SlideShare una empresa de Scribd logo

Producto alcance política-v2

Jack Daniel Cáceres Meza
Jack Daniel Cáceres Meza

Este documento define el alcance propuesto para el Sistema de Gestión de Seguridad de la Información del Ministerio de Educación del Perú. Se propone que el alcance incluya los procesos de la Dirección General de Tecnologías Educativas y la Oficina de Informática, debido a que estas áreas son responsables de prestar servicios tecnológicos clave que apoyan las funciones del Ministerio. Adicionalmente, se justifica que estas áreas están alineadas con la estrategia y objetivos institucionales del Ministerio, los cuales

Empresariales
1 de 27
OFICINA DE INFORMÁTICA Calidad y Seguridad de la Información SERVICIO PARA LA DEFINICIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Y ELABORACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA OFICINA DE INFORMÁTICA – PERIODO 2013 Orden de Servicio N° 1993 GINO ARTURO FERNÁNDEZ CANORIO Entregable Final
INDICE 1. Introducción.....................................................................................................................1 2. Términos generales ........................................................................................................1 3. Organización del MINEDU..............................................................................................2 3.1 Naturaleza Jurídica..................................................................................................2 3.2 Visión........................................................................................................................2 3.3 Misión.......................................................................................................................2 3.4 Funciones generales ...............................................................................................2 3.5 Estructura Funcional................................................................................................3 4. Alcance del SGSI ............................................................................................................4 4.1 Criterios para definir el alcance...............................................................................5 4.2 Áreas que se incluirán en el alcance.......................................................................5 4.3 Justificación..............................................................................................................5 4.3.1 Estrategias y funciones institucionales ............................................................6 4.3.2 Alineamiento de las áreas con la estrategia institucional................................7 4.4 Enunciado del alcance...........................................................................................11 5. Política de Seguridad de la Información - Análisis de la Política vigente ....................11 5.1 Objetivos ................................................................................................................12 5.2 Alcance ..................................................................................................................12 5.3 Estructura organizacional para la seguridad de la información............................13 5.4 Marco Normativo para la seguridad ......................................................................15 5.5 Políticas específicas ..............................................................................................16 5.1.1 Activos de información ...................................................................................16 5.1.2 Seguridad de Personal...................................................................................16 5.1.3 Seguridad Física.............................................................................................17 5.1.4 Administración de las operaciones y comunicaciones ..................................17 5.1.5 Control de accesos.........................................................................................17 5.1.6 Desarrollo y Mantenimiento de Sistemas ......................................................18 5.1.7 Continuidad del Negocio ................................................................................18 5.1.8 Cumplimiento..................................................................................................19 5.1.9 Propiedad intelectual......................................................................................19 6. Conclusiones de la Revisión.........................................................................................19 ANEXO 1 – POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN......................................20
1 1. Introducción El Ministerio de Educación (En adelante MINEDU), es el ente de gobierno que tiene como misión estratégica la promoción del desarrollo de la persona humana a través de un eficiente sistema educativo el cual fortalezca las capacidades individuales, gracias a una formación integral y permanente. Entre sus funciones principales están:  Formular, aprobar, ejecutar y evaluar el Proyecto Educativo Nacional.  Definir, dirigir, regular y evaluar la política educativa y pedagógica nacional y establecer políticas específicas de equidad.  Diseñar programas nacionales de aprovechamiento de nuevas tecnologías de información y comunicación  Gestionar el presupuesto para la educación.  Planificar y administrar la infraestructura educativa.  Implementar un sistema de información para la toma de decisiones estratégicas. Para el cumplimiento de estas funciones el MINEDU emplea una serie de recursos, entre los cuales la información se presenta como el activo intangible más importante y por lo tanto debe ser protegido para garantizar su confidencialidad, integridad y disponibilidad. Enmarcado en la disposición de la Presidencia del Consejo de Ministros mediante Resolución Ministerial RM 129-2012-PCM y en cumplimiento de sus objetivos institucionales, el MINEDU implementa un Sistema de Gestión de Seguridad de la Información (SGSI) alineado a dos normas: • Norma Técnica Peruana NTP 27001: Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos. • Norma Técnica Peruana NTP ISO/IEC 17799:2007 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información. Uno de los pasos más importantes al implementar un SGSI es definir adecuadamente el alcance. El presente documento define una propuesta para el alcance que permita la viabilidad de la implementación y que la gestión de la seguridad brinde valor a la organización. Además se realizará un análisis respecto a su política de seguridad de la información aprobada en el año 2009, con el propósito de elaborar una propuesta que se ajuste a lo consignado en la Norma Técnica Peruana NTP27001:2008. 2. Términos generales  Alcance del SGSI: Procesos que delimitarán la implementación de la NTP 27001:2008
2  NTP 17799:2007: Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información.  NTP 27001:2008: Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos.  PEN: Proyecto Educativo Nacional.  SGSI: Sistema de Gestión de Seguridad de la Información.  SINEACE: Sistema Nacional de Evaluación, Acreditación y Certificación de la Calidad Educativa.  Usuarios: Sociedad Civil que hace uso de los servicios brindados por el MINEDU 3. Organización del MINEDU El MINEDU, órgano rector del sector educación, es la “empresa de servicios” más grande del país pues atiende doscientos días al año a más de seis millones de alumnos en el sistema público, tiene una planilla de trescientos veinte mil empleados activos; controla cuarenta y cuatro mil centros educativos públicos y diecisiete mil programas no escolarizados, representando el 85% del servicio educativo que se ofrece en el Perú. 3.1 Naturaleza Jurídica El MINEDU es un organismo del Poder Ejecutivo. Tiene personería jurídica de derecho público y constituye un pliego presupuestal.1 3.2 Visión El MINEDUes el organismo rector que lidera una sociedad educadora con la participación y vigilancia de la sociedad civil, para garantizar una educación integral, pertinente y de calidad que contribuya al desarrollo pleno de las personas a lo largo de su vida. 3.3 Misión El MINEDU tiene como misión, asegurar ofertas educativas pertinentes de calidad, sustentadas en el trabajo concertado con la sociedad civil y centradas en la formación integral de todos los peruanos, guiados con una perspectiva de interculturalidad, equidad, cohesión social y desarrollo humano sostenible, que permita formar personas capaces de desarrollar su identidad, autoestima y capacidades, e integrarse adecuada y críticamente a la sociedad, en armonía con su entorno. 3.4 Funciones generales Entre las funciones más importantes del MINEDU, se pueden resaltar las siguientes: 1 Reglamento de Organización y Funciones aprobado mediante Decreto Supremo 006-2012-ED
3  Definir, dirigir, regular y evaluar la política educativa y pedagógica nacional y establecer políticas específicas de equidad.  Formular, aprobar, ejecutar y evaluar el Proyecto Educativo Nacional.  Planificar la educación.  Diseñar programas nacionales de aprovechamiento de nuevas tecnologías de información y comunicación.  Organizar programas de apoyo al servicio educativo que compensen las desigualdades y lograr equidad en el acceso, procesos y resultados educativos.  Dirigir el Programa Nacional de Formación y Capacitación Permanente del magisterio.  Dirigir el Programa Nacional de Investigación Educativa.  Definir e implementar políticas sectoriales y de mejoramiento del personal directivo, docente y administrativo del Sector.  Gestionar el presupuesto para la educación.  Planificar y administrar la infraestructura educativa.  Implementar un sistema de información para la toma de decisiones estratégicas.  Coordinación con el SINEACE los procesos de medición y evaluación de logros.  Elaborar, proponer y ejecutar políticas relacionadas con el otorgamiento de Becas y Crédito Educativo.  Concertar y promover la cooperación nacional e internacional técnica y financiera para el mejoramiento de la educación. 3.5 Estructura Funcional El organigrama estructural del MINEDU a un segundo nivel2 se compone de las siguientes unidades orgánicas:  Alta Dirección  Órganos consultivos  Órganos de asesoramiento  Órgano de control  Procuraduría  Órganos de línea  Órganos de apoyo Sin embargo, para efectos de un análisis netamente orientado a entender los procesos críticos organizacionales, se puede esquematizar dicha estructura a nivel funcional. En la siguiente figura (Figura 1), se muestra un organigrama relacionado con las funciones principales que desarrolla la institución. 2 Organigrama aprobado por Decreto Supremo 006-2012-ED
4 Despacho Ministerial Secretaria General Secretaria de Planificación Estratégica Viceministerio de Gestión Pedagógica Viceministerio de Gestión Institucional  Proponer, coordinar, integrar, monitorear y evaluar la política, objetivos y estrategia del Sector Educación.  Integrar los sistemas de información y estadística del Sector Educación  Coordinar activamente de manera técnico-funcional con entes rectores.  Integrar los Sistemas de Planificación, presupuesto, inversión pública y cooperación internacional.  Ejercer responsabilidad sobre los Sistemas Administrativos de Abastecimiento, Contabilidad, Tesorería y Recursos Humanos del MED.  Asesorar e informar sobre la correcta aplicación de las disposiciones legales y reglamentarias del Sector.  Proponer políticas, objetivos y estrategias educativas y pedagógicas a nivel nacional, en las modalidades que el MED gestiona.  Proponer lineamientos para la supervisión educacional.  Diseñar e implementar la política y estrategia para una eficiente gestión del sistema educativo nacional.  Dirige el proceso de descentralización educativa  Velar por un eficiente desarrollo de la infraestructura educativa a nivel nacional.  Gestionar el otorgamiento de becas y créditos educativos.  Evalúa el cumplimiento de la supervisión educacional Figura 1. Organigrama Funcional de primer nivel del MINEDU La Norma Técnica Peruana NTP ISO/IEC 27001:2008 exige que el alcance del SGSI sea definido en términos de las características del negocio, su localización, activos y tecnología, incluyendo las justificaciones para cualquier exclusión. 3 En el caso de una institución pública como el MINEDU, que está orientada a brindar servicios a usuarios y no tratar con clientes, el término “negocio” se refiere a aquellas operaciones que apoyan el cumplimiento de la misión institucional. Las funciones identificadas en el organigrama representan las actividades que mantienen en operación a la institución, por lo tanto la seguridad debe estar orientada a salvaguardar la información tratada en el cumplimiento de las mismas. 4. Alcance del SGSI Uno de los pasos más importantes al implementar un SGSI es definir adecuadamente el alcance. A continuación se define una propuesta para el alcance que permita la 3 Clausula 4.2.1 a) de la NTP 27001:2008
5 viabilidad de la implementación y que la gestión de la seguridad brinde valor a la organización. 4.1 Criterios para definir el alcance La implantación de un SGSI es un proyecto de gran envergadura, con repercusiones transversales y cuyo alcance debe estar orientado a cambiar la cultura de la organización. Por lo tanto se debe tener en cuenta los siguientes factores para definir el alcance:  No debe abarcar toda la organización. Se recomienda iniciar el SGSI con un alcance reducido, que permita optimizar recursos y resultados.  Incluir procesos en donde la seguridad genere un mayor valor a la institución. Esto se refiere a potenciar procesos que ya incorporan funciones de seguridad, pues es ahí donde el SGSI aportará beneficios directos.  Orientado a servicios. Es recomendable al definir el alcance inicial buscar el fortalecimiento de determinados servicios y procesos internos que apoyen al negocio. En el caso del MINEDUque apoye los procesos que brindan servicios externos. 4.2 Áreas que se incluirán en el alcance Se propone que los procesos que integren el alcance del Sistema de Gestión de Seguridad de la Información pertenezcan a las siguientes unidades orgánicas encargadas de la gestión de las tecnologías de la información y comunicaciones en el MINEDU:  Dirección General de Tecnologías Educativas (DIGETE): La cual ofrece los siguientes servicios a los usuarios:  Administración, mantenimiento y asistencia técnica de la red satelital  Administración de la televisión educativa  Oficina de Informática (OFIN): La cual ofrece los siguientes servicios:  Desarrollo y mantenimiento de aplicaciones  Asistencia técnica a usuarios a nivel nacional sobre las diferentes aplicaciones que el MINEDU despliega.  Gestión de servicios de tecnologías de la información que apoyan los procesos del MINEDU para el cumplimiento de sus funciones 4.3 Justificación Basado en los criterios expuestos, las áreas a incluir en el alcance del SGSI deben poseer procesos y funciones que se encuentren alineadas con la estrategia de la organización y a la misión institucional.
6 4.3.1 Estrategias y funciones institucionales Para alinear el alcance del SGSI y garantizar que cumpla con el objetivo de apoyar la estrategia institucional debemos identificar los objetivos y funciones de las áreas involucradas. 4.3.1.1 Objetivos estratégicos institucionales El MINEDU posee una serie de funciones orientadas a la gestión educativa que ya han sido mencionadas; para garantizar que el SGSI añada valor a los objetivos estratégicos tomaremos en cuenta los definidos en el Proyecto Educativo Nacional al 20214 :  OE1. Oportunidades y resultados educativos de igual calidad para todos  OE2. Estudiantes e instituciones educativas que logran aprendizajes pertinentes y de calidad  OE3. Maestros bien preparados ejercen profesionalmente la docencia  OE4. Una gestión descentralizada, democrática, que logra resultados y es financiada con equidad.  OE5. Educación superior de calidad se convierte en factor favorable para el desarrollo y la competitividad nacional.  OE6. Una sociedad que educa a sus ciudadanos y los compromete con su comunidad Estos objetivos son desarrollados por el MINEDU y sus dependencias descentralizadas, es importante identificar cómo el alcance del SGSI se alinea con dichos objetivos. 4.3.1.2 Funciones de la Dirección General de Tecnologías Educativas La Dirección General de Tecnologías Educativas es responsable de integrar las Tecnologías de Información y Comunicación en el proceso educativo, en concordancia con estándares internacionales y las políticas educativas y pedagógicas5 . Entre sus funciones principales destacan:  Desarrollar, ejecutar y supervisar la red nacional educativa  Garantizar la conectividad de las I.I.E.E 4 Proyecto Educativo Nacional al 2021 – Aprobado Noviembre 2006 5 Reglamento de Organización y Funciones
7  Coordinar acciones intersectoriales y con otros organismos para ampliar la cobertura de los servicios educativos mediante TIC y televisión  Orientar la implementación de la plataforma tecnológica en las I.I.E.E.  Desarrollar la educación a distancia en coordinación con las Direcciones normativas, apoyada en las TIC.  Brindar soporte a los Gobiernos Regionales (GR) para el desarrollo de políticas y cumplimiento de lineamientos técnico normativos materia de su competencia.  Supervisar y efectuar el seguimiento a los Gobiernos Regionales en el cumplimiento de las acciones materia de su competencia de manera articulada. 4.3.1.3Funciones de la Oficina de Informática La Oficina de Informática es la unidad orgánica encargada de apoyar al logro de objetivos y metas institucionales a través de la adopción de nuevas tecnologías, el desarrollo de sistemas de información y la implementación de nuevas herramientas y servicios informáticos para usuarios internos (dependencias del Ministerio) y externos (Sector Educación). Entre sus funciones principales tenemos:  Normar la conectividad requerida entre las instancias de Gestión Educativa Descentralizada  Elaborar, desarrollar, ejecutar, evaluar y mantener el Plan Estratégico Informático del MINEDU.  Brindar asistencia técnica a las dependencias internas del MINEDU  Establecer los planes de contingencia necesarios para la seguridad de los procesos informáticos del MINEDU.  Alineamiento a normas del Sistema Nacional de Informática  Establecer y operar un sistema de Base de Datos para la planificación, investigación y monitoreo de la Educación.  Formular y proponer políticas de estandarización para las herramientas informáticas. 4.3.2 Alineamiento de las áreas con la estrategia institucional La proyección del MINEDU en mejorar la calidad educativa no sería viable sin un soporte tecnológico que permita el despliegue de información de manera confiable, íntegra y que esté disponible en el momento requerido.
8 En los siguientes cuadros se identifica la relación entre las funciones de las unidades orgánicas a cubrirse en el alcance y los objetivos estratégicos del MINEDU. (Figura2, Figura3)
9 Figura. 2 Alineamiento de la Dirección General de Tecnologías Educativas (DIGETE) con losobjetivos estratégicos institucionales Oportunidades y resultados educativos de igual calidad para todos Estudiantes e instituciones educativas que logran aprendizajes pertinentes y de calidad Maestros bien preparados ejercen profesionalmente la docencia Una gestión descentralizada, democrática, que logra resultados y es financiada con equidad. Educación superior de calidad se convierte en factor favorable para el desarrollo y la competitividad nacional. Una sociedad que educa a sus ciudadanos y los compromete con su comunidad Desarrollar, ejecutar y supervisar la red nacional educativa X X X X 4 Garantizar la conectividad de las I.I.E.E X X X X 4 Coordinar acciones intersectoriales y con otros organismos para ampliar la cobertura de los servicios educativos mediante TIC y televisión X X X 3 Orientar la implementación de la plataforma tecnológica en las I.I.E.E X X X 3 Desarrollar la educación a distancia en coordinación con las Direcciones normativas, apoyada en las TIC X X X 3 Brindar soporte a los Gobiernos Regionales(GR) para el desarrollo de políticas y cumplimiento de lineamientos técnico normativos materia de su competencia. X 1 Supervisar y efectuar el seguimiento a los Gobiernos Regionales en el cumplimiento de las acciones materia de su competencia de manera articulada. X 1 UNIDAD ORGÁNICA FUNCIONES OBJETIVOS ESTRATEGICOS IMPACTO (OBJETIVOS CUBIERTOS) Dirección General de Tecnologías Educativas (DIGETE)
10 Figura. 3 Alineamiento de la Oficina de Informática (OFIN) con losobjetivos estratégicos institucionales Oportunidades y resultados educativos de igual calidad para todos Estudiantes e instituciones educativas que logran aprendizajes pertinentes yde calidad Maestros bien preparados ejercen profesionalmente la docencia Una gestión descentralizada, democrática, que logra resultados y es financiada con equidad. Educación superior de calidad se convierte en factor favorable para el desarrollo yla competitividad nacional. Una sociedad que educa a sus ciudadanos ylos compromete con su comunidad Normar la conectividad requerida entre las instancias de Gestión Educativa Descentralizada X X X 3 Elaborar, desarrollar, ejecutar, evaluar y mantener el Plan Estratégico Informático del MINEDU X X X X X X 6 Brindar asistencia técnica a las dependencias internas del MINEDU X X 2 Establecer los planes de contingencia necesarios para la seguridad de los procesos informáticos del MINEDU X X X 3 Alineamiento a normas del Sistema Nacional de Informática X X X 3 Establecer y operar un sistema de Base de Datos para la planificación, investigación y monitoreo de la Educación X X X 3 Formular y proponer políticas de estandarización para las herramientas informáticas X X X X 4 Oficina de Informática (OFIN) IMPACTO (OBJETIVOS CUBIERTOS) UNIDAD ORGÁNICA OBJETIVOS ESTRATEGICOS FUNCIONES
11 Mediante los cuadros expuestos podemos comprobar que las funciones desarrolladas por parte de la Dirección General de Tecnologías Educativas y la Oficina de Informática generan valor al negocio y están alineados a la estrategia institucional. Asimismo, se identifican las funciones críticas (Impacto mayor), de donde se extraerán los procesos para definir el alcance del SGSI. 4.4 Enunciado del alcance El alcance del SGSI queda definido por los procesos críticos desarrollados en la Dirección General de Tecnologías Educativas (DIGETE) y la Oficina de Informática (OFIN). Los procesos considerados son los siguientes: Digete  Gestión de la Conectividad de la Red Satelital  Asistencia Técnica a la Red Satelital  Administración de la Televisión Educativa Ofin  Gestión de Tecnologías de la Información  Gestión de la Calidad y Seguridad de la Información  Sistema de Información de Apoyo a la Gestión de la Institución Educativa (SIAGIE)  Operaciones y Mantenimiento de Sistemas  Gestión de la Infraestructura  Atención al usuario  Soporte Administrativo Este alcance cubrirá los activos que intervienen en los procesos, tales como:  Infraestructura (HW y SW)  Personal  Servicios de TI  Documentación impresa y digital  Instalaciones 5. Política de Seguridad de la Información - Análisis de la Política vigente La Política vigente fue aprobada el 27 de marzo del año 2009. La Norma Técnica Peruana NPT ISO/IEC 17799:2007, referente a las buenas prácticas engestión de seguridad de la información recomienda la actualización de la política cada vez que se cumpla un ciclo de SGSI (generalmente un año o ante cualquier cambio que amerite
12 una nueva evaluación), la cual se realiza mediante los siguientes instrumentos de entrada:  Resultados de la evaluación de riesgos  Seguimiento de indicadores de gestión  Cambios organizacionales  Documentación vigente en materia de seguridad  Resultado de auditorías internas o externas  Incidentes de seguridad reportados  Nuevas amenazas y vulnerabilidades identificadas  Normatividad vigente y retroalimentación de los terceros interesados. Según lo estipulado en la norma técnica de la referencia, la política de seguridad vigente del MINEDU debe ser actualizada y para ello se debe realizar un análisis de los aspectos considerados líneas arriba. A continuación se presenta una revisión de la política vigente con el propósito de identificar posibles actualizaciones: 5.1 Objetivos Los objetivos de la política de seguridad que se buscan mantener son los siguientes:  Cumplir con los niveles de autorización y responsabilidad sobre la información en el MINEDU.  Minimizar la posibilidad de ocurrencia de incidentes que impacten negativamente a las instalaciones, infraestructura y otros medios de tratamiento de información.  Cumplir con la normatividad vigente referente a la seguridad de la información.  Proteger la información como activo crítico del MINEDU, preservando su confidencialidad, disponibilidad e integridad.  Sensibilizar al personal del MINEDU sobre su responsabilidad para mantener la seguridad de la información. 5.2 Alcance Se cubre 10 dominios de control de la NTP 17799:2007 (Anexo A de la 27001:2008), excluyendo la asociada a la gestión de incidentes de seguridad. Las desventajas de implementar inicialmente una política extensa en detalle son las siguientes:  Actualización compleja. La política debe ser un documento general prevalente, cuya aprobación exige una serie de revisiones por distintas áreas (Área que implementa, Área que controla, Organización y Métodos, Jurídica, Despacho). Si agrupamos en la política detalles en materia operacional, administrativa y
13 legal, el proceso de actualización ante cualquier evento meritorio se tornará complejo y tedioso. Se recomienda abarcar estos aspectos en documentos de rango menor, tales como directivas y procedimientos.  Incumplimiento. La política de seguridad de la información es de cumplimiento obligatorio a nivel institucional e inclusive por terceros que tengan un vínculo temporal o permanente con el MINEDU, si la política es extensa y cubre muchos aspectos en un inicio, garantizar el cumplimiento es una tarea utópica.  Seguimiento inadecuado o insuficiente. La función de velar por el cumplimiento de la política de seguridad recae en el CESI que, si bien es el responsable mayor de la gestión de la seguridad de la información, debe delegar el seguimiento de implementación de controles al COSI y al equipo de seguridad de la información del MINEDU.  No está basada en riesgos. En un SGSI es importante desde el inicio establecer una política de seguridad porque brinda orientación y establece el compromiso de la dirección, sin embargo los aspectos contemplados en la NTP 17799:2007 que definen controles para los 11 dominios de la seguridad de la información es conveniente cubrirlos posteriormente a una evaluación de riesgos de seguridad, en donde se tiene identificado las brechas más críticas que pueden impactar a las operaciones del MINEDU. La recomendación es realizar una política general del SGSI donde se manifieste el compromiso institucional para con la seguridad de la información. Luego de la evaluación de riesgos, donde se han identificado las brechas de seguridad, se pueden implementar a manera de políticas o directivas (evaluando la factibilidad de cumplimiento, identificando los responsables del monitoreo y con la aprobación del COSI y CESI) las disposiciones en materia de seguridad correspondiente a los 11 dominios de control que propone la norma. 5.3 Estructura organizacional para la seguridad de la información Una política de seguridad de la información, como se mencionó anteriormente, no debe contener estructuras organizacionales (esto debe ir en un documento de menor jerarquía), sin embargo en la política vigente se define una estructura organizacional para la gestión de la seguridad de la información de la siguiente manera (Figura 4):
14 CESI Comité Ejecutivo de Seguridad de la Información COSI Comité Operativo de Seguridad de la Información Oficina de Seguridad de la Información Área de administración de riesgos y respuestas a incidentes Área de recuperación ante desastres Área de soluciones de Seguridad de la Información Área de Desarrollo y Cumplimiento del Marco Normativo de Seguridad Conformado de manera formal mediante RM 0066- 2009-I Figura 4. Estructura organizacional para la seguridad de la Información en Política Vigente En la cual sólo se ha conformado de manera formal el Comité Ejecutivo y el Comité Operativo, los demás entes no existen, por lo tanto no debería figurar en la Política. Una estructura propuesta que se puede que se ajuste al actual organigrama es el siguiente (Figura 5), sin embargo no se recomienda incluirla en la política: CESI Comité Ejecutivo de Seguridad de la Información COSI Comité Operativo de Seguridad de la Información Oficina de Seguridad de la Información Equipo de apoyo técnico (Analistas de Seguridad)
15 Figura 5. Estructura organizacional para la seguridad de la Información propuesta Existen dos acciones importantes que el Comité Ejecutivo (CESI) debe realizar:  Nombrar un Coordinador u Oficial de Seguridad de la Información  Aprobar las funciones del área de Seguridad de la Información de OFIN. 5.4 Marco Normativo para la seguridad En la política vigente se definen 3 documentos normativos que generalmente reciben la aprobación a nivel institucional. Además se propone tener en consideración los siguientes documentos complementarios, para tenerlos en consideración en el análisis de la documentación:  Instructivos  Registros No es conveniente incluirla en la política, ya que la oficina de planeamiento y normatividad debe ser la que emita la directiva asociada a los mecanismos de documentación Quedaría la siguiente estructura para la documentación respecto a la seguridad de la información (Figura 6): Figura 6. Jerarquía documental para la Seguridad de la Información. Política de Seguridad Normas Internas (Directivas, Manuales, etc) Procedimientos Instructivos Registros
16 Los mecanismos de elaboración, aprobación y distribución de documentos se consignarán en directivas que emita el CESI, después de su evaluación. Lo que sídebe manifestarse en la política es que el MINEDU se compromete a la distribución oportuna de los documentos de gestión relacionados con la seguridad de la información así como también a su actualización periódica. Existe en la política vigente responsabilidades asignadas para la actualización de los documentos normativos; esto debe ir en una directiva, mas no en la política inicial ya que aún esas responsabilidades no están formalizadas. 5.5 Políticas específicas - En la política vigente se tocan aspectos específicos de seguridad de la información, los cuales deben ser generalizados para que su cumplimiento será factible. La política de seguridad de la información debe ser obligatoria para todo el MINEDU, no solo para un área. 5.1.1 Activos de información Especifica que en el MINEDU se deben establecer niveles de clasificación de la información de acuerdo a su criticidad. Si en la política se establece los niveles de clasificación, esto significa que existe un inventario de activos de información que tienen ese atributo asignado, sin embargo el inventario de activos de información es parte del proceso de análisis de riesgos, el cual aún está en desarrollo, por lo tanto es conveniente establecer esta jerarquía posteriormente. 5.1.2 Seguridad de Personal Es importante delimitar al personal respecto a su responsabilidad para con la seguridad de la información. Además se dan lineamiento sobre los siguientes aspectos:  Gestión de los accesos ante el alta, baja o modificación de empleados  Responsabilidad del personal ante la gestión de incidentes  Firma de compromiso de aceptación y cumplimiento de políticas de seguridad  Capacitación en seguridad de la información. De estos aspectos, solo el punto donde se manifiesta que cualquier empleado puede reportar un incidente de seguridad es válido para incluirlo en la política, los otros puntos deben ser abarcados en directivas y/o procedimientos.
17 5.1.3 Seguridad Física En este dominio se puede mantener los conceptos definidos:  Áreas críticas  Seguridad de los equipos informáticos Está definidos de manera general, lo cual permite su entendimiento y cumplimiento. 5.1.4 Administración de las operaciones y comunicaciones Este dominio no es conveniente que entre en una política institucional por tocar puntos netamente técnicos. En la política vigente se tocan los siguientes aspectos operacionales:  Separación de ambientes  Control de cambios en los ambientes  Controles para malware  Seguridad de redes  Copias de respaldo  Seguridad de correo electrónico  Seguridad en Internet Se detallan flujos de comunicación entre áreas que son importantes pero que actualmente no se están cumpliendo, por eso es mejor establecerlos mediante procedimientos formales en el ámbito OFIN. 5.1.5 Control de accesos Se detallan los procesos de autorización, cese y modificación de accesos, definiendo áreas y responsables que en la actualidad no están definidos de manera formal. Como se menciona anteriormente, incluir esto en una política institucional de seguridad conlleva a un riesgo de incumplimiento. Se debe redefinir este apartado, consignando solo lineamientos generales que el MINEDU se compromete a cumplir para que los accesos sean gestionados con seguridad. Además existe una cláusula que manifiesta que el MINEDU se reserva el derecho de supervisar, acceder, recuperar, leer y/o descubrir comunicaciones del empleado bajo ciertas condiciones. Actualmente existen dos marcos normativos que regulan estos aspectos:  Ley de Protección de Datos Personales la cual tiene por objetivo velar por el respeto a la información sensible del ciudadano.  Derecho al secreto de las comunicaciones descrito en la Constitución Política del Perú.
18 Esto debe ser evaluado pues, mediante la aplicación de estas medidas, existe la posibilidad de infringir las normativas referenciadas. 5.1.6 Desarrollo y Mantenimiento de Sistemas Los controles que se incluyen en la política vigente son:  Requerimientos de seguridad Actualmente se encuentra implementado un módulo de seguridad que controla los accesos a los diferentes sistemas de información desarrollados en el MINEDU, lo cual podría incluirse en la política, sin perder de vista que es un tema técnico.  Criptografía Se habla de mecanismos de cifrado para la información crítica del MINEDU, esto no se aplica en la actualidad para todos los sistemas, debería ser excluido en la actualización de la política.  Seguridad en el desarrollo y procedimientos de soporte Se manifiesta el compromiso del MINEDU en asegurar el cumplimiento de las buenas prácticas en seguridad para el desarrollo de sus sistemas de información. Por no especificar aspectos técnicos se puede en la actualización de la política. 5.1.7 Continuidad del Negocio Hace referencia a dos planes que no existen en la actualidad:  Plan de Continuidad del Negocio, orientado a mantener la operatividad de los procesos del negocio (Con o sin TI) del MINEDU ante una crisis que genere indisponibilidad total.  Plan de Recuperación de TI, enfocado en reestablecer los servicios e infraestructura de TI dentro de los límites y tiempos exigidos por los procesos del negocio. Al no contar con dichos planes, el MINEDU debe desarrollar en primera instancia un plan de contingencia que permita la alta disponibilidad y la recuperación de los servicios críticos ante eventos de interrupción menores.
19 5.1.8 Cumplimiento Referido al alineamiento del MINEDU hacia las buenas prácticas especificadas en las normas vigentes relacionadas a la seguridad de la información, tales como: 5.1.9 Propiedad intelectual  Licenciamiento de Software  Acuerdos de confidencialidad Se pueden mantener ciertos enunciados sobre el cumplimiento de estos aspectos, pero no establecer directamente procedimientos de reporte de incumplimientos y mecanismos de sanción, esto debe ir en una directiva de Recursos Humanos, como es el caso en el inciso “Responsabilidades”, donde se describe un procedimiento de reporte de parte del personal hacia el Oficial de Seguridad de la Informaci 6. Conclusiones de la Revisión Después de la evaluación de la política de seguridad vigente se puede llegar a las siguientes conclusiones:  La política vigente data del año 2009, por lo tanto su actualización es prioritaria.  Existen enunciados en la política vigente que deben mantenerse debido a que están relacionados con aspectos generales de la seguridad de la información y que su cumplimiento debe ser obligatorio a nivel institucional.  Existen procedimientos descritos que actualmente no se cumplen y que deben ser reconsiderados para incluirlos en la nueva versión.  Las estructuras organizacionales expuestas deben ser nuevamente evaluadas, ajustándolas a la realidad institucional y en búsqueda de una fluidez en la coordinación de asuntos relacionados a la seguridad de la información.  En el Anexo 1 se expone la propuesta de política de seguridad actualizada y según los lineamientos de la NTP 27001:2008
ANEXO 1 – POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. INTRODUCCIÓN El Ministerio de Educación (En adelante MINEDU) es el órgano del Gobierno Nacional que tiene por misión estratégica la promoción del desarrollo de la persona, a través de un nuevo sistema educativo en el cual las capacidades individuales se vean fortalecidas, gracias a una formación integral y permanente. El MINEDU, como ente encargado de liderar la iniciativa educativa en el país, debe garantizar una formación de calidad que contribuya activamente al desarrollo nacional; por ende, una de sus prioridades es velar por la eficiente ejecución de sus procesos institucionales. Actualmente las tendencias tecnológicas, administrativas y operacionales vienen evolucionando a un ritmo bastante intensivo, acrecentándose la exposición a riesgos que pueden comprometer la información, activo principal en las operaciones del negocio. El MINEDU, para el cumplimiento de sus objetivos y funciones, propone mediante esta política, la base de la gestión de la seguridad de la información a nivel organizacional. 2. OBJETIVOS El presente documento tiene por objetivo general establecer el compromiso del MINEDUpara implementar unagestión de la seguridad de la información de manera efectiva, apropiada y consistente. Los objetivos específicos son los siguientes:  Fijar el marco de actuación necesario para proteger los activos de información frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de preservar su confidencialidad, integridad y disponibilidad. Reducir el riesgo asociado al uso indebido de la información crítica de la organización y de sus trabajadores.  Sensibilizar al personal del MINEDU respecto a su responsabilidad para mantener la seguridad de la información, estableciendo una cultura organizacional que incorpore las buenas prácticas en el manejo y cuidado de la información como un aspecto relevante en los procesos institucionales.  Sentaren el MINEDU la base del Sistema de Gestión de Seguridad de la Información (En adelante SGSI) alineado a la Norma Técnica Peruana NTP- ISO/IEC 27001:2008.
21 3. DECLARACIÓN DE INTENCIÓN El Ministerio de Educación se compromete a proteger sus procesoscríticos mediante una gestión eficiente y continua de la seguridad de la información. Para este objetivo proveerá oportunamente los recursos necesarios, siendo la alta dirección el primer promotor del Sistema de Gestión de Seguridad de la Información (SGSI). 4. BASE LEGAL  Ley N° 27444, Ley del Procedimiento Administrativo General.  Ley N° 27658, Ley Marco de la Modernización de la Gestión del Estado.  Ley N° 27806, Ley de Transparencia y Acceso a la Información Pública.  Ley N° 29733, Ley de Protección de Datos Personales.  Resolución de Contraloría General N° 320-2006-CG, Normas de Control Interno.  Resolución Ministerial N° 129-2012-PCM Uso obligatorio de la “NTP-ISO/IEC 27001:2012 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos”. 5. CONCEPTOS GENERALES El MINEDU establece que la información, sea de carácter público o propio de la institución, es uno de los activos más importantes. Por lo tanto, para un mayor entendimiento de la presente política, se definen los siguientes conceptos: Activo de información: Todo medio quealmacena, transporta, procesa o genera informacióny que tiene valor para la institución. Se consideran activos de información:  Documentos de papel (contratos, manuales, etc.)  Documentos digitales  Activos de software (aplicación, sistemas, etc.)  Activos físicos (computadoras, medios magnéticos, instalaciones)  Personal (clientes, empleados)  Imagen institucional y reputación  Servicios (Comunicaciones, correo, etc.) Confidencialidad:La información sólo debe ser conocida por el personal que la requiera para el desarrollo de sus funciones. Este principio busca garantizar que todo activo de información este protegido del uso no autorizado y que pueda conllevar un riesgo para el MINEDU. Integridad:La información no puede ser alterada ni eliminada por cambios no autorizados o accidentales. Se busca garantizar la precisión, suficiencia y validez de la información, de acuerdo con las expectativas del negocio.
22 Disponibilidad:Principio que busca que la información esté disponible para el personal, usuarios y entidades reguladoras de manera oportuna y acorde a sus niveles de autorización. Seguridad de la Información: Es el proceso sistemático y continuo, aplicado por toda la institución, que busca garantizar los principios de confidencialidad, integridad y disponibilidad en los activos de información. 6. ALCANCE El alcance de la presente política se define desde los siguientes aspectos:  Cumplimiento de las disposiciones normativas vigentes  Es aplicable en todo el ámbito de la institución, a sus recursos y a la totalidad de sus procesos internos y externos vinculados a la entidad a través de contratos y acuerdos con terceros.  Debe ser conocida y cumplida por todo el personal vinculado laboralmente con el MINEDU, cualquiera fuera la modalidad. 7. EVALUACIÓN DE RIESGOS El MINEDU asegura la realización periódica deun proceso de análisis y evaluación de riesgos de seguridad de la información, y de acuerdo a su resultado, se implementen las acciones correspondientes con el fin de tratar los riesgos que se consideren inaceptables. 8. DOMINIOS DE LA SEGURIDAD DE LA INFORMACIÓN La presente política comprende 11 aspectos o también denominados dominios que el MINEDU considera de vital importancia para mantener la seguridad de la información en la institución. 8.1 Política de seguridad de la información  Constituye el presente documento y representa el compromiso del MINEDU a realizar las acciones que estén a su alcance para garantizar la seguridad de la información, protegiendo sus procesos críticos ante las amenazas externas e internas, y enfocado en la continuidad de sus operaciones.  El MINEDU, a través del Comité Ejecutivo de Seguridad de la Información (en adelante CESI), se compromete a revisar la presente política de manera anual o ante las siguientes circunstancias: - Requerimiento de la Alta dirección
23 - Cambios normativos que afecten al MINEDU relacionados con la seguridad de la información - Cambios significativos en la organización - Incidentes concretados de alto impacto - Otras que el CESI crea conveniente  El MINEDUestablece procedimientos en Recursos Humanos para verificar el cumplimiento de la presente política y considerará mecanismos de sanción en caso contrario.  La presente política, así como los aspectos relevantes en materia de seguridad de la información, son de conocimientoobligatorio de todo el personal del MINEDU y a las entidades externas relevantes, haciendo uso de distintos medios (intranet, boletines, portal institucional). 8.2 Organización para la seguridad de la información  El MINEDU establece la conformación del Comité Ejecutivo de Seguridad de la Información (CESI), cuya funciones son: - Aprobar y promulgar las normativas, controles, procedimientos y responsabilidades generales asociadas a la seguridad de la información. - Definir las estrategias del MINEDU respecto a las normas del Estado Peruano y tendencias globales referidas a la seguridad de la información. - Velar por el cumplimiento y actualización del marco normativo de seguridad de la información. - Monitorear cambios significativos que pudieran variar los riesgos presentes en el MINEDU. - Definir los lineamientos para implementar un Plan de Sensibilización de Seguridad de la Información para el personal del MINEDU.  Las responsabilidades en materia de seguridad de la información están identificadas y delegadas correspondientemente. 8.3 Seguridad en los activos de información  Se mantiene un inventario de activos de información críticos, documentando la información relevante de cada uno de ellos.  Los activos que componen este inventario son protegidos mediante controles de seguridad que permitan garantizar su disponibilidad, integridad y disponibilidad.
24 8.4 Seguridad en los Recursos Humanos  El personal del MINEDUconoce sus responsabilidades respecto a la seguridad de la información.  Cuando un empleado culmine o modifique su vínculo laboral con el MINEDU, se notifica a las áreas correspondientes para la eliminación y/o modificación de sus recursos y accesos. Esto también aplica para los servicios realizados por terceros.  Todo empleado es informado en el tema de seguridad de la información, con el objeto de obtener la sensibilización que conlleve a la aplicación de las buenas prácticas en sus labores diarias.  Todo empleado es responsable de registrar y reportar las violaciones a la seguridad, confirmadas o sospechadas. 8.5 Seguridad física  El acceso a las áreas críticas de procesamiento de información sólo está permitido a personal autorizado. El acceso a estas áreas por parte de terceros es controlado por personal del MINEDU.  El MINEDU establece mecanismos para garantizar la integridad de las personas y de sus activos de información mediante controles que mitiguen el riesgo de impacto ante incidentes causados por agentes ambientales externos (Sismos, siniestros, atentados, etc.). 8.6 Seguridad de las Operaciones y Comunicaciones  El MINEDUcertifica periódicamente quela infraestructura y procesos de tecnologías de la información y comunicaciones que soportan la información institucional operan bajo efectivos controles de seguridad, lo cual garantiza la confidencialidad, integridad y disponibilidad de los mismos. 8.7 Control de accesos  La asignación de accesos y privilegios sobre los diferentes activos de información es formalmente autorizada y estrictamente en base a las labores que el empleado, por contrato, realizará en la institución.
25 8.8 Seguridad en sistemas de información  Los sistemas de información, tanto desarrollados internamente como adquiridos a terceros, implementarán controles de seguridad en todas las etapas de su desarrollo, garantizando que la información procesada se encuentra protegida. 8.9 Gestión de incidentes  El MINEDU entiende que la protección de la información puede presentar brechas, por ende establece procedimientos internos para el tratamiento de incidentes de seguridad de la información, con el objetivo de reestablecer la funcionalidad del proceso, servicio o activo afectado en el rango de tolerancia que demanda el negocio. 8.10 Continuidad del Negocio  Se cuenta con un esquema de contingencia que establece los pasos a seguir, en caso ocurra algún evento de interrupción de la disponibilidad, de tal forma que la institución pueda recuperar oportunamente la operatividad de sus procesos críticos del negocio. 8.11 Cumplimiento  El MINEDUcumple con la normativa vigente respecto a la seguridad de la información y establece procedimientos regulatorios para el monitoreo de su alineamiento.

Recomendados

Manual de procesos y procedimientos
Manual de procesos y procedimientosManual de procesos y procedimientos
Manual de procesos y procedimientosirdet
 
Df (3)
Df (3)Df (3)
Df (3)Morel1
 
Política Nacional de Gobierno Electrónico 2013-2017
Política Nacional de Gobierno Electrónico 2013-2017Política Nacional de Gobierno Electrónico 2013-2017
Política Nacional de Gobierno Electrónico 2013-2017ONGEI PERÚ
 
Plan de gestion_tics vianis 2012
Plan de gestion_tics vianis 2012Plan de gestion_tics vianis 2012
Plan de gestion_tics vianis 2012Vianis Ensuncho Diaz
 
Plan monitoreo 2013 para las ugeles tumbes (final)
Plan monitoreo 2013 para las ugeles tumbes (final)Plan monitoreo 2013 para las ugeles tumbes (final)
Plan monitoreo 2013 para las ugeles tumbes (final)marloncruzguevara
 
2. wbs
2. wbs2. wbs
2. wbsMaria Jose Aristizabal
 
Manual Del Proyecto
Manual Del ProyectoManual Del Proyecto
Manual Del ProyectoLuis Alfredo Gómez Rodríguez
 
Sesión 2: seleccionar y definir proyectos
Sesión 2: seleccionar y definir proyectosSesión 2: seleccionar y definir proyectos
Sesión 2: seleccionar y definir proyectosRoman Sarmiento
 

Recomendados

Manual de procesos y procedimientos
Manual de procesos y procedimientosManual de procesos y procedimientos
Manual de procesos y procedimientosirdet
 
Df (3)
Df (3)Df (3)
Df (3)Morel1
 
Política Nacional de Gobierno Electrónico 2013-2017
Política Nacional de Gobierno Electrónico 2013-2017Política Nacional de Gobierno Electrónico 2013-2017
Política Nacional de Gobierno Electrónico 2013-2017ONGEI PERÚ
 
Plan de gestion_tics vianis 2012
Plan de gestion_tics vianis 2012Plan de gestion_tics vianis 2012
Plan de gestion_tics vianis 2012Vianis Ensuncho Diaz
 
Plan monitoreo 2013 para las ugeles tumbes (final)
Plan monitoreo 2013 para las ugeles tumbes (final)Plan monitoreo 2013 para las ugeles tumbes (final)
Plan monitoreo 2013 para las ugeles tumbes (final)marloncruzguevara
 
2. wbs
2. wbs2. wbs
2. wbsMaria Jose Aristizabal
 
Manual Del Proyecto
Manual Del ProyectoManual Del Proyecto
Manual Del ProyectoLuis Alfredo Gómez Rodríguez
 
Sesión 2: seleccionar y definir proyectos
Sesión 2: seleccionar y definir proyectosSesión 2: seleccionar y definir proyectos
Sesión 2: seleccionar y definir proyectosRoman Sarmiento
 
Wbs
WbsWbs
WbsTensor
 
5.0 wbs
5.0 wbs5.0 wbs
5.0 wbsRoger Quispe MSC PMP® SMC™ HCMBOK® HCMP® IPMA-D®
 
Alcance y planeacion protectos de software
Alcance y planeacion protectos de softwareAlcance y planeacion protectos de software
Alcance y planeacion protectos de softwareAlexi vidal
 
Pmp 5 gestión del alcance del proyecto
Pmp 5 gestión del alcance del proyectoPmp 5 gestión del alcance del proyecto
Pmp 5 gestión del alcance del proyectoDaniel Quiceno Calderón
 
Alcance Del Sistema
Alcance Del SistemaAlcance Del Sistema
Alcance Del SistemaYesenia Pineda
 
Unaula ejecución2
Unaula ejecución2Unaula ejecución2
Unaula ejecución2Escuela Negocios (EDUN)
 
Matriz de trazabilidad
Matriz de trazabilidadMatriz de trazabilidad
Matriz de trazabilidadroberto1603
 
Planteamiento y planificación de proyecto de biblioteca digital
Planteamiento y planificación de proyecto de biblioteca digitalPlanteamiento y planificación de proyecto de biblioteca digital
Planteamiento y planificación de proyecto de biblioteca digitalJesús Tramullas
 
Edt 03 modelo plan de gestión de alcance
Edt 03 modelo plan de gestión de alcanceEdt 03 modelo plan de gestión de alcance
Edt 03 modelo plan de gestión de alcanceAugusto Javes Sanchez
 
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia BellésRedit
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. NormasLuis Fernando Aguas Bucheli
 
Curso Interactivo Seguridad de la Información para Docentes
Curso Interactivo Seguridad de la Información para DocentesCurso Interactivo Seguridad de la Información para Docentes
Curso Interactivo Seguridad de la Información para DocentesJonathan Stalin Delgado Guerrero
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hechowpatricio
 
mesicic4_repdom_manTI.pdf
mesicic4_repdom_manTI.pdfmesicic4_repdom_manTI.pdf
mesicic4_repdom_manTI.pdfJUDASPRIEST9
 
Politicas de Seguridad de la empresa
Politicas de Seguridad de la empresaPoliticas de Seguridad de la empresa
Politicas de Seguridad de la empresaAndresJ08
 
Proyecto unis orito segunda entrega
Proyecto unis orito segunda entregaProyecto unis orito segunda entrega
Proyecto unis orito segunda entregajairo leandro zambrano hinestroza
 
Plan de estudios masti 11 virtual
Plan de estudios masti 11 virtualPlan de estudios masti 11 virtual
Plan de estudios masti 11 virtualJorgeConde44
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticagrupo5proyectoiv
 
GOBIERNO ELECTRONICO EN EL PODER JUDICIAL
GOBIERNO ELECTRONICO EN EL PODER JUDICIALGOBIERNO ELECTRONICO EN EL PODER JUDICIAL
GOBIERNO ELECTRONICO EN EL PODER JUDICIAL18061984
 
Trabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valenciaTrabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valenciaMilton VAlencia
 
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADModelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADMiguel A. Amutio
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"Miguel A. Amutio
 

Más contenido relacionado

Destacado

Alcance y planeacion protectos de software
Alcance y planeacion protectos de softwareAlcance y planeacion protectos de software
Alcance y planeacion protectos de softwareAlexi vidal
 
Matriz de trazabilidad
Matriz de trazabilidadMatriz de trazabilidad
Matriz de trazabilidadroberto1603
 
Planteamiento y planificación de proyecto de biblioteca digital
Planteamiento y planificación de proyecto de biblioteca digitalPlanteamiento y planificación de proyecto de biblioteca digital
Planteamiento y planificación de proyecto de biblioteca digitalJesús Tramullas
 
Edt 03 modelo plan de gestión de alcance
Edt 03 modelo plan de gestión de alcanceEdt 03 modelo plan de gestión de alcance
Edt 03 modelo plan de gestión de alcanceAugusto Javes Sanchez
 

Destacado (9)

Wbs
WbsWbs
Wbs
 
5.0 wbs
5.0 wbs5.0 wbs
5.0 wbs
 
Alcance y planeacion protectos de software
Alcance y planeacion protectos de softwareAlcance y planeacion protectos de software
Alcance y planeacion protectos de software
 
Pmp 5 gestión del alcance del proyecto
Pmp 5 gestión del alcance del proyectoPmp 5 gestión del alcance del proyecto
Pmp 5 gestión del alcance del proyecto
 
Alcance Del Sistema
Alcance Del SistemaAlcance Del Sistema
Alcance Del Sistema
 
Unaula ejecución2
Unaula ejecución2Unaula ejecución2
Unaula ejecución2
 
Matriz de trazabilidad
Matriz de trazabilidadMatriz de trazabilidad
Matriz de trazabilidad
 
Planteamiento y planificación de proyecto de biblioteca digital
Planteamiento y planificación de proyecto de biblioteca digitalPlanteamiento y planificación de proyecto de biblioteca digital
Planteamiento y planificación de proyecto de biblioteca digital
 
Edt 03 modelo plan de gestión de alcance
Edt 03 modelo plan de gestión de alcanceEdt 03 modelo plan de gestión de alcance
Edt 03 modelo plan de gestión de alcance
 

Similar a Producto alcance política-v2

20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia BellésRedit
 
Curso Interactivo Seguridad de la Información para Docentes
Curso Interactivo Seguridad de la Información para DocentesCurso Interactivo Seguridad de la Información para Docentes
Curso Interactivo Seguridad de la Información para DocentesJonathan Stalin Delgado Guerrero
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hechowpatricio
 
mesicic4_repdom_manTI.pdf
mesicic4_repdom_manTI.pdfmesicic4_repdom_manTI.pdf
mesicic4_repdom_manTI.pdfJUDASPRIEST9
 
Politicas de Seguridad de la empresa
Politicas de Seguridad de la empresaPoliticas de Seguridad de la empresa
Politicas de Seguridad de la empresaAndresJ08
 
Plan de estudios masti 11 virtual
Plan de estudios masti 11 virtualPlan de estudios masti 11 virtual
Plan de estudios masti 11 virtualJorgeConde44
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticagrupo5proyectoiv
 
GOBIERNO ELECTRONICO EN EL PODER JUDICIAL
GOBIERNO ELECTRONICO EN EL PODER JUDICIALGOBIERNO ELECTRONICO EN EL PODER JUDICIAL
GOBIERNO ELECTRONICO EN EL PODER JUDICIAL18061984
 
Trabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valenciaTrabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valenciaMilton VAlencia
 
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADModelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADMiguel A. Amutio
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"Miguel A. Amutio
 
DESARROLLO DE UN PLAN DE CONTINUIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN EN LOS ...
DESARROLLO DE UN PLAN DE CONTINUIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN EN LOS ...DESARROLLO DE UN PLAN DE CONTINUIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN EN LOS ...
DESARROLLO DE UN PLAN DE CONTINUIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN EN LOS ...UNIVERSIDAD MAGISTER (Sitio Oficial)
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsiDenis Rauda
 
PLAN DE CONTINUIDAD OPERATIVA 2022-2024.pdf
PLAN DE CONTINUIDAD OPERATIVA 2022-2024.pdfPLAN DE CONTINUIDAD OPERATIVA 2022-2024.pdf
PLAN DE CONTINUIDAD OPERATIVA 2022-2024.pdfkiatarygarcilazo
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...Miguel A. Amutio
 

Similar a Producto alcance política-v2 (20)

20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. Normas
 
Curso Interactivo Seguridad de la Información para Docentes
Curso Interactivo Seguridad de la Información para DocentesCurso Interactivo Seguridad de la Información para Docentes
Curso Interactivo Seguridad de la Información para Docentes
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hecho
 
mesicic4_repdom_manTI.pdf
mesicic4_repdom_manTI.pdfmesicic4_repdom_manTI.pdf
mesicic4_repdom_manTI.pdf
 
Politicas de Seguridad de la empresa
Politicas de Seguridad de la empresaPoliticas de Seguridad de la empresa
Politicas de Seguridad de la empresa
 
Proyecto unis orito segunda entrega
Proyecto unis orito segunda entregaProyecto unis orito segunda entrega
Proyecto unis orito segunda entrega
 
Plan de estudios masti 11 virtual
Plan de estudios masti 11 virtualPlan de estudios masti 11 virtual
Plan de estudios masti 11 virtual
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
GOBIERNO ELECTRONICO EN EL PODER JUDICIAL
GOBIERNO ELECTRONICO EN EL PODER JUDICIALGOBIERNO ELECTRONICO EN EL PODER JUDICIAL
GOBIERNO ELECTRONICO EN EL PODER JUDICIAL
 
Trabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valenciaTrabajo segundo parcial milton_valencia
Trabajo segundo parcial milton_valencia
 
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADModelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
 
DESARROLLO DE UN PLAN DE CONTINUIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN EN LOS ...
DESARROLLO DE UN PLAN DE CONTINUIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN EN LOS ...DESARROLLO DE UN PLAN DE CONTINUIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN EN LOS ...
DESARROLLO DE UN PLAN DE CONTINUIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN EN LOS ...
 
PIP 2023.pptx
PIP 2023.pptxPIP 2023.pptx
PIP 2023.pptx
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsi
 
PLAN DE CONTINUIDAD OPERATIVA 2022-2024.pdf
PLAN DE CONTINUIDAD OPERATIVA 2022-2024.pdfPLAN DE CONTINUIDAD OPERATIVA 2022-2024.pdf
PLAN DE CONTINUIDAD OPERATIVA 2022-2024.pdf
 
Trabajo seguridad informatica
Trabajo seguridad informaticaTrabajo seguridad informatica
Trabajo seguridad informatica
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
 

Más de Jack Daniel Cáceres Meza

MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINJack Daniel Cáceres Meza
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Jack Daniel Cáceres Meza
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposJack Daniel Cáceres Meza
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosJack Daniel Cáceres Meza
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeJack Daniel Cáceres Meza
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareJack Daniel Cáceres Meza
 
OFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareOFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareJack Daniel Cáceres Meza
 

Más de Jack Daniel Cáceres Meza (20)

Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
ITIL® SLC Fundamentos
ITIL® SLC FundamentosITIL® SLC Fundamentos
ITIL® SLC Fundamentos
 
Ciclo de vida de un servicio de TI
Ciclo de vida de un servicio de TICiclo de vida de un servicio de TI
Ciclo de vida de un servicio de TI
 
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
 
Curso: Unixware
Curso: UnixwareCurso: Unixware
Curso: Unixware
 
UPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporteUPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporte
 
UPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producciónUPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producción
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuarios
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -ppt
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informe
 
OFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma ColaboradoresOFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma Colaboradores
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto software
 
OFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareOFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto software
 

Último

Entrega de Premios Vocación Digital Raiola 2024
Entrega de Premios Vocación Digital Raiola 2024Entrega de Premios Vocación Digital Raiola 2024
Entrega de Premios Vocación Digital Raiola 2024Vocación Digital Raiola
 
2.- Manual 2022 06 Plan de Marketing (2278) AC(1).pdf
2.- Manual 2022 06 Plan de Marketing (2278) AC(1).pdf2.- Manual 2022 06 Plan de Marketing (2278) AC(1).pdf
2.- Manual 2022 06 Plan de Marketing (2278) AC(1).pdfzenen3
 
TRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLO
TRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLOTRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLO
TRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLO73995891
 
Mezcal con orgullo: Empresa que fabrica mezcal
Mezcal con orgullo: Empresa que fabrica mezcalMezcal con orgullo: Empresa que fabrica mezcal
Mezcal con orgullo: Empresa que fabrica mezcalmarquezorozcomiguel
 
Solicitud de cambio de un producto, a nivel empresarial.
Solicitud de cambio de un producto, a nivel empresarial.Solicitud de cambio de un producto, a nivel empresarial.
Solicitud de cambio de un producto, a nivel empresarial.femayormisleidys
 
capitulo-5-libro-contabilidad-costo-volumen-utilidad.pdf
capitulo-5-libro-contabilidad-costo-volumen-utilidad.pdfcapitulo-5-libro-contabilidad-costo-volumen-utilidad.pdf
capitulo-5-libro-contabilidad-costo-volumen-utilidad.pdfcessarvargass23
 
Cosas generales sobre la empresa mezcal con orgullo
Cosas generales sobre la empresa mezcal con orgulloCosas generales sobre la empresa mezcal con orgullo
Cosas generales sobre la empresa mezcal con orgullobigoteveloz05
 
EL NACIMIENTO DE LA OBLIGACIÓN TRIBUTARIA EN EL PERÚ.docx
EL NACIMIENTO DE LA OBLIGACIÓN TRIBUTARIA EN EL PERÚ.docxEL NACIMIENTO DE LA OBLIGACIÓN TRIBUTARIA EN EL PERÚ.docx
EL NACIMIENTO DE LA OBLIGACIÓN TRIBUTARIA EN EL PERÚ.docxestherregaladocordov
 
APE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdf
APE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdfAPE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdf
APE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdfPaolaAlexandraLozano2
 
Trigonometria Plan-el mejor.pptxssssssss
Trigonometria Plan-el mejor.pptxssssssssTrigonometria Plan-el mejor.pptxssssssss
Trigonometria Plan-el mejor.pptxssssssssQuerubinOlayamedina
 
Sesión 8 de comercio internacional tercer ciclo
Sesión 8 de comercio internacional tercer cicloSesión 8 de comercio internacional tercer ciclo
Sesión 8 de comercio internacional tercer cicloSILVANALIZBETHMORALE
 
DDF Luis GIl Diagrama de flujo (1).pptx
DDF Luis GIl Diagrama de flujo (1).pptxDDF Luis GIl Diagrama de flujo (1).pptx
DDF Luis GIl Diagrama de flujo (1).pptxgiltoledoluis123
 
VISIÓN MISIÓN VALORES EMPRESARIALES EN EL
VISIÓN MISIÓN VALORES EMPRESARIALES EN ELVISIÓN MISIÓN VALORES EMPRESARIALES EN EL
VISIÓN MISIÓN VALORES EMPRESARIALES EN ELLilianBaosMedina
 
Formato Presentacion FALTAS ACADEMICAS Y DISCIPLINARIAS SENA V3 (1).pptx
Formato Presentacion FALTAS ACADEMICAS Y DISCIPLINARIAS SENA V3 (1).pptxFormato Presentacion FALTAS ACADEMICAS Y DISCIPLINARIAS SENA V3 (1).pptx
Formato Presentacion FALTAS ACADEMICAS Y DISCIPLINARIAS SENA V3 (1).pptxbarraganbarahonajuan
 
MICRO BIT, LUCES Y CÓDIGOS. SERGIO LOZANO
MICRO BIT, LUCES Y CÓDIGOS. SERGIO LOZANOMICRO BIT, LUCES Y CÓDIGOS. SERGIO LOZANO
MICRO BIT, LUCES Y CÓDIGOS. SERGIO LOZANOsergioandreslozanogi
 
ESTRATEGIA DE PLANEACION PARA RETENER AL PERSONAL
ESTRATEGIA DE PLANEACION PARA RETENER AL PERSONALESTRATEGIA DE PLANEACION PARA RETENER AL PERSONAL
ESTRATEGIA DE PLANEACION PARA RETENER AL PERSONALAbdonQuispe2
 
SESION 10 INTEGRACIÓN DE PERSONAL SELECCIÓN DE PERSONAL VIRTUAL.ppt
SESION 10 INTEGRACIÓN DE PERSONAL SELECCIÓN DE PERSONAL VIRTUAL.pptSESION 10 INTEGRACIÓN DE PERSONAL SELECCIÓN DE PERSONAL VIRTUAL.ppt
SESION 10 INTEGRACIÓN DE PERSONAL SELECCIÓN DE PERSONAL VIRTUAL.ppteconoya12
 
Presentación Mezcal con orgullo para pagina mix
Presentación Mezcal con orgullo para pagina mixPresentación Mezcal con orgullo para pagina mix
Presentación Mezcal con orgullo para pagina mixbigoteveloz05
 
INFORME ADMINISTRACIÓN EN PROPIEDAD HORIZONTAL
INFORME ADMINISTRACIÓN EN PROPIEDAD HORIZONTALINFORME ADMINISTRACIÓN EN PROPIEDAD HORIZONTAL
INFORME ADMINISTRACIÓN EN PROPIEDAD HORIZONTALdorislilianagarb
 
Revista La Verdad - Edición Mayo 2024
Revista La Verdad - Edición Mayo 2024Revista La Verdad - Edición Mayo 2024
Revista La Verdad - Edición Mayo 2024larevista
 

Último (20)

Entrega de Premios Vocación Digital Raiola 2024
Entrega de Premios Vocación Digital Raiola 2024Entrega de Premios Vocación Digital Raiola 2024
Entrega de Premios Vocación Digital Raiola 2024
 
2.- Manual 2022 06 Plan de Marketing (2278) AC(1).pdf
2.- Manual 2022 06 Plan de Marketing (2278) AC(1).pdf2.- Manual 2022 06 Plan de Marketing (2278) AC(1).pdf
2.- Manual 2022 06 Plan de Marketing (2278) AC(1).pdf
 
TRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLO
TRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLOTRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLO
TRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLO
 
Mezcal con orgullo: Empresa que fabrica mezcal
Mezcal con orgullo: Empresa que fabrica mezcalMezcal con orgullo: Empresa que fabrica mezcal
Mezcal con orgullo: Empresa que fabrica mezcal
 
Solicitud de cambio de un producto, a nivel empresarial.
Solicitud de cambio de un producto, a nivel empresarial.Solicitud de cambio de un producto, a nivel empresarial.
Solicitud de cambio de un producto, a nivel empresarial.
 
capitulo-5-libro-contabilidad-costo-volumen-utilidad.pdf
capitulo-5-libro-contabilidad-costo-volumen-utilidad.pdfcapitulo-5-libro-contabilidad-costo-volumen-utilidad.pdf
capitulo-5-libro-contabilidad-costo-volumen-utilidad.pdf
 
Cosas generales sobre la empresa mezcal con orgullo
Cosas generales sobre la empresa mezcal con orgulloCosas generales sobre la empresa mezcal con orgullo
Cosas generales sobre la empresa mezcal con orgullo
 
EL NACIMIENTO DE LA OBLIGACIÓN TRIBUTARIA EN EL PERÚ.docx
EL NACIMIENTO DE LA OBLIGACIÓN TRIBUTARIA EN EL PERÚ.docxEL NACIMIENTO DE LA OBLIGACIÓN TRIBUTARIA EN EL PERÚ.docx
EL NACIMIENTO DE LA OBLIGACIÓN TRIBUTARIA EN EL PERÚ.docx
 
APE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdf
APE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdfAPE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdf
APE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdf
 
Trigonometria Plan-el mejor.pptxssssssss
Trigonometria Plan-el mejor.pptxssssssssTrigonometria Plan-el mejor.pptxssssssss
Trigonometria Plan-el mejor.pptxssssssss
 
Sesión 8 de comercio internacional tercer ciclo
Sesión 8 de comercio internacional tercer cicloSesión 8 de comercio internacional tercer ciclo
Sesión 8 de comercio internacional tercer ciclo
 
DDF Luis GIl Diagrama de flujo (1).pptx
DDF Luis GIl Diagrama de flujo (1).pptxDDF Luis GIl Diagrama de flujo (1).pptx
DDF Luis GIl Diagrama de flujo (1).pptx
 
VISIÓN MISIÓN VALORES EMPRESARIALES EN EL
VISIÓN MISIÓN VALORES EMPRESARIALES EN ELVISIÓN MISIÓN VALORES EMPRESARIALES EN EL
VISIÓN MISIÓN VALORES EMPRESARIALES EN EL
 
Formato Presentacion FALTAS ACADEMICAS Y DISCIPLINARIAS SENA V3 (1).pptx
Formato Presentacion FALTAS ACADEMICAS Y DISCIPLINARIAS SENA V3 (1).pptxFormato Presentacion FALTAS ACADEMICAS Y DISCIPLINARIAS SENA V3 (1).pptx
Formato Presentacion FALTAS ACADEMICAS Y DISCIPLINARIAS SENA V3 (1).pptx
 
MICRO BIT, LUCES Y CÓDIGOS. SERGIO LOZANO
MICRO BIT, LUCES Y CÓDIGOS. SERGIO LOZANOMICRO BIT, LUCES Y CÓDIGOS. SERGIO LOZANO
MICRO BIT, LUCES Y CÓDIGOS. SERGIO LOZANO
 
ESTRATEGIA DE PLANEACION PARA RETENER AL PERSONAL
ESTRATEGIA DE PLANEACION PARA RETENER AL PERSONALESTRATEGIA DE PLANEACION PARA RETENER AL PERSONAL
ESTRATEGIA DE PLANEACION PARA RETENER AL PERSONAL
 
SESION 10 INTEGRACIÓN DE PERSONAL SELECCIÓN DE PERSONAL VIRTUAL.ppt
SESION 10 INTEGRACIÓN DE PERSONAL SELECCIÓN DE PERSONAL VIRTUAL.pptSESION 10 INTEGRACIÓN DE PERSONAL SELECCIÓN DE PERSONAL VIRTUAL.ppt
SESION 10 INTEGRACIÓN DE PERSONAL SELECCIÓN DE PERSONAL VIRTUAL.ppt
 
Presentación Mezcal con orgullo para pagina mix
Presentación Mezcal con orgullo para pagina mixPresentación Mezcal con orgullo para pagina mix
Presentación Mezcal con orgullo para pagina mix
 
INFORME ADMINISTRACIÓN EN PROPIEDAD HORIZONTAL
INFORME ADMINISTRACIÓN EN PROPIEDAD HORIZONTALINFORME ADMINISTRACIÓN EN PROPIEDAD HORIZONTAL
INFORME ADMINISTRACIÓN EN PROPIEDAD HORIZONTAL
 
Revista La Verdad - Edición Mayo 2024
Revista La Verdad - Edición Mayo 2024Revista La Verdad - Edición Mayo 2024
Revista La Verdad - Edición Mayo 2024
 

Producto alcance política-v2

  • 1. OFICINA DE INFORMÁTICA Calidad y Seguridad de la Información SERVICIO PARA LA DEFINICIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Y ELABORACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA OFICINA DE INFORMÁTICA – PERIODO 2013 Orden de Servicio N° 1993 GINO ARTURO FERNÁNDEZ CANORIO Entregable Final
  • 2. INDICE 1. Introducción.....................................................................................................................1 2. Términos generales ........................................................................................................1 3. Organización del MINEDU..............................................................................................2 3.1 Naturaleza Jurídica..................................................................................................2 3.2 Visión........................................................................................................................2 3.3 Misión.......................................................................................................................2 3.4 Funciones generales ...............................................................................................2 3.5 Estructura Funcional................................................................................................3 4. Alcance del SGSI ............................................................................................................4 4.1 Criterios para definir el alcance...............................................................................5 4.2 Áreas que se incluirán en el alcance.......................................................................5 4.3 Justificación..............................................................................................................5 4.3.1 Estrategias y funciones institucionales ............................................................6 4.3.2 Alineamiento de las áreas con la estrategia institucional................................7 4.4 Enunciado del alcance...........................................................................................11 5. Política de Seguridad de la Información - Análisis de la Política vigente ....................11 5.1 Objetivos ................................................................................................................12 5.2 Alcance ..................................................................................................................12 5.3 Estructura organizacional para la seguridad de la información............................13 5.4 Marco Normativo para la seguridad ......................................................................15 5.5 Políticas específicas ..............................................................................................16 5.1.1 Activos de información ...................................................................................16 5.1.2 Seguridad de Personal...................................................................................16 5.1.3 Seguridad Física.............................................................................................17 5.1.4 Administración de las operaciones y comunicaciones ..................................17 5.1.5 Control de accesos.........................................................................................17 5.1.6 Desarrollo y Mantenimiento de Sistemas ......................................................18 5.1.7 Continuidad del Negocio ................................................................................18 5.1.8 Cumplimiento..................................................................................................19 5.1.9 Propiedad intelectual......................................................................................19 6. Conclusiones de la Revisión.........................................................................................19 ANEXO 1 – POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN......................................20
  • 3. 1 1. Introducción El Ministerio de Educación (En adelante MINEDU), es el ente de gobierno que tiene como misión estratégica la promoción del desarrollo de la persona humana a través de un eficiente sistema educativo el cual fortalezca las capacidades individuales, gracias a una formación integral y permanente. Entre sus funciones principales están:  Formular, aprobar, ejecutar y evaluar el Proyecto Educativo Nacional.  Definir, dirigir, regular y evaluar la política educativa y pedagógica nacional y establecer políticas específicas de equidad.  Diseñar programas nacionales de aprovechamiento de nuevas tecnologías de información y comunicación  Gestionar el presupuesto para la educación.  Planificar y administrar la infraestructura educativa.  Implementar un sistema de información para la toma de decisiones estratégicas. Para el cumplimiento de estas funciones el MINEDU emplea una serie de recursos, entre los cuales la información se presenta como el activo intangible más importante y por lo tanto debe ser protegido para garantizar su confidencialidad, integridad y disponibilidad. Enmarcado en la disposición de la Presidencia del Consejo de Ministros mediante Resolución Ministerial RM 129-2012-PCM y en cumplimiento de sus objetivos institucionales, el MINEDU implementa un Sistema de Gestión de Seguridad de la Información (SGSI) alineado a dos normas: • Norma Técnica Peruana NTP 27001: Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos. • Norma Técnica Peruana NTP ISO/IEC 17799:2007 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información. Uno de los pasos más importantes al implementar un SGSI es definir adecuadamente el alcance. El presente documento define una propuesta para el alcance que permita la viabilidad de la implementación y que la gestión de la seguridad brinde valor a la organización. Además se realizará un análisis respecto a su política de seguridad de la información aprobada en el año 2009, con el propósito de elaborar una propuesta que se ajuste a lo consignado en la Norma Técnica Peruana NTP27001:2008. 2. Términos generales  Alcance del SGSI: Procesos que delimitarán la implementación de la NTP 27001:2008
  • 4. 2  NTP 17799:2007: Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información.  NTP 27001:2008: Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos.  PEN: Proyecto Educativo Nacional.  SGSI: Sistema de Gestión de Seguridad de la Información.  SINEACE: Sistema Nacional de Evaluación, Acreditación y Certificación de la Calidad Educativa.  Usuarios: Sociedad Civil que hace uso de los servicios brindados por el MINEDU 3. Organización del MINEDU El MINEDU, órgano rector del sector educación, es la “empresa de servicios” más grande del país pues atiende doscientos días al año a más de seis millones de alumnos en el sistema público, tiene una planilla de trescientos veinte mil empleados activos; controla cuarenta y cuatro mil centros educativos públicos y diecisiete mil programas no escolarizados, representando el 85% del servicio educativo que se ofrece en el Perú. 3.1 Naturaleza Jurídica El MINEDU es un organismo del Poder Ejecutivo. Tiene personería jurídica de derecho público y constituye un pliego presupuestal.1 3.2 Visión El MINEDUes el organismo rector que lidera una sociedad educadora con la participación y vigilancia de la sociedad civil, para garantizar una educación integral, pertinente y de calidad que contribuya al desarrollo pleno de las personas a lo largo de su vida. 3.3 Misión El MINEDU tiene como misión, asegurar ofertas educativas pertinentes de calidad, sustentadas en el trabajo concertado con la sociedad civil y centradas en la formación integral de todos los peruanos, guiados con una perspectiva de interculturalidad, equidad, cohesión social y desarrollo humano sostenible, que permita formar personas capaces de desarrollar su identidad, autoestima y capacidades, e integrarse adecuada y críticamente a la sociedad, en armonía con su entorno. 3.4 Funciones generales Entre las funciones más importantes del MINEDU, se pueden resaltar las siguientes: 1 Reglamento de Organización y Funciones aprobado mediante Decreto Supremo 006-2012-ED
  • 5. 3  Definir, dirigir, regular y evaluar la política educativa y pedagógica nacional y establecer políticas específicas de equidad.  Formular, aprobar, ejecutar y evaluar el Proyecto Educativo Nacional.  Planificar la educación.  Diseñar programas nacionales de aprovechamiento de nuevas tecnologías de información y comunicación.  Organizar programas de apoyo al servicio educativo que compensen las desigualdades y lograr equidad en el acceso, procesos y resultados educativos.  Dirigir el Programa Nacional de Formación y Capacitación Permanente del magisterio.  Dirigir el Programa Nacional de Investigación Educativa.  Definir e implementar políticas sectoriales y de mejoramiento del personal directivo, docente y administrativo del Sector.  Gestionar el presupuesto para la educación.  Planificar y administrar la infraestructura educativa.  Implementar un sistema de información para la toma de decisiones estratégicas.  Coordinación con el SINEACE los procesos de medición y evaluación de logros.  Elaborar, proponer y ejecutar políticas relacionadas con el otorgamiento de Becas y Crédito Educativo.  Concertar y promover la cooperación nacional e internacional técnica y financiera para el mejoramiento de la educación. 3.5 Estructura Funcional El organigrama estructural del MINEDU a un segundo nivel2 se compone de las siguientes unidades orgánicas:  Alta Dirección  Órganos consultivos  Órganos de asesoramiento  Órgano de control  Procuraduría  Órganos de línea  Órganos de apoyo Sin embargo, para efectos de un análisis netamente orientado a entender los procesos críticos organizacionales, se puede esquematizar dicha estructura a nivel funcional. En la siguiente figura (Figura 1), se muestra un organigrama relacionado con las funciones principales que desarrolla la institución. 2 Organigrama aprobado por Decreto Supremo 006-2012-ED
  • 6. 4 Despacho Ministerial Secretaria General Secretaria de Planificación Estratégica Viceministerio de Gestión Pedagógica Viceministerio de Gestión Institucional  Proponer, coordinar, integrar, monitorear y evaluar la política, objetivos y estrategia del Sector Educación.  Integrar los sistemas de información y estadística del Sector Educación  Coordinar activamente de manera técnico-funcional con entes rectores.  Integrar los Sistemas de Planificación, presupuesto, inversión pública y cooperación internacional.  Ejercer responsabilidad sobre los Sistemas Administrativos de Abastecimiento, Contabilidad, Tesorería y Recursos Humanos del MED.  Asesorar e informar sobre la correcta aplicación de las disposiciones legales y reglamentarias del Sector.  Proponer políticas, objetivos y estrategias educativas y pedagógicas a nivel nacional, en las modalidades que el MED gestiona.  Proponer lineamientos para la supervisión educacional.  Diseñar e implementar la política y estrategia para una eficiente gestión del sistema educativo nacional.  Dirige el proceso de descentralización educativa  Velar por un eficiente desarrollo de la infraestructura educativa a nivel nacional.  Gestionar el otorgamiento de becas y créditos educativos.  Evalúa el cumplimiento de la supervisión educacional Figura 1. Organigrama Funcional de primer nivel del MINEDU La Norma Técnica Peruana NTP ISO/IEC 27001:2008 exige que el alcance del SGSI sea definido en términos de las características del negocio, su localización, activos y tecnología, incluyendo las justificaciones para cualquier exclusión. 3 En el caso de una institución pública como el MINEDU, que está orientada a brindar servicios a usuarios y no tratar con clientes, el término “negocio” se refiere a aquellas operaciones que apoyan el cumplimiento de la misión institucional. Las funciones identificadas en el organigrama representan las actividades que mantienen en operación a la institución, por lo tanto la seguridad debe estar orientada a salvaguardar la información tratada en el cumplimiento de las mismas. 4. Alcance del SGSI Uno de los pasos más importantes al implementar un SGSI es definir adecuadamente el alcance. A continuación se define una propuesta para el alcance que permita la 3 Clausula 4.2.1 a) de la NTP 27001:2008
  • 7. 5 viabilidad de la implementación y que la gestión de la seguridad brinde valor a la organización. 4.1 Criterios para definir el alcance La implantación de un SGSI es un proyecto de gran envergadura, con repercusiones transversales y cuyo alcance debe estar orientado a cambiar la cultura de la organización. Por lo tanto se debe tener en cuenta los siguientes factores para definir el alcance:  No debe abarcar toda la organización. Se recomienda iniciar el SGSI con un alcance reducido, que permita optimizar recursos y resultados.  Incluir procesos en donde la seguridad genere un mayor valor a la institución. Esto se refiere a potenciar procesos que ya incorporan funciones de seguridad, pues es ahí donde el SGSI aportará beneficios directos.  Orientado a servicios. Es recomendable al definir el alcance inicial buscar el fortalecimiento de determinados servicios y procesos internos que apoyen al negocio. En el caso del MINEDUque apoye los procesos que brindan servicios externos. 4.2 Áreas que se incluirán en el alcance Se propone que los procesos que integren el alcance del Sistema de Gestión de Seguridad de la Información pertenezcan a las siguientes unidades orgánicas encargadas de la gestión de las tecnologías de la información y comunicaciones en el MINEDU:  Dirección General de Tecnologías Educativas (DIGETE): La cual ofrece los siguientes servicios a los usuarios:  Administración, mantenimiento y asistencia técnica de la red satelital  Administración de la televisión educativa  Oficina de Informática (OFIN): La cual ofrece los siguientes servicios:  Desarrollo y mantenimiento de aplicaciones  Asistencia técnica a usuarios a nivel nacional sobre las diferentes aplicaciones que el MINEDU despliega.  Gestión de servicios de tecnologías de la información que apoyan los procesos del MINEDU para el cumplimiento de sus funciones 4.3 Justificación Basado en los criterios expuestos, las áreas a incluir en el alcance del SGSI deben poseer procesos y funciones que se encuentren alineadas con la estrategia de la organización y a la misión institucional.
  • 8. 6 4.3.1 Estrategias y funciones institucionales Para alinear el alcance del SGSI y garantizar que cumpla con el objetivo de apoyar la estrategia institucional debemos identificar los objetivos y funciones de las áreas involucradas. 4.3.1.1 Objetivos estratégicos institucionales El MINEDU posee una serie de funciones orientadas a la gestión educativa que ya han sido mencionadas; para garantizar que el SGSI añada valor a los objetivos estratégicos tomaremos en cuenta los definidos en el Proyecto Educativo Nacional al 20214 :  OE1. Oportunidades y resultados educativos de igual calidad para todos  OE2. Estudiantes e instituciones educativas que logran aprendizajes pertinentes y de calidad  OE3. Maestros bien preparados ejercen profesionalmente la docencia  OE4. Una gestión descentralizada, democrática, que logra resultados y es financiada con equidad.  OE5. Educación superior de calidad se convierte en factor favorable para el desarrollo y la competitividad nacional.  OE6. Una sociedad que educa a sus ciudadanos y los compromete con su comunidad Estos objetivos son desarrollados por el MINEDU y sus dependencias descentralizadas, es importante identificar cómo el alcance del SGSI se alinea con dichos objetivos. 4.3.1.2 Funciones de la Dirección General de Tecnologías Educativas La Dirección General de Tecnologías Educativas es responsable de integrar las Tecnologías de Información y Comunicación en el proceso educativo, en concordancia con estándares internacionales y las políticas educativas y pedagógicas5 . Entre sus funciones principales destacan:  Desarrollar, ejecutar y supervisar la red nacional educativa  Garantizar la conectividad de las I.I.E.E 4 Proyecto Educativo Nacional al 2021 – Aprobado Noviembre 2006 5 Reglamento de Organización y Funciones
  • 9. 7  Coordinar acciones intersectoriales y con otros organismos para ampliar la cobertura de los servicios educativos mediante TIC y televisión  Orientar la implementación de la plataforma tecnológica en las I.I.E.E.  Desarrollar la educación a distancia en coordinación con las Direcciones normativas, apoyada en las TIC.  Brindar soporte a los Gobiernos Regionales (GR) para el desarrollo de políticas y cumplimiento de lineamientos técnico normativos materia de su competencia.  Supervisar y efectuar el seguimiento a los Gobiernos Regionales en el cumplimiento de las acciones materia de su competencia de manera articulada. 4.3.1.3Funciones de la Oficina de Informática La Oficina de Informática es la unidad orgánica encargada de apoyar al logro de objetivos y metas institucionales a través de la adopción de nuevas tecnologías, el desarrollo de sistemas de información y la implementación de nuevas herramientas y servicios informáticos para usuarios internos (dependencias del Ministerio) y externos (Sector Educación). Entre sus funciones principales tenemos:  Normar la conectividad requerida entre las instancias de Gestión Educativa Descentralizada  Elaborar, desarrollar, ejecutar, evaluar y mantener el Plan Estratégico Informático del MINEDU.  Brindar asistencia técnica a las dependencias internas del MINEDU  Establecer los planes de contingencia necesarios para la seguridad de los procesos informáticos del MINEDU.  Alineamiento a normas del Sistema Nacional de Informática  Establecer y operar un sistema de Base de Datos para la planificación, investigación y monitoreo de la Educación.  Formular y proponer políticas de estandarización para las herramientas informáticas. 4.3.2 Alineamiento de las áreas con la estrategia institucional La proyección del MINEDU en mejorar la calidad educativa no sería viable sin un soporte tecnológico que permita el despliegue de información de manera confiable, íntegra y que esté disponible en el momento requerido.
  • 10. 8 En los siguientes cuadros se identifica la relación entre las funciones de las unidades orgánicas a cubrirse en el alcance y los objetivos estratégicos del MINEDU. (Figura2, Figura3)
  • 11. 9 Figura. 2 Alineamiento de la Dirección General de Tecnologías Educativas (DIGETE) con losobjetivos estratégicos institucionales Oportunidades y resultados educativos de igual calidad para todos Estudiantes e instituciones educativas que logran aprendizajes pertinentes y de calidad Maestros bien preparados ejercen profesionalmente la docencia Una gestión descentralizada, democrática, que logra resultados y es financiada con equidad. Educación superior de calidad se convierte en factor favorable para el desarrollo y la competitividad nacional. Una sociedad que educa a sus ciudadanos y los compromete con su comunidad Desarrollar, ejecutar y supervisar la red nacional educativa X X X X 4 Garantizar la conectividad de las I.I.E.E X X X X 4 Coordinar acciones intersectoriales y con otros organismos para ampliar la cobertura de los servicios educativos mediante TIC y televisión X X X 3 Orientar la implementación de la plataforma tecnológica en las I.I.E.E X X X 3 Desarrollar la educación a distancia en coordinación con las Direcciones normativas, apoyada en las TIC X X X 3 Brindar soporte a los Gobiernos Regionales(GR) para el desarrollo de políticas y cumplimiento de lineamientos técnico normativos materia de su competencia. X 1 Supervisar y efectuar el seguimiento a los Gobiernos Regionales en el cumplimiento de las acciones materia de su competencia de manera articulada. X 1 UNIDAD ORGÁNICA FUNCIONES OBJETIVOS ESTRATEGICOS IMPACTO (OBJETIVOS CUBIERTOS) Dirección General de Tecnologías Educativas (DIGETE)
  • 12. 10 Figura. 3 Alineamiento de la Oficina de Informática (OFIN) con losobjetivos estratégicos institucionales Oportunidades y resultados educativos de igual calidad para todos Estudiantes e instituciones educativas que logran aprendizajes pertinentes yde calidad Maestros bien preparados ejercen profesionalmente la docencia Una gestión descentralizada, democrática, que logra resultados y es financiada con equidad. Educación superior de calidad se convierte en factor favorable para el desarrollo yla competitividad nacional. Una sociedad que educa a sus ciudadanos ylos compromete con su comunidad Normar la conectividad requerida entre las instancias de Gestión Educativa Descentralizada X X X 3 Elaborar, desarrollar, ejecutar, evaluar y mantener el Plan Estratégico Informático del MINEDU X X X X X X 6 Brindar asistencia técnica a las dependencias internas del MINEDU X X 2 Establecer los planes de contingencia necesarios para la seguridad de los procesos informáticos del MINEDU X X X 3 Alineamiento a normas del Sistema Nacional de Informática X X X 3 Establecer y operar un sistema de Base de Datos para la planificación, investigación y monitoreo de la Educación X X X 3 Formular y proponer políticas de estandarización para las herramientas informáticas X X X X 4 Oficina de Informática (OFIN) IMPACTO (OBJETIVOS CUBIERTOS) UNIDAD ORGÁNICA OBJETIVOS ESTRATEGICOS FUNCIONES
  • 13. 11 Mediante los cuadros expuestos podemos comprobar que las funciones desarrolladas por parte de la Dirección General de Tecnologías Educativas y la Oficina de Informática generan valor al negocio y están alineados a la estrategia institucional. Asimismo, se identifican las funciones críticas (Impacto mayor), de donde se extraerán los procesos para definir el alcance del SGSI. 4.4 Enunciado del alcance El alcance del SGSI queda definido por los procesos críticos desarrollados en la Dirección General de Tecnologías Educativas (DIGETE) y la Oficina de Informática (OFIN). Los procesos considerados son los siguientes: Digete  Gestión de la Conectividad de la Red Satelital  Asistencia Técnica a la Red Satelital  Administración de la Televisión Educativa Ofin  Gestión de Tecnologías de la Información  Gestión de la Calidad y Seguridad de la Información  Sistema de Información de Apoyo a la Gestión de la Institución Educativa (SIAGIE)  Operaciones y Mantenimiento de Sistemas  Gestión de la Infraestructura  Atención al usuario  Soporte Administrativo Este alcance cubrirá los activos que intervienen en los procesos, tales como:  Infraestructura (HW y SW)  Personal  Servicios de TI  Documentación impresa y digital  Instalaciones 5. Política de Seguridad de la Información - Análisis de la Política vigente La Política vigente fue aprobada el 27 de marzo del año 2009. La Norma Técnica Peruana NPT ISO/IEC 17799:2007, referente a las buenas prácticas engestión de seguridad de la información recomienda la actualización de la política cada vez que se cumpla un ciclo de SGSI (generalmente un año o ante cualquier cambio que amerite
  • 14. 12 una nueva evaluación), la cual se realiza mediante los siguientes instrumentos de entrada:  Resultados de la evaluación de riesgos  Seguimiento de indicadores de gestión  Cambios organizacionales  Documentación vigente en materia de seguridad  Resultado de auditorías internas o externas  Incidentes de seguridad reportados  Nuevas amenazas y vulnerabilidades identificadas  Normatividad vigente y retroalimentación de los terceros interesados. Según lo estipulado en la norma técnica de la referencia, la política de seguridad vigente del MINEDU debe ser actualizada y para ello se debe realizar un análisis de los aspectos considerados líneas arriba. A continuación se presenta una revisión de la política vigente con el propósito de identificar posibles actualizaciones: 5.1 Objetivos Los objetivos de la política de seguridad que se buscan mantener son los siguientes:  Cumplir con los niveles de autorización y responsabilidad sobre la información en el MINEDU.  Minimizar la posibilidad de ocurrencia de incidentes que impacten negativamente a las instalaciones, infraestructura y otros medios de tratamiento de información.  Cumplir con la normatividad vigente referente a la seguridad de la información.  Proteger la información como activo crítico del MINEDU, preservando su confidencialidad, disponibilidad e integridad.  Sensibilizar al personal del MINEDU sobre su responsabilidad para mantener la seguridad de la información. 5.2 Alcance Se cubre 10 dominios de control de la NTP 17799:2007 (Anexo A de la 27001:2008), excluyendo la asociada a la gestión de incidentes de seguridad. Las desventajas de implementar inicialmente una política extensa en detalle son las siguientes:  Actualización compleja. La política debe ser un documento general prevalente, cuya aprobación exige una serie de revisiones por distintas áreas (Área que implementa, Área que controla, Organización y Métodos, Jurídica, Despacho). Si agrupamos en la política detalles en materia operacional, administrativa y
  • 15. 13 legal, el proceso de actualización ante cualquier evento meritorio se tornará complejo y tedioso. Se recomienda abarcar estos aspectos en documentos de rango menor, tales como directivas y procedimientos.  Incumplimiento. La política de seguridad de la información es de cumplimiento obligatorio a nivel institucional e inclusive por terceros que tengan un vínculo temporal o permanente con el MINEDU, si la política es extensa y cubre muchos aspectos en un inicio, garantizar el cumplimiento es una tarea utópica.  Seguimiento inadecuado o insuficiente. La función de velar por el cumplimiento de la política de seguridad recae en el CESI que, si bien es el responsable mayor de la gestión de la seguridad de la información, debe delegar el seguimiento de implementación de controles al COSI y al equipo de seguridad de la información del MINEDU.  No está basada en riesgos. En un SGSI es importante desde el inicio establecer una política de seguridad porque brinda orientación y establece el compromiso de la dirección, sin embargo los aspectos contemplados en la NTP 17799:2007 que definen controles para los 11 dominios de la seguridad de la información es conveniente cubrirlos posteriormente a una evaluación de riesgos de seguridad, en donde se tiene identificado las brechas más críticas que pueden impactar a las operaciones del MINEDU. La recomendación es realizar una política general del SGSI donde se manifieste el compromiso institucional para con la seguridad de la información. Luego de la evaluación de riesgos, donde se han identificado las brechas de seguridad, se pueden implementar a manera de políticas o directivas (evaluando la factibilidad de cumplimiento, identificando los responsables del monitoreo y con la aprobación del COSI y CESI) las disposiciones en materia de seguridad correspondiente a los 11 dominios de control que propone la norma. 5.3 Estructura organizacional para la seguridad de la información Una política de seguridad de la información, como se mencionó anteriormente, no debe contener estructuras organizacionales (esto debe ir en un documento de menor jerarquía), sin embargo en la política vigente se define una estructura organizacional para la gestión de la seguridad de la información de la siguiente manera (Figura 4):
  • 16. 14 CESI Comité Ejecutivo de Seguridad de la Información COSI Comité Operativo de Seguridad de la Información Oficina de Seguridad de la Información Área de administración de riesgos y respuestas a incidentes Área de recuperación ante desastres Área de soluciones de Seguridad de la Información Área de Desarrollo y Cumplimiento del Marco Normativo de Seguridad Conformado de manera formal mediante RM 0066- 2009-I Figura 4. Estructura organizacional para la seguridad de la Información en Política Vigente En la cual sólo se ha conformado de manera formal el Comité Ejecutivo y el Comité Operativo, los demás entes no existen, por lo tanto no debería figurar en la Política. Una estructura propuesta que se puede que se ajuste al actual organigrama es el siguiente (Figura 5), sin embargo no se recomienda incluirla en la política: CESI Comité Ejecutivo de Seguridad de la Información COSI Comité Operativo de Seguridad de la Información Oficina de Seguridad de la Información Equipo de apoyo técnico (Analistas de Seguridad)
  • 17. 15 Figura 5. Estructura organizacional para la seguridad de la Información propuesta Existen dos acciones importantes que el Comité Ejecutivo (CESI) debe realizar:  Nombrar un Coordinador u Oficial de Seguridad de la Información  Aprobar las funciones del área de Seguridad de la Información de OFIN. 5.4 Marco Normativo para la seguridad En la política vigente se definen 3 documentos normativos que generalmente reciben la aprobación a nivel institucional. Además se propone tener en consideración los siguientes documentos complementarios, para tenerlos en consideración en el análisis de la documentación:  Instructivos  Registros No es conveniente incluirla en la política, ya que la oficina de planeamiento y normatividad debe ser la que emita la directiva asociada a los mecanismos de documentación Quedaría la siguiente estructura para la documentación respecto a la seguridad de la información (Figura 6): Figura 6. Jerarquía documental para la Seguridad de la Información. Política de Seguridad Normas Internas (Directivas, Manuales, etc) Procedimientos Instructivos Registros
  • 18. 16 Los mecanismos de elaboración, aprobación y distribución de documentos se consignarán en directivas que emita el CESI, después de su evaluación. Lo que sídebe manifestarse en la política es que el MINEDU se compromete a la distribución oportuna de los documentos de gestión relacionados con la seguridad de la información así como también a su actualización periódica. Existe en la política vigente responsabilidades asignadas para la actualización de los documentos normativos; esto debe ir en una directiva, mas no en la política inicial ya que aún esas responsabilidades no están formalizadas. 5.5 Políticas específicas - En la política vigente se tocan aspectos específicos de seguridad de la información, los cuales deben ser generalizados para que su cumplimiento será factible. La política de seguridad de la información debe ser obligatoria para todo el MINEDU, no solo para un área. 5.1.1 Activos de información Especifica que en el MINEDU se deben establecer niveles de clasificación de la información de acuerdo a su criticidad. Si en la política se establece los niveles de clasificación, esto significa que existe un inventario de activos de información que tienen ese atributo asignado, sin embargo el inventario de activos de información es parte del proceso de análisis de riesgos, el cual aún está en desarrollo, por lo tanto es conveniente establecer esta jerarquía posteriormente. 5.1.2 Seguridad de Personal Es importante delimitar al personal respecto a su responsabilidad para con la seguridad de la información. Además se dan lineamiento sobre los siguientes aspectos:  Gestión de los accesos ante el alta, baja o modificación de empleados  Responsabilidad del personal ante la gestión de incidentes  Firma de compromiso de aceptación y cumplimiento de políticas de seguridad  Capacitación en seguridad de la información. De estos aspectos, solo el punto donde se manifiesta que cualquier empleado puede reportar un incidente de seguridad es válido para incluirlo en la política, los otros puntos deben ser abarcados en directivas y/o procedimientos.
  • 19. 17 5.1.3 Seguridad Física En este dominio se puede mantener los conceptos definidos:  Áreas críticas  Seguridad de los equipos informáticos Está definidos de manera general, lo cual permite su entendimiento y cumplimiento. 5.1.4 Administración de las operaciones y comunicaciones Este dominio no es conveniente que entre en una política institucional por tocar puntos netamente técnicos. En la política vigente se tocan los siguientes aspectos operacionales:  Separación de ambientes  Control de cambios en los ambientes  Controles para malware  Seguridad de redes  Copias de respaldo  Seguridad de correo electrónico  Seguridad en Internet Se detallan flujos de comunicación entre áreas que son importantes pero que actualmente no se están cumpliendo, por eso es mejor establecerlos mediante procedimientos formales en el ámbito OFIN. 5.1.5 Control de accesos Se detallan los procesos de autorización, cese y modificación de accesos, definiendo áreas y responsables que en la actualidad no están definidos de manera formal. Como se menciona anteriormente, incluir esto en una política institucional de seguridad conlleva a un riesgo de incumplimiento. Se debe redefinir este apartado, consignando solo lineamientos generales que el MINEDU se compromete a cumplir para que los accesos sean gestionados con seguridad. Además existe una cláusula que manifiesta que el MINEDU se reserva el derecho de supervisar, acceder, recuperar, leer y/o descubrir comunicaciones del empleado bajo ciertas condiciones. Actualmente existen dos marcos normativos que regulan estos aspectos:  Ley de Protección de Datos Personales la cual tiene por objetivo velar por el respeto a la información sensible del ciudadano.  Derecho al secreto de las comunicaciones descrito en la Constitución Política del Perú.
  • 20. 18 Esto debe ser evaluado pues, mediante la aplicación de estas medidas, existe la posibilidad de infringir las normativas referenciadas. 5.1.6 Desarrollo y Mantenimiento de Sistemas Los controles que se incluyen en la política vigente son:  Requerimientos de seguridad Actualmente se encuentra implementado un módulo de seguridad que controla los accesos a los diferentes sistemas de información desarrollados en el MINEDU, lo cual podría incluirse en la política, sin perder de vista que es un tema técnico.  Criptografía Se habla de mecanismos de cifrado para la información crítica del MINEDU, esto no se aplica en la actualidad para todos los sistemas, debería ser excluido en la actualización de la política.  Seguridad en el desarrollo y procedimientos de soporte Se manifiesta el compromiso del MINEDU en asegurar el cumplimiento de las buenas prácticas en seguridad para el desarrollo de sus sistemas de información. Por no especificar aspectos técnicos se puede en la actualización de la política. 5.1.7 Continuidad del Negocio Hace referencia a dos planes que no existen en la actualidad:  Plan de Continuidad del Negocio, orientado a mantener la operatividad de los procesos del negocio (Con o sin TI) del MINEDU ante una crisis que genere indisponibilidad total.  Plan de Recuperación de TI, enfocado en reestablecer los servicios e infraestructura de TI dentro de los límites y tiempos exigidos por los procesos del negocio. Al no contar con dichos planes, el MINEDU debe desarrollar en primera instancia un plan de contingencia que permita la alta disponibilidad y la recuperación de los servicios críticos ante eventos de interrupción menores.
  • 21. 19 5.1.8 Cumplimiento Referido al alineamiento del MINEDU hacia las buenas prácticas especificadas en las normas vigentes relacionadas a la seguridad de la información, tales como: 5.1.9 Propiedad intelectual  Licenciamiento de Software  Acuerdos de confidencialidad Se pueden mantener ciertos enunciados sobre el cumplimiento de estos aspectos, pero no establecer directamente procedimientos de reporte de incumplimientos y mecanismos de sanción, esto debe ir en una directiva de Recursos Humanos, como es el caso en el inciso “Responsabilidades”, donde se describe un procedimiento de reporte de parte del personal hacia el Oficial de Seguridad de la Informaci 6. Conclusiones de la Revisión Después de la evaluación de la política de seguridad vigente se puede llegar a las siguientes conclusiones:  La política vigente data del año 2009, por lo tanto su actualización es prioritaria.  Existen enunciados en la política vigente que deben mantenerse debido a que están relacionados con aspectos generales de la seguridad de la información y que su cumplimiento debe ser obligatorio a nivel institucional.  Existen procedimientos descritos que actualmente no se cumplen y que deben ser reconsiderados para incluirlos en la nueva versión.  Las estructuras organizacionales expuestas deben ser nuevamente evaluadas, ajustándolas a la realidad institucional y en búsqueda de una fluidez en la coordinación de asuntos relacionados a la seguridad de la información.  En el Anexo 1 se expone la propuesta de política de seguridad actualizada y según los lineamientos de la NTP 27001:2008
  • 22. ANEXO 1 – POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. INTRODUCCIÓN El Ministerio de Educación (En adelante MINEDU) es el órgano del Gobierno Nacional que tiene por misión estratégica la promoción del desarrollo de la persona, a través de un nuevo sistema educativo en el cual las capacidades individuales se vean fortalecidas, gracias a una formación integral y permanente. El MINEDU, como ente encargado de liderar la iniciativa educativa en el país, debe garantizar una formación de calidad que contribuya activamente al desarrollo nacional; por ende, una de sus prioridades es velar por la eficiente ejecución de sus procesos institucionales. Actualmente las tendencias tecnológicas, administrativas y operacionales vienen evolucionando a un ritmo bastante intensivo, acrecentándose la exposición a riesgos que pueden comprometer la información, activo principal en las operaciones del negocio. El MINEDU, para el cumplimiento de sus objetivos y funciones, propone mediante esta política, la base de la gestión de la seguridad de la información a nivel organizacional. 2. OBJETIVOS El presente documento tiene por objetivo general establecer el compromiso del MINEDUpara implementar unagestión de la seguridad de la información de manera efectiva, apropiada y consistente. Los objetivos específicos son los siguientes:  Fijar el marco de actuación necesario para proteger los activos de información frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de preservar su confidencialidad, integridad y disponibilidad. Reducir el riesgo asociado al uso indebido de la información crítica de la organización y de sus trabajadores.  Sensibilizar al personal del MINEDU respecto a su responsabilidad para mantener la seguridad de la información, estableciendo una cultura organizacional que incorpore las buenas prácticas en el manejo y cuidado de la información como un aspecto relevante en los procesos institucionales.  Sentaren el MINEDU la base del Sistema de Gestión de Seguridad de la Información (En adelante SGSI) alineado a la Norma Técnica Peruana NTP- ISO/IEC 27001:2008.
  • 23. 21 3. DECLARACIÓN DE INTENCIÓN El Ministerio de Educación se compromete a proteger sus procesoscríticos mediante una gestión eficiente y continua de la seguridad de la información. Para este objetivo proveerá oportunamente los recursos necesarios, siendo la alta dirección el primer promotor del Sistema de Gestión de Seguridad de la Información (SGSI). 4. BASE LEGAL  Ley N° 27444, Ley del Procedimiento Administrativo General.  Ley N° 27658, Ley Marco de la Modernización de la Gestión del Estado.  Ley N° 27806, Ley de Transparencia y Acceso a la Información Pública.  Ley N° 29733, Ley de Protección de Datos Personales.  Resolución de Contraloría General N° 320-2006-CG, Normas de Control Interno.  Resolución Ministerial N° 129-2012-PCM Uso obligatorio de la “NTP-ISO/IEC 27001:2012 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos”. 5. CONCEPTOS GENERALES El MINEDU establece que la información, sea de carácter público o propio de la institución, es uno de los activos más importantes. Por lo tanto, para un mayor entendimiento de la presente política, se definen los siguientes conceptos: Activo de información: Todo medio quealmacena, transporta, procesa o genera informacióny que tiene valor para la institución. Se consideran activos de información:  Documentos de papel (contratos, manuales, etc.)  Documentos digitales  Activos de software (aplicación, sistemas, etc.)  Activos físicos (computadoras, medios magnéticos, instalaciones)  Personal (clientes, empleados)  Imagen institucional y reputación  Servicios (Comunicaciones, correo, etc.) Confidencialidad:La información sólo debe ser conocida por el personal que la requiera para el desarrollo de sus funciones. Este principio busca garantizar que todo activo de información este protegido del uso no autorizado y que pueda conllevar un riesgo para el MINEDU. Integridad:La información no puede ser alterada ni eliminada por cambios no autorizados o accidentales. Se busca garantizar la precisión, suficiencia y validez de la información, de acuerdo con las expectativas del negocio.
  • 24. 22 Disponibilidad:Principio que busca que la información esté disponible para el personal, usuarios y entidades reguladoras de manera oportuna y acorde a sus niveles de autorización. Seguridad de la Información: Es el proceso sistemático y continuo, aplicado por toda la institución, que busca garantizar los principios de confidencialidad, integridad y disponibilidad en los activos de información. 6. ALCANCE El alcance de la presente política se define desde los siguientes aspectos:  Cumplimiento de las disposiciones normativas vigentes  Es aplicable en todo el ámbito de la institución, a sus recursos y a la totalidad de sus procesos internos y externos vinculados a la entidad a través de contratos y acuerdos con terceros.  Debe ser conocida y cumplida por todo el personal vinculado laboralmente con el MINEDU, cualquiera fuera la modalidad. 7. EVALUACIÓN DE RIESGOS El MINEDU asegura la realización periódica deun proceso de análisis y evaluación de riesgos de seguridad de la información, y de acuerdo a su resultado, se implementen las acciones correspondientes con el fin de tratar los riesgos que se consideren inaceptables. 8. DOMINIOS DE LA SEGURIDAD DE LA INFORMACIÓN La presente política comprende 11 aspectos o también denominados dominios que el MINEDU considera de vital importancia para mantener la seguridad de la información en la institución. 8.1 Política de seguridad de la información  Constituye el presente documento y representa el compromiso del MINEDU a realizar las acciones que estén a su alcance para garantizar la seguridad de la información, protegiendo sus procesos críticos ante las amenazas externas e internas, y enfocado en la continuidad de sus operaciones.  El MINEDU, a través del Comité Ejecutivo de Seguridad de la Información (en adelante CESI), se compromete a revisar la presente política de manera anual o ante las siguientes circunstancias: - Requerimiento de la Alta dirección
  • 25. 23 - Cambios normativos que afecten al MINEDU relacionados con la seguridad de la información - Cambios significativos en la organización - Incidentes concretados de alto impacto - Otras que el CESI crea conveniente  El MINEDUestablece procedimientos en Recursos Humanos para verificar el cumplimiento de la presente política y considerará mecanismos de sanción en caso contrario.  La presente política, así como los aspectos relevantes en materia de seguridad de la información, son de conocimientoobligatorio de todo el personal del MINEDU y a las entidades externas relevantes, haciendo uso de distintos medios (intranet, boletines, portal institucional). 8.2 Organización para la seguridad de la información  El MINEDU establece la conformación del Comité Ejecutivo de Seguridad de la Información (CESI), cuya funciones son: - Aprobar y promulgar las normativas, controles, procedimientos y responsabilidades generales asociadas a la seguridad de la información. - Definir las estrategias del MINEDU respecto a las normas del Estado Peruano y tendencias globales referidas a la seguridad de la información. - Velar por el cumplimiento y actualización del marco normativo de seguridad de la información. - Monitorear cambios significativos que pudieran variar los riesgos presentes en el MINEDU. - Definir los lineamientos para implementar un Plan de Sensibilización de Seguridad de la Información para el personal del MINEDU.  Las responsabilidades en materia de seguridad de la información están identificadas y delegadas correspondientemente. 8.3 Seguridad en los activos de información  Se mantiene un inventario de activos de información críticos, documentando la información relevante de cada uno de ellos.  Los activos que componen este inventario son protegidos mediante controles de seguridad que permitan garantizar su disponibilidad, integridad y disponibilidad.
  • 26. 24 8.4 Seguridad en los Recursos Humanos  El personal del MINEDUconoce sus responsabilidades respecto a la seguridad de la información.  Cuando un empleado culmine o modifique su vínculo laboral con el MINEDU, se notifica a las áreas correspondientes para la eliminación y/o modificación de sus recursos y accesos. Esto también aplica para los servicios realizados por terceros.  Todo empleado es informado en el tema de seguridad de la información, con el objeto de obtener la sensibilización que conlleve a la aplicación de las buenas prácticas en sus labores diarias.  Todo empleado es responsable de registrar y reportar las violaciones a la seguridad, confirmadas o sospechadas. 8.5 Seguridad física  El acceso a las áreas críticas de procesamiento de información sólo está permitido a personal autorizado. El acceso a estas áreas por parte de terceros es controlado por personal del MINEDU.  El MINEDU establece mecanismos para garantizar la integridad de las personas y de sus activos de información mediante controles que mitiguen el riesgo de impacto ante incidentes causados por agentes ambientales externos (Sismos, siniestros, atentados, etc.). 8.6 Seguridad de las Operaciones y Comunicaciones  El MINEDUcertifica periódicamente quela infraestructura y procesos de tecnologías de la información y comunicaciones que soportan la información institucional operan bajo efectivos controles de seguridad, lo cual garantiza la confidencialidad, integridad y disponibilidad de los mismos. 8.7 Control de accesos  La asignación de accesos y privilegios sobre los diferentes activos de información es formalmente autorizada y estrictamente en base a las labores que el empleado, por contrato, realizará en la institución.
  • 27. 25 8.8 Seguridad en sistemas de información  Los sistemas de información, tanto desarrollados internamente como adquiridos a terceros, implementarán controles de seguridad en todas las etapas de su desarrollo, garantizando que la información procesada se encuentra protegida. 8.9 Gestión de incidentes  El MINEDU entiende que la protección de la información puede presentar brechas, por ende establece procedimientos internos para el tratamiento de incidentes de seguridad de la información, con el objetivo de reestablecer la funcionalidad del proceso, servicio o activo afectado en el rango de tolerancia que demanda el negocio. 8.10 Continuidad del Negocio  Se cuenta con un esquema de contingencia que establece los pasos a seguir, en caso ocurra algún evento de interrupción de la disponibilidad, de tal forma que la institución pueda recuperar oportunamente la operatividad de sus procesos críticos del negocio. 8.11 Cumplimiento  El MINEDUcumple con la normativa vigente respecto a la seguridad de la información y establece procedimientos regulatorios para el monitoreo de su alineamiento.