UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO

FACULTAD DE INGENIERÍA ELÉCTRICA, ELECTRÓNICA, MECÁNICA E

INFORMÁTICA
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

“ I M P L E M E N TA C I Ó N D E L A N T P I S O / I E C 2 7 0 0 1 - 2 0 1 4 – 7 .
SEGURIDAD DE LOS RECURSOS HUMANOS Y 8.1.
RESPONSABILIDAD POR LOS ACTIVOS”

ASIGNATURA:
Seguridad, control y auditoría de sistemas de información
PROFESOR:
Mgt. Emilio Palomino Olivera
ALUMNOS:

Cano Florez Felix Manuel

Jara Quispe Luis Manuel

Palomino Mendoza Nestor

CUSCO – PERÚ
2018
 ÍNDICE

ÍNDICE........................................................................................................................................1
INTRODUCCION.......................................................................................................................2
CAPITULO I: ASPECTOS GENERALES..............................................................................3
1.1 PROBLEMÁTICA............................................................................................................3
1.1.1 DESCRIPCION DEL PROBLEMA.........................................................................3
1.1.2 IDENTIFICACION DE LOS PROBLEMAS...........................................................3
1.2 OBJETIVOS.....................................................................................................................4
1.2.1 OBJETIVOS GENERALES....................................................................................4
1.2.2 OBJETIVOS ESPECIFICOS..................................................................................4
1.3 JUSTIFICACION.............................................................................................................4
1.4 ANTECEDENTES...........................................................................................................4
1.5 ALCANCES......................................................................................................................4
1.6 LIMITACIONES...............................................................................................................5
1.7 METODOLOGIA..............................................................................................................5
CAPITULO II: MARCO TEORICO..........................................................................................7
2.1 Norma Técnica Peruana NTP-ISO/IEC 27001 2014. TECNOLOGÍA DE LA
INFORMACIÓN. Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos........................................................................................................7
2.1.1 Norma ISO 27001....................................................................................................7
2.1.2 Categoría..................................................................................................................7
2.1.3 Control.......................................................................................................................8
2.2 Cláusula N° 7 Seguridad de los Recursos Humanos................................................8
2.2.1. 7.1 Antes del empleo..............................................................................................9
2.2.2 7.2 Durante el empleo...........................................................................................10
2.2.3 Terminación y cambio de empleo........................................................................11
2.3 Cláusula N° 8 Gestión de Activos...............................................................................12
2.3.1. 8.1 Responsabilidad de activos..........................................................................12

1
 INTRODUCCION
La presente norma Técnica Peruana ha sido elaborada por el Comité Técnico
de Normalización de Codificación e Intercambio Electrónico de datos, el cual está
sujeta al Sistema 1 o de Adopción, el cual, mediante los meses de mayo a julio del
2017, basándonos como antecedentes a la norma ISO/IEC 27001:2014 Information
Technology – Security techniques – Information security management systems –
Requirements y a la (EQV. ISO/IEC 27001:2013+1SO/1EC 27001:2013/COR 1
Security techniques Information security management systems — Requirements).
El Comité Técnico de Normalización de Codificación e intercambio electrónico
de datos presento a la Comisión de Normalización y de Fiscalización de Barreras
Comerciales no Arancelarias -CNB-, con fecha 2014/08/19, el PNTP-ISO/IEC
27001:2014, para su revisión y aprobación, siendo sometido a la etapa de discusión
pública el 2014/10/18. No habiéndose presentado observaciones fue oficializada como
Norma Técnica Peruana NTP-ISO/IEC 27001:2014 TECNOLOGIA DE LA
INFORMACION. Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos, 2a edición, el 01 de diciembre de 2014.
La nueva norma NTP ISO/IEC 27001:2014 cancela y reemplaza la primera
edición (NTP-ISO/IEC 27001:2008), la cual se ha revisado técnicamente. Desde el año
2016, en el Perú se tiene a la NTP-ISO/IEC 27001 2014, que es la Norma Técnica
Peruana que regula las Tecnologías de la Información, y contiene el Código de buenas
prácticas para la gestión de la seguridad de la información.
Mediante Resolución Ministerial N° 004-2016-PCM se aprueba el uso
obligatorio de esta norma en todas las entidades integrantes del Sistema Nacional de
Informática. La estructura de este estándar contiene 14 cláusulas de control de
seguridad que contienen colectivamente un total de 35 categorías principales de
seguridad y una cláusula introductoria conteniendo temas de evaluación y tratamiento
del riesgo. Cada categoría principal contiene un objetivo de control declarando lo que
debe alcanzar y uno o más controles que pueden ser aplicados para alcanzar el
objetivo de control.

2
 CAPITULO I: ASPECTOS GENERALES

1.1 PROBLEMÁTICA
1.1.1 DESCRIPCION DEL PROBLEMA
Para las entidades integrantes del Sistema Nacional de Informática, la NTP-
ISO/IEC 27001 2014 es de obligación implementarla teniendo un plazo de 60 días
contados a partir de la fecha de publicación. Se deberá presentar el cronograma de
implementación y/o adecuación del sistema de gestión de la Seguridad de la
Información y deberá ser presentado a la Oficina Nacional de Gobierno Electrónico e
Informática (ONGEI).
1.1.2 IDENTIFICACION DE LOS PROBLEMAS
Los problemas que se identificaron en lo que a las cláusulas seleccionadas se
refiere se nombran a continuación:

Antes del empleo

 Contrata de personal inadecuado a los roles requeridos, a consecuencia de
una falta de verificación de antecedentes.
 Falta de una adecuada política de contratos en la que se estipulen acuerdos
jurídicos por parte del empleado en seguridad de información se refiere.

Durante el empleo
 Inadecuado nivel de concordancia entre la seguridad de la información con las
políticas y procedimientos establecidos por la organización. Esto debido a una
gestión deficiente por parte de la gerencia.
 Incumplimiento en brindar educación y capacitación en seguridad de la
información, asimismo de actualizaciones sobre políticas y procedimientos en
la organización.
 Falta de un proceso disciplinario para tomar acción contra empleados que
incurran en faltas a la seguridad de la información.

Terminación y cambio de empleo

 Consecuencias en desmérito de la seguridad de la información a causa de un
empleado que haya culminado su tiempo de servicio o cambiado de empleo.

Solución

Para garantizar la seguridad de la información de una organización, la NTP-ISO/IEC

27001:2014 proporciona medidas importantes, así como medidas para controlar los
accesos a dicha información. Como solución se propone lo siguiente:

Antes del empleo

 Contratar personal adecuado y relevante de acuerdo a una previa verificación
de antecedentes.
 Establecer políticas de contratos en el ámbito jurídico por parte del contratista
en lo que seguridad de información se refiere.

Durante el empleo
 Implementar medidas a nivel gerencial en concordancia con la seguridad de la
información.

3
  Implementar un plan de capacitación en materia de seguridad de la información
y establecer un programa de actualizaciones de procedimientos
organizacionales.
 Reforzar el proceso disciplinario contra aquellos que incurren en faltas en
desmerito a la seguridad de la información.

Terminación y cambio de empleo

 Reglamentar las responsabilidades en terminación o cambio de empleo,
poniendo medidas estrictas contra aquellos que la incumplan.

1.2 OBJETIVOS
1.2.1 OBJETIVOS GENERALES
Elaborar la propuesta de implementación de los Controles Seleccionados, los
cuales se mencionan en la NTP ISO/IEC 27001:2014 y aplican como solución a la
problemática planteada anteriormente.
1.2.2 OBJETIVOS ESPECIFICOS
 Producir propuestas adecuadas para los controles mencionados.
 Desarrollar cada uno de los controles seleccionados de manera detallada y
concisa enfocada a la aplicación como solución de determinado problema.
 Evaluar la información recolectada para su posterior selección y organización.
 Desarrollar Diagramas que describan los procesos de negocio que sean
abarcados por los controles seleccionados.
1.3 JUSTIFICACION
Según la Resolución Ministerial N° 004-2016-PCM se aprueba el uso
obligatorio de la norma NTP-ISO/IEC 27001:2014 en todas las entidades integrantes
del Sistema Nacional de Informática, por ende, con la siguiente resolución se dará
como vigencia a la propuesta de implementación de la cláusula 7. Seguridad de los
Recursos Humanos, el cual contendrá los siguientes controles:
Control 7.1.1. Selección.
Control 7.1.2. Términos y Condiciones de Empleo.
Control 7.2.1. Responsabilidades de la Gerencia.
Control 7.2.2. Conciencia, educación y Capacitación sobre la Seguridad Informática.
Control 7.2.3. Proceso Disciplinario.
Control 7.3.1. Terminación o cambio de Responsabilidades del empleo.
Para lo cual se implementará una guía con normas que deberán ser aplicadas
por las entidades del estado.
1.4 ANTECEDENTES
Solo se cuenta con la NTP-ISO/IEC 27001 y sus precedentes.

1.5 ALCANCES
Solo se implementaran los siguientes controles:
 7. Seguridad de los Recursos Humanos.
 7.1. Antes del Empleo.
 Control 7.1.1. Selección.

4
  Control 7.1.2. Términos y Condiciones de Empleo.
 7.2. Durante el Empleo.
 Control 7.2.1. Responsabilidades de la Gerencia.
 Control 7.2.2. Conciencia, educación y Capacitación sobre la
Seguridad Informática.
 Control 7.2.3. Proceso Disciplinario.
 7.3. Terminación y Cambio de Empleo
 Control 7.3.1. Terminación o cambio de Responsabilidades
del empleo.
 8. Gestión de Activos
 8.1. Responsabilidad por los Activos
 8.1.1. Inventario de los Activos.
 8.1.2. Propiedad de los Activos.
 8.1.3. Uso Aceptable de los Activos.
 8.1.4. Retorno de los Activos.
1.6 LIMITACIONES
 No se realizarán pruebas con dichos documentos auditables.
 No se cuenta con suficiente documentación y trabajos previos a este.
 No existe documentos de apoyo para este trabajo.
1.7 METODOLOGIA
La metodología a implementarse se considera dentro de los lineamentos para
el perfeccionamiento de la seguridad de las tecnologías de la información en el País, el
cual nos vinculamos a los conceptos expresados en la norma ISO-IEC 27001,
Requisitos de los Sistemas de Gestión de la Seguridad de la Información.
La presente metodología se denomina PHVA, el cual promueve la adopción de
un enfoque basado en procesos, con el fin de establecer, implementar, operar, dar
seguimiento, mantener y mejorar el SGSI de una organización, para ello adopta el
modelo de procesos “Planificar, Hacer, Verificar y Actuar” (PHVA), que se aplica para
estructurar los procesos del SGSI en correspondencia con la NTP-ISO-IEC 27001.

5
 Ilustración 1: Modelo PHVA aplicado a los procesos del SGSI

Planificar Establecer las políticas, los objetivos, procesos y

(Establecer el SCSI) procedimientos de seguridad necesarios para gestionar el
riesgo y mejorar la seguridad informática, con el fin de entregar
resultados acordes con las políticas y objetivos globales de la
organización.
Hacer Tiene como objetivo fundamental garantizar una adecuada
(Implementar y implementación de los controles seleccionados y la correcta
operar el SCSI) aplicación de los mismos.
Verificar Evaluar y, en donde sea aplicable, verificar el
(Revisar y dar Desempeño de los procesos contra la política y los objetivos de
seguimiento al SGSI) seguridad y la experiencia práctica, y reportar los resultados a
la dirección, para su revisión.
Actuar Emprender acciones correctivas y preventivas basadas en los
(Mantener y mejorar resultados de la verificación y la revisión por la dirección, para
el SCSI) lograr la mejora continua del SCSI.

6
 CAPITULO II: MARCO TEORICO

2.1 Norma Técnica Peruana NTP-ISO/IEC 27001 2014. TECNOLOGÍA DE LA

INFORMACIÓN. Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos.
Esta Norma Técnica Peruana reemplaza a la NTP-ISO/IEC
27001:2008(revisada el 2013) y es una adopción de la norma ISO/TEC 27001:2013 y
de la ISO/TEC 27001:2013/COR 1. La presente norma técnica Peruana presenta
cambios editoriales referidos principalmente a terminóloga empleada propia del idioma
español y ha sido estructurada en concordancia a las Guías Peruanas GP 001:1995 y
GP 002:1995.
Esta Norma Técnica Peruana ha sido preparada para proporcionar los
requisitos para establecer, implementar, mantener y mejorar continuamente un sistema
de gestión de seguridad de la información. La adopción de un sistema de gestión de
seguridad de la información es una decisión estratégica para una organización. Este
sistema de gestión de seguridad de la información preserva la confidencialidad,
integridad y disponibilidad de la información aplicando un proceso de gestión de
riesgos y proporciona confianza a las partes interesadas en el sentido en que los
riesgos se manejan adecuadamente.
2.1.1 Norma ISO 27001
ISO/IEC 27001 es un estándar para la seguridad de la información (Information
technology - Security techniques - Information security management systems -
Requirements) aprobado y publicado como estándar internacional en octubre de 2005
por International Organization for Standardization y por la comisión International
Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un sistema de gestión de la seguridad de la información (SGSI) según el
conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas
en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la
norma BS 7799-2:2002, desarrollada por la entidad de normalización británica,
la British Standards Institution (BSI).
ISO 27001 puede ser implementada en cualquier tipo de organización, con o
sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los
mejores especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una entidad de
certificación independiente confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la
seguridad de la información y muchas empresas han certificado su cumplimiento.
2.1.2 Categoría
Dentro del anexo Objetivos de control y control de referencia se hallan los
objetivos de control, que declaran los que se debe alcanzar y controles que pueden
ser aplicados para alcanzar el objetivo del control.
2.1.3 Control
En cada Categoría existe un control que define el título del control y declara el
control para satisfacer el objetivo de control.

7
2.2 Cláusula N° 7 Seguridad de los Recursos Humanos
La cláusula N° 7 Seguridad de los Recursos Humanos, consta de tres criterios y sus
respectivos controles:

8
2.2.1. 7.1 Antes del empleo

Objetivo
Asegurar que los empleados y contratistas entiendes sus responsabilidades y son
convenientes para los roles para los que se les considera.
Descripción
Los cazatalentos deben contar con un sistema de selección ético que permita
determinar cuáles de los candidatos cumplen los requisitos del negocio, como también
comprobar la información del currículo, datos académicos profesionales, referencias
sobre actitudes, antecedentes y otros datos más detallados.
Una vez seleccionados los candidatos para ser parte del personal se debe controlar
que estos conozcan sus obligaciones con respecto a la seguridad de la información de
la organización, para dicho propósito cada empleado firma un acuerdo de
confidencialidad para la responsabilidad de la información, manteniendo la información
a solo personas autorizadas, asegurando que acepten las condiciones bajo un marco
legal, contemplando por la ley.
Controles
 Selección
 Términos y condiciones del empleo

2.2.2 7.2 Durante el empleo

Objetivo
Asegurar que los empleados y contratistas sean conscientes y cumplan con sus
responsabilidades de seguridad de la información.
Descripción
Cada miembro del personal de una organización debe ser consciente de las amenazas
y riesgos en el ámbito de la seguridad de la información, reduciendo el riesgo de error
humano.
Se debe controlar que el personal reciba entrenamiento apropiado del conocimiento y
actualizaciones regulares sobre las políticas y procedimientos organizacionales que
sean relevante en función de su trabajo para mantener la seguridad de la información,
resolverlo si está dentro de sus competencias e informar a sus superiores en caso que
la información ya haya sido vulnerada.
Por otra parte debe existir un proceso disciplinario formal que permite evaluar si una
falla de la seguridad fue causada por negligencia del empleado, recibiendo la sanción
o correctivo si así lo amerita
El proceso disciplinario debe ser usado también como un impedimento para prevenir
que los empleados, contratistas y usuarios de terceros violen las políticas y
procedimientos organizacionales, así como cualquier otra apertura en la seguridad.
Controles
 Responsabilidad de la gerencia

9
  Conciencia, educación y capacitación sobre la seguridad de la información
 Proceso disciplinario
2.2.3 Terminación y cambio de empleo

Objetivo
Proteger los intereses de la organización como parte del proceso de cambio o
terminación del empleo
Descripción
Debe gestionarse toda eventual salida de algún miembro de la organización, con la
finalidad de evitar perjuicio alguno, causado por dicha salida. Análogamente si se trata
de un cambio de empleo, es decir no sale de la organización pero cambia su puesto
de trabajo.
Una vez presentados, alguno de los dos casos anteriores, se deben tomar medidas
que aseguren el retorno de todo equipo entregado y el retiro de todo derecho de
acceso, evitando el ingreso a las instalaciones de procesamiento de información o el
acceso directo a dicha información, en caso de cambio , debe realizarse el ajuste
necesario.
Controles
 Terminación o cambio de responsabilidades del empleo.

10
2.3 Cláusula N° 8 Gestión de Activos
2.3.1. 8.1 Responsabilidad de activos
El criterio 8.1 Responsabilidad de activos consta de cuatro controles.

Objetivo
Identificar los activos de la organización y definir responsabilidades de protección
apropiadas
Descripción
La información como activo fundamental de la organización, debe estar bajo una
protección supervisada periódicamente para garantizar su seguridad.
Para dicho propósito se debe clasificar y ordenar los activos, tomando como criterio su
importancia para la organización, pueden ser archivos, software, equipos o materiales
intangibles.
Todo activo deber ser identificado sin ambigüedades, se debe documentar su
propiedad, clasificación y ubicación, contando con un responsable encargado de
garantizar su protección y el uso adecuado de estos por parte de los usuarios de la
organización, así como el retorno formal de los mismos una vez finalizado el vínculo
contractual con la organización.
Controles
 Inventario de Activos
 Propiedad de los activos
 Uso aceptable de los activos
 Retorno de activos

11