20040573_documentos de tesis.pdf

PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

ESPECIALIDAD DE INGENIERA INFORMTICA

DISEO DE UN SISTEMA BSICO DE GESTIN DE SEGURIDAD DE INFORMACIN PARA CENTROS

EDUCATIVOS PARROQUIALES

Versin 3.2

PROPUESTO POR: Ing. Moiss Villena Aguilar [email protected]

ELABORADO POR: Adriana Martnez Hinostroza [email protected]

AREA DEL PROYECTO: Sistemas de Informacin

TIPO DE PROYECTO: Diseo

Lima, 14 de Julio de 2009

2

Historial de Revisiones

Historial de revisiones tem Fecha Versin Descripcin Equipo

1 17/09/08 1.0 Versin inicial. Adriana Martnez 2 20/09/08 1.1 Elaboracin del Plan de Proyecto:

Correccin de la versin inicial, identificacin del problema, objetivos y resultados esperados.

Adriana Martnez

3 01/10/08 1.5 Elaboracin del Plan de Proyecto: Correccin de la versin anterior, marco conceptual, estado del arte, mtodos y procedimientos, y planificacin.

Adriana Martnez

4 12/11/08 1.8 Culminacin del Captulo 1 Adriana Martnez 5 19/03/09 2.0 Versin inicial del Captulo 2 Adriana Martnez 6 17/05/09 3.0 Elaboracin del Borrador Adriana Martnez 7 23/05/09 3.1 Correccin de los puntos acotados

por el asesor Adriana Martnez

8 08/07/2009 3.2 Correccin de las observaciones hechas por el revisor del anillado

Adriana Martnez

3

Tabla de Contenido

Introduccin .................................................................................................................. 4 1. Generalidades ....................................................................................................... 5

1.1. Definicin del Problema .................................................................................. 5 1.2. Marco Conceptual .......................................................................................... 6 1.3. Plan de Proyecto .......................................................................................... 11 1.4. Estado del Arte ............................................................................................. 14 1.5. Descripcin y sustentacin de la solucin ..................................................... 17

2. Anlisis y diseo detallado ................................................................................... 19 2.1. Descripcin de procesos .............................................................................. 19 2.2. Identificacin de riesgos ............................................................................... 29 2.3. Controles ...................................................................................................... 31 2.4. Matriz de riesgos .......................................................................................... 39 2.5. Clasificacin de riesgos ................................................................................ 51

3. Elaboracin de poltica, procedimientos y normas ............................................... 55 3.1. Poltica de seguridad .................................................................................... 55 3.2. Procedimientos ............................................................................................. 55 3.3. Normas ......................................................................................................... 55

4. Anexos ................................................................................................................ 57 4.1. Estndar Australiano Administracin de riesgos (AS/NZS 4360:2004): ...... 57 4.2. ISO/IEC FDIS 27001:2005............................................................................ 60 4.3. Objetivos de control para la informacin y tecnologa desarrollada (COBIT) 64 4.4. Diagrama de Gantt ....................................................................................... 67 4.5. Estructura de Desglose del Trabajo .............................................................. 68 4.6. Medidas cualitativas de consecuencia o impacto .......................................... 69 4.7. Medidas cualitativas de probabilidad ............................................................ 69 4.8. Matriz de anlisis de riesgo cualitativo nivel de riesgo ............................... 70 4.9. Poltica de seguridad .................................................................................... 71

4.7 Procedimientos .................................................................................................... 72 4.8 Normas de seguridad .......................................................................................... 74 5. Referencias bibliogrficas .................................................................................... 77

4

Introduccin

El presente proyecto de fin de carrera busca adaptar las mejores prcticas en seguridad de informacin, aprobadas y respaldadas a nivel global, a la realidad de los centros educativos parroquiales. Este proyecto se desarrolla debido a que en estos centros educativos se maneja un amplio volumen de informacin relacionada a los alumnos, padres de familia, personal docente y administrativo, la cual en muchas circunstancias no cuenta con la debida proteccin, trayendo consigo problemas de confidencialidad, integridad y disponibilidad. Durante el desarrollo del proyecto se realiz un anlisis de los procesos, identificacin de riesgos, establecimiento de controles para la mitigacin de riesgos y las recomendaciones respectivas. De igual manera se propone una Poltica de seguridad, procedimientos y normas que presentan lineamientos para que la informacin, tanto fsica como electrnica que es manipulada en el desarrollo de los procesos del colegio, se encuentre dentro de un marco de seguridad aceptable.

5

1. Generalidades

A continuacin se detalla la informacin necesaria para entrar en el contexto del desarrollo del proyecto, avances en esta rea y la problemtica que busca resolver.

1.1. Definicin del Problema

Luego de la investigacin en el colegio parroquial en el cual se desarroll el proyecto, se encontr que emplean distintos activos de informacin para la ejecucin de sus operaciones tales como la matrcula de los alumnos, el registro de notas, control de pagos, manejo de documentos administrativos, entre otros. Estos activos no cuentan con el debido tratamiento de seguridad de informacin de acuerdo a la criticidad que representan para el colegio. No se tienen identificados los riesgos de seguridad de informacin a los que estn expuestos en cuanto a la poca proteccin de sus activos tangibles, dado que la cultura de seguridad de informacin es dbil.

6

De acuerdo a una revisin preliminar, se pudo constatar que se presentan riesgos en las operaciones y documentos, los cuales podran ser objeto de alguna modificacin no autorizada, repercutiendo directamente en la imagen y normal desempeo del colegio. Debido a que no se ha asignado formalmente una clasificacin a los activos de informacin, es imposible definir un tratamiento adecuado para estos, ni establecer con claridad los dueos de los mismos. Por tanto se puede indicar que es necesario desarrollar un diagnstico preciso de los niveles de seguridad actuales y establecer una estrategia que permita gestionar adecuadamente el principal activo del centro educativo que es su informacin. Esto ltimo puede lograrse planteando un Sistema de Gestin de Seguridad de Informacin (SGSI) adaptando las mejores prcticas empleadas globalmente para los temas de seguridad de informacin a la realidad de los colegios. El SGSI deber contar con el patrocinio y respaldo de la alta direccin del centro para luego ser implementado con el apoyo de todo el personal administrativo y docente. El SGSI elaborado en este proyecto va poder ser extendido a otros colegios parroquiales que presenten similitudes en los procesos.

1.2. Marco Conceptual

A continuacin se detallan los trminos que son necesarios conocer para poder entender el desarrollo del proyecto.

1.2.1. Informacin

Activo que tiene valor para una organizacin y por tanto necesita un adecuado nivel de proteccin. [MVA2006]

1.2.2. Tipos de informacin

Puede clasificarse de diferentes maneras. Se presenta la clasificacin segn la forma en la que comunica:

o Impresa. o Almacenada electrnicamente o Transmitida por correo electrnico o convencional. o Exhibida en videos. o Hablada. [MVA2006]

7

1.2.3. Seguridad de informacin

Preservacin de la confidencialidad, integridad y disponibilidad de la informacin, tambin se incluye la autenticidad, fiabilidad y no repudio. [ISO17799]

1.2.4. Confidencialidad

Propiedad de la informacin para no ser accedida por personas, procesos o entidades no autorizadas. [ISO13335]

1.2.5. Disponibilidad

Propiedad que permitir el acceso a la informacin bajo la demanda de alguien autorizado.

1.2.6. Integridad

Propiedad de la informacin para salvaguardar la idoneidad de los datos al momento de ser consultados de forma que se garantice que no hayan sido alterados o suprimidos. [ISO13335]

1.2.7. Incidente de seguridad de informacin

Uno o una serie de indeseados e inesperados eventos de seguridad de informacin que tienen un alto grado de compromiso en las operaciones del negocio y representan una amenaza para la seguridad de la informacin. [ISO27001]

1.2.8. Sistema de gestin

Sistema para establecer polticas y objetivos de tal manera que se puedan cumplir estos ltimos. Son usados por las organizaciones para disear sus polticas y para poner estas en funcionamiento a travs de objetivos. Para ello se basa en:

o Estructuras organizacionales o Procesos sistemticos y recursos asociados o Metodologas de evaluacin y medida

8

o Revisin de procesos para asegurar que los problemas sean corregidos y las oportunidades para mejorarlos sean reconocidas e implementadas cuando sea necesario. [MVA2006]

1.2.9. Objetivos de control

Estatuto del resultado o propsito que se desea alcanzar al implantar procedimientos de control en un proceso particular. [COBIT2006]

1.2.10. Roadmap

Se utiliza para describir el estado en el cual se encuentra un sistema dentro de su ciclo de vida. Es bastante til puesto que ayuda a documentar, y brinda una visin general o especfica de a donde apunta el sistema. [FUGGETTA]

1.2.11. Sistema de Gestin de Seguridad de Informacin (SGSI)

Parte de toda la gestin del sistema, basado en el acercamiento a los riesgos del negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin. [ISO27001]

1.2.12. Estndar Australiano Administracin de riesgos (AS/NZS 4360:2004)

Provee una gua genrica para el establecimiento e implementacin del proceso de administracin de riesgos involucrando el establecimiento del contexto y la identificacin, anlisis, evaluacin, tratamiento, comunicacin y el monitoreo en curso de los riesgos.

La administracin de riesgos es conocida como una buena prctica a nivel gerencial, es un proceso que consta de varios pasos que al efectuarse posibilita una mejora continua en los procesos de tomas de decisiones dentro de la organizacin.

La administracin de riesgos es un trmino que se aplica al mtodo lgico y sistemtico de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, funcin o

9

proceso de forma que permita a la organizacin minimizar prdidas y maximizar oportunidades.

Para la aplicacin de este estndar es necesario manejar algunas definiciones, stas se detallan en el Anexo 4.1.

1.2.13. ISO/IEC FDIS 27001:2005

Estndar de seguridad creado para proveer un modelo para el establecimiento, implementacin, operacin, monitoreo, revisin, mantenimiento y mejora de un SGSI, cuyo diseo e implementacin ser influenciado por las necesidades, objetivos, requerimientos de seguridad, procesos utilizados, tamao y estructura de la organizacin.

Este estndar utiliza el modelo de proceso Plan-Do-Check-Act (Planificar-Hacer-Revisar-Actuar), el cual es aplicado para estructurar todos los procesos del SGSI. El flujo del procedo Plan-Do-Check-Act se muestra en la figura 1.1.

Las secciones que componen la ISO/IEC 27001:2005 se detallan en el Anexo 4.2.

[Figura 1.1] Plan-Do-Check-Act: Modelo que aplican todos los procesos dentro de un SGSI. Basado en [ISO27001]

10

1.2.14. Objetivos de control para la informacin y tecnologa relacionada (COBIT)

Brinda buenas prcticas a travs de un marco de dominios y procesos, y presentan las actividades en una estructura manejable y lgica, estn enfocadas fuertemente al control y menos en la ejecucin. Dichas prcticas ayudarn a optimizar las inversiones facilitadas por TI, asegurarn la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien.

COBIT es un marco de referencia y juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas tcnicos y riesgos de negocio, y comunicar ese nivel de control a los participantes. Permite el desarrollo de polticas claras y de buenas prcticas.

El marco de trabajo COBIT utiliza el siguiente principio: proporcionar la informacin que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los Recursos de TI usando un conjunto estructurado de Procesos que atiendan los Requerimientos de Informacin. Este flujo se puede apreciar en la figura 1.2.

[Figura 1.2] Marco de trabajo COBIT. [COBIT2006]

11

La interaccin de los tres componentes antes mencionados de COBIT se puede apreciar en la figura 1.3, en el Cubo de COBIT.

Dentro del Cubo de COBIT se pueden apreciar los tres componentes o dimensiones.

El detalle de las dimensiones y dominios se muestra en el Anexo 4.3. [COBIT2006]

1.3. Plan de Proyecto

Para la realizacin de este proyecto se va utilizar los aspectos que se adapten de la metodologa PMI. Esta metodologa establece un conjunto de herramientas y buenas prcticas, se encuentra orientado a una gestin predictiva de los proyectos. PMI presenta diferentes fases de un proyecto de forma lineal donde la solucin, alcance y planificacin se establece en las fases iniciales. [FLORES-

[Figura 1.3] Cubo de COBIT. Basado en [COBIT2006]

12

POWSANG2008] La figura 1.5 muestra cada uno de los aspectos que componen la metodologa.

Los puntos a aplicar de esta metodologa en el proyecto sern:

o Integracin del proyecto: Asegurar la elaboracin y cumplimiento del Plan del Proyecto, de forma que este se desarrolle adecuadamente.

o Alcance del proyecto: Asegurar que el proyecto contiene todo el trabajo necesario para completarse.

o Plazos del proyecto: Asegurar la conclusin del proyecto en los tiempos establecidos.

o Calidad del proyecto: Asegurar que el proyecto satisfaga las necesidades para la que se ha llevado a cabo.

o Comunicaciones del proyecto: Asegurar la elaboracin, recopilacin, distribucin, archivo y disposicin definitiva de la informacin del proyecto.

o Riesgos del proyecto: Incluye procesos para la identificacin, anlisis y respuesta a los riesgos del proyecto.

Los puntos de esta metodologa que no se van aplicar son:

o Costo del proyecto: Debido a que es un trabajo acadmico, la ejecucin del proyecto no demanda mucho gasto y no se cuenta con patrocinio alguno, no se ha establecido presupuesto de costos.

o Recursos humanos del proyecto: Debido a que en el desarrollo de este proyecto no se va contratar personal y es slo una persona quin lo va desarrollar se ha visto por conveniente no aplicar este punto.

o Abastecimiento del proyecto: Debido a que para el desarrollo de este proyecto no se est contemplando la realizacin de algn contrato o aprovisionamiento de algn recurso, se ha visto por conveniente no aplicar este punto.

13

Este proyecto se va a tomar como piloto, el SGSI realizado para este colegio parroquial va poder ser tomado como base para su desarrollo en otros centros educativos parroquiales. Para llevar a cabo este proyecto se van a seguir los siguientes procedimientos que se muestran en la figura 1.6, a continuacin se detallan cada uno de ellos:

o Analizar los riesgos de seguridad de informacin: En esta etapa se va analizar los riesgos a los que se encuentra expuesto el colegio, utilizando el Estndar Australiano de Administracin de Riesgos. El enfoque ser cualitativo.

o Mapear el flujo de procesos: En esta etapa se proceder a realizar el mapeo detallado de cmo se estn llevando a cabo actualmente los procesos en el colegio que formarn parte del alcance del SGSI, se identifica la informacin que es utilizada, el estado final de la misma luego de pasar por el proceso,

[Figura 1.5] Esquema general de PMI [PMI2004]

14

quines intervienen, que dispositivos son usados para manejarla, entre otros.

o Seleccin de objetivos de control: En esta etapa se identificaran los objetivos de control aplicables al centro educativo, utilizando como base los objetivos de COBIT. La implementacin de los controles en detalle se basarn en los controles propuestos por la ISO 27001 , ISO 27002 y COBIT, segn sea el caso desde el punto de vista de costo beneficio y complejidad

o Plantear tratamiento de riesgos: En esta etapa se va a buscar la mejor forma de poder cubrir los riesgos detectados.

o Elaborar una declaracin de aplicabilidad formal para el centro educativo o Realizar monitoreo y seguimientos: En esta etapa se lleva a cabo un

proceso de monitoreo para ir evaluando como se van modificando los riesgos ante los que se encuentra expuesto el colegio, lo cual va permitir establecer los controles apropiados o modificar los existentes en caso sea necesario.

El Diagrama de Gantt y la Estructura de Desglose del Trabajo del proyecto se pueden visualizar en los anexos 4.4 y 4.5 respectivamente.

1.4. Estado del Arte

En la actualidad se viene haciendo intentos para la implantacin de polticas de proteccin de datos dentro de algunas universidades espaolas. [CASADO2007]

Analizar los riesgos de seguridad de informacin

Mapear flujo de procesos

Seleccin de objetivos de control

Plantear tratamiento de riesgos

Realizar monitoreo y seguimiento

[Figura 1.6] Esquema de los procedimientos a realizar para llevar a cabo el proyecto de tesis.

Elaborar declaracin de aplicabilidad formal para el centro educativo

15

Dada la necesidad de consolidar la calidad de los servicios de informacin, minimizar el costo de inversin en horas hombre, materiales, equipos de almacenamiento y recursos tecnolgicos se hace necesario asumir nuevas formas para la gestin de la informacin y del conocimiento.

Se considera como una gran ventaja la posibilidad de poder acceder a la informacin de la institucin en cualquier momento, as como poder asegurar el resguardo y confidencialidad de las fuentes documentales. Las Organizaciones de Gestin Documental (OGD) en Venezuela analizan la efectividad del proyecto Digitalizacin de imgenes, Administracin y Difusin Selectiva de la Informacin, el cual ha sido creado para la optimizacin de servicios, generacin de productos informativos con criterios de calidad, y a la vez minimiza el margen de manipulacin de elevados volmenes de fuentes documentales. [BOHORQUEZ2004]

Muchas universidades espaolas a travs de alguno de sus centros de investigacin mediante la utilizacin de tecnologas de informacin logran incorporar ciertos procesos que favorecen la gestin de seguridad dentro de su centro de estudios. Tales centros de estudio son:

o Centro de Tecnologa Educativa (Jaime I - http://cent.uji.es) o Secretariado de recursos audiovisuales y nuevas tecnologa (SAV). (Sevilla -

http://www.sav.us.es) o Secretariado de informacin y comunicacin (Sevilla - http://www.us.es/SIC) o Laboratori de Mitjans interactius (Barcelona - http://www.lmi.ub.es) o Centro de Enseanzas virtuales. de la Universidad de Granada (Granada -

http://cevug.ugr.es/webcevug/index.php) o Centro de recursos para el aprendizaje (Barcelona -

http://www.bib.ub.es/bub/bub.htm) o Laboratorio de Educacin y Nuevas Tecnologas (La Laguna -

http://www.edulab.ull.es) o Campus Extens (Islas Baleares - http://campusextens.uib.es) o Enseanza virtual y Laboratorio tecnolgico. (Mlaga -

http://www.evlt.uma.es/) o Gabinete de Teleeducacin (Politcnica de Madrid -

http://www.gate.upm.es/) o Centre de Recursos Educatius (Rovira y Virgili, Tarragona -

http://www.sre.urv.net)

16

o La Factora de Recursos (Universidad Politcnica de Catalua - http://wwwice.upc.es/factoria/)

o Laboratorio de Comunicacin Multimedia (MMLab) (Universidad de Navarra - http://www.unav.es/fcom/mmlab/mmlab/menu.htm)

o Centro de Tecnologa de la Imagen y recursos didcticos. (Mlaga - http://campusvirtual.uma.es)

o ATICA (Murcia - http://www.um.es/atica/) o Servicio de Informtica de Cartagena (Universidad Politcnica de Cartagena

- http://www.upct.es/~si/)

Las tecnologas de informacin utilizadas han influenciado en los siguientes procesos:

o Administracin de antivirus (97,0%). o Mantenimiento microinformtico (93,9%). o Copias de seguridad servidores corporativos (90,9%). o Direccin de proyectos de nuevas tecnologas (87,9%). o Gestin de tarjetas de identidad (Carn Universitario) (87,9%). o Anlisis y direccin de aplicaciones corporativas (84,8%). o Administracin de aulas informticas (84,8%). o Mantenimiento hardware de ordenadores centrales (84,8%). o Correo electrnico (81,8%). o Creacin del contenido del web (81,8%). o Gestin de compra centralizada de equipamiento informtico para el rea de

gestin (81,8%). o Administracin de ordenadores centrales (78,8%). o Servidor web (75,8%). o Gestin de compra centralizada de equipamiento informtico para todo el

campus (75,8%). o Help Desk (69,7%). o Call Center (66,7%). o Asesora, control y auditoria de seguridad (66,7%). o Copias de seguridad usuarios microinformtica (60,6%). o Formacin del PAS (54,5%). o Anlisis y direccin de aplicaciones externas (45,5%). o Formacin del PDI (42,4%). o Formacin de personal externo a la Universidad (21,2%) (Barro, 2004, 47).

[CAVERO2006]

17

1.5. Descripcin y sustentacin de la solucin

De acuerdo con lo revisado se observ que los colegios manejan activos de informacin que no son tratados con los niveles de seguridad adecuados, por tanto se considera realizar el diseo del SGSI para que de esa forma estos organismos puedan continuar con sus actividades diarias disminuyendo el riesgo de que sus activos no cumplan con los aspectos de confidencialidad, integridad, disponibilidad, pudiendo resultar inconsistentes al momento de ser utilizados y con ello generar inconvenientes o interrupcin de sus procesos, afectando directamente a los objetivos de la institucin.

El diseo del Sistema de Gestin de Seguridad de Informacin que se va a realizar se va encargar de establecer los lineamientos para direccionar la implementacin y mantenimiento de los procesos, as como los procedimientos para la administracin de la seguridad de informacin, adaptando a la realidad de los colegios las mejores prcticas de seguridad establecidas a nivel global.

Todas estas acciones van a requerir la identificacin de las necesidades de seguridad de informacin dentro de un centro educativo parroquial.

Esto se lograr analizando de forma detallada los procesos ms crticos del colegio los cuales formarn parte del SGSI y realizando el mapeo correspondiente se podr identificar la informacin que es utilizada, as como el tratamiento que sta recibe.

Luego de haber identificado los activos de informacin utilizados se determinarn los dueos de la misma y con su apoyo se establecern los criterios de clasificacin de la informacin, lo cual permitir determinar la necesidad de seguridad que stos requieren.

Un aspecto importante dentro del SGSI es la poltica de seguridad, la cual ser planteada en base a las necesidades de seguridad de informacin identificadas dentro de este tipo de centros educativos, siendo imperativo para que el xito de sta, contar con el respaldo de la direccin del colegio. Posteriormente para la implementacin de la misma se va requerir del apoyo de todo el personal del centro educativo tanto administrativo como docente.

18

Para poder mantener actualizadas las medidas de seguridad necesarias es importante realizar un monitoreo para saber cmo se han ido modificando los riesgos a los que se encuentra expuesto el colegio y con ello ir modificado los objetivos de control que sern los hitos para poder determinar las variaciones de los riesgos.

Debido a que los miembros del colegio sern los entes que se encargarn de llevar a la prctica toda la poltica, procedimientos y normas que se establezcan, es necesario crear en ellos una cultura de seguridad de informacin y sean ellos quienes luego brinden la retroalimentacin necesaria para ir mejorando todo el SGSI.

19

2. Anlisis y diseo detallado

A continuacin se detallarn los procesos de negocio comunes a los Colegios Parroquiales. Se seleccionarn los procesos a considerarse dentro del SGSI, realizndose un anlisis de riesgo que luego permita hacer una recomendacin de los controles necesarios, los mismos que pueden ser tcnicos o procedimentales segn sea el caso.

2.1. Descripcin de procesos

Los procesos de negocio comunes a los Colegios Parroquiales son los que se muestran a continuacin.

2.1.1. Proceso de matrcula

Dentro de este proceso se pueden apreciar dos casos. El primero cuando se trata de alumnos antiguos y el segundo cuando son alumnos nuevos.

20

o Alumnos antiguos (Reconfirmacin de matrcula) Este proceso se inicia en el mes de octubre con la planificacin de las fechas para la matrcula. En diciembre se realiza la cancelacin de los pagos atrasados, los correspondientes a la matrcula para el siguiente ao y se generan las dos tarjetas de pago. Una se lleva el padre y la otra se queda en el colegio. En enero se realiza la entrega de la lista de tiles escolares. El flujo del proceso se puede apreciar en la figura 2.1

o Alumnos nuevos Este proceso para los alumnos nuevos comienza en el mes de agosto con la separacin de la matrcula y presentacin de documentos para la precalificacin del alumno. Los documentos que los padres deben presentar son los siguientes: partida de nacimiento, partida de bautizo, libreta de notas, fotografas del alumno y partida de matrimonio religioso de los padres. A continuacin los padres tienen que completar la ficha de inscripcin la cual requiere los datos del alumno, padre, madre o apoderado. Una vez que la ficha de inscripcin es completada, todos los documentos en conjunto son revisados en secretara para verificar que estn conformes (pasan por la precalificacin). Seguidamente se programan las fechas y hora para la evaluacin psicolgica y examen pedaggico, para la programacin de estas evaluaciones es necesario cancelar un pago. Despus de realizada la evaluacin respectiva los profesores y psicloga cuentan con un da para entregar el resultado, los cuales llegan a Secretara y de all pasan a la Direccin. Para que la evaluacin pedaggica pueda considerarse como aprobada tiene que ser superada con el 50% o ms, en caso haya obtenido un porcentaje menor, el alumno cuenta con la oportunidad de tomar una segunda evaluacin. La Direccin es quien se encarga de dar el resultado a los padres, ellos lo revisan y tienen que devolverlo. Bajo ningn concepto los padres pueden quedarse con las evaluaciones y/o resultados. Al finalizar la entrevista que la Direccin tiene con los padres y con el alumno toma la decisin de aceptar o no su ingreso al colegio. Una vez que el alumno sea aceptado en el colegio, el padre tiene que acercarse a tesorera y cancelar todos los pagos correspondientes, se generan las dos

21

tarjetas de pago y una de ellas se entrega al padre y la otra queda en posesin del colegio. El flujo del proceso se puede apreciar en la figura 2.2

Proceso de Matrcula Alumnos antiguos

TesoreraPadres de familia Direccin

Establecer fechas

para

reconfirmacin de

matrcula

Comunicar las

fechas de

reconfirmacin a

los padres de

familia

Cancelar deudas

contradas con el

colegio

Registrar pago

realizado por los

padres de familia

Entregar la

agenda escolar

Confirmacin de la

matrcula

Entregar tarjeta de

control de pago de

pensiones

Entregar lista de

tiles

Fin

[Figura 2.1] Flujo del proceso de Matrcula Alumnos antiguos

22

Proceso de Matrcula Alumnos nuevos

TutorDpto. de

PsicologaPadres de familiaTesorera SecretaraDireccin

Establecer fechas

para la matrcula

Cancelar derechos

de matrcula

Registrar pago

realizado por los

padres de familia

Entregar agenda

escolar

Separar cita para

entrevista con el

Dpto. de Psicologa

y examen de

ingreso

Entregar tarjeta de

control de pago de

pensiones

Entregar de lista de

tiles

Pagar por derecho

de entrevista y

examen

Separar matrcula

Entregar

documentos de su

hijo para la

precalificacin

Realizar

precalificacin de

los documentos

Pas

precalificacin

Fin

Entrevista con el

alumno postulante

Recepcin de

resultafos

Evaluacin del

alumno postulante

Entrevista con el

alumno postulante

Decide si el

alumno

postulante es

aceptado

Fin

Registrar pago

realizado por los

padres de familia

Fin

NO

SI

SI

NO

[Figura 2.2] Flujo del proceso de Matrcula Alumnos nuevos

23

2.1.2. Proceso de retiro de un alumno del colegio parroquial

Este proceso comienza con la presentacin de la solicitud de de retiro del alumno por parte del padre de familia, la cual debe ir acompaada de la constancia de vacante en otro centro educativo. Si el padre de familia desea obtener los certificados de estudio debe presentar la solicitud respectiva. Luego de atendida la(s) solicitud(es) se realiza la entrega de los documentos presentados por los padres cuando se llev a cabo la primera matrcula, el certificado de estudios en caso se halla solicitado y una Resolucin Directoral Institucional. El flujo del proceso se puede apreciar en la figura 2.3

Proceso de Retiro de un alumno

Padres de familiaSecretara

Entregar

documentos

solicitados del

alumno ms un

Decreto Directoral

de traslado

Presenta solicitud

de certificado de

notas

Presentacin de

solicitud de retiro,

adjuntando

constancia de

vacante en el otro

colegio

Desea

certificado de

notas

Fin

NO

SI

Procesar solicitud

[Figura 2.3] Flujo del proceso de Retiro de un alumno

24

2.1.3. Generacin de boletas de notas

Este proceso comienza cuando los profesores acceden a la aplicacin web, all completan los datos que identifican al curso, grado, seccin y docente. Luego, los profesores proceden a completar las notas de los alumnos y la aplicacin calcula de forma automtica la nota bimestral. Si se diera el caso de que el docente se equivoca al momento de introducir alguna nota y desea corregirlo, va a ser necesario que se acerque ente el subdirector de la institucin y avale mediante exmenes o su registro diario de clases que la nota que figura en el sistema debe ser corregido. Una vez que se culmin con el procesamiento de notas, se procede a la generacin del reporte de conducta, el cual va es entregado a la encargada de Conducta dentro del centro educativo. El archivo conteniendo las boletas y planillones de notas son recibidos en la Sub Direccin para su respectiva impresin. Al trmino de la impresin se verifica si sta ha sido la adecuada, es decir que la cartula y las notas correspondan a la misma persona. En caso se encuentre algn error se vuelve a realizar la impresin de la boleta. Luego de ello se procede a la entrega de boletas. Cabe mencionar que los padres tambin pueden visualizar las boletas de notas de sus hijos por medio de la aplicacin web. El flujo del proceso se puede apreciar en la figura 2.4

25

2.1.4. Pago de pensin y otros pagos adicionales

Este proceso se puede llevar de dos formas: haciendo el pago por medio del banco o en el mismo colegio. A continuacin se detallan ambos procesos.

[Figura 2.4] Flujo del proceso de Generacin de boletas y planillones de notas

26

o Pago por medio del banco Este proceso comienza cuando los padres se acercan al banco, all indican que van a realizar un pago a favor del colegio, dan los nombres del alumno y el encargado en ventanilla le confirma los datos y el monto del pago a realizar. El padre realiza el pago y le entregan un Boucher como comprobante. Luego el padre de familia debe acercarse al colegio para su tarjeta de control de pagos sea completada con la firma correspondiente.

o Pago en el colegio Este proceso comienza cuando los padres van a realizar un pago al colegio, los padres se acercan a tesorera, all realizan el desembolso. En caso de tratarse del pago de pensiones o derecho de matrcula el pago se registra en ambas tarjetas de pago. Se genera un recibo con numeracin correlativa, se le hace entrega al padre de familia y el pago es registrado.

Al finalizar el da se genera un reporte indicando todos los pagos recibidos, concepto, persona que los realiz y fecha, a este reporte elaborado en tesorera se suma el reporte del banco en el que se indica los pagos recibidos. El reporte consolidado es entregado a Direccin junto con el dinero en efectivo. El flujo del proceso se puede apreciar en la figura 2.5

2.1.5. Proceso de desembolso de dinero

Este proceso comienza con la solicitud de desembolso de dinero a la Direccin, esta solicitud puede estar documentada como no. La direccin decide si autoriza el desembolso o no, esta autorizacin tambin puedes estar documentada como no. Si se obtuvo la autorizacin esta debe ser presentada a tesorera. En caso la autorizacin no sea documentada y el monto del desembolso es alto se realiza una verificacin de la autorizacin con la Direccin. En tesorera al recibir la autorizacin se hace el registro del desembolso indicando la cantidad, persona a quien se hace entrega, concepto y fecha. Luego se procede a hacer entrega del dinero al solicitante. Al terminar el da se genera un reporte indicando todos los desembolsos realizados, las personas, conceptos y fechas. Este reporte es entregado en Direccin. El flujo del proceso se puede apreciar en la figura 2.6

27

Proceso de Pago de pensiones

TesoreraPadres de familia Direccin

Realizar pago de

pensin

Registrar pago

realizado por los

padres de familia

Generar y

entregar al padre

de familia el recibo

de pago

Recepcin del

reporte y dinero

en efctivo

Fin

Al trmino del da se hace un

consolidado de todo lo

recaudado

Generacin de

reporte de pago

de pensiones

recibidos en ese

da

Anotar en registro

el pago recibido

Entrega del

reporte y dinero

en efectivo a la

Direccin

Si el pago pas de

la fecha lmite se

tiene que pagar una

mora de S/.5.00

NO

Pag en el

banco

SI

Registrar el pago

en tarjeta de

control de pagos

del padre de

familia

Fin

[Figura 2.5] Flujo del proceso de Pago de pensiones y otros pagos adicionales

28

Proceso de Desembolso de dinero

TesoreraSolicitante Direccin

Entrega del monto

solicitado

Recepcin del

reporte

Fin

Al trmino del da se hace un

consolidado de todo el

dinero desembolsado

Generacin de

reporte del dinero

desembolsado

Recepcin del

monto solicitado

Entrega del

reporte a la

Direccin

La autorizacin no

siempre va

acompaada de

algn documento de

respaldo

Generacin de

comprobante de

entrega del dinero

Solicitar

desembolso de

dinero

Autoriz

desembolso de

dinero

Fin

Emitir autorizacin

Presentar

autorizacin de

desembolso de

dinero

Se genera

documento de

autorizacin

Luego de realizado el gasto,

tiene que presentar un

comprobante del monto

utilizado

NO

SI

SI

NO

Consultar a la

Direccin por la

autorizacin

Recepcionar

autorizacin

Registro del

dinero entregado

en un file de

control

[Figura 2.6] Flujo del proceso de Desembolso de dinero

29

2.1.6. Aspectos generales

El colegio por el momento cuenta con solo una red para tener accedo a Internet y por tanto no se encuentra dividido el rea del manejo administrativo y docente del que es manejado por los alumnos para su aprendizaje. Las copias de respaldo que son obtenidas por la aplicacin se van a guardar dentro del mismo servidor que se utiliza para su administracin y las cintas van a quedar bajo custodia de la misma Direccin. Han desistido del uso del internet inalmbrico, por el hecho de que con un solo Access point no logran abastecer toda la necesidad de este servicio.

Luego de revisar el flujo de los procesos del colegio en conjunto con la Direccin, se decidi que los procesos que se incluirn dentro del SGSI sern los que se listan a continuacin:

Proceso de Matrcula Proceso de Pago de pensiones y otros pagos adicionales Proceso de Generacin de boletas de notas

2.2. Identificacin de riesgos

Al revisar con ms cuidado esos procesos se identificaron los riesgos a los que estn expuestos. Dentro de estos procesos un aspecto que trae consigo uno de los mayores problemas es el hecho de que varias autorizaciones o directivas no se encuentran sustentadas en algn documento sea fsico o electrnico, sino slo son transmitidas de forma verbal acarreando con ello posibles incumplimientos por el simple hacho de no tener un sustento para certificar lo que se haba dicho. Otro de los problemas saltantes es la poca proteccin fsica que hay en el colegio, trayendo consigo el riesgo de perder los equipos y con ello toda la informacin que stos almacenan ya que no se obtienen copias de seguridad de la informacin almacenada. A continuacin se procede a mostrar los riesgos identificados.

2.2.1. Riesgos en el proceso de Matrcula

o Riesgo de que los registros de separacin de matrcula se pierdan o resulten modificados por personas no autorizadas.

30

o Riesgo de que documentos de ndole personal perteneciente a los alumnos o padres de familia sean expuestos o manipulados por personas indebidas

o Riesgo de que se ponga en cuestionamiento las decisiones que toma la Direccin.

2.2.2. Riesgos en el proceso de Retiro de un alumno del colegio

o Riesgo de que al momento en que se busquen los documentos para devolverlos, stos no se encuentren conformes o simplemente que ya no se encuentren.

2.2.3. Riesgos en el proceso de Generacin de boletas y planillones de notas

o Riesgo de dependencia puesto que es slo una la persona quin administra la aplicacin web, y al no compartir las funciones se tiene mucho poder en una solo personal, el cual no siempre est siendo monitorizado en las labores que realiza.

o Luego de cargados todos los registros, se generan las boletas y planillones de notas, este nuevo archivo es trasladado a la Sub Direccin. Cuando se hacen imprimir las boletas de notas existe el riesgo de que la cartula y las notas no correspondan al mismo alumno. Cuando detectan esos casos es necesario volver a hacer la impresin generando un doble gasto con ello, pero en caso no se detecte el error genera un problema mayor tan igual como el mencionado en el punto anterior.

o Riesgo de no contar con una copia de respaldo hbil del registro de notas, y otros datos de inters para el colegio, debido a que los backups se encuentra en la computadora de la Subdireccin y dentro del mismo servidor y por ende si falla la aplicacin central hay gran probabilidad de que los backups no sirvan para una recuperacin.

2.2.4. Riesgos en el proceso de Pago de pensiones y otros pagos adicionales

o Riesgo a que el registro donde guarda el control de los pagos recibidos sea extrado o modificado, por personas no autorizadas.

o Riesgo de que la tarjeta de control de pago o alguno de los comprobantes con lo que cuenta el padre para dar fe del pago realizado se pierda o resulte modificado.

31

o Riesgo que los reportes recibidos del banco conteniendo la relacin de padres que han cumplido con el pago de la pensin de hijo se extrave.

o Cada vez que se recibe un pago el dinero es guardado dentro de la oficina de Tesorera, el lugar donde se va juntando ese dinero durante el da no resulta ser el adecuado puesto que se va almacenando en un cajn del escritorio de la oficina.

o Tomando en cuenta que el local no cuenta con vigilancia est expuesto a robos y por ende hay un riesgo latente de la prdida de ese dinero y otros activos de la institucin.

2.2.5. Riesgos en el proceso de desembolso de dinero

o Riesgo de que alguien pueda obtener una suma de dinero sin estar debidamente autorizado.

o Riesgo de que los gastos realizados no cuenten con el sustento (comprobante de pago) correspondiente.

o Riesgo de que el registro donde lleva el control de los desembolsos realizados se extrave o resulte alterado.

2.2.6. Riesgos generales de la institucin

o Riesgo de sufrir algn intento de ingreso indebido a la red del colegio por medio de la aplicacin web con la que cuenta la institucin, poniendo en peligro la integridad, confidencialidad y disponibilidad de la informacin que se almacena.

o Riesgo de que alguien que se conecte a la red interna del colegio pueda tener acceso a informacin confidencial de la Direccin del colegio.

2.3. Controles

Luego de haber identificado los riesgos dentro de la institucin se pasa a identificar los controles que se deben aplicar para poder mitigar los riesgos y mantenerlos en un nivel aceptable.

2.3.1. Controles en el proceso de Matrcula

o PO2.3 Esquema de clasificacin de datos: Establecer un esquema de clasificacin de datos que aplique a todo el colegio, basado en que tan crtica y

32

sensible es la informacin (esto es, pblica, confidencial, secreta). Este esquema incluye detalles acerca de la propiedad de datos, la definicin de niveles apropiados de seguridad, de controles de proteccin, y de una breve descripcin de los requerimientos de retencin y destruccin de datos, adems de que tan crticos y sensibles. Se usa como una base para aplicar controles como el control de acceso o archivo.[COBIT2006]

o DS5.3 Administracin de identidad: Todos los usuarios (internos, externos y temporales) y su actividad deben ser identificables de manera nica. Los derechos de acceso del usuario a sistemas, datos y archivos deben estar alineados con necesidades de negocio definidas y documentadas y con requerimientos de trabajo. Los derechos de acceso del usuario son solicitados por el superior del usuario, aprobados por el responsable del sistema o dueo de la informacin e implementado o cedido por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen registrados. [COBIT2006]

2.3.2. Controles en el proceso de Retiro de un alumno del colegio


2.3.3. Controles en el proceso de Generacin de boletas y planillones de notas

o PO2.2 Diccionario de datos empresarial y reglas de sintaxis de datos: El mantener un diccionario facilita la comparacin de elementos de datos entre las aplicaciones y sistemas, fomenta un entendimiento comn de datos entre los usuarios del colegio, y previene la creacin de elementos de datos incompatibles. [COBIT2006]

33

o PO2.4 Administracin de la integridad: Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrnico, tales como bases de datos, almacenes de datos y archivos. [COBIT2006]

o PO4.11 Segregacin de funciones: Implantar una divisin de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crtico. La gerencia tambin se asegura de que el personal realice solo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas. [COBIT2006]

o PO4.13 Personal clave: Definir e identificar al personal clave de TI y minimizar la dependencia excesiva en ellos. Debe existir un plan para contactar al personal clave en caso de emergencia. [COBIT2006]

o PO7.5 Dependencia sobre los individuos: Minimizar la exposicin a dependencias crticas sobre individuos clave por medio de la captura del conocimiento (documentacin), compartir el conocimiento, planeacin de la sucesin y respaldos de personal. [COBIT2006]

o DS4.9 Almacenamiento de respaldo fuera de las instalaciones: Almacenar fuera de las instalaciones todos los medios de respaldo, documentacin y otros recursos crticos, necesarios para la recuperacin y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal. La administracin del sitio de almacenamiento externo a las instalaciones, debe apegarse a la poltica de clasificacin de datos y a las prcticas de almacenamiento de datos de la empresa. La Direccin debe asegurar que los acuerdos con sitios externos sean evaluados peridicamente, al menos una vez por ao, respecto al contenido, a la proteccin ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y peridicamente probar y renovar los datos archivados. [COBIT2006]

o DS5.4 Administracin de las cuentas del usuario: Garantizar que la solicitud, establecimiento, emisin, suspensin, modificacin y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por quin administra la aplicacin web. Debe incluirse un procedimiento que describa al responsable de los datos o de la aplicacin como otorgar los privilegios de acceso. Estos procedimientos deben aplicar para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones

34

relacionados al acceso a la aplicacin e informacin del colegio son acordados contractualmente para todos los tipos de usuarios. Los encargados deben llevar a cabo una revisin regular de todas las cuentas y los privilegios asociados. [COBIT2006]

o DS10.2 Rastreo y resolucin de problemas: El sistema de administracin de problemas debe mantener pistas de auditora adecuadas que permitan rastrear, analizar y determinar la causa raz de todos los problemas reportados considerando: - Todos los elementos de configuracin asociados - Problemas e incidentes sobresalientes - Errores conocidos y sospechados Identificar e iniciar soluciones sostenibles indicando la causa raz, incrementando las solicitudes de cambio por medio del proceso de administracin de cambios establecido. En todo el proceso de resolucin, la administracin de problemas debe obtener reportes regulares de la administracin de cambios sobre el progreso en la resolucin de problemas o errores. La administracin de problemas debe monitorear el continuo impacto de los problemas y errores conocidos en los servicios a los usuarios. [COBIT2006]

o DS11.5 Respaldo y restauracin: Definir e implementar procedimientos de respaldo y restauracin de los sistemas, datos y configuraciones que estn alineados con los requerimientos del negocio y con el plan de continuidad. Verificar el cumplimiento de los procedimientos de respaldo y verificar la capacidad y el tiempo requerido para tener una restauracin completa y exitosa. Probar los medios de respaldo y el proceso de restauracin. [COBIT2006]

o DS13.5 Mantenimiento preventivo del hardware: Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminucin del desempeo. [COBIT2006]

2.3.4. Controles en el proceso de Pago de pensiones y otros pagos adicionales

o DS4.2 Planes de continuidad: Desarrollar planes de continuidad de TI con base en el marco de trabajo, diseado para reducir el impacto de una interrupcin mayor de las funciones y los procesos clave del negocio. Los planes deben

35

considerar requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperacin de todos los servicios crticos de TI. Tambin deben cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicacin y el enfoque de pruebas. [COBIT2006]

o DS4.5 Pruebas del Plan de continuidad: Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementacin de un plan de accin. Considerar el alcance de las pruebas de recuperacin en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas integradas con el proveedor. [COBIT2006]


o DS5.7 Proteccin de la tecnologa: Garantizar que la tecnologa importante no sea susceptible de sabotaje y que la documentacin de seguridad no se divulgue de forma innecesaria, es decir, que mantenga un perfil bajo. Sin embargo no hay que hacer que la seguridad de los sistemas dependa de la confidencialidad de las especificaciones de seguridad. [COBIT2006]

o DS12.2 Medidas de seguridad: Definir e implementar medidas de seguridad fsicas alineadas con los requerimientos del colegio. Las medidas deben incluir, pero no limitarse al esquema del permetro de seguridad, de las zonas de seguridad, la ubicacin de equipo crtico. Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolucin de incidentes de seguridad fsica. [COBIT2006]

o DS12.5 Administracin de instalaciones fsicas: Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energa, de acuerdo con las leyes y los reglamentos, los requerimientos tcnicos y del

36

negocio, las especificaciones del proveedor y los lineamientos de seguridad y salud. [COBIT2006]

2.3.5. Controles en el proceso de desembolso de dinero

o PO4.1 Definir los procesos, la organizacin y las relaciones: Definir un marco de trabajo para el proceso. Este marco incluye estructura y relaciones de procesos de (administrando brechas y superposiciones de procesos), propiedad, medicin del desempeo, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. El marco de trabajo de procesos debe estar integrado en un sistema de administracin de calidad y en un marco de trabajo de control interno. [COBIT2006]


2.3.6. Controles generales de la institucin o PO3.2 Plan de infraestructura tecnolgica: Crear y mantener un plan de

infraestructura tecnolgica que est de acuerdo con los planes estratgicos y tcticos de TI. El plan se basa en la direccin tecnolgica e incluye acuerdos para contingencias y orientacin para la adquisicin de recursos tecnolgicos. Tambin toma en cuenta los cambios en el ambiente competitivo, las economas de escala en la obtencin de equipo de sistemas de informacin, y la mejora en la interoperabilidad de las plataformas y las aplicaciones. [COBIT2006]

o PO4.9 Propiedad de datos y de sistemas: Proporcionar al colegio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de informacin. Los propietarios toman decisiones sobre la clasificacin de la informacin y sobre cmo protegerlos de acuerdo a esta clasificacin. [COBIT2006]

37

o PO4.10 Supervisin: Implantar prcticas adecuadas de supervisin para garantizar que los roles y las responsabilidades se ejerzan de forma apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y responsabilidades y para revisar en general los indicadores clave de desempeo. [COBIT2006]

o PO7.3 Asignacin de roles: Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y compensacin del personal, incluyendo el requisito de adherirse a las polticas y procedimientos administrativos, as como al cdigo de tica y prcticas profesionales. Los trminos y condiciones de empleo deben enfatizar la responsabilidad del empleado respecto a la seguridad de la informacin, al control interno y al cumplimiento regulatorio. El nivel de supervisin debe estar de acuerdo con la sensibilidad del puesto y el grado de responsabilidades asignadas. [COBIT2006]

o PO7.8 Cambios y terminacin de trabajo: Tomar medidas expeditas respecto a los cambios en los puestos, en especial las terminaciones. Se debe realizar la transferencia del conocimiento, reasignar responsabilidades y se deben eliminar los privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de la funcin. [COBIT2006]

o AI3.1 Plan de adquisicin de infraestructura tecnolgica: Generar un plan para adquirir, implantar y mantener la infraestructura tecnolgica que satisfaga los requerimientos establecidos funcionales y tcnicos del negocio, y que est de acuerdo con la direccin tecnolgica de la organizacin. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transicin, riesgos tecnolgicos y vida til de la inversin para actualizaciones de tecnologa. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al aadir nueva capacidad tcnica. [COBIT2006]

o AI5.1 Control de adquisicin: Desarrollar y seguir un conjunto de procedimientos y estndares consistente con el proceso general de adquisiciones de la organizacin y con la estrategia de adquisicin, para garantizar que la adquisicin de infraestructura, instalaciones, hardware, software y servicios relacionados con TI, satisfagan los requerimientos del negocio. [COBIT2006]

o DS5.10 Seguridad de la red: Garantizar que se utilizan tcnicas de seguridad y procedimientos de administracin asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentacin de redes, y deteccin de intrusos) para autorizar

38

acceso y controlar los flujos de informacin desde y hacia las redes. [COBIT2006]

o DS7.2 Imparticin de entrenamiento y educacin: Con base en las necesidades de entrenamiento identificadas, identificar: a los grupos objetivo y a sus miembros, a los mecanismos de imparticin eficientes, a maestros, instructores y consejeros. Designar instructores y organizar el entrenamiento con tiempo suficiente. Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones de desempeo. [COBIT2006]

o DS11.6 Requerimientos de seguridad para la administracin de datos: Establecer mecanismos para identificar y aplicar requerimientos de seguridad aplicables a la recepcin, procesamiento, almacenamiento fsico y entrega de informacin. Esto incluye registros fsicos, transmisiones de datos y cualquier informacin almacenada fuera del sitio. [COBIT2006]

o ME1.2 Definicin y recoleccin de datos de monitoreo: Garantizar que la Direccin, defina un conjunto balanceado de objetivos, mediciones, metas y comparaciones de desempeo y que estas se encuentren acordadas formalmente con el negocio y otros interesados relevantes. Los indicadores de desempeo deberan incluir: - La contribucin al colegio que incluya, pero que no se limite a, la informacin

financiera. - Desempeo contra el plan estratgico del colegio. - Riesgo y cumplimiento de las regulaciones. - Satisfaccin del usuario. - Procesos clave de la aplicacin web que incluyan desarrollo y entrega del

servicio. - Actividades orientadas a futuro, como tecnologa emergente, infraestructura

re-utilizable, habilidades del personal del colegio, entre otros. Se deben establecer procesos para recolectar informacin oportuna y precisa para reportar el avance contra las metas. [COBIT2006]

o ME1.3 Mtodo de monitoreo: Garantizar que el proceso de monitoreo implante un mtodo que brinde una visin sucinta y desde todos los ngulos del desempeo y que se adapte al sistema de monitoreo del colegio. [COBIT2006]

o ME1.6 Acciones correctivas: Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeo, evaluacin y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las evaluaciones con: - Revisin, negociacin y establecimiento de respuestas administrativas. - Asignacin de responsabilidades por la correccin

39

- Rastreo de los resultados de las acciones comprometidas. [COBIT2006]

2.4. Matriz de riesgos

En los puntos 2.2 y 2.3 de la presente seccin se encuentran identificados los riesgos y controles de cada proceso dentro del colegio, los cuales se muestran a continuacin en un consolidado, identificando el problema, impacto, criterio de seguridad afectado y los controles necesarios.

Fuente de origen Problema Riesgo Impacto

Criterio de Seguridad afectado

Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

Humano

Dejar expuesto la hoja de control en la cual se hace el registro de la separacin de la matrcula

Prdida o modificacin del contenido de los registros de separacin de la matrcula

Afectara al alumno de quin se est separando su matrcula puesto que los datos que se haban consignado en un inicio no sean ya los mismos.

X X X

Esquema de clasificacin de datos

Administracin de identidad

Humano

Poca proteccin fsica de los documentos

Riesgo en la seguridad (secuestro o intimidacin), discriminacin o sentimiento de incomodidad de quienes sufren la revelacin de su informacin (documentos pertenecientes a los alumnos y padres de familia).

Afectara la imagen de la institucin puesto que nadie percibe como una buena administracin un lugar en el cual la informacin sale a la luz sin contar con la debida autorizacin de los implicados

X



41



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

Humano


Riesgo de que terceros pongan en cuestionamiento las decisiones que toma la Direccin

Afectara la imagen de la institucin puesto que la Direccin debe tener autoridad en la institucin y personas que se ven relacionadas con el colegio.

X



Proceso


Riesgo de que al momento en que se busquen los documentos para devolverlos (cuando se retira un alumno), stos no se encuentren conformes (que hayan sufrido alguna modificacin) o simplemente que ya no se encuentren.

Afectara la imagen de la institucin puesto que sera un indicador de que el centro educativo permite el acceso a personas que no respetan las normas sociales y por tanto personas que no seran un buen modelo para los alumnos.

X X


42



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

Proceso

Dependencia de personal Riesgo de que la institucin quede paralizada en caso la persona que administra la aplicacin web deje de asistir.

Afectara las operaciones de generacin de boletas y planillones de notas, impidiendo que stas puedan ser entregadas en el momento que corresponde.

X

Diccionario de datos Segregacin de

funciones Personal clave

Dependencia sobre los individuos

Proceso

Concentracin de permisos en una persona

Riesgo de que las notas que se registren no sean las correctas, debido a que no hay alguien que verifique y controle el trabajo realizado por la persona que tiene concentracin de permisos sobre la aplicacin web.

Afectara la imagen de la institucin puesto que no se tendra seguridad si la informacin reflejada en las boletas y planillones de notas es ntegra.

X

Diccionario de datos Administracin de la

integridad Segregacin de

funciones Dependencia sobre los

individuos Administracin de las

cuentas del usuario

43



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

Rastreo y resolucin de problemas

Tecnolgico

Proceso poco eficiente para la impresin de boletas de notas

Riesgo que las notas impresas no correspondan a la persona que indica en la cartula

Afectara la imagen de la institucin puesto que los padres de familia y alumnos se veran fastidiados de que las boletas no reflejen las notas correspondientes.

X

Administracin de la integridad

Proceso

No tener establecido la forma de obtencin de los backups, la proteccin de los mismos ni las pruebas de verificacin de su correcto funcionamiento.

Riesgo de que en caso se necesiten utilizar los backups estos no funcionen de forma adecuada o sencillamente no se cuente con todas las copias que se necesiten para poder

Afectara las operaciones del colegio, puesto que al no poder restaurar todos los datos no podran continuar con sus actividades normales, tomara un mayor tiempo tratar de reunir todos los

X

Almacenamiento de respaldo fuera de las instalaciones

Respaldo y restauracin Mantenimiento

preventivo del hardware

44



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

restaurar todos los datos. datos e informacin que result perdida atenindose al riesgo de que mucha de la informacin ya no pueda ser completada

Humano

Poca proteccin de los registros de los pagos recibidos y el dinero en efectivo.

Riesgo que alguien pueda substraer los registros de pago o el dinero.

Retrasara el proceso de control de pagos puesto que se tendra que hacer una revisin ms exhaustiva de todas las tarjetas de pago que se registraron en esa fecha. Tambin se afectara la imagen de la institucin puesto que al perderse el registro del pago

X X X


Medidas de seguridad

45



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

realizado se tendra al alumno como falto de pago.

Humano

Poca proteccin de las tarjetas de control de pago.

Riesgo que alguien pueda substraer las tarjetas de control de pago que se mantienen en el colegio o modificar el contenido de las mismas.

Retrasara el proceso de control de pagos puesto que se tendra que pedir a los padres de quienes no se encuentra su tarjeta que se acerquen y validar el pago que figura all con el de los registros de pago que se mantienen en el colegio

X X X


Humano

Poca proteccin de los reportes entregados por el banco.

Riesgo de que los reportes que se hacen presente al colegio por parte del banco sea

Afectara la libertad de toma de decisin puesto que los que han tomado conocimiento de cuanto

X X X


46



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

revisado o manipulado por la persona inadecuada

es el monto de dinero que tiene ingreso el colegio podra poner en cuestionamiento las decisiones que la Direccin pueda tomar referente al uso que le da al mismo.

Humano

Poca proteccin del local del colegio.

Riesgo de que pueda sufrir un robo y por tanto la prdida de dinero, equipos donde administran y almacenan su informacin, y activos (sean estos o no de informacin)

Afectara a nivel econmico puesto que estaran perdiendo elementos que suelen utilizar para el normal desarrollo de sus actividades. En caso de perder activos de informacin significa una

X X X

Planes de continuidad Pruebas del Plan de

continuidad Administracin de

instalaciones fsicas Proteccin de la

tecnologa Medidas de seguridad

47



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

prdida mayor puesto que sta no resulta tan sencilla de poder reunir en caso sta pueda ser recuperada

Proceso

La falta de regulacin para controlar el proceso de desembolso de dinero

Riesgo de que alguien pueda obtener una suma de dinero sin estar debidamente autorizado para ello

Perjudicara al colegio a nivel econmico puesto que es una prdida siempre el dinero no se use a favor del colegio.

X

Definir los procesos, la organizacin y las relaciones


Proceso

Poca proteccin de los reportes conteniendo los desembolsos de dinero.

Riesgo de que las personas que solicitaron el dinero con autorizacin de la Direccin no le den el uso bajo el cual obtuvieron la autorizacin.

Generara un problema econmico puesto el monto desembolsado no va en beneficio alguno para el colegio.

X


Humano Poca proteccin de los Riesgo que alguien pueda Perjudicara al colegio a X X X Administracin de

48



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

registros de los desembolsos realizados

substraer los registros de desembolso de dinero

nivel econmico puesto que no tendra como respaldar la salida de dinero existente.

identidad

Tecnolgico

La no existencia de copias de seguridad de la informacin

Riesgo que las computadoras o dispositivos en los que se guarda la informacin se malogre o sea substrada

Perjudicara totalmente el desarrollo normal de las actividades del colegio puesto que ya nos contaran con el histrico de notas de los alumnos que estudiaron dentro del colegio.

X

Planes de continuidad Pruebas del Plan de

continuidad Proteccin de la

tecnologa

Tecnolgico

Poca proteccin de acceso a las computadoras del personal administrativo

Riesgo de que personas no autorizadas puedan acceder, modificar o extraer la informacin almacenada dentro de las

Perjudicara al colegio puesto que no tendra seguridad de que los datos que tiene registrados sean

X X X

Requerimientos de seguridad para la administracin de datos

49



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

computadoras verdicos, exigiendo que haya un esfuerzo mayor en toda una tarea de comprobacin de los datos.

Tecnolgico

La aplicacin web no cuenta con todas las medidas de proteccin para prevenir el ataque de cualquier ente externo.

Riesgo de que alguien externo pueda penetrar a la red interna del colegio, por medio de algn ataque de red.

Afectara la confiabilidad en la aplicacin que estn usando ya que no se tendra la seguridad de que la informacin que figura all es real o puede haber sido alterada por alguien

X X X

Seguridad de la red

Tecnolgico

Mantener una sola red de internet para el rea Administrativa y dems usuarios de internet

Riesgo de que alguien de la institucin acceda a informacin confidencial del rea administrativa o

Afectara la confiabilidad de la informacin que manejan dentro del rea administrativa debido a

X X X

Seguridad de la red

50



Controles

C

o

n

f

i

d

e

n

c

i

a

l

i

d

a

d

I

n

t

e

g

r

i

d

a

d

D

i

s

p

o

n

i

b

i

l

i

d

a

d

dentro del colegio. docente. que cabe la posibilidad de que alguien pueda haber accedido a la red la informacin que maneja el rea administrativa y pueda haberla modificado.

2.5. Clasificacin de riesgos Para poder realizar la clasificacin de riesgos se va utilizar las tablas de Medidas cualitativas de consecuencia e impacto, Medidas cualitativas de probabilidad y Matriz de anlisis de riesgo cualitativo nivel de riesgo, tales tablas se encuentran en la seccin de anexos, Anexo 4.3, 4.4 y 4.5 respectivamente.

Riesgo Nivel de impacto Nivel de

probabilidad Nivel de riesgo

Prdida o modificacin del contenido de los registros de separacin de la matrcula

Moderado Improbable Riesgo moderado

Riesgo en la seguridad (secuestro o intimidacin), discriminacin o sentimiento de incomodidad de quienes sufren la revelacin de su informacin (documentos pertenecientes a los alumnos y padres de familia).

Catastrfico Posible Extremo riesgo

Riesgo de que terceros pongan en cuestionamiento las decisiones que toma la Direccin

Mayor Posible Extremo riesgo

Riesgo de que al momento en que se busquen los documentos para devolverlos (cuando se retira un alumno), stos no se

Catastrfico Raro Riesgo alto

52



encuentren

conformes (que hayan sufrido alguna modificacin) o simplemente que ya no se encuentren.

Riesgo de que la institucin quede paralizada en caso la persona que administra la aplicacin web deje de asistir.

Mayor Improbable Riesgo alto

Riesgo de que las notas que se registren no sean las correctas, debido a que no hay alguien que verifique y controle el trabajo realizado por la persona que tiene concentracin de permisos sobre la aplicacin web.

Catastrfico Improbable Extremo riesgo

Riesgo que las notas impresas no correspondan a la persona que indica en la cartula

Mayor Posible Extremo riesgo

Riesgo de que en caso se necesiten utilizar los backups estos no funcionen de forma adecuada o sencillamente no se cuente con todas las


53



copias que se necesiten para poder restaurar todos los datos.

Riesgo que alguien pueda substraer los registros de pago o el dinero.


Riesgo que alguien pueda substraer las tarjetas de control de pago que se mantienen en el colegio o modificar el contenido de las mismas.


Riesgo de que los reportes que se hacen presente al colegio por parte del banco sea revisado o manipulado por la persona inadecuada

Moderado Posible Riesgo alto

Riesgo de que pueda sufrir un robo y por tanto la prdida de dinero, equipos donde administran y almacenan su informacin, y activos (sean estos o no de informacin)


Riesgo de que alguien pueda obtener una suma de dinero sin estar debidamente

Moderado Raro Riesgo moderado

54



autorizado para ello

Riesgo de que las personas que solicitaron el dinero con autorizacin de la Direccin no le den el uso bajo el cual obtuvieron la autorizacin.

Menor Improbable Riesgo bajo

Riesgo que alguien pueda substraer los registros de desembolso de dinero

Moderado Improbable Riesgo moderado

Riesgo que las computadoras o dispositivos en los que se guarda la informacin se malogre o sea substrada


Riesgo de que personas no autorizadas puedan acceder, modificar o extraer la informacin almacenada dentro de las computadoras

Catastrfico Improbable Extremo riesgo

Riesgo de que alguien externo pueda penetrar a la red interna del colegio, por medio de algn ataque de red.


Riesgo de que Catastrfico Posible Extremo riesgo

55



alguien de la institucin acceda a informacin confidencial del rea administrativa o docente.

3. Elaboracin de poltica, procedimientos y normas

Para que se puedan tener una gua de cmo desarrollar las actividades dentro del centro educativo se presenta una propuesta de poltica, procedimientos y normas que se han elaborado en base a la situacin del colegio y adoptan las mejores prcticas de seguridad para que el centro educativo pueda dar la proteccin debida a su activo primordial que es la informacin.

3.1. Poltica de seguridad

Es un documento general que refleja el compromiso de las autoridades del colegio frente a la seguridad de informacin, sealando las principales responsabilidades, as como lineamientos para los participantes en el SGSI La poltica de informacin se encuentra en el Anexo 4.6.

3.2. Procedimientos

Es un documento que determina las acciones o tareas que se tienen que llevar a cabo. Son una especificacin de pasos en la ejecucin de un proceso o actividad que trata de garantizar que en su ejecucin se consideran aspectos de seguridad. Los procedimientos de seguridad se encuentran en el Anexo 4.7.

3.3. Normas

Es un documento que contiene un conjunto de reglas, recomendaciones y controles que dan respaldo a la Poltica de Seguridad, stas se deben ajustar al desarrollo de

56

las operaciones. Tambin se las puede considerar cono una gua de actuacin o un patrn de referencia. Las normas de seguridad se encuentran en el Anexo 4.8

57

4. Anexos

4.1. Estndar Australiano Administracin de riesgos (AS/NZS 4360:2004): Definiciones necesarias para su aplicacin

o Aceptacin de riesgos: Decisin de aceptar las consecuencias y probabilidad de un riesgo en particular.

o Administracin de riesgos: Cultura, procesos y estructuras que estn dirigidas hacia la administracin efectiva de oportunidades potenciales y efectos adversos.

o Anlisis de riesgo: Uso sistemtico de la informacin disponible para determinar con qu frecuencia pueden ocurrir eventos especificados y cul sera la magnitud de sus consecuencias.

o Azar de riesgo: Fuente de dao potencial o una situacin con potencial para causar prdidas.

o Consecuencia: Resultado de un evento expresado cualitativa o cuantitativamente, sea este perjuicio o ganancia.

o Control de riesgos: Parte de la administracin de riesgos que involucra la implementacin de polticas, estndares, procedimientos y cambios fsicos para eliminar o minimizar los riesgos adversos.

o Evaluacin de riesgos: Proceso utilizado para determinar las prioridades de administracin de riesgos comparando el nivel de riesgo respecto de estndares predeterminados u otro criterio.

o Evento: Incidente o situacin, que ocurre en un lugar particular durante un intervalo de tiempo particular.

o Financiamiento de riesgos: Mtodos aplicados para examinar el tratamiento de riesgos y las consecuencias financieras de los mismos.

o Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de ocurrencias de un evento en un tiempo dado.

o Identificacin de riesgos: Proceso de determinar qu puede suceder, por qu y cmo.

o Ingeniera de riesgos: Aplicacin de principios y mtodos de ingeniera a la administracin de riesgos.

58

o Monitoreo: Comprobar, supervisar, observar crticamente, o registrar el progreso de una actividad, accin o sistema en forma sistemtica para identificar cambios.

o Prdida: Cualquier consecuencia negativa, financiera o de otro tipo. o Probabilidad: Probabilidad de un evento especfico o resultado,

medido por el coeficiente de eventos o resultados especficos en relacin a la cantidad total de posibles eventos o resultados.

o Proceso de administracin de riesgos: Aplicacin sistemtica de polticas, procedimientos y prcticas de administracin a las tareas de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos.

o Retencin de riesgos: Retener la responsabilidad por las prdidas, o la carga financiera de las prdidas dentro de la organizacin.

o Riesgo residual: Nivel restante de riesgo luego de tomar medidas de tratamiento del riesgo.

o Riesgo: la posibilidad de que suceda algo que tendr un impacto sobre los objetivos. Se mide en trminos de consecuencias y probabilidades.

o Transferir riesgos: Cambiar la responsabilidad o carga por las prdidas a una tercera parte mediante legislacin, contrato, seguros u otros medios. Transferir riesgos tambin se puede referir a cambiar un riesgo fsico, o parte el mismo a otro sitio.

o Tratamiento de riesgos: Seleccin e implementacin de opciones apropiadas para tratar el riesgo.

La administracin de riesgos es una parte integral del proceso de administracin, los elementos principales de este proceso se detallan a continuacin y pueden el flujo puede ser visualizado en la figura 4.1 :

o Establecer el contexto: Se especifica la relacin de la empresa con su entorno identificando las fortalezas, oportunidades, debilidades y amenazas de la organizacin abarcando los campos financieros, operativos, competitivos, polticos, sociales, culturales y legales.

o Identificar riesgos. o Analizar riesgos: Puede ser llevado con distintos grados de

refinamiento dependiendo de la informacin de riesgos y datos disponibles. El orden de complejidad y costo de los anlisis en forma ascendente es:

59

Cualitativo: Utiliza formato de palabras o escalas descriptivas para referirse a la magnitud de las consecuencias potenciales y la probabilidad de que ocurran. Semi-cuantitativo: A las escalas cualitativas se les asigna un valor que no necesita guardar relacin precisa con la magnitud real de las consecuencias. Cuantitativo: Utiliza valores numricos para las consecuencias y probabilidades haciendo uso de distintas fuentes. La calidad del anlisis depende de la precisin e integridad de los valores numricos utilizados.

o Evaluar riesgos: Consiste en comparar el nivel de riesgo detectado durante el proceso de anlisis con criterios de riesgo establecidos previamente. El resultado de una evaluacin de riesgo es una lista de riesgos con prioridades para una accin posterior.

o Tratar riesgos: Involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos.

o Monitorear y revisar: Necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. Pocos riesgos permanecen estticos.

o Comunicar y consultar: Es importante desarrollar un plan de comunicacin para los interesados tanto internos como externos en la etapa ms temprana del proceso. El plan debera encarar aspectos relativos al riesgo en s y al proceso para administrarlo.

La administracin de riesgos se puede aplicar en todos los niveles dentro de la organizacin desde el estratgico hasta el operativo. Con cada ciclo, los criterios de riesgos se pueden fortalecer para alcanzar progresivamente mejores niveles de administracin de riesgos.Para empezar el proceso de administracin se debe establecer la estructura de trabajo, el cual va depender de la naturaleza de los riesgos y del alcance del proyecto o actividad. [AUSTRALIANO1999]

60

4.2. ISO/IEC FDIS 27001:2005 Secciones que componen esta ISO

La ISO/IEC 27001:2005 comprende once secciones:

o Poltica de seguridad: Provee gestin de direccin y soporte para la seguridad de informacin de acuerdo con los requerimientos del negocio, regulaciones y leyes relevantes.

o Organizacin de la seguridad de la informacin: Se separa en: Organizacin interna, que se encarga de administrar la

seguridad de la informacin tras la organizacin. Seguridad en los accesos de terceras partes, que se encarga

de mantener la seguridad de la informacin de la organizacin, y de las instalaciones del procesamiento de informacin y debe establecer controles para conceder el acceso a las partes externas.

o Gestin de activos: Se separa en: Responsabilidad sobre los activos, que se encarga de

conseguir y mantener una adecuada proteccin de los activos organizacionales.

[Figura 4.1] Vista general de administracin de riesgos. Basado en [AUSTRALIANO1999]

61

Clasificacin de la informacin, que se encarga de asegurar de que la informacin reciba el nivel apropiado de proteccin

o Seguridad de los recursos humanos: Se separa en: Previo al empleo, que se encarga de asegurar que los

empleados, contratantes y terceras partes involucradas entiendan sus responsabilidades, que sus roles sean los adecuados para los cuales fueron considerados y de reducir el riesgo de robo, fraude y uso indebido de las instalaciones.

Durante el empleo, que se encarga de asegurar que todos los empleados, contratantes y terceras partes involucradas estn conscientes de las amenazas a la seguridad, sus responsabilidades y obligaciones, revisar si estn equipados para soportar la poltica de seguridad en el curso de su trabajo normal y reducir el riesgo de error humano.

Terminacin o cambio de empleo, que se encarga de que empleados, contratantes y terceras partes involucradas salgan de la organizacin de una forma ordenada.

o Seguridad fsica y ambiental: Se separa en: reas seguras, que se encarga de prevenir accesos fsicos no

autorizados, daos e interferencia de los locales y la informacin de la organizacin.

Seguridad de los equipos, que se encarga de prevenir prdida, dao, robo de activos o interrupcin de las actividades de la organizacin.

o Gestin de comunicaciones y operaciones: Se separa en: Procedimient

20040573_documentos de tesis.pdf

Documents