Академический Документы
Профессиональный Документы
Культура Документы
INFORME:
PRESENTADO POR:
DOCENTE:
O ING. PALOMINO OLIVERA, EMILIO
CUSCO – PERU
2018
1
1 INTRODUCCIÓN
La Dirección Regional de Educación Cusco es un órgano especializado del Gobierno
Regional del Cusco, responsable del servicio educativo en el ámbito de la Región Cusco,
encargado de planificar, ejecutar y administrar las políticas y planes regionales en materia
de educación, cultura, deporte, recreación, ciencia y tecnología, con participación de los
diferentes actores sociales a fin de asegurar servicios educativos y programas de atención
integral de calidad y equidad en las instituciones y programas educativos. Commented [FAUP1]: Según quién, hay que citar esto
Actualmente, la Dirección Regional del Cusco cuenta con muchos retos propios a su
competencia. Entre estos, destacan los relacionados a la seguridad de la información,
pues, debido al constante intercambio de información entre distintas entidades, personal
y usuarios, aparecen riesgos potenciales que pueden comprometer el éxito e incluso la
subsistencia de la organización. Commented [FAUP2]: Cómo aseguras esto
Este modelo permite que el sistema opere bajo un principio de mejora continua, que
beneficia permanentemente a la organización, propiciando un manejo adecuado de
la seguridad de su información. Commented [FAUP5]: Cómo puedes asegurar esto,
cita!!
2
2 Contenido
1 INTRODUCCIÓN ................................................................................................................................. 2
2.1 CAPÍTULO I: ASPECTOS GENERALES ............................................................................ 4
1.1 DESCRIPCIÓN ............................................................................................................................. 4
1.2 IDENTIFICACIÓN DEL PROBLEMA.................................................................................. 4
1.3 OBJETIVOS .................................................................................................................................. 5
2.2 OBJETIVOS GENERALES ...................................................................................................... 5
OBJETIVOS ESPECIFICOS .............................................................................................................. 5
2.3 DELIMITACIÓN ......................................................................................................................... 5
2.4 JUSTIFICACION ......................................................................................................................... 5
2.5 METODOLOGÍA SGSI .............................................................................................................. 5
3 MARCO TEÓRICO .............................................................................................................................. 6
3.1 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ............................... 6
3.2 INFORMACIÓN. ......................................................................................................................... 6
3.3 SEGURIDAD DE INFORMACIÓN ....................................................................................... 7
3.4 SISTEMA DE GESTIÓN ........................................................................................................... 7
3.5 CONFIDENCIALIDAD. ............................................................................................................ 7
3.6 INTEGRIDAD. ............................................................................................................................. 7
3.7 DISPONIBILIDAD...................................................................................................................... 7
3.8 RIESGO. ......................................................................................................................................... 7
3.9 CONTROL. .................................................................................................................................... 7
3.10 VULNERABILIDAD. ................................................................................................................. 7
3.11 AMENAZA.................................................................................................................................... 8
3.12 CONSECUENCIA. ...................................................................................................................... 8
3.13 PROPIETARIO DEL RIESGO ................................................................................................. 8
3.14 REQUISITO. ................................................................................................................................. 8
3.15 ESTÁNDARES INVOLUCRADOS........................................................................................ 8
4 PROCESOS Y CONTROLES ................................................................................................................. 9
4.1 PROCESO: DOTACIÓN DEL PERSONAL EN IIEE ................................................................ 9
4.1.1 CONTROLES DEL PROCESO .......................................................................................... 11
4.1.2 FORMATO DE LOS CONTROLES .................................................................................. 12
5 BIBLIOGRAFÍA.................................................................................................................................. 13
3
2.1 CAPÍTULO I: ASPECTOS GENERALES
1.1 DESCRIPCIÓN
La Dirección Regional de Educación Cusco integrante del Gobierno Regional del Cusco,
tiene como tarea la promoción del desarrollo de la persona, modernizar y mejorar la
calidad del servicio, brindar una formación integral y permanente, orientada a desarrollar
equitativamente las capacidades individuales, se caracteriza por su dinamismo en el
marco del proceso de Descentralización, Globalización, la Revolución Científica y
Tecnológica, basado en las TICs, el avance permanente de la información y
comunicación, el nuevo enfoque de la supremacía de los servicios, la calidad y excelencia
del potencial humano que a través de la Educación como proceso de enseñanza -
aprendizaje permanente, son el fundamento del sentido y orientación de nuestra sociedad. Commented [FAUP6]: Falta citar, según quién dices
esto
En los momentos actuales se asiste a una profunda transformación social y económica
definida como la Era del Conocimiento y la mente factura, promoviendo la Educación
para el Aprendizaje y el Saber.
El objetivo fundamental es promover el desarrollo de la persona y garantizar un servicio
educativo de calidad y equidad, respetando la identidad, para que pueda comprender el
mundo y actuar sobre su entorno sustentado en una cultura de valores, a fin de fomentar
la unidad nacional para propiciar mejores condiciones de desarrollo y calidad de vida, a
través de la promoción y difusión de la cultura, el deporte, la ciencia, tecnología y la
búsqueda permanente de una educación de excelencia Commented [FAUP7]: Fuera de contexto
4
1.3 OBJETIVOS
Crear los componentes requeridos para establecer el SGSI: Marco documental, contexto
de la organización, requisitos de los interesados, alcance, política de seguridad de
información y roles del sistema.
Crear los componentes requeridos para implementar el SGSI: Gestión de riesgos,
objetivos de seguridad de información, concientización y operación del sistema. Commented [FAUP11]: masomenos
2.3 DELIMITACIÓN
El alcance del proyecto abarca a la creación de los componentes del Sistema de Gestión
de Seguridad de Información (SGSI), para sus cuatro fases de operación: establecer,
implementar, mantener y mejorar. Estos componentes se aplicarán en los procesos
seleccionados en la consultora de desarrollo y calidad de software. Se limita la
elaboración de los componentes del sistema a los indicados en el estándar ISO/IEC
27001:2014 y otros marcos que esta referencia. Commented [FAUP12]: mal
2.4 JUSTIFICACION
Como se ha indicado, el problema se origina en los riesgos intrínsecos relacionados a la
pérdida de confidencialidad, integridad y disponibilidad de la información, tanto en la
operación de la consultora de software como en la interacción con sus clientes. Por ello,
se han buscado alternativas que constituyan una herramienta para la administración de la
seguridad de información, que atienda las necesidades de la organización de manera
efectiva.
Entonces de acuerdo a la ISO/IEC 27001:2014 el producto para estructurar el gobierno,
gestión y operación de la seguridad de información en la Dirección Regional de
Educación del Cusco, se denominará Sistema de Gestión de Seguridad de la Información
(SGSI), tal como lo establece ese estándar y es lo que propone este documento. Commented [FAUP13]: mal
5
actualizaciones del propio ciclo del sistema. En esta etapa deben ser identificados los
riesgos a los que se encuentran expuestos estos activos para poder adoptar los
controles necesarios para mitigarlos.
3 MARCO TEÓRICO
Todas las definiciones mostradas a continuación provienen de la ISO/IEC 27000:2014 [01],
marco referencial para comprender los términos en los estándares de la familia 27000.
3.2 INFORMACIÓN.
La información es un activo que, al igual que otros activos de negocio importantes, es esencial
para la misión de una organización y por lo tanto necesita ser protegida de forma adecuada. La
información puede ser almacenada en muchas formas, incluyendo: forma digital (por ejemplo:
archivos de datos almacenados en medios electrónicos u ópticos), forma material (por ejemplo:
en el papel), así como la información no estructurada en la forma de conocimiento de los
empleados. La información puede ser transmitida por diversos medios, incluyendo: mensajería,
comunicación electrónica o verbal. Cualquiera que sea la forma que adopte la información o el
medio por el cual sea transmitida, siempre se necesita una protección adecuada. En muchas
organizaciones la información depende de la tecnología de la información y las comunicaciones.
6
Esta tecnología es usualmente un elemento esencial en la organización y permite facilitar la
creación, procesamiento, almacenamiento, transmisión, protección y destrucción de la
información. (ISO/IEC 27000: 2014 - 3.2.2)
3.5 CONFIDENCIALIDAD.
Propiedad de la limitación o restricción de la información a individuos, entidades o procesos no
autorizados. (ISO/IEC 27000: 2014 - 2.61)
3.6 INTEGRIDAD.
Propiedad de [la información de] exactitud y completitud. (ISO/IEC 27000: 2014 - 2.40)
3.7 DISPONIBILIDAD.
Propiedad de [la información de] ser accesible o usable cuando sea demandada por una entidad
autorizada. (ISO/IEC 27000: 2014 - 2.9)
3.8 RIESGO.
Efecto que genera incertidumbre sobre [el logro de] los objetivos [de seguridad de información].
(ISO/IEC 27000: 2014 - 2.68)
3.9 CONTROL.
Medida que modifica la situación del riesgo. (ISO/IEC 27000: 2014 - 2.68)
3.10 VULNERABILIDAD.
Debilidad de un activo o control que puede ser explotada por una o más amenazas. (ISO/IEC
27000: 2014 - 2.83)
7
3.11 AMENAZA.
Causa potencial de un incidente inesperado, que podría resultar e daño a un sistema o a la
organización. (ISO/IEC 27000: 2014 - 2.83)
3.12 CONSECUENCIA.
Resultado de un evento, que afecta a los objetivos. Un evento puede llevar a un rango de
consecuencias. Una consecuencia puede ser certera o incierta y en el contexto de la seguridad de
información es usualmente negativa. Las consecuencias pueden ser expresadas de modo
cualitativo o cuantitativo. Las consecuencias iniciales pueden escalar a través de efectos
derivados. (ISO/IEC 27000: 2014 - 2.14)
3.14 REQUISITO.
Necesidad o expectativa que está establecida, generalmente implícita u obligatoria.
"Generalmente implícita" significa que es costumbre o práctica común para la organización y
partes interesadas cuya necesidad o expectativa bajo consideración es implícita. Un requerimiento
especificado es aquel que está establecido, por ejemplo, en información documentada. (ISO/IEC
27000: 2014 - 2.63)
8
obligatorio, ya que es una propuesta de implementación que no pretende reemplazar a los
requisitos que establece la ISO/IEC 27001: 2013. Este estándar fue publicado el 2010, antes de la
última versión de la ISO/IEC 27001: 2013, por lo que su desarrollo no está diseñado para atender
todos los requisitos de este último.
ISO/IEC 27004:2009 Tecnología de Información. Técnicas de Seguridad. Gestión de
Seguridad de Información. Medición [05]
Este estándar propone un marco para la definición y obtención objetiva de métricas, en el marco
de un SGSI, las cuales deberán estar relacionadas a los requisitos, objetivos y controles de
seguridad de información, de manera que se conviertan en indicadores de la efectividad del
sistema.
ISO/IEC 27005:2008 Tecnología de Información. Técnicas de Seguridad. Gestión del Riesgo
en Seguridad de Información [06]
Este estándar propone un marco para la gestión de riesgos de seguridad de la información, bajo
un enfoque en cuatro etapas: inventario, análisis, evaluación y tratamiento de los riesgos de
seguridad de información. Si bien constituye un esquema válido para la gestión de riesgos en
seguridad de información, está más enfocado en la versión precedente del estándar 27001 (2005).
Se debe tomar en cuenta que la nueva versión del estándar, selecciona como nuevo marco
referencial de riesgos a la ISO 31000:2009 [07].
ISO 31000:2009 Gestión del Riesgo. Principios y Directrices [07] Propone un marco para la
gestión de riesgos y oportunidades, a partir de una evaluación del contexto de la
organización.
Este enfoque es referenciado por la ISO/IEC 27001:2013 [02], como fuente para establecer el
contexto de la organización, además de identificar, evaluar y tratar los riesgos y oportunidades de
seguridad de información.
IEC 31010:2009 Gestión de Riesgo. Técnicas de Apreciación del Riesgo [08] Propone
técnicas y estrategias para la identificación y evaluación de riesgos y oportunidades de
seguridad de información de la organización, complementando las directrices establecidas
en la ISO 31000:2009.
Entre las estrategias propuestas se mencionan la técnica Delphi, la aplicación de Listas de
Verificación, Análisis de Riesgos Preliminar (PHA), HAZOP, Análisis de peligros y puntos
críticos de control (HACCP), Evaluación de Toxicidad, Técnica Estructurada "WHAT-IF"
(SWIFT), Análisis de Escenarios, Análisis de Impacto en el Negocio (BIA), entre otros.
4 PROCESOS Y CONTROLES
9
ORGANO: UNIDAD ORGÁNICA: ÁREA DE ADMINISTRACION
ADMINISTRACION
DENOMINACIÓN DEL OBJETIVO DEL PROCEDIMIENTO:
PROCEDIMIENTO: Establecimiento pautas, pasos y actividades que deben
DOTACIÓN DE implementar para asegurar la dotación oportuna de materiales
PERSONAL EN IIEE educativos a nivel nacional para garantizar el buen inicio del
año escolar
INICIO DEL TIPO DE USUARIO: TIEMPO ESTIMADO
PROCEDIMIENTO: Interno DEL PROCEDIMIENTO
ABASTECIMIENTO Externo 2 meses y medio
10
4.1.1 CONTROLES DEL PROCESO
A.15.2 Gestión de entrega de servicios del proveedor
A.15.2.1 Monitoreo y revisión de servicios de los proveedores
Objetivo: Mantener un nivel de seguridad de la información y entrega de servicios
acordado en línea con los acuerdos con proveedores
A.15.2.1 Monitoreo y Control
revisión de Las organizaciones deben monitorear,
servicios de revisar y auditar regularmente la entrega
los de servicios por parte de los proveedores
proveedores
A.15.2 Gestión de entrega de servicios de los proveedores
A.15.2.2 Gestión de cambios a los servicios de proveedores
11
Objetivo: Mantener un nivel de seguridad de la información y entrega de servicios
acordado en línea con los acuerdos con proveedores
A.15.2.2 Gestión de Control
cambios a Los Cambios a la provisión de servicios por
los servicios parte de proveedores incluyendo el
de mantenimiento y controles existentes de
proveedores seguridad de la información deben ser
gestionadas tomando en cuenta la
criticidad de la información de negocio,
sistemas y procesos involucrados y una
reevaluación de riesgos
12
RESPONSABLE CARGO PREGUNTA RPTA N.P.
Técnico ¿maneja un documento de registro e
proveedores?
Técnico ¿existe un plan de gestión de
transporte de proveedores?
Técnico ¿Cómo se garantiza el correcto
etiquetado?
Técnico ¿cuenta con documento de recepción
del proveedor?
Técnico ¿cuenta con documento de entrega
del proveedor?
5 BIBLIOGRAFÍA
DREC. (2015). Manuel de organización y funciones de la DREC. Cusco: Dirección de
gestión institucional racionalización.
DREC. (2015). Reglamento de organización y funciones de la DREC. Cusco: Dirección
de gestión institucional racionalización.
pmg-ssi. (1 de 08 de 2013). Obtenido de pmg-ssi: https://www.pmg-ssi.com/2013/08/el-
ciclo-pdca-en-el-pmg-ssi/
13