Informefinal iso 27001 unas
Transcript of Informefinal iso 27001 unas
DIAGNÓSTICO DE LA SEGURIDAD DE LA INFORMACIÓN CON LA NORMA ISO 27000 EN LA UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA
febrero 21 2015
- Yanac Montesino R. - García Villegas, Christian - Ponce Guizabalo Santos Víctor - Liviapoma -Pozo Malpartida, Jorge L.
UNIVERSIDAD NACIONAL “HERMILIO VALDIZAN”
ESCUELA DE POST GRADO
INFORME DE DIAGNÓSTICO DE SEGURIDAD DE LA INFORMACIÓN CON LA
ISO 27000
Introducción
El presente trabajo realizado sobre el diagnostico situacional de la seguridad de la información de la
Universidad Nacional Agraria de la Selva basado en la Norma ISO 27001 y 27002.
Misión
Promover el liderazgo y excelencia a través de la formación de profesionales, con un enfoque científico,
tecnológico, humanístico y social que permita administrar de manera sustentable la biodiversidad, la
producción, la industrialización y comercialización de los recursos naturales renovables. Asimismo,
convertirnos en la institución educativa de mayor prestigio en la amazonía, aplicando programas de
extensión que permitan el desarrollo integral de la persona, de acuerdo con las necesidades regionales
y nacionales.
Visión
"Es una comunidad académica, humanista, científica y productiva que avanza hacia la excelencia en
educación integral y transferencia tecnológica para el desarrollo sostenible de la Amazonía."
I. PERSPECTIVAS DEL NEGOCIO
1.1 Ambiente del negocio
La universidad con la finalidad de impartir enseñanza superior, brindar el servicio
académico, investigación, proyección y extensión de manera integral se ve comprometido
de afianzar políticas de intervención en mejora continua, así mismo desarrollar
investigación científica -tecnológica y atender las necesidades de servicios a la
comunidad universitaria y no universitaria, que estén expresadas como atendidos
eficientemente por la universidad.
Teniendo la Visión de la UNAS al 2021 en ser líder e innovadora en la formación de
profesionales, con valores y estándares de calidad, comprometida con la biodiversidad y
la gestión integral para el desarrollo sostenible del país y el mundo.
1.2 Objetivos:
1.2.1.1 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la
investigación, la extensión y proyección social.
1.2.1.2 Desarrollar un modelo educativo de calidad que integre el aprendizaje, la
investigación, la extensión y proyección social.
1.2.1.3 Mejorar y promover la calidad y productividad de la investigación científica,
tecnológica e innovadora orientada al desarrollo sostenible.
1.2.1.4 Mejorar y promover la calidad y productividad de la investigación científica,
tecnológica e innovadora orientada al desarrollo sostenible.
1.2.1.5 Mejorar y promover la calidad y productividad de la investigación científica,
tecnológica e innovadora orientada al desarrollo sostenible.
1.2.1.6 Desarrollar, fortalecer y promover la capacidad de extensión y proyección
universitaria articulada con la sociedad.
1.2.1.7 Desarrollar, fortalecer y promover la capacidad de extensión y proyección
universitaria articulada con la sociedad.
1.2.1.8 Desarrollar un sistema de gestión de calidad institucional.
1.2.1.9 Desarrollar un sistema de gestión de calidad institucional.
1.2.1.10 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación
profesional.
1.2.1.11 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación
profesional.
1.2.1.12 Desarrollar, fortalecer y optimizar los servicios de apoyo a la formación
profesional.
1.2.2 Estrategias
1.2.2.1 Capacitación permanente en sus funciones de las carreras profesionales.
1.2.2.2 Establecer mecanismos de supervisión y evaluación docente.
1.2.2.3 Implementar una política de incentivos por méritos académicos.
1.2.2.4 Estudio de la demanda social en función a los problemas del grupo de
interés.
1.2.2.5 Evaluación permanente del cumplimiento de los indicadores del currículo
por competencias.
1.2.2.6 Capacitación en estrategias de enseñanza aprendizaje orientada en la
formación por competencias (ABP, casuística, aprendizaje basa en
proyectos, clase magistral, otros).
1.2.2.7 Evaluación de la satisfacción de la aplicación de las estrategias enseñanza
– aprendizaje.
1.2.2.8 Implementar un ciclo propedéutico para selección de los ingresantes.
1.2.2.9 Implementar un mecanismo de examen diferenciado a postulantes.
1.2.2.10 Elaborar la propuesta técnica de creación del vicerrectorado de
investigación.
1.2.2.11 Aprobación de la propuesta técnica por asamblea universitaria.
1.2.2.12 Elaborar un proyecto de inversión para la construcción, implementación y
capacitación del vicerrectorado de investigación.
1.2.2.13 Diseñar e implementar el sistema de gestión de calidad con énfasis en la
investigación.
1.2.2.14 Implementar un incentivo por producción intelectual acreditada.
1.2.2.15 Reglamentar y promover tesis con investigaciones multidisciplinarias y
multiautores.
1.2.2.16 Reglamentar y promover la categorización del docente investigador.
1.2.2.17 Implementar mesas de trabajo de discusión científica y tecnológica con los
grupos de interés.
1.2.2.18 Incluir las líneas de investigación en el proceso de la investigación
formativa.
1.2.2.19 Conformación de redes de investigadores inter y trans institucional.
1.2.2.20 Formar equipos de trabajo para formular propuestas de proyectos con
financiamiento interno y externo.
1.2.2.21 Establecer alianzas estratégicas estado - universidad – empresa.
1.2.2.22 Certificar laboratorios especializados.
1.2.2.23 Implementar programas de capacitación en metodologías de investigación
científica, tecnológica e innovación.
1.2.2.24 Capacitación en programas de desarrollo de publicaciones, patentes y
propiedad intelectual.
1.2.2.25 Institucionalizar las Jornadas científicas en una fecha definida de manera
periódica.
1.2.2.26 Aumentar la visibilidad de la producción científica y tecnológica.
1.2.2.27 Creación de los institutos y centros de investigación en las carreras
profesionales.
1.2.2.28 Desarrollar proyectos de inversión con fines de investigación en la frontera
del conocimiento.
1.2.2.29 Racionalizar y optimizar el uso de los laboratorios.
1.2.2.30 Diseñar e implementar el sistema de gestión de calidad en extensión y
proyección.
1.2.2.31 Realizar un estudio de necesidades y potencialidades de extensión y
proyección.
1.2.2.32 Definir las funciones y responsabilidades de OPUII orientadas a la
consolidación del vínculo entre la universidad y la sociedad.
1.2.2.33 Suscribir y ejecutar convenios interinstitucionales.
1.2.2.34 Articular las labores de extensión y proyección universitaria a la
enseñanza e investigación.
1.2.2.35 Identificar indicadores de evaluación de metas cumplidas en actividades
de extensión y proyección social.
1.2.2.36 Elaborar anualmente una agenda de actividades de extensión y
proyección en función de las necesidades y por especialidades.
1.2.2.37 Formalizar programas de capacitación no formal en capacidades técnicas
y que involucre a todas las facultades.
1.2.2.38 Elaborar documentos de difusión para incrementar el impacto de la
extensión y proyección.
1.2.2.39 Mejorar los reglamentos generales y de organización y funciones.
1.2.2.40 Actualizar los Manuales de procedimientos.
1.2.2.41 Diseñar e implementar el Sistema de Gestión de la Calidad en función del
modelo de calidad educativa.
1.2.2.42 Aprobar e implementar el plan estratégico articulado al POI y PPR.
1.2.2.43 Sensibilización y empoderamiento del PEI en todas las dependencias de la
Universidad.
1.2.2.44 Actualizar y reformular los documentos de gestión (estatuto y
reglamentos).
1.2.2.45 Implementar mecanismos de monitoreo y seguimiento del plan estratégico
para la mejora continua de los procesos orientado al cumplimiento de los
resultados.
1.2.2.46 Establecer anualmente una comisión ad hoc para realizar el monitoreo y
seguimiento del PEI.
1.2.2.47 Incrementar la visibilidad de los documentos normativos de gestión
académica y administrativa.
1.2.2.48 Crear el repositorio o centro de documentación e información científica y
de gestión institucional, disponible al público en general.
1.2.2.49 Aumentar la transparencia de los procesos académicos y administrativos.
1.2.2.50 Implementar un sistema de acceso de los padres de familia a los datos
académicos de sus hijos estudiantes.
1.2.2.51 Contratar una evaluación externa de las actividades de los docentes
(racionalización).
1.2.2.52 Implementar un reglamento de selección de docentes por méritos,
experiencia y capacidad acreditados.
1.2.2.53 Establecer una política de incentivos para el retorno de Doctores y
maestros peruanos trabajando en el extranjero.
1.2.2.54 Establecer un programa de capacitación permanente en sus funciones, en
un idioma extranjero, y en las TICs.
1.2.2.55 Contratar una evaluación externa de las actividades del personal
administrativo (racionalización).
1.2.2.56 Implementar un reglamento de selección de personal administrativo por
méritos, experiencia y capacidad acreditados.
1.2.2.57 Establecer un programa de capacitación permanente en sus funciones, en
un idioma extranjero, y en las TICs.
1.2.2.58 Establecer cuadros permanentes de personal administrativo.
1.2.2.59 Acondicionar ambientes adecuados y reglamentos de uso para una
atención personalizada de tutoría.
1.2.2.60 Incluir la labor de tutoría y consejería en las estructuras curriculares.
1.2.2.61 Capacitar y sensibilizar a los docentes para realizar acciones de tutoría y
consejería.
1.2.2.62 Establecer un sistema de premiación a la excelencia académica, de
investigación, de extensión y proyección social.
1.2.2.63 Fortalecer las áreas de asistencia social y psicología.
1.2.2.64 Implementar programas de planificación orientación y prevención de ETS.
1.2.2.65 Fortalecer la Oficina General de Administración en gestión de recursos
financieros.
1.2.2.66 Racionalización y centralización de reactivos de laboratorio de útiles de
escritorio y materiales de vidrio en función de necesidades.
1.2.2.67 Racionalizar la asignación de bienes y equipos para uso de las
dependencias académicas y administrativas.
1.2.2.68 Racionalizar el uso de la red de las dependencias académicas y
administrativas.
1.2.2.69 Realizar el estudio de Desarrollo Físico y Urbanístico de la UNAS.
1.2.2.70 Desarrollo de un proyecto de inversión pública para el mejoramiento de la
calidad académica, investigación, extensión y proyección.
1.2.2.71 Gestionar el financiamiento externo de los PIPs de la UNAS.
1.2.2.72 Constituir los comités consultivos.
1.2.2.73 Conformación de mesas técnicas y de concertación articulada al Plan de
Desarrollo Regional.
1.2.2.74 Institucionalizar eventos físicos y virtuales de difusión, consulta y debate
con los egresados.
1.2.2.75 Implementar un sistema integral de información agrario de la región.
1.2.2.76 Implementar un sistema de información de hojas de vida de la comunidad
universitaria (red laboral).
II. HALLAZGOS
4.1 Modelo de Empresa
Elaboración del modelo de la Universidad Nacional Agraria de la Selva
Modelo de la Universidad Nacional Agraria de la Selva
Organigrama estructural de la Unas 2012
Universidad Nacional Agraria de la Selva
Matriz Estrategias v.s. Organización
Responsabilidad primaria + Participación Mayor / Participación
Menor
Universidad Nacional Agraria de la Selva
Matriz Procesos v.s. Organización
Responsabilidad primaria + Participación Mayor / Participación
Menor
Universidad Nacional Agraria de la Selva
Matriz Procesos v.s. Estrategias
Responsabilidad primaria + Participación Mayor / Participación Menor
Universidad Nacional Agraria de la Selva
Matriz Procesos v.s. Entidades
Responsabilidad primaria + Participación Mayor / Participación Menor
Universidad Nacional Agraria de la Selva
Matriz Procesos v.s. Entidades
Responsabilidad primaria + Participación Mayor / Participación Menor
Universidad Nacional Agraria de la Selva
Matriz Entidades v.s. Organización
Responsabilidad primaria + Participación Mayor / Participación Menor
4.2 Oportunidades de Información y Análisis de las Oportunidades de Información
Universidad Nacional Agraria de la Selva
Procesos / Entidad
Procesos
Gestionar recursos humanos OI1,OI16
Gestionar el Bienestar Universitario O12,OI17
Gestión de Infraestructura y equipamiento OI3
Gestión de recursos económicos y financieros OI4, OI18
GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19
COOPERACION INTERINSTITUCIONAL OI6
Promoción del arte, la cultura y el deporte OI7
Gestión de Formación profesional OI8,OI20,OI21
Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23
Gestión de extensión Univ. y proyección social OI10,OI24
Planeamiento estratégica Institucional OI11
Gestión de proyectos OI12
Planeamiento operativo OI13
Gestión de la calidad OI14
Gestión de Sistema de información y comunicación OI15
Entidades
Estudiante OI25,OI26,OI27
Docente OI28,OI29
Trab.Admi OI30
Fac. OI31,OI32
Lab. OI33,OI34
Pab. OI35
Aulas OI36
Sede OI37
Servicio OI38,OI39
Componente OI40
Ma.Prima OI41
Suministro OI42
Equipo OI43
N°matric. OI44
Req.Serv. OI45
Ord.Compre OI46
Factu OI47
Proy. OI48
Audit. OI49
Universidad Nacional Agraria de la Selva
1
Impacto de Procesos en Estrategias
ESTRATEGIAS
PROCESOS
Gestionar recursos humanos / 4
Gestionar el Bienestar Universitario 3
Gestion de Infraestructura y equipamiento / 7
Gestion de recursos economicos y financieros / 4
GESTION DE LA INFORMACION Y COMUNICACIÓN / 4
COOPERACION INTERINSTITUCIONAL / 4
Promoción del arte, la cultura y el deporte / 1
Gestión de Formacion profesional / / 4
Gestion de Investigacion-desarrollo-innovacion / 7
Gestion de extension univ. y proyeccion social 3
Planeamiento estrategica Institucional / 4
Gestion de proyectos 6
Planeamiento operativo / 7
Gestion de la calidad 12
Gestion de Sistema de informacion y comunicación 12
conformación
de redes de
investigador
es inter y
trans
insti tucional
Incrementar la
vis ibi l idad de los
documentos
normativos de
gestión académica
y adminis trativa
Suscribi r y
ejecutar
convenios
inter
insti tucio
nales .
Contratar una
evaluación
externa de las
actividades de
los docentes
(racional ización
)
Capacitacion
permanente
en sus
funciones de
las carreras
profes ionale
s
Establecer
mecanismos
de
supervis ión y
evaluación
docente
Evaluación
permanente del
cumpl imiento
de los
indicadores del
curriculo por
competencias
Incluir las
l ineas de
investigació
n en el
proceso de
investigació
n formativa
Aprobación de
la propuesta
técnica por
asamblea
univers i taria
Diseñar e
implementar
el s i s tema de
gestión de
ca l idad en
extens ión y
proyección
2
Universidad Nacional Agraria de la Selva
Impacto de Entidades en Estrategias
Universidad Nacional Agraria de la Selva
Beneficios y Demanda
Procesos BEN DEM
Gestionar recursos humanos OI1,OI16 09 02
Gestionar el Bienestar Universitario O12,OI17 06 02
Gestión de Infraestructura y equipamiento OI3 04 01
Gestión de recursos económicos y financieros OI4, OI18 07 02
GESTION DE LA INFORMACION Y COMUNICACIÓN OI5,OI19 08 02
COOPERACION INTERINSTITUCIONAL OI6 04 01
Promoción del arte, la cultura y el deporte OI7 03 01
Gestión de Formación profesional OI8,OI20,OI21 14 03
Gestión de Investigación-desarrollo-innovación OI9,OI22,OI23 15 03
Gestión de extensión Univ. y proyección social OI10,OI24 08 02
Planeamiento estratégica Institucional OI11 04 01
Gestión de proyectos OI12 04 01
Planeamiento operativo OI13 03 01
Gestión de la calidad OI14 05 01
Gestión de Sistema de información y comunicación OI15 04 01
Entidades
Estudiante OI25,OI26,OI27 13 03
Docente OI28,OI29 09 02
Trab.Admi OI30 03 01
Fac. OI31,OI32 08 02
Lab. OI33,OI34 07 02
Pab. OI35 02 01
Aulas OI36 02 01
Sede OI37 02 01
ESTRATEGIAS
ENTIDADES …
Estudiante 6
Docente 21
Trab.Admi 3
Fac. 15
Lab. 6
Pab. 3
aulas 3
sede / 1
servicio 12
Componente / 1
Ma.Prima 0
Suministro 0
Equipo / 1
N°matricula / / 2
Req.Serv. / / 2
Ord.Compra 0
Factura / 1
Proyecto / 4
Auditoria 3
conformación
de redes de
investigadores
inter y trans
insti tucional
Incrementar la
vis ibi l idad de
los documentos
normativos de
gestión
académica y
adminis trativa
Suscribi r y
ejecutar
convenios
inter
insti tucionale
s .
Contratar una
evaluación
externa de las
actividades de
los docentes
(racional izació
n)
Capacitacion
permanente en
sus funciones de
las carreras
profes ionales
Establecer
mecanismos
de
supervis ión y
evaluación
docente
Evaluación
permanente del
cumpl imiento de
los indicadores
del curriculo por
competencias
Incluir las
l ineas de
investigación
en el proceso
de
investigación
formativa
Aprobación
de la
propuesta
técnica por
asamblea
univers i taria
Diseñar e
implementar el
s i s tema de
gestión de
ca l idad en
extens ión y
proyección
3
ISO
ISO 27001 APLICADO EN LA UNAS
ISO/IEC 27001
Análisis referencial
Nmeral Dominio o descripción porcentaje de
implementación
4.2 Establecer y manejar el SGSI 9%
4.2.1 Establecer el SGSI 24%
4.2.1 a) Definición del alcance 30%
4.2.1 b) Definición de política 30%
4.2.1 c) Definición de valoración del riesgo 35%
4.2.1 d) Identificar los riesgos 45%
4.2.1 e) Analizar y evaluar riesgos 25%
4.2.1 f) Identificar y evaluar opciones para el tratamiento
25%
4.2.1 g) Seleccionar objetivos de control y controles
0%
4.2.1 h) Obtener aprobación de la gerencia para riesgos residuales
25%
4.2.1 i) Obtener autorización de la gerencia para implementar SGSI
25%
4.2.1 j) Preparar el enunciado de aplicabilidad 0%
4.2.2 Implementar y operar el SGSI 11%
4.2.2 a) Implementar y operar SGSI 0%
4.2.2 b) Implementación tratamiento de riesgo 25%
4.2.2 c) Implementar controles 10%
4.2.2 d) Definir como medir efectividad 0%
4.2.2 e) Implementar programas de capacitación 15%
4.2.2 f) Manejar operación SGSI 0%
4.2.2 g) Manejar recurso SGSI 25%
4.2.2 h) Implementar procedimientos y otros controles
10%
4.2.3 Requerimientos de documentación 1%
4.2.3 a) Ejecutar procedimientos monitoreo y revisión
5%
4.2.3 b) Realizar revisiones regulares 0%
4.2.3 c) Medir efectividad de los controles 0%
4.2.3 d) Revisar las revisiones de riesgos 0%
4.2.3 e) Realizar auditorias internas al SGSI 0%
4.2.3 f) Realizar revisión gerencial 0%
4
4.2.3 g) Actualizar planes de seguridad 0%
4.2.3 h) Registro de acciones y eventos sobre el SGSI
0%
4.2.4 Mantener y mejorar el SGSI 3%
4.2.4 a) Implementar mejoras 0%
4.2.4 b) Tomar acciones correctivas y preventivas
5%
4.2.4 c) comunicar los resultados y acciones a las partes interesadas
5%
4.2.4 d) Asegurar que las mejoras logren sus objetivos
0%
4.3 Requerimientos de documentación 3%
4.3.1 General: Documentación SGSI 10%
4.3.2 Control de documentos 0%
4.3.3 Control de registros 0%
5 Responsabilidad de la gerencia 6%
5.1 Compromisos de la gerencia 10%
5.2 Gestión de recursos 5%
5.2.1 provisión de recursos 5%
5.2.2 Capacitación, conocimiento y capacidad 5%
6 Auditorias Internas SGSI 5%
7 Revisión gerencial SGSI 5%
7.1 General: Revisión de la gerencia 10%
7.2 Insumo de revisión 5%
7.3 Resultado de la revisión 0%
8 mejoramiento del SGSI 5%
8.1 Mejoramiento continuo 5%
8.2 Acción correctiva 5%
8.3 Acción preventiva 5%
Nivel de implementación
5,67%
Porcentaje de
implementación Descripción del porcentaje
0% No se tiene implementación
25% Se ha iniciado la implementación o está en etapa de planeación
50% Esta implementado, pero no se ha aprobado ni divulgado.
100% Esta implementado, aprobado y divulgado, además se monitorea.
5
ISO 27002 APLICADO EN LA UNAS
Anexo A: ISO 27002
Análisis referencial
Numeral Dominio o descripción porcentaje de
implementación
A.5 Politicas de seguridad 0%
A.5.1.1 Documento de la política de seguridad de la información. 0%
A.5.1.2 Revisión de la política de seguridad de la información. 0%
A.6 Organización de la seguridad de la Información 17%
A.6.1.1 Compromiso de la dirección con la seguridad de la información 10%
A.6.1.2 Coordinación de la seguridad de la información.
10%
A.6.1.3 Asignación de responsabilidades para la seguridad de la información. 15%
A.6.1.4 Procesos de autorización para los servicios de procesamiento de información. 25%
A.6.1.5 Acuerdos sobre confidencialidad 25%
A.6.1.6 Contacto con las autoridades 25%
A.6.1.7 Contacto con grupos de interés especiales 15%
A.6.1.8 Revisión independiente de la seguridad de la información 10%
A.6.2.1 Identificación de los riesgos relacionados con las partes externas 0%
A.6.2.2 Consideraciones de la seguridad cuando se trata con los clientes 25%
A.6.2.3 Consideraciones de la seguridad en los acuerdos con terceras partes 25%
A.7 Gestión de activos 25%
A.7.1.1 Inventario de activos 25%
A.7.1.2 Propiedad de los activos 25%
A.7.1.3 Uso aceptable de los activos 25%
A.7.2.1 Directrices de clasificación 25%
A.7.2.2 Etiquetado y manejo de información 25%
A.8 Seguridad de los recursos humanos 44%
A.8.1.1 Roles y responsabilidades 25%
A.8.1.2 Selección 70%
A.8.1.3 Términos y condiciones laborales 60%
A.8.2.1 Responsabilidades de la dirección 50%
A.8.2.2 Educación, formación y concientización sobre la seguridad de la información 45%
A.8.2.3 Proceso disciplinario 60%
6
A.8.3.1 Responsabilidades en la terminación 25%
A.8.3.2 Devolución de activos 30%
A.8.3.3 Retiro de los derechos de acceso 30%
A.9 Seguridad física y ambiental 50%
A.9.1.1 Perímetro de seguridad física 60%
A.9.1.2 Controles de acceso físico 60%
A.9.1.3 Seguridad de oficinas, recintos e instalaciones 60%
A.9.1.4 Protección contra amenazas externas y ambientales 60%
A.9.1.5 Trabajo en áreas seguras 60%
A.9.1.6 Áreas de carga, despacho y acceso público 60%
A.9.2.1 Ubicación y protección de los equipos 60%
A.9.2.2 Servicios de suministro 25%
A.9.2.3 Seguridad del cableado 60%
A.9.2.4 Mantenimiento de los equipos 45%
A.9.2.5 Seguridad de los equipos fuera de las instalaciones 45%
A.9.2.6 Seguridad en la reutilización o eliminación de los equipos 25%
A.9.2.7 Retiro de activos 25%
A.10 Gestión de las comunicacione y operaciones 35%
A.10.1.1 Documentación de los procedimientos de operación 35%
A.10.1.2 Gestión del cambio 15%
A.10.1.3 Distribución de funciones 25%
A.10.1.4 Separación de las instalaciones de desarrollo, ensayo y operación 60%
A.10.2.1 Prestación del servicio 60%
A.10.2.2 Monitoreo y revisión de los servicios por terceras partes 25%
A.10.2.3 Gestión de los cambios en servicios por terceras partes 20%
A.10.3.1 Gestión de la capacidad 30%
A.10.3.2 Aceptación del sistema 25%
A.10.4.1 Controles contra códigos maliciosos 25%
A.10.4.2 Controles contra códigos móviles 15%
A.10.5.1 Respaldo de la información 75%
A.10.6.1 Controles de las redes 75%
A.10.6.2 Seguridad de los servicios de la red 75%
A.10.7.1 Gestión de los medios removibles 15%
A.10.7.2 Eliminación de los medios 25%
A.10.7.3 Procedimientos para el manejo de la información 15%
7
A.10.7.4 Seguridad de la documentación del sistema 20%
A.10.8.1 Políticas y procedimientos para el intercambio de la información 10%
A.10.8.2 Acuerdos para el intercambio 10%
A.10.8.3 Medios físicos en tránsito 15%
A.10.8.4 Mensajería electrónica 60%
A.10.8.5 Sistemas de información del negocio 25%
A.10.9.1 Comercio electrónico 60%
A.10.9.2 Transacciones en línea 65%
A.10.9.3 Información disponible al público 75%
A.10.10.1 Registro de auditorías 30%
A.10.10.2 Monitoreo del uso del sistema 30%
A.10.10.3 Protección de la información del registro 25%
A.10.10.4 Registros del administrador y del operador 45%
A.10.10.5 Registro de fallas 25%
A.10.10.6 Sincronización de relojes 25%
A.11 Control de acceso 56%
A.11.1.1 Política de control de acceso 45%
A.11.2.1 Registro de usuarios 65%
A.11.2.2 Gestión de privilegios 60%
A.11.2.3 Gestión de contraseñas para usuario 60%
A.11.2.4 Revisión de los derechos de acceso de los usuarios 30%
A.11.3.1 Uso de contraseñas 60%
A.11.3.2 Equipo de usuario desatendido 45%
A.11.3.3 Política de escritorio despejado y de pantalla despejada 30%
A.11.4.1 Política de uso de los servicios de red 60%
A.11.4.2 Autenticación de usuarios para conexiones externas 95%
A.11.4.3 Identificación de los equipos en las redes 60%
A.11.4.4 Protección de los puertos de configuración y diagnóstico remoto
65%
A.11.4.5 Separación en las redes 65%
A.11.4.6 Control de conexión a las redes 65%
A.11.4.7 Control de enrutamiento en la red 75%
A.11.5.1 Procedimientos de ingreso seguro 50%
A.11.5.2 Identificación y autenticación de usuarios 50%
A.11.5.3 Sistema de gestión de contraseñas 50%
A.11.5.4 Uso de las utilidades del sistema 75%
A.11.5.5 Tiempo de inactividad de la sesión 85%
8
A.11.5.6 Limitación del tiempo de conexión 50%
A.11.6.1 Restricción de acceso a la información 50%
A.11.6.2 Aislamiento de sistemas sensibles 25%
A.11.7.1 Computación y comunicaciones móviles 45%
A.11.7.2 Trabajo remoto 50%
A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información
51%
A.12.1.1 Análisis y especificación de los requisitos de seguridad 50%
A.12.2.1 Validación de los datos de entrada 40%
A.12.2.2 Control de procesamiento interno 40%
A.12.2.3 Integridad del mensaje 50%
A.12.2.4 Validación de los datos de salida 40%
A.12.3.1 Política sobre el uso de controles criptográficos 50%
A.12.3.2 Gestión de llaves 60%
A.12.4.1 Control del software operativo 90%
A.12.4.2 Protección de los datos de prueba del sistema 10%
A.12.4.3 Control de acceso al código fuente de los programas 50%
A.12.5.1 Procedimientos de control de cambios 65%
A.12.5.2 Revisión técnica de las aplicaciones después de los cambios en el sIstema operativo 60%
A.12.5.3 Restricciones en los cambios a los paquetes de software
60%
A.12.5.4 Fuga de información 50%
A.12.5.5 Desarrollo de software contratado externamente 50%
A.12.6.1 Control de vulnerabilidades técnicas 50%
A.13 Gestión de incidentes de seguridad de la información 48%
A.13.1.1 Reporte sobre los eventos de seguridad de la información 45%
A.13.1.2 Reportes sobre las debilidades de la seguridad 45%
A.13.2.1 Responsabilidades y procedimientos 50%
A.13.2.2 Aprendizaje debido a los incidentes de seguridad de la información 50%
A.13.2.3 Recolección de evidencia 50%
A.14 Gestión de la continuidad del negocio 29%
9
A.14.1.1 Inclusión de la seguridad de la inf. En el proceso de gestión de la continuidad del negocio 25%
A.14.1.2 Continuidad del negocio y evaluación de riesgos 45%
A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la inf. 25%
A.14.1.4 Estructura para la planificación de la continuidad del negocio 25%
A.14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio 25%
A.15 Cumplimiento 54%
A.15.1.1 Identificación de legislación aplicable 65%
A.15.1.2 Derechos de propiedad intelectual (DPI) 90%
A.15.1.3 Protección de los registros de la organización 70%
A.15.1.4 Protección de los datos y privacidad de la información personal 90%
A.15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información 50%
A.15.1.6 Reglamentación de los controles criptográficos 65%
A.15.2.1 Cumplimiento con las políticas y normas de seguridad 30%
A.15.2.2 Verificación del cumplimiento técnico 25%
A.15.3.1 Controles de auditoría de los sistemas de información 25%
A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información
25%
Nivel de implementación
37,15%
Porcentaje de implementación
Descripción del porcentaje
0% No se tiene implementación
25% Se ha iniciado la implementación o está en etapa de planeación
50% Esta implementado, pero no se ha aprobado ni divulgado.
100% Esta implementado, aprobado y divulgado, además se monitorea.
28%
10%
18%
14%
15%
15%
ISO 27001: Nive de implementación
Establecer y manejar el SGSI
Requerimientos de documentación
Responsabilidad de la gerencia
Auditorias Internas SGSI
Revisión gerencial SGSI
mejoramiento del SGSI
RESUMEN DE LA ISO 27001 Y LA 27002 EN LA UNAS
ISO 27001
Numeral Dominio Porcentaje cumplimiento Nivel Ideal
4.2 Establecer y manejar el SGSI 9,4% 100%
4.3 Requerimientos de documentación 3,3% 100%
5 Responsabilidad de la gerencia 6,3% 100%
6 Auditorias Internas SGSI 5,0% 100%
7 Revisión gerencial SGSI 5,0% 100%
8 mejoramiento del SGSI 5,0% 100%
5,67%
9,4%
3,3%
6,3%
5,0%
5,0%
5,0%
100%
100%
100%
100%
100%
100%
0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
80,0%
90,0%
100,0%
Establecer y manejar el SGSI
Requerimientos de documentación
Responsabilidad de la gerencia
Auditorias Internas SGSI
Revisión gerencial SGSI
mejoramiento del SGSI
Nivel implementación ISO/IEC 27001
Nivel cumplimiento Cumplimiento total
1
ISO 27002 Numeral Dominio Porcentaje cumplimiento Nivel proyectado - META Nivel IDEAL
A.5 A.5 Politicas de seguridad 0,00% 85% 100%
A.6 A.6 Organización de la seguridad de la Información 16,82% 85% 100%
A.7 A.7 Gestión de activos 25,00% 85% 100%
A.8 A.8 Seguridad de los recursos humanos 43,89% 85% 100%
A.9 A.9 Seguridad física y ambiental 49,62% 85% 100%
A.10 A.10 Gestión de las comunic y oper 35,47% 85% 100%
A.11 A.11 Control de acceso 56,40% 85% 100%
A.12 A.12 Adquisición, dllo y mante. de SI 50,94% 85% 100%
A.13 A.13 Gestión de incidentes de seguridad de la información 48,00% 85% 100%
A.14 A.14 Gestión de la continuidad del negocio 29,00% 85% 100%
A.15 A.15 Cumplimiento 53,50% 85% 100%
37,15%
0% 4% 6%
11%
12%
9%14%
12%
12%
7% 13%
ISO 27002: Nivel de implementación
A.5 Politicas de seguridad
A.6 Organización de la seguridad de la Información
A.7 Gestión de activos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y ambiental
2
0,00%10,00%20,00%30,00%40,00%50,00%60,00%70,00%80,00%90,00%
100,00%A.5 Politicas de seguridad
A.6 Organización de la seguridad de la Información
A.7 Gestión de activos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y ambiental
A.10 Gestión de las comunic y oper
A.11 Control de acceso
A.12 Adquisición, dllo y mante. de SI
A.13 Gestión de incidentes de seguridad de la información
A.14 Gestión de la continuidad del negocio
A.15 Cumplimiento
Nivel implementación ISO 27002
Estado Actual
Nivel proyectado-META
Nivel ideal
FUENTES DE VERIFICACIÓN
1
CONCLUSIONES
- De acuerdo al estudio y diagnóstico de la seguridad de la información con
respecto al ISO 27001 de la Universidad Nacional Agraria de la Selva es de
5.67 % deduciendo que no se tiene implementado la norma ISO 27001
- De acuerdo al estudio y diagnóstico de la seguridad de la información con
respecto al ISO 27002 de la Universidad Nacional Agraria de la Selva es de
37.15 % deduciendo que se ha iniciado la implementación o está en la etapa
de planeación de la norma ISO 27001