SlideShare una empresa de Scribd logo

Diagnóstico ISO 27000 UNAS

UNAS
UNAS

Este documento presenta los resultados de un diagnóstico de la seguridad de la información realizado en la Universidad Nacional Agraria de la Selva basado en las normas ISO 27001 y 27002. El diagnóstico incluyó la elaboración de modelos empresariales, matrices y análisis de oportunidades de información para evaluar los procesos, estrategias, entidades y organización de la universidad y sus implicancias para la seguridad de la información.

Educación
1 de 31
Descargar para leer sin conexión
DIAGNÓSTICO DE LA SEGURIDAD DE LA INFORMACIÓN CON LA NORMA ISO 27000 EN LA UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA febrero 21 2015 - Yanac Montesino R. - García Villegas, Christian - Ponce Guizabalo Santos Víctor - Liviapoma -Pozo Malpartida, Jorge L. UNIVERSIDAD NACIONAL “HERMILIO VALDIZAN” ESCUELA DE POST GRADO
INFORME DE DIAGNÓSTICO DE SEGURIDAD DE LA INFORMACIÓN CON LA ISO 27000 Introducción El presente trabajo realizado sobre el diagnostico situacional de la seguridad de la información de la Universidad Nacional Agraria de la Selva basado en la Norma ISO 27001 y 27002. Misión Promover el liderazgo y excelencia a través de la formación de profesionales, con un enfoque científico, tecnológico, humanístico y social que permita administrar de manera sustentable la biodiversidad, la producción, la industrialización y comercialización de los recursos naturales renovables. Asimismo, convertirnos en la institución educativa de mayor prestigio en la amazonía, aplicando programas de extensión que permitan el desarrollo integral de la persona, de acuerdo con las necesidades regionales y nacionales. Visión "Es una comunidad académica, humanista, científica y productiva que avanza hacia la excelencia en educación integral y transferencia tecnológica para el desarrollo sostenible de la Amazonía."
I. PERSPECTIVAS DEL NEGOCIO 1.1 Ambiente del negocio La universidad con la finalidad de impartir enseñanza superior, brindar el servicio académico, investigación, proyección y extensión de manera integral se ve comprometido de afianzar políticas de intervención en mejora continua, así mismo desarrollar investigación científica -tecnológica y atender las necesidades de servicios a la comunidad universitaria y no universitaria, que estén expresadas como atendidos eficientemente por la universidad. Teniendo la Visión de la UNAS al 2021 en ser líder e innovadora en la formación de profesionales, con valores y estándares de calidad, comprometida con la biodiversidad y la gestión integral para el desarrollo sostenible del país y el mundo. 1.2 Objetivos: 1.2.1.1 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la investigación, la extensión y proyección social. 1.2.1.2 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la investigación, la extensión y proyección social. 1.2.1.3 Mejorar y promover la calidad y productividad de la investigación científica, tecnológica e innovadora orientada al desarrollo sostenible. 1.2.1.4 Mejorar y promover la calidad y productividad de la investigación científica, tecnológica e innovadora orientada al desarrollo sostenible. 1.2.1.5 Mejorar y promover la calidad y productividad de la investigación científica, tecnológica e innovadora orientada al desarrollo sostenible. 1.2.1.6 Desarrollar, fortalecer y promover la capacidad de extensión y proyección universitaria articulada con la sociedad. 1.2.1.7 Desarrollar, fortalecer y promover la capacidad de extensión y proyección universitaria articulada con la sociedad. 1.2.1.8 Desarrollar un sistema de gestión de calidad institucional. 1.2.1.9 Desarrollar un sistema de gestión de calidad institucional. 1.2.1.10 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación profesional. 1.2.1.11 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación profesional. 1.2.1.12 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación profesional. 1.2.2 Estrategias 1.2.2.1 Capacitación permanente en sus funciones de las carreras profesionales. 1.2.2.2 Establecer mecanismos de supervisión y evaluación docente. 1.2.2.3 Implementar una política de incentivos por méritos académicos. 1.2.2.4 Estudio de la demanda social en función a los problemas del grupo de interés. 1.2.2.5 Evaluación permanente del cumplimiento de los indicadores del currículo por competencias. 1.2.2.6 Capacitación en estrategias de enseñanza aprendizaje orientada en la formación por competencias (ABP, casuística, aprendizaje basa en proyectos, clase magistral, otros). 1.2.2.7 Evaluación de la satisfacción de la aplicación de las estrategias enseñanza – aprendizaje. 1.2.2.8 Implementar un ciclo propedéutico para selección de los ingresantes. 1.2.2.9 Implementar un mecanismo de examen diferenciado a postulantes. 1.2.2.10 Elaborar la propuesta técnica de creación del vicerrectorado de investigación.
1.2.2.11 Aprobación de la propuesta técnica por asamblea universitaria. 1.2.2.12 Elaborar un proyecto de inversión para la construcción, implementación y capacitación del vicerrectorado de investigación. 1.2.2.13 Diseñar e implementar el sistema de gestión de calidad con énfasis en la investigación. 1.2.2.14 Implementar un incentivo por producción intelectual acreditada. 1.2.2.15 Reglamentar y promover tesis con investigaciones multidisciplinarias y multiautores. 1.2.2.16 Reglamentar y promover la categorización del docente investigador. 1.2.2.17 Implementar mesas de trabajo de discusión científica y tecnológica con los grupos de interés. 1.2.2.18 Incluir las líneas de investigación en el proceso de la investigación formativa. 1.2.2.19 Conformación de redes de investigadores inter y trans institucional. 1.2.2.20 Formar equipos de trabajo para formular propuestas de proyectos con financiamiento interno y externo. 1.2.2.21 Establecer alianzas estratégicas estado - universidad – empresa. 1.2.2.22 Certificar laboratorios especializados. 1.2.2.23 Implementar programas de capacitación en metodologías de investigación científica, tecnológica e innovación. 1.2.2.24 Capacitación en programas de desarrollo de publicaciones, patentes y propiedad intelectual. 1.2.2.25 Institucionalizar las Jornadas científicas en una fecha definida de manera periódica. 1.2.2.26 Aumentar la visibilidad de la producción científica y tecnológica. 1.2.2.27 Creación de los institutos y centros de investigación en las carreras profesionales. 1.2.2.28 Desarrollar proyectos de inversión con fines de investigación en la frontera del conocimiento. 1.2.2.29 Racionalizar y optimizar el uso de los laboratorios. 1.2.2.30 Diseñar e implementar el sistema de gestión de calidad en extensión y proyección. 1.2.2.31 Realizar un estudio de necesidades y potencialidades de extensión y proyección. 1.2.2.32 Definir las funciones y responsabilidades de OPUII orientadas a la consolidación del vínculo entre la universidad y la sociedad. 1.2.2.33 Suscribir y ejecutar convenios interinstitucionales. 1.2.2.34 Articular las labores de extensión y proyección universitaria a la enseñanza e investigación. 1.2.2.35 Identificar indicadores de evaluación de metas cumplidas en actividades de extensión y proyección social. 1.2.2.36 Elaborar anualmente una agenda de actividades de extensión y proyección en función de las necesidades y por especialidades. 1.2.2.37 Formalizar programas de capacitación no formal en capacidades técnicas y que involucre a todas las facultades. 1.2.2.38 Elaborar documentos de difusión para incrementar el impacto de la extensión y proyección. 1.2.2.39 Mejorar los reglamentos generales y de organización y funciones. 1.2.2.40 Actualizar los Manuales de procedimientos. 1.2.2.41 Diseñar e implementar el Sistema de Gestión de la Calidad en función del modelo de calidad educativa. 1.2.2.42 Aprobar e implementar el plan estratégico articulado al POI y PPR.
1.2.2.43 Sensibilización y empoderamiento del PEI en todas las dependencias de la Universidad. 1.2.2.44 Actualizar y reformular los documentos de gestión (estatuto y reglamentos). 1.2.2.45 Implementar mecanismos de monitoreo y seguimiento del plan estratégico para la mejora continua de los procesos orientado al cumplimiento de los resultados. 1.2.2.46 Establecer anualmente una comisión ad hoc para realizar el monitoreo y seguimiento del PEI. 1.2.2.47 Incrementar la visibilidad de los documentos normativos de gestión académica y administrativa. 1.2.2.48 Crear el repositorio o centro de documentación e información científica y de gestión institucional, disponible al público en general. 1.2.2.49 Aumentar la transparencia de los procesos académicos y administrativos. 1.2.2.50 Implementar un sistema de acceso de los padres de familia a los datos académicos de sus hijos estudiantes. 1.2.2.51 Contratar una evaluación externa de las actividades de los docentes (racionalización). 1.2.2.52 Implementar un reglamento de selección de docentes por méritos, experiencia y capacidad acreditados. 1.2.2.53 Establecer una política de incentivos para el retorno de Doctores y maestros peruanos trabajando en el extranjero. 1.2.2.54 Establecer un programa de capacitación permanente en sus funciones, en un idioma extranjero, y en las TICs. 1.2.2.55 Contratar una evaluación externa de las actividades del personal administrativo (racionalización). 1.2.2.56 Implementar un reglamento de selección de personal administrativo por méritos, experiencia y capacidad acreditados. 1.2.2.57 Establecer un programa de capacitación permanente en sus funciones, en un idioma extranjero, y en las TICs. 1.2.2.58 Establecer cuadros permanentes de personal administrativo. 1.2.2.59 Acondicionar ambientes adecuados y reglamentos de uso para una atención personalizada de tutoría. 1.2.2.60 Incluir la labor de tutoría y consejería en las estructuras curriculares. 1.2.2.61 Capacitar y sensibilizar a los docentes para realizar acciones de tutoría y consejería. 1.2.2.62 Establecer un sistema de premiación a la excelencia académica, de investigación, de extensión y proyección social. 1.2.2.63 Fortalecer las áreas de asistencia social y psicología. 1.2.2.64 Implementar programas de planificación orientación y prevención de ETS. 1.2.2.65 Fortalecer la Oficina General de Administración en gestión de recursos financieros. 1.2.2.66 Racionalización y centralización de reactivos de laboratorio de útiles de escritorio y materiales de vidrio en función de necesidades. 1.2.2.67 Racionalizar la asignación de bienes y equipos para uso de las dependencias académicas y administrativas. 1.2.2.68 Racionalizar el uso de la red de las dependencias académicas y administrativas. 1.2.2.69 Realizar el estudio de Desarrollo Físico y Urbanístico de la UNAS. 1.2.2.70 Desarrollo de un proyecto de inversión pública para el mejoramiento de la calidad académica, investigación, extensión y proyección. 1.2.2.71 Gestionar el financiamiento externo de los PIPs de la UNAS.
1.2.2.72 Constituir los comités consultivos. 1.2.2.73 Conformación de mesas técnicas y de concertación articulada al Plan de Desarrollo Regional. 1.2.2.74 Institucionalizar eventos físicos y virtuales de difusión, consulta y debate con los egresados. 1.2.2.75 Implementar un sistema integral de información agrario de la región. 1.2.2.76 Implementar un sistema de información de hojas de vida de la comunidad universitaria (red laboral). II. HALLAZGOS 4.1 Modelo de Empresa Elaboración del modelo de la Universidad Nacional Agraria de la Selva Modelo de la Universidad Nacional Agraria de la Selva
Organigrama estructural de la Unas 2012
Universidad Nacional Agraria de la Selva Matriz Estrategias v.s. Organización Responsabilidad primaria + Participación Mayor / Participación Menor
Universidad Nacional Agraria de la Selva Matriz Procesos v.s. Organización Responsabilidad primaria + Participación Mayor / Participación Menor
Universidad Nacional Agraria de la Selva Matriz Procesos v.s. Estrategias Responsabilidad primaria + Participación Mayor / Participación Menor
Universidad Nacional Agraria de la Selva Matriz Procesos v.s. Entidades Responsabilidad primaria + Participación Mayor / Participación Menor
Universidad Nacional Agraria de la Selva Matriz Procesos v.s. Entidades Responsabilidad primaria + Participación Mayor / Participación Menor
Universidad Nacional Agraria de la Selva Matriz Entidades v.s. Organización Responsabilidad primaria + Participación Mayor / Participación Menor
4.2 Oportunidades de Información y Análisis de las Oportunidades de Información Universidad Nacional Agraria de la Selva Procesos / Entidad  Procesos  Gestionar recursos humanos OI1,OI16  Gestionar el Bienestar Universitario O12,OI17  Gestión de Infraestructura y equipamiento OI3  Gestión de recursos económicos y financieros OI4, OI18  GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19  COOPERACION INTERINSTITUCIONAL OI6  Promoción del arte, la cultura y el deporte OI7  Gestión de Formación profesional OI8,OI20,OI21  Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23  Gestión de extensión Univ. y proyección social OI10,OI24  Planeamiento estratégica Institucional OI11  Gestión de proyectos OI12  Planeamiento operativo OI13  Gestión de la calidad OI14  Gestión de Sistema de información y comunicación OI15  Entidades  Estudiante OI25,OI26,OI27  Docente OI28,OI29  Trab.Admi OI30  Fac. OI31,OI32  Lab. OI33,OI34  Pab. OI35  Aulas OI36  Sede OI37  Servicio OI38,OI39  Componente OI40  Ma.Prima OI41  Suministro OI42  Equipo OI43  N°matric. OI44  Req.Serv. OI45  Ord.Compre OI46  Factu OI47  Proy. OI48  Audit. OI49 Universidad Nacional Agraria de la Selva
1 Impacto de Procesos en Estrategias ESTRATEGIAS PROCESOS Gestionar recursos humanos / 4 Gestionar el Bienestar Universitario 3 Gestion de Infraestructura y equipamiento / 7 Gestion de recursos economicos y financieros / 4 GESTION DE LA INFORMACION Y COMUNICACIÓN / 4 COOPERACION INTERINSTITUCIONAL / 4 Promoción del arte, la cultura y el deporte / 1 Gestión de Formacion profesional / / 4 Gestion de Investigacion-desarrollo-innovacion / 7 Gestion de extension univ. y proyeccion social 3 Planeamiento estrategica Institucional / 4 Gestion de proyectos 6 Planeamiento operativo / 7 Gestion de la calidad 12 Gestion de Sistema de informacion y comunicación 12 conformación de redes de investigador es inter y trans institucional Incrementar la visibilidad de los documentos normativos de gestión académica y administrativa Suscribir y ejecutar convenios inter institucio nales. Contratar una evaluación externa de las actividades de los docentes (racionalización ) Capacitacion permanente en sus funciones de las carreras profesionale s Establecer mecanismos de supervisión y evaluación docente Evaluación permanente del cumplimiento de los indicadores del curriculo por competencias Incluir las lineas de investigació n en el proceso de investigació n formativa Aprobación de la propuesta técnica por asamblea universitaria Diseñar e implementar el sistema de gestión de calidad en extensión y proyección
2 Universidad Nacional Agraria de la Selva Impacto de Entidades en Estrategias Universidad Nacional Agraria de la Selva Beneficios y Demanda  Procesos BEN DEM  Gestionar recursos humanos OI1,OI16 09 02  Gestionar el Bienestar Universitario O12,OI17 06 02  Gestión de Infraestructura y equipamiento OI3 04 01  Gestión de recursos económicos y financieros OI4, OI18 07 02  GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19 08 02  COOPERACION INTERINSTITUCIONAL OI6 04 01  Promoción del arte, la cultura y el deporte OI7 03 01  Gestión de Formación profesional OI8,OI20,OI21 14 03  Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23 15 03  Gestión de extensión Univ. y proyección social OI10,OI24 08 02  Planeamiento estratégica Institucional OI11 04 01  Gestión de proyectos OI12 04 01  Planeamiento operativo OI13 03 01  Gestión de la calidad OI14 05 01  Gestión de Sistema de información y comunicación OI15 04 01  Entidades  Estudiante OI25,OI26,OI27 13 03  Docente OI28,OI29 09 02  Trab.Admi OI30 03 01  Fac. OI31,OI32 08 02  Lab. OI33,OI34 07 02  Pab. OI35 02 01  Aulas OI36 02 01  Sede OI37 02 01 ESTRATEGIAS ENTIDADES … Estudiante 6 Docente 21 Trab.Admi 3 Fac. 15 Lab. 6 Pab. 3 aulas 3 sede / 1 servicio 12 Componente / 1 Ma.Prima 0 Suministro 0 Equipo / 1 N°matricula / / 2 Req.Serv. / / 2 Ord.Compra 0 Factura / 1 Proyecto / 4 Auditoria 3 conformación de redes de investigadores inter y trans institucional Incrementar la visibilidad de los documentos normativos de gestión académica y administrativa Suscribir y ejecutar convenios inter institucionale s. Contratar una evaluación externa de las actividades de los docentes (racionalizació n) Capacitacion permanente en sus funciones de las carreras profesionales Establecer mecanismos de supervisión y evaluación docente Evaluación permanente del cumplimiento de los indicadores del curriculo por competencias Incluir las lineas de investigación en el proceso de investigación formativa Aprobación de la propuesta técnica por asamblea universitaria Diseñar e implementar el sistema de gestión de calidad en extensión y proyección
3 ISO ISO 27001 APLICADO EN LA UNAS ISO/IEC 27001 Análisis referencial Nmeral Dominio o descripción porcentaje de implementación 4.2 Establecer y manejar el SGSI 9% 4.2.1 Establecer el SGSI 24% 4.2.1 a) Definición del alcance 30% 4.2.1 b) Definición de política 30% 4.2.1 c) Definición de valoración del riesgo 35% 4.2.1 d) Identificar los riesgos 45% 4.2.1 e) Analizar y evaluar riesgos 25% 4.2.1 f) Identificar y evaluar opciones para el tratamiento 25% 4.2.1 g) Seleccionar objetivos de control y controles 0% 4.2.1 h) Obtener aprobación de la gerencia para riesgos residuales 25% 4.2.1 i) Obtener autorización de la gerencia para implementar SGSI 25% 4.2.1 j) Preparar el enunciado de aplicabilidad 0% 4.2.2 Implementar y operar el SGSI 11% 4.2.2 a) Implementar y operar SGSI 0% 4.2.2 b) Implementación tratamiento de riesgo 25% 4.2.2 c) Implementar controles 10% 4.2.2 d) Definir como medir efectividad 0% 4.2.2 e) Implementar programas de capacitación 15% 4.2.2 f) Manejar operación SGSI 0% 4.2.2 g) Manejar recurso SGSI 25% 4.2.2 h) Implementar procedimientos y otros controles 10% 4.2.3 Requerimientos de documentación 1% 4.2.3 a) Ejecutar procedimientos monitoreo y revisión 5% 4.2.3 b) Realizar revisiones regulares 0% 4.2.3 c) Medir efectividad de los controles 0% 4.2.3 d) Revisar las revisiones de riesgos 0% 4.2.3 e) Realizar auditorias internas al SGSI 0% 4.2.3 f) Realizar revisión gerencial 0%
4 4.2.3 g) Actualizar planes de seguridad 0% 4.2.3 h) Registro de acciones y eventos sobre el SGSI 0% 4.2.4 Mantener y mejorar el SGSI 3% 4.2.4 a) Implementar mejoras 0% 4.2.4 b) Tomar acciones correctivas y preventivas 5% 4.2.4 c) comunicar los resultados y acciones a las partes interesadas 5% 4.2.4 d) Asegurar que las mejoras logren sus objetivos 0% 4.3 Requerimientos de documentación 3% 4.3.1 General: Documentación SGSI 10% 4.3.2 Control de documentos 0% 4.3.3 Control de registros 0% 5 Responsabilidad de la gerencia 6% 5.1 Compromisos de la gerencia 10% 5.2 Gestión de recursos 5% 5.2.1 provisión de recursos 5% 5.2.2 Capacitación, conocimiento y capacidad 5% 6 Auditorias Internas SGSI 5% 7 Revisión gerencial SGSI 5% 7.1 General: Revisión de la gerencia 10% 7.2 Insumo de revisión 5% 7.3 Resultado de la revisión 0% 8 mejoramiento del SGSI 5% 8.1 Mejoramiento continuo 5% 8.2 Acción correctiva 5% 8.3 Acción preventiva 5% Nivel de implementación 5,67% Porcentaje de implementación Descripción del porcentaje 0% No se tiene implementación 25% Se ha iniciado la implementación o está en etapa de planeación 50% Esta implementado, pero no se ha aprobado ni divulgado. 100% Esta implementado, aprobado y divulgado, además se monitorea.
5 ISO 27002 APLICADO EN LA UNAS Anexo A: ISO 27002 Análisis referencial Numeral Dominio o descripción porcentaje de implementación A.5 Politicas de seguridad 0% A.5.1.1 Documento de la política de seguridad de la información. 0% A.5.1.2 Revisión de la política de seguridad de la información. 0% A.6 Organización de la seguridad de la Información 17% A.6.1.1 Compromiso de la dirección con la seguridad de la información 10% A.6.1.2 Coordinación de la seguridad de la información. 10% A.6.1.3 Asignación de responsabilidades para la seguridad de la información. 15% A.6.1.4 Procesos de autorización para los servicios de procesamiento de información. 25% A.6.1.5 Acuerdos sobre confidencialidad 25% A.6.1.6 Contacto con las autoridades 25% A.6.1.7 Contacto con grupos de interés especiales 15% A.6.1.8 Revisión independiente de la seguridad de la información 10% A.6.2.1 Identificación de los riesgos relacionados con las partes externas 0% A.6.2.2 Consideraciones de la seguridad cuando se trata con los clientes 25% A.6.2.3 Consideraciones de la seguridad en los acuerdos con terceras partes 25% A.7 Gestión de activos 25% A.7.1.1 Inventario de activos 25% A.7.1.2 Propiedad de los activos 25% A.7.1.3 Uso aceptable de los activos 25% A.7.2.1 Directrices de clasificación 25% A.7.2.2 Etiquetado y manejo de información 25% A.8 Seguridad de los recursos humanos 44% A.8.1.1 Roles y responsabilidades 25% A.8.1.2 Selección 70% A.8.1.3 Términos y condiciones laborales 60% A.8.2.1 Responsabilidades de la dirección 50% A.8.2.2 Educación, formación y concientización sobre la seguridad de la información 45% A.8.2.3 Proceso disciplinario 60%
6 A.8.3.1 Responsabilidades en la terminación 25% A.8.3.2 Devolución de activos 30% A.8.3.3 Retiro de los derechos de acceso 30% A.9 Seguridad física y ambiental 50% A.9.1.1 Perímetro de seguridad física 60% A.9.1.2 Controles de acceso físico 60% A.9.1.3 Seguridad de oficinas, recintos e instalaciones 60% A.9.1.4 Protección contra amenazas externas y ambientales 60% A.9.1.5 Trabajo en áreas seguras 60% A.9.1.6 Áreas de carga, despacho y acceso público 60% A.9.2.1 Ubicación y protección de los equipos 60% A.9.2.2 Servicios de suministro 25% A.9.2.3 Seguridad del cableado 60% A.9.2.4 Mantenimiento de los equipos 45% A.9.2.5 Seguridad de los equipos fuera de las instalaciones 45% A.9.2.6 Seguridad en la reutilización o eliminación de los equipos 25% A.9.2.7 Retiro de activos 25% A.10 Gestión de las comunicacione y operaciones 35% A.10.1.1 Documentación de los procedimientos de operación 35% A.10.1.2 Gestión del cambio 15% A.10.1.3 Distribución de funciones 25% A.10.1.4 Separación de las instalaciones de desarrollo, ensayo y operación 60% A.10.2.1 Prestación del servicio 60% A.10.2.2 Monitoreo y revisión de los servicios por terceras partes 25% A.10.2.3 Gestión de los cambios en servicios por terceras partes 20% A.10.3.1 Gestión de la capacidad 30% A.10.3.2 Aceptación del sistema 25% A.10.4.1 Controles contra códigos maliciosos 25% A.10.4.2 Controles contra códigos móviles 15% A.10.5.1 Respaldo de la información 75% A.10.6.1 Controles de las redes 75% A.10.6.2 Seguridad de los servicios de la red 75% A.10.7.1 Gestión de los medios removibles 15% A.10.7.2 Eliminación de los medios 25% A.10.7.3 Procedimientos para el manejo de la información 15%
7 A.10.7.4 Seguridad de la documentación del sistema 20% A.10.8.1 Políticas y procedimientos para el intercambio de la información 10% A.10.8.2 Acuerdos para el intercambio 10% A.10.8.3 Medios físicos en tránsito 15% A.10.8.4 Mensajería electrónica 60% A.10.8.5 Sistemas de información del negocio 25% A.10.9.1 Comercio electrónico 60% A.10.9.2 Transacciones en línea 65% A.10.9.3 Información disponible al público 75% A.10.10.1 Registro de auditorías 30% A.10.10.2 Monitoreo del uso del sistema 30% A.10.10.3 Protección de la información del registro 25% A.10.10.4 Registros del administrador y del operador 45% A.10.10.5 Registro de fallas 25% A.10.10.6 Sincronización de relojes 25% A.11 Control de acceso 56% A.11.1.1 Política de control de acceso 45% A.11.2.1 Registro de usuarios 65% A.11.2.2 Gestión de privilegios 60% A.11.2.3 Gestión de contraseñas para usuario 60% A.11.2.4 Revisión de los derechos de acceso de los usuarios 30% A.11.3.1 Uso de contraseñas 60% A.11.3.2 Equipo de usuario desatendido 45% A.11.3.3 Política de escritorio despejado y de pantalla despejada 30% A.11.4.1 Política de uso de los servicios de red 60% A.11.4.2 Autenticación de usuarios para conexiones externas 95% A.11.4.3 Identificación de los equipos en las redes 60% A.11.4.4 Protección de los puertos de configuración y diagnóstico remoto 65% A.11.4.5 Separación en las redes 65% A.11.4.6 Control de conexión a las redes 65% A.11.4.7 Control de enrutamiento en la red 75% A.11.5.1 Procedimientos de ingreso seguro 50% A.11.5.2 Identificación y autenticación de usuarios 50% A.11.5.3 Sistema de gestión de contraseñas 50% A.11.5.4 Uso de las utilidades del sistema 75% A.11.5.5 Tiempo de inactividad de la sesión 85%
8 A.11.5.6 Limitación del tiempo de conexión 50% A.11.6.1 Restricción de acceso a la información 50% A.11.6.2 Aislamiento de sistemas sensibles 25% A.11.7.1 Computación y comunicaciones móviles 45% A.11.7.2 Trabajo remoto 50% A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información 51% A.12.1.1 Análisis y especificación de los requisitos de seguridad 50% A.12.2.1 Validación de los datos de entrada 40% A.12.2.2 Control de procesamiento interno 40% A.12.2.3 Integridad del mensaje 50% A.12.2.4 Validación de los datos de salida 40% A.12.3.1 Política sobre el uso de controles criptográficos 50% A.12.3.2 Gestión de llaves 60% A.12.4.1 Control del software operativo 90% A.12.4.2 Protección de los datos de prueba del sistema 10% A.12.4.3 Control de acceso al código fuente de los programas 50% A.12.5.1 Procedimientos de control de cambios 65% A.12.5.2 Revisión técnica de las aplicaciones después de los cambios en el sIstema operativo 60% A.12.5.3 Restricciones en los cambios a los paquetes de software 60% A.12.5.4 Fuga de información 50% A.12.5.5 Desarrollo de software contratado externamente 50% A.12.6.1 Control de vulnerabilidades técnicas 50% A.13 Gestión de incidentes de seguridad de la información 48% A.13.1.1 Reporte sobre los eventos de seguridad de la información 45% A.13.1.2 Reportes sobre las debilidades de la seguridad 45% A.13.2.1 Responsabilidades y procedimientos 50% A.13.2.2 Aprendizaje debido a los incidentes de seguridad de la información 50% A.13.2.3 Recolección de evidencia 50% A.14 Gestión de la continuidad del negocio 29%
9 A.14.1.1 Inclusión de la seguridad de la inf. En el proceso de gestión de la continuidad del negocio 25% A.14.1.2 Continuidad del negocio y evaluación de riesgos 45% A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la inf. 25% A.14.1.4 Estructura para la planificación de la continuidad del negocio 25% A.14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio 25% A.15 Cumplimiento 54% A.15.1.1 Identificación de legislación aplicable 65% A.15.1.2 Derechos de propiedad intelectual (DPI) 90% A.15.1.3 Protección de los registros de la organización 70% A.15.1.4 Protección de los datos y privacidad de la información personal 90% A.15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información 50% A.15.1.6 Reglamentación de los controles criptográficos 65% A.15.2.1 Cumplimiento con las políticas y normas de seguridad 30% A.15.2.2 Verificación del cumplimiento técnico 25% A.15.3.1 Controles de auditoría de los sistemas de información 25% A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información 25% Nivel de implementación 37,15% Porcentaje de implementación Descripción del porcentaje 0% No se tiene implementación 25% Se ha iniciado la implementación o está en etapa de planeación 50% Esta implementado, pero no se ha aprobado ni divulgado. 100% Esta implementado, aprobado y divulgado, además se monitorea.
28% 10% 18% 14% 15% 15% ISO 27001: Nive de implementación Establecer y manejar el SGSI Requerimientos de documentación Responsabilidad de la gerencia Auditorias Internas SGSI Revisión gerencial SGSI mejoramiento del SGSI RESUMEN DE LA ISO 27001 Y LA 27002 EN LA UNAS ISO 27001 Numeral Dominio Porcentaje cumplimiento Nivel Ideal 4.2 Establecer y manejar el SGSI 9,4% 100% 4.3 Requerimientos de documentación 3,3% 100% 5 Responsabilidad de la gerencia 6,3% 100% 6 Auditorias Internas SGSI 5,0% 100% 7 Revisión gerencial SGSI 5,0% 100% 8 mejoramiento del SGSI 5,0% 100% 5,67%
9,4% 3,3% 6,3% 5,0% 5,0% 5,0% 100% 100% 100% 100% 100% 100% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% 100,0% Establecer y manejar el SGSI Requerimientos de documentación Responsabilidad de la gerencia Auditorias Internas SGSI Revisión gerencial SGSI mejoramiento del SGSI Nivel implementación ISO/IEC 27001 Nivel cumplimiento Cumplimiento total
1 ISO 27002 Numeral Dominio Porcentaje cumplimiento Nivel proyectado - META Nivel IDEAL A.5 A.5 Politicas de seguridad 0,00% 85% 100% A.6 A.6 Organización de la seguridad de la Información 16,82% 85% 100% A.7 A.7 Gestión de activos 25,00% 85% 100% A.8 A.8 Seguridad de los recursos humanos 43,89% 85% 100% A.9 A.9 Seguridad física y ambiental 49,62% 85% 100% A.10 A.10 Gestión de las comunic y oper 35,47% 85% 100% A.11 A.11 Control de acceso 56,40% 85% 100% A.12 A.12 Adquisición, dllo y mante. de SI 50,94% 85% 100% A.13 A.13 Gestión de incidentes de seguridad de la información 48,00% 85% 100% A.14 A.14 Gestión de la continuidad del negocio 29,00% 85% 100% A.15 A.15 Cumplimiento 53,50% 85% 100% 37,15% 0% 4% 6% 11% 12% 9% 14% 12% 12% 7% 13% ISO 27002: Nivel de implementación A.5 Politicas de seguridad A.6 Organización de la seguridad de la Información A.7 Gestión de activos A.8 Seguridad de los recursos humanos A.9 Seguridad física y ambiental
2 0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% 70,00% 80,00% 90,00% 100,00% A.5 Politicas de seguridad A.6 Organización de la seguridad de la Información A.7 Gestión de activos A.8 Seguridad de los recursos humanos A.9 Seguridad física y ambiental A.10 Gestión de las comunic y oper A.11 Control de acceso A.12 Adquisición, dllo y mante. de SI A.13 Gestión de incidentes de seguridad de la información A.14 Gestión de la continuidad del negocio A.15 Cumplimiento Nivel implementación ISO 27002 Estado Actual Nivel proyectado-META Nivel ideal
FUENTES DE VERIFICACIÓN
1 CONCLUSIONES - De acuerdo al estudio y diagnóstico de la seguridad de la información con respecto al ISO 27001 de la Universidad Nacional Agraria de la Selva es de 5.67 % deduciendo que no se tiene implementado la norma ISO 27001 - De acuerdo al estudio y diagnóstico de la seguridad de la información con respecto al ISO 27002 de la Universidad Nacional Agraria de la Selva es de 37.15 % deduciendo que se ha iniciado la implementación o está en la etapa de planeación de la norma ISO 27001
Diagnóstico ISO 27000 UNAS

Recomendados

Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcapaula andrea moreno hernandez
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcafernanda patiño
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcajhoan sierra
 
Dolca
DolcaDolca
Dolcaandres felipe güiza peñaloza
 
Dolca terminado
Dolca terminadoDolca terminado
Dolca terminadokaren johana daza
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcagalu95sc
 
Orientacion+para+elaboracion+de+perfil+de+proyecto+sociocomunitario+productivo
Orientacion+para+elaboracion+de+perfil+de+proyecto+sociocomunitario+productivoOrientacion+para+elaboracion+de+perfil+de+proyecto+sociocomunitario+productivo
Orientacion+para+elaboracion+de+perfil+de+proyecto+sociocomunitario+productivoIvan Q
 
Modalidad de graduación esfm 2013
Modalidad de graduación esfm 2013Modalidad de graduación esfm 2013
Modalidad de graduación esfm 2013arseniopr
 

Recomendados

Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcapaula andrea moreno hernandez
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcafernanda patiño
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcajhoan sierra
 
Dolca
DolcaDolca
Dolcaandres felipe güiza peñaloza
 
Dolca terminado
Dolca terminadoDolca terminado
Dolca terminadokaren johana daza
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcagalu95sc
 
Orientacion+para+elaboracion+de+perfil+de+proyecto+sociocomunitario+productivo
Orientacion+para+elaboracion+de+perfil+de+proyecto+sociocomunitario+productivoOrientacion+para+elaboracion+de+perfil+de+proyecto+sociocomunitario+productivo
Orientacion+para+elaboracion+de+perfil+de+proyecto+sociocomunitario+productivoIvan Q
 
Modalidad de graduación esfm 2013
Modalidad de graduación esfm 2013Modalidad de graduación esfm 2013
Modalidad de graduación esfm 2013arseniopr
 
Programa De Control De Competencias
Programa De Control De CompetenciasPrograma De Control De Competencias
Programa De Control De CompetenciasCarlos Iván
 
Planificador a 20 de octubre
Planificador a 20 de octubrePlanificador a 20 de octubre
Planificador a 20 de octubreNelly Silva Alzate
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcaRocio Marentes Amaya
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolca1andrea1
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcaandreamon24
 
Pd
PdPd
Pdleidy95c
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcacolsabi
 
Proyecto dolca(1)
Proyecto dolca(1)Proyecto dolca(1)
Proyecto dolca(1)Angela Rincon
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcaLaura Torres
 
PROYECTO DOLCA
PROYECTO DOLCAPROYECTO DOLCA
PROYECTO DOLCAANGIE MARCELA
 
Proyecto dolca(1)
Proyecto dolca(1)Proyecto dolca(1)
Proyecto dolca(1)francy
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcaMaira Leon Piraquive
 
Plan de practicas
Plan de practicasPlan de practicas
Plan de practicasPercyVasquez6
 
Copia de proyecto dolca 1
Copia de proyecto dolca 1Copia de proyecto dolca 1
Copia de proyecto dolca 1Alejandra Velandia
 
Proyecto dolca(1)
Proyecto dolca(1)Proyecto dolca(1)
Proyecto dolca(1)Alejandra Velandia
 
Planificador aamtic octubre 6 2015
Planificador aamtic octubre 6 2015Planificador aamtic octubre 6 2015
Planificador aamtic octubre 6 2015alexa26122022
 
Dolca
DolcaDolca
DolcacocopardoL25
 
Articulo matriz tic (1)
Articulo matriz tic (1)Articulo matriz tic (1)
Articulo matriz tic (1)Universidad Tecnológica del Perú
 
A2 pr01 gestion de recursos v1
A2 pr01 gestion de recursos v1A2 pr01 gestion de recursos v1
A2 pr01 gestion de recursos v1iejcg
 
diagnostico de los sistemas de informacion gerencial
diagnostico de los sistemas de informacion gerencialdiagnostico de los sistemas de informacion gerencial
diagnostico de los sistemas de informacion gerencialDorkis Yusty
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 

Más contenido relacionado

La actualidad más candente

Programa De Control De Competencias
Programa De Control De CompetenciasPrograma De Control De Competencias
Programa De Control De CompetenciasCarlos Iván
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolca1andrea1
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolcacolsabi
 
Proyecto dolca(1)
Proyecto dolca(1)Proyecto dolca(1)
Proyecto dolca(1)francy
 
Planificador aamtic octubre 6 2015
Planificador aamtic octubre 6 2015Planificador aamtic octubre 6 2015
Planificador aamtic octubre 6 2015alexa26122022
 

La actualidad más candente (17)

Programa De Control De Competencias
Programa De Control De CompetenciasPrograma De Control De Competencias
Programa De Control De Competencias
 
Planificador a 20 de octubre
Planificador a 20 de octubrePlanificador a 20 de octubre
Planificador a 20 de octubre
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolca
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolca
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolca
 
Pd
PdPd
Pd
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolca
 
Proyecto dolca(1)
Proyecto dolca(1)Proyecto dolca(1)
Proyecto dolca(1)
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolca
 
PROYECTO DOLCA
PROYECTO DOLCAPROYECTO DOLCA
PROYECTO DOLCA
 
Proyecto dolca(1)
Proyecto dolca(1)Proyecto dolca(1)
Proyecto dolca(1)
 
Proyecto dolca
Proyecto dolcaProyecto dolca
Proyecto dolca
 
Plan de practicas
Plan de practicasPlan de practicas
Plan de practicas
 
Copia de proyecto dolca 1
Copia de proyecto dolca 1Copia de proyecto dolca 1
Copia de proyecto dolca 1
 
Proyecto dolca(1)
Proyecto dolca(1)Proyecto dolca(1)
Proyecto dolca(1)
 
Planificador aamtic octubre 6 2015
Planificador aamtic octubre 6 2015Planificador aamtic octubre 6 2015
Planificador aamtic octubre 6 2015
 
Dolca
DolcaDolca
Dolca
 

Destacado

A2 pr01 gestion de recursos v1
A2 pr01 gestion de recursos v1A2 pr01 gestion de recursos v1
A2 pr01 gestion de recursos v1iejcg
 
diagnostico de los sistemas de informacion gerencial
diagnostico de los sistemas de informacion gerencialdiagnostico de los sistemas de informacion gerencial
diagnostico de los sistemas de informacion gerencialDorkis Yusty
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpeigugarte
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 

Destacado (9)

Articulo matriz tic (1)
Articulo matriz tic (1)Articulo matriz tic (1)
Articulo matriz tic (1)
 
A2 pr01 gestion de recursos v1
A2 pr01 gestion de recursos v1A2 pr01 gestion de recursos v1
A2 pr01 gestion de recursos v1
 
diagnostico de los sistemas de informacion gerencial
diagnostico de los sistemas de informacion gerencialdiagnostico de los sistemas de informacion gerencial
diagnostico de los sistemas de informacion gerencial
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
slideshare Presentacion
slideshare Presentacionslideshare Presentacion
slideshare Presentacion
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 

Similar a Diagnóstico ISO 27000 UNAS

Presentación de investigación
Presentación de investigaciónPresentación de investigación
Presentación de investigaciónWilfredo Peñaloza
 
Analisis RVM 014- 2021 .pptx
Analisis RVM 014- 2021 .pptxAnalisis RVM 014- 2021 .pptx
Analisis RVM 014- 2021 .pptxDelcyDelcy1
 
Bases para convocatoria semilleros de investigación si 2015
Bases para convocatoria semilleros de investigación si 2015Bases para convocatoria semilleros de investigación si 2015
Bases para convocatoria semilleros de investigación si 2015admdipa
 
Plan anual de trabajo cist 2017
Plan anual de trabajo cist 2017Plan anual de trabajo cist 2017
Plan anual de trabajo cist 2017Jesus Sucari M.
 
PRIMERA ACTIVIDAD DE GBI:PORTAL Y GENESIS
PRIMERA ACTIVIDAD DE GBI:PORTAL Y GENESISPRIMERA ACTIVIDAD DE GBI:PORTAL Y GENESIS
PRIMERA ACTIVIDAD DE GBI:PORTAL Y GENESISPardo94
 
Catedra
CatedraCatedra
Catedrayoi8a
 
Portafolio - claudia, leidy.nora
Portafolio - claudia, leidy.noraPortafolio - claudia, leidy.nora
Portafolio - claudia, leidy.noraCPESUPIAYMARMATO
 
Plan de gestión del conocimiento de la ESPE
Plan de gestión del conocimiento de la ESPEPlan de gestión del conocimiento de la ESPE
Plan de gestión del conocimiento de la ESPEvery_luny
 
Lecturas 1
Lecturas 1Lecturas 1
Lecturas 1monicap1
 
Proyecto equipamiento del centro de capacitacion docente del iestp pasco - 2017
Proyecto equipamiento del centro de capacitacion docente del iestp pasco - 2017Proyecto equipamiento del centro de capacitacion docente del iestp pasco - 2017
Proyecto equipamiento del centro de capacitacion docente del iestp pasco - 2017JOEL BUSTILLOS LOPEZ
 
Plan de gestión para el uso educativo de
Plan de gestión para el uso educativo dePlan de gestión para el uso educativo de
Plan de gestión para el uso educativo deDianalucia Bravomercado
 
Impacto del Modelo de Calidad en la Gestión de la Carrera Profesional.
Impacto del Modelo de Calidad en la Gestión de la Carrera Profesional.Impacto del Modelo de Calidad en la Gestión de la Carrera Profesional.
Impacto del Modelo de Calidad en la Gestión de la Carrera Profesional.donnyacostab
 

Similar a Diagnóstico ISO 27000 UNAS (20)

Presentación Plan de Desarrollo
Presentación Plan de DesarrolloPresentación Plan de Desarrollo
Presentación Plan de Desarrollo
 
Presentación de investigación
Presentación de investigaciónPresentación de investigación
Presentación de investigación
 
Analisis RVM 014- 2021 .pptx
Analisis RVM 014- 2021 .pptxAnalisis RVM 014- 2021 .pptx
Analisis RVM 014- 2021 .pptx
 
Guia ge2
Guia ge2Guia ge2
Guia ge2
 
Bases para convocatoria semilleros de investigación si 2015
Bases para convocatoria semilleros de investigación si 2015Bases para convocatoria semilleros de investigación si 2015
Bases para convocatoria semilleros de investigación si 2015
 
Plan anual de trabajo cist 2017
Plan anual de trabajo cist 2017Plan anual de trabajo cist 2017
Plan anual de trabajo cist 2017
 
Estándares de desempeño directivo
Estándares de desempeño directivoEstándares de desempeño directivo
Estándares de desempeño directivo
 
PRIMERA ACTIVIDAD DE GBI:PORTAL Y GENESIS
PRIMERA ACTIVIDAD DE GBI:PORTAL Y GENESISPRIMERA ACTIVIDAD DE GBI:PORTAL Y GENESIS
PRIMERA ACTIVIDAD DE GBI:PORTAL Y GENESIS
 
Catedra
CatedraCatedra
Catedra
 
Portafolio - claudia, leidy.nora
Portafolio - claudia, leidy.noraPortafolio - claudia, leidy.nora
Portafolio - claudia, leidy.nora
 
POA_2015_Final (2).pdf
POA_2015_Final (2).pdfPOA_2015_Final (2).pdf
POA_2015_Final (2).pdf
 
Plan de gestión del conocimiento de la ESPE
Plan de gestión del conocimiento de la ESPEPlan de gestión del conocimiento de la ESPE
Plan de gestión del conocimiento de la ESPE
 
Lecturas 1
Lecturas 1Lecturas 1
Lecturas 1
 
Proyecto equipamiento del centro de capacitacion docente del iestp pasco - 2017
Proyecto equipamiento del centro de capacitacion docente del iestp pasco - 2017Proyecto equipamiento del centro de capacitacion docente del iestp pasco - 2017
Proyecto equipamiento del centro de capacitacion docente del iestp pasco - 2017
 
Plan de gestión para el uso educativo de
Plan de gestión para el uso educativo dePlan de gestión para el uso educativo de
Plan de gestión para el uso educativo de
 
Impacto del Modelo de Calidad en la Gestión de la Carrera Profesional.
Impacto del Modelo de Calidad en la Gestión de la Carrera Profesional.Impacto del Modelo de Calidad en la Gestión de la Carrera Profesional.
Impacto del Modelo de Calidad en la Gestión de la Carrera Profesional.
 
Modulo 5 fase planificacion 02
Modulo 5 fase planificacion 02Modulo 5 fase planificacion 02
Modulo 5 fase planificacion 02
 
Modulo 5 fase planificacion 02
Modulo 5 fase planificacion 02Modulo 5 fase planificacion 02
Modulo 5 fase planificacion 02
 
PEI 2020
PEI 2020 PEI 2020
PEI 2020
 
Poa 2013
Poa 2013Poa 2013
Poa 2013
 

Último

Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxolgakaterin
 
Ley 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularLey 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularMooPandrea
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...JonathanCovena1
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxKarlaMassielMartinez
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dstEphaniiie
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdfBaker Publishing Company
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfDemetrio Ccesa Rayme
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxdeimerhdz21
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfNancyLoaa
 

Último (20)

Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdfTema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptx
 
Ley 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularLey 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circular
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdf
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdf
 

Diagnóstico ISO 27000 UNAS

  • 1. DIAGNÓSTICO DE LA SEGURIDAD DE LA INFORMACIÓN CON LA NORMA ISO 27000 EN LA UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA febrero 21 2015 - Yanac Montesino R. - García Villegas, Christian - Ponce Guizabalo Santos Víctor - Liviapoma -Pozo Malpartida, Jorge L. UNIVERSIDAD NACIONAL “HERMILIO VALDIZAN” ESCUELA DE POST GRADO
  • 2. INFORME DE DIAGNÓSTICO DE SEGURIDAD DE LA INFORMACIÓN CON LA ISO 27000 Introducción El presente trabajo realizado sobre el diagnostico situacional de la seguridad de la información de la Universidad Nacional Agraria de la Selva basado en la Norma ISO 27001 y 27002. Misión Promover el liderazgo y excelencia a través de la formación de profesionales, con un enfoque científico, tecnológico, humanístico y social que permita administrar de manera sustentable la biodiversidad, la producción, la industrialización y comercialización de los recursos naturales renovables. Asimismo, convertirnos en la institución educativa de mayor prestigio en la amazonía, aplicando programas de extensión que permitan el desarrollo integral de la persona, de acuerdo con las necesidades regionales y nacionales. Visión "Es una comunidad académica, humanista, científica y productiva que avanza hacia la excelencia en educación integral y transferencia tecnológica para el desarrollo sostenible de la Amazonía."
  • 3. I. PERSPECTIVAS DEL NEGOCIO 1.1 Ambiente del negocio La universidad con la finalidad de impartir enseñanza superior, brindar el servicio académico, investigación, proyección y extensión de manera integral se ve comprometido de afianzar políticas de intervención en mejora continua, así mismo desarrollar investigación científica -tecnológica y atender las necesidades de servicios a la comunidad universitaria y no universitaria, que estén expresadas como atendidos eficientemente por la universidad. Teniendo la Visión de la UNAS al 2021 en ser líder e innovadora en la formación de profesionales, con valores y estándares de calidad, comprometida con la biodiversidad y la gestión integral para el desarrollo sostenible del país y el mundo. 1.2 Objetivos: 1.2.1.1 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la investigación, la extensión y proyección social. 1.2.1.2 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la investigación, la extensión y proyección social. 1.2.1.3 Mejorar y promover la calidad y productividad de la investigación científica, tecnológica e innovadora orientada al desarrollo sostenible. 1.2.1.4 Mejorar y promover la calidad y productividad de la investigación científica, tecnológica e innovadora orientada al desarrollo sostenible. 1.2.1.5 Mejorar y promover la calidad y productividad de la investigación científica, tecnológica e innovadora orientada al desarrollo sostenible. 1.2.1.6 Desarrollar, fortalecer y promover la capacidad de extensión y proyección universitaria articulada con la sociedad. 1.2.1.7 Desarrollar, fortalecer y promover la capacidad de extensión y proyección universitaria articulada con la sociedad. 1.2.1.8 Desarrollar un sistema de gestión de calidad institucional. 1.2.1.9 Desarrollar un sistema de gestión de calidad institucional. 1.2.1.10 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación profesional. 1.2.1.11 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación profesional. 1.2.1.12 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación profesional. 1.2.2 Estrategias 1.2.2.1 Capacitación permanente en sus funciones de las carreras profesionales. 1.2.2.2 Establecer mecanismos de supervisión y evaluación docente. 1.2.2.3 Implementar una política de incentivos por méritos académicos. 1.2.2.4 Estudio de la demanda social en función a los problemas del grupo de interés. 1.2.2.5 Evaluación permanente del cumplimiento de los indicadores del currículo por competencias. 1.2.2.6 Capacitación en estrategias de enseñanza aprendizaje orientada en la formación por competencias (ABP, casuística, aprendizaje basa en proyectos, clase magistral, otros). 1.2.2.7 Evaluación de la satisfacción de la aplicación de las estrategias enseñanza – aprendizaje. 1.2.2.8 Implementar un ciclo propedéutico para selección de los ingresantes. 1.2.2.9 Implementar un mecanismo de examen diferenciado a postulantes. 1.2.2.10 Elaborar la propuesta técnica de creación del vicerrectorado de investigación.
  • 4. 1.2.2.11 Aprobación de la propuesta técnica por asamblea universitaria. 1.2.2.12 Elaborar un proyecto de inversión para la construcción, implementación y capacitación del vicerrectorado de investigación. 1.2.2.13 Diseñar e implementar el sistema de gestión de calidad con énfasis en la investigación. 1.2.2.14 Implementar un incentivo por producción intelectual acreditada. 1.2.2.15 Reglamentar y promover tesis con investigaciones multidisciplinarias y multiautores. 1.2.2.16 Reglamentar y promover la categorización del docente investigador. 1.2.2.17 Implementar mesas de trabajo de discusión científica y tecnológica con los grupos de interés. 1.2.2.18 Incluir las líneas de investigación en el proceso de la investigación formativa. 1.2.2.19 Conformación de redes de investigadores inter y trans institucional. 1.2.2.20 Formar equipos de trabajo para formular propuestas de proyectos con financiamiento interno y externo. 1.2.2.21 Establecer alianzas estratégicas estado - universidad – empresa. 1.2.2.22 Certificar laboratorios especializados. 1.2.2.23 Implementar programas de capacitación en metodologías de investigación científica, tecnológica e innovación. 1.2.2.24 Capacitación en programas de desarrollo de publicaciones, patentes y propiedad intelectual. 1.2.2.25 Institucionalizar las Jornadas científicas en una fecha definida de manera periódica. 1.2.2.26 Aumentar la visibilidad de la producción científica y tecnológica. 1.2.2.27 Creación de los institutos y centros de investigación en las carreras profesionales. 1.2.2.28 Desarrollar proyectos de inversión con fines de investigación en la frontera del conocimiento. 1.2.2.29 Racionalizar y optimizar el uso de los laboratorios. 1.2.2.30 Diseñar e implementar el sistema de gestión de calidad en extensión y proyección. 1.2.2.31 Realizar un estudio de necesidades y potencialidades de extensión y proyección. 1.2.2.32 Definir las funciones y responsabilidades de OPUII orientadas a la consolidación del vínculo entre la universidad y la sociedad. 1.2.2.33 Suscribir y ejecutar convenios interinstitucionales. 1.2.2.34 Articular las labores de extensión y proyección universitaria a la enseñanza e investigación. 1.2.2.35 Identificar indicadores de evaluación de metas cumplidas en actividades de extensión y proyección social. 1.2.2.36 Elaborar anualmente una agenda de actividades de extensión y proyección en función de las necesidades y por especialidades. 1.2.2.37 Formalizar programas de capacitación no formal en capacidades técnicas y que involucre a todas las facultades. 1.2.2.38 Elaborar documentos de difusión para incrementar el impacto de la extensión y proyección. 1.2.2.39 Mejorar los reglamentos generales y de organización y funciones. 1.2.2.40 Actualizar los Manuales de procedimientos. 1.2.2.41 Diseñar e implementar el Sistema de Gestión de la Calidad en función del modelo de calidad educativa. 1.2.2.42 Aprobar e implementar el plan estratégico articulado al POI y PPR.
  • 5. 1.2.2.43 Sensibilización y empoderamiento del PEI en todas las dependencias de la Universidad. 1.2.2.44 Actualizar y reformular los documentos de gestión (estatuto y reglamentos). 1.2.2.45 Implementar mecanismos de monitoreo y seguimiento del plan estratégico para la mejora continua de los procesos orientado al cumplimiento de los resultados. 1.2.2.46 Establecer anualmente una comisión ad hoc para realizar el monitoreo y seguimiento del PEI. 1.2.2.47 Incrementar la visibilidad de los documentos normativos de gestión académica y administrativa. 1.2.2.48 Crear el repositorio o centro de documentación e información científica y de gestión institucional, disponible al público en general. 1.2.2.49 Aumentar la transparencia de los procesos académicos y administrativos. 1.2.2.50 Implementar un sistema de acceso de los padres de familia a los datos académicos de sus hijos estudiantes. 1.2.2.51 Contratar una evaluación externa de las actividades de los docentes (racionalización). 1.2.2.52 Implementar un reglamento de selección de docentes por méritos, experiencia y capacidad acreditados. 1.2.2.53 Establecer una política de incentivos para el retorno de Doctores y maestros peruanos trabajando en el extranjero. 1.2.2.54 Establecer un programa de capacitación permanente en sus funciones, en un idioma extranjero, y en las TICs. 1.2.2.55 Contratar una evaluación externa de las actividades del personal administrativo (racionalización). 1.2.2.56 Implementar un reglamento de selección de personal administrativo por méritos, experiencia y capacidad acreditados. 1.2.2.57 Establecer un programa de capacitación permanente en sus funciones, en un idioma extranjero, y en las TICs. 1.2.2.58 Establecer cuadros permanentes de personal administrativo. 1.2.2.59 Acondicionar ambientes adecuados y reglamentos de uso para una atención personalizada de tutoría. 1.2.2.60 Incluir la labor de tutoría y consejería en las estructuras curriculares. 1.2.2.61 Capacitar y sensibilizar a los docentes para realizar acciones de tutoría y consejería. 1.2.2.62 Establecer un sistema de premiación a la excelencia académica, de investigación, de extensión y proyección social. 1.2.2.63 Fortalecer las áreas de asistencia social y psicología. 1.2.2.64 Implementar programas de planificación orientación y prevención de ETS. 1.2.2.65 Fortalecer la Oficina General de Administración en gestión de recursos financieros. 1.2.2.66 Racionalización y centralización de reactivos de laboratorio de útiles de escritorio y materiales de vidrio en función de necesidades. 1.2.2.67 Racionalizar la asignación de bienes y equipos para uso de las dependencias académicas y administrativas. 1.2.2.68 Racionalizar el uso de la red de las dependencias académicas y administrativas. 1.2.2.69 Realizar el estudio de Desarrollo Físico y Urbanístico de la UNAS. 1.2.2.70 Desarrollo de un proyecto de inversión pública para el mejoramiento de la calidad académica, investigación, extensión y proyección. 1.2.2.71 Gestionar el financiamiento externo de los PIPs de la UNAS.
  • 6. 1.2.2.72 Constituir los comités consultivos. 1.2.2.73 Conformación de mesas técnicas y de concertación articulada al Plan de Desarrollo Regional. 1.2.2.74 Institucionalizar eventos físicos y virtuales de difusión, consulta y debate con los egresados. 1.2.2.75 Implementar un sistema integral de información agrario de la región. 1.2.2.76 Implementar un sistema de información de hojas de vida de la comunidad universitaria (red laboral). II. HALLAZGOS 4.1 Modelo de Empresa Elaboración del modelo de la Universidad Nacional Agraria de la Selva Modelo de la Universidad Nacional Agraria de la Selva
  • 7.
  • 9. Universidad Nacional Agraria de la Selva Matriz Estrategias v.s. Organización Responsabilidad primaria + Participación Mayor / Participación Menor
  • 10. Universidad Nacional Agraria de la Selva Matriz Procesos v.s. Organización Responsabilidad primaria + Participación Mayor / Participación Menor
  • 11. Universidad Nacional Agraria de la Selva Matriz Procesos v.s. Estrategias Responsabilidad primaria + Participación Mayor / Participación Menor
  • 12. Universidad Nacional Agraria de la Selva Matriz Procesos v.s. Entidades Responsabilidad primaria + Participación Mayor / Participación Menor
  • 13. Universidad Nacional Agraria de la Selva Matriz Procesos v.s. Entidades Responsabilidad primaria + Participación Mayor / Participación Menor
  • 14. Universidad Nacional Agraria de la Selva Matriz Entidades v.s. Organización Responsabilidad primaria + Participación Mayor / Participación Menor
  • 15. 4.2 Oportunidades de Información y Análisis de las Oportunidades de Información Universidad Nacional Agraria de la Selva Procesos / Entidad  Procesos  Gestionar recursos humanos OI1,OI16  Gestionar el Bienestar Universitario O12,OI17  Gestión de Infraestructura y equipamiento OI3  Gestión de recursos económicos y financieros OI4, OI18  GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19  COOPERACION INTERINSTITUCIONAL OI6  Promoción del arte, la cultura y el deporte OI7  Gestión de Formación profesional OI8,OI20,OI21  Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23  Gestión de extensión Univ. y proyección social OI10,OI24  Planeamiento estratégica Institucional OI11  Gestión de proyectos OI12  Planeamiento operativo OI13  Gestión de la calidad OI14  Gestión de Sistema de información y comunicación OI15  Entidades  Estudiante OI25,OI26,OI27  Docente OI28,OI29  Trab.Admi OI30  Fac. OI31,OI32  Lab. OI33,OI34  Pab. OI35  Aulas OI36  Sede OI37  Servicio OI38,OI39  Componente OI40  Ma.Prima OI41  Suministro OI42  Equipo OI43  N°matric. OI44  Req.Serv. OI45  Ord.Compre OI46  Factu OI47  Proy. OI48  Audit. OI49 Universidad Nacional Agraria de la Selva
  • 16. 1 Impacto de Procesos en Estrategias ESTRATEGIAS PROCESOS Gestionar recursos humanos / 4 Gestionar el Bienestar Universitario 3 Gestion de Infraestructura y equipamiento / 7 Gestion de recursos economicos y financieros / 4 GESTION DE LA INFORMACION Y COMUNICACIÓN / 4 COOPERACION INTERINSTITUCIONAL / 4 Promoción del arte, la cultura y el deporte / 1 Gestión de Formacion profesional / / 4 Gestion de Investigacion-desarrollo-innovacion / 7 Gestion de extension univ. y proyeccion social 3 Planeamiento estrategica Institucional / 4 Gestion de proyectos 6 Planeamiento operativo / 7 Gestion de la calidad 12 Gestion de Sistema de informacion y comunicación 12 conformación de redes de investigador es inter y trans institucional Incrementar la visibilidad de los documentos normativos de gestión académica y administrativa Suscribir y ejecutar convenios inter institucio nales. Contratar una evaluación externa de las actividades de los docentes (racionalización ) Capacitacion permanente en sus funciones de las carreras profesionale s Establecer mecanismos de supervisión y evaluación docente Evaluación permanente del cumplimiento de los indicadores del curriculo por competencias Incluir las lineas de investigació n en el proceso de investigació n formativa Aprobación de la propuesta técnica por asamblea universitaria Diseñar e implementar el sistema de gestión de calidad en extensión y proyección
  • 17. 2 Universidad Nacional Agraria de la Selva Impacto de Entidades en Estrategias Universidad Nacional Agraria de la Selva Beneficios y Demanda  Procesos BEN DEM  Gestionar recursos humanos OI1,OI16 09 02  Gestionar el Bienestar Universitario O12,OI17 06 02  Gestión de Infraestructura y equipamiento OI3 04 01  Gestión de recursos económicos y financieros OI4, OI18 07 02  GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19 08 02  COOPERACION INTERINSTITUCIONAL OI6 04 01  Promoción del arte, la cultura y el deporte OI7 03 01  Gestión de Formación profesional OI8,OI20,OI21 14 03  Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23 15 03  Gestión de extensión Univ. y proyección social OI10,OI24 08 02  Planeamiento estratégica Institucional OI11 04 01  Gestión de proyectos OI12 04 01  Planeamiento operativo OI13 03 01  Gestión de la calidad OI14 05 01  Gestión de Sistema de información y comunicación OI15 04 01  Entidades  Estudiante OI25,OI26,OI27 13 03  Docente OI28,OI29 09 02  Trab.Admi OI30 03 01  Fac. OI31,OI32 08 02  Lab. OI33,OI34 07 02  Pab. OI35 02 01  Aulas OI36 02 01  Sede OI37 02 01 ESTRATEGIAS ENTIDADES … Estudiante 6 Docente 21 Trab.Admi 3 Fac. 15 Lab. 6 Pab. 3 aulas 3 sede / 1 servicio 12 Componente / 1 Ma.Prima 0 Suministro 0 Equipo / 1 N°matricula / / 2 Req.Serv. / / 2 Ord.Compra 0 Factura / 1 Proyecto / 4 Auditoria 3 conformación de redes de investigadores inter y trans institucional Incrementar la visibilidad de los documentos normativos de gestión académica y administrativa Suscribir y ejecutar convenios inter institucionale s. Contratar una evaluación externa de las actividades de los docentes (racionalizació n) Capacitacion permanente en sus funciones de las carreras profesionales Establecer mecanismos de supervisión y evaluación docente Evaluación permanente del cumplimiento de los indicadores del curriculo por competencias Incluir las lineas de investigación en el proceso de investigación formativa Aprobación de la propuesta técnica por asamblea universitaria Diseñar e implementar el sistema de gestión de calidad en extensión y proyección
  • 18. 3 ISO ISO 27001 APLICADO EN LA UNAS ISO/IEC 27001 Análisis referencial Nmeral Dominio o descripción porcentaje de implementación 4.2 Establecer y manejar el SGSI 9% 4.2.1 Establecer el SGSI 24% 4.2.1 a) Definición del alcance 30% 4.2.1 b) Definición de política 30% 4.2.1 c) Definición de valoración del riesgo 35% 4.2.1 d) Identificar los riesgos 45% 4.2.1 e) Analizar y evaluar riesgos 25% 4.2.1 f) Identificar y evaluar opciones para el tratamiento 25% 4.2.1 g) Seleccionar objetivos de control y controles 0% 4.2.1 h) Obtener aprobación de la gerencia para riesgos residuales 25% 4.2.1 i) Obtener autorización de la gerencia para implementar SGSI 25% 4.2.1 j) Preparar el enunciado de aplicabilidad 0% 4.2.2 Implementar y operar el SGSI 11% 4.2.2 a) Implementar y operar SGSI 0% 4.2.2 b) Implementación tratamiento de riesgo 25% 4.2.2 c) Implementar controles 10% 4.2.2 d) Definir como medir efectividad 0% 4.2.2 e) Implementar programas de capacitación 15% 4.2.2 f) Manejar operación SGSI 0% 4.2.2 g) Manejar recurso SGSI 25% 4.2.2 h) Implementar procedimientos y otros controles 10% 4.2.3 Requerimientos de documentación 1% 4.2.3 a) Ejecutar procedimientos monitoreo y revisión 5% 4.2.3 b) Realizar revisiones regulares 0% 4.2.3 c) Medir efectividad de los controles 0% 4.2.3 d) Revisar las revisiones de riesgos 0% 4.2.3 e) Realizar auditorias internas al SGSI 0% 4.2.3 f) Realizar revisión gerencial 0%
  • 19. 4 4.2.3 g) Actualizar planes de seguridad 0% 4.2.3 h) Registro de acciones y eventos sobre el SGSI 0% 4.2.4 Mantener y mejorar el SGSI 3% 4.2.4 a) Implementar mejoras 0% 4.2.4 b) Tomar acciones correctivas y preventivas 5% 4.2.4 c) comunicar los resultados y acciones a las partes interesadas 5% 4.2.4 d) Asegurar que las mejoras logren sus objetivos 0% 4.3 Requerimientos de documentación 3% 4.3.1 General: Documentación SGSI 10% 4.3.2 Control de documentos 0% 4.3.3 Control de registros 0% 5 Responsabilidad de la gerencia 6% 5.1 Compromisos de la gerencia 10% 5.2 Gestión de recursos 5% 5.2.1 provisión de recursos 5% 5.2.2 Capacitación, conocimiento y capacidad 5% 6 Auditorias Internas SGSI 5% 7 Revisión gerencial SGSI 5% 7.1 General: Revisión de la gerencia 10% 7.2 Insumo de revisión 5% 7.3 Resultado de la revisión 0% 8 mejoramiento del SGSI 5% 8.1 Mejoramiento continuo 5% 8.2 Acción correctiva 5% 8.3 Acción preventiva 5% Nivel de implementación 5,67% Porcentaje de implementación Descripción del porcentaje 0% No se tiene implementación 25% Se ha iniciado la implementación o está en etapa de planeación 50% Esta implementado, pero no se ha aprobado ni divulgado. 100% Esta implementado, aprobado y divulgado, además se monitorea.
  • 20. 5 ISO 27002 APLICADO EN LA UNAS Anexo A: ISO 27002 Análisis referencial Numeral Dominio o descripción porcentaje de implementación A.5 Politicas de seguridad 0% A.5.1.1 Documento de la política de seguridad de la información. 0% A.5.1.2 Revisión de la política de seguridad de la información. 0% A.6 Organización de la seguridad de la Información 17% A.6.1.1 Compromiso de la dirección con la seguridad de la información 10% A.6.1.2 Coordinación de la seguridad de la información. 10% A.6.1.3 Asignación de responsabilidades para la seguridad de la información. 15% A.6.1.4 Procesos de autorización para los servicios de procesamiento de información. 25% A.6.1.5 Acuerdos sobre confidencialidad 25% A.6.1.6 Contacto con las autoridades 25% A.6.1.7 Contacto con grupos de interés especiales 15% A.6.1.8 Revisión independiente de la seguridad de la información 10% A.6.2.1 Identificación de los riesgos relacionados con las partes externas 0% A.6.2.2 Consideraciones de la seguridad cuando se trata con los clientes 25% A.6.2.3 Consideraciones de la seguridad en los acuerdos con terceras partes 25% A.7 Gestión de activos 25% A.7.1.1 Inventario de activos 25% A.7.1.2 Propiedad de los activos 25% A.7.1.3 Uso aceptable de los activos 25% A.7.2.1 Directrices de clasificación 25% A.7.2.2 Etiquetado y manejo de información 25% A.8 Seguridad de los recursos humanos 44% A.8.1.1 Roles y responsabilidades 25% A.8.1.2 Selección 70% A.8.1.3 Términos y condiciones laborales 60% A.8.2.1 Responsabilidades de la dirección 50% A.8.2.2 Educación, formación y concientización sobre la seguridad de la información 45% A.8.2.3 Proceso disciplinario 60%
  • 21. 6 A.8.3.1 Responsabilidades en la terminación 25% A.8.3.2 Devolución de activos 30% A.8.3.3 Retiro de los derechos de acceso 30% A.9 Seguridad física y ambiental 50% A.9.1.1 Perímetro de seguridad física 60% A.9.1.2 Controles de acceso físico 60% A.9.1.3 Seguridad de oficinas, recintos e instalaciones 60% A.9.1.4 Protección contra amenazas externas y ambientales 60% A.9.1.5 Trabajo en áreas seguras 60% A.9.1.6 Áreas de carga, despacho y acceso público 60% A.9.2.1 Ubicación y protección de los equipos 60% A.9.2.2 Servicios de suministro 25% A.9.2.3 Seguridad del cableado 60% A.9.2.4 Mantenimiento de los equipos 45% A.9.2.5 Seguridad de los equipos fuera de las instalaciones 45% A.9.2.6 Seguridad en la reutilización o eliminación de los equipos 25% A.9.2.7 Retiro de activos 25% A.10 Gestión de las comunicacione y operaciones 35% A.10.1.1 Documentación de los procedimientos de operación 35% A.10.1.2 Gestión del cambio 15% A.10.1.3 Distribución de funciones 25% A.10.1.4 Separación de las instalaciones de desarrollo, ensayo y operación 60% A.10.2.1 Prestación del servicio 60% A.10.2.2 Monitoreo y revisión de los servicios por terceras partes 25% A.10.2.3 Gestión de los cambios en servicios por terceras partes 20% A.10.3.1 Gestión de la capacidad 30% A.10.3.2 Aceptación del sistema 25% A.10.4.1 Controles contra códigos maliciosos 25% A.10.4.2 Controles contra códigos móviles 15% A.10.5.1 Respaldo de la información 75% A.10.6.1 Controles de las redes 75% A.10.6.2 Seguridad de los servicios de la red 75% A.10.7.1 Gestión de los medios removibles 15% A.10.7.2 Eliminación de los medios 25% A.10.7.3 Procedimientos para el manejo de la información 15%
  • 22. 7 A.10.7.4 Seguridad de la documentación del sistema 20% A.10.8.1 Políticas y procedimientos para el intercambio de la información 10% A.10.8.2 Acuerdos para el intercambio 10% A.10.8.3 Medios físicos en tránsito 15% A.10.8.4 Mensajería electrónica 60% A.10.8.5 Sistemas de información del negocio 25% A.10.9.1 Comercio electrónico 60% A.10.9.2 Transacciones en línea 65% A.10.9.3 Información disponible al público 75% A.10.10.1 Registro de auditorías 30% A.10.10.2 Monitoreo del uso del sistema 30% A.10.10.3 Protección de la información del registro 25% A.10.10.4 Registros del administrador y del operador 45% A.10.10.5 Registro de fallas 25% A.10.10.6 Sincronización de relojes 25% A.11 Control de acceso 56% A.11.1.1 Política de control de acceso 45% A.11.2.1 Registro de usuarios 65% A.11.2.2 Gestión de privilegios 60% A.11.2.3 Gestión de contraseñas para usuario 60% A.11.2.4 Revisión de los derechos de acceso de los usuarios 30% A.11.3.1 Uso de contraseñas 60% A.11.3.2 Equipo de usuario desatendido 45% A.11.3.3 Política de escritorio despejado y de pantalla despejada 30% A.11.4.1 Política de uso de los servicios de red 60% A.11.4.2 Autenticación de usuarios para conexiones externas 95% A.11.4.3 Identificación de los equipos en las redes 60% A.11.4.4 Protección de los puertos de configuración y diagnóstico remoto 65% A.11.4.5 Separación en las redes 65% A.11.4.6 Control de conexión a las redes 65% A.11.4.7 Control de enrutamiento en la red 75% A.11.5.1 Procedimientos de ingreso seguro 50% A.11.5.2 Identificación y autenticación de usuarios 50% A.11.5.3 Sistema de gestión de contraseñas 50% A.11.5.4 Uso de las utilidades del sistema 75% A.11.5.5 Tiempo de inactividad de la sesión 85%
  • 23. 8 A.11.5.6 Limitación del tiempo de conexión 50% A.11.6.1 Restricción de acceso a la información 50% A.11.6.2 Aislamiento de sistemas sensibles 25% A.11.7.1 Computación y comunicaciones móviles 45% A.11.7.2 Trabajo remoto 50% A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información 51% A.12.1.1 Análisis y especificación de los requisitos de seguridad 50% A.12.2.1 Validación de los datos de entrada 40% A.12.2.2 Control de procesamiento interno 40% A.12.2.3 Integridad del mensaje 50% A.12.2.4 Validación de los datos de salida 40% A.12.3.1 Política sobre el uso de controles criptográficos 50% A.12.3.2 Gestión de llaves 60% A.12.4.1 Control del software operativo 90% A.12.4.2 Protección de los datos de prueba del sistema 10% A.12.4.3 Control de acceso al código fuente de los programas 50% A.12.5.1 Procedimientos de control de cambios 65% A.12.5.2 Revisión técnica de las aplicaciones después de los cambios en el sIstema operativo 60% A.12.5.3 Restricciones en los cambios a los paquetes de software 60% A.12.5.4 Fuga de información 50% A.12.5.5 Desarrollo de software contratado externamente 50% A.12.6.1 Control de vulnerabilidades técnicas 50% A.13 Gestión de incidentes de seguridad de la información 48% A.13.1.1 Reporte sobre los eventos de seguridad de la información 45% A.13.1.2 Reportes sobre las debilidades de la seguridad 45% A.13.2.1 Responsabilidades y procedimientos 50% A.13.2.2 Aprendizaje debido a los incidentes de seguridad de la información 50% A.13.2.3 Recolección de evidencia 50% A.14 Gestión de la continuidad del negocio 29%
  • 24. 9 A.14.1.1 Inclusión de la seguridad de la inf. En el proceso de gestión de la continuidad del negocio 25% A.14.1.2 Continuidad del negocio y evaluación de riesgos 45% A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la inf. 25% A.14.1.4 Estructura para la planificación de la continuidad del negocio 25% A.14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio 25% A.15 Cumplimiento 54% A.15.1.1 Identificación de legislación aplicable 65% A.15.1.2 Derechos de propiedad intelectual (DPI) 90% A.15.1.3 Protección de los registros de la organización 70% A.15.1.4 Protección de los datos y privacidad de la información personal 90% A.15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información 50% A.15.1.6 Reglamentación de los controles criptográficos 65% A.15.2.1 Cumplimiento con las políticas y normas de seguridad 30% A.15.2.2 Verificación del cumplimiento técnico 25% A.15.3.1 Controles de auditoría de los sistemas de información 25% A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información 25% Nivel de implementación 37,15% Porcentaje de implementación Descripción del porcentaje 0% No se tiene implementación 25% Se ha iniciado la implementación o está en etapa de planeación 50% Esta implementado, pero no se ha aprobado ni divulgado. 100% Esta implementado, aprobado y divulgado, además se monitorea.
  • 25. 28% 10% 18% 14% 15% 15% ISO 27001: Nive de implementación Establecer y manejar el SGSI Requerimientos de documentación Responsabilidad de la gerencia Auditorias Internas SGSI Revisión gerencial SGSI mejoramiento del SGSI RESUMEN DE LA ISO 27001 Y LA 27002 EN LA UNAS ISO 27001 Numeral Dominio Porcentaje cumplimiento Nivel Ideal 4.2 Establecer y manejar el SGSI 9,4% 100% 4.3 Requerimientos de documentación 3,3% 100% 5 Responsabilidad de la gerencia 6,3% 100% 6 Auditorias Internas SGSI 5,0% 100% 7 Revisión gerencial SGSI 5,0% 100% 8 mejoramiento del SGSI 5,0% 100% 5,67%
  • 26. 9,4% 3,3% 6,3% 5,0% 5,0% 5,0% 100% 100% 100% 100% 100% 100% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% 100,0% Establecer y manejar el SGSI Requerimientos de documentación Responsabilidad de la gerencia Auditorias Internas SGSI Revisión gerencial SGSI mejoramiento del SGSI Nivel implementación ISO/IEC 27001 Nivel cumplimiento Cumplimiento total
  • 27. 1 ISO 27002 Numeral Dominio Porcentaje cumplimiento Nivel proyectado - META Nivel IDEAL A.5 A.5 Politicas de seguridad 0,00% 85% 100% A.6 A.6 Organización de la seguridad de la Información 16,82% 85% 100% A.7 A.7 Gestión de activos 25,00% 85% 100% A.8 A.8 Seguridad de los recursos humanos 43,89% 85% 100% A.9 A.9 Seguridad física y ambiental 49,62% 85% 100% A.10 A.10 Gestión de las comunic y oper 35,47% 85% 100% A.11 A.11 Control de acceso 56,40% 85% 100% A.12 A.12 Adquisición, dllo y mante. de SI 50,94% 85% 100% A.13 A.13 Gestión de incidentes de seguridad de la información 48,00% 85% 100% A.14 A.14 Gestión de la continuidad del negocio 29,00% 85% 100% A.15 A.15 Cumplimiento 53,50% 85% 100% 37,15% 0% 4% 6% 11% 12% 9% 14% 12% 12% 7% 13% ISO 27002: Nivel de implementación A.5 Politicas de seguridad A.6 Organización de la seguridad de la Información A.7 Gestión de activos A.8 Seguridad de los recursos humanos A.9 Seguridad física y ambiental
  • 28. 2 0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% 70,00% 80,00% 90,00% 100,00% A.5 Politicas de seguridad A.6 Organización de la seguridad de la Información A.7 Gestión de activos A.8 Seguridad de los recursos humanos A.9 Seguridad física y ambiental A.10 Gestión de las comunic y oper A.11 Control de acceso A.12 Adquisición, dllo y mante. de SI A.13 Gestión de incidentes de seguridad de la información A.14 Gestión de la continuidad del negocio A.15 Cumplimiento Nivel implementación ISO 27002 Estado Actual Nivel proyectado-META Nivel ideal
  • 30. 1 CONCLUSIONES - De acuerdo al estudio y diagnóstico de la seguridad de la información con respecto al ISO 27001 de la Universidad Nacional Agraria de la Selva es de 5.67 % deduciendo que no se tiene implementado la norma ISO 27001 - De acuerdo al estudio y diagnóstico de la seguridad de la información con respecto al ISO 27002 de la Universidad Nacional Agraria de la Selva es de 37.15 % deduciendo que se ha iniciado la implementación o está en la etapa de planeación de la norma ISO 27001