Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ESCUELA ACADÉMICO
PROFESIONAL DE INGENIERÍA DE SISTEMAS
TRABAJO GRUPAL
“IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE INFORMACIÓN
BASADO EN LA NORMA ISO 27001 PARA LA CLINICA DENTAL COMAS”
AUTORES:
BARRANTES CARRILLO ALEXANDRA C.
BERNAL VIVIANO MERCEDES PILAR
HUARHUACHI DIAZ RAUL A.
PROFESORA
MG. AMOROS CHAVEZ, GLADYS JACQUELINE
CURSO
AUDITORÍA Y SEGURIDAD DE LA INFORMACIÓN
LIMA – PERÚ
2018
ÍNDICE
INTRODUCCION
1. MARCO TEORICO………………………………………………………………………………
2. FASE I: DIAGNOSTICO…………………………………………………………………
2.3 OBJETIVOS………………………………………………………………
A LA ENTIDAD…………………………………………………………………
3.1.5 NORMAS………………………………………………………………………
5. TERMINOS DE LA SI………………………………………………………………………
7. RESTRICCIONES………………………………………………………………………
8. FACTIBILIDAD………………………………………………………………………
Teniendo en cuenta que la información es uno de los activos más importantes de las
organizaciones, se han definido normas y regulaciones basadas en estándares internacionales
(ISO27000 e ISO27001) que buscan regular el adecuado manejo y protección de la información;
estas regulaciones tienen como objetivo proteger el derecho a la privacidad y confidencialidad
de la información y garantizar que ésta tenga el uso requerido según el objeto social de la
empresa.
MISIÓN
Brindar una atención dental especializada con profesionales y personal asistencial
altamente capacitados en una moderna infraestructura con tecnología de última
generación y en constante innovación
VISION
Ser reconocida como la clínica de mayor prestigio de Lima Norte basado en la excelencia
profesional y calidad humana de nuestro equipo de trabajo comprometidos con la
satisfacción total de nuestros pacientes.
Actividades de la organización.
ESTADO ACTUAL
OBJETIVOS
Objetivo general
Analizar y evaluar los procesos y la seguridad tanto lógica como física en el área de sistemas de la
Clínica dental Comas, con el fin de salvaguardar el valor activo de información debido a fallas en
dichos procesos o áreas involucradas.
Objetivo Específicos
ISO 27001
Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su
origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos
los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles
que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para
establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI
documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica
los requisitos para la implantación de los controles de seguridad hechos a medida de las
necesidades de organizaciones individuales o partes de las mismas
ISO 12207
Este estándar "establece un marco de referencia común para los procesos del ciclo de vida
software, con una terminología bien definida, que puede ser referenciada por la industria del
software” Tiene como objetivo principal proporcionar una estructura común para que
compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y
técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos,
actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un
producto software puro o un servicio software, y durante el suministro, desarrollo, operación y
mantenimiento de productos software.
ISO/IEC 17799
Denominada también como ISO 27002) es un estándar para la seguridad de la información. Este
estándar internacional de alto nivel para la administración de la seguridad de la información, fue
publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad
sobre el cual trabajen las organizaciones. Se define como una guía en la implementación del
sistema de administración de la seguridad de la información, se orienta a preservar los siguientes
principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal
autorizado tenga acceso a la información. Integridad. Garantizar que la información no será
alterada, eliminada o destruida por entidades no autorizadas.
Normas
Según se describe en [bib-imcp], las normas de auditoría son los requisitos mínimos de calidad
relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde
como resultado de este trabajo.
Normas personales.
Normas de ejecución del trabajo.
Normas de información.
Normas personales
Son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus
conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a
la hora de dar sus sugerencias.
Normas de información
Son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su
trabajo, también es conocido como informe o dictamen.
COBIT v5: Provee un marco de referencia integral que contribuye en la organización al logro de los
objetivos y entrega de valor a través de un efectivo gobierno y gestión de TI empresarial. COBIT 5
posibilita que TI sea gobernada y gestionada en forma holística para toda la organización,
tomando en consideración el negocio y áreas funcionales de punta a punta así como los
interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de todos los tamaños,
tanto en el sector privado, público o entidades sin fines de lucro.
JUSTIFICACIÓN DE LA SI
La Clínica Dental Comas brinda servicio de salud de alta calidad a sus pacientes por tal motivo se
ven en la necesidad de hacer cambios e iniciar implementación de seguridad basándose en
metodologías y estándares que permitan correcta implementación de sistema de seguridad que
ayude al crecimiento de la institución. Este sistema de gestión estará basado en buenas prácticas
como ISO/IEC 27001:2013, que proveerá de oportunidades y viabilidad necesarias para garantizar
el debido cumplimiento tanto de los objetivos como de su misión como institución.
TERMINOS REFERENTES DE LA SI
3. Seguridad de los Recursos Humanos. Necesario para antes de la contratación. Este control
sugiere investigar los antecedentes de los postulantes y la revisión de los términos y condiciones
de los contratos. Durante la contratación se propone se trate el tema de capacitación en seguridad
de la información. Para el caso de despido o cambio de puesto de trabajo también deben tomarse
medidas de seguridad, como lo es deshabilitación o actualización de privilegios o accesos.
4. Gestión de los Activos. En esta parte se toca la responsabilidad sobre los activos (inventario,
uso aceptable, propiedad y devolución de activos), la clasificación de la información (directrices,
etiquetado y manipulación, manipulación) y manejo de los soportes de almacenamiento (gestión
de soporte extraíbles, eliminación y soportes físicos en tránsito).
5. Control de Accesos. Se refiere a los requisitos de la organización para el control de accesos, la
gestión de acceso de los usuarios, responsabilidad de los usuarios y el control de acceso a sistemas
y aplicaciones.
6. Cifrado. Versa sobre los controles como políticas de uso de controles de cifrado y la gestión de
claves.
7. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware;
resguardo; registro de actividad y monitorización; control del software operativo; gestión de las
vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.
10. Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias
que afectan a la seguridad de la información; mejoras.
Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de
la información. Para cada uno de los controles se indica asimismo una guía para su implantación.
El número total de controles suma 114 entre todas las secciones aunque cada organización debe
considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.
13. Seguridad La seguridad desde el punto de vista de la institución es un medio para el desarrollo
ya que se relaciona directamente con documentos y activos que son la clave del negocio. En este
caso se la como factor primordial al proceso académico ya que se relaciona directamente con los
documentos por tal motivo la Seguridad de la Información, de acuerdo con la norma ISO
27000:2013, se define como la preservación de la confidencialidad, integridad y disponibilidad de
la información. Así mismo se cumple con los objetivos y la misión.
OBJETIVOS DEL SGSI
Objetivo General
Establecer un Sistema de Seguridad de Información Basado en La Norma ISO 27001 para la
el área de sistemas en la Clínica Dental Comas
Objetivos Específicos
Restricciones
FACTIBILIDAD
FACTIBILIDAD TÉCNICA
La realización del proyecto se requiere de conocimientos en implementación de sistema de
gestión de seguridad de información así como la aplicación de la norma ISO 27001:2013, Margerit,
así como análisis de riesgos y aplicación de medidas los principios de seguridad de información
tales como la confiabilidad, integridad y disponibilidad de información.
FACTIBILIDAD OPERATIVA
La realización del proyecto será desarrollado por alumnos de la universidad César Vallejo de Lima
Norte, en el implementación de proyecto de seguridad de información siendo desarrollado por los
alumnos de VIII ciclo Bernal Viviano Mercedes Pilar, Barrantes Alexandra con asesoría del Mg.
PONER NOMBRE DE LA PROFESORA
FACTIBILIDAD LEGAL
El desarrollo del proyecto se ampara en metodologías libres y no requiere pagos por la
implementación de estas metodologías a terceras empresas. Esto garantiza la implementación del
proyecto con facilidad legal desde inicio. Los instrumentos que facilitaran el proyecto serán la ISO
27001:2013 y Magerit en su ejecución, estas servirán como guías de orientación para la
implementación del SGSI en la Clínica Dental Comas, así mismo se contará con las normativas
peruanas que puedan repercutir o ayudar en implementación de SGSI Ley N.º 29733 ley de
protección de datos personales.
FACTIBILIDAD ECONÓMICA
Para el desarrollo de proyecto se busca que la Clínica Dental Comas tenga recursos factibles que
garanticen la implementación SGSI ya se implementara medidas correctivas en el tratado de
seguridad de información con forme al proyecto se irán analizando costos que serán patrocinada
por la Clínica Dental Comas que aprobó la implementación de un SGSI.
PLAN DE AUDITORIA
2. ALCANCE DE LA AUDITORÍA
Verificar el cumplimiento de los procesos aquellos que la actualidad no se ajustas para
integrar los cambios de los dichos alcances.
3. DOCUMENTOS DE REFERENCIA
● Seguridad de la información ISO 27001
● Manual de organización de funciones
● Emapro
● Registro de auditoria
● COBIT 5
● ITIL en la seguridad
4. LOGÍSTICA DE LA AUDITORÍA
● Norma ISO 27001
● Viáticos
● Sala de reuniones
● Proyectores
5. EQUIPO DE AUDITORÍA
●
6. FUNCIONARIOS ENTREVISTADOS
● Gerente del área de TI
● Jefe de Departamento de Gestión de Seguridad de Información
● Administrador de base de datos
● Directorio activo
7. PLAN DE ACTIVIDADES
FECHA:
HORA SUBPROCES Nu AUDITOR AUDITAD
S O me O
ral
Gerente del Area
de Ti
Jefe de
Departamento
de Gestión de
Seguridad de
información
4 Creación Y Firma
1
del Acta de Inicio
Jefe de
Reunión con el Departamento
equipo de trabajo de Gestión de
(auditores y Seguridad de
6 2
auditados) y información
designación del
observador
● Observador
Pruebas técnicas:
4 Análisis de 5
vulnerabilidades
●
Elaboración de
5 6
informes
Gerente del Area
de Ti
Presentación de Jefe de
5 7 Departamento
informes
de Gestión de
Seguridad de
información
1 Cierre de auditoria 8
8. APROBACIÓN
Comentario: Acá vemos el formato que usaremos los auditores para auditar a la
empresa Clinica dental Comas , en la cual nos detalla la fecha que se realizara y
culminara dicha auditoria, quienes son los auditores, a quien se auditara en
nuestro caso como es una empresa pequeña pues solo se realizara a la
propietaria y las trabajadoras que suman una cantidad de 5 personas. Que
documentos, standares y directrices se usaran para la auditoria que será de apoyo
para los auditores para realizar todo correctamente. Nos especifica el objetivo que
queremos llegar y la logística que usaremos los auditores para poder realizar
correctamente la auditoria para el bienestar de la empresa.
AUDITORIA FISICA