FACULTAD DE INGENIERÍA

ESCUELA ACADÉMICO
PROFESIONAL DE INGENIERÍA DE SISTEMAS

TRABAJO GRUPAL
“IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE INFORMACIÓN
BASADO EN LA NORMA ISO 27001 PARA LA CLINICA DENTAL COMAS”

AUTORES:
BARRANTES CARRILLO ALEXANDRA C.
BERNAL VIVIANO MERCEDES PILAR
HUARHUACHI DIAZ RAUL A.

PROFESORA
MG. AMOROS CHAVEZ, GLADYS JACQUELINE

CURSO
AUDITORÍA Y SEGURIDAD DE LA INFORMACIÓN

LIMA – PERÚ
2018
ÍNDICE
INTRODUCCION
1. MARCO TEORICO………………………………………………………………………………

1.1 DATOS GENERALES………………………………………………………………………

1.2 VISIÓN Y MISIÓN ……………………………………………………………………

1.3 ACTIVIDADES DE LA ORGANIZACIÓN…………………………………………

1.4 ORGANIGRAMA DE LA EMPRESA………………………………………………

2. FASE I: DIAGNOSTICO…………………………………………………………………

2.1 ESTADO ACTUAL……………………………………………

2.2 DEFINICION DEL PROBLEMA………………………………

2.3 OBJETIVOS………………………………………………………………

2.3.1. OBJETIVO GENERAL………………………………………………………

2.3.2. OBJETIVOS ESPECIFICOS…………………………………………………………

3. FASE II: PREPARACION………………………………

3.1 NORMATIVA DE SEGURIDAD DE LA INFORMACION APLICABLE

A LA ENTIDAD…………………………………………………………………

3.1.1 ISO 27001………………………………………………………………………

3.1.2 ISO 15504………………………………………………………………………

3.1.3 ISO 12207………………………………………………………………………

3.1.4 ISO 17799………………………………………………………………………

3.1.5 NORMAS………………………………………………………………………

3.1.5.1.1 NORMAS PERSONALES……………………………..

3.1.5.1.2 NORMAS DE EJECUCION DEL TRABAJO………..

3.1.5.1.3 NORMAS DE INFORMACION ……………………

3.1.6 COBIT 5………………………………………………………………………

4. JUSTIFICACION DE LA SI……………………………………………………………………………

5. TERMINOS DE LA SI………………………………………………………………………

6. OBJETIVO DEL SGSI………………………………………………………………………

6.1 OBJETIVO GENERAL………………………………………………………………………

6.2 OBJETIVOS ESPECIFICOS………………………………………………………………………

7. RESTRICCIONES………………………………………………………………………

8. FACTIBILIDAD………………………………………………………………………

8.1 FACTIBILIDAD TECNICA…………………………………………………………………

8.2 FACTIBILIDAD OPERATIVA………………………………………………………………

8.3 FACTIBILIDAD LEGAL………………………………………………………………………

8.4 FACTIBILIDAD ECONOMICA…………………………………………………………

 INTRODUCCIÓN

Teniendo en cuenta que la información es uno de los activos más importantes de las
organizaciones, se han definido normas y regulaciones basadas en estándares internacionales
(ISO27000 e ISO27001) que buscan regular el adecuado manejo y protección de la información;
estas regulaciones tienen como objetivo proteger el derecho a la privacidad y confidencialidad
de la información y garantizar que ésta tenga el uso requerido según el objeto social de la
empresa.

Con los adelantos tecnológicos la información en medios físicos disminuyó sustancialmente

dando paso al formato digital, generando beneficios a las instituciones, ya que facilitó su
manejo y consulta, disminuyó los costos generados en la utilización de espacios amplios para
su almacenamiento y la protegió del deterioro causado por el paso del tiempo y una
inadecuada conservación. Sin embargo, así como trajo beneficios también se convirtió en un
foco de atención y apetito para delincuentes informáticos que por las debilidades que
detectaron en los sistemas de información se les facilitó apropiarse indebidamente de la
misma, ya sea para tener el poder económico que da la información o para fines delictivos.

Por lo anterior, es fundamental que la entidades se concienticen de la importancia de contar

con un adecuado sistema de gestión de seguridad de la información que administre los riesgos
a los que están expuestos los activos de información de la empresa y de sus clientes,
identificando las amenazas y vulnerabilidades y mitigando su materialización a través de
controles efectivos y eficientes que garanticen razonablemente la protección de la
información, tanto de factores internos como externos.
MARCO TEORICO
DATOS GENERALES

DATOS GENERALES DE LA EMPRESA

RAZÓN SOCIAL: Peruviandent S.A.C.
NOMBRE COMERCIAL: Clínica Dental Comas
PÁGINA WEB: www.clinicadentalcomas.com
FACEBOOK: www.facebook.com/ClinicaDentalComas
CORREO: dentalcomas@hotmail.com
DIRECCIÓN: Frente al colegio Ramón Castilla. A una cuadra de Metro de Belaunde
TELÉFONO(S): (01) 536-5664
ACTIVIDAD COMERCIAL: SALUD
CONDICIÓN: ACTIVO.

MISIÓN
Brindar una atención dental especializada con profesionales y personal asistencial
altamente capacitados en una moderna infraestructura con tecnología de última
generación y en constante innovación

VISION
Ser reconocida como la clínica de mayor prestigio de Lima Norte basado en la excelencia
profesional y calidad humana de nuestro equipo de trabajo comprometidos con la
satisfacción total de nuestros pacientes.

Actividades de la organización.

La Clínica Dental Comas brinda servicio de odontología de calidad. Realiza un riguroso

manejo de la BIOSEGURIDAD logrando así una completa desinfección y esterilización de
instrumentos como de los ambientes de trabajo.
Utilizan productos descartables y soluciones descontaminantes basándonos en las
normas del Colegio odontológico del Perú y el Ministerio de Salud pensando en la
protección de todo el personal y de sus pacientes.
ORGANIGRAMA
FASE I: DIAGNOSTICO

ESTADO ACTUAL

En la Clínica Dental Comas se identificaron los siguientes problemas:

● Dificultades para identificar y clasificar los activos de información.

● Ausencia de controles de seguridad de la información en la Institución.
● Falta de conocimiento en temas de seguridad de la información por parte de todos los
empleados de la Institución.
● No existe una valoración de riesgos de seguridad de los activos de información.
● No se realizan planes para la identificación y aplicación de controles de seguridad
basados en riesgos.

DEFINICIÓN DEL PROBLEMA

La información que se utiliza en la Clínica Dental Comas está en alto riesgo ya que no cuenta
con un sistema de gestión de seguridad de la información, además se concluye que tampoco
existen políticas de seguridad establecidas para la protección de la información. También,
no existe un control sobre la información haciéndola vulnerable y no existiendo conciencia
del autocontrol y vigilancia de este activo.

OBJETIVOS

Objetivo general

Analizar y evaluar los procesos y la seguridad tanto lógica como física en el área de sistemas de la
Clínica dental Comas, con el fin de salvaguardar el valor activo de información debido a fallas en
dichos procesos o áreas involucradas.

Objetivo Específicos

- Verificar la existencia y correcto uso de los principales documentos organizacionales en

área crítica.
- Verificar la seguridad de la información en la organización, por medio de la ISO 27002.
- Verificar si el área de sistemas cuenta con políticas para resguardar la seguridad, mediante
el ISO 27002.
- Verificar la gestión de acceso de los usuarios dentro del área, a través de ISO 27002.
FASE II: PREPARACION

NORMATIVA DE SEGURIDAD DE LA INFORMACIÓN APLICABLE A LA ENTIDAD

ISO 27001

Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su
origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos
los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles
que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para
establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI
documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica
los requisitos para la implantación de los controles de seguridad hechos a medida de las
necesidades de organizaciones individuales o partes de las mismas

ISO 15504 (Spice)

Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados: ISO
15504-2, modelo de madurez ISO 15504-3, requisitos para evaluación de procesos ISO 15504-6,
competencia, formación, etc.  Propósito Evaluación del proceso de Ingeniería Mejora de proceso
de ingeniería Determinación de capacidades (madurez) Dirigida a: Adquiridores Suministradores
Evaluadores Permite la evaluación de procesos software en organizaciones que realicen alguna de
las actividades del ciclo de vida del software.

ISO 12207

Este estándar "establece un marco de referencia común para los procesos del ciclo de vida
software, con una terminología bien definida, que puede ser referenciada por la industria del
software” Tiene como objetivo principal proporcionar una estructura común para que
compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y
técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos,
actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un
producto software puro o un servicio software, y durante el suministro, desarrollo, operación y
mantenimiento de productos software.
ISO/IEC 17799
Denominada también como ISO 27002) es un estándar para la seguridad de la información. Este
estándar internacional de alto nivel para la administración de la seguridad de la información, fue
publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad
sobre el cual trabajen las organizaciones. Se define como una guía en la implementación del
sistema de administración de la seguridad de la información, se orienta a preservar los siguientes
principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal
autorizado tenga acceso a la información. Integridad. Garantizar que la información no será
alterada, eliminada o destruida por entidades no autorizadas.

Normas

Según se describe en [bib-imcp], las normas de auditoría son los requisitos mínimos de calidad
relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde
como resultado de este trabajo.

Las normas de auditoría se clasifican en:

 Normas personales.
 Normas de ejecución del trabajo.
 Normas de información.

Normas personales
Son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus
conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a
la hora de dar sus sugerencias.

Normas de ejecución del trabajo

Son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar
dentro de la auditoría.

Normas de información

Son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su
trabajo, también es conocido como informe o dictamen.
COBIT v5: Provee un marco de referencia integral que contribuye en la organización al logro de los
objetivos y entrega de valor a través de un efectivo gobierno y gestión de TI empresarial. COBIT 5
posibilita que TI sea gobernada y gestionada en forma holística para toda la organización,
tomando en consideración el negocio y áreas funcionales de punta a punta así como los
interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de todos los tamaños,
tanto en el sector privado, público o entidades sin fines de lucro.

JUSTIFICACIÓN DE LA SI

La Clínica Dental Comas brinda servicio de salud de alta calidad a sus pacientes por tal motivo se
ven en la necesidad de hacer cambios e iniciar implementación de seguridad basándose en
metodologías y estándares que permitan correcta implementación de sistema de seguridad que
ayude al crecimiento de la institución. Este sistema de gestión estará basado en buenas prácticas
como ISO/IEC 27001:2013, que proveerá de oportunidades y viabilidad necesarias para garantizar
el debido cumplimiento tanto de los objetivos como de su misión como institución.

TERMINOS REFERENTES DE LA SI

1. Políticas de Seguridad. Sobre las directrices y conjunto de políticas para la seguridad de la

información. Revisión de las políticas para la seguridad de la información.

2. Organización de la Seguridad de la Información. Trata sobre la organización interna: asignación

de responsabilidades relacionadas a la seguridad de la información, segregación de funciones,
contacto con las autoridades, contacto con grupos de interés especial y seguridad de la
información en la gestión de proyectos.

3. Seguridad de los Recursos Humanos. Necesario para antes de la contratación. Este control
sugiere investigar los antecedentes de los postulantes y la revisión de los términos y condiciones
de los contratos. Durante la contratación se propone se trate el tema de capacitación en seguridad
de la información. Para el caso de despido o cambio de puesto de trabajo también deben tomarse
medidas de seguridad, como lo es deshabilitación o actualización de privilegios o accesos.

4. Gestión de los Activos. En esta parte se toca la responsabilidad sobre los activos (inventario,
uso aceptable, propiedad y devolución de activos), la clasificación de la información (directrices,
etiquetado y manipulación, manipulación) y manejo de los soportes de almacenamiento (gestión
de soporte extraíbles, eliminación y soportes físicos en tránsito).
5. Control de Accesos. Se refiere a los requisitos de la organización para el control de accesos, la
gestión de acceso de los usuarios, responsabilidad de los usuarios y el control de acceso a sistemas
y aplicaciones.

6. Cifrado. Versa sobre los controles como políticas de uso de controles de cifrado y la gestión de
claves.
7. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware;
resguardo; registro de actividad y monitorización; control del software operativo; gestión de las
vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.

8. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las

transferencias de información.

9. Adquisición, desarrollo y mantenimiento de sistemas: requisitos de seguridad de los sistemas

de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas.

10. Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias
que afectan a la seguridad de la información; mejoras.

11. Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio:

continuidad de la seguridad de la información; redundancias.

12. Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad

de la información.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de
la información. Para cada uno de los controles se indica asimismo una guía para su implantación.
El número total de controles suma 114 entre todas las secciones aunque cada organización debe
considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

13. Seguridad La seguridad desde el punto de vista de la institución es un medio para el desarrollo
ya que se relaciona directamente con documentos y activos que son la clave del negocio. En este
caso se la como factor primordial al proceso académico ya que se relaciona directamente con los
documentos por tal motivo la Seguridad de la Información, de acuerdo con la norma ISO
27000:2013, se define como la preservación de la confidencialidad, integridad y disponibilidad de
la información. Así mismo se cumple con los objetivos y la misión.
OBJETIVOS DEL SGSI

Objetivo General
Establecer un Sistema de Seguridad de Información Basado en La Norma ISO 27001 para la
el área de sistemas en la Clínica Dental Comas

Objetivos Específicos

 Optimizar el nivel de eficacia de los controles en la Clínica Dental Comas.

 Garantizar el acceso a la información en la Clínica Dental Comas de acuerdo con

los niveles de la organización y criterios de seguridad que establezca la entidad,
la normatividad aplicable y/o las partes interesadas.

 Mantener la integridad de la información de la entidad, teniendo en cuenta los

requisitos de seguridad aplicables y los resultados de la valoración y el
tratamiento de los riesgos identificados en la Clínica Dental Comas.

Restricciones

 Prohibido uso de correo electrónico

 Salida de información no autorizada
 Transmisión de información confidencial a terceros
 No adulterar información que sirva para la toma de decisiones.

FACTIBILIDAD
FACTIBILIDAD TÉCNICA
La realización del proyecto se requiere de conocimientos en implementación de sistema de
gestión de seguridad de información así como la aplicación de la norma ISO 27001:2013, Margerit,
así como análisis de riesgos y aplicación de medidas los principios de seguridad de información
tales como la confiabilidad, integridad y disponibilidad de información.
FACTIBILIDAD OPERATIVA
La realización del proyecto será desarrollado por alumnos de la universidad César Vallejo de Lima
Norte, en el implementación de proyecto de seguridad de información siendo desarrollado por los
alumnos de VIII ciclo Bernal Viviano Mercedes Pilar, Barrantes Alexandra con asesoría del Mg.
PONER NOMBRE DE LA PROFESORA

FACTIBILIDAD LEGAL
El desarrollo del proyecto se ampara en metodologías libres y no requiere pagos por la
implementación de estas metodologías a terceras empresas. Esto garantiza la implementación del
proyecto con facilidad legal desde inicio. Los instrumentos que facilitaran el proyecto serán la ISO
27001:2013 y Magerit en su ejecución, estas servirán como guías de orientación para la
implementación del SGSI en la Clínica Dental Comas, así mismo se contará con las normativas
peruanas que puedan repercutir o ayudar en implementación de SGSI Ley N.º 29733 ley de
protección de datos personales.

FACTIBILIDAD ECONÓMICA
Para el desarrollo de proyecto se busca que la Clínica Dental Comas tenga recursos factibles que
garanticen la implementación SGSI ya se implementara medidas correctivas en el tratado de
seguridad de información con forme al proyecto se irán analizando costos que serán patrocinada
por la Clínica Dental Comas que aprobó la implementación de un SGSI.
PLAN DE AUDITORIA

 DEPENDENCIA O PROCESO AUDITADO: Sistema de Gestión de la Seguridad de

Información
RESPONSABLE DEL PROCESO O DEPENDENCIA: Gerente de Área TI
Clínica dental Comas
AUDITOR PRINCIPAL:
FECHAS DE REALIZACIÓN DE LA AUDITORÍA: xx de julio 2018
FECHA DE PRESENTACIÓN DEL INFORME: xx de julio 2018
1. OBJETO DE LA AUDITORÍA
 
● Establecer la ejecución e intervención de la planeación.
● Planear desarrollar la ejecución del proceso de GSI del área de gerencia de ti en
cumplimiento de su misión.

2. ALCANCE DE LA AUDITORÍA
 
Verificar el cumplimiento de los procesos aquellos que la actualidad no se ajustas para
integrar los cambios de los dichos alcances.
 
3. DOCUMENTOS DE REFERENCIA
● Seguridad de la información ISO 27001
● Manual de organización de funciones
● Emapro
● Registro de auditoria

● COBIT 5
● ITIL en la seguridad

4. LOGÍSTICA DE LA AUDITORÍA
● Norma ISO 27001
● Viáticos
● Sala de reuniones
● Proyectores
 
5. EQUIPO DE AUDITORÍA
 ●

6. FUNCIONARIOS ENTREVISTADOS
● Gerente del área de TI
● Jefe de Departamento de Gestión de Seguridad de Información
● Administrador de base de datos
● Directorio activo
 
7. PLAN DE ACTIVIDADES
 
 
FECHA:
HORA SUBPROCES Nu AUDITOR AUDITAD
S O me O
ral
   
Gerente del Area
de Ti
 
Jefe de
Departamento
de Gestión de
Seguridad de
información
 
4 Creación Y Firma  
1
  del Acta de Inicio
   Jefe de
Reunión con el Departamento
equipo de trabajo de Gestión de
(auditores y Seguridad de
6 2
auditados) y información
designación del  
observador

Revisión de actas, ● Observador

acuerdos y
conformación del
SGSI, Informes de
riegos y politicas,
12 controles ISO/IEC 3
27001
implementados,
condiciones
técnicas y casos
de uso
● Jefe de
Departamento
de Gestión de
Seguridad de
Ejecución de información
8 entrevistas y 4  
visitas Observador

● Observador

Pruebas técnicas:
4 Análisis de 5
vulnerabilidades

●  
Elaboración de
5 6
informes
    
Gerente del Area
de Ti
 
Presentación de Jefe de
5 7 Departamento
informes
de Gestión de
Seguridad de
información
 
   

1 Cierre de auditoria 8

8. APROBACIÓN
   
   
   
   

AUDITOR PRINCIPAL JEFE PROCESO O DEPENDENCIA

AUDITADA

Comentario: Acá vemos el formato que usaremos los auditores para auditar a la
empresa Clinica dental Comas , en la cual nos detalla la fecha que se realizara y
culminara dicha auditoria, quienes son los auditores, a quien se auditara en
nuestro caso como es una empresa pequeña pues solo se realizara a la
propietaria y las trabajadoras que suman una cantidad de 5 personas. Que
documentos, standares y directrices se usaran para la auditoria que será de apoyo
para los auditores para realizar todo correctamente. Nos especifica el objetivo que
queremos llegar y la logística que usaremos los auditores para poder realizar
correctamente la auditoria para el bienestar de la empresa.
AUDITORIA FISICA

Checklist de medidas de control de acceso SI NO

∙         Detector de metales en la entrada para el acceso a la clínica    
∙         Sala de acceso para proveedores y nodos externos.    
∙         Cámaras frontales en todas las puertas de acceso.    
∙         Cámaras en todos los pasillos, externos y internos de las instalaciones.    
∙        Sistema de centralización de video tanto interior como perimetral.    
∙         Guardias de seguridad en horario 24hx365d.    
∙         Grabación en cinta continua las 24h, almacenadas en armario ignifugo.    
∙         Sistema de control de temperatura ambiente.    
∙         Políticas de acceso al personal autorizado.