente: Fuente propia

1.2. Formulación del Problema

1.2.1. Formulación del Problema General

1.3.1 Objetivos Generales

1.3.2 Objetivos Específicos

1.4. Justificación del Estudio

1.5. Viabilidad de la investigación

2.1 Antecedentes de la Investigación

(Iglesias, 2010) en su estudio, DISEÑO DE UN SISTEMA DE GESTIÓN DE

(Viloria & Blanco, 2009); en la revista titulada MODELO SISTÉMICO DE LA

(Flores Estévez, Jiménez Nuñez, & Hidalgo Lascano, 2012); En su estudio

(Rodriguez , Junca, Manta, & Rocha, 2011); en su artículo de investigación

(Burgos Salazar & Campos); En su trabajo titulado Modelo para Seguridad de

(Freitas, Propuesta de metodología de gestión de seguridad de las TIC’s para el

(Chang, 2011); en su tesis titulada DISEÑO DE UN SISTEMA DE GESTIÓN

2.2. Bases teóricas

Riesgo.- Es la estimación del grado de exposición a que una amenaza se

Administración de riesgos.- Es el proceso en la cual la organización

Establecer el contexto estratégico, organizacional y de administración de

Determinar los controles existentes y analizar riesgos en términos de

Consecuencias y probabilidades pueden ser combinadas para producir un

Comparar niveles estimados de riesgos contra los criterios reestablecidos.

Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos,

Monitorear y revisar el desempeño del sistema de administración de

La administración de riesgos se puede aplicar en una organización a

Para cada etapa del proceso deberían llevarse registros adecuados,

ETAPAS DE LA ADMINISTRACIÓN DE RIESGO

Fuente: AS/NZS 4360:1999

Fuente: AS/NZS 4360:1999

Seguridad de la Información.- La información es un activo que, como

Sistema de Gestión de Seguridad de la Información (SGSI).- El SGSI

Fuente: ISO 27000

Oficial de Seguridad .- Es el responsable máximo en planificar,

Fuente: Elaboración propia

del Vicerrectorado Académico, tiene como objetivo mantener el archivo y

registro central de todo lo relacionado con la gestión académica, así

como de apoyo a las Facultades. Para el cumplimiento de sus funciones

cuenta con las siguientes Unidades:

a) Registro y certificaciones Académicas; y

b) Programación y Control Académico

ARTÍCULO 70º. Son funciones de la Oficina General de Estudios:

a) Expedir los certificados de estudios de Pre y Post-Grado y

constancias académicas oficiales de la Universidad;

b) Administrar la impresión, distribución y archivo de las actas de

notas finales de todos los alumnos de la Universidad;

c) Elaborar el calendario académico y el horario de clases, en

coordinación con las Facultades, velando por su cumplimiento;

d) Organizar y controlar la matrícula de todos los alumnos de la