Auditoria Informe Final

FACULTAD DE INGENIERÍA Y ARQUITECTURA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
PROPUESTA DE IMPLEMENTACIÓN SGSI (SISTEMA DE

GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN) DE LOS
CONTROLES SEGÚN LA NORMA TÉCNICA PERUANA ISO/IEC
27001:2014
Docente: Ing. Palomino Olivera Emilio
Alumnos:
 Arias Champi, Saul Fernando

 Bellido Castillo, Edison Romulo
 Galdo Bautista, Harold Thomas
 Gutierrez Arias, Jose Manuel
 Hancco Cruz, Nair Estefani
 Huanca Soncco, Henry
CUSCO - PERÚ
2020
ÍNDICE
CAPÍTULO 1: ASPECTOS GENERALES ............................................................... 6
1.1. PLANTEAMIENTO DEL PROBLEMA ............................................................. 6
1.1.1. DESCRIPCIÓN DEL PROBLEMA ........................................................... 6
1.1.2. IDENTIFICACIÓN DEL PROBLEMA ....................................................... 6
1.2. OBJETIVOS ................................................................................................... 7
1.2.1. OBJETIVO GENERAL ............................................................................. 7
1.2.2. OBJETIVOS ESPECÍFICOS.................................................................... 7
1.3. JUSTIFICACIÓN ............................................................................................ 8
1.4. LIMITACIONES .............................................................................................. 8
1.5. DELIMITACIONES ......................................................................................... 9
1.6. METODOLOGÍA QUE SE ADAPTAN SGSI.................................................... 9
1.6.1. CRONOGRAMA .................................................................................... 10
CAPÍTULO 2: MARCO TEÓRICO ......................................................................... 14
2.1. DESARROLLO DE ANTECEDENTES.......................................................... 14
2.1.1. ANTECEDENTES INTERNACIONALES ............................................... 14
2.1.2. ANTECEDENTES NACIONALES .......................................................... 16
2.2. METODOLOGÍA SCRUM ............................................................................. 19
2.2.1. ROLES SCRUM .................................................................................... 20
2.2.2. FASES SCRUM ..................................................................................... 21
2.2.3. LOS ARTEFACTOS .............................................................................. 21
2.2.4. SGSI ...................................................................................................... 22
2.3. COMPETENCIAS ......................................................................................... 22
2.3.1. COMPETENCIAS CONSTITUCIONALES ............................................. 22
2.3.2. COMPETENCIAS LEGALES ................................................................. 23
2.4. CICLO DE DEMING ..................................................................................... 23
2.4.1. CICLO PDCA: Planificar (Plan) .............................................................. 23
2.4.2. CICLO PDCA: Hacer (Do) ..................................................................... 24
2.4.3. CICLO PDCA: Controlar o Verificar (Check) .......................................... 24
2.4.4. CICLO PDCA: Actuar (Act) .................................................................... 24
2.5. DESCRIPCIÓN DE LA CONTRALORÍA ....................................................... 24
2.6. DESCRIPCIÓN DE LA NORMA TÉCNICA PERUANA ISO 27001 ............... 25
2.6.1. ESTRUCTURA DE LA NTP ISO 27001 ................................................. 25
2.7. DESCRIPCIÓN DE LA FAMILIA DE LA ISO 27000 ...................................... 27
2.7.1. ISO 27001 ............................................................................................. 27
2.7.2. ISO 27002 ............................................................................................. 28
2
2.7.3. ISO 27003 ............................................................................................. 28
2.7.4. ISO 27004 ............................................................................................. 29
2.7.5. ISO 27005 ............................................................................................. 29
2.7.6. ISO 27007 ............................................................................................. 29
2.7.7. ISO 27011 ............................................................................................. 29
2.7.8. ISO 27032 ............................................................................................. 30
2.7.9. ISO 27033 ............................................................................................. 30
2.8. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR .......................... 31
2.9. DIAGRAMA GENERAL DE LA APLICACIÓN DE UN CONTROL EN UNA
ORGANIZACIÓN .................................................................................................... 32
CAPÍTULO 3: DESARROLLO DEL PROYECTO .................................................. 33
3.1. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR .......................... 33
3.1.1. CLAUSULA A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN,
CRITERIO A.5.1 DIRECTRICES ESTABLECIDAS POR LA DIRECCIÓN PARA LA
SEGURIDAD DE LA INFORMACIÓN, CONTROL A.5.1.1 POLÍTICAS PARA LA
SEGURIDAD DE LA INFORMACIÓN .................................................................. 33
3.1.2. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 35
3.1.3. FORMATO DEL CONTROL .................................................................. 36
3.1.4. CAPTURAS DEL SOFTWARE .............................................................. 37
3.2. CLAUSULA A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN,
CRITERIO A.5.1 DIRECTRICES ESTABLECIDAS POR LA DIRECCIÓN PARA LA
SEGURIDAD DE LA INFORMACIÓN, CONTROL A.5.1.2 REVISIÓN DE LAS
POLÍTICAS PARA SEGURIDAD DE LA INFORMACIÓN........................................ 39
3.2.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 39
3.2.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 40
3.3. CLAUSULA A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN, CRITERIO A.6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO,
CONTROL A.6.2.1 POLÍTICA PARA DISPOSITIVOS MÓVILES ............................ 45
3
INFORMACIÓN, CRITERIO A.6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO,
CONTROL A.6.2.2 TELETRABAJO ........................................................................ 50
3.5. CLAUSULA A.9 CONTROL DE ACCESO, A.9.1 REQUISITOS DEL
NEGOCIO PARA CONTROL DE ACCESO, CONTROL A.9.1.1 POLÍTICA DE
CONTROL DE ACCESO ......................................................................................... 56
BIBLIOGRAFÍA ........................................................................................................... 62
4
INTRODUCCIÓN
La seguridad de la información es un aspecto muy importante en las organizaciones, ya

que hoy en día se toma a los datos como muestra del contexto en el cual se encuentra la
organización y son estos mismos los que rigen el futuro y la toma de decisiones de las
empresas, por ende, es fundamental brindar métodos, guías, políticas y destinar recursos
en el cuidado de los datos e información manejada por las organizaciones. Con la
aparición de nuevas tecnologías cada vez se hace más difícil crear o implementar un
sistema que no sea vulnerable y contemple la seguridad íntegra de los datos que maneja
una organización, cada vez son más frecuentes los ataques y el descubrimiento de nuevas
vulnerabilidades en los sistemas, lo cual acrecienta una necesidad primordial y necesaria
en cuanto a la seguridad de la información se refiere.
Si bien existen varias normas y guías, para mitigar los ataques y mantener cierto estándar
en cuanto a seguridad de datos se refiere, para el presente caso de estudio utilizaremos la
norma NTP ISO/IEC 27001:2014, la norma comprende el aseguramiento, la
confidencialidad e integridad de los datos y de la información, así como de los sistemas
que la procesan.
El estándar ISO 27001:2014 para los Sistemas Gestión de la Seguridad de la Información

permite a las organizaciones la evaluación del riesgo y la aplicación de los controles
necesarios para mitigarlos o eliminarlos. Las buenas prácticas y controles que la norma
propone son fundamentales para el manejo y control de la información en una
organización, en el contexto en el cual las organizaciones son presa fácil y recurrente del
cibercrimen y tráfico de datos la norma ISO 27001:2014 es una buena opción para mitigar
los riesgos que conlleva el manejo de la información a nivel de una organización.
5
CAPÍTULO 1: ASPECTOS GENERALES
1.1. PLANTEAMIENTO DEL PROBLEMA
1.1.1. DESCRIPCIÓN DEL PROBLEMA
Tener un control de acceso seguro de la información de una

institución, es fundamental para prevenir accesos no autorizados y
pérdidas de información, por ende, es necesario poder identificar a
los usuarios y autorizar su entrada o restringirla en caso de que no
pertenezca a la institución, esto no solo mejorará la seguridad, sino
que facilitara el control.
En pocas palabras, el control de acceso debe ser concedido de

acuerdo con quién necesita saber, quién necesita usar y a cuánto
acceso requieren. Los controles de acceso según ISO 27001
pueden ser de naturaleza digital y física
Asegurar el control de los Sistemas de Información de la

Institución responde a la siguiente pregunta: ¿De qué manera un
conjunto de procesos propiciará el mejoramiento en el Control de
accesos a la Información dentro de la Institución?
1.1.2. IDENTIFICACIÓN DEL PROBLEMA
● Robo de información, ocurren cuando no se tiene un

adecuado control de acceso a la información donde
personas no autorizadas puedan acceder libremente a dicha
información.
● Alteración de la información, ocurre cuando un usuario no
autorizado accede a la información de la institución y hace
modificaciones, alterando así la información ya guardada.
● Mal uso de la información, en caso de que un usuario de la
empresa use la información de la empresa con fines de
lucro.
● Modificación y manejo de datos por personas anónimas.
6
● Falta de responsables en la variación y validación de los
datos.
● Falta de implementación de planes de seguridad.
● Vulnerabilidad ante ataques externos e internos.
● Acceso de personas no autorizadas.
● Búsqueda de información irrelevante en cada área de la
organización.
1.2. OBJETIVOS
1.2.1. OBJETIVO GENERAL
Plantear una propuesta de implementación de los controles de

Políticas para la seguridad de la información, Revisión de las
políticas para seguridad de la información, Roles y
responsabilidades para la seguridad de la información, Seguridad
de la información en la gestión de proyectos y Política de control
de acceso dentro de la organización basándose en la NTP-ISO/IEC
27001:2014.
1.2.2. OBJETIVOS ESPECÍFICOS
● Identificar las Políticas para la seguridad de la información,

Revisión de las políticas para seguridad de la información,
Roles y responsabilidades para la seguridad de la
información, Seguridad de la información en la gestión de
proyectos y Política de control de acceso.
● Identificar, analizar y seleccionar las cláusulas que

comprenden a las Políticas para la seguridad de la
información, Revisión de las políticas para seguridad de la
información, Roles y responsabilidades para la seguridad
de la información, Seguridad de la información en la
gestión de proyectos y Política de control de acceso en la
NTP ISO/IEC 27001:2014.
7
● Elaboración de formatos auditables correspondientes a
cada control establecidos, según la NTP ISO/IEC
27001:2014.
● Inserción de formatos de las cláusulas de Políticas para la

seguridad de la información, Revisión de las políticas para
seguridad de la información, Roles y responsabilidades
para la seguridad de la información, Seguridad de la
información en la gestión de proyectos y Política de control
de acceso como exige la Norma Técnica Peruana ISO/IEC
27001:2014.
1.3. JUSTIFICACIÓN
Con el paso de los años la informática ha ido abarcando cada día más las
distintas áreas en las cuales nos movemos a diario, por ello podemos decir
con seguridad que en la actualidad toda empresa ya sea pública o privada
o en su mayoría que maneja gran cantidad de información cuenta con
sistemas de información, lo cual las lleva a ser sometidas a un control
estricto de evaluación de eficiencia y eficacia el cual les permita garantizar
que los sistemas de información que dicha empresa posee funcionen de
una manera adecuada y correcta.
1.4. LIMITACIONES
● Para una buena recolección de información, previamente se debe

concientizar a los trabajadores del área de recursos humanos de la
empresa en cuanto a los aspectos teóricos y técnicos de un SGSI.
● En cuanto a la metodología empleada bajo el ISO 27001, solo se
han utilizado algunos controles.
● Veracidad e integridad del campo de acción de la organización e
inventario de todos los datos críticos.
8
1.5. DELIMITACIONES
Se hizo un enfoque en investigar la Norma Técnica Peruana ISO 27001, a

partir de esta norma se explicará 5 Controles de los cuales son, A.5.1.1
Políticas para la seguridad de la información, A.5.1.2 Revisión de las
políticas para seguridad de la información, A.6.2.1 Política para
dispositivos móviles, A.6.2.2 Teletrabajo, A.9.1.1 Política de control de
acceso; de los 116 disponibles, se trabajará con la Seguridad de la
Información en sus políticas, organización y el control de acceso.
1.6. METODOLOGÍA QUE SE ADAPTAN SGSI
La metodología adoptada es la descriptiva se centra en el análisis de

conceptos y datos reunidos para la relación que comprenden. Usando esta
metodología se adquiere información de la Norma Técnica Peruana ISO
27001:2014, en los lineamientos de controles avocados a Políticas de
seguridad de la información, la Organización de la seguridad de la
información y Controles de Acceso.
Y dentro de la construcción de un Software se aplicará una metodología
de Desarrollo Ágil que se especifica la metodología SCRUM.
También la metodología SGSI es un conjunto de responsabilidades,

procesos y procedimientos con uso de recursos con el propósito de dirigir
y controlar la seguridad de los activos de información y asegurar la
continuidad de la organización.
9
1.6.1. CRONOGRAMA
10
11
12
13
CAPÍTULO 2: MARCO TEÓRICO
2.1. DESARROLLO DE ANTECEDENTES
2.1.1. ANTECEDENTES INTERNACIONALES
 (Buenaño & Granda, 2009) en su tesis “Planeación y diseño

de un sistema de gestión de seguridad de la información
basado en la norma ISO/IEC 27001-27002” Mediante el
análisis de la situación actual de la seguridad de la
información, fue posible determinar que existe la necesidad
de robustecer los controles establecidos para salvaguardar
los activos de información. Con la información recopilada
fue posible realizar el diagrama mostrado a continuación el
cual evidencia la necesidad de aplicar estándares,
regulados, documentados y difundidos. Cumplimiento de
mejores prácticas seguridad informática UPS Guayaquil.
Hipótesis general A través de un SGSI es posible establecer
los mecanismos adecuados que mediante su aplicación
permiten mitigar al máximo los riesgos asociados al uso de
la tecnología, información y sistemas informáticos,
salvaguardando los recursos de la sede. Objetivos En
concordancia con la hipótesis general, a través de este
estudio será posible establecer cuáles serían los
mecanismos adecuados para mitigar los riesgos asociados
al uso de la información, de los sistemas y servicios
informáticos utilizados por el personal de la sede Guayaquil
de la Universidad Politécnica Salesiana. Existe al momento
controles relacionados a la seguridad de la información que
son relativamente eficientes, sin embargo, es recomendable
guiarse por lineamientos o estándares que permitan
asegurar que las medidas o prevenciones tomadas sean las
adecuadas.
14
Conclusión
Este estudio documenta las mejores prácticas en seguridad

aplicables a la Universidad Politécnica Salesiana Sede
Guayaquil, según la norma ISO/IEC 27000, resaltando
principalmente aquellos aspectos en los cuales son
principalmente necesarios robustecer los controles de
seguridad en función de los riesgos existentes y el nivel de
criticidad de los activos de información. Se recomendará la
manera más eficiente de salvaguardar los recursos
informáticos de catástrofes naturales, robos, pérdidas, y
daños intencionales o no intencionales que puedan afectar
la disponibilidad del recurso, así como establecer controles
que permitan evitar el acceso no autorizado a la información
de los sistemas y servicios utilizados por la universidad.
 (ARARAT MUÑO, 2018) La tesis trata sobre el estudio de

la empresa MA PEÑALOSA CÍA.S.A.S, la información
es de vital importancia incluso para su funcionamiento,
por lo que asegurar su protección ante cualquier riesgo es
una de las prioridades de la empresa. Está información está
archivada digitalmente en los servidores físicos y otra parte
se encuentra en el archivo físico dentro de las instalaciones.
En sus bases de datos, se maneja diferente tipo de
información relacionada con la actividad diaria que
realizan, contiene datos de empleados, proveedores, ventas
e información de clientes. En el caso de los clientes es un
activo crítico, debido a que la empresa se dedica a la venta
y distribución de materiales de construcción y al estar
expuesta esta información junto con datos de precios de
inventarios a la competencia, afectaría considerablemente
la rentabilidad de la empresa para ellos se propone la
implantación de un SGSI, el cual fortificara las
vulnerabilidades y mejorara el prestigio de la empresa.
15
Conclusión
De acuerdo al levantamiento de información realizado,

donde dio lugar al conocimiento sobre la empresa, la
percepción sobre temas de seguridad de las diferentes
personas involucradas con el manejo de los activos
informáticos, los resultados del análisis de riesgos a través
de Magerit sobre los activos de la información de la
empresa MA PEÑALOSA CÍA. S.A.S, se evidencia que es
necesario implementar un Sistema de Gestión para la
Seguridad de la Información que garantice las
características fundamentales de esta como son la
integridad, confidencialidad y disponibilidad dela
información.
2.1.2. ANTECEDENTES NACIONALES
 (Aguirre, 2014) es su tesis “Diseño de un Sistema de

Gestión de Seguridad de la Información para Servicios
Postales del Perú”, esta tesis tuvo como objetivo Diseñar
un Sistema de Gestión de Seguridad de la Información
según lo indicado por la NTP ISO/IEC 27001:2008 y la
NTP ISO/IEC 17999:2007 de seguridad de la información
para SERPOST una empresa situada en el Perú dedicada al
servicio de correspondencia, giros postales y al mercado de
envíos y encomiendas nacionales e internacionales. Se
desarrolló usando los lineamientos de la NTP-ISO/IEC
27001:2008 en la etapa de diseño se empezó con elaborar
con las documentaciones exigidas por la norma
seguidamente se valorizaron los activos de información de
la mano la elabora la evaluación de riesgos y por último
elabora la lista de controles para mitigar los riesgos
detectados. Concluyen que sólo para la etapa del diseño del
SGSI fue necesario él apoye de la alta gerencia y que es
necesario difundir las normas de seguridad de la
16
información a todos los trabajadores de área y que se
necesita contratar a personas especializado para dar soporte
a los procesos involucrados del SGSI y que es necesario
mejorar el área de logística para adquirir los controles del
tratamiento del riesgo para los activos de información. Esta
tesis se relaciona con el trabajo de investigación porque
realza el diseño del SGSI donde contribuye en la
investigación con el uso de la herramienta Biznaga para el
modelamiento de procesos utilizando la notación BPM.
Conclusión
La implementación de un SGSI trae grandes ventajas a las

organizaciones, por ello, es comprensible el deseo del
gobierno peruano de su realización en las distintas
empresas públicas; no obstante, para muchas personas
puede aún no estar claro cuáles son los pasos a seguir
o los requisitos necesarios para poder implementarlo,
como clara evidencia de ello es que, a mayo del 2013,
pocas entidades públicas habían validado con la ONGEI
el alcance de sus SGSI. Como resultado de todos los
trabajos relacionados se puede observar la clara necesidad
de una adecuada evaluación de los riesgos según las
necesidades de la organización, independientemente de la
metodología usada, esto debido a que cada empresa se rige
ante un marco legal distinto dependiendo del sector y del
país donde se desempeñe.
 (Ángeles, 2008) en su tesis “Sistema de Gestión de

Seguridad de la Información ISO 27001 para un Data
Center”, esta tesis tuvo como objetivo dar a conocer como
es el proceso de implantación de un Sistema de Gestión de
Seguridad de la Información (SGSI) y la acreditación con
la certificación ISO 27001 en una empresa dedicada a la
prestación de servicios Outsourcing y Data Center de TI en
17
lima, Perú. se desarrolló usando la metodología de la ISO
27001 en donde especifica el ciclo de Deming Mejora
Continua donde tiene 4 etapas; la primera etapa Plan se
adoptó la política de seguridad de información de la
organización, se definió una metodología de Análisis de
riesgo así mismo para la evaluación de riesgo. En la
segunda etapa hacer se implementaron los controles de
acceso físicos y lógicos, se asignaron responsabilidades y
se creó el comité de seguridad, se realizaron cursos de
concientización de seguridad le la información al personal.
En la tercera etapa Verificar se supervisó en el interior y el
exterior del perímetro de gestión, el comité de seguridad
evalúa la eficacia del SGSI mediante las auditorías. En la
cuarta etapa Actuar el comité de seguridad identificar las
mejoras que se puedan aplicar en el SGSI. Concluyen que
el SGSI asegura la disponibilidad de los servicios, las
cuales serán protegidas de tal manera que se conserve la
integridad y confidencialidad de la información. Para llegar
hasta la certificación es un logro que pocos llegan para lo
cual tuvo que pasar por las cuatro etapas donde la etapa más
importante es la que contribuye con el análisis y evaluación
de riesgo de esta investigación.
Conclusión
Como conclusión del estudio se logró mantener un buen

posicionamiento en el mercado TI para el segmento
empresarial, se mejorar la satisfacción de los clientes,
brindando servicios de calidad optimizando la
implantación, soporte, operación y entrega de los servicios
que permita mantener un clima laboral bueno y cumplir con
los compromisos acordados con los clientes. El esquema de
implantación se ejecutó siguiendo el modelo PHVA
(Planear, Hacer, Verificar y Actuar).
18
2.2. METODOLOGÍA SCRUM
Es el desarrollo ágil, no lo realizan equipos diferentes especializados, es

un equipo único, formado por personas muy competentes, con perfiles y
conocimientos que cubren las disciplinas necesarias para llevar a cabo el
trabajo. Respecto a las fases, se destaca que en el modelo SCRUM no hay
fases. En realidad, las fases pasan a ser tareas que se ejecutan cuando se
necesitan. No se hace primero el diseño del concepto o los requisitos, más
tarde el análisis, luego el desarrollo, etc. Acerca de los requisitos iniciales,
no se espera a disponer de requisitos detallados para comenzar el análisis,
ni a tener éste para pasar a la codificación. Muchas veces los requisitos no
se pueden conocer si no avanza el desarrollo y se va viendo y “tocando”
el resultado. Otras veces el mercado es tan rápido que a mitad de trabajo
las tendencias o la competencia obligarán a modificar el producto.
SCRUM tiene:
 INCERTIDUMBRE: Variable que plantea alcanzar una
proporción de un plan detallado del producto. Que sirve como
motivación al equipo.
 AUTO ORGANIZACIÓN: Soluciones presentan mejoras.
 AUTO ENRIQUECIMIENTO: Equipos multidisciplinares
enriquecidos de forma mutua que aporta soluciones para
complementarse.
 CONTROL MODERADO: Establece un control para evitar el
caos, basado en escenarios para no impedir creatividad y
espontaneidad de los miembros del equipo.
 TRANSMISIÓN DEL CONOCIMIENTO: Personas pasan
conocimiento de unos proyectos a otros y compartir la
organización.
19
(developers visual paradigm, 2020)
2.2.1. ROLES SCRUM
 PROJECT OWNER: Se asegura de que el proyecto se esté

desarrollando acorde con la estrategia del negocio. Escribe
historias de usuario, las prioriza, y las coloca en el Product
Backlog.
 MASTER SCRUM: Elimina los obstáculos que impiden

que el equipo cumpla con su objetivo.
 SOFTWARE ANALYST: Encargado de que el software

cumpla con la Calidad de Software que trabaja mediante
normativa internacional.
 DEVELOPMENT TEAM MEMBER: Son los

encargados de crear el producto para que pueda estar listo
con los requerimientos necesarios. Se recomienda que sea
un equipo multidisciplinar, de no más de 10 personas.
20
2.2.2. FASES SCRUM
 Reunión para la planificación del Sprint: En ella, se

divide el tiempo de duración del Sprint, así como el
objetivo y entregable del mismo. Además, el equipo de
desarrollo deberá saber cómo realizarlo.
 SCRUM diario: Se basa en poner en común y sincronizar

actividades para elaborar el plan del día.
 Trabajo de desarrollo durante el Sprint: Nos

aseguramos que los objetivos se están cumpliendo, que no
se producen cambios que alteran el objetivo del Sprint y se
mantiene una retroalimentación constante con el cliente o
dueño del proyecto.
 Revisión del Sprint: Reunión con el cliente o dueño del

proyecto, en la que se estudia y revisa el Product Backlog
de la iteración. Se definen los aspectos a cambiar, en caso
necesario, de mayor valor o probables para planificarlo en
la siguiente iteración.
 Retrospectiva del proyecto: Oportunidad del equipo de

desarrollo para mejorar su proceso de trabajo y aplicar los
cambios en las siguientes iteraciones.
2.2.3. LOS ARTEFACTOS
1. Product Backlog: Lista de requerimientos que se necesita

implementar en el proyecto que se va aumentando con el
avance del proyecto.
2. Sprint Backlog: Es una lista de elementos que se deben

trabajar en el proyecto, se actualiza en cada iteración.
21
3. Sprint Burndown chart y Release Burndown chart:Es
un gráfico en el cual se plasma los avances obtenidos por
el equipo de desarrollo hasta el momento y así se mantiene
un registro y se visualiza si el proyecto será terminado en
el tiempo estimado.
2.2.4. SGSI
(Porras, 2012)
2.3. COMPETENCIAS
2.3.1. COMPETENCIAS CONSTITUCIONALES
Debe haber un Control y Supervisión de las entidades públicas de

forma descentralizada y permanente de acuerdo al Artículo 199 de
la Constitución Política del Perú.
22
2.3.2. COMPETENCIAS LEGALES
 Tener acceso total a los registros, documentación e

información de las entidades, aun si es secreto, con la
limitación que no viole la libertad individual.
 Los Órganos del Sistema realicen acciones de control de

acuerdo a su juicio que sea amparado por la ley.
 Supervisar y garantizar el cumplimiento de las

recomendaciones de los informes de control de cualquiera
de los órganos del sistema.
2.4. CICLO DE DEMING
El proceso de evaluación y gestión es muy importante para la NTP-

ISO/IEC 27001:2014 por lo que el Ciclo de Calidad de Deming la cual
consta de: Planificar, Hacer, Verificar y Actuar (PDCA, siglas en ingles).
Este ciclo de mejoras continuas, en sus cuatro pasos:
2.4.1. CICLO PDCA: Planificar (Plan)
En esta primera fase se establece actividades necesarias del

proceso para llegar al resultado esperado donde es necesario:
 Recopilar datos para profundizar el conocimiento del

proceso.
 Detallar especificaciones de los resultados esperados.
 Definir actividades necesarias para lograr producto o
servicio, verificando los requisitos especificados.
 Establece objetivos y procesos necesarios para conseguir
resultados necesarios con los requerimientos del cliente y
políticas de la organización.
23
2.4.2. CICLO PDCA: Hacer (Do)
A partir de resultados conseguidos en la fase anterior se procede a

recopilar lo aprendido y ponerlo en marcha.
También suele aparecer recomendaciones y observaciones que

suelen servir para volver al paso inicial y así el círculo nunca dejará
de fluir.
2.4.3. CICLO PDCA: Controlar o Verificar (Check)
Los datos de control son recopilados para analizarlos y

compararlos con los requisitos especificados para saber si se ha
cumplido y si se ha producido la mejora esperada.
Si la mejora no cumple con las expectativas habrá que modificarlas

para ajustar a los objetivos planteados.
2.4.4. CICLO PDCA: Actuar (Act)
Una vez finalizado el periodo de prueba se debe estudiar los

resultados y compararlos con el funcionamiento de actividades
antes de haber sido implantada la propuesta.
Si los resultados son satisfactorios se implantará la mejora de

forma definitiva y si no lo son habrá que decidir si se realiza los
cambios para ajustar los resultados o si desecharlo.
Una vez terminado este paso, se debe volver al primer paso en

cierto tiempo para estudiar nuevas mejoras a implementar.
2.5. DESCRIPCIÓN DE LA CONTRALORÍA
La Contraloría General de la República es la máxima autoridad del

Sistema de Control. Sus tareas constan de supervisar, vigilar y verificar la
correcta aplicación de las políticas públicas y uso de recursos y bienes del
Estado. Para realizar sus funciones cuenta con autonomía en el ámbito
24
administrativo, funcional, económica y financiera. Cuenta con
atribuciones especiales por el artículo 22 de la Ley Orgánica del Sistema
Nacional de Control y de la Contraloría General de la República.
2.6. DESCRIPCIÓN DE LA NORMA TÉCNICA PERUANA ISO 27001
En Perú contamos con la NTP ISO 27001 para garantizar tanto la

confidencialidad como la integridad de la información, pero también de
los sistemas que lo tratan. La NTP ISO IEC 27001 para los Sistemas de
Gestión de la Seguridad de la Información o SGSI hace posible que las
organizaciones evalúen el riesgo y apliquen los controles indispensables
para proceder a su mitigación o total eliminación. Como ocurre con otras
normas ISO, la NTP ISO 27001 permite que las organizaciones se
diferencian del resto de las entidades que compiten en el mismo mercado
y además la reputación también aumenta niveles considerables. Para
realizar una adecuada gestión de la seguridad de la información, las
organizaciones deben recurrir también a la ISO 27002 que aporta
recomendaciones de las mejores prácticas en la gestión de la seguridad de
la información.
2.6.1. ESTRUCTURA DE LA NTP ISO 27001
La NTP ISO 27001, sigue la Estructura de Alto Nivel, también

conocida como Anexo SL. A continuación, hablaremos de cada
uno de sus apartados.
 Objeto y campo de aplicación: Después de la introducción,

este es el primer apartado de la norma, en el que indica una
serie de recomendaciones sobre el uso, aplicación y
objetivo de la NTP ISO 27001.
 Referencias Normativas: En esta cláusula se menciona la

importancia de consultar documentos vinculados con la
implementación y mantenimiento de la norma ISO 27001.
25
 Términos y definiciones: En este apartado se incluyen los
términos y conceptos empleados a lo largo del texto de
NTP ISO 27001.
 Contexto de la Organización: Es un apartado bastante

destacable ya que habla de la necesidad de que las
organizaciones conozcan el contexto en el que desarrollan
su actividad, a nivel interno y externo.
 Liderazgo: La cláusula establece que los empleados

involucrados en el sistema deben participar en la
implementación de la norma. Con esta nueva versión, la
alta dirección tiene la responsabilidad de exponer su
liderazgo y compromiso, además entre sus funciones
destacamos la de elaborar la política de seguridad de la
información, la cual debe ser conocida por toda la
organización. Del mismo modo se debe encargar de la
asignación de responsabilidades, roles y autoridades entre
los trabajadores.
 Planificación: En este apartado de la NTP ISO/IEC 27001,

centra su atención en la necesidad de identificar los riesgos
y oportunidades cuando se va a realizar la planificación del
Sistema de Gestión de Seguridad de la Información, así
como cuando se establecen los objetivos y la manera de
alcanzarlos.
 Soporte: Este punto de la norma indica que los recursos.,

competencias, conciencia, comunicación y la información
documentada son vitales para garantizar el correcto
funcionamiento del Sistema de Gestión de Seguridad de la
Información o SGSI.
26
 Operación: Esta cláusula establece que es necesario
planificar, implementar y controlar aquellos procesos
establecidos por la organización. Además, también señala
que se debe valorar los riesgos a los que está sometida la
seguridad de la información y tomar medidas para
reducirlos o eliminarlos.
 Evaluación del desempeño: Este apartado de la NTP ISO

27001 define que es imprescindible realizar un
seguimiento, medición, análisis, evaluación, auditoría
interna y revisión por parte de la dirección del SGSI para
garantizar que se desarrolla como debería lo planificado.
 Mejora: A través de este apartado se señala las obligaciones

que tienen las organizaciones tras detectar una no
conformidad en el Sistema de Gestión de Seguridad de la
Información para asegurar la mejora continua del
funcionamiento del SGSI.
2.7. DESCRIPCIÓN DE LA FAMILIA DE LA ISO 27000
La Organización Internacional de Estandarización (ISO) recoge un

extenso número de normas dentro de la familia de ISO 27000.
Cada norma tiene reservado un número dentro de una serie que van desde
27000 hasta 27019 y de 27030 a 27044, entre estas normas tenemos las
siguientes:
2.7.1. ISO 27001
La última versión de esta norma fue publicada en el año 2013. Es

la norma principal de toda la serie ya que incluye todos los
requisitos del Sistema de Gestión de Seguridad de la Información
en las organizaciones. La ISO 27001 sustituye a la BS 7799-2
27
estableciendo unas condiciones de adaptación para aquellas
empresas que se encuentren certificadas bajo esta última.
La NTP ISO/IEC 27001:2014, es una traducción de la Norma

Internacional ISO 27001:2013, que en la actualidad es difundida
por el Instituto Nacional de la Calidad (INACAL), esta Norma,
especifica una serie de requisitos de seguridad de la información a
cumplir por la organización para poder implementar, establecer,
mantener y mejorar un Sistema de Gestión de Seguridad de la
Información.
En esta norma podemos encontrar 14 dominios, 35 objetivos de

control y 114 controles, organizados de la siguiente manera:
Controles de la NTP ISO/IEC 27001:2014.

2.7.2. ISO 27002
Es un manual de buenas prácticas en la que se describen los

objetivos de control y las evaluaciones recomendables en cuanto a
la seguridad de la información. Esta norma no es certificable. En
ella podemos encontrar 39 objetivos de control y 133 controles
agrupados en 11 dominios diferentes.
2.7.3. ISO 27003
Es un manual para implementar un Sistema de Gestión de

Seguridad de la Información y, además, nos da la información
28
necesaria para la utilización del ciclo PHVA (viene de las siglas
Planificar, Hacer, Verificar y Actuar).
2.7.4. ISO 27004
En este estándar se especifican las técnicas de medida y las

métricas que son aplicables a la determinación de la eficacia de un
Sistema de Gestión de Seguridad de la Información y los controles
relacionados. Las métricas se utilizan para la medición de los
componentes de las fases “implementar y utilizar” del ciclo
deming.
2.7.5. ISO 27005
Esta normativa establece las diferentes directrices para la gestión

de los Riesgos en la Seguridad de la Información. Se trata de una
norma de apoyo a los conceptos generales que vienen especificados
en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de
una forma satisfactoria, la seguridad de la información basada en
un enfoque de gestión de riesgos.
2.7.6. ISO 27007
Es un manual de auditoría de un Sistema de Gestión de Seguridad

de la Información. Es un estándar Internacional el cual ha sido
creado para proporcionar un modelo para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema de
Gestión de Seguridad de la Información (SGSI).
2.7.7. ISO 27011
Es una guía de gestión de seguridad de la información específica

para telecomunicaciones Ha sido elaborada conjuntamente con la
Unión Internacional de Telecomunicaciones (ITU).
29
2.7.8. ISO 27032
Es un texto relativo a la ciber-seguridad. Se trata de un estándar

que garantiza directrices de seguridad que desde la organización
ISO han asegurado que “proporcionará una colaboración general
entre las múltiples partes interesadas para reducir riesgos en
Internet”. Más concretamente, ISO/IEC 27032 proporciona un
marco seguro para el intercambio de información, el manejo de
incidentes y la coordinación para hacer más seguros los procesos.
2.7.9. ISO 27033
Es una norma derivada de la norma de seguridad ISO/IEC 18028

de la red. Esta norma da una visión general de seguridad de la red
y de los conceptos asociados. Explica las definiciones relacionadas
y aporta orientación de la gestión de la seguridad de la red.
Consiste en 7 partes:
 Gestión de seguridad de redes

 Arquitectura de seguridad de redes
 Marcos de redes de referencia
 Aseguramiento de las comunicaciones entre redes
mediante gateways.
 Acceso remoto
 Salvaguardia de comunicaciones en redes mediante VPNs
 Diseño e implementación de seguridad en redes.
30
2.8. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR
A.5 Políticas de seguridad de la información Estrategias
A.5.1 Directrices establecidas por la dirección para la Objetivo: Brindar orientación y apoyo por parte de la dirección,
seguridad de la información para la seguridad de la información de acuerdo con los requisitos
del negocio y con las leyes y reglamentos pertinentes
A.5.1.1 Políticas para la seguridad de la información Control: Se debería definir un conjunto de políticas para la
seguridad de la información, aprobada por la dirección, publicada
y comunicada a los empleados y partes externas pertinentes.
A.5.1.2 Revisión de las políticas para seguridad de la Control: Las políticas para seguridad de la información se deberían
información revisar a intervalos planificados o si ocurren cambios significativos,
para asegurar su conveniencia, adecuación y eficacia continuas.
A.6 Organización de la seguridad de la información Estrategias
A.6.2 Dispositivos móviles y teletrabajo Objetivo: Garantizar la seguridad del teletrabajo y el uso de
dispositivos móviles.
A.6.2.1 Política para dispositivos móviles Control: Se deberían adoptar una política y unas medidas de
seguridad de soporte, para gestionar los riesgos introducidos por el
uso de dispositivos móviles.
A.6.2.2 Teletrabajo Control: Se deberían implementar una política y unas medidas de

seguridad de soporte, para proteger la información a la que se tiene
acceso, que es procesada o almacenada en los lugares en los que se
realiza teletrabajo.
A.9 Control de acceso Estrategias
A.9.1 Requisitos del negocio para control de acceso Objetivo: Limitar el acceso a información y a instalaciones de
procesamiento de información.
A.9.1.1 Política de control de acceso Control: Se debería establecer, documentar y revisar una política de
control de acceso con base en los requisitos del negocio y de
seguridad de la información.
31
2.9. DIAGRAMA GENERAL DE LA APLICACIÓN DE UN CONTROL EN UNA ORGANIZACIÓN
32
CAPÍTULO 3: DESARROLLO DEL PROYECTO
3.1. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR
3.1.1. CLAUSULA A.5 POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN, CRITERIO A.5.1 DIRECTRICES
ESTABLECIDAS POR LA DIRECCIÓN PARA LA
SEGURIDAD DE LA INFORMACIÓN, CONTROL A.5.1.1
POLÍTICAS PARA LA SEGURIDAD DE LA
INFORMACIÓN
3.1.1.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL
Seguridad significa disponer de medios que permitan

reducir lo más que se pueda, la vulnerabilidad de la
información y de los recursos; aunque no se puede alcanzar
el 100% de seguridad, la tendencia debe ser llegar a ese
valor extremo.
Los hackers, crackers están vigilando permanentemente las

redes con el fin de encontrar las vulnerabilidades o
debilidades de un sistema de información, el desarrollo del
software ha permitido hacer cada vez más fácil la
configuración y su utilización, Internet también permite la
conectividad de todo tipo de usuario, de esta forma las
amenazas a la seguridad de la Información están latentes y
en cualquier momento un servidor o dispositivo de red
puede ser atacado con fines negativos a la imagen de la
Empresa o Institución, a su funcionalidad y otros aspectos.
La información constituye uno de los recursos principales

de una organización, por lo tanto, se la debe proteger,
mediante un conjunto de actividades, controles y políticas
de seguridad que se deben implementar en base a recursos
humanos, hardware y software.
33
La seguridad de la información depende de la gestión y los
procedimientos adecuados, de los empleados de la
organización, proveedores, clientes, accionistas y del nivel
de seguridad de los medios técnicos.
3.1.1.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL
 Exceso de los costos operativos y financieros

 No se podrán identificar ni minimizar los
problemas o deficiencias a los cuales se expone la
información
 Que nunca se establezca una cultura de seguridad y
tampoco se cumpla los requerimientos legales,
contractuales, regulatorios y normativos vigentes.
 Podría generarse situaciones de fuga de
información o en el peor de los casos robo de la
misma
 Se genera desconfianza dentro del personal de la
entidad pues la información no podría contener la
consistencia adecuada
 La institución podría dar una imagen de desorden
 Cuando suceda algún inconveniente o imprevisto,
no se tendrá un plan de acción o una forma de
sobrellevar el problema.
34
3.1.2. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
35
3.1.3. FORMATO DEL CONTROL
36
3.1.4. CAPTURAS DEL SOFTWARE
Interfaz principal del Sistema
Control A.5 Políticas de seguridad de la información
37
Interfaz del control A.5.1 Dirección de la gerencia para la seguridad de la información
Interfaz de control A.5.1.1 Políticas para la seguridad de la información
38
3.2. CLAUSULA A.5 POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN, CRITERIO A.5.1 DIRECTRICES
ESTABLECIDAS POR LA DIRECCIÓN PARA LA SEGURIDAD
DE LA INFORMACIÓN, CONTROL A.5.1.2 REVISIÓN DE LAS
POLÍTICAS PARA SEGURIDAD DE LA INFORMACIÓN
3.2.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL
Las políticas de seguridad de la información deben ser revisadas y

aprobadas por el comité delegado por la organización, para el
cumplimiento de esta función.
En este control se cerciora el cumplimiento y la adaptación, de los

lineamientos continuos y objetivos de la organización, plasmados
en las políticas para la seguridad de la información, los cuales
deben adecuarse a las necesidades y cambios que sufre a lo largo
del tiempo dicha organización, por lo cual debe tomarse como un
proceso de control dinámico y adaptable a cambios, así como
también debe contar con el compromiso de todos los empleados y
administrativos de la misma, conociendo sus beneficios y riesgos
de no aplicarse de forma correcta y periódica. También cumple con
el objetivo de mantener el Sistema de Gestión de Seguridad de la
Información actualizado y lo ayuda a cumplir con su verdadero
objetivo dentro de las buenas prácticas en la seguridad de la
información, así como también satisfacer el punto clave referido a
la mejora continua y cumplimiento de la Norma Técnica Peruana
NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas
de Seguridad. Sistemas de Gestión de Seguridad de la Información.
Requisitos.
39
3.2.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL
 No se podrá dar una retroalimentación del actual

funcionamiento de la política de seguridad de información.
 No se podrá solucionar e identificar los problemas en el sistema.
 En caso de que existan cambios y modificaciones en el sistema,
no se podrá monitorear su adecuado funcionamiento.
 Si no se realiza una revisión pertinente de las políticas de
seguridad de información implantadas en el sistema, no se podrá
generar reportes , ni se podrán realizar modificaciones en el
sistema.
40
41
42
Control A.5 Políticas de seguridad de la información
43
Interfaz del control A.5.1 Dirección de la gerencia para la seguridad de la información
Interfaz del control A.5.1.2 Revisión de las políticas para la seguridad de la información
44
INFORMACIÓN, CRITERIO A.6.2 DISPOSITIVOS MÓVILES Y
TELETRABAJO, CONTROL A.6.2.1 POLÍTICA PARA
DISPOSITIVOS MÓVILES
Las medidas adoptadas en las políticas de seguridad deben actuar

también para los dispositivos móviles como los smartphones y
teniendo en cuenta la gestión de riesgos. Pero esto no significa
eliminar BYOD de las políticas, sino deben proporcionar
soluciones alternas por si el uso de los ordenadores no está
disponible, por lo que también hay políticas para el acceso de estos
dispositivos especiales únicos, pero tomando en cuenta también
mecanismos de protección para los dispositivos móviles.
 Filtración de datos, los datos de la empresa se verán

vulnerables a robo de información.
 Saturación de la red, descargo y uso inadecuado de la red,
causa lentitud y baja fiabilidad en el uso de los servicios de
la organización.
 Peligro de phishing, los equipos móviles son los principales
puntos en recibir ataques de phishing, que vulneran la
información manejada en el dispositivo y desembocan en
robo de datos referentes a la empresa.
 Gestión inadecuada de las sesiones, el uso de tokens para
acceso rápido a las aplicaciones de celulares genera una
falta de control de sesiones al acceder sin autenticarse a los
aplicativos y red de la empresa.
45
46
47
Control A.6 Organización de la seguridad de la información
48
Interfaz del control A.6.2 Dispositivos móviles y teletrabajo
Interfaz del control A.6.2.1 Política de dispositivos móviles
49
INFORMACIÓN, CRITERIO A.6.2 DISPOSITIVOS MÓVILES Y
TELETRABAJO, CONTROL A.6.2.2 TELETRABAJO
Si bien existe un concepto común sobre lo que es el teletrabajo, es

difícil encontrar una definición que satisfaga a todos. El problema
radica en dar una definición a un concepto relativamente nuevo,
que sigue conformándose en cada momento (en cuanto depende de
las posibilidades de las tecnologías de las comunicaciones y de la
incorporación de éstas a la organización del trabajo) y que no está
claro cómo evolucionará y cuál será su impacto final sobre aspectos
muy diversos (mundo laboral, social, familiar).
Existe acuerdo generalizado sobre tres elementos básicos que
contribuyen a delimitar el concepto de teletrabajo:
 El teletrabajo se refiere a una actividad profesional
remunerada.
 La descentralización del lugar de trabajo.
 Los medios y la tecnología utilizada para desarrollar el
trabajo.
En este sentido, puede decirse que el teletrabajo consiste en el
desarrollo de una actividad laboral remunerada, para la que se
utiliza, como herramienta básica de trabajo, las tecnologías de la
información y telecomunicación y en el que no existe una presencia
permanente ni en el lugar físico de trabajo de la empresa que ofrece
los bienes o servicios ni en la empresa que demanda tales bienes o
servicios.
De acorde con esta definición las posibilidades de teletrabajar son

muchas y variadas; establecer el lugar físico de trabajo en el
domicilio particular, acudir a centros compartidos que ofrezcan
tecnologías de telecomunicaciones (telecottages), el personal
nómada de una empresa (red comercial), etc.
50
El teletrabajo altera una importante cantidad de aspectos de la vida
laboral, familiar y cotidiana e introduce novedades en los modos
tradicionales de gestión y organización del trabajo. La puesta en
marcha de una forma de trabajar que necesariamente supone un
cambio importante en cuestiones tan arraigadas, exige una
adecuada planificación y diseño de su implantación.
 En caso de que algún trabajador no pueda asistir a la

empresa de manera presencial y si no se posee un plan de
teletrabajo entonces se puede hacer notar una dificultad
para realizar las tareas rutinarias porque su ausencia
significara retraso e incluso pérdidas para la empresa en sus
procesos.
 Puede existir en caso extremos como estrés laboral en casos
especiales.
 En caso de que un cliente no pueda realizar presencia en la
empresa entonces puede existir el caso de que pierda el
contacto.
51
52
53
Control A.6 Organización de la seguridad de la información
54
Interfaz del control A.6.2 Dispositivos móviles y teletrabajo
Interfaz del control A.6.2.2 Teletrabajo
55
3.5. CLAUSULA A.9 CONTROL DE ACCESO, A.9.1 REQUISITOS
DEL NEGOCIO PARA CONTROL DE ACCESO, CONTROL
A.9.1.1 POLÍTICA DE CONTROL DE ACCESO
Una política de control de acceso se debe establecer, documentar y

revisar de acuerdo a los requerimientos de la organización y la
seguridad de la información.
El control de acceso implica quien tiene acceso a los sistemas de
información específicos y recursos en un momento dado.
Para controlar el acceso a los recursos de la organización (espacio
de trabajo, equipos, servicios de red, sistemas de información, etc.),
los usuarios pasan por tres pasos. Estos pasos son identificación
autentificación y autorización.
Los controles de acceso también hacen posible llevar un registro
automatizado de los movimientos de un individuo o grupo dentro
de un espacio determinado de la organización.
En pocas palabras, el control de acceso debe ser concedido de
acuerdo con quién necesita saber, quién necesita usar y a cuánto
acceso requieren. Los controles de acceso según ISO 27001 pueden
ser de naturaleza digital y física: por ejemplo, restricciones de
permisos en las cuentas de usuario, así como limitaciones sobre
quién puede acceder a ciertas ubicaciones físicas.
56
Una falta de control de los accesos a la información, los recursos

de tratamiento de la información y los procesos de negocio en base
a las necesidades de seguridad y de negocio de la organización
permite la materialización de potenciales amenazas, entre otras
posibles, como:
 Pérdida de servicios esenciales (energía eléctrica,
telecomunicaciones, aire acondicionado/agua, ...) en
accesos a sistemas IoT/industriales.
 Compromiso de información (intercepción, divulgación,
manipulación de hardware, manipulación de software, ...)
 Compromiso de información (intercepción, espionaje en
remoto, manipulación de hardware, manipulación de
software, ...)
 Compromiso de las funciones (Error en el uso, abuso de
privilegios, suplantación de identidad, falsificación de
privilegios, denegación de acciones, ...)
57
58
59
Control A.9 Control de acceso
60
Interfaz del control A.9.1 Requisitos de la empresa para el control de acceso
Interfaz del control A.9.1.1 Políticas de control de acceso
61
BIBLIOGRAFÍA
developers visual paradigm. (8 de 3 de 2020). Visual paradigm. Obtenido de

SCRUM: www.visual-paradigm.com/scrum/10-basic-scrum-rules/
ISO. (2014). Norma técnica peruana NTP-ISO/IEC 27001:2014. Lima:

INDECOPI.
contraloria.gob.pe. (14 de 5 de 2020). CONOCE LA CONTRALORÍA. Obtenido

de www.contraloria.gob.pe:
www.contraloria.gob.pe/wps/wcm/connect/CGRNew/as_contraloria/as_
portal/Conoce_la_contraloria/conoceContraloria/QuienesSomos/
Aguirre, D. (2014). Diseño de un Sistema de Gestión de Seguridad de

Información para Servicios Postales del Perú S.A. Lima: Universidad Catolica
del Peru.
Angeles, S. (2008). Sistema de gestión de seguridad de información ISO 27001

para un Data Center (Tesis de grado). Lima: UNI.
Buenaño, J., & Granda, M. (2009). Planeación y diseño de un sistema de gestión

de seguridad de la información basado en la norma ISO/IEC 27001-
27002. Guayaquil, Ecuador. Guayaquil: Universidad Politécnica
Salesiana.
Capita Secure Information Systems . (2015). Benefits of ISO 27001.

Chippenham: Capita PLC.
NTP ISO 27001. (s.f.). Obtenido de Isotools excellence, PLATAFORMA

TECNOLÓGICA PARA LA GESTIÓN DE LA EXCELENCIA:
https://www.isotools.pe/normas/ntp-iso-27001/
62

Auditoria Informe Final

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Informe Final

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE INGENIERÍA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

PROPUESTA DE IMPLEMENTACIÓN SGSI (SISTEMA DE

Docente: Ing. Palomino Olivera Emilio

 Arias Champi, Saul Fernando

La seguridad de la información es un aspecto muy importante en las organizaciones, ya

El estándar ISO 27001:2014 para los Sistemas Gestión de la Seguridad de la Información

Tener un control de acceso seguro de la información de una

En pocas palabras, el control de acceso debe ser concedido de

Asegurar el control de los Sistemas de Información de la

1.1.2. IDENTIFICACIÓN DEL PROBLEMA

● Robo de información, ocurren cuando no se tiene un

Plantear una propuesta de implementación de los controles de

1.2.2. OBJETIVOS ESPECÍFICOS

● Identificar las Políticas para la seguridad de la información,

● Identificar, analizar y seleccionar las cláusulas que

● Inserción de formatos de las cláusulas de Políticas para la

● Para una buena recolección de información, previamente se debe

Se hizo un enfoque en investigar la Norma Técnica Peruana ISO 27001, a

1.6. METODOLOGÍA QUE SE ADAPTAN SGSI

La metodología adoptada es la descriptiva se centra en el análisis de

También la metodología SGSI es un conjunto de responsabilidades,

 (Buenaño & Granda, 2009) en su tesis “Planeación y diseño

Este estudio documenta las mejores prácticas en seguridad

 (ARARAT MUÑO, 2018) La tesis trata sobre el estudio de

De acuerdo al levantamiento de información realizado,

2.1.2. ANTECEDENTES NACIONALES

 (Aguirre, 2014) es su tesis “Diseño de un Sistema de

La implementación de un SGSI trae grandes ventajas a las

 (Ángeles, 2008) en su tesis “Sistema de Gestión de

Como conclusión del estudio se logró mantener un buen

Es el desarrollo ágil, no lo realizan equipos diferentes especializados, es

2.2.1. ROLES SCRUM

 PROJECT OWNER: Se asegura de que el proyecto se esté

 MASTER SCRUM: Elimina los obstáculos que impiden

 SOFTWARE ANALYST: Encargado de que el software

 DEVELOPMENT TEAM MEMBER: Son los

 Reunión para la planificación del Sprint: En ella, se

 SCRUM diario: Se basa en poner en común y sincronizar

 Trabajo de desarrollo durante el Sprint: Nos

 Revisión del Sprint: Reunión con el cliente o dueño del

 Retrospectiva del proyecto: Oportunidad del equipo de

2.2.3. LOS ARTEFACTOS

1. Product Backlog: Lista de requerimientos que se necesita

2. Sprint Backlog: Es una lista de elementos que se deben

Debe haber un Control y Supervisión de las entidades públicas de

 Tener acceso total a los registros, documentación e

 Los Órganos del Sistema realicen acciones de control de

 Supervisar y garantizar el cumplimiento de las

2.4. CICLO DE DEMING

El proceso de evaluación y gestión es muy importante para la NTP-

Este ciclo de mejoras continuas, en sus cuatro pasos:

2.4.1. CICLO PDCA: Planificar (Plan)

En esta primera fase se establece actividades necesarias del

 Recopilar datos para profundizar el conocimiento del

A partir de resultados conseguidos en la fase anterior se procede a

También suele aparecer recomendaciones y observaciones que

2.4.3. CICLO PDCA: Controlar o Verificar (Check)

Los datos de control son recopilados para analizarlos y

Si la mejora no cumple con las expectativas habrá que modificarlas

2.4.4. CICLO PDCA: Actuar (Act)

Una vez finalizado el periodo de prueba se debe estudiar los

Si los resultados son satisfactorios se implantará la mejora de