Aplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas

Carrera Profesional de
Ingeniería de Sistemas
Autor: Bach. Juan Grover Ulloa Ninahuamán
Lima-Perú
2013
Sustentación de TESIS

Tesis: SGSI para el Servicio de Pronóstico y Alertas Hidrometeorológicas en el SENAMHI - Juan Ulloa
CONTENIDO
I. ASPECTOS GENERALES
 Diagnóstico Funcional y Estratégico de la Organización
II. ENTORNO DE LA INVESTIGACION
 Planteamiento del Problema
 Formulación del Problema
 Justificación
 Limitaciones
 Antecedentes de la Investigación
 Objetivo General y Objetivos Específicos
 Contribuciones de la Investigación
III. FUNDAMENTO TEORICO
 Marco Teórico, Conceptual y Metodológico
IV. DESARROLLO DE LA APLICACIÓN
 Resultados de la encuesta respecto a la valoración del SGSI
 El Proceso del Servicio de Pronóstico y Alertas Hidrometeorológicos
 Resultado del Análisis de Riesgo del Proceso
 Requerimientos de Seguridad de Información
 Análisis de Brecha del SGSI
 SGSI Optimizado para el Servicio de Pronósticos y Alertas Hidrometeorológicas
V. ANALISIS COSTO - BENEFICIO
CONCLUSIONES Y RECOMENDACIONES

I.- ASPECTO GENERALES
Diagnóstico Funcional de la Organización
Servicio Nacional de Meteorología e Hidrología del Perú-SENAMHI,
Entidad Pública Especializada, adscrita al Ministerio del Ambiente,
Miembro de la Organización Meteorológica Mundial - OMM
FUNCIONES:
 Organizar y operar la Red Nacional de Estaciones
Hidrometeorológicas.
 Centralizar y procesar la información Hidrometeorológica para su
análisis y aplicación por las entidades públicas y privadas.
 Administrar el Archivo Nacional de Información
Hidrometeorológica
 Realizar estudios e investigaciones hidrometeorológicas para el
desarrollo y defensa nacional.
 Asesorar y brindar el apoyo técnico en Hidrometeorología a las
entidades públicas y privadas.
 Representar al Perú ante la Organización Meteorológica Mundial.
SENAMHI
OMM : 193 Países Miembro
Ley N° 24031 25-Marzo-1969

ORGANIGRAMA FUNCIONAL
DIRECCION GENERAL
DE HIDROLOGIA
Y RECURSOS HIDRICOS
DIRECCION DE
METEOROLOGIA
SINOPTICA
DIRECCION GENERAL
DE
METEOROLOGIA
DIRECCION GENERAL DE
INVESTIGACION
Y ASUNTOS AMBIENTALES
DIRECCION GENERAL
DE
AGROMETEOROLOGIA
DIRECCION
DE
CLIMATOLOGIA
DIRECCION DE
METEOROLOGIA
APLICADA
DIRECCION DE
HIDROLOGIA
OPERATIVA
DIRECCION DE
HIDROLOGIA
APLICADA
DIRECCION DE
AGROMETEOROLOGIA
OPERATIVA
DIRECCION DE
AGROMETEOROLOGIA
APLICADA
DIRECCION DE
INVESTIGACION
CIENTIFICA
DIRECCION DE
PROYECTO DE
DESARROLLO
Y MEDIO AMBIENTE
OFICINA
GENERAL DE
ESTADISTICA E
INFORMATICA
OFICINA
GENERAL DE
OPERACIONES
TECNICAS
SECRETARIA
GENERAL
OFICINA GENERAL
DE
ADMINISTRACION
CENTRO
DE
CAPACITACION
OFICINA
DE SERVICIO
AL CLIENTE
OFICINA DE
PLANEAMIENTO
COORDINACION Y
CONTROL
OFICINA DE
MANTENIMIENTO
DE LA RED
NACIONAL
OFICINA
DE
ESTADISTICA
OFICINA
DE
INFORMATICA
OFICINA
DE
PERSONAL
OFICINA DE
CONTABILIDAD
Y TESORERIA
OFICINA
DE
COMUNICACION
E INFORMACION
OFICINA
DE
TRAMITE
DOCUMENTARIO
OFICINA DE
ABASTECIMIENTO
Y SERVICIOS
AUXILIARES
OFICINA DE
ASESORIA JURIDICA
OFICINA GENERAL
DE PRESUPUESTO
Y PLANIFICACION
OFICINA DE
RACIONALIZACION
OFICINA DE ASUNTOS
INTERNACIONALES
CONSEJO
DIRECTIVO
DR - 1
PIURA
DR - 2
LAMBAYEQUE
DR - 3
CAJAMARCA
DR - 4
LIMA
DR - 5
ICA
DR - 6
AREQUIPA
DR - 7
TACNA
DR - 8
LORETO
DR - 9
SAN MARTIN
DR - 10
HUANUCO
DR - 11
JUNIN
DR - 12
CUSCO
DR - 13
PUNO
ORGANOS DE APOYO
ORGANOS DE ASESORAMIENTO
ORGANOS DE LINEA
ORGANOS DESCONCENTRADOS
ORGANO DE CONTROL
ORGANO CONSULTIVO
ALTA DIRECCION
CONSEJO CONSULTIVOOFICINA DE AUDITORIA
INTERNA
PRESIDENTE EJECUTIVO

PRODUCTOS Y SERVICIOS:
 Pronósticos Meteorológicos e Hidrológicos de corto y mediano
plazo a nivel nacional y por cuencas.
 Alertas Meteorológicos e Hidrológicos
 Evaluación de fenómenos Hidrometeorológicos.
 Estudios Científicos y Técnicos Hidrometeorológicos
 Asistencia técnica a Gobiernos Regionales y Locales para
implementación de Sistemas de Prevención y Alerta Temprana.

Diagnóstico Estratégico de la Organización
•Fortalecer las capacidades de los recursos humanos.
•Mejorar infraestructura, equipamiento y herramientas
•Mejorar la difusión de la información hidrometeorológica y climática.
•Promover la cooperación técnica interinstitucional
OBJETIVOS TRANSVERSALES
Fortalece la
vigilancia
atmosférica
para la tomas
de decisiones.
Incrementar el
uso y cobertura
de la información
hidrometeorológi
ca para acciones
de prevención.
OBJETIVOS ESTRATEGICOS
Promover el
uso de
información
hidrometeoroló
gica para el
desarrollo
económico.
Incrementar el
conocimiento
del clima, agua,
y cambio
climático para
las medidas de
adaptación.
Proveer productos y servicios meteorológicos,
hidrológicos y climáticos confiables y oportunos
“La sociedad peruana toma decisiones oportunas basadas en la información
meteorológica, hidrológica y climática para su desarrollo sostenible”
VISION

II.- ENTORNO DE LA INVESTIGACION
2.1 Planteamiento del Problema
OMM : «Los Servicios Meteorológicos e
Hidrológicos Nacionales (SMHN) son los
ÚNICOS PORTAVOCES AUTORIZADOS para
emitir ALERTAS METEOROLOGICAS en los
países.
La Información es VITAL y debe estar
DISPONIBLE y COMPLETA
FENOMENOS HIDROMETEOROLOGICOS

La falta de un Servicio Meteorológico
Moderno , ha ocasionando que los
anuncios de Alerta Temprana no se
hayan realizado con la debida
anticipación.
FENOMENOS HIDROMETEOROLOGICOS y el SGSI
Daños Directos e Indirectos por sectores causados por el
fenómeno “El Niño” – Millones de dólares

• Estaciones Hidrometeorologicas
convencionales.
• La información histórica no se encontraba
disponible en una base de datos.
• Toda información almacenada en 1031 cintas
magnéticas se perdieron.
FENOMENOS HIDROMETEOROLOGICOS y la SGSI
PROYECTO “Mejoramiento de la Capacidad de
Pronóstico y Evaluación del Fenómeno El Niño
para la Prevención de y Mitigación de los
Desastres en el Perú ” - 6`526,352 Nuevos Soles
-55 Estaciones Automáticas
-01 Receptor Satelital
- 30 Radios HF
-01 Servicio Internet Línea dedicada
- 03 Radio Viento Sonda
- 10 Servidores, 05 Workstation y PCs
-Modelos Numéricos ETA, RAM, CCM3,
-Licencias de Software
- Recursos Humanos
El Proyecto, para RECUPERAR INFORMACION
contrató 20 digitadoras y 04 profesionales por 02
años, que ha significado un costo actualizado
solo en recursos humanos por 1’152,000 Nuevos
Soles”.

Planteamiento del Problema
ACTUAL

SERVICIO DE PRONOSTICO Y ALERTAS HIDROMETEOROLOGICAS
ACTIVOS DEL PROCESO DE PRONOSTICOS
I: Activos de Información
I1 : Información en Almacenamiento Físico
I2 : Información en almacenamiento Lógico
F : Activos Físicos
F1 : Equipos de Procesamiento
F2 : Equipos de Comunicaciones
F3 : Equipos de Almacenaniento
F4 : Infraestructura Física
T : Activos de Servicio
T1 : Proveedores de servicios
T2 : Recursos Humanos
S : Activos de software
S1 : Software Comercial
S2 : Software desarrollado por terceros
S3 : Software de desarrollo propio

EVENTOS QUE AFECTARON A LA SEGURIDAD DE LA INFORMACION
FECHA EVENTO CONSECUENCIA - COSTO EFECTO FINAL
1999 ELIMINACION DE 1031 CINTAS CON
INFORMACION HISTORICA POR ESTAR EN
ESTADO DE IRRECUPERABLE, POR SU
INADECUADO ALMACENAMIENTO
PERDIDA DE DATOS HISTORICOS
(S/. 1’152,000 N.S)
EFECTO A LA DISPONIBLIDAD E
INTEGRIDAD DE LOS DATOS HISTORICOS,
PARA EL SERVICIO DE PRONOSTICOS Y
ALERTAS
2008-2011 CORTES CONTINUOS DE ENERGIA
ELECTRICA, POR LA INSUFIENTE CARGA
ELECTRICA.
CORTES REPENTINOS DEL
SERVICIO Y DAÑOS FISICOS A
LOS EQUIPOS DE
PROCESAMIENTO
(S/. 115,000 N.S )
EFECTO A LA DISPONIBLIDAD DE LA
INFORMACION, PARA EL SERVICIO DE
PRONOSTICO Y ALERTAS
2011 SINIESTRO DE INCENDIO DE DATA
CENTER, CAUSADO POR UPS
CORTE PROLONGADO DEL
SERVICIO Y SEVEROS DAÑOS
FISICOS A LOS EQUIPOS DE
PROCESAMIENTO
(S/. 107,306 N.S )
EFECTO A LA DISPONIBLIDAD DE LA
INFORMACION, PARA EL SERVICIO DE
PRONOSTICO Y ALERTAS
AFECTO LA CONTINUIDAD DEL SERVICIO
DE PRONOSTICO 4 DIAS

Formulación del Problema – Justificación – Limitaciones
¿En qué medida la aplicación de un Sistema de Gestión de la
Seguridad de la Información basado en el Estándar Internacional
ISO/IEC 27001:2005 mejorará el nivel de servicio de Pronósticos y
Alertas Hidrometeorológicos del SENAMHI?
oEl problema expuesto es común en los SMHN de los países en
desarrollo como el Perú, que no se han solucionado por falta de
conocimiento de la Alta Dirección en SGSI, falta de recursos financieros
para su implementación y la falta de personal especializado.
oLa problemática es compleja y amplia que tiene muchas aristas y se
estima que con la aplicación de un SGSI, se podrá reducir los impactos
adversos.
oLa Tesis está enfocado a la aplicación de un SGSI, específicamente
para el Proceso de Servicio de Pronósticos y Alertas
Hidrometeorológicas para el SENAMHI.

2.5 Antecedentes de la Investigación
Título : Nacimiento del Sistema de Información de la OMM - SIO
Autor : GeoffLove
Director del Servicio Meteorológico de Australia y
Ex Presidente de la Comisión de Sistemas Básicos
Institución : Organización Meteorológica Mundial, 2006 .Nº 55
Los expertos de las comisiones técnicas mediante enfoque
integrado y sistémico establecieron los requerimientos de SIO:
 Debe ser fiable e Integro.
 Flexible y capaz de adaptarse a los cambios
 Existencia Perfiles y Políticas de acceso.
 La seguridad de los datos y las redes.
 La difusión puntual de datos y productos oportunos
7 Sistemas de Alerta Temprana - EFICACES - EFICIENTES
• El Programa de prevención de ciclones de Bangladesh
• El Sistema de Alerta temprana de ciclones tropicales de Cuba
• El Sistema de Vigilancia de Francia
• El Sistema de Gestión de Alertas de Alemania
• El Sistema de Alerta Temprana multirriesgos de Japón
• El Sistema de Alerta temprana multirriesgos de EE.UU
• El Programa de preparación ante emergencia de multirriesgo
de Shanghai.
Tendencia de las pérdidas económicas y de las pérdidas de vidas causadas por peligros naturales en los últimos decenios
PERDIDAS ECONOMICAS PERDIDAS VIDAS

Título : Factores inhibidores en la implementación de Sistemas de
Gestión de la Seguridad de la Información basado en la
NTP-ISO/IEC 17799 en la Administración Pública
Autor : Alipio Mariño Obregón
Institución : Universidad Nacional Mayor de San Marcos
Facultad de Ingeniería de Sistemas e Informática
País : Lima-Perú, 2010
Encuesta semi-estructurada en 16 Organismos Públicos
Descentralizados de la PCM a Gerentes de Sistemas de
cada institución;
Población: 576 Entidades del Sistema de Nacional de
Informática
Muestra: 16 Organismos Públicos Descentralizados de
la PCM
I. Sobre la valoración en la implementación de los
Dominios de Control de la Norma Técnica Peruana
NTP-ISO/IEC 17799
II. Sobre el Proceso de Implementación del Sistema de
Gestión de la Seguridad de la Información basado en la
Norma
III. Sobre el grado de influencia de los Factores
Críticos en la implementación de la Norma
Promedio de Valoración Norma = 3.6
RESULTADOS
“provee valor adicional»

RESULTADOS
Los Factores que mas dificultan
la implementación de la NORMA
Grado Madurez 07 Entidades = 3.99
Grado Madurez 16 Entidades = 0.88
1. Falta de capacitación y concientización al
personal
2. Falta de personal especializado en
Seguridad e Información
3. Presupuesto insuficiente o no asignado
4. Falta de entendimiento cabal sobre
Seguridad de la Información por parte de la
Dirección.

Título : Critical success factors and requirements for achieving Business benefits from Information Security
(Factores críticos de éxito y los requisitos para la obtención de beneficios de negocios
de Seguridad de la Información)
Autor : Alberto Partida, Jean-NoëlEzingeard
Institución : Henley Management College
País : Reino Unido, 2007
Encuesta a más de 80 profesionales de la seguridad de la información y expertos a nivel mundial,
en organizaciones que desarrollan prácticas de seguridad de la información en empresas.
Tipo Beneficio de la Seguridad de Información de acuerdo
%
Organizacional Valor incremental para los accionistas 62
Táctica Nuevas oportunidades de negocio 61
Estratégica Mejor gobierno (cumplimiento). 55
Táctica Fidelidad de los socios y clientes 55
Estratégica Reducción de los costos 54
Organizacional Ventaja competitiva 51
Estratégica Mejora la capacidad de financiación 44
Táctica Facilidad en la conformidad 40
Estratégica Incremento de las ventas 38
Táctica Mejora las operaciones 33
TRES beneficios más
comunes de la
Seguridad de la
Información

Aplicar un Sistema de
Gestión de la Seguridad de
la Información basado en el
estándar Internacional
ISO/IEC 27001:2005 para
mejorar el nivel de servicio
del Proceso de Servicio de
Pronósticos y Alertas
Hidrometeorológicas del
SENAMHI
Objetivo General y Objetivos Específicos
Determinar el nivel valoración del Sistema de
Gestión de la Seguridad de Información por los
Directivos y Pronosticadores del SENAMHI.
Identificar el Proceso del Servicio de Pronóstico y
Alertas Hidrometeorologiocas.
Determinar el Nivel de Riesgo del Proceso de
Servicio Pronóstico y Alertas
Hidrometeorologicas.
Establecer el Sistema de Gestión de Seguridad de
Información OPTIMIZADO para el Servicio de
Pronósticos y Alertas Hidrometeorologicas.

2.8 Contribuciones de la Investigación
o Contribuirá al cumplimiento de los Objetivos y Metas del
Plan Estratégico Institucional
o Mejorará la calidad de los Servicios y Productos
o Asegurará la continuidad de las operaciones para la
atención de los Sistemas de Alerta Temprana.
o Cumplir con las leyes y normas gubernamentales
o Permitirá reducir los costos de operación.
o Crea ventaja competitiva para el SENAMHI.
o Mejorará la fidelidad de clientes de entidades públicas y
privadas.
o Nuevas oportunidades de prestación de servicios
o Será una fuente de consulta para la implementación del
ISO/IEC 27001:2005 en los Servicios Meteorológicos
Nacionales de otros países en desarrollo.

III.- FUNDAMENTO TEORICO
MARCO TEORICO - Metodologías de Análisis de Riesgo
Análisis de Riesgo:
o Identificación de activos
o Valoración por activos los impacto de la pérdida de
confidencialidad, integridad o disponibilidad.
o Identificación de amenazas y vulnerabilidades para
los activos
BS 7799 – PARTE 3 : 2006
GUÍAS PARA LA GESTIÓN DE RIESGO DE SEGURIDAD DE LA INFORMACIÓN
Tratamiento de riesgos y decisiones de la Dirección:
o Determinación estratégica de gestión de los
riesgos ( Reducir, Aceptar, Transferir, Evitar)
o Evaluación del riesgo residual
o Definición del Plan de Tratamiento de riesgos
Actividades de gestión continua del riesgo:
o Mantenimiento , monitoreo, reevaluaciones de
riesgo, Auditorias, Acciones Preventivas y
correctivas, reportes )
Evaluación de riesgos:
o Calculo del Riesgos
o Evaluación de los riesgos

MARCO TEORICO - Metodologías de Análisis de Riesgo
Se trata de una metodología abierta, de uso muy amplio en el ámbito español y
de uso obligatorio por parte de la administración pública Española.
MAGERIT está conformado por 03 Libros:
a).- Libro I: Métodos.- Es el volumen principal en él se explica detalladamente la
metodología.
b).- Libro II: Catálogo de Elementos.- Ofrece ítems estándar que facilita el
análisis, promoviendo una terminología y criterios homogéneos.
c).- Libro III: Guía de Técnicas.- describe técnicas utilizadas en análisis y
gestión de riesgos.
MAGERIT – Versión 3.0 - 2012
METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGO DE LOS SISTEMAS DE INFORMACIÓN
OCTAVE – OPERATIONALLY CRITICAL THREAT ASSET AND VULNERABILITY EVALUATION
• En OCTAVE los activos incluyen personas, hardware y
software, información y sistemas.
• Los activos se ordenan según la importancia
Tipos:
• OCTAVE: Original : Grandes organizaciones.
• OCTAVE-S: Pequeñas organizaciones.
• OCTAVE Allegro: Enfoque en los activos de información.

MARCO TEORICO
EL CICLO DE DEMING
• El ciclo de Deming, conocido como círculo PDCA (de Edwards Deming), es una
estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto
ideado por Walter A. Shewhart.
• Es muy utilizado por los Sistemas de Gestión de Calidad (SGC).
PLAN (Planificar)
• Se planifica para mejorar las operaciones,
• Se diseña las soluciones para la prueba
• Se establece objetivos
• Identificar proceso que se quiere mejorar.
• Recopilar datos para el conocimiento del proceso.
CHECK (Verificar)
• Se debe verificar que los pequeños
cambios realizados estén
consiguiendo los resultados
deseados.
• Verificar si con la prueba se han
producido las mejoras esperadas.
DO (Hacer)
• Implementar los nuevos cambio
diseñados a pequeña escala o
experimental.
• Se debe establecer una fecha para
ejecutar lo planeado.
ACT (Actuar)
• Con los resultados de Verificación se toma una
decisión:
• Si se han detectado errores parciales en el paso
anterior, realizar un nuevo ciclo PDCA con mejoras.
• Si el experimento es exitoso se debe aplicar a gran
escala las modificaciones de los procesos.
• Si se han detectado errores insalvables, abandonar
las modificaciones de los procesos.

MARCO TEORICO
ESTÁNDAR INTERNACIONAL ISO/IEC 27001:2005
 La Organización Internacional para la Estandarización (ISO) y la Comisión Electrónica
Internacional (IEC) forma el ISO/IEC, Comité Técnico Conjunto preparar los Estándares
Internacionales
 La publicación del estándar requiere la aprobación de por lo menos del 75% de los
organismos que emiten su voto.
 Proporciona un modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).
Partes
Interesadas
Requerimientos
y expectativas de
la seguridad de
información
Partes
Interesadas
Seguridad de
Información
Manejada
Desarrollar,
mantener y
mejorar el
ciclo
Plan
ActuarHacer
Chequear
Establecer
el SGSI
Monitorear y
revisar
el SGSI
Implementar
y operar el
SGSI
Mantener y
mejorar el
SGSI

MARCO TEORICO
ESTÁNDAR INTERNACIONAL ISO/IEC 27001:2005
AMENAZAS:
Desastres naturales,
Siniestros,
Robos,
Sabotajes,
Ataques informáticos, Etc.
SEGURIDAD DE LA INFORMACION : Preservación de la Información y de los Sistemas que la Gestionan, en
sus 3 dimensiones : CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD
DISPONIBILIDAD
INFORMACION
Que la Información siempre se encuentre
disponible para los usuarios autorizados
SALVAGUARDAS:
Conjunto de controles,
Políticas
Procedimientos
Estructura Organizativa
Software y Hardware Especializado
11 Dominios
39 Objetivos de Control
133 Controles

MARCO TEORICO

El estándar define las estrategias de implementación para los 133 controles de seguridad
organizados bajo 11 dominios.
La norma RESALTA la importancia de la Gestión del Riesgo.
Deja claro que no es necesario aplicar cada parte, sino sólo aquellas que sean relevantes.
ESTÁNDARES INTERNACIONALES
ISO/IEC 27001:2005 : CERTIFICABLE
Sistemas de Gestión de Seguridad de la Información
ISO/IEC 27002:2005
Código de Práctica para la Gestión de la
Seguridad de la información
ESTÁNDAR PERUANO
Oficina Nacional de Gobierno Electrónico e
Informática
NTP-ISO/IEC 17799 : 2007
Código de Buenas Prácticas Para Gestión
de la Seguridad de La Información
MARCO TEORICO – Código de Buenas Prácticas
R.M Nº 246-2007-PCM, 22_08_2007
Artículo 1º.- Aprobar el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI Tecnología de la
Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2ªEdición”, en todas las Entidades
integrantes del Sistema Nacional de Informática.

MARCO TEORICO
COBIT : Modelos de Madurez
¿Qué está haciendo nuestra competencia y
cómo estamos posicionados en relación a
ellos?
 COBIT es un marco de trabajo y un conjunto de
herramientas de Gobierno de Tecnología de Información
(TI)
 COBIT ayuda a los ejecutivos a comprender y gestionar las
inversiones de TI.
04 Dominios 34 Procesos
COBIT : CONTROL OBJECT BISNESS INFORMATICION TECNOLOGY

MARCO METODOLOGICO
Contiene las metodologías que se utilizan para el desarrollo de la
presente tesis, considerando como base los objetivos específicos
del Proyecto.
MARCO METODOLOGICO
Encuestas para establecer el
Nivel de valoración del estándar
internacional ISO/IEC
27001:2005, basado en métodos
de cuestionarios semi-
estructurado.
Análisis del Proceso del
Servicio de Pronóstico y
Alertas Hidrometeorológicas,
basado en la Guía de
Identificación y Análisis de
Procesos.
Identificación de Controles
para el SGSI para el Servicio
de Pronostico y Alertas
Hidrometeorológicas,
basado en el estándar
internacional ISO/IEC
27001:2005
INICIO
SP2:
Transmisión
Datos
SP3:
Recepción y
Almacenamiento
Datos
SP4:
Procesamiento
de Datos
SP5: Análisis
de resultados
SP 6: Elaboración
de Pronósticos y
Alertas
SP1: Registro
y Recopilación
Datos
Recopilar Datos
de Estaciones
Automáticas
Recopilar Datos
Estaciones
Convencionales
Transmisión
Datos vía
Satelital
Transmisión
datos vía
Teléfono
Celular (RPM)
Decodificar y
almacenar
datos de
Estaciones
Automáticas
Recepcionar y
almacenar
datos de
Estación
Convencional
Transmisión
Imágenes
Satelitales vía
Satélite GOES
Transmisión
datos de
Modelos
Numéricos del
Tiempo
Globales
Vía Internet
Transmisión
datos de
Estaciones
Aeronáuticas
Vía Línea
AFTN
Decodificar y
almacenar
Imágenes
Satelitales
Almacenar
datos de
Modelos
Numéricos
Globales
del Tiempo
Decodificar y
almacenar
datos de
Estaciones
Aeronáuticas
Procesamiento
de datos de
Estaciones
Automáticas
Procesamiento
datos de
Estaciones
Convencionales
Procesamiento
de Imágenes
Satelitales
Procesamiento
de datos del
Modelo
Numéricos
ETA-SENAMHI
Procesamiento
datos de
Estaciones
Aeronáuticas
Análisis de
datos de
Estaciones
Automáticas
Análisis datos
de Estaciones
Convencionales
Análisis de
resultados de
Imágenes
Satelitales
Análisis
resultados
Modelo
Numéricos
ETA-SENAMHI
Análisis datos
de Estaciones
Aeronáuticas
Elaboración de
Pronostico del
Tiempo
Elaboración de
Alertas
Meteorológicas
Atención de
entrevistas a
medios de
comunicación
Radio - TV
Se Prevé
ocurrencia de Fenómeno
Meteorológico
Difusión
del
Pronostico
del Tiempo
WEB, e_mail
TV, Radio
Facebook
SI
NO
Difusión
De Alertas
WEB,
e_mail
TV, Radio
Facebook
FIN
SP7: Difusión
de Pronósticos
y Alertas
Observación
Meteorologica
Aeronáutica
Observación
Satelital -
NOAA
Salida
Modelos
Globales-
NOAA
Requerimiento
de Pronóstico,
Alerta y
Entrevista
DIAGRAMA DE FLUJO DEL PROCESO DEL SERVICIO DE PRONOSTICO Y ALERTAS METEOROLOGICAS
Análisis de Riesgo del Proceso
de Servicio de Pronóstico y
Alertas Hidrometeorológicas,
basado en las metodologías de
Análisis de Riesgo.
1
3
2
4

MARCO METODOLOGICO
La investigación es descriptiva, con aproximación cuantitativa y una
estrategia basada en encuestas, usando el método de cuestionario semi-
estructurado.
Dirigido a Directivos y Especialista involucrados en el Proceso de
Servicio de Pronóstico
El trabajo operativo :
Diseño, Desarrollo, Validación, Distribución de la encuesta,
Recolección y Análisis de la Información
Para el diseño de la encuesta se utilizará una adaptación del diseño de la
encuesta realizada por Alipio Mariño Obregón en su Tesis de Maestría
(2010) con enfoque aplicada al estándar Internacional ISO/IEC 27001:2005.
El diseño preliminar de la encuesta fue adaptado por el investigador y
revisada por la Oficina de Estadística e Informática del SENAMHI.
Encuesta para establecer el Nivel de valoración del estándar
internacional ISO/IEC 27001:2005

MARCO METODOLOGICO
Las razones principales para elegir el tipo de
muestra son:
• El investigador trabaja en una de las OGEI,
por lo que existen condiciones necesarias
para la recopilación de información.
• La OGEI es la encargada de recepcionar,
almacenar y procesar la información
Hidrometeorológica.
Población: 120 trabajadores (Directivo y
Especialista) involucrados en el proceso de
Pronósticos Hidrometeorológicos a nivel
nacional
Muestra: 28 trabajadores (Directivos y
Especialista) involucrados en el proceso de
Servicio de Pronósticos, en la Sede Central
Unidad de Análisis: Trabajador involucrado
en el proceso de Servicio de Pronósticos y
Alertas Hidrometeorológicas
Localización Geográfica
Dependencias de la Sede Central del
SENAMHI involucradas en el Proceso del
Servicio de Pronóstico Hidrometeorológico.

MARCO METODOLOGICO
OPERACIÓN DE VARIABLES
Variable : Valoración del SGSI por Directivos y Especialistas
Provee Valor Adicional (4): Este control es reconocido por el
encuestado, como que agrega valor a los procesos del Servicio de
Pronóstico, a través del incremento de la eficiencia de la seguridad.
Este control es requerido en toda la por política de seguridad, pero
aun no está complemente implementado.
Agrega poco o nada de valor (1): Es percibido por el
encuestado como que el Control tiene poco o ningún
impacto en las operaciones del Servicio de
Pronósticos.
Algo de Valor (2): El encuestados no conoce que tenga
algún valor, pero estima que provee algo de valor donde es
usado. Por lo tanto este control está siendo usado solo en
partes en la institución, aunque no en forma consiste.
Provee Valor (3): Es percibido por el encuestado como que El
control provee valor a la mayoría de las áreas del servicio de
pronóstico de la institución, pero pueda que no esté normalmente
reconocido o documentado.
Crítico para el éxito de la Institución (5): Este control es
reconocido por el encuestado como crítico y afecta directamente
la oportunidad y calidad del Servicio de Pronóstico y Alertas, y
está relacionado con el Plan Estratégico Institucional, la Política
de Seguridad y los requerimientos legales de cumplimiento.

MARCO METODOLOGICO

MARCO METODOLOGICO
Para la identificación de los activos de información involucrados en el servicio de Pronóstico
Hidrometeorológico para su tratamiento mediante el SGSI es necesario identificar el proceso y sus
componentes, las actividades fueron:
PLAN DE TRABAJO.
CONSTITUCIÓN Y FORMACIÓN DEL GRUPO DE TRABAJO:
ELABORACIÓN DEL MAPA DE PROCESO
IDENTIFICACION DE LAS ACTIVIDADES
Análisis del Proceso del Servicio de Pronóstico y Alertas
Hidrometeorológicas, basado en la Guía de Identificación y
Análisis de Procesos.
4:
miento
atos
SP5: Análisis
de resultados
SP 6: Elaboración
de Pronósticos y
Alertas
amiento
os de
iones
áticas
amiento
s de
iones
cionales
amiento
genes
tales
amiento
os del
delo
éricos
NAMHI
amiento
s de
iones
áuticas
Análisis de
datos de
Estaciones
Automáticas
Análisis datos
de Estaciones
Convencionales
Análisis de
resultados de
Imágenes
Satelitales
Análisis
resultados
Modelo
Numéricos
ETA-SENAMHI
Análisis datos
de Estaciones
Aeronáuticas
Elaboración de
Pronostico del
Tiempo
Elaboración de
Alertas
Meteorológicas
Atención de
entrevistas a
medios de
comunicación
Radio - TV
Se Prevé
Meteorológico
Difusión
del
Pronostico
del Tiempo
WEB, e_mail
TV, Radio
Facebook
SI
NO
Difusión
De Alertas
WEB,
e_mail
TV, Radio
Facebook
FIN
SP7: Difusión
de Pronósticos
y Alertas
VICIO DE PRONOSTICO Y ALERTAS METEOROLOGICAS

MARCO METODOLOGICO
Procesos estratégicos.-Están
vinculados a procesos de la
dirección y, principalmente, a largo
plazo ligado a la visión del servicio,
unidad o centro.
Procesos operativos ó claves.-
Están ligados directamente con la
realización del producto o la
prestación del servicio, tienen un
mayor impacto sobre la satisfacción
del usuario.
Procesos de apoyo.-Proveen los
recursos que necesitan los demás
procesos.
El Proceso del Servicio de
Pronostico y Alertas es
considerado como un
proceso clave.
Mapa de Proceso
Diagrama de Flujo

MARCO METODOLOGICO
ANALISIS DE RIESGO
PASOS 1: INVENTARIO DE ACTIVOS
Clasificación e Inventario de los Activos de Información del Proceso del Servicio de Pronóstico.
CLASIFICACION ACTIVOS PARA EL INVENTARIO
I: Activos de Información
I1 : Información en Almacenamiento Físico
I2 : Información en almacenamiento Lógico
F : Activos Físicos
F1 : Equipos de Procesamiento
F2 : Equipos de Comunicaciones
F3 : Equipos de Almacenaniento
F4 : Infraestructura Física
T : Activos de Servicio
T1 : Proveedores de servicios
T2 : Recursos Humanos
S : Activos de software
S1 : Software Comercial
S2 : Software desarrollado por terceros
S3 : Software de desarrollo propio
Análisis de Riesgo del Proceso de Servicio de Pronóstico y
Alertas Hidrometeorológicas, basado en las metodologías de
Análisis de Riesgo.

MARCO METODOLOGICO
PASOS 2: CALCULO DEL NIVEL DE IMPACTO
Se realizará el análisis de activos de Información, en relación al nivel de participación en las actividades
establecidas en el proceso de Servicio de Pronostico, lo que permitirá estimar el Nivel de IMPACTO que
ocasionaría la vulnerabilidad de estos activo de Información.
Recopila Transmision Datos Recepcion Datos Procesamiento Datos Analisis de Datos Elaborar Difusion IMPACTO
COD NOMBRE A1 A2 A3 A4 A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 A18 A19 A20 A21 A22 A23 A24 A25 A26 A27 A28 % Participacion
ACTIVOS DE INFORMACION
Informacion impresa
Información en almacemiento Logico
ACTIVOS DE SOFTWARE
Software Comercial / Open Sourse
Software desarrollado a medida por terceros
Software de desarrollo propio
ACTIVOS DE FISICOS DE EQUIPOS
Equipos de procesamiento
Modelamiento numérico
Medios de almacenamiento Masivo
Equipos de Comunicaciones y Seguridad Informatica
Equipos de Computo Perifericos
Equipos de Infraestructura
Equipos de Observacion Meteorologica
ACTIVOS SERVICIO
Proveedores de servicios
Recursos Humanos

MARCO METODOLOGICO
PASOS 3: CALCULO DEL NIVEL DE RIESGO
Para cada activo se identificará la amenaza mas resaltante y la frecuencia de posible ocurrencias.
RIESGO = IMPACTO x PROBABILIDAD
Para valorar el IMPACTO se considera:
MINIMO (1) : No afecta considerablemente.
MEDIO (2) : Afecta considerablemente
SERIO (3) : Afecta seriamente
CRITICO (4) : Afecta irreversiblemente
Para valorar la PROBALIDAD se considera:
MUY BAJA (1) : Probabilidad de ocurrencia cada 20 años
BAJA (2) : Probabilidad de ocurrencia cada 5 años
MEDIO (3) : Probabilidad de ocurrencia cada 1 año
ALTA (4) : Probabilidad de ocurrencia cada 1 mes
Para Construir la MATRIZ DE RIESGO se
considerará los niveles de Riesgo con los
siguientes valores:
Totalmente Tolerable (TT) Valores de 1 a 2:
Los Riesgos deben ser objeto de seguimiento por
el supervisor
Regularmente Tolerable (RT) Valores de 3 a 6:
Deben ser objeto de seguimiento y atención
Director General
No Tolerable (NT) Valores de 7 a 16:
Deben ser de objeto de conocimiento del Director
General y atención del Presidente Ejecutivo.
COD NOMBRE ACTIVO MAYOR AMENAZAS NOMBRE DEL RIESGO VULNERABILIDAD C I D PROBA IMPACTO RIESGO TOLERANCIA
¿Quién ocasiona el daño? ¿Que causa? ¿Porqué pasaría eso? (1 - 4) (1 - 4) P * I TT, RT, NT
Informacion impresa
ACTIVOS DE SOFTWARE

MARCO METODOLOGICO
Cada organización es diferente, su requerimiento de seguridad de Información que se establezca
será de acuerdo a su naturaleza y su misión de la organización.
Una vez que los requisitos de seguridad se hayan identificado y las decisiones para el tratamiento de
riesgo han sido realizadas, se deberá elegir los controles que aseguren la reducción de los
riesgos a un nivel aceptable.
Los controles se elegirán a partir del código de buenas prácticas para la gestión de la Seguridad
de la Información establecidas por la NTP ISO/IEC 17799 y se incluirán algunos otros controles que
fueran necesarios.
La selección de los Dominios, Objetivos de Control y Controles necesarios para mitigar los Riesgos de
cada ACTIVO de Información se realizará para cada activo de información que se encuentra en
calificación de Regularmente Tolerable (RT) y No Tolerable (NT).
Identificación de Controles para el SGSI para el Servicio de
Pronostico y Alertas Hidrometeorológicas, basado en el
estándar internacional ISO/IEC 27001:2005

MARCO METODOLOGICO
Identificación de Controles para el SGSI para el Servicio de
Pronostico y Alertas Hidrometeorológicas, basado en el
estándar internacional ISO/IEC 27001:2005
Activo 1 ………………………… Activo N
CODIGO
NOMBRE ACTIVO …………………………..
MAYOR AMENAZAS (¿Quién ocasiona el daño?)
NOMBRE DEL RIESGO (¿Qué causa ?) ………………………………
…….VULNERABILIDAD (¿Porqué pasaría eso?) ………….
PROBABILIDAD
IMPACTO
RIESGO
TOLERANCIA
SELECCIÓN DE CONTROLES PARA MITIGACION DE RIESGOS
OBJETIVOS DE CONTROL DEL SGSI BASADO EN LA NORMA ISO/IEC 27001
5 POLITICA DE SEGURIDAD
5.1 POLITICA DE SEGURIDAD DE LA INFORMACION
5,1,1 Documento de Politica de seguridad de la informacion
5,1,2 Revision de la potica de seguridad de la informacion
6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION
6.1 ORGANIZACIÓN INTERNA
6,1,1 Compromiso de la Direccion con la seguridad de la informacion
6,1,2 Coordinacion de la seguridad de la informacion
6,1,3 Asignacion de responsabilidades para la seguridad de la informacion
6,1,7 Contacto con grupos de interes especial
6,1,8 Revision independiente de la seguridad de la informacion
6.2 TERCEROS
12,5,4 Fugas de informacion
12,5,5 Externalizacion del desarrollo de software - Desarrollo Externo
12.6 GESTION DE LA VULNERABILIDAD TECNICA
12,6,1 Control de las vulnerabilidad tecnica
13 GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
13.1 NOTIFICACION DE EVENTOS Y PUNTOS DEBILES DE LA SEGURIDAD DE LA INFORMACION
13,1,1 Notificacion de los eventos de seguridad de la informacion
13.2 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION Y MEJORAS
13,2,1 Responsabilidades y procedimientos
13,2,3 Recopilacion de evidencias
14 GESTION DE CONTINUIDAD DEL NEGOCIO
14.1 ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE LA CONTINUIDAD DEL NEGOCIO
14,1,1 Inclusion de la seguridad de la informacion en el proceso gestion de la continuidad del negocio
14,1,5 Pruebas, mantenimiento y reevaluacion de planes de continuidad
15 CUMPLIMIENTO
15.1 CUMPLIMIENTO DE LOAS REQUISITOS LEGALES
15,1,1 Identificacion de la legislacion aplicable
15,1,2 Derechos de propiedad Intelectual
15,1,3 Prfoteccion de los registros de la organización
15,1,4 Proteccion de datos y privacidad de la informacion personal
ACTIVOS
CON ANALISIS
DE RIESGO
NT Y RT
DOMINIOS Y 133
CONTROLES
DEL SGSI
ISO/IEC 27001

Una vez que se tenga consolidado los controles seleccionados se priorizarán para la
optimizar el SGSI para el servicio de Pronósticos y Alertas
CODIGO LOS ACTIVOS DEL PROCESO
DOMINIOSYCONTROLESDELSGSI
Los Controles seleccionados para el SGSI del
Proceso de Servicio de Pronóstico, serán los que
tienen el nivel de importancia de ALTA y
MEDIANA, con lo cual se logrará Optimizar los
Requerimientos de Controles para el Proceso.
+
-

IV.- DESARROLLO DE LA APLICACION
ANALISIS DE LOS RESULTADOS DE LA ENCUESTA – VALORACION DEL SGSI
0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50 4.00 4.50 5.00
Politica de Seguridad
Aspectos Organizativos de la Seguirad de la Informacion
Gestion de Activos
Seguridad Ligada a los Recursos Humanos
Seguridad Fisica Ambiental
Gestion de Comunicaciones y Operaciones
Control de Acceso
Adquisicion, Desarrollo de Sistemas de Informacion
Gestion de Incidentes de Seguridad Informacion
Gestion de Continidad de Negocio
Cumplimiento
Nivel de Valoracion de la SGSI
11DominiosdelSGSI
Nivel de Valoracion del
Sistema de Gestion de Seguridad de la Informacion
Promedio = 4.07
« Provee Valor Adicional »
Al proceso del Servicio de
Pronósticos y Alertas
Dominios de la Norma ISO/IEC 27001:2005
Nivel
Valoración
Descripción del Nivel de Valoración
Política de Seguridad 3.98 Provee Valor Adicional
Aspectos Organizativos de la Seguridad de la Información 3.91 Provee Valor Adicional
Gestión de Activos 3.80 Provee Valor Adicional
Seguridad Ligada a los Recursos Humanos 3.93 Provee Valor Adicional
Seguridad Física Ambiental 4.61 Crítico para Éxito Institucional
Gestión de Comunicaciones y Operaciones 4.20 Provee Valor Adicional
Control de Acceso 4.01 Provee Valor Adicional
Adquisición, Desarrollo de Sistemas de Información 4.02 Provee Valor Adicional
Gestión de Incidentes de Seguridad Información 3.91 Provee Valor Adicional
Gestión de Continuidad de Negocio 4.32 Provee Valor Adicional
Cumplimiento 4.04 Provee Valor Adicional
PROMEDIO DE VALORACION 4.07 Provee Valor Adicional
1
2
3
4
PARCIPANTES:
28 trabajadores (5 Directivos y 23
Especialistas) involucrados en el
Proceso del Servicio de Pronóstico y
Alertas
LOS RESULTADOS
18% (5) SI tenían conocimiento de la
norma ISO/IEC 27001:2005 ó NTP
17999:2007 referidos al Sistema de
Gestión de la Seguridad de la
Información – SGSI.
82 % (23) NO tenían conocimiento del
estándar ISO/IEC 27001:2005 ó NTP
17999:2007 referidos al Sistema de
Gestión de la Seguridad de la
Información – SGSI.
Se estima que los trabajadores
apoyarán activamente durante la
implementación del SGSI.
1
2
3

IDENTIFICACION Y ANALISIS DEL PROCESO DE PRONOSTICO Y ALERTAS
EL SENAMHI no cuenta con documento de Mapa de Proceso.
Para la Identificación del Proceso del Servicio de Pronóstico participaron:
01 Especialista en Pronósticos Meteorológico
01 Especialista en Sistemas
01 Especialista en Relaciones Publicas
01 Técnico Pronosticador
CARACTERISTICAS GENERALES DEL PROCESO:
a).-Objetivo del Proceso: Proveer Pronósticos y Alertas Hidrometeorológicas confiables y
oportunos, para la protección de la Vida, la propiedad y el desarrollo del país.
b).-Grupos de Interés del Proceso: Grupo de interés está formado por el Gobierno Central,
Gobiernos Regionales y Locales y entidades públicas, Empresas Privadas, Medios de
Comunicación y Público en General.
c).- Productos y Servicios Identificados: Son los Pronóstico del Tiempo, Alertas
Meteorológicas y Entrevista a los medios de comunicación.
ANALISIS DE PROCESOS

d).- Sub_Procesos: Se identificaron 13 sub_procesos de los cuales 3 son Estratégicos, 7 son
Claves y 3 son de Apoyo.
Mapa de Proceso del Servicio de Pronóstico y Alertas Hidrometeorológicas

INICIO
SP2:
Transmisión
Datos
SP3:
Recepción y
Almacenamiento
Datos
SP4:
Procesamiento
de Datos
SP5: Análisis
de resultados
SP 6: Elaboración
de Pronósticos y
Alertas
SP1: Registro
y Recopilación
Datos
Recopilar Datos
de Estaciones
Automáticas
Recopilar Datos
Estaciones
Convencionales
Transmisión
Datos vía
Satelital
Transmisión
datos vía
Teléfono
Celular (RPM)
Decodificar y
almacenar
datos de
Estaciones
Automáticas
Recepcionar y
almacenar
datos de
Estación
Convencional
Transmisión
Imágenes
Satelitales vía
Satélite GOES
Transmisión
datos de
Modelos
Numéricos del
Tiempo
Globales
Vía Internet
Transmisión
datos de
Estaciones
Aeronáuticas
Vía Línea
AFTN
Decodificar y
almacenar
Imágenes
Satelitales
Almacenar
datos de
Modelos
Numéricos
Globales
del Tiempo
Decodificar y
almacenar
datos de
Estaciones
Aeronáuticas
Procesamiento
de datos de
Estaciones
Automáticas
Procesamiento
datos de
Estaciones
Convencionales
Procesamiento
de Imágenes
Satelitales
Procesamiento
de datos del
Modelo
Numéricos
ETA-SENAMHI
Procesamiento
datos de
Estaciones
Aeronáuticas
Análisis de
datos de
Estaciones
Automáticas
Análisis datos
de Estaciones
Convencionales
Análisis de
resultados de
Imágenes
Satelitales
Análisis
resultados
Modelo
Numéricos
ETA-SENAMHI
Análisis datos
de Estaciones
Aeronáuticas
Elaboración de
Pronostico del
Tiempo
Elaboración de
Alertas
Meteorológicas
Atención de
entrevistas a
medios de
comunicación
Radio - TV
Se Prevé
Meteorológico
Difusión
del
Pronostico
del Tiempo
WEB, e_mail
TV, Radio
Facebook
SI
NO
Difusión
De Alertas
WEB,
e_mail
TV, Radio
Facebook
FIN
SP7: Difusión
de Pronósticos
y Alertas
Observación
Meteorologica
Aeronáutica
Observación
Satelital -
NOAA
Salida
Modelos
Globales-
NOAA
Requerimiento
de Pronóstico,
Alerta y
Entrevista
DIAGRAMA DE FLUJO DEL PROCESO DEL SERVICIO DE PRONOSTICO Y ALERTAS METEOROLOGICAS
Diagrama de Flujo

Productos
del Proceso

RESULTADOS DEL ANALISIS DE RIESGO
Total de Activos : 77
Código ACTIVOS DE FISICOS DE EQUIPOS
F1_01 Servidor de Base de Datos
F1_02 Servidor de WEB
F1_03 Servidor de Correo
F1_04 Servidor comunicaciones Estaciones Automaticas
F1_05 Servidor FTP Externo
F1_06 Servidor FTP Interno
F1_07 Servidor de Antivirus
F1_08 Worstations servicio Pronostico
F1_09 Workstation Receptor Satelital Dartcom
F1_10 Workstation Receptor Aeronautico _Messir
F1_11 Workstation Aeronatico GenPack
F1_12 Servidor de Modelo ETA
F1_13 Servidor de Modelo GFS
F2_01 Servidor de Alcenamiento de Imágenes Satelitales
F2_02 Servidor de Almacenimiento Modelos Numericos
F2_03 Servidor de Almacenamiento Base de Datos
F3_01 Router
F3_02 Servidores Firewalls
F3_03 Servidores DNS
F3_04 Servidor antispam
F3_05 Servidor Antivirus
F3_06 Switchs Principal
F4_01 Workstation Especialista Pronosticador
F4_02 Computadora Personal Tecnico Meteorologo
F4_03 Computadora Personal Admninistrador de Redes
F4_04 Computadora Especialista en Comunicaciones
F4_05 Computadora Personal Programador WEB
F4_06 Sistema de Multipantallas
F5_01 UPS del Data Center
F5_02 UPS del Centro de Pronosticos
F5_03 Sistema de aire Acondicionado
F5_04 Sistema de Alarma contra incendios
F5_05 Sistemas de Control de Acceso
F6_01 Estaciones Meteorologicas Convencionales
F6_02 Estaciones Meteorologicas Automaticas
F6_03 Estaciones Aeronaticas - CORPAC
F6_04 Satelite GOES
F6_05 Servidores FTP Modelos Glogales NOAA
Código ACTIVOS DE INFORMACION
Información impresa
I1_01 Rol de Servicio de Pronostico
I1_02 Plan de Contingencia Servicio Pronostico
Información en almacemiento Lógico
I2_01 Base de Datos Hidrometeorologicos
I2_02 Banco de Imágenes Satelitales
I2_03 Banco de Datos de Modelos Numericos
Código ACTIVOS DE SOFTWARE
S1_01 Sistema Operativo Servidores - Windows Server
S1_02 Sistema Operativo Servidores - Linux
S1_03 Sistema Operativo Computadoras - Windows
S1_04 Software de Modelo ETA-SENAMHI
S1_05 Software de Modelo GFS-SENAMHI
S1_06 Software de Base de Datos ORACLE
S1_07 Software de Desarrollo Web - PHP JAVA
S1_08 Software de Diseño Multimedia - Master Colleccion
S1_09 Software Receptor de Estacion Terrena - Meteonet
S1_10 Software Receptor Imagen Satelital - Dartcom
S1_11 Software Aeronatico Messir Vission
S1_12 Software Visualidor Modelos Wingrids
S1_13 Software Visualidor Modelos Grads
S1_14 Software Quantum GIS 1.8
S1_15 Software de correo electronico ZIMBRA
S1_16 Software Microsoft Ofimatica
S1_17 Software antivirus
S2_01 Software Aeronatico GenPack
S3_01 Sistema de WEB e Intranet Institucional
S3_02 Sistema Hidrometeorologico - SISMETHA
S3_03 Sistema Estadistico Meteorologico-SIEM
S3_04 Sistemas de scrips de comunicaciones FTP
Código ACTIVOS SERVICIO
T1_01 Servicio de Internet de Banda Ancha
T1_02 Servicio Eléctrico
T1_03 Servicio de Telefonía Fija
T1_04 Servicio de Telefonía Celular - RPM
Recursos Humanos
T2_01 Especialista Pronosticador
T2_02 Técnico Meteorólogo
T2_03 Especialista en Modelamiento Numérico
T2_04 Especialista en Ciencias de la Comunicación
T2_05 Especialista en Redes Informáticas
T2_06 Especialista en Base de Datos
T2_07 Especialista en Desarrollo WEB
T2_08 Técnicos Observadores Meteorológicos
INVENTARIO DE ACTIVOS
Activos necesarios para el
funcionamiento de las
actividades de los sub
procesos claves

NIVEL DE IMPACTO
Para determinar el nivel IMPACTO del activo de
información en el Proceso, se cuantifica el numero total
de participaciones del activo de información respecto al
total de las actividades del proceso, luego se calcula el
porcentaje (%) de participación del activo de
información respecto al total de actividades del proceso
y se multiplica por 4.
TA = Total de Actividades del Proceso
NPAP = Numero de Participación del Activo en el Proceso
IMPACTO = ( NPAP / TA ) x 4
RESULTADOS:
12 Activos : Nivel 3 SERIO « Afecta Seriamente»
23 Activos : Nivel 2 MEDIO « Afecta Considerablemente»
42 Activos : Nivel 1 MINIMO «No afecta Considerablemente»
INVENTARIO DE ACTIVOS DE INFORMACION - PARTICIPACION DE EN LAS ACTIVIDADES DE LOS SUB_PROCESOS DEL PRONOSTICO Y ALERTAS METEOROLOGICAS
Recopila Transmision Datos Recepcion Datos Procesamiento Datos Analisis de Datos Elaborar Difusion
COD NOMBRE A1 A2 A3 A4 A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 A18 A19 A20 A21 A22 A23 A24 A25 A26 A27 A28 TOTAL 100% IMPACTO
Informacion impresa
I1_01 Rol de Servicio de Pronostico 1 1 1 1 1 1 6 28 0.86
I1_02 Plan de Contingencia Servicio Pronostico 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
I2_01 Base de Datos Hidrometeorologicos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
I2_02 Banco de Imágenes Satelitales 1 1 1 1 1 1 6 28 0.86
I2_03 Banco de Datos de Modelos Numericos 1 1 1 1 1 1 6 28 0.86
ACTIVOS DE SOFTWARE
S1_01 Sistema Operativo Servidores - Windows Server 1 1 1 1 1 1 1 1 1 1 1 1 1 13 28 1.86
S1_02 Sistema Operativo Servidores - Linux 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 15 28 2.14
S1_03 Sistema Operativo Computadoras - Windows 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 18 28 2.57
S1_04 Software de Modelo ETA-SENAMHI 1 1 1 1 1 1 6 28 0.86
S1_05 Software de Modelo GFS-SENAMHI 1 1 1 1 1 1 6 28 0.86
S1_06 Software de Base de Datos ORACLE 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
S1_07 Software de Desarrollo Web - PHP JAVA 1 1 1 1 1 1 1 1 1 1 1 1 12 28 1.71
S1_08 Software de Diseño Multimedia - Master Colleccion 1 1 2 28 0.29
S1_09 Software Receptor de Estacion Terrena - Meteonet 1 1 1 1 1 5 28 0.71
S1_10 Software Receptor Imagen Satelital - Dartcom 1 1 1 1 1 1 6 28 0.86
S1_11 Software Aeronatico Messir Vission 1 1 1 1 1 1 6 28 0.86
S1_12 Software Visualidor Modelos Wingrids 1 1 1 1 1 5 28 0.71
S1_13 Software Visualidor Modelos Grads 1 1 1 1 1 5 28 0.71
S1_14 Software Quantum GIS 1.8 1 1 2 28 0.29
S1_15 Software de correo electronico ZIMBRA 1 1 1 3 28 0.43
S1_16 Software Microsoft Ofimatica 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 15 28 2.14
S1_17 Software antivirus 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 18 28 2.57
S2_01 Software Aeronatico GenPack 1 1 1 1 1 1 6 28 0.86
S3_01 Sistema de WEB e Intranet Institucional 1 1 1 1 1 1 1 1 1 1 1 1 1 1 14 28 2.00
S3_02 Sistema Hidrometeorologico - SISMETHA 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
S3_03 Sistema Estadistico Meteorologico-SIEM 1 1 1 1 1 1 1 1 1 9 28 1.29
S3_04 Sistemas de scrips de comunicaciones FTP 1 1 1 1 1 5 28 0.71
F1_01 Servidor de Base de Datos 1 1 1 1 1 1 1 1 1 1 1 1 12 28 1.71
F1_02 Servidor de WEB 1 1 1 1 1 1 1 1 1 1 1 1 1 13 28 1.86
F1_03 Servidor de Correo 1 1 1 1 1 5 28 0.71
F1_04 Servidor comunicaciones Estaciones Automaticas 1 1 1 1 1 1 1 7 28 1.00
F1_05 Servidor FTP Externo 1 1 1 1 1 1 1 7 28 1.00
F1_06 Servidor FTP Interno 1 1 1 1 1 1 1 1 1 9 28 1.29
F1_07 Servidor de Antivirus 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 28 2.29
F1_08 Worstations servicio Pronostico 1 1 1 1 1 1 1 1 1 1 1 1 12 28 1.71
F1_09 Workstation Receptor Satelital Dartcom 1 1 1 1 1 1 1 1 1 9 28 1.29
F1_10 Workstation Receptor Aeronautico _Messir 1 1 1 1 1 5 28 0.71
F1_11 Workstation Aeronatico GenPack 1 1 1 1 1 1 1 7 28 1.00
F1_12 Servidor de Modelo ETA 1 1 1 1 1 1 6 28 0.86
F1_13 Servidor de Modelo GFS 1 1 1 1 1 1 6 28 0.86
F2_01 Servidor de Alcenamiento de Imágenes Satelitales 1 1 1 1 1 1 6 28 0.86
F2_02 Servidor de Almacenimiento Modelos Numericos 1 1 1 1 1 1 6 28 0.86
F2_03 Servidor de Almacenamiento Base de Datos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
F3_01 Router 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F3_02 Servidores Firewalls 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F3_03 Servidores DNS 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 19 28 2.71
F3_04 Servidor antispam 1 1 1 1 4 28 0.57
F3_05 Servidor Antivirus 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F3_06 Switchs Principal 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F4_01 Workstation Especialista Pronosticador 1 1 1 1 1 1 1 1 1 1 1 1 1 13 28 1.86
F4_02 Computadora Personal Tecnico Meteorologo 1 1 1 1 1 1 1 1 1 1 1 1 1 1 14 28 2.00
F4_03 Computadora Personal Admninistrador de Redes 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 15 28 2.14
F4_04 Computadora Especialista en Comunicaciones 1 1 1 3 28 0.43
F4_05 Computadora Personal Programador WEB 1 1 1 1 1 1 6 28 0.86
F4_06 Sistema de Multipantallas 1 1 1 1 1 1 1 1 8 28 1.14
F5_01 UPS del Data Center 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F5_02 UPS del Centro de Pronosticos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 28 2.29
F5_03 Sistema de aire Acondicionado 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
F5_04 Sistema de Alarma contra incendios 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
F5_05 Sistemas de Control de Acceso 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
F6_01 Estaciones Meteorologicas Convencionales 1 1 1 1 1 1 1 7 28 1.00
F6_02 Estaciones Meteorologicas Automaticas 1 1 1 1 1 1 1 1 8 28 1.14
F6_03 Estaciones Aeronaticas - CORPAC 1 1 1 1 1 1 1 7 28 1.00
F6_04 Satelite GOES 1 1 1 1 1 1 1 7 28 1.00
F6_05 Servidores FTP Modelos Glogales NOAA 1 1 1 1 1 1 1 7 28 1.00
ACTIVOS SERVICIO
T1_01 Servicio de Internet de Banda Ancha 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
T1_02 Servicio Electrico 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 28 2.86
T1_03 Servicio de Telefonia Fija 1 1 1 1 1 1 1 7 28 1.00
T1_04 Servicio de Telefonia Celular - RPM 1 1 1 1 1 1 1 1 1 1 1 11 28 1.57
Recursos Humanos
T2_01 Especialista Pronosticador 1 1 1 1 1 1 1 1 1 1 1 1 1 13 28 1.86
T2_02 Tecnico Meteorologo 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 28 2.29
T2_03 Especialista en Modelamiento Numerico 1 1 1 1 4 28 0.57
T2_04 Especialista en Ciencias de la Comunicación 1 1 1 3 28 0.43
T2_05 Especialista en Redes Informaticas 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 17 28 2.43
T2_06 Especialista en Base de Datos 1 1 1 1 1 1 1 1 8 28 1.14
T2_07 Especialista en Desarrollo WEB 1 1 1 1 1 1 6 28 0.86
T2_08 Tecnicos Observadores Meteorologicos 1 1 1 1 1 5 28 0.71

CALCULO DEL RIESGO TOTAL
Para determinar el riesgo de cada una de los activo del proceso de pronóstico
se determina la
Mayor Amenaza ¿Quien ocasiona el daño?,
Nombre del Riesgo ¿Qué causa?,
Vulnerabilidad ¿Por qué pasaría esto?
Se estima la PROBABILIDAD del 1 al 4
MUY BAJA (1) : Probabilidad de ocurrencia cada 20 años
BAJA (2) : Probabilidad de ocurrencia cada 5 años
MEDIO (3) : Probabilidad de ocurrencia cada 1 año
ALTA (4) : Probabilidad de ocurrencia cada 1 mes
RIESGO TOTAL = IMPACTO x PROBABILIDAD
RESULTADOS
20 Activos con valoración desde 7 al 16 NO TOLERABLE (NT)
36 Activos con valoración desde 3 al 6 REGULARMENTE TOLERABLE (RT)
21 Activos con valoración desde 1 al 2 TOTALMENTE TOLERABLE (TT)
COD NOMBRE ACTIVO MAYOR AMENAZAS NOMBRE DEL RIESGO VULNERABILIDAD CONF INTEG DISP PROBA IMPACTO RIESGO TOLERANCIA
¿Quién ocasiona el daño? ¿Que causa? ¿Porqué pasaría eso? (1 - 4) (1 - 4) P * I TT, RT, NT
Informacion impresa
I1_01 Rol de Servicio de Pronostico Falta de Gestion Administrativa Incertidumbre del Servicio Desinteres Responsable x 3 0.86 3 RT
I1_02 Plan de Contingencia Servicio de Pronostico Siniestro de Incendio Eliminacion del Plan Conti Sistema Contraincendio Obsoleto x x 2 2.86 6 RT
I2_01 Base de Datos Hidrometeorologicos Siniestros y sabotajes Perdida de la Base de Datos Falta de Contigencia y Backup x x 3 2.43 7 NT
I2_02 Banco de Imágenes Satelitales Siniestros y sabotajes Perdida del Banco de Imágenes Falta de Contigencia y Backup x x 2 0.86 2 TT
I2_03 Banco de Datos de Modelos Numericos Siniestros y sabotajes Perdida de Banco de Modelos NumericosFalta de Contigencia y Backup x x 2 0.86 2 TT
ACTIVOS DE SOFTWARE
S1_01 Sistema Operativo Servidores - Windows Server Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de presupuesto para renovacion licencia 3 1.86 6 RT
S1_02 Sistema Operativo Servidores - Linux Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de capacitacion x x 3 2.14 6 RT
S1_03 Sistema Operativo Computadoras - Windows Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de presupuesto para renovacion licencia x x 3 2.57 8 NT
S1_04 Software de Modelo ETA-SENAMHI Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x x 3 0.86 3 RT
S1_05 Software de Modelo GFS-SENAMHI Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x x 3 0.86 3 RT
S1_06 Software de Base de Datos ORACLE Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de presupuesto para renovacion licenciax x x 3 2.43 7 NT
S1_07 Software de Desarrollo Web - PHP JAVA Desactualizacion de version softwareIncompatibilidad de aplicaciones Falta de capacitacion x x 3 1.71 5 RT
S1_08 Software de Diseño Multimedia - Master Colleccion Desactualizacion de version softwareLimitacion de Produccion MultimediaFalta de presupuesto para renovacion licencia x 3 0.29 1 TT
S1_09 Software Receptor de Estacion Terrena - Meteonet Desactualizacion de version softwareInterrupcion de recepcion de datos Falta de presupuesto para renovacion licencia x x 3 0.71 2 TT
S1_10 Software Receptor Imagen Satelital - Dartcom Desactualizacion de version softwareEliminacion de Soporte Tecnico Falta de presupuesto para renovacion licencia x x 3 0.86 3 RT
S1_11 Software Aeronatico Messir Vission Desactualizacion de version softwareEliminacion de Soporte Tecnico Falta de presupuesto para renovacion licencia x x 3 0.86 3 RT
S1_12 Software Visualidor Modelos Wingrids Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x 3 0.71 2 TT
S1_13 Software Visualidor Modelos Grads Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x 3 0.71 2 TT
S1_14 Software Quantum GIS 1.8 Desactualizacion de version softwareIncompatibilidad de modelos Falta de capacitacion x 3 0.29 1 TT
S1_15 Software de correo electronico ZIMBRA Desactualizacion de version softwareinoperatividad de software Falta de capacitacion x 3 0.43 1 TT
S1_16 Software Microsoft Ofimatica Desactualizacion de version softwareIncompatibilidad de archivos Falta de presupuesto para renovacion licenciax x x 3 2.14 6 RT
S1_17 Software antivirus Desactualizacion de version softwareAtaque de Virus red LAN Falta de presupuesto para renovacion licenciax x x 3 2.57 8 NT
S2_01 Software Aeronatico GenPack Desactualizacion de version softwareIncompatibilidad con salida Modelos Falta de capacitacion x x 3 0.86 3 RT
S3_01 Sistema de Portal WEB e Intranet Institucional Desmotivacion del webmaster Portal WEB e Intranet desactualizado Falta de liderzgo del Directivo x x x 4 2.00 8 NT
S3_02 Sistema Hidrometeorologico - SISMETHA Desmotivacion del desarrollador WEBSistema web SISMETHA desactualizadoFalta de liderzgo del Directivo x x x 4 2.43 10 NT
S3_03 Sistema Estadistico Meteorologico-SIEM Desmotivacion del desarrollador Sistema de Estadistico desactualizadoFalta de liderzgo del Directivo x x 3 1.29 4 RT
S3_04 Sistemas de scrips de comunicaciones FTP Desmotivacion del administrador ResSistema de transferencia de datos deficienteFalta de liderzgo del Directivo x x 3 0.71 2 TT
F1_01 Servidor de Base de Datos Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 1.71 5 RT
F1_02 Servidor de WEB Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 1.86 6 RT
F1_03 Servidor de Correo Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.71 2 TT
F1_04 Servidor comunicaciones Estaciones Automaticas Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 1.00 3 RT
F1_05 Servidor FTP Externo Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 1.00 3 RT
F1_06 Servidor FTP Interno Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 1.29 4 RT
F1_07 Servidor de Antivirus Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.29 7 NT
F1_08 Worstations servicio Pronostico Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.71 3 RT
F1_09 Workstation Receptor Satelital Dartcom Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 1.29 4 RT
F1_10 Workstation Receptor Aeronautico _Messir Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.71 2 TT
F1_11 Workstation Aeronatico GenPack Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.00 2 TT
F1_12 Servidor de Modelo ETA Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.86 3 RT
F1_13 Servidor de Modelo GFS Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.86 3 RT
F2_01 Servidor de Alcenamiento de Imágenes Satelitales Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.86 3 RT
F2_02 Servidor de Almacenimiento Modelos Numericos Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 0.86 3 RT
F2_03 Servidor de Almacenamiento Base de Datos Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 2.43 7 NT
F3_01 Router Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.86 9 NT
F3_02 Servidores Firewalls Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.86 9 NT
F3_03 Servidores DNS Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.71 8 NT
F3_04 Servidor antispam Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 0.57 2 TT
F3_05 Servidor Antivirus Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.86 9 NT
F3_06 Switchs Principal Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x x 3 2.86 9 NT
F4_01 Workstation Especialista Pronosticador Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.86 4 RT
F4_02 Computadora Personal Tecnico Meteorologo Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 2.00 4 RT
F4_03 Computadora Personal Admninistrador de Redes Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 2.14 4 RT
F4_04 Computadora Especialista en Comunicaciones Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 0.43 1 TT
F4_05 Computadora Personal Programador WEB Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 0.86 2 TT
F4_06 Sistema de Multipantallas Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.14 2 TT
F5_01 UPS del Data Center Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 2.86 9 NT
F5_02 UPS del Centro de Pronosticos Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 2.29 5 RT
F5_03 Sistema de aire Acondicionado Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 2.86 6 RT
F5_04 Sistema de Alarma contra incendios Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 2.43 7 NT
F5_05 Sistemas de Control de Acceso Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 3 2.43 7 NT
F6_01 Estaciones Meteorologicas Convencionales Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.00 2 TT
F6_02 Estaciones Meteorologicas Automaticas Obsolencia y desgate de equipo perdida de perfomance ó inoperatividadFalta de presupuesto para renovacion x x 2 1.14 2 TT
F6_03 Estaciones Aeronaticas - CORPAC Corte de Transmision AFTN Falta de Datos Aeronauticos Termino de Convenio SENAMHI-CORPAC x x 3 1.00 3 RT
F6_04 Satelite GOES Corte de Transmision Satelital Falta de Imágenes satelitales Termino de Convenio SENAMHI-NOAA x x 3 1.00 3 RT
F6_05 Servidores FTP Modelos Glogales NOAA Corte de Transmision Modelos Falta de Datos de Modelos Globales Termino de Convenio SENAMHI-NOAA x x 3 1.00 3 RT
ACTIVOS SERVICIO
T1_01 Servicio de Internet de Banda Ancha Interrupcion del Servicio Internet Falta de comunicación WAN Averias en las Redes de Telecomunicacionesx x x 3 2.86 9 NT
T1_02 Servicio Electrico Interrupcion del Suministro ElectricoInoperatividad temporal de equipos Averias en las Redes Electricidad x x 3 2.86 9 NT
T1_03 Servicio de Telefonia Fija Interrupcion del Servicio Telefono Falta de comunicación Telefonica Averias en las Redes de Telecomunicaciones x x 3 1.00 3 RT
T1_04 Servicio de Telefonia Celular - RPM Interrupcion del comunicación MovilFalta de comunicación Movil Averias en las Redes de Telecomunicaciones x x 3 1.57 5 RT
Recursos Humanos
T2_01 Especialista Pronosticador Renuncia o Cese del Contrato Inestabilidad del Servicio Pronostico Bajos sueldos , inadecuado clima laboral x x 3 1.86 6 RT
T2_02 Tecnico Meteorologo Renuncia o Cese del Contrato Inestabilidad del Servicio Pronostico Bajos sueldos , inadecuado clima laboral x x 3 2.29 7 NT
T2_03 Especialista en Modelamiento Numerico Renuncia o Cese del Contrato Inestabilidad del Servicio Pronostico Bajos sueldos , inadecuado clima laboral x x 3 0.57 2 TT
T2_04 Especialista en Ciencias de la Comunicación Renuncia o Cese del Contrato Inestabilidad del Servicio de la DifusionBajos sueldos , inadecuado clima laboral x x 3 0.43 1 TT
T2_05 Especialista en Redes Informaticas Renuncia o Cese del Contrato Inestabilidad en soporte informatico Bajos sueldos , inadecuado clima laboral x x x 3 2.43 7 NT
T2_06 Especialista en Base de Datos Renuncia o Cese del Contrato Inestabilidad en Base de Datos Bajos sueldos , inadecuado clima laboral x x x 3 1.14 3 RT
T2_07 Especialista en Desarrollo WEB Renuncia o Cese del Contrato Desactualizacion de Portal WEB Bajos sueldos , inadecuado clima laboral x x x 3 0.86 3 RT
T2_08 Tecnicos Observadores Meteorologicos Renuncia o Cese del Contrato Inestabilidad al suministro de datos Bajos sueldos , inadecuado clima laboral x x 3 0.71 2 TT

MATRIZ DE RIESGO
Se ubican el código de los activos en los
casilleros correspondiente de la Matriz, de
acuerdo a los valores del IMPACTO y
PROBABILIDAD.
El nivel de Riesgo Promedio es 4.33
calificado como Riesgo
REGULARMENTE TOLERABLE (RT)

REQUISITOS DE SEGURIDAD Y SELECCIÓN DE CONTROLES PARA EL SGSI
PRIORIZACION DE CONTROLES PARA
EL SGSI
Cada proceso es muy diferente a cualquier
otra y sus requerimiento de SGSI para el
Proceso deben ser priorizados y
personalizados.
RESUMEN DE ANALISIS DE RIESGO PARA CADA ACTIVO DE INFORMACION
CODIGO S3_02 F3_01 F3_02 F3_05 F3_06 F5_01 T1_02 T1_01 F3_03 S3_01 S1_03
NOMBRE ACTIVO Sistema Hidrometeorologico -
SISMETHA
Router Servidores Firewalls Servidor Antivirus Switchs Principal UPS del Data Center Servicio Electrico Servicio de Internet de Banda Ancha Servidores DNS Sistema de Portal WEB e Intranet
Institucional
Sistema Operativo Computadoras -
Windows
MAYOR AMENAZAS (¿Quién ocasiona el daño?) Sabotaje Informatico Obsolencia ydesgate de equipo Obsolencia ydesgate de equipo Obsolencia ydesgate de equipo Obsolencia ydesgate de equipo Obsolencia ydesgate de equipo Averias en las Redes Electricidad Averias en las Redes de
Telecomunicaciones
Obsolencia ydesgate de equipo Sabotaje Informatico Desactualizacion de version software
NOMBRE DEL RIESGO (¿Qué causa ?) Sistema web SISMETHAinoperativo perdida de perfomance ó inoperatividad perdida de perfomance ó inoperatividad Perdida de perfomance ó inoperatividad perdida de perfomance ó inoperatividad perdida de perfomance ó inoperatividad Inoperatividad temporal de equipos Falta de comunicación WAN perdida de perfomance ó
inoperatividad
Portal WEB e Intranet inoperativo Incompatibilidad de aplicaciones
VULNERABILIDAD (¿Porqué pasaría eso?) Defientes controles de Seguridad
Informatica
Falta de presupuesto para renovacion Falta de presupuesto para renovacion Falta de presupuesto para renovacion Falta de presupuesto para renovacion Falta de presupuesto para renovacion Saturacion ó falta de mantenimiento por
proveedor
Saturacion ó falta de mantenimiento
por proveedor
Falta de presupuesto para renovacion Defientes controles de Seguridad
Informatica
Falta de presupuesto para renovacion
licencia
PROBABILIDAD 4 3 3 3 3 3 3 3 3 4 3
IMPACTO 2.43 2.86 2.86 2.86 2.86 2.86 2.86 2.86 2.71 2.00 2.57
RIESGO 10 9 9 9 9 9 9 9 8 8 8
TOLERANCIA NT NT NT NT NT NT NT NT NT NT NT
SELECCIÓN DE CONTROLES PARAMITIGACION DE RIESGOS
OBJETIVOS DE CONTROL DEL SGSI BASADO EN LA NORMA ISO/IEC 27001
5 POLITICA DE SEGURIDAD
5.1 POLITICADE SEGURIDAD DE LAINFORMACION
5,1,1 Documento de Politica de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
5,1,2 Revision de la potica de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION
6.1 ORGANIZACIÓN INTERNA
6,1,1 Compromiso de la Direccion con la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
6,1,2 Coordinacion de la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
6,1,3 Asignacion de responsabilidades para la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
6,1,4 Procesos de autorizacion de recursos para el tratamiento de la informacion 1 1 1 1.00 1 1
6,1,5 Acuerdo de confidencialidad 1 1 1 1 1 1 1 1 1 1
6,1,6 Contacto con las autoridades 1 1
6,1,7 Contacto con grupos de interes especial
6,1,8 Revision independiente de la seguridad de la informacion
6.2 TERCEROS
6,2,1 Identificacion de riesgo por acceso de terceros - Externos 1 1 1 1 1 1 1 1 1
6,2,2 Tratamiento de la seguridad en la relacion con los clientes 1 1
6,2,3 Requisitos de seguridad en contratos con terceros
7 GESTION DE ACTIVOS
7.1 RESPONSABILIDAD SOBRE LOS ACTIVOS
7,1,1 Inventario de Activos 1 1 1 1 1 1 1 1 1 1 1
7,1,2 Propiedad de los activos 1 1 1 1 1 1 1 1 1 1 1
7,1,3 Uso aceptable de los activos 1 1 1 1 1 1 1 1 1 1 1
7.2 CLASIFICACION DE LAINFORMACION
7,2,1 Directrices de la Clasificacion
7,2,2 Etiquetado ymanipulacion de la informacion
8 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8.1 ANTES DE LACONTRATACIN
8,1,1 Funciones yresponsabilidad 1 1 1 1 1 1 1 1 1 1
8,1,2 Investigacion de antecedentes
8,1,3 Terminos ycondiciones de contrato 1 1 1 1 1 1 1 1 1 1
8.2 DURANTE LACONTRATACION
8,2,1 Responsabilidades de gestion 1 1 1 1 1 1 1 1 1 1
8,2,2 Concientizacion, educacion ycapacitacion en seguridad de la informacion 1 1 1 1 1 1 1 1 1 1
8,2,3 Proceso disciplinario 1 1 1 1 1 1 1 1 1 1
8.3 CESE O CAMBIO DE PUESTO DE TRABAJO
8,3,1 Responsabilidad del Cese o cambio
8,3,2 Devolucion de activos 1 1 1
8,3,3 Retirada de los derechos de acceso 1 1 1 1 1 1 1
9 SEGURIDAD FISICA Y AMBIENTAL
9.1 AREAS SEGURAS
9,1,1 Perimetro de seguridad fisica 1 1 1 1 1 1 1 1 1 1 1
9,1,2 Controles fisicos de entrada 1 1 1 1 1 1 1 1 1 1
9,1,3 Seguridad de oficinas, despachos yrecursos 1 1 1 1 1 1 1 1 1 1
9,1,4 Proteccion contra amenazas externas yambientales 1 1 1 1 1 1 1 1 1 1
9,1,5 El trabajo en areas seguras
9,1,6 Areas de acceso publico, carga ydescarga
9.2 SEGURIDAD DE LOS EQUIPOS
9,2,1 Emplazamiento yproteccion de equipos 1 1 1 1 1 1 1 1
9,2,2 Instalaciones ysuministro servicio publicos 1 1 1 1 1 1 1
9,2,3 Seguridad de cableado 1 1 1 1 1 1 1 1 1
9,2,4 Mantenimiento de los equipos 1 1 1 1 1 1 1 1 1
9,2,5 Seguridad de los equipos fuera de las instalaciones
9,2,6 Reutilización o eliminacion de equipos
9,2,7 Retirada de materiales de propiedad de la empresa
10 GESTION DE COMUNICACION Y OPERACIONES
10.1 RESPONSABILIDADES YPROCEDIMIENTOS DE OPERACIÓN
10,1,1 Documentacion de procedimientos de operación 1 1 1 1 1 1 1 1 1 1 1
10,1,2 Gestion de cambios 1 1 1 1 1 1 1 1 1
10,1,3 Segregacion de tareas 1 1 1 1 1 1 1
10,1,4 Separacion de los recursos de desarrollo, ensayo yproduccion 1 1 1 1
10.2 GESTION DE PROVISION DE SERVICIOS POR TERCEROS
10,2,1 Prestacion de Servicios 1 1 1 1 1
10,2,2 Supervision yrevision de los servicos prestados por terceros 1 1 1 1 1 1
10,2,3 Gestion de cambios en los servicios prestados por teceros 1 1 1
10.3 PLANIFICACION YACEPTACION DEL SISTEMA
10,3,1 Gestion de capacidades 1 1 1 1 1 1 1 1 1 1
10,3,2 Aceptacion del Sistema 1 1 1 1 1 1 1 1 1 1
10.4 PROTECCION CONTRACODIGO MALICIOSO YMOVIL
10,4,1 Controles contra el codigo malicioso 1 1 1 1 1
10,4,2 Controles contra codigos moviles
10.5 COPIAS DE SEGURIDAD - BACKUP
10,5,1 Copias de la seguridad de la informacion 1 1 1 1 1 1
10.6 GESTION DE LAS SEGURIDAD DE LAS REDES
10,6,1 Controles de Redes 1 1 1 1 1 1 1 1
10,6,2 Seguridad de los servicios de Red 1 1 1 1 1 1 1
10.7 MANEJO DE LOS SOPORTES - gestion de medios
10,7,1 Gestion de los soportes extraibles
10,7,2 Eliminacion de los soportes
10,7,3 Procedimientos de manejo de la informacion 1 1 1 1
10,7,4 Seguridad de la documentacion del sistema 1 1 1 1 1 1
10.8 INTERCAMBIO DE LAINFORMACION
10,8,1 Politicas yprocedimientos del intercambio de la informacion 1 1 1 1
10,8,2 acuerdos de intercambio 1 1
10,8,3 Soportes fisiscos en transito
10,8,4 Mensajeria electronica 1
10,8,5 Sistemas de informacion de empresas
10.9 SERVICIOS DE COMERCIO ELECTRONICO
10,9,1 Comercio electronico
10,9,2 Transacciones en linea
10,9,3 Informacion a disposicion publica 1 1
10,10 SUPERVISION - monitorizacion
10,10,1 Requisitos de auditorias 1 1 1 1 1 1 1 1 1 1 1
10,10,2 Supervision del uso del sistema 1 1 1 1 1 1 1 1 1
10,10,3 Proteccion de la informacion de registro
10,10,4 Registros de administracion yoperación 1 1 1 1 1 1 1 1 1 1 1
10,10,5 Registros de fallos 1 1 1 1 1 1 1 1 1 1 1
10,10,6 Sincronizacion de relojes
11 CONTROL DE ACCESO
11.1 REQUISITOS DE NEGOCIO PARAEL CONTROL DE ACCESOS
11,1,1 Politicas de Control de acceso 1 1 1 1 1 1 1 1 1 1 1
11.2 GESTION DE ACCESO DE USUARIO
11,2,1 Requisitos de usuario 1 1 1 1 1 1 1 1 1 1 1
11,2,2 Gestion de privilegios 1 1 1 1 1 1 1 1 1 1
11,2,3 Gestion de contraseña de usuarios 1 1 1 1 1 1 1 1 1 1
11,2,4 Revision de los derechos de acceso de los usuarios
11.3 RESPONSABILIDADES DEL USUARIO
11,3,1 Usos de contraseñas 1 1 1 1 1 1 1 1 1
11,3,2 Equipo informatica de uso desatendido
11,3,3 Politicas de puesto de trabajo despejado ybloqueo de pantallas
11.4 CONTROL DE ACCESO ALARED
11,4,1 Politicas de uso de las servicios de red 1 1 1 1 1 1 1 1 1 1
11,4,2 Autenticacion del usuario para conexiones externas 1 1 1 1 1 1 1 1 1 1
11,4,3 Identificacion de equipos en redes 1 1 1 1 1 1 1 1 1 1
11,4,4 Diagnostico remoto yproteccion de los puertos de configuracion 1 1 1 1 1 1 1 1 1 1
11,4,5 Segregacion en redes 1 1 1 1 1 1 1 1 1
11,4,6 Control de la conexión a red 1 1 1 1 1 1 1 1 1
11,4,7 Control de encaminamiento de red
11.5 CONTROL DE ACCESO AL SISTEMAOPERATIVO
11,5,1 Procedimientos seguros de inicio de sesion 1 1 1 1 1 1 1 1 1
11,5,2 identificacion yautenticacion de usuario 1 1 1 1 1 1 1 1 1
11,5,3 Sistema de gestion de contraseña
11,5,4 Uso de las utilidades del sistema
11,5,5 Desconexion automatica de sesiones terminales
11,5,6 Limitaciones de tiempo de conexión
11.6 CONTROL DE ACCESO ALAAPLICACIÓN YALAINFORMACION
11,6,1 Restricciones del acceso a informacion 1 1 1 1 1 1 1 1
11,6,2 Aislamiento de sistemas sensibles 1 1 1 1 1 1 1
11.7 ORDENADORES PORTATILES YTELETRABAJO
11,7,1 Ordendores portatiles ycomunicaciones moviles
11,7,2 Teletrabajo
12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION
12.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
12,1,1 Analisis yespecificacion de los requisitos de seguridad 1 1 1
12.2 PROCESAMIENTO CORRECTO EN LAAPLICACIONES
12,2,1 Validacion de los datos iniciales 1 1
12,2,2 Control del procesamiento interno 1 1
12,2,3 Autenticacion e integridad de los mensajes 1 1
12,2,4 Validacion de los datos de salida 1 1
12.3 CONTROLES CRIPTOGRAFICOS
12,3,1 Politica de uso de los controles criptograficos 1 1
12,3,2 Gestion de claves 1 1
12.4 SEGURIDAD DE LOS ARCHIVOS DE SISTEMA
12,4,1 Control del software en explotacion 1 1 1
12,4,2 Proteccion de los datos de prueba del sistema 1 1 1
12,4,3 Control de acceso al codigo fuente de los programas 1 1 1
12.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO YSOPORTE
12,5,1 Procedimientos de control de cambios 1 1 1
12,5,2 Revision tecnica de aplicaciones tras efectuar cambios en el sitema operativo
12,5,3 Restricciones a los cambios en los paquetes de software
12,5,4 Fugas de informacion 1
12,5,5 Externalizacion del desarrollo de software - Desarrollo Externo
12.6 GESTION DE LAVULNERABILIDAD TECNICA
12,6,1 Control de las vulnerabilidad tecnica 1 1
13 GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
13.1 NOTIFICACION DE EVENTOS YPUNTOS DEBILES DE LASEGURIDAD DE LAINFORMACION
13,1,1 Notificacion de los eventos de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1
13,1,2 Notificacion de puntos debiles de la seguridad 1 1 1 1 1 1 1 1 1 1 1
13.2 GESTION DE INCIDENTES DE SEGURIDAD DE LAINFORMACION YMEJORAS
Se considero seleccionar los controles para:
20 Activos con Nivel de Riesgo No Tolerables ( NT)
36 Activos con nivel de Riesgo Regularmente Tolerable (RT).
Selección de controles o
salvaguardas necesarias del
ISO/IIEC 27001:2005
para cada uno de los Activos
Seleccionados para mitigar los
riesgos identificados.

REQUISITOS DE SEGURIDAD Y SELECCIÓN DE CONTROLES PARA EL SGSI
PRIORIZACION DE CONTROLES PARA EL SGSI
Para priorizar se realizó utilizando el criterio de porcentaje de intervención de un control en la mitigación de riesgos
N NUM CONTROL S3_02 F3_01 F3_02 F3_05 F3_06 F5_01 T1_02 T1_01 F3_03 S3_01 S1_03 S1_17 I2_01 T2_05 F2_03 F5_04 F5_05 S1_06 T2_02 F1_07 S1_02 S1_16 I1_02 F5_03 T2_01 F1_02 S1_01 F1_01 S1_07 T1_04 F5_02 F4_03 F4_02 S3_03 F1_06 F1_09 F4_01 T2_06 F1_08 F1_04 F1_05 F6_04 F6_05 F6_03 T1_03 T2_07 F1_12 F1_13 F2_01 F2_02 I1_01 S1_04 S1_05 S1_10 S1_11 S2_01 PRIORIDAD %
1 5,1,1 Documento de Politica de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
2 5,1,2 Revision de la potica de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
3 6,1,1 Compromiso de la Direccion con la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
4 6,1,2 Coordinacion de la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
5 6,1,3 Asignacion de responsabilidades para la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
114 13,1,1 Notificacion de los eventos de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
115 13,1,2 Notificacion de puntos debiles de la seguridad 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
116 13,2,1 Responsabilidades yprocedimientos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
117 13,2,2 Aprendizajes de los incidentes de seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
119 14,1,1 Inclusion de la seguridad de la informacion en el proceso gestion de la continuidad del negocio1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
120 14,1,2 Continuidad del negocio yevalucion de riesgo 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
121 14,1,3 Desarrollo e implementacion de planes continuidad que incluyan la seguridad de la informacion1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
123 14,1,5 Pruebas,mantenimiento yreevaluacion de planes de continuidad 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
124 15,1,1 Identificacion de la legislacion aplicable 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 56 100
22 8,2,1 Responsabilidades de gestion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 55 98
23 8,2,2 Concientizacion,educacion ycapacitacion en seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 55 98
24 8,2,3 Proceso disciplinario 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 55 98
130 15,2,1 Cumplimiento de las normas ypoliticas de seguridad 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 55 98
131 15,2,2 Comprobacion del cumplimiento tecnico 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 55 98
41 10,1,1 Documentacion de procedimientos de operación 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 54 96
73 11,1,1 Politicas de Control de acceso 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 54 96
74 11,2,1 Requisitos de usuario 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 53 95
67 10,10,1 Requisitos de auditorias 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 51 91
70 10,10,4 Registros de administracion yoperación 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 51 91
6 6,1,4 Procesos de autorizacion de recursos para el tratamiento de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 50 89
7 6,1,5 Acuerdo de confidencialidad 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 50 89
48 10,3,1 Gestion de capacidades 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 50 89
68 10,10,2 Supervision del uso del sistema 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 50 89
75 11,2,2 Gestion de privilegios 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 49 88
81 11,4,1 Politicas de uso de las servicios de red 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 49 88
83 11,4,3 Identificacion de equipos en redes 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 49 88
84 11,4,4 Diagnostico remoto yproteccion de los puertos de configuracion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 49 88
14 7,1,1 Inventario de Activos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 48 86
71 10,10,5 Registros de fallos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 48 86
76 11,2,3 Gestion de contraseña de usuarios 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 48 86
78 11,3,1 Usos de contraseñas 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 48 86
132 15,3,1 Controles de auditoria de los sistemas de informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 48 86
15 7,1,2 Propiedad de los activos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 47 84
16 7,1,3 Uso aceptable de los activos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 47 84
28 9,1,1 Perimetro de seguridad fisica 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 47 84
86 11,4,6 Control de la conexión a red 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 47 84
29 9,1,2 Controles fisicos de entrada 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 46 82
30 9,1,3 Seguridad de oficinas,despachos yrecursos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 46 82
31 9,1,4 Proteccion contra amenazas externas yambientales 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 46 82
49 10,3,2 Aceptacion del Sistema 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 46 82
88 11,5,1 Procedimientos seguros de inicio de sesion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 46 82
89 11,5,2 identificacion yautenticacion de usuario 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 46 82
82 11,4,2 Autenticacion del usuario para conexiones externas 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 45 80
94 11,6,1 Restricciones del acceso a informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 45 80
42 10,1,2 Gestion de cambios 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 41 73
43 10,1,3 Segregacion de tareas 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 38 68
54 10,6,2 Seguridad de los servicios de Red 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 38 68
57 10,7,3 Procedimientos de manejo de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 38 68
27 8,3,3 Retirada de los derechos de acceso 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 37 66
53 10,6,1 Controles de Redes 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 37 66
85 11,4,5 Segregacion en redes 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 37 66
58 10,7,4 Seguridad de la documentacion del sistema 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 36 64
52 10,5,1 Copias de la seguridad de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 35 63
59 10,8,1 Politicas yprocedimientos del intercambio de la informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 33 59
37 9,2,4 Mantenimiento de los equipos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 32 57
45 10,2,1 Prestacion de Servicios 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 32 57
34 9,2,1 Emplazamiento yproteccion de equipos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 31 55
36 9,2,3 Seguridad de cableado 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 31 55
95 11,6,2 Aislamiento de sistemas sensibles 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 31 55
125 15,1,2 Derechos de propiedad Intelectual 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 30 54
35 9,2,2 Instalaciones ysuministro servicio publicos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 29 52
60 10,8,2 acuerdos de intercambio 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 29 52
21 8,1,3 Terminos ycondiciones de contrato 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 28 50
50 10,4,1 Controles contra el codigo malicioso 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 28 50
8 6,1,6 Contacto con las autoridades 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 27 48
46 10,2,2 Supervision yrevision de los servicos prestados por terceros 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 26 46
19 8,1,1 Funciones yresponsabilidad 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 24 43
44 10,1,4 Separacion de los recursos de desarrollo,ensayo yproduccion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 23 41
11 6,2,1 Identificacion de riesgo por acceso de terceros - Externos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 21 38
128 15,1,5 Prevencion del uso indebido de las instalaciones de procesamiento de la informacion1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 21 38
105 12,4,1 Control del software en explotacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 20 36
98 12,1,1 Analisis yespecificacion de los requisitos de seguridad 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 19 34
113 12,6,1 Control de las vulnerabilidad tecnica 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 19 34
106 12,4,2 Proteccion de los datos de prueba del sistema 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 18 32
111 12,5,4 Fugas de informacion 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 18 32
26 8,3,2 Devolucion de activos 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 29
66 10,9,3 Informacion a disposicion publica 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 29
99 12,2,1 Validacion de los datos iniciales 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 29
100 12,2,2 Control del procesamiento interno 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 29
107 12,4,3 Control de acceso al codigo fuente de los programas 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 16 29
101 12,2,3 Autenticacion e integridad de los mensajes 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 15 27
102 12,2,4 Validacion de los datos de salida 1 1 1 1 1 1 1 1 1 1 1 1 1 1 14 25
104 12,3,2 Gestion de claves 1 1 1 1 1 1 1 1 1 1 1 1 1 1 14 25
108 12,5,1 Procedimientos de control de cambios 1 1 1 1 1 1 1 1 1 1 1 1 12 21
47 10,2,3 Gestion de cambios en los servicios prestados por teceros 1 1 1 1 1 1 1 1 1 9 16
103 12,3,1 Politica de uso de los controles criptograficos 1 1 1 1 1 1 1 1 1 9 16
62 10,8,4 Mensajeria electronica 1 1 1 1 1 1 6 11
12 6,2,2 Tratamiento de la seguridad en la relacion con los clientes 1 1 1 1 1 5 9
9 6,1,7 Contacto con grupos de interes especial 0 0
10 6,1,8 Revision independiente de la seguridad de la informacion 0 0
13 6,2,3 Requisitos de seguridad en contratos con terceros 0 0
17 7,2,1 Directrices de la Clasificacion 0 0
18 7,2,2 Etiquetado ymanipulacion de la informacion 0 0
20 8,1,2 Investigacion de antecedentes 0 0
25 8,3,1 Responsabilidad del Cese o cambio 0 0
32 9,1,5 El trabajo en areas seguras 0 0
33 9,1,6 Areas de acceso publico,carga ydescarga 0 0
38 9,2,5 Seguridad de los equipos fuera de las instalaciones 0 0
39 9,2,6 Reutilización o eliminacion de equipos 0 0
40 9,2,7 Retirada de materiales de propiedad de la empresa 0 0
51 10,4,2 Controles contra codigos moviles 0 0
55 10,7,1 Gestion de los soportes extraibles 0 0
56 10,7,2 Eliminacion de los soportes 0 0
61 10,8,3 Soportes fisiscos en transito 0 0
63 10,8,5 Sistemas de informacion de empresas 0 0
64 10,9,1 Comercio electronico 0 0
65 10,9,2 Transacciones en linea 0 0
69 10,10,3 Proteccion de la informacion de registro 0 0
72 10,10,6 Sincronizacion de relojes 0 0
77 11,2,4 Revision de los derechos de acceso de los usuarios 0 0
79 11,3,2 Equipo informatica de uso desatendido 0 0
80 11,3,3 Politicas de puesto de trabajo despejado ybloqueo de pantallas 0 0
87 11,4,7 Control de encaminamiento de red 0 0
90 11,5,3 Sistema de gestion de contraseña 0 0
91 11,5,4 Uso de las utilidades del sistema 0 0
92 11,5,5 Desconexion automatica de sesiones terminales 0 0
93 11,5,6 Limitaciones de tiempo de conexión 0 0
96 11,7,1 Ordendores portatiles ycomunicaciones moviles 0 0
97 11,7,2 Teletrabajo 0 0
109 12,5,2 Revision tecnica de aplicaciones tras efectuar cambios en el sitema operativo 0 0
110 12,5,3 Restricciones a los cambios en los paquetes de software 0 0
112 12,5,5 Externalizacion del desarrollo de software - Desarrollo Externo 0 0
118 13,2,3 Recopilacion de evidencias 0 0
122 14,1,4 Marco de referencia para la planificacion de la continuidad de negocio 0 0
126 15,1,3 Prfoteccion de los registros de la organización 0 0
127 15,1,4 Proteccion de datos yprivacidad de la informacion personal 0 0
129 15,1,6 Regulacion de los controles criptograficos 0 0
133 15,3,2 Proteccion de herramientas de auditoria de los sistemas de informacion 0 0
Nivel de
Importancia
% de
Participación del
Control en el
Proceso
Grado de Importancia de
su Implementación de
Control SGSI
ALTA 76 - 100%
MUY IMPORTANTE,
MEDIANA 51 - 75%
MEDIO IMPORTANTE,
BAJA 26 - 50 %
BAJA IMPORTANCIA,
MUY BAJA 00 - 25 %
MUY BAJA
IMPORTANCIA,
Los Controles seleccionados para el SGSI del
Proceso de Servicio de Pronóstico, fueron los
que tienen el nivel de importancia de ALTA y
MEDIANA, en vista que su implementación
contribuirá a mitigar los riesgos de la mayoría
de los activos de información que intervienen
en el Proceso.
EL SGSI OPTIMIZADO QUEDA DETERMINADO POR:
11 DOMINIOS
32 OBJETIVOS DE CONTROL
73 CONTROLES (Optimizado al 57% de Controles del SGSI)

Aplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas

Aplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Aplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas

Similar to Aplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas (20)

Recently uploaded

Recently uploaded (20)

Aplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas