Informefinal iso 27001 unas

DIAGNÓSTICO DE LA SEGURIDAD DE LA INFORMACIÓN CON LA NORMA ISO 27000 EN LA UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA

febrero 21 2015

- Yanac Montesino R. - García Villegas, Christian - Ponce Guizabalo Santos Víctor - Liviapoma -Pozo Malpartida, Jorge L.

UNIVERSIDAD NACIONAL “HERMILIO VALDIZAN”

ESCUELA DE POST GRADO

INFORME DE DIAGNÓSTICO DE SEGURIDAD DE LA INFORMACIÓN CON LA

ISO 27000

Introducción

El presente trabajo realizado sobre el diagnostico situacional de la seguridad de la información de la

Universidad Nacional Agraria de la Selva basado en la Norma ISO 27001 y 27002.

Misión

Promover el liderazgo y excelencia a través de la formación de profesionales, con un enfoque científico,

tecnológico, humanístico y social que permita administrar de manera sustentable la biodiversidad, la

producción, la industrialización y comercialización de los recursos naturales renovables. Asimismo,

convertirnos en la institución educativa de mayor prestigio en la amazonía, aplicando programas de

extensión que permitan el desarrollo integral de la persona, de acuerdo con las necesidades regionales

y nacionales.

Visión

"Es una comunidad académica, humanista, científica y productiva que avanza hacia la excelencia en

educación integral y transferencia tecnológica para el desarrollo sostenible de la Amazonía."

I. PERSPECTIVAS DEL NEGOCIO

1.1 Ambiente del negocio

La universidad con la finalidad de impartir enseñanza superior, brindar el servicio

académico, investigación, proyección y extensión de manera integral se ve comprometido

de afianzar políticas de intervención en mejora continua, así mismo desarrollar

investigación científica -tecnológica y atender las necesidades de servicios a la

comunidad universitaria y no universitaria, que estén expresadas como atendidos

eficientemente por la universidad.

Teniendo la Visión de la UNAS al 2021 en ser líder e innovadora en la formación de

profesionales, con valores y estándares de calidad, comprometida con la biodiversidad y

la gestión integral para el desarrollo sostenible del país y el mundo.

1.2 Objetivos:

1.2.1.1 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la

investigación, la extensión y proyección social.

1.2.1.2 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la

investigación, la extensión y proyección social.

1.2.1.3 Mejorar y promover la calidad y productividad de la investigación científica,

tecnológica e innovadora orientada al desarrollo sostenible.





1.2.1.6 Desarrollar, fortalecer y promover la capacidad de extensión y proyección

universitaria articulada con la sociedad.

1.2.1.7 Desarrollar, fortalecer y promover la capacidad de extensión y proyección

universitaria articulada con la sociedad.

1.2.1.8 Desarrollar un sistema de gestión de calidad institucional.

1.2.1.9 Desarrollar un sistema de gestión de calidad institucional.

1.2.1.10 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación

profesional.


profesional.


profesional.

1.2.2 Estrategias

1.2.2.1 Capacitación permanente en sus funciones de las carreras profesionales.

1.2.2.2 Establecer mecanismos de supervisión y evaluación docente.

1.2.2.3 Implementar una política de incentivos por méritos académicos.

1.2.2.4 Estudio de la demanda social en función a los problemas del grupo de

interés.

1.2.2.5 Evaluación permanente del cumplimiento de los indicadores del currículo

por competencias.

1.2.2.6 Capacitación en estrategias de enseñanza aprendizaje orientada en la

formación por competencias (ABP, casuística, aprendizaje basa en

proyectos, clase magistral, otros).

1.2.2.7 Evaluación de la satisfacción de la aplicación de las estrategias enseñanza

– aprendizaje.

1.2.2.8 Implementar un ciclo propedéutico para selección de los ingresantes.

1.2.2.9 Implementar un mecanismo de examen diferenciado a postulantes.

1.2.2.10 Elaborar la propuesta técnica de creación del vicerrectorado de

investigación.

1.2.2.11 Aprobación de la propuesta técnica por asamblea universitaria.

1.2.2.12 Elaborar un proyecto de inversión para la construcción, implementación y

capacitación del vicerrectorado de investigación.

1.2.2.13 Diseñar e implementar el sistema de gestión de calidad con énfasis en la

investigación.

1.2.2.14 Implementar un incentivo por producción intelectual acreditada.

1.2.2.15 Reglamentar y promover tesis con investigaciones multidisciplinarias y

multiautores.

1.2.2.16 Reglamentar y promover la categorización del docente investigador.

1.2.2.17 Implementar mesas de trabajo de discusión científica y tecnológica con los

grupos de interés.

1.2.2.18 Incluir las líneas de investigación en el proceso de la investigación

formativa.

1.2.2.19 Conformación de redes de investigadores inter y trans institucional.

1.2.2.20 Formar equipos de trabajo para formular propuestas de proyectos con

financiamiento interno y externo.

1.2.2.21 Establecer alianzas estratégicas estado - universidad – empresa.

1.2.2.22 Certificar laboratorios especializados.

1.2.2.23 Implementar programas de capacitación en metodologías de investigación

científica, tecnológica e innovación.

1.2.2.24 Capacitación en programas de desarrollo de publicaciones, patentes y

propiedad intelectual.

1.2.2.25 Institucionalizar las Jornadas científicas en una fecha definida de manera

periódica.

1.2.2.26 Aumentar la visibilidad de la producción científica y tecnológica.

1.2.2.27 Creación de los institutos y centros de investigación en las carreras

profesionales.

1.2.2.28 Desarrollar proyectos de inversión con fines de investigación en la frontera

del conocimiento.

1.2.2.29 Racionalizar y optimizar el uso de los laboratorios.

1.2.2.30 Diseñar e implementar el sistema de gestión de calidad en extensión y

proyección.

1.2.2.31 Realizar un estudio de necesidades y potencialidades de extensión y

proyección.

1.2.2.32 Definir las funciones y responsabilidades de OPUII orientadas a la

consolidación del vínculo entre la universidad y la sociedad.

1.2.2.33 Suscribir y ejecutar convenios interinstitucionales.

1.2.2.34 Articular las labores de extensión y proyección universitaria a la

enseñanza e investigación.

1.2.2.35 Identificar indicadores de evaluación de metas cumplidas en actividades

de extensión y proyección social.

1.2.2.36 Elaborar anualmente una agenda de actividades de extensión y

proyección en función de las necesidades y por especialidades.

1.2.2.37 Formalizar programas de capacitación no formal en capacidades técnicas

y que involucre a todas las facultades.

1.2.2.38 Elaborar documentos de difusión para incrementar el impacto de la

extensión y proyección.

1.2.2.39 Mejorar los reglamentos generales y de organización y funciones.

1.2.2.40 Actualizar los Manuales de procedimientos.

1.2.2.41 Diseñar e implementar el Sistema de Gestión de la Calidad en función del

modelo de calidad educativa.

1.2.2.42 Aprobar e implementar el plan estratégico articulado al POI y PPR.

1.2.2.43 Sensibilización y empoderamiento del PEI en todas las dependencias de la

Universidad.

1.2.2.44 Actualizar y reformular los documentos de gestión (estatuto y

reglamentos).

1.2.2.45 Implementar mecanismos de monitoreo y seguimiento del plan estratégico

para la mejora continua de los procesos orientado al cumplimiento de los

resultados.

1.2.2.46 Establecer anualmente una comisión ad hoc para realizar el monitoreo y

seguimiento del PEI.

1.2.2.47 Incrementar la visibilidad de los documentos normativos de gestión

académica y administrativa.

1.2.2.48 Crear el repositorio o centro de documentación e información científica y

de gestión institucional, disponible al público en general.

1.2.2.49 Aumentar la transparencia de los procesos académicos y administrativos.

1.2.2.50 Implementar un sistema de acceso de los padres de familia a los datos

académicos de sus hijos estudiantes.

1.2.2.51 Contratar una evaluación externa de las actividades de los docentes

(racionalización).

1.2.2.52 Implementar un reglamento de selección de docentes por méritos,

experiencia y capacidad acreditados.

1.2.2.53 Establecer una política de incentivos para el retorno de Doctores y

maestros peruanos trabajando en el extranjero.

1.2.2.54 Establecer un programa de capacitación permanente en sus funciones, en

un idioma extranjero, y en las TICs.

1.2.2.55 Contratar una evaluación externa de las actividades del personal

administrativo (racionalización).

1.2.2.56 Implementar un reglamento de selección de personal administrativo por

méritos, experiencia y capacidad acreditados.

1.2.2.57 Establecer un programa de capacitación permanente en sus funciones, en

un idioma extranjero, y en las TICs.

1.2.2.58 Establecer cuadros permanentes de personal administrativo.

1.2.2.59 Acondicionar ambientes adecuados y reglamentos de uso para una

atención personalizada de tutoría.

1.2.2.60 Incluir la labor de tutoría y consejería en las estructuras curriculares.

1.2.2.61 Capacitar y sensibilizar a los docentes para realizar acciones de tutoría y

consejería.

1.2.2.62 Establecer un sistema de premiación a la excelencia académica, de

investigación, de extensión y proyección social.

1.2.2.63 Fortalecer las áreas de asistencia social y psicología.

1.2.2.64 Implementar programas de planificación orientación y prevención de ETS.

1.2.2.65 Fortalecer la Oficina General de Administración en gestión de recursos

financieros.

1.2.2.66 Racionalización y centralización de reactivos de laboratorio de útiles de

escritorio y materiales de vidrio en función de necesidades.

1.2.2.67 Racionalizar la asignación de bienes y equipos para uso de las

dependencias académicas y administrativas.

1.2.2.68 Racionalizar el uso de la red de las dependencias académicas y

administrativas.

1.2.2.69 Realizar el estudio de Desarrollo Físico y Urbanístico de la UNAS.

1.2.2.70 Desarrollo de un proyecto de inversión pública para el mejoramiento de la

calidad académica, investigación, extensión y proyección.

1.2.2.71 Gestionar el financiamiento externo de los PIPs de la UNAS.

1.2.2.72 Constituir los comités consultivos.

1.2.2.73 Conformación de mesas técnicas y de concertación articulada al Plan de

Desarrollo Regional.

1.2.2.74 Institucionalizar eventos físicos y virtuales de difusión, consulta y debate

con los egresados.

1.2.2.75 Implementar un sistema integral de información agrario de la región.

1.2.2.76 Implementar un sistema de información de hojas de vida de la comunidad

universitaria (red laboral).

II. HALLAZGOS

4.1 Modelo de Empresa

Elaboración del modelo de la Universidad Nacional Agraria de la Selva

Modelo de la Universidad Nacional Agraria de la Selva

Organigrama estructural de la Unas 2012

Universidad Nacional Agraria de la Selva

Matriz Estrategias v.s. Organización

Responsabilidad primaria + Participación Mayor / Participación

Menor


Matriz Procesos v.s. Organización

Responsabilidad primaria + Participación Mayor / Participación

Menor


Matriz Procesos v.s. Estrategias

Responsabilidad primaria + Participación Mayor / Participación Menor


Matriz Procesos v.s. Entidades



Matriz Entidades v.s. Organización


4.2 Oportunidades de Información y Análisis de las Oportunidades de Información


Procesos / Entidad

Procesos

Gestionar recursos humanos OI1,OI16

Gestionar el Bienestar Universitario O12,OI17

Gestión de Infraestructura y equipamiento OI3

Gestión de recursos económicos y financieros OI4, OI18

GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19

COOPERACION INTERINSTITUCIONAL OI6

Promoción del arte, la cultura y el deporte OI7

Gestión de Formación profesional OI8,OI20,OI21

Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23

Gestión de extensión Univ. y proyección social OI10,OI24

Planeamiento estratégica Institucional OI11

Gestión de proyectos OI12

Planeamiento operativo OI13

Gestión de la calidad OI14

Gestión de Sistema de información y comunicación OI15

Entidades

Estudiante OI25,OI26,OI27

Docente OI28,OI29

Trab.Admi OI30

Fac. OI31,OI32

Lab. OI33,OI34

Pab. OI35

Aulas OI36

Sede OI37

Servicio OI38,OI39

Componente OI40

Ma.Prima OI41

Suministro OI42

Equipo OI43

N°matric. OI44

Req.Serv. OI45

Ord.Compre OI46

Factu OI47

Proy. OI48

Audit. OI49


1

Impacto de Procesos en Estrategias

ESTRATEGIAS

PROCESOS

Gestionar recursos humanos / 4

Gestionar el Bienestar Universitario 3

Gestion de Infraestructura y equipamiento / 7

Gestion de recursos economicos y financieros / 4

GESTION DE LA INFORMACION Y COMUNICACIÓN / 4

COOPERACION INTERINSTITUCIONAL / 4

Promoción del arte, la cultura y el deporte / 1

Gestión de Formacion profesional / / 4

Gestion de Investigacion-desarrollo-innovacion / 7

Gestion de extension univ. y proyeccion social 3

Planeamiento estrategica Institucional / 4

Gestion de proyectos 6

Planeamiento operativo / 7

Gestion de la calidad 12

Gestion de Sistema de informacion y comunicación 12

conformación

de redes de

investigador

es inter y

trans

insti tucional

Incrementar la

vis ibi l idad de los

documentos

normativos de

gestión académica

y adminis trativa

Suscribi r y

ejecutar

convenios

inter

insti tucio

nales .

Contratar una

evaluación

externa de las

actividades de

los docentes

(racional ización

)

Capacitacion

permanente

en sus

funciones de

las carreras

profes ionale

s

Establecer

mecanismos

de

supervis ión y

evaluación

docente

Evaluación

permanente del

cumpl imiento

de los

indicadores del

curriculo por

competencias

Incluir las

l ineas de

investigació

n en el

proceso de

investigació

n formativa

Aprobación de

la propuesta

técnica por

asamblea

univers i taria

Diseñar e

implementar

el s i s tema de

gestión de

ca l idad en

extens ión y

proyección

2


Impacto de Entidades en Estrategias


Beneficios y Demanda

Procesos BEN DEM

Gestionar recursos humanos OI1,OI16 09 02

Gestionar el Bienestar Universitario O12,OI17 06 02

Gestión de Infraestructura y equipamiento OI3 04 01

Gestión de recursos económicos y financieros OI4, OI18 07 02

GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19 08 02

COOPERACION INTERINSTITUCIONAL OI6 04 01

Promoción del arte, la cultura y el deporte OI7 03 01

Gestión de Formación profesional OI8,OI20,OI21 14 03

Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23 15 03

Gestión de extensión Univ. y proyección social OI10,OI24 08 02

Planeamiento estratégica Institucional OI11 04 01

Gestión de proyectos OI12 04 01

Planeamiento operativo OI13 03 01

Gestión de la calidad OI14 05 01

Gestión de Sistema de información y comunicación OI15 04 01

Entidades

Estudiante OI25,OI26,OI27 13 03

Docente OI28,OI29 09 02

Trab.Admi OI30 03 01

Fac. OI31,OI32 08 02

Lab. OI33,OI34 07 02

Pab. OI35 02 01

Aulas OI36 02 01

Sede OI37 02 01

ESTRATEGIAS

ENTIDADES …

Estudiante 6

Docente 21

Trab.Admi 3

Fac. 15

Lab. 6

Pab. 3

aulas 3

sede / 1

servicio 12

Componente / 1

Ma.Prima 0

Suministro 0

Equipo / 1

N°matricula / / 2

Req.Serv. / / 2

Ord.Compra 0

Factura / 1

Proyecto / 4

Auditoria 3

conformación

de redes de

investigadores

inter y trans

insti tucional

Incrementar la

vis ibi l idad de

los documentos

normativos de

gestión

académica y

adminis trativa

Suscribi r y

ejecutar

convenios

inter

insti tucionale

s .

Contratar una

evaluación

externa de las

actividades de

los docentes

(racional izació

n)

Capacitacion

permanente en

sus funciones de

las carreras

profes ionales

Establecer

mecanismos

de

supervis ión y

evaluación

docente

Evaluación

permanente del

cumpl imiento de

los indicadores

del curriculo por

competencias

Incluir las

l ineas de

investigación

en el proceso

de

investigación

formativa

Aprobación

de la

propuesta

técnica por

asamblea

univers i taria

Diseñar e

implementar el

s i s tema de

gestión de

ca l idad en

extens ión y

proyección

3

ISO

ISO 27001 APLICADO EN LA UNAS

ISO/IEC 27001

Análisis referencial

Nmeral Dominio o descripción porcentaje de

implementación

4.2 Establecer y manejar el SGSI 9%

4.2.1 Establecer el SGSI 24%

4.2.1 a) Definición del alcance 30%

4.2.1 b) Definición de política 30%

4.2.1 c) Definición de valoración del riesgo 35%

4.2.1 d) Identificar los riesgos 45%

4.2.1 e) Analizar y evaluar riesgos 25%

4.2.1 f) Identificar y evaluar opciones para el tratamiento

25%

4.2.1 g) Seleccionar objetivos de control y controles

0%

4.2.1 h) Obtener aprobación de la gerencia para riesgos residuales

25%

4.2.1 i) Obtener autorización de la gerencia para implementar SGSI

25%

4.2.1 j) Preparar el enunciado de aplicabilidad 0%

4.2.2 Implementar y operar el SGSI 11%

4.2.2 a) Implementar y operar SGSI 0%

4.2.2 b) Implementación tratamiento de riesgo 25%

4.2.2 c) Implementar controles 10%

4.2.2 d) Definir como medir efectividad 0%

4.2.2 e) Implementar programas de capacitación 15%

4.2.2 f) Manejar operación SGSI 0%

4.2.2 g) Manejar recurso SGSI 25%

4.2.2 h) Implementar procedimientos y otros controles

10%

4.2.3 Requerimientos de documentación 1%

4.2.3 a) Ejecutar procedimientos monitoreo y revisión

5%

4.2.3 b) Realizar revisiones regulares 0%

4.2.3 c) Medir efectividad de los controles 0%

4.2.3 d) Revisar las revisiones de riesgos 0%

4.2.3 e) Realizar auditorias internas al SGSI 0%

4.2.3 f) Realizar revisión gerencial 0%

4

4.2.3 g) Actualizar planes de seguridad 0%

4.2.3 h) Registro de acciones y eventos sobre el SGSI

0%

4.2.4 Mantener y mejorar el SGSI 3%

4.2.4 a) Implementar mejoras 0%

4.2.4 b) Tomar acciones correctivas y preventivas

5%

4.2.4 c) comunicar los resultados y acciones a las partes interesadas

5%

4.2.4 d) Asegurar que las mejoras logren sus objetivos

0%

4.3 Requerimientos de documentación 3%

4.3.1 General: Documentación SGSI 10%

4.3.2 Control de documentos 0%

4.3.3 Control de registros 0%

5 Responsabilidad de la gerencia 6%

5.1 Compromisos de la gerencia 10%

5.2 Gestión de recursos 5%

5.2.1 provisión de recursos 5%

5.2.2 Capacitación, conocimiento y capacidad 5%

6 Auditorias Internas SGSI 5%

7 Revisión gerencial SGSI 5%

7.1 General: Revisión de la gerencia 10%

7.2 Insumo de revisión 5%

7.3 Resultado de la revisión 0%

8 mejoramiento del SGSI 5%

8.1 Mejoramiento continuo 5%

8.2 Acción correctiva 5%

8.3 Acción preventiva 5%

Nivel de implementación

5,67%

Porcentaje de

implementación Descripción del porcentaje

0% No se tiene implementación

25% Se ha iniciado la implementación o está en etapa de planeación

50% Esta implementado, pero no se ha aprobado ni divulgado.

100% Esta implementado, aprobado y divulgado, además se monitorea.

5

ISO 27002 APLICADO EN LA UNAS

Anexo A: ISO 27002

Análisis referencial

Numeral Dominio o descripción porcentaje de

implementación

A.5 Politicas de seguridad 0%

A.5.1.1 Documento de la política de seguridad de la información. 0%

A.5.1.2 Revisión de la política de seguridad de la información. 0%

A.6 Organización de la seguridad de la Información 17%

A.6.1.1 Compromiso de la dirección con la seguridad de la información 10%

A.6.1.2 Coordinación de la seguridad de la información.

10%

A.6.1.3 Asignación de responsabilidades para la seguridad de la información. 15%

A.6.1.4 Procesos de autorización para los servicios de procesamiento de información. 25%

A.6.1.5 Acuerdos sobre confidencialidad 25%

A.6.1.6 Contacto con las autoridades 25%

A.6.1.7 Contacto con grupos de interés especiales 15%

A.6.1.8 Revisión independiente de la seguridad de la información 10%

A.6.2.1 Identificación de los riesgos relacionados con las partes externas 0%

A.6.2.2 Consideraciones de la seguridad cuando se trata con los clientes 25%

A.6.2.3 Consideraciones de la seguridad en los acuerdos con terceras partes 25%

A.7 Gestión de activos 25%

A.7.1.1 Inventario de activos 25%

A.7.1.2 Propiedad de los activos 25%

A.7.1.3 Uso aceptable de los activos 25%

A.7.2.1 Directrices de clasificación 25%

A.7.2.2 Etiquetado y manejo de información 25%

A.8 Seguridad de los recursos humanos 44%

A.8.1.1 Roles y responsabilidades 25%

A.8.1.2 Selección 70%

A.8.1.3 Términos y condiciones laborales 60%

A.8.2.1 Responsabilidades de la dirección 50%

A.8.2.2 Educación, formación y concientización sobre la seguridad de la información 45%

A.8.2.3 Proceso disciplinario 60%

6

A.8.3.1 Responsabilidades en la terminación 25%

A.8.3.2 Devolución de activos 30%

A.8.3.3 Retiro de los derechos de acceso 30%

A.9 Seguridad física y ambiental 50%

A.9.1.1 Perímetro de seguridad física 60%

A.9.1.2 Controles de acceso físico 60%

A.9.1.3 Seguridad de oficinas, recintos e instalaciones 60%

A.9.1.4 Protección contra amenazas externas y ambientales 60%

A.9.1.5 Trabajo en áreas seguras 60%

A.9.1.6 Áreas de carga, despacho y acceso público 60%

A.9.2.1 Ubicación y protección de los equipos 60%

A.9.2.2 Servicios de suministro 25%

A.9.2.3 Seguridad del cableado 60%

A.9.2.4 Mantenimiento de los equipos 45%

A.9.2.5 Seguridad de los equipos fuera de las instalaciones 45%

A.9.2.6 Seguridad en la reutilización o eliminación de los equipos 25%

A.9.2.7 Retiro de activos 25%

A.10 Gestión de las comunicacione y operaciones 35%

A.10.1.1 Documentación de los procedimientos de operación 35%

A.10.1.2 Gestión del cambio 15%

A.10.1.3 Distribución de funciones 25%

A.10.1.4 Separación de las instalaciones de desarrollo, ensayo y operación 60%

A.10.2.1 Prestación del servicio 60%

A.10.2.2 Monitoreo y revisión de los servicios por terceras partes 25%

A.10.2.3 Gestión de los cambios en servicios por terceras partes 20%

A.10.3.1 Gestión de la capacidad 30%

A.10.3.2 Aceptación del sistema 25%

A.10.4.1 Controles contra códigos maliciosos 25%

A.10.4.2 Controles contra códigos móviles 15%

A.10.5.1 Respaldo de la información 75%

A.10.6.1 Controles de las redes 75%

A.10.6.2 Seguridad de los servicios de la red 75%

A.10.7.1 Gestión de los medios removibles 15%

A.10.7.2 Eliminación de los medios 25%

A.10.7.3 Procedimientos para el manejo de la información 15%

7

A.10.7.4 Seguridad de la documentación del sistema 20%

A.10.8.1 Políticas y procedimientos para el intercambio de la información 10%

A.10.8.2 Acuerdos para el intercambio 10%

A.10.8.3 Medios físicos en tránsito 15%

A.10.8.4 Mensajería electrónica 60%

A.10.8.5 Sistemas de información del negocio 25%

A.10.9.1 Comercio electrónico 60%

A.10.9.2 Transacciones en línea 65%

A.10.9.3 Información disponible al público 75%

A.10.10.1 Registro de auditorías 30%

A.10.10.2 Monitoreo del uso del sistema 30%

A.10.10.3 Protección de la información del registro 25%

A.10.10.4 Registros del administrador y del operador 45%

A.10.10.5 Registro de fallas 25%

A.10.10.6 Sincronización de relojes 25%

A.11 Control de acceso 56%

A.11.1.1 Política de control de acceso 45%

A.11.2.1 Registro de usuarios 65%

A.11.2.2 Gestión de privilegios 60%

A.11.2.3 Gestión de contraseñas para usuario 60%

A.11.2.4 Revisión de los derechos de acceso de los usuarios 30%

A.11.3.1 Uso de contraseñas 60%

A.11.3.2 Equipo de usuario desatendido 45%

A.11.3.3 Política de escritorio despejado y de pantalla despejada 30%

A.11.4.1 Política de uso de los servicios de red 60%

A.11.4.2 Autenticación de usuarios para conexiones externas 95%

A.11.4.3 Identificación de los equipos en las redes 60%

A.11.4.4 Protección de los puertos de configuración y diagnóstico remoto

65%

A.11.4.5 Separación en las redes 65%

A.11.4.6 Control de conexión a las redes 65%

A.11.4.7 Control de enrutamiento en la red 75%

A.11.5.1 Procedimientos de ingreso seguro 50%

A.11.5.2 Identificación y autenticación de usuarios 50%

A.11.5.3 Sistema de gestión de contraseñas 50%

A.11.5.4 Uso de las utilidades del sistema 75%

A.11.5.5 Tiempo de inactividad de la sesión 85%

8

A.11.5.6 Limitación del tiempo de conexión 50%

A.11.6.1 Restricción de acceso a la información 50%

A.11.6.2 Aislamiento de sistemas sensibles 25%

A.11.7.1 Computación y comunicaciones móviles 45%

A.11.7.2 Trabajo remoto 50%

A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información

51%

A.12.1.1 Análisis y especificación de los requisitos de seguridad 50%

A.12.2.1 Validación de los datos de entrada 40%

A.12.2.2 Control de procesamiento interno 40%

A.12.2.3 Integridad del mensaje 50%

A.12.2.4 Validación de los datos de salida 40%

A.12.3.1 Política sobre el uso de controles criptográficos 50%

A.12.3.2 Gestión de llaves 60%

A.12.4.1 Control del software operativo 90%

A.12.4.2 Protección de los datos de prueba del sistema 10%

A.12.4.3 Control de acceso al código fuente de los programas 50%

A.12.5.1 Procedimientos de control de cambios 65%

A.12.5.2 Revisión técnica de las aplicaciones después de los cambios en el sIstema operativo 60%

A.12.5.3 Restricciones en los cambios a los paquetes de software

60%

A.12.5.4 Fuga de información 50%

A.12.5.5 Desarrollo de software contratado externamente 50%

A.12.6.1 Control de vulnerabilidades técnicas 50%

A.13 Gestión de incidentes de seguridad de la información 48%

A.13.1.1 Reporte sobre los eventos de seguridad de la información 45%

A.13.1.2 Reportes sobre las debilidades de la seguridad 45%

A.13.2.1 Responsabilidades y procedimientos 50%

A.13.2.2 Aprendizaje debido a los incidentes de seguridad de la información 50%

A.13.2.3 Recolección de evidencia 50%

A.14 Gestión de la continuidad del negocio 29%

9

A.14.1.1 Inclusión de la seguridad de la inf. En el proceso de gestión de la continuidad del negocio 25%

A.14.1.2 Continuidad del negocio y evaluación de riesgos 45%

A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la inf. 25%

A.14.1.4 Estructura para la planificación de la continuidad del negocio 25%

A.14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio 25%

A.15 Cumplimiento 54%

A.15.1.1 Identificación de legislación aplicable 65%

A.15.1.2 Derechos de propiedad intelectual (DPI) 90%

A.15.1.3 Protección de los registros de la organización 70%

A.15.1.4 Protección de los datos y privacidad de la información personal 90%

A.15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información 50%

A.15.1.6 Reglamentación de los controles criptográficos 65%

A.15.2.1 Cumplimiento con las políticas y normas de seguridad 30%

A.15.2.2 Verificación del cumplimiento técnico 25%

A.15.3.1 Controles de auditoría de los sistemas de información 25%

A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información

25%

Nivel de implementación

37,15%

Porcentaje de implementación

Descripción del porcentaje

0% No se tiene implementación

25% Se ha iniciado la implementación o está en etapa de planeación

50% Esta implementado, pero no se ha aprobado ni divulgado.

100% Esta implementado, aprobado y divulgado, además se monitorea.

28%

10%

18%

14%

15%

15%

ISO 27001: Nive de implementación

Establecer y manejar el SGSI

Requerimientos de documentación

Responsabilidad de la gerencia

Auditorias Internas SGSI

Revisión gerencial SGSI

mejoramiento del SGSI

RESUMEN DE LA ISO 27001 Y LA 27002 EN LA UNAS

ISO 27001

Numeral Dominio Porcentaje cumplimiento Nivel Ideal

4.2 Establecer y manejar el SGSI 9,4% 100%

4.3 Requerimientos de documentación 3,3% 100%

5 Responsabilidad de la gerencia 6,3% 100%

6 Auditorias Internas SGSI 5,0% 100%

7 Revisión gerencial SGSI 5,0% 100%

8 mejoramiento del SGSI 5,0% 100%

5,67%

9,4%

3,3%

6,3%

5,0%

5,0%

5,0%

100%

100%

100%

100%

100%

100%

0,0%

10,0%

20,0%

30,0%

40,0%

50,0%

60,0%

70,0%

80,0%

90,0%

100,0%

Establecer y manejar el SGSI

Requerimientos de documentación

Responsabilidad de la gerencia

Auditorias Internas SGSI

Revisión gerencial SGSI

mejoramiento del SGSI

Nivel implementación ISO/IEC 27001

Nivel cumplimiento Cumplimiento total

1

ISO 27002 Numeral Dominio Porcentaje cumplimiento Nivel proyectado - META Nivel IDEAL

A.5 A.5 Politicas de seguridad 0,00% 85% 100%

A.6 A.6 Organización de la seguridad de la Información 16,82% 85% 100%

A.7 A.7 Gestión de activos 25,00% 85% 100%

A.8 A.8 Seguridad de los recursos humanos 43,89% 85% 100%

A.9 A.9 Seguridad física y ambiental 49,62% 85% 100%

A.10 A.10 Gestión de las comunic y oper 35,47% 85% 100%

A.11 A.11 Control de acceso 56,40% 85% 100%

A.12 A.12 Adquisición, dllo y mante. de SI 50,94% 85% 100%

A.13 A.13 Gestión de incidentes de seguridad de la información 48,00% 85% 100%

A.14 A.14 Gestión de la continuidad del negocio 29,00% 85% 100%

A.15 A.15 Cumplimiento 53,50% 85% 100%

37,15%

0% 4% 6%

11%

12%

9%14%

12%

12%

7% 13%

ISO 27002: Nivel de implementación

A.5 Politicas de seguridad

A.6 Organización de la seguridad de la Información

A.7 Gestión de activos

A.8 Seguridad de los recursos humanos

A.9 Seguridad física y ambiental

2

0,00%10,00%20,00%30,00%40,00%50,00%60,00%70,00%80,00%90,00%

100,00%A.5 Politicas de seguridad

A.6 Organización de la seguridad de la Información

A.7 Gestión de activos

A.8 Seguridad de los recursos humanos

A.9 Seguridad física y ambiental

A.10 Gestión de las comunic y oper

A.11 Control de acceso

A.12 Adquisición, dllo y mante. de SI

A.13 Gestión de incidentes de seguridad de la información

A.14 Gestión de la continuidad del negocio

A.15 Cumplimiento

Nivel implementación ISO 27002

Estado Actual

Nivel proyectado-META

Nivel ideal

FUENTES DE VERIFICACIÓN

1

CONCLUSIONES

- De acuerdo al estudio y diagnóstico de la seguridad de la información con

respecto al ISO 27001 de la Universidad Nacional Agraria de la Selva es de

5.67 % deduciendo que no se tiene implementado la norma ISO 27001

- De acuerdo al estudio y diagnóstico de la seguridad de la información con

respecto al ISO 27002 de la Universidad Nacional Agraria de la Selva es de

37.15 % deduciendo que se ha iniciado la implementación o está en la etapa

de planeación de la norma ISO 27001

Informefinal iso 27001 unas

Education

Transcript of Informefinal iso 27001 unas