PLAN DE SEGURIDAD DE

SISTEMAS DE
INFORMACION

PROYECTO ESPECIAL
OLMOS TINAJONES

CHICLAYO, AGOSTO 2014

1. ALCANCE DE PLAN DE SEGURIDAD DE SISTEMAS DE INFORMACION

El presente Plan de Seguridad de Sistemas de Informacin es de alcance para todos los

Sistemas de Informacin existentes en el PEOT, tantos privados como pblicos, que
soportan los diversos procesos de apoyo administrativo de la institucin.

2. CARACTERIZACIN DE LOS SISTEMAS INFORMATICOS EN EL PEOT

Se describir de manera detallada el sistema informtico de la entidad, precisando los
elementos que permitan identificar sus particularidades y las de sus principales
componentes: la informacin, las tecnologas de informacin, las personas y los inmuebles,
considerando entre otros que soportan los diversos procesos del negocio: De soporte como
procesos primarios.

DEFINICION DE PROCESOS DE LA CADENA DE VALOR

PROCESOS DE SOPORTE:
- Administrar la gestin de planificacin, presupuesto y racionalizacin
- Gestin contable y tesorera
- Gestin de abastecimiento
- Administrar el Personal
- Administracin de Sistemas de Informacin y Tecnologa de la Informacin
- Control de Documentacin
- Administrar el equipo mecnico
- Gestionar activos fijos
- Planificacin y realizacin del apoyo legal

PROCESOS PRIMARIOS
- Gestin de Proyectos de Inversin
- Gestionar y administrar servicios
 CATLOGO DE SERVICIOS INFORMTICOS EN EL PEOT

Tipo Lnea de Servicio Servicios de TI

Instalacin de hardware y
software
Servicios de Actualizacin y Documentacin Registro de averas
Aplicaciones y de TI Informes y reportes
Operaciones
Implementacin de sistemas
Mantenimiento y soporte de
Implementacin de Sistemas sistemas de TI
Apoyo en inventario de bienes

Internet
Conectividad Cableado y configuracin de
redes
Servicios de Correo corporativo
Infraestructura Administracin de servidores
y Central telefnica
comunicaciones Seguridad
Soporte a usuarios
Ensamblaje y Mantenimiento de
Soporte y mantenimiento
equipos
Asistencia externa

RELACION DE SISTEMAS UTILIZADOS EN EL PEOT

SISTEMAS DESARROLLADOS EN EL PEOT

SISTEMA OPERATIVO
AREA SISTEMA USUARIOS
QUE LO SOPORTA

CONTABILIDAD CONTABLE 04 NOVELL

WINDOWS 2003
PERSONAL PLANILLAS 02
SERVER
SISABA 05 NOVELL
ABASTECIMIENTOS
CONTROL WINDOWS 2003
02
COMBUSTIBLE SERVER
WINDOWS 2003
PATRIMONIO PATRIM 02
SERVER
 SISTEMAS EXTERNOS

SERVIDOR QUE LO
AREA SISTEMA USUARIOS SOPRTA

WINDOWS 2008
CONTABILIDAD SIAF 03
SERVER
WINDOWS 2008
PERSONAL SIAF 02
SERVER
WINDOWS 2008
OPP SIAF 01
SERVER
WINDOWS 2008
SIAF 01
ABASTECIMIENTOS SERVEFR
WEB (SEACE, OSCE) 02 WEB

PERSONAL T_PLAME 01 WEB

PERSONAL T_REGISTRO 01 WEB

PERSONAL AFP_NET 01 WEB

WEB (SIGA
PERSONAL CONTROL 01 WEB
ASISTENCIA)
VARIAS SISGEDO 15 WEB

PRINCIPALES COMPONENTES DEL SISTEMA INFORMATICO EN EL PEOT

TIPOS DE CRITICIDAD DE LA INFORMACION

CONFIDENCIAL: Muy sensible, su divulgacin podra afectar seriamente a la organizacin.

Ejm. Secretos comerciales, cdigos de programas, etc.

PRIVADO: Informacin personal y para uso interno de la organizacin. Ejm. Informacin de

planillas del personal, informes mdicos, etc.

SENSIBLE: Debe protegerse de la perdida de confidencialidad e integridad. Ejm. Informacin

financiera, detalles de proyectos, etc.

PBLICO: Puede ser pblica, su conocimiento, no reviste gravedad. Ejm. Pgina web,
comunicados, etc.

Del tipo de criticidad de informacin administrada en los sistemas de Informacin en el PEOT

se puede detallar lo siguiente:
SITUACIN DE LOS SISTEMAS INFORMATICOS

TRANSACCIONALES
- GESTIN DE PERSONAL: Proceso encargado de gestionar el personal de la institucin
desde su ingreso hasta su baja, dicho proceso est soportado sobre un sistema de
control de personal PLANILLAS que se encarga de gestionar planillas, pagos,
asistencias y contratos. Dicho proceso esta soportado sobre un sistema cliente /
servidor, desarrollado en Visual Fox Pro con Base de Datos SQL Server.

La mayora de la informacin que se administra en este sistema es de tipo PRIVADO

y muy crtica. Lo cual implica una serie de medidas que permitan su proteccin,
disponibilidad e integridad de la informacin.

- GESTIN DE ABASTECIMIENTO: Proceso encargado de realizar las adquisiciones a

travs de los diversos tipos de procesos (Menor cuanta, pblico, etc.), pasando por
su almacenamiento y despacho al usuario final. Este proceso est actualmente
soportado sobre un sistema cliente / servidor desarrollado en lenguaje de
programacin Visual Fox Pro y con tablas libres. Dicho Sistema est soportado en un
servidor NOVELL, cuya infraestructura no es la adecuada, por cuanto es una PC
compatible.

La informacin administrada en este sistema es de tipo PRIVADO y de una criticidad

media.

- GESTIONAR ACTIVOS FIJOS O DE CONTROL PATRIMONIAL: Proceso que permite

llevar el control patrimonial de los activos fijos de la institucin iniciando con el
registro de los bienes clasificndolos segn su precio como Activos, cuentas de Orden
o Lista Interna que son los bienes de menor precio. Dicho proceso lleva el control de
la asignacin y ubicacin de los bienes tanto en el local central como en los
campamentos anexos, permitiendo depreciar los bienes segn la cuenta contable a
la cual est registrado el bien. Actualmente cuenta este proceso est soportado
sobre un sistema de control patrimonial cliente / servidor desarrollado en Lenguaje
de programacin Visual Fox Pro y con tablas libres. Dicho sistema est soportado en
un servidor COMPAQ PROLINT con sistema operativo Windows 2003 Small Bussines
server.

La informacin administrada en este sistema es de tipo PRIVADO y de una criticidad

media.

- CONTROL DE DOCUMENTACIN: Proceso encargado de llevar el seguimiento de los

documentos desde su ingreso a la institucin hasta su atencin respectiva.

Actualmente est soportado sobre un sistema de trmite documentario gestionado

por el Gobierno Regional e implementado en la web a fin de que todas las unidades
pertenecientes al Gobierno regional de Lambayeque lo utilicen.

- Informacin gestionada con una criticidad de Tipo PBLICO:

- Seguimiento de documentos internos.
- Seguimiento de documentos externos.
- Reporte de documentos aceptados.
 - Reporte de documentos rechazados.
- Estadstica de documentos ingresados.

Dicho sistema es utilizado por las diversas secretarias de las diversas reas del
PEOT, y para su acceso al sistema es la conexin a Internet.

DE SOPORTE A LA DECISIN
- ADMINISTRAR LA GESTIN DE PLANIFICACIN, PRESUPUESTO Y
RACIONALIZACIN: Proceso que permite la planificacin presupuestaria de la
institucin, a travs de la distribucin del gasto e ingresos a las diversas metas
registradas para la institucin. Actualmente este proceso est soportando sobre un
sistema Cliente / servidor del Ministerio de Economa y Finanzas llamado SIAF
Sistema Integrado de Administracin Financiera. Este sistema no se encuentra
integrado a los sistemas propios de la institucin y esta soportado sobre un Servidor
Compaq Proliant de ltima generacin. La informacin generada (compromisos,
gastos, etc.) son transmitidos va internet al Servidor Central del Ministerio de
Economa y Finanzas.

Fsicamente este equipo se encuentra ubicado en la unidad de Contabilidad en un

espacio de libre acceso a la oficina.

La informacin administrada en este tipo de sistema es de PRIVADO - PUBLICO con

una criticidad media.

- GESTIN CONTABLE Y TESORERA: Proceso que permite llevar la contabilidad de la

institucin el cual se encuentra soportado en un sistema cliente / servidor soportado
sobre un Servidor NOVELL, el cual se encuentra en proceso de actualizacin.

La informacin administrada en este sistema es de tipo PRIVADO, con una

criticidad Alta.

SITUACIN DE LA RED INFORMATICA

Actualmente en el PEOT se cuenta con (03) tres redes sobre la que soporta a los diversos
sistemas de informacin. Los que se describen a continuacin

- LA RED PRINCIPAL, que soporta a 110 usuarios de los cuales 6 usuarios para los
sistemas los Sistemas de Personal, Control de Combustible, Control Patrimonial,
- LA RED SIAF, que soporta al SIAF con 07 usuarios en la Red
- LA RED NOVELL, que soporta a los sistemas de Contabilidad y Abastecimientos
con 09 usuarios en la Red

3. RESULTADOS DEL ANLISIS DE RIESGOS

Una vez definido el alcance del Plan de Seguridad de los Sistemas de Informacin y realizada
una detallada descripcin del sistema informtico, corresponde finalizar esta primera parte
con la formulacin de las conclusiones obtenidas durante la determinacin de las
 necesidades de proteccin mediante la evaluacin de los riesgos. Estas conclusiones
incluyen:

a) Cules son los bienes informticos ms importantes para la gestin de la entidad y

por lo tanto requieren de una atencin especial desde el punto de vista de la
proteccin de los Sistemas de Informacin, especificando aquellos considerados de
importancia crtica por el peso que tienen dentro del sistema.
b) Qu amenazas pudieran tener un mayor impacto sobre la entidad en caso de
materializarse sobre los bienes a proteger.

RELACION DE ACTIVOS DE TI RELACIONADOS CON LA INFORMACIN DE MAYOR CRTICIDAD

EN EL NEGOCIO
ID SERVICIO CUSTODIO PROPIETARIO PROCESO
Principal Alterno Principal Alterno
MSSTI MANTENIMIENTO Y SI SI GESTION DE PERSONAL, GESTION DE
SOPORTE DE CONTBILIDAD Y TESOERIA, GESTION DE
SISTEMAS DE ABASTECIMEINTOS, GESTION DE
INFORMACIN PLANIFICACIN
AS ADMINISTRACIN DE SI SI GESTION DE PERSONAL, GESTION DE
SERVIDORES CONTBILIDAD Y TESOERIA, GESTION DE
ABASTECIMEINTOS, GESTION DE
PLANIFICACIN
CCR CABLEADO Y SI SI GESTION DE PERSONAL, GESTION DE
CONFIGURACIN DE CONTBILIDAD Y TESOERIA, GESTION DE
REDES ABASTECIMEINTOS, GESTION DE
PLANIFICACIN
E INTERNET SI SI GESTION DE PERSONAL, GESTION DE
CONTBILIDAD Y TESOERIA, GESTION DE
ABASTECIMEINTOS, GESTION DE
PLANIFICACIN, GESTION NEGOCIO
CC CORREO SI SI GESTION NEGOCIO
CORPORATIVO
CT CENTRAL TELEFONICA SI SI GESTION NEGOCIO
ASN ADMINSITRACION DE SI SI GESTION NEGOCIO
SEVIDORES
SS SEGURIDAD SI SI GESTION NEGOCIO
 ID ACTIVO CANTIDAD TIPO DE CLASIFICACION DE INFORMACION VALORACION CUSTODIO
ACTIVO DEL ACTIVO
Confidencial Integridad Disponibilidad Nivel Valor Principal Alterno
MSSTI SISTEMA DE 01 SISTEMAS O Uso Interno Alta Muy Alta Alto 3 SI
PLANILLAS APLICACIONES
MSSTI PLANILLERO 01 PERSONA Uso Interno Normal Muy Alta Alto 2 SI
AS SERVIDOR 01 EQUIPOS DE Uso Interno Alta Muy Alta Alto 3 SI
WINDOWS 2003 COMPUTO
SMALL BUSSINES
CCR INFRAESTURCTURA 01 INSTALACIONES Uso Interno Normal Muy Alta Alto 3 SI
DE RED
E ACCESO A 01 SERVICIO Uso Interno Normal Muy Alta Alto 3 SI
INTERNET y Externo
MSSTI SISTEMA DE 01 SISTEMAS O Uso Interno Alta Muy Alta Alto 3 SI
CONTABILIDAD APLICACIONES
AS SERVIDOR NOVELL 01 EQUIPOS DE Uso Interno Alta Muy Alta Alto 3 SI
COMPUTO
MSSTI SISTEMA 01 SISTEMA O Uso Interno Alta Muy Alta Alto 3 SI
INTEGRADO DE APLIACCIONES
ADMINISTRACION
FINANCIERA
AS SERVIDOR 01 EQUIPOS DE Uso Interno Alta Muy Alta Alto 3 SI
WINDOWS SERVER COMPUTO
2008
MSSTI SISTEMA DE 01 SISTEMAS O Uso Interno Media Baja Bajo 1 SI
ABASTECIMEINTOS APLICACIONES
CC SERVIDOR CORREO 01 EQUIPOS DE Uso Interno Media Media Medio 2 SI
CORPORATIVO - COMPUTO y Externo
UBUNTU
CT CENTRAL 01 TELEFONOS Uso Interno Media Media Bajo 2 SI
PANASONIC y Externo
ASN SERVIDOR WEB 01 EQUIPOS DE Uso Interno Alta Alta Alta 3 SI
COMPUTO y Externo
ASN SERVIDOR PROXY 01 EQUIPOS DE Uso Interno Alta Alta Alta 3 SI
COMPUTO y Externo
MSSTI PROGRAMADOR 00 PERSONA Uso Interno Alta Media Medio 2 -
SS CAMARAS DE 15 OTROS Uso Interno Media Baja Majo 1 SI
VIGILANCIA
IDENTIFICACION DE AMENAZAS SOBRE ACTIVOS CRTICOS DE TI QUE SOPORTAN A LOS SISTEMAS DE INFORMACIN Y SU RESPECTIVA VALORIZACIN DEL
RIESGO.
ID ACTIVO CRITICO DE TI PERFIL DE AMENAZAS AMENAZAS VULNERABILIDADES PROBABIL. IMPACTO RIESGO
1 2 3 1 2 3 (P*I)
MSSTI SISTEMA DE PLANILLAS - Red Acceso de usuarios no Autorizados - No existe una poltica de X X 3
- Problemas del Sistema proteccin de contraseas
- Sistema de planillas no est
Mal funcionamiento del Software debidamente consistenciado X X 6

Error operacional por parte del personal X X 3

MSSTI PLANILLERO - Otros Indisponibilidad del Personal - Falta de otro personal capacitado X X 6
en la elaboracin de planillas.
AS SERVIDOR WINDOWS 2003 - Red Falla de equipos - No existe actualmente X X 3
SMALL BUSSINES - Fsico
- Problemas del Sistema Infecciones por virus informticos y X X 2
cdigo malicioso
CCR INFRAESTURCTURA DE RED - Fsico Sabotaje - Falta de controles fsicos (No existe X X 2
una identificacin exacta de puntos
red)
- Red no cumple los estndares de
Insuficiencia de Infraestructura de X X 4
calidad.
seguridad

E ACCESO A INTERNET - Red Fallas en equipo de telecomunicacin - Periodo largo entre X X 3

- Problemas del Sistema mantenimientos
Interrupcin del servicio por parte del X X 3
proveedor
MSSTI SISTEMA DE CONTABILIDAD - Red Acceso de usuarios no autorizados - Falta de controles lgicos X X 3
- Problemas del Sistema - Lenguaje de Programacin
obsoleto y tablas no estn
Mal funcionamiento del Software contenidas en una base de datos. X X 9

Corrupcin de Datos X X 6
AS SERVIDOR NOVELL - Problemas del Sistema Hardware Deficiente - Sistema Operativo Obsoleto X X 9
- Fsico - Pc Compatible es usada como
Software deficiente servidor X X 9

MSSTI SISTEMA INTEGRADO DE - Fsico Infecciones por virus informtico y - Ausencia de Antivirus X X 2
ADMINISTRACION - Otros cdigo malicioso
FINANCIERA
AS SERVIDOR WINDOWS - Problemas del Sistema Insuficiencia de Infraestructura de - Equipo ubicado fuera del Centro X X 2
SERVER 2008 - Otros seguridad de Cmputo en un rea transitable
sin seguridad.
MSSTI SISTEMA DE - Problemas del Sistema Corrupcin de datos - Tablas no estn contenidas en una X X 4
ABASTECIMEINTOS - Red base de datos
- Spyware / Adware X X 2

Hardware deficiente X X 4

ASN SERVIDOR PROXY - Problemas del Sistema Hackers y otros agresores externos - Falta de Controles lgicos y fsicos X X 9
- Red como un firewall fsico.
Robo de Informacin X X 2

MSSTI PROGRAMADOR - Otros Indisponibilidad del Personal - Ausencia de Personal X X 4

4. POLITICAS DE SEGURIDAD DE SISTEMAS DE INFORMACIN

En este acpite se establecen las normas generales que deben cumplir los usuarios de los
diversos sistemas de informacin y se derivan de los resultados obtenidos en el anlisis de
riesgos y de las definidas por las instancias superiores en las leyes, resoluciones,
reglamentos, y otros documentos rectores.

Las polticas que se describan comprenden toda la organizacin, ya que es obligatorio su

cumplimiento en las reas que las requieran, razn por la cual sern lo suficientemente
generales y flexibles para poder implementarse en cada caso mediante las medidas y
procedimientos que demanden las caractersticas especficas de cada lugar.

Las responsabilidades frente a la seguridad de los Sistemas de Informacin son

definidas, informadas y aceptadas por cada uno de los usuarios de los diversos sistemas
de informacin que soportan los diversos procesos.
Proteger la informacin creada y procesada por los sistemas de informacin, de la
Entidad, as como su infraestructura tecnolgica y activos que la soportan.
Establecer mecanismos de proteccin de su informacin contra las amenazas originadas
por parte de cualquier tipo de personas.
Proteger las instalaciones de procesamiento y la infraestructura tecnolgica que soporta
dichos sistemas de informacin.
Implementar controles de acceso a los sistemas de informacin.
Definir e implantar controles para proteger la informacin contra violaciones de
autenticidad, accesos no autorizados, la prdida de integridad y que garanticen la
disponibilidad requerida por los clientes y usuarios de los sistemas informticos en el
PEOT.
Los usuarios y contraseas de acceso a los Sistemas de Informacin del PEOT son
estrictamente de uso privado y prohibido brindar a un tercero.
Se establecern procedimientos para el mantenimiento al perfil de los usuarios de los
Sistemas de Informacin (nuevo usuario, modificacin de permisos y baja).
La poltica de seguridad de los Sistemas de informacin ser complementada por
procedimientos, normas y guas especficas para orientar su implementacin.

5. RESPONSABILIDADES

Se describir la estructura concebida en la Entidad para la gestin de la Seguridad de

los Sistemas de Informacin, especificando las atribuciones, funciones y obligaciones de
las distintas categoras de personal, que incluyen: Administrador, Jefe de Informtica y
usuarios finales

Funciones y Obligaciones del Administrador, Jefe de informtica y usuarios Finales.

CARGO FUNCIONES
ADMINISTRADOR - Velar por el cumplimiento de las disposiciones
contempladas en este Plan de Seguridad de Sistemas de
Informacin
 JEFE DE - Responsable de la correcta implementacin de las polticas
INFORMATICA referidas al Plan de seguridad en los Sistemas de
Informacin.
USUARIOS FINALES - El uso correcto de los sistemas de informacin y el
cumplimiento de las polticas de seguridad emanadas segn
su competencia.

6. MEDIDAS Y PROCEDIMIENTOS DE SEGURIDAD EN LOS SISTEMAS DE INFORMACIN EN EL

PEOT

6.1. Procedimiento de aceptacin y compromiso de usuario de los SI con las polticas

concebidas

a. Hacer entrega de las polticas y procedimientos a cumplir en materia de Seguridad

de los Sistemas de Informacin
b. El usuario del SI en seal de recepcin y conocimiento de las polticas en materia
de Seguridad de Sistemas de Informacin firma el Acta de Compromiso

6.2. Procedimiento de Respaldo de la Informacin

a. Realizar semanalmente (Lunes) la salva de la informacin en un Disco Duro

externo, de los siguientes sistemas de informacin:
Sistema de Contabilidad
Sistema de Abastecimientos
Sistema de Planillas
Sistema de Ventas
Sistema de Compras
Sistema de Control Patrimonial
Sistema del SIAF
Sistema de Control de Combustible
b. Consignar en el registrar de salvas de los Sistemas
c. Realizar un control trimestral (incluyendo revisin de registros), del cumplimiento
de este procedimiento.
d. Responsable: Jefe de Informtica

6.3. Procedimiento de Seguridad Fsica y ambiental

Las medidas y procedimientos de seguridad fsica y ambiental tienen como objetivo

evitar accesos fsicos no autorizados, daos e interferencias contra los activos que
soportan a los diversos sistemas de informacin tales como instalaciones, tecnologas y
la misma informacin de la organizacin.

La proteccin fsica se alcanza creando una o ms barreras fsicas alrededor de las reas
de procesamiento de la informacin. El uso de mltiples barreras brinda proteccin
adicional, de modo que la falta de una barrera no significa que la seguridad se vea
comprometida inmediatamente.
 Entre ellas tenemos:

a. Todos los servidores que dan soporte a los sistemas de informacin debern
estar ubicados en la sala de servidores del PEOT cuyo acceso es permitido solo
al jefe de centro de cmputo del PEOT.
b. Los servidores debern estar conectados a unidades de almacenamiento de
energa UPS y cuya activacin ser automtica, las cuales tienes una duracin
aproximada de 1 hr.
c. Los servidores debern contar con su precinto de seguridad o llave de seguridad
fsica que impida libremente el abrir los equipos informticos.
d. La sala de servidores deber contar con un sistema de aire acondicionado

6.4. Procedimiento de Registro, Modificacin y baja de usuario en los Sistemas de

Informacin

El objetivo de este procedimiento es definir los controles que deben cubrir todo el ciclo
de vida del acceso del usuario, desde el registro inicial de nuevos usuarios hasta la
cancelacin final del registro de usuarios que no requieren ms acceso a los sistemas de
informacin.

Registro de nuevo usuario

a. El rea usuaria solicita al centro de cmputo mediante documento el registro de

un nuevo usuario en el cual identificar:
DNI y nombre del usuario y una cuenta de correo electrnico
rea y sistema de informacin a utilizar
Perfil de funciones en el sistema
b. El centro de cmputo en un plazo de 02 hr proceder a su registro y activacin
c. El centro de cmputo enviar al mail registrado la clave y acceso al sistema de
informacin.

Modificacin de Perfil de usuario

a. El rea usuaria solicita la modificacin del perfil de acceso identificando:

DNI, Nombre usuario en el sistema
Nuevo perfil de funciones
b. El centro de cmputo en un plazo mximo de 15 min enviar al correo
electrnico registrado la activacin de su nuevo perfil.

Baja de Usuario en el sistema

a. El jefe de rea o el usuario del sistema de Informacin solicita la baja del usuario
en el sistema indicando:
DNI, usuario y/o correo electrnico del usuario del sistema
b. El centro de cmputo en un plazo mximo de 15 min procede a la baja del
usuario en el sistema e informa va correo electrnico al usuario final y al jefe
de rea.