DIAGNSTICO DE LA SITUACIN ACTUAL DE LA ADMINISTRACIN DE LA
SEGURIDAD DE INFORMACIN 3.1 Evaluacin
Efectuada nuestra revisin de la administracin de riesgos de
tecnologa de informacin del Municipalidad hemos observado que el
Plan de Seguridad de Informacin (PSI) no ha sido desarrollado. Si
bien hemos observado la existencia de normas, procedimientos y
controles que cubren distintos aspectos de la seguridad de la
informacin, se carece en general de una metodologa, gua o marco de
trabajo que ayude a la identificacin de riesgos y determinacin de
controles para mitigar los mismos. Dentro de los distintos aspectos
a considerar en la seguridad de la Informacin, se ha podido
observar que se carece de Polticas de seguridad de la Informacin y
de una Clasificacin de Seguridad de los activos de Informacin del
Municipalidad. Cabe mencionar que se ha observado la existencia de
controles, en el caso de la Seguridad Lgica, sobre los accesos a
los sistemas de informacin as como procedimientos establecidos para
el otorgamiento de dichos accesos. De igual manera se ha observado
controles establecidos con respecto a la seguridad fsica y de
personal. Sin embargo, estos controles no obedecen a una definicin
previa de una Poltica de Seguridad ni de una evaluacin de riesgos
de seguridad de la informacin a nivel de todo el Municipalidad Los
controles establecidos a la fecha son producto de evaluaciones
particulares efectuadas por las reas involucradas o bajo cuyo mbito
de responsabilidad recae cierto aspecto de la seguridad. SITUACIN
ACTUAL
3.2 Alcances El alcance del diagnstico de la situacin de
administracin del riesgo de Tecnologa de Informacin, en adelante
TI, comprende la revisin de las siguientes funciones al interior
del rea de sistemas: Administracin del rea de Tecnologa de
Informacin
- Estructura organizacional
- Funcin de seguridad a dedicacin exclusiva
- Polticas y procedimientos para administrar los riesgos de
TI
- Subcontratacin de recursos.
Actividades de desarrollo y mantenimiento de sistemas
informticos
Seguridad de la Informacin
- Administracin de la Seguridad de la Informacin.
- Aspectos de la seguridad de la informacin (lgica, personal y
fsica y ambiental) - Inventario peridico de activos asociados a
TI
Operaciones computarizadas
- Administracin de las operaciones y comunicaciones
- Procedimientos de respaldo
- Planeamiento para la continuidad de negocios
- Prueba del plan de continuidad de negocios
Asimismo, comprende la revisin de los siguientes aspectos:
Cumplimiento normativo
Privacidad de la informacin
Auditoria de sistemas
El siguiente cuadro muestra el grado de cumplimiento en los
aspectos relacionados a la adecuacin del Plan de Seguridad:
SITUACIN ACTUAL 3 ING. ANDREI QUISPE ALDERETE | Aspectos Evaluados
Grado de Cumplimiento
1 Estructura de la seguridad de la Informacin
2 Plan de seguridad de la Informacin
2.1 Polticas, estndares y procedimientos de seguridad.
2.1.1. Seguridad Lgica
2.1.2 Seguridad de Personal
2.1.3 Seguridad Fsica y Ambiental
2.1.4 Clasificacin de Seguridad
3 Administracin de las operaciones y comunicaciones
4 Desarrollo y mantenimiento de sistemas informticos
5 Procedimientos de respaldo
6 Plan de continuidad de negocios
6.1 Planeamiento para la Continuidad de Negocios
6.2 Criterios para el diseo e implementacin del Plan de
continuidad de Negocios
6.3 Prueba del Plan de Continuidad de Negocios
7 Subcontratacin
8 Cumplimiento normativo
9 Privacidad de la informacin
10 Auditoria de Sistemas
SEGURIDAD DE LA INFORMACCION ROLES Y ESTRUCTURA
ORGANIZCIONALSITUACION ACTUALLa administracin de seguridad de
informacin se encuentra distribuida principalmente entre es las
reas de sistema y el rea de seguridad informtica .En algunas casos
la administracin realizada por la jefatura y la gerencia del rea
que utiliza la plica de seguridad realizadas actualmente por el rea
de seguridad informtico. Son las siguientes:Creacin y elimina nacin
de usuariosVerificacin y asignacin de perfiles en las
aplicacionesLas labores de seguridad realizadas por el rea de
sistemas son las siguientes:Control de red Administracin del
firewallAdministracin de acceso a base de datosLas funciones de
desarrollo y mantenimiento de polticas y estndares de seguridad no
estn definidas dentro de los roles de la organizacinROLES Y
RESPONSABILIDAD DE LA INFRAESTRUCTURA ORGANIZACIONAL DE SEGURIDAD
DE INFORMACIONElla rea de la municipalidad provincial de Junn
dentro de las responsabilidades se encuentra la gestin del plan as
mismo es promover la responsabilidad Es importante mencionar que
las responsabilidades referentes a la seguridad de informacin son
distribuidas dentro de toda la organizacinY no son de meter
responsabilidad del rea de la informticaAREA DE SEGURIDAD
INFORMATICA Ella rea organizacional encargada de la municipalidad
provincial de Junn tiene como sponsabilidades: Establecer y
documentar las responsabilidades en cuanto a la seguridad de la
organizacin Mantener la poltica y estndares Identificar objetivos
de seguridad y estndares de seguridad de la municipalidad
provincial e Junn Definir metodologas y procesos relacionados a la
seguridad Monitorear el cumplimiento de las polticas Evaluar
aspectos de seguridad productos de la tecnologa Verificar que cada
activo de la municipalidad haya sido asignado a un dueo o
propietarioCUSTODIO DE LA INFORMACIONEs el responsable encargado de
monitorear sobre la seguridad de los sistemas las responsabilidades
son: Administrar accesos a nivel de red (sistema operativo)
Administrar accesos a nivel de base de datos Administrar los
accesos a archivos fsicos de informacin almacenada en medios
magnticos (diskettes, cintas )pticos (cds) o impresora Implementar
controles definidos USUARIOLos usuarios son
responsabilidades:Mantener la confidencialidad de las contraseas de
a aplicaciones y sistemasReportar supuesta violacin de la seguridad
de la informacinAsegurarse de ingresar informacin adecuadaUtilizar
informacin de la municipalidad para los propsitos
autorizadosPROPIETARIO DE INFORMACIONLos propietarios son los
gerentes y jefes de las unidades del negocio. Las reas de negocio
son consideradas como riesgos de tal forma que sea posible tomar
decisiones para disminuir lo los mismosROLES Y ESTRUCTURA DE LA
MUNICIPALIDAD PROVINCIAL DE JUNIN Revisin peridica de la
clasificacin de la informacin con el propsito de verificar que
cumpla con los requerimientos del negocio Asegurar que los
controles de seguridad aplicados sea con la clasificacin realizado
Revisin periodicen consistentes producto de los de su rea
AUDITORIA INTERNAEl responsable de monitorear que se cumplan los
estndares y protocolos realizados con el rea de seguridad
informtica el control debe estar regido de a acuerdo a la
municipalidad provincial de JunnORGANIZACIN DEL AREA DE SEGURIDAD
INFORMATICA PROPUESTADado el volumen de operaciones y la criticidad
que presenta la informacin para la municipalidad provincial de Junn
teniendo la buena practicaEl comit deber realizar reuniones
constantes para ver el avance con la posibilidad de convocar
reuniones de emergencia si se suscita algo Es importante resaltar
que despus del cumplimiento de sus roles y el buen entendimiento ya
dar las respectivas informacin a la Gerente de divisin y
administracin
En esta poltica se elabora con el propsito de polticas y
estndares de seguridad para proteger la informacin de la
municipalidad provincial de Junn setas servir de gua para la
integrada implementacin de medidas de seguridad que contribuir
mantener confidencialidad disponibilidad e integridad de los datos
de aplicacin, redes, instalaciones de cmputo y procedimientos
naturales.El documento de polticas. La de seguridad ha sido
elaborada tomando como base la siguiente documentacin:Estndar de
seguridad de la informacin ISO 17799Requerimiento de la circular N
G -105-2002 de la Superintendencia de banca y seguros (SBS)Normas
internas del Banco referidas a seguridad de la
informacinDEFINICIONUna poltica de seguridad de informacin es UN
COJUNTO DR REGLAS aplicadas a todas las actividades relacionadas a
la informacin de una entidad el propsito es proteger la informacin
PROPOSITOEl propsito Es proteger la informacin es proteger todos
los activos del activo del del banco .Las polticas son guas para
asegurar la proteccin de computoCUMPLIMIENTO OBLIGATORIOEl
cumplimiento obligatorio de las polticas y estndares de seguridad
de la informacin es obligatorio y debe ser considerado como una
condicin en los contratos del personal El banco puede obviar
algunas polticas de seguridad definidas en este documento,
nicamente cunado se ha demostrado claramente en el cumplimiento de
dichas polticas ORGANIZACIN DE LA SEGURIDADEn este poltica se
definen los roles y responsabilidades con respecto de recursos de
informacin Estructura OrganizacionalParticipan todos los empleados
siguiendo uno o ms roles: rea de seguridad Informtica Usuario
Custodio de informacin Propietario de informacin Auditor interno
ExternoACCESO lSO POR PARTE DE TERCEEROS Debe establecer las
restricciones para el ingreso que de un interno todo ingreso del
externo debe ser tener un permiso por parte de un
internoOUtsourcingTodos los contratos de outsourcing deben incluir
lo siguiente Acuerdos sobre polticas y controles Determinar niveles
de disponibilidad Determinar los requerimientos legales de la
municipalidadINVENTARIO DE ACTIVOSSirve para las protecciones
eficaces de los recursos y otras actividades de la municipalidad
relacionadas con sanidad seguro y defensas siendo los siguientes:
Recursos de informacin fsicos Recursos de software Activos fsicos
CLASIFICACION DEL ACCESO DE LA INFORMACIONL a confidencialidad debe
ser documentada por el propietario aprobado por la responsable
gerente y el acceso solo debe ser cambiado por el propietario tener
siempre en cuenta estas coas: Datos de inters para la competencia
Estrategias de marketing Fechas de renovacin de crditos Datos que
proveen informacin o servicios Datos a ser el blanco fraude de u
otra actividad ilcitaDEFINICIONESRestringida: Informacin con mayor
grado de sensibilidad el acceso a este debe ser
restringidoConfidencial: Informacin que solo deben saber las
personas confiables a estaenerados para Uso interno: Datos
facilitar las operaciones diarias; debe ser manejadas discretamente
General: Informacin para el publicoAPLICACIN DE CONTROLESPARA LA
IINFORMACION CLASIFICADALas medidas se incluyen incluyendo y
limitan en las siguientes: Todo contenedor debe tener algo que lo
identifique No mezclar informaciones El receptor de informacin debe
tener un permiso ANLIZIS DE RIESGOEl responsable es el encargado de
identificar los riesgos es importante identificar: reas vulnerables
Perdida potencial Seleccin de controles y objetivos de control a
mitigar Adicionalmente debe hacerse un cambio necesario para poner
en prcticas los controles CUMPLIENTOSe caracteriza por:
Identificacin y clasificacin de correcta de los activos A aplicacin
de riesgo para poder mitigar o transferir Reporte
adecuadoACEPTACION DE RIESGOLa gerencia es responsable bien en
mitigar o reducir los riesgosSEGURIDAD PERSONALTambin los estndares
deben ser aplicados para el personal esta poltica se aplica a todos
los empleados personal contratado y proveedoresLos empleados son
los activos ms valiosos de la municipalidad de JunnSEGURIDAD EN LA
DEFINICION DE PUESTOS DE TRABAJO Y RECURSOS El departamento de
recursos humanos debe notificar al rea de informtica la renuncia o
el comienzo de trabajo o vacacionesSEGURIDAD DE CONTRASEASSon dos
estructura longitud 8 caracteres ser difciles un carcter minscula o
mayscula y vigencia el cambio se debe dar de 90 dasCOPIADO DE LA
INFORMACIONLos documentos importantes no deben ser copiados sin la
autorizacin del propietario stos son los gerentes, l copiado debe
ser aprobado por el propietario y clasificado al igual que el
originalELIMINACION DE LA INFORMACIONEsta debe asegurar la
confidencialidad de las unidades de la municipalidad se debe borra
de los medios magnticos antes de que estos sean eliminados El el
caso de los equipos daados la empresa de reparacin o destruccin del
equipo debe certificar que los datos hayan sido destruidos o
borrados
