Documentos de Académico
Documentos de Profesional
Documentos de Cultura
000 2021 Polar Fuentes JF Espg Maestria en Ingenieria de Sistemas e Informatica
000 2021 Polar Fuentes JF Espg Maestria en Ingenieria de Sistemas e Informatica
ii
Dedicatoria y agradecimientos
Los amo.
iii
CONTENIDO
INTRODUCCIÓN --------------------------------------------------------------------------------- 1
iv
CAPÍTULO III: MARCO METODOLÓGICO ---------------------------------------------16
v
6.1.4. Relevancia. -------------------------------------------------------------------------39
CONCLUSIONES -------------------------------------------------------------------------------48
RECOMENDACIONES ------------------------------------------------------------------------50
ANEXOS -------------------------------------------------------------------------------------------56
vi
Resumen
vii
Abstract
viii
INTRODUCCIÓN
1
CAPÍTULO I
Han pasado 16 años desde que se solicitó por primera vez, como ley y
con carácter de obligatorio, la implementación de controles en seguridad de la
información a todas las entidades integrantes del Sistema Nacional de
Informática en el Perú, los resultados hasta ahora (primer trimestre de 2020)
2
están muy lejos de lo establecido en dichas resoluciones, y el no cumplimiento
de estas resoluciones, se debe a la falta de herramientas idóneas que permitan
implementar las normativas dispuestas en seguridad de la información. No solo
se está incurriendo en una reiterada omisión a la ley, sino que también, como
instituciones, se demuestra no tener la madurez que las normas ISO sugieren a
todas las organizaciones para el aseguramiento de la información.
3
En la etapa de investigación, revisión de normas, procedimientos,
programas de software, tesis, entre otros, se encontró que no existen
metodologías que permitan una correcta identificación de los activos de
información; la información existente se reduce a encuestas abiertas,
inspecciones, observaciones, listas de chequeo, técnicas de auditoría y hasta la
utilización de la matriz FODA; nada de lo encontrado cubre las exigencias,
tomando como base las Normas de la Organización Internacional para la
Estandarización (ISO) en seguridad de la información.
4
seguridad de la información. Sin embargo, hay limitaciones de uso que debemos
considerar:
1.5. OBJETIVOS
5
Clasificar los activos de información según su tratamiento y el alcance que
tiene para la organización.
1.6. HIPÓTESIS
6
CAPÍTULO II
MARCO TEÓRICO
7
2.2. BASES TEÓRICAS
8
Resolución Ministerial Nº 129-2012-PCM del 23 de mayo de 2012, establece
que la implementación de los Sistemas de Seguridad de la Información, en las
entidades integrantes del Sistema Nacional de Informática, deberá empezar con
la aplicación de la Norma Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI
Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de
seguridad de la Información. Requisitos”, cuyos controles deberán ser
implementados de acuerdo a las recomendaciones de la Norma Técnica
Peruana “NTP-ISO/ IEC 17799:2007 EDI. Tecnología de la Información. Código
de buenas prácticas para la gestión de la seguridad de la información. 2a.
Edición”, dispuesto por la Resolución Ministerial Nº 246-2007-PCM.
Esta resolución detalla, además, las entidades que deben cumplir con
implementar dichos sistemas, debiendo iniciar la fase uno en un plazo no mayor
a 45 días de publicada la resolución, para las demás entidades de la
Administración Pública, el plazo es no mayor a 180 días calendarios.
(Presidencia del Concejo de Ministros, 2012).
9
Resolución Ministerial Nº 087-2019-PCM del 19 de marzo de 2019, que
aprueba disposiciones sobre la conformación y funciones del Comité de
Gobierno Digital en cada entidad de la Administración Pública, y que, en su
artículo tercero, dispone un plazo no mayor a diez (10) días para transferir al
Comité de Gobierno Digital de la entidad, la documentación generada en el
marco de la implementación del SGSI, establecida en la R.M. N°004-2016-PCM.
(Presidencia del Concejo de Ministros, 2019).
10
Esta norma destina un dominio completo a la Gestión de Activos, a su
identificación, inventario, definición de responsabilidades de protección
apropiadas, propiedad de los activos, al uso aceptable y retorno de los mismos,
y a la clasificación de la información, asegurando que ésta reciba un nivel
apropiado de protección en concordancia con su importancia para la
organización.
11
ISO/IEC 27002:2013 2da Edición de septiembre de 2013. Con un total de 14
Dominios, 35 Objetivos de Control y 114 Controles, es una guía de buenas
prácticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información; en este estudio nos enfocamos en la
cláusula 8.1.1 Inventario de Activos. (ISO/IEC 27002, 2013)
12
Activo, cualquier cosa que tenga valor para la organización, y por tanto
requiere de un nivel de protección adecuado.
Activo de Información Crítico, aquel activo que tiene valores altos a nivel
confidencialidad, integridad y disponibilidad.
13
ISO/IEC, ISO, acrónimo de “International Organization for Standardization”,
Organización Internacional para la Estandarización, es el organismo que imparte
los documentos que especifican requerimientos que pueden ser empleados en
organizaciones para garantizar que los productos o servicios ofrecidos por
dichas organizaciones cumplen con su objetivo. IEC: acrónimo de “International
Electrotechnical Commission”, Comisión Electrotécnica Internacional, interviene
en los campos: eléctrico, electrónico y tecnologías relacionadas.
(http://www.iso.org/).
Método, modo de obrar o hacer con orden, procedimiento que se sigue en las
ciencias para hallar la verdad o enseñarla. (https://dle.rae.es)
14
herramientas informáticas especializadas a efectos de que la información cumpla
los criterios de confidencialidad, integridad y disponibilidad, además de
involucrar propiedades como la autenticidad, responsabilidad, no-repudio y
confiabilidad.
15
CAPÍTULO III
MARCO METODOLÓGICO
16
y eficaz, que permita la valoración de los activos de información y facilite la
posterior evaluación de riesgos e implantación de controles de seguridad de la
información.
17
propiedades de los hechos, cualidades o atributos a estudiarse que puedan
modificarse o adquirir diversos valores en la investigación (Martínez, 2012,
p.119).
18
Útiles de oficina como: archivadores, files diseñados para la entrega de
encuestas llenas y actas de propiedad, y otros propios al trabajo de oficina.
19
CAPÍTULO IV
MARCO FILOSÓFICO
Las normas ISO indican qué lograr, pero no cómo hacerlo y ahí se
encuentra uno de los primeros obstáculos en la aplicación de los controles de
seguridad, no se puede asegurar lo que no se conoce, ni determinar la magnitud
de la inversión si no se cuenta con el valor que determinada información tiene
para la organización.
20
aceptación de propiedad, como evidencia del proceso de capacitación y
concientización que las normas solicitan.
21
CAPÍTULO V
RESULTADOS
22
organizándolos en activos primarios (procesos e información) y activos de
soporte (aquellos que contienen a la información). Por esta razón partimos del
inventario de procesos, para una ordenada identificación de los activos de
información.
23
Formato 1. Encuesta de clasificación y valoración de activos de
información
24
5.3. CLASIFICACIÓN Y VALORACIÓN DE ACTIVOS DE INFORMACIÓN
25
5.3.1. Identificación de activos de información
26
personas puede representar un riesgo potencial para la continuidad del negocio.
Este rubro comprende el conocimiento de las personas.
27
procedimientos, planes, proyectos, actas de reuniones, diseños, normas,
reportes, memorandos internos, agendas de reunión, cronogramas, informes.
28
color más oscuro y que tiene la leyenda de “no llenar”, pues su cálculo es
automático.
A.1) Confidencialidad. (La información debe ser accesible solo a las personas
debidamente autorizadas) ¿Cómo organización, en qué nos afecta si la
información se hace pública o cae en manos de terceros?:
C.3. ¿Se podría generar algún tipo de estafa, operación fraudulenta o algún otro
tipo de apropiación indebida? (Fraude / Robo)
29
A.2) Integridad. (La información debe ser completa, exacta y válida. La
información no debe estar alterada) ¿Cómo organización, en qué nos afecta si
la información es incorrecta o contiene errores?:
B) Custodios y Usuarios
30
custodios para sus activos de información y debe determinar también quiénes
son los usuarios de estos activos.
B.2) Usuarios. Son quienes tienen acceso a los activos de información, al igual
que en custodios no se escribe el nombre de la persona sino el cargo o función
que éstos cumplen en la organización, pudiendo incluso registrar el nombre del
área organizacional usuaria del activo de información descrito.
C) Revisión
31
32
5.4. ACTA DE ACEPTACIÓN DE PROPIEDAD DE ACTIVOS DE
INFORMACIÓN
33
5.5. MATRIZ DE INVENTARIO DE ACTIVOS DE INFORMACIÓN
34
definir el activo de soporte que contiene a la información y sobre el cual se
implantarán los controles adecuados para mitigar los riesgos asociados.
Según las normas, cada activo deberá contar con un código único de
identificación, el departamento de seguridad de la información deberá definir la
estructura de dicho código, el mismo que deberá contemplarse en esta matriz.
35
36
CAPÍTULO VI
DISCUSIÓN
37
6.1. JUICIO DE EXPERTOS
6.1.1. Suficiencia
Indicadores:
Los ítems son suficientes.
Debe incrementarse algunos criterios de valoración.
Se miden algunos aspectos, pero no corresponden a la total dimensión.
Los ítems no miden la valoración real de los activos de información.
38
6.1.2. Claridad
Indicadores:
La guía es clara, tiene semántica y sintaxis adecuadas.
Se requiere de algunas modificaciones a la guía.
Se requiere de bastantes modificaciones.
La guía no es clara ni aplicable.
6.1.3. Coherencia
Indicadores:
La guía es acorde a las normas en seguridad de la información.
Existe una relación moderada entre el instrumento y la valoración de activos.
La guía mide algunos aspectos, pero no valora los activos adecuadamente.
No hay relación alguna entre el uso de la guía y la valoración de activos.
6.1.4. Relevancia
Indicadores:
El uso de la guía es relevante y se recomienda su aplicación.
El uso de la guía es relativamente importante.
Existen otros métodos de valorar los activos de información.
La guía no cumple con el objetivo.
39
6.2. SELECCIÓN DE EXPERTOS
Julio Cabero y María del Carmen Llorente, afirman que la selección del
número de expertos depende de aspectos como la facilidad, para acceder a ellos
o la posibilidad de conocer expertos suficientes sobre la temática objeto de la
investigación (Cabero & Llorente, 2013, p.16), y por su parte, Jazmine Escobar
y Ángela Cuervo, señalan que el número de jueces que se debe emplear en un
juicio depende del nivel de experticia y de la diversidad del conocimiento
(Escobar & Cuervo, 2008, p.29).
40
Auditor líder en ISO 27001, Auditor Líder en ISO 27001,
Docente de Postgrado en temas de Auditor NQA, Auditor Líder en
ISO 27001, Jefe de Proyectos IBM ISO 20000 (calidad de
del Perú servicios TI), Risk Manager
ISO 31000
Ingeniero de sistemas e
informática, Especialista en
proyectos de sistemas de
10 años de experiencia en información. Certificado en
D empresas financieras. ISO 27001 y en Ley de
Analista Senior en Seguridad de la protección de datos
Información. personales 29733, entre otros
relacionados como PCI-DSS
(industria de tarjetas de crédito
y débito)
41
6.3. CONSIDERACIONES PARA LA PLANTILLA DE JUICIO DE EXPERTO
42
c) Tabla de calificación
Escala de
Categoría Indicador Calificación
calificación
4. Alto Los ítems son suficientes.
SUFICIENCIA
Debe incrementarse algunos criterios
La guía 3. Moderado
de valoración.
alcanza a
medir el valor Se miden algunos aspectos, pero no
2. Bajo
de los activos corresponden a la total dimensión.
para la
Los ítems no miden la valoración real
organización. 1. No cumple
de los activos de información.
La guía es clara, tiene semántica y
CLARIDAD 4. Alto
sintaxis adecuadas.
Se comprende
Se requiere de algunas
fácilmente, su 3. Moderado
modificaciones a la guía.
aplicación es
clara y con Se requiere de bastantes
2. Bajo
semántica y modificaciones.
sintáctica
adecuadas. 1. No cumple La guía no es clara ni aplicable.
43
reflejando de esta forma la validación final de la guía y sus herramientas
complementarias.
información?
Suficiencia 4 4 4 4 3 4 3.83 4
Claridad 4 4 4 4 4 4 4 4
Coherencia 4 4 3 4 3 4 3.67 4
Relevancia 4 4 3 4 3 4 3.67 4
44
De igual forma, se presenta a continuación las apreciaciones de cada
experto con respecto a las dos preguntas formuladas al final de la plantilla
utilizada para la validación como experto.
Juez Respuesta
D Ninguna, es conforme.
F Ninguna.
45
Nota del investigador: Los principios básicos de la seguridad de la
información, confidencialidad, integridad y disponibilidad, son también conocidos
como CIA por sus siglas del inglés Confidentiality, Integrity, Availability.
Juez Respuesta
46
de tipo de activos; por ejemplo, algunas instancias como ISACA
recomiendan tipificarlos como: “datos”, “infraestructura”, “procesos” y
“personas”.
47
CONCLUSIONES
48
5. El modelo para la valoración de los activos de información basado en las
normas ISO 27000, permitirá a las organizaciones, establecer una relación
costo beneficio en la implementación de controles de seguridad de la
información y en la determinación de cómo ayuda a los procesos de la
organización la implementación de un sistema de gestión de seguridad de la
información, facilitando la identificación de los activos de información y
procesos, de mayor criticidad para una adecuada gestión del riesgo.
49
RECOMENDACONES
50
REFERENCIAS BIBLIOGRÁFICAS
Cabero Almenara, J. & Llorente Cejudo, M. (2013). La aplicación del juicio de experto
como técnica de evaluación de las tecnologías de la información (TIC). Eduweb.
Revista de Tecnología de Información y Comunicación en Educación, vol. 7,
núm. 2, pp.11-22. Recuperado de http://servicio.bc.uc.edu.ve/educacion/
eduweb/v7n2/art01.pdf
Galicia Alarcón, L., Balderrama Trápaga, J. & Edel Navarro, R. (2017). Validez de
contenido por juicio de expertos: propuesta de una herramienta virtual. Apertura,
9 (2), pp. 42-53. http://dx.doi.org/10.18381/Ap.v9n2.993
Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, M. (2014).
Metodología de la Investigación. 6ta Edición. McGraw-Hill. México.
51
ISO/IEC 27000. (2014). ISO Seguridad de la información 27000-2014. Técnicas de
seguridad – Resumen y Vocabulario. International Organization for
Standardization, 2014. Número de Referencia: ISO/IEC 27000:2014(E).
Recuperado de www.iso.org
52
Presidencia del Concejo de Ministros. (2005). RESOLUCIÓN MINISTERIAL N° 395-
2005-PCM del 08 de noviembre de 2005. Modifican plazos para implementar la
Norma Técnica Peruana cuyo uso obligatorio se aprobó mediante la R.M. N°
224-2004-PCM. Publicada en Diario Oficial El Peruano, 12 de noviembre de
2005. Lima. Perú.
53
de Informática. Publicada en Diario Oficial El Peruano, 14 de enero de 2016.
Lima. Perú.
54
MIGRACIONES. Oficina de Imagen y Comunicación Estratégica, Recuperado
de: https://www.migraciones.gob.pe/ index.php/iso-seguridad-informacion/
55
ANEXOS
56
ANEXO I
b.2) Software.
a.2) Información.
b.3) Redes.
b.4) Personas.
b.5) Lugares.
b.6) Organización.
57
A) Identificación de Activos Primarios
Procesos que son necesarios para que la organización cumpla con los
requerimientos contractuales, legales o regulatorios.
58
B) Activos de Soporte
Los activos de soporte son de varios tipos y por sus vulnerabilidades son
aprovechables por las amenazas que apuntan a deteriorar a los activos
primarios.
Sistemas Operativos
59
Software de mantenimiento o administración del SO
Aplicaciones
60
Desarrolladores, personas a cargo de desarrollar las aplicaciones de la
organización. Tienen acceso a parte del sistema de información con
derechos de alto nivel, pero no toman ninguna acción sobre los datos de
producción.
Ambiente externo
61
ANEXO II
62
Son Entidades del Sistema Nacional de Informática
PODER LEGISLATIVO
1. Congreso de la República
PODER JUDICIAL
ORGANISMOS AUTÓNOMOS
PODER EJECUTIVO
63
1. Comisión de Promoción del Perú para la Exportación y el Turismo
(PROMPERU)
Sector: Defensa
Sector: Educación
Sector: Interior
64
16. Policía Nacional del Perú (PNP)
Sector: Justicia
65
Sector: Producción
Sector: Salud
66
45. Banco de Materiales SAC (BANMAT SAC)
67
ANEXO III
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
CARGO ACTUAL:
_______________________________________________________
INSTITUCIÓN:
_______________________________________________________
68
Objetivo de la investigación:
De acuerdo con los siguientes indicadores califique cada uno de los ítems según
corresponda.
Escala de
Categoría Indicador Calificación
calificación
SUFICIENCIA 4. Alto Los ítems son suficientes.
La guía alcanza a Debe incrementarse algunos criterios
3. Moderado
medir el valor de de valoración.
los activos para la Se miden algunos aspectos, pero no
organización. 2. Bajo
corresponden a la total dimensión.
Los ítems no miden la valoración real
1. No cumple
de los activos de información.
La guía es clara, tiene semántica y
CLARIDAD 4. Alto
sintaxis adecuadas.
Se comprende Se requiere de algunas
3. Moderado
fácilmente, su modificaciones a la guía.
aplicación es clara Se requiere de bastantes
y con semántica y 2. Bajo
modificaciones.
sintáctica
adecuadas. 1. No cumple La guía no es clara ni aplicable.
La guía es acorde a las normas en
COHERENCIA 4. Alto
seguridad de la información.
Existe relación Existe una relación moderada entre el
3. Moderado
lógica en la instrumento y la valoración de activos.
caracterización y La guía mide algunos aspectos, pero
valoración de los 2. Bajo
no valora los activos adecuadamente.
activos de No hay relación alguna entre el uso
información. 1. No cumple
de la guía y la valoración de activos.
69
El uso de la guía es relevante y se
RELEVANCIA 4. Alto
recomienda su aplicación.
La guía es esencial El uso de la guía es relativamente
3. Moderado
o importante, es importante.
decir, se Existen otros métodos de valorar los
recomienda su 2. Bajo
activos de información.
aplicación.
1. No cumple La guía no cumple con el objetivo.
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Fecha y Firma
70