Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Alumnos:
CUSCO - PERÚ
2020
ÍNDICE
CAPÍTULO 1: ASPECTOS GENERALES ............................................................... 6
1.1. PLANTEAMIENTO DEL PROBLEMA ............................................................. 6
1.1.1. DESCRIPCIÓN DEL PROBLEMA ........................................................... 6
1.1.2. IDENTIFICACIÓN DEL PROBLEMA ....................................................... 6
1.2. OBJETIVOS ................................................................................................... 7
1.2.1. OBJETIVO GENERAL ............................................................................. 7
1.2.2. OBJETIVOS ESPECÍFICOS.................................................................... 7
1.3. JUSTIFICACIÓN ............................................................................................ 8
1.4. LIMITACIONES .............................................................................................. 8
1.5. DELIMITACIONES ......................................................................................... 9
1.6. METODOLOGÍA QUE SE ADAPTAN SGSI.................................................... 9
1.6.1. CRONOGRAMA .................................................................................... 10
CAPÍTULO 2: MARCO TEÓRICO ......................................................................... 14
2.1. DESARROLLO DE ANTECEDENTES.......................................................... 14
2.1.1. ANTECEDENTES INTERNACIONALES ............................................... 14
2.1.2. ANTECEDENTES NACIONALES .......................................................... 16
2.2. METODOLOGÍA SCRUM ............................................................................. 19
2.2.1. ROLES SCRUM .................................................................................... 20
2.2.2. FASES SCRUM ..................................................................................... 21
2.2.3. LOS ARTEFACTOS .............................................................................. 21
2.2.4. SGSI ...................................................................................................... 22
2.3. COMPETENCIAS ......................................................................................... 22
2.3.1. COMPETENCIAS CONSTITUCIONALES ............................................. 22
2.3.2. COMPETENCIAS LEGALES ................................................................. 23
2.4. CICLO DE DEMING ..................................................................................... 23
2.4.1. CICLO PDCA: Planificar (Plan) .............................................................. 23
2.4.2. CICLO PDCA: Hacer (Do) ..................................................................... 24
2.4.3. CICLO PDCA: Controlar o Verificar (Check) .......................................... 24
2.4.4. CICLO PDCA: Actuar (Act) .................................................................... 24
2.5. DESCRIPCIÓN DE LA CONTRALORÍA ....................................................... 24
2.6. DESCRIPCIÓN DE LA NORMA TÉCNICA PERUANA ISO 27001 ............... 25
2.6.1. ESTRUCTURA DE LA NTP ISO 27001 ................................................. 25
2.7. DESCRIPCIÓN DE LA FAMILIA DE LA ISO 27000 ...................................... 27
2.7.1. ISO 27001 ............................................................................................. 27
2.7.2. ISO 27002 ............................................................................................. 28
2
2.7.3. ISO 27003 ............................................................................................. 28
2.7.4. ISO 27004 ............................................................................................. 29
2.7.5. ISO 27005 ............................................................................................. 29
2.7.6. ISO 27007 ............................................................................................. 29
2.7.7. ISO 27011 ............................................................................................. 29
2.7.8. ISO 27032 ............................................................................................. 30
2.7.9. ISO 27033 ............................................................................................. 30
2.8. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR .......................... 31
2.9. DIAGRAMA GENERAL DE LA APLICACIÓN DE UN CONTROL EN UNA
ORGANIZACIÓN .................................................................................................... 32
CAPÍTULO 3: DESARROLLO DEL PROYECTO .................................................. 33
3.1. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR .......................... 33
3.1.1. CLAUSULA A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN,
CRITERIO A.5.1 DIRECTRICES ESTABLECIDAS POR LA DIRECCIÓN PARA LA
SEGURIDAD DE LA INFORMACIÓN, CONTROL A.5.1.1 POLÍTICAS PARA LA
SEGURIDAD DE LA INFORMACIÓN .................................................................. 33
3.1.2. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 35
3.1.3. FORMATO DEL CONTROL .................................................................. 36
3.1.4. CAPTURAS DEL SOFTWARE .............................................................. 37
3.2. CLAUSULA A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN,
CRITERIO A.5.1 DIRECTRICES ESTABLECIDAS POR LA DIRECCIÓN PARA LA
SEGURIDAD DE LA INFORMACIÓN, CONTROL A.5.1.2 REVISIÓN DE LAS
POLÍTICAS PARA SEGURIDAD DE LA INFORMACIÓN........................................ 39
3.2.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 39
3.2.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 40
3.2.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 41
3.2.4. FORMATO DEL CONTROL .................................................................. 42
3.2.5. CAPTURAS DEL SOFTWARE .............................................................. 43
3.3. CLAUSULA A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN, CRITERIO A.6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO,
CONTROL A.6.2.1 POLÍTICA PARA DISPOSITIVOS MÓVILES ............................ 45
3.3.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 45
3.3.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 45
3.3.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 46
3.3.4. FORMATO DEL CONTROL .................................................................. 47
3.3.5. CAPTURAS DEL SOFTWARE .............................................................. 48
3
3.4. CLAUSULA A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN, CRITERIO A.6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO,
CONTROL A.6.2.2 TELETRABAJO ........................................................................ 50
3.4.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 50
3.4.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 51
3.4.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 52
3.4.4. FORMATO DEL CONTROL .................................................................. 53
3.4.5. CAPTURAS DEL SOFTWARE .............................................................. 54
3.5. CLAUSULA A.9 CONTROL DE ACCESO, A.9.1 REQUISITOS DEL
NEGOCIO PARA CONTROL DE ACCESO, CONTROL A.9.1.1 POLÍTICA DE
CONTROL DE ACCESO ......................................................................................... 56
3.5.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 56
3.5.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 57
3.5.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 58
3.5.4. FORMATO DEL CONTROL .................................................................. 59
3.5.5. CAPTURAS DEL SOFTWARE .............................................................. 60
BIBLIOGRAFÍA ........................................................................................................... 62
4
INTRODUCCIÓN
Si bien existen varias normas y guías, para mitigar los ataques y mantener cierto estándar
en cuanto a seguridad de datos se refiere, para el presente caso de estudio utilizaremos la
norma NTP ISO/IEC 27001:2014, la norma comprende el aseguramiento, la
confidencialidad e integridad de los datos y de la información, así como de los sistemas
que la procesan.
5
CAPÍTULO 1: ASPECTOS GENERALES
1.1. PLANTEAMIENTO DEL PROBLEMA
1.1.1. DESCRIPCIÓN DEL PROBLEMA
6
● Falta de responsables en la variación y validación de los
datos.
● Falta de implementación de planes de seguridad.
● Vulnerabilidad ante ataques externos e internos.
● Acceso de personas no autorizadas.
● Búsqueda de información irrelevante en cada área de la
organización.
1.2. OBJETIVOS
1.2.1. OBJETIVO GENERAL
7
● Elaboración de formatos auditables correspondientes a
cada control establecidos, según la NTP ISO/IEC
27001:2014.
1.3. JUSTIFICACIÓN
Con el paso de los años la informática ha ido abarcando cada día más las
distintas áreas en las cuales nos movemos a diario, por ello podemos decir
con seguridad que en la actualidad toda empresa ya sea pública o privada
o en su mayoría que maneja gran cantidad de información cuenta con
sistemas de información, lo cual las lleva a ser sometidas a un control
estricto de evaluación de eficiencia y eficacia el cual les permita garantizar
que los sistemas de información que dicha empresa posee funcionen de
una manera adecuada y correcta.
1.4. LIMITACIONES
8
1.5. DELIMITACIONES
9
1.6.1. CRONOGRAMA
10
11
12
13
CAPÍTULO 2: MARCO TEÓRICO
2.1. DESARROLLO DE ANTECEDENTES
2.1.1. ANTECEDENTES INTERNACIONALES
14
Conclusión
15
Conclusión
16
información a todos los trabajadores de área y que se
necesita contratar a personas especializado para dar soporte
a los procesos involucrados del SGSI y que es necesario
mejorar el área de logística para adquirir los controles del
tratamiento del riesgo para los activos de información. Esta
tesis se relaciona con el trabajo de investigación porque
realza el diseño del SGSI donde contribuye en la
investigación con el uso de la herramienta Biznaga para el
modelamiento de procesos utilizando la notación BPM.
Conclusión
17
lima, Perú. se desarrolló usando la metodología de la ISO
27001 en donde especifica el ciclo de Deming Mejora
Continua donde tiene 4 etapas; la primera etapa Plan se
adoptó la política de seguridad de información de la
organización, se definió una metodología de Análisis de
riesgo así mismo para la evaluación de riesgo. En la
segunda etapa hacer se implementaron los controles de
acceso físicos y lógicos, se asignaron responsabilidades y
se creó el comité de seguridad, se realizaron cursos de
concientización de seguridad le la información al personal.
En la tercera etapa Verificar se supervisó en el interior y el
exterior del perímetro de gestión, el comité de seguridad
evalúa la eficacia del SGSI mediante las auditorías. En la
cuarta etapa Actuar el comité de seguridad identificar las
mejoras que se puedan aplicar en el SGSI. Concluyen que
el SGSI asegura la disponibilidad de los servicios, las
cuales serán protegidas de tal manera que se conserve la
integridad y confidencialidad de la información. Para llegar
hasta la certificación es un logro que pocos llegan para lo
cual tuvo que pasar por las cuatro etapas donde la etapa más
importante es la que contribuye con el análisis y evaluación
de riesgo de esta investigación.
Conclusión
18
2.2. METODOLOGÍA SCRUM
19
(developers visual paradigm, 2020)
20
2.2.2. FASES SCRUM
21
3. Sprint Burndown chart y Release Burndown chart:Es
un gráfico en el cual se plasma los avances obtenidos por
el equipo de desarrollo hasta el momento y así se mantiene
un registro y se visualiza si el proyecto será terminado en
el tiempo estimado.
2.2.4. SGSI
(Porras, 2012)
2.3. COMPETENCIAS
2.3.1. COMPETENCIAS CONSTITUCIONALES
22
2.3.2. COMPETENCIAS LEGALES
23
2.4.2. CICLO PDCA: Hacer (Do)
24
administrativo, funcional, económica y financiera. Cuenta con
atribuciones especiales por el artículo 22 de la Ley Orgánica del Sistema
Nacional de Control y de la Contraloría General de la República.
25
Términos y definiciones: En este apartado se incluyen los
términos y conceptos empleados a lo largo del texto de
NTP ISO 27001.
26
Operación: Esta cláusula establece que es necesario
planificar, implementar y controlar aquellos procesos
establecidos por la organización. Además, también señala
que se debe valorar los riesgos a los que está sometida la
seguridad de la información y tomar medidas para
reducirlos o eliminarlos.
Cada norma tiene reservado un número dentro de una serie que van desde
27000 hasta 27019 y de 27030 a 27044, entre estas normas tenemos las
siguientes:
27
estableciendo unas condiciones de adaptación para aquellas
empresas que se encuentren certificadas bajo esta última.
28
necesaria para la utilización del ciclo PHVA (viene de las siglas
Planificar, Hacer, Verificar y Actuar).
29
2.7.8. ISO 27032
Consiste en 7 partes:
30
2.8. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR
A.5.1 Directrices establecidas por la dirección para la Objetivo: Brindar orientación y apoyo por parte de la dirección,
seguridad de la información para la seguridad de la información de acuerdo con los requisitos
del negocio y con las leyes y reglamentos pertinentes
A.5.1.1 Políticas para la seguridad de la información Control: Se debería definir un conjunto de políticas para la
seguridad de la información, aprobada por la dirección, publicada
y comunicada a los empleados y partes externas pertinentes.
A.5.1.2 Revisión de las políticas para seguridad de la Control: Las políticas para seguridad de la información se deberían
información revisar a intervalos planificados o si ocurren cambios significativos,
para asegurar su conveniencia, adecuación y eficacia continuas.
A.6.2 Dispositivos móviles y teletrabajo Objetivo: Garantizar la seguridad del teletrabajo y el uso de
dispositivos móviles.
A.6.2.1 Política para dispositivos móviles Control: Se deberían adoptar una política y unas medidas de
seguridad de soporte, para gestionar los riesgos introducidos por el
uso de dispositivos móviles.
A.9.1 Requisitos del negocio para control de acceso Objetivo: Limitar el acceso a información y a instalaciones de
procesamiento de información.
A.9.1.1 Política de control de acceso Control: Se debería establecer, documentar y revisar una política de
control de acceso con base en los requisitos del negocio y de
seguridad de la información.
31
2.9. DIAGRAMA GENERAL DE LA APLICACIÓN DE UN CONTROL EN UNA ORGANIZACIÓN
32
CAPÍTULO 3: DESARROLLO DEL PROYECTO
3.1. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR
33
La seguridad de la información depende de la gestión y los
procedimientos adecuados, de los empleados de la
organización, proveedores, clientes, accionistas y del nivel
de seguridad de los medios técnicos.
34
3.1.2. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
35
3.1.3. FORMATO DEL CONTROL
36
3.1.4. CAPTURAS DEL SOFTWARE
37
Interfaz del control A.5.1 Dirección de la gerencia para la seguridad de la información
38
3.2. CLAUSULA A.5 POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN, CRITERIO A.5.1 DIRECTRICES
ESTABLECIDAS POR LA DIRECCIÓN PARA LA SEGURIDAD
DE LA INFORMACIÓN, CONTROL A.5.1.2 REVISIÓN DE LAS
POLÍTICAS PARA SEGURIDAD DE LA INFORMACIÓN
39
3.2.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL
40
3.2.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
41
3.2.4. FORMATO DEL CONTROL
42
3.2.5. CAPTURAS DEL SOFTWARE
43
Interfaz del control A.5.1 Dirección de la gerencia para la seguridad de la información
Interfaz del control A.5.1.2 Revisión de las políticas para la seguridad de la información
44
3.3. CLAUSULA A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN, CRITERIO A.6.2 DISPOSITIVOS MÓVILES Y
TELETRABAJO, CONTROL A.6.2.1 POLÍTICA PARA
DISPOSITIVOS MÓVILES
45
3.3.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
46
3.3.4. FORMATO DEL CONTROL
47
3.3.5. CAPTURAS DEL SOFTWARE
48
Interfaz del control A.6.2 Dispositivos móviles y teletrabajo
49
3.4. CLAUSULA A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN, CRITERIO A.6.2 DISPOSITIVOS MÓVILES Y
TELETRABAJO, CONTROL A.6.2.2 TELETRABAJO
50
El teletrabajo altera una importante cantidad de aspectos de la vida
laboral, familiar y cotidiana e introduce novedades en los modos
tradicionales de gestión y organización del trabajo. La puesta en
marcha de una forma de trabajar que necesariamente supone un
cambio importante en cuestiones tan arraigadas, exige una
adecuada planificación y diseño de su implantación.
51
3.4.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
52
3.4.4. FORMATO DEL CONTROL
53
3.4.5. CAPTURAS DEL SOFTWARE
54
Interfaz del control A.6.2 Dispositivos móviles y teletrabajo
55
3.5. CLAUSULA A.9 CONTROL DE ACCESO, A.9.1 REQUISITOS
DEL NEGOCIO PARA CONTROL DE ACCESO, CONTROL
A.9.1.1 POLÍTICA DE CONTROL DE ACCESO
56
3.5.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL
57
3.5.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
58
3.5.4. FORMATO DEL CONTROL
59
3.5.5. CAPTURAS DEL SOFTWARE
60
Interfaz del control A.9.1 Requisitos de la empresa para el control de acceso
61
BIBLIOGRAFÍA
62