Este documento presenta un resumen de la tesis de Juan Ulloa sobre la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en el Servicio Nacional de Meteorología e Hidrología del Perú (SENAMHI) para mejorar el servicio de pronósticos y alertas hidrometeorológicas. Describe el diagnóstico funcional y estratégico de SENAMHI, los antecedentes de eventos que afectaron la seguridad de la información, y justifica la necesidad de un SGSI basado en la
2. Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
CONTENIDO
I. ASPECTOS GENERALES
Diagnóstico Funcional y Estratégico de la Organización
II. ENTORNO DE LA INVESTIGACION
Planteamiento del Problema
Formulación del Problema
Justificación
Limitaciones
Antecedentes de la Investigación
Objetivo General y Objetivos Específicos
Contribuciones de la Investigación
III. FUNDAMENTO TEORICO
Marco Teórico, Conceptual y Metodológico
IV. DESARROLLO DE LA APLICACIÓN
Resultados de la encuesta respecto a la valoración del SGSI
El Proceso del Servicio de Pronóstico y Alertas Hidrometeorológicos
Resultado del Análisis de Riesgo del Proceso
Requerimientos de Seguridad de Información
Análisis de Brecha del SGSI
SGSI Optimizado para el Servicio de Pronósticos y Alertas Hidrometeorológicas
V. ANALISIS COSTO - BENEFICIO
CONCLUSIONES Y RECOMENDACIONES
4. I.- ASPECTO GENERALES
Diagnóstico Funcional de la Organización
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Servicio Nacional de Meteorología e Hidrología del Perú-SENAMHI,
Entidad Pública Especializada, adscrita al Ministerio del Ambiente,
Miembro de la Organización Meteorológica Mundial - OMM
FUNCIONES:
Organizar y operar la Red Nacional de Estaciones
Hidrometeorológicas.
Centralizar y procesar la información Hidrometeorológica para su
análisis y aplicación por las entidades públicas y privadas.
Administrar el Archivo Nacional de Información
Hidrometeorológica
Realizar estudios e investigaciones hidrometeorológicas para el
desarrollo y defensa nacional.
Asesorar y brindar el apoyo técnico en Hidrometeorología a las
entidades públicas y privadas.
Representar al Perú ante la Organización Meteorológica Mundial.
SENAMHI
OMM : 193 Países Miembro
Ley N° 24031 25-Marzo-1969
5. I.- ASPECTO GENERALES
Diagnóstico Funcional de la Organización
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
ORGANIGRAMA FUNCIONAL
DIRECCION GENERAL
DE HIDROLOGIA
Y RECURSOS HIDRICOS
DIRECCION DE
METEOROLOGIA
SINOPTICA
DIRECCION GENERAL
DE
METEOROLOGIA
DIRECCION GENERAL DE
INVESTIGACION
Y ASUNTOS AMBIENTALES
DIRECCION GENERAL
DE
AGROMETEOROLOGIA
DIRECCION
DE
CLIMATOLOGIA
DIRECCION DE
METEOROLOGIA
APLICADA
DIRECCION DE
HIDROLOGIA
OPERATIVA
DIRECCION DE
HIDROLOGIA
APLICADA
DIRECCION DE
AGROMETEOROLOGIA
OPERATIVA
DIRECCION DE
AGROMETEOROLOGIA
APLICADA
DIRECCION DE
INVESTIGACION
CIENTIFICA
DIRECCION DE
PROYECTO DE
DESARROLLO
Y MEDIO AMBIENTE
OFICINA
GENERAL DE
ESTADISTICA E
INFORMATICA
OFICINA
GENERAL DE
OPERACIONES
TECNICAS
SECRETARIA
GENERAL
OFICINA GENERAL
DE
ADMINISTRACION
CENTRO
DE
CAPACITACION
OFICINA
DE SERVICIO
AL CLIENTE
OFICINA DE
PLANEAMIENTO
COORDINACION Y
CONTROL
OFICINA DE
MANTENIMIENTO
DE LA RED
NACIONAL
OFICINA
DE
ESTADISTICA
OFICINA
DE
INFORMATICA
OFICINA
DE
PERSONAL
OFICINA DE
CONTABILIDAD
Y TESORERIA
OFICINA
DE
COMUNICACION
E INFORMACION
OFICINA
DE
TRAMITE
DOCUMENTARIO
OFICINA DE
ABASTECIMIENTO
Y SERVICIOS
AUXILIARES
OFICINA DE
ASESORIA JURIDICA
OFICINA GENERAL
DE PRESUPUESTO
Y PLANIFICACION
OFICINA DE
RACIONALIZACION
OFICINA DE ASUNTOS
INTERNACIONALES
CONSEJO
DIRECTIVO
DR - 1
PIURA
DR - 2
LAMBAYEQUE
DR - 3
CAJAMARCA
DR - 4
LIMA
DR - 5
ICA
DR - 6
AREQUIPA
DR - 7
TACNA
DR - 8
LORETO
DR - 9
SAN MARTIN
DR - 10
HUANUCO
DR - 11
JUNIN
DR - 12
CUSCO
DR - 13
PUNO
ORGANOS DE APOYO
ORGANOS DE ASESORAMIENTO
ORGANOS DE LINEA
ORGANOS DESCONCENTRADOS
ORGANO DE CONTROL
ORGANO CONSULTIVO
ALTA DIRECCION
CONSEJO CONSULTIVOOFICINA DE AUDITORIA
INTERNA
PRESIDENTE EJECUTIVO
6. I.- ASPECTO GENERALES
Diagnóstico Funcional de la Organización
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
PRODUCTOS Y SERVICIOS:
Pronósticos Meteorológicos e Hidrológicos de corto y mediano
plazo a nivel nacional y por cuencas.
Alertas Meteorológicos e Hidrológicos
Evaluación de fenómenos Hidrometeorológicos.
Estudios Científicos y Técnicos Hidrometeorológicos
Asistencia técnica a Gobiernos Regionales y Locales para
implementación de Sistemas de Prevención y Alerta Temprana.
7. I.- ASPECTO GENERALES
Diagnóstico Estratégico de la Organización
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
•Fortalecer las capacidades de los recursos humanos.
•Mejorar infraestructura, equipamiento y herramientas
•Mejorar la difusión de la información hidrometeorológica y climática.
•Promover la cooperación técnica interinstitucional
OBJETIVOS TRANSVERSALES
Fortalece la
vigilancia
atmosférica
para la tomas
de decisiones.
Incrementar el
uso y cobertura
de la información
hidrometeorológi
ca para acciones
de prevención.
OBJETIVOS ESTRATEGICOS
Promover el
uso de
información
hidrometeoroló
gica para el
desarrollo
económico.
Incrementar el
conocimiento
del clima, agua,
y cambio
climático para
las medidas de
adaptación.
Proveer productos y servicios meteorológicos,
hidrológicos y climáticos confiables y oportunos
“La sociedad peruana toma decisiones oportunas basadas en la información
meteorológica, hidrológica y climática para su desarrollo sostenible”
VISION
9. II.- ENTORNO DE LA INVESTIGACION
2.1 Planteamiento del Problema
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
OMM : «Los Servicios Meteorológicos e
Hidrológicos Nacionales (SMHN) son los
ÚNICOS PORTAVOCES AUTORIZADOS para
emitir ALERTAS METEOROLOGICAS en los
países.
La Información es VITAL y debe estar
DISPONIBLE y COMPLETA
FENOMENOS HIDROMETEOROLOGICOS
10. II.- ENTORNO DE LA INVESTIGACION
2.1 Planteamiento del Problema
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
La falta de un Servicio Meteorológico
Moderno , ha ocasionando que los
anuncios de Alerta Temprana no se
hayan realizado con la debida
anticipación.
FENOMENOS HIDROMETEOROLOGICOS y el SGSI
Daños Directos e Indirectos por sectores causados por el
fenómeno “El Niño” – Millones de dólares
11. II.- ENTORNO DE LA INVESTIGACION
2.1 Planteamiento del Problema
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
• Estaciones Hidrometeorologicas
convencionales.
• La información histórica no se encontraba
disponible en una base de datos.
• Toda información almacenada en 1031 cintas
magnéticas se perdieron.
FENOMENOS HIDROMETEOROLOGICOS y la SGSI
PROYECTO “Mejoramiento de la Capacidad de
Pronóstico y Evaluación del Fenómeno El Niño
para la Prevención de y Mitigación de los
Desastres en el Perú ” - 6`526,352 Nuevos Soles
-55 Estaciones Automáticas
-01 Receptor Satelital
- 30 Radios HF
-01 Servicio Internet Línea dedicada
- 03 Radio Viento Sonda
- 10 Servidores, 05 Workstation y PCs
-Modelos Numéricos ETA, RAM, CCM3,
-Licencias de Software
- Recursos Humanos
El Proyecto, para RECUPERAR INFORMACION
contrató 20 digitadoras y 04 profesionales por 02
años, que ha significado un costo actualizado
solo en recursos humanos por 1’152,000 Nuevos
Soles”.
12. II.- ENTORNO DE LA INVESTIGACION
Planteamiento del Problema
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
ACTUAL
13. II.- ENTORNO DE LA INVESTIGACION
2.1 Planteamiento del Problema
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
SERVICIO DE PRONOSTICO Y ALERTAS HIDROMETEOROLOGICAS
ACTIVOS DEL PROCESO DE PRONOSTICOS
I: Activos de Información
I1 : Información en Almacenamiento Físico
I2 : Información en almacenamiento Lógico
F : Activos Físicos
F1 : Equipos de Procesamiento
F2 : Equipos de Comunicaciones
F3 : Equipos de Almacenaniento
F4 : Infraestructura Física
T : Activos de Servicio
T1 : Proveedores de servicios
T2 : Recursos Humanos
S : Activos de software
S1 : Software Comercial
S2 : Software desarrollado por terceros
S3 : Software de desarrollo propio
14. II.- ENTORNO DE LA INVESTIGACION
2.1 Planteamiento del Problema
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
EVENTOS QUE AFECTARON A LA SEGURIDAD DE LA INFORMACION
FECHA EVENTO CONSECUENCIA - COSTO EFECTO FINAL
1999 ELIMINACION DE 1031 CINTAS CON
INFORMACION HISTORICA POR ESTAR EN
ESTADO DE IRRECUPERABLE, POR SU
INADECUADO ALMACENAMIENTO
PERDIDA DE DATOS HISTORICOS
(S/. 1’152,000 N.S)
EFECTO A LA DISPONIBLIDAD E
INTEGRIDAD DE LOS DATOS HISTORICOS,
PARA EL SERVICIO DE PRONOSTICOS Y
ALERTAS
2008-2011 CORTES CONTINUOS DE ENERGIA
ELECTRICA, POR LA INSUFIENTE CARGA
ELECTRICA.
CORTES REPENTINOS DEL
SERVICIO Y DAÑOS FISICOS A
LOS EQUIPOS DE
PROCESAMIENTO
(S/. 115,000 N.S )
EFECTO A LA DISPONIBLIDAD DE LA
INFORMACION, PARA EL SERVICIO DE
PRONOSTICO Y ALERTAS
2011 SINIESTRO DE INCENDIO DE DATA
CENTER, CAUSADO POR UPS
CORTE PROLONGADO DEL
SERVICIO Y SEVEROS DAÑOS
FISICOS A LOS EQUIPOS DE
PROCESAMIENTO
(S/. 107,306 N.S )
EFECTO A LA DISPONIBLIDAD DE LA
INFORMACION, PARA EL SERVICIO DE
PRONOSTICO Y ALERTAS
AFECTO LA CONTINUIDAD DEL SERVICIO
DE PRONOSTICO 4 DIAS
15. II.- ENTORNO DE LA INVESTIGACION
Formulación del Problema – Justificación – Limitaciones
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
¿En qué medida la aplicación de un Sistema de Gestión de la
Seguridad de la Información basado en el Estándar Internacional
ISO/IEC 27001:2005 mejorará el nivel de servicio de Pronósticos y
Alertas Hidrometeorológicos del SENAMHI?
oEl problema expuesto es común en los SMHN de los países en
desarrollo como el Perú, que no se han solucionado por falta de
conocimiento de la Alta Dirección en SGSI, falta de recursos financieros
para su implementación y la falta de personal especializado.
oLa problemática es compleja y amplia que tiene muchas aristas y se
estima que con la aplicación de un SGSI, se podrá reducir los impactos
adversos.
oLa Tesis está enfocado a la aplicación de un SGSI, específicamente
para el Proceso de Servicio de Pronósticos y Alertas
Hidrometeorológicas para el SENAMHI.
16. II.- ENTORNO DE LA INVESTIGACION
2.5 Antecedentes de la Investigación
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Título : Nacimiento del Sistema de Información de la OMM - SIO
Autor : GeoffLove
Director del Servicio Meteorológico de Australia y
Ex Presidente de la Comisión de Sistemas Básicos
Institución : Organización Meteorológica Mundial, 2006 .Nº 55
Los expertos de las comisiones técnicas mediante enfoque
integrado y sistémico establecieron los requerimientos de SIO:
Debe ser fiable e Integro.
Flexible y capaz de adaptarse a los cambios
Existencia Perfiles y Políticas de acceso.
La seguridad de los datos y las redes.
La difusión puntual de datos y productos oportunos
7 Sistemas de Alerta Temprana - EFICACES - EFICIENTES
• El Programa de prevención de ciclones de Bangladesh
• El Sistema de Alerta temprana de ciclones tropicales de Cuba
• El Sistema de Vigilancia de Francia
• El Sistema de Gestión de Alertas de Alemania
• El Sistema de Alerta Temprana multirriesgos de Japón
• El Sistema de Alerta temprana multirriesgos de EE.UU
• El Programa de preparación ante emergencia de multirriesgo
de Shanghai.
Tendencia de las pérdidas económicas y de las pérdidas de vidas causadas por peligros naturales en los últimos decenios
PERDIDAS ECONOMICAS PERDIDAS VIDAS
17. II.- ENTORNO DE LA INVESTIGACION
2.5 Antecedentes de la Investigación
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Título : Factores inhibidores en la implementación de Sistemas de
Gestión de la Seguridad de la Información basado en la
NTP-ISO/IEC 17799 en la Administración Pública
Autor : Alipio Mariño Obregón
Institución : Universidad Nacional Mayor de San Marcos
Facultad de Ingeniería de Sistemas e Informática
País : Lima-Perú, 2010
Encuesta semi-estructurada en 16 Organismos Públicos
Descentralizados de la PCM a Gerentes de Sistemas de
cada institución;
Población: 576 Entidades del Sistema de Nacional de
Informática
Muestra: 16 Organismos Públicos Descentralizados de
la PCM
I. Sobre la valoración en la implementación de los
Dominios de Control de la Norma Técnica Peruana
NTP-ISO/IEC 17799
II. Sobre el Proceso de Implementación del Sistema de
Gestión de la Seguridad de la Información basado en la
Norma
III. Sobre el grado de influencia de los Factores
Críticos en la implementación de la Norma
Promedio de Valoración Norma = 3.6
RESULTADOS
“provee valor adicional»
18. II.- ENTORNO DE LA INVESTIGACION
2.5 Antecedentes de la Investigación
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
RESULTADOS
Los Factores que mas dificultan
la implementación de la NORMA
Grado Madurez 07 Entidades = 3.99
Grado Madurez 16 Entidades = 0.88
1. Falta de capacitación y concientización al
personal
2. Falta de personal especializado en
Seguridad e Información
3. Presupuesto insuficiente o no asignado
4. Falta de entendimiento cabal sobre
Seguridad de la Información por parte de la
Dirección.
19. II.- ENTORNO DE LA INVESTIGACION
2.5 Antecedentes de la Investigación
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Título : Critical success factors and requirements for achieving Business benefits from Information Security
(Factores críticos de éxito y los requisitos para la obtención de beneficios de negocios
de Seguridad de la Información)
Autor : Alberto Partida, Jean-NoëlEzingeard
Institución : Henley Management College
País : Reino Unido, 2007
Encuesta a más de 80 profesionales de la seguridad de la información y expertos a nivel mundial,
en organizaciones que desarrollan prácticas de seguridad de la información en empresas.
Tipo Beneficio de la Seguridad de Información de acuerdo
%
Organizacional Valor incremental para los accionistas 62
Táctica Nuevas oportunidades de negocio 61
Estratégica Mejor gobierno (cumplimiento). 55
Táctica Fidelidad de los socios y clientes 55
Estratégica Reducción de los costos 54
Organizacional Ventaja competitiva 51
Estratégica Mejora la capacidad de financiación 44
Táctica Facilidad en la conformidad 40
Estratégica Incremento de las ventas 38
Táctica Mejora las operaciones 33
TRES beneficios más
comunes de la
Seguridad de la
Información
20. Aplicar un Sistema de
Gestión de la Seguridad de
la Información basado en el
estándar Internacional
ISO/IEC 27001:2005 para
mejorar el nivel de servicio
del Proceso de Servicio de
Pronósticos y Alertas
Hidrometeorológicas del
SENAMHI
II.- ENTORNO DE LA INVESTIGACION
Objetivo General y Objetivos Específicos
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Determinar el nivel valoración del Sistema de
Gestión de la Seguridad de Información por los
Directivos y Pronosticadores del SENAMHI.
Identificar el Proceso del Servicio de Pronóstico y
Alertas Hidrometeorologiocas.
Determinar el Nivel de Riesgo del Proceso de
Servicio Pronóstico y Alertas
Hidrometeorologicas.
Establecer el Sistema de Gestión de Seguridad de
Información OPTIMIZADO para el Servicio de
Pronósticos y Alertas Hidrometeorologicas.
21. II.- ENTORNO DE LA INVESTIGACION
2.8 Contribuciones de la Investigación
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
o Contribuirá al cumplimiento de los Objetivos y Metas del
Plan Estratégico Institucional
o Mejorará la calidad de los Servicios y Productos
o Asegurará la continuidad de las operaciones para la
atención de los Sistemas de Alerta Temprana.
o Cumplir con las leyes y normas gubernamentales
o Permitirá reducir los costos de operación.
o Crea ventaja competitiva para el SENAMHI.
o Mejorará la fidelidad de clientes de entidades públicas y
privadas.
o Nuevas oportunidades de prestación de servicios
o Será una fuente de consulta para la implementación del
ISO/IEC 27001:2005 en los Servicios Meteorológicos
Nacionales de otros países en desarrollo.
23. III.- FUNDAMENTO TEORICO
MARCO TEORICO - Metodologías de Análisis de Riesgo
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Análisis de Riesgo:
o Identificación de activos
o Valoración por activos los impacto de la pérdida de
confidencialidad, integridad o disponibilidad.
o Identificación de amenazas y vulnerabilidades para
los activos
BS 7799 – PARTE 3 : 2006
GUÍAS PARA LA GESTIÓN DE RIESGO DE SEGURIDAD DE LA INFORMACIÓN
Tratamiento de riesgos y decisiones de la Dirección:
o Determinación estratégica de gestión de los
riesgos ( Reducir, Aceptar, Transferir, Evitar)
o Evaluación del riesgo residual
o Definición del Plan de Tratamiento de riesgos
Actividades de gestión continua del riesgo:
o Mantenimiento , monitoreo, reevaluaciones de
riesgo, Auditorias, Acciones Preventivas y
correctivas, reportes )
Evaluación de riesgos:
o Calculo del Riesgos
o Evaluación de los riesgos
24. III.- FUNDAMENTO TEORICO
MARCO TEORICO - Metodologías de Análisis de Riesgo
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Se trata de una metodología abierta, de uso muy amplio en el ámbito español y
de uso obligatorio por parte de la administración pública Española.
MAGERIT está conformado por 03 Libros:
a).- Libro I: Métodos.- Es el volumen principal en él se explica detalladamente la
metodología.
b).- Libro II: Catálogo de Elementos.- Ofrece ítems estándar que facilita el
análisis, promoviendo una terminología y criterios homogéneos.
c).- Libro III: Guía de Técnicas.- describe técnicas utilizadas en análisis y
gestión de riesgos.
MAGERIT – Versión 3.0 - 2012
METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGO DE LOS SISTEMAS DE INFORMACIÓN
OCTAVE – OPERATIONALLY CRITICAL THREAT ASSET AND VULNERABILITY EVALUATION
• En OCTAVE los activos incluyen personas, hardware y
software, información y sistemas.
• Los activos se ordenan según la importancia
Tipos:
• OCTAVE: Original : Grandes organizaciones.
• OCTAVE-S: Pequeñas organizaciones.
• OCTAVE Allegro: Enfoque en los activos de información.
25. III.- FUNDAMENTO TEORICO
MARCO TEORICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
EL CICLO DE DEMING
• El ciclo de Deming, conocido como círculo PDCA (de Edwards Deming), es una
estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto
ideado por Walter A. Shewhart.
• Es muy utilizado por los Sistemas de Gestión de Calidad (SGC).
PLAN (Planificar)
• Se planifica para mejorar las operaciones,
• Se diseña las soluciones para la prueba
• Se establece objetivos
• Identificar proceso que se quiere mejorar.
• Recopilar datos para el conocimiento del proceso.
CHECK (Verificar)
• Se debe verificar que los pequeños
cambios realizados estén
consiguiendo los resultados
deseados.
• Verificar si con la prueba se han
producido las mejoras esperadas.
DO (Hacer)
• Implementar los nuevos cambio
diseñados a pequeña escala o
experimental.
• Se debe establecer una fecha para
ejecutar lo planeado.
ACT (Actuar)
• Con los resultados de Verificación se toma una
decisión:
• Si se han detectado errores parciales en el paso
anterior, realizar un nuevo ciclo PDCA con mejoras.
• Si el experimento es exitoso se debe aplicar a gran
escala las modificaciones de los procesos.
• Si se han detectado errores insalvables, abandonar
las modificaciones de los procesos.
26. III.- FUNDAMENTO TEORICO
MARCO TEORICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
ESTÁNDAR INTERNACIONAL ISO/IEC 27001:2005
La Organización Internacional para la Estandarización (ISO) y la Comisión Electrónica
Internacional (IEC) forma el ISO/IEC, Comité Técnico Conjunto preparar los Estándares
Internacionales
La publicación del estándar requiere la aprobación de por lo menos del 75% de los
organismos que emiten su voto.
Proporciona un modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).
Partes
Interesadas
Requerimientos
y expectativas de
la seguridad de
información
Partes
Interesadas
Seguridad de
Información
Manejada
Desarrollar,
mantener y
mejorar el
ciclo
Plan
ActuarHacer
Chequear
Establecer
el SGSI
Monitorear y
revisar
el SGSI
Implementar
y operar el
SGSI
Mantener y
mejorar el
SGSI
27. III.- FUNDAMENTO TEORICO
MARCO TEORICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
ESTÁNDAR INTERNACIONAL ISO/IEC 27001:2005
AMENAZAS:
Desastres naturales,
Siniestros,
Robos,
Sabotajes,
Ataques informáticos, Etc.
SEGURIDAD DE LA INFORMACION : Preservación de la Información y de los Sistemas que la Gestionan, en
sus 3 dimensiones : CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD
DISPONIBILIDAD
INFORMACION
Que la Información siempre se encuentre
disponible para los usuarios autorizados
SALVAGUARDAS:
Conjunto de controles,
Políticas
Procedimientos
Estructura Organizativa
Software y Hardware Especializado
11 Dominios
39 Objetivos de Control
133 Controles
28. III.- FUNDAMENTO TEORICO
MARCO TEORICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
29. El estándar define las estrategias de implementación para los 133 controles de seguridad
organizados bajo 11 dominios.
La norma RESALTA la importancia de la Gestión del Riesgo.
Deja claro que no es necesario aplicar cada parte, sino sólo aquellas que sean relevantes.
ESTÁNDARES INTERNACIONALES
ISO/IEC 27001:2005 : CERTIFICABLE
Sistemas de Gestión de Seguridad de la Información
ISO/IEC 27002:2005
Código de Práctica para la Gestión de la
Seguridad de la información
ESTÁNDAR PERUANO
Oficina Nacional de Gobierno Electrónico e
Informática
NTP-ISO/IEC 17799 : 2007
Código de Buenas Prácticas Para Gestión
de la Seguridad de La Información
III.- FUNDAMENTO TEORICO
MARCO TEORICO – Código de Buenas Prácticas
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
R.M Nº 246-2007-PCM, 22_08_2007
Artículo 1º.- Aprobar el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI Tecnología de la
Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2ªEdición”, en todas las Entidades
integrantes del Sistema Nacional de Informática.
30. III.- FUNDAMENTO TEORICO
MARCO TEORICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
COBIT : Modelos de Madurez
¿Qué está haciendo nuestra competencia y
cómo estamos posicionados en relación a
ellos?
COBIT es un marco de trabajo y un conjunto de
herramientas de Gobierno de Tecnología de Información
(TI)
COBIT ayuda a los ejecutivos a comprender y gestionar las
inversiones de TI.
04 Dominios 34 Procesos
COBIT : CONTROL OBJECT BISNESS INFORMATICION TECNOLOGY
31. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Contiene las metodologías que se utilizan para el desarrollo de la
presente tesis, considerando como base los objetivos específicos
del Proyecto.
MARCO METODOLOGICO
Encuestas para establecer el
Nivel de valoración del estándar
internacional ISO/IEC
27001:2005, basado en métodos
de cuestionarios semi-
estructurado.
Análisis del Proceso del
Servicio de Pronóstico y
Alertas Hidrometeorológicas,
basado en la Guía de
Identificación y Análisis de
Procesos.
Identificación de Controles
para el SGSI para el Servicio
de Pronostico y Alertas
Hidrometeorológicas,
basado en el estándar
internacional ISO/IEC
27001:2005
INICIO
SP2:
Transmisión
Datos
SP3:
Recepción y
Almacenamiento
Datos
SP4:
Procesamiento
de Datos
SP5: Análisis
de resultados
SP 6: Elaboración
de Pronósticos y
Alertas
SP1: Registro
y Recopilación
Datos
Recopilar Datos
de Estaciones
Automáticas
Recopilar Datos
Estaciones
Convencionales
Transmisión
Datos vía
Satelital
Transmisión
datos vía
Teléfono
Celular (RPM)
Decodificar y
almacenar
datos de
Estaciones
Automáticas
Recepcionar y
almacenar
datos de
Estación
Convencional
Transmisión
Imágenes
Satelitales vía
Satélite GOES
Transmisión
datos de
Modelos
Numéricos del
Tiempo
Globales
Vía Internet
Transmisión
datos de
Estaciones
Aeronáuticas
Vía Línea
AFTN
Decodificar y
almacenar
Imágenes
Satelitales
Almacenar
datos de
Modelos
Numéricos
Globales
del Tiempo
Decodificar y
almacenar
datos de
Estaciones
Aeronáuticas
Procesamiento
de datos de
Estaciones
Automáticas
Procesamiento
datos de
Estaciones
Convencionales
Procesamiento
de Imágenes
Satelitales
Procesamiento
de datos del
Modelo
Numéricos
ETA-SENAMHI
Procesamiento
datos de
Estaciones
Aeronáuticas
Análisis de
datos de
Estaciones
Automáticas
Análisis datos
de Estaciones
Convencionales
Análisis de
resultados de
Imágenes
Satelitales
Análisis
resultados
Modelo
Numéricos
ETA-SENAMHI
Análisis datos
de Estaciones
Aeronáuticas
Elaboración de
Pronostico del
Tiempo
Elaboración de
Alertas
Meteorológicas
Atención de
entrevistas a
medios de
comunicación
Radio - TV
Se Prevé
ocurrencia de Fenómeno
Meteorológico
Difusión
del
Pronostico
del Tiempo
WEB, e_mail
TV, Radio
Facebook
SI
NO
Difusión
De Alertas
WEB,
e_mail
TV, Radio
Facebook
FIN
SP7: Difusión
de Pronósticos
y Alertas
Observación
Meteorologica
Aeronáutica
Observación
Satelital -
NOAA
Salida
Modelos
Globales-
NOAA
Requerimiento
de Pronóstico,
Alerta y
Entrevista
DIAGRAMA DE FLUJO DEL PROCESO DEL SERVICIO DE PRONOSTICO Y ALERTAS METEOROLOGICAS
Análisis de Riesgo del Proceso
de Servicio de Pronóstico y
Alertas Hidrometeorológicas,
basado en las metodologías de
Análisis de Riesgo.
1
3
2
4
32. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
La investigación es descriptiva, con aproximación cuantitativa y una
estrategia basada en encuestas, usando el método de cuestionario semi-
estructurado.
Dirigido a Directivos y Especialista involucrados en el Proceso de
Servicio de Pronóstico
El trabajo operativo :
Diseño, Desarrollo, Validación, Distribución de la encuesta,
Recolección y Análisis de la Información
Para el diseño de la encuesta se utilizará una adaptación del diseño de la
encuesta realizada por Alipio Mariño Obregón en su Tesis de Maestría
(2010) con enfoque aplicada al estándar Internacional ISO/IEC 27001:2005.
El diseño preliminar de la encuesta fue adaptado por el investigador y
revisada por la Oficina de Estadística e Informática del SENAMHI.
Encuesta para establecer el Nivel de valoración del estándar
internacional ISO/IEC 27001:2005
33. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Las razones principales para elegir el tipo de
muestra son:
• El investigador trabaja en una de las OGEI,
por lo que existen condiciones necesarias
para la recopilación de información.
• La OGEI es la encargada de recepcionar,
almacenar y procesar la información
Hidrometeorológica.
Población: 120 trabajadores (Directivo y
Especialista) involucrados en el proceso de
Pronósticos Hidrometeorológicos a nivel
nacional
Muestra: 28 trabajadores (Directivos y
Especialista) involucrados en el proceso de
Servicio de Pronósticos, en la Sede Central
Unidad de Análisis: Trabajador involucrado
en el proceso de Servicio de Pronósticos y
Alertas Hidrometeorológicas
Localización Geográfica
Dependencias de la Sede Central del
SENAMHI involucradas en el Proceso del
Servicio de Pronóstico Hidrometeorológico.
34. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
OPERACIÓN DE VARIABLES
Variable : Valoración del SGSI por Directivos y Especialistas
Provee Valor Adicional (4): Este control es reconocido por el
encuestado, como que agrega valor a los procesos del Servicio de
Pronóstico, a través del incremento de la eficiencia de la seguridad.
Este control es requerido en toda la por política de seguridad, pero
aun no está complemente implementado.
Agrega poco o nada de valor (1): Es percibido por el
encuestado como que el Control tiene poco o ningún
impacto en las operaciones del Servicio de
Pronósticos.
Algo de Valor (2): El encuestados no conoce que tenga
algún valor, pero estima que provee algo de valor donde es
usado. Por lo tanto este control está siendo usado solo en
partes en la institución, aunque no en forma consiste.
Provee Valor (3): Es percibido por el encuestado como que El
control provee valor a la mayoría de las áreas del servicio de
pronóstico de la institución, pero pueda que no esté normalmente
reconocido o documentado.
Crítico para el éxito de la Institución (5): Este control es
reconocido por el encuestado como crítico y afecta directamente
la oportunidad y calidad del Servicio de Pronóstico y Alertas, y
está relacionado con el Plan Estratégico Institucional, la Política
de Seguridad y los requerimientos legales de cumplimiento.
35. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
36. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Para la identificación de los activos de información involucrados en el servicio de Pronóstico
Hidrometeorológico para su tratamiento mediante el SGSI es necesario identificar el proceso y sus
componentes, las actividades fueron:
PLAN DE TRABAJO.
CONSTITUCIÓN Y FORMACIÓN DEL GRUPO DE TRABAJO:
ELABORACIÓN DEL MAPA DE PROCESO
IDENTIFICACION DE LAS ACTIVIDADES
Análisis del Proceso del Servicio de Pronóstico y Alertas
Hidrometeorológicas, basado en la Guía de Identificación y
Análisis de Procesos.
4:
miento
atos
SP5: Análisis
de resultados
SP 6: Elaboración
de Pronósticos y
Alertas
amiento
os de
iones
áticas
amiento
s de
iones
cionales
amiento
genes
tales
amiento
os del
delo
éricos
NAMHI
amiento
s de
iones
áuticas
Análisis de
datos de
Estaciones
Automáticas
Análisis datos
de Estaciones
Convencionales
Análisis de
resultados de
Imágenes
Satelitales
Análisis
resultados
Modelo
Numéricos
ETA-SENAMHI
Análisis datos
de Estaciones
Aeronáuticas
Elaboración de
Pronostico del
Tiempo
Elaboración de
Alertas
Meteorológicas
Atención de
entrevistas a
medios de
comunicación
Radio - TV
Se Prevé
ocurrencia de Fenómeno
Meteorológico
Difusión
del
Pronostico
del Tiempo
WEB, e_mail
TV, Radio
Facebook
SI
NO
Difusión
De Alertas
WEB,
e_mail
TV, Radio
Facebook
FIN
SP7: Difusión
de Pronósticos
y Alertas
VICIO DE PRONOSTICO Y ALERTAS METEOROLOGICAS
37. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Procesos estratégicos.-Están
vinculados a procesos de la
dirección y, principalmente, a largo
plazo ligado a la visión del servicio,
unidad o centro.
Procesos operativos ó claves.-
Están ligados directamente con la
realización del producto o la
prestación del servicio, tienen un
mayor impacto sobre la satisfacción
del usuario.
Procesos de apoyo.-Proveen los
recursos que necesitan los demás
procesos.
El Proceso del Servicio de
Pronostico y Alertas es
considerado como un
proceso clave.
Mapa de Proceso
Diagrama de Flujo
38. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
ANALISIS DE RIESGO
PASOS 1: INVENTARIO DE ACTIVOS
Clasificación e Inventario de los Activos de Información del Proceso del Servicio de Pronóstico.
CLASIFICACION ACTIVOS PARA EL INVENTARIO
I: Activos de Información
I1 : Información en Almacenamiento Físico
I2 : Información en almacenamiento Lógico
F : Activos Físicos
F1 : Equipos de Procesamiento
F2 : Equipos de Comunicaciones
F3 : Equipos de Almacenaniento
F4 : Infraestructura Física
T : Activos de Servicio
T1 : Proveedores de servicios
T2 : Recursos Humanos
S : Activos de software
S1 : Software Comercial
S2 : Software desarrollado por terceros
S3 : Software de desarrollo propio
Análisis de Riesgo del Proceso de Servicio de Pronóstico y
Alertas Hidrometeorológicas, basado en las metodologías de
Análisis de Riesgo.
39. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
PASOS 2: CALCULO DEL NIVEL DE IMPACTO
Se realizará el análisis de activos de Información, en relación al nivel de participación en las actividades
establecidas en el proceso de Servicio de Pronostico, lo que permitirá estimar el Nivel de IMPACTO que
ocasionaría la vulnerabilidad de estos activo de Información.
Recopila Transmision Datos Recepcion Datos Procesamiento Datos Analisis de Datos Elaborar Difusion IMPACTO
COD NOMBRE A1 A2 A3 A4 A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 A18 A19 A20 A21 A22 A23 A24 A25 A26 A27 A28 % Participacion
ACTIVOS DE INFORMACION
Informacion impresa
Información en almacemiento Logico
ACTIVOS DE SOFTWARE
Software Comercial / Open Sourse
Software desarrollado a medida por terceros
Software de desarrollo propio
ACTIVOS DE FISICOS DE EQUIPOS
Equipos de procesamiento
Modelamiento numérico
Medios de almacenamiento Masivo
Equipos de Comunicaciones y Seguridad Informatica
Equipos de Computo Perifericos
Equipos de Infraestructura
Equipos de Observacion Meteorologica
ACTIVOS SERVICIO
Proveedores de servicios
Recursos Humanos
40. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
PASOS 3: CALCULO DEL NIVEL DE RIESGO
Para cada activo se identificará la amenaza mas resaltante y la frecuencia de posible ocurrencias.
RIESGO = IMPACTO x PROBABILIDAD
Para valorar el IMPACTO se considera:
MINIMO (1) : No afecta considerablemente.
MEDIO (2) : Afecta considerablemente
SERIO (3) : Afecta seriamente
CRITICO (4) : Afecta irreversiblemente
Para valorar la PROBALIDAD se considera:
MUY BAJA (1) : Probabilidad de ocurrencia cada 20 años
BAJA (2) : Probabilidad de ocurrencia cada 5 años
MEDIO (3) : Probabilidad de ocurrencia cada 1 año
ALTA (4) : Probabilidad de ocurrencia cada 1 mes
Para Construir la MATRIZ DE RIESGO se
considerará los niveles de Riesgo con los
siguientes valores:
Totalmente Tolerable (TT) Valores de 1 a 2:
Los Riesgos deben ser objeto de seguimiento por
el supervisor
Regularmente Tolerable (RT) Valores de 3 a 6:
Deben ser objeto de seguimiento y atención
Director General
No Tolerable (NT) Valores de 7 a 16:
Deben ser de objeto de conocimiento del Director
General y atención del Presidente Ejecutivo.
COD NOMBRE ACTIVO MAYOR AMENAZAS NOMBRE DEL RIESGO VULNERABILIDAD C I D PROBA IMPACTO RIESGO TOLERANCIA
¿Quién ocasiona el daño? ¿Que causa? ¿Porqué pasaría eso? (1 - 4) (1 - 4) P * I TT, RT, NT
ACTIVOS DE INFORMACION
Informacion impresa
Información en almacemiento Logico
ACTIVOS DE SOFTWARE
Software Comercial / Open Sourse
Software desarrollado a medida por terceros
Software de desarrollo propio
ACTIVOS DE FISICOS DE EQUIPOS
Equipos de procesamiento
Modelamiento numérico
Medios de almacenamiento Masivo
Equipos de Comunicaciones y Seguridad Informatica
Equipos de Computo Perifericos
Equipos de Infraestructura
41. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Cada organización es diferente, su requerimiento de seguridad de Información que se establezca
será de acuerdo a su naturaleza y su misión de la organización.
Una vez que los requisitos de seguridad se hayan identificado y las decisiones para el tratamiento de
riesgo han sido realizadas, se deberá elegir los controles que aseguren la reducción de los
riesgos a un nivel aceptable.
Los controles se elegirán a partir del código de buenas prácticas para la gestión de la Seguridad
de la Información establecidas por la NTP ISO/IEC 17799 y se incluirán algunos otros controles que
fueran necesarios.
La selección de los Dominios, Objetivos de Control y Controles necesarios para mitigar los Riesgos de
cada ACTIVO de Información se realizará para cada activo de información que se encuentra en
calificación de Regularmente Tolerable (RT) y No Tolerable (NT).
Identificación de Controles para el SGSI para el Servicio de
Pronostico y Alertas Hidrometeorológicas, basado en el
estándar internacional ISO/IEC 27001:2005
42. III.- FUNDAMENTO TEORICO
MARCO METODOLOGICO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Identificación de Controles para el SGSI para el Servicio de
Pronostico y Alertas Hidrometeorológicas, basado en el
estándar internacional ISO/IEC 27001:2005
Activo 1 ………………………… Activo N
CODIGO
NOMBRE ACTIVO …………………………..
MAYOR AMENAZAS (¿Quién ocasiona el daño?)
NOMBRE DEL RIESGO (¿Qué causa ?) ………………………………
…….VULNERABILIDAD (¿Porqué pasaría eso?) ………….
PROBABILIDAD
IMPACTO
RIESGO
TOLERANCIA
SELECCIÓN DE CONTROLES PARA MITIGACION DE RIESGOS
OBJETIVOS DE CONTROL DEL SGSI BASADO EN LA NORMA ISO/IEC 27001
5 POLITICA DE SEGURIDAD
5.1 POLITICA DE SEGURIDAD DE LA INFORMACION
5,1,1 Documento de Politica de seguridad de la informacion
5,1,2 Revision de la potica de seguridad de la informacion
6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION
6.1 ORGANIZACIÓN INTERNA
6,1,1 Compromiso de la Direccion con la seguridad de la informacion
6,1,2 Coordinacion de la seguridad de la informacion
6,1,3 Asignacion de responsabilidades para la seguridad de la informacion
6,1,7 Contacto con grupos de interes especial
6,1,8 Revision independiente de la seguridad de la informacion
6.2 TERCEROS
12,5,4 Fugas de informacion
12,5,5 Externalizacion del desarrollo de software - Desarrollo Externo
12.6 GESTION DE LA VULNERABILIDAD TECNICA
12,6,1 Control de las vulnerabilidad tecnica
13 GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
13.1 NOTIFICACION DE EVENTOS Y PUNTOS DEBILES DE LA SEGURIDAD DE LA INFORMACION
13,1,1 Notificacion de los eventos de seguridad de la informacion
13.2 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION Y MEJORAS
13,2,1 Responsabilidades y procedimientos
13,2,3 Recopilacion de evidencias
14 GESTION DE CONTINUIDAD DEL NEGOCIO
14.1 ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE LA CONTINUIDAD DEL NEGOCIO
14,1,1 Inclusion de la seguridad de la informacion en el proceso gestion de la continuidad del negocio
14,1,5 Pruebas, mantenimiento y reevaluacion de planes de continuidad
15 CUMPLIMIENTO
15.1 CUMPLIMIENTO DE LOAS REQUISITOS LEGALES
15,1,1 Identificacion de la legislacion aplicable
15,1,2 Derechos de propiedad Intelectual
15,1,3 Prfoteccion de los registros de la organización
15,1,4 Proteccion de datos y privacidad de la informacion personal
ACTIVOS
CON ANALISIS
DE RIESGO
NT Y RT
DOMINIOS Y 133
CONTROLES
DEL SGSI
ISO/IEC 27001
43. Una vez que se tenga consolidado los controles seleccionados se priorizarán para la
optimizar el SGSI para el servicio de Pronósticos y Alertas
CODIGO LOS ACTIVOS DEL PROCESO
DOMINIOSYCONTROLESDELSGSI
Los Controles seleccionados para el SGSI del
Proceso de Servicio de Pronóstico, serán los que
tienen el nivel de importancia de ALTA y
MEDIANA, con lo cual se logrará Optimizar los
Requerimientos de Controles para el Proceso.
+
-
45. IV.- DESARROLLO DE LA APLICACION
ANALISIS DE LOS RESULTADOS DE LA ENCUESTA – VALORACION DEL SGSI
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50 4.00 4.50 5.00
Politica de Seguridad
Aspectos Organizativos de la Seguirad de la Informacion
Gestion de Activos
Seguridad Ligada a los Recursos Humanos
Seguridad Fisica Ambiental
Gestion de Comunicaciones y Operaciones
Control de Acceso
Adquisicion, Desarrollo de Sistemas de Informacion
Gestion de Incidentes de Seguridad Informacion
Gestion de Continidad de Negocio
Cumplimiento
Nivel de Valoracion de la SGSI
11DominiosdelSGSI
Nivel de Valoracion del
Sistema de Gestion de Seguridad de la Informacion
Promedio = 4.07
« Provee Valor Adicional »
Al proceso del Servicio de
Pronósticos y Alertas
Dominios de la Norma ISO/IEC 27001:2005
Nivel
Valoración
Descripción del Nivel de Valoración
Política de Seguridad 3.98 Provee Valor Adicional
Aspectos Organizativos de la Seguridad de la Información 3.91 Provee Valor Adicional
Gestión de Activos 3.80 Provee Valor Adicional
Seguridad Ligada a los Recursos Humanos 3.93 Provee Valor Adicional
Seguridad Física Ambiental 4.61 Crítico para Éxito Institucional
Gestión de Comunicaciones y Operaciones 4.20 Provee Valor Adicional
Control de Acceso 4.01 Provee Valor Adicional
Adquisición, Desarrollo de Sistemas de Información 4.02 Provee Valor Adicional
Gestión de Incidentes de Seguridad Información 3.91 Provee Valor Adicional
Gestión de Continuidad de Negocio 4.32 Provee Valor Adicional
Cumplimiento 4.04 Provee Valor Adicional
PROMEDIO DE VALORACION 4.07 Provee Valor Adicional
1
2
3
4
PARCIPANTES:
28 trabajadores (5 Directivos y 23
Especialistas) involucrados en el
Proceso del Servicio de Pronóstico y
Alertas
LOS RESULTADOS
18% (5) SI tenían conocimiento de la
norma ISO/IEC 27001:2005 ó NTP
17999:2007 referidos al Sistema de
Gestión de la Seguridad de la
Información – SGSI.
82 % (23) NO tenían conocimiento del
estándar ISO/IEC 27001:2005 ó NTP
17999:2007 referidos al Sistema de
Gestión de la Seguridad de la
Información – SGSI.
Se estima que los trabajadores
apoyarán activamente durante la
implementación del SGSI.
1
2
3
46. IV.- DESARROLLO DE LA APLICACION
IDENTIFICACION Y ANALISIS DEL PROCESO DE PRONOSTICO Y ALERTAS
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
EL SENAMHI no cuenta con documento de Mapa de Proceso.
Para la Identificación del Proceso del Servicio de Pronóstico participaron:
01 Especialista en Pronósticos Meteorológico
01 Especialista en Sistemas
01 Especialista en Relaciones Publicas
01 Técnico Pronosticador
CARACTERISTICAS GENERALES DEL PROCESO:
a).-Objetivo del Proceso: Proveer Pronósticos y Alertas Hidrometeorológicas confiables y
oportunos, para la protección de la Vida, la propiedad y el desarrollo del país.
b).-Grupos de Interés del Proceso: Grupo de interés está formado por el Gobierno Central,
Gobiernos Regionales y Locales y entidades públicas, Empresas Privadas, Medios de
Comunicación y Público en General.
c).- Productos y Servicios Identificados: Son los Pronóstico del Tiempo, Alertas
Meteorológicas y Entrevista a los medios de comunicación.
ANALISIS DE PROCESOS
47. IV.- DESARROLLO DE LA APLICACION
IDENTIFICACION Y ANALISIS DEL PROCESO DE PRONOSTICO Y ALERTAS
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
d).- Sub_Procesos: Se identificaron 13 sub_procesos de los cuales 3 son Estratégicos, 7 son
Claves y 3 son de Apoyo.
Mapa de Proceso del Servicio de Pronóstico y Alertas Hidrometeorológicas
48. IV.- DESARROLLO DE LA APLICACION
IDENTIFICACION Y ANALISIS DEL PROCESO DE PRONOSTICO Y ALERTAS
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
INICIO
SP2:
Transmisión
Datos
SP3:
Recepción y
Almacenamiento
Datos
SP4:
Procesamiento
de Datos
SP5: Análisis
de resultados
SP 6: Elaboración
de Pronósticos y
Alertas
SP1: Registro
y Recopilación
Datos
Recopilar Datos
de Estaciones
Automáticas
Recopilar Datos
Estaciones
Convencionales
Transmisión
Datos vía
Satelital
Transmisión
datos vía
Teléfono
Celular (RPM)
Decodificar y
almacenar
datos de
Estaciones
Automáticas
Recepcionar y
almacenar
datos de
Estación
Convencional
Transmisión
Imágenes
Satelitales vía
Satélite GOES
Transmisión
datos de
Modelos
Numéricos del
Tiempo
Globales
Vía Internet
Transmisión
datos de
Estaciones
Aeronáuticas
Vía Línea
AFTN
Decodificar y
almacenar
Imágenes
Satelitales
Almacenar
datos de
Modelos
Numéricos
Globales
del Tiempo
Decodificar y
almacenar
datos de
Estaciones
Aeronáuticas
Procesamiento
de datos de
Estaciones
Automáticas
Procesamiento
datos de
Estaciones
Convencionales
Procesamiento
de Imágenes
Satelitales
Procesamiento
de datos del
Modelo
Numéricos
ETA-SENAMHI
Procesamiento
datos de
Estaciones
Aeronáuticas
Análisis de
datos de
Estaciones
Automáticas
Análisis datos
de Estaciones
Convencionales
Análisis de
resultados de
Imágenes
Satelitales
Análisis
resultados
Modelo
Numéricos
ETA-SENAMHI
Análisis datos
de Estaciones
Aeronáuticas
Elaboración de
Pronostico del
Tiempo
Elaboración de
Alertas
Meteorológicas
Atención de
entrevistas a
medios de
comunicación
Radio - TV
Se Prevé
ocurrencia de Fenómeno
Meteorológico
Difusión
del
Pronostico
del Tiempo
WEB, e_mail
TV, Radio
Facebook
SI
NO
Difusión
De Alertas
WEB,
e_mail
TV, Radio
Facebook
FIN
SP7: Difusión
de Pronósticos
y Alertas
Observación
Meteorologica
Aeronáutica
Observación
Satelital -
NOAA
Salida
Modelos
Globales-
NOAA
Requerimiento
de Pronóstico,
Alerta y
Entrevista
DIAGRAMA DE FLUJO DEL PROCESO DEL SERVICIO DE PRONOSTICO Y ALERTAS METEOROLOGICAS
Diagrama de Flujo
49. IV.- DESARROLLO DE LA APLICACION
IDENTIFICACION Y ANALISIS DEL PROCESO DE PRONOSTICO Y ALERTAS
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Productos
del Proceso
50. IV.- DESARROLLO DE LA APLICACION
IDENTIFICACION Y ANALISIS DEL PROCESO DE PRONOSTICO Y ALERTAS
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
51. IV.- DESARROLLO DE LA APLICACION
RESULTADOS DEL ANALISIS DE RIESGO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
Total de Activos : 77
Código ACTIVOS DE FISICOS DE EQUIPOS
Equipos de procesamiento
F1_01 Servidor de Base de Datos
F1_02 Servidor de WEB
F1_03 Servidor de Correo
F1_04 Servidor comunicaciones Estaciones Automaticas
F1_05 Servidor FTP Externo
F1_06 Servidor FTP Interno
F1_07 Servidor de Antivirus
F1_08 Worstations servicio Pronostico
F1_09 Workstation Receptor Satelital Dartcom
F1_10 Workstation Receptor Aeronautico _Messir
F1_11 Workstation Aeronatico GenPack
Modelamiento numérico
F1_12 Servidor de Modelo ETA
F1_13 Servidor de Modelo GFS
Medios de almacenamiento Masivo
F2_01 Servidor de Alcenamiento de Imágenes Satelitales
F2_02 Servidor de Almacenimiento Modelos Numericos
F2_03 Servidor de Almacenamiento Base de Datos
Equipos de Comunicaciones y Seguridad Informatica
F3_01 Router
F3_02 Servidores Firewalls
F3_03 Servidores DNS
F3_04 Servidor antispam
F3_05 Servidor Antivirus
F3_06 Switchs Principal
Equipos de Computo Perifericos
F4_01 Workstation Especialista Pronosticador
F4_02 Computadora Personal Tecnico Meteorologo
F4_03 Computadora Personal Admninistrador de Redes
F4_04 Computadora Especialista en Comunicaciones
F4_05 Computadora Personal Programador WEB
F4_06 Sistema de Multipantallas
Equipos de Infraestructura
F5_01 UPS del Data Center
F5_02 UPS del Centro de Pronosticos
F5_03 Sistema de aire Acondicionado
F5_04 Sistema de Alarma contra incendios
F5_05 Sistemas de Control de Acceso
Equipos de Observacion Meteorologica
F6_01 Estaciones Meteorologicas Convencionales
F6_02 Estaciones Meteorologicas Automaticas
F6_03 Estaciones Aeronaticas - CORPAC
F6_04 Satelite GOES
F6_05 Servidores FTP Modelos Glogales NOAA
Código ACTIVOS DE INFORMACION
Información impresa
I1_01 Rol de Servicio de Pronostico
I1_02 Plan de Contingencia Servicio Pronostico
Información en almacemiento Lógico
I2_01 Base de Datos Hidrometeorologicos
I2_02 Banco de Imágenes Satelitales
I2_03 Banco de Datos de Modelos Numericos
Código ACTIVOS DE SOFTWARE
Software Comercial / Open Sourse
S1_01 Sistema Operativo Servidores - Windows Server
S1_02 Sistema Operativo Servidores - Linux
S1_03 Sistema Operativo Computadoras - Windows
S1_04 Software de Modelo ETA-SENAMHI
S1_05 Software de Modelo GFS-SENAMHI
S1_06 Software de Base de Datos ORACLE
S1_07 Software de Desarrollo Web - PHP JAVA
S1_08 Software de Diseño Multimedia - Master Colleccion
S1_09 Software Receptor de Estacion Terrena - Meteonet
S1_10 Software Receptor Imagen Satelital - Dartcom
S1_11 Software Aeronatico Messir Vission
S1_12 Software Visualidor Modelos Wingrids
S1_13 Software Visualidor Modelos Grads
S1_14 Software Quantum GIS 1.8
S1_15 Software de correo electronico ZIMBRA
S1_16 Software Microsoft Ofimatica
S1_17 Software antivirus
Software desarrollado a medida por terceros
S2_01 Software Aeronatico GenPack
Software de desarrollo propio
S3_01 Sistema de WEB e Intranet Institucional
S3_02 Sistema Hidrometeorologico - SISMETHA
S3_03 Sistema Estadistico Meteorologico-SIEM
S3_04 Sistemas de scrips de comunicaciones FTP
Código ACTIVOS SERVICIO
Proveedores de servicios
T1_01 Servicio de Internet de Banda Ancha
T1_02 Servicio Eléctrico
T1_03 Servicio de Telefonía Fija
T1_04 Servicio de Telefonía Celular - RPM
Recursos Humanos
T2_01 Especialista Pronosticador
T2_02 Técnico Meteorólogo
T2_03 Especialista en Modelamiento Numérico
T2_04 Especialista en Ciencias de la Comunicación
T2_05 Especialista en Redes Informáticas
T2_06 Especialista en Base de Datos
T2_07 Especialista en Desarrollo WEB
T2_08 Técnicos Observadores Meteorológicos
INVENTARIO DE ACTIVOS
Activos necesarios para el
funcionamiento de las
actividades de los sub
procesos claves
52. IV.- DESARROLLO DE LA APLICACION
RESULTADOS DEL ANALISIS DE RIESGO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
NIVEL DE IMPACTO
Para determinar el nivel IMPACTO del activo de
información en el Proceso, se cuantifica el numero total
de participaciones del activo de información respecto al
total de las actividades del proceso, luego se calcula el
porcentaje (%) de participación del activo de
información respecto al total de actividades del proceso
y se multiplica por 4.
TA = Total de Actividades del Proceso
NPAP = Numero de Participación del Activo en el Proceso
IMPACTO = ( NPAP / TA ) x 4
RESULTADOS:
12 Activos : Nivel 3 SERIO « Afecta Seriamente»
23 Activos : Nivel 2 MEDIO « Afecta Considerablemente»
42 Activos : Nivel 1 MINIMO «No afecta Considerablemente»
INVENTARIO DE ACTIVOS DE INFORMACION - PARTICIPACION DE EN LAS ACTIVIDADES DE LOS SUB_PROCESOS DEL PRONOSTICO Y ALERTAS METEOROLOGICAS
Recopila Transmision Datos Recepcion Datos Procesamiento Datos Analisis de Datos Elaborar Difusion
COD NOMBRE A1 A2 A3 A4 A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 A18 A19 A20 A21 A22 A23 A24 A25 A26 A27 A28 TOTAL 100% IMPACTO
ACTIVOS DE INFORMACION
Informacion impresa
I1_01 Rol de Servicio de Pronostico 1 1 1 1 1 1 6 28 0.86
I1_02 Plan de Contingencia Servicio Pronostico 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
Información en almacemiento Logico
I2_01 Base de Datos Hidrometeorologicos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
I2_02 Banco de Imágenes Satelitales 1 1 1 1 1 1 6 28 0.86
I2_03 Banco de Datos de Modelos Numericos 1 1 1 1 1 1 6 28 0.86
ACTIVOS DE SOFTWARE
Software Comercial / Open Sourse
S1_01 Sistema Operativo Servidores - Windows Server 1 1 1 1 1 1 1 1 1 1 1 1 1 13 28 1.86
S1_02 Sistema Operativo Servidores - Linux 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 15 28 2.14
S1_03 Sistema Operativo Computadoras - Windows 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 18 28 2.57
S1_04 Software de Modelo ETA-SENAMHI 1 1 1 1 1 1 6 28 0.86
S1_05 Software de Modelo GFS-SENAMHI 1 1 1 1 1 1 6 28 0.86
S1_06 Software de Base de Datos ORACLE 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
S1_07 Software de Desarrollo Web - PHP JAVA 1 1 1 1 1 1 1 1 1 1 1 1 12 28 1.71
S1_08 Software de Diseño Multimedia - Master Colleccion 1 1 2 28 0.29
S1_09 Software Receptor de Estacion Terrena - Meteonet 1 1 1 1 1 5 28 0.71
S1_10 Software Receptor Imagen Satelital - Dartcom 1 1 1 1 1 1 6 28 0.86
S1_11 Software Aeronatico Messir Vission 1 1 1 1 1 1 6 28 0.86
S1_12 Software Visualidor Modelos Wingrids 1 1 1 1 1 5 28 0.71
S1_13 Software Visualidor Modelos Grads 1 1 1 1 1 5 28 0.71
S1_14 Software Quantum GIS 1.8 1 1 2 28 0.29
S1_15 Software de correo electronico ZIMBRA 1 1 1 3 28 0.43
S1_16 Software Microsoft Ofimatica 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 15 28 2.14
S1_17 Software antivirus 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 18 28 2.57
Software desarrollado a medida por terceros
S2_01 Software Aeronatico GenPack 1 1 1 1 1 1 6 28 0.86
Software de desarrollo propio
S3_01 Sistema de WEB e Intranet Institucional 1 1 1 1 1 1 1 1 1 1 1 1 1 1 14 28 2.00
S3_02 Sistema Hidrometeorologico - SISMETHA 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
S3_03 Sistema Estadistico Meteorologico-SIEM 1 1 1 1 1 1 1 1 1 9 28 1.29
S3_04 Sistemas de scrips de comunicaciones FTP 1 1 1 1 1 5 28 0.71
ACTIVOS DE FISICOS DE EQUIPOS
Equipos de procesamiento
F1_01 Servidor de Base de Datos 1 1 1 1 1 1 1 1 1 1 1 1 12 28 1.71
F1_02 Servidor de WEB 1 1 1 1 1 1 1 1 1 1 1 1 1 13 28 1.86
F1_03 Servidor de Correo 1 1 1 1 1 5 28 0.71
F1_04 Servidor comunicaciones Estaciones Automaticas 1 1 1 1 1 1 1 7 28 1.00
F1_05 Servidor FTP Externo 1 1 1 1 1 1 1 7 28 1.00
F1_06 Servidor FTP Interno 1 1 1 1 1 1 1 1 1 9 28 1.29
F1_07 Servidor de Antivirus 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 28 2.29
F1_08 Worstations servicio Pronostico 1 1 1 1 1 1 1 1 1 1 1 1 12 28 1.71
F1_09 Workstation Receptor Satelital Dartcom 1 1 1 1 1 1 1 1 1 9 28 1.29
F1_10 Workstation Receptor Aeronautico _Messir 1 1 1 1 1 5 28 0.71
F1_11 Workstation Aeronatico GenPack 1 1 1 1 1 1 1 7 28 1.00
Modelamiento numérico
F1_12 Servidor de Modelo ETA 1 1 1 1 1 1 6 28 0.86
F1_13 Servidor de Modelo GFS 1 1 1 1 1 1 6 28 0.86
Medios de almacenamiento Masivo
F2_01 Servidor de Alcenamiento de Imágenes Satelitales 1 1 1 1 1 1 6 28 0.86
F2_02 Servidor de Almacenimiento Modelos Numericos 1 1 1 1 1 1 6 28 0.86
F2_03 Servidor de Almacenamiento Base de Datos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
Equipos de Comunicaciones y Seguridad Informatica
F3_01 Router 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F3_02 Servidores Firewalls 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F3_03 Servidores DNS 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 19 28 2.71
F3_04 Servidor antispam 1 1 1 1 4 28 0.57
F3_05 Servidor Antivirus 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F3_06 Switchs Principal 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
Equipos de Computo Perifericos
F4_01 Workstation Especialista Pronosticador 1 1 1 1 1 1 1 1 1 1 1 1 1 13 28 1.86
F4_02 Computadora Personal Tecnico Meteorologo 1 1 1 1 1 1 1 1 1 1 1 1 1 1 14 28 2.00
F4_03 Computadora Personal Admninistrador de Redes 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 15 28 2.14
F4_04 Computadora Especialista en Comunicaciones 1 1 1 3 28 0.43
F4_05 Computadora Personal Programador WEB 1 1 1 1 1 1 6 28 0.86
F4_06 Sistema de Multipantallas 1 1 1 1 1 1 1 1 8 28 1.14
Equipos de Infraestructura
F5_01 UPS del Data Center 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F5_02 UPS del Centro de Pronosticos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 28 2.29
F5_03 Sistema de aire Acondicionado 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F5_04 Sistema de Alarma contra incendios 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
F5_05 Sistemas de Control de Acceso 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
Equipos de Observacion Meteorologica
F6_01 Estaciones Meteorologicas Convencionales 1 1 1 1 1 1 1 7 28 1.00
F6_02 Estaciones Meteorologicas Automaticas 1 1 1 1 1 1 1 1 8 28 1.14
F6_03 Estaciones Aeronaticas - CORPAC 1 1 1 1 1 1 1 7 28 1.00
F6_04 Satelite GOES 1 1 1 1 1 1 1 7 28 1.00
F6_05 Servidores FTP Modelos Glogales NOAA 1 1 1 1 1 1 1 7 28 1.00
ACTIVOS SERVICIO
Proveedores de servicios
T1_01 Servicio de Internet de Banda Ancha 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
T1_02 Servicio Electrico 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
T1_03 Servicio de Telefonia Fija 1 1 1 1 1 1 1 7 28 1.00
T1_04 Servicio de Telefonia Celular - RPM 1 1 1 1 1 1 1 1 1 1 1 11 28 1.57
Recursos Humanos
T2_01 Especialista Pronosticador 1 1 1 1 1 1 1 1 1 1 1 1 1 13 28 1.86
T2_02 Tecnico Meteorologo 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 28 2.29
T2_03 Especialista en Modelamiento Numerico 1 1 1 1 4 28 0.57
T2_04 Especialista en Ciencias de la Comunicación 1 1 1 3 28 0.43
T2_05 Especialista en Redes Informaticas 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
T2_06 Especialista en Base de Datos 1 1 1 1 1 1 1 1 8 28 1.14
T2_07 Especialista en Desarrollo WEB 1 1 1 1 1 1 6 28 0.86
T2_08 Tecnicos Observadores Meteorologicos 1 1 1 1 1 5 28 0.71
53. IV.- DESARROLLO DE LA APLICACION
RESULTADOS DEL ANALISIS DE RIESGO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
CALCULO DEL RIESGO TOTAL
Para determinar el riesgo de cada una de los activo del proceso de pronóstico
se determina la
Mayor Amenaza ¿Quien ocasiona el daño?,
Nombre del Riesgo ¿Qué causa?,
Vulnerabilidad ¿Por qué pasaría esto?
Se estima la PROBABILIDAD del 1 al 4
MUY BAJA (1) : Probabilidad de ocurrencia cada 20 años
BAJA (2) : Probabilidad de ocurrencia cada 5 años
MEDIO (3) : Probabilidad de ocurrencia cada 1 año
ALTA (4) : Probabilidad de ocurrencia cada 1 mes
RIESGO TOTAL = IMPACTO x PROBABILIDAD
RESULTADOS
20 Activos con valoración desde 7 al 16 NO TOLERABLE (NT)
36 Activos con valoración desde 3 al 6 REGULARMENTE TOLERABLE (RT)
21 Activos con valoración desde 1 al 2 TOTALMENTE TOLERABLE (TT)
COD NOMBRE ACTIVO MAYOR AMENAZAS NOMBRE DEL RIESGO VULNERABILIDAD CONF INTEG DISP PROBA IMPACTO RIESGO TOLERANCIA
¿Quién ocasiona el daño? ¿Que causa? ¿Porqué pasaría eso? (1 - 4) (1 - 4) P * I TT, RT, NT
ACTIVOS DE INFORMACION
Informacion impresa
I1_01 Rol de Servicio de Pronostico Falta de Gestion Administrativa Incertidumbre del Servicio Desinteres Responsable x 3 0.86 3 RT
I1_02 Plan de Contingencia Servicio de Pronostico Siniestro de Incendio Eliminacion del Plan Conti Sistema Contraincendio Obsoleto x x 2 2.86 6 RT
Información en almacemiento Logico
I2_01 Base de Datos Hidrometeorologicos Siniestros y sabotajes Perdida de la Base de Datos Falta de Contigencia y Backup x x 3 2.43 7 NT
I2_02 Banco de Imágenes Satelitales Siniestros y sabotajes Perdida del Banco de Imágenes Falta de Contigencia y Backup x x 2 0.86 2 TT
I2_03 Banco de Datos de Modelos Numericos Siniestros y sabotajes Perdida de Banco de Modelos NumericosFalta de Contigencia y Backup x x 2 0.86 2 TT
ACTIVOS DE SOFTWARE
Software Comercial / Open Sourse
S1_01 Sistema Operativo Servidores - Windows Server Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de presupuesto para renovacion licencia 3 1.86 6 RT
S1_02 Sistema Operativo Servidores - Linux Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de capacitacion x x 3 2.14 6 RT
S1_03 Sistema Operativo Computadoras - Windows Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de presupuesto para renovacion licencia x x 3 2.57 8 NT
S1_04 Software de Modelo ETA-SENAMHI Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x x 3 0.86 3 RT
S1_05 Software de Modelo GFS-SENAMHI Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x x 3 0.86 3 RT
S1_06 Software de Base de Datos ORACLE Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de presupuesto para renovacion licenciax x x 3 2.43 7 NT
S1_07 Software de Desarrollo Web - PHP JAVA Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de capacitacion x x 3 1.71 5 RT
S1_08 Software de Diseño Multimedia - Master Colleccion Desactualizacion de version softwareLimitacion de Produccion MultimediaFalta de presupuesto para renovacion licencia x 3 0.29 1 TT
S1_09 Software Receptor de Estacion Terrena - Meteonet Desactualizacion de version softwareInterrupcion de recepcion de datos Falta de presupuesto para renovacion licencia x x 3 0.71 2 TT
S1_10 Software Receptor Imagen Satelital - Dartcom Desactualizacion de version softwareEliminacion de Soporte Tecnico Falta de presupuesto para renovacion licencia x x 3 0.86 3 RT
S1_11 Software Aeronatico Messir Vission Desactualizacion de version softwareEliminacion de Soporte Tecnico Falta de presupuesto para renovacion licencia x x 3 0.86 3 RT
S1_12 Software Visualidor Modelos Wingrids Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x 3 0.71 2 TT
S1_13 Software Visualidor Modelos Grads Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x 3 0.71 2 TT
S1_14 Software Quantum GIS 1.8 Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x 3 0.29 1 TT
S1_15 Software de correo electronico ZIMBRA Desactualizacion de version softwareinoperatividad de software Falta de capacitacion x 3 0.43 1 TT
S1_16 Software Microsoft Ofimatica Desactualizacion de version softwareIncompatibilidad de archivos Falta de presupuesto para renovacion licenciax x x 3 2.14 6 RT
S1_17 Software antivirus Desactualizacion de version softwareAtaque de Virus red LAN Falta de presupuesto para renovacion licenciax x x 3 2.57 8 NT
Software desarrollado a medida por terceros
S2_01 Software Aeronatico GenPack Desactualizacion de version softwareIncompatibilidad con salida Modelos Falta de capacitacion x x 3 0.86 3 RT
Software de desarrollo propio
S3_01 Sistema de Portal WEB e Intranet Institucional Desmotivacion del webmaster Portal WEB e Intranet desactualizado Falta de liderzgo del Directivo x x x 4 2.00 8 NT
S3_02 Sistema Hidrometeorologico - SISMETHA Desmotivacion del desarrollador WEBSistema web SISMETHA desactualizadoFalta de liderzgo del Directivo x x x 4 2.43 10 NT
S3_03 Sistema Estadistico Meteorologico-SIEM Desmotivacion del desarrollador Sistema de Estadistico desactualizadoFalta de liderzgo del Directivo x x 3 1.29 4 RT
S3_04 Sistemas de scrips de comunicaciones FTP Desmotivacion del administrador ResSistema de transferencia de datos deficienteFalta de liderzgo del Directivo x x 3 0.71 2 TT
ACTIVOS DE FISICOS DE EQUIPOS
Equipos de procesamiento
F1_01 Servidor de Base de Datos Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 1.71 5 RT
F1_02 Servidor de WEB Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 1.86 6 RT
F1_03 Servidor de Correo Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.71 2 TT
F1_04 Servidor comunicaciones Estaciones Automaticas Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 1.00 3 RT
F1_05 Servidor FTP Externo Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 1.00 3 RT
F1_06 Servidor FTP Interno Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 1.29 4 RT
F1_07 Servidor de Antivirus Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.29 7 NT
F1_08 Worstations servicio Pronostico Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.71 3 RT
F1_09 Workstation Receptor Satelital Dartcom Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 1.29 4 RT
F1_10 Workstation Receptor Aeronautico _Messir Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.71 2 TT
F1_11 Workstation Aeronatico GenPack Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.00 2 TT
Modelamiento numérico
F1_12 Servidor de Modelo ETA Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.86 3 RT
F1_13 Servidor de Modelo GFS Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.86 3 RT
Medios de almacenamiento Masivo
F2_01 Servidor de Alcenamiento de Imágenes Satelitales Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.86 3 RT
F2_02 Servidor de Almacenimiento Modelos Numericos Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.86 3 RT
F2_03 Servidor de Almacenamiento Base de Datos Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 2.43 7 NT
Equipos de Comunicaciones y Seguridad Informatica
F3_01 Router Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.86 9 NT
F3_02 Servidores Firewalls Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.86 9 NT
F3_03 Servidores DNS Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.71 8 NT
F3_04 Servidor antispam Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 0.57 2 TT
F3_05 Servidor Antivirus Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.86 9 NT
F3_06 Switchs Principal Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.86 9 NT
Equipos de Computo Perifericos
F4_01 Workstation Especialista Pronosticador Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.86 4 RT
F4_02 Computadora Personal Tecnico Meteorologo Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 2.00 4 RT
F4_03 Computadora Personal Admninistrador de Redes Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 2.14 4 RT
F4_04 Computadora Especialista en Comunicaciones Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 0.43 1 TT
F4_05 Computadora Personal Programador WEB Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 0.86 2 TT
F4_06 Sistema de Multipantallas Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.14 2 TT
Equipos de Infraestructura
F5_01 UPS del Data Center Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 2.86 9 NT
F5_02 UPS del Centro de Pronosticos Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 2.29 5 RT
F5_03 Sistema de aire Acondicionado Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 2.86 6 RT
F5_04 Sistema de Alarma contra incendios Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 2.43 7 NT
F5_05 Sistemas de Control de Acceso Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 2.43 7 NT
Equipos de Observacion Meteorologica
F6_01 Estaciones Meteorologicas Convencionales Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.00 2 TT
F6_02 Estaciones Meteorologicas Automaticas Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.14 2 TT
F6_03 Estaciones Aeronaticas - CORPAC Corte de Transmision AFTN Falta de Datos Aeronauticos Termino de Convenio SENAMHI-CORPAC x x 3 1.00 3 RT
F6_04 Satelite GOES Corte de Transmision Satelital Falta de Imágenes satelitales Termino de Convenio SENAMHI-NOAA x x 3 1.00 3 RT
F6_05 Servidores FTP Modelos Glogales NOAA Corte de Transmision Modelos Falta de Datos de Modelos Globales Termino de Convenio SENAMHI-NOAA x x 3 1.00 3 RT
ACTIVOS SERVICIO
Proveedores de servicios
T1_01 Servicio de Internet de Banda Ancha Interrupcion del Servicio Internet Falta de comunicación WAN Averias en las Redes de Telecomunicacionesx x x 3 2.86 9 NT
T1_02 Servicio Electrico Interrupcion del Suministro ElectricoInoperatividad temporal de equipos Averias en las Redes Electricidad x x 3 2.86 9 NT
T1_03 Servicio de Telefonia Fija Interrupcion del Servicio Telefono Falta de comunicación Telefonica Averias en las Redes de Telecomunicaciones x x 3 1.00 3 RT
T1_04 Servicio de Telefonia Celular - RPM Interrupcion del comunicación MovilFalta de comunicación Movil Averias en las Redes de Telecomunicaciones x x 3 1.57 5 RT
Recursos Humanos
T2_01 Especialista Pronosticador Renuncia o Cese del Contrato Inestabilidad del Servicio Pronostico Bajos sueldos , inadecuado clima laboral x x 3 1.86 6 RT
T2_02 Tecnico Meteorologo Renuncia o Cese del Contrato Inestabilidad del Servicio Pronostico Bajos sueldos , inadecuado clima laboral x x 3 2.29 7 NT
T2_03 Especialista en Modelamiento Numerico Renuncia o Cese del Contrato Inestabilidad del Servicio Pronostico Bajos sueldos , inadecuado clima laboral x x 3 0.57 2 TT
T2_04 Especialista en Ciencias de la Comunicación Renuncia o Cese del Contrato Inestabilidad del Servicio de la DifusionBajos sueldos , inadecuado clima laboral x x 3 0.43 1 TT
T2_05 Especialista en Redes Informaticas Renuncia o Cese del Contrato Inestabilidad en soporte informatico Bajos sueldos , inadecuado clima laboral x x x 3 2.43 7 NT
T2_06 Especialista en Base de Datos Renuncia o Cese del Contrato Inestabilidad en Base de Datos Bajos sueldos , inadecuado clima laboral x x x 3 1.14 3 RT
T2_07 Especialista en Desarrollo WEB Renuncia o Cese del Contrato Desactualizacion de Portal WEB Bajos sueldos , inadecuado clima laboral x x x 3 0.86 3 RT
T2_08 Tecnicos Observadores Meteorologicos Renuncia o Cese del Contrato Inestabilidad al suministro de datos Bajos sueldos , inadecuado clima laboral x x 3 0.71 2 TT
54. IV.- DESARROLLO DE LA APLICACION
RESULTADOS DEL ANALISIS DE RIESGO
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
MATRIZ DE RIESGO
Se ubican el código de los activos en los
casilleros correspondiente de la Matriz, de
acuerdo a los valores del IMPACTO y
PROBABILIDAD.
El nivel de Riesgo Promedio es 4.33
calificado como Riesgo
REGULARMENTE TOLERABLE (RT)
55. IV.- DESARROLLO DE LA APLICACION
REQUISITOS DE SEGURIDAD Y SELECCIÓN DE CONTROLES PARA EL SGSI
Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
PRIORIZACION DE CONTROLES PARA
EL SGSI
Cada proceso es muy diferente a cualquier
otra y sus requerimiento de SGSI para el
Proceso deben ser priorizados y
personalizados.
RESUMEN DE ANALISIS DE RIESGO PARA CADA ACTIVO DE INFORMACION
CODIGO S3_02 F3_01 F3_02 F3_05 F3_06 F5_01 T1_02 T1_01 F3_03 S3_01 S1_03
NOMBRE ACTIVO Sistema Hidrometeorologico -
SISMETHA
Router Servidores Firewalls Servidor Antivirus Switchs Principal UPS del Data Center Servicio Electrico Servicio de Internet de Banda Ancha Servidores DNS Sistema de Portal WEB e Intranet
Institucional
Sistema Operativo Computadoras -
Windows
MAYOR AMENAZAS (¿Quién ocasiona el daño?) Sabotaje Informatico Obsolencia ydesgate de equipo Obsolencia ydesgate de equipo Obsolencia ydesgate de equipo Obsolencia ydesgate de equipo Obsolencia ydesgate de equipo Averias en las Redes Electricidad Averias en las Redes de
Telecomunicaciones
Obsolencia ydesgate de equipo Sabotaje Informatico Desactualizacion de version software
NOMBRE DEL RIESGO (¿Qué causa ?) Sistema web SISMETHAinoperativo perdida de perfomance ó inoperatividad perdida de perfomance ó inoperatividad Perdida de perfomance ó inoperatividad perdida de perfomance ó inoperatividad perdida de perfomance ó inoperatividad Inoperatividad temporal de equipos Falta de comunicación WAN perdida de perfomance ó
inoperatividad
Portal WEB e Intranet inoperativo Incompatibilidad de aplicaciones
VULNERABILIDAD (¿Porqué pasaría eso?) Defientes controles de Seguridad
Informatica
Falta de presupuesto para renovacion Falta de presupuesto para renovacion Falta de presupuesto para renovacion Falta de presupuesto para renovacion Falta de presupuesto para renovacion Saturacion ó falta de mantenimiento por
proveedor
Saturacion ó falta de mantenimiento
por proveedor
Falta de presupuesto para renovacion Defientes controles de Seguridad
Informatica
Falta de presupuesto para renovacion
licencia
PROBABILIDAD 4 3 3 3 3 3 3 3 3 4 3
IMPACTO 2.43 2.86 2.86 2.86 2.86 2.86 2.86 2.86 2.71 2.00 2.57
RIESGO 10 9 9 9 9 9 9 9 8 8 8
TOLERANCIA NT NT NT NT NT NT NT NT NT NT NT
SELECCIÓN DE CONTROLES PARAMITIGACION DE RIESGOS
OBJETIVOS DE CONTROL DEL SGSI BASADO EN LA NORMA ISO/IEC 27001
5 POLITICA DE SEGURIDAD
5.1 POLITICADE SEGURIDAD DE LAINFORMACION
5,1,1 Documento de Politica de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
5,1,2 Revision de la potica de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION
6.1 ORGANIZACIÓN INTERNA
6,1,1 Compromiso de la Direccion con la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
6,1,2 Coordinacion de la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
6,1,3 Asignacion de responsabilidades para la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
6,1,4 Procesos de autorizacion de recursos para el tratamiento de la informacion 1 1 1 1.00 1 1
6,1,5 Acuerdo de confidencialidad 1 1 1 1 1 1 1 1 1 1
6,1,6 Contacto con las autoridades 1 1
6,1,7 Contacto con grupos de interes especial
6,1,8 Revision independiente de la seguridad de la informacion
6.2 TERCEROS
6,2,1 Identificacion de riesgo por acceso de terceros - Externos 1 1 1 1 1 1 1 1 1
6,2,2 Tratamiento de la seguridad en la relacion con los clientes 1 1
6,2,3 Requisitos de seguridad en contratos con terceros
7 GESTION DE ACTIVOS
7.1 RESPONSABILIDAD SOBRE LOS ACTIVOS
7,1,1 Inventario de Activos 1 1 1 1 1 1 1 1 1 1 1
7,1,2 Propiedad de los activos 1 1 1 1 1 1 1 1 1 1 1
7,1,3 Uso aceptable de los activos 1 1 1 1 1 1 1 1 1 1 1
7.2 CLASIFICACION DE LAINFORMACION
7,2,1 Directrices de la Clasificacion
7,2,2 Etiquetado ymanipulacion de la informacion
8 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8.1 ANTES DE LACONTRATACIN
8,1,1 Funciones yresponsabilidad 1 1 1 1 1 1 1 1 1 1
8,1,2 Investigacion de antecedentes
8,1,3 Terminos ycondiciones de contrato 1 1 1 1 1 1 1 1 1 1
8.2 DURANTE LACONTRATACION
8,2,1 Responsabilidades de gestion 1 1 1 1 1 1 1 1 1 1
8,2,2 Concientizacion, educacion ycapacitacion en seguridad de la informacion 1 1 1 1 1 1 1 1 1 1
8,2,3 Proceso disciplinario 1 1 1 1 1 1 1 1 1 1
8.3 CESE O CAMBIO DE PUESTO DE TRABAJO
8,3,1 Responsabilidad del Cese o cambio
8,3,2 Devolucion de activos 1 1 1
8,3,3 Retirada de los derechos de acceso 1 1 1 1 1 1 1
9 SEGURIDAD FISICA Y AMBIENTAL
9.1 AREAS SEGURAS
9,1,1 Perimetro de seguridad fisica 1 1 1 1 1 1 1 1 1 1 1
9,1,2 Controles fisicos de entrada 1 1 1 1 1 1 1 1 1 1
9,1,3 Seguridad de oficinas, despachos yrecursos 1 1 1 1 1 1 1 1 1 1
9,1,4 Proteccion contra amenazas externas yambientales 1 1 1 1 1 1 1 1 1 1
9,1,5 El trabajo en areas seguras
9,1,6 Areas de acceso publico, carga ydescarga
9.2 SEGURIDAD DE LOS EQUIPOS
9,2,1 Emplazamiento yproteccion de equipos 1 1 1 1 1 1 1 1
9,2,2 Instalaciones ysuministro servicio publicos 1 1 1 1 1 1 1
9,2,3 Seguridad de cableado 1 1 1 1 1 1 1 1 1
9,2,4 Mantenimiento de los equipos 1 1 1 1 1 1 1 1 1
9,2,5 Seguridad de los equipos fuera de las instalaciones
9,2,6 Reutilización o eliminacion de equipos
9,2,7 Retirada de materiales de propiedad de la empresa
10 GESTION DE COMUNICACION Y OPERACIONES
10.1 RESPONSABILIDADES YPROCEDIMIENTOS DE OPERACIÓN
10,1,1 Documentacion de procedimientos de operación 1 1 1 1 1 1 1 1 1 1 1
10,1,2 Gestion de cambios 1 1 1 1 1 1 1 1 1
10,1,3 Segregacion de tareas 1 1 1 1 1 1 1
10,1,4 Separacion de los recursos de desarrollo, ensayo yproduccion 1 1 1 1
10.2 GESTION DE PROVISION DE SERVICIOS POR TERCEROS
10,2,1 Prestacion de Servicios 1 1 1 1 1
10,2,2 Supervision yrevision de los servicos prestados por terceros 1 1 1 1 1 1
10,2,3 Gestion de cambios en los servicios prestados por teceros 1 1 1
10.3 PLANIFICACION YACEPTACION DEL SISTEMA
10,3,1 Gestion de capacidades 1 1 1 1 1 1 1 1 1 1
10,3,2 Aceptacion del Sistema 1 1 1 1 1 1 1 1 1 1
10.4 PROTECCION CONTRACODIGO MALICIOSO YMOVIL
10,4,1 Controles contra el codigo malicioso 1 1 1 1 1
10,4,2 Controles contra codigos moviles
10.5 COPIAS DE SEGURIDAD - BACKUP
10,5,1 Copias de la seguridad de la informacion 1 1 1 1 1 1
10.6 GESTION DE LAS SEGURIDAD DE LAS REDES
10,6,1 Controles de Redes 1 1 1 1 1 1 1 1
10,6,2 Seguridad de los servicios de Red 1 1 1 1 1 1 1
10.7 MANEJO DE LOS SOPORTES - gestion de medios
10,7,1 Gestion de los soportes extraibles
10,7,2 Eliminacion de los soportes
10,7,3 Procedimientos de manejo de la informacion 1 1 1 1
10,7,4 Seguridad de la documentacion del sistema 1 1 1 1 1 1
10.8 INTERCAMBIO DE LAINFORMACION
10,8,1 Politicas yprocedimientos del intercambio de la informacion 1 1 1 1
10,8,2 acuerdos de intercambio 1 1
10,8,3 Soportes fisiscos en transito
10,8,4 Mensajeria electronica 1
10,8,5 Sistemas de informacion de empresas
10.9 SERVICIOS DE COMERCIO ELECTRONICO
10,9,1 Comercio electronico
10,9,2 Transacciones en linea
10,9,3 Informacion a disposicion publica 1 1
10,10 SUPERVISION - monitorizacion
10,10,1 Requisitos de auditorias 1 1 1 1 1 1 1 1 1 1 1
10,10,2 Supervision del uso del sistema 1 1 1 1 1 1 1 1 1
10,10,3 Proteccion de la informacion de registro
10,10,4 Registros de administracion yoperación 1 1 1 1 1 1 1 1 1 1 1
10,10,5 Registros de fallos 1 1 1 1 1 1 1 1 1 1 1
10,10,6 Sincronizacion de relojes
11 CONTROL DE ACCESO
11.1 REQUISITOS DE NEGOCIO PARAEL CONTROL DE ACCESOS
11,1,1 Politicas de Control de acceso 1 1 1 1 1 1 1 1 1 1 1
11.2 GESTION DE ACCESO DE USUARIO
11,2,1 Requisitos de usuario 1 1 1 1 1 1 1 1 1 1 1
11,2,2 Gestion de privilegios 1 1 1 1 1 1 1 1 1 1
11,2,3 Gestion de contraseña de usuarios 1 1 1 1 1 1 1 1 1 1
11,2,4 Revision de los derechos de acceso de los usuarios
11.3 RESPONSABILIDADES DEL USUARIO
11,3,1 Usos de contraseñas 1 1 1 1 1 1 1 1 1
11,3,2 Equipo informatica de uso desatendido
11,3,3 Politicas de puesto de trabajo despejado ybloqueo de pantallas
11.4 CONTROL DE ACCESO ALARED
11,4,1 Politicas de uso de las servicios de red 1 1 1 1 1 1 1 1 1 1
11,4,2 Autenticacion del usuario para conexiones externas 1 1 1 1 1 1 1 1 1 1
11,4,3 Identificacion de equipos en redes 1 1 1 1 1 1 1 1 1 1
11,4,4 Diagnostico remoto yproteccion de los puertos de configuracion 1 1 1 1 1 1 1 1 1 1
11,4,5 Segregacion en redes 1 1 1 1 1 1 1 1 1
11,4,6 Control de la conexión a red 1 1 1 1 1 1 1 1 1
11,4,7 Control de encaminamiento de red
11.5 CONTROL DE ACCESO AL SISTEMAOPERATIVO
11,5,1 Procedimientos seguros de inicio de sesion 1 1 1 1 1 1 1 1 1
11,5,2 identificacion yautenticacion de usuario 1 1 1 1 1 1 1 1 1
11,5,3 Sistema de gestion de contraseña
11,5,4 Uso de las utilidades del sistema
11,5,5 Desconexion automatica de sesiones terminales
11,5,6 Limitaciones de tiempo de conexión
11.6 CONTROL DE ACCESO ALAAPLICACIÓN YALAINFORMACION
11,6,1 Restricciones del acceso a informacion 1 1 1 1 1 1 1 1
11,6,2 Aislamiento de sistemas sensibles 1 1 1 1 1 1 1
11.7 ORDENADORES PORTATILES YTELETRABAJO
11,7,1 Ordendores portatiles ycomunicaciones moviles
11,7,2 Teletrabajo
12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION
12.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
12,1,1 Analisis yespecificacion de los requisitos de seguridad 1 1 1
12.2 PROCESAMIENTO CORRECTO EN LAAPLICACIONES
12,2,1 Validacion de los datos iniciales 1 1
12,2,2 Control del procesamiento interno 1 1
12,2,3 Autenticacion e integridad de los mensajes 1 1
12,2,4 Validacion de los datos de salida 1 1
12.3 CONTROLES CRIPTOGRAFICOS
12,3,1 Politica de uso de los controles criptograficos 1 1
12,3,2 Gestion de claves 1 1
12.4 SEGURIDAD DE LOS ARCHIVOS DE SISTEMA
12,4,1 Control del software en explotacion 1 1 1
12,4,2 Proteccion de los datos de prueba del sistema 1 1 1
12,4,3 Control de acceso al codigo fuente de los programas 1 1 1
12.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO YSOPORTE
12,5,1 Procedimientos de control de cambios 1 1 1
12,5,2 Revision tecnica de aplicaciones tras efectuar cambios en el sitema operativo
12,5,3 Restricciones a los cambios en los paquetes de software
12,5,4 Fugas de informacion 1
12,5,5 Externalizacion del desarrollo de software - Desarrollo Externo
12.6 GESTION DE LAVULNERABILIDAD TECNICA
12,6,1 Control de las vulnerabilidad tecnica 1 1
13 GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
13.1 NOTIFICACION DE EVENTOS YPUNTOS DEBILES DE LASEGURIDAD DE LAINFORMACION
13,1,1 Notificacion de los eventos de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
13,1,2 Notificacion de puntos debiles de la seguridad 1 1 1 1 1 1 1 1 1 1 1
13.2 GESTION DE INCIDENTES DE SEGURIDAD DE LAINFORMACION YMEJORAS
Se considero seleccionar los controles para:
20 Activos con Nivel de Riesgo No Tolerables ( NT)
36 Activos con nivel de Riesgo Regularmente Tolerable (RT).
Selección de controles o
salvaguardas necesarias del
ISO/IIEC 27001:2005
para cada uno de los Activos
Seleccionados para mitigar los
riesgos identificados.