Está en la página 1de 157

UNIVERSIDAD CATLICA SANTO TORIBIO DE MOGROVEJO

FACULTAD DE INGENIERA
ESCUELA DE INGENIERA DE SISTEMAS Y COMPUTACIN

GUA DE IMPLEMENTACIN DE LA SEGURIDAD BASADO EN LA


NORMA ISO/IEC 27001, PARA APOYAR LA SEGURIDAD EN LOS
SISTEMAS INFORMTICOS DE LA COMISARIA DEL NORTE P.N.P
EN LA CIUDAD DE CHICLAYO

TESIS PARA OPTAR EL TTULO DE


INGENIERO DE SISTEMAS Y COMPUTACIN

JULIO CESAR ALCNTARA FLORES

Chiclayo 28 de Mayo de 2015


GUA DE IMPLEMENTACIN DE LA SEGURIDAD BASADO EN LA
NORMA ISO/IEC 27001, PARA APOYAR LA SEGURIDAD EN LOS
SISTEMAS INFORMTICOS DE LA COMISARIA DEL NORTE P.N.P
EN LA CIUDAD DE CHICLAYO

POR:

JULIO CESAR ALCNTARA FLORES

Presentada a la Facultad de Ingeniera de la


Universidad Catlica Santo Toribio de Mogrovejo
Para optar el ttulo de
INGENIERO DE SISTEMAS Y COMPUTACIN

APROBADA POR EL JURADO INTEGRADO POR

____________________
Mgtr. Luis Augusto Zue Bispo
PRESIDENTE

_______________________ _____________________
Ing. Hugo Enrique Saavedra Snchez Ing. Juan Rafael Galn Santisteban
SECRETARIO ASESOR

2
Dedicatoria

- Este trabajo est dedicado a mi Madre por creer siempre en m y apoyarme


En todo momento, todos mis esfuerzos son para ella.
- A m Padre y Hermanos porque siempre los tengo presente en todos los
momentos de mi vida y por inculcarme los buenos valores

3
NDICE

I. INTRODUCCIN. ........................................................................................................ 8
II. MARCO TERICO. ................................................................................................... 12
2.1 ANTECEDENTES ........................................................................................................ 12
2.2 BASES TERICAS CIENTFICAS. ................................................................................. 15
2.2.1 Gestin de la Seguridad de la Informacin. .......................................... 15
2.2.2 Aspectos Fundamentales en la Seguridad de la Informacin. .............. 16
2.2.3 Gestin de Riesgos en la Seguridad Informtica. ................................... 17
2.2.4 Sistema de Gestin de la Seguridad de la Informacin (SGSI). ............ 18
2.2.5 Que se entiende por un SGSI. ................................................................... 18
2.2.6 Que Incluye un SGSI. ................................................................................ 19
2.2.7 Gestin de la Seguridad de la Informacin. ............................................ 21
2.2.8 Fases del Sistema de Gestin de Seguridad de Informacin. ................ 21
2.2.9 Lista de Verificacin de la Norma ISO 27001. ......................................... 23
2.2.10 Como Implementar la ISO 27001. ........................................................... 24
III. MATERIALES Y MTODOS. ............................................................................. 26
3.1 DISEO DE INVESTIGACIN....................................................................................... 26
3.1.1 Tipo de Investigacin. .................................................................................. 26
3.1.2 Hiptesis ........................................................................................................ 26
3.1.3 Diseo de Contrastacin. ............................................................................. 26
3.1.4 Variables e Indicadores. ............................................................................... 26
3.1.5 Poblacin y Muestra. .................................................................................... 28
3.1.6 Tcnicas de Procesamiento de Datos. ........................................................ 28
3.2 METODOLOGA........................................................................................................ 29
3.2.1 Metodologa Norma ISO/IEC 27001. ........................................................... 29
3.2.2 Metodologa Magerit. ................................................................................... 33
IV. RESULTADOS. ................................................................................................. 35
4.1 ENTREGABLES REALIZADOS. ................................................................................... 35
4.1.1 Procedimiento para control de documentos y registros.36

4.1.2 Plan del proyecto para la implementacin del sistema de gestin de


seguridad de la informacin ................................................................................. 47
4.1.4 Documento sobre el alcance del sgsi .......................................................... 68
4.1.5 Poltica de seguridad de la informacin ..................................................... 75
4.1.6 Metodologa de evaluacin y tratamiento de riesgos................................ 97
4.1.7 Declaracin de aplicabilidad ...................................................................... 110
4.1.8 Plan de tratamiento de riesgos................................................................... 122

4
4.1.9 Plan de capacitacion y concienciacion .................................................... 126
V. DISCUSIN..145
VI. CONCLUSIONES. ............................................................................................ 146
REFERENCIAS BIBLIOGRFICAS. ........................................................................ 147
ANEXOS. ............................................................................................................... 149
ANEXO N1: Check-List Sobre Polticas De Seguridad En La Institucin Policial
Comisaria Del Norte Pnp Chiclayo. ........................................................................ 149
ANEXO N2: chick-List Sobre Gestin De Activos En La Institucin Policial
Comisaria Del Norte Pnp Chiclayo. ........................................................................ 150
ANEXO N3: Entrevista 01 .......................................................................................... 151
ANEXO N4: Tabulacin De Las Encuestas / Pre-Test ............................................... 152
ANEXO N5: Tabulacin De Las Encuestas / Post-Test ............................................. 155

Lista de Figuras:

Figura 1. Estructura que referencia un SGSI. ............................................................................................. 19


FIgura 2. Estructura piramidal de los distintos niveles de un SGSI. ....................................................... 20
Figura 3: Estructura de iso/iec 27001 ............................................................................................................ 29
Figura 5: Fases del proceso de implementacin de iso/iec 27001 ........................................................... 30
Figura 4: Alcance de iso/iec 27001 ................................................................................................................ 31
FIgura 6: Marco de trabajo para gestionar los riesgos ............................................................................... 34

Lista de cuadros:
Cuadro n1 Requerimientos en la institucin policial. ............................................................................. 54
Cuadro n2: Activos de la institucin. .......................................................................................................... 56
Cuadro n3: Dimensiones de seguridad ....................................................................................................... 57
Cuadro n4: mbito y activos. ....................................................................................................................... 57
Cuadro n 5: Controles de salvaguardas ...................................................................................................... 59
Cuadro n6: Requerimientos de la institucin ........................................................................................... 66
Cuadro n7. Responsables de informacin ................................................................................................ 67
Cuadro N8: Infraestructura de ti de la institucin .................................................................................... 73
Cuadro N9: Activos de informacin ........................................................................................................... 79
Cuadro N10: Estructuracin y valor de los activos .................................................................................. 80
Cuadro N11: Descripcin y valor critico de los activos ........................................................................... 80
Cuadro N12: Resumen del anlisis diferencial .......................................................................................... 95
Cuadro N14: Valoracin de la vulnerabilidad ......................................................................................... 106
Cuadro N15: Valoracin de la criticidad y sus rangos ........................................................................... 106
Cuadro N16 Impacto y sus rangos ............................................................................................................ 107
Cuadro n17 Variacin del impacto y la vulnerabilidad ........................................................................ 107
Cuadro n18 Nivel de aceptacin del riesgo ............................................................................................. 108

5
RESUMEN.

El presente trabajo de investigacin se enfoca en elaboracin de una Gua de


implementacin de la seguridad basada en la norma ISO/IEC 27001, para apoyar la
seguridad en los sistemas de informacin en la institucin Policial Comisaria del Norte
Chiclayo.

Para la obtencin de dicha informacin y recoleccin de datos se consider conveniente


el uso de las tcnicas de recoleccin de datos tales como encuestas, entrevistas, as
como fichas de observacin, como medio para poder extraer la informacin y su
posterior interpretacin; y de esta manera medir la realidad problemtica apoyado en el
uso de la Norma ISO/IEC 27001, logrndose determinar las deficiencias para mejorar
los niveles de seguridad y confiabilidad en los sistemas de informacin de dicha
institucin.

Los resultados obtenidos permitieron determinar de forma real que, al incorporar la


norma ISO/IEC 27001 basada en una Gua de Implementacin. Se logr incrementar los
procedimientos utilizados en favor de la Institucin permitindole la deteccin de
anomalas en la seguridad de la informacin, reflejado en distintos mecanismos de
seguridad para salvaguardarla. Con el Plan de tratamiento de Riesgos, se permiti la
disminucin de los niveles de riesgos con respecto a los activos de informacin,
considerados amenazas y vulnerabilidades en la institucin, esto manifestado en un plan
adecuado para abordarlos y tomar las precauciones necesarias que minimicen sus
impactos. Finalmente con el Plan de Capacitacin y Concienciacin puesto en marcha
en la Institucin, se pudo incrementar el porcentaje de conocimiento por parte del
personal en temticas orientadas a polticas, estrategias de seguridad que beneficien a la
institucin, teniendo como resultado personal comprometido con la seguridad en favor
de la institucin.

Una correcta implementacin de la Gua desarrollada en el presente trabajo de


investigacin permite incrementar el nivel de la seguridad en las aplicaciones
informticas de la institucin policial, lo cual se manifiesta en el incremento de polticas
de seguridad puestas en marcha que benefician a la institucin y ayudan a incrementar
el nivel de seguridad en la misma.

PALABRAS CLAVE: Gobierno TI, Polticas de Seguridad, SGSI, Estrategias de


Seguridad, Gestin de Recursos, Evaluacin de Riesgos, Auditable, SIDPOL, Hbrica,
Ingeniera de Seguridad.

6
ABSTRACT.

This work contains real and reliable information, a guide focused on security
implementation based on ISO / IEC 27001, to improve levels of safety and reliability in
information systems and use of the Applications within the institution Police
Commissioner North - Chiclayo.

To obtain such information and data collection was considered appropriate use of data
collection techniques such as surveys, interviews and observation sheets as a means to
extract information and then be processed for interpretation, and to measure the
problematic reality supported by the use of ISO / IEC 27001. Standard Achieving
identify gaps thus improving levels of safety and reliability in the information systems
of the institution.

The results determine actual form, incorporating the ISO / IEC 27001 -based Guide to
Implementation , was able to increase the level of safety in applications of the police ,
and this was manifested in increasing security policies that were implemented that
benefited the institution and helped increase the level of security in it.

With the implementation of this proposal will be able to increase the procedures used
for the institution enabling the detection of anomalies in information security, reflected
in different security mechanisms to safeguard it. With the Risk Treatment Plan , the
decreased levels of risk with respect to information assets , threats and vulnerabilities
considered in the institution is allowed , it said in a suitable plan to meet them and take
precautions to minimize their impacts . And finally, with the Plan of Training and
Awareness launched in the institution, it could increase the percentage of knowledge by
staff in thematic oriented policies, security strategies that benefit the institution, having
as a personal outcome committed to safety on behalf of the institution.

KEYWORDS: Government IT Security Policy, ISMS, Security Strategies, Resource


Management, Risk Assessment, Auditable, SIDPOL, Hbrica, Safety Engineering.

7
I. INTRODUCCIN.

Actualmente, en las organizaciones es de suma importancia determinar si los controles


implementados son eficientes y suficientes, identificar las causas de los problemas
existentes en los sistemas de informacin y a su vez las reas de oportunidad que
puedan encontrarse, identificando causas y soluciones a problemas especficos de los
sistemas de informacin, que pueden estar afectando a la operacin y a las estrategias
del negocio; as como las acciones preventivas y correctivas necesarias para mantener a
los sistemas de informacin confiables y disponibles.

Hoy en da las empresas privadas se han sistematizado y estn utilizando herramientas,


equipos informticos y personal capacitado para facilitar los procesos de trabajo y
obtener as un mayor rendimiento laboral. La mayora de estas empresas no le dan la
suficiente importancia a la auditora de sistemas, creyendo que este tipo de herramienta
no les corresponde y lo ven como un gasto y no como una inversin; es por eso que este
enfoque es bsico y necesario como es el de una Gua de Implementacin en la
seguridad de sistemas informacin.

ISO/IEC 27001 es la nica norma internacional auditable que define los requisitos para
un sistema de gestin de la seguridad de la informacin (SGSI). La norma se ha
concebido para garantizar la seleccin de controles de seguridad adecuados y
proporcionales. Ello ayuda a proteger los activos de informacin y otorga confianza a
cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un
enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y
mejorar un SGSI.

A travs de una Gua de Implementacin para la seguridad en las aplicaciones se puede


gestionar la tecnologa de la informacin en las entidades, a travs de auditoras internas
y externas. El presente trabajo propone una Gua de Implementacin que apoye a la
seguridad de los Sistemas de Informacin con la finalidad de medir los riesgos y
evaluar los controles en el uso de las tecnologas de informacin, haciendo uso de
tcnicas y estrategias de anlisis, que permitan una mejor gestin de tecnologas de
informacin, a disposicin de las entidades pblicas.

En la Entidad donde se desarrolla el presente trabajo de investigacin, Comisaria del


Norte de la PNP de la ciudad de Chiclayo, se ha venido trabajando diferentes enfoques
que corresponden a Guas de Implementacin apoyadas a la seguridad de la
Informacin; as se pudo encontrar la siguiente situacin problemtica, la cual
mencionaremos a continuacin especificando las causas que ocasionan estos
inconvenientes o problemas, los cuales citaremos a continuacin:

Del total del personal encuestado en la comisaria el 76% manifest que existe un
alto grado de inseguridad en el uso de sus aplicaciones. Esta inseguridad est
reflejada en varios aspectos como por ejemplo: desactualizacin de equipos,
ausencia de polticas de seguridad, activos vulnerables, etc.(Ver Anexo N4)

En lo que hace referencia al tiempo y uso de sus aplicaciones, de acuerdo a la


informacin recopilada en la comisaria cuentan por lo menos entre 5 aos a mas

8
con el uso de sus aplicaciones, llmense estas para registro de denuncias,
investigaciones, donde se obtuvo un 40% del personal encuestado que manifest
ese tiempo de uso en las aplicaciones, excepto el nuevo sistema de denuncia
policial conocido como SIDPOL, el cual entr en vigencia hace un ao. 2013.
(Ver Anexo N4)

En lo que respecta a los equipos de cmputo con los que cuenta la comisaria
estn desactualizados, y en algunos casos estos suelen estar malogrados o
inoperativos. As tambin, en cuanto al mantenimiento de los mismo se realizan
anualmente; lo cual fue manifestado por el 67% del total de encuestados. La
causa presente es de que no existe una poltica adecuada de actualizacin
peridica, y que esta causa genera un efecto en las deficiencias y
vulnerabilidades en el uso de los sistemas de informacin.(Ver Anexo N4)

Solamente el 27% del personal es capacitado en algn curso o charla


correspondiente al uso de las nuevas tecnologas y aplicaciones en informtica,
la causa presente es el deficiente nivel adecuado en las capacitaciones esto
genera un efecto en el personal no del todo positivo ya que se limita en muchos
casos el conocimiento. no a todos se les brinda este nivel de capacitacin, lo que
genera en muchos casos una inversin de los propios bolsillos de algunos
efectivos que no son beneficiados con las capacitaciones correspondientes, para
de alguna manera enterarse y actualizarse por su propia cuenta. (Ver Anexo
N4)

En lo que respecta a mecanismos de seguridad para las aplicaciones y los


sistemas, de acuerdo a la encuesta realizada el 80% hace uso de los conocidos
Antivirus como medios de proteccin, pero que a su vez no son licenciados, sino
versiones de prueba. As como los sistemas operativos no licenciados. (Ver
Anexo N4)

En cuanto a las acciones o actividades que se toman en cuenta frente a posibles


problemas e inconvenientes que puedan presentarse en los equipos, o activos de
informacin en la institucin. Un 47% del total de encuestados coincidi que
frente a estos inconvenientes se contactan con un experto que no necesariamente
est dentro de la institucin, un 23% los encuestados manifest que frente a esos
inconvenientes se hace uso de un plan de contingencia. (Ver Anexo N4)

En lo que respecta al conocimiento de Polticas de seguridad, Estrategias y


niveles de riesgo enfocados a la institucin. Un 93% de los encuestados afirm
no conocer acerca de estos temas, por lo que tan solamente un 7% conoce sobre
los mismos .(Ver Anexo N4)

En cuanto al ndice de fallas en las Aplicaciones, y los sistemas informticos de


acuerdo a la encuesta el 53% manifest que a veces se suelen presentar fallas de
seguridad, problemas con la informacin, en cuanto a la disponibilidad,
integridad, etc. o en otros casos problemas tcnicos muy puntuales, en las
aplicaciones, como por ejemplo la vulnerabilidad de las mismas. (Ver Anexo
N4)

9
En cuanto a los motivos y causas que generan las fallas, demoras, e
inconvenientes en las aplicaciones que hace uso la comisaria, los resultados que
obtuvimos fueron dos motivos ms resaltantes como son: el problema de mayor
recurrencia se manifest en los equipos desactualizados y en mal estado con un
53%, seguido de problemas en la conexin y accedo a la red (internet) con un
47%. Estos problemas encontrados se manifiestan en causas de carecimiento de
polticas, estrategias, y mecanismos de seguridad adecuados. Toda esta
problemtica y causas se ven manifestadas en un efecto que conlleva a
deficiencias en el uso de las aplicaciones, los niveles de seguridad vulnerables,
etc. Cabe mencionar que no todo el local de la comisaria cuenta con acceso a
internet, solamente el rea de investigacin, y aun as la velocidad es muy pobre
tan solo 500 megas que no le son suficientes, mientras que las otras reas no
cuentan con internet. Es por eso que algunos efectivos tienes que llevar sus
propias maquinas (laptops), para as agilizar el trabajo de manera ms eficiente
en algunos casos. (Ver Anexo N4)

En cuanto al proceso utilizado para la deteccin de ciertas anomalas en la


seguridad de la informacin y causas que puedan generan algunos
inconvenientes con la misma, del total de los encuestados un 10%, aseguro que
el proceso utilizado cuenta con mecanismos del control, como por ejemplo
algunas polticas de control, integridad de la informacin, etc. Mientras que un
90% afirmo que el proceso es deficiente para poder detectar ciertas anomalas y
salvaguardar la informacin.(Ver Anexo N4)

Los policas muchas veces deben asociarse para contratar el servicio de Internet. A esta
realidad se suma que slo 23 de las 114 comisaras en la ciudad de Chiclayo tienen
acceso a Reniec; cinco de cada diez al sistema de requisitorias, y ninguna a la
informacin de procesos judiciales. Por esto, cuando se realiza un operativo de control
de identidad, estas dependencias deben esperar la informacin de una unidad
especializada.

Por todo lo anterior expuesto, se plante el siguiente tema de investigacin: Cmo


ayudar en la mejora de la Seguridad de los Sistemas Informticos de la Comisaria del
Norte en la Ciudad de Chiclayo?

Seguidamente de una Hiptesis: Con una Gua de Implementacin de la Seguridad de la


Informacin basado en la Norma ISO/IEC 27001, se apoyar en la mejora de la
Seguridad en las Aplicaciones Informticas de la comisaria del Norte Chiclayo.

Entre los Objetivos que se plantearon tenemos, como Objetivo General: Contribuir a
mejorar el nivel de seguridad de la Informacin, apoyado en la norma ISO/IEC 27001,
en la institucin Policial Comisaria del Norte Chiclayo.

Como Objetivos Especficos tenemos a los siguientes:

Incrementar el nivel de seguridad en las aplicaciones de la institucin Policial.


Mejorar el proceso utilizado para detectar anomalas en la seguridad de la
informacin.
Disminuir los niveles de riesgos, respecto a los activos de informacin
considerados amenazas y vulnerabilidades.

10
Mejorar el nivel de capacitacin en temas de seguridad informtica en el
personal.

La Justificacin de la presente investigacin se da en el mbito Tecnolgico,


Econmico, Social, y Cientfico, las cuales se detallan a continuacin:
Tecnolgica: Ya existen antecedentes orientados a este tipo de investigacin y en reas
especifica de las organizaciones, pero con otra perspectiva y otro uso de metodologas.
A travs de esta investigacin se pretende hacer uso de las tecnologas estrictamente
orientadas a la seguridad de los sistemas de informacin, a la auditoria de los Sistemas
de informacin, ya que se pretende solucionar un problema en la organizacin orientada
al nivel de seguridad en el uso de sus sistemas de informacin que manejan en sus
actividades, generando como consecuencia una mejora en el uso de las aplicaciones con
mejores y mayores niveles de seguridad en los sistemas de informacin
respectivamente.

Econmica: A travs del desarrollo de este tema de tesis, se pretende ayudar en cierto
modo a la organizacin, ya que cuenta con inconvenientes en el nivel de seguridad y uso
de sus sistemas de informacin y en sus aplicaciones, con el desarrollo de la siguiente
gua se podran obtener beneficios econmicos a travs de las polticas destinadas y
orientadas a mejorar esa realidad existente de la institucin.

Social: Entre los factores, por los cuales se propone el siguiente tema de investigacin y
desarrollo, es porque a travs del mismo se podr ayudar al personal que labora en la
Institucin y hace uso de los sistemas y tecnologas de informacin con los que esta
cuenta, as mismo el poder tener un mejor y mayor control en la seguridad de su
informacin , y por ende un mejor nivel de seguridad en el uso de las aplicaciones que
apoyan su labor diaria, permitindole bridar un servicio de calidad a los ciudadanos.

Cientfica: Con el desarrollo de esta investigacin, se pretende servir de apoyo a futuras


investigaciones relacionadas con los temas de seguridad y niveles de seguridad de la
Informacin, y as mismo aportar nuevos conocimientos con el uso de nuevas
aplicaciones y metodologas de trabajos para concretar fines especficos relacionados
con el uso de las tecnologas y sistemas de informacin. A si mismo aprovechar con
la Auditoria de sistemas y tecnologas de informacin como herramienta fundamental
de poyo, y que esta no sea vista como un gasto extremo sino ms bien como una
inversin a mediano y largo plazo, que podra colaborar en prximos intentos por
mejorar cada vez ms los servicios apoyados en los Sistemas de Informacin.

11
II. MARCO TERICO.

2.1 Antecedentes.
2.1.2 Antecedentes Internacionales.

Segn los Autores: Antoni Llus Mesquida, Antonia Mas, Esperanza Amengual,
Ignacio Cabestrero. Con el tema de investigacin: Sistema de Gestin Integrado segn
las normas ISO 9001, ISO/IEC 20000 e ISO/IEC 27001. De la Universidad Rafael
Belloso Chacn- Venezuela, Ao 2008. Sostienen que:

Dada la gran aceptacin que tuvo en su momento la implantacin de un Sistema de


Gestin de Calidad (SGC) de acuerdo con la norma ISO 9001, actualmente la mayora
de organizaciones que deciden implantar una nueva norma para gestionar sus
servicios, como ISO/IEC 20000, o la seguridad de su informacin, como ISO/IEC
27001, normalmente ya cuentan con un SGC basado en ISO 9001. Con el objetivo de
facilitar a las empresas la implantacin de estas normas se ha realizado un estudio,
tanto para analizar las posibles relaciones existentes entre los requisitos de los sistemas
de gestin propuestos por estas normas, como para identificar los requisitos no
compartidos entre ellos. En este artculo se presenta un nuevo Sistema de Gestin
Integrado que ampla los requisitos de un SGC segn ISO 9001 con los requisitos
especficos de los otros dos estndares antes mencionados.

El mencionado antecedente se relaciona con dicha investigacin en la parte que


referencia a los Sistema de Gestin y Guas de Implementacin en la seguridad, en
este caso en particular se utiliza una metodologa especifica conocida la de Piattini,
aplicando as mismo un enfoque de la norma ISO 17799 -2005 la cual est estipulando
los dominios de control y polticas de seguridad. Ya que la mencionada tesis esta
inclinada en Auditar el servicio de red, vos y datos de la universidad en su servicio
Telemtico.

Segn los Autores: Enrique Martn Mndez, Miguel ngel Aguilar Proyecto Sanitas
con el tema de investigacin: Sistema de Gestin de Seguridad de la Informacin y
certificacin UNE 71502 e ISO 27001. Del Grupo Sanitas, Ao 2006. Sostiene que:

En la mencionada empresa en el sector de asistencia sanitaria, ha culminado con xito


la implantacin de un Sistema de Gestin de Seguridad de la Informacin y la
consiguiente obtencin de los certificados UNE 71502 e ISO 27001. El proyecto se ha
llevado a cabo con el apoyo de la consultora especializada en seguridad de la
informacin ESA Security, la cual a su vez ha aportado su experiencia en la
implantacin de estos sistemas. El Departamento de Seguridad de Sanitas,
perteneciente a la Direccin General de Sistemas de Informacin, ha sido el impulsor
de este proyecto con el objetivo de mejorar continuamente en su gestin.

El desarrollo del proyecto en Sanitas le permiti ser certificable, esto debido a la


confianza y colaboracin de querer salir adelante; tambin al reconocer que los activos
de informacin de su empresa son muy importantes en el desarrollo de s misma, por
ello busco mtodos para salvaguardar y proteger su informacin y por ende la
seguridad de sus sistemas de informacin de dicha organizacin.

12
2.1.3 Antecedentes Nacionales.

Segn Arturo Fernando Granados Rodrguez, en su tema de investigacin Auditoria


del Desarrollo de Sistemas de Informacin en el Gobierno Regional de Cajamarca,
Universidad Privada del Norte (2012), sostiene que:

Dicha investigacin surge a raz que en todo mbito institucional se requiere


informacin oportuna y confiable, para la toma de decisiones, esta realidad ha
permitido el desarrollo de Sistemas de informacin. Usualmente, la mayora de las
instituciones, en este caso especfico como lo es el Gobierno Regional de la ciudad de
Cajamarca, en cuanto al desarrollo de sistemas de informacin carece de un anlisis
adecuado, tcnico y profesional, lo cual ha generado como consecuencia el contar con
la informacin poco confiable y veraz, inoportuna e inconsistente a la hora de tomarlas
decisiones por la gerencia. Es por eso que en esta tesis la propuesta est orientada a
mejorar el nivel orientado a la seguridad de sus datos y a la informacin que procesa y
maneja el gobierno regional de Cajamarca, haciendo uso de metodologas especficas
y estndares de calidad como el 27001 que apunta al nivel de seguridad, para analizar
toda la problemtica y propone un plan de accin que permita administrar su
informacin de la mejor manera posible en el corto y mediano plazo para mejorar la
calidad y servicios que ofrece a la ciudadana.

Segn Emigdio Antonio Alfaro Paredes, con el tema de investigacin Metodologa


para la Auditoria Integral de la Gestin de la Tecnologa de Informacin. Pontificia
Universidad Catlica del Per (2008), sostiene que:

De la revisin de la literatura sobre estndares internacionales de calidad relacionados


a la gestin de tecnologa de informacin (COBIT, ISO/IEC 12207, ISO/IEC 17799,
ISO/IEC 20000 (ITIL), PMBOK, ISO/IEC 27001, IEEE 1058-1998, ISO 9001:2000 e
ISO 19011:2002), MoProSoft 1.3, y las normas relacionadas a la auditora informtica
en el Estado Peruano, se concluye que no existe una metodologa para la auditora
integral de la gestin de la tecnologa de informacin. Los enfoques actuales estn
basados sobre el proceso general de auditora sumndoles las inclusiones no integradas
de los diversos estndares de calidad internacional, o las normas vigentes para las
entidades que son sujetas de evaluacin en una auditora.

El objetivo de la tesis fue el desarrollo de una metodologa para la auditora integral de


la gestin de las tecnologas de informacin (MAIGTI), con un enfoque de procesos,
basado en estndares de calidad internacionales. MAIGTI enlaza los diversos
conceptos de COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 (ITIL), Y
PMBOK, sobre la base de una simplificacin del proceso general de auditora descrito
en la norma ISO 19011:2002, y sobre la base de una adaptacin del esquema de
procesos de la ISO 9001:2000 (ISO, 2000). MAIGTI comprende los siguientes
elementos: (a) objetivo (la finalidad de la auditora), (b) alcance (detalle de lo que est
incluido y lo que no est incluido como parte de la auditora), (c) entradas
(requerimientos de informacin), (d) proceso de MAIGTI (evaluaciones a realizar) y
(e) salidas (papeles de trabajo e informe de auditora). Asimismo, cada uno de los
procedimientos para la evaluacin de los principales objetivos de control dentro de los
subprocesos de MAIGTI, comprende la siguiente estructura: (a) objetivo (la finalidad
del procedimiento de auditora), (b) alcance (detalle de lo que est incluido y lo que no
est incluido como parte de la auditora a realizarse a travs del procedimiento), (c)

13
entradas (requerimientos de informacin para ejecutar el procedimiento de auditora),
(d) proceso (detalle de los pasos a seguir en el procedimiento de auditora), y (e)
salidas (hallazgos evidenciados como resultado de la ejecucin del proceso).

En los procedimientos descritos en el anexo 1, se ha detallado como salidas, algunos


hallazgos posibles que se derivan como resultado de la experiencia de las aplicaciones
de MAIGTI en auditoras realizadas por el autor de la tesis. MAIGTI ha sido aplicada
principalmente a 2 empresas de seguros y de manera parcial 8 entidades ms,
auditadas por el autor de la tesis, siendo aplicable para entidades usuarias de
tecnologa de informacin. Se recomienda ampliar MAIGTI o crear otra metodologa,
para la auditora integral de la gestin de tecnologa de informacin en entidades
proveedoras de servicios de tecnologa de informacin.

2.1.4 Antecedentes Locales.

Ana Pilar de Jess Maco Chonate, en su investigacin Formulacin de un Plan de


Seguridad de Informacin Aplicando las Normas ISO 27001 y 27002, para mejorar la
seguridad de la informacin en la gestin financiera de la caja Sipn: un caso de
aplicacin de la metodologa Magerit utilizando el software pilar2. Universidad
Catlica Santo Toribio de Mogrovejo (2008), sostiene que:

De acuerdo al anlisis realizado a la Caja Sipn de la ciudad de Chiclayo en lo que


respecta la seguridad de su informacin que esta maneja y opera, se pudo encontrar
indicios de que la Caja Sipn no cuenta con un equipo encargado de analizar y
gestionar la seguridad de la informacin en esta, por lo que siendo una entidad
financiera debe tener un plan de seguridad de su informacin, el encargado de realizar
esta labor es el Jefe del rea de Tecnologas de Informacin. As mismo otro de los
problemas encontrados en la Caja Sipn es la disconformidad que se tiene en cuanto a
la calidad de equipo tcnico que respalda la seguridad de la informacin. Se encontr
tambin que la Caja Sipn cuenta con un plan de seguridad de la informacin, el cual
no contaba con todas sus polticas documentadas, e incluso que este plan de seguridad
de la informacin no era conocido por el personal que labora en la empresa. Este tipo
de faltas o de carencias en cuanto a la seguridad conllevan a la empresa a tener
grandes prdidas. Los trabajadores de la Caja Sipn al desconocer estas polticas, estn
incumplindolas, lo que ocasiona la falta de eficiencia en el trabajo. Sobre esta
descripcin se puede definir que el problema principal de la empresa es la carencia de
un Plan de Seguridad sujeto a normas de calidad que garanticen la seguridad,
integridad, confiabilidad y eficiencia de la informacin.

14
2.2 Bases Tericas Cientficas.
2.2.1 Gestin de la Seguridad de la Informacin.

a) Definicin de Seguridad de Informacin.

La seguridad de la informacin es el conjunto de medidas preventivas y


reactivas de las organizaciones y de los sistemas tecnolgicos que permitan
resguardar y proteger la informacin buscando mantener la confidencialidad, la
disponibilidad e integridad de la misma. (Wolfgang 2009).

b) Importancia de Seguridad de Informacin.

En la seguridad de la informacin es importante sealar que su manejo est


basado en la tecnologa y debemos de saber que puede ser confidencial: la
informacin est centralizada y puede tener un alto valor. Puede ser divulgada,
mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la
pone en riesgo. La informacin es poder, y segn las posibilidades estratgicas
que ofrece tener acceso a cierta informacin, sta se clasifica como:

Crtica: Es indispensable para la operacin de la empresa.


Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas.

Existen dos palabras muy importantes que son riesgo y seguridad:

Riesgo: Es la materializacin de vulnerabilidades identificadas, asociadas


con su probabilidad de ocurrencia, amenazas expuestas, as como el
impacto negativo que ocasione a las operaciones de negocio.
Seguridad: Es una forma de proteccin contra los riesgos.
La seguridad de la informacin comprende diversos aspectos entre ellos
la disponibilidad, comunicacin, identificacin de problemas, anlisis de
riesgos, la integridad, confidencialidad, recuperacin de los riesgos.
(Wolfgang 2009).

La seguridad de la informacin comprende diversos aspectos entre ellos la


disponibilidad, comunicacin, identificacin de problemas, anlisis de riesgos, la
integridad, confidencialidad, recuperacin de los riesgos. (lvarez 2008)

c) Objeto de la Seguridad de la Informacin.

La seguridad de la informacin tiene como objeto los sistemas el acceso, uso,


divulgacin, interrupcin o destruccin no autorizada de informacin. Los
trminos seguridad de la informacin, seguridad informtica y garanta de la
informacin son usados frecuentemente como sinnimos porque todos ellos
persiguen una misma finalidad al proteger la confidencialidad, integridad y
disponibilidad de la informacin. Sin embargo, no son exactamente lo mismo
existiendo algunas diferencias sutiles. Estas diferencias radican principalmente
en el enfoque, las metodologas utilizadas, y las zonas de concentracin.
Adems, la seguridad de la informacin involucra la implementacin de

15
estrategias que cubran los procesos en donde la informacin es el activo
primordial. Estas estrategias deben tener como punto primordial el
establecimiento de polticas, controles de seguridad, tecnologas y
procedimientos para detectar amenazas que puedan explotar vulnerabilidades y
que pongan en riesgo dicho activo, es decir, que ayuden a proteger y
salvaguardar tanto informacin como los sistemas que la almacenan y
administran. La seguridad de la informacin incumbe a gobiernos, entidades
militares, instituciones financieras, los hospitales y las empresas privadas con
informacin confidencial sobre sus empleados, clientes, productos, investigacin
y su situacin financiera. (lvarez 2008)

2.2.2 Aspectos Fundamentales en la Seguridad de la Informacin.

Tenemos los siguientes aspectos como son los que se detallaran a continuacin
como: La Confidencialidad, La Integridad, La Disponibilidad, y La
Autentificacin. En seguida hablaremos de cada una de ellas:

a) La Confidencialidad.

Es la propiedad de prevenir la divulgacin de informacin a personas o sistemas


no autorizados. A groso modo, la confidencialidad es el acceso a la informacin
nicamente por personas que cuenten con la debida autorizacin.
La prdida de la confidencialidad de la informacin puede adoptar muchas
formas. Cuando alguien mira por encima de su hombro, mientras usted tiene
informacin confidencial en la pantalla, cuando se publica informacin privada,
cuando un laptop con informacin sensible sobre una empresa es robado, cuando
se divulga informacin confidencial a travs del telfono, etc. Todos estos casos
pueden constituir una violacin de la confidencialidad. (lvarez 2008)

b) La Integridad.

Es la propiedad que busca mantener los datos libres de modificaciones no


autorizadas. (No es igual a integridad referencial en bases de datos.) A groso
modo, la integridad es el mantener con exactitud la informacin tal cual fue
generada, sin ser manipulada o alterada por personas o procesos no autorizados.
La violacin de integridad se presenta cuando un empleado, programa o proceso
(por accidente o con mala intencin) modifica o borra los datos importantes que
son parte de la informacin, as mismo hace que su contenido permanezca
inalterado a menos que sea modificado por personal autorizado, y esta
modificacin sea registrada, asegurando su precisin y confiabilidad. La
integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de
comprobacin de la integridad: la firma digital Es uno de los pilares
fundamentales de la seguridad de la informacin (lvarez 2008)

c) Disponibilidad.

La disponibilidad es la caracterstica, cualidad o condicin de la informacin de


encontrarse a disposicin de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la
informacin y a los sistemas por personas autorizadas en el momento que as lo

16
requieran. En el caso de los sistemas informticos utilizados para almacenar y
procesar la informacin, los controles de seguridad utilizados para protegerlo, y
los canales de comunicacin protegidos que se utilizan para acceder a ella deben
estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe
estar disponible en todo momento, evitando interrupciones del servicio debido a
cortes de energa, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica tambin la prevencin de ataque


de denegacin de servicio. Para poder manejar con mayor facilidad la seguridad
de la informacin, las empresas o negocios se pueden ayudar con un sistema de
gestin que permita conocer, administrar y minimizar los posibles riesgos que
atenten contra la seguridad de la informacin del negocio.

La disponibilidad adems de ser importante en el proceso de seguridad de la


informacin, es adems variada en el sentido de que existen varios mecanismos
para cumplir con los niveles de servicio que se requiera. Tales mecanismos se
implementan en infraestructura tecnolgica, servidores de correo electrnico, de
bases de datos, de web etc. Mediante el uso de clster o arreglos de discos,
equipos en alta disponibilidad a nivel de red, servidores espejo, replicacin de
datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de
posibilidades depender de lo que queremos proteger y el nivel de servicio que
se quiera proporcionar.

d) Autenticacin.

Es la propiedad que permite identificar el generador de la informacin. Por


ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el
que lo ha mandado, y no una tercera persona hacindose pasar por la otra
(suplantacin de identidad). En un sistema informtico se suele conseguir este
factor con el uso de cuentas de usuario y contraseas de acceso.

2.2.3 Gestin de Riesgos en la Seguridad Informtica.

La Gestin de Riesgo es un mtodo para determinar, analizar, valorar y clasificar


el riesgo, para posteriormente implementar mecanismos que permitan
controlarlo, es as que tenemos a los siguientes parmetros como son los que
detallaremos a continuacin:

1) Anlisis del Riesgo.


Determina los componentes de un sistema que requiere proteccin, sus
vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el
resultado de revelar su grado de riesgo.

2) Clasificacin.
Determina si los riesgos encontrados y los riesgos restantes son aceptables.

3) Reduccin.
Define e implementa las medidas de proteccin. Adems sensibiliza y capacita
los usuarios conforme a las medidas.

17
4) Control:
Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para
determinar y ajustar las medidas deficientes y sancionar el incumplimiento.
Todo el proceso est basado en las llamadas polticas de seguridad, normas y
reglas institucionales, que forman el marco operativo del proceso, con el
propsito de:

Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y


limitando las amenazas con el resultado de reducir el riesgo.
Orientar el funcionamiento organizativo y funcional.
Garantizar comportamiento homogneo.
Garantizar correccin de conductas o prcticas que nos hacen
vulnerables.
Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

2.2.4 Sistema de Gestin de la Seguridad de la Informacin (SGSI).

El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto


central sobre el que se construye ISO 27001. La gestin de la seguridad de la
informacin debe realizarse mediante un proceso sistemtico, documentado y
conocido por toda la organizacin. Este proceso es el que constituye un SGSI,
que podra considerarse, por analoga con una norma tan conocida como ISO
9001, como el sistema de calidad para la seguridad de la informacin.

Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el


caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos
de la seguridad de la informacin sean conocidos, asumidos, gestionados y
minimizados por la organizacin de una forma documentada, sistemtica,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologas.

En las siguientes secciones (a las que puede acceder directamente a travs del
submen de la izquierda o siguiendo los marcadores de final de pgina) se
desarrollarn los conceptos fundamentales de un SGSI segn la norma ISO
27001. (Chi-Hsiang Wang 2010)

2.2.5 Que se entiende por un SGSI.

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la


Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,
siglas de Informacin Security Management System.

En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de


datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su

18
origen (de la propia organizacin o de fuentes externas) o de la fecha de
elaboracin. (ISO27001.es).

Figura 1.Estructura que referencia un SGSI.

Fuente: www.ISO27001.es

La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de


su confidencialidad, integridad y disponibilidad, as como de los sistemas
implicados en su tratamiento, dentro de una organizacin. As pues, estos tres
trminos constituyen la base sobre la que se cimienta todo el edificio de la
seguridad de la informacin:

Confidencialidad: la informacin no se pone a disposicin ni se revela a


individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la
informacin y sus mtodos de proceso.
Disponibilidad: acceso y utilizacin de la informacin y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.

2.2.6 Que Incluye un SGSI.

En el mbito de la gestin de la calidad segn ISO 9001, siempre se ha mostrado


grficamente la documentacin del sistema como una pirmide de cuatro
niveles. Es posible trasladar ese modelo a un Sistema de Gestin de la Seguridad
de la Informacin basado en ISO 27001 de la siguiente forma:

19
Figura 2.Estructura Piramidal de los distintos Niveles de un SGSI.

Fuente: www.ISO27001.es

1. Documentos de Nivel 1.

Manual de seguridad: por analoga con el manual de calidad, aunque el trmino


se usa tambin en otros mbitos. Sera el documento que inspira y dirige todo el
sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, polticas y directrices principales, etc., del SGSI.

2. Documentos de Nivel 2

Procedimientos: documentos en el nivel operativo, que aseguran que se realicen


de forma eficaz la planificacin, operacin y control de los procesos de
seguridad de la informacin.

3. Documentos de Nivel 3

Instrucciones, checklists y formularios: documentos que describen cmo se


realizan las tareas y las actividades especficas relacionadas con la seguridad de
la informacin.

4. Documentos de Nivel 4

Registros: documentos que proporcionan una evidencia objetiva del


cumplimiento de los requisitos del SGSI; estn asociados a documentos de los
otros tres niveles como output que demuestra que se ha cumplido lo indicado en
los mismos. (ISO27001.es)

20
2.2.7 Gestin de la Seguridad de la Informacin.

La norma ISO 27001 define cmo organizar la seguridad de la informacin en


cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica,
pequea o grande. Es posible afirmar que esta norma constituye la base para la
gestin de la seguridad de la informacin. La ISO 27001 es para la seguridad de
la informacin lo mismo que la ISO 9001 es para la calidad: es una norma
redactada por los mejores especialistas del mundo en el campo de seguridad de
la informacin y su objetivo es proporcionar una metodologa para la
implementacin de la seguridad de la informacin en una organizacin. (Burnett.
2004)

Tambin permite que una organizacin sea certificada, lo cual significa que una
entidad de certificacin independiente ha confirmado que la seguridad de la
informacin se ha implementado en esa organizacin de la mejor forma posible.
A raz de la importancia de la norma ISO 27001, muchas legislaturas han
tomado esta norma como base para confeccionar las diferentes normativas en el
campo de la proteccin de datos personales, proteccin de informacin
confidencial, proteccin de sistemas de informacin, gestin de riesgos
operativos en instituciones financieras, etc. (Dussan 2004)

2.2.8 Fases del Sistema de Gestin de Seguridad de Informacin.

La norma ISO 27001 determina cmo gestionar la seguridad de la informacin a


travs de un sistema de gestin de seguridad de la informacin.
Un sistema de gestin de este tipo, igual que las normas ISO 9001 o ISO 14001,
est formado por cuatro fases que se deben implementar en forma constante para
reducir al mnimo los riesgos sobre confidencialidad, integridad y disponibilidad
de la informacin. (Gmez Fernndez 2012).

Las fases son las siguientes:

a) La Fase de planificacin: esta fase sirve para planificar la organizacin


bsica y establecer los objetivos de la seguridad de la informacin y para
escoger los controles adecuados de seguridad (la norma contiene un
catlogo de 133 posibles controles).

b) La Fase de implementacin: esta fase implica la realizacin de todo lo


planificado en la fase anterior.

c) La Fase de revisin: el objetivo de esta fase es monitorear el


funcionamiento del SGSI mediante diversos canales y verificar si los
resultados cumplen los objetivos establecidos.

d) La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar


todos los incumplimientos detectados en la fase anterior.

El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser
implementadas cclicamente para mantener la eficacia del SGSI. (Gmez
Fernndez 2012)

21
a) La Fase de planificacin.

Esta fase est formada por los siguientes pasos:


Determinacin del alcance del SGSI;
Redaccin de una Poltica de SGSI;
Identificacin de la metodologa para evaluar los riesgos y determinar los
criterios para la aceptabilidad de riesgos;
Identificacin de activos, vulnerabilidades y amenazas;
Evaluacin de la magnitud de los riesgos;
Identificacin y evaluacin de opciones para el tratamiento de riesgos;
Seleccin de controles para el tratamiento de riesgos;
Obtencin de la aprobacin de la gerencia para los riesgos residuales;
Obtencin de la aprobacin de la gerencia para la implementacin del
SGSI;
Redaccin de una declaracin de aplicabilidad que detalle todos los
controles aplicables, determine cules ya han sido implementados y
cules no son aplicables. (Wang 2010)

b) La Fase de verificacin.

Esta fase incluye los siguientes pasos como:


Implementacin de procedimientos y dems controles de supervisin y
control para determinar cualquier violacin, procesamiento incorrecto de
datos, si las actividades de seguridad se desarrollan de acuerdo a lo
previsto, etc.;
Revisiones peridicas de la eficacia del SGSI;
Medicin la eficacia de los controles;
Revisin peridica de la evaluacin de riesgos;
Auditoras internas planificadas;
Revisiones por parte de la direccin para asegurar el funcionamiento del
SGSI y para identificar oportunidades de mejoras;
Actualizacin de los planes de seguridad para tener en cuenta otras
actividades de supervisin y revisin;
Mantenimiento de registros de actividades e incidentes que puedan
afectar la eficacia del SGSI.

c) La Fase de mantenimiento y mejora.

Esta fase incluye los siguientes pasos como:


Implementacin en el SGSI de las mejoras identificadas;
Toma de medidas correctivas y preventivas y aplicacin de experiencias
de seguridad propias y de terceros;
Comunicacin de actividades y mejoras a todos los grupos de inters;
Asegurar que las mejoras cumplan los objetivos previstos.

22
2.2.9 Lista de Verificacin de la Norma ISO 27001.

La Organizacin Internacional de Normalizacin (ISO, por sus siglas en ingls)


public la norma ISO 27001 para establecer, supervisar y mejorar la gestin de
seguridad de la informacin en las organizaciones. La lista de verificacin la
norma ISO 27001 ayuda a las empresas desarrollar y mantener un programa de
seguridad que impida las fugas de informacin y otras violaciones de seguridad
de la informacin. La lista cubre una amplia gama de medidas de control legales,
fsicas y tcnicas que van desde la clasificacin sensitiva de los datos a la
entrada de restriccin de las personas con malas intenciones.

A. Poltica de seguridad

La lista de verificacin de la norma ISO 27001 debe analizar si una empresa


tiene un sistema de informacin del programa de seguridad que est aprobado
por la direccin y se comunica a todos los empleados de la compaa. La
administracin debe manifestar su compromiso con la seguridad y el enfoque de
la organizacin para la gestin de seguridad de la informacin. La poltica debe
revisarse a intervalos. Esto es para asegurar la continua estabilidad, suficiencia y
efectividad de la tecnologa de la informacin del sistema. Todas estas
cuestiones deben abordarse en la lista.

B. Coordinacin de seguridad

Las actividades de seguridad de la informacin deben ser coordinadas por


representantes de diversos departamentos de la empresa. La necesidad de la
organizacin de acuerdos de confidencialidad o no divulgacin debe estar
claramente definida y revisada con regularidad. Los empleados deben entender
que la violacin del acuerdo de no divulgacin tiene sus consecuencias. Por
ejemplo, un analista de inteligencia de EE.UU. fue detenido en Irak en junio de
2010 por filtrar un video clasificado de las tropas disparando contra civiles.
Bradley Manning filtr el vdeo a los denunciantes del sitio web Wikileaks. El
liderazgo organizacional tambin debe identificar los riesgos a los servicios de
informacin antes de conceder acceso a terceros. Las medidas de control deben
ser implementadas antes de concederse el acceso. La informacin debe ser
clasificada tambin en trminos de su valor y la sensibilidad de la empresa.

C. Proteccin contra la entrada maliciosa

Necesitas tener la capacidad para detectar y prevenir intentos maliciosos internos


o externos para acceder a tu informacin. Si se trata de un negocio en lnea, por
ejemplo, los clientes deben ser capaces de comprar de forma segura la
mercanca. El programa que transfiere datos de un ordenador a otro debe ser
capaz de funcionar efectivamente por su cuenta. Con el fin de evitar poner en
peligro informacin valiosa, la red de una organizacin debe ser adecuadamente
gestionada y controlada para evitar cualquier amenaza y mantener la seguridad
de los sistemas y aplicaciones en toda la red de la organizacin. Sin ese
mecanismo, la informacin de la organizacin est en riesgo de abuso por parte
de delincuentes que se benefician con datos en lnea. (Alvares 2012)

23
2.2.10 Como Implementar la ISO 27001.

La ISO 27001 es un estndar de calidad general desarrollado por ISO


(International Standards Organization - Organizacin Internacional de
Estndares) enfocado en la seguridad de la informacin. La seguridad de la
informacin vara por organizacin; sin embargo, en general incluye todas las
formas de datos, comunicaciones, conversaciones, grabaciones, documentos e
incluso fotografas. Incluye todo desde correos electrnicos a faxes y
conversaciones telefnicas. La implementacin del ISO 27001 es utilizada
especficamente para obtener certificacin para el sistema de administracin de
seguridad de la informacin (ISMS o Information Security Management System)
de una organizacin. El ISMS define el estndar para toda la organizacin,
proveyendo objetivos marcados por un plan accionable para lograr y mejorar
sobre ellos de acuerdo al estndar de la administracin.

Instrucciones:

1) Establece objetivos. Cada sistema de administracin de seguridad de la


informacin debera tener un conjunto de ISMS hacia el cual trabajar.
Los objetivos exactos dependern de la organizacin y el entorno
regulador de la industria en la que la industria trabaja. Por ejemplo, un
banco que trabaje con clientes con un alto patrimonio neto necesitar
establecer objetivos ms rigurosos en relacin a la seguridad de la
informacin que una compaa de ganado.

2) Define el alcance y los lmites de los objetivos de tu ISMS. Para cada


objetivo, asigna un valor que te ayude a medir el alcance de su xito. Por
ejemplo, si quieres reducir el fraude en relacin a la seguridad de la
informacin, puedes establecer un objetivo que incluya una reduccin del
fraude de un 5 al 10 por ciento por ao. Adems, puede que quieras
establecer diferentes objetivos para diferentes departamentos dentro de la
organizacin. Por ejemplo, el personal de ventas puede tener una tasa
ms alta de fraudes que otras funciones como administracin o soporte.
Definir el alcance y establecer los lmites mejorar el xito de la
implementacin.

3) Identifica la mejor manera de abordar la evaluacin de riesgos. Los


riesgos para el ISO 27001 son eventos que pueden comprometer la
seguridad de la informacin de una organizacin. Por ejemplo, tu
compaa puede querer realizar una auditoria o contabilizacin interna
para evaluar riesgos regularmente en conjunto con sus tareas normales.
Estos grupos tienden a trabajar objetivamente con toda la organizacin y
usualmente ayudan a establecer y monitorear controles internos.

4) Identifica los mayores riesgos de seguridad en tu organizacin.


Luego de evaluar los riesgos, tendrs una lista de eventos de seguridad.
Prioriza estos riesgos para el equipo de implementacin.

24
5) Evala tu entorno de seguridad de la informacin actual y mide la
amenaza de cada riesgo de seguridad.
Cada riesgo de seguridad tambin debe estar conectado a un objetivo
especfico para medir el desempeo a lo largo del tiempo.

6) Crea un plan para tratar y mejorar sobre estos riesgos. Cada riesgo
debe tener una lista de acciones y opciones que pueda ser seguida por el
equipo de evaluacin de riesgos. Las acciones deben proveer una forma
clara de alcanzar los objetivos, y tambin controles definidos para poder
monitorear los riesgos. Para una organizacin grande, separa el plan en
diferentes secciones. Por ejemplo, puede que quieras empezar con un
piloto y luego desplegar el plan a la organizacin.

7) Obtn aprobacin de la gerencia. La gerencia debe formalmente


ratificar el plan antes de implementarlo. Pide hacer un anuncio general
del plan a la organizacin. Tambin provee una lnea de tiempo para que
la implementacin se apruebe y disemine a lo largo de la organizacin.

8) Comienza la implementacin. Realiza auditoras internas con


regularidad y reporta los resultados a la gerencia con la misma
regularidad. Actualiza tus objetivos y planes de seguridad de manera
apropiada.

25
III. MATERIALES Y MTODOS.

3.1 Diseo de investigacin.


3.1.1 Tipo de Investigacin.

El tipo de investigacin es Tecnolgica Aplicada, en razn que se har el estudio bajo


conocimientos de Gestin y Guas de Implementacin para seguridad de Sistemas de
Informacin, transformando ese conocimiento puro en un conocimiento til, as
mismo se generan conocimientos o mtodos dirigidos, ya sea con el fin de mejorarlos
y hacerlos ms eficientes, o con el fin de obtener productos nuevos y competitivos.

3.1.2 Hiptesis.

Con una Gua de Implementacin de la Seguridad de la Informacin basada en la


Norma ISO/IEC 27001, se apoyar en la mejora de la Seguridad en las Aplicaciones
Informticas de la comisaria del Norte Chiclayo.

3.1.3 Diseo de Contrastacin.

El diseo de contrastacin segn el nivel de conocimiento que se pretende alcanzar el


diseo de la investigacin es el de una Investigacin Cuasi-Experimental, ya que en
esta se analiza el efecto producido por la accin o la manipulacin de una o ms
variables independientes sobre una o varias dependientes. (Ramrez Zuluaga- 2004)

3.1.4 Variables e Indicadores.


3.1.4.1 Variables

a) Variable Independiente.

Gua de Implementacin de la seguridad de informacin, bajo la Norma


ISO/IEC 27001.

b) Variable Dependiente.

Nivel de Seguridad

3.1.4.2 Indicadores.

Cuadro 1: Indicadores de objetivos.

26
OBJETIVOS UNIDAD
ESPECFICOS INDICADOR DESCRIPCIN DE INSTRUMENTO OPERACIONALIZACION
MEDIDA
Valor en una escala de
Incrementar el nivel de Nivel de nivel aceptable: nivel Reporte del sistema Porcentaje de cumplimiento
seguridad en las seguridad Nivel sobre los ndices de de nivel aceptable
alto, nivel medio, nivel
aplicaciones de la Porcentual inseguridad Cantidad total niveles
institucin policial. bajo.

Instrumento para
Mejorar el proceso para medir el N de Entrevistas realizadas
la deteccin de Nmero la personal N Proceso implementados -
procesos
anomalas en la de procesos Numero involucrado en temas N procesos existentes
seguridad de la implementados, con de seguridad
informacin. los ya existentes: alto,
medio, y bajo.
Disminuir los niveles de Niveles de riesgos,
riesgos, respecto a los con referencia a los Encuesta dirigida al Activos informacin con
activos de informacin Nivel de Valor personal involucrado riesgos
activos de informacin
considerados amenazas Riesgo escalar en los sistemas de Total de activos de
y vulnerabilidades. de la institucin. informacin informacin

Mejorar el nivel de Nivel de Nivel de programas Encuesta dirigida a los Nivel de capacitacin
capacitacin en temas de programas de efectivos acerca del implementado -
destinados a la
seguridad informtica en capacitacin Nivel nmero de Nivel de capacitacin
el personal capacitacin del capacitaciones existente.
personal. recibidas

Fuente: Elaboracin Propia

27
3.1.5 Poblacin y Muestra.

La poblacin de la presente investigacin lo constituir los 30 trabajadores de la


Comisaria del Norte de la PNP de la ciudad de Chiclayo, que adems son efectivos
policiales.
Segn Hernndez y Fernndez 1991: Debido a que la poblacin es muy pequea
(n<=30) se tomarn a los 30 trabajadores de la Entidad mencionada. La seleccin de la
muestra ser en base a un muestreo no probabilstico, de tipo intencional o por
conveniencia; que para el caso la muestra ser el total de la poblacin.

3.1.6 Tcnicas de Procesamiento de Datos.

Cuadro2: Detalle de Tcnicas en el proceso de los datos.

MTODO/ ELEMENTOS
TCNICA INSTRUMENTO DE LA DESCRIPCIN
POBLACIN
Con el uso de esta ficha se procede
Ficha de Proceso de al llenado de la denuncia indicando,
Observacin Observacin denuncia del los motivos, el denunciado, la hora
ciudadano. del hecho, etc.
Este cuestionario estuvo dirigido al
personal que labora en la comisaria,
Cuestionario de para recoger informacin acerca de
preguntas los problemas que suceden en la
Encuestas (abiertas y Personal comisaria, para as conocer y
cerradas) Anexo- efectivo determinar el nivel de conocimiento
encuesta 01 policial en temas de seguridad en el uso de
sus aplicaciones.
Esta entrevista con preguntas
abiertas estuvo dirigida al encargado
del dpto. De denuncias policiales
que a sus vez esta las orientadas al
Gua de Jefe del tipo de denuncias familiares y abuso
entrevistas departamento y maltrato infantil y a la mujer y las
(formato de de denuncias denuncias tpicas por robo. Para as
Entrevistas entrevistas) policiales conocer que tanto pueden saber y
Anexo (violencia conocer temas orientados a polticas
entrevista 01 familiar y mecanismos de seguridad en el
delitos robos) uso de las aplicaciones, ya que en
este departamento se usa el Sistema
de Denuncia Policial con SIDPOL.
Con el uso de esta tcnica se
Gua de reportes Jefe encargado procede al conocimiento del
Reportes del uso del desempeo y uso del sistema de
sistema denuncias policiales de la
policial institucin policial.
Fuente: Elaboracin propia

28
3.2 Metodologa.
3.2.1 Metodologa Norma ISO/IEC 27001.
A. Aspectos Bsicos de la Norma ISO/IEC 27001.

La ISO/IEC 27001 es una norma internacional emitida por la Organizacin


Internacional de Normalizacin (ISO), la que a su vez describe cmo gestionar
la seguridad de la informacin adecuada en una empresa. ISO/IEC 27001
puede ser a su vez implementada en cualquier tipo de organizacin, la misa que
a su vez puede ser, con o sin fines de lucro, privada o pblica, pequea o
grande. Est norma a su vez est redactada por los mejores especialistas del
mundo en el tema y proporciona una metodologa para implementar la gestin
de la seguridad de la informacin en una organizacin.

B. Como funciona ISO/IEC 27001.

Cabe mencionar que a su vez el eje central de ISO/IEC 27001 es proteger la


confidencialidad, la integridad y disponibilidad de la informacin en una
determinada empresa. Para dicha actividad se encarga de investigar y revisar
cules son los potenciales problemas que podran afectar la informacin (es
decir, la evaluacin de riesgos) y luego define lo que es necesario hacer para
evitar que estos problemas se produzcan o se terminen manifestando (es decir,
mitigacin o tratamiento del riesgo). Por lo tanto, la filosofa principal de la
norma ISO/IEC 27001 es basada en la gestin de riesgos: investigndolos y
luego tratarlos sistemticamente.

En cuanto a las medidas de seguridad (o controles) que se van a implementar


estos se presentan, por lo general, bajo la forma de polticas, procedimientos e
implementacin tcnica (por ejemplo, software y equipos). Sin embargo, en la
mayora de los casos, las empresas ya tienen todo el hardware y software pero
utilizan de una forma no segura; por lo tanto, la mayor parte de la
implementacin de ISO 27001 estar relacionada con determinar las reglas
organizacionales (por ejemplo, redaccin de documentos) necesarias para
prevenir violaciones de la seguridad.

Figura 3: Estructura de ISO/IEC 27001

Fuente: www.iso27001standard.com

29
C. Proceso de implementacin de la ISO/IEC 27001 Enfoque de las seis
fases o pasos esenciales del proceso.

Dentro del proceso de implementacin de la ISO/IEC 27001, podemos


mencionar el siguiente enfoque para su posible implementacin como son los
siguientes:

Definir una Poltica de seguridad de Informacin


Definir el Alcance del Modelo
Efectuar un Anlisis y Evaluacin del Riesgo
Definir Opciones del Tratamiento del Riesgo
Seleccionar Controles a Implantar
Preparar un enunciado de Aplicabilidad

Figura 5: Fases del proceso de implementacin de ISO/IEC 27001

Definir una Poltica


de seguridad de
informacin

Definir el alcance del


modelo

Efectuar un anlisis y
evaluacin del riesgo

Definir opciones del


tratamiento del riesgo

Seleccionar controles
a implementar

Preparar un
enunciado de
aplicabilidad
Fuente: www.iso27001standard.com
Fuente: Burnett. 2004

30
D. Beneficios que brinda ISO/IEC 27001

Existen 4 ventajas comerciales esenciales que una empresa puede obtener con
la implementacin de esta norma para la seguridad de la informacin, las que a
su vez son las siguientes:
Cumplir con los requerimientos legales.
Obtener una ventaja comercial.
Menores costos.
Una mejor organizacin.

E. Donde interviene ISO/IEC 27001.

Bsicamente, la seguridad de la informacin es parte de la gestin global del


riesgo en una empresa, hay aspectos que se superponen con la ciberseguridad,
con la gestin de la continuidad del negocio y con la tecnologa de la
informacin:

Figura 4: Alcance de ISO/IEC 27001

Fuente: www.iso27001standard.com

F. Entregables definidos por ISO/IEC 27001.

Los diferentes entregables que se tomaron en cuenta con esta Metodologa


utilizada como la ISO/IEC 27001 para la institucin policial Comisara del
Norte PNP-Chiclayo, son los siguientes que detallaremos a continuacin
brevemente:

E1 Entregable 01: Procedimiento para el control de documentos y


registros.
Objetivo del entregable: Establecer las pautas para la elaboracin y
control de los documentos y registros asociados al Sistema integrado de
Gestin de Seguridad en la Institucin Policial PNP Comisaria del
Norte Chiclayo.

31
E2 Entregable 02: Plan del proyecto.
Objetivo del entregable: El objetivo del Plan del proyecto es definir
claramente el propsito del proyecto de implementacin del Sistema de
Gestin de Seguridad de la Informacin (SGSI), los documentos que se
redactarn, los plazos y las funciones y responsabilidades del proyecto.

E3 Entregable 03: Procedimiento para la identificacin de requisitos.


Objetivo del entregable: El objetivo del presente documento es definir
el proceso de identificacin de las partes interesadas, de los requisitos
legales, normativos, contractuales y de otra ndole relacionados con la
seguridad de la informacin y con la continuidad del negocio, como
tambin las responsabilidades para su cumplimiento.

E4 Entregable 04: Documento sobre el alcance del SGSI.


Objetivo del entregable: El objetivo de este documento es definir
claramente los lmites del Sistema de gestin de seguridad de la
informacin (SGSI) en la Institucin Policial Comisaria del Norte
Chiclayo. Este documento se aplica a toda la documentacin y
actividades dentro del SGSI.

E5 Entregable 05: Poltica de seguridad de la informacin.


Objetivo del entregable: El propsito de esta Poltica de alto nivel es
definir el objetivo, direccin, principios y reglas bsicas para la gestin
de la seguridad de la informacin. Esta Poltica se aplica a todo el
Sistema de gestin de seguridad de la informacin (ISMS), segn se
define en el Documento del Alcance del SGSI.

E6 Entregable 06: Metodologa de evaluacin y tratamiento de riesgos.


Objetivo del entregable: El objetivo del presente documento es definir
la metodologa para evaluar y tratar los riesgos de la informacin en la
Institucin Policial Comisaria del Norte Chiclayo y definir el nivel
aceptable de riesgo segn la norma ISO/IEC 27001

E7 Entregable 07: Declaracin de aplicabilidad.


Objetivo del entregable: El objetivo del presente documento es definir
qu controles son adecuados para implementar en la Institucin Policial
Comisaria del Norte -Chiclayo, cules son los objetivos de esos
controles y cmo se implementan. Tambin tiene como objetivo
aprobar riesgos residuales y aprobar formalmente la implementacin de
los controles mencionados.

E8 Entregable 08: Plan de tratamiento del riesgo.

E9 Entregable 09: Plan de capacitacin y concienciacin.


Objetivo del entregable: Capacitacin y Concienciacin del Personal
Efectivo Policial de la Institucin Policial Comisaria del Norte PNP-
Chiclayo.

32
3.2.2 Metodologa Magerit.
A. Aspectos Bsicos de la Metodologa Magerit.

Esta metodologa hace referencia al anlisis y gestin de riesgos elaborada por


el Consejo Superior de Administracin Electrnica, como respuesta a la
percepcin de que la Administracin, y, en general, toda la sociedad, dependen
de forma creciente de las tecnologas de la informacin para el cumplimiento
de su misin en las organizaciones respectivamente.

B. Estructura de la Metodologa Magerit.

Esta metodologa tiene una estructura adecuada la cual se describir a


continuacin como:

El captulo 2 presenta los conceptos informalmente. En particular se


enmarcan las actividades de anlisis y tratamiento dentro de un proceso
integral de gestin de riesgos.

El captulo 3 concreta los pasos y formaliza las actividades de anlisis


de los riesgos.

El captulo 4 describe opciones y criterios de tratamiento de los riesgos


y formaliza las actividades de gestin de riesgos.

El captulo 5 se centra en los proyectos de anlisis de riesgos, proyectos


en los que nos veremos inmersos para realizar el primer anlisis de
riesgos de un sistema y eventualmente cuando hay cambios sustanciales
y hay que rehacer el modelo ampliamente.

El captulo 6 formaliza las actividades de los planes de seguridad, a


veces denominados planes directores o planes estratgicos.

El captulo 7 se centra en el desarrollo de sistemas de informacin y


cmo el anlisis de riesgos sirve para gestionar la seguridad del
producto final desde su concepcin inicial hasta su puesta en
produccin, as como a la proteccin del propio proceso de desarrollo.

El captulo 8 se anticipa a algunos problemas que aparecen


recurrentemente cuando se realizan anlisis de riesgos

C. Objetivos de Magerit.

Entre los distintos objetivos que persigue la siguiente metodologa tenemos a


los siguientes objetivos Directos como son:
Concienciar a los responsables de las organizaciones de informacin de
la existencia de riesgos y de la necesidad de gestionarlos
Ofrecer un mtodo sistemtico para analizar los riesgos derivados del
uso de tecnologas de la informacin y comunicaciones (TIC)

33
Ayudar a descubrir y planificar el tratamiento oportuno para mantener
los riesgos bajo control Indirectos:
Preparar a la Organizacin para procesos de evaluacin, auditora,
certificacin o acreditacin, segn corresponda en cada caso

D. Fundamentos de Magerit

Puntualmente esta metodologa se basa fuertemente en analizar el impacto que


puede tener para la empresa la violacin de su seguridad, busca la
identificacin de las amenazas que pueden llegar a afectar la compaa y las
vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando as
tener una identificacin clara de las medidas preventivas y correctivas ms
apropiadas.

Lo interesante de esta metodologa, es que presenta una gua completa y paso a


paso de cmo llevar a cabo el anlisis de riesgos.

E. Ventajas de la Metodologa Magerit

La metodologa Magerit permite saber cunto valor est en juego en las


organizaciones y por ende ayuda a protegerlo. As mismo conocer el riesgo al
que estn sometidos los elementos de trabajo es, simplemente, imprescindible
para poder gestionarlos. Con esta metodologa, se persigue una aproximacin
metdica que no deje lugar a la improvisacin, ni dependa de la arbitrariedad
del analista.

Figura 6: Marco de trabajo para gestionar los riesgos

Fuente: PAE: Portal de Administracin Electrnica.

34
IV. RESULTADOS.

En los resultados de la Tesis, daremos a conocer los distintos entregables asociados a la


norma ISO/IEC 27001, que se consideraron para el desarrollo realizado en la Institucin
policial PNP Comisaria del Norte de la ciudad de Chiclayo.
A continuacin mencionaremos una lista de los distintos entregables, que
posteriormente se detallarn respectivamente en el documento.

4.1 Entregables realizados.

Entregable 01; Procedimiento para el control de documentos y registros.


Entregable 02; Plan del proyecto
Entregable 03; Procedimientos para identificacin de requisitos.
Entregable 04; Documento sobre el alcance del SGSI.
Entregable 05; Polticas de seguridad de la informacin.
Entregable 06; Metodologa de evaluacin y tratamiento de riesgos.
Entregable 07; Declaracin de aplicabilidad.
Entregable 08; Plan de tratamiento de riesgos.
Entregable 09; Plan de capacitacin y concienciacin.

A continuacin detallaremos el desarrollo de los distintos entregables que se trabajaron


para la institucin policial, basados en la norma ISO/IEC 27001, respectivamente.

35
COMISARIA DEL NORTE PNP CHICLAYO

PROCEDIMIENTO PARA CONTROL DE DOCUMENTOS Y REGISTROS

Cdigo CPCDR

Versin: 001

Fecha de la versin: 2014-05-05

Creado por: Alcntara Flores Julio Cesar

Aprobado por: Cap. PNP- Medina

Nivel de confidencialidad: Nivel Intimo / Nivel Intermedio / Nivel Superficial.

36
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 39 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

TABLA DE CONTENIDO

1. Objetivos y Usuarios41
2. Alcance.41
3. Procedimiento de Control de Documentos Internos41
3.1. Formato de los Documentos.....42
3.2. Cuerpo del Documento.42
3.3. Portada..42
3.4. Encabezados..43
3.5. Cierre del Documento...45
3.6. Control de Cambios..46
4. Procesos de Control de Documentos Externos47
5. Procedimiento de Control de Registro.47

37
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 40 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

1. OBJETIVOS Y USUARIOS.

1.1 GENERAL

Establecer las pautas para la elaboracin y control de los documentos y


registros asociados al Sistema integrado de Gestin de Seguridad en la
Institucin Policial PNP Comisaria del Norte Chiclayo.

1.2 OBJETIVOS ESPECIFICOS

Definir los pasos a seguir en la Produccin Documental del Sistema de


Seguridad de Informacin en la Institucin Policial.

Permitir que el manejo de la documentacin del SGSI refleje una adecuada


Imagen Institucional, contribuyendo al fortalecimiento de la Identidad
Visual.

Permitir un control eficaz y eficiente de la informacin y documentacin, por


medio de actividades de seguimiento, control y verificacin adecuadamente.

Permitir el conocimiento a todo el personal que forma parte de la Institucin


Policial Comisaria del Norte, en temas orientados a elaboracin y control de
documentos.

2. ALCANCE.

Aplica a todos los documentos que soportan el Sistema de Gestin de la Seguridad


de la Informacin (SGSI) de la Institucin Policial PNP Comisaria del Norte en la
ciudad de Chiclayo. En el cumplimiento de la Norma ISO 27001.

3. PROCEDIMIENTO DE CONTROL DE DOCUMENTOS INTERNOS.

Procedimiento establecido con el fin de determinar las actividades concernientes a


la elaboracin, aprobacin, actualizacin, distribucin y conservacin de los
documentos de la Institucin Policial: COMISARIA DEL NORTE - CHICLAYO,
con el fin de disponer de la informacin de manera gil y eficiente, contribuyendo a

38
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 41 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

La correcta preservacin de la documentacin del Sistema de Gestin del Sistema


de Informacin.
Los Parmetros a cumplir en la elaboracin de los documentos son los siguientes:

3.1 Formatos de los Documento.

3.2. Cuerpo del Documento.

Los Documentos del SGSI, tales como Manuales, Instructivos, Guas, Informes,
Protocolos y Programas se deben elaborar en papel Bond blanco tamao carta, con
mrgenes superior e izquierda 3 cm, inferior y derecha 2,5 cm, fuente tipogrfica
Arial tamao 12 y los siguientes elementos.

3.3. Portada.

El texto de la portada se escribe en fuente Arial tamao 12, el nombre del


documento en tamao 14, negrita y alineado al centro. La estructura de la portada
debe estar como se indica en la siguiente grfica:

Comisaria del Norte PNP Chiclayo


Sistema de Gestin de la Seguridad de Informacin
Nombre del Documento

Versin: XXX

Cdigo: xxx-xxx-xxx
Proceso: Nombre del Proceso
Fecha: xxxx-xx-xx

39
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 42 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

En la parte superior del documento, seis (6) interlineaciones bajo el margen


superior, encontramos el logo smbolo de la Institucin, compuesto por el escudo,
de la Polica Nacional del Per. Aprobado mediante Acuerdo del Ministerio del
Interior el 30 de Agosto del ao 1988. El escudo debe tener un tamao de 4,01 cm
de alto por 3,78 de ancho, el nombre debe estar escrito con fuente Humanst 521 BT
y se escribir cumpliendo el Manual de Identidad del siguiente modo:

Comisaria del Norte PNP Chiclayo.

Comisaria en tamao de fuente 14 negrita, del en tamao de fuente 12, Norte en


tamao de fuente 14, PNP en maysculas tamao 12, y Chiclayo en tamao 14.
Seis (6) interlineaciones bajo el logo smbolo encontraremos los datos requeridos
por el documento como tal. Estos datos son: El texto Sistema de Gestin de
Sistemas de Informacin en fuente Arial negrita tamao 12. Tres (3)
interlineaciones despus, encontramos el nombre del documento en fuente Arial
negrita tamao 14. Tres (3) interlineaciones bajo el nombre del documento, se
encuentra la versin del documento, cinco (5) interlineaciones despus se encuentra
el cdigo que identifica al documento, cinco (5) interlineaciones abajo, se registra
el nombre del Proceso del que hace parte el documento y finalmente, tres (3)
interlineaciones abajo, se registra la fecha de vigencia del documento como tal.
Estos ltimos datos se registran con fuente Arial negrita con tamao 12.

Nota: La interlineacin de la Portada debe ser sencilla, tenga en cuenta las Normas
ICONTEC para la elaboracin de documentos.

3.4. Encabezado

El encabezado de los documentos del SGSI se encuentra en todas las hojas que
conforman el documento, excepto la portada, deben estar registrados en fuente
tipogrfica Arial tamao 9 y debe tener el siguiente contenido:

Extremo izquierdo.
Se encuentra el escudo de la Institucin Policial PNP y el nombre de la Comisaria
en fuente tipogrfica Humanst BT en la parte inferior del Escudo, tal como lo
ordena el Manual de Identidad Visual Institucional de la Universidad.

Centro.
Se registrara los nombres de la dependencia o Proceso, segn sea el caso y del
documento. De este modo, los documentos de uso general llevarn el texto
Sistema de Gestin de Seguridad de Informacin, los de uso por Proceso llevarn
el nombre que los identifica y los de uso por Dependencia llevarn el nombre de la
misma.
40
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 43 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

Extremo derecho.
Se debe registrar los siguientes datos:

Cdigo: conjunto de caracteres asignados por la Unidad de Archivo y


Correspondencia, que se determina de acuerdo al proceso y tipo de documento de
acuerdo al siguiente orden:

Documentos de uso general


Los documentos que son aplicables a toda la Institucin se codificarn de la
siguiente manera:

Los primeros tres dgitos tienen las iniciales del Sistema de Gestin de Seguridad
(SGS), los dos siguientes al tipo documental, seguidos de su consecutivo.

Documentos de uso por Procesos:

Los documentos que son aplicables por Proceso se codificarn as:


Las tres primeras letras corresponden al proceso, los dos siguientes al tipo de
documento y los dos ltimos al consecutivo.

Documentos de uso por Dependencia:

Los documentos que son sustantivos de las funciones de cada dependencia y no son
aplicables a Otras, se codificarn de la siguiente manera: Los tres primeros dgitos
corresponden a la dependencia, los tres siguientes al proceso, los dos siguientes al
tipo de documento y los dos ltimos al consecutivo.

Nota: los cdigos que se asignan a los documentos asociados al SGSI corresponden
al Instructivo de Codificacin de Documentos, cdigo SGSI-IN-01 y se registran el
Listado Maestro de Documentos Internos, cdigo SGSI-FR-17.

Pgina: debe evidenciar el nmero de la pgina actual frente al nmero total de


pginas. Por ejemplo: 1 de 10.

Versin: corresponde al nmero de publicaciones aceptadas del documento.

Vigente a partir de: se refiere a la fecha de aceptacin de la versin del


documento, la cual se registra de acuerdo al sistema internacional: ao, mes, da;
separados por un guion (xxxx-xx-xx), de este mismo modo se registrar en el cierre
y en el control de cambios.

41
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 44 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

Nota: Dado el tamao variable de los formatos de la Institucin, no se estipula un


tamao exacto de encabezado, pero se debe respetar los requerimientos del Manual de
Identidad Visual. El tipo de letra de los datos registrados en el centro e izquierda del
encabezado deben ser en fuente tipogrfica Arial, negrita, mayscula sostenida para los
nombres e inicial para los datos, tamao de fuente 9.

3.5. Cierre de Documento.

Los datos contenidos en el Cierre de Documento nos permiten verificar quin lo cre,
quin lo revis y quin lo aprob, de este modo se identifican los responsables del
documento.

Elaborado por: En esta casilla se registra el responsable de la elaboracin o


creacin del documento, o autor del mismo.

Revisado por: En esta casilla se registra el asesor del proceso y el


Representante por la Direccin para el Sistema Integrado de Gestin de Calidad.

Aprobado por: En esta casilla se registra el nombre del Lder del Proceso,
quien es el responsable de la verificacin final del contenido de los documentos.
Dado el valor tcnico de los Documentos, es necesario que aquellos que lo
posean, se aprueben por el Comisario o su segundo subordinado inmediato, de la
Dependencia respectiva.

Cada una de estas casillas debe especificar cargo, nombre, firma y fecha en su
respectiva columna. Cabe resaltar que el uso de Firmas Digitales nicamente est
autorizado para el Comisario de la Institucin Policial. La fuente tipogrfica a utilizar en
el cierre del documento es Arial tamao 9, negrita y mayscula inicial.

Grfica del Cierre de Documento.

ELABORADO POR: REVISADO POR: APROBADO POR:

CARGO: Responsable del Representante de la Lder del Proceso o Director


Procedimiento Direccin de la Dependencia
NOMBRE: Alcntara Flores Julio Cap. PNP Medina G. Comisario PNP Cesar
Cesar. Espadn.

FIRMA:

FECHA:

42
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 45 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

3.6. Contenido del Documento.

El contenido del documento debe ser claro, conciso, evitando redundancias y errores
gramaticales y ortogrficos, teniendo en cuenta que los documentos son la carta de
presentacin de la Institucin ante las entidades con las que se tiene relacin. Por
razones de variacin en los formatos, se recomienda que la fuente sea Arial, el tamao
de fuente depende del tipo y tamao del formato.

3.7. Control de Cambios.

El Control de Cambios consiste en una tabla que permite llevar control sobre las
solicitudes de modificacin del documento, cuntas veces se ha llevado a cabo las
modificaciones y por qu se las realiz. Esta tabla se debe incluir al final del
documento, bajo los Datos de Elaboracin y genera un Formato denominado Control de
Cambios, cdigo SGSI-FR-19. Los datos contenidos en el Control de Cambios son los
siguientes:

Versin: corresponde al nmero de versiones existentes del mismo


Documento. Cabe resaltar que la ltima versin es la que se toma en cuenta
para difusin.
Fecha de Aprobacin: Corresponde a la fecha de aprobacin de la versin que
se encuentra.
Descripcin del Cambio: Referencia de la razn por la cual fue modificado el
documento.

Grfica del Control de Cambios:

CONTROL DE CAMBIOS
VERSION N FECHA DE DESCRIPCION DEL
APROBACION CAMBIO

Nota:
Los datos de Cierre del Documento y Control de Cambios nicamente se registran en
los Documentos y no en los Registros.

43
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 46 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

4. PROCEDIMIENTO DE CONTROL DE DOCUMENTOS EXTERNOS.

Procedimiento establecido con el fin de establecer controles para la identificacin


y control de los documentos externos que afectan al SGSI, con el fin de disponer
de la informacin de manera adecuada, evitando el uso de documentos obsoletos,
contribuyendo al mejoramiento continuo de los Procesos y Procedimientos en la
Institucin.

Los Documentos Externos que afectan al SIGC son:

Documentos Legales, entre ellos, la Constitucin Poltica del Per, Leyes,


Acuerdos, Decretos y Cdigos Peruanos de diferente naturaleza.

Manuales de funcionamiento, directrices y dems documentos que se relacionen


con el manejo de equipos propios de la Institucin Policial de la Comisaria del
Norte Chiclayo.

Documentos generados, por otras Instituciones y que tengan relacin directa con
las actividades y funciones realizadas por las diferentes Dependencias.

Documentos implementados, por una Dependencia pero que son generados por
otra, como por ejemplo, las Resoluciones Ministeriales o los Acuerdos del
Concejo Superior de Inspectora que aplican a varias dependencias.

Los documentos externos se identifican con el sello de copia controlada del SGSI
y se incluyen en el Listado Maestro de Documentos Externos SGSI-FR-18. Los
lderes de los procesos deben reportar al Asesor de Seguridad, asignado los
documentos externos que utilicen y que se hayan modificado o actualizado en
cumplimiento de sus funciones para la actualizacin del Listado Maestro de
Documentos Externos. A su vez, el Asesor debe reportar dentro de los 5 ltimos
das de cada mes los cambios realizados a la Unidad de Archivo y
Correspondencia para consolidar el Listado Maestro de Documentos Externos de
la Institucin Policial.

5. PROCEDIMIENTO CONTROL DE REGISTROS

Procedimiento que establece las actividades necesarias para la identificacin, el


almacenamiento, la conservacin, la recuperacin, la retencin y la disposicin de
los registros que se generan en cumplimiento de las funciones y procedimientos
establecidos por el SGSI.

44
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 47 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

Diligenciamiento.

El diligenciamiento de los Registros puede llevarse a cabo de manera digital o


manual.

En los casos en que el formato se diligencie de manera manual, se deben


tener en cuenta los siguientes aspectos:
Escribir con letra clara y legible
Usar tinta indeleble
Diligenciar todas las casillas que el formato solicita.
Evitar tachones y enmendaduras.
Cuando ocurra un error que requiera la anulacin del documento debe
tacharse con una sola lnea diagonal y dejar constancia mediante la firma y
fecha del funcionario responsable.
Cuando una casilla del formato que requiera diligenciamiento, no se
diligenci, debe trazarse una lnea para evitar diligenciamientos posteriores
de informacin.

Responsabilidad.

Para identificar quin es el responsable de diligenciar el documento es necesario


implementar la Lnea de Responsabilidad que se encuentra al final de los formatos
establecidos, dicha lnea de responsabilidad contiene los siguientes datos, de
acuerdo a la naturaleza de cada formato:

DILIGENCIADO POR
NOMBRE
CARGO
FIRMA
FECHA

DILIGENCIADO POR APROBADO POR


NOMBRE
CARGO
FIRMA
FECHA

45
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCDR
LA INFORMACION Pginas: 48 de 48
GUIA PARA LA ELABORACION Y CONTROL DE Versin: 001
DOCUMENTOS Y REGISTROS Vigencia: 15/03/2014

DILIGENCIADO POR REVISADO POR APROBADO POR


NOMBRE
CARGO
FIRMA
FECHA

Los Registros se relacionan en un Listado Maestro de Registros, cdigo SGSI-FR-16,


Formato en el que se registra los siguientes datos:
Cdigo, Nombre, Versin, Vigencia, Fecha de Vigencia, Ubicacin o Dependencia,
Lugar de Almacenamiento, Cargo del Responsable del Manejo del Archivo, Medio de
Almacenamiento, Nivel de Acceso de la Informacin, Tiempo de Retencin,
Disposicin Final y Observaciones. El responsable del diligenciamiento del listado
maestro de registros es el lder de cada proceso o su delegado, quien debe reportar
dentro de los cinco (5) ltimos das de cada mes a la Unidad de Archivo y
Correspondencia los cambios realizados en el Listado.

46
COMISARIA DEL NORTE PNP -CHICLAYO

PLAN DEL PROYECTO


PARA LA IMPLEMENTACIN DEL SISTEMA DE GESTIN DE
SEGURIDAD DE LA INFORMACIN

Cdigo CPPISGSI

Versin: 001

Fecha de la versin: 2014-05-05

Creado por: Alcntara Flores Julio Cesar

Aprobado por: Cap. PNP -Medina

Nivel de confidencialidad: Nivel Intimo / Nivel Intermedio / Nivel Superficial.

47
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 50 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

TABLA DE CONTENIDOS

1. Objetivos, Alcance y Usuarios..52


2. Documentos de Referencia52
3. Proyecto de Implementacin del SGSI..52
3.1. Objetivo del Proyecto.52
3.2. Resultado del Proyecto...53
3.3. Plazos..53
3.4. Organizacin del Proyecto.54
4. Gestin de Riesgos guardados en base a este Documento55
5. Validez y Gestin de Documentos55
6. Diagnstico de la Situacin Actual...56
7. Situacin Actual56

48
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 51 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

1. OBJETIVO, ALCANCE Y USUARIOS

El objetivo del Plan del proyecto es definir claramente el propsito del proyecto de
implementacin del Sistema de Gestin de Seguridad de la Informacin (SGSI), los
documentos que se redactarn, los plazos y las funciones y responsabilidades del
proyecto.
El Plan del proyecto se aplica a todas las actividades realizadas en el proyecto de
implementacin del SGSI.

El Plan del proyecto se aplica en una primera etapa a los datos, sistemas de informacin,
medios de enlace y redes de comunicacin, infraestructura tecnolgica, soportes de
informacin, infraestructura fsica y funcionarios que apoyan la ejecucin de los tres (3)
primeros procesos identificados como crticos dentro de la Institucin Policial, lo cual
nos permitir identificar de una implementar la metodologa adecuada, para cada ao
adaptar los dems procesos crticos del negocio con el SGSI, hasta obtener un grado de
madurez que luego nos permita gestionar de una manera adecuada todos los procesos en
la Institucin Policial Comisaria del Norte.

Los usuarios de este documento son los miembros de la [alta direccin] y los miembros
del equipo del proyecto. Para este caso los Miembros de la Alta direccin est
compuesta por el encargado de la Institucin Policial y el que toma las decisiones como
es el Comisarios PNP Cesar Espadn, seguido del Cap. PNP Medina, y los miembros del
equipo del Proyecto est conformado por el Sr Alcntara Flores J.C

2. DOCUMENTOS DE REFERENCIA

Norma ISO/IEC 27001


Norma ISO 22301

3. PROYECTO DE IMPLEMENTACIN DEL SGSI

3.1. Objetivo del proyecto

Para implementar el Sistema de Gestin de Seguridad de la Informacin en conformidad


con la norma ISO 27001, se realizar a ms tardar, hasta finales del mes de Julio del
2014, la implementacin de los documentos necesarios que permitan gestionar de
manera segura el flujo de informacin derivado de los diferentes procesos de la
Institucin Policial.

49
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 52 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

3.2. Resultados del proyecto

Durante el proyecto de implementacin del SGSI, se redactarn los siguientes


documentos:
a. Situacin actual
b. Polticas que incluyen controles para:
1. Aspectos Organizativos de la seguridad de la informacin.
2. Gestin de Activos.
3. Seguridad relacionada al personal.
4. Gestin de comunicaciones y operaciones.
5. Control de Acceso.
6. Adquisicin, desarrollo, mantenimiento de sistemas informticos.
7. Gestin de los Incidentes de Seguridad.
8. Gestin de la Continuidad del Negocio.
9. Cumplimiento.
c. Compromiso firmado por parte de los miembros del Comit de Administracin
Integral de Riesgo (CAIR), de apoyar decididamente a la implementacin del SGSI.
d. Enfoque de evaluacin de riesgos cuya metodologa debe contemplar inventario de
activos, identificacin de amenazas y vulnerabilidades, identificacin de impactos,
anlisis y evaluacin de riesgos, y tratamiento de riesgos.
e. Declaracin de aplicabilidad SOA.
f. Estrategias para Formacin y concienciacin.
g. Planes de accin correctiva/preventiva.
h. Planes de monitoreo y revisin.
i. Revisin del SGSI por parte de la Direccin.
j. Planes de auditora.

3.3 Plazos

El Sistema de Gestin de Seguridad de la Informacin tiene como fecha lmite en sus


desarrollo en el mes de Julio del 2014, fecha en la cual se habr pasado por las fases del
ciclo de Deaming o PDCA (Plan - Do - Check - Act) que nos permitir, como la mejor
prctica, hacer una mejora continua de las fases que son necesarias a fin de llevar a cabo
una satisfactoria implementacin del SGSI.

50
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 53 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

3.4. Organizacion del Proyecto

3.4.1 Promotor del Proyecto

El promotor y responsable del presente proyecto ser el Oficial CAP PNP Medina,
quien deber coordinar cada una de las fases, solicitar, organizar o generar la
documentacin que sea necesaria a fin de dar cumplimiento a la implementacin
satisfactoria del SGSI.

3.4.2 Gerente del Proyecto

El Oficial CAP PNP Medina, informar de los avances en el desarrollo del presente
proyecto al Gerente de la Unidad de Administracin Integral de la Institucion Policial
Comisario PNO Cesar Espadin.

3.4.3 Equipo del Proyecto

Para el desarrollo del presente proyecto ser necesario contar con la colaboracin de un
miembro de la Unidad de Planificacin y Desarrollo Organizacional, Administrador de
Seguridad de la Informacin, y el visto bueno de los Gerentes de cada rea con la
finalidad de involucrar a sus colaboradores de una manera planificada mientras se
desarrolla el presente plan.

3.5 Principales Riesgos del Plan

En cualquier proyecto, el recurso ms importante son las personas. Idealmente un


proyecto debera tener disponibles a un nmero adecuado de personas, con las
habilidades y experiencia correctas, y comprometidos y motivados con el proyecto. Sin
embargo, las cosas pueden ser diferentes, por lo que hemos identificado estos riesgos.

El personal del proyecto est comprometido con la entera duracin para lo que
son necesarios?
Todos los miembros del equipo estn disponibles a tiempo completo?
El movimiento de personal de un mismo proyecto es suficientemente bajo
como para permitir la continuidad del proyecto?
Se han establecido los mecanismos apropiados para permitir la comunicacin
entre los miembros del equipo?
El entorno de trabajo del equipo es el apropiado?

51
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 54 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

3.6 Herramientas para Implementacin del Proyecto y Generacin de Informes.

Se ha evaluado varias herramientas, una de las mejores opciones de cdigo abierto ha


sido Securia SGSI es una herramienta integral que cubre el proceso automtico de
implantacin, puesta en funcionamiento, mantenimiento y mejora continua de un
Sistema de Gestin de Seguridad de la Informacin (SGSI) segn la norma
internacional ISO 27001.
La herramienta seleccionada es actualizada peridicamente y cuenta con manuales de
implementacin y uso en espaol, adicional al uso de Securia, se usar hojas de clculo
lo cual permitir llevar un control del avance de la implementacin del SGSI.

4. GESTIN DE RIESGOS GUARDADOS EN BASE A ESTE DOCUMENTO.

Se realizar una revisin de los documentos de polticas y archivos generados del


desarrollo e implementacin del SGSI, se gestionar la implementacin de un sistema
de versionamiento que permita validar los cambios documentales y las versiones finales
de adicionalmente se llevar el control de la documentacin en las herramientas
seleccionadas.

5. VALIDEZ Y GESTIN DE DOCUMENTOS.

Todos los documentos sern debatidos por los involucrados, recoger los comentarios
ayudar a enriquecer las polticas que se definan, solo entrara en vigencia cuando se los
apruebe por los canales establecidos en la Institucin Policial, y una vez que se tenga
implementadas todas las correcciones solicitadas por los involucrados del SGSI.

52
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 55 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

DIAGNSTICO DE LA SITUACIN ACTUAL

6. SITUACIN ACTUAL.

6.1 Objetivos.

Verificar la implementacin de una metodologa que permita gestionar los


riesgos de la Institucin Policial, la identificacin y valoracin de activos y las
amenazas sobre stos.
Verificar la administracin de accesos lgicos a los servicios internos y externos.
Verificar las configuraciones de los servicios y la documentacin generada.
Evaluacin de la arquitectura de red implementada.
Seleccionar los controles que nos van a permitir cubrir los distintos aspectos al
implementar el Sistema de Gestin de Seguridad de la Informacin (SGSI).
Revisar las polticas, normas, procedimientos y documentos de control que nos
permiten determinar el grado de cumplimiento en la implementacin del SGSI.

6.2 Metodologa.

La metodologa seleccionada para la implementacin se basa en la metodologa


EISA la cual nos permitir aplicar un mtodo riguroso y comprensivo para describir
el comportamiento de los procesos de seguridad de la Institucin Policial, sistemas
de seguridad de informacin y subunidades de personal y organizativas, para que se
alineen con las metas comunes de la organizacin y la direccin estratgica.

Preguntas que responde la EISA

Un proceso de Arquitectura de Seguridad de Informacin en la Empresa ayuda a


Contestar preguntas bsicas como:
Est la arquitectura actual apoyando y aadiendo valor a la seguridad de la
Organizacin?
Cmo podra una arquitectura de seguridad ser modificada para que aada ms
Valor a la organizacin?

53
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 56 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

Para implementar una arquitectura de seguridad de informacin en la Institucin


Policial Comisaria del Norte, mediante la cual la arquitectura se alinee con la
estrategia de la organizacin y otros detalles necesarios tales como dnde y cmo
opera, es necesario competencias esenciales, procesos de negocio, y cmo la
organizacin interacta consigo misma.

Cuadro N1 Requerimientos en la Institucin Policial.


REQUERIMIENTO DOCUMENTADO ACTUALIZADO

Cuadros de organizacin, actividades, y flujo SI NO


de procesos sobre cmo TI de la organizacin
operan.

Ciclos, periodos y distribucin en el tiempo NO NO


de la organizacin.

Proveedores de tecnologa hardware, software SI NO


y servicios.

Inventarios y diagramas de aplicaciones y SI NO


software

Interfaces entre aplicaciones; esto es: eventos, NO NO


mensajes y flujo de datos.

Intranet, Extranet, Internet, comercio NO NO


electrnico

Clasificacin de datos, bases de datos y NO NO


modelos de datos soportados.

Hardware, plataformas, servidores, NO NO


componentes de red y dispositivos de
seguridad y dnde se conservan.

Redes de rea local y abiertas, diagramas de NO NO


conectividad a internet

Fuente: Elaboracin propia

54
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 57 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

Para el desarrollo del presente plan se utilizarn los siguientes procedimientos:

Reuniones con los involucrados en el Plan de implementacin del SGSI, que nos
permitir debatir y contar con la aceptacin de los controles de la norma ISO
27002 a implementar en la Institucin Policial Comisaria del Norte.

Reunin para establecer el compromiso y delegados en el proceso de


implementacin del SGSI.
El objetivo de sta etapa es sentar las bases del proceso de mejora continua en materia
de seguridad, permitiendo a la Comisaria del Norte, conocer el estado del mismo y
plantear las acciones necesarias para minimizar el impacto de los riesgos potenciales.
Para ello se abordarn las siguientes fases:

Documentacin normativa sobre las mejores prcticas en seguridad de la


informacin.
Identificacin y valoracin de los activos y amenazas sobre los activos de la
Institucin Policial Comisaria del Norte.
Auditora de cumplimiento de la ISO/IEC 27002:2005.
Propuestas de proyectos de cara a conseguir una adecuada gestin de la
seguridad.
Presentacin de resultados.
Para adaptar el Sistema de Gestin de Seguridad de la Informacin ser importante que
el proyecto se ajuste a las 4 fases definidas por la serie de normas ISO 27000 como la
mejor prctica para poder implementar el SGSI, en el siguiente esquema se presenta las
etapas. En las cuales el SGSI ser adaptado a la Institucin Policial, las mismas etapas
sern la gua para la presentacin de avances.

6.3. Documentacin Normativa sobre las Mejores Prcticas en Seguridad de la


Informacin.

Para la ejecucin de la presente etapa se selecciona a Magerit V2 como metodologa


de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, tambin es posible
que para la consecucin de los objetivos sea necesario implementar otras fuentes de
buenas prcticas como ITIL.

55
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 58 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

6.4 Identificacin y Valoracin de los Activos y Amenazas sobre los Activos de la


Institucin Policial Comisaria del Norte.

6.4.1 Inventario de Activos.

Como primera actividad a ejecutar es necesario realizar la evaluacin de los activos de


informacin en los procesos seleccionados, considerando las dependencias entre stos y
realizando una valoracin.

Cuadro N2: Activos de la Institucin.

Inventario de Activos Detalle

INSTALACIONES Ubicacin de equipos informticos y de comunicaciones

HARDWARE (HW) Equipos que alojan datos, aplicaciones y servicios

APLICACIONES (SW) Aplicativos que permiten manejar los datos

DATOS El principal recurso, todos los dems activos se identifican


alrededor de ste activo

RED Equipamiento que permite intercambiar datos

SERVICIOS Que se brindan gracias a los datos y que se necesitan para


gestionar los datos

EQUIPAMIENTO Todo aquello que complemente al material informtico


AUXILIAR

SOPORTES DE Dispositivos que permiten el almacenamiento de datos


INFORMACION (temporal)

PERSONAL Quienes explotan u operan todos los dems elementos

Fuente: Elaboracin propia

56
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 59 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

Cuadro N3: Dimensiones de seguridad

DIMENSIONES DE SEGURIDAD
VA VALOR CRITERIO
MA 10 Dao muy grave a la organizacin
A 7-9 Dao grave a la organizacin
M 4-6 Dao importante a la organizacin
B 1-3 Dao menor a la organizacin
MB O Dao irrelevante para la organizacin
Fuente: Magerit V2

Cuadro N4: mbito y Activos.

AMBITO ACTIVO VALOR


Informacin personal cliente MA
DATOS Transaccin cliente M
Tramites policiales M
SERVICIO Denuncias policiales MA
SW SIDPOL MA
Servidor BBDD Principal Oracle MA
HW IBM Blade Server MA
Servidor Formas - Oracle Forms 6 MA
Terminal de Usuario M
REDES Y COMUNICACIONES Red Lan MA
SOPORTE DE NFORMACION Papeletas M
Oficinas A
INSTALACIONES Data Center (Sala servidores) MA
Oficial Operativos y Administrativos M
PERSONAL Jefe de Operaciones B
Personal tcnico B
Fuente: Elaboracin propia

57
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 60 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

6.4.2 Anlisis de Amenazas.

Para el entendimiento de la presente etapa es necesario indicar que se establecen segn


Magerit V2, ciertas amenazas tpicas identificadas y que reducen la utilizacin del
activo en diferentes mbitos de los pilares de la seguridad de la informacin, stos
activos estn frecuentemente expuestos a las amenazas, por lo cual la frecuencia de
ocurrencia se expresar como como tasa anual o incidencias por ao; finalmente la
frecuencia con la que una amenaza se materialice sobre un activo har que ste activo
disminuya en un porcentaje de su valor.

6.4.3 Calculo del Riesgo

El clculo del riesgo actual es una valoracin en la que interviene el valor que le hemos
dado a los activos en cada una de las dimensiones, la frecuencia con la que una amenaza
puede degradar a aun activo, y el impacto de dao o disminucin que la amenaza puede
causarle al activo.

6.4.4 Seleccin de Controles Salvaguardas.

Para ejecutar la actividad de seleccin de salvaguardas, debemos tomar en


consideracin los elementos de proteccin actual que tienen nuestros activos, y los
posibles elementos de control de los que podemos dotar a nuestros, activos, es decir a
los grupos de activos que hemos definido, validar los controles del Anexo a la Norma
UNE-ISO/IEC 27001:2005 son aplicables en el contexto de nuestras capacidades, para
esto se ha considerado 2 mbitos esenciales con los que debemos trabajar las
salvaguardas, los aspectos de y el tipo de proteccin de las salvaguardas que vamos a
implementar, los cuales resumimos en los siguientes cuadros.

58
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 61 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

Cuadro N 5: Controles de Salvaguardas

Fuente: Magerit V2

6.4.5 Auditoria de Cumplimiento de la ISO 27001.

Con el propsito de proteger la informacin de la Institucin Policial, y como futura


gua para implementar o mejorar las medidas de seguridad, sta etapa nos va a permitir
obtener una radiografa de la situacin actual entorno a la Seguridad de la Comisaria.

59
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 62 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

PROCESO DE IMPLEMENTACION DE LA NORMA ISO 27001 ENFOQUE


DE LAS SEIS FASES ESENCIALES DEL PROCESO.

Definir una Poltica de seguridad de Informacin


Definir el Alcance del Modelo
Efectuar un Anlisis y Evaluacin del Riesgo
Definir Opciones del Tratamiento del Riesgo
Seleccionar Controles a Implantar
Preparar un enunciado de Aplicabilidad

Definir una Poltica


de seguridad de
informacin

Definir el alcance
del modelo

Efectuar un anlisis
y evaluacin del
riesgo

Definir opciones del


tratamiento del
riesgo

Seleccionar
controles a
implementar

Preparar un
enunciado de
aplicabilidad

60
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 63 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

Definir una Poltica


de seguridad de
informacin

Los riesgos a los que se ve expuesta la institucin policial Comisaria del Norte
Chiclayo, llevan consigo la creacin de directrices que orienten hacia un uso
responsable de los recursos y evitar su uso indebido, lo cual puede ocasionar serios
problemas a los activos de la mencionada institucin. Las polticas de seguridad son
documentos que constituirn la base del entorno de seguridad para la institucin policial
en donde se definen as mismo las responsabilidades, los requisitos de seguridad, las
funciones, y las normas a seguir por los trabajadores - efectivos de la institucin
policial.

Definir el alcance
del modelo

En esta parte o fase de implementacin de la norma definimos muy bien el alcance del
proyecto, en lo que respecta reas implicadas, procesos, procedencia de los documentos
a incorporar en el modelo, formato de los documentos, tipo de documento fsicos o
electrnico, tipo de informacin que se considera documento, o seleccin de
herramienta tecnolgica (metodologas a utilizar). En muchos casos son recomendables
alcances reducidos pero viables antes que proyectos demasiado complejos y que nunca
acaban de implantarse y que corren el riesgo de quedarse incompletos.

Efectuar un anlisis
y evaluacin del
riesgo

En esta fase de implementacin de la norma efectuamos un anlisis minucioso de los


riesgos a los que est sujeta la institucin, as como las amenazas y vulnerabilidades, los
mismos que a su vez pueden ser analizados a travs de los distintos mtodos de anlisis,
as mismo para la evaluacin de los riesgos se incluye caractersticas del puesto de
trabajo y del personal que lo realiza, el proceso a seguir en la evaluacin de riesgos,

61
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSGSI
LA INFORMACION Pginas: 64 de 64
PLAN DE PROYECTO PARA LA Versin: 001
IMPLEMENTACION DEL SGSI. Vigencia: 15/03/2014

Cuenta con los siguientes pasos, en primero lugar con la identificacin del peligro, la
estimacin del riesgo, y la deduccin de la tolerancia del riesgo.

Definir opciones del


tratamiento del
riesgo

En esta fase de implementacin de la norma definimos las opciones y medidas para el


tratamiento del riesgo para s poder reducirlo, es as que existen seis medidas que han
sido tomadas en cuenta para el tratamiento del o los riesgos, as mismo las 3 primeras
orientadas al control del riesgo, y las otras 3 orientadas a la financiacin del riesgo. As
mismo en las tres primeras se puede evitar, prevenir y proteger, mientras que en la
segunda se puede aceptar, retener y transferir el riesgo. El diseo de las medidas de
tratamiento puede reflejar la cultura organizacional de la institucin. La historia de la
institucin, la forma en que est organizada y su operacin, y el medio en el cual se
desempea.

En el desarrollo del presente trabajo de Tesis de Pre grado, se ha podido avanzar hasta
la etapa que respecta el Definir opciones del tratamiento de los riesgos, la cual hace
referencia a la 4ta etapa de implementacin de la Norma ISO 27001.

62
COMISARIA DEL NORTE PNP -CHICLAYO

PROCEDIMIENTO PARA IDENTIFICACIN DE REQUISITOS

Cdigo CPIR

Versin: 001

Fecha de la versin: 2014-05-05

Creado por: Alcntara Flores Julio Cesar

Aprobado por: Cap. PNP Medina

Nivel de confidencialidad: Nivel Intimo / Nivel Intermedio / Nivel Superficial.

63
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPIR
LA INFORMACION Pginas: 66 de 69
PROCEDIMIENTO PARA LA IDENTIFICACION Versin: 001
DE LOS REQUISITOS Vigencia: 15/03/2014

TABLA DE CONTENIDOS

1. Objetivo, Alcance y Usuarios68


2. Documentos de Referencia68
3. Identificacin de Requisitos y Partes Interesadas..68
4. Responsabilidades..70

64
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPIR
LA INFORMACION Pginas: 67 de 69
PROCEDIMIENTO PARA LA IDENTIFICACION Versin: 001
DE LOS REQUISITOS Vigencia: 15/03/2014

1. OBJETIVO, ALCANCE Y USUARIOS

El objetivo del presente documento es definir el proceso de identificacin de las partes


interesadas, de los requisitos legales, normativos, contractuales y de otra ndole
relacionados con la seguridad de la informacin y con la continuidad del negocio, como
tambin las responsabilidades para su cumplimiento. Este documento se aplica a todo el
Sistema de gestin de seguridad de la informacin (SGSI).Los usuarios de este
documento son todos los empleados de la Institucin Policial Comisaria del Norte
Chiclayo.

2. DOCUMENTOS DE REFERENCIA

Norma ISO/IEC 27001, punto 4.2; control A.18.1.1


Norma ISO 22301, punto 4.2
Poltica del sistema de gestin de seguridad de la informacin
Poltica de la Continuidad del Negocio

3. IDENTIFICACIN DE REQUISITOS Y PARTES INTERESADAS

El Comisario y jefe de la Institucin Policial Cesar Espadn, ser el responsable, en


brindar toda la informacin requerida para la determinacin y levantamiento de
Requisitos.

65
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPIR
LA INFORMACION Pginas: 68 de 69
PROCEDIMIENTO PARA LA IDENTIFICACION Versin: 001
DE LOS REQUISITOS Vigencia: 15/03/2014

Cuadro N6: Requerimientos de la Institucin


REQUERIMIENTO DOCUMENTADO ACTUALIZADO

Cuadros de organizacin, actividades, y flujo SI SI


de procesos sobre cmo TI de la organizacin
opera.

Ciclos, periodos y distribucin en el tiempo NO NO


de la organizacin.

Proveedores de tecnologa hardware, software SI NO


y servicios.

Inventarios y diagramas de aplicaciones y NO NO


software

Interfaces entre aplicaciones; esto es: eventos, NO NO


mensajes y flujo de datos.

Intranet, Extranet, Internet, comercio NO NO


electrnico

Clasificacin de datos, bases de datos y NO NO


modelos de datos soportados.

Hardware, plataformas, servidores, SI NO


componentes de red y dispositivos de
seguridad y dnde se conservan.

Redes de rea local y abiertas, diagramas de NO NO


conectividad a internet

Fuente: Comisaria del Norte

66
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPIR
LA INFORMACION Pginas: 69 de 69
PROCEDIMIENTO PARA LA IDENTIFICACION Versin: 001
DE LOS REQUISITOS Vigencia: 15/03/2014

4. RESPONSABLES.

Cuadro N7. Responsables de informacin


Jefatura CTSG

Recopilacin de legislacin de seguridad R

Identificacin de requisitos legales de seguridad R

Evaluacin del riesgo de cumplimiento R

Adopcin de medidas para asegurar el cumplimiento C R

Actualizacin de lista de requisitos legales R

Comunicacin R C

Cumplimentacin y archivos de registros R

Fuente: Comisaria del Norte


R: Responsabilidad C: Colaboracin

67
COMISARIA DEL NORTE PNP -CHICLAYO

DOCUMENTO SOBRE EL ALCANCE DEL SGSI

Cdigo CASGSI

versin: 001

fecha de la versin: 2014-05-05

creado por: Alcntara Flores Julio Cesar

aprobado por: Cap. PNP- Medina

nivel de confidencialidad: Nivel Intimo /Nivel Intermedio / Nivel Superficial.

68
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CASGSI
LA INFORMACION Pginas: 71 de 76
DOCUMENTO SOBRE EL ALACANCE DEL Versin: 001
SISTEMA DE GESTION DE LA SEGURIDAD Vigencia: 15/03/2014

TABLA DE CONTENIDO

1. Objetivo, Alcance y Usuarios72


2. Documentos de Referencias..73
3. Definicin del Alcance del SGSI...73
3.1. Proceso y Servicios73
3.2. Unidades Organizativas..75
3.3. Redes e Infraestructura de T.I77

69
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CASGSI
LA INFORMACION Pginas: 72 de 76
DOCUMENTO SOBRE EL ALACANCE DEL Versin: 001
SISTEMA DE GESTION DE LA SEGURIDAD Vigencia: 15/03/2014

1. OBJETIVO, ALCANCE Y USUARIOS.

El objetivo de este documento es definir claramente los lmites del Sistema de gestin
de seguridad de la informacin (SGSI) en la Institucin Policial Comisaria del Norte
Chiclayo. Este documento se aplica a toda la documentacin y actividades dentro del
SGSI. Los usuarios de este documento son los miembros de la direccin de la Comisaria
del Norte - Chiclayo, los miembros del equipo del proyecto que implementa el SGSI y
los colaboradores que formaran parte de la organizacin en mencin.

2. DOCUMENTOS DE REFERENCIA

Norma ISO/IEC 27001, punto 4,3


[Documento del Plan del proyecto para la implementacin de la norma ISO
27001]
[Lista de requisitos legales, normativos, contractuales y de otra ndole]

3. DEFINICIN DEL ALCANCE DEL SGSI

La organizacin necesita definir los lmites del SGSI para decidir qu informacin
quiere proteger. Esa informacin deber ser protegida independientemente de si adems
es almacenada, procesada o transferida dentro o fuera del alcance del SGSI. El hecho de
que determinada informacin est disponible fuera del alcance no significa que no se le
aplicarn las medidas de seguridad; esto solamente implica que la responsabilidad por la
aplicacin de las medidas de seguridad sern transferidas a un tercero que administre
esa informacin. Tomando en cuenta los requisitos legales, normativos, contractuales y
de otra ndole, el alcance del SGSI se define de acuerdo a los siguientes aspectos:

3.1. Procesos y servicios

Dentro de los procesos que se dan en la Institucin Policial Comisaria del Norte
Chiclayo tenemos los siguientes como son:
Recibir denuncias ya sean estas de ndole por robo, casos de violencia
intrafamiliar, y/o abuso infantil.
Brindar la asesora jurdica, psicolgica y social en todos los temas de familia.
Realizacin de audiencias de conciliacin en casos de:

-Alimentos
-Fijar cauciones de comportamiento conyugal
-Suspensin de la vida en comn
70
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CASGSI
LA INFORMACION Pginas: 73 de 76
DOCUMENTO SOBRE EL ALACANCE DEL Versin: 001
SISTEMA DE GESTION DE LA SEGURIDAD Vigencia: 15/03/2014

-Exoneracin de la cuota alimentaria


-Custodia de los nios, nias y cuidado personal
-La existencia de la unin marital de hecho
Recibir denuncias de violencia intrafamiliar y maltrato infantil
Brindar atencin a los nios, nias y adolescentes que se encuentren en situacin
irregular.
Funciones en la prevencin y promocin:
Realizar talleres, brigadas, seminarios y visitas a establecimientos pblicos con
el fin de prevenir, detectar y atender la problemtica de la violencia
intrafamiliar.
Funciones operativas, policivas y de proteccin.

EQUIPO INTERDISCIPLINARIO.

- Comisario de Familia
- Psicloga
- Trabajadora Social
- Jurdica
- Citador

Dentro del proceso de alimentos, custodia y visitas se solicita a los convocantes los
siguientes documentos:

Copia del Registro civil de Nacimiento


Copia de la tarjeta de Identidad si son mayores de 7 aos
Copia del carnet de Vacunacin
Certificado de control y crecimiento para menores de ocho aos con vigencia no
mayor de tres meses junto con ltima cita odontolgica.
Certificacin Mdica y odontolgica para mayores de 9 aos.

SERVICIOS PSICOLOGICOS

Realiza valoraciones psicolgicas, ofrece intervencin en situacin de crisis a travs de


terapias individuales, familiares y de pareja; as como tambin hace seguimiento a los
casos atendidos por las dems instituciones del Centro de Convivencia Ciudadana,
apoyando, entre otras, la labor de los comisarios de familia y la fiscala. El apoyo
psicolgico tambin involucra un importante rango de actividades con la comunidad.
Desarrolla programas de capacitacin para los funcionarios del Centro de Convivencia
Ciudadana y los usuarios.

71
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CASGSI
LA INFORMACION Pginas: 74 de 76
DOCUMENTO SOBRE EL ALACANCE DEL Versin: 001
SISTEMA DE GESTION DE LA SEGURIDAD Vigencia: 15/03/2014

3.2. Unidades Organizativas

La Divisin General Tcnica de la Institucin Policial Comisaria del Norte-


Chiclayo s estructura en las siguientes Brigadas:

a) Brigada de Desarrollo Tecnolgico.


b) Brigada de Administracin de Medios.

Asimismo, se adscriben directamente a la Divisin General Tcnica los siguientes


Grupos, conformados por los siguientes:

a) Grupo de Jefatura.
b) Grupo de Gestin Administrativa.
c) Grupo de Recursos Humanos.
d) Grupo de Formacin.

Los mencionados Grupos tendrn carcter central.

Brigada de Administracin Policial.

1. Corresponde a la Brigada de Administracin Policial la realizacin de las tareas


siguientes:

Recepcin, registro y distribucin de toda la documentacin de la institucin


policial.
Gestin de la comunicacin interna y externa de la institucin Policial en
coordinacin con las unidades competentes en la materia de la Administracin.
Secretara del Jefe de la Polica Foral.
Atencin de las relaciones institucionales con otros Cuerpos de Polica y
organizaciones y protocolo.
Recopilacin y divulgacin de normativa y procedimientos aplicables a la
operatividad policial.
La elaboracin de informes jurdicos y asesoramiento.
Centralizacin y apoyo a las reas y Comisaras de todas las tareas generales de
carcter administrativo correspondientes a la institucin.
Gestin y control de toda la documentacin de la institucin Policial
inspeccionando su correcta tramitacin en plazo y forma, as como su registro,
archivo y custodia.

72
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CASGSI
LA INFORMACION Pginas: 75 de 76
DOCUMENTO SOBRE EL ALACANCE DEL Versin: 001
SISTEMA DE GESTION DE LA SEGURIDAD Vigencia: 15/03/2014

Identificacin y atencin de las necesidades de la institucin Policial en recursos


humanos en coordinacin con la unidad competente de la Direccin General de
Interior.
Gestin y tramitacin de todo lo relacionado con licencias, permisos,
vacaciones, situaciones administrativas, control de horarios, provisin de
puestos de trabajo as como velar por el cumplimiento de las disposiciones
vigentes en esta materia.
Gestin y control de los expedientes personales de los componentes de la
institucin.
Desarrollo de una cultura preventiva de riesgos laborales, impulsando aquellas
acciones oportunas de acuerdo a la legislacin especfica, la elaboracin de los
planes de prevencin de riesgos laborales y coordinacin con las unidades
competentes de la Administracin.
Gestin econmica y presupuestaria de la institucin Policial en coordinacin
con los rganos competentes de la Secretara General Tcnica.
Tramitacin y control de desplazamientos y viajes practicados por la institucin
policial.
Gestin de los ingresos recabados en concepto de elaboracin de informes
policiales, tasas, acompaamientos y servicios especiales.
Identificacin y definicin de las necesidades de formacin de la Polica.
Revista de armas en colaboracin con la Divisin de Rgimen Interno.

Grupos.

1. Para la mejor especializacin en la ejecucin de sus tareas, la Brigada de


Administracin de la institucin Policial, se estructura en los siguientes grupos:

a) Grupo de Jefatura.
b) Grupo de Gestin Administrativa.
c) Grupo de Recursos Humanos.
d) Grupo de Formacin.

2. Los grupos del apartado anterior tendrn carcter central.

3.3. Redes e Infraestructura de TI

Cuadro N8: Infraestructura de TI de la Institucin

73
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CASGSI
LA INFORMACION Pginas: 76 de 76
DOCUMENTO SOBRE EL ALACANCE DEL Versin: 001
SISTEMA DE GESTION DE LA SEGURIDAD Vigencia: 15/03/2014

GRUPO TIPO DESCRIPCION UNDS

Hardware Equipos de oficina PCs de escritorio 25

Porttiles 5

Tablets 1

Impresoras Impresora lser B/N 4

Impresora multifuncional Oficina 4

Dispositivos de Red Switches C3 distribucion oficinas 10

Switches C3 distribucin CPD 5

Routers CPD 5

Fuente: Comisaria del Norte

GRUPO TIPO DESCRIPCION UNDS

Infraestructura CPD Generador elctrico 1

Cmara de vigilancia 3

Armarios comunicaciones 6

Armarios 12

Fuente: Comisaria del Norte

GRUPO TIPO DESCRPCION

Informacin TI Contratos TIC

Fuente: Comisaria del Norte

74
COMISARIA DEL NORTE PNP -CHICLAYO

POLTICA DE SEGURIDAD DE LA INFORMACIN

Cdigo CPSI

Versin: 001

Fecha de la versin: 2014-05-05

Creado por: Alcntara Flores Julio Cesar

Aprobado por: Cap. PNP- Medina

Nivel de confidencialidad: Nivel Intimo / Nivel Intermedio / Nivel Superficial.

75
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 78 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

TABLA DE CONTENIDO

1. Objetivo, Alcance y Usuarios....80


2. Documentos de referencia.80
3. Terminologa bsica sobre Seguridad de la Informacin..80
4. Objetivos de la Gestin de la Seguridad de la Informacin..81
4.1. Objetivo General81
4.2. Objetivos Especficos81
5. Alcance de la Poltica de Seguridad de la Informacin81
5.1. Alcance General.82
5.2. Definicin de los Activos de Informacin.83
5.3. Definicin de la Seguridad de la Informacin83
6. Polticas y Objetivos de Seguridad de la Informacin..84
6.1. Poltica de Control de acceso.84
6.2. Poltica de No repudio86
6.3. Poltica de Privacidad y confidencialidad..87
6.4. Poltica de Integridad.87
6.5. Poltica de Disponibilidad del servicio..88
6.6. Poltica de Disponibilidad de informacin89
6.7. Poltica de Proteccin del servicio.89
6.8. Poltica de Registro y auditoria..90
7. Marco General de las Polticas de Seguridad Institucional...91
7.1. Aspectos generales.91
7.2. Aprobacin de la poltica91
7.3. Difusin de la poltica....91
7.4. Revisin de la poltica92
7.5. Evaluacin del cumplimiento de la poltica...92
7.6. Anlisis diferencial de la institucin policial.93

76
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 79 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

1. OBJETIVO, ALCANCE Y USUARIOS

El propsito de esta Poltica de alto nivel es definir el objetivo, direccin, principios y


reglas bsicas para la gestin de la seguridad de la informacin. Esta Poltica se aplica a
todo el Sistema de gestin de seguridad de la informacin (ISMS), segn se define en el
Documento del Alcance del SGSI. Los usuarios de este documento son todos los
empleados de La Institucin Policial Comisaria del Norte - Chiclayo, como tambin
terceros externos a la organizacin.

2. DOCUMENTOS DE REFERENCIA

Norma ISO/IEC 27001, captulos 5.2 y 5.3


Documento sobre el alcance del SGSI
Metodologa de evaluacin y tratamiento de riesgos
Declaracin de aplicabilidad
Lista de obligaciones legales, normativas y contractuales

3. TERMINOLOGA BSICA SOBRE SEGURIDAD DE LA INFORMACIN

Confidencialidad: caracterstica de la informacin que est disponible solo para


personas o sistemas autorizados.

Integridad: caracterstica de la informacin que es modificada solo por personas o


sistemas autorizados y de una forma permitida.

Disponibilidad: caracterstica de la informacin a la cual pueden acceder solo las


personas autorizadas cuando sea necesario.

Seguridad de la informacin: es la preservacin de la confidencialidad, integridad y


disponibilidad de la informacin.

Sistema de gestin de seguridad de la informacin: parte de los procesos generales de


gestin que se encarga de planificar, implementar, mantener, revisar y mejorar la
seguridad de la informacin.

77
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 80 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

4. OBJETIVOS DE GESTIN DE LA SEGURIDAD DE LA INFORMACION

4.1. Objetivo General.

Lograr niveles adecuados de integridad, confidencialidad y disponibilidad para toda la


informacin institucional relevante, con el objeto de asegurar continuidad operacional
de los procesos y servicios que desarrolla y maneja la Institucin Policial Comisaria del
Norte - Chiclayo, mediante el resguardo de los activos de informacin asociados a los
procesos crticos del negocio y su soporte.

4.2. Objetivos Especficos.

Identificar, clasificar y asignar los dueos de los activos de informacin de la


Institucin, en orden lograr niveles adecuados de integridad, confidencialidad y
disponibilidad de stos.
Controlar, prevenir y/o mitigar los riesgos de seguridad de la informacin,
identificando las vulnerabilidades y amenazas que enfrentan los activos, en orden a
asegurar la continuidad del negocio.
Establecer polticas, normativas y procedimientos que permitan resguardar y
proteger los activos de informacin de la Institucin Policial.
Definir un Plan de Difusin, Sensibilizacin y Capacitacin que permita difundir
los alcances y buenas prcticas asociadas a la seguridad de la informacin
institucional.

5. ALCANCE DE LA POLTICA DE SEGURIDAD DE LA INFORMACIN.

5.1. Alcance General

La Poltica General de Seguridad de la Informacin de la Institucin Policial


Comisaria del Norte, se dicta en cumplimiento de las disposiciones legales
vigentes, con el objeto de gestionar adecuadamente la seguridad de la informacin.
La presente poltica debe ser conocida y cumplida por todo el personal de la
Institucin Policial llmense efectivos Policiales Administrativos y efectivos
involucrados en el uso de los sistemas y tecnologas de Informacin.
Esta Poltica se aplica en todo el mbito de la Institucin Policial, a sus recursos y a
la totalidad de los procesos, internos y externos, vinculados a la entidad a travs de
contratos o acuerdos con terceros.

78
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 81 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

De acuerdo a lo anterior, la informacin que genera y gestiona la institucin


Policial constituye un activo estratgico clave para asegurar la continuidad del
negocio, por lo que la Seguridad de la Informacin es una herramienta para
garantizar su integridad, disponibilidad y confidencialidad.

5.2. Definicin de los Activos de Informacin.

Son todos aquellos elementos relevantes en la produccin, emisin, almacenamiento,


comunicacin, visualizacin y recuperacin de informacin de valor para la institucin,
en la que se distinguen tres niveles:
La Informacin propiamente tal, en sus mltiples formatos (papel, digital, texto,
imagen, audio, video, etc.)
Los Equipos/Sistemas/infraestructura que soportan esta informacin
Las Personas que utilizan la informacin, y que tienen el conocimiento de los
procesos institucionales.

Cuadro N9: Activos de Informacin


ACTIVOS DE ACTIVOS ACTIVOS DE ACTIVOS
INFORMACION FISICOS SERVICIOS DE T.I HUMANOS

Base de Datos Infraestructura Servicios de Personal policial


de TI autentificacin

Datos Digitales Oficinas, Servicios de red Agentes


muebles externos

Copias de Seguridad Estaciones de Otros empleados


trabajo

PC, Porttiles

Fuente: Elaboracin propia

79
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 82 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

Capital Humano

Cuadro N10: Estructuracin y valor de los activos


GRUPO DESCRIPCION UNDS VALOR VALOR S/ CRITICIDAD

Empleados Mandos 22 Muy alta 44.000 S/ Critico

Especialista 2 Muy alta 5.000 S/ Critico

Operadores 4 Muy alta 8.000 S/ Critico

Administracin 2 Muy alta 6.000 S/ Critico

Fuente: elaboracin propia

Cuadro N11: Descripcin y valor critico de los activos


TIPO DESCRIPCION UNDS VALOR VALOR S/ CRITICIDAD

Equipos de oficina Equipos 25 Media 50.000 S/ Medio

Porttiles 5 Baja 7.500 S/ Bajo

impresoras 6 Baja 2.500 S/ Bajo

tablets 1 Muy baja 0.00S/ Bajo

Fuente: elaboracin propia

5.3. Definicin de la Seguridad de la Informacin.

La institucin Policial Comisaria del Norte - Chiclayo, entiende que la Seguridad de la


Informacin es la proteccin de los activos de informacin contra una amplia gama de
amenazas para asegurar la continuidad de las operaciones, minimizar el dao de la
Institucin y maximizar la eficiencia y las oportunidades de mejora de la gestin de la
misma.

80
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 83 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

6. POLTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIN.

Las polticas de seguridad que se plantean en este documento, estn basadas en un


anlisis estratgico acorde con cada una de las fases de la Estrategia de la Organizacin.
Estas polticas representan directrices generales de alto nivel que deben ser adoptadas
por todos los participantes e integrantes en la cadena de prestacin de servicios durante
las fases de la evolucin de la Estrategia de la Institucin Policial. Para asegurar el
cumplimiento de las polticas de seguridad para la Institucin, se establecieron objetivos
de control asociados a cada poltica:

6.1. Polticas de Control de Acceso.

Se requiere mayor nivel de seguridad como resultado de un anlisis y evaluacin del


riesgo, deben implementar mecanismos y controles que aseguren un efectivo registro,
identificacin y autenticacin de los clientes y usuarios de dichos servicios. As mismo,
deben implementar mecanismos y controles que aseguren el acceso bajo el principio del
menor privilegio, necesario para realizar nicamente las labores que a cada cliente o
usuario de dichos servicios corresponden. Igualmente, se deben implementar controles
para realizar una efectiva administracin de usuarios y derechos de acceso

Objetivos Control.

PS1.1

Otorgar acceso a servicios que requieren mayor nivel de seguridad, slo para usuarios
autorizados. Se requiere limitar el acceso solo para usuarios identificados y autenticados
apropiadamente.

PS1.2

Otorgar los mnimos privilegios de acceso a servicios que requieren mayor nivel de
seguridad. Se requiere minimizar el dao potencial causado por usuarios autorizados lo
cual implica establecer segregacin de funciones para separar usuarios de los servicios y
usuarios con roles administrativos.

PS1.3

Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la


presentacin de un token de acceso expedido por un tercero en representacin de la

81
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 84 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

Entidad proveedora del servicio. Se debe fortalecer el control de acceso para las
transacciones que requieran mayor nivel de seguridad.

PS1.4

Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la


presentacin de informacin que soporte la identidad del individuo que requiere el
acceso y sus credenciales de autenticacin. Se debe implementar la autenticacin
personal ms all de la posesin del token.

PS1.5

Otorgar privilegios de acceso a servicios de la Institucin, slo cuando se satisfaga la


verdadera identidad del usuario, es decir que el usuario sea quien realmente dice que es
y no est registrado bajo otra identidad con un acceso legtimo. Se debe prevenir la
creacin de mltiples identidades. Un usuario puede tener mltiples roles con respecto a
los servicios de la Institucin, pero solo puede poseer una nica identidad.

PS1.6

Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el
servicio especfico requerido. Se deben fortalecer los controles de acceso a nivel de
objeto o aplicacin, de manera que un usuario legtimo, una vez otorgado el acceso, no
pueda alterar datos no requeridos por el servicio solicitado.

PS1.7

Implementar una administracin efectiva de los derechos de acceso de usuarios y


asignar dicha responsabilidad al personal apropiado (administradores de accesos).

PS1.8

Implementar la vigencia de los derechos de acceso y su revocacin, una vez finalice el


perodo asignado, o haya prdida de las credenciales, o se detecte uso indebido de los
recursos por parte de los usuarios. Las credenciales de acceso y los tokens deben quedar
invlidos ante eventos de revocacin.

82
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 85 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

6.2. Polticas de No Repudio.

Se debe garantizar la no repudiacin de las transacciones poniendo en prctica


mecanismos de seguridad que permitan crear un ambiente de confianza entre los
clientes (ciudadanos, funcionarios pblicos, empresas), los proveedores de servicios, los

Organismos de certificacin y la entidad estatal, con relacin a la autenticidad,


trazabilidad y no repudiacin de las transacciones electrnicas.

Objetivos Control.

PS2.1

Proveer evidencia del origen y la integridad del mensaje, es decir, se deben implementar
mecanismos en el servicio para crear una prueba de origen de manera que se pueda
evitar que una de las partes (usuario o servicio) niegue su responsabilidad en el envo
del mensaje. As mismo, se deben implementar mecanismos para probar si el mensaje
ha sido alterado.

PS2.2

Proveer evidencia del acuse del mensaje, es decir, se deben implementar mecanismos en
el servicio para crear una prueba de recibo y almacenarla para su recuperacin posterior
en caso de una disputa entre las partes (usuario y servicio).

PS2.3

Proveer evidencia que el servicio es proporcionado realmente por una entidad pblica.
Se deben implementar credenciales del servicio y ser presentadas al cliente para la
autenticacin del sistema de acceso al cliente.

PS2.4

Proveer evidencia de la fecha y hora de la transaccin electrnica efectuada a travs del


servicio.

83
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 86 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

6.3. Poltica de Privacidad y Confidencialidad.

Los datos personales de los clientes, ciudadanos y dems informacin enviada a travs
de los servicios de la Institucin Policial, deben ser protegidos y manejados de manera
responsable y segura.

Objetivos de Control:

PS3.1

Proveer proteccin adecuada de la informacin personal y privada contra divulgacin


no autorizada cuando se transmite a travs de redes vulnerables.

PS3.2

Proteger la informacin personal y privada de uso indebido y divulgacin no autorizada


cuando se procesa y almacena dentro del dominio de implementacin de los servicios de
la Institucin Policial.

6.4. Poltica de Integridad.

La informacin que se recibe o se enva a travs de los servicios de la Institucin


Policial, debe conservar los atributos de correcta y completa durante la transmisin, el
procesamiento y el almacenamiento. Deben garantizar la integridad de la informacin.

Objetivos de Control:

PS4.1

Proteger la informacin que se transmite a travs de redes pblicas contra modificacin,


borrado o repeticin accidental o intencional. Se debe asegurar la fuerte integridad de
las comunicaciones para prevenir contra manipulacin de datos en trnsito o contra
prdida y corrupcin causada por fallas de equipos y comunicaciones.

PS4.2

Proteger la informacin que se almacena en el dominio del cliente contra modificacin


accidental o intencional. Se deben implementar mecanismos para prevenir que usuarios
y atacantes manipulen la informacin del servicio almacenada en su estacin de trabajo
con el fin de obtener algn beneficio.

84
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 87 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

PS5.3

Proteger la informacin almacenada dentro de los servicios de la Institucin Policial


contra modificacin o destruccin intencional por parte de atacantes externos. Se deben
implementar fuertes medidas para frustrar la alteracin mal intencionada de los datos de
usuarios o de informacin de dominio pblico que puedan disminuir la confianza de los

Servicios. Los proveedores de servicios tienen la obligacin del debido cuidado, para
asegurar que la informacin proporcionada sea veraz.

PS5.4

Proteger la informacin trasmitida o almacenada dentro de la Institucin Policial contra


prdida o corrupcin accidental. Se deben implementar procedimientos probados de
respaldo y recuperacin de datos y asegurar que se mantienen las listas de usuarios y
clientes autorizados.

6.5. Poltica de Disponibilidad del Servicio.

Es de suma importancia el poder asegurar la disponibilidad continua de los servicios


bajo un control estricto y adecuado.

Objetivos de Control:

PS5.1

Proteger los servicios de la Institucin Policial contra daos o negacin del servicio
(DoS Denial of service) por parte de atacantes externos.

PS5.2

Proteger los servicios de la Institucin Policial contra daos o provisin intermitente del
servicio por fallas internas de los equipos y/o redes. Se deben implementar mecanismos
de redundancia y alta disponibilidad acordes con la criticidad de la provisin continua
del servicio y la capacidad para realizar reparaciones rpidas.

PS5.3

Proteger los servicios de la Institucin Policial contra prdida de datos, prdida de


equipos y otros eventos adversos. Se debe implementar un plan de continuidad del

85
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 88 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

Negocio (BCP Business Continuity Plan), para asegurar que se toman las medidas
necesarias y evitar en lo posible, la prdida de informacin por ocurrencia de incidentes.

6.6. Poltica de Disponibilidad de Informacin.

Las entidades que provean servicios de Gobierno, deben asegurar que los datos de los
usuarios y clientes se mantienen protegidos contra prdida, alteracin o divulgacin por
actos accidentales o malintencionados, o por fallas de los equipos y/o redes.

Objetivos de Control:

PS6.1

Recuperar los datos personales o crticos que han sido daados, destruidos, alterados o
modificados por acciones malintencionadas o accidentales. Se deben implementar
procedimientos de copias de respaldo y recuperacin, para asegurar que exista
recuperacin de los datos sensitivos y que puedan ser restaurados en el evento de una
falla. Tambin se deben Implementar mecanismos para que los datos personales no sean
divulgados sin autorizacin expresa del dueo de la informacin.

PS6.2

Recuperar la informacin protegida en el evento que un cliente u otro usuario no pueda


suministrar las credenciales de acceso necesarias. Se deben implementar procedimientos
para recuperar datos de usuario en el evento que un token de acceso o la contrasea se
pierdan. Esto permite soportar investigaciones de posible uso indebido del sistema

6.7. Poltica de Proteccin del Servicio.

Se debe asegurar que los servicios y sus activos de informacin relacionados, estn
adecuadamente protegidos contra ataques externos o internos.

86
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 89 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

Objetivo de Control:

PS7.1

Proteger los sistemas de informacin, equipos y redes que soportan los servicios de la
Institucin Policial contra ataques a la provisin continua y segura del servicio. Se
deben asegurar los equipos y las redes implementando medidas tales como:

Aseguramiento de servidores, implementacin de topologas seguras de red y escaneo


de vulnerabilidades. Los sistemas de informacin y las aplicaciones, deben ser
diseados e implementados de manera que se minimicen las vulnerabilidades y los
ataques externos e internos se reduzcan a un nivel aceptable.

6.8. Poltica de Registro y Auditoria.

Es importante el poder mantener y proteger los registros de las transacciones


electrnicas como evidencia para los requerimientos de las auditorias (internas o
externas) y como mecanismo para establecer responsabilidades de los clientes y
usuarios.

Objetivo de Control:

PS8.1

Mantener un registro de transacciones que pueda ser requerido despus del anlisis de
eventos y/o incidentes. Se deben mantener registros y pistas de auditoria con el fin de
establecer Responsabilidad por las transacciones, reconstruir transacciones fallidas y
suministrar registros apropiados en caso de conflictos o disputas por el servicio. Debe
existir trazabilidad de los registros de transacciones segn sea apropiado.

87
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 90 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

ENFOQUE DE LAS 6 FASES ESENCIALES DEL PROCESO DE


IMPLANTACION ISO 27001

Definir una Poltica de seguridad de Informacin


Definir el Alcance del Modelo
Efectuar un Anlisis y Evaluacin del Riesgo
Definir Opciones del Tratamiento del Riesgo
Seleccionar Controles a Implantar
Preparar un enunciado de Aplicabilidad

7. Marco General de las Polticas de Seguridad Institucional

7.1. Aspectos Generales

La Poltica General de Seguridad de la Informacin ha sido elaborada en


concordancia con la legislacin vigente en el pas, considerando adems su
compatibilidad con las prcticas sugeridas por la Norma ISO 27001.

La Direccin de la Polica Nacional del Per se compromete a realizar las


acciones que estn a su alcance para permitir la continuidad operativa de manera
de hacer frente a las interrupciones de las actividades institucionales y proteger

los procesos crticos de los efectos de fallas importantes o desastres en los


sistemas de informacin y asegurar su reanudacin oportuna.

7.2. Aprobacin de la Poltica

Las polticas de seguridad de la informacin sern aprobadas por el Comisario


Cesar Espadn Jefe de la Institucin Policial Comisaria del Norte, reflejando
claramente su compromiso, apoyo e inters en el desarrollo de una cultura de
seguridad de la informacin en la institucin.

88
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 91 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

7.3. Difusin de la Poltica

Ser responsabilidad del Comisario PNP Cesar Espadn encargado y jefe de esta
institucin el difundir los temas relevantes en materia de seguridad. Las polticas
de seguridad de la informacin sern comunicadas a todo el personal y efectivos
policiales de la Institucin, y a terceros que presten servicios en la institucin y a
las entidades externas relevantes.

Para la difusin de los contenidos de las polticas de seguridad de la informacin


al interior de la institucin se debern utilizar los medios de difusin que
disponga la Institucin Policial Comisaria del Norte (intranet, boletn, etc.), as
como tambin instancias de capacitacin llevadas a cabo para este efecto.

Los principales medios utilizados sern:

Intranet institucional
Circulares informativas de la Institucin
Induccin a personal (planta, contrata y honorarios) que ingresen al servicio.
Comunicaciones a travs de charlas y reuniones
Para lo anterior se deber definir, implementar y evaluar las acciones e
iniciativas contenidas en un Plan de Difusin, Sensibilizacin y Capacitacin en
materia de seguridad de la informacin.

7.4. Revisin de la Poltica

La Poltica General de Seguridad de la Informacin ser revisada de manera


Anual o en las siguientes circunstancias: a requerimiento del/de la Director Jefe -
Comisario, frente a cambios en el ambiente de la institucin, debido a las
circunstancias del servicio, a las condiciones legales y al ambiente tcnico.

La modificacin del presente documento est a cargo del Comit de Seguridad


de la Informacin y ser aprobado por el Comisario encargado de la Institucin
Policial Comisaria del Norte.

89
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 92 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

7.5. Evaluacin del Cumplimiento de la Poltica

Todos los Jefes de Departamento y Unidades son responsables de la


implementacin de estas polticas de seguridad de la informacin, dentro de sus
reas de responsabilidad,

as como el cumplimiento de las polticas, normativas y procedimientos por


parte de su equipo de trabajo.

La institucin realizar auditoras internas anuales al sistema de seguridad de la


informacin para verificar el cumplimiento de las polticas, normas y
procedimientos de seguridad de la informacin.

El incumplimiento de la Poltica General de Seguridad de la Informacin tendr


como resultado la aplicacin de diversas sanciones, conforme a la magnitud y
caractersticas del aspecto no cumplido.

7.6. Anlisis Diferencial de la Institucin.

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD DE LA INFORMACION

Documento de Existen algunas normas que


poltica de hacen referencia en cuanto al uso
seguridad de la de los recursos informticos de la
informacin SEGURIDAD institucin. Pero una Poltica No No se
General de Seguridad, ya que la existe cumple
jefatura o direccin de la
institucin aun no la aprueba.

Revisin de la No existen Polticas de


poltica de Seguridad, tampoco ha sido
seguridad de la SEGURIDAD aprobada por la jefatura de la No No se
informacin institucin, por lo que no se existe cumple
revisa, por ausencia de la misma.

90
ORGANIZACIN DE LA SEGURIDAD EN LA INSTITUCION POLICIAL

PARTE DE LA ORGANIZACIN INTERNA

Ausencia de un comit el
cual gestione la seguridad
de la informacin en la
institucin, en algunos
casos la jefatura muestra
Compromiso con su apoyo en temas de
la jefatura en seguridad dentro de la
temas de SEGURIDAD No existe No se
comisaria, asigna algunas
cumple
seguridad con la funciones, lo realiza a
informacin travs de algunas reas,
tampoco se ha realizad un
asignacin adecuada y
definida de
responsabilidades.

En cuanto a las
actividades orientadas a la
Coordinacin en
seguridad, estas son
temas de
seguridad dentro SEGURIDAD coordinadas entre los repetible No se
diferentes roles y cumple
de la institucin funciones, pero tampoco
existen procedimientos
documentados.

En algunos casos los


activos de informacin no
Responsables en estn muy claros
temas de definidos, y aunque en
seguridad de algunos casos existe
informacin en la SEGURIDAD alguna asignacin de Inicializado No se
institucin responsabilidades, esta no cumple
es o se da de manera
formal.

Se da un proceso de
autorizacin, para los
Autorizacin de nuevos recursos
recursos
asociados a la SEGURIDAD orientados a procesos de Proceso No se
informacin, pero este definido cumple
seguridad de la
proceso no es del todo
informacin formal por lo que no

91
existe una documentacin
correspondiente.

En algunos casos dentro


de la institucin se han
realizado algunos
Niveles y acuerdos en temas de
acuerdos en confidencialidad, pero
muchas veces estos no se No se
temas de
confidencialidad monitorean de manera cumple
SEGURIDAD Repetible
peridica, mucho menos
cuando se incorporan
nuevos activos de
informacin en la
institucin policial.

Existen algunos
procedimientos
referenciados a prevenir
algunos riesgos y
accidentes en las labores
Relacin con del personal de la
Autoridades institucin. Pero en el caso
SEGURIDAD Repetible Cumple
competentes de la seguridad de la
informacin no se
establece un
procedimiento formal
adecuado.

No especficamente en
todas las reas de la
institucin se realizan
Revisin revisiones orientadas a
independiente temas de seguridad, ya
SEGURIDAD que no cuentan con una No se
referente a la
seguridad de la poltica clara especfica cumple
Repetible
informacin que termine definiendo la
frecuencia y la
metodologa de la revisin
adecuada en la institucin
policial.

92
GESTION DE ACTIVOS

RESPONSBLES DE LOS ACTIVOS EN LA INSTITUCION

Se realiza un inventario de
equipos, infraestructura y
otros dispositivos que son
Inventario de SISTEMAS / propiedad de la institucin Proceso Cumple
activos REDES policial, pero no se da un definido
inventario en sus activos de
informacin correspondiente
y adecuada.

Para el inventario existente,


es asignado un propietario al
activo, pero no es
Propietario de SISTEMAS/ especificado de manera Proceso No se
los activos REDES razonablemente ya que se definido cumple
hacer de forma genrica y no
especifica.

En la institucin existe una


publicacin orientada a
Uso aceptable trminos de conducta y gua
de los recursos generalizada sobre el buen
informticos en RR .HH Gestionada Cumple
uso adecuado de los recursos y evaluado
la institucin de informacin con los que
cuenta la organizacin.

CLASIFICACION DE LA INFORMACION

INFORMACION DE LA INSTITUCION

Se cuenta con una clasificacin


de informacin del personal
efectivo de la institucin,
Directrices de RR .HH clasificando los activos de Proceso Cumple
clasificacin informacin que no contengas definido
datos personales y tampoco se
identifican segn su criticidad
para la institucin.

La informacin clasificada en
muchos casos suele estar
etiquetada y tiene un

93
tratamiento adecuado a las
caractersticas, aunque con
Etiquetado y SEGURIDAD Proceso No se
lagunas limitaciones ya que a
tratamiento en FISISCA veces no est correctamente definido cumple
temas de clasificada.
seguridad

CUMPLIMIENTO DE LAS POLITICAS Y NORMAS DE SEGURIDAD

POLITICAS DE SEGURIDAD

Ausencia de informes
formales, sobre las
revisiones del cumplimiento
Cumplimiento AUDITORIA por parte de las autoridades Gestionado Cumple
de las polticas y de la institucin, aunque en y evaluable
normas de algunos casos de manera
seguridad informal se suele realizar
este seguimiento.

En los ltimos aos, se han


realizados algunas
auditorias tcnicas y
Comprobacin procedimentales, la
del institucin posee los
cumplimiento AUDITORIA informes, se analizan los Optimizado Cumple
tcnico resultados e informes y se
implementan los resultados
para beneficios de la
institucin.

94
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 97 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

Cuadro N12: Resumen del Anlisis Diferencial


DOMINIO CUMPLE NO
CUMPLE

Poltica de seguridad 10% 90%

Organizacin de la seguridad y la informacin 30% 70%

Gestin de activos 50% 50%

Seguridad ligada a los RR.HH 65% 35%

Seguridad fsica y ambiental 40% 60%

Gestin de las comunicaciones y operaciones 30% 70%

Control de acceso 40% 60%

Adquisicin, desarrollo, mantenimiento de sistemas de 35% 65%


informacin

Gestin de incidencias de la seguridad de la informacin 10% 90%

Cumplimiento 36% 64%

Fuente: Elaboracin propia

95
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPSI
LA INFORMACION Pginas: 98 de 98
POLITICAS DE SEGURIDAD DE LA Versin: 001
INFORMACION Vigencia: 15/03/2014

GLOSARIO DE TERMINOS.

Evaluacin de Riesgos
Se entiende por evaluacin de riesgos a la evaluacin de las amenazas y
vulnerabilidades relativas a la informacin y a las instalaciones de procesamiento de la
misma, la probabilidad de que ocurran y su potencial impacto en la operatoria del
Organismo.

Administracin de Riesgos
Se entiende por administracin de riesgos al proceso de identificacin, control y
minimizacin o eliminacin, a un costo aceptable, de los riesgos de seguridad que
podran afectar a la informacin. Dicho proceso es cclico y debe llevarse a cabo en
forma peridica.

Comit de Seguridad de la Informacin


El Comit de Seguridad de la Informacin, es un cuerpo integrado por representantes de
todas las reas sustantivas del Organismo, destinado a garantizar el apoyo manifiesto de
las autoridades a las iniciativas de seguridad.

Responsable de Seguridad Informtica


Es la persona que cumple la funcin de supervisar el cumplimiento de la presente
Poltica y de asesorar en materia de seguridad de la informacin a los integrantes del
Organismo que as lo requieran.

Incidente de Seguridad
Un incidente de seguridad es un evento adverso en un sistema de computadoras, o red
de computadoras, que compromete la confidencialidad, integridad o disponibilidad, la
legalidad y confiabilidad de la informacin. Puede ser causado mediante la explotacin
de alguna vulnerabilidad o un intento o amenaza de romper los mecanismos de
seguridad existentes.

96
COMISARIA DEL NORTE PNP CHICLAYO

METODOLOGA DE EVALUACIN Y TRATAMIENTO DE RIESGOS

Cdigo CMETR

Versin: 001

Fecha de la Versin: 2014-05-05

Creado por: Alcntara Flores Julio Cesar

Aprobado por: Cap. PNP- Medina

Nivel de Confidencialidad: Nivel Intimo / Nivel Intermedio / Nivel Superficial.

97
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 100 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

TABLA DE CONTENIDOS

1. Objetivo, Alcance y Usuarios..101


2. Documentos de referencia...101
3. Metodologa de Evaluacin y Tratamiento de Riesgos...101
3.1 Evaluacin de
Riesgo.101
3.1.1 El Proceso..101
3.1.2 Activos, Vulnerabilidades y Amenazas.101
3.1.3 Identificacin de los Propietarios de Riesgos....102
3.1.4 Funciones y Obligaciones..102
3.2 Personal con Acceso Privilegiado y Personal Tcnico..103
3.3 Personal con Perfila de Usuario104
3.4 Funciones y Obligaciones del Responsable de Seguridad....105
3.5 Metodologa y Anlisis del Riesgo106

98
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 101 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

1. OBJETIVO, ALCANCE Y USUARIOS

El objetivo del presente documento es definir la metodologa para evaluar y tratar los
riesgos de la informacin en la Institucin Policial Comisaria del Norte Chiclayo y
definir el nivel aceptable de riesgo segn la norma ISO/IEC 27001.

La evaluacin y tratamiento de riesgos se aplica a todo el alcance del Sistema de gestin


de seguridad de la informacin (SGSI); es decir, a todos los activos que se utilizan
dentro de la organizacin o que pueden tener un impacto sobre la seguridad de la
informacin en el mbito del SGSI.

Los usuarios de este documento son todos los empleados de la Institucin Policial
Comisaria del Norte Chiclayo que participan en la evaluacin y tratamiento de riesgos.

2. DOCUMENTOS DE REFERENCIA

Norma ISO/IEC 27001, captulos 6.1.2, 6.1.3, 8.2, y 8.3


Poltica de Seguridad de la Informacin
Lista de requisitos legales, normativos y contractuales y dems requisitos
Poltica de seguridad para proveedores
Declaracin de aplicabilidad

3. METODOLOGA DE EVALUACIN Y TRATAMIENTO DE RIESGOS

3.1 Evaluacin de riesgos

3.1.1 El proceso

La evaluacin de riesgos se implementa a travs del Cuadro de evaluacin de riesgos. El


proceso de evaluacin de riesgos es coordinado por El Oficial Cap. Medina encargado
de la parte del control de los Activos, la identificacin de amenazas y vulnerabilidades
la realizan los propietarios de los activos, mientras que la evaluacin de consecuencias y
probabilidad es realizada por los propietarios de los riesgos.

3.1.2 Activos, vulnerabilidades y amenazas

El primer paso en la evaluacin de riesgos es la identificacin de todos los activos


dentro del alcance del SGSI; es decir, todos los activos que pueden afectar la

99
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 102 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

Confidencialidad, integridad y disponibilidad de la informacin en la organizacin. Los


activos pueden ser documentos en papel o en formato electrnico, aplicaciones y bases
de datos, personas, equipos de TI, infraestructura y servicios externos o procesos
externalizados. Al identificar los activos tambin es necesario identificar a sus
propietarios: la persona o unidad organizativa responsable de cada activo.
El siguiente paso es identificar todas las amenazas y vulnerabilidades relacionadas con
cada activo. Las amenazas y vulnerabilidades se identifican utilizando los catlogos
incluidos en el Cuadro de evaluacin de riesgos. Cada activo puede estar relacionado a
varias amenazas, y cada amenaza puede estar vinculada a varias vulnerabilidades.

3.1.3 Identificacin de los Propietarios de Riesgos.

En la institucin policial conocida como Comisaria del norte Chiclayo, est


compuesta por los siguientes propietarios de Riesgos como son:

Representante de la Direccin o Jefatura de la comisaria.


Responsable de la seguridad en la institucin policial.
Responsable de la explotacin de sistemas
Responsable de desarrollo y proyectos institucionales
Responsable de la infraestructura de TI
Responsable y asesor jurdico
Responsable de la administracin del personal policial
Equipo de asesores externos, expertos en temas de seguridad

3.1.4 Funciones y Obligaciones del Personal.

Las funciones que los empleados de la institucin policial comisaria del norte
desarrollen en relacin de los sistemas de informacin, sern aquellas para las que
hayan sido expresamente autorizados, independientemente de las limitaciones, que se
establecen para controlar su acceso.

Todo el personal policial y efectivos y las entidades relacionas con los sistemas de
informacin estarn obligados a respetar las normas, tanto las de carcter general y la de
carcter especfico. Con la finalidad de hacer cumplir estas obligaciones, se ha credo
conveniente definir una poltica general contenida en el presente documento.

Independientemente de las funciones y responsabilidades especificas asignadas a los


usuarios y/o entidades sobre los respectivos sistemas de informacin a cualquier
empleado de la institucin se le exige con carcter general:

100
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 103 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

1. Confidencialidad, con respecto a la documentacin e informacin que reciben /o


usan perteneciente a la institucin o de su responsabilidad.

2. No incorporar a la institucin informacin o datos sin ninguna autorizacin


previa y antes coordinada con la institucin.

3. Comunicar al responsable de seguridad cualquier incidencia respecto a la


seguridad de la informacin.

3.2 Personal con acceso Privilegiado y personal tcnico

El personal tcnico que tiene acceso y administra los sistemas de informacin, no tiene
por qu estar presente en todos los casos, siendo en algunos casos sub contratados o
asumido por otros roles ahora bien en cualquiera de los dos casos se puede clasificar en
las siguientes categoras de acuerdo a sus funciones tenemos:

Administradores: estos tendrn a su cargo la responsabilidad de los mximos


privilegios, por lo cual manejaran un riesgo alto de que una accin equivocada o errada
afecte al sistema directamente, este personal podr acceder a todo el sistema para poder
desarrollar su funcin y dar solucin a los problemas que surjan.

Operadores: personal con algunas limitaciones dentro del sistema de informacin por
lo general estos sern supervisados por los administradores, estos no debern tener
acceso a los ficheros que contengan datos personales y de alto compromiso, salvo sean
requeridos.

Mantenimiento de los sistemas y aplicaciones: este personal ser el responsable de


resolver los inconvenientes o incidencias orientadas al software y hardware. En
principio estos no deberan tener acceso a los datos de los sistemas de informacin salvo
sea requerido.

Ahora bien tanto el personal con acceso privilegiado y personal tcnico debern cumplir
con las obligaciones establecidas detalladas en este documento, para estas categoras
laborales sern de aplicacin las normas y obligaciones establecidas para todo el
personal con perfil de usuario. A continuacin se identificarn algunas de las funciones
y responsabilidades exclusivas del personal tcnico y con acceso privilegiado:

101
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 104 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

1. Procurar que la Integridad, Autentificacin, Control de acceso, auditoria y


registro se contemplen y se incorporen en el diseo, en la implementacin y
operacin de los sistemas de informacin.

2. Procurar la confidencialidad y disponibilidad de la informacin almacenada en


los sistemas de informacin (ya sea de forma electrnica o no), as como su
proteccin mediante copias de seguridad de una manera peridica.

3. Conceder a los usuarios acceso nicamente a los datos y recursos a los que estos
estn autorizados y para el desarrollo de su trabajo.

4. No acceder a los datos aprovechando sus privilegios sin tener autorizacin


alguna del responsable de seguridad.

5. Custodiar con especial cuidado los identificadores de contraseas que den


acceso al o a los sistemas con privilegios de administrador.

6. Notificar las incidencias oportunamente ante cualquier incidente que violente las
normas de seguridad o vulnerabilidades detectadas en los sistemas.

7. No revelar a terceras personas ajenas a la institucin ninguna posible debilidad


que haga referencia a seguridad de los sistemas sin previa autorizacin del
responsable de seguridad y con el propsito de su correccin.

3.3 Personal con perfil de usuario

El personal con acceso al sistema de informacin solo podrn acceder aquellos que
estn previamente autorizados y sea necesarios para el desempeo en su funcin. Por lo
tanto, todo el personal o usuario involucrado en el uso de sistemas de informacin
debern cumplir con las siguientes obligaciones, dependiendo de la funcin que
realicen:

1. Guardar el secreto de la informacin a la cual tiene acceso, e incluso despus de


haber finalizado la relacin con la institucin.

2. Conocer y cumplir la normativa interna en cuestin de seguridad de la


informacin y especialmente la referida a la proteccin de los datos de ndole
personal.

102
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 105 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

3. Respetar los procedimientos, mecanismos y dispositivos de seguridad, para as


evitar cualquier intento de acceso no autorizado a los recursos no permitidos.

4. Utilizar de manera adecuada los procedimientos, mecanismos y controles de


identificacin y autentificacin ante los sistemas de informacin. En el caso
particular de usuarios y contraseas.

5. Utilizar las contraseas segn las instrucciones recibidas al respecto, tampoco


informarlas ni cederlas a terceras personas ya que estas son de carcter personal
y con uso exclusivo por parte del o los titulares.

6. De darse el caso de que un usuario tiene sospechas de que su acceso autorizado,


ha sido comprometido o viene siendo utilizado por otra persona, deber proceder
al cambio de su contrasea y as comunicar la correspondiente incidencia de
seguridad.

7. Proteger especialmente los datos personales de la organizacin que con carcter


excepcional tuviera que almacenarse, usarse o transportarse fuera de la
institucin.

8. Salir o bloquear el acceso de los ordenadores u otros dispositivos similares,


cuando se encuentre ausente de su puesto de trabajo.

9. El personal de la institucin deber notificar al responsable de la seguridad de la


institucin cualquier incidencia detectada la cual comprometa los datos de los
sistemas de informacin.

10. Entregar cuando sea requerido por la organizacin, y de manera especial cunado
cause baja en la empresa, las llaves, claves, tarjetas de identificacin,
documentacin, equipos, dispositivos, los cuales sean propiedad de la
institucin.

3.4 Funciones y obligaciones del responsable de seguridad.

El responsable de seguridad en la institucin es el personal que va a coordinar y


controlar las medidas de seguridad que sern aplicadas en la institucin policial. A
continuacin se enumeraran las principales funciones asociadas a los responsables de la
seguridad:

103
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 106 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

1. Asesorar en la definicin de los requisitos sobre las medidas orientadas a la


seguridad que se deben adoptar.

2. Validar la implantacin de los requisitos de seguridad necesarios.

3. Revisar de manera peridica el sistema de informacin y elaborar un informe de


las revisiones realizadas y problemas detectados.

4. Verificar la ejecucin de los controles establecidos, segn lo dispuesto en el


documento de seguridad.

5. Mantener actualizadas las normas y procedimientos en materia de seguridad que


afecte a la institucin.

6. Definir y comprobar la aplicacin del procedimiento de copias de respaldo y


recuperacin de datos.

7. Definir y comprobar la aplicacin del procedimiento de notificacin y gestin de


incidencias.

8. Controlar que la auditoria de seguridad se realice con la frecuencia necesaria.

9. Analizar los informes de auditora y si lo considera necesario modificar las


medidas correctivas para prevenir incidencias.

10. Trasladar los informes de auditora a la direccin.

11. Establecer los controles y medidas correspondientes para as asegurar los


sistemas de informacin.

12. Gestionar y analizar las incidencias de seguridad en la organizacin y su registro


segn el procedimiento indicado en el documento de seguridad.

13. Coordinar la puesta en marcha de las medidas de seguridad y colaborar con el


cumplimiento y la difusin del documento de seguridad.

104
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 107 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

3.5 METODOLOGIA DE ANLISIS DEL RIESGO.

El anlisis de riesgos realizado en la institucin policial obedece a una metodologa, en


este documento se detalla el mtodo del anlisis de riesgo utilizado. Para este caso de la
institucin policial, la metodologa de anlisis de riesgo est basada en MAGERIT.

Aunque se personalizaran alguno de los aspectos atendiendo las caractersticas de la


institucin policial.

FASE 1. Toma de datos y proceso de informacin: en esta fase se define el alcance y


se analizara los resultados de la organizacin, durante el desarrollo de este proceso se
toma en cuenta la granularidad del anlisis ya que impactara directamente en el coste
del anlisis de riesgo.

FASE 2. Establecimiento de Parmetros: durante esta actividad de identifican los


parmetros que se utilizaran durante el anlisis de riesgo; sern los siguientes:

o Valor de los Activos: se asignara un valor econmico al objeto analizado. A la


hora de asignar el valor econmico se tendr en cuenta el valor de reposicin,
configuracin, uso y prdida de oportunidad.

Cuadro N13: Valoracin de los Riesgos

VALORACION RANGO VALOR

Muy Alta Valor > 2000 s/ 3000 s/

Alta 1000 s/ < valor > 2000s/ 1500s/

Media 500s/ < valor > 1000s/ 750s/

Baja 100s/ <valor > 500s/ 300s/

Muy Baja Valor < 100s/ 100s/

Fuente: Magerit v2

105
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 108 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

La Vulnerabilidad: es entendida como frecuencia de la ocurrencia de una amenaza.


Esta valoracin numrica se realizara mediante estimaciones anuales, para ello se
aplicara la siguiente formula: (Vulnerabilidad =Frecuencia estimada / das ao)

Cuadro N14: Valoracin de la vulnerabilidad


VULNERABILIDAD RANGO VALOR

Frecuencia extrema 1 vez al da 1

Frecuencia alta 1 vez cada 2 semanas 26/365

Frecuencia media 1 vez cada 2 meses 6/365

Frecuencia baja 1 vez cada 6 meses 2/365

Frecuencia muy alta 1 vez cada ao 1/365

Fuente: Magerit v2

Criticidad: es entendida como el impacto en la organizacin, si se produjera un


problema sobre el activo.

Cuadro N15: Valoracin de la criticidad y sus rangos


CRITICIDAD RANGO VALOR

Critico 100 - 90%) Parada total de todos los servicios o un servicio 95%
esencial de la institucin. Afecta a la imagen de la
institucin causando daos econmicos muy elevados.

Alto 89 - 76%) Parada de un servicio no esencial de la 75%


organizacin, causando daos econmicos elevados.

Medio 75 26%) Parada en un departamento o equipo de trabajo, 50%


causa daos econmicos medios.

Bajo 25 0%) Parada de un puesto de trabajo. No causa daos 25%


econmicos apreciables.

Fuente: Magerit v2

106
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 109 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

Impacto: es entendido como el tanto por ciento del activo que se pierde en caso de que
un impacto suceda sobre l.

Cuadro N16 Impacto y sus rangos


IMPACTO RANGO

Muy alto 100%

Alto 75%

Medio 50%

Bajo 20%

Muy bajo 5%

Fuente: Magerit v2

Efectividad de control de seguridad: entendido como el parmetro indicador de la


efectividad de las medidas de proteccin de los riesgos, pueden reducir la vulnerabilidad
o el impacto dependiendo del control.

Cuadro N17 Variacin del impacto y la vulnerabilidad


VARIACION IMPACTO / VULNERABILIDAD VALOR

Muy alto 95%

Alto 75%

Medio 50%

Bajo 30%

Muy bajo 10%

Fuente: Magerit v2

107
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CMETR
LA INFORMACION Pginas: 110 de 111
METODOLOGIA DE EVALUACIO Y DE Versin: 001
TRATAMIENTO DE RIESGOS Vigencia: 15/03/2014

FASE 3. Anlisis de los Activos: aqu se identifican los activos de la institucin que
sern requeridos para llevar a cabo la actividad. Los distintos activos encontrados en la
institucin son: activos fsicos, lgicos, de personal, de infraestructura, intangibles, etc.)
Estos sern valorados teniendo en cuenta los parmetros de valoracin de activos.

FASE 4. Anlisis de Amenazas: estas pueden provocar un problema de seguridad. Las


amenazas dependen del tipo de organizacin as como de su configuracin y
caractersticas. Segn MAGERIT, las amenazas se pueden clasificar en 4 grupos segn
esta metodologa como son:

Accidentes
Errores
Amenazas intencionales presenciales
Amenazas intencionales remotas

FASE 5. Establecimiento de las Vulnerabilidades: como aquellas que permiten


explotar una amenaza daando un activo, en este caso para la metodologa MAGERIT,
no es necesario lista las vulnerabilidades pero si tenerlas identificadas para de ese modo
poder estimar la frecuencia de la ocurrencia de una determinada amenaza sobre un
activo.

FASE 6. Valoracin de Impactos: es importante y necesario cuantificar el impacto de


las amenazas sobre los activos.

FASE 7. Anlisis de riesgos intrnseco: una vez despus de haber identificado los
valores anteriores podemos realizar el estudio de riesgos actuales de la institucin, para
ello vamos a valernos del uso de la siguiente formula como:

Riesgo = Valor del activo * Vulnerabilidad * Impacto


Nivel aceptable de riesgos. Durante esta fase se establecer el nivel aceptable de
riesgos que se basaran en la siguiente tabla:

Cuadro N18 Nivel de aceptacin del riesgo


NIVEL ACPETABLE DEL RIESGO VALOR

Alto 75%

Medio 50%

Bajo 25%

108
Cdigo: CMETR
SISTEMA DE GESTION DE LA SEGURIDAD DE Pginas: 111 de 111
LA INFORMACION Versin: 001
METODOLOGIA DE EVALUACIO Y DE Vigencia: 15/03/2014
TRATAMIENTO DE RIESGOS

FASE 8. Influencia de las Salvaguardas: despus de tener los riesgos identificados


iniciamos la fase de la gestin del riesgo donde analizamos cada uno de los riesgos y
aplicar la solucin ms ptima y tcnica que nos permita reducirlos al mximo.

Para ello utilizaremos dos tipos de salvaguardas como son:

Preventivas: (reducen las vulnerabilidades): Nueva vulnerabilidad =


vulnerabilidad * % disminucin vulnerabilidad.

Correctivas: (reducen el impacto): Nuevo impacto = impacto * % disminucin


impacto.

FASE 9. Anlisis de riesgos efectivos: despus de haber finalizado la aplicacin de


salvaguardas se calcula el riesgo efectivo incluyendo la reduccin resultante despus de
la aplicacin de las salvaguardas. Para este clculo del riesgo efectivo se utilizara la
siguiente formula como:

Valor efectivo * Nueva vulnerabilidad * Nuevo impacto = Valor activo *


(Vulnerabilidad * % disminucin de vulnerabilidad) * (impacto * % disminucin de
impacto) = Riesgo intrnseco * % disminucin de vulnerabilidad * % disminucin de
impacto.

FASE 10. Gestin de riesgos: esta ltima fase consiste en la toma de decisiones por
parte de la institucin ante las medidas de seguridad a aplicar. Ante la seleccin de las
medidas de seguridad se debe tener presente el umbral del riesgo aceptable y el coste de
la aplicacin de las medidas de seguridad. As mismo establecer un plan de accin que
contenga al menos la siguiente informacin:

Establecimiento de prioridades
Anlisis de coste / beneficio
Seleccin de controles
Asignacin de responsabilidades
Implantacin de controles

109
COMISARIA DEL NORTE PNP CHICLAYO

DECLARACIN DE APLICABILIDAD

Cdigo CDA

Versin: 001

Fecha de la Versin: 2014-05-05

Creado Por: Alcntara Flores Julio Cesar

Aprobado Por: Cap. PNP- Medina

Nivel de Confidencialidad: Nivel Intimo / Nivel Intermedio / Nivel Superficial.

110
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 113 de 123
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

TABLA DE CONTENIDOS

1. Objetivos, Alcance y Usuarios...115

2. Documentos de Referencia115

3. Aplicabilidad de los Controles...115

4. Funciones y Obligaciones del Personal.120

111
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 114 de 123
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

1. OBJETIVO, ALCANCE Y USUARIOS.

El objetivo del presente documento es definir qu controles son adecuados para


implementar en la Institucin Policial Comisaria del Norte -Chiclayo, cules son los
objetivos de esos controles y cmo se implementan. Tambin tiene como objetivo
aprobar riesgos residuales y aprobar formalmente la implementacin de los controles
mencionados.
Este documento incluye todos los controles detallados en el Anexo A de la norma ISO
27001. Los controles se aplican a todo el alcance del Sistema de gestin de seguridad
de la informacin (SGSI).
Los usuarios de este documento son todos empleados de la Institucin Policial
Comisaria del Norte -Chiclayo que cumplen una funcin dentro del SGSI.

2. DOCUMENTOS DE REFERENCIA.

Norma ISO/IEC 27001, captulo 6.1.3 d)


Poltica de Seguridad de la Informacin
Metodologa de evaluacin y tratamiento de riesgos
Informe de evaluacin y tratamiento de riesgos

3. APLICABILIDAD DE LOS CONTROLES.

112
Son aplicables los siguientes controles del Anexo A de la norma ISO 27001:

Controles segn la norma ISO/IEC 27001 Aplicabilidad Objetivos del control Mtodo de implementacin Estado
ID (S/NO)
La direccin y jefatura de la
institucin dar apoyo a la
SI seguridad de la informacin, Planificado
Polticas de de acuerdo con los requisitos
A.5 Polticas de la seguridad de la informacin seguridad de la del negocio y las normas
informacin aplicables.
Documento de La direccin deber aprobar un
poltica de seguridad documento de polticas de
SI de la informacin seguridad de la informacin, Planificado
publicarlo y distribuirlo a
A.5.1 Direccin de la gerencia para la seguridad de la informacin todos el personal de la
institucin y terceros afectados
La direccin y jefatura de la
Polticas de institucin dar apoyo a la
SI seguridad de la seguridad de la informacin, Planificado
informacin de acuerdo con los requisitos
A.5.1.1 Polticas para seguridad de la informacin del negocio y las normas
aplicables. Todas las polticas
indicadas bajo esta columna

Revisin de polticas Cada poltica tiene un


A.5.1.2 Revisin de polticas para seguridad para seguridad propietario designado que
De la informacin. SI De la informacin. deber revisar el documento Planificado
segn un intervalo planificado.
Gestionar la seguridad de la
SI Organizacin Interna informacin dentro de la Planificado
institucin, a travs de
jerarquas dentro de la
A.6 Organizacin de la seguridad de la informacin institucin.

113
Controles segn la norma ISO/IEC 27001 Aplicabilidad Objetivos del control Mtodo de implementacin Estado
ID (S/NO)
Organizacin Interna Gestionar la seguridad de la
SI informacin dentro de la Planificado
institucin, a travs de
jerarquas dentro de la
A.6.1 Organizacin interna institucin.
Responsabilidades Asegurar el funcionamiento
SI sobre los Activos de correcto y seguro de los Planificado
A.6.1.1 Roles y responsabilidades sobre informacin recursos de tratamiento de la
seguridad de la informacin informacin.
Cualquier actividad que
Asignacin de incluya informacin sensible
responsabilidades es aprobada por una persona e
SI relativas a la implementada por otra. Donde Planificado
seguridad de la se definirn claramente las
A.6.1.2 Segregacin de deberes informacin responsabilidades y deberes
relativos a la seguridad de la
informacin.
[Estrategia de continuidad del
Contacto con las negocio], [Plan de respuesta a
SI Autoridades los incidentes], Se deben Planificado
A.6.1.3 Contacto con autoridades mantenerse los contactos
adecuados con las autoridades
competentes de la institucin.

114
Controles segn la norma ISO/IEC 27001 Aplicabilidad Objetivos del control Mtodo de implementacin Estado
ID (S/NO)
El jefe de seguridad de la
institucin es el responsable de
Contacto con grupos supervisar [detallar los
SI de especial inters nombres de grupos de inters y Planificado
foros de seguridad], donde se
mantendrn los contactos
A.6.1.4 Contacto con grupos adecuados con grupos de
de inters especial inters especial u otros,
asociaciones profesionales
especializadas en seguridad.
El gerente de proyecto debe
incluir las reglas
correspondientes sobre
SI seguridad de la informacin en Planificado
Seguridad de la informacin cada proyecto, as como las
A.6.1.5 en gestin de proyectos acciones y tareas a cumplir que
le sean asignadas a cada
integrante del grupo.
Ordenadores Se implantar aun poltica
porttiles, formal, adoptando las medidas
SI comunicaciones de seguridad adecuadas para la Planificado
mviles y tele- proteccin contra los riesgos
A.6.2 Dispositivos mviles y tele-trabajo trabajo de la utilizacin de
ordenadores porttiles y
dispositivos mviles.

115
Controles segn la norma ISO/IEC 27001 Aplicabilidad Objetivos del control Mtodo de implementacin Estado
ID (S/NO)
[Poltica de uso aceptable] /
[Poltica sobre computacin
mvil y tele-trabajo], [Poltica
Trae tu propio dispositivo
(BYOD)
Ordenadores El equipamiento mencionado
porttiles y precedentemente puede ser
SI comunicaciones llevado fuera de las Planificado
mviles instalaciones solamente en
A.6.2.1 Poltica sobre dispositivos mviles caso sea requerido pero no se
podr filtrar ni copiar ninguna
informacin que salga de los
sistemas de informacin de la
institucin, as como el uso de
tarjetas de memoria, medios de
trasferencia de datos.
[Poltica de uso aceptable] /
[Poltica sobre computacin
SI mvil y tele-trabajo], se
Tele trabajo redactara e implementar una Planificado
poltica de actividades de tele
A.6.2.2 Tele-trabajo trabajo as como los planes y
procedimientos de operacin
correspondiente.

116
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 119 de 123
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

4. FUNCIONES Y OBLIGACIONES DEL PERSONAL.

En este apartado se recogen las funciones y obligaciones, para el personal efectivo con
acceso a los sistemas de informacin de la institucin policial. As como la previa
definicin de las funciones y obligaciones del personal, teniendo como objeto:

Proteger los sistemas de informacin, as como las redes de comunicacin


propiedad de la institucin o bajo su responsabilidad, contra el acceso o uso que
no sea autorizado, as como la alteracin indebida, destruccin o mal uso.
Proteger la informacin perteneciente o proporcionada a la organizacin en
contra de revelaciones no autorizadas o de modo accidental.

A efecto de dar cumplimiento con estas obligaciones independientemente de su funcin


o responsabilidad, la institucin exige un carcter general a cualquier empleado o
efectivo el cumplimiento de los siguientes aspectos:

Confidencialidad de la informacin
Propiedad intelectual
Control de acceso fsico
Salidas y entradas de informacin
Incidencias
Uso apropiado de los recursos
Software
Hardware
Conectividad a la red de internet

4.1 Confidencialidad de la Informacin.

1. Se debe proteger la informacin propia o confiada de la institucin evitando el


uso indebido o su envi no autorizado al exterior a travs de cualquier medio de
comunicacin.

2. Se deber guardar mxima reserva, por un tiempo indefinido, la informacin,


documentos, claves, anlisis, programas y el resto de informacin a la cual se
tenga acceso dentro de la institucin policial.

117
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 120 de 123
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

3. En caso de manejar informacin confidencial, en cualquier tipo de soporte, se


debern entender que la posesin de la misma es temporal, con una obligacin
de secreto por parte

4. del personal y son que ello le considere derecho alguno de posesin, titularidad
o copia de la misma, inmediatamente despus de haber realizado y finalizado las
tareas que se hubieran originado, esta debera devolverse a la institucin.

4.2 Propiedad Intelectual.

Queda totalmente prohibido en los sistemas de informacin de la institucin:


1. El uso de aplicaciones informticas sin la correspondiente licencia. As como los
programas informticos propiedad de la institucin, estn protegidos por la
propiedad intelectual por lo tanto queda rotundamente prohibida su
reproduccin, modificacin, cesin, o comunicacin sin ninguna autorizacin
previa.

2. El uso, reproduccin, modificacin, cesin o comunicacin de cualquier otro


tipo de obra protegida por la propiedad intelectual sin la debida autorizacin
correspondiente.

4.3 Control de Acceso Fsico.

Las normas orientadas al acceso fsico de las instalaciones de la institucin que albergan
los sistemas de informacin y los locales de tratamiento son los siguientes:

1. El acceso a las instalaciones de la institucin donde se encuentran los sistemas


de informacin y locales de tratamiento, ser realizado previo paso por un
sistema de control de acceso fsico o con la autorizacin del responsable (s) de
las instalaciones de la institucin.

118
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 121 de 123
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

4.4 Salidas y Entradas de Informacin.

1. Todo tipo de salida y entrada de informacin de la institucin sea esta de


carcter personal, deber ser realizada por el personal autorizado y ser
necesaria la autorizacin formal del responsable del fichero de donde provienen
los datos.

2. Para la salida de la informacin de Alto nivel confidencial, se debern cifrar


los mismos o utilizar cualquier otro mecanismo que no permitan el acceso o su
manipulacin durante el transporte.

4.5 Incidencias.

1. El personal de la organizacin y de terceras partes, tiene como obligacin la


comunicacin de cualquier incidencia que se pueda producir la cual est
relacionada con los sistemas de informacin o de cualquier otro recurso
informtico de la institucin.

2. La comunicacin, gestin y resolucin de las incidencias de seguridad se


realizaran mediante el sistema de gestin de incidencias es cual es habilitado por
la institucin.

4.6 Uso Apropiado de los Recursos.

Los recursos informticos ofrecidos por la institucin (datos, software, comunicaciones,


etc.), estn disponibles exclusivamente para cumplir con las obligaciones labores y con
una finalidad corporativa. Por lo que queda terminantemente prohibido cualquier uso
distinto del indicado, algunos ejemplos:

1. El uso de los recursos de la institucin, as como los que estn bajo su


supervisin para actividades no relacionadas con la finalidad de la institucin.

2. El uso de los equipos, dispositivos o aplicaciones los cuales no estn


especificados como parte de software y/o hardware contenidos en la institucin.

119
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 122 de 123
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

3. Introducir en los sistemas de informacin o red corporativa contenidos ilegales,


inmorales u ofensivos y en general, sin utilidad alguna en los procesos del
negocio de la institucin policial.

4. Introducir voluntariamente programas, virus, spyware o cualquier otro software


malicioso que sean susceptibles de causar alteraciones en los recursos
informticos de la institucin hacia terceros.

5. Desactivar o inutilizar los programas antivirus y de proteccin de los equipos y


sus actualizaciones.

6. Intentar eliminar, modificar, inutilizar los datos, programas o cualquier otra


informacin propios de la institucin.

7. Conectarse la red corporativa a travs de otros medios que no sean los definidos
y administrados por la institucin.

8. Intentar descubrir o descifrar las claves de acceso o cualquier otro elemento de


seguridad que intervenga en los procesos telemticos de la institucin policial.

4.7 Software.

1. Los usuarios deben utilizar nicamente las versiones de software facilitadas por
la institucin y as seguir las normas de utilizacin.

2. El servicio de informtica, es el responsable de definir los programas de uso


estandarizado en la institucin y de realizar las instalaciones en los PCs.

3. Los usuarios no deben instalar ni borrar ningn tipo de programa informtico en


su PC.

120
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 123 de 123
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

4.8 Hardware.

1. El personal en su actividad laboral, deben hacer uso nicamente del hardware


instalado en los equipos propiedad de la institucin y cuya funcin lo requiere
para el trabajo que desempea.

2. El personal en ningn caso acceder fsicamente al interior del equipo que tiene
asignado para su trabajo o que pertenezca a la propiedad de la institucin. En
caso necesario se comunicara la incidencia, segn el protocolo habilitado, para
que el departamento indicado o en su defecto el encargado de su funcin, realice
las tareas de reparacin, instalacin o mantenimiento.

3. Los usuarios no manipularan los mecanismos de seguridad que la organizacin


implemente en los dispositivos (equipos, porttiles, mviles, etc.)

4. No sacar equipos, dispositivos o soportes de las instalaciones sin la autorizacin


necesaria, y en todo caso, con los controles y medidas que se hayan establecido
para cada supuesto.

4.9 Conectividad a la red de Internet.

Las normas referentes al correo electrnico son:


1. El servicio de correo electrnico o cunetas de correo que la organizacin pone a
disposicin de los usuarios tiene un uso estrictamente profesional y destinado a
cubrir las necesidades del puesto.

2. Queda terminantemente prohibido intentar leer, copiar o borrar mensajes de


correo electrnico de otros usuarios.

3. El personal no debe enviar mensajes de correo electrnico de manera masiva o


de tipo primordial con fines publicitarios o comerciales. En el caso que sea
necesario, dada la funcin del usuario, este tipo de mensajes se gestionara con la
direccin de la institucin y con el responsable de seguridad.

121
COMISARIA DEL NORTE PNP CHICLAYO

PLAN DE TRATAMIENTO DE RIESGOS

Cdigo CPTR

Versin: 001

Fecha de la Versin: 2014-05-05

Creado Por: Alcntara Flores Julio Cesar

Aprobado Por: Cap. PNP- Medina

Nivel de Confidencialidad: Nivel Intimo / Nivel Intermedio / Nivel Superficial.

122
Para cumplir los objetivos del SGSI, es necesario realizar las siguientes actividades

Control del Funcin del


Recursos generales y Recursos Humanos riesgo riesgo Opciones
Actividad financieros necesarios necesarios Recursos de capacitacin (evitar, (aceptar, del riesgo
prevenir, retener,
proteger) transferir)
Documentacin en papel Personas encargadas
Polticas para o formato electrnico, de gestionar la Programas de capacitacin
seguridad de la recursos asumidos por el documentacin al personal efectivo, dado Eleccin
informacin gobierno en el referente a las por personal experto en Prevenir Transferir de
presupuesto asignado a polticas de seguridad temas de seguridad. controles
las comisarias del a seguir en la
departamento institucin.
Personal de la alta Programas de capacitacin
Revisin de las Documentacin direccin gerencial o dirigida a los efectivos de
polticas para establecida y finalizada de la jefatura de la la institucin que Proteger Retener Evitar el
seguridad de la acerca de polticas institucin policial interactan con los riesgo
informacin establecidas experta en temas de sistemas de informacin
anteriormente seguridad.

registros para entender


Inventario de los activos Personal experto en mejor las necesidades de
de la institucin, levantamiento de seguridad de informacin y Eleccin
Inventario de personal externo polticas de la determinar los controles Prevenir Aceptar de
activos especializado en temas seguridad de la para asegurar la controles
de inventarios. informacin confidencialidad,
integridad y disponibilidad
de la informacin

123
Recursos del Mantenimiento para los
presupuesto alcanzado a Personal tcnico equipos de la institucin
la jefatura o direccin de especializado en el policial bajo tres aspectos
Mantenimiento de la institucin, destinado rea de tecnologas de de capacitacin tales como
equipo para los equipos e informacin e son: el mantenimiento Prevenir Aceptar Evitar el
infraestructura de la infraestructura de preventivo, el correctivo y riesgo
institucin policial. hardware y software. el predictivo.

Recursos utilizados por Personal encargado de Cursos y charlas de


Procedimientos y la institucin policial velar en el capacitacin orientadas a
polticas sobre asignados en el cumplimiento de definir y mejorar
transferencia de presupuesto del procedimientos y procedimientos orientados Evitar Retener Evitar el
informacin gobierno destinado a las transferencia y a manejo de informacin riesgo
comisarias del registros de as como el uso adecuado
departamento informacin de la misma.
Recursos utilizados por Personal encargado de Cursos y charlas de
Cumplimiento con la institucin policial velar en el capacitacin orientadas a
las polticas y asignados en el cumplimiento de definir y mejorar Evitar el
estndares de presupuesto del procedimientos y procedimientos orientados Evitar Retener riesgo
seguridad gobierno destinado a las transferencia y a manejo de informacin
comisarias del registros de as como el uso adecuado
departamento informacin de la misma.
Documentacin en papel Personas encargadas
Revisin o formato electrnico, de gestionar la Programas de capacitacin
independiente de la recursos asumidos por el documentacin al personal efectivo, dado Eleccin
seguridad de la gobiernos en el referente a las por personal experto en Prevenir Transferir de
informacin presupuesto asignado a polticas de seguridad temas de seguridad. controles
las comisarias del a seguir en la
departamento institucin.

124
Personal de la alta Programas de capacitacin
Reporte de Documentacin direccin gerencial o dirigida a los efectivos de
debilidades en la establecida y finalizada de la jefatura de la la institucin que Proteger Retener Evitar el
seguridad de la acerca de polticas institucin policial interactan con los riesgo
informacin establecidas experta en temas de sistemas de informacin
anteriormente seguridad.
Recursos utilizados por Personas expertos en
Anlisis y la institucin orientados toma de Programas de capacitacin
especificacin de al levantamiento de requerimientos y al personal efectivo, dado Eleccin
los requerimientos requisitos de seguridad necesidades de la por personal experto en Evitar Aceptar de
de seguridad de la para la institucin institucin enfocados temas de seguridad. controles
informacin policial y prximamente a la seguridad en los
para su implantacin sistemas de
informacin
Recursos necesarios Personal efectivo Recurso asignado por el
Procedimientos apoyados por la alta capacitado en labores gobierno orientado a Eleccin
documentados de direccin o jefatura de la de documentacin y brindar capacitacin al Proteger Transferir de
operacin institucin policial. operacin. personal adecuado en controles
trminos documentarios.

125
COMISARIA DEL NORTE PNP CHICLAYO

PLAN DE CAPACITACION Y CONCIENCIACION

Cdigo CPCC

Versin: 001

Fecha de la Versin: 2014-05-05

Creado Por: Alcntara Flores Julio Cesar

Aprobado Por: Cap. PNP- Medina

Nivel de Confidencialidad: Nivel Intimo / Nivel Intermedio / Nivel Superficial.

126
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CPCC
LA INFORMACION Pginas: 129 de 135
PLAN DE CAPACITACION Y Versin: 001
CONCIENCIACION Vigencia: 15/03/2014

FICHA TECNICA

1. DENOMINACIN.

Capacitacin y Concienciacin del Personal Efectivo Policial de la Institucin


Policial Comisaria del Norte PNP- Chiclayo.

2. FINALIDAD.

a) Capacitar al personal efectivo policial que hace uso de los sistemas y tecnologas
de informacin en la Comisaria del Norte - Chiclayo en el uso y manejo de la
seguridad del Sistema as como en su Gestin Documentaria.

b) Acreditar al personal policial involucrado, que han llevado y aprobado el Curso


de Capacitacin y concienciacin en temas de seguridad del Sistema, as como
en la Gestin Documentaria de la institucin Policial Comisaria del Norte
Chiclayo.

3. BASE LEGAL.

Ley especial sobre delitos informticos (Ley N30096), el Gobierno de la


Republica Peruana.

Ley de Transparencia y Acceso a la Informacin Pblica (LEY N 27806.)

Resolucin Ministerial 129-2012-PCM Implementacin incremental de


NTP-ISO/IEC 27001:2008.

Norma Tcnica Peruana NTP-ISO/ IEC 27001:2008 EDI Tecnologa de la


Informacin. Tcnicas de Seguridad.

4. DESCRIPCIN.

Este programa de CAPACITACION Y CONCIENCIACION, requiere ser


aprobado por el Titular de la Unidad de la Jefatura de la Institucin Policial,
convocante a la Capacitacin, por lo cual se debe asegurar un rea especfica
dentro de la Institucin o como puede ser un Laboratorio de Cmputo donde se
desarrolle la capacitacin, As mismo gestionar toda la logstica del evento.

127
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 130 de 135
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

Reclutar a los Capacitadores por parte de la Jefatura de la institucin Policial,


donde se Proceder a capacitar a los participantes bajo la forma de taller, es decir
de manera terico y prctica, llegando a finalizar con la capacitacin en una
evaluacin programada posterior a la capacitacin, con vista a la acreditacin del
participante.

5. PLANEAMIENTO.

5.1.Laboratorio

El Laboratorio con computadoras personales y con acceso a Internet, ser asignado


para el dictado de clases terico prcticas, en horarios previamente programados.

5.2.Computadoras Personales

Las PCs a utilizar cumplen con los siguientes requisitos tcnicos:


a) Hardware: Procesador Intel Core I3 y Memoria RAM 4 Gb.
b) Software: Sistema Operativo: Ubuntu o Windows en cualquier versin.
c) Navegador Web: (Mozilla Firefox, Chrome o Explorer)

5.3.Capacitador

Perfil de Capacitador para la Labor:

a. Bachiller o Ingeniero de Sistemas, Computacin o Informtica.


b. Disponibilidad de tiempo en los turnos de maana y/o tarde, entre lunes y
viernes de cada semana.
c. Conocimiento de Software Libre, Licenciado y herramientas de diseo Web.
d. Proactivo(a), trabajo en equipo y establecimiento de metas diarias.

El proceso de reclutamiento e instruccin de los Capacitadores estar a cargo de la


Oficina de Tecnologas de la Informacin y rea de Informtica de la Institucin
Policial.

128
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 131 de 135
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

5.4.Manual de apoyo

El Manual Prctico del Usuario (archivo digital) servir de ayuda inmediato al


personal policial al momento de interactuar con el Sistema.

5.5.Lista de Asistencia

Se llevar un control de asistencia por capacitacin efectuada, en el entendido que


stas han sido agrupadas por da y hora de manera programada adecuadamente.

5.6.Carpeta de trabajo

Cada usuario al momento de la capacitacin recibir como material del curso: un


archivo digital del manual, usuario y clave, instrucciones.

5.7.Esquema del Curso

a) Registro de asistencia.
b) Introduccin al curso
c) Explicacin sobre el curso y la Acreditacin.
d) Desarrollo del contenido del curso. (Parte Terica / Parte Prctica)
e) Preguntas.
f) Cronograma de Evaluacin para Acreditacin.

5.8. Material de trabajo

El Capacitador tendr los siguientes recursos y materiales:

a) Carnet de Identificacin
b) Proyector multimedia.
c) Laptop.
d) Pizarra acrlica y Puntero lser.
e) Dos plumones (colores azul y rojo).

129
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 132 de 135
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

5.9. Usuario y contrasea

En la capacitacin cada participante ingresar al Sistema de Prctica con su


respectivo nombre de usuario y contrasea asignada por el capacitador.

5.10. Prueba y Evidencia

La capacitacin brindada a los participantes debe probarse con la realizacin de


ejercicios prcticos, y debe evidenciarse con la filmacin o fotografas del evento.

6. INSTRUCCIN A CAPACITADORES.

Es la explicacin a detalle del proceso del Sistema de Gestin Documentaria


absolviendo inquietudes de los capacitadores en forma coherente y siendo anotado
en un Banco de Preguntas.
Al final del Programa cada capacitador recibir del Organizador un Certificado por
haber participado como Capacitador con el nmero de horas dictadas.

7. ACREDITACIN.

A. Posterior a la capacitacin y en plazo no mayor a dos semanas, el participante,


mediante solicitud llenado en formato pre-establecido y presentado en la Oficina
de Tecnologas de la Informacin, podr solicitar la evaluacin terico
prctico para obtener la Acreditacin del Sistemas y mecanismo de seguridad,
citando un correo electrnico de uso personal, brindado por los capacitadores, en
donde se le remitir el da y hora programado para realizar el examen.

B. Para el participante que decida rendir el examen para obtener la Acreditacin del
Sistemas y mecanismo de seguridad, sin asistir a la capacitacin, podr
solicitarlo en los mismos trminos y condiciones mencionados en el prrafo
anterior.

C. La acreditacin es personal y ser suscrita por el Jefe de la Oficina Regional de


Administracin conjuntamente por el Gerente Regional de Educacin, a
propuesta de la Jefatura de la Oficina de Tecnologas de la Informacin, va
Oficina Regional de Planeamiento, Presupuesto y Acondicionamiento
Territorial.

130
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 133 de 135
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

D. Para la Acreditacin requiere que la asistencia del Participante sea en un 100%,


es decir que permanezca todo el tiempo que dure la capacitacin, salvo lo
previsto en el numeral 7.2.

E. Si el participante que desaprueba el examen para la acreditacin solo tiene una


nueva oportunidad de solicitarlo, si persiste la desaprobacin, el participante
puede solicitar llevar el curso de capacitacin utilizando el formato que refiere el
numeral 7.1 de la presente Ficha.

8. METODOLOGA

Para asegurar que las actividades de Trabajo en la Jefatura de Tecnologas de la


Informacin JTI continen de manera regular, la Capacitacin para la
Acreditacin se llevar a cabo en dos estados:

1) El primer estado est a cargo de Capacitadores instruidos previamente para tal


fin que se pretende alcanzar en la Institucin.

2) El segundo estado est a cargo del personal de la JTI quienes tendrn el trabajo
de evaluar al personal capacitado para su acreditacin. La evaluacin ser
mediante examen con puntaje vigesimal, siendo la nota aprobatoria igual o
mayor a catorce (14).

Ambos estados se llevaran a cabo en un Laboratorio asignado en la institucin


Policial, por la Unidad Ejecutora que aprueba el evento.

131
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 134 de 135
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

PLAN DE CAPACITACIN Y CONCIENCIACIN

Con el objetivo de preparar al personal para que pueda cumplir una funcin en la
seguridad de la informacin, se debe llevar a cabo la siguiente capacitacin:

1. PROGRAMACION.

Dentro de la programacin, los eventos a realizar en esta actividad sern los


siguientes:

NO. EVENTO UNID MED META PERODO


(DAS)
01 Determinacin de Laboratorio # 1 1
Laboratorio
02 Gestin para la logstica de # Pedido 1 1
materiales
03 Convocatoria y seleccin de # 2 1
capacitadores Capacitador
04 Instruccin a capacitadores # 2 1
Capacitador
05 Capacitacin a participantes # Personal 40 2
06 Acreditacin a trabajadores # Personal 40 2

(*) Estar en funcin al N de trabajadores de la Unidad Ejecutora


Cabe hacer de mencin que las capacitaciones al personal efectivo se harn
efectivas los das martes y jueves de las semanas en un perodo de tiempo de 10
semanas el equivalente a 2 meses y medio respectivamente. Los Horarios para la
capacitacin son:

TURNO/HORARIO CAPACITADOR SUPERVISOR


Maana: 08:00 - 09:00 A Ing. Marco Ignacio Valverde R.
Maana: 09:00 10:00 B Ing. Marco Ignacio Valverde R.
Tarde: 17:00 18:00 A Ing. Roncal Ramrez Ivn A.
Tarde: 18:00 19:00 B Ing. Roncal Ramrez Ivn A.

132
SISTEMA DE GESTION DE LA SEGURIDAD DE Cdigo: CDA
LA INFORMACION Pginas: 135 de 135
DECLARACION DE LA Versin: 001
APLICABILIDAD Vigencia: 15/03/2014

MODULO - TEMATICA FECHA HORARIO


Seguridad en las SI/TI 05/07/2014 08:00-09:00
am
Control de logstica y almacn 05/07/2014 09:00-10:00
am
Control documentario 12/07/2014 17:00-18:00
pm
Fiabilidad y confidencialidad en la seguridad de la 12/07/2014 18:00-19:00
informacin pm
Elementos vulnerables en los sistemas de informacin 19/07/2014 08:00-09:00
am
Amenazas en las tecnologas y sistemas de informacin 26/07/2014 09:00-10:00
am
Personas y Amenazas logsticas 02/08/2014 17:00-18:00
pm
Amenazas fsicas y Lgicas en los sistemas de 09/08/2014 18:00-19:00
informacin pm
Implementacin de Polticas de seguridad 16/08/2014 08:00-09:00
am
Estndares de seguridad, estrategias y niveles de riesgo 23/08/2014 09:00-10:00
am

Para que el personal comprenda la importancia de la gestin de la seguridad de la


informacin y de su propio aporte al SGSI, y para que acepte las polticas y planes y
comprenda las consecuencias de violar las normas de seguridad de la informacin, se
deben aplicar los mtodos de concienciacin mencionados anteriormente en el
documento.

133
V. DISCUSIN.

De acuerdo a lo obtenido en los resultados de la Tesis, se referenciar el anlisis de los


datos que fueron tomados en cuenta, a su vez demostraremos el cumplimiento y
satisfaccin de los objetivos de la Tesis que fueron planteados en un inicio,
evidenciando los cambios que se han podido suscitar correspondientemente a una
realidad que se pudo encontrar en su momentos y que a travs de unos objetivos
planteados mostraremos los porcentajes de medicin para poder entender lo que sucedi
en la institucin.

CONTRASTACIN DE HIPTESIS PARA LOS INDICADORES.

Indicador A1: Nivel de seguridad en las aplicaciones, de la institucin Policial.

NAG = Nivel de seguridad en las aplicaciones de la institucin policial antes


de la Gua de Implementacin para la institucin. (Pre test/encuesta).

NDG = Nivel de seguridad en las aplicaciones de la institucin policial con


la Gua de Implementacin para la institucin. (Post test/encuesta)

Donde:

AG: Antes de la Gua de implementacin.


DG: Despus la Gua de Implementacin.

A) Hiptesis estadstica.

H0: NAG = NDG NAG NDG = 0


H1: NAG > NDG NAG NDG > 0

Antes Despus Dif: A-D


Indicador A1 17% 20% +3

B) Regin critica.

134
C) Estadstica de prueba.

Rechazar si: Z >= 1.96 o Z<= -1.96


Aceptar si: -1.96 < Z < 1.96

D) Calculo.

113100
= =1.3
30/ 9

Z=1.3

E) Se acepta H0.

F) Decisin y Conclusin:

Como 1.3 es < 1.96 aceptamos el H0.


La evidencia suficiente aconseja no rechazar, segn la regla de
decisin adoptada, la hiptesis de que la media poblacional sea
igual a 100. Para decir que el nivel de seguridad se mostr un
incremento en el nivel de seguridad. Eso quiere decir que con la
Gua de implementacin podemos reducir el nivel de inseguridad
en el uso de las aplicaciones de la institucin.

135
Indicador A2: Mejorar el proceso utilizado para detectar anomalas en la seguridad de
la informacin.

PAG = Mejorar el proceso utilizado para detectar anomalas en la seguridad


de la informacin. (Pre test/encuesta).

PDG = Mejorar el proceso utilizado para detectar anomalas en la seguridad


de la informacin. (Post test/encuesta)

Donde:

AG: Antes de la Gua de implementacin.


DG: Despus la Gua de Implementacin.

A) Hiptesis estadsticas.

H0: PAG = PDG PAG PDG = 0


H1: PAG > PDG PAG PDG > 0

Antes Despus Dif: A-D


Indicador A2 10% 14% +4

B) Regin critica.

C) Estadstica de prueba.

Rechazar si: Z >= 1.96 o Z<= -1.96


Aceptar si: -1.96 < Z < 1.96
136
D) Calculo.

= = -8.66

Z= -8.66

E) Se rechaza H0.

F) Decisin y Conclusin:

Como -8.66 es < -1.96 aceptamos el H0.


La evidencia suficiente aconseja rechazar, segn la regla de
decisin adoptada, la hiptesis de que la media poblacional sea
igual a 100. Para decir que se mejor el proceso utilizado en la
detencin de anomalas en la informacin. Eso quiere decir que
con la Gua de implementacin podemos mejorar el proceso para
la detencin de anomalas en la seguridad dela informacin.

137
Indicador A3: Disminuir los niveles de riesgo, respecto a los activos de informacin,
considerados amenazas y vulnerabilidades.

NAG =Disminuir los niveles de riesgo, respecto a los activos de informacin,


considerados amenazas y vulnerabilidades. (Pre test/encuesta).

NDG =Disminuir los niveles de riesgo, respecto a los activos de informacin,


considerados amenazas y vulnerabilidades. (Post test/encuesta)

Donde:

AG: Antes de la Gua de implementacin.


DG: Despus la Gua de Implementacin.

A) Hiptesis estadsticas.

H0: NAG = NDG NAG NDG = 0


H1: NAG > NDG NAG NDG > 0

Antes Despus Dif: A-D


Indicador A3 67% 57% -10

B) Regin critica.

C) Estadstica de prueba.

Rechazar si: Z >= 1.96 o Z<= -1.96


Aceptar si: -1.96 < Z < 1.96

138
D) Calculo.

= = 1.33

Z= 1.33

E) Se acepta H0.

F) Decisin y Conclusin:

Como 1.33 es < 1.96 aceptamos el H0.


La evidencia suficiente aconseja aceptar, segn la regla de
decisin adoptada, la hiptesis de que la media poblacional sea
igual a 100. Para decir que se disminuyeron los niveles de
riesgos. Eso quiere decir que con la Gua de implementacin
podemos disminuir los nivele de riesgos en los activos de
informacin de la institucin.

139
Indicador A4: Mejorar el nivel de capacitacin en temas de seguridad informtica en
el personal.

NAG =. Mejorar el nivel de capacitacin en temas de seguridad informtica


en el personal. (Pre test/encuesta).

NCG =.Mejorar el nivel de capacitacin en temas de seguridad informtica


en el personal (Post test/encuesta).

Donde:

AG: Antes de la Gua de implementacin.


CG: Con la Gua de Implementacin.

A) Hiptesis estadsticas.

H0: NAG = NCG NAG NCG = 0


H1: NAG > NCG NAG NCG > 0

Antes Despus Dif: A-D


Indicador A4 27% 30% +3

B) Regin critica.

C) Estadstica de prueba.

Rechazar si: Z >= 1.96 o Z<= -1.96


Aceptar si: -1.96 < Z < 1.96

140
D) Calculo.

= = 4.3

Z= 4.3

E) Se rechaza H0.

F) Decisin y Conclusin:

Como 4.3 es >1.96 aceptamos el H0.


La evidencia suficiente aconseja rechazar, segn la regla de
decisin adoptada, la hiptesis de que la media poblacional sea
igual a 100. Para decir que se pudo mejorar el nivel de
capacitacin. Eso quiere decir que con la Gua de implementacin
podemos mejorar el nivel de capacitacin en temas de seguridad
hacia el personal.

141
Indicador A1: Nivel de seguridad en las aplicaciones de la institucin Policial.
Respecto a la implementacin de polticas de seguridad, orientadas a mejorar los niveles
de seguridad en el uso de las aplicaciones, las cuales hace uso el personal de la
institucin policial y de gran importancia para las dems instituciones del mismo sector.
Al iniciar el trabajo de investigacin se perciban ciertos inconvenientes reflejados en
problemas con los recursos de la organizacin, como es el caso de la informacin, las
comunicaciones, el hardware y el software; lo cual qued reflejado en los datos
obtenidos en las encuestas realizadas, donde un 17% de los encuestados seal que
existe ese porcentaje de seguridad en cuanto al uso de las aplicaciones, generando
molestias e inconvenientes por parte del personal de la institucin demostrado en el
porcentaje de insatisfaccin. As mismo al aplicar el Pos-test en la institucin, el
porcentaje de seguridad se vio incrementado en un 3%, con respecto al valor inicial
obtenido en el Pre-test. Este pequeo incremento de porcentaje obtenido benefici a la
institucin, en lo relacionado a las medidas para salvaguarda de su informacin; a fin de
permitirle contar con la informacin necesaria y disponible, que se refleja en una
adecuada y certera toma de decisiones.

Anexo 04 - Fig. 01 Anexo 05 Fig.01


Antes Despus

QUE NIVEL DE SEGURIDAD, TIENEN LAS APLICACIONES QUE NIVEL DE SEGURIAD TIENEN LAS APLICACIONES
QUE SE USAN EN LOS EQUIPOS DE LA INSTITUCION. pesimas
QUE SE USAN EN LOS EQUIPOS DE LA INSTITUCION
pesimas 0% seguras
0% seguras
17% 20%

regulares
6%

regulares
inseguras 17%
inseguras 63%
77%

Fuente propia de Anlisis Fuente propia de Anlisis

Indicador A2: Mejorar el proceso utilizado para detectar anomalas en la seguridad de


la informacin.-
En cuanto a los controles tomados en cuenta para detectar deficiencias o anomalas en la
seguridad de la informacin con la que cuenta la institucin para protegerse, se pudo
encontrar ciertas deficiencias, teniendo como consecuencia una informacin no
oportuna y veraz en algunos casos alterada, lo cual queda demostrado con los datos
obtenidos en las encuestas realizadas, el 10% de los encuestados seal que se debera
mejorar el proceso que se viene utilizando la ausencia de controles adecuados y
especficos para proteger la informacin considerado si el mas importantes de sus
activos, como es el caso de tener acceso a la misma, modificarla, alterarlas, etc.
Definiendo los lmites de acceso al personal adecuado e idneo a la hora de manipular
la informacin. Con la aplicacin del pos-test en la institucin, el porcentaje de
seguridad se vio incrementado en un 4%, respecto al valor inicial obtenido en el pre-

142
test. A su vez este pequeo incremento de porcentaje obtenido colabora con el beneficio
al momento de requerirse la informacin en el momento adecuado y exacto para la
institucin; y as evitar que la informacin pueda perderse o ser alterada y no ser
oportuna.

Anexo 04 - Fig. 11 Anexo 05 Fig.11


Antes Despus

se utilizan controles para detectar anomalias en la se utilizan controles para detectar anomalias en la
seguridad de la informacion. seguridad de la informacion

90 86

27 26
10 14
3 4

Fuente propia de Anlisis Fuente propia de Anlisis

Indicador A3: Disminuir los niveles de riesgo, respecto a los activos de informacin,
considerados amenazas y vulnerabilidades.
El nivel de riesgo, con respecto a los activos de informacin es de suma importancia en
el funcionamiento y los procesos de la institucin. Cabe indicar que el soporte y
mantenimiento que reciben los activos de la institucin, no viene siendo los ms
adecuados por lo que resulta insuficiente; a su vez el no poder disminuir estos riesgos
con respecto a los activos puede generar inconvenientes, algunas inconsistencias que se
pueden ver manifestadas en las vulnerabilidades y amenazas para la institucin. Al
iniciar el trabajo de investigacin se perciban ciertos inconvenientes reflejados en
problemas con los activos de la organizacin, lo cual qued en evidencia con los datos
obtenidos en las encuestas realizadas. En cuanto al mantenimiento de los activos se da
anualmente en un 67%, lo cual no es el ms adecuado para disminuir los impactos en la
organizacin. Al aplicar el Pos-test en la institucin, el porcentaje de riesgos disminuy
en un 10% con respecto al valor inicial ya que se considera prudente un mantenimiento
de los activos de manera semestral en mayor porcentaje para monitorear y contralar de
manera mucho ms adecuada los activos de la institucin. Se pudo notar tambin a su
vez un incremento del 16% en conocimiento de polticas de seguridad, que ayudan a
disminuir los riesgos en la institucin, esto debido al conocimiento que tiene ahora el
personal. A su vez este incremento de porcentaje obtenidos va a colaborar y beneficiar a
la institucin en tomar las medidas del caso adecuadas para controlar sus riesgos y
evitar prdidas de informacin que perjudiquen el negocio y los proceso
respectivamente.

143
Anexo 04 - Fig. 03 Anexo 05 Fig.03
Antes Despus
CON QUE FRECUENCIA SE REALIZA EL
CON QUE FRECUENCIA SE REALIZA EL
MANTENIMIENTO DE LOS EQUIPOS DE COMPUTO DE
LA INSTITUCION.
MANTENIMIENTO DE LOS EQUIPOS DE COMPUTO DE
nunca 3 meses LA INSTITUCION
0% 10%
nunca 3 meses
0% 7%

6 meses
23%

6 meses
anualmente 36%
anualmente 57%
67%

Anexo 04 - Fig. 07 Anexo 05 Fig.07


Antes Despus

Fuente propia de Anlisis Fuente propia de Anlisis

Indicador A4: Mejorar el nivel de capacitacin en temas de seguridad informtica en el


personal.
El uso y puesta en marcha de programas orientados a capacitar al personal que forma
parte de la institucin policial los cuales hacen uso de los sistemas de informacin,
dirigidos al personal efectivo de la institucin, y orientados a dar a conocer y poner en
prctica los conocimientos en temas especficamente de seguridad en el uso de las
aplicaciones que utiliza la institucin. Estos programas de capacitacin son muy
importantes para las dems instituciones del mismo sector, lo que a su vez el no
aprovecharlos podra limitar los conocimientos del personal. Se perciban ciertos
inconvenientes reflejados en problemas con el ejercicio de las buenas prcticas
recomendadas en los procesos qu realiza la institucin, por lo cual se evidenci en el
pre-test, pues tan solo el 27% de los encuestados era capacitado en temas
especficamente sobre seguridad y polticas para mejorar el desempeo en los proceso
que realiza la institucin, por lo cual esto genera cierto desconocimiento sobre
polticas, planes especficos a seguir, etc. Al aplicar el Pos-test en la institucin, sobre
esta misma situacin se pudo notar que el porcentaje sufri un incremento del 3% con
respecto al valor inicial obtenido. A su vez este pequeo incremento de porcentaje
obtenido genera un cierto conocimiento mucho ms especfico, y de gran nivel al estar

144
dirigidos para el personal que hace uso de los sistemas de informacin lo cual se va a
ver reflejado en mejores resultados en formas y maneras de proceder adecuadamente,
acompaado de una concienciacin a la hora de hacer efectivas estas capacitaciones
respectivamente.

Anexo 04 - Fig. 04 Anexo 05 Fig.04


Antes Despus

Fuente propia de Anlisis Fuente propia de Anlisis

En lo que respecta a la contratacin de la Hiptesis, podemos afirmar que se pudieron


satisfacer los diferentes objetivos e indicadores de la misma. El poner en marcha la
aplicacin de la Gua de Implementacin de Seguridad de la Informacin basada en la
Norma ISO/IEC 27001, se pudo comprobar una cierta mejora en la seguridad de las
aplicaciones de la institucin, acompaada de cambios que se perciben como es el caso
del incremento de polticas de seguridad, incremento en mayor nmero de control para
monitorear anomalas en la informacin, la disminucin de niveles de riesgos con
respecto a los activos de informacin de la institucin, y finalmente un incremento en
programas de capacitacin que dan conocimientos al personal en el uso de los sistemas
de informacin , por todas estas caractersticas podramos decir que se pudo contrastar
la hiptesis que se plante en su inicio al abordar el presente tema de investigacin.

145
VI. CONCLUSIONES.

1. Con la Gua de Implementacin, se logr incrementar el nivel de la seguridad en


las aplicaciones informticas de la institucin policial, y esto se vio reflejado en
el incremento de polticas de seguridad que fueron puestas en marcha que
beneficiaron a la institucin y ayudaron a incrementar el nivel de seguridad en la
misma.

2. El uso de la Gua de Implementacin, se logr mejorar el proceso para detectar


las anomalas en la seguridad de la informacin, reflejado en distintos
mecanismos de seguridad para salvaguardarla y prevenir su mal uso y
divulgacin no adecuada que perjudiquen a la institucin.

3. Con el Plan de tratamiento de Riesgos, se permiti la disminucin de los niveles


de riesgos con respecto a los activos de informacin, considerados amenazas y
vulnerabilidades en la institucin, esto manifestado en un plan adecuado para
abordar estos riesgos, con mecanismos preventivos y correctivos, tomando las
precauciones necesarias que minimicen los impactos respectivamente.

4. Con el Plan de Capacitacin y Concienciacin puesto en marcha en la


Institucin, se logr incrementar el conocimiento, y su vez mejorar el nivel de
capacitacin para el personal en temticas orientadas a polticas, estrategias de
seguridad que beneficien a la institucin, teniendo como resultado personal
comprometido con la seguridad en favor de la institucin.

146
VII. REFERENCIAS BIBLIOGRFICAS.

Antoni Llus Mesquida, Antonia Mas, Esperana Amengual, (Clavijo 2008),


Ignacio Cabestrero. Sistema de Gestin Integrado segn las normas ISO 9001,
ISO/IEC 20000 e ISO/IEC 27001 REICIS Revista Espaola de Innovacin,
Calidad e Ingeniera del Software, vol. 6, nm. 3, noviembre, 2010, pp. 25-34,
Asociacin de Tcnicos de Informtica Espaa.

Arturo Fernando Granados Rodrguez: Auditoria del Desarrollo de Sistemas de


Informacin en el Gobierno Regional de Cajamarca. De la Universidad Privada
del Norte. Ao 2012.

Enrique Martn Mndez, Miguel ngel Aguilar Proyecto Sanitas: Sistema de


Gestin de Seguridad de la Informacin y certificacin UNE 71502 e ISO
27001. Del Grupo Sanitas, Ao 2006

Emigdio Antonio Alfaro Paredes: Metodologa para la Auditoria Integral de la


Gestin de la Tecnologa de Informacin. De la Pontificia Universidad Catlica
del Per. Ao 2008.

Ana Pilar de Jess Maco Chonate: Formulacin de un Plan de Seguridad de


Informacin Aplicando las Normas ISO 27001 y 27002, para mejorar la
seguridad de la informacin en la gestin financiera de la caja Sipn: un caso de
aplicacin de la metodologa Magerit utilizando el software pilar2. De la
Universidad Catlica Santo Toribio de Mogrovejo. Ao 2008.

Wolfgang BOEHMER. Cost-benefit trade-off analysis of an ISMS based on


ISO 27001.IEEE. Ao 2011.

Luis Gmez Fernndez y Ana Andrs lvarez Gua de aplicacin de la Norma


UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes.
2. edicin AENOR (Asociacin Espaola de Normalizacin y Certificacin),
2012

Carlos S. lvarez C. La ley y la seguridad de la informacin: una perspectiva


regional. ACIS. Ao 2012.

Chi-Hsiang Wang. Integrated Installing ISO 9000 and ISO 27000 Management
Systems on an Organization IEEE, Ao 2010.

Burnett. Metodologa de 8 etapas, et al. (2004) Ingeniera Industrial/ISSN


1815-5936/Vol. XXXIII/No. 3/septiembre-diciembre/2012/p. 260-271

Madelayne L. Vega Garca Las Auditorias de informacin en las organizaciones.


2001. Ciencias de la Informacin, vol. 37, nm. 2-3, mayo-diciembre, 2006, pp.
3-14.

147
Castellano Castellano, Diana. Auditoras de Sistemas Informticos en la
Empresa Minga S.A y su sucursal utilizando Cobit (Tesis de Titulacin en
Ingeniera Informtica). Chicago: Universal S.A, 2009.
Ciro Antonio Dussan Clavijo Polticas de seguridad informtica Entramado, vol.
2, nm. 1, pp. 86-92, Universidad Libre Colombia, 2004.

Marianella Villegas, Marina Meza, Pilar Len Las mtricas, elemento


fundamental en la construccin de modelos de madurez de la seguridad
informtica Tlmatique, vol. 10, nm. 1, enero-abril, 2011, pp. 1-16,
Universidad Rafael Belloso Chacn Venezuela, 2006.

Soy i Aumatell. Metodologa - Auditorias de los Sistemas de Informacin y las


Tecnologas de la Informacin. (2003)

http://www.iso27001standard.com/es/

Barker, R. L. (1990). Information audits: Designing a methodology with


reference to the R & D divisin of a pharmaceutical company. Occasional
publications series no. 8 (pp. 534). Sheffield: Department of Information
Studies, University of Sheffield.

Instituto de Informacin Cientfica y Tecnolgica (IDICT). La Habana, Cuba


Dra. Gloria Ponjuan .LAS AUDITORAS DE INFORMACIN Y DEL
CONOCIMIENTO Y SUS CONTEXTOS Facultad de Comunicacin
Universidad de La Habana. (2008)

148
VIII. ANEXOS.

Check-List sobre Polticas de Seguridad en la Institucin Policial Comisaria del


Norte PNP Chiclayo. (Anexo N1)

CHECK-LIST SOBRE POLITICAS DE SEGURIDAD


Auditoria en Seguridad Informatica Proceso: Norma ISO 27001

EVALUACION DE POLITICAS DE SEGURIDAD FECHA:


Con el objetiv o de ev aluar politicas de seguridad informatica y de conocer, la percepcion de las personas entrev istadas en el Area de sistemas de
informacion, se desea conocer sus opiniones ev aluativ as de esta activ idad.
Datos Generales:
1. consideraciones
2. medidas, controles, normas, estandares de seguridad.
3. perido de v ida de contraseas
4. priv ilegio de informacion
FECHA DE AUDITORIA PROCESO AUDITADO 5. cifrado de informacion
NOMBRE DEL AUDITOR A EVALUAR
NOMBRE DEL EVALUADOR
PERFIL FIRMA

A continuacion encontrara una seria de preguntas cuy a respuesta se debe sealar con una X en una escale de v alores asi:
PREGUNTAS SI NO
1. ex isten, medidad, controles, procedimientos, normas y estandares de seguridad?
2. ex iste un documento donde este especificado la relacion de las funciones y obligaciones del personal?
3. ex isten procedimientos de notificacion y gestion de insidencias?
4. ex isten procedimientos de realizacion de copias de seguridad y recuperacion de datos?
5. ex iste una relacion del personal autorizado a conceder, alterar o anular el acceso sobre datos y recursos?
6. ex iste una relacion de controles periodicos a realizar para v erificar el cumplimiento del documento?
7. ex isten medidad a adoptar cuando un soporte v ay a hacer desecho o reutilizado?
8. ex iste una relacion del personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas que
tratan datos personales?
9. ex iste una relacion de personal autorizado a acceder a los soportes de datos?
10. ex iste un periodo max imo de v ida de las contraseas?
11. ex iste una relacion de usuarios autorizados a acceder a los sistemas y que incluy e los tipos de acceso permitidos?
12. los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el ejercicio de las funciones
que tienen encaminadas, las cuales a su v ez se encuentran o deben estar documentadas en el documento de
seguridad?
13 hay dadas de alta en el sistema cuentas de usuarios genericas, es decir utilizadas por mas de una persona
no permitiendo por tanto la identificacion de la persona fisica que las ha utilizado?
14 en la practica las personas que tienen atribuciones y priv ilegios dentro del sistema para conceder derechos
de acceso son las autorizadas e incluidas en el documento de seguridad?
15 el sistema de autenticacion de usuarios guarda las contraseas encriptadas?
16 en el sistema estan habilitadas para todas las cuentas de usuario las opciones que permiten establecer:
un numero max imo de intentos de conex in.
un periodo max imo de v igencia para contrasea
17 existen procedimientos de asignacion y distribucion de contraseas?

149
Chick-List sobre Gestin de Activos en la Institucin Policial Comisaria del Norte
PNP Chiclayo. (Anexo N2)

CHECK-LIST SOBRE GESTION DE ACTIVOS INFORMATICOS


Auditoria en Seguridad Informatica Proceso: Norma ISO 27001

EVALUACION DE POLITICAS DE SEGURIDAD FECHA:


Con el objetiv o de ev aluar politicas de seguridad informatica y de conocer, la percepcion de las personas entrev istadas en el Area de sistemas de
informacion, se desea conocer sus opiniones ev aluativ as de esta activ idad.
Datos Generales:
1. inv entario de soporte de actualizaciones
2. registro de actualizacion de entrada o salida de informacion
3. copias de seguridad y recuperacion de datos
4. almacenamiento de contraseas
FECHA DE AUDITORIA PROCESO AUDITADO 5. almacenamientos de copias de seguridad y ctas de usuarios
NOMBRE DEL AUDITOR A EVALUAR
NOMBRE DEL EVALUADOR
PERFIL FIRMA

A continuacion encontrara una seria de preguntas cuy a respuesta se debe sealar con una X en una escale de v alores asi:
PREGUNTAS SI NO
1. ex iste control sobre el acceso fisico a las copias de seguridad?
2. ex iste un inv entario de los recursos informaticos ex istentes?
3. dicho inv entario incluy e las copias de seguridad?
4. las copias de seguridad, o cualquier otro soporte se almacena fuera de la instalacion?
5. ex iste procedimientos de actualizacion de dicho inv entario?
6. ex isten procedimientos de etiquetado e identificacion de los soportes informaticos?
7. ex isten procedimientos en relacion con la salida de soporte fuera de su alamacenamiento habitual?
8. ex isten estandares de distribucion y env io de estos soportes?
9. se tiene un documento que especifique los archiv os que se env ian fuera de la empresa?
10. ex isten controles para detectar la ex istencia de soporte recibido/env iados?
11. se realiza env ios de soporte fuera de la empresa, con ficheros de niv el alto?
12. ex isten procedimientos para la realizacion de copias de seguridad
13ex isten controles sobre el acceso fisico a las copias de seguridad?
14 hay dadas de alta en el sistema cuentas de usuarios genericas, es decir utilizadas por mas de una persona
no permitiendo por tanto la identificacion de la persona fisica que las ha utilizado?
14 ex iste una politica para desechar un recurso con informacion importante?
15 ex iste algun programa que permita gestionar y almacenar clav es secretas?
16 las contraseas estan almacenadas en alguna carpeta compartida en red?
17las contraseas de usuarios estan almacenadas en algun fichero de clav es?
18ex iste algun estandar para etiquetar los soporte de datos?
19ex iste un orden logico en el almacenamiento de soporte de datos?
20.ex iste una estructura para crear una nuev a cuneta de usuario?

21hay en el sistema cuentas de usuarios genericas, usadas por mas de una persona
22en el sistema hay o estan habilitadas para todas las cuentas de usuarios, las opciones que permiten establecer:
un numero max imo de intentos de conex in, un perido max imo de v igencia en las contraseas.

150
ENTREVISTA 01 (Anexo N3)

Entrevista dirigido al Jefe del Dpto. de


Denuncias de la Comisara del Norte- Chiclayo.

Objetivo: determinar los niveles de conocimientos en el encargado del Dpto. de Denuncias a cerca de
mecanismos, maneras, formas, y polticas de seguridad en las aplicaciones informticas de la comisaria.
Fuente: cuestionario creado por Alcntara Flores Julio Cesar.

1. Qu tan importantes cree Ud. Que sean los mecanismos de seguridad en las aplicaciones informticas que
usa la comisaria?

2. Conoce de niveles y riesgos en el uso y funcionamiento de las aplicaciones con las que cuenta la
comisaria?

3. cree Ud. Que sea importante charlas, capacitaciones orientadas a motivar la psicologa en el personal
orientadas a la seguridad en los recurso de hardware y software de la comisaria?

4. Conoce acerca de alguna Poltica de seguridad que se haya implantado en la comisara en el uso de las
aplicaciones informticas?

5. Qu tan a menudo se presenta la frecuencia o ndice de errores en el uso de las aplicaciones informticas
de la comisaria?

6. Realizan sistemticamente copias de seguridad o buckups como formas de proteccin y seguridad en los
datos o la informacin que se maneja en la institucin?

7. Se realiza un anlisis adecuado de riesgos, sabiendo que se podran dar en la organizacin.

8. Entre estos tipos de riesgos que le mencionare a continuacin, con que factor o ponderacin los podra
relacionar como: Alto, Medio, Bajo. como por ejemplo:

TIPO DE RIESGO FACTOR

Robo de hardware

Robo de informacin

Vandalismo

Fallas en los equipos

Virus informticos

Equivocaciones

Accesos no Autorizados

Fraude

Fuegos

Terremotos

9. Que estrategias de seguridad conoce que se pueden tomar en cuenta para proteger y garantizar la seguridad
en las aplicaciones y la informacin.

151
Tabulacin de las Encuestas / Pre-Test (Anexo N4)

1. Que nivel de seguridad, tienen las aplicaciones que se usan 2. Qu tiempo de uso tienen las aplicaciones con los que cuentan
en los equipos de la institucion policial? (%) los equipos de computo de la institucion? (%)
Items N Enc Total en % Items N Enc Total en %
A seguras 5 17 A 1 ao 10 33
B regulares 2 7 B 3 aos 6 20
C inseguras 23 76 C 5 aos 2 7
D pesimas 0 0 D > 5 aos 12 40
TOTAL 30 100 TOTAL 30 100

pesimas
0% seguras
17%
1 ao
regulares > 5 aos 33%
6% 40%

inseguras
77%
5 aos 3 aos
7% 20%

3. con que frecuencia se realiza el mantenimiento de los 4. se realizan capacitaciones al personal en el uso adecuado de
equipos de computo de la institucion? (%) las nuevas tecnologias y aplicaciones informaticas? (%)
Items N Enc Total en % Items N Enc Total en %
A 3 meses 3 10 A Si 8 27
B 6 meses 7 23 B No 22 73
C anualmente 20 67 TOTAL 30 100
D nunca 0 0
TOTAL 30 100

nunca 3 meses
0% 10% 1
23%
6 meses
23%

anualmente
67%
2
77%

152
5. Qu mecanismos de seguridad se utilizan en los equipos 6 Qu acciones se toman en cuenta, frente a posibles problemas
de computo de la institucion? (%) que se pueden presentar en las aplicaciones y equipos? (%)
Items N Enc Total en % Items N Enc Total en %
A antivirus 27 90 A uso del plan contingencia 7 13
B polit segurid 1 3 B contacta a un experto 14 48
C acceso rem 0 0 C recurre perso externo 5 26
D plan de cont 0 0 D soporte tecnico fuera 4 13
E cop segurid 2 7 TOTAL 30 100
TOTAL 30 100

TTULO DEL GRFICO


plan
accesocopcont
de segurid
rem
polit segurid7%
0%
0%
3%

conta cta a un
experto, 48

recurre perso
us o del plan
externo, 26 s oporte
contingencia,
13 tecni co fuera,
13
antivirus
90%

7. Conoce de algunas politicas de seguridad, estrategias, y 8. cuan a menudo sulen presentarse fallas e inconvenientes en los
niveles de riesgos que puedan afectar a la institucion? (%) sistemas informaticos o problemas tecnicos puntuales?
Items N Enc Total en % Items N Enc Total en %
A Si 2 7 A siempre 16 53
B No 28 93 B a veces 11 37
TOTAL 30 100 C nunca 3 10
TOTAL 30 100
Ttulo del grfico
nunca
10%
100%

80%

60% 28 93

40% s i empre
a veces
53%
37%
20%
2 7
0%
1 2

Si No

153
9. A que cree que se deban las fallas e inconvenientes en los 10. Qu controles son tomados en cuenta para proteger la
sistemas informaticos que se suelen presentar? informacion de la institucion?
Items N Enc Total en % Items N Enc Total en %
A Prob red 14 47 A C.accesos 11 34
B prob equip 16 53 B permisos 8 26
C prob BD 0 0 C P. autorizado 6 25
D otros 0 0 D otros 5 15
TOTAL 30 100 TOTAL 30 100

prob
otrosBD
0%

Prob red
47%
34
prob equip
53% 26
25

15

11
8 6 5

11. su utilizan controles para detectar anomalias en la seguridad


de la institucion?
Items N Enc Total en %
A Si 3 10
B No 27 90
TOTAL 30 100

90

27

10
3

154
Tabulacin de las Encuestas / Post-Test (Anexo N5)

1. Que nivel de seguridad, tienen las aplicaciones que se usan 2. Qu tiempo de uso tienen las aplicaciones con los que cuentan
en los equipos de la institucion policial? (%) los equipos de computo de la institucion? (%)
Items N Enc Total en % Items N Enc Total en %
A seguras 6 20 A 1 ao 16 53
B regulares 5 17 B 3 aos 8 27
C inseguras 19 63 C 5 aos 4 13
D pesimas 0 0 D > 5 aos 2 7
TOTAL 30 100 TOTAL 30 100
> 5 aos, 2,
pesimas 7%
5 aos, 4,
0% seguras
13%
20%

1 ao, 16,
53%
regulares 3 aos, 8,
inseguras 17% 27%
63%

3. con que frecuencia se realiza el mantenimiento de los 4. se realizan capacitaciones al personal en el uso adecuado de
equipos de computo de la institucion? (%) las nuevas tecnologias y aplicaciones informaticas? (%)
Items N Enc Total en % Items N Enc Total en %
A 3 meses 2 7 A Si 9 30
B 6 meses 11 36 B No 21 70
C anualmente 17 57 TOTAL 30 100
D nunca 0 0
TOTAL 30 100
nunca 3 meses
0% 7% 1
30%

6 meses
anualmente 36%
57% 2
70%

155
5. Qu mecanismos de seguridad se utilizan en los equipos 6 Qu acciones se toman en cuenta, frente a posibles problemas
de computo de la institucion? (%) que se pueden presentar en las aplicaciones y equipos? (%)
Items N Enc Total en % Items N Enc Total en %
A antivirus 10 33 A uso del plan contingencia 7 23
B polit segurid 7 23 B contacta a un experto 14 47
C acceso rem 2 7 C recurre perso externo 5 17
D plan de cont 5 17 D soporte tecnico fuera 4 13
E cop segurid 6 20 TOTAL 30 100
TOTAL 30 100

cop segurid
20%
antivirus
33%

contacta a un
experto, 47

plan de cont us o del plan


17% conti ngencia,
23
recurre perso
externo, 17 s oporte
7 14
acceso rem tecni co fuera,
5 13
7% polit segurid 4
23%

7. Conoce de algunas politicas de seguridad, estrategias, y 8. cuan a menudo sulen presentarse fallas e inconvenientes en los
niveles de riesgos que puedan afectar a la institucion? (%) sistemas informaticos o problemas tecnicos puntuales?
Items N Enc Total en % Items N Enc Total en %
A Si 7 23 A siempre 16 53
B No 23 77 B a veces 11 37
TOTAL 30 100 C nunca 3 10
TOTAL 30 100
Ttulo del grfico nunca
10%

100%

80%
23 77
60%
siempre
40% a veces
53%
37%
20% 7 23
0%
1 2

Si No

156
9. A que cree que se deban las fallas e inconvenientes en los 10. Qu controles son tomados en cuenta para proteger la
sistemas informaticos que se suelen presentar? informacion de la institucion?
Items N Enc Total en % Items N Enc Total en %
A Prob red 10 33 A C.accesos 11 37
B prob equip 14 47 B permisos 8 27
C prob BD 2 7 C P. autorizado 6 20
D otros 4 13 D otros 5 16
TOTAL 30 100 TOTAL 30 100
otros
otros
13%
17%
prob BD Prob red
C.accesos
7% 33%
36%

P.
autorizado
20%

prob equip
permisos
47%
27%

11. su utilizan controles para detectar anomalias en la seguridad


de la institucion?
Items N Enc Total en %
A Si 4 14
B No 26 86
TOTAL 30 100

86

26
14
4

157