PLAN DE SEGURIDAD DE SISTEMAS DE INFORMACION

PROYECTO ESPECIAL OLMOS TINAJONES

CHICLAYO, AGOSTO 20141. ALCANCE DE PLAN DE SEGURIDAD DE SISTEMAS DE INFORMACION

El presente Plan de Seguridad de Sistemas de Informacin es de alcance para todos los Sistemas de Informacin existentes en el PEOT, tantos privados como pblicos, que soportan los diversos procesos de apoyo administrativo de la institucin.

2. CARACTERIZACIN DE LOS SISTEMAS INFORMATICOS EN EL PEOTSe describir de manera detallada el sistema informtico de la entidad, precisando los elementos que permitan identificar sus particularidades y las de sus principales componentes: la informacin, las tecnologas de informacin, las personas y los inmuebles, considerando entre otros que soportan los diversos procesos del negocio: De soporte como procesos primarios.DEFINICION DE PROCESOS DE LA CADENA DE VALOR PROCESOS DE SOPORTE: Administrar la gestin de planificacin, presupuesto y racionalizacin Gestin contable y tesorera Gestin de abastecimiento Administrar el Personal Administracin de Sistemas de Informacin y Tecnologa de la Informacin Control de Documentacin Administrar el equipo mecnico Gestionar activos fijos Planificacin y realizacin del apoyo legal

PROCESOS PRIMARIOS Gestin de Proyectos de Inversin Gestionar y administrar servicios

CATLOGO DE SERVICIOS INFORMTICOS EN EL PEOTTipoLnea de ServicioServicios de TI

Servicios de Aplicaciones yOperaciones

Actualizacin y Documentacin de TIInstalacin de hardware y software

Registro de averas

Informes y reportes

Implementacin de SistemasImplementacin de sistemas

Mantenimiento y soporte de sistemas de TI

Apoyo en inventario de bienes

Servicios de Infraestructura y comunicacionesConectividad Internet

Cableado y configuracin de redes

Correo corporativo

Administracin de servidores

Central telefnica

Seguridad

Soporte y mantenimientoSoporte a usuarios

Ensamblaje y Mantenimiento de equipos

Asistencia externa

RELACION DE SISTEMAS UTILIZADOS EN EL PEOT

SISTEMAS DESARROLLADOS EN EL PEOT

AREASISTEMAUSUARIOSSISTEMA OPERATIVO QUE LO SOPORTA

CONTABILIDADCONTABLE04NOVELL

PERSONALPLANILLAS02WINDOWS 2003 SERVER

ABASTECIMIENTOSSISABA05NOVELL

CONTROL COMBUSTIBLE02WINDOWS 2003 SERVER

PATRIMONIOPATRIM02WINDOWS 2003 SERVER

SISTEMAS EXTERNOS

AREASISTEMAUSUARIOSSERVIDOR QUE LO SOPRTA

CONTABILIDADSIAF03WINDOWS 2008 SERVER

PERSONALSIAF02WINDOWS 2008 SERVER

OPPSIAF01WINDOWS 2008 SERVER

ABASTECIMIENTOSSIAF01WINDOWS 2008 SERVEFR

WEB (SEACE, OSCE)02WEB

PERSONALT_PLAME01WEB

PERSONALT_REGISTRO01WEB

PERSONALAFP_NET01WEB

PERSONALWEB (SIGA CONTROL ASISTENCIA) 01WEB

VARIASSISGEDO15WEB

PRINCIPALES COMPONENTES DEL SISTEMA INFORMATICO EN EL PEOT

TIPOS DE CRITICIDAD DE LA INFORMACION

CONFIDENCIAL: Muy sensible, su divulgacin podra afectar seriamente a la organizacin. Ejm. Secretos comerciales, cdigos de programas, etc.

PRIVADO: Informacin personal y para uso interno de la organizacin. Ejm. Informacin de planillas del personal, informes mdicos, etc.

SENSIBLE: Debe protegerse de la perdida de confidencialidad e integridad. Ejm. Informacin financiera, detalles de proyectos, etc.

PBLICO: Puede ser pblica, su conocimiento, no reviste gravedad. Ejm. Pgina web, comunicados, etc.

Del tipo de criticidad de informacin administrada en los sistemas de Informacin en el PEOT se puede detallar lo siguiente:

SITUACIN DE LOS SISTEMAS INFORMATICOS TRANSACCIONALES GESTIN DE PERSONAL: Proceso encargado de gestionar el personal de la institucin desde su ingreso hasta su baja, dicho proceso est soportado sobre un sistema de control de personal PLANILLAS que se encarga de gestionar planillas, pagos, asistencias y contratos. Dicho proceso esta soportado sobre un sistema cliente / servidor, desarrollado en Visual Fox Pro con Base de Datos SQL Server.

La mayora de la informacin que se administra en este sistema es de tipo PRIVADO y muy crtica. Lo cual implica una serie de medidas que permitan su proteccin, disponibilidad e integridad de la informacin.

GESTIN DE ABASTECIMIENTO: Proceso encargado de realizar las adquisiciones a travs de los diversos tipos de procesos (Menor cuanta, pblico, etc.), pasando por su almacenamiento y despacho al usuario final. Este proceso est actualmente soportado sobre un sistema cliente / servidor desarrollado en lenguaje de programacin Visual Fox Pro y con tablas libres. Dicho Sistema est soportado en un servidor NOVELL, cuya infraestructura no es la adecuada, por cuanto es una PC compatible. La informacin administrada en este sistema es de tipo PRIVADO y de una criticidad media. GESTIONAR ACTIVOS FIJOS O DE CONTROL PATRIMONIAL: Proceso que permite llevar el control patrimonial de los activos fijos de la institucin iniciando con el registro de los bienes clasificndolos segn su precio como Activos, cuentas de Orden o Lista Interna que son los bienes de menor precio. Dicho proceso lleva el control de la asignacin y ubicacin de los bienes tanto en el local central como en los campamentos anexos, permitiendo depreciar los bienes segn la cuenta contable a la cual est registrado el bien. Actualmente cuenta este proceso est soportado sobre un sistema de control patrimonial cliente / servidor desarrollado en Lenguaje de programacin Visual Fox Pro y con tablas libres. Dicho sistema est soportado en un servidor COMPAQ PROLINT con sistema operativo Windows 2003 Small Bussines server.La informacin administrada en este sistema es de tipo PRIVADO y de una criticidad media. CONTROL DE DOCUMENTACIN: Proceso encargado de llevar el seguimiento de los documentos desde su ingreso a la institucin hasta su atencin respectiva.

Actualmente est soportado sobre un sistema de trmite documentario gestionado por el Gobierno Regional e implementado en la web a fin de que todas las unidades pertenecientes al Gobierno regional de Lambayeque lo utilicen.

Informacin gestionada con una criticidad de Tipo PBLICO: Seguimiento de documentos internos. Seguimiento de documentos externos. Reporte de documentos aceptados. Reporte de documentos rechazados. Estadstica de documentos ingresados.

Dicho sistema es utilizado por las diversas secretarias de las diversas reas del PEOT, y para su acceso al sistema es la conexin a Internet.

DE SOPORTE A LA DECISIN ADMINISTRAR LA GESTIN DE PLANIFICACIN, PRESUPUESTO Y RACIONALIZACIN: Proceso que permite la planificacin presupuestaria de la institucin, a travs de la distribucin del gasto e ingresos a las diversas metas registradas para la institucin. Actualmente este proceso est soportando sobre un sistema Cliente / servidor del Ministerio de Economa y Finanzas llamado SIAF Sistema Integrado de Administracin Financiera. Este sistema no se encuentra integrado a los sistemas propios de la institucin y esta soportado sobre un Servidor Compaq Proliant de ltima generacin. La informacin generada (compromisos, gastos, etc.) son transmitidos va internet al Servidor Central del Ministerio de Economa y Finanzas.

Fsicamente este equipo se encuentra ubicado en la unidad de Contabilidad en un espacio de libre acceso a la oficina.

La informacin administrada en este tipo de sistema es de PRIVADO - PUBLICO con una criticidad media.

-GESTIN CONTABLE Y TESORERA: Proceso que permite llevar la contabilidad de la institucin el cual se encuentra soportado en un sistema cliente / servidor soportado sobre un Servidor NOVELL, el cual se encuentra en proceso de actualizacin.

La informacin administrada en este sistema es de tipo PRIVADO, con una criticidad Alta. SITUACIN DE LA RED INFORMATICAActualmente en el PEOT se cuenta con (03) tres redes sobre la que soporta a los diversos sistemas de informacin. Los que se describen a continuacin LA RED PRINCIPAL, que soporta a 110 usuarios de los cuales 6 usuarios para los sistemas los Sistemas de Personal, Control de Combustible, Control Patrimonial, LA RED SIAF, que soporta al SIAF con 07 usuarios en la Red LA RED NOVELL, que soporta a los sistemas de Contabilidad y Abastecimientos con 09 usuarios en la Red 3. RESULTADOS DEL ANLISIS DE RIESGOS

Una vez definido el alcance del Plan de Seguridad de los Sistemas de Informacin y realizada una detallada descripcin del sistema informtico, corresponde finalizar esta primera parte con la formulacin de las conclusiones obtenidas durante la determinacin de las necesidades de proteccin mediante la evaluacin de los riesgos. Estas conclusiones incluyen: a) Cules son los bienes informticos ms importantes para la gestin de la entidad y por lo tanto requieren de una atencin especial desde el punto de vista de la proteccin de los Sistemas de Informacin, especificando aquellos considerados de importancia crtica por el peso que tienen dentro del sistema. b) Qu amenazas pudieran tener un mayor impacto sobre la entidad en caso de materializarse sobre los bienes a proteger.

RELACION DE ACTIVOS DE TI RELACIONADOS CON LA INFORMACIN DE MAYOR CRTICIDAD EN EL NEGOCIOIDSERVICIOCUSTODIOPROPIETARIOPROCESO

PrincipalAlternoPrincipalAlterno

MSSTIMANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACIN SISIGESTION DE PERSONAL, GESTION DE CONTBILIDAD Y TESOERIA, GESTION DE ABASTECIMEINTOS, GESTION DE PLANIFICACIN

ASADMINISTRACIN DE SERVIDORESSISIGESTION DE PERSONAL, GESTION DE CONTBILIDAD Y TESOERIA, GESTION DE ABASTECIMEINTOS, GESTION DE PLANIFICACIN

CCRCABLEADO Y CONFIGURACIN DE REDESSISIGESTION DE PERSONAL, GESTION DE CONTBILIDAD Y TESOERIA, GESTION DE ABASTECIMEINTOS, GESTION DE PLANIFICACIN

EINTERNETSISIGESTION DE PERSONAL, GESTION DE CONTBILIDAD Y TESOERIA, GESTION DE ABASTECIMEINTOS, GESTION DE PLANIFICACIN, GESTION NEGOCIO

CCCORREO CORPORATIVOSISIGESTION NEGOCIO

CTCENTRAL TELEFONICASISIGESTION NEGOCIO

ASNADMINSITRACION DE SEVIDORESSISIGESTION NEGOCIO

SSSEGURIDADSISIGESTION NEGOCIO

IDACTIVOCANTIDADTIPO DE ACTIVOCLASIFICACION DE INFORMACIONVALORACION DEL ACTIVOCUSTODIO

ConfidencialIntegridadDisponibilidadNivelValorPrincipalAlterno

MSSTISISTEMA DE PLANILLAS01SISTEMAS O APLICACIONESUso InternoAltaMuy AltaAlto3SI

MSSTIPLANILLERO01PERSONAUso InternoNormalMuy AltaAlto2SI

ASSERVIDOR WINDOWS 2003 SMALL BUSSINES01EQUIPOS DE COMPUTOUso InternoAltaMuy AltaAlto3SI

CCRINFRAESTURCTURA DE RED01INSTALACIONESUso InternoNormalMuy AltaAlto3SI

EACCESO A INTERNET01SERVICIOUso Interno y ExternoNormalMuy AltaAlto3SI

MSSTISISTEMA DE CONTABILIDAD01SISTEMAS O APLICACIONESUso InternoAltaMuy AltaAlto3SI

ASSERVIDOR NOVELL01EQUIPOS DE COMPUTOUso InternoAltaMuy AltaAlto3SI

MSSTISISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA01SISTEMA O APLIACCIONESUso InternoAltaMuy AltaAlto3SI

ASSERVIDOR WINDOWS SERVER 200801EQUIPOS DE COMPUTOUso InternoAltaMuy AltaAlto3SI

MSSTISISTEMA DE ABASTECIMEINTOS01SISTEMAS O APLICACIONESUso InternoMediaBajaBajo1SI

CCSERVIDOR CORREO CORPORATIVO - UBUNTU01EQUIPOS DE COMPUTOUso Interno y ExternoMediaMediaMedio2SI

CTCENTRAL PANASONIC 01TELEFONOSUso Interno y ExternoMediaMediaBajo2SI

ASNSERVIDOR WEB01EQUIPOS DE COMPUTOUso Interno y ExternoAltaAltaAlta3SI

ASNSERVIDOR PROXY01EQUIPOS DE COMPUTOUso Interno y ExternoAltaAltaAlta3SI

MSSTIPROGRAMADOR00PERSONAUso InternoAltaMediaMedio2

SSCAMARAS DE VIGILANCIA15OTROSUso InternoMediaBajaMajo1SI

IDENTIFICACION DE AMENAZAS SOBRE ACTIVOS CRTICOS DE TI QUE SOPORTAN A LOS SISTEMAS DE INFORMACIN Y SU RESPECTIVA VALORIZACIN DEL RIESGO. IDACTIVO CRITICO DE TIPERFIL DE AMENAZASAMENAZASVULNERABILIDADESPROBABIL.IMPACTORIESGO

123123(P*I)

MSSTISISTEMA DE PLANILLAS Red Problemas del SistemaAcceso de usuarios no Autorizados- No existe una poltica de proteccin de contraseas- Sistema de planillas no est debidamente consistenciadoXX3

Mal funcionamiento del SoftwareXX6

Error operacional por parte del personalXX3

MSSTIPLANILLERO OtrosIndisponibilidad del Personal- Falta de otro personal capacitado en la elaboracin de planillas.XX6

ASSERVIDOR WINDOWS 2003 SMALL BUSSINES Red Fsico Problemas del SistemaFalla de equipos- No existe actualmenteXX3

Infecciones por virus informticos y cdigo maliciosoXX2

CCRINFRAESTURCTURA DE RED FsicoSabotaje- Falta de controles fsicos (No existe una identificacin exacta de puntos red)- Red no cumple los estndares de calidad.XX2

Insuficiencia de Infraestructura de seguridadXX4

EACCESO A INTERNET Red Problemas del SistemaFallas en equipo de telecomunicacin- Periodo largo entre mantenimientos XX3

Interrupcin del servicio por parte del proveedorXX3

MSSTISISTEMA DE CONTABILIDAD Red Problemas del SistemaAcceso de usuarios no autorizados- Falta de controles lgicos- Lenguaje de Programacin obsoleto y tablas no estn contenidas en una base de datos.XX3

Mal funcionamiento del SoftwareXX9

Corrupcin de DatosXX6

ASSERVIDOR NOVELL Problemas del Sistema FsicoHardware Deficiente- Sistema Operativo Obsoleto - Pc Compatible es usada como servidorXX9

Software deficienteXX9

MSSTISISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA Fsico OtrosInfecciones por virus informtico y cdigo malicioso- Ausencia de AntivirusXX2

ASSERVIDOR WINDOWS SERVER 2008 Problemas del Sistema OtrosInsuficiencia de Infraestructura de seguridad- Equipo ubicado fuera del Centro de Cmputo en un rea transitable sin seguridad.XX2

MSSTISISTEMA DE ABASTECIMEINTOS Problemas del Sistema RedCorrupcin de datos- Tablas no estn contenidas en una base de datos XX4

Spyware / AdwareXX2

Hardware deficienteXX4

ASNSERVIDOR PROXY Problemas del Sistema RedHackers y otros agresores externos- Falta de Controles lgicos y fsicos como un firewall fsico.XX9

Robo de InformacinXX2

MSSTIPROGRAMADOR OtrosIndisponibilidad del Personal- Ausencia de PersonalXX4

4. POLITICAS DE SEGURIDAD DE SISTEMAS DE INFORMACIN

En este acpite se establecen las normas generales que deben cumplir los usuarios de los diversos sistemas de informacin y se derivan de los resultados obtenidos en el anlisis de riesgos y de las definidas por las instancias superiores en las leyes, resoluciones, reglamentos, y otros documentos rectores.

Las polticas que se describan comprenden toda la organizacin, ya que es obligatorio su cumplimiento en las reas que las requieran, razn por la cual sern lo suficientemente generales y flexibles para poder implementarse en cada caso mediante las medidas y procedimientos que demanden las caractersticas especficas de cada lugar.

Las responsabilidades frente a la seguridad de los Sistemas de Informacin son definidas, informadas y aceptadas por cada uno de los usuarios de los diversos sistemas de informacin que soportan los diversos procesos. Proteger la informacin creada y procesada por los sistemas de informacin, de la Entidad, as como su infraestructura tecnolgica y activos que la soportan. Establecer mecanismos de proteccin de su informacin contra las amenazas originadas por parte de cualquier tipo de personas. Proteger las instalaciones de procesamiento y la infraestructura tecnolgica que soporta dichos sistemas de informacin. Implementar controles de acceso a los sistemas de informacin. Definir e implantar controles para proteger la informacin contra violaciones de autenticidad, accesos no autorizados, la prdida de integridad y que garanticen la disponibilidad requerida por los clientes y usuarios de los sistemas informticos en el PEOT. Los usuarios y contraseas de acceso a los Sistemas de Informacin del PEOT son estrictamente de uso privado y prohibido brindar a un tercero. Se establecern procedimientos para el mantenimiento al perfil de los usuarios de los Sistemas de Informacin (nuevo usuario, modificacin de permisos y baja). La poltica de seguridad de los Sistemas de informacin ser complementada por procedimientos, normas y guas especficas para orientar su implementacin.

5. RESPONSABILIDADES

Se describir la estructura concebida en la Entidad para la gestin de la Seguridad de los Sistemas de Informacin, especificando las atribuciones, funciones y obligaciones de las distintas categoras de personal, que incluyen: Administrador, Jefe de Informtica y usuarios finales

Funciones y Obligaciones del Administrador, Jefe de informtica y usuarios Finales.

CARGOFUNCIONES

ADMINISTRADOR Velar por el cumplimiento de las disposiciones contempladas en este Plan de Seguridad de Sistemas de Informacin

JEFE DE INFORMATICA Responsable de la correcta implementacin de las polticas referidas al Plan de seguridad en los Sistemas de Informacin.

USUARIOS FINALES El uso correcto de los sistemas de informacin y el cumplimiento de las polticas de seguridad emanadas segn su competencia.

6. MEDIDAS Y PROCEDIMIENTOS DE SEGURIDAD EN LOS SISTEMAS DE INFORMACIN EN EL PEOT

6.1. Procedimiento de aceptacin y compromiso de usuario de los SI con las polticas concebidas

a. Hacer entrega de las polticas y procedimientos a cumplir en materia de Seguridad de los Sistemas de Informacinb. El usuario del SI en seal de recepcin y conocimiento de las polticas en materia de Seguridad de Sistemas de Informacin firma el Acta de Compromiso 6.2. Procedimiento de Respaldo de la Informacin

a. Realizar semanalmente (Lunes) la salva de la informacin en un Disco Duro externo, de los siguientes sistemas de informacin: Sistema de Contabilidad Sistema de Abastecimientos Sistema de Planillas Sistema de Ventas Sistema de Compras Sistema de Control Patrimonial Sistema del SIAF Sistema de Control de Combustibleb. Consignar en el registrar de salvas de los Sistemasc. Realizar un control trimestral (incluyendo revisin de registros), del cumplimiento de este procedimiento.d. Responsable: Jefe de Informtica

6.3. Procedimiento de Seguridad Fsica y ambientalLas medidas y procedimientos de seguridad fsica y ambiental tienen como objetivo evitar accesos fsicos no autorizados, daos e interferencias contra los activos que soportan a los diversos sistemas de informacin tales como instalaciones, tecnologas y la misma informacin de la organizacin. La proteccin fsica se alcanza creando una o ms barreras fsicas alrededor de las reas de procesamiento de la informacin. El uso de mltiples barreras brinda proteccin adicional, de modo que la falta de una barrera no significa que la seguridad se vea comprometida inmediatamente.

Entre ellas tenemos:a. Todos los servidores que dan soporte a los sistemas de informacin debern estar ubicados en la sala de servidores del PEOT cuyo acceso es permitido solo al jefe de centro de cmputo del PEOT.b. Los servidores debern estar conectados a unidades de almacenamiento de energa UPS y cuya activacin ser automtica, las cuales tienes una duracin aproximada de 1 hr.c. Los servidores debern contar con su precinto de seguridad o llave de seguridad fsica que impida libremente el abrir los equipos informticos.d. La sala de servidores deber contar con un sistema de aire acondicionado

6.4. Procedimiento de Registro, Modificacin y baja de usuario en los Sistemas de Informacin

El objetivo de este procedimiento es definir los controles que deben cubrir todo el ciclo de vida del acceso del usuario, desde el registro inicial de nuevos usuarios hasta la cancelacin final del registro de usuarios que no requieren ms acceso a los sistemas de informacin.Registro de nuevo usuarioa. El rea usuaria solicita al centro de cmputo mediante documento el registro de un nuevo usuario en el cual identificar: DNI y nombre del usuario y una cuenta de correo electrnico rea y sistema de informacin a utilizar Perfil de funciones en el sistemab. El centro de cmputo en un plazo de 02 hr proceder a su registro y activacinc. El centro de cmputo enviar al mail registrado la clave y acceso al sistema de informacin.Modificacin de Perfil de usuarioa. El rea usuaria solicita la modificacin del perfil de acceso identificando: DNI, Nombre usuario en el sistema Nuevo perfil de funcionesb. El centro de cmputo en un plazo mximo de 15 min enviar al correo electrnico registrado la activacin de su nuevo perfil.Baja de Usuario en el sistemaa. El jefe de rea o el usuario del sistema de Informacin solicita la baja del usuario en el sistema indicando: DNI, usuario y/o correo electrnico del usuario del sistemab. El centro de cmputo en un plazo mximo de 15 min procede a la baja del usuario en el sistema e informa va correo electrnico al usuario final y al jefe de rea.