Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA INFORMACIÓN EN LA
ADMINISTRACIÓN
TRIBUTARIA
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
Contenido
Introducción ................................................................................................................ 2
UNIDAD I: POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN LA SUNAT ...... 3
1.1. Políticas de seguridad ..................................................................................... 3
1.1.1. Organización de la seguridad de la información ........................................ 5
1.1.1.1. Comité de Gobierno Digital en la SUNAT ................................................ 5
1.1.1.2. Dispositivos móviles y teletrabajo ........................................................... 6
1.1.2. Seguridad de recursos humanos ................................................................ 7
1.1.2.1. Seguridad Antes del Empleo .................................................................... 7
1.1.2.2. Seguridad Durante del Empleo ................................................................ 9
1.1.2.3. Seguridad en la Terminación y Cambio de Empleo .............................. 10
1.1.3. Gestión de activos ...................................................................................... 11
1.1.3.1. Clasificación de la información .............................................................. 11
1.1.3.2. Manejo de los medios ............................................................................. 12
1.1.4. Control de accesos..................................................................................... 12
1.1.4.1. Responsabilidades de los usuarios....................................................... 13
1.1.4.2. Control de acceso a sistema y aplicación ............................................. 13
1.1.5. Criptografía ................................................................................................. 14
1.1.6. Seguridad física y ambiental...................................................................... 14
1.1.6.1. Perímetro de Seguridad Física ............................................................... 15
1.1.6.2. Control de Acceso Físico ....................................................................... 16
1.1.6.3. Equipos .................................................................................................... 17
1.1.6.4. Política de escritorios y pantallas limpias ............................................. 18
1.1.7. Seguridad de las operaciones ................................................................... 19
1.1.7.1. Protección contra códigos maliciosos .................................................. 19
1.1.7.2. Respaldo .................................................................................................. 19
1.1.7.3. Registro y monitoreo .............................................................................. 20
1.1.8. Seguridad de las comunicaciones ............................................................ 20
1.1.9. Adquisición, desarrollo y mantenimiento de sistemas ............................ 20
1.1.10. Relaciones con los proveedores............................................................ 21
1.1.11. Gestión de incidentes de seguridad de la información ........................ 22
1.1.12. Aspectos de seguridad de la información en la gestión de la
continuidad del negocio ........................................................................................... 22
1.1.13. Cumplimiento .......................................................................................... 23
1
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
Introducción
Desde octubre de 2014 el Perú empezó el proceso de acercamiento formal hacia el Foro
Global 1 (en adelante, GF) sobre Transparencia y el intercambio de información con fines
fiscales de la OCDE 2. El objetivo de este acercamiento es convertirnos en miembros
plenos del GF, por ello el país se ha comprometido a pasar dos evaluaciones de pares
denominadas Fase I y Fase II.
Cabe indicar, que hay varios compromisos en marcha relacionados a esta decisión de
adhesión al GF y a la ejecución de los Intercambios de Información (EOI 3): ejecutar
intercambios a requerimiento (EOIR4), realizar intercambios espontáneos con partes
relevantes (SEOI 5), intercambiar automáticamente información financiera bancaria e
información financiera bursátil (AEOI 6), intercambiar automáticamente información
sobre otras rentas, intercambiar información sobre el Reporte país por país (CbCR 7),
entre otras.
Adicionalmente se abre la posibilidad de adherirnos a la Convención Multilateral de
Asistencia Administrativa Mutua en Materia Fiscal (CAMT 8) convención que permitiría
acceder al Perú a un convenio multilateral que le facilitaría la obtención de asistencia
administrativa de más de 90 países.
1
Por sus siglas en inglés: Global Forum.
2
OCDE: Organización para la cooperación y el desarrollo económico
3
EOI: Exchange of information – Intercambio de Información.
4
EOIR: Exchange of information on request - Intercambio de Información a requerimiento.
5
SEOI: Spontaneus Exchange of information – Intercambio de Información espontanea.
6
AEOI: Automatic Exchange of information – Intercambio de Información Automática
7
CbCR: Country by Country Reporting – Reporte país por país
8
http://www.oecd.org/tax/exchange-of-tax-information/48094024.pdf
2
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
Objetivo
3
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
Responsabilidades
En general para los usuarios de la información se debe cumplir con todas las
disposiciones sobre Seguridad de la Información, y de manera particular:
Cumplir con las políticas y procedimientos de Seguridad de la
Información.
Usar la información solamente para los propósitos autorizados por la
SUNAT.
Cumplir con los controles establecidos en las políticas y
procedimientos definidos por la SUNAT.
Informar de inmediato cualquier evento, vulnerabilidad, o incidente
real o potencial a la Seguridad de la Información.
Colaborar y disponer de su tiempo para atender las consultas o
reuniones solicitadas por el jefe de la Oficina de Seguridad
Informática o el Especialista, con la finalidad de resolver el incidente.
Participar en las charlas de concientización y sensibilización en
Seguridad de la Información.
Elaborar propuestas de mejora para el SGSI dentro del ámbito de su
competencia.
Reportar la no conformidad, observación u oportunidad de mejora
detectada.
Difusión
4
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
5
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
9
El acceso remoto debe ser sustentado y expresamente autorizado periodicidad del acceso permitir el
acceso a la red de datos a aquellos usuarios externos e internos expresamente autorizados por el
Intendente, Gerente o Jefe inmediato (en el caso de personal de la SUNAT) y el Oficial de Seguridad de la
Información (Autorización de acuerdo al documento Circular N° 020-2005 Normatividad para el Acceso
Externo al Sistema Informático de la SUNAT y para el Acceso de Funcionarios de SUNAT al Sistema
Informático de Entidades Externas), para que lo hagan desde redes externas o internas, el cual debe estar
sujeto a autenticación con un nivel adecuado de protección y obedecer a necesidades justificadas.
6
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
7
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
Acuerdos de confidencialidad
8
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
10
La concientización, educación y capacitación del SGSI debe ser gestionada por el Oficial de Seguridad
de la Información de acuerdo al documento SGSI-PL-01 Plan de Capacitación y Sensibilización Integral en
Seguridad de la Información y en coordinación con la Intendencia Nacional de Recursos Humanos.
9
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
Vela por proteger los intereses de la organización como parte del proceso
de cambio o terminación de empleo.
Por diversos motivos, la terminación de un contrato laboral muchas veces
puede estar ligado por aspectos emocionales que, en determinadas
circunstancias, pueden causar un incidente de seguridad. Esto también
puede darse ante la incorporación de un nuevo personal sino se tiene el
mismo cuidado.
Las responsabilidades para realizar la finalización del contrato de un
empleado o el cambio de éste deben ser claramente definidas, asignadas y
comunicadas por el área de Recursos Humanos.
En SUNAT se cuenta con políticas y procedimientos, respecto a la
terminación o cese del empleo, que permiten proteger la información
sensible.
Para ello, los colaboradores al cese y sus jefes inmediatos reciben
instrucciones claras y precisas a través de la Intendencia Nacional de
Recursos Humanos - INRH con relación a las obligaciones que debe cumplir
a fin de salvaguardar la información de la entidad.
Asimismo, se cuenta con un lineamiento denominado “Procedimiento de
Entrega de Cargo”, que establece las acciones que debe efectuar el
colaborador como parte de la entrega de cargo.
10
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
11
Se debe registrar y mantener actualizados los activos de información que están involucrados en los
procesos parte del alcance del SGSI en el documento SGSI-ME-01.FO-01 Inventario de Activos de
Información.
12
Para el desarrollo del Inventario de Activos de Información se debe realizar lo especificado en el
documento SGSI-ME-01 Metodología de Gestión de Riesgos de Seguridad de la Información.
11
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
13
POI.DDMO.07 Procedimiento para la destrucción de dispositivos de almacenamiento magnéticos y
ópticos
14
Las actividades asociadas al alta, baja y modificación de usuarios de los sistemas informáticos de la
SUNAT se deben realizar según lo establecido en el documento DSI.SACA.01 Normas y Pautas para la
Solicitud y Atención de Cuentas de Acceso.
12
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
13
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
1.1.5. Criptografía
14
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
Las principales amenazas a las cuales está expuesta la seguridad física 15 son:
15
Actualmente la SUNAT cuenta con "DSS.PNSF.06" sobre Normas y pautas para mantener la seguridad
física, ambiental y de la información en los centros de cómputo de SUNAT.
15
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
• Utilización de Guardias
• Utilización de Detectores de Metales
• Utilización de Sistemas Biométricos (Definimos a la Biometría como
"la parte de la biología que estudia en forma cuantitativa la
variabilidad individual de los seres vivos utilizando métodos
estadísticos". La biometría es una tecnología que realiza mediciones
en forma electrónica, guarda y compara características únicas para
la identificación de personas. La forma de identificación consiste en
la comparación de características físicas de cada persona con un
patrón conocido y almacenado en una base de datos. Los lectores
biométricos identifican a la persona por lo que es (manos, ojos,
huellas digitales y voz).
• Verificación Automática de Firmas
• Seguridad con Animales
• Protección Electrónica (se llama así a la detección de robo, intrusión,
asalto e incendios mediante la utilización de sensores conectados a
centrales de alarmas. Estas centrales tienen conectadas los
elementos de señalización que son los encargados de hacerles
saber al personal de una situación de emergencia.)
16
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
1.1.6.3. Equipos
Suministro de Energía
17
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
El cableado de potencia y de
telecomunicaciones que porta datos o
soporta servicios de información debería
estar protegido contra interceptación,
interferencia o daño, cualquier descuido,
podría significar serios problemas en el
correcto funcionamiento de los dispositivos
y/o equipos, y que podrían llegar a
comprometer la integridad y privacidad de los
datos.
Con relación a estos puntos, se plantea los siguientes puntos de control:
16
Actualmente la SUNAT cuenta con "DSS.PESL.05" sobre Normas y pautas de pantallas y escritorios
limpios.
18
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
• Copias de seguridad.
• Verificación de cintas.
• Recuperación de datos y reversión de cambios.
• Administración de sistemas de antivirus.
• Administración de usuarios y contraseñas.
• Administración de acceso a los recursos.
• Administración de acceso remoto.
• Medición de desempeño.
• Capacidad y disponibilidad de los recursos de TI.
• Gestión de pistas de auditoria y sistemas de registro de información.
• Aseguramiento de plataformas.
1.1.7.2. Respaldo
17
DOI.GRRI.01 Normas y Pautas para la Gestión de los Respaldos y Restauraciones Informáticas.
19
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
18
El acceso y uso del servicio de internet se debe realizar de acuerdo a lo establecido en el documento
"DSI.USI.01" sobre Políticas y normas para el servicio Internet en la SUNAT.
20
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
21
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
19
Actualmente la SUNAT cuenta con "DSI.RAIV.02" Normas y Pautas para el registro y atención de
incidentes y vulnerabilidades de seguridad.
22
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
1.1.13. Cumplimiento
23