Professional Documents
Culture Documents
“ I M P L E M E N TA C I Ó N D E L A N T P I S O / I E C 2 7 0 0 1 - 2 0 1 4 – 7 .
SEGURIDAD DE LOS RECURSOS HUMANOS Y 8.1.
RESPONSABILIDAD POR LOS ACTIVOS”
ASIGNATURA:
Seguridad, control y auditoría de sistemas de información
PROFESOR:
Mgt. Emilio Palomino Olivera
ALUMNOS:
CUSCO – PERÚ
2018
ÍNDICE
ÍNDICE........................................................................................................................................1
INTRODUCCION.......................................................................................................................2
CAPITULO I: ASPECTOS GENERALES..............................................................................3
1.1 PROBLEMÁTICA............................................................................................................3
1.1.1 DESCRIPCION DEL PROBLEMA.........................................................................3
1.1.2 IDENTIFICACION DE LOS PROBLEMAS...........................................................3
1.2 OBJETIVOS.....................................................................................................................4
1.2.1 OBJETIVOS GENERALES....................................................................................4
1.2.2 OBJETIVOS ESPECIFICOS..................................................................................4
1.3 JUSTIFICACION.............................................................................................................4
1.4 ANTECEDENTES...........................................................................................................4
1.5 ALCANCES......................................................................................................................4
1.6 LIMITACIONES...............................................................................................................5
1.7 METODOLOGIA..............................................................................................................5
CAPITULO II: MARCO TEORICO..........................................................................................7
2.1 Norma Técnica Peruana NTP-ISO/IEC 27001 2014. TECNOLOGÍA DE LA
INFORMACIÓN. Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos........................................................................................................7
2.1.1 Norma ISO 27001....................................................................................................7
2.1.2 Categoría..................................................................................................................7
2.1.3 Control.......................................................................................................................8
2.2 Cláusula N° 7 Seguridad de los Recursos Humanos................................................8
2.2.1. 7.1 Antes del empleo..............................................................................................9
2.2.2 7.2 Durante el empleo...........................................................................................10
2.2.3 Terminación y cambio de empleo........................................................................11
2.3 Cláusula N° 8 Gestión de Activos...............................................................................12
2.3.1. 8.1 Responsabilidad de activos..........................................................................12
1
INTRODUCCION
La presente norma Técnica Peruana ha sido elaborada por el Comité Técnico
de Normalización de Codificación e Intercambio Electrónico de datos, el cual está
sujeta al Sistema 1 o de Adopción, el cual, mediante los meses de mayo a julio del
2017, basándonos como antecedentes a la norma ISO/IEC 27001:2014 Information
Technology – Security techniques – Information security management systems –
Requirements y a la (EQV. ISO/IEC 27001:2013+1SO/1EC 27001:2013/COR 1
Security techniques Information security management systems — Requirements).
El Comité Técnico de Normalización de Codificación e intercambio electrónico
de datos presento a la Comisión de Normalización y de Fiscalización de Barreras
Comerciales no Arancelarias -CNB-, con fecha 2014/08/19, el PNTP-ISO/IEC
27001:2014, para su revisión y aprobación, siendo sometido a la etapa de discusión
pública el 2014/10/18. No habiéndose presentado observaciones fue oficializada como
Norma Técnica Peruana NTP-ISO/IEC 27001:2014 TECNOLOGIA DE LA
INFORMACION. Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos, 2a edición, el 01 de diciembre de 2014.
La nueva norma NTP ISO/IEC 27001:2014 cancela y reemplaza la primera
edición (NTP-ISO/IEC 27001:2008), la cual se ha revisado técnicamente. Desde el año
2016, en el Perú se tiene a la NTP-ISO/IEC 27001 2014, que es la Norma Técnica
Peruana que regula las Tecnologías de la Información, y contiene el Código de buenas
prácticas para la gestión de la seguridad de la información.
Mediante Resolución Ministerial N° 004-2016-PCM se aprueba el uso
obligatorio de esta norma en todas las entidades integrantes del Sistema Nacional de
Informática. La estructura de este estándar contiene 14 cláusulas de control de
seguridad que contienen colectivamente un total de 35 categorías principales de
seguridad y una cláusula introductoria conteniendo temas de evaluación y tratamiento
del riesgo. Cada categoría principal contiene un objetivo de control declarando lo que
debe alcanzar y uno o más controles que pueden ser aplicados para alcanzar el
objetivo de control.
2
CAPITULO I: ASPECTOS GENERALES
1.1 PROBLEMÁTICA
1.1.1 DESCRIPCION DEL PROBLEMA
Para las entidades integrantes del Sistema Nacional de Informática, la NTP-
ISO/IEC 27001 2014 es de obligación implementarla teniendo un plazo de 60 días
contados a partir de la fecha de publicación. Se deberá presentar el cronograma de
implementación y/o adecuación del sistema de gestión de la Seguridad de la
Información y deberá ser presentado a la Oficina Nacional de Gobierno Electrónico e
Informática (ONGEI).
1.1.2 IDENTIFICACION DE LOS PROBLEMAS
Los problemas que se identificaron en lo que a las cláusulas seleccionadas se
refiere se nombran a continuación:
Durante el empleo
Inadecuado nivel de concordancia entre la seguridad de la información con las
políticas y procedimientos establecidos por la organización. Esto debido a una
gestión deficiente por parte de la gerencia.
Incumplimiento en brindar educación y capacitación en seguridad de la
información, asimismo de actualizaciones sobre políticas y procedimientos en
la organización.
Falta de un proceso disciplinario para tomar acción contra empleados que
incurran en faltas a la seguridad de la información.
Solución
Durante el empleo
Implementar medidas a nivel gerencial en concordancia con la seguridad de la
información.
3
Implementar un plan de capacitación en materia de seguridad de la información
y establecer un programa de actualizaciones de procedimientos
organizacionales.
Reforzar el proceso disciplinario contra aquellos que incurren en faltas en
desmerito a la seguridad de la información.
1.2 OBJETIVOS
1.2.1 OBJETIVOS GENERALES
Elaborar la propuesta de implementación de los Controles Seleccionados, los
cuales se mencionan en la NTP ISO/IEC 27001:2014 y aplican como solución a la
problemática planteada anteriormente.
1.2.2 OBJETIVOS ESPECIFICOS
Producir propuestas adecuadas para los controles mencionados.
Desarrollar cada uno de los controles seleccionados de manera detallada y
concisa enfocada a la aplicación como solución de determinado problema.
Evaluar la información recolectada para su posterior selección y organización.
Desarrollar Diagramas que describan los procesos de negocio que sean
abarcados por los controles seleccionados.
1.3 JUSTIFICACION
Según la Resolución Ministerial N° 004-2016-PCM se aprueba el uso
obligatorio de la norma NTP-ISO/IEC 27001:2014 en todas las entidades integrantes
del Sistema Nacional de Informática, por ende, con la siguiente resolución se dará
como vigencia a la propuesta de implementación de la cláusula 7. Seguridad de los
Recursos Humanos, el cual contendrá los siguientes controles:
Control 7.1.1. Selección.
Control 7.1.2. Términos y Condiciones de Empleo.
Control 7.2.1. Responsabilidades de la Gerencia.
Control 7.2.2. Conciencia, educación y Capacitación sobre la Seguridad Informática.
Control 7.2.3. Proceso Disciplinario.
Control 7.3.1. Terminación o cambio de Responsabilidades del empleo.
Para lo cual se implementará una guía con normas que deberán ser aplicadas
por las entidades del estado.
1.4 ANTECEDENTES
Solo se cuenta con la NTP-ISO/IEC 27001 y sus precedentes.
1.5 ALCANCES
Solo se implementaran los siguientes controles:
7. Seguridad de los Recursos Humanos.
7.1. Antes del Empleo.
Control 7.1.1. Selección.
4
Control 7.1.2. Términos y Condiciones de Empleo.
7.2. Durante el Empleo.
Control 7.2.1. Responsabilidades de la Gerencia.
Control 7.2.2. Conciencia, educación y Capacitación sobre la
Seguridad Informática.
Control 7.2.3. Proceso Disciplinario.
7.3. Terminación y Cambio de Empleo
Control 7.3.1. Terminación o cambio de Responsabilidades
del empleo.
8. Gestión de Activos
8.1. Responsabilidad por los Activos
8.1.1. Inventario de los Activos.
8.1.2. Propiedad de los Activos.
8.1.3. Uso Aceptable de los Activos.
8.1.4. Retorno de los Activos.
1.6 LIMITACIONES
No se realizarán pruebas con dichos documentos auditables.
No se cuenta con suficiente documentación y trabajos previos a este.
No existe documentos de apoyo para este trabajo.
1.7 METODOLOGIA
La metodología a implementarse se considera dentro de los lineamentos para
el perfeccionamiento de la seguridad de las tecnologías de la información en el País, el
cual nos vinculamos a los conceptos expresados en la norma ISO-IEC 27001,
Requisitos de los Sistemas de Gestión de la Seguridad de la Información.
La presente metodología se denomina PHVA, el cual promueve la adopción de
un enfoque basado en procesos, con el fin de establecer, implementar, operar, dar
seguimiento, mantener y mejorar el SGSI de una organización, para ello adopta el
modelo de procesos “Planificar, Hacer, Verificar y Actuar” (PHVA), que se aplica para
estructurar los procesos del SGSI en correspondencia con la NTP-ISO-IEC 27001.
5
Ilustración 1: Modelo PHVA aplicado a los procesos del SGSI
6
CAPITULO II: MARCO TEORICO
7
2.2 Cláusula N° 7 Seguridad de los Recursos Humanos
La cláusula N° 7 Seguridad de los Recursos Humanos, consta de tres criterios y sus
respectivos controles:
8
2.2.1. 7.1 Antes del empleo
Objetivo
Asegurar que los empleados y contratistas entiendes sus responsabilidades y son
convenientes para los roles para los que se les considera.
Descripción
Los cazatalentos deben contar con un sistema de selección ético que permita
determinar cuáles de los candidatos cumplen los requisitos del negocio, como también
comprobar la información del currículo, datos académicos profesionales, referencias
sobre actitudes, antecedentes y otros datos más detallados.
Una vez seleccionados los candidatos para ser parte del personal se debe controlar
que estos conozcan sus obligaciones con respecto a la seguridad de la información de
la organización, para dicho propósito cada empleado firma un acuerdo de
confidencialidad para la responsabilidad de la información, manteniendo la información
a solo personas autorizadas, asegurando que acepten las condiciones bajo un marco
legal, contemplando por la ley.
Controles
Selección
Términos y condiciones del empleo
Objetivo
Asegurar que los empleados y contratistas sean conscientes y cumplan con sus
responsabilidades de seguridad de la información.
Descripción
Cada miembro del personal de una organización debe ser consciente de las amenazas
y riesgos en el ámbito de la seguridad de la información, reduciendo el riesgo de error
humano.
Se debe controlar que el personal reciba entrenamiento apropiado del conocimiento y
actualizaciones regulares sobre las políticas y procedimientos organizacionales que
sean relevante en función de su trabajo para mantener la seguridad de la información,
resolverlo si está dentro de sus competencias e informar a sus superiores en caso que
la información ya haya sido vulnerada.
Por otra parte debe existir un proceso disciplinario formal que permite evaluar si una
falla de la seguridad fue causada por negligencia del empleado, recibiendo la sanción
o correctivo si así lo amerita
El proceso disciplinario debe ser usado también como un impedimento para prevenir
que los empleados, contratistas y usuarios de terceros violen las políticas y
procedimientos organizacionales, así como cualquier otra apertura en la seguridad.
Controles
Responsabilidad de la gerencia
9
Conciencia, educación y capacitación sobre la seguridad de la información
Proceso disciplinario
2.2.3 Terminación y cambio de empleo
Objetivo
Proteger los intereses de la organización como parte del proceso de cambio o
terminación del empleo
Descripción
Debe gestionarse toda eventual salida de algún miembro de la organización, con la
finalidad de evitar perjuicio alguno, causado por dicha salida. Análogamente si se trata
de un cambio de empleo, es decir no sale de la organización pero cambia su puesto
de trabajo.
Una vez presentados, alguno de los dos casos anteriores, se deben tomar medidas
que aseguren el retorno de todo equipo entregado y el retiro de todo derecho de
acceso, evitando el ingreso a las instalaciones de procesamiento de información o el
acceso directo a dicha información, en caso de cambio , debe realizarse el ajuste
necesario.
Controles
Terminación o cambio de responsabilidades del empleo.
10
2.3 Cláusula N° 8 Gestión de Activos
2.3.1. 8.1 Responsabilidad de activos
El criterio 8.1 Responsabilidad de activos consta de cuatro controles.
Objetivo
Identificar los activos de la organización y definir responsabilidades de protección
apropiadas
Descripción
La información como activo fundamental de la organización, debe estar bajo una
protección supervisada periódicamente para garantizar su seguridad.
Para dicho propósito se debe clasificar y ordenar los activos, tomando como criterio su
importancia para la organización, pueden ser archivos, software, equipos o materiales
intangibles.
Todo activo deber ser identificado sin ambigüedades, se debe documentar su
propiedad, clasificación y ubicación, contando con un responsable encargado de
garantizar su protección y el uso adecuado de estos por parte de los usuarios de la
organización, así como el retorno formal de los mismos una vez finalizado el vínculo
contractual con la organización.
Controles
Inventario de Activos
Propiedad de los activos
Uso aceptable de los activos
Retorno de activos
11