COLEGIO DE ABOGADOS DE LIMA

Direccin Acadmica y de Promocin Cultural

Curso de Formacin de Fedatarios Informticos 2012

Sesin N 5
Sistema de Seguridad de la Informacin
la Norma NTP ISO /IEC 17799
Expositor: Ing. Miguel Vliz Granados
Director Ejecutivo de Consultora InnSolutions S.A.C.
Director Ejecutivo del Instituto de Normas Tcnicas de CINSEYT
Secretario Tcnico del CTN 63 Microformas Digitales CNB INDECOPI
Consultor de Certificacin de Sistemas ISO 9001, ISO 27001 y NTP 392.0302
Lder de Certificaciones de Sistemas de produccin de microformas de SGS
del Per
Noviembre 2012

Situacin Actual
Algunos riesgos y su impacto en los
negocios

Algunos datos

Algunos datos

INFORMATICA

El objetivo del virus Bugbear no es colapsar

computadoras sino robar datos bancarios
Los expertos confirmaron que enva la informacin que captura a miles de
direcciones de Internet. Adems, tambin puede desactivar los sistemas de
seguridad de la PC, destruir sus archivos y descomponer impresoras.

INTERNET

Nadie logra controlar la epidemia: el correo basura

invade las casillas de todo el mundo
Apenas 150 spammers norteamericanos son los responsables del 90 por ciento
de los mensajes no deseados que atestan las computadoras de todo el mundo.
Todava no hay leyes para limitar su impacto econmico.

Algunos datos

Algunos datos
23-06-2003
Despido

Rechazan demanda de empleada por uso indebido de Internet

Buenos Aires, 23 de junio (Tlam).- El juez del trabajo Jorge Finizzola consider justo el despido
de una empleada que us las computadoras de la empresa para recibir y enviar correos
electrnicos ajenos a su tarea y de contenido pornogrfico, indicaron fuentes tribunalicias.
El magistrado rechaz la demanda iniciada por una empleada, que fue identificada como R.I.V, ya
que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a la
reclamante las costas del juicio.

NEGOCIOS

Una nueva fiebre enferma a las empresas de todo el

mundo: la seguridad de la informacin
La gestin de las polticas de seguridad de la informacin obsesiona a miles de empresas
de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; tambin
quieren ahorrar millones.
Por Daniela Blanco. Especial para Clarn.com.

Algunos datos

Algunas premisas

No existe la verdad absoluta en Seguridad

Informtica.
No es posible eliminar todos los riesgos.
No se puede ser especialista en todos los temas.
La Direccin est convencida de que la Seguridad
Informtica no hace al negocio de la compaa.
Cada vez los riesgos y el impacto en los negocios son
mayores.
No se puede dejar de hacer algo en este tema.

Algunas realidades
En mi compaa ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el rea.
... en la ltima auditora de sistemas no me sacaron
observaciones importantes.
... ya escrib las polticas.
... hice un penetration testing y ya arreglamos todo.

Algunos datos
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son efectuados
por personal interno

Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data Analysis (CAIDA)
CERT
SANS

10

Algunos datos
Segn una encuesta del Departamento de Defensa de
USA:

Sobre aprox 9000 computadores atacados,

7,900 fueron daados.
400 detectaron el ataque.
Slo 19 informaron el ataque.

11

Qu Informacin proteger
en formato electrnico / magntico / ptico
en formato impreso
en el conocimiento de las personas

12

Principales riesgos y su impacto en

los negocios

13

Captura de PC desde el exterior

Mails annimos con informacin crtica o con agresiones

Spamming

Violacin de e-mails

Violacin de contraseas

Virus

empleados deshonestos

Ingeniera social

Incumplimiento de leyes y regulaciones

Programas bomba

Acceso indebido a documentos impresos

Propiedad de la Informacin

Destruccin de soportes documentales

Acceso clandestino a redes

Indisponibilidad de informacin clave

Destruccin de equipamiento

Intercepcin y modificacin de e-mails

Violacin de la privacidad de los empleados

Fraudes informticos
Interrupcin de los servicios

Robo de informacin

Robo o extravo de notebooks

Software ilegal

Intercepcin de comunicaciones
Falsificacin de informacin para
terceros
Agujeros de seguridad de redes conectadas
14

Instalaciones default

Password cracking

Escalamiento de privilegios

Puertos vulnerables abiertos

Man in the middle

Servicios de log inexistentes o que no son chequeados

Denegacin de servicio
ltimos parches no instalados

Desactualizacin

Replay attack

Exploits

Backups inexistentes
Port scanning

Keylogging
15

El impacto en los negocios

En estos tipos de problemas es difcil:

Darse cuenta que pasa, hasta que pasa.
Poder cuantificarlos econmicamente, por
ejemplo

cunto le cuesta a la compaa 4 horas sin

sistemas?

Poder vincular directamente sus efectos sobre los

resultados de la compaa.
16

El impacto en los negocios

Es necesario estar preparado para que ocurran lo menos

posible:
sin grandes inversiones en software
sin mucha estructura de personal
Tan solo:
ordenando la gestin de seguridad
gestionado indicadores de la seguridad propia de los
sistemas
utilizando herramientas licenciadas y libres en la web
17

Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la
Informacin, podemos encontrar los siguientes:

Information Systems and Audit Control Association - ISACA:

COBIT (Control Objectives for Information and related
Technology).
Los estndares de calificacin ITIL , Information Technology
Infrastructure Library

British Standards Institute: BS

International Standards Organization: Normas ISO 20000

Departamento de Defensa de USA: Orange Book

ITSEC Information Technology Security Evaluation Criteria:

White Book

Sans Institute

Modelo de Capacidad y Madurez (CMM/CMMI)

18

La NTP ISO /IEC 17799

19

Norma ISO 17799 Seguridad de la

Informacin

4 Evaluacin y tratamiento del riesgo

5. Poltica de seguridad
6. Organizacin de seguridad de la informacin
7. Gestin de activos
8. Seguridad en recursos humanos
9. Seguridad fsica y del entorno
10. Gestin de comunicaciones y operaciones
11. Control de accesos
12. Adquisicin desarrollo y mantenimiento de sistemas de
la informacin
13. Gestin de incidentes de seguridad de la informacin
14. Gestin de continuidad del negocio
15. Cumplimiento
20

Introducci
n La seguridad

de las tecnologas de informacin, y por

ende la informtica, se convierte en un tema de
importancia crucial para el continuo y rpido progreso
de nuestra sociedad, e incluso para su propia
supervivencia.

Por otro lado, el desarrollo en los ltimos aos de las

redes informticas y fundamentalmente la Internet, ha
sido el factor fundamental que ha hecho que la
Seguridad Informtica cobrase una importancia vital en
el uso de sistemas informticos conectados.

Desde el momento en que nuestro ordenador se

conecta a Internet, se abren ante nosotros toda una
nueva serie de posibilidades, sin embargo stas traen
21
consigo toda una serie de nuevos y en ocasiones

Qu es seguridad de la
informacin?
La seguridad de la informacin es la proteccin de
la informacin de un rango amplio de amenazas
para poder asegurar la continuidad del negocio,
minimizar el riesgo comercial y maximizar el
retorno de las inversiones y las oportunidades
comerciales.
Se logra implementando un adecuado conjunto de
controles;
incluyendo
polticas,
procesos,
procedimientos, estructuras organizacionales y
funciones de software y hardware.
Se requiere establecer, implementar, monitorear,
revisar y mejorar estos controles cuando sea
necesario para asegurar que se cumplan los
22
objetivos especficos de seguridad y comerciales.

Por qu se necesita
informacin?

seguridad

de la

Las organizaciones y sus sistemas y redes de

informacin enfrentan amenazas de seguridad de un
amplio rango de fuentes; incluyendo fraude por
computadora, espionaje, sabotaje, vandalismo, fuego
o inundacin. Las causas de dao como cdigo
malicioso, pirateo computarizado o negacin de
ataques de servicio se hacen cada vez ms comunes,
ms ambiciosas y cada vez ms sofisticadas.
La gestin de la seguridad de la informacin requiere,
como mnimo, la participacin de los accionistas,
proveedores, terceros, clientes u otros grupos
externos. Tambin se puede requerir asesora
especializada de organizaciones externas.
23

Objetivo

Establece recomendaciones y principios

generales para iniciar, implantar o
mantener y mejorar la seguridad de la
informacin en una organizacin.
Los objetivos de control y los controles de
norma
son
diseados
para
ser
implementados
para
cumplir
los
requerimientos identificados por una
evaluacin del riesgo.

24

4 Evaluacin y tratamiento del riesgo

4.1 Evaluacin de los riesgos de
seguridad
Las evaluaciones del riesgo deben identificar,

cuantificar y
priorizar los riesgos en comparacin con el criterio para la
aceptacin del riesgo y los objetivos relevantes para la
organizacin.
Los resultados deben guiar y determinar la accin de gestin
apropiada y las prioridades para manejar los riesgos de la
seguridad de la informacin y para implementar los controles
seleccionados para protegerse contra estos riesgos.
La evaluacin del riesgo debe incluir el enfoque sistemtico de
calcular la magnitud de los riesgos (anlisis del riesgo) y el
proceso de comparar los riesgos estimados con un criterio de
riesgo para determinar la importancia de los riesgos (evaluacin
del riesgo). Los ejemplos de las tecnologas de evaluacin del
25
riesgo se discuten en ISO/IEC TR 13335-3 (Lineamientos para la

4 Evaluacin y tratamiento del riesgo

4.2 Tratamiento de los riesgos de
seguridad
Para cada uno de los riesgos definidos despus de una
evaluacin del riesgo se necesita tomar una decisin de
tratamiento del riesgo. Las opciones posibles para el tratamiento
del riesgo incluyen:
a)
b)

c)
d)

Aplicar los controles apropiados para reducir los riesgos;

Aceptar los riesgos consciente y objetivamente, siempre
que cumplan claramente con la poltica y el criterio de
aceptacin de la organizacin de la organizacin;
Evitar los riesgos no permitiendo acciones que podran
causar que el riesgo ocurra;
Transferir los riesgos asociados a otros grupos; por ejemplo,
aseguradores o proveedores.
26

5 Poltica de seguridad
Dirigir y dar soporte a la gestin de la seguridad de la
informacin en concordancia con los requerimientos del
negocio, las leyes y las regulaciones.

Debe incluir:

objetivos y alcance generales de

seguridad
apoyo expreso de la direccin
breve explicacin de los valores de
seguridad de la organizacin
definicin de las responsabilidades
generales y especficas en materia de
gestin de la seguridad de la
informacin
referencias
a
documentos
que
puedan respaldar la poltica

27

Alcance de
seguridad

la

poltica

de

Autorizacin

Proteccin Fsica

Confiabilidad
Confidencialidad

Propiedad

Legalidad

Poltica de
Seguridad

Disponibilidad

Eficiencia
Integridad

Eficacia
Exactitud

28

6 Aspectos organizativos para la

seguridad
6.1

Organizacin
Interna
Debe establecerse
una estructura de gestin para iniciar y
controlar la implantacin de la seguridad de la informacin
dentro de la organizacin
Comits de Gestin

aprobar la poltica de seguridad de la

informacin,
asignar funciones de seguridad
actualizarse ante cambios
coordinar la implementacin
definir metodologas y procesos especficos
de seguridad
monitorear incidentes de seguridad
lidera el proceso de concientizacin de
usuarios
29

6 Aspectos organizativos para la

seguridad
6.1

Organizacin Interna

Gestin del compromiso con la seguridad de la

informacin,

Coordinacin de la seguridad de la informacin

Asignacin de responsabilidades de seguridad de

informacin

Proceso de autorizacin para

procesamiento de la informacin

Acuerdos de confidencialidad

Contacto con las autoridades

Contacto con grupos especiales de inters

Revisin independiente de la seguridad de la

30
informacin

instalaciones

de

6 Aspectos organizativos para la

seguridad
6.2 Entidades
externas
Mantener
la seguridad de que los recursos de tratamiento de la
informacin y de los activos de informacin de la organizacin
sean accesibles por terceros
Identificacin de riesgos relativos a terceras
partes
Gestin de la seguridad cuando se trata con
terceros.
Gestin de la seguridad en los acuerdos con
terceras partes (clientes).

31


Ejemplo de terceros

personal de mantenimiento y soporte de

hardware y software;

limpieza, "catering", guardia de seguridad y

otros servicios de soporte tercerizados;

pasantas
de
estudiantes
y
otras
designaciones contingentes de corto plazo;

consultores.

32

7 Gestin de Activos
7.1 Responsabilidad por los activos
Mantener una proteccin adecuada sobre los activos de la
organizacin.
Inventarios
de
Informacin
Instalaciones

Designar un propietario para cada uno

de ellos

Uso aceptable de los activos

Clasificacin de la informacin
Asegurar un nivel de proteccin adecuado a los activos
de informacin.
Lineamientos para la clasificacin
Rotulado
y
informacin

manipulacin

de

la
33

8 Seguridad del personal

8.1Antes del empleo
Asegurar que los empleados, contratistas y terceros entiendan
sus responsabilidades y que sean adecuados para los roles para
los que han sido considerados, reduciendo el riesgo de hurto,
fraude o mal uso de las instalaciones

Roles y responsabilidades
documentadas

definidas

Seleccin de todos los candidatos para un

empleo
Trminos
y
condiciones
claramente definidos

de

empleo

34

8 Seguridad del personal

8.2Durante el empleo
Asegurar que los empleados, contratistas, y usuarios de
terceros estn consientes de las amenazas y riesgos en el
mbito de la seguridad de la informacin, y que estn
preparados para sostener la poltica de seguridad de la
organizacin en el curso normal de su trabajo y de reducir el
riesgo de error humano.

Gestin de responsabilidades

Advertencias, educacin y capacitacin en seguridad de

informacin

Proceso disciplinario
35

8 Seguridad del personal

8.3Terminacin
empleo

cambio

de

Asegurar que los empleados, contratistas y usuarios de

terceros salgan de la organizacin o cambien de empleo de
una forma ordenada.

Responsabilidades de la terminacin laboral

Devolucin de activos

Retiro de derechos de acceso

36

9 Seguridad
entorno

fsica

del

9.1reas seguras
Evitar accesos no autorizados, daos e interferencias contra
los locales y la
Informacin de la organizacin.

Permetro de seguridad fsica

Controles de entrada fsicos
Seguridad de oficinas, habitaciones e instalaciones
Proteccin contra amenazas externas y ambientales
Trabajo en reas seguras
reas de acceso pblico, entrega y cargas

37

9 Seguridad
entorno

fsica

del

9.1Seguridad del equipo

Evitar prdidas, daos o comprometer los activos as como la
interrupcin de las actividades de la organizacin.

Ubicacin y proteccin del equipo

Servicios de apoyo
Seguridad en el cableado
Mantenimiento de equipo
Seguridad del equipo fuera del local
Eliminacin segura o reutilizacin de los equipos
Remocin de propiedad

38

10 Gestin de comunicaciones y operaciones

10.1 Procedimientos
operacionales

responsabilidades

Asegurar la operacin correcta y segura de los recursos de

tratamiento de informacin..

Procedimientos de operacin documentados

Gestin de cambios

Segregacin de deberes

Separacin de
operaciones

las

reas

de

desarrollo,

prueba

39

10 Gestin de comunicaciones y operaciones

10.2 Gestin de la entrega de servicio de terceros

Implementar y mantener un nivel apropiado de seguridad y

de entrega de servicio en lnea con los acuerdos con terceros.

Entrega de servicio

Monitoreo y revisin de los servicios de terceros

Manejar los cambios en los servicios de terceros

40

10 Gestin de comunicaciones y operaciones

10.3 Planificacin y aceptacin del sistema

Minimizar el riesgo de fallos de los sistemas. Se hace

necesario una planificacin y preparacin para asegurar la
disponibilidad de capacidad y de recursos adecuados para
entregar en funcionamiento el sistema requerido.

Gestin de capacidad

Aceptacin del sistema

41

10 Gestin de comunicaciones y operaciones

10.5 Respaldo (back-up)

Mantener la integridad y la disponibilidad de los servicios de

tratamiento de
informacin y comunicacin.

Back-up o respaldo de la informacin

Se deben hacer regularmente copias de seguridad de toda la

informacin esencial del negocio y del software, en concordancia con
la poltica acordada de recuperacin.

42

10 Gestin de comunicaciones y operaciones

10.6 Gestin de seguridad en redes

Asegurar la salvaguarda de la informacin en las redes y la

proteccin de su
infraestructura de apoyo.

Controles de red

Seguridad en los servicios de red

Las caractersticas de seguridad, niveles de servicio y los requisitos de

gestin de todos los servicios de red deben ser identificados e
incluidos en cualquier acuerdo de servicio de red, as estos servicios
sean provistos dentro o fuera de la organizacin.

43

10 Gestin de comunicaciones y operaciones

10.7 Gestin de medios
Asegurar la salvaguarda de la informacin en las redes y la
proteccin de su
infraestructura de apoyo.

Gestin de medios cambiables

Retiro de medios

Procedimientos de procesamiento de la informacin

Documentacin de la seguridad de la informacin

44

10 Gestin de comunicaciones y operaciones

10.8 Intercambio de informacin
Evitar la prdida, modificacin o mal uso del intercambio de
informacin entre organizaciones.

Poltica y procedimientos de intercambio de la informacin

Acuerdos de intercambio

Medios fsicos en trnsito

Mensajera electrnica

Sistemas de informacin del negocio

45

10

Gestin
operaciones

de

comunicaciones

10.9 Servicios de comercio electrnico

Asegurar las transacciones de los servicios de comercio

electrnico.

Comercio electrnico

Transacciones en lnea

Informacin disponible pblicamente

46

10

Gestin
operaciones

de

comunicaciones

10.10 Monitoreo
Detectar las actividades de procesamiento de informacin no
autorizadas.

Registro de la auditora

Uso del sistema de monitoreo

Proteccin de la informacin del registro

Registros de administrador y operador

Registro de fallas

Sincronizacin de relojes

47

11

Control de Acceso

11.1 Requerimientos del negocio para el control de

acceso
Controlar los accesos a la informacin.

Poltica de control de acceso

La poltica debe ser establecida, documentada y revisada y

debe estar basada en los requerimientos de seguridad y del
negocio

48

11

Control de Acceso

11.2 Gestin de acceso del usuario

Asegurar el acceso autorizado de usuario y prevenir accesos
no autorizados a los sistemas de informacin.

Inscripcin del usuario

Gestin de privilegios

Gestin de la claves del usuario

Revisin de los derechos de acceso del usuario

49

11

Control de Acceso

11.3 Responsabilidades del usuario

Evitar el acceso de usuarios no autorizados y el compromiso o
hurto de la informacin y de las instalaciones del
procesamiento de informacin.

Uso de clave

Equipo de usuario desatendido

Poltica de pantalla y escritorio limpio

50

11

Control de Acceso

11.4 Control de acceso a redes

Prevenir el acceso no autorizado de los servicios de la red.

Poltica sobre uso de servicios en red

Autenticacin de usuario para conexiones externas

Identificacin del equipo en red

Proteccin de puertos de diagnstico remoto

Segregacin en redes

Control de conexin a las redes

Control de routing de redes

51

11

Control de Acceso

11.5 Control de acceso al sistema operativo

Evitar accesos no autorizados a los computadores.
controles deben ser capaces de:

Los

a) Identificar y verificar la identidad de cada usuario

autorizado en concordancia con una poltica definida de
control de acceso.
b) Registrar los accesos satisfactorios y fallidos al sistema.
c) Registrar el uso de privilegios especiales del sistema.
d) Alarmas para cuando la poltica del sistema de seguridad
sea abierta.
e) Suministrar mecanismos, adecuados de autenticacin.
f) Cuando proceda, restringir los tiempos de conexin de
52
usuarios.

11

Control de Acceso

11.5 Control de acceso al sistema operativo

Procedimientos de registro seguro en terminales

Identificacin y autenticacin de usuario

Sistemas de gestin de claves

Uso de utilidades del sistema

Sesin inactiva

Limitacin de tiempo de conexin

53

11

Control de Acceso

11.6 Control de
informacin

acceso

las

aplicaciones

Prevenir el acceso no autorizado a la informacin contenida

en los sistemas.
Se deben restringir el acceso lgico al software y a la
informacin slo a los usuarios autorizados. Las
aplicaciones deben:
a) Controlar el acceso de los usuarios a la informacin y las
funciones del sistema de aplicacin, de acuerdo con la poltica
de control de accesos.
b) Protegerse de accesos no autorizados desde otras facilidades o
software de sistemas operativos que sean capaces de eludir
los controles del sistema o de las aplicaciones.
c) No comprometer la seguridad de otros sistemas con los que se
compartan recursos de informacin.

Restricciones al acceso a la informacin

54

Aislamiento del sistema sensible

11

Control de Acceso

11.7 Computacin mvil y teletrabajo

Garantizar la seguridad de la informacin cuando se usan
dispositivos de
informtica mvil y teletrabajo

Computacin mvil y comunicaciones

Tele trabajo

55

12 Adquisicin, desarrollo y mantenimiento

de sistemas
12.1 Requisitos de seguridad de los sistemas
Asegurar que la seguridad est imbuida dentro de los
sistemas de informacin

Anlisis y
seguridad

especificacin

de

los

requerimientos

de

56

12 Adquisicin, desarrollo y mantenimiento

de sistemas
12.2 Procesamiento correcto en las aplicaciones
Evitar prdidas, modificaciones o mal uso de los datos de
usuario en las aplicaciones

Validacin de datos de ingreso

Control del procesamiento interno

Integridad del mensaje

Validacin de los datos de salida

57

12 Adquisicin, desarrollo y mantenimiento

de sistemas
12.3 Controles criptogrficos
Proteger la confidencialidad, autenticidad o integridad de la
informacin

Poltica de uso de los controles criptogrficos

Gestin de claves

.4 Seguridad de los archivos del sistema

Asegurar la proteccin de los archivos del sistema

Control del software operacional

Proteccin de la data de prueba del sistema
Control de acceso al cdigo fuente del programa
58

12 Adquisicin, desarrollo y mantenimiento

de sistemas
12.5 Seguridad en los procesos de desarrollo y
Mantener la seguridad del software de aplicacin y
soporte

la

informacin

Procedimientos de control de cambios en el sistema

operativo

Revisin tcnica de las aplicaciones despus de cambios

en el sistema operativo

Restricciones sobre los cambios en los paquetes de

software

Filtracin de informacin
59

12 Adquisicin, desarrollo y mantenimiento

de sistemas
12.6 Gestin de la vulnerabilidad tcnica
Reducir los riesgos resultantes de la
vulnerabilidades tcnicas publicadas
Control de las vulnerabilidades tcnicas

explotacin

de

Se debe obtener a tiempo la informacin sobre las vulnerabilidades

tcnicas de los sistemas informacin utilizadas. Igualmente, se debe
evaluar la exposicin de la organizacin a tales vulnerabilidades y las
medidas apropiadas para tratar a los riegos asociados.

60

13 Gestin de incidentes en la seguridad de

informacin
13.1 Reporte de eventos y
seguridad de informacin

debilidades

de

la

Asegurar que los eventos y debilidades en la seguridad de

informacin asociados con los sistemas de informacin sean
comunicados de una manera que permita que se realice una
accin correctiva a tiempo

Reporte de los eventos en la seguridad de informacin

Reporte de debilidades en la informacin

61

13 Gestin de incidentes en la seguridad de

informacin
13.2 Gestin de incidentes y
seguridad de la informacin.

mejoras

en

la

Asegurar un alcance consistente y efectivo aplicado a la

gestin de incidentes en la seguridad de informacin
Responsabilidades y procedimientos

Aprendizaje
informacin

Recoleccin de evidencia

de

los

incidentes

en

la

seguridad

de

62

14 Gestin de continuidad del negocio

14.1 Aspectos de la seguridad de la informacin en
la gestin de continuidad del negocio.
Reaccionar a la interrupcin de actividades del negocio y
proteger sus procesos crticos frente a grandes fallos de los
sistemas de informacin o desastres.

Inclusin de la seguridad de informacin en el proceso de

gestin de la continuidad del negocio

Continuidad del negocio y evaluacin del riesgo

Desarrollar e implementar planes

incluyendo seguridad de la informacin.

Estructura de planificacin para la continuidad del negocio

Prueba, mantenimiento y reevaluacin de los planes de

continuidad del negocio

de

continuidad

63

14 Gestin de continuidad del negocio

Etapas de planificacin
Principales etapas
Clasificacin de los distintos escenarios de
desastres
Evaluacin de impacto en el negocio
Desarrollo de una estrategia de recupero
Implementacin de la estrategia
Documentacin del plan de recupero
Prueba y mantenimiento del plan

64

15 Cumplimiento
15.1 Cumplimiento con los requisitos legales.
Evitar los incumplimientos de cualquier ley civil o penal,
requisito reglamentario, regulacin u obligacin contractual, y
de todo requisito de seguridad.

Identificacin de la legislacin aplicable

Derechos de propiedad intelectual (IPR)

Proteccin de los registros organizacionales.

Proteccin de data y de la privacidad de la informacin

personal

Prevencin de mal uso de medios de procesamiento de la

informacin

Regulacin de los controles criptogrficos

65

15 Cumplimiento
15.2 Cumplimiento de las polticas y estndares de
seguridad y el cumplimiento tcnico.
Asegurar la conformidad de los sistemas con las polticas y
normas de seguridad.

Conformidad con la poltica de seguridad y los estndares

de seguridad

Comprobacin del cumplimiento tcnico.

66

15 Cumplimiento
15.3 Consideraciones de la
sistemas de informacin.

auditora

de

los

Maximizar la efectividad y minimizar las interferencias en el

proceso de
auditora del sistema.

Controles de auditora de sistemas de informacin

Proteccin de las herramientas de auditora de sistemas la

informacin.

67

Legislacin en materia de Seguridad de la

Informacin en el Per
RM 216-2006-MINCETRUR Aprueban documento Lineamientos
General de de Poltica de Seguridad de la informacin del
Ministerio de Comercio Exterior y Turismo 08-08-2006
RM 575-2006/MINSA Aprueban Directiva Administrativa de
Gestin de la Seguridad de la Informacin del Ministerio de
Salud -23-06-2006
RM
520-2006/MINSA
Aprueban
Documento
Tcnico
Lineamientos de de Poltica de seguridad de la Informacin
del Ministerio de Salud 23-06-2006
RM 224-2004-PCM Aprueban uso obligatorio de la Norma
Tcnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnologa de la
Informacin. Cdigo de buenas prcticas para la gestin de la
seguridad de la informacin 1 26-07-2004
RM 310-2004-PCM Autorizan ejecucin de la Primera Encuesta
de Seguridad de la Informacin en la Administracin Pblica
Resolucin N 030-2008 /CRT-INDECOPI Aprueban Guas de
acreditacin de Entidades de Certificacin Digital, Entidades de
Registro o Verificacin de datos y Entidades de Prestacin 68
de
Servicios de Valor Aadido, as como la Gua para la

Gracias por su atencin

mvelizg@yahoo.com.mx