Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Para el presente desarrollo del tema se tomó como referencia el Proyecto de Norma Peruana
PNTP-ISO/IEC 27003:2012 TECNOLOGÍA DE LA INFORMACIÓN. Técnicas de seguridad – Directrices
para la implementación de un sistema de gestión de la seguridad de la información, que es un
equivalente de la ISO/IEC 27003:2010 Information technology -- Security techniques --
Information security management system implementation guidance, esto debido a la falta de
documentación oficial en español del presente ISO.
Algunas restricciones a considerar es que PNTP-ISO/IEC 27003:2012 no cubre las actividades de
operación y otras actividades del ISMS, sino que abarca los conceptos sobre cómo diseñar las
actividades que tendrán lugar después de que comiencen las operaciones del ISMS
Tiene como objeto y campo de aplicación los aspectos críticos necesarios para el diseño e
implementación exitosa de un Sistema de Gestión de la Seguridad de la Información (SGSI) de
acuerdo con NTP-ISO/IEC 27001:2008
La Figura 2 ilustra las cinco fases de la planificación del proyecto SGSI con las referencias a
las normas ISO/IEC y los documentos de salida principales.
FASE DE
IMPLEMENTACIÓN NRO. DE PASO PRE-
ISO/IEC 27003 PASO ACTIVIDAD, REFERENCIA ISO/IEC 27003 REQUISITO DOCUMENTO DE SALIDA
Obtener objetivos del negocio de la Lista de objetivos de negocio de la
1 Ninguno
organización organización
Lograr la comprensión de los sistemas de Descripción de sistemas de gestión
2 Ninguno
gestión existentes existentes
5.2 Definir objetivos, necesidades de
Resumen de los objetivos, necesidades de
3 seguridad de información, requerimientos 1,2
seguridad de información y requerimientos
del negocio para un SGSI
de negocio para el SGSI
5.Obtener la aprobación Obtener las normas reglamentarias, de Resumen de las normas reglamentarias, de
de la dirección para la 4 cumplimiento y de la industria aplicables a Ninguno cumplimiento y de la industria aplicables a
implementación de un la empresa la empresa
SGSI Descripción de alcance preliminar del
SGSI(5.3.1)
5 5.3 Definir alcance preliminar del SGSI 3,4
Definición de roles y responsabilidades del
SGSI (5.3.2)
5.4 Crear el caso de negocio y el plan de Caso de negocio y plan de proyecto
6 5
proyecto para aprobación de la dirección propuesto
5.5 Obtener aprobación de la dirección y
7 compromiso para iniciar un proyecto para 6 Aprobación de la dirección para iniciar un
implementar un SGSI proyecto para implementar un SGSI
6. Definir alcance y Definir límites organizacionales 7 • Descripción de límites organizacionales
política de un SGSI • Funciones y estructura de la organización
• Intercambio de información a través de
límites
• Procesos de negocio y responsabilidad
sobre los activos de información dentro y
fuera del alcance
• Descripción de los límites de las TIC
6.3 Definir límites de las tecnologías de la • Descripción de sistemas de información y
9 7
información y las comunicaciones redes de telecomunicación describiendo lo
comprendido y lo fuera del alcance
• Descripción de límites físicos para el SGSI
10 6.4 Definir límites físicos 7 • Descripción de la organización y sus
características geográficas describiendo
alcance interno y externo
Un documento describiendo el alcance y
11 6.5 Finalizar límites para el alcance del SGSI 8,9,10
los límites del SGSI
12 6.6 Desarrollar la política del SGSI 11 Política del SGSI aprobada por la dirección
Lista de las principales funciones,
ubicaciones, sistemas de información,
redes de comunicación
Requerimientos de la organización
referentes a confidencialidad,
7.2 Definir los requerimientos de
disponibilidad e integridad
13 seguridad de la información que den 12
soporte al SGSI Requerimientos de la organización
relacionados a requisitos legales y
reglamentarios, contractuales y de
seguridad de información del negocio
Lista de vulnerabilidades conocidas de la
7 Realizar un análisis de
organización
la organización
Descripción de los principales proceso de la
organización
7.3 Identificar activos dentro del alcance
14 13 Identificación de activos de información de
del SGSI los principales procesos de la organización
Clasificación de proceso/activos críticos
• Documento del estado actual de
seguridad de la información de la
7.4 Generar una evaluación de seguridad organización y su evaluación incluyendo
15 14
de la información controles de seguridad existentes.
• Documento de las deficiencias de la
organización evaluadas y valoradas
• Alcance para la evaluación del riesgo
• Metodología de evaluación del riesgo
16 8.2 Realizar una evaluación del riesgo 15 aprobada, alineada con el contexto de
gestión de riesgos de la organización.
• Criterio de aceptación del riesgo.
Evaluación del riesgo de alto nivel
documentada
8. Realizar una Identificar la necesidad de una evaluación
8.3 Seleccionar objetivos de control y
evaluación del riesgo y 17 16 del riesgo más detallada
controles
Seleccionar Opciones de Evaluación de riesgos detallada
Tratamiento del Riesgo Resultados totales de la evaluación de
riesgos
Riesgos y las opciones identificadas para el
8.4 Obtener aprobación de la dirección tratamiento del mismo
18 17
para implementar un SGSI Objetivos de control y controles para la
reducción de riesgos seleccionados.
Aprobación de la dirección documentada
Aprobación de la dirección del riesgo
19 18 del riesgo residual propuesto (debería ser
residual
la salida de 8.4)
Autorización de la dirección documentada
Autorización de la dirección para
20 19 para implementar y operar SGSI (debería
implementar y operar el SGSI
ser la salida de 8.4)
21 Preparar declaración de aplicabilidad 18 Declaración de aplicabilidad
Estructura de la organización y sus roles y
responsabilidades relacionados con la
seguridad de la información
• Identificación de documentación
relacionada al SGSI
• Plantillas para los registros del SGSI e
instrucciones para su uso y
22 9.2 Diseñar la seguridad de la organización 20
almacenamiento
Documento de política de seguridad de
información
Línea base de políticas de seguridad de la
información y procedimientos (y si es
aplicable planes para desarrollar políticas,
procedimientos, etc. específicos)
Implementación del plan de proyecto para
9.3 Diseñar la seguridad de la información el proceso de implementación para los
23 20, 21
física y de las TIC controles de seguridad físicos y de las TIC
seleccionados
9 Diseñar el SGSI
9.4 Diseñar la seguridad de la información Procedimientos describiendo el reporte y
24 22,23
específica del SGSI los procesos de revisión por la dirección.
Esta parte permitió que la alta gerencia de la empresa entendiera la importancia del proyecto y la necesidad
del apoyo del recurso humano, factor vital para el inicio de la fase de levantamiento de información. Esta
fase fue exitosa gracias a que se mostraron puntos tales como: cumplimiento y rendimiento de la inversión
de una forma eficaz, haciéndoles entender que si una organización cumple con la normatividad sobre
protección de datos sensibles, privacidad y control de TI, los resultados a futuro mejorarían de forma
sustancial el impacto estratégico de la compañía, y aunque represente un gasto considerable, genera así
mismo a futuro un Retorno de la Inversión (ROI – Return Over Investment) y una ganancia financiera
representados en incidentes o desastres durante el proceso de desarrollo de software.
II. Definir alcance y política de un SGSI
a) Identificación de activos dentro del alcance del SGSI: Para este punto se sugirió realizar un inventario
de los activos para tener un control más riguroso de los mismos. Toda la información y activos asociados
a los recursos para el tratamiento de la información, deberían tener un propietario y pertenecer a una
parte designada de la Organización.
Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar cuál era la
situación actual de la Organización, se realizó un análisis de gap, cuyos resultados se muestran en la
figura 1, donde se puede apreciar que un 20% de los activos de la Comunidad no tienen un
procedimiento implantado, lo cual representa un porcentaje bastante alto.
b) Evaluación de seguridad de la información en relación a los recursos humanos: Tuvo como objetivo
evaluar si los empleados, contratistas y usuarios de terceras partes, entienden sus responsabilidades y
son aptos para ejercer las funciones para las cuales fueron considerados, con el fin reducir el riesgo de
hurto, fraude o uso inadecuado de las instalaciones.
a) Se realizo una evaluación del riesgo en base a la metodología que cuenta Wanka-Soft el cual se
denomina MERWS (Metodología de Evaluación de Riesgos Wanka-Soft), La evaluación de riesgo se
dio sobre el proceso de Desarrollo de Software y los Recursos Humanos. Esta metodología permitió:
- Identificar los riesgos
- Analizar y evaluar los riesgos encontrados
- Definir objetivos de Control y Controles para el tratamiento de riesgos
- Proponer opciones para el tratamiento de riesgos
b) Asimismo se realizo el análisis de las amenazas y vulnerabilidades, lo cual requirió las siguientes
actividades:
- Realizar una lista de las amenazas que puedan presentarse en forma accidental o intencional
con relación a los activos de información. Diferenciar estas amenazas de las vulnerabilidades de
los activos ya que el análisis debe radicar en las amenazas.
- Identificar los riesgos internos de los procesos analizando tanto las actividades que se
desarrollan como las amenazas identificadas.
- Identificar los riesgos externos de los procesos. Es necesario analizar los riesgos que se pueden
presentar cuando se subcontrata un servicio o existe personal externo a la organización.
- Realizar un análisis del ambiente organizacional, el ambiente tecnológico y los aspectos
socioculturales que rodea la Organización para definir las amenazas a las que pueden estar
expuestos los activos.
EXTERNO INTERNO
- Acceso no autorizado al área de
- Suplantación de identidad desarrollo
- Virus informático o código malicioso - Hurto por colaboradores
- Robo de información del área de - Alteración de resultados
AMENAZAS
desarrollo - Divulgación de la información
- Hackers – espionaje - Uso indebido de la imagen corporativa
- Hurto por personal externo - Sabotaje
- Falla del servidor o sistema
d)
V.