Plan Protesis

43
PLAN DE TESIS PLAN DE TESIS 1

Transcript of Plan Protesis

Page 1: Plan Protesis

PLAN DE TESISPLAN DE TESIS

CUSCO 04/04/2011. CUSCO 04/04/2011.

1

Page 2: Plan Protesis

UNIVERSIDAD ANDINA DELUNIVERSIDAD ANDINA DEL CUSCOCUSCO

FACULTAD DE INGENIERIAFACULTAD DE INGENIERIAPROGRAMA ACADEMICOPROGRAMA ACADEMICO

PROFESIONAL DE INGENIERIA DEPROFESIONAL DE INGENIERIA DE SISTEMASSISTEMAS

“Aplicación de los Estándares ISO/IEC“Aplicación de los Estándares ISO/IEC 27001,27002 y 27003 en la Gestión de los27001,27002 y 27003 en la Gestión de los

Procesos de Seguridad de Información en laProcesos de Seguridad de Información en la Unidad de Abastecimientos de la UAC”Unidad de Abastecimientos de la UAC”

Tesista: Bach. Manuel Marroquín ZapataTesista: Bach. Manuel Marroquín ZapataDocente Asesor: Ing. LuisDocente Asesor: Ing. LuisAlbertoAlberto Sota Orellana Sota Orellana

CUSCO, ABRIL DEL 2010CUSCO, ABRIL DEL 2010

2

Page 3: Plan Protesis

3

Page 4: Plan Protesis

INDICEINDICE

INTRODUCCIÓN………………………………………….. PAG 5

1. PLANTEAMIENTO DEL PROBLEMA…………….… PAG 6

1.1AMBITO DE INFLUENCIA DE LA TESIS……… PAG 6

1.2DESCRIPCION DE LA SITUACIÓN ACTUAL…. PAG 10

1.3JUSTIFICACIÓN………………………………… PAG 11

1.4FORMULACIÓN DEL PROBLEMA…………….. PAG 12

1.5HIPOTESIS………………………………………... PAG 12

1.6OBJETIVOS……………………………………….. PAG 12

1.7VARIABLES………………………………………. PAG 13

1.8METODOLOGIA DE LA TESIS…………………. PAG 14

1.9MATRIZ DE CONSISTENCIA…………………… PAG 15

2. MARCO TEORICO DE LA TESIS…………………… PAG 16

2.1ANTECEDENTES DE LA TESIS……………….. PAG 19

2.2BASES TEORICO CIENTIFICAS………………. PAG 20

3. CONTENIDO TENTATIVO…………………………… PAG 28

4. PLAN DE ACTIVIDADES…………………………….. PAG 29

5. RECURSOS Y PRESUPUESTO…………………….. PAG 30

REFERENCIAS…………………………………………….. PAG 31

ANEXOS…………………………………………………..… PAG 33

4

Page 5: Plan Protesis

INTRODUCCIONINTRODUCCION

La Información es un Activo vital para el éxito y la continuidad en el mercado de

cualquier organización. El aseguramiento de dicha información y de los Sistemas que

la procesan es, por tanto, un objetivo de primer nivel para la Organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un

sistema que aborde esta tarea de una forma metódica, documentada y basada en unos

objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida

la información de la organización.

En la actualidad la Unidad Neurálgica de la Dirección General de Administración de la

Universidad Andina del Cusco es la Unidad de Abastecimientos,por que provee de

bienes y servicios a todas las dependencias Académicas y Administrativas de la

Universidad Andina del Cusco (UAC), en todos sus requerimientos anuales planteados

en el Plan Operativo Institucional (POI); cuyas funciones específicas son las

Ejecuciones Parciales, Inclusiones, Exclusiones y Modificaciones.Para ejecutar todas

estas funciones esta unidad se relaciona directamente con la Dirección General de

Administración (DIGA), VicerrectoradoAdministrativo (VRAD) y la Dirección de

Planificación (DIPLA).Así mismo se puede mencionar que esta unidad genera

información a la Unidad de Contabilidad, Unidad de Tesorería,Almacén, Unidad de

Patrimonio y a la Dirección de Recursos Humanos, para que estas a su vez realicen

directamente sus funciones.

La ejecución de un ítem del Operativo Institucional (POI) puede demorarse mínimo en

un plazo de tres semanas y media en algunos otros casos la demora es de más de un

año; debido a que existen procesos que se duplican y redundan en información por el

uso del nuevo sistema integrado en paralelo con el software de cada unidad, la falta de

manuales adecuados para el uso del nuevo sistema integrado y sobre todo que el

Manual de Organización y Funciones (MOF) ha quedado desfasado por qué no se

ajusta al nuevo sistema integrado.

Actualmente se cuenta con Estándares Internacionales muy bien aceptados, que

proporcionan mecanismos de seguridad que han sido estudiados detenidamente y que

se han puesto a prueba, concluyendo en que los resultados que ofrecen son los

ideales y que deberían ser implementados por todas las Organizaciones.Para lo cual

este Proyecto de Tesis plantea la aplicación de Los Estándares ISO/IEC 27001,27002de Los Estándares ISO/IEC 27001,27002

y 27003 y 27003 el cual optimizaría la gestión de los procesos de seguridad de lainformación en

5

Page 6: Plan Protesis

todos los procesos que se llevan a cabo en la Unidad de Abastecimientos de la

Universidad Andina del Cusco.

Este Proyecto de Tesis plantea una Metodología Experimentalya que se pretende

aplicar los ISOS 27001, 27002 y 27003 con el objetivo de optimizar la gestión de los

procesos de seguridad de información en la Unidad de Abastecimientos con un

enfoque inductivo.

1. PLANTEAMIENTO DEL PROBLEMA:

1.1. AMBITO DE INFLUENCIA DE TESIS:

La Universidad Andina del Cusco es una Institución Educativa que imparte Educación

Superior, enfocada a la Generación de Conocimiento y Tecnología y a la formación de

Profesionales para atender las demandas de la Sociedad se constituye como una

Universidad sin fines de lucro se encuentra ubicada en el Distrito de san Jerónimo,

Provincia del Cusco, Región del Cusco.El ámbito de influencia de la presente tesis

abarca la Dirección General de Administración (DIGA) yestrictamente en la Unidad de

Abastecimientos de la Universidad Andina del Cusco.

La Unidad de Abastecimientos se encuentra ubicada dentro de la estructura

organizacional de la UAC dependiente de la Dirección General de Administracióny se

relaciona con otras unidades al mismo nivel como (Tesorería, Contabilidad, Almacén y

Patrimonio), como se ve en la Fig. 1; actualmente su ubicación física de las oficinas de

la Unidad de Abastecimiento están en el sótano del Auditorio principal de la

Universidad Andina del Cusco.

6

Page 7: Plan Protesis

ORGANIGRAMA DE LA UNIVERSIDAD ANDINA DEL CUSCO

Fig. 1 Fuente: Dirección De Planificación

7

Page 8: Plan Protesis

La Unidad de Abastecimientos es responsable del Abastecimiento de los Bienes y

Servicios a todas la dependencias tanto Académicas como Administrativas de la UAC.

En todos sus requerimientos anuales planteados en el Plan Operativo Institucional

(POI). Sus funciones son:

Controlar y ejecutar los Procesos de compra de bienes y servicios.

Ejecuciones Parciales de las órdenes de compra de bienes y servicios.

Inclusiones de órdenes de compra de bienes y servicios.

Ampliaciones de órdenes de compra de bienes y servicios.

Exclusiones de órdenes de compra de bienes y servicios.

Modificaciones de órdenes de compra de bienes y servicios. Etc.

Esta Unidad se encuentra dentro de la Dirección General de Administración,la cual se

relaciona directamente con el Vicerrectorado Administrativo (VRAD), La dirección de

Planificación (DIPLA) y la Dirección de Recursos Humanos (DDRRHH) como se ve en

la fig. 2

DIAGRAMA DE PAQUETES DEL DIGA

Fig. 2 Fuente: Manual De Organización Y Funciones

8

DIGA

VRAD

DIPLA

DDRRHH

Page 9: Plan Protesis

Dentro de la Dirección General de Administración, la Unidad de Abastecimientos se

encuentra Interrelacionada con las siguientes dependencias:

Unidad de Contabilidad.

Unidad de Tesorería.

Almacén.

Unidad de Patrimonio. Ver (Fig. 3):

DIAGRAMA DE PAQUETES DEL DIGA

Fig. 3Fuente: Manual De Organización Y Funciones

9

ALMACEN

Page 10: Plan Protesis

La información que se genera en esta Unidad es de vital importancia ya que las demás

dependencias realizan sus operaciones a partir de dicha información, por tal motivo se

considera necesaria la optimización de la gestión de procesos de seguridad de

información en la Unidad de Abastecimientos.

Cabe mencionar que la aplicación de los estándares ISO 27001, 27002 y 27003 en la

Unidad de Abastecimientos, estará bajo la responsabilidad de la Dirección

Telecomunicaciones y Tecnologías de la Información (DTTI), debido a que está dentro

de sus responsabilidades velar por la seguridad de la información.

1.2. DESCRIPCION DE LA SITUACIÓN ACTUAL:

La Universidad Andina del Cusco viene atravesando un cambio sustancial en cuanto a

gestión de Información se refiere, pues se ha implantado el Sistema Integrado que

relaciona aspectos Académicos y Administrativos de la universidad. De acuerdo a la

investigación preliminar hecha en las dependencias de la Dirección General de

Administración se ha podido observar que actualmente los procesos de dichas

dependencias se desarrollan paralelamente en dos y hasta tres sistemas al mismo

tiempo (Sistema Integrado, SOP, SIAPA, PRINT y DYNAMICS), lo que ocasiona que la

ejecución de un ítem del (Plan Operativo Institucional) POI se demore mínimo tres

semanas y media,y,en algunos casos la demora es de más de un año, por tal motivo

no existe la disponibilidad necesaria de la información .

Así mismo se podido observar que en la Unidad de Abastecimientos existen procesos

que se ejecutan en más de un sistema, por ejemplo el proceso de ejecuciones

parciales de órdenes de compra se ejecuta en los sistemas (SOP, DYNAMICS y

PRINT), esta ejecución de los procesosen sistemas diferentes ocasiona que exista alto

grado de desconfianza en la integridad de la información.

Además que las políticas de seguridad del nuevo sistema integrado no están

claramente definidas, ya que no existen privilegios necesarios para ciertos usuarios y

en otros casos los privilegios son a nivel de administrador. Por ejemplo la asignación

de los paswords iniciales para el acceso al sistema integrado que se dan a los

10

Page 11: Plan Protesis

usuarios, es el mismo para todosy no es reemplazado oportunamente por los usuarios.

Lo que ocasiona que se vulnere la confidencialidad de la información.

Entre otros problemas identificados se pueden mencionar que:

Existe duplicidad de procesos en la Dirección de Planificación (DIPLA),

Vicerrectorado Administrativo(VRAD) y Dirección General de

Administración(DIGA), lo que genera redundancia de información en estas

dependencias.

El crecimiento de la Universidad, la implantación del sistema integrado, la

exclusión de dependencias e inclusión de nuevas dependencias, ha generado

el desfase del Manual de Organización y Funciones (MOF) originando en

parte los problemas anteriormente descritos.

1.3. JUSTIFICACION:1.3. JUSTIFICACION:

Debido a la importancia que tiene la información como recurso estratégico de lasDebido a la importancia que tiene la información como recurso estratégico de las

organizaciones. Se necesita garantizar la Gestión de los procesos de Seguridad deorganizaciones. Se necesita garantizar la Gestión de los procesos de Seguridad de

Información, ya que una Organización como la Universidad Andina del Cusco que estáInformación, ya que una Organización como la Universidad Andina del Cusco que está

estrechamente ligado a las tecnologías de la información, necesita mejorar susestrechamente ligado a las tecnologías de la información, necesita mejorar sus

procesos y garantizar las seguridad necesaria de los mismos, para esto, este Proyectoprocesos y garantizar las seguridad necesaria de los mismos, para esto, este Proyecto

de Tesis pretende aplicar Estándares ISO/IEC 27001,27002 y 27003; los cualesde Tesis pretende aplicar Estándares ISO/IEC 27001,27002 y 27003; los cuales

proveen –herramienta que especifican los requisitos necesarios para establecer,proveen –herramienta que especifican los requisitos necesarios para establecer,

implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de laimplantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la

Información,Información,describen los objetivos de control y controles recomendables en cuanto a

seguridad de la información y diseña e implementa un Sistema de Gestión de

Seguridad de la Información-, para optimizar los procesos de gestión de seguridad de para optimizar los procesos de gestión de seguridad de

información en la Unidad de Abastecimientos de la Universidad Andina del Cusco.información en la Unidad de Abastecimientos de la Universidad Andina del Cusco.

Por ello se justifica que la aplicación de Normas Internacionales es totalmentePor ello se justifica que la aplicación de Normas Internacionales es totalmente

necesaria para cualquier organización que tenga que ver de alguna forma connecesaria para cualquier organización que tenga que ver de alguna forma con

aspectos relacionados a tecnologías de información.aspectos relacionados a tecnologías de información.

11

Page 12: Plan Protesis

1.4. FORMULACION DEL PROBLEMA:

Antes de Optimizar la gestión de los Procesos de seguridad en la Unidad de

Abastecimientos de la UAC, se plantea la siguiente pregunta.

¿De qué manera la Aplicación de las Normas ISO/IEC 27001, 27002 y 27003

afectaranen la Gestión de los Procesos de Seguridad de Información en la Unidad de

Abastecimientos de la Universidad Andina del Cusco?

1.5. HIPOTESIS:

“La Aplicación de las Normas ISO/IEC 27001,27002 y 27003Optimizaran la

Gestión de los Procesos de Seguridad de Información en la Unidad de

Abastecimientos de la Universidad Andina del Cusco”

1.6. OBJETIVOS:

Objetivo General

Optimizar la Gestión de los Procesos de Seguridad de Información en la Unidad de

Abastecimientos aplicando los Estándares ISO/IEC 27001,27002 y 27003.

Objetivos Específicos

Especificar Requisitos para establecer, implantar, mantener y mejorar la gestión

de procesos de Seguridad (ISO/IEC 27001).

Aplicar Controles para mantener los datos libres de modificaciones no

autorizadas (ISO/IEC 27002).

Implementarsistema de gestión de seguridad de información (ISO/IEC 27003).

Aumentar la seguridad de la información base a la gestión de procesos en vez

de en la compra sistemática de productos y tecnologías.

Establecer una metodología de gestión de la seguridad de la información clara y

estructurada, en la unidad de Abastecimientos de la Universidad Andina del

Cusco.

12

Page 13: Plan Protesis

Permitir la continuidad de las operaciones necesarias de negocio tras incidentes

de gravedad.

Lograr el mejoramiento de la imagen institucional a nivel local, nacional e

internacional, estableciendo como elemento diferenciador la gestión de

seguridad de información.

Proponer un marco de confianza y de reglas claras para el personal de la

Unidad de Abastecimiento de la Universidad Andina del Cusco.

Capacitar y concientizar a todo el personal en lo relativo a la seguridad de la

información.

Posibilitar la integración con otros sistemas de gestión como pueden ser los ISO

9001, ISO 14001, OHSAS 18001L.

1.7. VARIABLES:

VARIABLE INDEPENDIENTE

“La Aplicación de las Normas ISO/IEC 27001,27002 y 27003Optimizara….”

Normas ISO/IEC 27001,27002 y 27003.

VARIABLE DEPENDIENTE

“……la Gestión de los Procesos de Seguridad de Información en la Unidad de

Abastecimientos de la Universidad Andina del Cusco en el Período”

Gestión de los Procesos de Seguridad de Información.

13

Page 14: Plan Protesis

1.8. METODOLOGIA DE LA TESIS

TIPO DE INVESTIGACION.

El Proyecto de Tesis Planteado implicara; la observación, manipulación, registro de las

variables (dependiente y independiente) que afectara el objeto de estudio, con el

objetivo de generalizar el conocimiento que se obtendrá para otro casos semejantes en la

Universidad Andina del Cusco por tanto la metodología que se plantea será la de;

“EXPERIMENTAL E INDUCTVO”

Sujeta además en la aplicación de la metodología PDCA del ISO/IEC 27000 y al uso

delUML como estándar para el Modelamiento de los artefactos.

POBLACION Y MUESTRA.

UNIVERSO:

Universidad Andina del Cusco; Que constituye fundamentalmente dos Vicerrectorados

que a la vez están conformados por todas las Direcciones existentes, conjuntamente

que todas las Decanaturas al igual que los Centros de Producción y la Escuela de Post

Grado.

POBLACION:

Dirección General de Administración, se Constituye como Aparato de Administrativo

del Vice Rectorado Administrativo y de todas las dependencias Universitarias en

general.

MUESTRA:

Unidad de Abastecimientos; la encargada de brindar a la universidad andina del cusco

de bienes y servicios

14

Page 15: Plan Protesis

15

Page 16: Plan Protesis

2. MARCO TEORICO:

ISO

Es el acrónimo de International Organization for Standardization. Aunque si se

observan las iníciales para el acrónimo, el nombre debería ser IOS, los fundadores

decidieron que fuera ISO, derivado del griego " isos", que significa "igual". Por lo tanto,

en cualquier país o en cualquier idioma, el nombre de la institución es ISO, y no cambia

de acuerdo a la traducción de "International Organization for Standardization" que

corresponda a cada idioma. Se trata de la organización desarrolladora y publicadora de

Estándares Internacionales más grande en el mundo. ISO es una red de instituciones

de estándares nacionales de 157 países, donde hay un miembro por país, con una

Secretaría Central en Geneva, Suiza, que es la que coordina el sistema.

IEC

Es el acrónimo de International ElectrotechnicalCommission. Esta es una organización

sin fines de lucro y también no gubernamental. Se ocupa de preparar y publicar

estándares internacionales para todas las tecnologías eléctricas o relacionadas a la

electrónica

ISO/IEC

ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1

(ISO/IEC JointTechnicalCommittee). Este comité trata con todos los asuntos de

tecnología de la información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por

subcomités que tratan con un campo o área en particular. Específicamente el

subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías

de información. Dicho subcomité ha venido desarrollando una familia de Estándares

Internacionales para el Sistema Gestión y Seguridad de la Información. La familia

incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y

medición, y el lineamiento de implementación del sistema de gestión de seguridad de

la información. Esta familia adoptó el esquema de numeración utilizando las series del

número 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones

16

Page 17: Plan Protesis

del ISO/IEC 17799 se encuentran bajo el esquema de numeración con el nombre

ISO/IEC 27002.

ISO/IEC 27000

Es un conjunto de estándares desarrollados -o en fase de desarrollo por ISO

(International Organization for Standardization) e IEC (International Electrotechnical

Commission), que proporcionan un marco de gestión de la seguridadde la información

utilizable por cualquier tipo de organización, pública o privada,grande o pequeña.

ISO/IEC 27001

El estándar para la seguridad de la información ISO/IEC 27001 (Information technology

- Security techniques–Information security management systems - Requirements) fue

aprobado y publicado como estándar internacional en octubre de 2005 por International

Organization for Standardization y por la comisión International Electrotechnical

Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un

Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo

de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar,

Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual

ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la

entidad de normalización británica, la British Standards Institution (BSI).

ISO/IEC 27002

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005.Manteniendo

2005 como año de edición. Es una guía de buenas prácticas quedescribe los objetivos

de control y controles recomendables en cuanto a seguridadde la información. No es

certificable. Contiene 39 objetivos de control y 133 controles,agrupados en 11

dominios.

17

Page 18: Plan Protesis

ISO/IEC 27003

ISO/IEC 27003:2010 se centra en los aspectos críticos necesarios para el éxito en el

diseño e implementación de un Sistema de Gestión de Seguridad de la Información

(SGSI) de acuerdo con la norma ISO/IEC 27001:2005.

Se describe el proceso de especificación del SGSI y el diseño desde el inicio hasta la

elaboración de planes de ejecución. En él se describe el proceso para obtener la

aprobación de la Dirección para implementar un SGSI, se define un proyecto para

implementar un SGSI (denominado en la norma ISO/IEC 27003:2010 como el proyecto

de SGSI), y da pautas sobre cómo planificar el proyecto del SGSI, resultando un

proyecto final de ejecución del plan.

UML

Lenguaje Unificado de Modelado (LUM o UML, por sus siglas en inglés, Unified

Modeling Language) es el lenguaje de modelado de sistemas de software más

conocido y utilizado en la actualidad; está respaldado por el OMG (Object Management

Group). Es un lenguaje gráfico para visualizar, especificar, construir y documentar un

sistema. UML ofrece un estándar para describir un "plano" del sistema (modelo),

incluyendo aspectos conceptuales tales como procesos de negocio y funciones del

sistema, y aspectos concretos como expresiones de lenguajes de programación,

esquemas de bases de datos y componentes reutilizables.Es importante resaltar que

UML es un "lenguaje de modelado" para especificar o para describir métodos o

procesos. Se utiliza para definir un sistema, para detallar los artefactos en el sistema y

para documentar y construir. En otras palabras, es el lenguaje en el que está descrito

el modelo.

18

Page 19: Plan Protesis

2.1 . ANTECEDENTES DE LA TESIS.

“TÉCNICAS Y PRODUCCIÓN DE SISTEMAS” Catedrático Ing. Carlos Orellana

Universidad católica de El Salvador Facultad de ingeniería.

“CÓMO REALIZAR UN PLAN ESTRATÉGICO PARA PARA SGSI EN LA

ASDE” Universidad de San Carlos de Guatemala Facultad de Ingeniería

Escuela de Ingeniería en Ciencias y Sistemas José Arnulfo Roldán Caracún

Asesorado por el Ingeniero Saúl Alberto Pereira Puac.

“COMO IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE

INFORMACIÓN ISO 27001:2005”Alberto G. Alexander PhD. Administración,

Universidad de Lima.

“GUÍA PARA LA ELABORACIÓN DEL MARCO NORMATIVO DE UN SISTEMA

DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)”29 de

noviembre de 2007 Autor(es) Firma-e, Javier Cao Avellaneda Universidad de

Queretaro Mexico.

“GUÍA DE APLICACIÓN DE LANORMA UNE-ISO/IEC 27001SOBRE

SEGURIDAD ENSISTEMAS DE INFORMACIÓNPARA PYMES” Autores: Ana

Andrés y Luis Gómez© AENOR (Asociación Española de Normalización y

Certificación), 2009.

“MANUAL DENORMAS Y POLÍTICAS DE

SEGURIDADINFORMÁTICA”Departamento De PosgradoMaestría En Gestión

De Tecnologías De La Información Proyecto FinalIso 27000 (Políticas De

Control De Accesos)Estudiantes: Carlos Gutiérrez Soria, Carlos J. Liceaga

Rosas, Esteban Baker Thomas, Ramiro Aguilar García México de 2009.

“MANUAL DE SEGURIDAD DE LA INFORMACIÓN”InstitutoColombiano De

Crédito Educativo Y Estudios Técnicos En El Exterior.

“PLAN DE GESTIÓN DE SERVICIOS TI” .Vicerrectorado de las Tecnologías de

la Comunicación Universidad de Sevilla España

19

Page 20: Plan Protesis

2.2 . BASES TEORICO CIENTÍFICAS.

Campo de aplicación

Reducción del riesgo de pérdida, robo o corrupción de información.

Los clientes tienen acceso a la información a través medidas de

seguridad.

Los riesgos y sus controles son continuamente revisados.

Confianza de clientes y socios estratégicos por la garantía de calidad

yconfidencialidad comercial.

Las auditorías externas ayudan cíclicamente a identificar las debilidades

del sistemay las áreas a mejorar.

Continuidad de las operaciones necesarias de negocio tras incidentes

de gravedad.

Imagen de empresa a nivel regional y elemento diferenciador de la

competencia.

Confianza y reglas claras para las personas de la organización.

Reducción de costes y mejora de los procesos y servicio.

Aumento de la motivación y satisfacción del personal.

Aumento de la seguridad en base a la gestión de procesos en vez de en

la comprasistemática de productos y tecnologías.

Términos y definiciones

Breve descripción de los términos más usados en proyecto de Tesis.

SGSI.El concepto clave de un SGSI es para una organización del

diseño, implantación, mantenimiento de un conjunto de procesos para gestionar

eficientemente la accesibilidad de la información, buscando asegurar la

confidencialidad, integridad y disponibilidad de los activos de información

minimizando a la vez los riesgos de seguridad de la información.

ITEM.en ingles significa artículo, y el uso de esta palabra es muy similar

al español, definido para nuestro estudio como la ejecución de una Orden de

compra de un bien o un servicio.

OHSAS.La Seguridad y Salud en el lugar de trabajo son claves para

cualquier organización.Un Sistema de Gestión en Seguridad y Salud Laboral

20

Page 21: Plan Protesis

(SGSSL) ayuda a proteger a la empresa y a sus empleados. OHSAS 18001 es

una especificación internacionalmente aceptada que define los requisitos para

el establecimiento, implantación y operación de un Sistema de Gestión en

Seguridad y Salud Laboral efectivo.

AUDITORIA INFORMATICA.La auditoría informática es un proceso

llevado a cabo por profesionales especialmente capacitados para el efecto, y

que consiste en recoger, agrupar y evaluar evidencias para determinar si un

sistema de información salvaguarda el activo empresarial, mantiene la

integridad de los datos, lleva a cabo eficazmente los fines de la organización,

utiliza eficientemente los recursos, y cumple con las leyes y regulaciones

establecidas. Permiten detectar de forma sistemática el uso de los recursos y

los flujos de información dentro de una organización y determinar qué

información es crítica para el cumplimiento de su misión y objetivos,

identificando necesidades, duplicidades, costes, valor y barreras, que

obstaculizan flujos de información eficientes.

USUARIO.Un usuario es un individuo que utiliza una computadora,

sistema operativo, servicio o cualquier sistema informático. Por lo general es

una única persona.

Un usuario generalmente se identifica frente al sistema o servicio utilizando

un nombre de usuario (nick) y a veces una contraseña, este tipo es llamado

usuario registrado. Por lo general un usuario se asocia a una única cuenta

de usuario, en cambio, una persona puede llegar a tener múltiples cuentas

en un mismo sistema o servicio (si eso está permitido).

COBIT.(Control Objectives Control Objectives for Information and related

Technology) es el marco aceptado internacionalmente como una buena práctica

para el control de la información, TI y los riesgos que conllevan. COBIT se

utiliza para implementar el gobierno de IT y mejorar los controles de IT.

Contiene objetivos de control, directivas de aseguramiento, medidas de

desempeño y resultados, factores críticos de éxito y modelos de madurez.

REGISTROS: Documentos que proporcionan evidencias de la

conformidad con los requisitos y del funcionamiento eficaz del SGSI.

REQUERIMIENTOS: (requirements en inglés). En ingeniería del

software y el desarrollo de sistemas, un requerimiento es una necesidad

documentada sobre el contenido, forma o funcionalidad de un producto o

21

Page 22: Plan Protesis

servicio.Los requerimientos son declaraciones que identifican atributos,

capacidades, características y/o cualidades que necesita cumplir un sistema (o

un sistema de software) para que tenga valor y utilidad para el usuario. En otras

palabras, los requerimientos muestran qué elementos y funciones son

necesarias para un proyecto.

ACCESO: El cómo se accede al hardware o software para facilitar el uso

por parte de personas o usuarios.

NORMA: Según se describe en [bib-imcp], las normas de auditoría son

los requisitos mínimos de calidad relativos a la personalidad del auditor, al

trabajo que desempeña ya la información que rinde como resultado de este

trabajo. Las normas de auditoría se clasifican en:

o Normas personales: Son cualidades que el auditor debe tener para

ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales

así como en un entrenamiento técnico, que le permita ser imparcial a la hora de

dar sus sugerencias.

o Normas de ejecución del trabajo: Son la planificación de los métodos y

procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.

o Normas de información: Son el resultado que el auditor debe entregar a

los interesados para que se den cuenta de su trabajo, también es conocido

como informe o dictamen.

TECNICA:Se define a la técnica como “los métodos prácticos de

investigación y prueba que utiliza el auditor para obtener la evidencia necesaria

que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio

o juicio, según las circunstancias.

ESTANDARES:Son herramientas base de la interoperabilidad

informática. Son los que han permitido definir cómo interactuaran los miles o

millones de componentes informáticos que existen. Sin embargo, estándares

existen de muchos tipos y según de cuál de ellos se esté hablando, se estarán

garantizando unas funcionalidades y unas capacidades de interoperabilidad

técnica distintas. Así, los estándares se pueden clasificar en función de diversas

características. Las dos principales probablemente, de cara a las implicaciones

22

Page 23: Plan Protesis

que tienen de cara a su uso son cómo de abiertos/cerrados y

permisivos/exclusivos son, y qué carácter legal tienen.

MONITOREO:Dentro de las organizaciones todos los procesos

necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto

a las necesidades de control, integridad y confidencialidad, este es

precisamente el ámbito de esta técnica.

Estructura del estándar

Descripción de la estructura de la norma.

Plan (Planificar), Do (hacer), Check(Controlar), Act(Acción), la cual es una

estrategia de mejora continua en cuatro pasos.

Plan:

Identificar el Proceso a mejorar.

Recopilar Datos para profundizar en el conocimiento del proceso.

Análisis e Interpretación de datos.

Establecer los Objetivos de mejora.

Detallar las Especificaciones a imponer a los resultados esperados.

Definir los Procesos necesarios para conseguir estos Objetivos, verificando

las especificaciones.

Do:

Ejecutar los procesos definidos en el paso anterior.

Documentar las Acciones Realizadas.

Check:

Pasado un período de Tiempo, volver a Recopilar datos de control y

analizarlos comparándolos con los objetivos y especificaciones iniciales,

para evaluar si se ha producido la mejora esperada.

Documentar Conclusiones.

Act:

23

Page 24: Plan Protesis

Modificar Los procesos según las conclusiones del paso anterior para

alcanzar los objetivos con las especificaciones iniciales.

Documentar el proceso.

Evaluación y tratamiento del riesgo

Indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la

información.

Política de Seguridad

Documento de política de seguridad y su gestión. Referencia de recursos

humanos.

Gestión de Activos

Responsabilidad sobre los activos; clasificación de la información.

Órdenes de compra:

Una orden de compra es una solicitud escrita a un proveedor, por

determinados artículos a un precio convenido. La solicitud también

especifica los términos de pago y de entrega.

Ordenes de servicio.

Acuerdo puntual entre el prestatario de los servicios y el receptor de los

servicios, mediante el cual el receptor de los servicios solicita servicios

esporádicos y la facturación relativa a los recursos se efectúa al terminar el

servicio.

Recursos Humanos

24

Page 25: Plan Protesis

El actor y sus funciones.

JEFE DE UNIDAD.

Programar, ejecutar y controlar el Abastecimiento de bienes y servicios

de la UAC.

Supervisar actividades de programación, adquisición, abastecimiento y

distribución de bienes.

Elaborar cuadro de necesidades de bienes y servicios para el

presupuesto anual.

Formular el calendario de adquisiones.

Programas la adquisión de los materiales de consumo continuo de la

UAC.

Controlar el proceso de compra de bienes y servicios.

ESPECIALISTA ADMINISTRATIVO.

Generar y emitir órdenes de compra mediante el sistema de

abastecimiento (tramitar ordenes de acuerdo a sus modalidades).

Remitir el expediente a DIGA con la firma del jefe de la unidad con el

cuadro comparativo de precios.

Entregar el expediente a la unidad de contabilidad.

Actualizar el sistema de suministros de las especificaciones técnicas del

suministro usado por la UAC.

Realizar compras según requerimientos de los diferentes unidades.

Generar ordenes de compra, según sus necesidades y sus

modalidades.

Generar ordenes de compra por los servicios recibidos por la UAC.

TECNICO DE IMPRESIONES.

Realizar los trabajos impresos requeridos.

Realizar pruebas de impresión y calidad de trabajos realizados.

Preveer el mantenimiento de los equipos.

Realizar pedidos de los materiales de impresión.

Calcular presupuestos de trabajo que realiza la imprenta.

COTIZADOR.

Recepcionar requerimientos de las diferentes oficinas de la UAC.

Facilita la apertura de sobres cerrados de cotizaciones.

Presentar cuadro comparativo y los actos de buena pro.

25

Page 26: Plan Protesis

Llevar a cabo el control numerado del archivo de cotizaciones.

Clasificar según el caso de rubro de cotización.

Elaborar el cuadro comparativo.

Determinar el proveedor

SECRETARIA.

Organizar, coordinar las audiencias y reuniones de trabajo.

Realizar funciones de apoyo administrativo y secretarial.

Recepcionar y administrar documentos clasificados.

Mantener actualizado el archivo administrativo y técnico de la oficina.

Redactar documentos con criterio propio de acuerdoa indicaciones.

Revisión de los documentos que cuentan con los proveídos de

autorización correspondiente.

Devolución de documentos que no cuentan con los requisitos.

Generar reportes y controlar los compromisos presupuestales por

concepto de adquisición de bienes y servicios.

Realizar el despacho diario.

Mantener la existencia de las utilidades de la oficina.

Velar por la seguridad y conservación de los documentos.

Comunicaciones y Operaciones

Descripción de comunicaciones, las operaciones que realizan, procesos como

las demás unidades manejan esa información. Fig. 4

26

Page 27: Plan Protesis

Fig.4 Fuente Dynamics

Jerarquía de accesos.

Requisitos de negocio para el control de accesos; gestión de acceso de usuario;

responsabilidades del usuario; control de acceso en red; control de acceso al

sistema operativo; control de acceso a las aplicaciones e informaciones;

informática y conexión móvil.

3. CONTENIDO TENTATIVO.

CARATULA.

DEDICATORIAS.

AGRADECIMIENTOS.

27

U.ABASTECIMIENTOS

U.PATRIMONIO U.TESORERIA

U.CONTABILIDAD U.ALMACEN

SISTEMAINTEGRADO

Page 28: Plan Protesis

RESUMEN.

INDICES.

CAPITULO1: PLANTEMIENTO DEL PROBLEMA.

o IDENTIFICACION DEL PROBLEMA.

o JUSTIFICACION E IMPORTANCIA DEL PROBLEMA.

o LIMITACIONES DE LA INVESTIGACIÒN.

o OBEJTIVOS DE LA INVETIGACION.

OBJETIVO GENERAL.

OBJETIVO ESPECIFICO.

CAPITULO 2: MARCO TEORICO.

o ASPETOS TEORICOS.

o INVESTIGACIÒN ACTUAL.

o DEFINICION DE VARIABLES.

o HIPOTESIS.

CAPITULO 3: METODOLOGÍA.

o TIPO DE INVESTIGACION.

o DISEÑO DE LA INVESTIGACION.

o POBLACION Y MUESTRA.

DESCRIPCION DE LA POBLACION.

MUESTRA Y METODOS DE MUESTREO.

o INSTRUMENTOS.

o PROCEDIMIENTOS DE RECOLECCION DE DATOS.

o PROCEDIMIENTOS DE ANALISIS DE DATOS.

CAPITULO 4: RESULTADOS.

CAPITULO 5: DISCUSIÒN.

GLOSARIO.

COCLUSIONES.

RECOMENDACIONES.

REFERENCIAS Y ANEXOS.

28

Page 29: Plan Protesis

5.PRESUPUESTOS.

TIPO CANTIDAD PRECIO

29

Page 30: Plan Protesis

LIBROS 6 S/. 380.00

DOCUMENTACION ******** S/. 300.00

ARTICULOS DE ESCRITORIO ******** S/. 150.00

IMPRESIONES ******** S/. 500.00

EMPASTADOS ******** S/. 500.00

MOBILIDAD ******** S/.150.00

CONTINGENCIAS ******** S/. 200.00

TOTAL S/. 2180.00

Financiación Directa.

REFERENCIAS

REFERENCIAS BIBLIOGRAFICAS.

30

Page 31: Plan Protesis

“DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE

INFORMACIÓN. ÓPTICA SO 27001:2005” ALBERTO G. ALEXANDER

“ISO/IEC 20000. GUIA COMPLETA DE APLICACION PARA LA GESTION DE

LOS SERVICIOS DE TECNOLOGIAS DE LA INFORMACION”MORAN ABAD,

LUIS AENOR. ASOCIACION ESPAÑOLA DE NORMALIZACION Y

CERTIFICACION 2010

“GUIA APLICACION NORMA UNE-ISO/IEC 27001 SOBRE SEGURIDAD EN

SISTEMAS” ANDRES,ANA

“SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)”

COMPENDIO AUTOR: ICONTEC EDITORIAL: INSTITUTO COLOMBIANO DE

NORMAS TÉCNICAS Y CERTIFICACIÓN, ICONTEC.

“NTC-ISO/IEC 27001. TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE

SEGURIDAD. SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN (SGSI). REQUISITOS.”AUTORES: VARIOS AUTORES

COMITÉ: TÉCNICAS DE SEGURIDAD EN TECNOLOGÍAS DE LA

INFORMACIÓN

EDITORIAL: INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y

CERTIFICACIÓN, ICONTEC.

“ADMINISTRACIÓN AVANZADA DE SISTEMAS INFORMÁTICOS”AUTORES:

JULIO GÓMEZ LÓPEZ, FRANCISCO GIL MONTOYA, EUGENIO VILLAR

FERNÁNDEZ Y FRANCISCO MÉNDEZ CIRERA EDITORIAL: ALFAOMEGA

GRUPO EDITOR, S.A. DE C.V. (MÉXICO, D.F.)

RA-MA

ANÁLISIS Y DISEÑO DETALLADO DE APLICACIONES INFORMÁTICAS DE

GESTIÓN

AUTORES: MARIO G. PIATTINI VELTHUIS JOSÑE CALVO - MANZANO

VILLALÓN JOAQUÍN EDITORIAL: RA-MA (MADRID, ESPAÑA)

“COMPENDIO. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN (SGSI).”

AUTOR(ES): ICONTEC EDITORIAL: ICONTEC (COLOMBIA)

31

Page 32: Plan Protesis

“LA SEGURIDAD DE LA INFORMACIÓN”AUTORES: ENRIQUE DALTABUIT

GODÁS, LEOBARDO HERNÁNDEZ AUDELO, GUILLERMO MALLÉN

FULLERTON, JOSÉ DE JESÚS VÁZQUEZ GÓMEZ EDITORIAL: LIMUSA

(NORIEGA EDITORES - MÉXICO)

“AUDITORÍA DE TECNOLOGÍAS Y SISTEMAS DE

INFORMACIÓN”AUTORES: MARIO PIATTINI VELTHUIS EMILIO DEL PESO

NAVARRO MAR DEL PESO RUI EDITORIAL: ALFAOMEGA

REFERENCIAS WEB.

http://www.itu.int/ITU-T/studygroups/com17/tel-security.html..

http://www.itu.int/ITU-T/studygroups/com17/tel-security.html..

http://www.iso.org/iso/en/prods-services/ISOstore/store.html

http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp.

http://www.iso27000.es/download/ControlesISO27002-2005.pdf.

http://www.iso27000.es/otros_estandar.html.

http://www.itu.int/ITU-T/studygroups/com17/tel-security.html.

32

Page 33: Plan Protesis

ANEXOS

33