UNIVERSIDAD PERUANA UNIÓN

FACULTAD DE INGENIERÍA Y ARQUITECTURA

Escuela Profesional de Ingeniería de Sistemas

Implementación de los controles de la ISO/IEC 27002:2013 para la

mejora del nivel de seguridad física y lógica de la información en el área
de TI de la Unión Peruana del Norte

Por:

Samuel Gavidia Mamani

Luis Daniel Torres Torres

Asesor:

Ing. Lizeth Geanina Huanca López

Lima, abril de 2018

I
Área temática: Ingeniería de Sistemas y Comunicaciones.

Línea de Investigación – UPEU: Tecnología de Información e Innovación Tecnológica.

Ficha catalográfica:

Gavidia Mamani , Samuel

Implementación de los controles de la ISO/IEC 27002:2013 para la mejora del nivel de
seguridad física y lógica de la información en el área de TI de la Unión Peruana del Norte /
Samuel Gavidia Mamani; Asesor: Ing. Lizeth Geanina Huanca López. –Lima, 2018.
250 páginas: figuras, tablas

Tesis (Licenciatura)--Universidad Peruana Unión. Facultad de Ingeniería y Arquitectura.

Escuela Profesional de Ingeniería de Sistemas, 2018.
Incluye referencias, resumen y anexos.

1. ISO/IEC 27002:2013. 2. Nivel de Seguridad de la Información. 3. COBIT 5. 4. Análisis

de Riesgo. 5. Plan de Tratamiento de Riesgo I. Torres Torres, Luis Daniel, autor.
 Dedicatoria

A nuestros padres que nos apoyaron en todo momento, por inculcarnos valores y principios, a
ellos va nuestra gratitud por apoyarnos siempre.

V
 Agradecimiento

Agradecemos a Dios por hacer que culminemos una etapa más como profesionales en
nuestras vidas, a la escuela de Ingeniería de Sistemas de la UPEU, a la Dra. Erika Acuña, al
Mg. Elías Cuellar, al Mg. Daniel Lévano y al Mg. Omar Loayza por darnos tiempo y sus
enseñanzas para seguir creciendo en nuestros propósitos; además, agradecer al Ing. Carlos
Saavedra jefe del área de TI de la UPN por su dedicación, tiempo y su aporte brindado, y
también a nuestra querida asesora la Ing. Lizeth Geanina Huanca López, por compartir sus
conocimientos en el desarrollo del proyecto de tesis, a todos ellos les damos las gracias por su
colaboración.

VI
 ÍNDICE

ÍNDICE DE FIGURAS ................................................................................................................. x

ÍNDICE DE TABLAS ................................................................................................................. xi
ABREVIATURAS Y ACRÓNIMOS ........................................................................................... xii
RESUMEN ................................................................................................................................xiii
ABSTRACT ............................................................................................................................. xiv
INTRODUCCIÓN ...................................................................................................................... xv
1. CAPÍTULO I: GENERALIDADES DE LA INVESTIGACIÓN .............................................. 1
1.1. Identificación del problema ............................................................................................. 1
1.2. Objetivos ......................................................................................................................... 3
1.2.1. Objetivo general. .......................................................................................................... 3
1.2.2. Objetivos específicos. ................................................................................................... 3
1.3. Hipótesis .......................................................................................................................... 4
1.3.1. Hipótesis general. ......................................................................................................... 4
1.3.2. Hipótesis específicas. .................................................................................................... 4
1.4. Justificación ..................................................................................................................... 5
2. CAPÍTULO II: MARCO TEÓRICO CONCEPTUAL ............................................................. 6
2.1. Estado del arte (Antecedentes) ......................................................................................... 6
2.2. Marco teórico .................................................................................................................. 8
2.2.1. Controles de la Norma ISO/IEC 27002:2013. ............................................................... 9
2.2.1.1. Seguridad de la información. ..................................................................................... 9
2.2.1.2. Norma ISO/IEC 27002:2013. ................................................................................... 11
2.2.2. Mejora del Nivel de la Seguridad Física y Lógica de la Información. ......................... 24
2.2.2.1. Auditoría con el framework COBIT 5....................................................................... 24
2.2.2.2. Norma ISO 27005.................................................................................................... 31
2.2.2.3. Plan de tratamiento de riesgo. .................................................................................. 34
2.2.3. Área de TI de la UPN. ................................................................................................ 37
2.3. Marco conceptual .......................................................................................................... 38
3. CAPÍTULO III: METODOLOGÍA Y MATERIALES ..................................................... 41
3.1. Metodología de investigación ......................................................................................... 41
3.2. Actividades que contiene cada fase de la metodología .................................................... 42
3.2.1. Fase 1: Estudio de la organización. ............................................................................ 42
3.2.2. Fase 2: Evaluación del nivel de seguridad con COBIT. .............................................. 42
3.2.3. Fase 3: Análisis de riesgo de TI. ................................................................................. 43

VII
3.2.4. Fase 4: Elaboración del plan de tratamiento de riesgo. .............................................. 45
3.2.5. Fase 5: Evaluación de la mejora del nivel de seguridad con la ISO 27002. ................. 46
3.3. Nivel de investigación..................................................................................................... 47
3.4. Tipo de investigación ..................................................................................................... 47
3.5. Enfoque de la investigación ............................................................................................ 48
3.6. Población ....................................................................................................................... 48
3.7. Recolección de la información........................................................................................ 49
4. CAPÍTULO IV: INGENIERÍA DE LA PROPUESTA ...................................................... 50
4.1. Fase 1: Estudio de la organización ................................................................................. 50
4.1.1. Actividad 1: Entrevistas con la organización. ............................................................. 50
4.1.2. Actividad 2: Estudio del área de trabajo. ................................................................... 50
4.1.3. Actividad 3: Presentar documento de propuesta de investigación. ............................. 51
4.2. Fase 2: Evaluación del nivel de seguridad con Cobit ...................................................... 51
4.2.1. Actividad 1: Elaboración del instrumento de evaluación. ........................................... 51
4.2.2. Actividad 2: Determinación del nivel de capacidad del proceso con Cobit. ................ 52
4.2.3. Actividad 3: Elaboración del informe. ........................................................................ 54
4.3. Fase 3: Análisis de riesgo de TI ...................................................................................... 55
4.3.1. Actividad 1: Identificar los activos de información..................................................... 55
4.3.2. Actividad 2: Identificar las amenazas. ........................................................................ 56
4.3.3. Actividad 3: Identificar las vulnerabilidades. ............................................................. 57
4.3.4. Actividad 4: Identificación de los riesgos. ................................................................... 58
4.3.5. Actividad 5: Elaborar registro de los riesgos priorizados. .......................................... 58
4.4. Fase 4: Elaboración del Plan de Tratamiento de Riesgo con la ISO 27002 ..................... 60
4.4.1. Actividad 1: Estrategia de tratamiento de riesgo. ....................................................... 60
4.4.2. Actividad 2: Identificación de controles de la norma ISO 27002. ............................... 61
4.4.3. Actividad 3: Definición de Plan de Tratamiento Riesgo.............................................. 62
4.4.4. Actividad 4: Implementación del Plan de Tratamiento de Riesgo............................... 62
4.5. Fase 5: Evaluación de la mejora del nivel de seguridad con la ISO 27002 ...................... 70
4.5.1. Actividad 1: Determinar el nivel de capacidad del proceso......................................... 70
4.5.2. Actividad 2: Elaborar el informe después de la 2da evaluación. ................................. 72
4.5.3. Actividad 3: Evaluación de la mejora. ........................................................................ 72
4.5.4. Actividad 4: Realizar el informe de la mejora. ........................................................... 72
CAPÍTULO V: RESULTADOS DE LA INVESTIGACIÓN ......................................................... 73
5.1. Criterios de evaluación del Modelo de Evaluación de Procesos (PAM) .......................... 73
5.1.1. Criterio 01 DSS05.01: “Las redes y la seguridad de las comunicaciones responden a las
necesidades del negocio”. .......................................................................................................... 73

VIII
5.1.2. Criterio 02 DSS05.02: “La información procesada, almacenada y transmitida por
dispositivos de punto final está protegida”. ............................................................................... 77
5.1.3. Criterio 03 DSS05.03: “Todos los usuarios son identificables de forma única y tienen
derechos de acceso de acuerdo con su función comercia”.......................................................... 81
5.1.4. Criterio 04 DSS05.04: “Se han implementado medidas físicas para proteger la
información del acceso, daño e interferencia no autorizados al ser procesados, almacenados o
transmitidos”. ........................................................................................................................... 84
5.1.5. Criterio 05 DSS05.05: “La información electrónica está debidamente protegida
cuando se almacena, transmite o destruye”. .............................................................................. 86
5.2. Comparativa de Resultados de la Primera evaluación con la Segunda evaluación ......... 89
Conclusiones: ............................................................................................................................ 90
Recomendaciones...................................................................................................................... 91
Referencias ................................................................................................................................ 92
Anexos ...................................................................................................................................... 94

IX
 ÍNDICE DE FIGURAS

Figura 1: Propiedades fundamentales de la Seguridad .................................................................... 9

Figura 2: Estructura piramidal (Dominios de Control) .................................................................. 13
Figura 3: Procesos de Cobit........................................................................................................ 25
Figura 4: Proceso COBIT y sus prácticas de gestión ..................................................................... 26
Figura 5: Niveles de capacidad de los procesos COBIT ................................................................ 28
Figura 6: Escala de calificación .................................................................................................. 29
Figura 7: Criterios del proceso asociados con las prácticas de gestión ........................................... 30
Figura 8: Análisis de Riesgo....................................................................................................... 32
Figura 9: Áreas Vulnerables ....................................................................................................... 33
Figura 10: Actividad para el tratamiento del riesgo ...................................................................... 35
Figura 11: Restricciones a considerarse antes y durante la implementación de los controles
seleccionados ............................................................................................................................. 36
Figura 12: Organigrama funcional del área de TI de la UPN ......................................................... 37
Figura 13: Metodología de Estudio ............................................................................................. 41
Figura 14: Clasificación de tipos de activos de información.......................................................... 55
Figura 15: Escala de Likert ........................................................................................................ 56
Figura 16: Tipos de Amenazas ................................................................................................... 57
Figura 17: Resultados de las 3 Prácticas: Práctica 01, Práctica 02 y Práctica07 ......................... 75
Figura 18: resultado de la primera evaluación del primer criterio de Cobit..................................... 75
Figura 19: resultado de la segunda evaluación del primer criterio de Cobit .................................... 77
Figura 20: Porcentajes de las 2 listas de evaluación: Práctica 01 y Práctica03 ................................ 79
Figura 21: resultado de la primera evaluación del segundo criterio de Cobit .................................. 79
Figura 22: resultado de la segunda evaluación del segundo criterio de Cobit.................................. 81
Figura 23: resultado de la primera evaluación del tercer criterio de Cobit ...................................... 82
Figura 24: resultado de la segunda evaluación del tercer criterio de Cobit ..................................... 83
Figura 25: resultado de la primera evaluación del cuarto criterio de Cobit ..................................... 85
Figura 26: resultado de la segunda evaluación del cuarto criterio de Cobit ..................................... 86
Figura 27: resultado de la primera evaluación del quinto criterio de Cobit ..................................... 87
Figura 28: resultado de la segunda evaluación del quinto criterio de Cobit .................................... 88
Figura 29: Resultados de la Primera evaluación con la Segunda evaluación 89

X
 ÍNDICE DE TABLAS

Tabla 1: Dominios – Objetivos de Control y Controles ISO 27002:2013 ...................................... 12

Tabla 2: Objetivos de control y controles del dominio 5 .............................................................. 15
Tabla 3: Objetivos de control y controles del dominio 8 .............................................................. 15
Tabla 4: Objetivos de control y controles del dominio 11 ............................................................ 16
Tabla 5: Objetivos de control y controles del dominio 9 .............................................................. 18
Tabla 6: Objetivos de control y controles del dominio 10 ............................................................ 20
Tabla 7: Objetivos de control y controles del dominio 12 ............................................................ 20
Tabla 8: Objetivos de control y controles del dominio 13 ............................................................ 22
Tabla 9: Objetivos de control y controles del dominio 14 ............................................................ 23
Tabla 10: Relación de puestos y principales funciones por puesto ................................................. 38
Tabla 11: Criterios de evaluación del PAM para el proceso DSS05 - Gestionar los servicios de
seguridad ................................................................................................................................... 53
Tabla 12: Cuadro de evaluación y resultado obtenido por cada criterio de evaluación en base a la
escala de evaluación del PAM ..................................................................................................... 54
Tabla 13: Niveles de evaluación del riesgo .................................................................................. 59
Tabla 14: Nivel del Tratamiento del riesgo .................................................................................. 59
Tabla 15: Atributos de Clasificación para los Activos de Información ........................................... 63
Tabla 16: Cuadro de evaluación y resultado obtenido por cada criterio de evaluación en base a la
escala de evaluación del PAM ..................................................................................................... 71

XI
 ABREVIATURAS Y ACRÓNIMOS

TI: Tecnología de información

ISO: International Organization for Standardization (Organización Internacional de

Normalización)

IEC: International Electrotechnical Commission (Comisión electrotécnica

Internacional)

COBIT: Control Objetives for Information and related Technology (Objetivos de

control para la información y tecnologías relacionadas)

PAM: Process Assessment Model (Modelo de Evaluación de Procesos)

DSS: Deliver, Service and Support (Entrega, Servicio y Soporte)

UPN: Unión Peruana del Norte

SGSI: Sistema de Gestión de Seguridad de la Información

SI: Seguridad de la Información

IASD: Iglesia Adventista del Séptimo Día

PTR: Plan de tratamiento de riesgo

ISACA: Information Systems Audit and Control Association (Asociación de

Auditoria y Control de Sistemas de Información)

XII
 RESUMEN

Esta tesis tiene por objetivo mejorar el nivel de seguridad física y lógica de la

información del área de TI de la Unión Peruana del Norte.

En conjunto con la norma ISO/IEC 27002:2013, se utilizó el Framework Objetivos

de Control para la información y tecnologías relacionadas (COBIT).

Se implementó una metodología de elaboración propia, para el desarrollo del

proyecto, la cual se complementó en 5 fases. Cada fase contó con la aprobación de

especialistas en el tema para corroborar la veracidad de la implementación, además, cada fase

contiene actividades para desarrollar y cumplir con la mejora en seguridad.

En la fase 1 se desarrolló el compromiso con la organización para la implementación

del proyecto. En la fase 2 y 5 se realizó la evaluación preliminar y la evaluación final. En la

fase 3 se desarrolló el análisis de acuerdo a lo que menciona la norma ISO/IEC: 27005 para la

identificación y medición de riesgos, que abarca sobre la identificación de activos, amenazas

y vulnerabilidades. En la fase 4 se realizó la implementación de los controles seleccionados

de la ISO/IEC 27002:2013.

La implementación de los controles de la ISO/IEC 27002:2013 permite mejorar el

nivel de seguridad de la información del área de Tecnologías de Información (TI) de la Unión

Peruana del Norte (UPN), permitiendo que el área de TI cumpla con el objetivo trazado para

el desarrollo y beneficio de la organización, haciendo que la información se encuentre

protegida y segura en su uso, almacenamiento, procesamiento y distribución.

Palabras Clave: Controles de seguridad, ISO/IEC 27002:2013, Nivel de Seguridad

de la Información, COBIT 5, Análisis de Riesgo, Plan de Tratamiento de Riesgo

XIII
 ABSTRACT

This thesis aims to improve the level of physical and logical security information in

the IT area of the North Peruvian Union.

In conjunction with the ISO/IEC 27002:2013 Standard, the Control objectives

Framework for information and related technologies (COBIT) was used.

A self-elaboration methodology was implemented for the development of the

project, which was complemented in 5 phases. Each phase had the approval of specialists in

the field to corroborate the veracity of the implementation, in addition, each phase contains

activities to develop and comply with the improvement in security.

In Phase 1, the commitment to the Organization for the implementation of the

project was developed. In Phase 2 and 5, the preliminary evaluation and final evaluation were

carried out. In Phase 3, the analysis was developed according to the ISO/IEC: 27005 standard

for the identification and measurement of risks, covering the identification of assets, threats

and vulnerabilities. In Phase 4, the implementation of the selected controls of ISO/IEC

27002:2013 was carried out.

The implementation of the ISO/IEC 27002:2013 controls makes it possible to

improve the level of information security in the Information Technology area (TI) of the

Peruvian North Union (UPN), allowing the IT area to meet the objective laid out for the

Development and benefit of the Organization, making the information protected and secure in

its use, storage, processing and distribution.

Keywords: Safety Controls, ISO/IEC 27002:2013, information security level,

COBIT 5, risk analysis, risk management Plan

XIV
 INTRODUCCIÓN

Hoy en día la seguridad de la información es uno de los puntos más importantes que

toda organización necesita tener, encargada de proteger y salvaguardar la información ante

cualquier amenaza.

Tener la seguridad de la información mínima crea descontrol general en la

organización, lo que origina desventajas en el mercado y posibles quiebras en el futuro; por

eso la seguridad de la información forma parte de los objetivos de las organizaciones, y a

pesar de tener conciencia sobre los daños, muchas organizaciones no se enfrentan a este

punto importante con la dedicación y la responsabilidad con la que debiera tratarse. La Unión

Peruana del Norte (UPN), mediante las actividades que realiza, se dedica al estudio bíblico

llevando a gran parte del país un mensaje de la Iglesia Adventista del Séptimo Día. Para

cualquier evento de la UPN el soporte tecnológico lo da el área de Tecnología de Información

(TI), realizando sus funciones de soporte, infraestructura y desarrollo.

El Área de Tecnologías de Información (TI) es la encargada de velar por la

seguridad de la información en la organización. Esto permite controlar el mantenimiento de

los dispositivos tecnológicos, desarrollo de software y seguridad en la red, para que la

información llegue segura a su destino; además, se encarga de brindar soporte a las distintas

áreas de la UPN, además de brindar accesos a los usuarios de la organización.

La investigación realizada para la organización brindó documentos, registros,

procesos y políticas de seguridad de la información, establecidas por los controles de la

norma ISO/IEC 27002:2013, que permiten mejorar el nivel de la seguridad de la

organización.

XV
 1. CAPÍTULO I: GENERALIDADES DE LA INVESTIGACIÓN

1.1. Identificación del problema

Romo Villafuerte & Valarezo Constante (2012) mencionan que para la protección de los

activos de la información nos basamos en los pilares fundamentales de la seguridad de la

información que son disponibilidad, integridad y confidencialidad.

Al no cumplir con esos 3 puntos importantes, se genera una desorganización general

internamente, llegando a tener desventajas y pérdidas que perjudiquen el crecimiento de la

organización en el mercado, por eso la seguridad de la información está dentro de los

objetivos de las organizaciones, y a pesar de esa concienciación generalizada, muchas de

ellas no se enfrentan a este problema con suma importancia, dedicación y responsabilidad con

la que debiera tratarse.

Según Aguirre & Aristizabal (2013), ante el rápido desarrollo, incremento y

sofisticación de la tecnología, también va en aumento los ataques cibernéticos en las

organizaciones, donde se manifiestan las necesidades de la organización, por ello se tendrá

que tomar medidas que ayuden a proteger la información de los ataques.

Teniendo la tecnología necesaria a disposición se puede llegar a gestionar y manejar

un mejor control de la información en las organizaciones. Con el transcurrir del tiempo la

tecnología avanza y la organización tiene que sincronizar sus procesos con los objetivos para

así cumplir con los requisitos de la organización. La seguridad de la información se suele

comparar con una sucesión, llegando a saber que es segura y confiable si el eslabón más débil

también cumple con ello. Se necesita tratar la seguridad de información para encontrar ese

eslabón y protegerlo, estableciendo puntos importantes para la protección de ella, tales como:

establecimiento de políticas de seguridad de la información, y un establecimiento eficiente y

eficaz en la seguridad física y lógica de la información.

1
 El área de TI de la UPN programa sus funciones de acuerdo al Plan Operativo Anual

(POA), donde se percibía que carecían de una infraestructura apropiada para el desarrollo de

sus actividades. Adicionalmente, se observaba que existía un mal manejo de las políticas de

seguridad de la información, puesto que estas no se encontraban documentadas, ni estaban

bien definidas, además de no ser revisadas constantemente, igualmente se distinguió que

existía una ineficiente gestión de riesgos de la información, por lo que se llegó a percibir que

dentro del área de TI de la UPN existió un bajo nivel de gestión de la seguridad física y

lógica de la información. Entre los factores principales que intervinieron se halló que hubo

medidas limitadas de seguridad de la información a nivel lógico y físico lo que conllevaba a

darse posibles errores los cuales podrían ser: pérdida de información, fallas en los sistemas y

aplicaciones, fallas internas en los activos de información, entre otros. Esta situación

motivaba la vulnerabilidad de la información, lo que se agravaba por el desconocimiento de

la norma ISO/IEC 27002 para la Gestión de la Seguridad de la Información por parte del

personal del Área de TI. (C. Saavedra, entrevista personal, 29 de marzo del 2016). Como

consecuencia, era probable que se dieran ataques y riesgos en los activos de la información,

lo cual conllevaba a que existiese un bajo control en el acceso lógico y físico de la

información.

La ineficiente gestión de riesgos se dio por la inadecuada identificación de activos de

información, identificación de vulnerabilidades e identificación de amenazas de los activos,

donde en este último se tuvo poco conocimiento de los tipos de amenazas, por lo cual la

organización no brindaba los beneficios que se esperaba y con ello pudieron ocurrir grandes

pérdidas, que pudiesen generar altos costos para restablecer los activos de información y a la

vez poder generar un alto impacto de los riesgos sobre la organización.

Ante la deficiente difusión de temas sobre seguridad de la información, hubo la

posibilidad de generarse grandes problemas en la infraestructura por las deficientes prácticas

2
de seguridad por parte del personal. Con estos factores la organización perdería credibilidad,

estructura e integridad en el área de TI.

Las pérdidas y deterioros de equipos informáticos pudieron darse por no tener un

control sobre medidas de seguridad física de la información, donde la organización corría el

riesgo de perder todo lo invertido en la seguridad de la información.

El ineficiente aseguramiento de la integridad, disponibilidad y confiabilidad de la

información, pudo generar un desconcierto en toda la organización, al tener la información

expuesta ante cualquier amenaza, lo que pudiese conllevar a tener una pérdida inminente de

la información.

 Planteamiento del problema

¿En qué medida la implementación de los controles de la Norma ISO/IEC

27002:2013 mejora el nivel de seguridad física y lógica de la información en el área de TI de

la Unión Peruana del Norte?

1.2. Objetivos

1.2.1. Objetivo general.

Implementar los controles de la ISO/IEC 27002:2013 para la mejora del nivel de

seguridad física y lógica de la información en el área de TI de la Unión Peruana del Norte.

1.2.2. Objetivos específicos.

 Realizar una auditoría inicial de los controles de la ISO/IEC 27002:2013 para la

mejora del nivel de seguridad física y lógica de la información en el área de TI de la

Unión Peruana.

 Realizar un análisis de riesgo para la identificación de los controles de la ISO/IEC

27002:2013 para la mejora del nivel de seguridad física y lógica de la información

en el área de TI de la Unión Peruana del Norte.

3
  Desarrollar un plan de tratamiento de riesgo que contenga los controles de la

ISO/IEC 27002:2013 identificados para la mejora del nivel de seguridad físico y

lógico de la información del área de TI de la UPN

 Realizar una auditoría posterior de los controles de la ISO/IEC 27002:2013 para la

mejora del nivel de seguridad física y lógica de la información en el área de TI de la

Unión Peruana del Norte

1.3. Hipótesis

1.3.1. Hipótesis general.

La implementación de los controles de la ISO/IEC 27002:2013 mejora

significativamente el nivel de seguridad física y lógica de la información en el área de TI de

la Unión Peruana del Norte

1.3.2. Hipótesis específicas.

 La realización de una auditoría inicial de los controles de la ISO/IEC 27002:2013

mejora significativamente el nivel de seguridad física y lógica de la información en

el área de TI de la Unión Peruana del Norte.

 La realización de un análisis de riesgo permite la identificación de los controles de la

ISO/IEC 27002:2013 para la mejora significativa del nivel de seguridad física y

lógica de la información en el área de TI de la Unión Peruana del Norte.

 La elaboración del plan de tratamiento de riesgo basado en los controles

identificados en la norma ISO/IEC 27002:2013 permite la mejora significativa del

nivel de seguridad física y lógica de la información en el área de TI de la Unión

Peruana del Norte.

 La realización de una auditoría posterior de los controles de la ISO/IEC 27002:2013

mejora significativamente el nivel de seguridad física y lógica de la información en

el área de TI de la Unión Peruana del Norte.

4
1.4. Justificación

La auditoría en general es una actividad independiente y objetiva de aseguramiento,

donde se obtiene el nivel de seguridad de la información, las cuales muestran la actualidad y

con ello se brinda mejoras para la organización.

Todo esto permite alcanzar los objetivos propuestos en la investigación, además de

mejorar el valor de los procesos y medir el nivel de riesgo de la información.

1.4.1. Justificación teórica.

La información lógica y física que las organizaciones cuentan hoy en día es enorme,

la que se debe proteger mejorando el nivel de seguridad física y lógica de la organización.

Nuestra investigación permite conocer el nivel de seguridad de la información para el Área de

TI de la Unión Peruana del Norte, realizando una auditoría pre y post implantación de la

mejora.

1.4.2. Justificación metodológica.

La metodología propuesta para la investigación combina las buenas prácticas del

framework de los objetivos de control para la información y tecnología relacionada (Cobit 5)

y la ISO 27001:2013; con esta propuesta se realiza el análisis situacional (Proceso DSS05 –

Gestionar los Servicios de Seguridad – Cobit 5) y se implementa las mejoras del nivel de

seguridad (ISO/IEC 27002:2013), propuesta que puede ser utilizada en otras organizaciones

análogas.

1.4.3. Justificación práctica.

El resultado de la investigación aporta a mejorar el nivel de seguridad de la

información, basada en la implementación de los controles de la ISO/IEC 27002:2013:

Políticas de seguridad, seguridad lógica y seguridad física, lo que minimiza los riesgos y se

optimiza el nivel de seguridad de la información

5
 2. CAPÍTULO II: MARCO TEÓRICO CONCEPTUAL

2.1. Estado del arte (Antecedentes)

Mazorra, Toapanta, & Briones (2008) en su investigación, “Implementar Política de

Seguridad a Nivel de Hardware y aplicado a una Empresa Pequeña” Guayaquil – Ecuador,

tienen como objetivo general, el poder implementar una red de datos y emplear en su

totalidad las políticas de seguridad bajo un nivel de hardware para que prevengan el acceso

de usuarios que no son deseados en la red. Añaden también que será un modelo de políticas

sobre seguridad que serán aplicadas a pequeñas empresas. El desarrollo de esta tesis consta

de cuatro capítulos; en el primer capítulo tocan el tema de las tecnologías de red y describen

algunas de las amenazas que son usuales para las redes de datos, incluyen también en este

capítulo la mención de herramientas para la monitorización de las redes de datos tanto a un

nivel de software como hardware. En el segundo capítulo realizan la elaboración de políticas

de seguridad proponiendo una manera de realizar el análisis para instaurar las políticas de

seguridad y luego redactar tales políticas bajo un nivel de hardware el cual les permitirá

llegar a un nivel deseado de seguridad. En el tercer capítulo realizan un caso de estudio a una

empresa pequeña donde se procedió a evaluar de manera completa la posición de seguridad

de red mediante un minucioso análisis a sus dispositivos. Se determina que las políticas de

seguridad se implementan para obtener una protección contra las amenazas. Incluso se

gestiona la seguridad por medio de simulaciones periódicas y revisiones para corroborar si es

que los controles siguen siendo apropiados y eficaces. En el último capítulo se estimaron los

costos para la implementación del caso de estudio y posteriormente se hizo el análisis

costo/beneficio. El aporte de este proyecto de tesis es de vital importancia para el desarrollo

de nuestras políticas de seguridad a nivel físico, puesto que ayudan a tener un mejor enfoque

sobre las medidas que se debiesen adoptar e implantar para un eficaz resguardo.

6
 Cedeño (2017) en la tesis, “Planes y Controles de Tratamiento de Riesgos

Tecnológicos para la Gestión de Información basado en Normas de Seguridad: Caso

GADPE”, Esmeraldas – Ecuador, tiene como objetivo general “Mejorar los riesgos y

amenazas a los que se ve fuertemente expuesta la información de la unidad informática del

Gobierno autónomo descentralizado de la provincia de Esmeraldas (GADPE) mediante la

propuesta de políticas y el plan de tratamiento de riesgo basados en la norma de seguridad”.

Para el desarrollo de esta tesis se describieron políticas de seguridad de la información, las

que permitirán obtener una rápida respuesta y una ágil detección de las amenazas e incidentes

de seguridad, a la vez la elaboración y/o diseño de métricas que permitan obtener resultados

comparables y reproducibles para la medición de la eficacia de los controles o grupo de

controles. Por último, para la elaboración de su plan de tratamiento de riesgo se dio a través

de la implantación de controles y procedimientos de monitorización para la detección a

tiempo de posibles incidentes. Además de ello, mencionan que la normativa la cual se usó

conlleva un conjunto de controles para el eficiente tratamiento de la información de la

institución certificando su integridad, confiabilidad y disponibilidad. El aporte de este

proyecto de tesis es de vital importancia para el desarrollo de la elaboración de nuestro Plan

de tratamiento de riesgo, ya que se basan en el desarrollo y definición de políticas de

seguridad, la cual será útil para el eficiente resguardo de la información, además de la

implantación de los controles de la norma ISO 27002, los cuales permitirán minimizar y

reducir los riesgos y amenazas que pudiesen surgir en la organización, estando así la

información integra y segura en todas sus dimensiones.

Aguirre & Aristizabal (2013) en la tesis, “Diseño del sistema de gestión de

seguridad de la información para el grupo empresarial la ofrenda” Pereyra – Colombia,

tuvieron el objetivo de “Diseñar el sistema de gestión de seguridad de la información para el

Grupo Empresarial La Ofrenda”. Según lo que menciona el desarrollo del proyecto, la

7
implementación de sistema de gestión de seguridad de la información (SGSI) ayuda a

contribuir con el funcionamiento de la organización; la norma ISO/IEC 27001 ayuda a las

empresas a tratar de manera eficaz la seguridad de la información brindando controles de

soporte que permite cumplir con la confidencialidad, integridad y disponibilidad de la

información. Por ello, para la empresa, es importante implementar un SGSI, porque permite

llevar a cabo la reorganización en todas las áreas cumpliendo con la norma, generando una

estabilidad en infraestructura, donde esté a la altura de las grandes organizaciones que buscan

las certificaciones de la norma. Este trabajo aportó a la investigación, porque permitió

conocer, cómo gestionar un estudio de riesgo con la herramienta Cobit logrando un análisis

que permita controlar las amenazas, vulnerabilidades y activos de la información.

2.2. Marco teórico

Para deducir el problema que tiene una empresa se necesita tener la capacidad para

determinar las acciones que realiza la organización, es importante entender términos y

definiciones que son fundamentales y que a lo largo de la investigación serán citados. Las

definiciones serán el soporte de ayuda para otorgar un resultado viable a la problemática

identificada. Los términos claves dentro del proyecto de investigación son:

● Controles de la Norma ISO/IEC 27002:2013

● Mejora del nivel de seguridad física y lógica de la información

● Área de TI de la Unión Peruana del Norte

A continuación, se detalla los términos o conceptos que están contenidos dentro de

ellos, y que son importantes para el análisis y alcance del problema.

8
2.2.1. Controles de la Norma ISO/IEC 27002:2013.

2.2.1.1. Seguridad de la información.

Según Parra (2017) la información es un medio o recurso que al igual que el resto de

los activos, posee un valor importante para toda organización, por lo cual tendría que ser

debidamente protegida.

La seguridad de la información la resguarda de diversas amenazas, con el propósito

de asegurar la continuidad del negocio, reducir el daño al mismo y reducir el retorno sobre las

oportunidades e inversiones.

Córdova J. (2012) menciona que la seguridad de la información posee tres pilares

importantes: la integridad, confidencialidad y disponibilidad de la información.

Confidencialidad: Según Caccuri (2012), “debe tener la capacidad de proteger la

información ante el intento de acceso de divulgación a otros usuarios no autorizados.

Consiste en asegurar la privacidad de los datos. Solamente los individuos, procesos o

dispositivos autorizados pueden acceder a ellos”.

Integridad: Según Caccuri (2012), “la información debe estar completa y no ser

alterada o modificada sin autorización. La integridad se refiere a la protección de la

información de acciones tanto deliberadas como accidentales”.

Disponibilidad: Según Pacheco & Jara (2010), “la disponibilidad garantiza que los

recursos del sistema y la información estén disponibles solo para usuarios autorizados en el

momento que los necesiten.”

En la Figura 1 se aprecia los tres pilares básicos de la seguridad de la información.

Figura 1: Propiedades fundamentales de la Seguridad (Fuente: infosegur)

9
A. Requerimientos de seguridad de la información

Según Project Management Consultores de Proyectos (2006), existen tres fuentes

primordiales para los requerimientos en referencia a la seguridad de la información. La

primera fuente deriva de hacer una evaluación de riesgo para la organización, al tener en

cuenta los objetivos y estrategia de negocio. A través de esta evaluación de riesgos se

identifican las amenazas pertenecientes a los activos, se evalúa su vulnerabilidad y su

probabilidad de ocurrencia y se estima o calcula su impacto potencial. La segunda fuente son

los requerimientos reguladores, requerimientos legales, requerimientos contractuales y

requerimientos estatutarios que se ven en la necesidad de complacer a una organización, a los

contratistas, a sus socios comerciales y proveedores de servicio y su entorno socio-cultural.

La tercera fuente es con los objetivos, conjunto particular de principios y los

requerimientos comerciales para el desarrollo de la información que una organización ha

procesado para mantener sus operaciones.

B. Entidades implicadas en la seguridad de la información

Según Areitio (2008), las actividades de seguridad deben ser tomadas en cuenta por

todo el personal relacionado con los sistemas de información, como son:

 Desarrolladores de software y Fabricantes de productos.

 Integradores de datos en el sistema.

 Compradores, que pueden ser organizaciones o usuarios finales.

 Organizaciones de evaluación de la seguridad, como certificadores de sistemas,

evaluadores de productos o acreditares de operación.

 Administradores de sistemas y de seguridad.

 Terceras partes confiables (TTP), como son las autoridades de certificación,

fedatarios electrónicos con servicios de firma electrónica avanzada y sellado

temporal.

10
  Consultores u organizaciones de servicios, por ejemplo, servicios de externalización

u outsourcing de la gestión de la seguridad.

2.2.1.2. Norma ISO/IEC 27002:2013.

La ISO 27002 es una guía de recomendaciones de buenas prácticas para la gestión

de la información. Otorga directrices a las normas de seguridad de la información en las

prácticas de seguridad de la información y en las organizaciones, abarcando la selección,

implementación y la administración de controles considerando el contexto de seguridad de la

información de la organización.

Para Perú se tiene la NTP-ISO/IEC 1799, y según ISOTools Excellence (2015),

“Ofrece todas las recomendaciones para poder gestionar un Sistema de Seguridad de la

información (SSI), al igual que la norma internacional ISO 27001, ofrece los requisitos

necesarios para que los responsables del área en concreto puedan iniciar, implantar, mantener

y mejorar la seguridad en las organizaciones.”. Aparte de ello se tiene NTP-ISO/IEC

27002:2017 para la seguridad de la información.

La ISO 27002 es de suma importancia para el desarrollo en la mejora del nivel de

seguridad de la información, puesto que establece los controles a seguir para certificar la

disponibilidad, confidencialidad e integridad de la información.

A. Historia de la Norma ISO/IEC 27002

Prada (2009) menciona que esta norma nace como evolución histórica de la norma

británica BS 7799, ya en el 2000 se le conoce como ISO/IEC 17999 y en el año 2005 pasa a

llamarse ISO/27002 para formar parte de la familia de la ISO 27000.

B. Contenido de la Norma ISO/IEC 27002:2013

Gutiérrez (2013) señala que en esta versión nueva de la norma se hallan los controles

que intentan disminuir la posibilidad de ocurrencia y/o el impacto de los variados riesgos al

cual se encuentra expuesta una organización.

11
 Manjón (2015) menciona que con el reajuste de esta norma las organizaciones

podrán hallar una guía que les sea útil para implementar los controles de seguridad en una

organización y de las prácticas más eficientes para la gestión en la seguridad de la

información.

La norma ISO/IEC 27002:2013 contiene 14 dominios, 35 objetivos de control y 114

controles. En la Tabla 1 se muestra los respectivos dominios de la norma ISO 27002:2013

con sus respectivos objetivos de control y cantidades de controles.

Tabla 1:
Dominios – Objetivos de Control y Controles ISO 27002:2013

ÍTEMS DOMINIOS OBJETIVOS DE CONTROL Nº CONTROLES

1 POLÍTICA DE SEGURIDAD DE LA 1.1 DIRECTRICES DE GESTIÓN DE LA SEGURIDAD DE LA 2

INFORMACIÓN INFORMACIÓN

2 ORGANIZACIÓN DE LA 2.1 ORGANIZACIÓN INTERNA 5

SEGURIDAD DE LA INFORMACIÓN 2.2 LOS DISPOSITIVOS MÓVILES Y EL TELETRABAJO 2

3 SEGURIDAD RELATIVA A LOS 3.1 ANTES DEL EMPLEO 2

RECURSOS RUMANOS 3.2 DURANTE EL EMPLEO 3
3.3 FINALIZACIÓN DEL EMPLEO O CAMBIO EN EL 1
PUESTO DE TRABAJO

4 GESTIÓN DE ACTIVOS 4.1 RESPONSABILIDAD SOBRE LOS ACTIVOS 4

4.2 CLASIFICACIÓN DE LA INFORMACIÓN 3
4.3 MANIPULACIÓN DE LOS SOPORTES 3

5 CONTROL DE ACCESO 5.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE 2

ACCESOS 6
5.2 GESTIÓN DE ACCESO DE USUARIO 1
5.3 RESPONSABILIDADES DEL USUARIO 5
5.4 CONTROL DE ACCESO A SISTEMAS Y APLICACIONES

6 CRIPTOGRAFÍA 6.1 CONTROLES CRIPTOGRÁFICOS 2

7 SEGURIDAD FÍSICA Y DEL 7.1 ÁREAS SEGURAS 6

ENTORNO 7.2 SEGURIDAD DE LOS EQUIPOS 9

8 SEGURIDAD DE LAS 8.1 PROCEDIMIENTOS Y RESPONSABILIDADES 4

OPERACIONES OPERACIONALES 1
8.2 PROTECCIÓN CONTRA EL SOFTWARE MALICIOSO 1
(MALWARE) 4
8.3 COPIAS DE SEGURIDAD 1
8.4 REGISTROS Y SUPERVISIÓN 2
8.5 CONTROL DEL SOFTWARE EN EXPLOTACIÓN 1
8.6 GESTIÓN DE LA VULNERABILIDAD TÉCNICA
8.7 CONSIDERACIONES SOBRE LA AUDITORIA DE
SISTEMAS DE INFORMACIÓN

12
ÍTEMS DOMINIOS OBJETIVOS DE CONTROL N° DE
CONTROLES

9 SEGURIDAD DE LAS 9.1 GESTIÓN DE LA SEGURIDAD DE REDES 3

COMUNICACIONES 9.2 INTERCAMBIO DE INFORMACIÓN 4

10 ADQUISICIÓN, DESARROLLO Y 10.1 REQUISITOS DE SEGURIDAD EN SISTEMAS DE 3

MANTENIMIENTO DE LOS INFORMACIÓN
SISTEMAS DE INFORMACIÓN 10.2 SEGURIDAD EN EL DESARROLLO Y EN LOS 9
PROCESOS DE SOPORTE
10.3 DATOS DE PRUEBA 1

11 RELACIÓN CON PROVEEDORES 11.1 SEGURIDAD EN LAS RELACIONES CON 3

PROVEEDORES 2
11.2 GESTIÓN DE LA PROVISIÓN DE SERVICIOS DEL
PROVEEDOR

12 GESTIÓN DE INCIDENTES DE 12.1 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA 7

SEGURIDAD DE LA INFORMACIÓN INFORMACIÓN Y MEJORAS

13 ASPECTOS DE SEGURIDAD DE LA 13.1 CONTINUIDAD DE LA SEGURIDAD DE LA 3

INFORMACIÓN PARA LA GESTIÓN INFORMACIÓN 1
DE LA CONTINUIDAD DEL 13.2 REDUNDANCIAS
NEGOCIO

14 CUMPLIMIENTO 14.1 CUMPLIMIENTO DE LOS REQUISITOS LEGALES Y 5

CONTRACTUALES
14.2 REVISIONES DE LA SEGURIDAD DE LA 3
INFORMACIÓN

Fuente: Enunciado adoptado de la Norma ISO 27002:2013 (AENOR, (2015))

 Estructura piramidal (Dominios de control)

En la Figura 2 se observa los dominios de control la Norma ISO 27002:2013

enmarcados dentro de 4 vertientes tales como: seguridad organizativa, seguridad física,

seguridad lógica y seguridad legal; y bajo tres niveles: operacional, estratégico y táctico.

Figura 2: Estructura piramidal (Dominios de Control) (Fuente: Elaboración propia)

13
C. Selección de controles

Según AENOR (2015), la selección de controles a depender de las determinaciones

de carácter organizativo basadas sobre los criterios de aceptación de riesgo, elecciones de

tratamiento de riesgo y de los enfoques generales de gestión de riesgo adaptado en la

organización. También tendría que depender, de toda la legislación internacional y nacional

aplicable. La selección de controles dependerá igualmente del modo en que los controles

interactúen para brindar una protección en profundidad.

Dentro de esta norma algunos controles pueden considerarse como principios o

normas que dirigen la gestión de la seguridad de la información, siendo así aplicables en la

mayoría de las organizaciones.

D. Seguridad física

La seguridad física es importante para toda organización, puesto que se necesita

proteger el acceso físico a las áreas de información, esta deducción entiende que ante

cualquier eventualidad que perjudique a la información, se tenga que prever un mejor análisis

de seguridad. Ante ello, la falta de análisis en las áreas de información sobre seguridad física,

algunas empresas pierden credibilidad y presupuesto que no se encontraba como inversión,

por ello se recomienda concientizar a las empresas sobre la importancia de la seguridad

física.

Para cumplir con la necesidad que algunas empresas desconocen sobre la seguridad

física, la norma ISO/IEC 27002:2013 establece controles de seguridad físicos, que indica que

parámetros cumplir, para la protección segura sobre los equipos que se encuentran en el área

de información, permitiendo restricciones sobre el acceso a ellos.

A continuación, de la Tabla 2 a la Tabla 4, se muestran los controles de seguridad

física seleccionados para la implementación. Los controles fueron seleccionados durante la

elaboración del Plan de Tratamiento de Riesgo y mediante el proceso DSS05 – “Gestionar los

14
servicios de Seguridad" de COBIT. A esto se les considero algunos de los controles de los

dominios 5 y 8 tanto para la seguridad física como para la lógica.

En la Tabla 2 se muestra todo el contenido del Dominio 5, del cual, para nuestra

implementación, se consideró el control 5.1.1

Tabla 2:
Objetivos de control y controles del dominio 5
5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.1 DIRECTRICES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
OBJETIVO: PROPORCIONAR ORIENTACIÓN Y APOYO A LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
DE ACUERDO CON LOS REQUISITOS DEL NEGOCIO, LAS LEYES Y NORMAS PERTINENTES
5.1.1 POLÍTICAS PARA LA CONTROL:
SEGURIDAD DE LA UN CONJUNTO DE POLÍTICAS PARA LA SEGURIDAD DE LA
INFORMACIÓN INFORMACIÓN DE ACUERDO CON LOS REQUISITOS DEL NEGOCIO,
LAS LEYES Y NORMAS PERTINENTES
5.1.2 REVISIÓN DE LAS CONTROL:
POLÍTICAS PARA LA LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DEBERÍAN
SEGURIDAD DE LA REVISARSE A INTERVALOS PLANIFICADOS O SIEMPRE QUE SE
INFORMACIÓN PRODUZCAN CAMBIOS SIGNIFICATIVOS, A FIN DE ASEGURAR QUE
SE MANTENGA SU IDONEIDAD, ADECUACIÓN Y EFICACIA
Fuente: ISO 27002:2013 (AENOR, (2015))
En la Tabla 3 se muestra todo el contenido del Dominio 8, del cual, para nuestra

implementación, se consideraron los controles 8.1.1 y 8.2.1

Tabla 3:
Objetivos de control y controles del dominio 8
8. GESTIÓN DE ACTIVOS
8.1 RESPONSABILIDAD SOBRE LOS ACTIVOS
OBJETIVO: IDENTIFICAR LOS ACTIVOS DE LA ORGANIZACIÓN Y DEFINIR LAS RESPONSABILIDADES DE
PROTECCIÓN ADECUADAS
8.1.1 INVENTARIO DE CONTROL:
ACTIVOS LA INFORMACIÓN Y OTROS ACTIVOS ASOCIADOS A LA
INFORMACIÓN Y A LOS RECURSOS PARA EL TRATAMIENTO DE LA
INFORMACIÓN DEBERÍAN ESTAR CLARAMENTE IDENTIFICADOS Y
DEBERÍA ELABORARSE Y MANTENERSE UN INVENTARIO
8.1.2 PROPIEDAD DE LOS CONTROL:
ACTIVOS TODOS LOS ACTIVOS QUE FIGURAN EN EL INVENTARIO DEBERÍAN
TENER UN PROPIETARIO
8.1.3 USO ACEPTABLE DE CONTROL:
LOS ACTIVOS SE DEBERÍAN IDENTIFICAR, DOCUMENTAR E IMPLEMENTAR LAS
REGLAS DE USO ACEPTABLE DE LA INFORMACIÓN Y DE LOS
ACTIVOS ASOCIADOS CON LOS RECURSOS PARA EL TRATAMIENTO
DE LA INFORMACIÓN
8.1.4 DEVOLUCIÓN DE CONTROL:
ACTIVOS TODOS LOS EMPLEADOS Y TERCERAS PARTES DEBERÍAN
DEVOLVER TODOS LOS ACTIVOS DE LA ORGANIZACIÓN QUE ESTÉN
EN SU PODER AL FINALIZAR SI EMPLEO, CONTRATO O ACUERDO

8.2 CLASIFICACIÓN DE LA INFORMACIÓN

OBJETIVO: ASEGURAR QUE LA INFORMACIÓN RECIBA UN NIVEL ADECUADO DE PROTECCIÓN DE ACUERDO
CON SU IMPORTANCIA PARA LA ORGANIZACIÓN

15
 8.2.1 CLASIFICACIÓN DE LA CONTROL:
INFORMACIÓN LA INFORMACIÓN DEBERÍA SER CLASIFICADA EN TÉRMINOS DE LA
IMPORTANCIA DE SU RELEVANCIA FRENTE A REQUISITOS
LEGALES, VALOR, SENSIBILIDAD Y CRITICIDAD ANTE REVELACIÓN
O MODIFICACIÓN NO AUTORIZADAS
8.2.2 ETIQUETADO DE LA CONTROL:
INFORMACIÓN DEBERÍA DESARROLLARSE E IMPLEMENTARSE UN CONJUNTO DE
PROCEDIMIENTOS PARA ETIQUETAR LA INFORMACIÓN, DE
ACUERDO CON EL ESQUEMA DE CLASIFICACIÓN ADOPTADO POR
LA ORGANIZACIÓN
8.2.3 MANIPULADO DE LA CONTROL:
INFORMACIÓN DEBERÍA DESARROLLARSE E IMPLEMENTARSE UN CONJUNTO DE
PROCEDIMIENTOS PARA LA MANIPULACIÓN DE LA INFORMACIÓN,
DE ACUERDO CON EL ESQUEMA DE CLASIFICACIÓN ADOPTADO
POR LA ORGANIZACIÓN
8.3 MANIPULACIÓN DE LOS SOPORTES
OBJETIVO: EVITAR LA REVELACIÓN, MODIFICACIÓN, ELIMINACIÓN O DESTRUCCIÓN NO AUTORIZADAS DE
LA INFORMACIÓN ALMACENADA EN SOPORTES
8.3.1 GESTIÓN DE CONTROL:
SOPORTES SE DEBERÍAN IMPLEMENTAR PROCEDIMIENTOS PARA LA GESTIÓN
EXTRAÍBLES DE LOS SOPORTES EXTRAÍBLES, DE ACUERDO CON EL ESQUEMA DE
CLASIFICACIÓN ADOPTADO POR LA ORGANIZACIÓN
8.3.2 ELIMINACIÓN DE CONTROL:
SOPORTES LOS SOPORTES DEBERÍAN ELIMINARSE DE FORMA SEGURA
CUANDO YA NO VAYAN A SER NECESARIOS, MEDIANTE
PROCEDIMIENTOS FORMALES.
8.3.3 SOPORTES FÍSICOS EN CONTROL:
TRÁNSITO DURANTE EL TRANSPORTE FUERA DE LOS LÍMITES FÍSICOS DE LA
ORGANIZACIÓN, LOS SOPORTES QUE CONTENGAN INFORMACIÓN
DEBERÍAN ESTAR PROTEGIDOS CONTRA ACCESOS NO
AUTORIZADOS, USOS INDEBIDOS O DETERIORO.
Fuente: ISO 27002:2013 (AENOR, (2015))

En la Tabla 4 se muestra todo el contenido del Dominio 11, del cual, para nuestra

implementación, se consideraron los controles 11.1.1 y 11.2.1

Tabla 4:
Objetivos de control y controles del dominio 11

11. SEGURIDAD FÍSICA Y DEL ENTORNO

11.1 ÁREAS SEGURAS
OBJETIVO: PREVENIR EL ACCESO FÍSICO NO AUTORIZADO, LOS DAÑOS E INTERFERENCIA A LA
INFORMACIÓN DE LA ORGANIZACIÓN Y A LOS RECURSOS DE TRATAMIENTO DE LA INFORMACIÓN
11.1.1 PERÍMETRO DE CONTROL:
SEGURIDAD FÍSICA SE DEBERÍAN UTILIZAR PERÍMETROS DE SEGURIDAD PARA
PROTEGER LAS ÁREAS QUE CONTIENEN INFORMACIÓN SENSIBLE
ASÍ COMO LOS RECURSOS DE TRATAMIENTO DE LA INFORMACIÓN
11.1.2 CONTROLES FÍSICOS CONTROL:
DE ENTRADA LAS ÁREAS SEGURAS DEBERÍAN ESTAR PROTEGIDAS MEDIANTE
CONTROLES DE ENTRADA ADECUADOS, PARA ASEGURAR QUE
ÚNICAMENTE SE PERMITE EL ACCESO AL PERSONAL AUTORIZADO
11.1.3 SEGURIDAD DE CONTROL:
OFICINAS, PARA LAS OFICINAS, DESPACHOS Y RECURSOS, SE DEBERÍA
DESPACHOS Y DISEÑAR Y APLICAR LA SEGURIDAD FÍSICA
RECURSOS

16
11.1.4 PROTECCIÓN CONTRA CONTROL:
AMENAZAS SE DEBERÍA DISEÑAR Y APLICAR UNA PROTECCIÓN FÍSICA
EXTERNAS Y CONTRA DESASTRES NATURALES, ATAQUES PROVOCADOS POR EL
AMBIENTALES HOMBRE O ACCIDENTES
11.1.5 EL TRABAJO EN CONTROL:
ÁREAS SEGURAS SE DEBERÍAN DISEÑAR E IMPLEMENTAR PROCEDIMIENTOS PARA
TRABAJAR EN LAS ÁREAS SEGURAS
11.1.6 ÁREAS DE CARGA Y CONTROL:
DESCARGA DEBERÍAN CONTROLARSE LOS PUNTOS DE ACCESO TALES COMO
LAS ÁREAS DE CARGA Y DESCARGA Y OTROS PUNTOS, DONDE
PUEDA ACCEDER PERSONAL NO AUTORIZADO A LAS
INSTALACIONES, Y SI ES POSIBLE, AISLAR DICHOS PUNTOS DE LOS
RECURSOS DE TRATAMIENTO DE LA INFORMACIÓN PARA EVITAR
ACCESOS NO AUTORIZADOS
11.2 SEGURIDAD DE LOS EQUIPOS
OBJETIVO: EVITAR LA PÉRDIDA, DAÑO, ROBO O EL COMPROMISO DE LOS ACTIVOS Y LA INTERRUPCIÓN
DE LAS OPERACIONES DE LA ORGANIZACIÓN
11.2.1 EMPLAZAMIENTO Y CONTROL:
PROTECCIÓN DE LOS EQUIPOS DEBERÍAN SITUARSE O PROTEGERSE DE FORMA QUE
EQUIPOS SE REDUZCAN LOS RIESGOS DE LAS AMENAZAS Y LOS RIESGOS
AMBIENTALES ASÍ COMO LAS OPORTUNIDADES DE QUE SE
PRODUZCAN ACCESOS NO AUTORIZADOS
11.2.2 INSTALACIONES DE CONTROL:
SUMINISTRO LOS EQUIPOS DEBERÍAN ESTAR PROTEGIDOS CONTRA FALLOS DE
ALIMENTACIÓN Y OTRAS ALTERACIONES CAUSADAS POR FALLOS
EN LAS INSTALACIONES DE SUMINISTRO
11.2.3 SEGURIDAD DEL CONTROL:
CABLEADO EL CABLEADO ELÉCTRICO Y DE TELECOMUNICACIONES QUE
TRANSMITE DATOS QUE SIRVE DE SOPORTE A LOS SERVICIOS DE
INFORMACIÓN DEBERÍA ESTAR PROTEGIDO FRENTE A
INTERCEPTACIONES, INTERFERENCIAS O DAÑOS
11.2.4 MANTENIMIENTO DE CONTROL:
LOS EQUIPOS LOS EQUIPOS DEBERÍAN RECIBIR UN MANTENIMIENTO CORRECTO
QUE ASEGURE SU DISPONIBILIDAD Y SU INTEGRIDAD CONTINUAS

11.2.5 RETIRADA DE CONTROL:

MATERIALES SIN AUTORIZACIÓN PREVIA A LOS EQUIPOS, LA INFORMACIÓN O
PROPIEDAD DE LA EL SOFTWARE NO DEBERÍAN SACARSE DE LAS INSTALACIONES.
EMPRESA

11.2.6 SEGURIDAD DE LOS CONTROL:

EQUIPOS FUERA DE DEBERÍAN APLICARSE MEDIDAS DE SEGURIDAD A LOS EQUIPOS
LAS INSTALACIONES SITUADOS FUERA DE LAS INSTALACIONES DE LA ORGANIZACIÓN,
TENIENDO EN CUENTA LOS DIFERENTES RIESGOS QUE CONLLEVA
TRABAJAR FUERA DE DICHAS INSTALACIONES
11.2.7 REUTILIZACIÓN O CONTROL:
ELIMINACIÓN SEGURA TODOS LOS SOPORTES DE ALMACENAMIENTO DEBERÍAN SER
DE EQUIPOS COMPROBADOS PARA CONFIRMAR QUE TODO DATO SENSIBLE Y
SOFTWARE BAJO LICENCIA SE HA ELIMINADO DE MANERA
SEGURA, ANTES DE DESHACERSE DE ELLOS
11.2.8 EQUIPO DE USUARIO CONTROL:
DESATENDIDO LOS USUARIOS DEBERÍAN ASEGURARSE QUE EL EQUIPO
DESATENDIDO TIENE LA PROTECCIÓN ADECUADA
11.2.9 POLÍTICA DE PUESTO CONTROL:
DE TRABAJO DEBERÍA ADOPTARSE UNA POLÍTICA DE PUESTO DE TRABAJO
DESPEJADO Y DESPEJADO DE PAPELES Y MEDIOS DE ALMACENAMIENTO
PANTALLA LIMPIA DESMONTABLES Y UNA POLÍTICA DE PANTALLA LIMPIA PARA LOS
RECURSOS DE TRATAMIENTO DE LA INFORMACIÓN
Fuente: ISO 27002:2013 (AENOR, (2015))

17
E. Seguridad lógica

La seguridad lógica va de la mano con la seguridad física, porque es sumamente

importante para la seguridad de la información. Ante ello, se requiere que la seguridad lógica,

proteja a la información durante su tránsito en la red de la organización. Algunas

organizaciones no tienen segura a la información, porque no toman conciencia sobre los

daños o pérdidas que podría ocasionar si se infecta o pierde la información, se debe tomar

medidas que en conjunto con la seguridad física para que protejan la información de la

organización.

La norma ISO/IEC 27002:2013 contiene controles que están asociados a la

seguridad lógica, es por ello que te indica cuáles son los parámetros que requiere para que la

información se encuentre confiable y segura cuando esta llegue a su destinatario.

A continuación, de la Tabla 5 a la Tabla 9 se muestran los controles de seguridad

lógica de la ISO/IEC 27002:2013.

En la Tabla 5 se muestra todo el contenido del Dominio 9, del cual, para nuestra

implementación, se tomó gran parte del objetivo de control 9.2, en los que se tomaron los

controles: 9.2.1, 9.2.2, 9.2.3, 9.2.5, 9.2.6, además del control 9.4.2 para la implementación.

Tabla 5:
Objetivos de control y controles del dominio 9
9. CONTROL DE ACCESO
9.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO
OBJETIVO: LIMITAR EL ACCESO A LOS RECURSOS DE TRATAMIENTO DE INFORMACIÓN Y A LA
INFORMACIÓN
9.1.1 POLÍTICA DE CONTROL
CONTROL DE ACCESO SE DEBERÍA ESTABLECER, DOCUMENTAR Y REVISAR UNA
POLÍTICA DE CONTROL DE ACCESO BASADA EN LOS REQUISITOS
DE NEGOCIO Y DE SEGURIDAD DE LA INFORMACIÓN
9.1.2 ACCESO A LAS REDES CONTROL:
Y A LOS SERVICIOS DE ÚNICAMENTE SE DEBERÍA PROPORCIONAR A LOS USUARIOS EL
RED ACCESO A LAS REDES Y A LOS SERVICIOS DE EN RED PARA CUYO
USO HAYAN SIDO ESPECÍFICAMENTE AUTORIZADOS
9.2 GESTIÓN DE ACCESO DE USUARIO
OBJETIVO: GARANTIZAR EL ACCESO DE USUARIOS AUTORIZADOS Y EVITAR EL ACCESO NO AUTORIZADO
A LOS SISTEMAS Y SERVICIOS.
9.2.1 REGISTRO Y BAJA DE CONTROL:
USUARIO DEBERÍA IMPLANTARSE UN PROCEDIMIENTO FORMAL DE
REGISTRO Y RETIRADA DE USUARIOS QUE HAGA POSIBLE LA
ASIGNACIÓN DE LOS DERECHOS DE ACCESO

18
9.2.2 PROVISIÓN DE CONTROL:
ACCESO DE USUARIOS DEBERÍA IMPLANTARSE UN PROCEDIMIENTO FORMAL PARA
ASIGNAR O REVOCAR LOS DERECHOS DE ACCESO PARA TODOS
LOS TIPOS DE USUARIOS DE TODOS LOS SISTEMAS Y SERVICIOS
9.2.3 GESTIÓN DE CONTROL:
PRIVILEGIOS DE LA ASIGNACIÓN Y EL USO DE PRIVILEGIOS DE ACCESO DEBERÍA
ACCESO ESTAR RESTRINGIDA Y CONTROLADA
9.2.4 GESTIÓN DE LA CONTROL:
INFORMACIÓN LA ASIGNACIÓN DE LA INFORMACIÓN SECRETA DE
SECRETA DE AUTENTICACIÓN DEBERÍA SER CONTROLADA A TRAVÉS DE UN
AUTENTICACIÓN DE PROCESO FORMAL DE GESTIÓN
LOS USUARIOS
9.2.5 REVISIÓN DE LOS CONTROL:
DERECHOS DE LOS PROPIETARIOS DE LOS ACTIVOS DEBERÍAN REVISAR LOS
ACCESO DE USUARIOS DERECHOS DE ACCESO DE USUARIOS A INTERVALOS REGULARES
9.2.6 RETIRADA O CONTROL:
REASIGNACIÓN DE LOS DERECHOS DE ACCESO DE TODOS LOS EMPLEADOS Y
LOS DERECHOS DE TERCERAS PARTES, A LA INFORMACIÓN Y A LOS RECURSOS DE
ACCESO TRATAMIENTO DE LA INFORMACIÓN DEBERÍAN SER RETIRADOS A
LA FINALIZACIÓN DEL EMPLEO, DEL CONTRATO O DEL ACUERDO,
O AJUSTADOS EN CASO DE CAMBIO
9.3 RESPONSABILIDADES DEL USUARIO
OBJETIVO: PARA QUE LOS USUARIOS SE HAGAN RESPONSABLES DE SALVAGUARDAR SU INFORMACIÓN
DE AUTENTICACIÓN
9.3.1 USO DE LA CONTROL:
INFORMACIÓN SE DEBERÍA REQUERIR A LOS USUARIOS QUE SIGAN LAS
SECRETA DE PRÁCTICAS DE LA ORGANIZACIÓN EN EL USO DE LA
AUTENTICACIÓN INFORMACIÓN SECRETA DE AUTENTICACIÓN
9.4 CONTROL DE ACCESO A SISTEMAS Y APLICACIONES
OBJETIVO: PREVENIR EL ACCESO NO AUTORIZADO A LOS SISTEMAS Y APLICACIONES
9.4.1 RESTRICCIÓN DEL CONTROL:
ACCESO A LA SE DEBERÍA RESTRINGIR EL ACCESO A LA INFORMACIÓN Y A LAS
INFORMACIÓN FUNCIONES DE LAS APLICACIONES, DE ACUERDO CON LA
POLÍTICA DE CONTROL DE ACCESO DEFINIDA
9.4.2 PROCEDIMIENTOS CONTROL:
SEGUROS DE INICIO CUANDO ASÍ SE REQUIERA EN LA POLÍTICA DE CONTROL DE
DE SESIÓN ACCESO, EL ACCESO A LOS SISTEMAS Y A LAS APLICACIONES SE
DEBERÍA CONTROLAR POR MEDIO DE UN PROCEDIMIENTO
SEGURO DE INICIO DE SESIÓN
9.4.3 SISTEMA DE GESTIÓN CONTROL:
DE CONTRASEÑAS LOS SISTEMAS PARA LA GESTIÓN DE CONTRASEÑAS DEBERÍAN
SER INTERACTIVOS Y ESTABLECER CONTRASEÑAS SEGURAS Y
ROBUSTAS
9.4.4 USO DE UTILIDADES CONTROL:
CON PRIVILEGIOS DEL SE DEBERÍA RESTRINGIR Y CONTROLAR RIGUROSAMENTE EL USO
SISTEMA DE UTILIDADES QUE PUEDAN SER CAPACES DE INVALIDAR LOS
CONTROLES DEL SISTEMA Y DE LA APLICACIÓN
9.4.5 CONTROL DE ACCESO CONTROL:
AL CÓDIGO FUENTE SE DEBERÍA RESTRINGIR EL ACCESO AL CÓDIGO FUENTE DE LOS
DE LOS PROGRAMAS PROGRAMAS
Fuente: ISO 27002:2013 (AENOR, (2015))

19
 En la Tabla 6 se muestra todo el contenido del Dominio 10 con su respectivo

objetivo de control y controles.

Tabla 6:
Objetivos de control y controles del dominio 10

10. CRIPTOGRAFÍA
10.1 CONTROLES CRIPTOGRÁFICOS
OBJETIVO: GARANTIZAR UN USO ADECUADO Y EFICAZ DE LA CRIPTOGRAFÍA PARA PROTEGER LA
CONFIDENCIALIDAD, AUTENTICIDAD Y/O INTEGRIDAD DE LA INFORMACIÓN
10.1.1 POLÍTICA DE USO DE CONTROL:
LOS CONTROLES SE DEBERÍA DESARROLLAR E IMPLEMENTAR UNA POLÍTICA
CRIPTOGRÁFICOS SOBRE EL USO DE LOS CONTROLES CRIPTOGRÁFICOS PARA
PROTEGER LA INFORMACIÓN
10.1.2 GESTIÓN DE CLAVES CONTROL:
SE DEBERÍA DESARROLLAR E IMPLEMENTAR UNA POLÍTICA DE
SOBRE EL USO, LA PROTECCIÓN Y LA DURACIÓN DE LAS CLAVES
DE CIFRADO A LO LARGO DE TODO SU CICLO DE VIDA
Fuente: ISO 27002:2013 (AENOR, (2015))
En la Tabla 7 se muestra todo el contenido del Dominio 12, del cual, para nuestra

implementación, se consideraron los controles 12.2.1 y 12.6.1

Tabla 7:
Objetivos de control y controles del dominio 12
12. SEGURIDAD DE LAS OPERACIONES
12.1 PROCEDIMIENTOS Y RESPONSABILIDADES OPERACIONALES
OBJETIVO: ASEGURAR EL FUNCIONAMIENTO CORRECTO Y SEGURO DE LAS INSTALACIONES DE
TRATAMIENTO DE LA INFORMACIÓN
12.1.1 DOCUMENTACIÓN DE CONTROL:
PROCEDIMIENTOS DE DEBERÍAN DOCUMENTARSE Y MANTENERSE PROCEDIMIENTOS DE
LAS OPERACIONES OPERACIÓN Y PONERSE A DISPOSICIÓN DE TODOS LOS USUARIOS
QUE LOS NECESITEN
12.1.2 GESTIÓN DE CAMBIOS CONTROL:
LOS CAMBIOS EN LA ORGANIZACIÓN, LOS PROCESOS DE
NEGOCIO, INSTALACIONES DE TRATAMIENTO DE LA
INFORMACIÓN Y LOS SISTEMAS QUE AFECTEN A LA SEGURIDAD
DE INFORMACIÓN DEBERÍAN SER CONTROLADOS
12.1.3 GESTIÓN DE CONTROL:
CAPACIDADES SE DEBERÍA SUPERVISAR Y AJUSTAR LA UTILIZACIÓN DE LOS
RECURSOS, ASÍ COMO REALIZAR PROYECCIONES DE LOS
REQUISITOS FUTUROS DE CAPACIDAD, PARA GARANTIZAR EL
RENDIMIENTO REQUERIDO DEL SISTEMA
12.1.4 SEPARACIÓN DE LOS CONTROL:
RECURSOS DE DEBERÍAN SEPARARSE LOS RECURSOS DE DESARROLLO, PRUEBAS
DESARROLLO, Y OPERACIÓN, PARA REDUCIR LOS RIESGOS DE ACCESO NO
PRUEBA Y OPERACIÓN AUTORIZADO O LOS CAMBIOS DEL SISTEMA EN PRODUCCIÓN
12.2 PROTECCIÓN CONTRA EL SOFTWARE MALICIOSO(MALWARE)
OBJETIVO: ASEGURAR QUE LOS RECURSOS DE TRATAMIENTO DE LA INFORMACIÓN Y LA INFORMACIÓN
ESTÁN PROTEGIDOS CONTRA EL MALWARE
12.2.1 CONTROLES CONTRA CONTROL:
EL CÓDIGO SE DEBERÍAN IMPLEMENTAR LOS CONTROLES DE DETECCIÓN,
MALICIOSO PREVENCIÓN Y RECUPERACIÓN QUE SIRVAN COMO PROTECCIÓN
CONTRA EL CÓDIGO MALICIOSO, ASÍ COMO LOS PROCEDIMIENTOS
ADECUADOS DE CONCIENCIACIÓN AL USUARIO

20
12.3 COPIAS DE SEGURIDAD
OBJETIVO: EVITAR LA PÉRDIDA DE DATOS
12.3.1 COPIAS DE CONTROL:
SEGURIDAD DE LA SE DEBERÍAN REALIZAR COPIAS DE SEGURIDAD DE LA
INFORMACIÓN INFORMACIÓN, DEL SOFTWARE Y DEL SISTEMA Y SE DEBERÍAN
VERIFICAR PERIÓDICAMENTE DE ACUERDO A LA POLÍTICA DE
COPIAS DE SEGURIDAD ACORDADA
12.4 REGISTROS Y SUPERVISIÓN
OBJETIVO: REGISTRAR EVENTOS Y GENERAR EVIDENCIAS
12.4.1 REGISTRO DE CONTROL:
EVENTOS SE DEBERÍAN REGISTRAR, PROTEGER Y REVISAR
PERIÓDICAMENTE LAS ACTIVIDADES DE LOS USUARIOS,
EXCEPCIONES, FALLOS Y EVENTOS DE SEGURIDAD DE LA
INFORMACIÓN
12.4.2 PROTECCIÓN DE LA CONTROL:
INFORMACIÓN DE LOS DISPOSITIVOS DE REGISTRO Y LA INFORMACIÓN DEL
REGISTRO REGISTRO DEBERÍAN ESTAR PROTEGIDOS CONTRA
MANIPULACIONES INDEBIDAS Y ACCESOS NO AUTORIZADOS
12.4.3 REGISTRO DE CONTROL:
ADMINISTRACIÓN Y SE DEBERÍAN REGISTRAR, PROTEGER Y REVISAR REGULARMENTE
OPERACIÓN LAS ACTIVIDADES DEL ADMINISTRADOR DEL SISTEMA Y DEL
OPERADOR DEL SISTEMA.
12.4.4 SINCRONIZACIÓN DEL CONTROL:
RELOJ LOS RELOJES DE TODOS LOS SISTEMAS DE TRATAMIENTO DE
INFORMACIÓN DENTRO DE UNA ORGANIZACIÓN O DE UN DOMINIO
DE SEGURIDAD, DEBERÍAN ESTAR SINCRONIZADOS CON UNA
ÚNICA FUENTE PRECISA Y ACORDADA DE TIEMPO
12.5 CONTROL DE SOFTWARE EN EXPLOTACIÓN
OBJETIVO: ASEGURAR LA INTEGRIDAD DEL SOFTWARE EN EXPLOTACIÓN
12.5.1 INSTALACIÓN DEL CONTROL:
SOFTWARE EN SE DEBERÍAN IMPLEMENTAR PROCEDIMIENTOS PARA
EXPLOTACIÓN CONTROLAR LA INSTALACIÓN DEL SOFTWARE EN EXPLOTACIÓN
12.6 GESTIÓN DE LA VULNERABILIDAD TÉCNICA
OBJETIVO: REDUCIR LOS RIESGOS RESULTANTES DE LA EXPLOTACIÓN DE LAS VULNERABILIDADES
TÉCNICAS
12.6.1 GESTIÓN DE LAS CONTROL:
VULNERABILIDADES SE DEBERÍA OBTENER INFORMACIÓN OPORTUNA ACERCA DE LAS
TÉCNICAS VULNERABILIDADES TÉCNICAS DE LOS SISTEMAS DE
INFORMACIÓN UTILIZADOS, EVALUAR LA EXPOSICIÓN DE LA
ORGANIZACIÓN A DICHAS VULNERABILIDADES Y ADOPTAR LAS
MEDIDAS ADECUADAS PARA AFRONTAR EL RIESGO ASOCIADO
12.6.2 RESTRICCIÓN EN LA CONTROL:
INSTALACIÓN DE SE DEBERÍAN ESTABLECER Y APLICAR REGLAS QUE RIJAN LA
SOFTWARE INSTALACIÓN DE SOFTWARE POR PARTE DE LOS USUARIOS
12.7 CONSIDERACIONES SOBRE LA AUDITORIA DE SISTEMAS DE INFORMACIÓN
OBJETIVO: MINIMIZAR EL IMPACTO DE LAS ACTIVIDADES DE AUDITORIA EN LOS SISTEMAS OPERATIVOS
12.7.1 CONTROLES DE CONTROL:
AUDITORIA DE LOS REQUISITOS Y LAS ACTIVIDADES DE AUDITORIA QUE
SISTEMAS DE IMPLIQUE COMPROBACIONES EN LOS SISTEMAS OPERATIVOS
INFORMACIÓN DEBERÍAN SER CUIDADOSAMENTE PLANIFICADOS Y ACORDADOS
PARA MINIMIZAR EL RIESGO DE INTERRUPCIONES EN LOS
PROCESOS DE NEGOCIO
Fuente: ISO 27002:2013 (AENOR, (2015))

21
 En la Tabla 8 se muestra todo el contenido del Dominio 13 con sus respectivos

objetivos de control y controles.

Tabla 8:
Objetivos de control y controles del dominio 13

13. SEGURIDAD DE LAS COMUNICACIONES

13.1 GESTIÓN DE LA SEGURIDAD DE REDES
OBJETIVO: ASEGURAR LA PROTECCIÓN DE LA INFORMACIÓN EN LAS REDES Y LOS RECURSOS DE
TRATAMIENTO DE LA INFORMACIÓN
13.1.1 CONTROLES DE RED CONTROL:
LAS REDES DEBERÍAN SER GESTIONADAS Y CONTROLADAS PARA
PROTEGER LA INFORMACIÓN EN LOS SISTEMAS Y APLICACIONES
13.1.2 SEGURIDAD DE LOS CONTROL:
SERVICIOS DE RED SE DEBERÍAN IDENTIFICAR LOS MECANISMOS DE SEGURIDAD, LOS
NIVELES DE SERVICIO, Y LOS REQUISITOS DE GESTIÓN DE TODOS
LOS SERVICIOS DE RED Y SE DEBERÍAN INCLUIR EN CUALQUIER
ACUERDO DE SERVICIOS DE RED, TANTO SI ESTOS SERVICIOS SE
PRESTAN DENTRO DE LA ORGANIZACIÓN COMO SI SE
SUBCONTRATAN
13.1.3 SEGREGACIÓN EN CONTROL:
REDES LOS GRUPOS DE SERVICIOS DE INFORMACIÓN, LOS USUARIOS Y
LOS SISTEMAS DE INFORMACIÓN DEBERÍAN ESTAR SEGREGADOS
EN REDES DISTINTAS
13.2 INTERCAMBIO DE INFORMACIÓN
OBJETIVO: MANTENER LA SEGURIDAD EN LA INFORMACIÓN QUE SE TRANSFIERE DENTRO DE UNA
ORGANIZACIÓN Y CON CUALQUIER ENTIDAD EXTERNA
13.2.1 POLÍTICAS Y CONTROL:
PROCEDIMIENTOS DE DEBERÍAN ESTABLECERSE POLÍTICAS, PROCEDIMIENTOS Y
INTERCAMBIO DE CONTROLES FORMALES QUE PROTEJAN EL INTERCAMBIO DE
INFORMACIÓN INFORMACIÓN MEDIANTE EL USO DE TODO TIPO DE RECURSOS DE
COMUNICACIÓN
13.2.2 ACUERDOS DE CONTROL:
INTERCAMBIO DE DEBERÍAN ESTABLECERSE ACUERDOS PARA EL INTERCAMBIO
INFORMACIÓN SEGURO DE INFORMACIÓN DEL NEGOCIO Y SOFTWARE ENTRE LA
ORGANIZACIÓN Y TERCEROS
13.2.3 MENSAJERÍA CONTROL:
ELECTRÓNICA LA INFORMACIÓN QUE SEA OBJETO DE MENSAJERÍA
ELECTRÓNICA DEBERÍA ESTAR ADECUADAMENTE PROTEGIDA
13.2.4 ACUERDOS DE CONTROL:
CONFIDENCIALIDAD O DEBERÍAN IDENTIFICARSE, DOCUMENTARSE Y REVISARSE
NO REVELACIÓN REGULARMENTE LOS REQUISITOS DE LOS ACUERDOS DE
CONFIDENCIALIDAD O NO REVELACIÓN
Fuente: ISO 27002:2013 (AENOR, (2015))

En la Tabla 9 se muestra todo el contenido del Dominio 14 con sus respectivos

objetivos de control y controles.

22
Tabla 9:
Objetivos de control y controles del dominio 14
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
14.1 REQUISITOS DE SEGURIDAD EN SISTEMAS DE INFORMACIÓN
OBJETIVO: GARANTIZAR QUE LA SEGURIDAD DE LA INFORMACIÓN SEA PARTE INTEGRAL DE LOS
SISTEMAS DE INFORMACIÓN A TRAVÉS DE TODO EL CICLO DE VIDA. ESTO TAMBIÉN INCLUYE LOS
REQUISITOS PARA LOS SISTEMAS DE INFORMACIÓN QUE PROPORCIONAN LOS SERVICIOS A TRAVÉS DE
REDES PUBLICAS
14.1.1 ANÁLISIS DE CONTROL:
REQUISITOS Y LOS REQUISITOS RELACIONADOS CON LA SEGURIDAD DE LA
ESPECIFICACIONES DE INFORMACIÓN DEBERÍAN INCLUIRSE EN LOS REQUISITOS PARA
SEGURIDAD DE LA LOS NUEVOS SISTEMAS DE INFORMACIÓN O MEJORAS A LOS
INFORMACIÓN SISTEMAS DE INFORMACIÓN EXISTENTES
14.1.2 ASEGURAR LOS CONTROL:
SERVICIOS DE LA INFORMACIÓN INVOLUCRADA EN APLICACIONES QUE PASAN A
APLICACIONES EN TRAVÉS DE REDES PÚBLICAS DEBERÍA SER PROTEGIDA DE
REDES PÚBLICAS CUALQUIER ACTIVIDAD FRAUDULENTA, DISPUTA DE CONTRATO,
REVELACIÓN Y MODIFICACIÓN NO AUTORIZADAS
14.1.3 PROTECCIÓN DE LAS CONTROL:
TRANSACCIONES DE LA INFORMACIÓN INVOLUCRADA EN LAS TRANSACCIONES DE
SERVICIOS DE SERVICIOS DE APLICACIONES DEBERÍA SER PROTEGIDA PARA
APLICACIONES PREVENIR LA TRANSMISIÓN INCOMPLETA, ERRORES DE
ENRUTAMIENTO, ALTERACIÓN NO AUTORIZADA DEL MENSAJE,
REVELACIÓN, DUPLICACIÓN, O REPRODUCCIÓN DE MENSAJE NO
AUTORIZADAS
14.2 SEGURIDAD EN EL DESARROLLO Y EN LOS PROCESOS DE SOPORTE
OBJETIVO: GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN QUE SE HA DISEÑADO E IMPLEMENTADO
EN EL CICLO DE VIDA DE DESARROLLO DE SISTEMAS DE INFORMACIÓN
14.2.1 POLÍTICA DE CONTROL:
DESARROLLO SEGURO SE DEBERÍAN ESTABLECER Y APLICAR REGLAS DENTRO DE LA
ORGANIZACIÓN PARA EL DESARROLLO DE APLICACIONES Y
SISTEMAS
14.2.2 PROCEDIMIENTO CONTROL:
DE CONTROL DE LA IMPLANTACIÓN DE CAMBIOS A LO LARGO DEL CICLO DE VIDA
CAMBIOS EN DEL DESARROLLO DEBERÍA CONTROLARSE MEDIANTE EL USO DE
SISTEMAS PROCEDIMIENTOS FORMALES DE CONTROL DE CAMBIOS
14.2.3 REVISIÓN TÉCNICA DE CONTROL:
LAS APLICACIONES CUANDO SE MODIFIQUEN LOS SISTEMAS OPERATIVOS, LAS
TRAS EFECTUAR APLICACIONES DE NEGOCIO CRITICAS DEBERÍAN SER REVISADAS
CAMBIOS EN EL Y PROBADAS PARA GARANTIZAR QUE NO EXISTEN EFECTOS
SISTEMA OPERATIVO ADVERSOS EN LAS OPERACIONES O LA SEGURIDAD DE LA
ORGANIZACIÓN
14.2.4 RESTRICCIONES A LOS CONTROL:
CAMBIOS EN LOS SE DEBERÍAN DESACONSEJAR LAS MODIFICACIONES EN LOS
PAQUETES DE PAQUETES DE SOFTWARE, LIMITÁNDOSE A LOS CAMBIOS
SOFTWARE NECESARIOS, Y TODOS LOS CAMBIOS DEBERÍAN SER OBJETO DE
UN CONTROL RIGUROSO
14.2.5 PRINCIPIOS DE CONTROL:
INGENIERÍA DE PRINCIPIOS DE INGENIERÍA DE SISTEMAS SEGUROS SE DEBERÍAN
SISTEMAS SEGUROS ESTABLECER, DOCUMENTAR, MANTENER Y APLICARSE A TODOS
LOS ESFUERZOS DE IMPLANTACIÓN DE SISTEMAS DE
INFORMACIÓN
14.2.6 ENTORNO DE CONTROL:
DESARROLLO SEGURO LAS ORGANIZACIONES DEBERÍAN ESTABLECER Y PROTEGER
ADECUADAMENTE LOS ENTORNOS DE DESARROLLO SEGURO
PARA EL DESARROLLO DEL SISTEMA Y LOS ESFUERZOS DE
INTEGRACIÓN QUE CUBREN TODO EL CICLO DE VIDA DE
DESARROLLO DEL SISTEMA

23
 14.2.7 EXTERNALIZACIÓN CONTROL:
DEL DESARROLLO DE EL DESARROLLO DE SOFTWARE EXTERNALIZADO DEBERÍA SER
SOFTWARE SUPERVISADO Y CONTROLADO POR LA ORGANIZACIÓN
14.2.8 PRUEBAS CONTROL:
FUNCIONALES DE SE DEBERÍAN LLEVAR A CABO PRUEBAS DE LA SEGURIDAD
SEGURIDAD DE FUNCIONAL DURANTE EL DESARROLLO
SISTEMAS
14.2.9 PRUEBAS DE CONTROL:
ACEPTACIÓN DE SE DEBERÍAN ESTABLECER PROGRAMAS DE PRUEBAS DE
SISTEMAS ACEPTACIÓN Y CRITERIOS RELACIONADOS PARA NUEVOS
SISTEMAS DE INFORMACIÓN, ACTUALIZACIONES Y NUEVAS
VERSIONES
14.3 DATOS DE PRUEBA
OBJETIVO: ASEGURAR LA PROTECCIÓN DE LOS DATOS DE PRUEBA
14.3.1 PROTECCIÓN DE LOS CONTROL:
DATOS DE PRUEBA LOS DATOS DE PRUEBA SE DEBERÍAN SELECCIONAR CON
CUIDADO Y DEBERÍAN SER PROTEGIDOS Y CONTROLADOS
Fuente: ISO 27002:2013 (AENOR, (2015))

2.2.2. Mejora del Nivel de la Seguridad Física y Lógica de la Información.

2.2.2.1. Auditoría con el framework COBIT 5.

La auditoría es una herramienta que te permite conocer el estado actual y final de la

organización, la cual consiste obtener los resultados de los procesos que están siendo

desarrollados por la entidad, estos resultados de la auditoría se conocen mediante un

instrumento de evaluación donde indica las deficiencias y eficiencias de los procesos.

Uno de los framework que se asocia a la medición y evaluación de los procesos, es

COBIT 5, la cual contiene procesos que están relacionados con la seguridad de la

información y otros aspectos de seguridad, las organizaciones deben establecer los problemas

que afectan las áreas donde se maneja la información, y adjudicar mediante un análisis que

proceso cumple con las falencias encontradas en ellas.

COBIT 5 es un marco de referencia de negocio para la gestión y el gobierno de las

Tecnologías de Información de la organización, de modo que ayuda a estas a conseguir sus

objetivos para el gobierno y la gestión de TI. Además de ayudar a crear el valor óptimo desde

TI, a través de la generación de beneficios, optimización de niveles de riesgo y el uso de

recursos. Teniendo en consideración lo anterior, se podría decir que el COBIT 5 ayuda o

apoya a las organizaciones a establecer un valor óptimo a partir de TI, manteniendo un

24
equilibrio entre la optimización de los niveles de riesgo, la realización de beneficios y la

utilización de los recursos. En lo que concierne al gobierno de TI contiene 5 procesos y en lo

que respeta a Gestión de TI encierra 32 procesos organizados separados en 4 dominios.

En la Figura 3 se muestra los 37 procesos de COBIT tanto para lo que abarcan en

gestión de TI como para gobierno de TI.

Figura 3: Procesos de Cobit (Fuente: ISACA (2012))

A. Aspectos de seguridad

 APO13 Gestionar la seguridad (pertenece al proceso treceavo del dominio Alinear,

Planificar y Organizar)

 DSS04 Gestionar la Continuidad (pertenece al cuarto proceso del dominio Entregar, dar

Servicio y Soporte)

 DSS05 Gestionar los servicios de seguridad (pertenece al quinto proceso del

dominio Entregar, dar Servicio y Soporte) Mendoza (2015)

25
 DSS05 - Gestionar los servicios de seguridad

Este proceso tiene el propósito de salvaguardar la información de la empresa para

preservar correctamente el nivel de riesgo de la seguridad de la información de acuerdo con

la política de seguridad. Establece y mantiene los roles de seguridad, como los privilegios de

accesos a la información y el de realizar la supervisión de la seguridad

En la Figura 4 se aprecia el proceso COBIT DSS05 – “Gestionar los servicios de

Seguridad” y sus 7 prácticas de gestión, la que se consideró para la realización de la

investigación.

Figura 4: Proceso COBIT y sus prácticas de gestión (Fuente: ISACA (2012))

 DSS05.01 – “Protección contra software malicioso (Malware)”

Esta práctica de gestión implementa y mantiene de manera efectiva como preventiva

las medidas de detección, además de estar correctivas (básicamente control de virus y parches

actualizados de seguridad) a lo largo de la empresa para salvaguardar los sistemas de

26
información y las tecnologías de softwares maliciosos (algunos ejemplos: correo basura,

gusanos, virus, software espía - spyware)

 DSS05.02 – “Gestionar la seguridad de la red y las conexiones”

Emplea medidas de seguridad, además de procedimientos de gestión que estén

relacionados para la protección de la información en cada uno de los modos de conexión.

 DSS05.03 – “Gestionar la seguridad de los puestos de usuario final”

Garantiza que los puestos de usuario final (se puede decir, equipo sobremesa,

portátil, servidor y otros equipos, softwares móviles y de red) estén salvaguardados a un nivel

que es mayor o igual al que se encuentra definido en los requerimientos de seguridad de la

información almacenada, transmitida o procesada.

 DSS05.04 – “Gestionar la identidad del usuario y el acceso lógico”

Garantiza que cada uno de los usuarios tenga el derecho de acceso a la información,

esto en función a los requerimientos de negocio, y acordar con las unidades de negocio que

administren sus propios derechos de acceso hacia los procesos de negocio.

 DSS05.05 – “Gestionar el acceso físico a los activos de TI”

Implementa y define procedimientos para limitar, conceder y anular el acceso a

edificios, áreas, locales, de acuerdo a las necesidades del negocio, incluyendo emergencias.

El acceso a edificios, áreas y locales necesita estar autorizado, justificado, supervisado y

registrado. Esto se aplicará a todas las personas que ingresen en los locales, incluyendo los

empleados, clientes, empleados temporales, visitantes, vendedores y cualquier persona.

 DSS05.06 – “Gestionar documentos sensibles y dispositivos de salida”

Esta práctica de gestión implementa protecciones físicas adecuadas, para el

desarrollo de las prácticas de contabilidad y la gestión de inventario, que contiene los activos

sensibles de TI. Tales como títulos negociables, formularios especiales, credenciales de

seguridad o impresoras de propósito especial.

27
 DSS05.07 – “Supervisar la infraestructura para detectar eventos relacionado con la

seguridad”

Emplea herramientas de localización de intrusiones, registra la infraestructura para la

detección de accesos no autorizados, y manifiesta que cualquier evento esté integrado con el

registro general de eventos y gestión de incidentes.

B. Modelo de Evaluación de Procesos (PAM)

El Modelo de Evaluación de Procesos (PAM) de COBIT está diseñado para proveer

a las empresas con una metodología reproducible, confiable y robusta para evaluar la

capacidad de sus procesos de TI. Dichas evaluaciones normalmente se usan como parte de un

programa de mejora de los procesos de una empresa y también se pueden utilizar para

informar internamente a la dirección ejecutiva o la junta directiva de una empresa sobre la

capacidad actual de sus procesos de TI.

 Niveles de capacitación de los procesos

El PAM tiene 6 niveles para evaluar la capacidad de los procesos de COBIT, tal

como se muestra en la Figura 5.

Figura 5: Niveles de capacidad de los procesos COBIT

(Fuente: COBIT 5 (ISACA (2013)))

El nivel 0 muestra que un proceso no está implementado o que falla en el objetivo de

conseguir sus resultados.

Nivel de capacidad 1- Los indicadores son claros para cada proceso y evalúan como

se han conseguido los atributos siguientes: El proceso consigue su propósito.

28
 Niveles de capacidad 2 al 5 – Aquí la evaluación se basa en indicadores genérico de

rendimiento del proceso. A ellos se identifican como genéricos puesto que se aplican a todo

el proceso de una forma transversal, pero diferentes en los distintos niveles de capacidad.

 Escala de calificación

Esta escala es utilizada por los evaluadores con el propósito que guiar en la

determinación, que a su juicio, es el grado de consecución. En la Figura 6 se describen cada

uno de los tipos de las calificaciones y su traduccion de estas en un escala de porcentajes que

permiten mostrar el grado de consecución.

Figura 6: Escala de calificación (Fuente: COBIT 5 (ISACA (2013)))

 N (No Conseguido o Logrado): “Hay poca o ninguna evidencia de logro del atributo

definido en el proceso evaluado.”

 P (Parcialmente Conseguido o Logrado): “Existe alguna evidencia de un enfoque y algún

logro de, el atributo definido en el proceso evaluado. Algunos aspectos de los logros del

atributo pueden ser impredecibles.”

 L (Ampliamente Conseguido o Logrado): “Hay evidencia de un enfoque sistemático y el

logro significativo de, el atributo definido en el proceso de evaluación. Algunas

debilidades relacionadas con este atributo pueden existir en el proceso evaluado.”

 F (Totalmente Conseguido o Logrado): “Hay evidencia de un enfoque completo y

sistemático y la plena consecución de, el atributo definido en el proceso evaluado. No

existen debilidades significativas relacionadas con este atributo en el proceso evaluado.”

 Criterios de evaluación del proceso Cobit

El proceso COBIT DSS05 – Gestionar los servicios de seguridad, cuenta con 5

criterios de evaluación para las 7 prácticas del proceso, estas 7 prácticas se asocian logrando

29
medir los niveles que alcanza en base a los atributos del proceso y en función de los atributos

de los niveles inferiores que han sido completamente conseguidos. A continuación, en la

Figura 7 se muestra los 5 criterios del proceso asociados con las 7 prácticas de gestión.

Figura 7: Criterios del proceso asociados con las prácticas de gestión

(Fuente: COBIT 5 (ISACA (2013)))

30
2.2.2.2. Norma ISO 27005.

A. Introducción

Según Baca (2016), “La ISO 27005 establece las directrices para la gestión del

riesgo en la seguridad de la información, además de que también apoya los conceptos

generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la

aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de

riesgos”.

Hasta el momento, el marco que existe para la gestión de riesgos lo conforma el

estándar ISO 27005. Se puede utilizar diferentes metodologías que existen bajo la estructura

descrita. En esta norma para implementarlos, se requiere de un sistema de gestión de

seguridad de la información.

Esta norma es oportuna para cada uno de los directores y el personal que tiene

relación con la gestión del riesgo en la seguridad de la información dentro de una

organización, y cuando corresponda, para las partes externas que dan soporte a dichas

actividades.

B. Objeto y campo de aplicación

 Esta norma proporciona criterios para la gestión en la seguridad de la información.

 Esta norma brinda soporte a los distintos conceptos que se especifican en la norma ISO

27001.

 Esta norma está diseñada para proporcionar la implementación satisfactoria de la

seguridad de la información con base en el enfoque de gestión de riesgo

 Todos los conceptos que se mencione en las normas ISO/IEC 27001 e ISO/IEC 27002 es

importante para su comprensión de esta norma

 Esta norma se puede emplear a diferentes tipos de organizaciones que exista en todo el

mundo como (empresas pequeñas, agencias del gobierno, empresas sin ánimo de lucro)

31
C. Análisis de riesgo

Según Moreno (2008), el análisis de riesgo es la herramienta que ayuda a identificar

a las amenazas y vulnerabilidades que se encuentran en los activos de información, teniendo

una valoración por riesgo minimizando, el impacto que podría ocasionar en la organización.

La Figura 8 se puede apreciar la secuencia de pasos para realizar el análisis de riesgo que

describe la norma.

Identificación
de activos

Identificación
de amenazas

Identificación de
vulnerabilidades

Identificación
del riesgo

Figura 8: Análisis de Riesgo (Fuente: Elaboración propia)

 Identificación de activos

 Un activo es aquel que tiene un valor importante para la organización, por ello se

necesita protegerlo ante cualquier amenaza que pueda surgir.

 La identificación del activo consta de un análisis detallado que permite tener la

información exacta de cada activo encontrado en la organización, este análisis contiene el

tipo de activo, el propietario que está a cargo del activo y la localización donde se

encuentra el activo, logrando tener la responsabilidad necesaria para el desarrollo,

mantenimiento, uso y seguridad según corresponda al análisis que se realizó.

32
 Identificación de amenazas

 La amenaza tiene la capacidad de perjudicar y/o eliminar a los activos que se encuentran

dentro de la organización. Las amenazas suelen ser de tipo natural o humano y podría ser

accidental o deliberada.

 La identificación de las amenazas y la estimación de probabilidad de ocurrencia se logra

conseguir de acuerdo a los usuarios del activo, al personal de recursos humanos y al jefe

de las instalaciones, que sean expertos en seguridad física y otras organizaciones que

incluyen organismos legales.

 Identificación de vulnerabilidades

 La vulnerabilidad que no tiene una amenaza, puede que no necesariamente tenga que

recurrir a la implementación de los controles, pero se recomienda que se analice y se

monitoree para ver los cambios que tuvo.

 Una vulnerabilidad también se relaciona con los activos de la organización para así

determinar cuáles son los riesgos que necesita ser reducido. Se puede identificar

vulnerabilidades en las siguientes áreas, tal como se aprecia en la Figura 9.

Ambiente físico en la
organización
Hardware, software
o equipos de
Área de Recursos
comunicaciones
Humanos
(Video Conferencia,
Cámaras)

Área de Tecnología Áreas Organización en

de información Vulnerables general

Figura 9: Áreas Vulnerables (Fuente: Moreno (2008))

33
 Identificación de riesgo

El propósito de la identificación del riesgo es establecer cómo podría originarse una

pérdida potencial, llegando a percibir el cómo, dónde y por qué podría ocurrir esta pérdida.

Para lograr los pasos que se menciona anteriormente se tiene que analizar al detalle los datos

de los activos encontrados para la actividad de estimación de riesgo.

2.2.2.3. Plan de tratamiento de riesgo.

El plan de tratamiento de riesgo, es la parte más compleja, la cual la organización

debe conocer, porque estipula el tiempo que se desarrollará, y que controles de la norma

ISO/IEC 27002:2013 implementar, es importante tener conocimiento del plan porque permite

controlar el cumplimiento de los controles.

Las organizaciones deben estipular su plan de tratamiento de riesgo para conocer los

factores principales que permitan minimizar los riesgos que se encuentran en cualquier

entidad organizativa.

A. Tratamiento del riesgo en la seguridad de la información

 Descripción del tratamiento de riesgo

 Para el tratamiento del riesgo se necesita tener una lista de los riesgos priorizados para

analizar su valor por cada riesgo (sea el impacto o el costo del riesgo), estableciendo un

plan de tratamiento del riesgo para su reducción.

 Para el tratamiento de riesgo existen 4 opciones las cuales son: aceptación del riesgo,

reducción del riesgo, transferencia del riesgo y evitación del riesgo.

 En algunos casos un tratamiento de riesgo puede tratar eficazmente más de un riesgo.

 En el caso de que en el análisis del tratamiento de riesgo se indica las opciones transferir,

evadir y aceptar es recomendable no colocar los controles de la norma, solo en el caso

que la opción sea reducir se implementa los controles que la norma menciona.

34
 En la Figura 10 se grafica las actividades que se deben optar para el tratamiento del

riesgo, tal como lo describe la norma.

RESULTADO DE LA
EVALUACIÓN DEL
RIESGO

EVALUACIÓN
SATISFACTORIA

OPCIONES PARA EL TRATAMIENTO DEL RIESGO

REDUCCIÓN DEL RIESGO RETENCIÓN DEL RIESGO EVITACIÓN DEL RIESGO TRANSFERENCIA DEL
RIESGO

RIESGOS RESIDUALES

TRATAMIENTO SATISFACTORIO

Figura 10: Actividad para el tratamiento del riesgo (Fuente: Moreno (2008))

 Reducción del riesgo

 Es necesario seleccionar los controles justificados y adecuados, que cumplan con los

requisitos identificados en el tratamiento del riesgo.

 También se debe considerar el marco temporal y el costo de ello para la implementación

de los controles.

 Los controles pueden ofrecer uno o más tipos de protección: detección, prevención,

minimizar el impacto, corrección, eliminación, concienciación y recuperación.

 Es necesario considerar varias restricciones cuando se selecciona los controles antes y

durante la implementación.

Por lo tanto, se consideran lo siguientes restricciones, tal como se muestra en la

Figura 11.

35
 Restricciones éticas

implementión de los controles

Restricciones a considerarse
Restricciones personales

antes y durante la

seleccionados
Restricciones legales

Restricciones para la
integración de controles
nuevos y existentes

Restricciones financieras

Restricciones operativas

Restricciones de tiempo

Figura 11: Restricciones a considerarse antes y durante la implementación de los controles

seleccionados (Fuente: Moreno (2008))

 Aceptación del riesgo

 Se toma la decisión de aceptar el riesgo, dependiendo de la evaluación del riesgo.

 Cuando el nivel del riesgo satisface los criterios para su aceptación no se implementa los

controles identificados y el riesgo se puede retener.

 Evitación del riesgo

 Es cuando los riesgos son costosos y se consideran altos para la organización, se toma

una decisión de evitar por completo el riesgo, mediante el retiro de una actividad.

 Transferencia del riesgo

 Se debe transferir a otra empresa que lo trabaje de manera eficaz y eficiente el riesgo que

se encontró en la evaluación.

 La trasferencia del riesgo implica una decisión para compartirlo con las partes externas.

 La transferencia se hace mediante un seguro que brindará soporte a las consecuencias o

mediante una subcontratación de un asociado cuya función será monitorear el sistema de

información y tomar acciones rápidas para detener el ataque.

36
2.2.3. Área de TI de la UPN.

A. Visión del área

Proporcionar soporte completo para cumplir con nuestro objetivo principal: " Llevar

el Evangelio del Reino en todo el mundo". Entendemos por tecnología de información, como

un medio eficiente y eficaz para cumplir con esta tarea.

B. Misión del área

Crear, producir, mantener y distribuir productos y servicios de calidad, que agilicen

y apoyen las actividades para el cumplimiento de la misión de la IASD.

C. Objetivo del área

Mejorar los procesos del departamento de TI de la UPN, Campos e instituciones

D. Organigrama del Área

En la Figura 12 se aprecia el organigrama funcional del área de TI, el cual nos hizo

llegar el jefe del área.

Figura 12: Organigrama funcional del área de TI de la UPN (Fuente: Área de TI de la UPN)

En la Tabla 10 se describen los respectivos roles del área con sus respectivas

funciones, en base al organigrama brindado.

37
 Tabla 10:
Relación de puestos y principales funciones por puesto
Nombre del Puesto Funciones
Soporte Encargado de Soporte Realiza las conexiones de los equipos
tecnológicos para recibir
videoconferencias y eventos dentro y
afuera de la organización, además de
brindar soporte y mantenimiento a todos
los equipos tecnológicos que se
encuentran en la organización.
Sistemas Encargado del Soporte y Brinda soporte y mantenimiento de los
mantenimiento de los sistemas DSA en los cuales están
Sistemas DSA incluidos los sistemas denominados:
APIS, AasiNet y ACMS
Analistas de Sistemas – Realizan el análisis y desarrollo de los
Sistemas UPN sistemas Académicos y
Denominacionales de la UPN
Infraestructura Jefe de Infraestructura (Jefe Gestiona las redes de infraestructura
de TI) para brindar un soporte que beneficie el
mantenimiento de la organización y de
las entidades.
Fuente: Elaboración Propia

2.3. Marco conceptual

2.3.1. Información.

Según la AENOR (Asociación Española de Normalización y Certificación), la

información es uno de los principales activos de las organizaciones. La defensa de este activo

es una tarea esencial para asegurar la continuidad y el desarrollo del negocio, así como

también es una exigencia legal (protección de la propiedad intelectual, protección de datos

personales, servicios para la sociedad de la información).

2.3.2. Seguridad de la información.

Según la ISO 27001, la seguridad de la información consiste en la preservación de

su, disponibilidad, integridad y confidencialidad, al igual como los sistemas implicados en su

tratamiento dentro de una organización.

2.3.3. Seguridad física.

Según Grupo IWI (2009), “Se puede definir como la aplicación de barreras físicas y

procedimientos de control, generalmente de prevención y detección, destinados a proteger

38
físicamente cualquier recurso del sistema; algunos ejemplos de estos recursos son un teclado,

una copia de seguridad con toda la información que hay en el sistema o, la propia CPU del

equipo.”

2.3.4. Seguridad lógica.

Alegre & Garcia (2011), “Se encarga de asegurar la parte de software de un sistema

informático, que se compone de todo lo que no es físico, es decir, los programas y los datos.

Además, se encarga de controlar que el acceso al sistema informático, desde el punto de vista

software, se realice correctamente y por usuarios autorizados, ya sea desde dentro del sistema

informático, como desde fuera, es decir, desde una red externa, usando una VPN (protocolos,

PPP, PPTP, etc.), la web (protocolos, http, https), transmisión de ficheros (ftp), conexión

remota (ssh, telnet), etc.”

2.3.5. Riesgo.

Giménez (2015) “El riesgo es una medida del daño probable que causará una

amenaza, que aprovecha una vulnerabilidad para causar un daño.”

2.3.6. Amenaza.

Valdivia (2015) “Se refiere a cualquier situación o evento posible con el potencial de

daño, que pueda presentarse en un sistema.”

2.3.7. Vulnerabilidad.

Valdivia (2015) “Se refiere a la exposición a un riesgo, fallo o hueco de seguridad

detectado en algún programa o equipo.”

2.3.8. Activo.

Valdivia (2015) “Se refiere a los recursos con los que cuenta una empresa o

institución y que tienen valor. Pueden ser tangibles (servidores, equipos de computación, etc.)

o intangibles (información, políticas, normas, procedimientos, etc.)”.

39
2.3.9. Ataque.

Valdivia (2015) “Se refiere a llevar a cabo una amenaza.”

2.3.10. Hacker (pirata).

Bortnik (2014) menciona que según el IETF (Internet Engineering Task Force), un

hacker es una persona que se deleita por tener una comprensión profunda del funcionamiento

interno de un sistema.

2.3.11. Software malicioso: (malware).

Según SANS Securiting The Human (2014), “Es un software, un programa de

computadora utilizado para llevar a cabo acciones maliciosas.”

2.3.12. Antivirus.

Valdivia (2015) “Se refiere a un programa capaz de detectar, controlar y eliminar

virus informáticos y algunos códigos maliciosos (Troyanos, Works, Rootkits, Adware,

Backdoor, entre otros)”

2.3.13. Criptografía.

Giménez (2015) “Es el “arte de escribir con clave secreta o de un modo enigmático”.

Aplicar a un mensaje técnicas de criptografía, o de encriptación, consiste en modificarlo

mediante algún procedimiento secreto o privado, de manera que el resultado sea un enigma.”

2.3.14. Copias de seguridad.

Viera (2013) “Una copia de seguridad o backup en tecnología de la información o

informática, es una copia de ficheros o datos, con el fin de que estas copias adicionales

puedan utilizarse para restaurar el original después de una eventual pérdida de datos”.

40
 3. CAPÍTULO III: METODOLOGÍA Y MATERIALES

3.1. Metodología de investigación

La metodología de estudio consta de 5 fases donde indica que cada fase descrita

consta de actividades que deben cumplirse para completar la fase. Esto permite conocer al

detalle la realización de la investigación. En la Figura 13 muestra la metodología de estudio

realizada para la investigación.

Fase 1 - Estudio de la organización

Presentar documento de
Entrevistas con la organización Estudio del área de trabajo
propuesta de investigación

Fase 2 - Evaluacion del nivel de seguridad con Cobit

Elaboración del instrumento Determinación del nivel de capacidad

Elaboración del informe
de evaluación. del proceso con Cobit.

Fase 3 -Análisis de riesgo de TI

Indentificar los Elaborar registro

Identificar las Identificar las Identificación de
activos de de los riesgos
amenazas. vulnerabillidades los riesgos.
información. priorizados

Fase 4 - Elaboracion del Plan de Tratamiento de Riesgo con la ISO 27002

Identificación de Implementación del

Estrategia de Definición de Plan de
controles de la norma Plan de tratamiento de
tratamiento de riesgo Tratamiento de Riesgo
ISO 27002 riesgo

Fase 5 - Evaluacion de la mejora del nivel de seguridad con la ISO 27002

Elaborar el informe
Determinar el nivel de Realizar el informe de la
despues de la 2da Evaluación de la mejora
capacidad del proceso mejora
evaluación
Figura 13: Metodología de Estudio (Fuente: Elaboración Propia)

41
3.2. Actividades que contiene cada fase de la metodología

3.2.1. Fase 1: Estudio de la organización.

 Actividad 1: Entrevistas con la organización

Se acordará, en conjunto, con el jefe del área de TI, la primera entrevista y

posteriores reuniones, donde se recopilarán la información de organización. Esto permite

entender mejor el alcance y control de la información que se necesita para el desarrollo de la

investigación.

 Actividad 2: Estudio del área del trabajo

Se define el área de trabajo. Posterior a ello, se analiza las dificultades del área, del

cómo está en la problemática en general, cuáles son sus pros y sus contra, con la salvaguarda

de la seguridad física y lógica de la información.

 Actividad 3: Presentar documento de propuesta de investigación

Se presenta un documento indicando los objetivos que se desarrollará en el

transcurso del proyecto, indicando el tema de investigación y la problemática de la

organización.

3.2.2. Fase 2: Evaluación del nivel de seguridad con COBIT.

 Actividad 1: Elaboración del instrumento de evaluación

En esta actividad se desarrolla el instrumento de evaluación en base a las prácticas

de gestión del proceso DSS05 – “Gestionar los servicios de seguridad” de COBIT, que será

revisado previamente por especialistas, para su debida implementación en la organización.

 Actividad 2: Determinación del nivel de capacidad del proceso con Cobit

Se realiza la auditoría con el instrumento elaborado en la actividad anterior, el

instrumento de evaluación se aplica al jefe del área de TI para la evaluación correspondiente;

después de ello, se determina el nivel de capacidad del proceso. Esta evaluación se basa en el

Modelo de Evaluación del Proceso (PAM).

42
 Actividad 3: Elaboración del informe

Una vez realizada la auditoría, se elabora el informe indicando el nivel de capacidad

en el que se encuentra el proceso indicado. Este informe debe contar con la aceptación y

validación correspondiente del jefe de TI.

3.2.3. Fase 3: Análisis de riesgo de TI.

 Actividad 1: Identificar los activos de información

En esta actividad se realiza la identificación de los activos de información. Esto es

vital ya que el análisis de riesgo y las decisiones que se escojan con el plan tratamiento del

riesgo en la organización giran en torno a los activos de información identificados. Es

importante conocer qué es un activo de información y entender sus distintas posibles

características, con el fin de efectuar un excelente análisis de riesgo.

Los activos serán clasificados por su tipo o categoría, a su vez se describirá su

ubicación e identificará su propietario. Junto a esto se los tasará en base a la escala de Likert

para apreciar su impacto en el área de TI por sus fallas o deterioros y cómo estos afectan en la

disponibilidad, confidencialidad e integridad de la información.

Todo esto será registrado y presentado al jefe del área de TI para su posterior

aprobación.

 Actividad 2: Identificar las amenazas

En este paso se realiza la identificación de las amenazas ligadas a los activos de

información. Se dice que los activos de información son vulnerables a varios tipos de

amenazas, las cuales pueden ocasionar un incidente no esperado que puede ocasionar un mal

a los activos y a la organización. A estas amenazas se les clasificará por su naturaleza, para

poder precisar su ubicación.

43
 Una vez que se realizase la identificación de las amenazas que pudiesen afectar a los

activos, se evaluará su probabilidad de ocurrencia. Para realizar la medición de probabilidad

de ocurrencia, se usará la escala de Likert.

Se considerará con detenimiento al momento tomar las decisiones en relación con el

análisis de amenazas, esto para su debido resguardo. Todo esto será registrado y presentado al

jefe del área para su posterior aprobación.

 Actividad 3: Identificar las vulnerabilidades

Consiste en identificar las vulnerabilidades de tecnología de información ligadas a

los activos de información, estas no producen un mal, sino sencillamente son situaciones que

pudiesen realizar de que una amenaza afectase un activo.

Para tener un mejor control de las vulnerabilidades se las relacionará con los activos

priorizados. Estas dos actividades, la identificación de las vulnerabilidades y relación de

activos – vulnerabilidad, serán registradas y presentadas al jefe del área de TI para su

posterior aprobación.

 Actividad 4: Identificación de los riesgos

El cuarto paso consiste en identificar los riesgos, basado en las amenazas y

vulnerabilidades identificadas. Se calculará la probabilidad de que puedan unirse y originar

un riesgo. Los riesgos poseen dos factores, uno que expresa el impacto del riesgo si ocurriese,

y otro que expresa la probabilidad de que el riesgo ocurra. Se evaluará el impacto económico

en relación a la amenaza, para esto se usará la escala de Likert. Se utilizará esa escala para

medir la posibilidad de ocurrencia que podría darse por la amenaza. Y como último, este paso

consistirá en calcular la medición del riesgo, el cual se obtendrá de la multiplicación de los

valores que se obtuvieron del impacto de la amenaza y su probabilidad de ocurrencia. Estos

44
riesgos serán priorizados en orden, en referencia a su factor de exposición al riesgo. Todo

esto será registrado y presentado al jefe del área para su posterior aprobación.

 Actividad 5: Elaborar registro de los riesgos priorizados

En esta actividad se considera únicamente los riesgos cuyo valor obtenido por la

multiplicación de la medición de probabilidad de ocurrencia y el impacto que ocasionaría,

tengan un alto grado, conservando únicamente a estos para su posterior reducción con la

implementación de los controles que serán definidos en la elaboración del plan de tratamiento

de riesgo con la ISO/IEC 27002:2013.

3.2.4. Fase 4: Elaboración del plan de tratamiento de riesgo.

 Actividad 1: Estrategia de tratamiento de riesgo

Se seleccionan los diferentes tipos de estrategias en función a la naturaleza del

riesgo, logrando obtener una estrategia de riesgo para cada riesgo que se encontró en el

análisis.

 Actividad 2: Identificación de los controles de la norma ISO 27002

Para los riesgos, cuya estrategia es la reducción, se seleccionan los controles dados

por la norma ISO/IEC: 27002, con el fin de implementar y lograr reducir el riesgo a un nivel

aceptable.

 Actividad 3: Definición del Plan de Tratamiento de Riesgo

Se elaborará un plan de tratamiento indicando los costos, el tiempo y los

mecanismos que serán implementados para su desarrollo de cada control seleccionado, estos

documentos contendrán los objetivos, alcances y las propuestas de cada control y el tiempo

que llevará la implementación.

45
 Actividad 4: Implementación del Plan de Tratamiento de Riesgo

Definido el plan de tratamiento de riesgo, se implementará los controles que fueron

seleccionados para la reducción del riesgo. Esto permitirá cumplir con lo propuesto en el plan

y formará una mejora.

3.2.5. Fase 5: Evaluación de la mejora del nivel de seguridad con la ISO 27002.

 Actividad 1: Determinar el nivel de capacidad del proceso

Aquí se desarrollará la segunda evaluación con la misma herramienta de evaluación,

esto después de haber implementado los controles que fueron seleccionados para la reducción

de los riesgos, la cual reflejará la mejora del proceso DSS05 – “Gestionar los servicios de

Seguridad”, el cual fue seleccionado para evaluar la mejora del nivel de seguridad físico y

lógica de la información.

 Actividad 2: Elaborar el informe después de la 2da evaluación

Una vez que se realizó la auditoria, se desarrollará un informe que indique el

porcentaje o nivel en la que se encuentra la seguridad de la información, después de la

implementación del plan de tratamiento de riesgo en la organización. Luego se realizará el

informe con el nivel de capacidad del proceso mediante el marco de referencia COBIT PAM.

 Actividad 3: Evaluación de la mejora

Se determinará cuáles son las mejoras dadas por la primera evaluación y la segunda

evaluación, haciendo un análisis breve indicando las mejoras obtenidas.

 Actividad 4: Realizar el informe de la mejora

En este último punto, se desarrollará el informe final de evaluación, el cual indicará

la mejora y observaciones que se obtuvo de manera general, y cuan satisfactorio le fue al área

de TI al poder realizar la implementación con los controles para la mejora del nivel de

seguridad lógica y física de la información. Este informe será presentado al jefe del área de

TI para su aprobación y validación correspondiente.

46
3.3. Nivel de investigación

Según Hernández (2012), “El nivel de investigación se refiere al grado de

profundidad con que se aborda un fenómeno o un evento de estudio.

Según Hernández Sampieri (2017), “Los estudios explicativos son más que la

descripción de conceptos, fenómenos o el establecimiento de relaciones entre variables; más

bien, están diseñadas para determinar las causas de los eventos y fenómenos físico o sociales.

Como su nombre lo indica, su interés se centra en explicar por qué ocurre un fenómeno y en

qué condiciones se manifiesta, o porque se relacionan dos o más variables.”

La investigación desarrollada es de nivel Explicativo porque la relación entre las

variables es una relación de causa efecto, siendo que la variable independiente, Controles de

seguridad física y lógica de la ISO/IEC 27002:2013 tienen un efecto sobre la variable

dependiente Niveles de Seguridad de la información.

3.4. Tipo de investigación

Según Landeau (2007), "Los tipos de investigación se han definido de acuerdo a

varios aspectos que presentan modalidades particulares de investigación, entre otras: su

finalidad, a un momento específico, a las fuentes de información, al enfoque histórico, en la

observación, en la experimentación, a la amplitud y el método de casos.”

Según Lara (2013), “La investigación aplicada, guarda íntima relación con la básica

pues depende de los descubrimientos y avances de la investigación básica y se enriquece con

ellos, pero se caracteriza por su interés en la aplicación, utilización y consecuencias prácticas

de los conocimientos. La investigación aplicada busca el conocer para hacer, para actuar, para

construir, para modificar”

La investigación realizada es de tipo aplicada puesto que se tuvo que hacer un

estudio exhaustivo de la problemática del área de TI y de las posibles soluciones para ella, de

47
cómo tratarse y elaborarse, esto con el fin de obtener resultados satisfactorios en el área de

TI, lo cual permitirá mejorar el nivel de seguridad física y lógica de la información.

3.5. Enfoque de la investigación

Ruiz (2012) “El enfoque de la investigación es un proceso sistemático, disciplinado

y controlado y está directamente relacionada a los métodos de investigación que son dos:

método inductivo generalmente asociado con la investigación cualitativa que consiste en ir de

los casos particulares a la generalización; mientras que el método deductivo, es asociado

habitualmente con la investigación cuantitativa cuya característica es ir de lo general a lo

particular.”

El enfoque de nuestra investigación es cualitativo, pues previo al análisis se realiza

una auditoría, la cual permite conocer la problemática y los procesos de la organización,

conociendo el nivel de seguridad de la Unión Peruana del Norte, que permite realizar con

determinación el planteamiento del problema bien estructurado.

Además, se elaborará un análisis de riesgo para tener un control de lo que pueda

suceder en el transcurso de la investigación.

3.6. Población

 Población de estudio.

Lerma (2016) “La población es el conjunto de todos los elementos de la misma

especie que presentan una característica determinada o que corresponden a una misma

definición, y cuyos elementos se le estudiarán sus características y relaciones. Está definida

por el investigador y puede estar integrada por personas o por unidades diferentes a personas:

viviendas, ventanas, tornillos, pacientes de pediatría, computadores, historias clínicas, entre

otros”.

Para el presente proyecto de investigación se ha definido como población al jefe del

área de TI y al resto del personal del área.

48
3.7. Recolección de la información

 Lista de chequeo. - Se mide el estado actual de la organización

 Observaciones. - Por cada entrevista hay puntos que suelen cambiar entorno a la

organización o al proyecto.

 Entrevistas. - Tomar nuevas entrevistas con el jefe de área o con el asesor para la

revisión correspondida.

49
 4. CAPÍTULO IV: INGENIERÍA DE LA PROPUESTA
4.1. Fase 1: Estudio de la organización

4.1.1. Actividad 1: Entrevistas con la organización.

Como primera actividad de la metodología de investigación, se tuvo el estudio de la

organización, a través de entrevistas con el jefe del área de TI de la UPN. La información

obtenida sirvió para la investigación, ya que en base ello se toma los puntos necesarios para

explicar el propósito de estudio, para el desarrollo de la investigación.

Se realizó la reunión con el jefe del área de TI el día de 28 de marzo de 2016 a las

9:30 y tuvo una duración 45 minutos, donde se explicaron los propósitos de estudios y temas

relacionados a la investigación y acuerdos para reuniones posteriores. Lo expresado por el

jefe del área en las entrevistas y reuniones fueron grabados en un audio para tener un respaldo

de ello. En el Anexo 1 se muestra el acta de la primera reunión, la cual valida la realización

de la reunión.

4.1.2. Actividad 2: Estudio del área de trabajo.

La segunda actividad fue realizar el estudio del área de trabajo. En este punto se

determinó en conjunto con el jefe del área de TI, el lugar o área de trabajo exacto de la

organización en donde se realizaría la investigación; siendo el área de TI, el lugar designado

para realizar nuestra investigación. Posterior a ello, se realizó una identificación preliminar de

la problemática que abordaba el área de TI. Esta información se obtuvo mediante entrevistas

brindadas por el jefe del área, lo expresado y dicho por el jefe del área en esta entrevista fue

grabado en un audio para tener un respaldo de ello. En el Anexo 2 se visualiza el Acta de la

2da reunión en donde se detallan los puntos importantes para dicha reunión.

50
4.1.3. Actividad 3: Presentar documento de propuesta de investigación.

Finalizando la primera fase, se presentó el documento de la propuesta de

investigación, expresando el alcance general de la investigación, esto en base a la

problemática identificada.

Se plantó el objetivo principal de implementar los controles de la ISO/IEC

27002:2013 para la mejora del nivel de seguridad física y lógica de la información en el área

de TI de la UPN. En el Anexo 3 se observa la tercera acta de reunión donde se detallan los

puntos que se tomaron en cuenta para esta actividad, y en el Anexo 4 se muestra el

Documento actualizado de nuestra propuesta de investigación, dirigida a la Unión Peruana

del Norte. En el Anexo 9 se aprecia la topología de red de la Organización, en el Anexo 10 la

estructura de cables, y por último en el Anexo 11 el servidor principal perteneciente al área

de TI.

4.2. Fase 2: Evaluación del nivel de seguridad con Cobit

4.2.1. Actividad 1: Elaboración del instrumento de evaluación.

Se determinó como instrumento de evaluación una lista de chequeo (checklist) que

está elaborado bajo el proceso COBIT DSS05 – Gestionar los Servicios de Seguridad; este

detalla las buenas prácticas para su implementación. Este proceso cuenta con 7 prácticas de

gestión y cada práctica con cierto número de actividades, las cuales ayudan a cumplir con los

requisitos para obtener una seguridad de la información integra y robusta. Se elaboró un

checklist organizado en 7 partes, en función a cada práctica de gestión del proceso. Estos

checklist fueron validados por especialistas en el tema. En el Anexo 5 se muestra el

instrumento de evaluación (checklist) elaborada en base a las 7 prácticas de gestión del

proceso DSS05 – Gestionar los servicios de seguridad. En el Anexo 6 la Constancia de

validación de los checklist por parte de los especialistas.

51
4.2.2. Actividad 2: Determinación del nivel de capacidad del proceso con Cobit.

Es aquí donde se realizó la auditoría, para ello se pactó una fecha en coordinación

con el jefe del área de TI, la cual había sido estipulada para el 25 de julio de 2017.

Ya en la fecha definida se procedió a realizar la auditoría en conjunto con el jefe del

área de TI, tomando en ellos las 7 checklist. La hora de inicio de la auditoría fue a las 9:30

am y tuvo una duración de 2 horas. En el transcurso de la evaluación se tocaron todos los

puntos (Ítems) definidos en los checklist, siendo en algunos casos positivos y en otros

negativos, puesto que en algunos casos el área de TI cumple con lo que se estipula en las

prácticas de gestión y en otras no cumple con lo descrito.

Una de las cosas que se percibió, es que el área de TI cumplía una determinada parte

de las actividades detalladas en los ítems, pero no contaba con un registro de ello o

documentos de validación, lo cual es necesario e importante para tener un respaldo y tener un

mejor control sobre estos puntos. Después de realizada la auditoría, se procesó la información

para determinar la capacidad del proceso. Se consideró los elementos del modelo PAM que

se relaciona con las 7 prácticas de gestión del proceso, es decir los cinco criterios de

evaluación, los cuales son:

 Criterio 1: DSS05-O1 “Las redes y la seguridad de las comunicaciones responden a las

necesidades del negocio.”

 Criterio 2: DSS05-O2 “La información procesada, almacenada y transmitida por

dispositivos de punto final está protegida.”

 Criterio 3: DSS05-O3 “Todos los usuarios son identificables de forma única y tienen

derechos de acceso de acuerdo con su función comercial”

 Criterio 4: DSS05-O4 “Se han implementado medidas físicas para proteger la

información del acceso, daño e interferencia no autorizados al ser procesados, almacenados o

transmitidos.”

52
 Criterio 5: DSS05-O5 “La información electrónica está debidamente protegida cuando

se almacena, transmite o destruye.”

El resultado de la evaluación inicial fue de 47%, lo que según la escala de

evaluación del PAM (ver Figura 6), el proceso evaluado en el área de TI de la UPN está

parcialmente logrado, lo que se espera tener una mejora para la segunda evaluación ya con la

implementación de los controles que serán seleccionados en función al plan de tratamiento de

riesgo. En la Tabla 11 se observa la matriz de los criterios de evaluación del PAM para el

proceso DSS05 - Gestionar los servicios de seguridad.

Tabla 11:
Criterios de evaluación del PAM para el proceso DSS05 - Gestionar los servicios de seguridad

Criterios de evaluación del modelo PAM

Criterio 1: Criterio 2: Criterio 3: Criterio 4: Criterio 5:
DSS05-O1 DSS05-O2 "La DSS05-O3 "Todos DSS05-O4 "Se han DSS05-O5 "La
"Las redes y información los usuarios son implementado información
Prácticas del la seguridad procesada, identificables de medidas físicas para electrónica está
Proceso DSS05- de las almacenada y forma única y tienen proteger la debidamente
"Gestionar los comunicacio transmitida por derechos de acceso información del protegida cuando
nes dispositivos de de acuerdo con su acceso, daño e se almacena,
Servicios de responden a punto final está función comercial" interferencia no transmite o
Seguridad" las protegida" autorizados al ser destruye."
necesidades procesados,
del negocio." almacenados o
transmitidos."
DSS05.01 "Proteger
Contra Software X X
Malicioso"
DSS05.02 "Gestionar la
seguridad de la red y las X
conexiones"
DSS05.03 "Gestionar la
seguridad de los puestos X
de usuario final"
DSS05.04 "Gestionar la
identidad del usuario y el X
acceso lógico"
DSS05.05 "Gestionar
el acceso físico a los X
activos de TI"
DSS05.06 "Gestionar
Documentos sensibles y X
dispositivos de salida"
DSS05.07 "Supervisar la
infraestructura para
detectar eventos X
relacionados con la
seguridad"

Fuente: Elaboración propia

53
 En la Tabla 12 se observa el cuadro de evaluación y resultado obtenido por cada

criterio de evaluación en base a la escala de evaluación del PAM.

Tabla 12:
Cuadro de evaluación y resultado obtenido por cada criterio de evaluación en base a la escala de
evaluación del PAM

ESCALA DE EVALUACIÓN
No Parcialmente En gran Totalmente
CRITERIOS DE EVALUACIÓN
Logrado logrado medida logrado logrado
(0-15%) (15% -50%) (50% - 85%) (85% - 100%)
C1) DSS05-O1 Las redes y la seguridad
de las comunicaciones responden a las 51%
necesidades del negocio.”
C2) DSS05-O2 “La información
procesada, almacenada y transmitida por 59%
dispositivos de punto final está protegida”
C3) DSS05-O3 “Todos los usuarios son
identificables de forma única y tienen
40%
derechos de acceso de acuerdo con su
función comercial”
C4) DSS05-O4 “Se han implementado
medidas físicas para proteger la
información del acceso, daño e 58%
interferencia no autorizados al ser
procesados, almacenados o transmitidos”
C5) DSS05-O5 “La información 27%
electrónica está debidamente protegida
cuando se almacena, transmite o
destruye.”
47% - Parcialmente logrado
Resultado de la evaluación del proceso

Fuente: Elaboración propia

Todo este proceso fue validado y aceptado por el jefe del área de TI. En el Anexo 7

se puede apreciar la primera evaluación por cada lista de chequeo.

4.2.3. Actividad 3: Elaboración del informe.

Este informe detalló los resultados que se obtuvieron en la evaluación inicial. Este

documento se presentó al jefe del área de TI, quien validó y dio su aprobación al documento

elaborado. En el Anexo 8 se observa el informe de auditoría inicial.

54
4.3. Fase 3: Análisis de riesgo de TI

4.3.1. Actividad 1: Identificar los activos de información.

La tercera fase consiste en realizar el análisis de riesgo, la cual se tomó de referencia

a la ISO 27005 y el libro “Diseño de un Sistema de Gestión de Seguridad de Información Óptica

ISO 27001:2005”(Alexander, 2007). El primer paso fue identificar los activos de información

del área de TI. Para esto se tuvo una reunión con el jefe del área de TI, el cual nos hizo llegar

una lista de todos sus activos que poseían en manera general. Este informe de los activos es

realizado por el área de Contabilidad de la Unión Peruana del Norte.

Ya con lista de activos, y en base a lo que solicita la norma para la identificación de

activos, se procedió a realizar la clasificación de los tipos de activos. En la Figura 14 se

aprecia la clasificación de los tipos de activos de información.

Información

Documentos
Servicios
de papel

Clasificación de
tipos de Activos
Imagen de de Información
la A. Software
Compañía

Personal A. Físicos

Figura 14: Clasificación de tipos de activos de información (Fuente: Alberto G. Alexander

(2007))
Seguidamente, se registró la ubicación física de cada activo; estos se encontraban

distribuidos en las instalaciones de la organización, por lo que se tuvo que hacer un

seguimiento de ello. También se identificó al propietario de cada activo. El propietario es el

responsable por su cuidado, manejo y administración del activo. Finalmente, se realizó la

55
tasación o valoración de los activos basándonos en los 3 pilares de seguridad de la

información: la integridad, confidencialidad y disponibilidad. Para realizar la tasación se usó

la escala de Likert, la cual se califica del uno al cinco siendo, tal como se aprecia en la Figura

15.

Muy Muy
Bajo 1 Bajo 2 Medio 3 Alto 4 Alto 5

Figura 15: Escala de Likert (Fuente: Alberto G. Alexander (2007))

Se dieron más valor a los activos que procesaban, transmitían, transportaban y

almacenaban información, a diferencia de otros activos que no contaban con esas

características. Esta valoración se hizo en conjunto con el jefe del área. Toda la información

fue registrada en un archivo Excel, validada y aceptada por el jefe del área de TI.

El área de TI cuenta con 74 activos, de los cuales 48 fueron priorizados. En el Anexo

12 se muestra la lista general de los activos del área de TI de la UPN organizados por su

descripción, propietario, ubicación, tipo de activo y valor obtenido en la valoración. En el

Anexo 13 se visualiza los activos priorizados en función al valor obtenido, se consideró los

activos que obtenga su valor del 3 a 5 según la escala Likert.

4.3.2. Actividad 2: Identificar las amenazas.

Se realizó la identificación de las posibles amenazas que podrían afectar a cada

activo que administra el área de TI, para esto se realizó un listado y se los clasificó por su

tipo, y que según el libro “Diseño de un Sistema de Gestión de Seguridad de Información”

(Alexander, 2007, p.48), se tienen seis tipos de amenazas tales como se aprecia en la Figura

16

56
 Amenazas
Naturales

Amenazas Amenazas a
sociales instalaciones

Tipos de
Amenazas

Amenazas Amenazas
operacionales humanas

Amenazas
tecnológicas

Figura 16: Tipos de Amenazas (Fuente: Alberto G. Alexander (2007))

Todas ellas se pueden originar de fuentes o sucesos deliberados o accidentales,

seguidamente se calculó su probabilidad de ocurrencia. Para esta medición se usó la escala de

Likert, dando un mayor valor a las amenazas cuyos tipos sean más propensas a darse, esto por

su entorno, funciones e infraestructura que gestiona el área de TI, esto último contó con la

participación del jefe del área de TI. Se identificaron un total de 26 amenazas, considerando

24 de ellas, puesto que tuvieron un mayor grado en la probabilidad de ocurrencia en los

activos de información. Este listado fue validado y aceptado por el jefe del área. En el Anexo

14 se visualiza las amenazas identificadas en el área de TI de la UPN, con su respectiva

medición de probabilidad de ocurrencia, las cuales se tomaron en consideración a partir del

valor 3 hasta el 5, en nuestro caso el máximo valor fue 4.

4.3.3. Actividad 3: Identificar las vulnerabilidades.

Para este punto se hizo una lista de las posibles vulnerabilidades que podrían darse

por cada activo, esta lista fue elaborada en base a cada activo y amenaza identificada,

teniendo un listado general de 54 vulnerabilidades. Posterior a la identificación de las

vulnerabilidades se evaluó la relación activo – vulnerabilidad, con el fin de tener una mejor

gestión en las vulnerabilidades ligadas a los activos, y así realizar una correcta identificación

57
de los riesgos. Estos dos puntos fueron registrados en un archivo Excel, validados y

aceptados por el jefe del área de TI. En el Anexo 15 se visualiza la lista las vulnerabilidades

identificadas en el área de TI de la UPN y en el Anexo 16 se visualiza la relación de los

activos con las posibles vulnerabilidades que podrían estar ligados a cada uno de ellos.

4.3.4. Actividad 4: Identificación de los riesgos.

Esta actividad consistió en la identificación de los riesgos, que se calcula con la

medición de todos los activos, las cuales cada activo contiene valores asignados para cada

pilar de seguridad: integridad, confidencialidad y disponibilidad. Este cálculo también debe

tener el valor de la probabilidad de ocurrencia entre las amenazas y las vulnerabilidades, las

cuales causan un mal a los activos de información como a la organización. Estos riesgos

calculados proporcionan un medio para poder prevalecer y hallar aquellos otros riesgos que

son más consecuentes para la organización. Existe un método para el cálculo de riesgo, y que

según el libro “Diseño de un Sistema de Gestión de Seguridad de Información” (Alexander,

2007, p.54), trata de relacionar los factores del impacto de la amenaza junto con su

probabilidad de ocurrencia. Se les realizó una medición por su probabilidad de ocurrencia y

el impacto que ocasionaría si la amenaza llegase a dar. Estas mediciones se hicieron en base a

la escala de Likert, de la cual, para obtener su valor total y ver su grado de riesgo, se tuvieron

que multiplicar estos dos valores. En total fueron 348 riesgos identificados, donde el mínimo

valor obtenido para los riesgos fue de 6 y el máximo valor obtenido fue 20, siendo este el de

mayor criticidad. Esto fue registrado en un archivo Excel y compartido, validado y aceptado

por el jefe del área de TI. En el Anexo 17 se visualiza la lista de los riesgos generales que se

identificaron en la organización.

4.3.5. Actividad 5: Elaborar registro de los riesgos priorizados.

En este último paso de la tercera fase, se elaboró el registro de los riesgos

priorizados, de los cuales se conservaron únicamente los riesgos cuyo valor obtenido por la

58
multiplicación de la probabilidad de ocurrencia y el impacto obtenido tenga un alto grado.

Para nuestro caso se consideró el nivel de grado de evaluación a partir del valor 15 hasta el

25, siendo este último valor el más crítico, y el cual necesitaría tratarse con mucho más

resguardo y con la debida importancia. En nuestro caso los riesgos con mayor alto grado

fueron de valor 20. En resumen, se tuvo un total de 178 riesgos priorizados. Los cálculos

realizados fueron separados por color, los cuales se dan por la multiplicación de probabilidad

de ocurrencia e impacto.

Tabla 13:
Niveles de evaluación del riesgo

Probabilidad 5 5 10 15 20 25
de 4 4 8 12 16 20
Ocurrencia 3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
1 2 3 4 5
Impacto
Fuente: Elaboración propia

En la Tabla 13 se observa el nivel evaluación de riesgo y en la Tabla 14 se describen

los grados de los niveles de riesgo siendo en total de 5.

Tabla 14:
Nivel del Tratamiento del riesgo

Grado de
Descripción
Evaluación
El riesgo es priorizado y puede perjudicar a la organización y
necesita tratarse inmediatamente para ver el alcance, ver si se
Muy Alta
implementa los controles o se trasfiere para su reducción del
nivel de evaluación.
El riesgo es priorizado se debe tratarse de manera organizada,
Alta detallada y documentada en un tiempo corto definiendo controles
para su implementación
El riesgo no es priorizado, se mejora el proceso con los controles,
Medio viendo si es viable en el término del costo para que la
organización no se sienta afectada en un futuro.
El riesgo no es priorizado, no requiere de un tratamiento, donde
Bajo
se encuentre en un nivel que puede aceptarse para la organización
El riesgo no es priorizado, no requiere de un tratamiento, que no
Muy bajo
perjudique a la organización.

Fuente: Elaboración propia

59
 En el Anexo 18 se visualiza la lista de los riesgos priorizados, tomados en cuenta de

acuerdo a su valor obtenido por la multiplicación de su impacto con su probabilidad de

ocurrencia.

4.4. Fase 4: Elaboración del Plan de Tratamiento de Riesgo con la ISO 27002

4.4.1. Actividad 1: Estrategia de tratamiento de riesgo.

Esta actividad consiste en seleccionar la estrategia de riesgo que la norma ISO 27005

brinda para decidir qué acciones se debe tomar frente a los riesgos. Las estrategias a

seleccionar fueron: Reducir, Aceptar, Transferir y Evadir. Para la selección de la estrategia de

riesgo se tomaron en cuenta: los costos, el tiempo, las evaluaciones y demás actividades que

intervienen al momento de tratar un riesgo.

La estrategia de riesgo Reducir, permite la selección de controles de la norma ISO

27002, para minimizar el impacto y la ocurrencia de los riesgos.

Si la estrategia de riesgo es Evitar; se toma acciones, como el cambio de una

actividad, lo que evitaría la presencia del riesgo.

Cuando la estrategia de riesgo es Transferir, la organización ve difícil reducir o

controlar el riesgo a un nivel aceptable. La posibilidad de transferirla a una tercera parte es

más económica, se establece condiciones en las que se transfiere. Y por último, cuando la

estrategia de riesgo es Aceptar, es porque en algunas ocasiones no se encuentran los controles

para reducir los riesgos, o la implementación de un control que tiene un costo mayor que las

consecuencias del riesgo. En estos casos, la decisión de aceptar el riesgo y convivir con el

riesgo es la más adecuada. Cuando la organización toma esta decisión se deben documentar y

definir con precisión los criterios de aceptación del riesgo. Todo esto contó con la aprobación

y aceptación del jefe del área de TI y con la validación de la especialista en el tema. En el

Anexo 19 se puede apreciar las estrategias de riesgo que fueron definidos para cada uno de

los riesgos priorizados.

60
4.4.2. Actividad 2: Identificación de controles de la norma ISO 27002.

Al mismo tiempo de realizar la identificación de la estrategia de riesgo, se analizó

que controles de la norma ISO/IEC 27002 ayudarán a reducir los riesgos para la mejora del

nivel de seguridad de la información. Estos controles permitirán mejorar la seguridad de la

información, como la seguridad física y lógica de la organización, este análisis se desarrolló

en conjunto con la identificación de las estrategias de riesgo, determinando qué controles

serán implementados, logrando minimizar el impacto del riesgo con los activos de

información. Los controles seleccionados en los riesgos priorizados fueron también

evaluados por la ingeniera experta para su implementación adecuada. En el Anexo 19 se

puede apreciar los controles que fueron definidos para la estrategia de riesgo Reducir, aunque

no fueron tomados en su totalidad, puesto que, para reducir los riesgos de seguridad física y

lógica, y luego en lo que concierne al proceso del análisis sobre las estrategias y controles, se

concluyó que se deben implantar 14 controles de la norma 27002, los que se encuentran en

relación con el proceso DSS05 – “Gestionar los Servicios de Seguridad”. Aparte de los

controles que se muestran en la lista se consideraron los controles 5.1.1 – “Políticas para la

seguridad de la información”, 8.1.1 – “Inventario de Activos”, 8.2.1 – “Clasificación de la

información”, puesto que para cumplir con lo que el proceso DSS05 – “Gestionar los

servicios de seguridad” es necesario incluir a estos tres controles para su buena gestión y

resguardo y puesto que el proceso lo requiere. Los 14 controles seleccionados para el Plan de

Tratamiento de Riesgo fueron: 5.1.1, 8.1.1, 8.2.1, 9.1.1, 9.2.1, 9.2.2, 9.2.3, 9.2.5, 9.26, 9.4.2,

11.1.2, 11.2.1, 12.2.1, 12.6.1. En algunos ítems pertenecientes a la segunda y tercera lista de

chequeo, no fue posible reducir los riesgos asociados a ellos, por lo que se tuvo que transferir

y aceptar el riesgo. El control que está asociado a la estrategia de riesgo Transferir es el

control 10.1.1 – “Política de uso de los controles criptográficos” y los controles que están

asociados a la estrategia de riesgo Aceptar son el control 13.1.1 – “Controles de Red” y el

61
control 13.1.2 – “Seguridad de los servicios de red”. En el Anexo 20 se observa el documento

relacionado a la estrategia de riesgo Transferir, en conjunto con las políticas de criptografía.

En el Anexo 21 se aprecia el documento relacionado a la estrategia de riesgo aceptar, en

conjunto con las políticas de Seguridad de las comunicaciones. Las políticas que son descritas

en las dos estrategias de riesgo, ayudan a establecer las medidas y parámetros, por las cuales

se tendrá que cumplir con ello cuando la requieran. Todo contó con la aprobación y

aceptación del jefe del área de TI y con la validación de la especialista en ello.

4.4.3. Actividad 3: Definición de Plan de Tratamiento Riesgo.

La elaboración del Plan de Tratamiento de Riesgo se hizo siguiendo un formato

revisado y aprobado por el jefe de TI. Este documento cuenta con objetivos, alcance y

actividades para la implementación de los controles. La implementación de los controles

también se definió bajo un objetivo, presupuesto y el tiempo que se llevará a cabo en la

implementación del control, esto permitirá ver el alcance y el cumplimiento de ello. El Plan

de Tratamiento de Riesgo describirá todo lo desarrollado hasta antes de su implementación,

permitiendo que el jefe de TI conozca los avances y las acciones que se desarrollará para

reducir los riesgos que pueden afectar los activos de información. Esto contó con la

aprobación y aceptación del jefe del área de TI y con la validación de la especialista en el

tema. En el Anexo 22 se muestra el Plan de Tratamiento de Riesgo que fue definido en base

a los 14 controles seleccionados de la norma ISO/IEC 27002:2013.

4.4.4. Actividad 4: Implementación del Plan de Tratamiento de Riesgo.

La implementación del Plan de Tratamiento de Riesgo inició con la aplicación de los

14 controles seleccionados, los cuales contienen las medidas y establecimientos óptimos para

el aseguramiento de la información. A continuación, se detallarán lo que se realizó por cada

control:

62
 Control 5.1.1 – “Políticas para la seguridad de la información”: Este fue el primer

control establecido, el cual consta de normas y reglas que se tiene que cumplir en toda el

área. La definición de estas normas permite tener un mejor funcionamiento en la seguridad de

la información, en el ámbito físico y lógico en el área de TI de la Unión Peruana del Norte,

los sistemas de información y los equipos que almacenan, procesan y transmiten información.

Para su desarrollo se optó por tener como referencia el “Manual de políticas de Seguridad de

la Información” (ICETEX, 2014), que aportó en la toma de documentación y definición de

las políticas de seguridad. Este documento está dirigido a todo el personal del área de TI y fue

aprobado por la Dirección de TI y validado por la especialista en el tema. En el Anexo 23 se

visualiza el Manual de Políticas de Seguridad de la Información del Área de TI de la UPN.

 Control 8.1.1 – “Inventario de activos”: Para la realización del inventario de activos de

información, es importante identificar el conjunto de activos de información, entendiendo a

un activo como cualquier elemento que conlleve valor para la organización. Esto se dio

puesto que para la sexta práctica de gestión del proceso DSS05, requiere de un inventariado,

donde se detallen los dispositivos y/o activos que el área de TI gestiona, esto cuando el activo

salga fuera de la organización. Se realizó un registro en un archivo Excel del inventario de

activos, similar a lo que se realizó en el análisis de riesgo, pero de una manera más detallada,

donde se obtuvo 5 atributos de clasificación, las cuales se aprecian en la Tabla 15.

Tabla 15:
Atributos de Clasificación para los Activos de Información
Código Atributo Descripción
de Clasificación
ACL1 Activo que es de mucha importancia y de criticidad para la organización y para
sus operaciones internas
ACL2 Activo que está restringido a personas externas a la organización
ACL3 Activo que está restringido a un personal limitado que no labora en el área de
TI, pero que labora dentro de la organización.
ACL4 Activo que puede ser alterado para corrupción y/o fraudes
ACL5 Activo que es de conocimiento público para cualquier persona, ya sea externa o
interna a la organización

Fuente: Elaboración propia

63
Todo esto contó con la aprobación y aceptación del jefe del área de TI y con la validación de

la especialista en el tema. En el Anexo 29 se aprecia el Inventariado de Activos, y en el

Anexo 47 el Inventariado de dispositivos y/o Activos de salida.

 Control 8.2.1 – “Clasificación de la Información”: Se realizó la clasificación de la

información puesto que es necesario asegurar que la información reciba los niveles de

protección adecuados para su debido resguardo y correcto manejo de la información. La Guía

de Clasificación de la información fue elaborada para cumplir con algunas de las actividades

de la segunda, cuarta y sexta práctica de gestión del proceso DSS05 que requieren de la

clasificación la información. Dentro del contenido de la Guía de Clasificación está definido

un objetivo, un alcance y responsabilidades a tomarse en cuenta por parte de los propietarios

de los activos de información; además, contiene definiciones básicas de términos

relacionados a la clasificación de la información, una definición concisa de lo que es la

Clasificación de la Información. Se incluyó también un análisis sobre los requisitos de

información, que están dados o definidos en base a la confidencialidad, integridad y

disponibilidad de la información. Se propuso optar por 4 niveles de clasificación los cuales

son: Público, Uso Interno, Restringida, Altamente restringida. A su vez se definieron a los

encargados de clasificar la información. Asimismo, se concretaron los puntos por los cuales

se iban a manejar y tratar la información. Por último, se realizó una matriz donde se detalló

los procedimientos de clasificación para los diferentes niveles de clasificación que se

adoptaron. Para esto se tomó como referencia a Angarita & Tabares (2012) “Análisis de

riesgos para el proceso administrativo: Departamento de informática en la empresa de

Acueducto y Alcantarillado de Pereira S.A E.S.P, basados en la norma ISO 27005” (Proyecto

de Grado). Universidad Tecnológica de Pereira, Colombia , la cual fue de gran ayuda para el

desarrollo de esta guía, todo esto contó con la debida aprobación del jefe del área de TI y

contó con la validación de la especialista en el tema. En el Anexo 30 se aprecia la Guía de

64
Clasificación de la Información y en el Anexo 31 el registro de Inventariado de la

Clasificación de la información de los activos.

 Control 9.1.1 – “Políticas de Control de Acceso”: De la misma forma que se estableció

el Manual de Políticas de Seguridad de la Información, se realizó el Manual de Política de

Control de Acceso Lógico, que conllevan a tener normas dentro de los sistemas de

información que el área de TI maneja en la organización, además de medias o acciones a

tomarse en cuenta para limitar el acceso a los medios y recurso de información de usuarios no

autorizados, esto y más temas concernientes al control de acceso lógico está definido dentro

del Manual de Políticas de Control de Acceso Lógico. Realizar esto era necesario para

cumplir con las prácticas de gestión del proceso DSS05 que a nivel de acceso lógico

remarcaban. Este Manual de Políticas fue aprobado por la dirección de TI, y fue publicado y

distribuido a todos los miembros del área de TI y contó con la validación de la especialista en

el tema. En el Anexo 24 se visualiza el Manual de Política de Control de Acceso Lógico

establecido para el Área de TI de la UPN.

 Control 9.2.1 – “Registro y baja de usuario”, Control 9.2.2 – “Provisión de acceso

de usuario”, Control 9.2.3 – “Gestión de privilegios de acceso”, Control 9.2.5 –

“Revisión de los derechos de acceso de usuario”, Control 9.2.6 – “Retirada o

reasignación de los derechos de acceso”: Se consideraron 5 controles para la realización del

procedimiento denominado “Procedimiento Seguro sobre la gestión de Acceso de Usuarios”,

puesto que para realizar una eficaz y segura Gestión de acceso a la información, se requiere

tomar en consideración las actividades y tareas que se mencionan dentro del informe, las

cuales fueron definidas en relación a lo descrito en los cinco controles, los que ayudan a tener

íntegra y segura el acceso a la información.

Esto fue diseñado, puesto que para cumplir con algunas de las actividades de la

cuarta práctica de Gestión del proceso DSS05 requerían de este procedimiento. Dentro del

65
contenido del informe está definido quienes cooperaron en elaboración de este

procedimiento, el diagrama del procedimiento con sus listas de tareas, un informe conciso del

procedimiento elaborado, los roles que intervienen o interactúan en el procedimiento, además

de una descripción general del flujo, donde se detalla la actividad que realiza, el rol que

interactúa en el procedimiento, las tareas contenidas dentro de la actividad, y los documentos

o entregables que se generan, y por último, se realiza las contingencias, que es lo posible o

aquello que puede, o no, concretarse. Este procedimiento fue revisado por docentes

especializados para su evaluación, levantando observaciones que fueron validadas mediante

firma por un documento de conformidad por parte del especialista. En el Anexo 27 se aprecia

el Informe del Procedimiento Seguro sobre la Gestión de Acceso de Usuarios y en el Anexo

50 la Validación del procedimiento por parte de los especialistas.

 9.4.2 – “Procedimientos seguros de inicio de sesión”: El motivo por el cual se optó

realizar el procedimiento denominado “Procedimiento para el seguro inicio de sesión a los

sistemas”, fue para minimizar y/o reducir la oportunidad de acceso no autorizado a los

sistemas de información, este procedimiento revela el mínimo de información sobre el

sistema, además de no proporcionar ayuda innecesaria a usuarios sin autorización, para ello

se requiere tomar en consideración las actividades y tareas que se mencionan dentro del

informe, las cuales fueron realizadas y definidas en relación a lo descrito en este control. El

desarrollo de este procedimiento también se dio, puesto que para cumplir con algunas de las

actividades de la cuarta práctica de Gestión del proceso DSS05 que hacían referencia a la

segura autenticación en las aplicaciones, requerían de este procedimiento. Dentro del

contenido del informe está definido quienes cooperaron en elaboración de este

procedimiento, el diagrama del procedimiento con sus listas de tareas, un informe conciso del

procedimiento elaborado, los roles que intervienen o interactúan en el procedimiento, además

de una descripción general del flujo, donde se detalla la actividad que realiza, el rol que

66
interactúa en el procedimiento, las tareas contenidas dentro de las actividades, y los

documentos o entregables que se generan, y por último las contingencias. Este procedimiento

fue revisado por docentes especializados para su evaluación, levantando observaciones que

fueron validadas mediante firma por un documento de conformidad por parte del especialista.

En el Anexo 28 se aprecia el Informe del Procedimiento Seguro de inicio de sesión y en el

Anexo 50 la Validación del procedimiento por parte de los especialistas

 Control 11.1.2 – “Controles físicos de entrada” & Control 11.2.1 – “Emplazamiento

y protección de equipos”: En este punto los dos controles están contenidos dentro de las

políticas de seguridad de la información y no cuentan con un formato en específico, puesto

que con lo que se definió en las políticas de seguridad de la información ayudan a cumplir

con lo establecido e instaurado en ambos controles, esto además ayuda a cumplir con lo

establecido en la quinta practica de gestión del proceso DSS05.

Con lo que sí se desarrolló, fue en la elaboración de un formato de solicitud de

peticiones de acceso a las instalaciones de la organización por parte de terceros (visitas u

operarios) dirigida al área de TI. Se brindaron capacitaciones a los usuarios de TI y otras

áreas del entorno a la seguridad física; además, se elaboró un formato de registro de visitas y

operarios que ingresan a las instalaciones de la organización, añadiendo a ello la elaboración

de medios de identificación físico (fotocheck). Todo esto contó con la debida aprobación del

jefe del área de TI de la Unión Peruana del Norte con la validación de la especialista en el

tema.

En el Anexo 39 se aprecia el formato de ficha de capacitaciones sobre la importancia

de la seguridad física, en el Anexo 40 el formato de registro de capacitación sobre la

importancia de la seguridad física, en el Anexo 41 el Formato de Solicitud de Peticiones de

Acceso a las instalaciones, en el Anexo 42 el Formato de registro de las peticiones formales

de acceso, en el Anexo 43 el Formato de registro de visitas u operarios a las instalaciones del

67
área de TI de la UPN, en el Anexo 44 el Formato de registro del personal no autorizado y que

no lleve identificación en las instalaciones de la UPN, y por último en el Anexo 45 el diseño

de fotocheck elaborado para los visitantes y operarios & Señalizaciones de seguridad.

 Control 12.2.1 – “Controles contra el código malicioso”: El motivo por el cual se optó

realizar el procedimiento denominado “Procedimiento para la protección contra el código

malicioso”, fue para asegurar y salvaguardar que los recursos y/o activos que procesan y

transmiten información estén asegurados contra el código malicioso, así mismo, implementar

medidas de detección, recuperación y prevención, que sirvan como resguardo contra el

código malicioso, tal como el uso de un software para la detección de código malicioso,

además de una adecuada concienciación a los usuarios sobre seguridad. Para ello se requiere

tomar en consideración las actividades y tareas que se mencionan dentro del informe, las

cuales fueron definidas en relación a lo descrito en este control. El desarrollo de este

procedimiento también se dio, puesto para cumplir con las actividades de la primera práctica

de Gestión del proceso DSS05, se requiere de este procedimiento. Dentro del contenido del

informe está definido quienes cooperaron en elaboración de este procedimiento, el diagrama

del procedimiento con sus listas de tareas, un informe conciso del procedimiento elaborado,

los roles que intervienen o interactúan en el procedimiento, además de una descripción

general del flujo, donde se detalla la actividad que realiza, el rol que interactúa en el

procedimiento, las tareas contenidas dentro de las actividades, y los documentos o

entregables que se generan, y por ultimo las contingencias.

Este procedimiento fue revisado por docentes especializados para su evaluación,

levantando observaciones que fueron validadas mediante firma por un documento de

conformidad por parte del especialista. En el Anexo 26 se aprecia el Informe del

Procedimiento para la protección contra el código malicioso, y en el Anexo 50 la Validación

del procedimiento por parte de los especialistas. En el Anexo 32 se visualiza la

68
Documentación general sobre el software antivirus que el área de TI maneja. En el Anexo 33

se visualiza el formato de la ficha de capacitaciones sobre el código malicioso, y en el Anexo

34 se observa el formato registro de las capacitaciones y entrenamiento sobre el software

malicioso y por último en el Anexo 35 el formato de Registro de Amenazas identificadas en

las evaluaciones de los activos relacionadas a los códigos maliciosos.

 Control 12.6.1 – “Gestión de vulnerabilidades técnicas”: El motivo por el cual se optó

realizar el procedimiento denominado “Procedimiento para la gestión de vulnerabilidades

técnicas”, fue para reducir y minimizar los riesgos y amenazas resultantes de la explotación

de las vulnerabilidades técnicas. Las actividades que se realizan en este procedimiento,

permiten obtener información eficaz acerca de las vulnerabilidades técnicas de los softwares

utilizados, además de adoptar medidas oportunas para afrontar los riesgos asociados a los

softwares. Otro punto es que permite definir y establecer funciones a los usuarios en torno a

las medidas adoptadas, y de realizar un seguimiento y verificación de las medidas que se

adoptaron para la correcta gestión de vulnerabilidades técnicas, todo esto se definió en

relación a lo descrito en este control. El desarrollo de este procedimiento también se dio,

puesto para cumplir con algunas de las actividades de la primera práctica de Gestión del

proceso DSS05, requerían de este procedimiento.

Dentro del contenido del informe, está definido quienes cooperaron en elaboración

de este procedimiento, el diagrama del procedimiento con sus listas de tareas, un informe

conciso del procedimiento elaborado, los roles que intervienen o interactúan en el

procedimiento, además de una descripción general de flujo, donde se detalla la actividad que

realiza, el rol que interactúa en el procedimiento, las tareas contenidas dentro de las

actividades, y los documentos o entregables que se generan, y por ultimo las contingencias.

Este procedimiento fue revisado por docentes especializados para su evaluación,

levantando observaciones que fueron validadas mediante una firma de un documento de

69
conformidad por parte del especialista. En el Anexo 25 se aprecia el Informe del

Procedimiento para la gestión de vulnerabilidades técnicas y en el Anexo 50 la Validación del

procedimiento por parte de los especialistas.

Del mismo modo, se desarrolló formatos en Word y formatos de registros en Excel

para poder cumplir en lo establecido en algunos de los ítems de las listas de chequeo. Cada

formato fue realizado por los investigadores (nosotros) y contó con la aprobación del jefe de

área de TI y nuestra asesora, los cuales se ven reflejados en los Anexos, del cual en el Anexo

36 se aprecia el Formato de Registro de dispositivos autorizados a la información y a la red,

en el Anexo 37 el Formato para la eliminación de Equipos Tecnológicos y mecanismos para

la eliminación de la información, en el Anexo 38 el Formato de Registro de los derechos de

acceso según los roles y responsabilidades de los usuarios, en el Anexo 46 el Manual de

perfil de acceso físico al área de TI, en el Anexo 48 el Formato de Registro de Inventariado

de documentos sensibles, y en el Anexo 49 el Formato de Registro de Inventariado de

conciliación de documentos sensibles y dispositivos de salida. Se cumplió en mayor

porcentaje lo que indica la norma y por ello se cumplió en gran parte con la lista de chequeo.

Todo esto de la misma forma contó con la validación y aceptación del jefe del área de TI y la

especialista en el tema.

4.5. Fase 5: Evaluación de la mejora del nivel de seguridad con la ISO 27002

4.5.1. Actividad 1: Determinar el nivel de capacidad del proceso.

Luego de la implementación de los controles del plan de tratamiento de riesgo se

realizó la segunda evaluación en base a la misma herramienta, que fue diseñada durante la

primera evaluación, con el fin de obtener resultados satisfactorios por medio de la

implementación de los controles. Al igual que en la primera evaluación, esta se realizó en

conjunto con el jefe del área de TI, durante el desarrollo de esta auditoría se pudo apreciar un

cambio significativo en las actividades las cuales ellos no cumplían, y que ahora por lo

70
realizado en la implementación, se logró tener una mejora. Esta auditoría tuvo una duración

de 2 horas. Los resultados de esta evaluación fueron compartidos con el jefe del área de TI, el

cual dio su aprobación y validación correspondiente, al igual que la especialista en el tema.

Al igual que en la primera auditoria, se determinó el nivel de capacidad mediante el PAM de

COBIT.

En la Tabla 16 se observa el cuadro de evaluación y resultado obtenido por cada

criterio de evaluación en base a la escala de evaluación del PAM.

Tabla 16:
Cuadro de evaluación y resultado obtenido por cada criterio de evaluación en base a la escala de
evaluación del PAM

ESCALA DE EVALUACIÓN

CRITERIOS DE EVALUACIÓN No Parcialmente En gran Totalmente

Logrado logrado medida logrado logrado
(0-15%) (15% -50%) (50% - 85%) (85% - 100%)
C1) DSS05-O1 Las redes y la seguridad de
las comunicaciones responden a las 73%
necesidades del negocio.”
C2) DSS05-O2 “La información procesada,
almacenada y transmitida por dispositivos 84%
de punto final está protegida”
C3) DSS05-O3 “Todos los usuarios son
identificables de forma única y tienen
90%
derechos de acceso de acuerdo con su
función comercial”
C4) DSS05-O4 “Se han implementado
medidas físicas para proteger la información
del acceso, daño e interferencia no 100%
autorizados al ser procesados, almacenados
o transmitidos”
C5) DSS05-O5 “La información electrónica
está debidamente protegida cuando se 73%
almacena, transmite o destruye.”

Porcentaje Alcanzado 84% En gran medida logrado

Fuente: Elaboración propia

En el Anexo 51 se observa la segunda evaluación por cada lista de chequeo.

71
4.5.2. Actividad 2: Elaborar el informe después de la 2da evaluación.

Este informe contiene los resultados de la segunda evaluación, así como en la

primera evaluación. Se utilizó los criterios de evaluación para medir el nivel de seguridad en

el área de TI de la Unión Peruana del Norte, este informe contó con la aprobación del jefe de

TI y la especialista en el tema. Este informe pasó previa revisión para medir con exactitud la

seguridad de la información. En el Anexo 52 se aprecia el segundo informe de auditoría.

4.5.3. Actividad 3: Evaluación de la mejora.

En esta actividad se realizó la comparación de las dos auditorías realizadas,

analizando las diferentes acciones que se desarrolló en cada evaluación, la cual constó con los

dos informes del Proceso de Autoevaluación de Cobit (PAM). Se analizó en qué lista de

evaluación se encontró la mejora, además se evaluó si existió una mejora en la seguridad de

la información de la Unión Peruana del norte. En el capítulo 5 se tiene un mejor detalle y

resultados de lo que se planteó realizar en el proyecto.

4.5.4. Actividad 4: Realizar el informe de la mejora.

Como última etapa de la fase y de la metodología en general, se realizó la

documentación general del informe de la mejora, llegando a ver los resultados obtenidos y

que de gran manera ayudaron a cumplir con el objetivo establecido en la investigación, el

cual fue el de mejorar el nivel de seguridad física y lógica de información. Los resultados

fueron satisfactorios para el área de TI puesto que hubo una gran mejora en el nivel de

seguridad de la información. Esto fue validado por el jefe del área de TI, el cual dio su

aprobación y su conformidad correspondiente por el desarrollo completo de la investigación

en general. En el Anexo 53 se observa el Informe de la mejora, y en el Anexo 54 el Acta de

Conformidad con los resultados obtenidos en el proyecto por parte del Área de TI de la Unión

Peruana del Norte, lo cual certifica que el proyecto en su totalidad tuvo una buena aceptación

y sobre toda una mejora en nivel de seguridad lógica y física y de la información.

72
 CAPÍTULO V: RESULTADOS DE LA INVESTIGACIÓN

5.1. Criterios de evaluación del Modelo de Evaluación de Procesos (PAM)

Este capítulo presenta los resultados obtenidos de la primera y segunda evaluación,

se hace esta comparación para saber cuáles son los resultados de mejora para la seguridad de

la información, aquí se explicó criterio por criterio, donde el proceso DSS05 cuenta con 5

criterios de evaluación, las cuales se asocian a las 7 prácticas del proceso. A continuación se

detalla el resultado de cada criterio.

5.1.1. Criterio 01 DSS05.01: “Las redes y la seguridad de las comunicaciones

responden a las necesidades del negocio”.

El primer criterio de evaluación está definido por 3 Prácticas (listas chequeo), las

cuales son: Práctica 01, Práctica 02 y Práctica 07. Estas prácticas contienen el valor

alcanzado durante la primera evaluación del proceso Cobit. Ahí se define qué ítems no fueron

alcanzados, y qué controles permiten mejorar el desarrollo de este criterio:

 Práctica 01: “Proteger Contra Software Malicioso”

Para el cumplimiento de esta práctica se elaboraron 8 ítems, las cuales permitirán

cumplir con el desarrollo del proceso DSS05, del cual 5 ítems de ellos fueron realizados por

el área de TI de la UPN y 3 de ellos no lo realizan. Los ítems restantes que faltan cumplir

son:

a) Actividad 2: Que no existe un procedimiento de prevención frente al ataque de un

código malicioso.

b) Actividad 5: Que no se realiza evaluaciones para detectar vulnerabilidades antes de que

sean una amenaza.

c) Actividad 6: Que no existe un registro de amenaza identificadas en las evaluaciones.

73
 Práctica 02: “Gestionar la seguridad de la red y las conexiones”

Para el cumplimiento de esta práctica se elaboraron 8 ítems, las cuales permitirán

cumplir con el desarrollo del proceso DSS05, del cual 5 ítems de ellos fueron realizados por

el área de TI de la UPN y 3 de ellos no lo realizan. Los ítems restantes que faltan cumplir

son:

a) Actividad 4: Que la información de la empresa no se encuentra clasificada según su

criticidad e importancia.

b) Actividad 5: Que la información no está cifrada para su tránsito en la red según su

clasificación.

c) Actividad 8: Que no realiza pruebas de intrusión para ver el nivel de seguridad que se

encuentra la red.

 Práctica 07: “Supervisar la infraestructura para detectar eventos relacionados con

la seguridad”

Para el cumplimiento de esta práctica se elaboraron 7 ítems, las cuales permitirán

cumplir con el desarrollo del proceso DSS05, del cual 2 ítems de ellos fueron realizados por

el área de TI de la UPN y 5 de ellos no lo realizan. Los ítems restantes que faltan cumplir

son:

a) Actividad 01: Que no se registran los eventos relacionados con la seguridad,

considerando el nivel de la información.

b) Actividad 02: Que los registros de seguridad no son guardados durante un periodo

apropiado para ayudar en futuras investigaciones.

c) Actividad 03: Que la naturaleza y características de los incidentes potenciales

relacionados con la seguridad no están definidas.

d) Actividad 06: No existe un procedimiento que recopile la evidencia de los incidentes de

seguridad.

74
e) Actividad 07: Que los empleados no conocen los resultados de la recopilación de la

evidencia de un incidente de seguridad.

Finalmente, como se puede apreciar en la Figura 17, se encuentran los resultados

obtenidos por cada práctica: Práctica 01, Práctica 02 y Práctica07, estableciendo que

porcentaje positivo y negativo se encuentra en cada una de ellas.

Figura 17: Resultados de las 3 Prácticas: Práctica 01, Práctica 02 y Práctica07

(Fuente: Elaboración Propia)

Como resultado de la primera evaluación del primer criterio, se logró tener un 51% tal como

muestra la Figura 18, donde el rango de medición alcanzado del PAM es “En gran medida

logrado”.

Primera Evaluación

49% 51%

SI NO

Figura 18: resultado de la primera evaluación del primer criterio de Cobit

(Fuente: Elaboración Propia)

75
Reducción del criterio DSS05.01: “Supervisar la infraestructura para detectar eventos

relacionados con la seguridad”

 Práctica 01: “Proteger Contra Software Malicioso”

a) Para cumplir con la actividad 2, se implementó el control 12.2.1: “Controles contra

código malicioso”, que permite cumplir con lo descrito en la actividad. Esta implementación

hizo que el ítem cambie a positivo en la segunda evaluación, logrando mejorar con lo

expuesto.

b) La actividad 5 tuvo que implementar el siguiente control 12.6.1: “Gestión de las

vulnerabilidades técnicas”, esta implementación permitió cumplir con la actividad de forma

positiva, logrando mejorar lo realizado en la primera evaluación.

c) Por último, la actividad 6 se requirió hacer la implementación del control 5.1.1:

“Políticas de seguridad de la información”, fue descrita como norma y se realizó un

registro que permita cumplir con la actividad mencionada.

 Práctica 02: “Gestionar la seguridad de la red y las conexiones”

a) Para cumplir con la actividad 04 de la Práctica 02 se implementó el control 8.2.1:

“Clasificación de la información”, que permitió mejorar la lista de evaluación

b) Para la actividad 05 no se implementó el control seleccionado 10.1.1: “Política de uso

de los controles criptográficos”, no lo puede realizar la organización ya que está fuera de

presupuesto para los investigadores y por ende merece gestionarse por otra entidad capaz de

desarrollar tal actividad y por tal motivo se mantiene en negativo en la evaluación.

c) Para la actividad 08 tampoco se implementó el control seleccionado 13.1.2: “Seguridad

de los servicios de red” puesto que se requieren inversión y la organización no tiene el

presupuesto necesario para gestionar tal servicio, pero se le entregó un documento de normas

para cumplir con el control en un futuro y por ello se mantienen en negativo en la evaluación.

76
 Práctica 07: “Supervisar la infraestructura para detectar eventos relacionados con

la seguridad”

a) En esta práctica solo se redujo la actividad 03, que fue implementado por el control

5.1.1: “Políticas para la seguridad de la información”, fue puesto como norma y también

se obtuvo el registro necesario, esto permite que mejore la Práctica 07.

b) Para las demás actividades 01, 02, 06 y 07 también se utilizó el control mencionado en la

parte superior, con la diferencia que fueron descritos como normas de seguridad en la

organización, pero no se pudo tener el registro para cumplir con la práctica y por ende los

ítems se mantienen en negativo.

Con la implementación de los controles mencionados en este primer criterio de

evaluación, se logra mejorar un 22%, logrando alcanzar un 73% en la segunda evaluación tal

como muestra la Figura 19, donde el rango alcanzado es “En gran medida logrado”,

cumpliendo con el objetivo trazado.

Segunda Evaluación
27%
73%

SI NO

Figura 19: resultado de la segunda evaluación del primer criterio de Cobit

(Fuente: Elaboración Propia)

5.1.2. Criterio 02 DSS05.02: “La información procesada, almacenada y transmitida

por dispositivos de punto final está protegida”.

El segundo criterio de evaluación está definido por 2 Prácticas (listas chequeo), las

cueles son: Práctica 01 y Práctica 03. Estas prácticas contienen el valor alcanzado durante la

77
primera evaluación del proceso Cobit. Ahí se define qué ítems no fueron alcanzados y qué

controles permiten mejorar el desarrollo de este criterio.

 Práctica 01: “Proteger Contra Software Malicioso”

Esta práctica contiene 8 ítems que indican las actividades de esta práctica de gestión,

que permite conocer si se cumple con lo descrito por cada ítem. De la cual para esta práctica

5 ítems fueron realizados por el área de TI de la UPN y 3 de ellos no lo realizan, los ítems

restantes las cuales falta cumplir son:

a) Actividad 02: Que no existe un procedimiento de prevención frente al ataque de un

código malicioso.

b) Actividad 05: Que no se realiza evaluaciones para detectar vulnerabilidades antes de que

sean una amenaza.

c) Actividad 06: Que no existe un registro de amenaza identificadas en las evaluaciones.

 Práctica 03: “Gestionar la seguridad de los puestos de usuario final”

Esta práctica está conformada por 9 ítems que indican que actividades deben

cumplirse, teniendo como objetivo mejorar el nivel de seguridad, la organización cumple con

5 ítems y la diferencia no lo realizan, los ítems restantes las cuales falta cumplir son:

a) Actividad 01: El sistema operativo de todas las computadoras (portátiles, de escritorio y

servidores), no cuentan con la última actualización publicada

b) Actividad 03: No se cifra la información almacenada de la organización según su

clasificación

c) Actividad 06: No se implementa el filtrado de tráfico de red en dispositivos de usuario

final.

d) Actividad 07: Que la integridad de la información no es protegida en los puestos de

usuario final

78
 Finalmente, como se puede apreciar en la Figura 20, se encuentra los resultados

obtenidos por cada práctica: Práctica 01 y Práctica 03, estableciendo qué porcentaje positivo

y negativo se encuentra en cada una de ellas.

Figura 20: Porcentajes de las 2 listas de evaluación: Práctica 01 y Práctica03

(Fuente: Elaboración Propia)

El resultado durante la primera evaluación del segundo criterio fue: un 59% tal como se

muestra en la Figura 21 donde el rango de medición del PAM es “En gran medida

logrado”.

Primera Evaluación
41%
59%

SI NO

Figura 21: resultado de la primera evaluación del segundo criterio de Cobit

(Fuente: Elaboración Propia)

Reducción del criterio DSS05.02: “La información procesada, almacenada y

transmitida por dispositivos de punto final está protegida”

79
 Práctica 01: “Proteger Contra Software Malicioso”

a) La reducción de esta práctica está definida en el primer criterio de evaluación, donde se

detalla los controles implementados para mejorar la seguridad de la información, ahí indica

que se hizo para cumplir con la práctica mencionada.

 Práctica 03: “Gestionar la seguridad de los puestos de usuario final”

a) Para la actividad 01, se implementó el control 5.1.1: “Políticas de seguridad de la

información” logrando crear la norma y el registro necesario cumpliendo con la actividad y

mejorando la Practica 03.

b) Para la actividad 03 no se implementó nada puesto que el control seleccionado 10.1.1:

“Política de uso de los controles criptográficos” no lo puede realizar la organización ya que

está fuera de presupuesto para los investigadores y por ende merece gestionarse por otra

entidad capaz de desarrollar tal actividad y por tal motivo se mantiene en negativo en la

evaluación.

c) Para la actividad 06 y 07 tampoco se implementó el control seleccionado 13.1.1:

“Controles de red” puesto que se requieren inversión y la organización no tiene el

presupuesto necesario para gestionar tal servicio, pero se le entrego un documento de normas

para cumplir con el control en un futuro y por ello se mantienen en negativo en la evaluación.

Con la implementación de los controles mencionados en este segundo criterio, se

logra mejorar un 25%, logrando alcanzar un 84% durante la segunda evaluación, tal como se

muestra en la Figura 22, donde el rango alcanzado es “En gran medida logrado”,

cumpliendo con el objetivo trazado.

80
 Segunda Evaluación
16%
84%

SI NO

Figura 22: resultado de la segunda evaluación del segundo criterio de Cobit

(Fuente: Elaboración Propia)

5.1.3. Criterio 03 DSS05.03: “Todos los usuarios son identificables de forma única y

tienen derechos de acceso de acuerdo con su función comercia”.

El tercer criterio de evaluación solo está compuesto por una Práctica (listas

chequeo), la cual es la Práctica 04. La práctica en mención contiene el porcentaje alcanzado

durante la primera evaluación, ahí se define que ítems no fueron alcanzados y que controles

permiten mejorar el desarrollo de este criterio.

 Práctica 04: “Gestionar la identidad del usuario y el acceso lógico”

Esta práctica contiene 10 ítems que indican las actividades de la práctica de gestión

mencionada, donde permite conocer si cumple o no con lo descrito por cada ítem. De la

cual para esta práctica 4 ítems fueron realizados por el área de TI de la UPN y 6 de ellos

no lo realizan. Los ítems que faltan cumplir son:

a) Actividad 01: Se mantiene los derechos de acceso de los usuarios de acuerdo al proceso

de negocio.

b) Actividad 05: Las unidades de negocio gestionan la autenticación con aplicaciones para

ver si los accesos a los activos de información fueron bien administrados.

c) Actividad 06 Los cambios efectuados en los perfiles de usuario se registra y monitorea

solo con la aprobación del responsable del área

81
d) Actividad 08: Se revisa periódicamente los privilegios asignados a las cuentas del

usuario.

e) Actividad 09: Se identifica unívocamente todas las actividades de proceso realizadas por

el usuario.

f) Actividad 10: Se mantiene un registro del acceso lógico a la información altamente

sencilla.

Finalmente, como se puede apreciar en la Figura 23, se encuentra el resultado

obtenido de la primera evaluación por el tercer criterio, estableciendo que porcentaje positivo

y negativo e encuentra. El resultado del tercer criterio de evaluación fue: un 40% donde el

rango de medición del PAM es “Parcialmente Logrado”.

Primera Evaluación

40%
60%

SI NO

Figura 23: resultado de la primera evaluación del tercer criterio de Cobit

(Fuente: Elaboración Propia)

Reducción del criterio DSS05.03: “Todos los usuarios son identificables de forma única

y tienen derechos de acceso de acuerdo con su función comercia”

Para la actividad 01 y 09 se implementó el control 9.1.1: “Políticas de control de acceso”,

dado que para la primera práctica sí cumple con lo establecido y existe un registro de ello, eso

beneficia que la segunda evaluación sea positiva para la organización, pero en la práctica 09

se realizó la norma de las políticas, pero no existe un registro de ello, y eso permite que

todavía se mantenga en negativo la actividad mencionada.

82
a) Para la actividad 05 se implementó el control 9.4.2:” Procedimientos seguros de inicio

de sesión”. La implementación del control mencionado permite cumplir con la actividad, y

hace que la segunda evaluación sea positiva y mejore a la organización.

b) Las actividades 06 y 08 se necesitó unir 5 controles que son: 9.2.1: “Registro y baja de

usuario”, 9.2.2: “Provisión de acceso de usuario”, 9.2.3: “Gestión de privilegios de

acceso”, 9.2.5: “Revisión de los derechos de acceso de usuario” y 9.2.6: “Retirada o

reasignación de los derechos de acceso”, para cumplir con las actividades, esto permite

tener un cambio positivo en la segunda evaluación.

c) Por último, la actividad 10 se implementó el control 5.1.1: “Políticas de seguridad de la

información” logrando crear la norma (política) y el registro necesario cumpliendo con la

actividad y mejorando la Práctica 04.

Con la implementación de los controles mencionados en este tercer criterio de

evaluación, se logra mejorar un 50% en la segunda evaluación, logrando alcanzar un 90% de

mejora tal como muestra la Figura 24, donde el rango alcanzado es “Totalmente logrado”,

cumpliendo con el objetivo trazado.

Segunda Evaluación
10%

90%

SI NO

Figura 24: resultado de la segunda evaluación del tercer criterio de Cobit

(Fuente: Elaboración Propia)

83
5.1.4. Criterio 04 DSS05.04: “Se han implementado medidas físicas para proteger la

información del acceso, daño e interferencia no autorizados al ser procesados,

almacenados o transmitidos”.

El cuarto criterio de evaluación solo está compuesto por una Práctica (listas

chequeo), la cual es la Práctica 05. La práctica contiene el porcentaje logrado en la primera

evaluación, donde define qué ítems no fueron alcanzados y qué controles permiten lograr el

desarrollo de este criterio.

 Práctica 05: “Gestionar el acceso físico a los activos de TI”

Esta práctica contiene 12 ítems que indican las actividades de la práctica de gestión,

que permite conocer si cumple o no con lo descrito por cada ítem. De la cual para esta

práctica 7 ítems fueron realizados por el área de TI de la UPN y 5 de ellos no lo realizan, los

ítems restantes que faltan cumplir son:

a) Actividad 02: No se gestiona las concesiones de acceso a áreas de instalación y

procesamiento.

b) Actividad 03: No son completadas las peticiones formales de acceso

c) Actividad 06: No se registra y supervisa el acceso a las ubicaciones de TI. (visitantes,

proveedores, personal, etc.).

d) Actividad 07: El personal del área de TI no mantiene visible la identificación en todo

momento (fotochet, placa o tarjeta).

e) Actividad 11: No se establecen restricciones en el perímetro tales como vallas, muros y

dispositivos de seguridad en puertas interiores y exteriores para restringir el acceso a

ubicaciones de TI sensibles.

Finalmente, como se puede apreciar en la Figura 25, se encuentra el resultado

obtenido en la primera evaluación por el cuarto criterio, estableciendo que porcentaje positivo

y negativo se encuentra.

84
 El resultado del cuarto criterio de evaluación fue: un 58% donde el rango de

medición del PAM es “En gran medida logrado”.

Primera Evaluación

42%
58%

SI NO

Figura 25: resultado de la primera evaluación del cuarto criterio de Cobit

(Fuente: Elaboración Propia)

Reducción del criterio DSS05.04: “Se han implementado medidas físicas para proteger

la información del acceso, daño e interferencia no autorizados al ser procesados,

almacenados o transmitidos”

a) Para las actividades 02, 06 y 07, se implementó el control 11.1.2: “Controles físicos de

entrada”, estableciendo lo que el control indica, cumpliendo con las actividades, esto

permite un cambio positivo en la segunda evaluación.

b) Para la actividad 03, se implementó el control 5.1.1: “Políticas de seguridad de la

información” logrando crear la norma (política) y el registro necesario cumpliendo con la

actividad y mejorando la Práctica 05.

c) Por último, para la actividad 11, se implementó el control 11.2.1: “Controles físicos de

entrada”, que permiten mejorar la actividad descrita y beneficia a la organización.

Con la implementación de los controles mencionados y de la inversión establecida

en este cuarto criterio, se logra mejorar un 42% en la segunda evaluación, logrando alcanzar

el 100% de mejora tal como indica la Figura 26, donde el rango alcanzado es “Totalmente

logrado”, cumpliendo con el objetivo trazado.

85
 Segunda Evaluación
0%

100%

SI NO

Figura 26: resultado de la segunda evaluación del cuarto criterio de Cobit

(Fuente: Elaboración Propia)

5.1.5. Criterio 05 DSS05.05: “La información electrónica está debidamente protegida

cuando se almacena, transmite o destruye”.

El quinto criterio de evaluación solo está compuesto por una Práctica (listas

chequeo), la cual es la Práctica 06. La práctica contiene el porcentaje logrado en la primera

evaluación, donde define que ítems no fueron alcanzados y que controles permiten lograr el

desarrollo de este criterio:

 Práctica 06: “Gestionar Documentos sensibles y dispositivos de salida”

Esta práctica contiene 11 ítems que indican las actividades de la práctica de gestión,

que permite conocer si cumple o no con lo descrito por cada ítem. De la cual para esta

práctica 3 ítems fueron realizados por el área de TI de la UPN y 8 de ellos no lo realizan, los

ítems restantes que faltan cumplir son:

a) Actividad 01: No cuenta con procedimientos para recepción de documentos especiales.

b) Actividad 02: No cuenta con procedimientos para el uso de documentos especiales.

c) Actividad 04: No asignan privilegios de acceso a documentos sensibles de acuerdo a su

importancia.

d) Actividad 06: No existe un inventario de dispositivos de salida.

86
e) Actividad 07: No realizan un inventario de conciliaciones de documentos sensibles y

dispositivos de salida.

f) Actividad 08: Existe controles de seguridad físicas para los formularios especiales.

g) Actividad 09: Existe controles de seguridad física para los dispositivos sensibles.

h) Actividad 11: Se tiene un modelo de arquitectura de la información.

Finalmente, como se puede apreciar en la Figura 27, se encuentra el resultado

obtenido por el quinto criterio, estableciendo que porcentaje positivo y negativo se encuentra.

El resultado del quinto y último criterio de evaluación fue: un 27% donde el rango de

medición del PAM es “Parcialmente logrado”.

Primera Evaluación
27%
73%

SI NO

Figura 27: resultado de la primera evaluación del quinto criterio de Cobit

(Fuente: Elaboración Propia)

Reducción del criterio DSS05.05: “La información electrónica está debidamente

protegida cuando se almacena, transmite o destruye”

a) Para las actividades 01, 02 y 04, se implementó el control 8.2.1: “Clasificación de la

información”. Este control beneficia en el cumplimiento de las actividades mencionadas,

permitiendo que en se genere un resultado positivo en la segunda evaluación.

87
b) Para la actividad 06 y 07, se implementó el control 8.1.1: “Inventario de activos”. La

implementación permite mejorar las actividades mencionadas para lograr una mejora en la

lista de evaluación.

c) Para las actividades 08 y 09 se implementó el control 11.1.2: “Controles físicos de

entrada”. Estas fueron colocadas mediante políticas de seguridad, pero aún no se

encuentra registro de las normas descritas en las políticas; por tal motivo, al no existir

registro las actividades quedan en negativo.

d) Para la actividad 11, se implementó también el control mencionado en la Práctica 07, con

la diferencia que fue descrito como norma de seguridad en la organización, pero faltaba

aún tener un registro de ello, por ende, los ítems se mantienen en negativo.

Con la implementación de los controles en el quinto y último criterio de evaluación,

se logra mejorar un 46 % en la segunda evaluación, esto permite alcanzar un 73% de mejora

tal como indica la Figura 28, la cual el rango alcanzado es “En gran medida logrado”,

cumpliendo con el objetivo trazado.

Segunda Evaluación
27%
73%

SI NO

Figura 28: resultado de la segunda evaluación del quinto criterio de Cobit

(Fuente: Elaboración Propia)

88
5.2. Comparativa de Resultados de la Primera evaluación con la Segunda

evaluación

Durante la etapa de auditoria se realizaron dos evaluaciones para medir el nivel de la

seguridad de la información en el área de TI de la Unión Peruana del Norte, donde se permite

conocer al detalle cómo se cumplieron los criterios de evaluación del PAM de Cobit.

La Figura 29 detalla el resultado alcanzado en ambas evaluaciones, que es el

promedio de los 5 criterios de evaluación. En la primera evaluación de color azul, cada

criterio está por debajo del 100%, lo que indica que en conjunto logran alcanzar un 47%, que

significa que se encuentra el nivel de seguridad “Parcialmente logrado”, la segunda escala

de medición del PAM, luego vemos que en la segunda evaluación de color anaranjado, hay

un incremento en el porcentaje por cada criterio de evaluación, luego de la implementación

de los controles, alcanzando un 84% en el nivel de seguridad “En gran medida logrado”,

mejorando la seguridad de la información de la Unión Peruana del Norte. Esto permite

cumplir con el objetivo trazado en la investigación.

Comparativa de Resultados de la Primera

evaluación con la Segunda evaluación
Primera evaluación Segunda evaluación
Porcentaje Promedio: 47% Porcentaje Promedio: 84%

DSS05 - 01
100
80
60
DSS05 - 05 40 DSS05 - 02
20
0

DSS05 - 04 DSS05 - 03

Figura 29: Resultados de la Primera evaluación con la Segunda evaluación

(Fuente: Elaboración propia)

89
Conclusiones:

 La implementación de los controles de la ISO/IEC 27002:2013 mejoró

significativamente el nivel de seguridad de la información, puesto que durante la primera

evaluación se obtuvo un resultado inicial de 47% y en la segunda evaluación ya con los

controles implementados se obtuvo un resultado de 84%. Donde concluyó que la

diferencia encontrada entre ambos resultados, mejoró en un 37% de la seguridad física y

lógica de la información.

 La auditoría inicial permitió conocer cuáles son las fallas de los procesos del área de TI.

Esto requiere que se implemente los controles de la ISO/IEC 27002: 2013 mejorando los

procesos del negocio, haciendo que se tenga un mejor control de sus funciones.

 El desarrollo del análisis de riesgo permitió identificar que controles de la ISO/IEC

27002: 2013 se asocia al riesgo detectado, lo que implica que el riesgo cuyo valor de

criticidad en nivel alto, sea tratado con mayor importancia.

 La elaboración del plan de tratamiento de riesgo permitió implementar los controles de la

norma ISO/IEC 27002:2013 identificados, las cuales redujeron el impacto que ocasionan

los riesgos en el área de TI, para de esta manera tener íntegra y segura a la información.

 La auditoría posterior que se realizó con los controles de la ISO/IEC 27002:2013,

permitió conocer si la organización cumple con el objetivo, la cual consistió en mejorar

la seguridad física y lógica de la información.

 El proceso Cobit es un marco de referencia que cumple con los parámetros de seguridad

de la información, que está alineado a las buenas prácticas y otros estándares.

 La Unión Peruana del Norte, con la mejora que se le está brindando en seguridad física y

lógica, cumple con los parámetros que la norma y el proceso de evaluación requiere. Con

ello busca optimizar los recursos que se encuentren dentro de ello, haciendo que la

información y la infraestructura se encuentren factibles.

90
Recomendaciones

 Se recomienda que el área de TI de la Unión Peruana del Norte adquiera el paquete de

documentación de la ISO 27001, donde encontrará más información, plantillas de

documentos requeridos para la certificación de la ISO 27001, videos y consultorías en

vivo, etc. Esto con el fin de poder ampliar y reforzar sus conocimientos en los temas

referentes a la seguridad de la información tanto a un nivel físico como lógico.

 Se recomienda brindar capacitaciones y charlas en temas referidos a la encriptación de la

información al área de TI de la UPN, puesto que actualmente ellos transfieren este proceso

de encriptación de la información a unos expertos en el tema. Con esto, ellos lograrán

brindar una seguridad más eficiente y seguras en los sistemas de información y/o

aplicaciones.

 Se recomienda que se implementen los controles restantes de los 24 que se llevaron a cabo

en el Plan de Tratamiento (PTR), para así tener segura la información en su totalidad, y así

se eviten futuros riesgos que pudiesen perjudicar a la organización.

 Se recomienda que el área de TI de la Unión Peruana del Norte emplee el framework

Cobit para la evaluación y cumplimiento de las actividades en general que realizan.

 Seguir con las capacitaciones brindadas al personal, en temas relacionados a la seguridad,

protección y/o resguardo de la información para la buena gestión de la información.

 Revisar constantemente el cumplimiento de las políticas establecidas y a la vez lo

establecido en el plan de tratamiento de riesgo por parte del personal, esto para un eficaz y

eficiente aseguramiento de la información y un mejor control en la información.

91
Referencias
AENOR. (2015). Norma española UNE-ISO/IEC 27002. Madrid: AENOR.
Aguirre, J. D., & Aristizabal, C. (2013). DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN PARA EL GRUPO EMPRESARIAL LA OFRENDA. Obtenido de
http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4117/0058A284.pdf?sequence=1
Alegre, M., & Garcia, A. (2011). SEGURIDAD INFORMATICA ED.11 Paraninfo. Madrid:
Paraninfo.
Alexander, A. G. (2007). Diseño de un Sistema de Gestión de Seguridad de Información Óptica ISO
27001:2005. Bogota: Alfaomega Colombiana S.A.
ANGARITA VIVAS , A. A., & TABARES ISAZA, C. A. (Diciembre de 2012). Obtenido de
http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/3914/T0058A581.pdf?sequence=
1&isAllowed=y
Areitio, J. (2008). Entidades implicadas en la seguridad. En J. Areitio, Seguridad de la Informacion
Redes. informática y sistemas de información (págs. 4-5). Madrid: Paraninfo.
Baca Urbina, G. (2016). Introducción a la Seguridad Informática. México: Grupo Editorial Patria.
BORTNIK, S. (27 de Octubre de 2014). A la RAE: un hacker NO es un pirata informático. Obtenido
de welivesecurity Noticias, opiniones y análisis de la comunidad de seguridad de ESET:
https://www.welivesecurity.com/la-es/2014/10/27/rae-hacker-no-es-pirata-informatico/
Caccuri, V. (2012). Computación para docentes. Buenos Aires: Fox Andina.
Cedeño Rosero, D. A. (Julio de 2017). INFORME FINAL: "PLANES Y CONTROLES DE
TRATAMIENTO DE RIESGOS TECNOLÓGICOS". Obtenido de Repositorio Digital
PUCESE:
https://repositorio.pucese.edu.ec/bitstream/123456789/1148/1/CEDE%C3%91O%20ROSER
O%20DAVID%20ABSALON.pdf
Córdova, J. (13 de Marzo de 2012). Seguridad Informática y de la Información. Obtenido de
http://www.inseguridadinformatica.com/2012/03/introduccion-la-seguridad-de-la.html
Giménez, J. F. (2015). Seguridad en equipos informáticos. IFCT0510. Málaga: IC Editorial.
Grupo IWI. (2009). Implantación de la LOPD en la empresa. Medidas de seguridad. España: Vértice.
Gutiérrez, C. (12 de Diciembre de 2013). ISO/IEC 27002:2013 y los cambios en los dominios de
control. Obtenido de Welivesecurity Noticias, opiniones y análisis de la comunidad de
seguridad ESET: https://www.welivesecurity.com/la-es/2013/12/12/iso-iec-27002-2013-
cambios-dominios-control/
Hernandez Sampieri, R. (2017). Fundamentos de Investigación. Ciudad de México: McGRAW -
HILL/INTERAMERICANA EDITORES, S.A. .
Hernández, M. (12 de Diciembre de 2012). Tipos y Niveles de investigación. Obtenido de
Metodología de la investigación:
http://metodologiadeinvestigacionmarisol.blogspot.pe/2012/12/tipos-y-niveles-de-
investigacion.html
ICETEX. (Octubre de 2014). MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.
Obtenido de www.icetex.gov.co:
https://www.icetex.gov.co/dnnpro5/Portals/0/Documentos/La%20Institucion/manuales/Manu
alseguridadinformacion.pdf
infosegur. (s.f.). Objetivos de la seguridad informática. Obtenido de infosegur wordpress:
https://infosegur.wordpress.com/tag/integridad/
ISACA. (2012). Cobit 5: "Procesos Catalizadores". Rolling Meadows: ISACA.
ISACA. (2013). Guía de Auto-Evaluación: Usando COBIT 5. Rolling Meadows: ISACA.

92
ISO 27001. (2012). El portal de ISO 27001 en Español. Obtenido de ISO 27000.es:
http://www.iso27000.es/sgsi.html
ISOTools Excellence. (18 de Marzo de 2015). NTP-ISO/IEC 17799: Norma Técnica Peruana.
Obtenido de SGSI Blog especializado en Sistemas de Gestión : https://www.pmg-
ssi.com/2015/03/ntp-isoiec-17799-norma-tecnica-peruana/
Landeau, R. (2007). Elaboración de trabajos de investigación. Caracas: Alfa.
Lara Muñoz, E. M. (2013). Fundamentos de Investigación Un enfoque por competencias . C.V
Mexico: AlfaOmega Grupo Editor, S.A.
Lerma, H. D. (2016). Metodología de la investigación. Bogota: Ecoe.
Manjón, J. M. (2015). Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013.
Obtenido de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43102/6/manjonikoTFM0615memori
a.pdf
Mazorra, M. A., Toapanta, H. J., & Briones, L. L. (2008). “Implementar Políticas de Seguridad a
Nivel de Hardware y Aplicado a una Empresa Pequeña”. Obtenido de
http://www.dspace.espol.edu.ec/xmlui/bitstream/handle/123456789/16532/Tesis.pdf?sequenc
e=1&isAllowed=y
Mendoza, M. Á. (4 de Agosto de 2015). COBIT para la seguridad en las organizaciones. Obtenido de
Welivesecurity Noticias, opiniones y análisis de la comunidad de seguridad ESET:
https://www.welivesecurity.com/la-es/2015/08/04/practicas-cobit-seguridad-organizaciones/
Moreno, F. (2008). Proyecto de norma técnica colombiana NTC-ISO 27005. Colombia.
Pacheco, F., & Jara, H. (2010). Hackers al descubierto. Creative Andina Corp.
Parra Carrero, A. M. (Mayo de 2017). PROYECTO Diagnóstico de la Gestion de Acceso de Usuarios
en la Superintendencia de Servicios Publicos DomiciliariosNorma. Obtenido de Repositorio
Institucional UniLibre:
http://repository.unilibre.edu.co/bitstream/handle/10901/10950/trabajo%20de%20grado.pdf?s
equence=1
Prada, N. M. (2009). Proyecto de Grado: "Diseño de un sistema de gestión de seguridad de la
información, alineado con la norma ISO/IEC 27002, para el área de tecnología de una
empresa del sector financiero. Bogota.
Project Management Consultores de Proyectos. (2006). Project Management Consultores. Obtenido
de Sistemas de Gestión de la Seguridad de la Informacion: ISO 27001:
http://www.pmconsultores.com/portal/content.asp?ContentId=%20667
Romo Villafuerte, D., & Valarezo Constante, J. (14 de Agosto de 2012). Repositorio Digital-UPS.
Obtenido de https://dspace.ups.edu.ec/bitstream/123456789/3163/1/UPS-GT000319.pdf
Ruiz, M. (2012). Enfoques cuantitativo, cualitativo y mixto. Obtenido de eumed.net Enciclopedia
Virtual: http://www.eumed.net/tesis-
doctorales/2012/mirm/cualitativo_cuantitativo_mixto.html
Saavedra, C. (29 de Marzo de 2016). Entrevista personal. (S. Gavidia, & D. Torres, Entrevistadores)
SANS Securiting The Human. (Febrero de 2014). OUCH! ¿Qué es el malware? Obtenido de SANS
Securiting The Human: https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-
201402_sp.pdf
Valdivia, C. (2015). Redes telemáticas. Madrid: Paraninfo.
Viera, L. (2013). Aplicaciones informáticas de la gestión comercial. Málaga: IC Editorial.

93
 Anexos

Anexo 1: Acta de Reunión N°1

94
Anexo 2: Acta de Reunión N°2

95
Anexo 3: Acta de Reunión N°3

96
Anexo 4: Documento de propuesta de Investigación (Actualizado)

97
Anexo 5: Listas de chequeos (Checklist)

98
99
100
Anexo 6: Constancia de Validación de la lista de chequeos por parte de los especialistas

101
Anexo 7: Resultado de la evaluación de las listas de chequeos

102
103
104
Anexo 8: Informe de Auditoria

105
106
107
108
Anexo 9: Topología de Red de la Organización

109
Anexo 10: Estructura de cables

Anexo 11: Servidor principal

110
 Anexo 12: Lista de Activos generales del área de TI
Código de
Aspecto del análisis Identificacion de Activos 2017AVA01
análisis
Empresa de estudio Unión Peruana del Norte Empresa a cargo System Auditors
Área de estudio Área de tecnologías de información (TI) Encargado Samuel Gavidia Mamani
Tasación o Valoracion
ID Activo Descripcion del activo Propietario Ubicación Tipo de Activo
D I C Valor
sótano( Cuarto de
ACT-01 Estabilizador - UPS UPS TRIPP SmathOnLine servidores Arq. Karen Cruzado A.Físicos 3 2 2 2
UPS)

sótano( Cuarto de
ACT-02 Grupo Electrógeno Transformador de aislamiento de 12 KVA flash power Arq. Karen Cruzado A.Físicos 3 2 2 2
UPS)

Área de Talento
Omar Campos/ A. Documentos de
ACT-03 Contratos Documento de compromiso del personal de trabajo Humano y Legales (3er 4 2 2 3
Martin Saldaña Papel
Piso)
ACT-04 Licencias Software Microsoft Carlos Saavedra Área de Ti (3er Piso) A. Software 4 3 3 3
ACT-05 Licencias Antivirus Gdata versión 2017 Carlos Saavedra Área de Ti (3er Piso) A. Software 4 4 4 4
ACT-06 Licencias Adobe Creative Cloud versión 2017 Carlos Saavedra Área de Ti (3er Piso) A. Software 4 3 3 3

ACT-07 Sistema DSA Software que le asigna la iglesia al área de TI Carlos Saavedra Área de Ti (3er Piso) A. Software 4 4 4 4

ACT-08 Sistema UPN - Académico Sistema que se brinda a colegios de la iglesia Janeth Tenorio Área de Ti (3er Piso) A. Software 4 4 4 4

Sistema que se brinda a misiones y gerencia de la

ACT-09 Sistema UPN - Gerencial Amelio Apaza Área de Ti (3er Piso) A. Software 4 4 4 4
iglesia
Charlas o capacitaciones que se obtiene del exterior Sala de Reuniones(2er
ACT-10 Videoconferencia Fernando Lazo A. Servicio 3 2 2 2
o local. Piso)

Área de Ti - mesa de
ACT-11 Helpdesk Soporte y Mantenimiento Fernando Lazo A. Servicio 4 2 2 3
soporte (3er Piso)

ACT-12 Back-Ups Copia de respaldo de base de datos Carlos Saavedra Área de TI (3er Piso) A. Software 5 5 5 5

Janeth Tenorio /
ACT-13 Back-Ups Copia de respaldo de software Área de TI (3er Piso) A. Software 5 5 5 5
Amelio Apaza

ACT-14 Red y conectividad Conexiones certificadas para la instalación Carlos Saavedra Área de TI (3er Piso) A. Físicos 5 5 5 5

ACT-16 Jefe de TI Brinda seguridad al área de TI e infraestructura Carlos Saavedra Área de TI (3er Piso) A. Personal 5 4 4 4

Realiza el análisis y desarrollo de los sistemas

ACT-17 Analista de Sistemas Janeth Tenorio Área de TI (3er Piso) A. Personal 5 4 4 4
académicos
Realiza el análisis y desarrollo de los sistemas
ACT-18 Analista de Sistemas Amelio Apaza Área de TI (3er Piso) A. Personal 5 4 4 4
gerenciales
ACT-19 Disco Duro - HD Disco duro externo wster digital Carlos Saavedra Sala de Computo A. Físicos 4 4 4 4
Sede - Data Center
ACT-20 Servidor Servidor Packcable HP Proliant DL 160 GB Intel Carlos Saavedra A. Físicos 5 4 4 4
Sótano
ACT-21 Micrófono Inalámbrico Micrófono shure GGX 24 E Carlos Saavedra Sala de Computo A. Físicos 2 1 1 1
Sede - Data Center
ACT-22 Servidor Servidor HP Proliant DL 120GB 6 Intel XEON 343 Carlos Saavedra A. Físicos 5 4 4 4
Sótano

ACT-23 Amplificador Ecualizador 2bx 1215 0101590 con cables Carlos Saavedra Sala de Computo A. Físicos 3 2 2 2

ACT-24 Amplificador Compreso SBX 166 cables Carlos Saavedra Sala de Computo A. Físicos 3 2 2 2

ACT-25 Adaptador Adaptador de video Kramer 4x1 vga mechanical Sh Carlos Saavedra Sala de Computo A. Físicos 3 2 2 2

ACT-26 IPAD IPAD MAT Apple Carlos Saavedra Sala de Computo A. Físicos 3 2 2 2
Equipo de control de
ACT-27 Equipo de control de asistencia Carlos Saavedra Sala de Computo A. Físicos 4 3 3 3
asistencia
ACT-28 Impresora Impresora Epson Matricial LX300+II Carlos Saavedra Sala de Computo A. Físicos 3 2 2 2

ACT-29 Impresora Impresora Epson TMU - 220A ticketera Carlos Saavedra Sala de Computo A. Físicos 3 2 2 2

ACT-30 Monitor Monitor Led Samsung 20" VGA S20A300N interfaz Carlos Saavedra Sala de Computo A. Físicos 3 2 2 2

ACT-31 Monitor Monitor Led Samsung 20" vga Carlos Saavedra Sala de Computo A. Físicos 3 2 2 2
ACT-32 Aire acondicionado Aire acondicionado Split Carlos Saavedra Sala de Computo A. Físicos 3 1 1 2
Sede - Data Center
ACT-33 CPU - Servidor Servidor central telefónica Carlos Saavedra A. Físicos 5 4 4 4
Sótano
Sede - Data Center
ACT-34 CPU - Servidor Servidor correo power edge R720 Carlos Saavedra A. Físicos 5 5 5 5
Sótano
Power connect 6224P puertos GbE conmutador
ACT-35 Switch Carlos Saavedra Sala de Computo A. Físicos 4 3 3 3
Admin

ACT-36 Switch Switch dlink DES 1210 19" para telefonía Carlos Saavedra Sala de Computo A. Físicos 4 3 3 3

ACT-37 Accesorio Informática Kit transmisión simple y 2 consolas 8 canales Carlos Saavedra Sala de Computo A. Físicos 4 3 3 3

111
ACT-38 Lector de Código de Barras Lector código de barras Heron D130 black USB Ki Carlos Saavedra Área de TI (3er Piso) A. Físicos 3 2 2 2

ACT-39 Laptop Laptop Dell Tes. Asistente oper. Carlos Saavedra Área de TI (3er Piso) A. Físicos 5 4 4 4
ACT-40 proyector Proyector Epson power Lite 4200 Carlos Saavedra Área de TI (3er Piso) A. Físicos 3 1 1 2
ACT-41 Notebook Notebook DELL serie 3000 14" i5 Carlos Saavedra Área de TI (3er Piso) A. Físicos 5 4 4 4

ACT-42 Silla operativa Global UPHOLSTERY-MOD. MESH TEA negro Carlos Saavedra Área de TI (3er Piso) A. Físicos 2 1 1 1

ACT-43 mueble Closet con puertas grande con 4 divisiones Carlos Saavedra Área de TI (3er Piso) A. Físicos 2 1 1 1

ACT-44 Software software control de asistencia premium Carlos Saavedra Área de TI (3er Piso) A. Software 4 2 3 3

ACT-45 Escritorio Escritorio con cajonera en T modular dos personas Carlos Saavedra Área de TI (3er Piso) A. Físicos 2 1 1 1

ACT-46 Impresora Ticketera impresora inmovilizado Carlos Saavedra Área de TI (3er Piso) A. Físicos 3 1 1 2
ACT-47 Laptop Mac book Carlos Saavedra Área de TI (3er Piso) A. Físicos 5 4 4 4
ACT-48 Monitor Monitor DELL P2317H - HBGBPB2 Carlos Saavedra Área de TI (3er Piso) A. Físicos 3 2 2 2
ACT-49 Monitor Monitor DELL P2317H - 5BGBPB2 Carlos Saavedra Área de TI (3er Piso) A. Físicos 3 2 2 2
ACT-50 Monitor Monitor DELL P2317H - DBGBPB2 Carlos Saavedra Área de TI (3er Piso) A. Físicos 3 2 2 2
ACT-51 Monitor Monitor DELL P2317H - 9BGBPB2 Carlos Saavedra Área de TI (3er Piso) A. Físicos 3 2 2 2
ACT-52 Monitor Monitor DELL P2317H - 8BGBPB2 Carlos Saavedra Área de TI (3er Piso) A. Físicos 3 2 2 2

ACT-53 Laptop Latitude 5470 - i5 8 GB 1 TB HD - 126 VZF2 Carlos Saavedra Área de TI (3er Piso) A. Físicos 5 4 4 4

ACT-54 Laptop Latitude E5470 - I7 16 GB 1 TB FHD Carlos Saavedra Área de TI (3er Piso) A. Físicos 5 4 4 4
ACT-55 Laptop Latitude E5470 - I7 16 GB 1 TB FHD Carlos Saavedra Área de TI (3er Piso) A. Físicos 5 4 4 4
ACT-56 Switch Switch Dell networking N1524P Carlos Saavedra Área de TI (3er Piso) A. Físicos 4 3 3 3
Sede - Data Center
ACT-57 Servidor de Base de datos Servidor Dell Poweredge R630 Carlos Saavedra A. Físicos 5 5 5 5
Sótano
Sede - Data Center
ACT-58 Servidor de archivos Servidor Dell Poweredge R630 Carlos Saavedra A. Físicos 5 5 5 5
Sótano
Sede - Data Center
ACT-59 Servidor Firewall Servidor Dell Poweredge R230 Carlos Saavedra A. Físicos 5 5 5 5
Sótano
Sede - Data Center
ACT-60 Servidor DHCP Servidor Dell Poweredge R230 Carlos Saavedra A. Físicos 5 4 4 4
Sótano
Sede - Data Center
ACT-61 Servidor Web Servidor Dell Poweredge R230 Carlos Saavedra A. Físicos 5 4 4 4
Sótano
Sede - Data Center
ACT-62 CPU - Centro de datos Server HP Proliant DL 4 Core 2.4 GZ free BSD Carlos Saavedra A. Físicos 5 5 5 5
Sótano
Sede - Data Center
ACT-63 Servidor Redundante Servidor Dell poweredge Intel xeon Carlos Saavedra A. Físicos 5 4 4 4
Sótano
Sede - Data Center
ACT-64 Switch General Corp Switch Dell networking N3048P Carlos Saavedra A. Físicos 5 5 5 5
Sótano
Sede - Data Center
ACT-65 silla de visita BR-1061VC01 Modelo variety negro Carlos Saavedra A. Físicos 2 1 1 1
Sótano
Sede - Data Center
ACT-66 cámara de video vigilancia Cámaras de video/01 Switch vigilancia Carlos Saavedra A. Físicos 5 4 4 4
Sótano
Sede - Data Center
ACT-67 servidor Redundante Carlos Saavedra A. Físicos 4
Servidor DELL power Intel Sótano 5 4 4
Sede - Data Center
ACT-68 Accesorio Informática Carlos Saavedra A. Físicos 3
Switch Dell networking - N1524P Sótano 4 3 3
Sede - Data Center
ACT-69 Accesorio Informática Carlos Saavedra A. Físicos 3
Switch Dell networking - N1524P Sótano 4 3 3
Sede - Data Center
ACT-70 Accesorio Informática Carlos Saavedra A. Físicos 3
Switch Dell networking - N1524P Sótano 4 3 3
Sede - Switcher 3er
ACT-71 Switch Carlos Saavedra A. Físicos 3
SWITCH D-Link web Smart piso 4 3 3
Sede - Switcher 3er
ACT-72 Switch Carlos Saavedra A. Físicos 3
SWITCH D-Link web Smart piso 4 3 3

Janeth Tenorio /
ACT-73 Manuales de Usuario Documento que brinda asistencia técnica a los Área de Ti (3er Piso) A. Información 4 3 3 3
Amelio Apaza
usuarios que usan los sistemas de información
ACT-74 Base de datos Gestor de Base de datos SQL Server Carlos Saavedra Área de Ti (3er Piso) A. Software 5 5 5 5

112
Anexo 13: Activos Priorizados

ACTIVOS PRIORIZADOS
Tasacción o valoración
ID Activo Descripción del activo Propietatario Ubicación Tipo de Activo
D I C Valor
Área de Ti (3er
AP-1 Carlos Saavedra
Base de datos Gestor de Base de datos SQL Server Piso) A Software 5 5 5 5

Área de TI (3er
AP-2 Back-Ups Copia de respaldo de base de datos Carlos Saavedra A. Software 5 5 5 5
Piso)

Janeth Tenorio / Área de TI (3er

AP-3 Back-Ups Copia de respaldo de software A. Software 5 5 5 5
Amelio Apaza Piso)

Sede - Data
AP-4 CPU - Servidor Servidor correo power edge R720 Carlos Saavedra A. Físicos 5 5 5 5
Center Sótano

Server HP Proliant DL 4 Core 2.4 GZ free Sede - Data

AP-5 CPU - Centro de datos Carlos Saavedra A. Físicos 5 5 5 5
BSD Center Sótano
Área de TI (3er
AP-6 Red y conectividad Conexiones certificadas para la instalación Carlos Saavedra A. Físicos 5 5 5 5
Piso)
Sede - Data
AP-7 Servidor de Base de datos Servidor Dell Poweredge R630 Carlos Saavedra A. Físicos 5 5 5 5
Center Sótano
Sede - Data
AP-8 Servidor de Archivos Servidor Dell Poweredge R630 Carlos Saavedra A. Físicos 5 5 5 5
Center Sótano
Sede - Data
AP-9 Servidor Firewall Servidor Dell Poweredge R230 Carlos Saavedra A. Físicos 5 5 5 5
Center Sótano
Sede - Data
AP-10 Switch General Corp Switch Dell networking N3048P Carlos Saavedra A. Físicos 5 5 5 5
Center Sótano
Brinda seguridad al área de TI e Área de TI (3er
AP-11 Jefe de TI Carlos Saavedra A. Personal 5 4 4 4
infraestructura Piso)
Realiza el análisis y desarrollo de los Área de TI (3er
AP-12 Analista de Sistemas Janeth Tenorio A. Personal 5 4 4 4
sistemas académicos Piso)
Realiza el análisis y desarrollo de los Área de TI (3er
AP-13 Analista de Sistemas Amelio Apaza A. Personal 5 4 4 4
sistemas gerenciales Piso)
Servidor Packcable HP Proliant DL 160 GB Sede - Data
AP-14 Servidor Carlos Saavedra A. Físicos 5 4 4 4
Intel Center Sótano
Servidor HP Proliant DL 120GB 6 Intel XEON Sede - Data
AP-15 Servidor Carlos Saavedra A. Físicos 5 4 4 4
343 Center Sótano
Sede - Data
AP-16 CPU - Servidor Servidor central telefónica Carlos Saavedra A. Físicos 5 4 4 4
Center Sótano
Área de TI (3er
AP-17 Laptop Laptop Dell Tes. Asistente oper. Carlos Saavedra A. Físicos 5 4 4 4
Piso)
Área de TI (3er
AP-18 Notebook Notebook DELL serie 3000 14" i5 Carlos Saavedra A. Físicos 5 4 4 4
Piso)
Área de TI (3er
AP-19 Laptop Mac book Carlos Saavedra A. Físicos 5 4 4 4
Piso)
Área de TI (3er
AP-20 Laptop Latitude 5470 - i5 8 GB 1 TB HD - 126 VZF2 Carlos Saavedra A. Físicos 5 4 4 4
Piso)
Área de TI (3er
AP-21 Laptop Latitude E5470 - I7 16 GB 1 TB FHD Carlos Saavedra A. Físicos 5 4 4 4
Piso)
Área de TI (3er
AP-22 Laptop Latitude E5470 - I7 16 GB 1 TB FHD Carlos Saavedra A. Físicos 5 4 4 4
Piso)
Sede - Data
AP-23 Servidor DHCP Servidor Dell Poweredge R230 Carlos Saavedra A. Físicos 5 4 4 4
Center Sótano
Sede - Data
AP-24 Servidor Web Servidor Dell Poweredge R230 Carlos Saavedra A. Físicos 5 4 4 4
Center Sótano

113
 Sede - Data
AP-25 Servidor Redundante Servidor Dell poweredge Intel xeon Carlos Saavedra A. Físicos 5 4 4 4
Center Sótano
Cámara de Video Sede - Data
AP-26 Cámaras de video/01 Switch vigilancia Carlos Saavedra A. Físicos 5 4 4 4
Vigilancia Center Sótano
Sede - Data
AP-27 Servidor Redundante Carlos Saavedra A. Físicos 4
Servidor DELL power Intel Center Sótano 5 4 4
Área de Ti (3er
AP-28 Licencias Antivirus Gdata versión 2017 Carlos Saavedra A. Software 4 4 4 4
Piso)
Software que le asigna la iglesia al área de Área de Ti (3er
AP-29 Sistema DSA Carlos Saavedra A. Software 4 4 4 4
TI Piso)
Sistema UPN - Sistema que se brinda a colegios de la Área de Ti (3er
AP-30 Janeth Tenorio A. Software 4 4 4 4
Académico iglesia Piso)
Sistema que se brinda a misiones y Área de Ti (3er
AP-31 Sistema UPN - Gerencial Amelio Apaza A. Software 4 4 4 4
gerencia de la iglesia Piso)
AP-33 Disco Duro - HD Disco duro externo wster digital Carlos Saavedra Sala de Computo A. Físicos 4 4 4 4
Equipo de control de
AP-34 Equipo de control de asistencia Carlos Saavedra Sala de Computo A. Físicos 4 3 3 3
asistencia
Power connect 6224P puertos GbE
AP-35 Switch Carlos Saavedra Sala de Computo A. Físicos 4 3 3 3
conmutador Admin

AP-36 Switch Switch dlink DES 1210 19" para telefonía Carlos Saavedra Sala de Computo A. Físicos 4 3 3 3

Sede - Data
AP-37 Switch Switch Dell networking N1524P Carlos Saavedra A. Físicos 4 3 3 3
Center Sótano
Sede - Data
AP-38 Accesorio Informática Carlos Saavedra A. Físicos 3
Switch Dell networking - N1524P Center Sótano 4 3 3
Sede - Data
AP-39 Accesorio Informática Carlos Saavedra A. Físicos 3
Switch Dell networking - N1524P Center Sótano 4 3 3
Sede - Data
AP-40 Accesorio Informática Carlos Saavedra A. Físicos 3
Switch Dell networking - N1524P Center Sótano 4 3 3

AP-41 Switch Carlos Saavedra Sede - Switcher A. Físicos 3

SWITCH D-Link web Smart 3er piso 4 3 3

AP-42 Switch Carlos Saavedra Sede - Switcher A. Físicos 3

SWITCH D-Link web Smart 3er piso 4 3 3
Documento que brinda asistencia técnica a
Janeth Tenorio / Área de Ti (3er
AP-43 Manuales de Usuario los usuarios que usan los sistemas de A. Información 4 3 3 3
Amelio Apaza Piso)
información
Área de TI (3er
AP-44 Software software control de asistencia premium Carlos Saavedra A. Software 4 2 3 3
Piso)

Área de Ti -
AP-45 Helpdesk Soporte y Mantenimiento Fernando Lazo mesa de soporte A. Servicio 4 2 2 3
(3er Piso)

Área de Talento
A.
Documento de compromiso del personal Omar Campos/ Humano y
AP-46 Contratos Documento 4 2 2 3
de trabajo Martin Saldaña Legales (3er
s de Papel
Piso)

sótano( Cuarto
AP-47 Estabilizador - UPS UPS TRIPP SmathOnLine servidores Arq. Karen Cruzado A. Físicos 4 2 2 3
de UPS)

Transformador de aislamiento de 12 KVA sótano( Cuarto

AP-48 Grupo Electrógeno Arq. Karen Cruzado A. Físicos 4 2 2 3
flash power de UPS)

114
Anexo 14: Lista de Amenazas identificadas

Probabilidad de
ID Descripción de la amenaza Tipo de Amenaza
Ocurrencia
AME-1 Virus/ Malware Amenaza Tecnológica 4
AME-2 Hacking Amenaza Tecnológica 4
AME-3 Fallas de red Amenaza Tecnológica 4
AME-4 Fallas de servidores Amenaza Tecnológica 4
AME-5 Falla en la base de datos Amenaza Tecnológica 4
AME-6 Falla en las aplicaciones Amenaza Tecnológica 4
AME-7 Falla en telefonía Amenaza Tecnológica 4
Incumplimiento en el mantenimiento
AME-8 Amenazas de software 4
del sistema de información
AME-9 Copia fraudulenta del software Amenazas de software 4
AME-10 Espionaje remoto Amenazas Tecnológicas 4
AME-11 Perdida de datos Amenazas deliberadas 4
AME-12 Desborde de Huaycos Amenaza Natural 3
AME-13 Sismos Amenaza Natural 3
AME-14 Explosión de conexiones Amenaza a instalaciones 3

AME-15 Fallas internas de los equipos Amenaza a instalaciones

3
AME-16 Corto Circuito Amenaza a instalaciones 3
AME-17 Pérdida de personal clave Amenazas Humanas 3
AME-18 Sabotaje por parte de personal Amenazas Sociales 3
AME-19 Crisis financiera (presupuesto) Amenazas Operacionales 3
AME-20 Uso no autorizado del equipo Amenazas deliberadas 3
Incumplimiento en la disponibilidad del
AME-21 Amenazas deliberadas
personal 3
AME-22 Hurto de medios o documentos Amenazas deliberadas 3
AME-23 Falsificación de derechos Amenazas deliberadas 3
Falla en el sistema de suministro de
AME-24 Amenaza a instalaciones
agua o de aire acondicionado
3
AME-25 Fuga de Gas Amenaza a instalaciones 2
AME-26 Huelgas Amenazas Humanas 2

115
Anexo 15: Lista de vulnerabilidades
Aspe cto de l análisis Identificación de Vulnerabilidades Código de análisis 2017AVA03
Empre sa de e studio Unión Peruana del Norte Empre sa a cargo System Auditors
Áre a de e studio Área de tecnologías de información (TI) Encargado Luis Torres Torres
ID De scripción de las vulne rabilidade s e n la Organización
Vul-01 Faltas de políticas para el mantenimiento de los dispositivos
Vul-02 Inadecuada protección al equipo
Vul-03 Información no encriptada
Vul-04 Passwords débiles
Vul-05 Password sin modificarse
Vul-06 Falta de políticas para el control de acceso
Vul-07 Validación de usuario por perfil (Autenticación inadecuada)
Vul-08 Falta de monitoreo en los contratos del personal
Vul-09 Falta de capacitación de seguridad al personal
Vul-10 Falta de evaluaciones para detectar vulnerabilidades
Vul-11 Falta de criticidad en la información
Vul-12 Falta de procedimiento de prevención frente a un ataque de software malicioso
Vul-13 No eliminar el acceso a los sistemas de información, al personal que no labora
Vul-14 Incumplimiento del contrato
Vul-15 Carencia de procedimiento que asegure la entrega de activos al termino del contrato de trabajo
Vul-16 Susceptibilidad de equipos a variaciones de voltaje
Vul-17 Protección inapropiada en los almacenes
Vul-18 Falta de gestión para la concesión de acceso a las instalaciones
Vul-19 No concluir por completo las peticiones formales de acceso
Vul-20 Falta de restricciones en el perímetro que permita el libre acceso a ubicaciones de TI sensibles
Vul-21 No supervisar el acceso a las instalaciones de TI
Vul-22 No tener una identificación visible en la organización
Vul-23 Carencia de mecanismos que aseguren el envió y recepción de mensajes
Vul-24 Falta de protección en las redes públicas
Vul-25 No realizar una copia de respaldo (back-up)
Vul-26 Carencia de tareas segregadas
Vul-27 Control de cambio inadecuado
Vul-28 Políticas incompletas para el uso de criptografía
Vul-29 Carencia de ensayos de software
Vul-30 Documentación pobre de software
Vul-31 Carencia de copia de respaldo (Back - Up ) en la nube
Vul-32 Carencia de validación de datos procesados
Vul-33 Falta de capacitación para el debido manejo(recepción y uso) de documentos especiales
Vul-34 Inadecuada asignación de privilegios de accesos a los documentos sensibles
Vul-35 Inexistente registro de dispositivos de salida
Vul-36 Inexistente registro de documentos especiales
Vul-37 Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Vul-38 Falta de políticas para el desarrollo seguro
Vul-39 Falta de un registro de eventos relacionados con la seguridad
Vul-40 Falta de definición de incidentes potenciales que afecten a la seguridad
Vul-41 Falta de un procedimiento que reúna las evidencias de los incidentes de seguridad
Vul-42 Falta de conocimiento de los empleados sobre las evidencias de un incidente de seguridad
Vul-43 Falta de monitorización de incidentes de seguridad
Vul-44 Falta de protección criptográficas
Vul-45 No realizar pruebas de intrusión
Vul-46 Falta de filtrado de red en dispositivos de usuario final
Vul-47 No tener la ultima actualización del sistema operativo
Vul-48 No tener cifrada la información almacenada en la organización
Vul-49 Falta de autenticación en las aplicaciones
Vul-50 Falta de registro de monitoreo en los perfiles de usuario
Vul-51 No se revisa los privilegios asignados a los usuarios
Vul-52 Falta de identificación de las actividades realizadas por el usuario
Vul-53 No tener la ultima actualización del antivirus
Vul-54 Falta de recursos economicos

116
 Anexo 16: Relación Activo – Vulnerabilidad

Aspecto del análisis Relación Activos - Vulnerabilidades Código de análisis 2017AVA04

Empresa de estudio Unión Peruana del Norte Empresa a cargo System Auditors
Samuel Gavidia Mamani
Encargados
Área de estudio Área de tecnologías de información (TI) Luis Daniel Torres Torres
Activos Vulnerabilidades
No eliminar el acceso a los sistemas de información, al personal que no labora
Falta de evaluaciones para detectar vulnerabilidades
Base de Datos
Password sin modificarse
Inadecuada protección al equipo
No realizar una copia de respaldo (back-up)
Copia de respaldo Base de Datos
Carencia de copia de respaldo (Back - Up ) en la nube
No realizar una copia de respaldo (back-up)
Carencia de copia de respaldo (Back - Up ) en la nube
Copia de respaldo software
Carencia de ensayos de software
Documentación pobre de software
Falta de políticas para el control de acceso
No realizar pruebas de intrusión
Carencia de mecanismos que aseguren el envio y recepción de mensajes
Validación de usuario por perfil (Autenticación Inadecuada)
Inadecuada protección al equipo
CPU - Servidor de correo Protección inapropiada en los almacenes
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Susceptibilidad de equipos a variaciones de voltaje
Falta de políticas para el mantenimiento de los dispositivos
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
No realizar pruebas de intrusión
Falta de políticas para el control de acceso
Validación de usuario por perfil (Autenticación Inadecuada)
Protección inapropiada en los almacenes
Inadecuada protección al equipo
CPU - Centro de datos Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Susceptibilidad de equipos a variaciones de voltaje
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
Falta de políticas para el mantenimiento de los dispositivos
Carencia de mecanismos que aseguren el envio y recepción de mensajes
Falta de Protección en las redes publicas
No realizar pruebas de intrusión
Falta de políticas para el control de acceso
Red y Conectividad Información no encriptada
políticas incompletas para el uso de criptografía
Falta de filtrado de red en dispositivos de usuario final
Inadecuada protección al equipo
Susceptibilidad de equipos a variaciones de voltaje

117

Servidores Dell Poweredge R630 - Base de Datos
Servidores Dell Poweredge R630 - Archivos
Servidores Dell Poweredge R230 - Firewall
Switches Dell networking N3048P (Corp - Principal)
Jefe de TI
Analista de Sistemas Académicos y Gerenciales
Servidor Pack cable HP Proliant DL 160 GB Intel
Servidor HP Proliant DL 120GB 6 Intel XEON 343
CPU - Servidor central telefónica
Protección inapropiada en los almacenes
Falta de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Susceptibilidad de equipos a variaciones de voltaje
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
Carencia de validación de datos procesados
Password sin modificarse
Protección inapropiada en los almacenes
Falta de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Susceptibilidad de equipos a variaciones de voltaje
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
No tener cifrada la información almacenada en la organización
Protección inapropiada en los almacenes
Falta de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Susceptibilidad de equipos a variaciones de voltaje
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
Falta de protección en las redes públicas
No realizar pruebas de intrusión
Falta de políticas para el control de acceso
Faltas de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
No realizar pruebas de intrusión
Falta de protección en las redes públicas
Susceptibilidad de equipos a variaciones de voltaje
Falta de evaluaciones para detectar vulnerabilidades
No realizar pruebas de intrusión
No eliminar el acceso a los sistemas de información, al personal que no labora
No tener una identificación visible en la organización
No se revisa los privilegios asignados a los usuarios
Incumplimiento del contrato
No eliminar el acceso a los sistemas de información, al personal que no labora
No tener una identificación visible en la organización
No se revisa los privilegios asignados a los usuarios
Protección inapropiada en los almacenes
Falta de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Susceptibilidad de equipos a variaciones de voltaje
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
Protección inapropiada en los almacenes
Falta de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Susceptibilidad de equipos a variaciones de voltaje
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
Falta de Protección en las redes publicas
Protección inapropiada en los almacenes
Falta de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Susceptibilidad de equipos a variaciones de voltaje
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
118
 Falta de políticas para el mantenimiento de los dispositivos
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Inadecuada protección al equipo
Laptop Dell Tes. Asistente oper. Susceptibilidad de equipos a variaciones de voltaje
Falta de procedimiento de prevención frente a un ataque de software malicioso
No tener la ultima actualización del sistema operativo
No supervisar el acceso a las instalaciones a TI
Falta de políticas para el mantenimiento de los dispositivos
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Inadecuada protección al equipo
Notebook DELL serie 3000 14" i5 Susceptibilidad de equipos a variaciones de voltaje
Falta de procedimiento de prevención frente a un ataque de software malicioso
No tener la ultima actualización del sistema operativo
No supervisar el acceso a las instalaciones a TI
Falta de políticas para el mantenimiento de los dispositivos
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Inadecuada protección al equipo
Laptop Mac Book Susceptibilidad de equipos a variaciones de voltaje
Falta de procedimiento de prevención frente a un ataque de software malicioso
No tener la ultima actualización del sistema operativo
No supervisar el acceso a las instalaciones a TI
Falta de políticas para el mantenimiento de los dispositivos
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Inadecuada protección al equipo
Laptop Latitude 5470 - i5 8 GB 1 TB HD - 126 VZF2 Susceptibilidad de equipos a variaciones de voltaje
Falta de procedimiento de prevención frente a un ataque de software malicioso
No tener la ultima actualización del sistema operativo
No supervisar el acceso a las instalaciones a TI
Falta de políticas para el mantenimiento de los dispositivos
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Inadecuada protección al equipo
2 Laptop Latitude E5470 - I7 16 GB 1 TB FHD Susceptibilidad de equipos a variaciones de voltaje
No tener la utltima actualización del antivirus
No tener la ultima actualización del sistema operativo
No supervisar el acceso a las instalaciones a TI
Protección inapropiada en los almacenes
Falta de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Susceptibilidad de equipos a variaciones de voltaje
Servidores Dell Poweredge R230 - DHCP(Navegación)
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI

Falta de pruebas de intrusion

Falta de filtrado de red en dispositivos de usuario final
Protección inapropiada en los almacenes
Falta de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Servidores Dell Poweredge R230 - WEB Susceptibilidad de equipos a variaciones de voltaje
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
Falta de protección en las redes públicas
Falta de filtrado de red en dispositivos de usuario final
Protección inapropiada en los almacenes
Falta de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Servidor Redundante - Dell poweredge Intel xeon y
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
DELL power Intel
Susceptibilidad de equipos a variaciones de voltaje
Falta de restricciones en el perímetro que permite el libre acceso a ubicaciones de TI sensibles
No supervisar el acceso a las instalaciones a TI
Protección inapropiada en los almacenes
cámara de video vigilancia
No supervisar el acceso a las instalaciones de TI
Licencia de antivirus Gdata versión 2017 Perdida de recursos economicos

119
 Passwords débiles
Password sin modificarse
Falta de evaluaciones para detectar vulnerabilidades
Falta de políticas para el control de acceso
Validación de usuario por perfil (Autenticación Inadecuada)
No eliminar el acceso a los sistemas de información, al personal que no labora
No realizar una copia de respaldo (Back - Up)
políticas incompletas para el uso de criptografía
Carencia de copia de respaldo (Back - Up) en la nube
Sistema DSA, Gerencial y Academico - Unión Peruana falta de Protección criptográficas
del Norte(UPN) Falta de filtrado de red en dispositivos de usuario final
Falta de Autenticación en las aplicaciones
falta de registros de monitoreo en los perfiles de usuario
No se revisa los privilegios asignados a los usuarios
No realizar pruebas de intrusión
Carencia de validación de datos procesados
Falta de politicas para el desarrollo seguro
control de cambio inadecuado
Carencia de ensayos de software
Documentación pobre de software
Inadecuada protección al equipo
Disco duro externo wster digital Falta de procedimiento de prevención frente a un ataque de software malicioso
No realizar una copia de respaldo (back-up)
No eliminar el acceso a los sistemas de información, al personal que no labora
Equipo de control de asistencia Carencia de validación de datos procesados
Inadecuada protección al equipo
Faltas de políticas para el mantenimiento de los dispositivos
Accesorios de Informatica - Switches Inadecuada protección al equipo
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Faltas de políticas para el mantenimiento de los dispositivos
Inadecuada protección al equipo
Switch dlink DES 1210 19" para telefonía
Falta de controles de acceso físico a las áreas de la organización para la seguridad de la información.
Falta de protección en las redes públicas
Falta de criticidad en la información
Documentación pobre de software
Manuales de Usuario
Falta de capacitación para el debido manejo(recepción y uso) de documentos especiales
Inadecuada asignación de privilegios de accesos a los documentos sensibles
No eliminar el acceso a los sistemas de información, al personal que no labora
Validación de usuario por perfil (Autenticación Inadecuada)
software control de asistencia premium Carencia de validación de datos procesados
Falta de Autenticación en las aplicaciones
Falta de identificación de las actividades realizadas por el usuario
Falta de políticas para el mantenimiento de los dispositivos
Falta de evaluaciones para detectar vulnerabilidades
Helpdesk (Servicio de soporte y mantenimiento)
Falta de conocimiento de los empleados sobre las evidencias de un incidente de seguridad
Falta de monitorización de incidente de seguridad
Falta de monitoreo en los contratos del personal
Contratos Incumplimiento del contrato
Carencia de procedimiento que asegure la entrega de activos al termino del contrato de trabajo
Inadecuada proteccion al equipo
Estabilizador - UPS TRIPP SmathOnLine servidores
Protección inapropiada en los almacenes
Grupo Electrógeno - Transformador de aislamiento de Inadecuada proteccion al equipo
12 KVA flash power Protección inapropiada en los almacenes

120
 Anexo 17: Lista de Riesgos generales
Aspecto del análisis Relación activos - Vulnerabilidades - Amenazas Código de análisis 2017 AVA05
Empresa de estudio Unión Peruana del Norte Empresa a cargo System Auditors
Samuel Gavidia Mamani
Encargados
Área de estudio Área de tecnologías de información (TI) Luis Daniel Torres Torres
Probabilidad
Código Activo Amenaza Vulnerabilidad Impacto Valor
Ocurrencia(PO)
No eliminar el acceso a los sistemas de
Pérdida de datos 4 5 20
Riesgo-01 información, al personal que no labora
Falta de evaluaciones para detectar
Base de Datos Pérdida de datos 4 5 20
Riesgo-02 vulnerabilidades
Riesgo-03 Pérdida de datos Password sin modificarse 4 5 20
Riesgo-04 Pérdida de datos Inadecuada protección al equipo 3 4 12
Riesgo-05 Virus/ Malware No realizar una copia de respaldo (Back - Up) 4 5 20
Riesgo-06 Hacking No realizar una copia de respaldo (Back - Up) 4 5 20
Carencia de copia de respaldo (Back - Up) en la
Copia de respaldo de base Hacking 4 5 20
Riesgo-07 nube
de datos
Riesgo-08 Falla en la base de datos No realizar una copia de respaldo (Back - Up) 4 5 20
Carencia de copia de respaldo (Back - Up) en la
Falla en la base de datos 20
Riesgo-09 nube 4 5

Virus/ Malware 20
Riesgo-10 No realizar una copia de respaldo (Back - Up) 4 5
Carencia de copia de respaldo (Back - Up) en la
Hacking 20
Riesgo-11 nube 4 5
Riesgo-12 Copia de respaldo de Hacking No realizar una copia de respaldo (Back - Up) 4 5 20
Software Incumplimiento en el
mantenimiento del 12
Riesgo-13 sistema de información Carencia de ensayos de software 3 4
Copia fraudulenta del
12
Riesgo-14 software Documentación pobre de software 3 4
Riesgo-15 Hacking Falta de políticas para el control de acceso 4 5 20
Riesgo-16 Hacking No realizar pruebas de intrusión 4 5 20
Carencia de mecanismos que aseguren el envio y
Hacking 20
Riesgo-17 recepción de mensajes 4 5
Validación de usuario por perfil (Autenticación
Hacking 20
Riesgo-18 Inadecuada) 4 5
Riesgo-19 Fallas de red No realizar pruebas de intrusión 4 5 20
Carencia de mecanismos que aseguren el envio y
Fallas de red 20
Riesgo-20 recepción de mensajes 4 5
Riesgo-21 Fallas de servidores Inadecuada protección al equipo 4 4 16
Riesgo-22 Fallas de servidores Protección inapropiada en los almacenes 4 4 16

Fallas de servidores Falta de controles de acceso físico a las áreas de la 16

Riesgo-23 organización para la seguridad de la información. 4 4
Falla en el suministro de
agua o de aire 16
CPU - Servidor de correo
Riesgo-24 acondicionado Protección inapropiada en los almacenes 4 4
Riesgo-25 Explosión de conexiones Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Explosión de conexiones 12
Riesgo-26 voltaje 3 4
Riesgo-27 Corto circuito Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Corto circuito 12
Riesgo-28 voltaje 3 4
Riesgo-29 Corto circuito Protección inapropiada en los almacenes 3 4 12
Sabotaje por parte del Falta de políticas para el mantenimiento de los
12
Riesgo-30 personal dispositivos 3 4

Sabotaje por parte del

Falta de restricciones en el perímetro que permite 12
personal
Riesgo-31 el libre acceso a ubicaciones de TI sensibles 3 4
Sabotaje por parte del
12
Riesgo-32 personal No supervisar el acceso a las instalaciones a TI 3 4
Riesgo-33 Sismos Protección inapropiada en los almacenes 2 4 8

121
Riesgo-34 Hacking No realizar pruebas de intrusión 4 5 20
Riesgo-35 Hacking Falta de políticas para el control de acceso 4 5 20
Validación de usuario por perfil (Autenticación
Hacking 20
Riesgo-36 Inadecuada) 4 5
Riesgo-37 Fallas de red No realizar pruebas de intrusión 4 4 16
Riesgo-38 Fallas de servidores Protección inapropiada en los almacenes 4 4 16
Riesgo-39 Fallas de servidores Inadecuada protección al equipo 4 4 16

Fallas de servidores Falta de controles de acceso físico a las áreas de la 16

Riesgo-40 organización para la seguridad de la información. 4 4
Falla en el suministro de
agua o de aire 16
Riesgo-41 acondicionado Protección inapropiada en los almacenes 4 4
Riesgo-42 Explosión de conexiones Inadecuada protección al equipo 3 4 12
CPU - Centro de datos
Susceptibilidad de equipos a variaciones de
Explosión de conexiones 12
Riesgo-43 voltaje 3 4
Riesgo-44 Corto circuito Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Corto circuito 12
Riesgo-45 voltaje 3 4
Riesgo-46 Corto circuito Protección inapropiada en los almacenes 3 4 12
Sabotaje por parte del
Falta de restricciones en el perímetro que permite 12
personal
Riesgo-47 el libre acceso a ubicaciones de TI sensibles 3 4
Sabotaje por parte del
12
Riesgo-48 personal No supervisar el acceso a las instalaciones a TI 3 4
Sabotaje por parte del Falta de políticas para el mantenimiento de los
12
Riesgo-49 personal dispositivos 3 4
Riesgo-50 Sismos Protección inapropiada en los almacenes 2 4 8
Carencia de mecanismos que aseguren el envio y
Espionaje remoto 20
Riesgo-51 recepción de mensajes 4 5
Riesgo-52 Fallas de red Falta de Protección en las redes publicas 4 5 20
Riesgo-53 Fallas de red No realizar pruebas de intrusión 4 5 20
Riesgo-54 Espionaje remoto Falta de políticas para el control de acceso 4 5 20
Riesgo-55 Espionaje remoto Falta de Protección en las redes publicas 4 5 20
Riesgo-56 Espionaje remoto No realizar pruebas de intrusión 4 5 20
Riesgo-57 Virus/ Malware Falta de Protección en las redes publicas 4 5 20
Riesgo-58 Virus/ Malware Información no encriptada 4 5 20
Riesgo-59 Virus/ Malware políticas incompletas para el uso de criptografía 4 5 20
Falta de filtrado de red en dispositivos de usuario
Fallas de red 16
Riesgo-60 final 4 4
Red y conectividad
Falta de filtrado de red en dispositivos de usuario
Espionaje remoto 16
Riesgo-61 final 4 4
Riesgo-62 Espionaje remoto Información no encriptada 4 4 16
Riesgo-63 Espionaje remoto políticas incompletas para el uso de criptografía 4 4 16
Riesgo-64 Explosión de conexiones Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Explosión de conexiones 12
Riesgo-65 voltaje 3 4
Riesgo-66 Corto circuito Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Corto circuito 12
Riesgo-67 voltaje 3 4
Sabotaje por parte del
12
Riesgo-68 personal No realizar pruebas de intrusión 3 4
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Riesgo-69 acondicionado
faltas de políticas para el mantenimiento de los
Falla de servidores 4 4 16
Riesgo-70 dispositivos
Riesgo-71 Falla de servidores Inadecuada protección al equipo 4 4 16
Riesgo-72 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la
Falla de servidores 4 4 16
organización para la seguridad de la información.
Riesgo-73
Riesgo-74 Explosión de conexiones Inadecuada protección al equipo 3 4 12
Servidores Dell Susceptibilidad de equipos a variaciones de
Explosión de conexiones 3 4 12
Riesgo-75 Poweredge R630 - Base de voltaje
Riesgo-76 Datos Corto circuito Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Corto circuito 3 4 12
Riesgo-77 voltaje
Riesgo-78 Corto circuito Protección inapropiada en los almacenes 3 4 12

Sabotaje por parte del Falta de restricciones en el perímetro que permite

3 4 12
personal el libre acceso a ubicaciones de TI sensibles
Riesgo-79
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-80 personal
Riesgo-81 Sismos Protección inapropiada en los almacenes 2 4 8
Riesgo-82 Perdida de Datos Password sin modificarse 4 5 20
Riesgo-83 Perdida de Datos Carencia de validación de datos procesados 4 5 20

122
 Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Riesgo-84 acondicionado
faltas de políticas para el mantenimiento de los
Falla de servidores 4 4 16
Riesgo-85 dispositivos
Riesgo-86 Falla de servidores Inadecuada protección al equipo 4 4 16
Riesgo-87 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la
Falla de servidores 4 4 16
organización para la seguridad de la información.
Riesgo-88
Riesgo-89 Explosión de conexiones Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Explosión de conexiones 3 4 12
Riesgo-90 Servidores Dell voltaje
Riesgo-91 Poweredge R630 - Corto circuito Inadecuada protección al equipo 3 4 12
Archivos Susceptibilidad de equipos a variaciones de
Corto circuito 3 4 12
Riesgo-92 voltaje
Riesgo-93 Corto circuito Protección inapropiada en los almacenes 3 4 12
Sabotaje por parte del Falta de restricciones en el perímetro que permite
3 4 12
personal el libre acceso a ubicaciones de TI sensibles
Riesgo-94
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-95 personal
Riesgo-96 Sismos Protección inapropiada en los almacenes 2 4 8
No tener cifrada la información almacenada en la
Perdida de Datos 4 5 20
Riesgo-97 organización
No tener cifrada la información almacenada en la
Espionaje remoto 4 5 20
Riesgo-98 organización
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Riesgo-99 acondicionado
faltas de políticas para el mantenimiento de los
Falla de servidores 4 4 16
Riesgo-100 dispositivos
Riesgo-101 Falla de servidores Inadecuada protección al equipo 4 4 16
Riesgo-102 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la
Falla de servidores 4 4 16
organización para la seguridad de la información.
Riesgo-103
Riesgo-104 Explosión de conexiones Inadecuada protección al equipo 3 4 12
Riesgo-105 Explosión de conexiones Susceptibilidad de equipos a variaciones de 3 4 12
Riesgo-106 Servidores Dell Corto circuito Inadecuada protección al equipo 3 4 12
Poweredge R230 - Firewall Susceptibilidad de equipos a variaciones de
Corto circuito 3 4 12
Riesgo-107 voltaje
Riesgo-108 Corto circuito Protección inapropiada en los almacenes 3 4 12

Sabotaje por parte del Falta de restricciones en el perímetro que permite

3 4 12
personal el libre acceso a ubicaciones de TI sensibles
Riesgo-109
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-110 personal
Riesgo-111 Sismos Protección inapropiada en los almacenes 2 4 8
Riesgo-112 Fallas de red No realizar pruebas de intrusión 4 5 20
Riesgo-113 Fallas de red Falta de Protección en las redes publicas 4 5 20
Riesgo-114 Hacking Falta de Proteccón en las redes publicas 4 5 20
Riesgo-115 Hacking Falta de politicas para el control de acceso 4 5 20
Fallas internas de los falta de políticas para el mantenimiento de los
3 4 12
Riesgo-116 equipos dispositivos
Fallas internas de los
Inadecuada protección al equipo 4 4 16
Riesgo-117 equipos

Fallas internas de los Falta de controles de acceso físico a las áreas de la

3 4 12
equipos organización para la seguridad de la información.
Riesgo-118
Riesgo-119 Switches Dell networking Hacking No realizar pruebas de intrusión 4 5 20
Riesgo-120 N3048P (Corp - Principal) Hacking Falta de protección en las redes públicas 4 5 20
Riesgo-121 Explosion de Conexiones Susceptibilidad de equipos a variaciones de voltaje 3 4 12
Incumplimiento en la
disponibilidad del 12
Riesgo-122 personal Falta de evaluaciones para detectar vulnerabilidades 3 4
Riesgo-123 Espionaje remoto No realizar pruebas de intrusión 4 5 20
Riesgo-124 Espionaje remoto Falta de protección en las redes públicas 4 5 20
Riesgo-125 Fallas de red Falta de protección en las redes públicas 4 5 20
No eliminar el acceso a los sistemas de
falsificación de derechos 4 4 16
Riesgo-126 información, al personal que no labora
No tener una identificación visible en la
falsificación de derechos 4 4 16
Riesgo-127 Jefe de TI organización

falsificación de derechos No se revisa los privilegios asignados a los usuarios 4 4 16

Riesgo-128
Riesgo-129 Pérdida de personal clave Incumplimiento del contrato 4 4 16

123
 No eliminar el acceso a los sistemas de
falsificación de derechos 4 4 16
Riesgo-130 información, al personal que no labora
Analista de Sistemas No tener una identificación visible en la
falsificación de derechos 4 4 16
Riesgo-131 académicos y Gerenciales organización

falsificación de derechos No se revisa los privilegios asignados a los usuarios 4 4 16

Riesgo-132
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Riesgo-133 acondicionado
Falta de políticas para el mantenimiento de los
Falla de servidores 4 4 16
Riesgo-134 dispositivos
Riesgo-135 Falla de servidores Inadecuada protección al equipo 4 4 16
Riesgo-136 Falla de servidores Protección inapropiada en los almacenes 4 4 16

Falta de controles de acceso físico a las áreas de la

Falla de servidores 4 4 16
organización para la seguridad de la información.
Riesgo-137
Riesgo-138 Explosión de conexiones Inadecuada protección al equipo 3 4 12
Servidor Pack cable HP
Susceptibilidad de equipos a variaciones de
Proliant DL 160 GB Intel Explosión de conexiones 3 4 12
Riesgo-139 voltaje
Riesgo-140 Corto circuito Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Corto circuito 3 4 12
Riesgo-141 voltaje
Riesgo-142 Corto circuito Protección inapropiada en los almacenes 3 4 12

Sabotaje por parte del Falta de restricciones en el perímetro que permite

3 4 12
personal el libre acceso a ubicaciones de TI sensibles
Riesgo-143
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-144 personal
Riesgo-145 Sismos Protección inapropiada en los almacenes 2 4 8
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Riesgo-146 acondicionado
Falta de políticas para el mantenimiento de los
Falla de servidores 4 4 16
Riesgo-147 dispositivos
Riesgo-148 Falla de servidores Inadecuada protección al equipo 4 4 16
Riesgo-149 Falla de servidores Protección inapropiada en los almacenes 4 4 16

Falta de controles de acceso físico a las áreas de la

Falla de servidores 4 4 16
organización para la seguridad de la información.
Riesgo-150
Riesgo-151 Explosión de conexiones Inadecuada protección al equipo 3 4 12
Servidor HP Proliant DL
Susceptibilidad de equipos a variaciones de
120GB 6 Intel XEON 343 Explosión de conexiones 3 4 12
Riesgo-152 voltaje
Riesgo-153 Corto circuito Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Corto circuito 3 4 12
Riesgo-154 voltaje
Riesgo-155 Corto circuito Protección inapropiada en los almacenes 3 4 12

Sabotaje por parte del Falta de restricciones en el perímetro que permite

3 4 12
personal el libre acceso a ubicaciones de TI sensibles
Riesgo-156
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-157 personal
Riesgo-158 Sismos Protección inapropiada en los almacenes 2 4 8
Riesgo-159 Falla en telefonía Falta de Protección en las redes publicas 4 4 16
Riesgo-160 Fallas de red Falta de Protección en las redes publicas 4 4 16
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Riesgo-161 acondicionado
Falta de políticas para el mantenimiento de los
Falla de servidores 4 4 16
Riesgo-162 dispositivos
Riesgo-163 Falla de servidores Inadecuada protección al equipo 4 4 16
Riesgo-164 Falla de servidores Protección inapropiada en los almacenes 4 4 16

Falta de controles de acceso físico a las áreas de la

Falla de servidores 4 4 16
organización para la seguridad de la información.
Riesgo-165
CPU - Servidor central
Riesgo-166 Explosión de conexiones Inadecuada protección al equipo 3 4 12
telefónica
Susceptibilidad de equipos a variaciones de
Explosión de conexiones 3 4 12
Riesgo-167 voltaje
Riesgo-168 Corto circuito Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Corto circuito 3 4 12
Riesgo-169 voltaje
Riesgo-170 Corto circuito Protección inapropiada en los almacenes 3 4 12

Sabotaje por parte del Falta de restricciones en el perímetro que permite

3 4 12
personal el libre acceso a ubicaciones de TI sensibles
Riesgo-171
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-172 personal
Riesgo-173 Sismos Protección inapropiada en los almacenes 2 4 8

124
 Fallas internas de los Falta de políticas para el mantenimiento de los
4 4 16
Riesgo-174 equipos dispositivos

Fallas internas de los Falta de controles de acceso físico a las áreas de la

4 4 16
equipos organización para la seguridad de la información.
Riesgo-175
Falta de procedimiento de prevención frente a un
Virus/ Malware 4 4 16
Riesgo-176 ataque de software malicioso
Laptop Dell Tes. Asistente
Fallas internas de los
oper. Inadecuada protección al equipo 3 4 12
Riesgo-177 equipos
Fallas internas de los Susceptibilidad de equipos a variaciones de
3 4 12
Riesgo-178 equipos voltaje
No tener la ultima actualización del sistema
Virus/ Malware 3 4 12
Riesgo-179 operativo
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-180 personal
Fallas internas de los Falta de políticas para el mantenimiento de los
4 4 16
Riesgo-181 equipos dispositivos
Fallas internas de los Falta de controles de acceso físico a las áreas de la
4 4 16
equipos organización para la seguridad de la información.
Riesgo-182
Falta de procedimiento de prevención frente a un
Virus/ Malware 4 4 16
Riesgo-183 ataque de software malicioso
Notebook DELL serie 3000
Fallas internas de los
14" i5 Inadecuada protección al equipo 3 4 12
Riesgo-184 equipos
Fallas internas de los Susceptibilidad de equipos a variaciones de
3 4 12
Riesgo-185 equipos voltaje
No tener la ultima actualización del sistema
Virus/ Malware 3 4 12
Riesgo-186 operativo
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-187 personal
fallas internas de los Falta de políticas para el mantenimiento de los
4 4 16
Riesgo-188 equipos dispositivos

fallas internas de los Falta de controles de acceso físico a las áreas de la

4 4 16
equipos organización para la seguridad de la información.
Riesgo-189
Falta de procedimiento de prevención frente a un
Virus/ Malware 4 4 16
Riesgo-190 ataque de software malicioso
Laptop Mac Book fallas internas de los
Inadecuada protección al equipo 3 4 12
Riesgo-191 equipos
fallas internas de los Susceptibilidad de equipos a variaciones de
3 4 12
Riesgo-192 equipos voltaje
No tener la ultima actualización del sistema
Virus/ Malware 3 4 12
Riesgo-193 operativo
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-194 personal
Fallas internas de los Falta de políticas para el mantenimiento de los
4 4 16
Riesgo-195 equipos dispositivos
Fallas internas de los Falta de controles de acceso físico a las áreas de la
4 4 16
equipos organización para la seguridad de la información.
Riesgo-196
Falta de procedimiento de prevención frente a un
Virus/ Malware 4 4 16
Riesgo-197 ataque de software malicioso
Laptop Latitude 5470 - i5 8
Fallas internas de los
GB 1 TB HD - 126 VZF2 Inadecuada protección al equipo 3 4 12
Riesgo-198 equipos
Fallas internas de los Susceptibilidad de equipos a variaciones de
3 4 12
Riesgo-199 equipos voltaje
No tener la ultima actualización del sistema
Virus/ Malware 3 4 12
Riesgo-200 operativo
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-201 personal
fallas internas de los Falta de políticas para el mantenimiento de los
4 4 16
Riesgo-202 equipos dispositivos
fallas internas de los Falta de controles de acceso físico a las áreas de la
4 4 16
equipos organización para la seguridad de la información.
Riesgo-203
Riesgo-204 Virus/ Malware Inadecuada protección al equipo 4 4 16
2 Laptop Latitude E5470 - I7 fallas internas de los
Inadecuada protección al equipo 3 4 12
Riesgo-205 16 GB 1 TB FHD equipos
fallas internas de los Susceptibilidad de equipos a variaciones de
3 4 12
Riesgo-206 equipos voltaje
No tener la ultima actualización del sistema
Virus/ Malware 3 4 12
Riesgo-207 operativo
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-208 personal

125
 Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Riesgo-209 acondicionado
Falta de políticas para el mantenimiento de los
Falla de servidores 4 4 16
Riesgo-210 dispositivos
Riesgo-211 Falla de servidores Inadecuada protección al equipo 4 4 16
Riesgo-212 Falla de servidores Protección inapropiada en los almacenes 4 4 16

Falta de controles de acceso físico a las áreas de la

Falla de servidores 4 4 16
organización para la seguridad de la información.
Riesgo-213
Riesgo-214 Explosión de conexiones Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Servidores Dell Explosión de conexiones 3 4 12
Riesgo-215 voltaje
Poweredge R230 -
Riesgo-216 Corto circuito Inadecuada protección al equipo 3 4 12
DHCP(Puerto)
Susceptibilidad de equipos a variaciones de
Corto circuito 3 4 12
Riesgo-217 voltaje
Riesgo-218 Corto circuito Protección inapropiada en los almacenes 3 4 12

Sabotaje por parte del Falta de restricciones en el perímetro que permite

3 4 12
personal el libre acceso a ubicaciones de TI sensibles
Riesgo-219
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-220 personal
Riesgo-221 Sismos Protección inapropiada en los almacenes 2 4 8
Riesgo-222 Espionaje remoto Falta de pruebas de intrusion 4 5 20
Riesgo-223 Espionaje remoto Falta de filtrado de red en dispositivos de usuario final 4 5 20
Riesgo-224 Fallas de red Falta de pruebas de intrusion 4 5 20
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Riesgo-225 acondicionado
Falta de políticas para el mantenimiento de los
Falla de servidores 4 4 16
Riesgo-226 dispositivos
Riesgo-227 Falla de servidores Inadecuada protección al equipo 4 4 16
Riesgo-228 Falla de servidores Protección inapropiada en los almacenes 4 4 16

Falta de controles de acceso físico a las áreas de la

Falla de servidores 4 4 16
organización para la seguridad de la información.
Riesgo-229
Riesgo-230 Explosión de conexiones Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Servidores Dell Explosión de conexiones 3 4 12
Riesgo-231 voltaje
Poweredge R230 - WEB
Riesgo-232 Corto circuito Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Corto circuito 3 4 12
Riesgo-233 voltaje
Riesgo-234 Corto circuito Protección inapropiada en los almacenes 3 4 12
Sabotaje por parte del Falta de restricciones en el perímetro que permite
3 4 12
personal el libre acceso a ubicaciones de TI sensibles
Riesgo-235
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-236 personal
Riesgo-237 Sismos Protección inapropiada en los almacenes 2 4 8
Riesgo-238 Hacking Falta de protección en las redes públicas 4 5 20
Riesgo-239 Espionaje remoto Falta de filtrado de red en dispositivos de usuario final 4 5 20
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Riesgo-240 acondicionado
faltas de políticas para el mantenimiento de los
Falla de servidores 4 4 16
Riesgo-241 dispositivos
Riesgo-242 Falla de servidores Inadecuada protección al equipo 4 4 16
Riesgo-243 Falla de servidores Protección inapropiada en los almacenes 4 4 16

Falta de controles de acceso físico a las áreas de la

Falla de servidores 4 4 16
organización para la seguridad de la información.
Riesgo-244
Riesgo-245 Servidor Redundante - Explosión de conexiones Inadecuada protección al equipo 3 4 12
Dell poweredge Intel xeon Susceptibilidad de equipos a variaciones de
Explosión de conexiones 3 4 12
Riesgo-246 y DELL power Intel voltaje
Riesgo-247 Corto circuito Inadecuada protección al equipo 3 4 12
Susceptibilidad de equipos a variaciones de
Corto circuito 3 4 12
Riesgo-248 voltaje
Riesgo-249 Corto circuito Protección inapropiada en los almacenes 3 4 12

Sabotaje por parte del Falta de restricciones en el perímetro que permite

3 4 12
personal el libre acceso a ubicaciones de TI sensibles
Riesgo-250
Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-251 personal
Riesgo-252 Sismos Protección inapropiada en los almacenes 2 4 8
Fallas internas de los
Protección inapropiada en los almacenes 4 4 16
Riesgo-253 Caramas de video equipos
vigilancia Sabotaje por parte del
No supervisar el acceso a las instalaciones a TI 3 4 12
Riesgo-254 personal
Antivirus Gdata versión Crisis Financiera
Perdida de recursos economicos 4 4 16
Riesgo-255 2017 (presupuesto)

126
Riesgo-256 Virus/ Malware Passwords débiles 4 4 16
Riesgo-257 Virus/ Malware Password sin modificarse 4 4 16
Falta de evaluaciones para detectar
Virus/ Malware 4 4 16
Riesgo-258 vulnerabilidades
Riesgo-259 Hacking Passwords débiles 4 4 16
Riesgo-260 Hacking Password sin modificarse 4 4 16
Riesgo-261 Hacking Falta de políticas para el control de acceso 4 4 16
Validación de usuario por perfil (Autenticación
Hacking 4 4 16
Riesgo-262 Inadecuada)
No eliminar el acceso a los sistemas de
Hacking 4 4 16
Riesgo-263 información, al personal que no labora
Falta de evaluaciones para detectar
Hacking 4 4 16
Riesgo-264 vulnerabilidades
Riesgo-265 Hacking No realizar una copia de respaldo (Back - Up) 4 4 16
Riesgo-266 Hacking políticas incompletas para el uso de criptografía 4 4 16
Carencia de copia de respaldo (Back - Up) en la
Hacking 4 4 16
Riesgo-267 nube
Riesgo-268 Hacking falta de Protección criptográficas 4 4 16
Falta de filtrado de red en dispositivos de usuario
Hacking 4 4 16
Riesgo-269 final
Riesgo-270 Hacking Falta de Autenticación en las aplicaciones 4 4 16
falta de registros de monitoreo en los perfiles de
Hacking 4 4 16
Riesgo-271 usuario

Hacking No se revisa los privilegios asignados a los usuarios 4 4 16

Riesgo-272
Riesgo-273 Hacking No realizar pruebas de intrusión 4 4 16
Validación de usuario por perfil (Autenticación
Fallas de red 16
Riesgo-274 Inadecuada) 4 4
Falta de filtrado de red en dispositivos de usuario
Fallas de red 16
Riesgo-275 final 4 4
Validación de usuario por perfil (Autenticación
Fallas de servidores 16
Riesgo-276 Inadecuada) 4 4
No eliminar el acceso a los sistemas de
Fallas de servidores 16
Riesgo-277 información, al personal que no labora 4 4
Validación de usuario por perfil (Autenticación
Falla en las aplicaciones 16
Riesgo-278 Inadecuada) 4 4
No eliminar el acceso a los sistemas de
Riesgo-279 Sistema Falla en las aplicaciones información, al personal que no labora 4 4
16

Riesgo-280 Falla en las aplicaciones Carencia de validación de datos procesados 4 4 16

Riesgo-281 DSA, Falla en las aplicaciones Falta de politicas para el desarrollo seguro 4 4 16
Falta de filtrado de red en dispositivos de usuario
Riesgo-282 Gerencial y Falla en las aplicaciones final 4 4
16

Riesgo-283 Falla en las aplicaciones Falta de Autenticación en las aplicaciones 4 4 16

Riesgo-284
Academico - Falla en las aplicaciones falta de registros de monitoreo en los perfiles de
usuario 4 4
16

Riesgo-285
Unión Falla en las aplicaciones
No se revisa los privilegios asignados a los usuarios 4 4
16

Riesgo-286
Riesgo-287
Peruana del Falla en las aplicaciones
Falla en las aplicaciones
control de cambio inadecuado
No realizar pruebas de intrusión
4
4
4
4
16
16

Norte(UPN) Incumplimiento
mantenimiento del
en el
16
Riesgo-288 sistema de información Carencia de ensayos de software 4 4
Copia fraudulenta del
16
Riesgo-289 software Documentación pobre de software 4 4
Riesgo-290 Fallas de servidores Carencia de validación de datos procesados 3 4 12
Riesgo-291 Fallas de servidores Falta de Autenticación en las aplicaciones 3 4 12
Falta de registro de monitoreo en los perfiles de
Fallas de servidores 12
Riesgo-292 usuario 3 4

Fallas de servidores 12
Riesgo-293 No se revisa los privilegios asignados a los usuarios 3 4
Riesgo-294 Fallas de servidores No realizar pruebas de intrusión 3 4 12
Validación de usuario por perfil (Autenticación
Falla en la base de datos 12
Riesgo-295 Inadecuada) 3 4
No eliminar el acceso a los sistemas de
Falla en la base de datos 12
Riesgo-296 información, al personal que no labora 3 4
Riesgo-297 Falla en la base de datos Carencia de validación de datos procesados 3 4 12
Riesgo-298 Falla en la base de datos Falta de Autenticación en las aplicaciones 3 4 12
falta de registros de monitoreo en los perfiles de
Falla en la base de datos 12
Riesgo-299 usuario 3 4

Falla en la base de datos 12

Riesgo-300 No se revisa los privilegios asignados a los usuarios 3 4
Sabotaje por parte del Validación de usuario por perfil (Autenticación
12
Riesgo-301 personal Inadecuada) 3 4
Sabotaje por parte del
12
Riesgo-302 personal No realizar una copia de respaldo (Back - Up) 3 4
Sabotaje por parte del Carencia de copia de respaldo (Back - Up) en la
12
Riesgo-303 personal nube 3 4
Sabotaje por parte del Falta de filtrado de red en dispositivos de usuario
12
Riesgo-304 personal final 3 4
Sabotaje por parte del
12
Riesgo-305 personal Falta de Autenticación en las aplicaciones 3 4
Sabotaje por parte del Falta de registro de monitoreo en los perfiles de
12
Riesgo-306 personal usuario 3 4
Sabotaje por parte del
12
Riesgo-307 personal No se revisa los privilegios asignados a los usuarios 3 4
Copia fraudulenta del
12
Riesgo-308 software control de cambio inadecuado 3 4

127
 Falta de procedimiento de prevención frente a un
Virus/ Malware 4 5 20
Riesgo-309 ataque de software malicioso
Disco duro externo wster Fallas internas de los
Inadecuada protección al equipo 4 4 16
Riesgo-310 digital equipos
Sabotaje por parte del
No realizar una copia de respaldo (Back - Up) 3 4 12
Riesgo-311 personal
No eliminar el acceso a los sistemas de
falsificación de derechos 4 4 16
Riesgo-312 información, al personal que no labora
Equipo de control de Uso no autorizado del
Carencia de validación de datos procesados 3 4 12
Riesgo-313 asistencia equipo
fallas internas de los
Inadecuada protección al equipo 3 3 9
Riesgo-314 equipos
Fallas internas de los falta de políticas para el mantenimiento de los
3 4 12
Riesgo-315 equipos dispositivos
Fallas internas de los
Accesorios de Informatica - Inadecuada protección al equipo 4 4 16
Riesgo-316 equipos
Switches
Fallas internas de los Falta de controles de acceso físico a las áreas de la
3 4 12
equipos organización para la seguridad de la información.
Riesgo-317
Fallas internas de los falta de políticas para el mantenimiento de los
3 4 12
Riesgo-318 equipos dispositivos
Fallas internas de los
Inadecuada protección al equipo 4 4 16
Riesgo-319 Switch dlink DES 1210 19" equipos
para telefonía
Fallas internas de los Falta de controles de acceso físico a las áreas de la
3 4 12
equipos organización para la seguridad de la información.
Riesgo-320
Riesgo-321 Falla en telefonía Falta de protección en las redes públicas 4 4 16
Copia fraudulenta del
12
Riesgo-322 software Falta de criticidad en la información 4 3
Copia fraudulenta del
12
Riesgo-323 software Documentación pobre de software 4 3
Manuales de usuario Hurto de medios o Inadecuada asignación de privilegios de accesos a
9
Riesgo-324 documentos los documentos sensibles 3 3
Incumplimiento en la
disponibilidad del Falta de capacitación para el debido manejo 9
Riesgo-325 personal (recepción y uso) de documentos especiales 3 3

No eliminar el acceso a los sistemas de

Fallas de servidores 4 4 16
información, al personal que no labora
Riesgo-326
No eliminar el acceso a los sistemas de
Fallas en las aplicaciones 4 4 16
Riesgo-327 información, al personal que no labora
No eliminar el acceso a los sistemas de
Falla en la base de datos 4 4 16
Riesgo-328 información, al personal que no labora
Validación de usuario por perfil (Autenticación
Fallas de servidores 3 4 12
Riesgo-329 Inadecuada)
Software control de
Riesgo-330 Fallas de servidores Carencia de validación de datos procesados 3 4 12
asistencia Premium
Validación de usuario por perfil (Autenticación
Fallas en las aplicaciones 3 4 12
Riesgo-331 Inadecuada)
Riesgo-332 Fallas en las aplicaciones Carencia de validación de datos procesados 3 4 12
Riesgo-333 Fallas en las aplicaciones Falta de Autenticación en las aplicaciones 3 4 12
Validación de usuario por perfil (Autenticación
Falla en la base de datos 3 4 12
Riesgo-334 Inadecuada)
Riesgo-335 Falla en la base de datos Falta de Autenticación en las aplicaciones 3 4 12
Falta de identificación de las actividades realizadas
falsificación de derechos 3 4 12
Riesgo-336 por el usuario

128
 Uso no autorizado del Falta de políticas para el mantenimiento de los
16
Riesgo-337 equipo dispositivos 4 4
Incumplimiento en la Falta de evaluaciones para detectar
disponibilidad del vulnerabilidades 9
Riesgo-338 personal 3 3
Helpdesk (Servicio de
Incumplimiento en la
soporte y mantenimiento)
disponibilidad del Falta de conocimiento de los empleados sobre las 9
Riesgo-339 personal evidencias de un incidente de seguridad 3 3
Incumplimiento en la
disponibilidad del 9
Riesgo-340 personal Falta de monitorización de incidente de seguridad 3 3
Crisis financiera
9
Riesgo-341 (presupuesto) Incumplimiento del contrato 3 3
Riesgo-342 Perdida de personal clave Incumplimiento del contrato 3 3 9
Riesgo-343 Contratos Perdida de personal clave Falta de monitoreo en los contratos del personal 2 3 6

Perdida de personal clave Carencia de procedimiento que asegure la entrega 6

Riesgo-344 de activos al termino del contrato de trabajo 2 3
Falla en el suministro de
Estabilizador - UPS TRIPP agua o de aire Inadecuada protección al equipo 16
Riesgo-345 SmathOnLine servidores acondicionado 4 4
Riesgo-346 Sismos Protección inapropiada en los almacenes 3 4 12
Grupo Electrógeno - Falla en el suministro de
Transformador de agua o de aire Iandecuada protección al equipo 16
Riesgo-347 aislamiento de 12 KVA acondicionado 4 4
Riesgo-348 flash power Sismos Protección inapropiada en los almacenes 3 4 12

129
 Anexo 18: Lista de riesgos priorizados
Código de
2017 AVA06
Aspecto del análisis Relación activos - Vulnerabilidades - Amenazas análisis
Empresa a
Empresa de estudio Unión Peruana del Norte cargo System Auditors
Samuel Gavidia Mamani
Encargados
Área de estudio Área de tecnologías de información (TI) Luis Daniel Torres Torres
Código
Código Probabilidad
Riesgo Activo Amenaza Vulnerabilidad Impacto Valor
Riesgo Ocurrencia(PO)
Priorizado
No eliminar el acceso a los sistemas de información, al personal
Pérdida de datos 4 5 20
RP-01 Riesgo-01 que no labora
Base de Datos
RP-02 Riesgo-02 Pérdida de datos Falta de evaluaciones para detectar vulnerabilidades 4 5 20
RP-03 Riesgo-03 Pérdida de datos Password sin modificarse 4 5 20
RP-04 Riesgo-05 Virus/ Malware No realizar una copia de respaldo (Back - Up) 4 5 20
RP-05 Riesgo-06 Hacking No realizar una copia de respaldo (Back - Up) 4 5 20
RP-06 Riesgo-07 Hacking Carencia de copia de respaldo (Back - Up) en la nube 4 5 20
Copia de respaldo de base de datos
Falla en la base de datos 4 5 20
RP-07 Riesgo-08 No realizar una copia de respaldo (Back - Up)
RP-08 Riesgo-09 Falla en la base de datos Carencia de copia de respaldo (Back - Up) en la nube 4 5 20
RP-09 Riesgo-10 Virus/ Malware No realizar una copia de respaldo (Back - Up) 4 5 20
RP-10 Riesgo-11 Copia de respaldo de Software Hacking Carencia de copia de respaldo (Back - Up) en la nube 4 5 20
RP-11 Riesgo-12 Hacking No realizar una copia de respaldo (Back - Up) 4 5 20
RP-12 Riesgo-15 Hacking Falta de políticas para el control de acceso 4 5 20
RP-13 Riesgo-16 Hacking No realizar pruebas de intrusión 4 5 20
Carencia de mecanismos que aseguren el envio y recepción de
Hacking 20
RP-14 Riesgo-17 mensajes 4 5
RP-15 Riesgo-18 Hacking Validación de usuario por perfil (Autenticación Inadecuada) 4 5 20
RP-16 Riesgo-19 Fallas de red No realizar pruebas de intrusión 4 5 20
Carencia de mecanismos que aseguren el envio y recepción de
Fallas de red 20
RP-17 Riesgo-20 CPU - Servidor de correo mensajes 4 5
RP-18 Riesgo-21 Fallas de servidores Inadecuada protección al equipo 4 4 16
RP-19 Riesgo-22 Fallas de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Fallas de servidores 16
RP-20 Riesgo-23 para la seguridad de la información. 4 4
Falla en el suministro de
agua o de aire 16
RP-21 Riesgo-24 acondicionado Protección inapropiada en los almacenes 4 4
RP-22 Riesgo-34 Hacking No realizar pruebas de intrusión 4 5 20
RP-23 Riesgo-35 Hacking Falta de políticas para el control de acceso 4 5 20
RP-24 Riesgo-36 Hacking Validación de usuario por perfil (Autenticación Inadecuada) 4 5 20
RP-25 Riesgo-37 Fallas de red No realizar pruebas de intrusión 4 4 16
RP-26 Riesgo-38 Fallas de servidores Protección inapropiada en los almacenes 4 4 16
RP-27 Riesgo-39 CPU - Centro de datos Fallas de servidores Inadecuada protección al equipo 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Fallas de servidores 16
RP-28 Riesgo-40 para la seguridad de la información. 4 4
Falla en el suministro de
agua o de aire Protección inapropiada en los almacenes 16
RP-29 Riesgo-41 acondicionado 4 4
Carencia de mecanismos que aseguren el envio y recepción de
Espionaje remoto 20
RP-30 Riesgo-51 mensajes 4 5
RP-31 Riesgo-52 Fallas de red Falta de Protección en las redes publicas 4 5 20
RP-32 Riesgo-53 Fallas de red No realizar pruebas de intrusión 4 5 20
RP-33 Riesgo-54 Espionaje remoto Falta de políticas para el control de acceso 4 5 20
RP-34 Riesgo-55 Espionaje remoto Falta de Protección en las redes publicas 4 5 20
RP-35 Riesgo-56 Espionaje remoto No realizar pruebas de intrusión 4 5 20
Red y conectividad
RP-36 Riesgo-57 Virus/ Malware Falta de Protección en las redes publicas 4 5 20
RP-37 Riesgo-58 Virus/ Malware Información no encriptada 4 5 20
RP-38 Riesgo-59 Virus/ Malware políticas incompletas para el uso de criptografía 4 5 20
RP-39 Riesgo-60 Fallas de red Falta de filtrado de red en dispositivos de usuario final 4 4 16
RP-40 Riesgo-61 Espionaje remoto Falta de filtrado de red en dispositivos de usuario final 4 4 16
RP-41 Riesgo-62 Espionaje remoto Información no encriptada 4 4 16
RP-42 Riesgo-63 Espionaje remoto políticas incompletas para el uso de criptografía 4 4 16

130
RP-43 Riesgo-82 Perdida de Datos Password sin modificarse 4 5 20
RP-44 Riesgo-83 Perdida de Datos Carencia de validación de datos procesados 4 5 20
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
RP-45 Riesgo-69 Servidores Dell Poweredge R630 - Base acondicionado
RP-46 Riesgo-70 de Datos Falla de servidores faltas de políticas para el mantenimiento de los dispositivos 4 4 16
RP-47 Riesgo-71 Falla de servidores Inadecuada protección al equipo 4 4 16
RP-48 Riesgo-72 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Falla de servidores 4 4 16
RP-49 Riesgo-73 para la seguridad de la información.
RP-50 Riesgo-97 Perdida de Datos No tener cifrada la información almacenada en la organización 4 5 20
RP-51 Riesgo-98 Espionaje remoto No tener cifrada la información almacenada en la organización 4 5 20
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
RP-52 Riesgo-84 Servidores Dell Poweredge R630 - acondicionado
RP-53 Riesgo-85 Archivos Falla de servidores faltas de políticas para el mantenimiento de los dispositivos 4 4 16
RP-54 Riesgo-86 Falla de servidores Inadecuada protección al equipo 4 4 16
RP-55 Riesgo-87 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Falla de servidores 4 4 16
RP-56 Riesgo-88 para la seguridad de la información.
RP-57 Riesgo-112 Fallas de red No realizar pruebas de intrusión 4 5 20
RP-58 Riesgo-113 Fallas de red Falta de Protección en las redes publicas 4 5 20
RP-59 Riesgo-114 Hacking Falta de Proteccón en las redes publicas 4 5 20
RP-60 Riesgo-115 Hacking Falta de politicas para el control de acceso 4 5 20
Falla en el sistema de
Servidores Dell Poweredge R230 - suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
RP-61 Riesgo-99 Firewall acondicionado
RP-62 Riesgo-100 Falla de servidores faltas de políticas para el mantenimiento de los dispositivos 4 4 16
RP-63 Riesgo-101 Falla de servidores Inadecuada protección al equipo 4 4 16
RP-64 Riesgo-102 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Falla de servidores 4 4 16
RP-65 Riesgo-103 para la seguridad de la información.
RP-66 Riesgo-119 Hacking No realizar pruebas de intrusión 4 5 20
RP-67 Riesgo-120 Hacking Falta de protección en las redes públicas 4 5 20
RP-68 Riesgo-123 Espionaje remoto No realizar pruebas de intrusión 4 5 20
Switches Dell networking N3048P (Corp
RP-69 Riesgo-124 Espionaje remoto Falta de protección en las redes públicas 4 5 20
- Principal)
RP-70 Riesgo-125 Fallas de red Falta de protección en las redes públicas 4 5 20
Fallas internas de los
Inadecuada protección al equipo 4 4 16
RP-71 Riesgo-117 equipos
No eliminar el acceso a los sistemas de información, al personal
falsificación de derechos 4 4 16
RP-72 Riesgo-126 que no labora
RP-73 Riesgo-127 Jefe de TI falsificación de derechos No tener una identificación visible en la organización 4 4 16
RP-74 Riesgo-128 falsificación de derechos No se revisa los privilegios asignados a los usuarios 4 4 16
RP-75 Riesgo-129 Pérdida de personal clave Incumplimiento del contrato 4 4 16
No eliminar el acceso a los sistemas de información, al personal
falsificación de derechos 4 4 16
RP-76 Riesgo-130 Analista de Sistemas académicos y que no labora
RP-77 Riesgo-131 Gerenciales falsificación de derechos No tener una identificación visible en la organización 4 4 16
RP-78 Riesgo-132 falsificación de derechos No se revisa los privilegios asignados a los usuarios 4 4 16
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
RP-79 Riesgo-133 acondicionado
RP-80 Riesgo-134 Servidor Pack cable HP Proliant DL 160 Falla de servidores Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-81 Riesgo-135 GB Intel Falla de servidores Inadecuada protección al equipo 4 4 16
RP-82 Riesgo-136 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Falla de servidores 4 4 16
RP-83 Riesgo-137 para la seguridad de la información.
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
RP-84 Riesgo-146 acondicionado
RP-85 Riesgo-147 Servidor HP Proliant DL 120GB 6 Intel Falla de servidores Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-86 Riesgo-148 XEON 343 Falla de servidores Inadecuada protección al equipo 4 4 16
RP-87 Riesgo-149 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Falla de servidores 4 4 16
RP-88 Riesgo-150 para la seguridad de la información.
RP-89 Riesgo-159 Falla en telefonía Falta de Protección en las redes publicas 4 4 16
RP-90 Riesgo-160 Fallas de red Falta de Protección en las redes publicas 4 4 16
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
RP-91 Riesgo-161 acondicionado
CPU - Servidor central telefónica
RP-92 Riesgo-162 Falla de servidores Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-93 Riesgo-163 Falla de servidores Inadecuada protección al equipo 4 4 16
RP-94 Riesgo-164 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Falla de servidores 4 4 16
RP-95 Riesgo-165 para la seguridad de la información.

131
 Fallas internas de los
Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-96 Riesgo-174 equipos
Fallas internas de los Falta de controles de acceso físico a las áreas de la organización
Laptop Dell Tes. Asistente oper. 4 4 16
RP-97 Riesgo-175 equipos para la seguridad de la información.
Falta de procedimiento de prevención frente a un ataque de
Virus/ Malware 4 4 16
RP-98 Riesgo-176 software malicioso
Fallas internas de los
Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-99 Riesgo-181 equipos
Fallas internas de los Falta de controles de acceso físico a las áreas de la organización
Notebook DELL serie 3000 14" i5 4 4 16
RP-100 Riesgo-182 equipos para la seguridad de la información.
Falta de procedimiento de prevención frente a un ataque de
Virus/ Malware 4 4 16
RP-101 Riesgo-183 software malicioso
fallas internas de los
Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-102 Riesgo-188 equipos
fallas internas de los Falta de controles de acceso físico a las áreas de la organización
Laptop Mac Book 4 4 16
RP-103 Riesgo-189 equipos para la seguridad de la información.
Falta de procedimiento de prevención frente a un ataque de
Virus/ Malware 4 4 16
RP-104 Riesgo-190 software malicioso
Fallas internas de los
Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-105 Riesgo-195 equipos
Laptop Latitude 5470 - i5 8 GB 1 TB HD -
Fallas internas de los Falta de controles de acceso físico a las áreas de la organización
126 VZF2 4 4 16
RP-106 Riesgo-196 equipos para la seguridad de la información.
RP-107 Riesgo-197 Virus/ Malware No tener la ultima actualización de antivirus 4 4 16
fallas internas de los
Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-108 Riesgo-202 equipos
2 Laptop Latitude E5470 - I7 16 GB 1 TB
fallas internas de los Falta de controles de acceso físico a las áreas de la organización
FHD 4 4 16
RP-109 Riesgo-203 equipos para la seguridad de la información.
RP-110 Riesgo-204 Virus/ Malware Inadecuada protección al equipo 4 4 16
RP-111 Riesgo-222 Espionaje remoto Falta de pruebas de intrusion 4 5 20
RP-112 Riesgo-223 Espionaje remoto Falta de filtrado de red en dispositivos de usuario final 4 5 20
RP-113 Riesgo-224 Fallas de red Falta de pruebas de intrusion 4 5 20
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
Servidores Dell Poweredge R230 -
RP-114 Riesgo-209 acondicionado
DHCP(Navegación)
RP-115 Riesgo-210 Falla de servidores Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-116 Riesgo-211 Falla de servidores Inadecuada protección al equipo 4 4 16
RP-117 Riesgo-212 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Falla de servidores 4 4 16
RP-118 Riesgo-213 para la seguridad de la información.
RP-119 Riesgo-238 Hacking Falta de protección en las redes públicas 4 5 20
RP-120 Riesgo-239 Espionaje remoto Falta de filtrado de red en dispositivos de usuario final 4 5 20
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
RP-121 Riesgo-225 acondicionado
RP-122 Riesgo-226 Servidores Dell Poweredge R230 - WEB Falla de servidores Falta de políticas para el mantenimiento de los dispositivos 4 4 16
RP-123 Riesgo-227 Falla de servidores Inadecuada protección al equipo 4 4 16

Falla de servidores Protección inapropiada en los almacenes 4 4 16

RP-124 Riesgo-228
Falta de controles de acceso físico a las áreas de la organización
Falla de servidores 4 4 16
RP-125 Riesgo-229 para la seguridad de la información.
Falla en el sistema de
suministros de agua o aire Protección inapropiada en los almacenes 4 4 16
RP-126 Riesgo-240 acondicionado
RP-127 Riesgo-241 Servidor Redundante - Dell poweredge Falla de servidores faltas de políticas para el mantenimiento de los dispositivos 4 4 16
RP-128 Riesgo-242 Intel xeon y DELL power Intel Falla de servidores Inadecuada protección al equipo 4 4 16
RP-129 Riesgo-243 Falla de servidores Protección inapropiada en los almacenes 4 4 16
Falta de controles de acceso físico a las áreas de la organización
Falla de servidores 4 4 16
RP-130 Riesgo-244 para la seguridad de la información.
Fallas internas de los
Caramas de video vigilancia Protección inapropiada en los almacenes 4 4 16
RP-131 Riesgo-253 equipos
Licencia de Antivirus Gdata versión Crisis Financiera
Perdida de recursos economicos 4 4 16
RP-132 Riesgo-255 2017 (presupuesto)

132
RP-133 Riesgo-256 Virus/ Malware Passwords débiles 4 4 16
RP-134 Riesgo-257 Virus/ Malware Password sin modificarse 4 4 16
RP-135 Riesgo-258 Virus/ Malware Falta de evaluaciones para detectar vulnerabilidades 4 4 16
RP-136 Riesgo-259 Hacking Passwords débiles 4 4 16
RP-137 Riesgo-260 Hacking Password sin modificarse 4 4 16
RP-138 Riesgo-261 Hacking Falta de políticas para el control de acceso 4 4 16
RP-139 Riesgo-262 Hacking Validación de usuario por perfil (Autenticación Inadecuada) 4 4 16
No eliminar el acceso a los sistemas de información, al personal
Hacking 4 4 16
RP-140 Riesgo-263 que no labora
RP-141 Riesgo-264 Hacking Falta de evaluaciones para detectar vulnerabilidades 4 4 16
RP-142 Riesgo-265 Hacking No realizar una copia de respaldo (Back - Up) 4 4 16
RP-143 Riesgo-266 Hacking políticas incompletas para el uso de criptografía 4 4 16
RP-144 Riesgo-267 Hacking Carencia de copia de respaldo (Back - Up) en la nube 4 4 16
RP-145 Riesgo-268 Hacking falta de Protección criptográficas 4 4 16
RP-146 Riesgo-269 Hacking Falta de filtrado de red en dispositivos de usuario final 4 4 16
RP-147
RP-148
Riesgo-270
Riesgo-271
Sistema DSA, Hacking
Hacking
Falta de Autenticación en las aplicaciones
falta de registros de monitoreo en los perfiles de usuario
4
4
4
4
16
16
RP-149 Riesgo-272 Hacking No se revisa los privilegios asignados a los usuarios 4 4 16
RP-150 Riesgo-273 Gerencial y Hacking No realizar pruebas de intrusión 4 4 16
RP-151 Riesgo-274 Fallas de red Validación de usuario por perfil (Autenticación Inadecuada) 4 4 16
RP-152 Riesgo-275 Academico - Fallas de red Falta de filtrado de red en dispositivos de usuario final 4 4 16
RP-153 Riesgo-276 Fallas de servidores Validación de usuario por perfil (Autenticación Inadecuada) 4 4 16
Unión Peruana del Fallas de servidores No eliminar el acceso a los sistemas de información, al personal
16
RP-154 Riesgo-277 que no labora 4 4
RP-155 Riesgo-278 Norte(UPN) Falla en las aplicaciones Validación de usuario por perfil (Autenticación Inadecuada) 4 4 16
No eliminar el acceso a los sistemas de información, al personal
Falla en las aplicaciones 16
RP-156 Riesgo-279 que no labora 4 4
RP-157 Riesgo-280 Falla en las aplicaciones Carencia de validación de datos procesados 4 4 16
RP-158 Riesgo-281 Falla en las aplicaciones Falta de politicas para el desarrollo seguro 4 4 16
RP-159 Riesgo-282 Falla en las aplicaciones Falta de filtrado de red en dispositivos de usuario final 4 4 16
RP-160 Riesgo-283 Falla en las aplicaciones Falta de Autenticación en las aplicaciones 4 4 16
RP-161 Riesgo-284 Falla en las aplicaciones falta de registros de monitoreo en los perfiles de usuario 4 4 16
RP-162 Riesgo-285 Falla en las aplicaciones No se revisa los privilegios asignados a los usuarios 4 4 16
RP-163 Riesgo-286 Falla en las aplicaciones control de cambio inadecuado 4 4 16
RP-164 Riesgo-287 Falla en las aplicaciones No realizar pruebas de intrusión 4 4 16
Incumplimiento en el
mantenimiento del 16
RP-165 Riesgo-288 sistema de información Carencia de ensayos de software 4 4
Copia fraudulenta del
16
RP-166 Riesgo-289 software Documentación pobre de software 4 4
Falta de procedimiento de prevención frente a un ataque de
Virus/ Malware 4 5 20
RP-167 Riesgo-309 software malicioso
Disco duro externo wster digital
Fallas internas de los
Inadecuada protección al equipo 4 4 16
RP-168 Riesgo-310 equipos
No eliminar el acceso a los sistemas de información, al personal
Equipo de control de asistencia falsificación de derechos 4 4 16
RP-169 Riesgo-312 que no labora
Fallas internas de los
Accesorios de Informatica - Switches Inadecuada protección al equipo 4 4 16
RP-170 Riesgo-316 equipos
Fallas internas de los
Inadeacuada protección al equipo 4 4 16
RP-171 Riesgo-319 Switch dlink DES 1210 19" para telefonía equipos
RP-172 Riesgo-321 Falla en telefonía Falta de protección en las redes públicas 4 4 16
No eliminar el acceso a los sistemas de información, al personal
Fallas de servidores 4 4 16
RP-173 Riesgo-326 que no labora
Software control de asistencia No eliminar el acceso a los sistemas de información, al personal
Fallas en las aplicaciones 4 4 16
RP-174 Riesgo-327 Premium que no labora
No eliminar el acceso a los sistemas de información, al personal
Falla en la base de datos 4 4 16
RP-175 Riesgo-328 que no labora
Helpdesk (Servicio de soporte y Uso no autorizado del
16
RP-176 Riesgo-337 mantenimiento) equipo Falta de políticas para el mantenimiento de los dispositivos 4 4
Falla en el suministro de
Estabilizador - UPS TRIPP SmathOnLine
agua o de aire Inadecuada protección en los equipos 16
servidores
RP-177 Riesgo-345 acondicionado 4 4
Falla en el suministro de
Grupo Electrógeno - Transformador de agua o de aire Iandecuada protección en los equipos 16
RP-178 Riesgo-347 aislamiento de 12 KVA flash power acondicionado 4 4

133
 Anexo 19: Estrategias de Riesgo y Controles definidos

Aspecto de analisis Plan de tratamiento de riesgo con la norma ISO 27002:2013 Código de análisis 2017PTR01
Empresa de estudio Unión Peruana del Norte Empresa a Cargo System Auditors
Samuel Gavidia Mamani
Area de estudio Área de tecnología de información (TI) Encargado
Luis Daniel Torres Torres
Estrategia del
Probabilidad Tipo de Dominio Controles del
Código Riesgo (Transferir,
Codigo plan Activo Amenaza Vulnerabilidad Ocurrencia Impacto Valor seguridad de la Iso dominio de la
Riesgo Evadir, Reducir y
(PO) (S.F y S.L) 27002 iso 27002
Aceptar)

Carencia de mecanismos que aseguren el envio y

PTR-01 Riesgo-51 Red y conectividad Espionaje remoto 4 5 20 SL Aceptar
recepción de mensajes

No eliminar el acceso a los sistemas de información, al

PTR-02 Riesgo-01 Base de Datos Pérdida de datos 4 5 20 SL 9 Reducir 9.2.2
personal que no labora

PTR-03 Riesgo-02 Base de Datos Pérdida de datos Falta de evaluaciones para detectar vulnerabilidades 4 5 20 SL 12 Reducir 12.6.1

PTR-04 Riesgo-03 Base de Datos Pérdida de datos Password sin modificarse 4 5 20 SL 9 Reducir 9.4.3

PTR-05 Riesgo-05 Copia de respaldo de base de datos Virus/ Malware No realizar una copia de respaldo (Back - Up) 4 5 20 SL 12 Reducir 12.3.1

PTR-06 Riesgo-06 Copia de respaldo de base de datos Hacking No realizar una copia de respaldo (Back - Up) 4 5 20 SL 12 Reducir 12.3.1

PTR-07 Riesgo-07 Copia de respaldo de base de datos Hacking Carencia de copia de respaldo (Back - Up) en la nube 4 5 20 SL 12 Reducir 12.3.1

PTR-08 Riesgo-10 Copia de respaldo de Software Virus/ Malware No realizar una copia de respaldo (Back - Up) 4 5 20 SL 12 Reducir 12.3.1

PTR-09 Riesgo-11 Copia de respaldo de Software Hacking Carencia de copia de respaldo (Back - Up) en la nube 4 5 20 SL 12 Reducir 12.3.1

PTR-10 Riesgo-12 Copia de respaldo de Software Hacking No realizar una copia de respaldo (Back - Up) 4 5 20 SL 12 Reducir 12.3.1

PTR-11 Riesgo-15 CPU - Servidor de correo Hacking Falta de políticas para el control de acceso 4 5 20 SL 9 Reducir 9.1.1
PTR-12 Riesgo-16 CPU - Servidor de correo Hacking No realizar pruebas de intrusión 4 5 20 SL Aceptar

Carencia de mecanismos que aseguren el envio y

PTR-13 Riesgo-17 CPU - Servidor de correo Hacking 4 5 20 SL Aceptar
recepción de mensajes
Validación de usuario por perfil (Autenticación
PTR-14 Riesgo-18 CPU - Servidor de correo Hacking 4 5 20 SL 9 Reducir 9.4.2
Inadecuada)
PTR-15 Riesgo-19 CPU - Servidor de correo Fallas de red No realizar pruebas de intrusión 4 5 20 SL Aceptar
Carencia de mecanismos que aseguren el envio y
PTR-16 Riesgo-20 CPU - Servidor de correo Fallas de red 4 5 20 SL Aceptar
recepción de mensajes
PTR-17 Riesgo-34 CPU - Centro de datos Hacking No realizar pruebas de intrusión 4 5 20 SL Aceptar
PTR-18 Riesgo-35 CPU - Centro de datos Hacking Falta de políticas para el control de acceso logico 4 5 20 SL 9 Reducir 9.1.1
Validación de usuario por perfil (Autenticación
PTR-19 Riesgo-36 CPU - Centro de datos Hacking 4 5 20 SL 9 Reducir 9.4.2
Inadecuada)
PTR-20 Riesgo-52 Red y conectividad Fallas de red Falta de Protección en las redes publicas 4 5 20 SL Aceptar
PTR-21 Riesgo-53 Red y conectividad Fallas de red No realizar pruebas de intrusión 4 5 20 SL Aceptar
PTR-22 Riesgo-54 Red y conectividad Espionaje remoto Falta de políticas para el control de acceso 4 5 20 SL 9 Reducir 9.1.1
PTR-23 Riesgo-55 Red y conectividad Espionaje remoto Falta de Protección en las redes publicas 4 5 20 SL Aceptar
PTR-24 Riesgo-56 Red y conectividad Espionaje remoto No realizar pruebas de intrusión 4 5 20 SL Aceptar
PTR-25 Riesgo-57 Red y conectividad Virus/ Malware Falta de Protección en las redes publicas 4 5 20 SL Aceptar
PTR-26 Riesgo-58 Red y conectividad Virus/ Malware Información no encriptada 4 5 20 SL Transferir
PTR-27 Riesgo-59 Red y conectividad Virus/ Malware políticas incompletas para el uso de criptografía 4 5 20 SL Transferir
Falta de procedimiento de prevención frente a un ataque
PTR-28 Riesgo-309 Disco duro externo wster digital Virus/ Malware 4 5 20 SL 12 Reducir 12.2.1
de software malicioso
PTR-29 Riesgo-08 Copia de respaldo de base de datos Falla en la base de datos No realizar una copia de respaldo (Back - Up) 4 5 20 SL 12 Reducir 12.3.1
PTR-30 Riesgo-09 Copia de respaldo de base de datos Falla en la base de datos Carencia de copia de respaldo (Back - Up) en la nube 4 5 20 SL 12 Reducir 12.3.1
Servidores Dell Poweredge R630 - Base de
PTR-31 Riesgo-82 Perdida de Datos Password sin modificarse 4 5 20 SL 9 Reducir 9.4.3
Datos
Servidores Dell Poweredge R630 - Base de
PTR-32 Riesgo-83 Perdida de Datos Carencia de validación de datos procesados 4 5 20 SL 12 Reducir 12.7.1
Datos
No tener cifrada la información almacenada en la
PTR-33 Riesgo-97 Perdida de Datos 4 5 20 SL Transferir
Servidores Dell Poweredge R630 - Archivos organización
No tener cifrada la información almacenada en la
PTR-34 Riesgo-98 Espionaje remoto 4 5 20 SL Transferir
Servidores Dell Poweredge R630 - Archivos organización
PTR-35 Riesgo-112 Servidores Dell Poweredge R230 - Firewall Fallas de red No realizar pruebas de intrusión 4 5 20 SL Aceptar
PTR-36 Riesgo-113 Servidores Dell Poweredge R230 - Firewall Fallas de red Falta de Protección en las redes publicas 4 5 20 SL Aceptar
PTR-37 Riesgo-114 Servidores Dell Poweredge R230 - Firewall Hacking Falta de Proteccón en las redes publicas 4 5 20 SL Aceptar
PTR-38 Riesgo-115 Servidores Dell Poweredge R230 - Firewall Hacking Falta de politicas para el control de acceso 4 5 20 SL 9 Reducir 9.1.1

134
 Switches Dell networking N3048P (Corp -
PTR-39 Riesgo-119 Hacking 20 SL Aceptar
Principal) No realizar pruebas de intrusión 4 5

PTR-40 Riesgo-120 Switches Dell networking N3048P (Corp - Hacking 20 SL Aceptar

Principal) Falta de protección en las redes públicas 4 5

PTR-41 Riesgo-123 Switches Dell networking N3048P (Corp - Espionaje remoto 20 SL Aceptar
Principal) No realizar pruebas de intrusión 4 5

PTR-42 Riesgo-124 Switches Dell networking N3048P (Corp - Espionaje remoto 20 SL Aceptar
Principal) Falta de protección en las redes públicas 4 5
Switches Dell networking N3048P (Corp -
PTR-43 Riesgo-125 Fallas de red 20 SL Aceptar
Principal) Falta de protección en las redes públicas 4 5
Servidores Dell Poweredge R230 -
PTR-44 Riesgo-222 Espionaje remoto 20 SL Aceptar
DHCP(Navegación) Falta de pruebas de intrusion 4 5

PTR-45 Riesgo-223 Servidores Dell Poweredge R230 - Espionaje remoto 20 SL Aceptar

DHCP(Navegación) Falta de filtrado de red en dispositivos de usuario final 4 5

PTR-46 Riesgo-224 Servidores Dell Poweredge R230 - Fallas de red 20 SL Aceptar

DHCP(Navegación) Falta de pruebas de intrusion 4 5

PTR-47 Riesgo-238 Hacking 20 SL Aceptar

Servidores Dell Poweredge R230 - WEB Falta de protección en las redes públicas 4 5

PTR-48 Riesgo-239 Espionaje remoto 20 SL Aceptar

Servidores Dell Poweredge R230 - WEB Falta de filtrado de red en dispositivos de usuario final 4 5
PTR-49 Riesgo-21 CPU - Servidor de correo Fallas de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
PTR-50 Riesgo-22 CPU - Servidor de correo Fallas de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
Falta de controles de acceso físico a las áreas de la
PTR-51 Riesgo-23 CPU - Servidor de correo Fallas de servidores 4 4 16 SF 11 Reducir 11.1.2
organización para la seguridad de la información.
Falla en el suministro de
PTR-52 Riesgo-24 CPU - Servidor de correo agua o de aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
acondicionado
PTR-53 Riesgo-37 CPU - Centro de datos Fallas de red No realizar pruebas de intrusión 4 4 16 SL Aceptar
PTR-54 Riesgo-38 CPU - Centro de datos Fallas de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
PTR-55 Riesgo-39 CPU - Centro de datos Fallas de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
Falta de controles de acceso físico a las áreas de la
PTR-56 Riesgo-40 CPU - Centro de datos Fallas de servidores 4 4 16 SF 11 Reducir 11.1.2
organización para la seguridad de la información.
Falla en el suministro de
PTR-57 Riesgo-41 CPU - Centro de datos agua o de aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
acondicionado

PTR-58 Riesgo-60 Red y conectividad Fallas de red Falta de filtrado de red en dispositivos de usuario final 4 4 16 SL Aceptar

PTR-59 Riesgo-61 Red y conectividad Espionaje remoto Falta de filtrado de red en dispositivos de usuario final 4 4 16 SL Aceptar

PTR-60 Riesgo-62 Red y conectividad Espionaje remoto Información no encriptada 4 4 16 SL Transferir

PTR-61 Riesgo-63 Red y conectividad Espionaje remoto políticas incompletas para el uso de criptografía 4 4 16 SL Transferir

No eliminar el acceso a los sistemas de información, al

PTR-62 Riesgo-126 Jefe de TI falsificación de derechos 4 4 16 SL 9 Reducir 9.2.2
personal que no labora

PTR-63 Riesgo-127 Jefe de TI falsificación de derechos No tener una identificación visible en la organización 4 4 16 SF 11 Reducir 11.1.2

PTR-64 Riesgo-128 Jefe de TI falsificación de derechos No se revisa los privilegios asignados a los usuarios 4 4 16 SL 9 Reducir 9.2.5

PTR-65 Riesgo-129 Jefe de TI Pérdida de personal clave Incumplimiento del contrato 4 4 16 SF Evadir

Analista de Sistemas académicos y No eliminar el acceso a los sistemas de información, al

PTR-66 Riesgo-130 falsificación de derechos 4 4 16 SL 9 Reducir 9.2.2
Gerenciales personal que no labora

Analista de Sistemas académicos y

PTR-67 Riesgo-131 falsificación de derechos No tener una identificación visible en la organización 4 4 16 SF 11 Reducir 11.1.2
Gerenciales
Analista de Sistemas académicos y
PTR-68 Riesgo-132 falsificación de derechos No se revisa los privilegios asignados a los usuarios 4 4 16 SL 9 Reducir 9.2.5
Gerenciales
Falla en el sistema de
Servidor Pack cable HP Proliant DL 160 GB
PTR-69 Riesgo-133 suministros de agua o aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
Intel
acondicionado

135
 Servidor Pack cable HP Proliant DL 160 GB Falta de políticas para el mantenimiento de los
PTR-70 Riesgo-134 Falla de servidores 4 4 16 SF 11 Reducir 11.2.4
Intel dispositivos
Servidor Pack cable HP Proliant DL 160 GB
PTR-71 Riesgo-135 Falla de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
Intel
Servidor Pack cable HP Proliant DL 160 GB
PTR-72 Riesgo-136 Falla de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
Intel
Servidor Pack cable HP Proliant DL 160 GB Falta de controles de acceso físico a las áreas de la
PTR-73 Riesgo-137 Falla de servidores 4 4 16 SF 11 Reducir 11.1.2
Intel organización para la seguridad de la información.

Falla en el sistema de
Servidor HP Proliant DL 120GB 6 Intel XEON
PTR-74 Riesgo-146 suministros de agua o aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
343
acondicionado

Servidor HP Proliant DL 120GB 6 Intel XEON Falta de políticas para el mantenimiento de los
PTR-75 Riesgo-147 Falla de servidores 4 4 16 SF 11 Reducir 11.2.4
344 dispositivos
Servidor HP Proliant DL 120GB 6 Intel XEON
PTR-76 Riesgo-148 Falla de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
345
Servidor HP Proliant DL 120GB 6 Intel XEON
PTR-77 Riesgo-149 Falla de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
346
Servidor HP Proliant DL 120GB 6 Intel XEON Falta de controles de acceso físico a las áreas de la
PTR-78 Riesgo-150 Falla de servidores 4 4 16 SF 11 Reducir 11.1.2
347 organización para la seguridad de la información.
PTR-79 Riesgo-159 CPU - Servidor central telefónica Falla en telefonía Falta de Protección en las redes publicas 4 4 16 SL Aceptar
PTR-80 Riesgo-160 CPU - Servidor central telefónica Fallas de red Falta de Protección en las redes publicas 4 4 16 SL Aceptar

Falla en el sistema de
PTR-81 Riesgo-161 CPU - Servidor central telefónica suministros de agua o aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
acondicionado

Falta de políticas para el mantenimiento de los

PTR-82 Riesgo-162 CPU - Servidor central telefónica Falla de servidores 4 4 16 SF 11 Reducir 11.2.4
dispositivos
PTR-83 Riesgo-163 CPU - Servidor central telefónica Falla de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
PTR-84 Riesgo-164 CPU - Servidor central telefónica Falla de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
Falta de controles de acceso físico a las áreas de la
PTR-85 Riesgo-165 CPU - Servidor central telefónica Falla de servidores 4 4 16 SF 11 Reducir 11.1.2
organización para la seguridad de la información.
Fallas internas de los Falta de políticas para el mantenimiento de los
PTR-86 Riesgo-174 Laptop Dell Tes. Asistente oper. 4 4 16 SF 11 Reducir 11.2.4
equipos dispositivos
Fallas internas de los Falta de controles de acceso físico a las áreas de la
PTR-87 Riesgo-175 Laptop Dell Tes. Asistente oper. 4 4 16 SF 11 Reducir 11.1.2
equipos organización para la seguridad de la información.
Falta de procedimiento de prevención frente a un ataque
PTR-88 Riesgo-176 Laptop Dell Tes. Asistente oper. Virus/ Malware 4 4 16 SL 12 Reducir 12.2.1
de software malicioso
Fallas internas de los Falta de políticas para el mantenimiento de los
PTR-89 Riesgo-181 Notebook DELL serie 3000 14" i5 4 4 16 SF 11 Reducir 11.2.4
equipos dispositivos

Fallas internas de los Falta de controles de acceso físico a las áreas de la

PTR-90 Riesgo-182 Notebook DELL serie 3000 14" i6 4 4 16 SF 11 Reducir 11.1.2
equipos organización para la seguridad de la información.

Falta de procedimiento de prevención frente a un ataque

PTR-91 Riesgo-183 Notebook DELL serie 3000 14" i7 Virus/ Malware 4 4 16 SL 12 Reducir 12.2.1
de software malicioso

fallas internas de los Falta de políticas para el mantenimiento de los

PTR-92 Riesgo-188 Laptop Mac Book 4 4 16 SF 11 Reducir 11.2.4
equipos dispositivos

fallas internas de los Falta de controles de acceso físico a las áreas de la

PTR-93 Riesgo-189 Laptop Mac Book 4 4 16 SF 11 Reducir 11.1.2
equipos organización para la seguridad de la información.
Falta de procedimiento de prevención frente a un ataque
PTR-94 Riesgo-190 Laptop Mac Book Virus/ Malware 4 4 16 SL 12 Reducir 12.2.1
de software malicioso
Laptop Latitude 5470 - i5 8 GB 1 TB HD - 126 Fallas internas de los Falta de políticas para el mantenimiento de los
PTR-95 Riesgo-195 4 4 16 SF 11 Reducir 11.2.4
VZF2 equipos dispositivos
Laptop Latitude 5470 - i5 8 GB 1 TB HD - 126 Fallas internas de los Falta de controles de acceso físico a las áreas de la
PTR-96 Riesgo-196 4 4 16 SF 11 Reducir 11.1.2
VZF3 equipos organización para la seguridad de la información.
Laptop Latitude 5470 - i5 8 GB 1 TB HD - 126 Falta de procedimiento de prevención frente a un ataque
PTR-97 Riesgo-197 Virus/ Malware 4 4 16 SL 12 Reducir 12.2.1
VZF4 de software malicioso
fallas internas de los Falta de políticas para el mantenimiento de los
PTR-98 Riesgo-202 2 Laptop Latitude E5470 - I7 16 GB 1 TB FHD 4 4 16 SF 11 Reducir 11.2.4
equipos dispositivos

fallas internas de los Falta de controles de acceso físico a las áreas de la

PTR-99 Riesgo-203 2 Laptop Latitude E5470 - I7 16 GB 1 TB FHD 4 4 16 SF 11 Reducir 11.1.2
equipos organización para la seguridad de la información.

Falta de procedimiento de prevención frente a un ataque

PTR-100 Riesgo-204 2 Laptop Latitude E5470 - I7 16 GB 1 TB FHD Virus/ Malware 4 4 16 SL 12 Reducir 12.2.1
de software malicioso

136
 Falla en el sistema de
Servidores Dell Poweredge R630 - Base de
PTR-101 Riesgo-69 suministros de agua o aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
Datos
acondicionado
Servidores Dell Poweredge R630 - Base de faltas de políticas para el mantenimiento de los
PTR-102 Riesgo-70 Falla de servidores 4 4 16 SF 11 Reducir 11.2.4
Datos dispositivos
Servidores Dell Poweredge R630 - Base de
PTR-103 Riesgo-71 Falla de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
Datos
Servidores Dell Poweredge R630 - Base de
PTR-104 Riesgo-72 Falla de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
Datos
Servidores Dell Poweredge R630 - Base de Falta de controles de acceso físico a las áreas de la
PTR-105 Riesgo-73 Falla de servidores 4 4 16 SF 11 Reducir 11.1.2
Datos organización para la seguridad de la información.
Falla en el sistema de
PTR-106 Riesgo-84 suministros de agua o aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
Servidores Dell Poweredge R630 - Archivos acondicionado
faltas de políticas para el mantenimiento de los
PTR-107 Riesgo-85 Falla de servidores 4 4 16 SF 11 Reducir 11.2.4
Servidores Dell Poweredge R630 - Archivos dispositivos
PTR-108 Riesgo-86 Servidores Dell Poweredge R630 - Archivos Falla de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
PTR-109 Riesgo-87 Servidores Dell Poweredge R630 - Archivos Falla de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
Falta de controles de acceso físico a las áreas de la
PTR-110 Riesgo-88 Falla de servidores 4 4 16 SF 11 Reducir 11.1.2
Servidores Dell Poweredge R630 - Archivos organización para la seguridad de la información.
Falla en el sistema de
PTR-111 Riesgo-99 Servidores Dell Poweredge R230 - Firewall suministros de agua o aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
acondicionado
faltas de políticas para el mantenimiento de los
PTR-112 Riesgo-100 Servidores Dell Poweredge R230 - Firewall Falla de servidores 4 4 16 SF 11 Reducir 11.2.4
dispositivos
PTR-113 Riesgo-101 Servidores Dell Poweredge R230 - Firewall Falla de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
PTR-114 Riesgo-102 Servidores Dell Poweredge R230 - Firewall Falla de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
Falta de controles de acceso físico a las áreas de la
PTR-115 Riesgo-103 Servidores Dell Poweredge R230 - Firewall Falla de servidores 4 4 16 SF 11 Reducir 11.1.2
organización para la seguridad de la información.
Falla en el sistema de
Servidores Dell Poweredge R230 -
PTR-116 Riesgo-209 suministros de agua o aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
DHCP(Navegación)
acondicionado
Servidores Dell Poweredge R230 - faltas de políticas para el mantenimiento de los
PTR-117 Riesgo-210 Falla de servidores 4 4 16 SF 11 Reducir 11.2.4
DHCP(Navegación) dispositivos
Servidores Dell Poweredge R230 -
PTR-118 Riesgo-211 Falla de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
DHCP(Navegación)
Servidores Dell Poweredge R230 -
PTR-119 Riesgo-212 Falla de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
DHCP(Navegación)
Servidores Dell Poweredge R230 - Falta de controles de acceso físico a las áreas de la
PTR-120 Riesgo-213 Falla de servidores 4 4 16 SF 11 Reducir 11.1.2
DHCP(Navegación) organización para la seguridad de la información.
Falla en el sistema de
PTR-121 Riesgo-225 suministros de agua o aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
Servidores Dell Poweredge R230 - WEB acondicionado
Falta de políticas para el mantenimiento de los
PTR-122 Riesgo-226 Falla de servidores 4 4 16 SF 11 Reducir 11.2.4
Servidores Dell Poweredge R230 - WEB dispositivos
PTR-123 Riesgo-227 Servidores Dell Poweredge R230 - WEB Falla de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
PTR-124 Riesgo-228 Servidores Dell Poweredge R230 - WEB Falla de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
Falta de controles de acceso físico a las áreas de la
PTR-125 Riesgo-229 Falla de servidores 4 4 16 SF 11 Reducir 11.1.2
Servidores Dell Poweredge R230 - WEB organización para la seguridad de la información.
Fallas internas de los
PTR-126 Riesgo-253 Caramas de video vigilancia Protección inapropiada en los almacenes 4 4 16 SF Evadir
equipos
Falla en el sistema de
Servidor Redundante - Dell poweredge Intel
PTR-127 Riesgo-240 suministros de agua o aire Protección inapropiada en los almacenes 4 4 16 SF Transferir
xeon y DELL power Intel
acondicionado
Servidor Redundante - Dell poweredge Intel faltas de políticas para el mantenimiento de los
PTR-128 Riesgo-241 Falla de servidores 4 4 16 SF 11 Reducir 11.2.4
xeon y DELL power Intel dispositivos
Servidor Redundante - Dell poweredge Intel
PTR-129 Riesgo-242 Falla de servidores Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
xeon y DELL power Intel
Servidor Redundante - Dell poweredge Intel
PTR-130 Riesgo-243 Falla de servidores Protección inapropiada en los almacenes 4 4 16 SF Evadir
xeon y DELL power Intel

Servidor Redundante - Dell poweredge Intel Falta de controles de acceso físico a las áreas de la
PTR-131 Riesgo-244 Falla de servidores 4 4 16 SF 11 Reducir 11.1.2
xeon y DELL power Intel organización para la seguridad de la información.
Crisis Financiera
PTR-132 Riesgo-255 Licencia de Antivirus Gdata versión 2017 Falta de recursos económicos 4 4 16 SF Aceptar
(presupuesto)

137
 Sistema DSA, Gerencial y Academico - Unión
PTR-133 Riesgo-256 Virus/ Malware Passwords débiles 4 4 16 SL 9 Reducir 9.4.3
Peruana del Norte(UPN)

Sistema DSA, Gerencial y Academico - Unión

PTR-134 Riesgo-257 Virus/ Malware Password sin modificarse 4 4 16 SL 9 Reducir 9.4.3
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-135 Riesgo-258 Virus/ Malware Falta de evaluaciones para detectar vulnerabilidades 4 4 16 SL 12 Reducir 12.6.1
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-136 Riesgo-259 Hacking Passwords débiles 4 4 16 SL 9 Reducir 9.4.3
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-137 Riesgo-260 Hacking password sin modificarse 4 4 16 SL 9 Reducir 9.4.3
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-138 Riesgo-261 Hacking Falta de políticas para el control de acceso 4 4 16 SL 9 Reducir 9.1.1
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión Validación de usuario por perfil (Autenticación
PTR-139 Riesgo-262 Hacking 4 4 16 SL 9 Reducir 9.4.2
Peruana del Norte(UPN) Inadecuada)
Sistema DSA, Gerencial y Academico - Unión No eliminar el acceso a los sistemas de información, al
PTR-140 Riesgo-263 Hacking 4 4 16 SL 9 Reducir 9.2.2
Peruana del Norte(UPN) personal que no labora
Sistema DSA, Gerencial y Academico - Unión
PTR-141 Riesgo-264 Hacking Falta de evaluaciones para detectar vulnerabilidades 4 4 16 SL 12 Reducir 12.6.1
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-142 Riesgo-265 Hacking No realizar una copia de respaldo (Back - Up) 4 4 16 SL 12 Reducir 12.3.1
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-143 Riesgo-266 Hacking políticas incompletas para el uso de criptografía 4 4 16 SL Transferir
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-144 Riesgo-267 Hacking Carencia de copia de respaldo (Back - Up) en la nube 4 4 16 SL 12 Reducir 12.3.1
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-145 Riesgo-268 Hacking falta de Protección criptográficas 4 4 16 SL Transferir
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-146 Riesgo-269 Hacking Falta de filtrado de red en dispositivos de usuario final 4 4 16 SL Aceptar
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-147 Riesgo-270 Hacking Falta de Autenticación en las aplicaciones 4 4 16 SL 9 Reducir 9.4.2
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-148 Riesgo-271 Hacking falta de registros de monitoreo en los perfiles de usuario 4 4 16 SL 9 Reducir 9.2.5
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-149 Riesgo-272 Hacking No se revisa los privilegios asignados a los usuarios 4 4 16 SL 9 Reducir 9.2.5
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-150 Riesgo-273 Hacking No realizar pruebas de intrusión 4 4 16 SL Aceptar
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión Validación de usuario por perfil (Autenticación
PTR-151 Riesgo-274 Fallas de red 4 4 16 SL 9 Reducir 9.4.2
Peruana del Norte(UPN) Inadecuada)
Sistema DSA, Gerencial y Academico - Unión
PTR-152 Riesgo-275 Fallas de red Falta de filtrado de red en dispositivos de usuario final 4 4 16 SL Aceptar
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión Validación de usuario por perfil (Autenticación
PTR-153 Riesgo-276 Fallas de servidores 4 4 16 SL 9 Reducir 9.4.2
Peruana del Norte(UPN) Inadecuada)
Sistema DSA, Gerencial y Academico - Unión No eliminar el acceso a los sistemas de información, al
PTR-154 Riesgo-277 Fallas de servidores 4 4 16 SL 9 Reducir 9.2.2
Peruana del Norte(UPN) personal que no labora
Sistema DSA, Gerencial y Academico - Unión Validación de usuario por perfil (Autenticación
PTR-155 Riesgo-278 Falla en las aplicaciones 4 4 16 SL 9 Reducir 9.4.2
Peruana del Norte(UPN) Inadecuada)
Sistema DSA, Gerencial y Academico - Unión No eliminar el acceso a los sistemas de información, al
PTR-156 Riesgo-279 Falla en las aplicaciones 4 4 16 SL 9 Reducir 9.2.2
Peruana del Norte(UPN) personal que no labora
Sistema DSA, Gerencial y Academico - Unión
PTR-157 Riesgo-280 Falla en las aplicaciones Carencia de validación de datos procesados 4 4 16 SL 12 Reducir 12.7.1
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-158 Riesgo-281 Falla en las aplicaciones Falta de politicas para el desarrollo seguro 4 4 16 SL 14 Reducir 14.2.1
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-159 Riesgo-282 Falla en las aplicaciones Falta de filtrado de red en dispositivos de usuario final 4 4 16 SL Aceptar
Peruana del Norte(UPN)

138
 Sistema DSA, Gerencial y Academico - Unión
PTR-160 Riesgo-283 Falla en las aplicaciones Falta de Autenticación en las aplicaciones 4 4 16 SL 9 Reducir 9.4.2
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-161 Riesgo-284 Falla en las aplicaciones falta de registros de monitoreo en los perfiles de usuario 4 4 16 SL 9 Reducir 9.2.5
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-162 Riesgo-285 Falla en las aplicaciones No se revisa los privilegios asignados a los usuarios 4 4 16 SL 9 Reducir 9.2.5
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-163 Riesgo-286 Falla en las aplicaciones control de cambio inadecuado 4 4 16 SL 14 Reducir 14.2.2
Peruana del Norte(UPN)
Sistema DSA, Gerencial y Academico - Unión
PTR-164 Riesgo-287 Falla en las aplicaciones No realizar pruebas de intrusión 4 4 16 SL Aceptar
Peruana del Norte(UPN)
Incumplimiento en el
Sistema DSA, Gerencial y Academico - Unión
PTR-165 Riesgo-288 mantenimiento del sistema Carencia de ensayos de software 4 4 16 SL 14 Reducir 14.2.8
Peruana del Norte(UPN)
de información
Sistema DSA, Gerencial y Academico - Unión Copia fraudulenta del
PTR-166 Riesgo-289 Documentación pobre de software 4 4 16 SL 14 Reducir 14.2.2
Peruana del Norte(UPN) software

Fallas internas de los

PTR-167 Riesgo-310 Disco duro externo wster digital Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
equipos

No eliminar el acceso a los sistemas de información, al

PTR-168 Riesgo-312 Equipo de control de asistencia falsificación de derechos 4 4 16 SL 9 Reducir 9.2.2
personal que no labora

Fallas internas de los

PTR-169 Riesgo-316 Accesorios de Informatica - Switches Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
equipos

Fallas internas de los

PTR-170 Riesgo-319 Switch dlink DES 1210 19" para telefonía Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
equipos
PTR-171 Riesgo-321 Switch dlink DES 1210 19" para telefonía Falla en telefonía Falta de protección en las redes públicas 4 4 16 SL Aceptar
Switches Dell networking N3048P (Corp - Fallas internas de los
PTR-172 Riesgo-117 Inadecuada protección al equipo 4 4 16 SF 11 Reducir 11.2.1
Principal) equipos
No eliminar el acceso a los sistemas de información, al
PTR-173 Riesgo-326 Software control de asistencia Premium Fallas de servidores 4 4 16 SL 9 Reducir 9.2.2
personal que no labora
No eliminar el acceso a los sistemas de información, al
PTR-174 Riesgo-327 Software control de asistencia Premium Fallas en las aplicaciones 4 4 16 SL 9 Reducir 9.2.2
personal que no labora
No eliminar el acceso a los sistemas de información, al
PTR-175 Riesgo-328 Software control de asistencia Premium Falla en la base de datos 4 4 16 SL 9 Reducir 9.2.2
personal que no labora
Helpdesk (Servicio de soporte y Uso no autorizado del Falta de políticas para el mantenimiento de los
PTR-176 Riesgo-337 4 4 16 SF 11 Reducir 11.2.4
mantenimiento) equipo dispositivos
Falla en el suministro de
Estabilizador - UPS TRIPP SmathOnLine
PTR-177 Riesgo-345 agua o de aire Inadecuada protección en los equipos SF Transferir
servidores
acondicionado 4 4 16

Grupo Electrógeno - Transformador de Falla en el suministro de

PTR-178 Riesgo-347 Inadecuada protección en los equipos SF Transferir
aislamiento de 12 KVA flash power agua o de aire
acondicionado 4 4 16

139
Anexo 20: Documento relacionado a la estrategia de riesgo Transferir, en conjunto con las
políticas de criptografía

140
141
142
Anexo 21: Documento relacionado a la estrategia de riesgo aceptar, en conjunto con las
políticas de Seguridad de las comunicaciones.

143
144
145
Anexo 22: Documento de Plan de Tratamiento de riesgo con la norma ISO/IEC 27002

146
147
148
149
150
151
152
153
154
155
Anexo 23: Manual de Políticas de Seguridad de la Información

156
157
158
159
160
161
162
163
164
165
166
167
168
Anexo 24: Manual de Política de Control de Acceso Lógico

169
170
171
172
Anexo 25: Procedimiento para la Gestión de Vulnerabilidades

173
174
175
176
177
Anexo 26: Procedimientos para la protección contra el código malicioso

178
179
180
181
182
Anexo 27: Procedimiento seguro sobre la gestión de acceso de usuarios

183
184
185
186
187
188
Anexo 28: Procedimiento para el seguro inicio de sesión a los Sistemas

189
190
191
192
193
 Anexo 29: Inventariado de Activos

INVENTARIADO DE ACTIVOS
Atributos de Valor
Grupo de Activo Código Nombre del Activo Descripcion del activo Propietario Custodio Técnico Tipo de Activo Acceso Ubicación
Clasificación C I D
Equipos portátiles (Laptops y 1 Notebook Dell serie 3000 14” Core i5 Ing. Carlos Saavedra (Jefe
Notebook) 1 Laptop Mac book de TI)
Hardware AF01 Cantidad: 5 1 Laptop Latitude 5470 – i5 8 GB 1 TB HD Área de TI Amelio Apaza
Hardware (Activo Lectura, Consulta,
Área de TI (3er piso) ACL2,ACL3,ACL4 Alta Alta Muy Alta
Equipos portátiles Físico) Escritura
2 Laptops Latitude E5470 – i7 16 GB 1 TB FHD Janeth Tenorio
Fernando Lazo

Ing. Carlos Saavedra (Jefe Hardware (Activo Lectura, Consulta, Sede – Data Center ACL1,ACL2,ACL3,AC
AF02 CPU – Servidor Servidor de correo Power edge R720 Área de TI Muy Alta Muy Alta Muy Alta
de TI) Físico) Escritura Sótano L4
Ing. Carlos Saavedra (Jefe Hardware (Activo Lectura, Consulta, Sede – Data Center ACL1,ACL2,ACL3,AC
AF03 CPU – Centro de Datos Server HP Proliant DL 4 Core 2.4 GZ free BSD Área de TI Muy Alta Muy Alta Muy Alta
de TI) Físico) Escritura Sótano L4
Ing. Carlos Saavedra (Jefe Hardware (Activo Lectura, Consulta, Sede – Data Center ACL1,ACL2,ACL3,AC
AF04 Servidor de Base de datos Servidor Dell Poweredge R630 Área de TI Muy Alta Muy Alta Muy Alta
de TI) Físico) Escritura Sótano L4
Ing. Carlos Saavedra (Jefe Hardware (Activo Lectura, Consulta, Sede – Data Center
AF05 Servidor de Archivos Servidor Dell Poweredge R630 Área de TI ACL2,ACL3,ACL4 Muy Alta Muy Alta Muy Alta
de TI) Físico) Escritura Sótano
Ing. Carlos Saavedra (Jefe Hardware (Activo Lectura, Consulta, Sede – Data Center ACL1,ACL2,ACL3,AC
AF06 Servidor Firewall Servidor Dell Poweredge R230 Área de TI Muy Alta Muy Alta Muy Alta
de TI) Físico) Escritura Sótano L4
Servidor
Ing. Carlos Saavedra (Jefe Hardware (Activo Sede – Data Center
Hardware AF07 Cantidad: 2 2 Servidores Packcable HP Proliant DL 160 GB Intel Área de TI
de TI) Físico)
Lectura, Consulta
Sótano
ACL2,ACL3,ACL4 Alta Alta Muy Alta
Equipos Fijos
Servidores Ing. Carlos Saavedra (Jefe Hardware (Activo Sede – Data Center
AF08 Servidor Servidor HP Proliant DL 120 GB 6 Intel XEON 343 Área de TI Lectura, Consulta ACL2,ACL3,ACL4 Alta Alta Muy Alta
de TI) Físico) Sótano
Ing. Carlos Saavedra (Jefe Hardware (Activo Sede – Data Center
AF09 CPU - Servidor Servidor Central Telefónica Área de TI Lectura, Consulta ACL2,ACL3,ACL4 Alta Alta Muy Alta
de TI) Físico) Sótano
Ing. Carlos Saavedra (Jefe Hardware (Activo Lectura, Consulta, Sede – Data Center
AF10 Servidor DHCP Servidor Dell Poweredge R230 Área de TI ACL2,ACL3,ACL4 Alta Alta Muy Alta
de TI) Físico) Escritura Sótano
Ing. Carlos Saavedra (Jefe Hardware (Activo Lectura, Consulta, Sede – Data Center
AF11 Servidor Web Servidor Dell Poweredge R230 Área de TI ACL2,ACL3,ACL4 Alta Alta Muy Alta
de TI) Físico) Escritura Sótano
Ing. Carlos Saavedra (Jefe Hardware (Activo Sede – Data Center
AF12 Servidor Redundante Servidor Dell Poweredge Intel xeon Área de TI Lectura, Consulta ACL2,ACL3,ACL4 Alta Alta Muy Alta
de TI) Físico) Sótano
Ing. Carlos Saavedra (Jefe Hardware (Activo Sede – Data Center
AF13 Servidor Redundante Servidor Dell Power Intel Área de TI Lectura, Consulta ACL2,ACL3,ACL4 Alta Alta Muy Alta
de TI) Físico) Sótano
Hardware
Equipo Hardware para el control de asistencias del Ing. Carlos Saavedra (Jefe Hardware (Activo Lectura, Consulta,
Equipos Fijos AF14 Equipo de control de asistencia Área de TI Sala de cómputo ACL2,ACL3,ACL4 Media Media Alta
personal de TI) Físico) Escritura
Equipo Control de
Asistencia
Hardware
Ing. Carlos Saavedra (Jefe Hardware (Activo Sede – Data Center
AF15 Cámara de video vigilancia Cámaras de video/01 Switch vigilancia Área de TI Lectura, Consulta ACL2,ACL3,ACL4 Alta Alta Muy Alta
Equipos Fijos de TI) Físico) Sótano
Cámaras
Hardware
Equipos Fijos Ing. Carlos Saavedra (Jefe Hardware (Activo Sede – Data Center
AF16 Disco duro – HD Disco duro externo wster digital Área de TI Lectura ACL2,ACL3,ACL4 Alta Alta Muy Alta
de TI) Físico) Sótano
Medios para
almacenamiento de datos
Hardware (Activo
Hardware AF17 Estabilizador - UPS UPS TRIPP SmarthOnLine servidores Infraestructura Arq. Karen Cruzado
Físico)
No Aplica Sótona (Cuarto UPS) ACL2,ACL3 Baja Baja Alta

Equipos Fijos
Hardware (Activo
Estabilizador y Grupo AF18 Grupo electrógeno Transformador de aislamiento de 12 KVA flash Power Infraestructura Arq. Karen Cruzado No Aplica Sótona (Cuarto UPS) ACL2,ACL3 Baja Baja Alta
Físico)
Electrógeno

194
 Ing. Carlos Saavedra (Jefe Hardware (Activo Sede – Data Center ACL1,ACL2,ACL3,AC
AF19 Switch General Corp. Switch Dell networking N3048P Área de TI Lectura, Consulta Muy Alta Muy Alta Muy Alta
de TI) Físico) Sótano L4
1 switch Power connect 6224P puertos GbE conmutador
Admin
Switches – Accesorios de Informática Sede – Data Center
1 switch dlink DES 1210 19” para telefonía Ing. Carlos Saavedra (Jefe Hardware (Activo
AF20 Cantidad: 8 Área de TI Lectura, Consulta Sótano ACL2,ACL3,ACL4 Media Media Alta
4 switches Dell networking N1524P de TI) Físico)
Sala de cómputo
2 switches D-Link web Smart

Ing. Carlos Saavedra (Jefe Hardware (Activo

AF21 Accesorio informática Kit de transmisión simple y 2 consolas 8 canales Área de TI No Aplica Sala de cómputo ACL2,ACL3,ACL4 Baja Baja Media
de TI) Físico)
Ing. Carlos Saavedra (Jefe Hardware (Activo
AF22 Lector de código de barras Lector código de barras Heron D130 black USB ki Área de TI Lectura,Consulta Área de TI (3er piso) ACL2,ACL3,ACL4 Baja Baja Media
de TI) Físico)
Amplificadores 1 Amplificador Ecualizador 2bx 1215 0101590 con cables
Ing. Carlos Saavedra (Jefe Hardware (Activo
AF23 Cantidad: 2 1 Amplificador Compreso SBX 166 cables Área de TI No Aplica Sala de cómputo ACL2,ACL3,ACL4 Baja Baja Media
de TI) Físico)
Hardware Ing. Carlos Saavedra (Jefe Hardware (Activo
AF24 Adaptador Adaptador de video Kramer 4x1 VGA mechanical Sh Área de TI No Aplica Sala de cómputo ACL2,ACL3,ACL4 Baja Baja Media
Equipos Fijos de TI) Físico)
Medios (Accesorios de Ing. Carlos Saavedra (Jefe Hardware (Activo Lectura,Consulta,Escritu ACL2,ACL3,ACL4,AC
AF25 IPAD IPAD MAT Apple Área de TI Sala de cómputo Baja Baja Media
Informática) de TI) Físico) ra L5
Impresoras 1 impresora Epson Matricial LX300+II
Ing. Carlos Saavedra (Jefe Hardware (Activo Área de TI (3er piso)
AF26 Cantidad: 3 1 impresora Epson TMU – 220A ticketera Área de TI Lectura ACL2,ACL3,ACL4 Baja Baja Media
de TI) Físico) Sala de cómputo
1 ticketera impresora inmovilizado
1 Monitor Led Samsung 20" VGA S20A300N interfaz
1 Monitor Led Samsung 20" vga
Monitores 1 Monitor DELL P2317H - HBGBPB2
1 Monitor DELL P2317H - 5BGBPB2 Ing. Carlos Saavedra (Jefe Hardware (Activo Área de TI (3er piso)
AF27 Cantidad: 7 Área de TI Lectura ACL2,ACL3,ACL4 Baja Baja Media
1 Monitor DELL P2317H - DBGBPB2 de TI) Físico) Sala de cómputo
1 Monitor DELL P2317H - 9BGBPB2
1 Monitor DELL P2317H - 8BGBPB2
Ing. Carlos Saavedra (Jefe Hardware (Activo Área de TI (3er piso)
AF28 Proyector Proyector Epson power Lite 4200 Área de TI Lectura ACL2,ACL3,ACL4 Muy Baja Muy Baja Media
de TI) Físico)
Ing. Carlos Saavedra (Jefe Hardware (Activo
AF29 Micrófono inalámbrico Micrófono shure GGX 24E Área de TI No Aplica Sala de cómputo ACL2 Muy Baja Muy Baja Baja
de TI) Físico)
Hardware
Ing. Carlos Saavedra (Jefe
Equipos Fijos AF30 Aire acondicionado Aire acondicionado Split Área de TI Activo Físico No Aplica Sala de cómputo ACL2 Muy Baja Muy Baja Media
de TI)
Aire Acondicionado
1 silla operativa Global UPHOLSTERY-MOD. MESH
Muebles TEA negro
1 Closet con puertas grande con 4 divisiones Ing. Carlos Saavedra (Jefe
Muebles AF31 Cantidad: 4 Área de TI
de TI)
Activo Físico No Aplica Área de TI (3er piso) ACL2 Muy Baja Muy Baja Baja
1 Escritorio con cajonera en T modular dos personas
1 silla de visita BR-1061VC01 Modelo variety negro

Ing. Carlos Saavedra (Jefe Lectura, Consulta, ACL1,ACL2,ACL3,AC

Red y Conectividad ARC01 Red y conectividad Conexiones certificadas para la instalación Área de TI
de TI)
Red y Físico
Escritura
Área de TI (3er piso)
L4
Muy Alta Muy Alta Muy Alta

Software AS01 Base de datos Gestor de Base de datos Oracle Área de TI

Ing. Carlos Saavedra (Jefe
Activo Software
Lectura, Consulta,
Área de TI (3er piso)
ACL1,ACL2,ACL3,AC
Muy Alta Muy Alta Muy Alta
de TI) Escritura L4
Información
Ing. Carlos Saavedra (Jefe ACL1,ACL2,ACL3,AC
AS02 Back Up Copia de respaldo de base de datos Área de TI Activo Software Lectura, Escritura Área de TI (3er piso) Muy Alta Muy Alta Muy Alta
de TI) L4
Janeth tenorio (Analista de
Software sistemas)
Copias de Respaldo ACL1,ACL2,ACL3,AC
AS03 Back Up Copia de respaldo de software Área de TI Amelio Apaza (Analista de Activo Software Lectura, Escritura Área de TI (3er piso) Muy Alta Muy Alta Muy Alta
L4
sistemas)

Ing. Carlos Saavedra (Jefe

AS04 Licencias software Licencia Antivirus GData versión 2017 Área de TI Activo Software Consulta Área de TI (3er piso) ACL2,ACL4 Alta Alta Alta
de TI)
Software AS05 Licencias software Licencia Software Microsoft Área de TI
Ing. Carlos Saavedra (Jefe
Activo Software Consulta Área de TI (3er piso) ACL2,ACL4 Baja Baja Media
Licencias de TI)
Ing. Carlos Saavedra (Jefe
AS06 Licencias software Licencia Adobe Creative Cloud versión 2017 Área de TI Activo Software Consulta Área de TI (3er piso) ACL2,ACL4 Baja Baja Media
de TI)
Ing. Carlos Saavedra (Jefe Lectura, Consulta, ACL1,ACL2,ACL3,AC
AS07 Sistema DSA Software que le asigna la iglesia al área de TI Área de TI Activo Software Área de TI (3er piso) Alta Alta Alta
de TI) Escritura L4
Software AS08 Sistema UPN - Académico
Sistema que se brinda a los colegios perteneciente a la
Área de TI
Janeth Tenorio (Analista
Activo Software
Lectura, Consulta,
Área de TI (3er piso)
ACL1,ACL2,ACL3,AC
Alta Alta Alta
iglesia de sistemas) Escritura L4
Sistemas
Amelio Apaza (Analista de Lectura, Consulta, ACL1,ACL2,ACL3,AC
AS09 Sistema UPN - Gerencial Sistema que se brinda a misiones y gerencias de la iglesia Área de TI Activo Software Área de TI (3er piso) Alta Alta Alta
sistemas) Escritura L4

Software Software control de asistencia Premium para el registro de Ing. Carlos Saavedra (Jefe Lectura, Consulta,
Software Control de AS10 Software Control de Asistencia Área de TI Activo Software Área de TI (3er piso) ACL2,ACL3,ACL4 Media Baja Alta
asistencias del personal del área de TI de TI) Escritura
Asistencia
AP01 Jefe de TI Brinda seguridad al área de TI e infraestructura Jefe de TI No Aplica Personal No Aplica Área de TI (3er piso) ACL2,ACL3,ACL4 Alta Alta Muy Alta
Personal
Analista de sistema
Persona a cargo de AP02 Analista de sistema académico Realiza el análisis y desarrollo de los sistemas académicos
académico
No Aplica Personal No Aplica Área de TI (3er piso) ACL2,ACL3,ACL4 Alta Alta Muy Alta
Toma de decisiones y Analista de sistema
AP03 Analista de sistema gerencial Realiza el análisis y desarrollo de los sistemas gerenciales No Aplica Personal No Aplica Área de TI (3er piso) ACL2,ACL3,ACL4 Alta Alta Muy Alta
Analistas de Sistemas gerencial
Omar Campos
Área de Talento Documentos de Área de Talento Humano
ADP01 Contratos Documento de compromiso del personal de trabajo Martin Saldaña Lectura, Consulta ACL2,ACL3,ACL4 Alta Baja Baja
Humano y Legales papel y Legales (3er piso)
Documentos de Papel Janeth Tenorio (Analista
e Información Documento que brinda asistencia técnica a los usuarios que
de sistemas)
AI001 Manuales de Usuario Área de TI Amelio Apaza (Analista de Información Lectura, Consulta Área de TI (3er piso) ACL2,ACL4 Media Media Alta
usan los sistemas de información
sistemas)

Área de TI – mesa de
AS01 Helpdesk Brindar soporte y mantenimiento Fernando Lazo No Aplica Servicio No Aplica ACL2,ACL3,ACL4 Baja Baja Alta
Servicio soporte (3er piso)
AS02 Videoconferencia Charlas o capacitaciones que se obtiene del exterior o local Fernando Lazo No Aplica Servicio No Aplica Sala de reuniones ACL2,ACL3,ACL4 Baja Baja Media

195
Anexo 30: Guía de Clasificación de la información

196
197
198
199
200
201
202
203
Anexo 31: Registro de Inventariado de la Clasificación de la información

Registro de Inventario de la Clasificación de la información

NOMBRE DEL ÁREA PRIMER SEMESTRE
ENCARGADA : Area de Tecnologias de Información (TI) CICLO : (DICIEMBRE- ABRIL)
NOMBRE DE LA FECHA DE
SIGLA Nombre
ORGANIZACIÓN : Unión Peruana del Norte INICIO : 07/12/2017
Codigo de
Encargado de la
ID de clasificación (documento/Archivo Fecha recibida Descripción Valor Nivel de clasificacion Estado AR Altamente restringido
clasificación
/Software)
Amelio Apaza, Janeth
CLA-01 MU-01 15/01/2017 Manuales de Usuarios Baja Pública R Restringido
Tenorio Activo
Licencias Software,
LIC-01 15/01/2017 Media Carlos Saavedra Uso Interno UI Uso Interno
CLA-02 Antivirus, Adobe Activo
CLA-03 HE-01 15/01/2017 Hoja de entrega Media Fernando Lazo Uso Interno Activo P Público
CLA-04 HR-01 15/01/2017 Hoja de recepción Media Fernando Lazo Uso Interno Activo
CLA-05 LI-01 15/01/2017 Lista de Inventarios Media Carlos Saavedra Uso Interno Activo
Informe de Control de
ICA-01 15/01/2017 Media Carlos Saavedra Uso Interno Estados Descripción
CLA-06 Asistencias Activo
Activo de informacion que se encuentra
IN-01 15/01/2017 Informe networking Alta Carlos Saavedra Restringida Activo
CLA-07 Activo habilitado para su libre uso y manejo
Copias de
Amelio Apaza, Janeth Activo de información que se encuentra
CB-01 15/01/2017 Backup(Sotware y Base Alta Restringida Inactivo
Tenorio inhabilitado para su uso
CLA-08 de Datos) Activo
Área de Legales y Recursos Activo de informacion que ya no forma parte
CON-01 15/01/2017 Contratos Alta Humanos y/o Carlos Restringida Eliminado de la organización y quedo desechado y sin
CLA-09 Saavedra Activo ningun uso alguno
CLA-10 IPROY-01 15/01/2017 Informe Presupuesto Muy Alta Alta gerencia Altamente Restringida Activo
IPRES-01 15/01/2017 Informe de Proyectos Muy Alta Alta gerencia Altamente Restringida
CLA-11 Activo

Anexo 32: Documentación general sobre el software antivirus GDATA

204
Anexo 33: Formato de Ficha de Capacitaciones

Anexo 34: Formato de Registro de capacitación y entrenamiento sobre el software malicioso

Unión Peruana del Norte

Registro de capacitación y entrenamiento sobre el software malicioso
Responsable de
Area a Cargo : Año
registro :
Área Encargada de Organizar la
Id Tema que se Trato Lugar de la Capacitación Ponente Fecha Código de Ficha
Capacitada Capacitación

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

205
Anexo 35: Formato de Registro de Amenazas identificadas en las evaluaciones de los activos

Registro de Amenazas identificadas en las Evaluaciones de los Activos

Area a
Area Tecnología de Información Nombre de la Organización : Unión Peruana del Norte
Cargo:
TIPO PROPIETARIO DEL FECHA DE
ID ID AMENAZA ID ACTIVO Tipo de Activo DESCRIPCIÓN DE LA AMENAZA
AMENAZA ACTIVO DETECCIÓN

IDE-01

IDE-02
IDE-03
IDE-04
IDE-05
IDE-06
IDE-07
IDE-08
IDE-09
IDE-10
IDE-11
IDE-12
IDE-13
IDE-14
IDE-15
IDE-16
IDE-17
IDE-18
IDE-19
IDE-20

Anexo 36: Formato de Registro de dispositivos autorizados a la información y a la red

Registro de Dispositivos Autorizados a la Información y a la Red

Area a
Area Tecnolgía de Información Nombre de la Organización : Unión Peruana del Norte
Cargo:
IMEI O MAC DESCRIPCIÓN DEL TIPO DE ACCESO A LA DURACIÓN DEL FECHA DE
MARCA DEL MODELO DEL ÁREA DEL
ID DEL PROPIETARIO INFORMACIÓN QUE TENDRA EL DISPOSITIVO CON ENTREGA DEL
DISPOSITIVO DISPOSTIVO PROPIETARIO
DISPOSITIVO DISPOSITIVO EL PROPIETARIO DISPOSITIVO

206
Anexo 37: Formato para la eliminación de Equipos Tecnológicos y mecanismos para la
eliminación de la información

207
208
Anexo 38: Formato de Registro de los derechos de acceso según los roles y responsabilidades
de los usuarios

Registro de los derechos de acceso según lo roles y responsabilidades de los usuarios

Área Encargada : Área de TI Nombre del Personal a cargo : Fernando Lazo

Codigo de Registro : RE-ACCE-01 DNI del personal encargado : 12345678

ID de Cargo en la Derecho de acceso del

Nombre Completo Área que Pertenece Responsabilidades del cargo
Usuario organización Usuario (Modulos)

Anexo 39: Formato de la Ficha de capacitaciones sobre la importancia de la seguridad física

209
Anexo 40: Formato de Registro de capacitación sobre la importancia de la seguridad física

Unión Peruana del Norte

Registro de capacitación sobre la importancia de la Seguridad Física
Responsable de
Área a Cargo : Año
registro :
Área Encargado de Organizar
Id Tema que se Trato Lugar de la Capacitación Ponente Fecha Código de Ficha
Capacitada la Capacitación

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

Anexo 41: Formato de Solicitud de Peticiones de Acceso a las instalaciones

210
Anexo 42: Formato de Registro de las peticiones formales de acceso

Unión Peruana del Norte

Registro de las peticiones formales de acceso
Área a Cargo : Responsable de registro : Periodo
Codigo de Fecha de
Instalaciones del área Fecha de envio de Estado de Peticion
Id documento de Nombre del emisor DNI del emisor recepcion de la Observacion
donde solicita acceso solicitud (Aprobada o Denegada)
petición de acceso solicitud
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Anexo 43: Formato de Registro de visitas u operarios a las instalaciones del área de TI de la
UPN

Registro de Visitas u Operarios a las instalaciones del Área de TI de la Unión Peruana del
Norte
Nombre de
Área Encargada : Nombre del Personal Encargado :
Supervisor:
Código de Registro : DNI del Personal Encargado : DNI del Supervisor:

Código de
Fecha de Tipo Codigo del Acompañante
Hora de Ingreso a Hora de Salida de Area de Visita Nombre Completo de DNI del Visitante solicitud de
Id Ingreso a las (Visitante - Carnet Visitante del Visitante u
las instalaciones las instalaciones (Destino) la visita u Operario u Operario petición de
instalaciones Operario) u Operario Operario
Acceso

Anexo 44: Formato de Registro del personal no autorizado y que no lleve identificación en
las instalaciones de la UPN
Registro del Personal no Autorizado y que no lleve Identificación en las Instalaciones de la
Unión Peruana del Norte
Nombre del Personal
Área Encargada : Nombre de Supervisor:
Encargado :
DNI del Personal
Código de Registro : DNI del Supervisor:
Encargado :
Nombre del
Área o Instalación Nombre del personal que lo DNI de la Tiene Carnet Código de
Id Fecha Hora Nombre de la Persona: Acompañante durante Observación o motivo
donde se localizó ubicó persona SI o NO Pecitción
la visita
Re-PE-01
Re-PE-02
Re-PE-03
Re-PE-04
Re-PE-05
Re-PE-06
Re-PE-07
Re-PE-08
Re-PE-09
Re-PE-10
Re-PE-11
Re-PE-12

211
Anexo 45: Fotocheck de visitantes y operarios & Señalizaciones

Anexo 46: Manual de perfil de acceso físico al área de TI

212
Anexo 47: Formato de Registro de Inventariado de dispositivos y/o Activos de salida
INVENTARIADO DE DISPOSITIVOS Y/O ACTIVOS DE SALIDA
Uniòn Peruana del Norte
Àrea a cargo: Periodo: Persona a cargo del registro :
Tipo de acceso a la Valor de Estado del Fecha de Fecha de Responsable de la Estado del
Persona a cargo del Tipo de Activo
ID del Nombre del Descripcion del informaciòn criticidad del activo y/o salida del llegada del recepciòn, devolucion y activo y/o
Custodio Técnico del y/o dispositivo Lugar de Destino
Dispositivo Dispositivo y/o activo Dispositivo y/o activo (Lectura, Escritura, dispositivo y/o dispositivo dispositivo dispositivo cuidado del activo y/o dispositivo
activo y/o dispositivo (H/S)
Consulta) activo antes de salir y/o activo y/o activo dispositivo retornado

Anexo 48: Formato de Registro de Inventariado de documentos sensibles

INVENTARIADO DE DOCUMENTOS SENSIBLES

Unión Peruana del Norte

Persona a cargo del
Área a cargo: Periodo:
registro :
Nivel de Clasificación Valor de criticidad del
ID de D. Código de Nombre del Propietario del (Pública, Uso Interno, documento
Descripción del Documento
Sensible documento Documento Documento Restringida, Altamente (Baja, Media, Alta, Muy
restringida) Alta)

213
Anexo 49: Formato de Registro de Inventariado de conciliación de documentos sensibles y
dispositivos de salida

INVENTARIADO DE CONCILIACIÓN DE DOCUMENTOS SENSIBLES Y DISPOSITIVOS DE SALIDA

Unión Peruana del Norte

Persona a cargo
Área a cargo: Periodo:
del registro :
Valor de criticidad Valor de Criticidad
Nombre de Nombre de
Nivel de Clasificación del del dispositivo Descripción del Nivel de Clasificación del D. Sensible
ID ID del Dispositivo Descripción del dispositivo personal a cargo ID de D. Sensible personal a cargo Fecha
dispositivo (Baja, Media, Alta, D. Sensible del D. Sensible (Baja, Media, Alta,
del dispositivo del D. Sensible
Muy Alta) Muy Alta)

Anexo 50: Validación de los procedimientos por parte de los especialistas

214
215
Anexo 51: Evaluación con la segunda lista de chequeo

216
217
218
Anexo 52: Informe de la segunda auditoria

219
220
Anexo 53: Informe de evaluación de la mejora

221
222
223
224
225
226
227
228
229
230
231
232
233
234
Anexo 54: Acta de Conformidad con los resultados obtenidos en el proyecto por parte del Área de TI
de la Unión Peruana del Norte

235