Академический Документы
Профессиональный Документы
Культура Документы
Tesis:
Presentado por:
Asesor:
Lima, 2013
Dedicatoria
Agradecimiento
Declaración Jurada de Autoría del Informe
INTRODUCCIÓN........................................................................................................................... 11
CAP. I.- PLANTEAMIENTO DEL PROBLEMA............................................................................12
1.1. DESCRIPCIÓN DEL PROBLEMA................................................................................................12
1.2. FORMULACIÓN DEL PROBLEMA...........................................................................................14
1.2.1. Formulación del Problema General..................................................................................14
1.2.2. Formulación del Problema Específico..............................................................................15
1.3. OBJETIVOS.............................................................................................................................15
1.3.1 Objetivos Generales............................................................................................................15
1.3.2 Objetivos Específicos..........................................................................................................15
1.4. JUSTIFICACIÓN DEL ESTUDIO...............................................................................................15
1.5. VIABILIDAD DE LA INVESTIGACIÓN......................................................................................16
CAP. II.- MARCO TEÓRICO CONCEPTUAL..............................................................................19
2.1 ANTECEDENTES DE LA INVESTIGACIÓN...............................................................................19
2.2. BASES TEÓRICAS...................................................................................................................22
2.2.1. Sistema de Gestión de Seguridad de la Información.............................................................22
2.3. DEFINICIONES CONCEPTUALES.............................................................................................63
CAPITULO III: HIPOTESIS, VARIABLES E INDICADORES.....................................................64
3.1 FORMULACIÓN DE HIPÓTESIS....................................................................................64
3.1.1. HIPÓTESIS GENERAL..................................................................................................................64
3.1.2. HIPÓTESIS ESPECÍFICAS.....................................................................................................................64
3.2 VARIABLES............................................................................................................................... 64
3.2.1. VARIABLE PRINCIPAL.......................................................................................................................64
3.2.2. VARIABLE SECUNDARIA....................................................................................................................64
CAPITULO IV: METODOLÓGIA................................................................................................. 65
4.1 TIPO Y DISEÑO DE LA INVESTIGACIÓN..................................................................................65
4.1.1 DESCRIPCIÓN DEL DISEÑO.............................................................................................................65
4.1.2 TIPO.........................................................................................................................................65
4.1.3 NIVEL.......................................................................................................................................65
4.1.4 ENFOQUE..................................................................................................................................65
4.2. POBLACIÓN Y MUESTRA....................................................................................................... 66
4.3. TÉCNICA DE RECOLECCIÓN DE DATOS...................................................................................66
4.4. TÉCNICAS PARA EL PROCEDIMIENTO Y ANÁLISIS DE LA INFORMACIÓN.................................66
4.5. ASPECTOS ÉTICOS................................................................................................................ 70
4.6 ESTUDIO DE FACTIBILIDAD................................................................................................... 71
4.6.1 RECURSOS.....................................................................................................................................71
4.6.1.1. Humanos..............................................................................................................................71
4.6.2 FINANCIEROS.............................................................................................................................71
4.6.2.1. Equipos y materiales...........................................................................................................71
4.6.2.2. Presupuesto.........................................................................................................................72
BIBLIOGRAFIA................................................................................................................................... 73
ANEXOS.......................................................................................................................................... 74
INDICE DE GRAFICOS
10
Cap. I.- Planteamiento del Problema
11
En la siguiente tabla se muestra las diversas vulnerabilidades detectadas en
algunas Universidades Peruanas en los años 2012 y 2013:
TABLA Nº 1
GRAFICO N° 02
VULNERABILIDADES EN BASE DE DATOS EN LAS UNIVERSIDADES
PERUANAS
12
En este contexto, la Universidad Nacional Pública objeto de estudio, actualmente
alberga en su sede a aproximadamente 6604 estudiantes distribuidos en
Facultades y Escuelas Profesionales, quienes están registrados en el sistema de
información de forma general y por facultades contando con una data
considerable, ya sea a nivel físico y lógico desde la creación de la mencionada
Universidad, la información que se maneja es de aproximadamente 24838
registros de alumnos y ex - alumnos de la universidad objeto de estudio, además
de registrar 53161 cursos, 1112530 registros de notas.
Esta situación, se agrava ante una posible incidencia de seguridad, más aun
cuando no existía el sistema de seguridad, se comprobaron alteraciones en el
sistema de información referente a notas y en la expedición de certificados, sin
pago de derechos en la tesorería de la universidad.
Estos hechos permite reflexionar, acerca de la problemática de la falta de
seguridad de las actas, base de datos que están expuestos en forma permanente y
sistemática a la alteración de la data y la expedición de certificados en forma
anómala, generando la baja recaudación económica del servicio que presta la
universidad. Este fenómeno de la inseguridad se ha ido generando desde hace 35
años de fundación que tiene la universidad en mención. Esta situación requiere
contar con un modelo de gestión para el aseguramiento de los activos de
información. Por lo que reviste de mucha importancia la creación de un diseño de
modelo de seguridad de la información.
13
1.2.2. Formulación del Problema Específico
¿Cuáles son los soportes de la infraestructura del modelo del Sistema de
Información de los Registros Académicos de la Universidad Pública?
¿Cuál es la relacióó n entre el Módeló de Sistema de Seguridad de la
Infórmacióó n y la Administracióó n de lós activós de infórmacióó n en lós
Registrós Acadeó micós de la Universidad Puó blica.?
¿De qué forma un Modelo de Seguridad de la Información mejorará los
controles?
1.3. Objetivos
14
personal encargado de esta área y en otros casos la vulneración de la base de
datos.
Este fenómeno se genera debido a la falta de un modelo de sistema de gestión de
seguridad de la información.
La investigación planteada, contribuirá al Diseño de un Modelo de sistema de
Seguridad de la información que ayudará a un mejor control de los activos de
información, así mismo los resultados de la investigación, contribuirá a tomar
conciencia de la importancia de la seguridad de estas, con relación a la
información administrada, de tal manera que se tomen las medidas adecuadas
para aminorar las posibles incidencias y/o los posibles desastres que puedan
ocurrir.
Los resultados de la investigación en Seguridad de la Información, desde el
punto de vista teórico, servirán como fuente de información a posibles trabajos
de investigación, de tal manera que contribuya a la generación de nuevos
conocimientos.
Desde el punto de vista práctico servirán como marcos orientadores a los
investigadores de esta área para la solución adecuada de la problemática en este
campo del conocimiento.
Desde el punto de vista metodológico, el modelo que el grupo de estudio
propone servirá para la replicabilidad en las diferentes Universidades Peruanas,
con la aplicación de fácil compresión y utilidad necesaria en la solución de
problemas de Seguridad de la Información.
Desde el punto de vista de la viabilidad, la ejecución del proyecto será factible,
porque se cuenta con los recursos humanos, materiales y financieros, suficientes
para el logro de los objetivos.
15
los objetivos, la metodología para la realización de la misma, para ello esta
investigación cuenta con la viabilidad para poder realizarla, con esto la
investigación podrá realizarse satisfactoriamente, pudiendo así realizarla para
solucionar esta importante necesidad en el alcance que pretende tener el presente
estudio.
Con se pretende realizar la investigación, con el fin de obtener grandes
resultados y poder así solucionar una de las múltiples necesidades con las que
cuenta este objetivo de alcance planteado, haciendo así una excelente
investigación con los objetivos concluidos, la necesidad solucionada, podremos
sentir la capacidad de solucionar múltiples necesidades, con se podrá seguir
realizando investigaciones en otros sectores de la sociedad.
Para el caso particular de este estudio, se cuenta con los tres requisitos
indispensables que aseguran su viabilidad y/o factibilidad; puesto que se cuenta
cubierto los siguientes detalles y aspectos para el desarrollo del estudio:
RECURSO TIEMPO: Siendo necesaria la disponibilidad del recurso tiempo para
ejecutar la investigación, alcanzar los objetivos y dar respuestas a los problemas
planteados; el equipo de gestión del estudio cuenta con la predisposición
absoluta que se demande, sumando así esfuerzos y calidad de tiempo dedicado
al proyecto emprendido.
RECURSOS FINANCIEROS: Por otro lado se ha presupuestado un total de S/.
3,895.00 para la ejecución de la investigación, el mismo que cubre todos los
recursos tanto en término de bienes y servicios a ser utilizados (ver cuadro de
presupuesto del estudio); por tanto se puede decir que se ha hecho la previsión
del caso en los recursos financieros que suman a la viabilidad del estudio.
RECURSOS MATERIALES Y HUMANOS: Por ultimo, también era
indefectible precisar la previsión de los recursos materiales y humanos que
hacen falta para la viabilidad del estudio, al respecto se manifiesta que se cuenta
con el apoyo y respaldo técnico – teórico, tanto del asesor y los encargados de la
investigación quienes asumen el compromiso de emprender el estudio con todo
lo que ello implica; así mismo, está presupuestado los recursos y materiales que
serán utilizados para el estudio, el mismo que estará cubierto en su totalidad por
los responsables de la investigación.
16
En resumen, se ha demostrado que la investigación cumple con las condiciones
indispensables para su realización, por lo tanto podemos decir que sí se puede
efectuar, dada la demanda tanto de recursos, tiempo y financiamiento, haciendo
del estudio viable para su ejecución e implementación.
Financiamiento Económico: Esta será cubierta en un 50% por grupo de
Investigación y el otro 50% por parte de terceros en este caso, por parte de la
Institución objeto de estudio. Para lo cual se presenta el siguiente cuadro
resumen, así como el presupuesto.
17
Cap. II.- Marco Teórico Conceptual
18
alta dirección a facilitar una planificación estratégica bajo la perspectiva de la
seguridad de la información.
19
(Pallas & Corti); En su artículo de investigación titulado Metodología de
Implantación de un SGSI en grupos empresariales de relación jerárquica, cuyo
objetivo fue describir los lineamientos metodológicos de aplicación sistemática
para el diseño, implantación, mantenimiento, gestión, monitoreo y evaluación de
un SGSI para una empresa o grupo empresarial atendiendo a su estructura de
grupo multiempresa y diversidad en los niveles y dominios de seguridad
requeridos; además se aprecia como conclusión final de que un Sistema de
Gestión de Seguridad de la Información, está definido por la norma ISO/IEC
27001, e indica que no se debe considerar sólo el contexto de la industria y las
características culturales de la organización, indica también que debe ser
sostenible en el tiempo y que debe incorporar mejoras continuas, con beneficios
visibles en la organización. Indica que la organización requiere una metodología
que acompañe al dinamismo necesario de la organización, que a su vez respeta
las estrategias empresariales y vinculación estructural.
20
conceptos generales que competen a cualquier tipo de organización. Esta
metodología permite establecer el grado de capacitación del personal
responsable de la gestión de riesgos. El análisis de riesgo requiere de una
evaluación que permitirá adoptar medidas para enfrentar las posibles amenazas
de los activos de información de la organización y en particular de las
universidades. Los cálculos necesarios para obtener las Matrices de Riesgo son
fácilmente automatizables con la utilización de plantillas electrónicas. Con esta
metodología los responsables de la seguridad de la información, sus dueños y
quienes utilizan el activo, toman mayor conciencia de los activos más riesgosos,
sus vulnerabilidades y las amenazas a los que están expuestos, por lo que podrán
tomar medidas proactivas más efectivas y eficientes antes de que se pueda
producir un incidente. Esta metodología disminuye el grado de subjetividad que
rigen las acciones en seguridad, ya que aporta precisión y confianza al valorar
cuantitativamente de las amenazas y vulnerabilidades.
21
2.2.1. Sistema de Seguridad de la Información
Información.- (Deleuze, 2008); definía a la información como un
sistema de control, en tanto que es la propagación de consignas que
deberíamos de creer o hacer que creemos. En tal sentido la información
es un conjunto organizado de datos capaz de cambiar el estado de
conocimiento en el sentido de las consignas trasmitidas.
La información es un activo muy importante dentro de la organización, el
buen tratamiento de estas permite mejorar los procesos dentro de las
organizaciones, ya que permitirá resolver problemas en la organización,
estas sirven a todo nivel ya sea en el área contable, procesos
administrativos u otros.
22
b) Identificar riesgos
Identificar qué, por qué y cómo pueden surgir las cosas como base para
análisis posterior.
c) Analizar riesgos
d) Evaluar riesgos
e) Tratar riesgos
f) Monitorear y revisar
g) Comunicar y consultar
23
Comunicar y consultar con interesados internos y externos según
corresponda en cada etapa del proceso de administración de riesgos y
concerniendo al proceso como un todo.
24
GRAFICO N° 03
25
GRAFICO N° 04
PROCESO DE ADMINISTRACIÓN DE RIESGO
26
información está expuesta a un mayor rango de amenazas y
vulnerabilidades.
GRAFICO N° 05
ETAPAS DEL SGSI
28
ya que todavía se encuentra en desarrollo esta última opción
en el Siga Web.
Además de lo antes descrito, se cuenta con diez computadoras
para la parte administrativa y desarrollo del Siga Web, el cual
Nueve cuentan con sistema operativo Windows Seven y uno
con Ubuntu 12.10. Adicionalmente se tiene una computadora
portátil a cargo el Administrador de Base de Datos.
La infraestructura de redes se encuentra distribuida de la siguiente
manera:
GRAFICO N° 06
INFRAESTRUCTURA TECNOLOGICA DE REGISTROS
ACADEMICOS
29
Nivel de Seguridad: El nivel de seguridad según el análisis de Riesgo Vs
Modelo de Madurez, cuyo indicador fue bajo
Procesos:
ARTÍCULO 69º. La Oficina General de Estudios es un órgano de línea
Admisión;
30
f) Supervisar las actividades académicas en la Universidad y evaluar
Académicos;
alumnos de la Universidad;
Universidad;
estadísticas académicas;
respectivo.
31
a) Consolidado de cursos aprobados visados por su director de
escuela
d) Llenado de FUT
un formato.
la Oficina
URCA.
GRAFICO N° 07
PROCESO DE CERTIFICACION ACADEMICA
33
Actas de Notas Finales:
Una vez ingresado las notas por parte del Director de Escuela se
entregará a URCA
Direcciones de Escuela.
URCA.
Ley Nº 28403
Verificación/Registro de Firmas.
34
Decreto Supremo que modifica el Reglamento de la Ley 27269 y
052-2008-PCM.
académico:
devuelve a la secretaria.
35
e) La secretaria hace entrega al jefe de OGE para su aprobación y
la corrección u observación.
correspondiente.
Matrícula de alumnos:
ponderado y condición.
activada por el DBA, el sistema está hecha en PHP y cuenta con una
conexión via Lan hacia la Base de Datos, además de ello se cuenta con
cámaras de seguridad.
36
Los procesos siguientes se realizan mediante la aplicación Web, el cual
Solo abra que considerar la vulnerabilidad y/o amenaza que podría existir
a nivel de persona.
Carga Académica:
nombrados y contratados.
Programación de Horarios:
ficha de matrícula.
38
4. Estimar el impacto, definido como el daño sobre el activo
derivado de la materialización de la amenaza.
Al ejecutar los pasos 2 y 3 surgen los conceptos de “impacto y riesgo
potenciales”, en el caso de que no hubiera salvaguarda desplegada, estas
valoraciones son “teóricas”: Una vez obtenido este escenario teórico, se
incorporan las salvaguardas del paso 3, derivando estimaciones realistas
de impacto y riesgo.
La siguiente figura recoge este primer recorrido, cuyos pasos se detallan
en las siguientes secciones:
GRAFICO N° 08
ELEMENTOS DEL ANALISIS DE RIESGOS POTENCIALES
39
Existen en la actualidad muchas metodologías, la más utilizada es
MAGERIT la cual persigue una aproximación metódica que no deje
lugar a la improvisación, ni dependa de la arbitrariedad del analista.
GRAFICO N° 09
Directos:
40
Evitar el riesgo
Reducir la probabilidad de la ocurrencia
Reducir las consecuencias
Transferir los riesgos
Retener los riesgos
Para el Análisis de Riesgos se utilizó la siguiente matriz:
GRAFICO Nº 10
MATRIZ DE RIESGOS
Riesgo Probabilidad
Impacto raro M. Bajo Bajo Medio Alto
Desastroso
Mayor
Moderado
Menor
Insignificante
41
42
Tabla Nº 3 - Matriz de tratamiento de Riesgos
43
44
45
46
Tabla Nº 5 - Declaración de Aplicabilidad / Statement of Aplicability (SOA)
47
Tabla Nº 6 - Mapeo de los objetivos de control ISO 27002 con COBIT 4.1 e ITILv3
5.1 Políticas de
Clasificaciones Áreas clave Objetivos de control Procesos TI
seguridad de la 5.0 Política de
ISO/IEC 27002 Referencia ITIL v3
información seguridad
ISO/IEC 27002 COBIT 4.1 de COBIT
información de soporte
• PO6.1 Política y entorno • PO6 Comunicar las • SS 6.4 Cultura organizacional
5.1.1 Documento de la de control de TI aspiraciones y la • ST 5.1 Gestión de las
política de seguridad • PO6.2 Riesgo corporativo dirección de la comunicaciones y el
de información y marco de referencia del gerencia compromiso
control interno de TI • DS5 Garantizar la • SO 3.6 Comunicaciones
• PO6.3 Gestión de políticas seguridad de los
sistemas • SO 4.5 Gestión de accesos
de TI
• SD 4.6.4 Políticas, principios
• PO6.5 Comunicación de • ME2 Monitorear y
y conceptos básicos
los objetivos y la dirección evaluar el control
de TI interno • SD 4.6.5.1 Controles de
seguridad (cobertura de alto
• DS5.2 Plan de seguridad nivel, sin detalle)
de TI
• DS5.3 Gestión de
identidad
• ME2.1 Monitoreo del
marco de trabajo de control
interno
• PO3.1 Planeamiento de la • PO3 Determinar la • SS 5.1 Gestión financiera
5.1.2 Revisión de la orientación tecnológica orientación tecnológica • SS 5.2.2 Retorno sobre la
política de seguridad • PO5.3 Proceso presupuestal • PO5 Gestionar la inversión
de la información inversión en TI
• PO5.4 Gestión de costos • SS 5.2.3 Retorno sobre la
de TI • PO6 Comunicar las inversión
• PO6.3 Gestión de políticas aspiraciones y la • SS 8 Estrategia y tecnología
de TI dirección de la
• SS 9.5 Riesgos
gerencia
• PO9.4 Evaluación de • SD 4.5.5.2 Etapa 2 —
riesgos de TI • PO9 Evaluar y
gestionar los riesgos Requisitos y estrategia
• DS5.2 Plan de seguridad de TI • SD 4.6.4 Políticas, principios
de TI y conceptos básicos
• DS5 Garantizar la
• DS5.3 Gestión de seguridad de los • SD 4.6.5.1 Controles de
identidad sistemas seguridad (cobertura de alto
• ME2.2 Revisiones de • ME2 Monitorear y nivel, sin detalle)
supervisión evaluar el control • SD 8.1 Análisis de impacto en
• ME2.5 Aseguramiento del interno el negocio
control interno • ME4 Proporcionar • ST 4.6 Evaluación
• ME2.7 Acciones correctivas gobierno de TI • SO 4.5 Gestión de accesos
• ME4.7 Aseguramiento
independiente
48
Clasificaciones Áreas clave Objetivos de control Procesos TI
ISO/IEC 27002 Referencia ITIL v3
ISO/IEC 27002 COBIT 4.1 de COBIT
información de soporte
49
• PO4.4 Ubicación • PO4 Definir los • SD 4.6 Gestión de la
6.1.2 Coordinación organizacional de la procesos, organización seguridad de la información
para la seguridad función de TI y relaciones de TI
de la información • SD 4.6.4 Políticas, principios
• PO4.5 Estructura • PO6 Comunicar las y conceptos básicos
organizacional de TI aspiraciones y la
• SD 4.6.5.1 Controles de
dirección de la
• PO4.6 Establecer roles y seguridad (cobertura de alto
gerencia
responsabilidades nivel, sin detalle)
• DS5 Garantizar la
• PO4.8 Responsabilidad • SD 6.2 Análisis de actividades
seguridad de los
sobre el riesgo, la
sistemas • SD 6.3 Habilidades y atributos
seguridad y el
cumplimiento • SD 6.4 Roles y
• PO4.10 Supervisión responsabilidades
50
Clasificaciones Áreas clave Objetivos de control Procesos TI
ISO/IEC 27002 Referencia ITIL v3
ISO/IEC 27002 COBIT 4.1 de COBIT
información de soporte
• ST 6.3 Modelos
6.1.2 Coordinación organizacionales para apoyar
para la seguridad de la la transición de servicios
información (cont.)
• CSI 6 Organización para la
mejora continua del servicio
51
Clasificaciones Áreas clave Objetivos de control Procesos TI
ISO/IEC 27002 Referencia ITIL v3
ISO/IEC 27002 COBIT 4.1 de COBIT
información de soporte
• SD 3.7.2 Adquisición de la
6.1.5 Acuerdos de solución elegida
confidencialidad (cont.)
• SD 4.2.5.9 Desarrollar
contratos y relaciones
• SD 4.6.4 Políticas, principios
y conceptos básicos
• SD 4.6.5.1 Controles de
seguridad (cobertura de alto
nivel, sin detalle)
• SD 4.7.5.3 Nuevos
proveedores y contratos
• ST 3.2.3 Adopción de
estándares y de un marco de
trabajo común
• ST 4.1.4 Políticas, principios y
conceptos básicos
• ST 4.1.5.1 Estrategia de
transición
• ST 6.3 Modelos
organizacionales para apoyar
la transición de servicios
• SO 4.5 Gestión de accesos
• SO 4.5.5.1 Peticiones de
acceso
• SO 4.5.5.2 Verificación
• SO 4.5.5.3 Habilitar privilegios
• SO 4.5.5.4 Monitorear el
estado de la identidad
• SO 4.5.5.5 Registro y
seguimiento de accesos
• SO 4.5.5.6 Eliminar o
restringir privilegios
• SO 6.6 Roles y
responsabilidades en la
operación del servicio
• CSI 6 Organización para la
mejora continua del servicio
52
Clasificaciones Áreas clave Objetivos de control Procesos TI
ISO/IEC 27002 Referencia ITIL v3
ISO/IEC 27002 COBIT 4.1 de COBIT
información de soporte
53
Clasificaciones Áreas clave Objetivos de control Procesos TI
ISO/IEC 27002 Referencia ITIL v3
ISO/IEC 27002 COBIT 4.1 de COBIT
información de soporte
54
Clasificaciones Áreas clave Objetivos de control Procesos TI
ISO/IEC 27002 Referencia ITIL v3
ISO/IEC 27002 COBIT 4.1 de COBIT
información de soporte
• ST 4.3.5.5 Contabilización y
7.1.1 Inventario de registro de estados
activos (cont.)
• ST 4.3.5.6 Auditoría y
verificación
• SO 5.4 Gestión de servidores
y soporte
• SO 7 Consideraciones de
tecnología (especialmente
para licenciamiento, indicado
en SO)
• PO4.9 Propiedad de los • PO4 Definir los • SO 6.3 Gestión técnica
7.1.2 Propiedad de los datos y sistemas procesos, organización • ST 4.1.5.2 Preparación para
activos y relaciones de TI
• DS9.2 Identificación y la transición del servicio
mantenimiento de • DS9 Gestionar la
• ST 4.3.5.3 Identificación de la
elementos de la configuración
configuración
configuración
• ST 4.3.5.4 Control de la
configuración
• ST 4.3.5.5 Contabilización y
registro de estados
• PO4.10 Supervisión • PO4 Definir los
7.1.3 Uso aceptable de • PO6.2 Riesgo corporativo procesos, organización
activos y marco de referencia del y relaciones de TI
control interno de TI • PO6 Comunicar las
aspiraciones y la
dirección de la
gerencia
7.2 Clasificación de
la información
55
• PO4.6 Establecer roles y • PO4 Definir los • SS 2.6 Funciones y procesos
8.2.2 Educación, responsabilidades procesos, organización a través del ciclo de vida
entrenamiento y y relaciones de TI
concientización en • PO6.2 Riesgo corporativo • SS 7.5 Estrategia y mejora
seguridad de información y marco de referencia del • PO6 Comunicar las
aspiraciones y la • SS 8.1 Automatización del
control interno de TI
dirección de la servicio
• PO6.4 Implantación de
gerencia • SD 3.2 Diseño balanceado
políticas, estándares y
procedimientos • PO7 Gestión de los • SD 3.4 Identificar y
recursos humanos de documentar los requisitos y
• PO7.2 Competencias del
TI drivers del negocio
personal
• AI1 Identificar • SD 3.5 Actividades de diseño
• PO7.4 Entrenamiento del
soluciones
personal de TI automatizadas • SD 3.6.1 Diseño de
soluciones de servicios
• PO7.7 Evaluación del • AI7 Instalar y acreditar
desempeño del empleado soluciones y cambios • SD 3.6.2 Diseño de sistemas
de soporte, especialmente el
• AI1.1 Definición y • DS5 Garantizar la portafolio de servicios
mantenimiento de los seguridad de los
requerimientos técnicos y sistemas • SD 3.6.3 Diseño de la
funcionales del negocio arquitectura tecnológica
• DS7 Educar y entrenar
• AI7.1 Entrenamiento a los usuarios • SD 3.6.4 Diseño de procesos
• DS5.1 Gestión de la • SD 3.6.5 Diseño de sistemas
seguridad de TI de medición y métricas
• DS5.2 Plan de seguridad • SD 3.8 Limitaciones del
de TI diseño
• DS5.3 Gestión de • SD 3.9 Arquitectura orientada
identidad al servicio
• DS7.1 Identificación de las • SD 4.6 Gestión de la
necesidades de educación seguridad de la información
y entrenamiento
• SD 4.6.4 Políticas, principios
• DS7.2 Brindar educación y y conceptos básicos
entrenamiento
• SD 4.6.5.1 Controles de
seguridad (cobertura de alto
nivel, sin detalle)
• SD 6.2 Análisis de actividades
• SD 6.3 Habilidades y atributos
• SD 6.4 Roles y
responsabilidades
• ST 4.4.5.2 Preparación para
la construcción, pruebas y
despliegue
• ST 6.3 Modelos
organizacionales para apoyar
la transición de servicios
• SO 4.5 Gestión de accesos
• SO 5.13 Gestión de seguridad
de la información y la
operación del servicio
56
Clasificaciones Áreas clave Objetivos de control Procesos TI
ISO/IEC 27002 Referencia ITIL v3
ISO/IEC 27002 COBIT 4.1 de COBIT
información de soporte
9.1.4 Protección contra • DS12.4 Protección contra • DS12 Gestionar el • SO Apéndice E Descripción
amenazas externas y factores ambientales ambiente físico detallada de la gestión de las
ambientales instalaciones
10.4 Protección
contra código móvil
y malicioso
11.2 Gestión de
accesos de
usuarios
57
• DS5.4 Gestión de cuentas • DS5 Garantizar la • SO 4.5 Gestión de accesos
11.2.2 Gestión de de usuario seguridad de los • SO 4.5.5.1 Peticiones de
privilegios sistemas acceso
• SO 4.5.5.2 Verificación
• SO 4.5.5.3 Habilitar privilegios
• SO 4.5.5.4 Monitorear el
estado de la identidad
• SO 4.5.5.5 Registro y
seguimiento de accesos
• SO 4.5.5.6 Eliminar o
restringir privilegios
12.2
Procesamiento
correcto en
aplicaciones
• AI2.3 Control y • AI2 Adquirir y
12.2.1 Validación de auditabilidad de las mantener el software
datos de entrada aplicaciones aplicativo
58
• PO3.1 Planeamiento de la • PO3 Determinar la • SS 8 Estrategia y tecnología
14.1.1 Incluir seguridad orientación tecnológica orientación tecnológica • SS 9.5 Riesgos
de información en el • PO9 Evaluar y
• PO9.1 Marco de trabajo de • SD 4.4.5.2 Actividades
proceso de gestión BCP gestionar los riesgos
gestión de riesgos proactivas de la gestión de la
de TI disponibilidad
• PO9.2 Establecimiento del
contexto del riesgo • DS4 Garantizar la • SD 4.5 Gestión de
continuidad del servicio continuidad de servicios de TI
• DS4.1 Marco de trabajo de
continuidad de TI • DS8 Gestionar la mesa • SD 4.5.5.1 Etapa 1 — Inicio
de servicios y los
• DS4.3 Recursos críticos de • SD 4.5.5.2 Etapa 2 —
incidentes
TI Requisitos y estrategia
• DS4.8 Recuperación y • SD 4.5.5.4 Etapa 4 —
reanudación de los Operación continua
servicios de TI
• SO 4.1.5.8 Selección de
• DS8.3 Escalamiento de respuestas
incidentes
• SO 4.2.5.6 Escalamiento de
incidentes
• SO 4.2.5.7 Investigación y
diagnóstico
• SO 4.2.5.8 Resolución y
recuperación
• SO 5.9 Soporte de estaciones
de trabajo
• CSI 5.6.3 Gestión de
continuidad de servicios de TI
59
Control.- Se considera control al mecanismo adoptado para verificar,
comprobar, fiscalizar o intervenir que las acciones tomadas hayan, salido
como se planificó.
Terry (1999) en su libro "Principios de Administración" expone que
existen 3 tipos de control que son: El control preliminar, el concurrente y
el de retroalimentación.
Control preliminar: Este tipo de control tiene lugar antes de que
principien las operaciones e incluye la creación de políticas,
procedimientos y reglas diseñadas para asegurar que las actividades
planeadas serán ejecutadas con propiedad. En vez de esperar los
resultados y compararlos con los objetivos es posible ejercer una
influencia controladora limitando las actividades por adelantado.
DEL PERSONAL
Personal capacitado para el manejo del sistema
Formatos de control de ingreso de documentos
Directivas
POLITICAS DE GESTION
Las políticas de gestión van en paralelo al servicio que se les presta a los
recurrentes a la Oficina de Registros Académicos de la Universidad en
mención, en ese sentido se debe salvaguardar los tres pilares claves de la
Seguridad de la Información, como son: la confidencialidad, integridad y
disponibilidad. Para esto se ha tomado ciertos controles que se
consideran de mucha importancia que van alineados a los servicios que
se presta.
Políticas y Objetivos de Control
Para poder tener un mejor control se establecieron políticas y objetivos
de control alineados al tipo de negocio.
Política de Control de Acceso
Las personas que soliciten servicios en línea y que requieran mayor nivel
de seguridad como resultado de un análisis y evaluación del riesgo,
61
deben implementar mecanismos y controles que aseguren un efectivo
registro, identificación y autenticación de los usuarios de dichos
servicios. Así mismo, deben implementar mecanismos y controles que
aseguren el acceso bajo el principio del menor privilegio, necesario para
realizar únicamente las labores que a cada usuario de dichos servicios
corresponden. Igualmente, se deben implementar controles para realizar
una efectiva administración de usuarios y derechos de accesos.
Política de no repudiación
Política de Integridad
Activos.- Es un bien tangible o intangible que tiene una persona natural, empresa
u organización posee.
3.2 Variables
3.2.1. Variable Principal
Sistema de Seguridad de la Información
3.2.2. Variable Secundaria
Administración de los activos de Información
64
CAPITULO IV: METODOLÓGIA
4.1.2 Tipo
Investigación es de tipo Tecnológico – Aplicado
Esta investigación generará conocimiento, así como empleara métodos
que mejorará el servicio que brindan los Registros Académico de la
Universidad Pública, con el fin de hacerlos más competitivos, eficientes
y eficaces; dándole valor agregado al servicio, así como la confianza de
la seguridad.
4.1.3 Nivel
Nivel Descriptivo
Se describirá el fenómeno o la situación actual en la que se encuentra
enmarcada la problemática de los Registros Académico de la Universidad
Pública objeto de estudio, conoceremos el estado actual del fenómeno tal
y como se presenta.
4.1.4 Enfoque
Enfóque mixtó cuantitativó y cualitativó.
Se considera de enfoque mixto, ya que se recolectara, analizará y vinculará
65
problema dentro de los registros académicos de la Universidad Pública en
mención.
que tiene que ver directamente con los procesos de los registros académicos de la
Criterios de Inclusión:
secretaria general.
Criterios de exclusión:
secretaría general.
Definición conceptual
Definición operacional
Bueno: 11 – 16 puntos
Regular: 06 – 10 puntos
Malo: 00 – 05 puntos
estudio.
Definición operacional
67
4.5. Validación y Confiabilidad del Instrumento de Medición
LISTA DE COTEJO
Estimado(a)
Sugerencias:
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
___________________
Firma del Juez Experto
68
TABLA BINOMIAL - JUECES EXPERTOS
N° DE JUEZ
ITEMS 1 2 3 4 5 6 7 8 P
1 1 1 1 1 1 1 1 1 0.004
2 1 1 1 1 1 1 1 1 0.004
3 1 1 1 1 1 1 1 1 0.004
4 1 1 1 1 1 1 1 1 0.004
5 1 1 1 1 1 1 1 0 0.031
6 0 1 1 1 1 1 1 1 0.031
7 0 1 1 1 1 1 1 1 0.031
Favorable = 1 (SI)
Desfavorable = 2 (NO)
Si p < 0.05 la concordancia es significativa.
Donde:
: Coeficiente de confiabilidad Alfa de Crombach.
K : Número de Ítems.
Vt : Varianza de cada ítem.
: Varianza Total.
69
La confiabilidad es un valor que oscila entre 0 y 1. Se dice que un instrumento tiene alta
confiabilidad cuando el resultado es mayor de 0,50. El valor fue de 0,8924. Por lo tanto
el instrumento para el presente estudio es altamente confiable.
4.6.2.2. Presupuesto
71
TABLA Nº 7
72
CÓDIGO DESCRIPCIÓN CANTIDAD COSTO UNITARIO TOTAL
TOTAL 3895.00
BIBLIOGRAFIA
73
Burgos Salazar, J., & Campos, P. (s.f.). CEUR. Obtenido de http://ceur-ws.org
Flores Estévez, F., Jiménez Nuñez, D., & Hidalgo Lascano, P. (2012). Diseño
de un Sistema de Gestión de Seguridad de la Información para la
empresa Megadatos S.A. en la ciudad de Quito, aplicando las normas
ISO 27001 e ISO 27002. Proyecto de Tesis, Quito.
Rodriguez , D., Junca, C., Manta, H., & Rocha, D. (2011). Redes de Ingeniería.
Obtenido de http://ingenieria1.udistrital.edu.co/digital/
74
ANEXOS
75