Este documento presenta los resultados de un diagnóstico de la seguridad de la información realizado en la Universidad Nacional Agraria de la Selva basado en las normas ISO 27001 y 27002. El diagnóstico incluyó la elaboración de modelos empresariales, matrices y análisis de oportunidades de información para evaluar los procesos, estrategias, entidades y organización de la universidad y sus implicancias para la seguridad de la información.
1. DIAGNÓSTICO DE LA
SEGURIDAD DE LA
INFORMACIÓN CON LA
NORMA ISO 27000 EN LA
UNIVERSIDAD NACIONAL
AGRARIA DE LA SELVA
febrero
21
2015
- Yanac Montesino R.
- García Villegas, Christian
- Ponce Guizabalo Santos Víctor
- Liviapoma
-Pozo Malpartida, Jorge L.
UNIVERSIDAD NACIONAL
“HERMILIO VALDIZAN”
ESCUELA DE POST GRADO
2. INFORME DE DIAGNÓSTICO DE SEGURIDAD DE LA INFORMACIÓN CON LA
ISO 27000
Introducción
El presente trabajo realizado sobre el diagnostico situacional de la seguridad de la información de la
Universidad Nacional Agraria de la Selva basado en la Norma ISO 27001 y 27002.
Misión
Promover el liderazgo y excelencia a través de la formación de profesionales, con un enfoque científico,
tecnológico, humanístico y social que permita administrar de manera sustentable la biodiversidad, la
producción, la industrialización y comercialización de los recursos naturales renovables. Asimismo,
convertirnos en la institución educativa de mayor prestigio en la amazonía, aplicando programas de
extensión que permitan el desarrollo integral de la persona, de acuerdo con las necesidades regionales
y nacionales.
Visión
"Es una comunidad académica, humanista, científica y productiva que avanza hacia la excelencia en
educación integral y transferencia tecnológica para el desarrollo sostenible de la Amazonía."
3. I. PERSPECTIVAS DEL NEGOCIO
1.1 Ambiente del negocio
La universidad con la finalidad de impartir enseñanza superior, brindar el servicio
académico, investigación, proyección y extensión de manera integral se ve comprometido
de afianzar políticas de intervención en mejora continua, así mismo desarrollar
investigación científica -tecnológica y atender las necesidades de servicios a la
comunidad universitaria y no universitaria, que estén expresadas como atendidos
eficientemente por la universidad.
Teniendo la Visión de la UNAS al 2021 en ser líder e innovadora en la formación de
profesionales, con valores y estándares de calidad, comprometida con la biodiversidad y
la gestión integral para el desarrollo sostenible del país y el mundo.
1.2 Objetivos:
1.2.1.1 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la
investigación, la extensión y proyección social.
1.2.1.2 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la
investigación, la extensión y proyección social.
1.2.1.3 Mejorar y promover la calidad y productividad de la investigación científica,
tecnológica e innovadora orientada al desarrollo sostenible.
1.2.1.4 Mejorar y promover la calidad y productividad de la investigación científica,
tecnológica e innovadora orientada al desarrollo sostenible.
1.2.1.5 Mejorar y promover la calidad y productividad de la investigación científica,
tecnológica e innovadora orientada al desarrollo sostenible.
1.2.1.6 Desarrollar, fortalecer y promover la capacidad de extensión y proyección
universitaria articulada con la sociedad.
1.2.1.7 Desarrollar, fortalecer y promover la capacidad de extensión y proyección
universitaria articulada con la sociedad.
1.2.1.8 Desarrollar un sistema de gestión de calidad institucional.
1.2.1.9 Desarrollar un sistema de gestión de calidad institucional.
1.2.1.10 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación
profesional.
1.2.1.11 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación
profesional.
1.2.1.12 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación
profesional.
1.2.2 Estrategias
1.2.2.1 Capacitación permanente en sus funciones de las carreras profesionales.
1.2.2.2 Establecer mecanismos de supervisión y evaluación docente.
1.2.2.3 Implementar una política de incentivos por méritos académicos.
1.2.2.4 Estudio de la demanda social en función a los problemas del grupo de
interés.
1.2.2.5 Evaluación permanente del cumplimiento de los indicadores del currículo
por competencias.
1.2.2.6 Capacitación en estrategias de enseñanza aprendizaje orientada en la
formación por competencias (ABP, casuística, aprendizaje basa en
proyectos, clase magistral, otros).
1.2.2.7 Evaluación de la satisfacción de la aplicación de las estrategias enseñanza
– aprendizaje.
1.2.2.8 Implementar un ciclo propedéutico para selección de los ingresantes.
1.2.2.9 Implementar un mecanismo de examen diferenciado a postulantes.
1.2.2.10 Elaborar la propuesta técnica de creación del vicerrectorado de
investigación.
4. 1.2.2.11 Aprobación de la propuesta técnica por asamblea universitaria.
1.2.2.12 Elaborar un proyecto de inversión para la construcción, implementación y
capacitación del vicerrectorado de investigación.
1.2.2.13 Diseñar e implementar el sistema de gestión de calidad con énfasis en la
investigación.
1.2.2.14 Implementar un incentivo por producción intelectual acreditada.
1.2.2.15 Reglamentar y promover tesis con investigaciones multidisciplinarias y
multiautores.
1.2.2.16 Reglamentar y promover la categorización del docente investigador.
1.2.2.17 Implementar mesas de trabajo de discusión científica y tecnológica con los
grupos de interés.
1.2.2.18 Incluir las líneas de investigación en el proceso de la investigación
formativa.
1.2.2.19 Conformación de redes de investigadores inter y trans institucional.
1.2.2.20 Formar equipos de trabajo para formular propuestas de proyectos con
financiamiento interno y externo.
1.2.2.21 Establecer alianzas estratégicas estado - universidad – empresa.
1.2.2.22 Certificar laboratorios especializados.
1.2.2.23 Implementar programas de capacitación en metodologías de investigación
científica, tecnológica e innovación.
1.2.2.24 Capacitación en programas de desarrollo de publicaciones, patentes y
propiedad intelectual.
1.2.2.25 Institucionalizar las Jornadas científicas en una fecha definida de manera
periódica.
1.2.2.26 Aumentar la visibilidad de la producción científica y tecnológica.
1.2.2.27 Creación de los institutos y centros de investigación en las carreras
profesionales.
1.2.2.28 Desarrollar proyectos de inversión con fines de investigación en la frontera
del conocimiento.
1.2.2.29 Racionalizar y optimizar el uso de los laboratorios.
1.2.2.30 Diseñar e implementar el sistema de gestión de calidad en extensión y
proyección.
1.2.2.31 Realizar un estudio de necesidades y potencialidades de extensión y
proyección.
1.2.2.32 Definir las funciones y responsabilidades de OPUII orientadas a la
consolidación del vínculo entre la universidad y la sociedad.
1.2.2.33 Suscribir y ejecutar convenios interinstitucionales.
1.2.2.34 Articular las labores de extensión y proyección universitaria a la
enseñanza e investigación.
1.2.2.35 Identificar indicadores de evaluación de metas cumplidas en actividades
de extensión y proyección social.
1.2.2.36 Elaborar anualmente una agenda de actividades de extensión y
proyección en función de las necesidades y por especialidades.
1.2.2.37 Formalizar programas de capacitación no formal en capacidades técnicas
y que involucre a todas las facultades.
1.2.2.38 Elaborar documentos de difusión para incrementar el impacto de la
extensión y proyección.
1.2.2.39 Mejorar los reglamentos generales y de organización y funciones.
1.2.2.40 Actualizar los Manuales de procedimientos.
1.2.2.41 Diseñar e implementar el Sistema de Gestión de la Calidad en función del
modelo de calidad educativa.
1.2.2.42 Aprobar e implementar el plan estratégico articulado al POI y PPR.
5. 1.2.2.43 Sensibilización y empoderamiento del PEI en todas las dependencias de la
Universidad.
1.2.2.44 Actualizar y reformular los documentos de gestión (estatuto y
reglamentos).
1.2.2.45 Implementar mecanismos de monitoreo y seguimiento del plan estratégico
para la mejora continua de los procesos orientado al cumplimiento de los
resultados.
1.2.2.46 Establecer anualmente una comisión ad hoc para realizar el monitoreo y
seguimiento del PEI.
1.2.2.47 Incrementar la visibilidad de los documentos normativos de gestión
académica y administrativa.
1.2.2.48 Crear el repositorio o centro de documentación e información científica y
de gestión institucional, disponible al público en general.
1.2.2.49 Aumentar la transparencia de los procesos académicos y administrativos.
1.2.2.50 Implementar un sistema de acceso de los padres de familia a los datos
académicos de sus hijos estudiantes.
1.2.2.51 Contratar una evaluación externa de las actividades de los docentes
(racionalización).
1.2.2.52 Implementar un reglamento de selección de docentes por méritos,
experiencia y capacidad acreditados.
1.2.2.53 Establecer una política de incentivos para el retorno de Doctores y
maestros peruanos trabajando en el extranjero.
1.2.2.54 Establecer un programa de capacitación permanente en sus funciones, en
un idioma extranjero, y en las TICs.
1.2.2.55 Contratar una evaluación externa de las actividades del personal
administrativo (racionalización).
1.2.2.56 Implementar un reglamento de selección de personal administrativo por
méritos, experiencia y capacidad acreditados.
1.2.2.57 Establecer un programa de capacitación permanente en sus funciones, en
un idioma extranjero, y en las TICs.
1.2.2.58 Establecer cuadros permanentes de personal administrativo.
1.2.2.59 Acondicionar ambientes adecuados y reglamentos de uso para una
atención personalizada de tutoría.
1.2.2.60 Incluir la labor de tutoría y consejería en las estructuras curriculares.
1.2.2.61 Capacitar y sensibilizar a los docentes para realizar acciones de tutoría y
consejería.
1.2.2.62 Establecer un sistema de premiación a la excelencia académica, de
investigación, de extensión y proyección social.
1.2.2.63 Fortalecer las áreas de asistencia social y psicología.
1.2.2.64 Implementar programas de planificación orientación y prevención de ETS.
1.2.2.65 Fortalecer la Oficina General de Administración en gestión de recursos
financieros.
1.2.2.66 Racionalización y centralización de reactivos de laboratorio de útiles de
escritorio y materiales de vidrio en función de necesidades.
1.2.2.67 Racionalizar la asignación de bienes y equipos para uso de las
dependencias académicas y administrativas.
1.2.2.68 Racionalizar el uso de la red de las dependencias académicas y
administrativas.
1.2.2.69 Realizar el estudio de Desarrollo Físico y Urbanístico de la UNAS.
1.2.2.70 Desarrollo de un proyecto de inversión pública para el mejoramiento de la
calidad académica, investigación, extensión y proyección.
1.2.2.71 Gestionar el financiamiento externo de los PIPs de la UNAS.
6. 1.2.2.72 Constituir los comités consultivos.
1.2.2.73 Conformación de mesas técnicas y de concertación articulada al Plan de
Desarrollo Regional.
1.2.2.74 Institucionalizar eventos físicos y virtuales de difusión, consulta y debate
con los egresados.
1.2.2.75 Implementar un sistema integral de información agrario de la región.
1.2.2.76 Implementar un sistema de información de hojas de vida de la comunidad
universitaria (red laboral).
II. HALLAZGOS
4.1 Modelo de Empresa
Elaboración del modelo de la Universidad Nacional Agraria de la Selva
Modelo de la Universidad Nacional Agraria de la Selva
9. Universidad Nacional Agraria de la Selva
Matriz Estrategias v.s. Organización
Responsabilidad primaria + Participación Mayor / Participación
Menor
10. Universidad Nacional Agraria de la Selva
Matriz Procesos v.s. Organización
Responsabilidad primaria + Participación Mayor / Participación
Menor
11. Universidad Nacional Agraria de la Selva
Matriz Procesos v.s. Estrategias
Responsabilidad primaria + Participación Mayor / Participación Menor
12. Universidad Nacional Agraria de la Selva
Matriz Procesos v.s. Entidades
Responsabilidad primaria + Participación Mayor / Participación Menor
13. Universidad Nacional Agraria de la Selva
Matriz Procesos v.s. Entidades
Responsabilidad primaria + Participación Mayor / Participación Menor
14. Universidad Nacional Agraria de la Selva
Matriz Entidades v.s. Organización
Responsabilidad primaria + Participación Mayor / Participación Menor
15. 4.2 Oportunidades de Información y Análisis de las Oportunidades de Información
Universidad Nacional Agraria de la Selva
Procesos / Entidad
Procesos
Gestionar recursos humanos OI1,OI16
Gestionar el Bienestar Universitario O12,OI17
Gestión de Infraestructura y equipamiento OI3
Gestión de recursos económicos y financieros OI4, OI18
GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19
COOPERACION INTERINSTITUCIONAL OI6
Promoción del arte, la cultura y el deporte OI7
Gestión de Formación profesional OI8,OI20,OI21
Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23
Gestión de extensión Univ. y proyección social OI10,OI24
Planeamiento estratégica Institucional OI11
Gestión de proyectos OI12
Planeamiento operativo OI13
Gestión de la calidad OI14
Gestión de Sistema de información y comunicación OI15
Entidades
Estudiante OI25,OI26,OI27
Docente OI28,OI29
Trab.Admi OI30
Fac. OI31,OI32
Lab. OI33,OI34
Pab. OI35
Aulas OI36
Sede OI37
Servicio OI38,OI39
Componente OI40
Ma.Prima OI41
Suministro OI42
Equipo OI43
N°matric. OI44
Req.Serv. OI45
Ord.Compre OI46
Factu OI47
Proy. OI48
Audit. OI49
Universidad Nacional Agraria de la Selva
16. 1
Impacto de Procesos en Estrategias
ESTRATEGIAS
PROCESOS
Gestionar recursos humanos / 4
Gestionar el Bienestar Universitario 3
Gestion de Infraestructura y equipamiento / 7
Gestion de recursos economicos y financieros / 4
GESTION DE LA INFORMACION Y COMUNICACIÓN / 4
COOPERACION INTERINSTITUCIONAL / 4
Promoción del arte, la cultura y el deporte / 1
Gestión de Formacion profesional / / 4
Gestion de Investigacion-desarrollo-innovacion / 7
Gestion de extension univ. y proyeccion social 3
Planeamiento estrategica Institucional / 4
Gestion de proyectos 6
Planeamiento operativo / 7
Gestion de la calidad 12
Gestion de Sistema de informacion y comunicación 12
conformación
de redes de
investigador
es inter y
trans
institucional
Incrementar la
visibilidad de los
documentos
normativos de
gestión académica
y administrativa
Suscribir y
ejecutar
convenios
inter
institucio
nales.
Contratar una
evaluación
externa de las
actividades de
los docentes
(racionalización
)
Capacitacion
permanente
en sus
funciones de
las carreras
profesionale
s
Establecer
mecanismos
de
supervisión y
evaluación
docente
Evaluación
permanente del
cumplimiento
de los
indicadores del
curriculo por
competencias
Incluir las
lineas de
investigació
n en el
proceso de
investigació
n formativa
Aprobación de
la propuesta
técnica por
asamblea
universitaria
Diseñar e
implementar
el sistema de
gestión de
calidad en
extensión y
proyección
17. 2
Universidad Nacional Agraria de la Selva
Impacto de Entidades en Estrategias
Universidad Nacional Agraria de la Selva
Beneficios y Demanda
Procesos BEN DEM
Gestionar recursos humanos OI1,OI16 09 02
Gestionar el Bienestar Universitario O12,OI17 06 02
Gestión de Infraestructura y equipamiento OI3 04 01
Gestión de recursos económicos y financieros OI4, OI18 07 02
GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19 08 02
COOPERACION INTERINSTITUCIONAL OI6 04 01
Promoción del arte, la cultura y el deporte OI7 03 01
Gestión de Formación profesional OI8,OI20,OI21 14 03
Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23 15 03
Gestión de extensión Univ. y proyección social OI10,OI24 08 02
Planeamiento estratégica Institucional OI11 04 01
Gestión de proyectos OI12 04 01
Planeamiento operativo OI13 03 01
Gestión de la calidad OI14 05 01
Gestión de Sistema de información y comunicación OI15 04 01
Entidades
Estudiante OI25,OI26,OI27 13 03
Docente OI28,OI29 09 02
Trab.Admi OI30 03 01
Fac. OI31,OI32 08 02
Lab. OI33,OI34 07 02
Pab. OI35 02 01
Aulas OI36 02 01
Sede OI37 02 01
ESTRATEGIAS
ENTIDADES …
Estudiante 6
Docente 21
Trab.Admi 3
Fac. 15
Lab. 6
Pab. 3
aulas 3
sede / 1
servicio 12
Componente / 1
Ma.Prima 0
Suministro 0
Equipo / 1
N°matricula / / 2
Req.Serv. / / 2
Ord.Compra 0
Factura / 1
Proyecto / 4
Auditoria 3
conformación
de redes de
investigadores
inter y trans
institucional
Incrementar la
visibilidad de
los documentos
normativos de
gestión
académica y
administrativa
Suscribir y
ejecutar
convenios
inter
institucionale
s.
Contratar una
evaluación
externa de las
actividades de
los docentes
(racionalizació
n)
Capacitacion
permanente en
sus funciones de
las carreras
profesionales
Establecer
mecanismos
de
supervisión y
evaluación
docente
Evaluación
permanente del
cumplimiento de
los indicadores
del curriculo por
competencias
Incluir las
lineas de
investigación
en el proceso
de
investigación
formativa
Aprobación
de la
propuesta
técnica por
asamblea
universitaria
Diseñar e
implementar el
sistema de
gestión de
calidad en
extensión y
proyección
18. 3
ISO
ISO 27001 APLICADO EN LA UNAS
ISO/IEC 27001
Análisis referencial
Nmeral Dominio o descripción
porcentaje de
implementación
4.2 Establecer y manejar el SGSI 9%
4.2.1 Establecer el SGSI 24%
4.2.1 a) Definición del alcance 30%
4.2.1 b) Definición de política 30%
4.2.1 c) Definición de valoración del riesgo 35%
4.2.1 d) Identificar los riesgos 45%
4.2.1 e) Analizar y evaluar riesgos 25%
4.2.1 f)
Identificar y evaluar opciones para el
tratamiento
25%
4.2.1 g)
Seleccionar objetivos de control y
controles
0%
4.2.1 h)
Obtener aprobación de la gerencia para
riesgos residuales
25%
4.2.1 i)
Obtener autorización de la gerencia
para implementar SGSI
25%
4.2.1 j) Preparar el enunciado de aplicabilidad 0%
4.2.2 Implementar y operar el SGSI 11%
4.2.2 a) Implementar y operar SGSI 0%
4.2.2 b) Implementación tratamiento de riesgo 25%
4.2.2 c) Implementar controles 10%
4.2.2 d) Definir como medir efectividad 0%
4.2.2 e) Implementar programas de capacitación 15%
4.2.2 f) Manejar operación SGSI 0%
4.2.2 g) Manejar recurso SGSI 25%
4.2.2 h)
Implementar procedimientos y otros
controles
10%
4.2.3 Requerimientos de documentación 1%
4.2.3 a)
Ejecutar procedimientos monitoreo y
revisión
5%
4.2.3 b) Realizar revisiones regulares 0%
4.2.3 c) Medir efectividad de los controles 0%
4.2.3 d) Revisar las revisiones de riesgos 0%
4.2.3 e) Realizar auditorias internas al SGSI 0%
4.2.3 f) Realizar revisión gerencial 0%
19. 4
4.2.3 g) Actualizar planes de seguridad 0%
4.2.3 h)
Registro de acciones y eventos sobre el
SGSI
0%
4.2.4 Mantener y mejorar el SGSI 3%
4.2.4 a) Implementar mejoras 0%
4.2.4 b)
Tomar acciones correctivas y
preventivas
5%
4.2.4 c)
comunicar los resultados y acciones a
las partes interesadas
5%
4.2.4 d)
Asegurar que las mejoras logren sus
objetivos
0%
4.3 Requerimientos de documentación 3%
4.3.1 General: Documentación SGSI 10%
4.3.2 Control de documentos 0%
4.3.3 Control de registros 0%
5 Responsabilidad de la gerencia 6%
5.1 Compromisos de la gerencia 10%
5.2 Gestión de recursos 5%
5.2.1 provisión de recursos 5%
5.2.2 Capacitación, conocimiento y capacidad 5%
6 Auditorias Internas SGSI 5%
7 Revisión gerencial SGSI 5%
7.1 General: Revisión de la gerencia 10%
7.2 Insumo de revisión 5%
7.3 Resultado de la revisión 0%
8 mejoramiento del SGSI 5%
8.1 Mejoramiento continuo 5%
8.2 Acción correctiva 5%
8.3 Acción preventiva 5%
Nivel de implementación
5,67%
Porcentaje de
implementación
Descripción del porcentaje
0% No se tiene implementación
25% Se ha iniciado la implementación
o está en etapa de planeación
50% Esta implementado, pero no se ha
aprobado ni divulgado.
100% Esta implementado, aprobado y
divulgado, además se monitorea.
20. 5
ISO 27002 APLICADO EN LA UNAS
Anexo A: ISO 27002
Análisis referencial
Numeral Dominio o descripción
porcentaje de
implementación
A.5 Politicas de seguridad 0%
A.5.1.1 Documento de la política de seguridad de la información.
0%
A.5.1.2 Revisión de la política de seguridad de la información.
0%
A.6 Organización de la seguridad de la Información
17%
A.6.1.1 Compromiso de la dirección con la seguridad de la información
10%
A.6.1.2 Coordinación de la seguridad de la información.
10%
A.6.1.3
Asignación de responsabilidades para la seguridad de la
información. 15%
A.6.1.4
Procesos de autorización para los servicios de procesamiento
de información. 25%
A.6.1.5 Acuerdos sobre confidencialidad 25%
A.6.1.6 Contacto con las autoridades 25%
A.6.1.7 Contacto con grupos de interés especiales 15%
A.6.1.8 Revisión independiente de la seguridad de la información 10%
A.6.2.1
Identificación de los riesgos relacionados con las partes
externas 0%
A.6.2.2
Consideraciones de la seguridad cuando se trata con los
clientes 25%
A.6.2.3
Consideraciones de la seguridad en los acuerdos con terceras
partes 25%
A.7 Gestión de activos 25%
A.7.1.1 Inventario de activos 25%
A.7.1.2 Propiedad de los activos 25%
A.7.1.3 Uso aceptable de los activos 25%
A.7.2.1 Directrices de clasificación 25%
A.7.2.2 Etiquetado y manejo de información 25%
A.8 Seguridad de los recursos humanos 44%
A.8.1.1 Roles y responsabilidades 25%
A.8.1.2 Selección 70%
A.8.1.3 Términos y condiciones laborales
60%
A.8.2.1 Responsabilidades de la dirección
50%
A.8.2.2
Educación, formación y concientización sobre la seguridad de
la información 45%
A.8.2.3 Proceso disciplinario 60%
21. 6
A.8.3.1 Responsabilidades en la terminación 25%
A.8.3.2 Devolución de activos 30%
A.8.3.3 Retiro de los derechos de acceso 30%
A.9 Seguridad física y ambiental 50%
A.9.1.1 Perímetro de seguridad física
60%
A.9.1.2 Controles de acceso físico 60%
A.9.1.3 Seguridad de oficinas, recintos e instalaciones
60%
A.9.1.4 Protección contra amenazas externas y ambientales 60%
A.9.1.5 Trabajo en áreas seguras 60%
A.9.1.6 Áreas de carga, despacho y acceso público 60%
A.9.2.1 Ubicación y protección de los equipos 60%
A.9.2.2 Servicios de suministro 25%
A.9.2.3 Seguridad del cableado 60%
A.9.2.4 Mantenimiento de los equipos 45%
A.9.2.5 Seguridad de los equipos fuera de las instalaciones
45%
A.9.2.6 Seguridad en la reutilización o eliminación de los equipos
25%
A.9.2.7 Retiro de activos 25%
A.10 Gestión de las comunicacione y operaciones 35%
A.10.1.1 Documentación de los procedimientos de operación
35%
A.10.1.2 Gestión del cambio 15%
A.10.1.3 Distribución de funciones 25%
A.10.1.4
Separación de las instalaciones de desarrollo, ensayo y
operación 60%
A.10.2.1 Prestación del servicio
60%
A.10.2.2 Monitoreo y revisión de los servicios por terceras partes 25%
A.10.2.3 Gestión de los cambios en servicios por terceras partes
20%
A.10.3.1 Gestión de la capacidad 30%
A.10.3.2 Aceptación del sistema 25%
A.10.4.1 Controles contra códigos maliciosos 25%
A.10.4.2 Controles contra códigos móviles
15%
A.10.5.1 Respaldo de la información 75%
A.10.6.1 Controles de las redes 75%
A.10.6.2 Seguridad de los servicios de la red 75%
A.10.7.1 Gestión de los medios removibles
15%
A.10.7.2 Eliminación de los medios
25%
A.10.7.3 Procedimientos para el manejo de la información
15%
22. 7
A.10.7.4 Seguridad de la documentación del sistema 20%
A.10.8.1
Políticas y procedimientos para el intercambio de la
información 10%
A.10.8.2 Acuerdos para el intercambio 10%
A.10.8.3 Medios físicos en tránsito 15%
A.10.8.4 Mensajería electrónica 60%
A.10.8.5 Sistemas de información del negocio 25%
A.10.9.1 Comercio electrónico 60%
A.10.9.2 Transacciones en línea 65%
A.10.9.3 Información disponible al público
75%
A.10.10.1 Registro de auditorías
30%
A.10.10.2 Monitoreo del uso del sistema 30%
A.10.10.3 Protección de la información del registro 25%
A.10.10.4 Registros del administrador y del operador 45%
A.10.10.5 Registro de fallas 25%
A.10.10.6 Sincronización de relojes 25%
A.11 Control de acceso 56%
A.11.1.1 Política de control de acceso 45%
A.11.2.1 Registro de usuarios 65%
A.11.2.2 Gestión de privilegios 60%
A.11.2.3 Gestión de contraseñas para usuario 60%
A.11.2.4 Revisión de los derechos de acceso de los usuarios 30%
A.11.3.1 Uso de contraseñas 60%
A.11.3.2 Equipo de usuario desatendido 45%
A.11.3.3 Política de escritorio despejado y de pantalla despejada 30%
A.11.4.1 Política de uso de los servicios de red 60%
A.11.4.2 Autenticación de usuarios para conexiones externas 95%
A.11.4.3 Identificación de los equipos en las redes 60%
A.11.4.4
Protección de los puertos de configuración y diagnóstico
remoto
65%
A.11.4.5 Separación en las redes 65%
A.11.4.6 Control de conexión a las redes 65%
A.11.4.7 Control de enrutamiento en la red 75%
A.11.5.1 Procedimientos de ingreso seguro
50%
A.11.5.2 Identificación y autenticación de usuarios 50%
A.11.5.3 Sistema de gestión de contraseñas 50%
A.11.5.4 Uso de las utilidades del sistema 75%
A.11.5.5 Tiempo de inactividad de la sesión
85%
23. 8
A.11.5.6 Limitación del tiempo de conexión 50%
A.11.6.1 Restricción de acceso a la información 50%
A.11.6.2 Aislamiento de sistemas sensibles 25%
A.11.7.1 Computación y comunicaciones móviles 45%
A.11.7.2 Trabajo remoto 50%
A.12
Adquisición, desarrollo y mantenimiento de los sistemas de
información
51%
A.12.1.1 Análisis y especificación de los requisitos de seguridad
50%
A.12.2.1 Validación de los datos de entrada 40%
A.12.2.2 Control de procesamiento interno
40%
A.12.2.3 Integridad del mensaje
50%
A.12.2.4 Validación de los datos de salida
40%
A.12.3.1 Política sobre el uso de controles criptográficos
50%
A.12.3.2 Gestión de llaves 60%
A.12.4.1 Control del software operativo 90%
A.12.4.2 Protección de los datos de prueba del sistema
10%
A.12.4.3 Control de acceso al código fuente de los programas 50%
A.12.5.1 Procedimientos de control de cambios
65%
A.12.5.2
Revisión técnica de las aplicaciones después de los cambios en
el sIstema operativo 60%
A.12.5.3 Restricciones en los cambios a los paquetes de software
60%
A.12.5.4 Fuga de información
50%
A.12.5.5 Desarrollo de software contratado externamente
50%
A.12.6.1 Control de vulnerabilidades técnicas
50%
A.13 Gestión de incidentes de seguridad de la información 48%
A.13.1.1 Reporte sobre los eventos de seguridad de la información
45%
A.13.1.2 Reportes sobre las debilidades de la seguridad
45%
A.13.2.1 Responsabilidades y procedimientos 50%
A.13.2.2
Aprendizaje debido a los incidentes de seguridad de la
información 50%
A.13.2.3 Recolección de evidencia
50%
A.14 Gestión de la continuidad del negocio 29%
24. 9
A.14.1.1
Inclusión de la seguridad de la inf. En el proceso de gestión de
la continuidad del negocio 25%
A.14.1.2 Continuidad del negocio y evaluación de riesgos 45%
A.14.1.3
Desarrollo e implementación de planes de continuidad que
incluyen la seguridad de la inf. 25%
A.14.1.4 Estructura para la planificación de la continuidad del negocio
25%
A.14.1.5
Pruebas, mantenimiento y reevaluación de los planes de
continuidad del negocio 25%
A.15 Cumplimiento 54%
A.15.1.1 Identificación de legislación aplicable
65%
A.15.1.2 Derechos de propiedad intelectual (DPI) 90%
A.15.1.3 Protección de los registros de la organización 70%
A.15.1.4
Protección de los datos y privacidad de la información
personal 90%
A.15.1.5
Prevención del uso inadecuado de los servicios de
procesamiento de información 50%
A.15.1.6 Reglamentación de los controles criptográficos
65%
A.15.2.1 Cumplimiento con las políticas y normas de seguridad
30%
A.15.2.2 Verificación del cumplimiento técnico
25%
A.15.3.1 Controles de auditoría de los sistemas de información
25%
A.15.3.2
Protección de las herramientas de auditoría de los sistemas de
información
25%
Nivel de
implementación
37,15%
Porcentaje de
implementación
Descripción del porcentaje
0% No se tiene implementación
25% Se ha iniciado la implementación o
está en etapa de planeación
50% Esta implementado, pero no se ha
aprobado ni divulgado.
100% Esta implementado, aprobado y
divulgado, además se monitorea.
25. 28%
10%
18%
14%
15%
15%
ISO 27001: Nive de implementación
Establecer y manejar el SGSI
Requerimientos de documentación
Responsabilidad de la gerencia
Auditorias Internas SGSI
Revisión gerencial SGSI
mejoramiento del SGSI
RESUMEN DE LA ISO 27001 Y LA 27002 EN LA UNAS
ISO 27001
Numeral Dominio Porcentaje cumplimiento Nivel Ideal
4.2 Establecer y manejar el SGSI 9,4% 100%
4.3 Requerimientos de documentación 3,3% 100%
5 Responsabilidad de la gerencia 6,3% 100%
6 Auditorias Internas SGSI 5,0% 100%
7 Revisión gerencial SGSI 5,0% 100%
8 mejoramiento del SGSI 5,0% 100%
5,67%
27. 1
ISO 27002
Numeral Dominio Porcentaje cumplimiento Nivel proyectado - META Nivel IDEAL
A.5 A.5 Politicas de seguridad 0,00% 85% 100%
A.6 A.6 Organización de la seguridad de la Información 16,82% 85% 100%
A.7 A.7 Gestión de activos 25,00% 85% 100%
A.8 A.8 Seguridad de los recursos humanos 43,89% 85% 100%
A.9 A.9 Seguridad física y ambiental 49,62% 85% 100%
A.10 A.10 Gestión de las comunic y oper 35,47% 85% 100%
A.11 A.11 Control de acceso 56,40% 85% 100%
A.12 A.12 Adquisición, dllo y mante. de SI 50,94% 85% 100%
A.13
A.13 Gestión de incidentes de seguridad de la
información 48,00% 85% 100%
A.14 A.14 Gestión de la continuidad del negocio 29,00% 85% 100%
A.15 A.15 Cumplimiento 53,50% 85% 100%
37,15%
0% 4% 6%
11%
12%
9%
14%
12%
12%
7% 13%
ISO 27002: Nivel de implementación
A.5 Politicas de seguridad
A.6 Organización de la
seguridad de la Información
A.7 Gestión de activos
A.8 Seguridad de los
recursos humanos
A.9 Seguridad física y
ambiental
28. 2
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
A.5 Politicas de seguridad
A.6 Organización de la
seguridad de la Información
A.7 Gestión de activos
A.8 Seguridad de los recursos
humanos
A.9 Seguridad física y
ambiental
A.10 Gestión de las comunic y
oper
A.11 Control de acceso
A.12 Adquisición, dllo y
mante. de SI
A.13 Gestión de incidentes de
seguridad de la información
A.14 Gestión de la
continuidad del negocio
A.15 Cumplimiento
Nivel implementación ISO 27002
Estado Actual
Nivel proyectado-META
Nivel ideal
30. 1
CONCLUSIONES
- De acuerdo al estudio y diagnóstico de la seguridad de la información con
respecto al ISO 27001 de la Universidad Nacional Agraria de la Selva es de
5.67 % deduciendo que no se tiene implementado la norma ISO 27001
- De acuerdo al estudio y diagnóstico de la seguridad de la información con
respecto al ISO 27002 de la Universidad Nacional Agraria de la Selva es de
37.15 % deduciendo que se ha iniciado la implementación o está en la etapa
de planeación de la norma ISO 27001