Auditoria Informe Final

FACULTAD DE INGENIERÍA Y ARQUITECTURA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
IMPLEMENTACIÓN DE CONTROLES SEGÚN LA NORMA

TÉCNICA PERUANA ISO/IEC 27001:2014
Docente: Ing. Palomino Olivera Emilio
Alumnos:
 Arias Champi, Saul Fernando

 Bellido Castillo, Edison Romulo
 Galdo Bautista, Harold Thomas
 Gutierrez Arias, Jose Manuel
 Hancco Cruz, Nair Estefani
 Huanca Soncco, Henry
CUSCO - PERÚ
2020
ÍNDICE
CAPÍTULO 1: ASPECTOS GENERALES ............................................................... 5
1.1. PLANTEAMIENTO DEL PROBLEMA ............................................................. 5
1.1.1. DESCRIPCIÓN DEL PROBLEMA ........................................................... 5
1.1.2. IDENTIFICACIÓN DEL PROBLEMA ....................................................... 5
1.2. OBJETIVOS ................................................................................................... 6
1.2.1. OBJETIVO GENERAL ............................................................................. 6
1.2.2. OBJETIVOS ESPECÍFICOS.................................................................... 6
1.3. JUSTIFICACIÓN ............................................................................................ 7
1.4. LIMITACIONES .............................................................................................. 7
1.5. DELIMITACIONES ......................................................................................... 8
1.6. METODOLOGÍA QUE SE ADAPTAN SGSI.................................................... 8
1.6.1. CRONOGRAMA ...................................................................................... 9
CAPÍTULO 2: MARCO TEÓRICO ......................................................................... 13
2.1. DESARROLLO DE ANTECEDENTES.......................................................... 13
2.2. METODOLOGÍA SCRUM ............................................................................. 15
2.2.1. ROLES SCRUM .................................................................................... 17
2.2.2. FASES SCRUM ..................................................................................... 17
2.2.3. LOS ARTEFACTOS .............................................................................. 18
2.2.4. SGSI ...................................................................................................... 19
2.3. DESCRIPCIÓN DE LA CONTRALORÍA ....................................................... 19
2.3.1. COMPETENCIAS CONSTITUCIONALES ............................................. 19
2.3.2. COMPETENCIAS LEGALES ................................................................. 20
2.4. DESCRIPCIÓN DE LA NORMA TÉCNICA PERUANA ISO 27001 ............... 22
2.4.1. ESTRUCTURA DE LA NTP ISO 27001 ................................................. 22
2.5. DESCRIPCIÓN DE LA FAMILIA DE LA ISO 27000 ...................................... 24
2.5.1. ISO 27001 ............................................................................................. 24
2.5.2. ISO 27002 ............................................................................................. 25
2.5.3. ISO 27003 ............................................................................................. 25
2.5.4. ISO 27004 ............................................................................................. 26
2.5.5. ISO 27005 ............................................................................................. 26
2.5.6. ISO 27007 ............................................................................................. 26
2.5.7. ISO 27011 ............................................................................................. 26
2.5.8. ISO 27032 ............................................................................................. 27
2.5.9. ISO 27033 ............................................................................................. 27
2.6. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR .......................... 28
2
2.7. DIAGRAMA GENERAL DE LA APLICACIÓN DE UN CONTROL EN UNA
ORGANIZACIÓN .................................................................................................... 29
CAPÍTULO 3: DESARROLLO DEL PROYECTO .................................................. 30
3.1. CONTROL A.5.1.1: POLÍTICAS PARA LA SEGURIDAD DE LA
INFORMACIÓN ....................................................................................................... 30
3.1.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 30
3.1.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 31
3.1.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 32
3.1.4. FORMATO DEL CONTROL .................................................................. 33
3.1.5. CAPTURAS DEL SOFTWARE .............................................................. 38
3.2. CONTROL A.5.1.2 REVISIÓN DE LAS POLÍTICAS PARA SEGURIDAD DE
LA INFORMACIÓN ................................................................................................. 39
3.3. CONTROL A.6.2.1 POLÍTICA PARA DISPOSITIVOS MÓVILES.................. 46
3.4. CONTROL A.6.2.2 TELETRABAJO .............................................................. 55
3.5. CONTROL A.9.1.1 POLÍTICA DE CONTROL DE ACCESO ......................... 62
BIBLIOGRAFÍA ........................................................................................................... 70
3
INTRODUCCIÓN
La seguridad de la información es un aspecto muy importante en las organizaciones, ya

que hoy en día se toma a los datos como muestra del contexto en el cual se encuentra la
organización y son estos mismos los que rigen el futuro y la toma de decisiones de las
empresas, por ende, es fundamental brindar métodos, guías, políticas y destinar recursos
en el cuidado de los datos e información manejada por las organizaciones. Con la
aparición de nuevas tecnologías cada vez se hace más difícil crear o implementar un
sistema que no sea vulnerable y contemple la seguridad íntegra de los datos que maneja
una organización, cada vez son más frecuentes los ataques y el descubrimiento de nuevas
vulnerabilidades en los sistemas, lo cual acrecienta una necesidad primordial y necesaria
en cuanto a la seguridad de la información se refiere.
Si bien existen varias normas y guías, para mitigar los ataques y mantener cierto estándar
en cuanto a seguridad de datos se refiere, para el presente caso de estudio utilizaremos la
norma NTP ISO/IEC 27001:2014, la norma comprende el aseguramiento, la
confidencialidad e integridad de los datos y de la información, así como de los sistemas
que la procesan.
El estándar ISO 27001:2014 para los Sistemas Gestión de la Seguridad de la Información

permite a las organizaciones la evaluación del riesgo y la aplicación de los controles
necesarios para mitigarlos o eliminarlos. Las buenas prácticas y controles que la norma
propone son fundamentales para el manejo y control de la información en una
organización, en el contexto en el cual las organizaciones son presa fácil y recurrente del
cibercrimen y tráfico de datos la norma ISO 27001:2014 es una buena opción para mitigar
los riesgos que conlleva el manejo de la información a nivel de una organización.
4
CAPÍTULO 1: ASPECTOS GENERALES
1.1. PLANTEAMIENTO DEL PROBLEMA
1.1.1. DESCRIPCIÓN DEL PROBLEMA
Tener un control de acceso seguro de la información de una

institución, es fundamental para prevenir accesos no autorizados y
pérdidas de información, por ende, es necesario poder identificar a
los usuarios y autorizar su entrada o restringirla en caso de que no
pertenezca a la institución, esto no solo mejorará la seguridad, sino
que facilitara el control.
En pocas palabras, el control de acceso debe ser concedido de

acuerdo con quién necesita saber, quién necesita usar y a cuánto
acceso requieren. Los controles de acceso según ISO 27001
pueden ser de naturaleza digital y física
Asegurar el control de los Sistemas de Información de la

Institución responde a la siguiente pregunta: ¿De qué manera un
conjunto de procesos propiciará el mejoramiento en el Control de
accesos a la Información dentro de la Institución?
1.1.2. IDENTIFICACIÓN DEL PROBLEMA
● Robo de información, ocurren cuando no se tiene un

adecuado control de acceso a la información donde
personas no autorizadas puedan acceder libremente a dicha
información.
● Alteración de la información, ocurre cuando un usuario no
autorizado accede a la información de la institución y hace
modificaciones, alterando así la información ya guardada.
● Mal uso de la información, en caso de que un usuario de la
empresa use la información de la empresa con fines de
lucro.
● Modificación y manejo de datos por personas anónimas.
5
● Falta de responsables en la variación y validación de los
datos.
● Falta de implementación de planes de seguridad.
● Vulnerabilidad ante ataques externos e internos.
● Acceso de personas no autorizadas.
● Búsqueda de información irrelevante en cada área de la
organización.
1.2. OBJETIVOS
1.2.1. OBJETIVO GENERAL
Plantear una propuesta de implementación de los controles de

Políticas para la seguridad de la información, Revisión de las
políticas para seguridad de la información, Roles y
responsabilidades para la seguridad de la información, Seguridad
de la información en la gestión de proyectos y Política de control
de acceso dentro de la organización basándose en la NTP-ISO/IEC
27001:2014.
1.2.2. OBJETIVOS ESPECÍFICOS
● Identificar las Políticas para la seguridad de la información,

Revisión de las políticas para seguridad de la información,
Roles y responsabilidades para la seguridad de la
información, Seguridad de la información en la gestión de
proyectos y Política de control de acceso.
● Identificar, analizar y seleccionar las cláusulas que

comprenden a las Políticas para la seguridad de la
información, Revisión de las políticas para seguridad de la
información, Roles y responsabilidades para la seguridad
de la información, Seguridad de la información en la
gestión de proyectos y Política de control de acceso en la
NTP ISO/IEC 27001:2014.
6
● Elaboración de formatos auditables correspondientes a
cada control establecidos, según la NTP ISO/IEC
27001:2014.
● Inserción de formatos de las cláusulas de Políticas para la

seguridad de la información, Revisión de las políticas para
seguridad de la información, Roles y responsabilidades
para la seguridad de la información, Seguridad de la
información en la gestión de proyectos y Política de control
de acceso como exige la Norma Técnica Peruana ISO/IEC
27001:2014.
1.3. JUSTIFICACIÓN
Con el paso de los años la informática ha ido abarcando cada día más las
distintas áreas en las cuales nos movemos a diario, por ello podemos decir
con seguridad que en la actualidad toda empresa ya sea pública o privada
o en su mayoría que maneja gran cantidad de información cuenta con
sistemas de información, lo cual las lleva a ser sometidas a un control
estricto de evaluación de eficiencia y eficacia el cual les permita garantizar
que los sistemas de información que dicha empresa posee funcionen de
una manera adecuada y correcta.
1.4. LIMITACIONES
● Para una buena recolección de información, previamente se debe

concientizar a los trabajadores del área de recursos humanos de la
empresa en cuanto a los aspectos teóricos y técnicos de un SGSI.
● En cuanto a la metodología empleada bajo el ISO 27001, solo se
han utilizado algunos controles.
● Veracidad e integridad del campo de acción de la organización e
inventario de todos los datos críticos.
7
1.5. DELIMITACIONES
Se hizo un enfoque en investigar la norma técnica Peruana ISO 27001, a

partir de esta norma se explicará 10 Controles de los 116 disponibles, se
trabajará con la Seguridad de la Información en sus políticas,
organización y el control de acceso.
1.6. METODOLOGÍA QUE SE ADAPTAN SGSI
La metodología adoptada es la descriptiva se centra en el análisis de

conceptos y datos reunidos para la relación que comprenden. Usando esta
metodología se adquiere información de la Norma Técnica Peruana ISO
27001:2014, en los lineamientos de controles avocados a Políticas de
seguridad de la información, la Organización de la seguridad de la
información y Controles de Acceso.
Y dentro de la construcción de un Software se aplicará una metodología
de Desarrollo Ágil que se especifica la metodología SCRUM.
También la metodología SGSI es un conjunto de responsabilidades,

procesos y procedimientos con uso de recursos con el propósito de dirigir
y controlar la seguridad de los activos de información y asegurar la
continuidad de la organización.
8
1.6.1. CRONOGRAMA
9
10
11
12
CAPÍTULO 2: MARCO TEÓRICO
2.1. DESARROLLO DE ANTECEDENTES
Antecedentes Internacionales
(Buenaño & Granda, 2009) en su tesis “Planeación y diseño de un sistema

de gestión de seguridad de la información basado en la norma
ISO/IEC 27001-27002” tuvo como objetivo establecer cuáles serían los
mecanismos adecuados para mitigar los riesgos asociados al uso de
la información, de los sistemas y servicios informáticos utilizados por
el personal de la sede Guayaquil de la Universidad Politécnico
Salesiana, concluye que con una política bien estructurada los
controles permiten mejorar los niveles de seguridad ya sea en la parte
física, estructural, tecnológica y en la parte metódica documental.
(Capita Secure Information Systems , 2015) el documento se enfoca en el

marco de trabajo que propone la ISO/IEC 27001 especifica los requisitos
para establecer, implementar, mantener y mejorar continuamente un
Sistema de Gestión de Seguridad de la Información (SGSI). Se tiene que
tener en cuenta tres cuestiones claves del estándar:
● Sus requisitos genéricos significan que es aplicable a todas las

organizaciones, independientemente de su tamaño, tipo o
naturaleza. Sin embargo, se adapta a las necesidades exactas de la
organización a través de los controles de seguridad de la
información que se identifiquen.
● Adopta un enfoque flexible y orientado hacia el riesgo.
● Es dinámico, se centra en la mejora continua y ayuda a la

organización a mantenerse a la vanguardia de los cambios, tanto
dentro como fuera de la organización.
Adicionalmente, el diseño e implementación y la posterior

certificación en la ISO/IEC 27001 ha contribuido a las empresas a obtener
13
una ventaja competitiva ya que, como se comentó previamente en la
justificación, evidencia a las personas interesadas que los activos que
maneja la empresa cumplen los requisitos que ofrece dicha norma. A su
vez, permite contar con diversos planes de acción en caso de que se
produzca un incidente que pueda comprometer a la continuidad del
negocio. Esto ha sido interiorizado por las empresas que ahora buscan esta
certificación. El documento se enfoca en resaltar las especificaciones para
lograr la certificación en el ISO/IEC 27001 y la regulación que serán
puestas a prueba en los controles de esta investigación.
Antecedentes Nacionales
(Aguirre, 2014) es su tesis “Diseño de un Sistema de Gestión de Seguridad

de la Información para Servicios Postales del Perú”, esta tesis tuvo como
objetivo Diseñar un Sistema de Gestión de Seguridad de la Información
según lo indicado por la NTP ISO/IEC 27001:2008 y la NTP ISO/IEC
17999:2007 de seguridad de la información para SERPOST una empresa
situada en el Perú dedicada al servicio de correspondencia, giros postales
y al mercado de envíos y encomiendas nacionales e internacionales. Se
desarrolló usando los lineamientos de la NTP-ISO/IEC 27001:2008 en la
etapa de diseño se empezó con elaborar con las documentaciones exigidas
por la norma seguidamente se valorizaron los activos de información de la
mano la elabora la evaluación de riesgos y por último elabora la lista de
controles para mitigar los riesgos detectados. Concluyen que sólo para la
etapa del diseño del SGSI fue necesario él apoye de la alta gerencia y que
es necesario difundir las normas de seguridad de la información a todos
los trabajadores de área y que se necesita contratar a personas
especializado para dar soporte a los procesos involucrados del SGSI y que
es necesario mejorar el área de logística para adquirir los controles del
tratamiento del riesgo para los activos de información. Esta tesis se
relaciona con el trabajo de investigación porque realza el diseño del SGSI
donde contribuye en la investigación con el uso de la herramienta Bizagi
para el modelamiento de procesos utilizando la notación BPM.
14
(Angeles, 2008) en su tesis “Sistema de Gestión de Seguridad de la
Información ISO 27001 para un Data Center”, esta tesis tuvo como
objetivo dar a conocer como es el proceso de implantación de un Sistema
de Gestión de Seguridad de la Información (SGSI) y la acreditación con
la certificación ISO 27001 en una empresa dedicada a la prestación de
servicios Outsourcing y Data Center de TI en lima, Perú. se desarrolló
usando la metodología de la ISO 27001 en donde especifica el ciclo de
Deming Mejora Continua donde tiene 4 etapas; la primera etapa Plan se
adoptó la política de seguridad de información de la organización, se
definió una metodología de Análisis de riesgo así mismo para la
evaluación de riesgo. En la segunda etapa hacer se implementaron los
controles de acceso físicos y lógicos, se asignaron responsabilidades y se
creó el comité de seguridad, se realizaron cursos de concientización de
seguridad le la información al personal. En la tercera etapa Verificar se
supervisó en el interior y el exterior del perímetro de gestión, el comité de
seguridad evalúa la eficacia del SGSI mediante las auditorías. En la cuarta
etapa Actuar el comité de seguridad identificar las mejoras que se
puedan aplicar en el SGSI. Concluyen que el SGSI asegura la
disponibilidad de los servicios, las cuales serán protegidas de tal manera
que se conserve la integridad y confidencialidad de la información. Para
llegar hasta la certificación es un logro que pocos llegan para lo cual tuvo
que pasar por las cuatro etapas donde la etapa más importante es la que
contribuye con el análisis y evaluación de riesgo de esta investigación.
2.2. METODOLOGÍA SCRUM
Es el desarrollo ágil, no lo realizan equipos diferentes especializados, es

un equipo único, formado por personas muy competentes, con perfiles y
conocimientos que cubren las disciplinas necesarias para llevar a cabo el
trabajo. Respecto a las fases, se destaca que en el modelo SCRUM no hay
fases. En realidad, las fases pasan a ser tareas que se ejecutan cuando se
necesitan. No se hace primero el diseño del concepto o los requisitos, más
tarde el análisis, luego el desarrollo, etc. Acerca de los requisitos iniciales,
no se espera a disponer de requisitos detallados para comenzar el análisis,
15
ni a tener éste para pasar a la codificación. Muchas veces los requisitos no
se pueden conocer si no avanza el desarrollo y se va viendo y “tocando”
el resultado. Otras veces el mercado es tan rápido que a mitad de trabajo
las tendencias o la competencia obligarán a modificar el producto.
SCRUM tiene:
 INCERTIDUMBRE: Variable que plantea alcanzar una
proporción de un plan detallado del producto. Que sirve como
motivación al equipo.
 AUTO ORGANIZACIÓN: Soluciones presentan mejoras.
 AUTO ENRIQUECIMIENTO: Equipos multidisciplinares
enriquecidos de forma mutua que aporta soluciones para
complementarse.
 CONTROL MODERADO: Establece un control para evitar el
caos, basado en escenarios para no impedir creatividad y
espontaneidad de los miembros del equipo.
 TRANSMISIÓN DEL CONOCIMIENTO: Personas pasan
conocimiento de unos proyectos a otros y compartir la
organización.
(developers visual paradigm, 2020)
16
2.2.1. ROLES SCRUM
 PROJECT OWNER: Se asegura de que el proyecto se esté

desarrollando acorde con la estrategia del negocio. Escribe
historias de usuario, las prioriza, y las coloca en el Product
Backlog.
 MASTER SCRUM: Elimina los obstáculos que impiden

que el equipo cumpla con su objetivo.
 SOFTWARE ANALYST: Encargado de que el software

cumpla con la Calidad de Software que trabaja mediante
normativa internacional.
 DEVELOPMENT TEAM MEMBER: Son los

encargados de crear el producto para que pueda estar listo
con los requerimientos necesarios. Se recomienda que sea
un equipo multidisciplinar, de no más de 10 personas.
2.2.2. FASES SCRUM
 Reunión para la planificación del Sprint: En ella, se

divide el tiempo de duración del Sprint, así como el
objetivo y entregable del mismo. Además, el equipo de
desarrollo deberá saber cómo realizarlo.
 SCRUM diario: Se basa en poner en común y sincronizar

actividades para elaborar el plan del día.
 Trabajo de desarrollo durante el Sprint: Nos

aseguramos que los objetivos se están cumpliendo, que no
se producen cambios que alteran el objetivo del Sprint y se
mantiene una retroalimentación constante con el cliente o
dueño del proyecto.
17
 Revisión del Sprint: Reunión con el cliente o dueño del
proyecto, en la que se estudia y revisa el Product Backlog
de la iteración. Se definen los aspectos a cambiar, en caso
necesario, de mayor valor o probables para planificarlo en
la siguiente iteración.
 Retrospectiva del proyecto: Oportunidad del equipo de

desarrollo para mejorar su proceso de trabajo y aplicar los
cambios en las siguientes iteraciones.
2.2.3. LOS ARTEFACTOS
1. Product Backlog: Lista de requerimientos que se necesita

implementar en el proyecto que se va aumentando con el
avance del proyecto.
2. Sprint Backlog: Es una lista de elementos que se deben

trabajar en el proyecto, se actualiza en cada iteración.
3. Sprint Burndown chart y Release Burndown chart:Es

un gráfico en el cual se plasma los avances obtenidos por
el equipo de desarrollo hasta el momento y así se mantiene
un registro y se visualiza si el proyecto será terminado en
el tiempo estimado.
18
2.2.4. SGSI
(Porras, 2012)
2.3. DESCRIPCIÓN DE LA CONTRALORÍA
La Contraloría General de la República es la máxima autoridad del

Sistema de Control. Sus tareas constan de supervisar, vigilar y verificar la
correcta aplicación de las políticas públicas y uso de recursos y bienes del
Estado. Para realizar sus funciones cuenta con autonomía en el ámbito
administrativo, funcional, económica y financiera. Cuenta con
atribuciones especiales por el artículo 22 de la Ley Orgánica del Sistema
Nacional de Control y de la Contraloría General de la República.
2.3.1. COMPETENCIAS CONSTITUCIONALES
En la Carta Magna del Perú tenemos atribuciones como:
 Presentar anualmente informes de auditoría practicado a la

cuenta General de la República (Art. 81).
19
 Supervisa que sea legal las prácticas ejecutadas del
Presupuesto del Estado en las Entidades Públicas que están
sujetas a control (Art. 82).
 Realizar el control para que los fondos destinados a

satisfacer requerimientos logísticos de las Fuerzas Armadas
y Policía Nacional que se dediquen exclusivamente para
este fin (Art. 170).
 Iniciativa Legislativa para su control (Art. 107).
 Control y supervisión de los gobiernos locales y regionales

de forma descentralizada y permanente (Art. 199).
2.3.2. COMPETENCIAS LEGALES
Son atribuciones de la Contraloría General de la Republica prevista

en la Ley Orgánica (Artículo 22 de la Ley Ni 27785), de acuerdo
al plan estratégico Institucional 2019-2024:
 Tener acceso 24/7 a los registros, documentación e

información de las entidades, aun si es secreto, con la
limitación que no viole la libertad individual.
 Los Órganos del Sistema realicen acciones de control de

acuerdo a su juicio que sea amparado por la ley.
 Supervisar y garantizar el cumplimiento de las

recomendaciones de los informes de control de cualquiera
de los órganos del sistema.
 Disponer de acciones legales de forma inmediata por el

Procurador Público de la Contraloría General, Procurador
del sector, Representante Legal de la entidad, en casos de
ejecución directa que encuentre daño económico o ilícito,
20
también disponer sanción a los funcionarios o servidores
públicos que cometan infracciones en contra de su
administración.
 Normar y velar por una adecuada implantación de Órganos

de Auditoría Interna, requiriendo fortalecimiento con
personal capacitado para el cumplimiento de sus fines.
 Presentar anualmente al Congreso el informe de Evaluación

a la Cuenta General de la República.
 Absolver consultas, emitir pronunciamientos e interpretar

la normativa de control gubernamental para los sujetos de
control de sus derechos y obligaciones.
 Aprobar un Plan Nacional de Control Anual en las

entidades.
 Efectuar acciones de Control Medio Ambiental y control de

los Patrimonios del País.
 Emitir opinión sobre adquisiciones y contrataciones de

bienes, servicios y obras.
 Otorgar autorización previa a la ejecución y pago de

presupuestos adicionales a la obra pública.
 Informar sobre operaciones, fianzas, avales y garantías que

otorgue el Estado en los proyectos de contrato.
 Designar Sociedades de Auditoría que se requieran a través

de un Concurso Público de Méritos para efectuar Auditorías
en entidades, supervisando sus labores con arreglo a las
21
disposiciones de designaciones de Sociedades de Auditoría
que para el efecto se emitan.
2.4. DESCRIPCIÓN DE LA NORMA TÉCNICA PERUANA ISO 27001
En Perú contamos con la NTP ISO 27001 para garantizar tanto la

confidencialidad como la integridad de la información, pero también de
los sistemas que lo tratan. La NTP ISO IEC 27001 para los Sistemas de
Gestión de la Seguridad de la Información o SGSI hace posible que las
organizaciones evalúen el riesgo y apliquen los controles indispensables
para proceder a su mitigación o total eliminación. Como ocurre con otras
normas ISO, la NTP ISO 27001 permite que las organizaciones se
diferencian del resto de las entidades que compiten en el mismo mercado
y además la reputación también aumenta niveles considerables. Para
realizar una adecuada gestión de la seguridad de la información, las
organizaciones deben recurrir también a la ISO 27002 que aporta
recomendaciones de las mejores prácticas en la gestión de la seguridad de
la información.
2.4.1. ESTRUCTURA DE LA NTP ISO 27001
La NTP ISO 27001, sigue la Estructura de Alto Nivel, también

conocida como Anexo SL. A continuación, hablaremos de cada
uno de sus apartados.
 Objeto y campo de aplicación: Después de la introducción,

este es el primer apartado de la norma, en el que indica una
serie de recomendaciones sobre el uso, aplicación y
objetivo de la NTP ISO 27001.
 Referencias Normativas: En esta cláusula se menciona la

importancia de consultar documentos vinculados con la
implementación y mantenimiento de la norma ISO 27001.
22
 Términos y definiciones: En este apartado se incluyen los
términos y conceptos empleados a lo largo del texto de
NTP ISO 27001.
 Contexto de la Organización: Es un apartado bastante

destacable ya que habla de la necesidad de que las
organizaciones conozcan el contexto en el que desarrollan
su actividad, a nivel interno y externo.
 Liderazgo: La cláusula establece que los empleados

involucrados en el sistema deben participar en la
implementación de la norma. Con esta nueva versión, la
alta dirección tiene la responsabilidad de exponer su
liderazgo y compromiso, además entre sus funciones
destacamos la de elaborar la política de seguridad de la
información, la cual debe ser conocida por toda la
organización. Del mismo modo se debe encargar de la
asignación de responsabilidades, roles y autoridades entre
los trabajadores.
 Planificación: En este apartado de la NTP ISO/IEC 27001,

centra su atención en la necesidad de identificar los riesgos
y oportunidades cuando se va a realizar la planificación del
Sistema de Gestión de Seguridad de la Información, así
como cuando se establecen los objetivos y la manera de
alcanzarlos.
 Soporte: Este punto de la norma indica que los recursos.,

competencias, conciencia, comunicación y la información
documentada son vitales para garantizar el correcto
funcionamiento del Sistema de Gestión de Seguridad de la
Información o SGSI.
23
 Operación: Esta cláusula establece que es necesario
planificar, implementar y controlar aquellos procesos
establecidos por la organización. Además, también señala
que se debe valorar los riesgos a los que está sometida la
seguridad de la información y tomar medidas para
reducirlos o eliminarlos.
 Evaluación del desempeño: Este apartado de la NTP ISO

27001 define que es imprescindible realizar un
seguimiento, medición, análisis, evaluación, auditoría
interna y revisión por parte de la dirección del SGSI para
garantizar que se desarrolla como debería lo planificado.
 Mejora: A través de este apartado se señala las obligaciones

que tienen las organizaciones tras detectar una no
conformidad en el Sistema de Gestión de Seguridad de la
Información para asegurar la mejora continua del
funcionamiento del SGSI.
2.5. DESCRIPCIÓN DE LA FAMILIA DE LA ISO 27000
La Organización Internacional de Estandarización (ISO) recoge un

extenso número de normas dentro de la familia de ISO 27000.
Cada norma tiene reservado un número dentro de una serie que van desde
27000 hasta 27019 y de 27030 a 27044, entre estas normas tenemos las
siguientes:
2.5.1. ISO 27001
La última versión de esta norma fue publicada en el año 2013. Es

la norma principal de toda la serie ya que incluye todos los
requisitos del Sistema de Gestión de Seguridad de la Información
en las organizaciones. La ISO 27001 sustituye a la BS 7799-2
24
estableciendo unas condiciones de adaptación para aquellas
empresas que se encuentren certificadas bajo esta última.
La NTP ISO/IEC 27001:2014, es una traducción de la Norma

Internacional ISO 27001:2013, que en la actualidad es difundida
por el Instituto Nacional de la Calidad (INACAL), esta Norma,
especifica una serie de requisitos de seguridad de la información a
cumplir por la organización para poder implementar, establecer,
mantener y mejorar un Sistema de Gestión de Seguridad de la
Información.
En esta norma podemos encontrar 14 dominios, 35 objetivos de

control y 114 controles, organizados de la siguiente manera:
Controles de la NTP ISO/IEC 27001:2014.

2.5.2. ISO 27002
Es un manual de buenas prácticas en la que se describen los

objetivos de control y las evaluaciones recomendables en cuanto a
la seguridad de la información. Esta norma no es certificable. En
ella podemos encontrar 39 objetivos de control y 133 controles
agrupados en 11 dominios diferentes.
2.5.3. ISO 27003
Es un manual para implementar un Sistema de Gestión de

Seguridad de la Información y, además, nos da la información
25
necesaria para la utilización del ciclo PHVA (viene de las siglas
Planificar, Hacer, Verificar y Actuar).
2.5.4. ISO 27004
En este estándar se especifican las técnicas de medida y las

métricas que son aplicables a la determinación de la eficacia de un
Sistema de Gestión de Seguridad de la Información y los controles
relacionados. Las métricas se utilizan para la medición de los
componentes de las fases “implementar y utilizar” del ciclo
deming.
2.5.5. ISO 27005
Esta normativa establece las diferentes directrices para la gestión

de los Riesgos en la Seguridad de la Información. Se trata de una
norma de apoyo a los conceptos generales que vienen especificados
en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de
una forma satisfactoria, la seguridad de la información basada en
un enfoque de gestión de riesgos.
2.5.6. ISO 27007
Es un manual de auditoría de un Sistema de Gestión de Seguridad

de la Información. Es un estándar Internacional el cual ha sido
creado para proporcionar un modelo para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema de
Gestión de Seguridad de la Información (SGSI).
2.5.7. ISO 27011
Es una guía de gestión de seguridad de la información específica

para telecomunicaciones Ha sido elaborada conjuntamente con la
Unión Internacional de Telecomunicaciones (ITU).
26
2.5.8. ISO 27032
Es un texto relativo a la ciber-seguridad. Se trata de un estándar

que garantiza directrices de seguridad que desde la organización
ISO han asegurado que “proporcionará una colaboración general
entre las múltiples partes interesadas para reducir riesgos en
Internet”. Más concretamente, ISO/IEC 27032 proporciona un
marco seguro para el intercambio de información, el manejo de
incidentes y la coordinación para hacer más seguros los procesos.
2.5.9. ISO 27033
Es una norma derivada de la norma de seguridad ISO/IEC 18028

de la red. Esta norma da una visión general de seguridad de la red
y de los conceptos asociados. Explica las definiciones relacionadas
y aporta orientación de la gestión de la seguridad de la red.
Consiste en 7 partes:
 Gestión de seguridad de redes

 Arquitectura de seguridad de redes
 Marcos de redes de referencia
 Aseguramiento de las comunicaciones entre redes
mediante gateways.
 Acceso remoto
 Salvaguardia de comunicaciones en redes mediante VPNs
 Diseño e implementación de seguridad en redes.
27
2.6. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR
A.5 Políticas de seguridad de la información Estrategias
A.5.1 Directrices establecidas por la dirección para la Objetivo: Brindar orientación y apoyo por parte de la dirección,
seguridad de la información para la seguridad de la información de acuerdo con los requisitos
del negocio y con las leyes y reglamentos pertinentes
A.5.1.1 Políticas para la seguridad de la información Control: Se debería definir un conjunto de políticas para la
seguridad de la información, aprobada por la dirección, publicada
y comunicada a los empleados y partes externas pertinentes.
A.5.1.2 Revisión de las políticas para seguridad de la Control: Las políticas para seguridad de la información se deberían
información revisar a intervalos planificados o si ocurren cambios significativos,
para asegurar su conveniencia, adecuación y eficacia continuas.
A.6 Organización de la seguridad de la información Estrategias
A.6.2 Dispositivos móviles y teletrabajo Objetivo: Garantizar la seguridad del teletrabajo y el uso de
dispositivos móviles.
A.6.2.1 Política para dispositivos móviles Control: Se deberían adoptar una política y unas medidas de
seguridad de soporte, para gestionar los riesgos introducidos por el
uso de dispositivos móviles.
A.6.2.2 Teletrabajo Control: Se deberían implementar una política y unas medidas de

seguridad de soporte, para proteger la información a la que se tiene
acceso, que es procesada o almacenada en los lugares en los que se
realiza teletrabajo.
A.9 Control de acceso Estrategias
A.9.1 Requisitos del negocio para control de acceso Objetivo: Limitar el acceso a información y a instalaciones de
procesamiento de información.
A.9.1.1 Política de control de acceso Control: Se debería establecer, documentar y revisar una política de
control de acceso con base en los requisitos del negocio y de
seguridad de la información.
28
2.7. DIAGRAMA GENERAL DE LA APLICACIÓN DE UN CONTROL EN UNA ORGANIZACIÓN
29
CAPÍTULO 3: DESARROLLO DEL PROYECTO
3.1. CONTROL A.5.1.1: POLÍTICAS PARA LA SEGURIDAD DE LA

INFORMACIÓN
3.1.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL
Seguridad significa disponer de medios que permitan reducir lo

más que se pueda, la vulnerabilidad de la información y de los
recursos; aunque no se puede alcanzar el 100% de seguridad, la
tendencia debe ser llegar a ese valor extremo.
Los hackers, crackers están vigilando permanentemente las redes

con el fin de encontrar las vulnerabilidades o debilidades de un
sistema de información, el desarrollo del software ha permitido
hacer cada vez más fácil la configuración y su utilización, Internet
también permite la conectividad de todo tipo de usuario, de esta
forma las amenazas a la seguridad de la Información están latentes
y en cualquier momento un servidor o dispositivo de red puede ser
atacado con fines negativos a la imagen de la Empresa o
Institución, a su funcionalidad y otros aspectos
La información constituye uno de los recursos principales de una

organización, por lo tanto, se la debe proteger, mediante un
conjunto de actividades, controles y políticas de seguridad que se
deben implementar en base a recursos humanos, hardware y
software.
La seguridad de la información depende de la gestión y los

procedimientos adecuados, de los empleados de la organización,
proveedores, clientes, accionistas y del nivel de seguridad de los
medios técnicos.
30
3.1.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL
 Exceso de los costos operativos y financieros

 No se podrán identificar ni minimizar los problemas o
deficiencias a los cuales se expone la información
 Que nunca se establezca una cultura de seguridad y tampoco se
cumpla los requerimientos legales, contractuales, regulatorios
y normativos vigentes.
 Podría generarse situaciones de fuga de información o en el
peor de los casos robo de la misma
 Se genera desconfianza dentro del personal de la entidad pues
la información no podría contener la consistencia adecuada
 La institución podría dar una imagen de desorden
 Cuando suceda algún inconveniente o imprevisto, no se tendrá
un plan de acción o una forma de sobrellevar el problema.
31
3.1.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
32
3.1.4. FORMATO DEL CONTROL
3.1.4.1. SEGURIDAD FÍSICA Y AMBIENTAL
Control Si No ¿Por qué?

Con respecto a la oficina…
¿Evidencia usted el ambiente de la
oficina tiene un nivel de limpieza optima?
¿Evidencia que los conectores eléctricos
cumplen con la normativa PNTP 370.055
Seguridad Eléctrica?
Con respecto al Data Center
¿Evidencia usted el ambiente de la
oficina tiene un nivel de limpieza optima?
¿El sistema de refrigeración está
trabajando adecuadamente?
¿Los equipos intermediaros (routers,
switches, etc) están trabajando de
acuerdo a su topología de configuración
(revisar minuciosamente)?
¿Los Racks están en óptimas
condiciones?
¿El Storage no evidencia ningún
inconveniente?
¿El Firewall está trabajando?
Con respecto a los equipos
¿Los equipos se encuentran alejados del
fuego, humo, polvo y temperaturas
extremas?
33
¿Los equipos se encuentran fuera del
alcance de rayos solares, vibraciones,
insectos, ruido eléctrico o agua?
Con respecto al almacén de equipos
¿El ambiente de almacén de equipos se
encuentran alejados del fuego, humo,
polvo y temperaturas extremas?
¿El ambiente de almacén de equipos se
encuentran fuera del alcance de rayos
solares, vibraciones, insectos, ruido
eléctrico o agua?
3.1.4.2. CONTROLES DE ACCESO

Con respecto a la oficina
¿Existe alguna gestión de usuarios y
contraseñas para acceder a los equipos
de la oficina (autenticación)?
¿Existe algún programa que permita la
comunicación encriptada y segura que
esté sujeta a la autenticación de los
usuarios?
¿Está prohibido acceder a los equipos de
la oficina con cuentas diferentes a la
propietaria de cada empleado?
¿El usuario puede acceder desde otros
equipos fuera de la empresa?
¿El usuario gestiona sus claves de
acceso?
34
Con respecto al Data Center
del data center (autenticación)?
usuarios?
acceso?
Con respecto a los equipos
(autenticación)?
usuarios?
acceso?
35
3.1.4.3. COPIAS DE SEGURIDAD

Con respecto a las copias de seguridad
¿Se realizan copias de seguridad de la
información de los servidores?
¿Las copias de seguridad se almacenan
en un lugar seguro?
¿La información almacenada es
eliminada luego de ser útil?
Con respecto a la descarga de ficheros
¿Los ficheros son almacenados en los
servidores de la empresa?
¿Los ficheros almacenados son
eliminados luego de ser útiles?
3.1.4.4. USO DE DIRECCIONES IP

Con respecto al uso de los servicios de red
¿ Se cuenta con un registro de sus
direcciones IP utilizadas??
¿Ningún área puede hacer uso de una
dirección IP que no le corresponda, sin
autorización expresa y escrita del
administrador del área en cuestión?
36
¿ Ningún usuario puede hacer
modificación en la configuración de su
dirección IP asignada al equipo de su
responsabilidad?
¿No se permiten utilizar en subredes de
una zona, rangos de otras zonas? Por
ejemplo, de la en la zona A, utilizar,
rangos de la zona C
3.1.4.5. USO ADECUADO

Con respecto al uso de software
¿Se utiliza el software de manera
adecuada con la capacitación respectiva?
¿El uso de buscadores de internet y de
programas está limitado solo para las
actividades que se desarrollan en la
empresa?
¿Los empleados pueden instalar
programas en los equipos?
37
3.1.5. CAPTURAS DEL SOFTWARE
 Interfaz Inicial del Sistema
 Interfaz del Primer control
38
3.2. CONTROL A.5.1.2 REVISIÓN DE LAS POLÍTICAS PARA
SEGURIDAD DE LA INFORMACIÓN
Las políticas de seguridad de la información deben ser revisadas y

aprobadas por el comité delegado por la organización, para el
cumplimiento de esta función.
En este control se cerciora el cumplimiento y la adaptación, de los
lineamientos continuos y objetivos de la organización, plasmados
en las políticas para la seguridad de la información, los cuales
deben adecuarse a las necesidades y cambios que sufre a lo largo
del tiempo dicha organización, por lo cual debe tomarse como un
proceso de control dinámico y adaptable a cambios, así como
también debe contar con el compromiso de todos los empleados y
administrativos de la misma, conociendo sus beneficios y riesgos
de no aplicarse de forma correcta y periódica. También cumple con
el objetivo de mantener el Sistema de Gestión de Seguridad de la
39
Información actualizado y lo ayuda a cumplir con su verdadero
objetivo dentro de las buenas prácticas en la seguridad de la
información, así como también satisfacer el punto clave referido a
la mejora continua y cumplimiento de la Norma Técnica Peruana
NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas
de Seguridad. Sistemas de Gestión de Seguridad de la Información.
Requisitos.
 No se podrá dar una retroalimentación del actual

funcionamiento de la política de seguridad de información.
 No se podrá solucionar e identificar los problemas en el sistema.
 En caso de que existan cambios y modificaciones en el sistema,
no se podrá monitorear su adecuado funcionamiento.
 Si no se realiza una revisión pertinente de las políticas de
seguridad de información implantadas en el sistema, no se podrá
generar reportes , ni se podrán realizar modificaciones en el
sistema.
40
41
3.2.4.1. SEGURIDAD AMBIENTAL Y FÍSICA
Controles a Fecha inicio Fecha Fin Observación

evaluar
Con respecto a la
oficina
Con respecto al
data center
Con respecto a los
equipos
Con respecto al
almacén de
equipos

evaluar
Con respecto a la
oficina
Con respecto al
data center
Con respecto a los
equipos
42

evaluar
Con respecto a las
copias de
seguridad
Con respecto a la
descarga de
ficheros

evaluar
Con respecto al
uso de los
servicios de red

evaluar
Con respecto al
uso de software
43
44
45
3.3. CONTROL A.6.2.1 POLÍTICA PARA DISPOSITIVOS MÓVILES
Las medidas adoptadas en las políticas de seguridad deben actuar

también para los dispositivos móviles como los smartphones y
teniendo en cuenta la gestión de riesgos. Pero esto no significa
eliminar BYOD de las políticas, sino deben proporcionar
soluciones alternas por si el uso de los ordenadores no está
disponible, por lo que también hay políticas para el acceso de estos
dispositivos especiales únicos, pero tomando en cuenta también
mecanismos de protección para los dispositivos móviles.
 Filtración de datos, los datos de la empresa se verán

vulnerables a robo de información.
 Saturación de la red, descargo y uso inadecuado de la red,
causa lentitud y baja fiabilidad en el uso de los servicios de
la organización.
 Peligro de phishing, los equipos móviles son los principales
puntos en recibir ataques de phishing, que vulneran la
información manejada en el dispositivo y desembocan en
robo de datos referentes a la empresa.
 Gestión inadecuada de las sesiones, el uso de tokens para
acceso rápido a las aplicaciones de celulares genera una
falta de control de sesiones al acceder sin autenticarse a los
aplicativos y red de la empresa.
46
47
control si no Sustentar
Oficina
¿Se registran los dispositivos
móviles con todas las
características?
¿Se registra los dispositivos
móviles con todas sus
características cuando es dado de
baja y el porqué de la misma?
¿las características de los equipos
móviles cumplen con los requisitos
de las tareas que realiza su
propietario?
Data Center
¿Se registran los dispositivos
móviles con todas las
características?
¿Se registra los dispositivos
móviles con todas sus
características cuando es dado de
baja y el porqué de la misma?
¿las características de los equipos
móviles cumplen con los requisitos
de las tareas que realiza su
propietario?
Equipos
48
¿se controla el uso adecuado de
los equipos móviles?
Almacén de equipos
¿el lugar donde se guardan los
equipos es seguro, no hay riesgo
de robo?
Oficina
¿existe un listado de los usuarios
de cada uno de los equipos
móviles?
Data Center
¿existe un listado de los usuarios
de cada uno de los equipos
móviles?
Equipos
¿se permite q otro usuario use el
dispositivo móvil?
¿cada usuario gestiona sus claves
de acceso?
49
Copias de seguridad
¿realizan copias de seguridad de
la información contenida en los
equipos móviles?
¿las copias de seguridad son
almacenadas en algún dispositivo
seguro?
Descarga de ficheros
¿se administra los ficheros
descargados en el dispositivo
móvil, ya sea en carpetas o por
orden de prioridad?
Usos de servicio de red
¿todos los dispositivos móviles
hacen uso de la red wifi de la
empresa?
¿los empleados conocen la
contraseña de la red wifi de la
empresa?
50
Uso de dispositivos móviles
¿se capacita sobre el uso
adecuado de dispositivos móviles
para cumplir con los objetivos de la
empresa?
¿se controla la instalación o
desinstalación de aplicaciones en
el equipo móvil?
¿se permite el uso del equipo móvil
para actividades que no estén
referidas a sus labores de la
empresa?
51
52
53
54
3.4. CONTROL A.6.2.2 TELETRABAJO
Si bien existe un concepto común sobre lo que es el teletrabajo, es

difícil encontrar una definición que satisfaga a todos. El problema
radica en dar una definición a un concepto relativamente nuevo,
que sigue conformándose en cada momento (en cuanto depende de
las posibilidades de las tecnologías de las comunicaciones y de la
incorporación de éstas a la organización del trabajo) y que no está
claro cómo evolucionará y cuál será su impacto final sobre aspectos
muy diversos (mundo laboral, social, familiar).
Existe acuerdo generalizado sobre tres elementos básicos que
contribuyen a delimitar el concepto de teletrabajo:
 El teletrabajo se refiere a una actividad profesional
remunerada.
 La descentralización del lugar de trabajo.
 Los medios y la tecnología utilizada para desarrollar el
trabajo.
En este sentido, puede decirse que el teletrabajo consiste en el
desarrollo de una actividad laboral remunerada, para la que se
utiliza, como herramienta básica de trabajo, las tecnologías de la
información y telecomunicación y en el que no existe una presencia
permanente ni en el lugar físico de trabajo de la empresa que ofrece
los bienes o servicios ni en la empresa que demanda tales bienes o
servicios.
De acorde con esta definición las posibilidades de teletrabajar son

muchas y variadas; establecer el lugar físico de trabajo en el
domicilio particular, acudir a centros compartidos que ofrezcan
tecnologías de telecomunicaciones (telecottages), el personal
nómada de una empresa (red comercial), etc.
El teletrabajo altera una importante cantidad de aspectos de la vida
laboral, familiar y cotidiana e introduce novedades en los modos
55
tradicionales de gestión y organización del trabajo. La puesta en
marcha de una forma de trabajar que necesariamente supone un
cambio importante en cuestiones tan arraigadas, exige una
adecuada planificación y diseño de su implantación.
 En caso de que algún trabajador no pueda asistir a la

empresa de manera presencial y si no se posee un plan de
teletrabajo entonces se puede hacer notar una dificultad
para realizar las tareas rutinarias porque su ausencia
significara retraso e incluso perdidas para la empresa en sus
procesos.
 Puede existir en caso extremos como estrés laboral en casos
especiales.
 En caso de que un cliente no pueda realizar presencia en la
empresa entonces puede existir el caso de que pierda el
contacto.
56
57
Oficina
¿La modalidad de teletrabajo es
adecuada?
¿La oficina del teletrabajador
pertenece al territorio nacional?
Data Center
¿La información que maneje el
teletrabajador puede ser vista por
su superior?
¿Existe un storage exclusivo para
grabaciones de las
videoconferencias en óptimas
condiciones?
¿Las conexiones/interfaces que se
conectan a los equipos que
proveen servicio de teletrabajo en
la empresa presentan una
adecuada estructura de acuerdo a
la norma ANSI/EIA/TIA−568−A y 568-
B?
Equipos
58
¿Se controla el estado del equipo
donde realiza el teletrabajo?
¿Los equipos de teletrabajo están
en óptimas condiciones?
Almacén de equipos
¿el lugar donde se guardan los
equipos es seguro, no hay riesgo
de robo?
Oficina
¿Existe controles de usuarios para
el acceso al software que se utiliza
para el teletrabajo?
Data Center
¿Existe alguna gestión de usuarios
y contraseñas para acceder a los
equipos del data center que
ofrezcan conectividad a los
equipos de teletrabajo?
Equipos
¿Cada usuario gestiona sus claves
de acceso?
59
Copias de seguridad
¿Existen almacenamiento de las
grabaciones del teletrabajo?
¿las grabaciones son almacenadas
en algún dispositivo seguro?
¿Los ficheros son almacenados en
los storage de la empresa?
Uso de Teletrabajo
¿Recibió una capacitación sobre la
modalidad de teletrabajo?
¿El teletrabajador está preparado
para esta nueva modalidad de
trabajo?
¿Cumple con su horario de
teletrabajo?
60
61
3.5. CONTROL A.9.1.1 POLÍTICA DE CONTROL DE ACCESO
Una política de control de acceso se debe establecer, documentar y

revisar de acuerdo a los requerimientos de la organización y la
seguridad de la información.
El control de acceso implica quien tiene acceso a los sistemas de
información específicos y recursos en un momento dado.
62
Para controlar el acceso a los recursos de la organización (espacio
de trabajo, equipos, servicios de red, sistemas de información, etc.),
los usuarios pasan por tres pasos. Estos pasos son identificación
autentificación y autorización.
Los controles de acceso también hacen posible llevar un registro
automatizado de los movimientos de un individuo o grupo dentro
de un espacio determinado de la organización.
En pocas palabras, el control de acceso debe ser concedido de
acuerdo con quién necesita saber, quién necesita usar y a cuánto
acceso requieren. Los controles de acceso según ISO 27001 pueden
ser de naturaleza digital y física: por ejemplo, restricciones de
permisos en las cuentas de usuario, así como limitaciones sobre
quién puede acceder a ciertas ubicaciones físicas.
Una falta de control de los accesos a la información, los recursos

de tratamiento de la información y los procesos de negocio en base
a las necesidades de seguridad y de negocio de la organización
permite la materialización de potenciales amenazas, entre otras
posibles, como:
 Pérdida de servicios esenciales (energía eléctrica,
telecomunicaciones, aire acondicionado/agua, ...) en
accesos a sistemas IoT/industriales.
 Compromiso de información (intercepción, divulgación,
manipulación de hardware, manipulación de software, ...)
 Compromiso de información (intercepción, espionaje en
remoto, manipulación de hardware, manipulación de
software, ...)
 Compromiso de las funciones (Error en el uso, abuso de
privilegios, suplantación de identidad, falsificación de
privilegios, denegación de acciones, ...)
63
64
3.5.4.1. FÍSICA
Control si no Sustentar
Oficina
¿Las oficinas cuentan con algún control de acceso a ellas?
¿Se tiene un control o registro de las personas que acceden a las
oficinas?
¿Se restringe el acceso a los empleados a oficinas que no les
compete en su labor?
¿Se otorga permisos de acuerdo a la jerarquía de cada empleado,
con respecto al acceso a las oficinas?
¿Existe personal de seguridad o algún sistema que cuide y verifique
el acceso a las oficinas?
Data Center
¿El Data Center cuenta con algún control de acceso?
¿Se tiene un control o registro de las personas que acceden al Data
Center?
¿Se restringe el acceso a los empleados al Data Center que no está
descrito en sus competencias y labor en la empresa?
con respecto al acceso del Data Center?
el acceso al Data Center?
Equipos
¿Los equipos están resguardados en ambientes con sistemas de
seguridad?
Almacén de equipos
65
¿El almacén de equipos cuenta con algún control de acceso a ellas?
¿Se tiene un control o registro de las personas que acceden al
almacén de equipos?
¿Se restringe el acceso a los empleados al almacén de equipos que
no les compete en su labor?
con respecto al acceso al almacén de equipos?
el acceso al área de almacén de equipos?
3.5.4.2. LÓGICA
Uso de software
¿El uso de software está restringido por algún método de seguridad?
¿Se tiene un control o registro de las personas y utilizan el software
de la empresa?
¿Se restringe el acceso a los empleados mediante cuentas y
privilegios en cuanto al software que utiliza para cumplir su rol en la
empresa?
¿Se restringe el uso de ciertos elementos de software que no
competen al desarrollo de labores en la organización?
¿La descarga de ficheros está restringido por algún método de
seguridad?
¿Se tiene un control o registro de las personas y utilizan el software
de la empresa?
privilegios en cuanto a la descarga de ficheros?
66
¿Se restringe el uso de ciertos elementos de software para la
descarga de ficheros que no competen al desarrollo de labores en
la organización?
¿La descarga de ficheros está restringido por algún método de
seguridad?
Copias de seguridad
¿Las copias de seguridad están restringidas por algún método de
seguridad?
¿Se tiene un control o registro de las personas que realizan las
copias de seguridad de la empresa?
privilegios en cuanto a la descarga y gestión de copias de
seguridad?
¿Se restringe el uso de ciertos elementos de software para la
descarga y gestión de copias de seguridad que no competen al
desarrollo de labores en la organización?
Servicios de la red
¿La red está restringida por algún método de seguridad?
¿Se tiene un control o registro de los equipos que acceden y utilizan
la red de la empresa?
privilegios en cuanto a los accesos de red?
¿Se restringe el uso de ciertos elementos de software para el acceso
a la red que no competen al desarrollo de labores en la
organización?
67
68
 Después de generar todos los controles el Jefe de Oficina recibirá los reportes
para su posterior auditoria.
69
BIBLIOGRAFÍA
developers visual paradigm. (8 de 3 de 2020). Visual paradigm. Obtenido de

SCRUM: www.visual-paradigm.com/scrum/10-basic-scrum-rules/
ISO. (2014). Norma técnica peruana NTP-ISO/IEC 27001:2014. Lima:

INDECOPI.
contraloria.gob.pe. (14 de 5 de 2020). CONOCE LA CONTRALORÍA. Obtenido

de www.contraloria.gob.pe:
www.contraloria.gob.pe/wps/wcm/connect/CGRNew/as_contraloria/as_
portal/Conoce_la_contraloria/conoceContraloria/QuienesSomos/
Aguirre, D. (2014). Diseño de un Sistema de Gestión de Seguridad de

Información para Servicios Postales del Perú S.A. Lima: Universidad Catolica
del Peru.
Angeles, S. (2008). Sistema de gestión de seguridad de información ISO 27001

para un Data Center (Tesis de grado). Lima: UNI.
Buenaño, J., & Granda, M. (2009). Planeación y diseño de un sistema de gestión

de seguridad de la información basado en la norma ISO/IEC 27001-
27002. Guayaquil, Ecuador. Guayaquil: Universidad Politécnica
Salesiana.
Capita Secure Information Systems . (2015). Benefits of ISO 27001.

Chippenham: Capita PLC.
NTP ISO 27001. (s.f.). Obtenido de Isotools excellence, PLATAFORMA

TECNOLÓGICA PARA LA GESTIÓN DE LA EXCELENCIA:
https://www.isotools.pe/normas/ntp-iso-27001/
70

Auditoria Informe Final

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Informe Final

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE INGENIERÍA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

IMPLEMENTACIÓN DE CONTROLES SEGÚN LA NORMA

Docente: Ing. Palomino Olivera Emilio

 Arias Champi, Saul Fernando

La seguridad de la información es un aspecto muy importante en las organizaciones, ya

El estándar ISO 27001:2014 para los Sistemas Gestión de la Seguridad de la Información

Tener un control de acceso seguro de la información de una

En pocas palabras, el control de acceso debe ser concedido de

Asegurar el control de los Sistemas de Información de la

1.1.2. IDENTIFICACIÓN DEL PROBLEMA

● Robo de información, ocurren cuando no se tiene un

Plantear una propuesta de implementación de los controles de

1.2.2. OBJETIVOS ESPECÍFICOS

● Identificar las Políticas para la seguridad de la información,

● Identificar, analizar y seleccionar las cláusulas que

● Inserción de formatos de las cláusulas de Políticas para la

● Para una buena recolección de información, previamente se debe

Se hizo un enfoque en investigar la norma técnica Peruana ISO 27001, a

1.6. METODOLOGÍA QUE SE ADAPTAN SGSI

La metodología adoptada es la descriptiva se centra en el análisis de

También la metodología SGSI es un conjunto de responsabilidades,

(Buenaño & Granda, 2009) en su tesis “Planeación y diseño de un sistema

(Capita Secure Information Systems , 2015) el documento se enfoca en el

● Sus requisitos genéricos significan que es aplicable a todas las

● Adopta un enfoque flexible y orientado hacia el riesgo.

● Es dinámico, se centra en la mejora continua y ayuda a la

Adicionalmente, el diseño e implementación y la posterior

(Aguirre, 2014) es su tesis “Diseño de un Sistema de Gestión de Seguridad

2.2. METODOLOGÍA SCRUM

Es el desarrollo ágil, no lo realizan equipos diferentes especializados, es

(developers visual paradigm, 2020)

 PROJECT OWNER: Se asegura de que el proyecto se esté

 MASTER SCRUM: Elimina los obstáculos que impiden

 SOFTWARE ANALYST: Encargado de que el software

 DEVELOPMENT TEAM MEMBER: Son los

2.2.2. FASES SCRUM

 Reunión para la planificación del Sprint: En ella, se

 SCRUM diario: Se basa en poner en común y sincronizar

 Trabajo de desarrollo durante el Sprint: Nos

 Retrospectiva del proyecto: Oportunidad del equipo de

2.2.3. LOS ARTEFACTOS

1. Product Backlog: Lista de requerimientos que se necesita

2. Sprint Backlog: Es una lista de elementos que se deben

3. Sprint Burndown chart y Release Burndown chart:Es

2.3. DESCRIPCIÓN DE LA CONTRALORÍA

La Contraloría General de la República es la máxima autoridad del

2.3.1. COMPETENCIAS CONSTITUCIONALES

En la Carta Magna del Perú tenemos atribuciones como:

 Presentar anualmente informes de auditoría practicado a la

 Realizar el control para que los fondos destinados a

 Iniciativa Legislativa para su control (Art. 107).

 Control y supervisión de los gobiernos locales y regionales

2.3.2. COMPETENCIAS LEGALES

Son atribuciones de la Contraloría General de la Republica prevista

 Tener acceso 24/7 a los registros, documentación e

 Los Órganos del Sistema realicen acciones de control de

 Supervisar y garantizar el cumplimiento de las

 Disponer de acciones legales de forma inmediata por el

 Normar y velar por una adecuada implantación de Órganos

 Presentar anualmente al Congreso el informe de Evaluación

 Absolver consultas, emitir pronunciamientos e interpretar

 Aprobar un Plan Nacional de Control Anual en las