Modulo II-politicas Si

CURSO DE SEGURIDAD DE
LA INFORMACIÓN EN LA
ADMINISTRACIÓN
TRIBUTARIA
Curso de Seguridad de la Información en la Administración Tributaria
Modulo II: Políticas de Seguridad de la Información en la SUNAT
Contenido
Introducción ................................................................................................................ 2
UNIDAD I: POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN LA SUNAT ...... 3
1.1. Políticas de seguridad ..................................................................................... 3
1.1.1. Organización de la seguridad de la información ........................................ 5
1.1.1.1. Comité de Gobierno Digital en la SUNAT ................................................ 5
1.1.1.2. Dispositivos móviles y teletrabajo ........................................................... 6
1.1.2. Seguridad de recursos humanos ................................................................ 7
1.1.2.1. Seguridad Antes del Empleo .................................................................... 7
1.1.2.2. Seguridad Durante del Empleo ................................................................ 9
1.1.2.3. Seguridad en la Terminación y Cambio de Empleo .............................. 10
1.1.3. Gestión de activos ...................................................................................... 11
1.1.3.1. Clasificación de la información .............................................................. 11
1.1.3.2. Manejo de los medios ............................................................................. 12
1.1.4. Control de accesos..................................................................................... 12
1.1.4.1. Responsabilidades de los usuarios....................................................... 13
1.1.4.2. Control de acceso a sistema y aplicación ............................................. 13
1.1.5. Criptografía ................................................................................................. 14
1.1.6. Seguridad física y ambiental...................................................................... 14
1.1.6.1. Perímetro de Seguridad Física ............................................................... 15
1.1.6.2. Control de Acceso Físico ....................................................................... 16
1.1.6.3. Equipos .................................................................................................... 17
1.1.6.4. Política de escritorios y pantallas limpias ............................................. 18
1.1.7. Seguridad de las operaciones ................................................................... 19
1.1.7.1. Protección contra códigos maliciosos .................................................. 19
1.1.7.2. Respaldo .................................................................................................. 19
1.1.7.3. Registro y monitoreo .............................................................................. 20
1.1.8. Seguridad de las comunicaciones ............................................................ 20
1.1.9. Adquisición, desarrollo y mantenimiento de sistemas ............................ 20
1.1.10. Relaciones con los proveedores............................................................ 21
1.1.11. Gestión de incidentes de seguridad de la información ........................ 22
1.1.12. Aspectos de seguridad de la información en la gestión de la
continuidad del negocio ........................................................................................... 22
1.1.13. Cumplimiento .......................................................................................... 23
1
Introducción
Desde octubre de 2014 el Perú empezó el proceso de acercamiento formal hacia el Foro
Global 1 (en adelante, GF) sobre Transparencia y el intercambio de información con fines
fiscales de la OCDE 2. El objetivo de este acercamiento es convertirnos en miembros
plenos del GF, por ello el país se ha comprometido a pasar dos evaluaciones de pares
denominadas Fase I y Fase II.
Cabe indicar, que hay varios compromisos en marcha relacionados a esta decisión de
adhesión al GF y a la ejecución de los Intercambios de Información (EOI 3): ejecutar
intercambios a requerimiento (EOIR4), realizar intercambios espontáneos con partes
relevantes (SEOI 5), intercambiar automáticamente información financiera bancaria e
información financiera bursátil (AEOI 6), intercambiar automáticamente información
sobre otras rentas, intercambiar información sobre el Reporte país por país (CbCR 7),
entre otras.
Adicionalmente se abre la posibilidad de adherirnos a la Convención Multilateral de
Asistencia Administrativa Mutua en Materia Fiscal (CAMT 8) convención que permitiría
acceder al Perú a un convenio multilateral que le facilitaría la obtención de asistencia
administrativa de más de 90 países.
1
Por sus siglas en inglés: Global Forum.
2
OCDE: Organización para la cooperación y el desarrollo económico
3
EOI: Exchange of information – Intercambio de Información.
4
EOIR: Exchange of information on request - Intercambio de Información a requerimiento.
5
SEOI: Spontaneus Exchange of information – Intercambio de Información espontanea.
6
AEOI: Automatic Exchange of information – Intercambio de Información Automática
7
CbCR: Country by Country Reporting – Reporte país por país
8
http://www.oecd.org/tax/exchange-of-tax-information/48094024.pdf
2
UNIDAD I: POLÍTICAS DE SEGURIDAD DE LA

INFORMACIÓN EN LA SUNAT
La seguridad de la información al ser “el conjunto de medidas y procedimientos puesto

en marcha por las organizaciones para proteger la confidencialidad de la información y
la disponibilidad e integridad de los datos”, y que al momento de implementar un sistema
de gestión de seguridad de la información (SGSI) bajo la norma ISO/IEC 27001 requiere
establecer una política de seguridad de la información que sirva de marco de actuación
apropiado para salvaguardar la información de la organización.
1.1. Políticas de seguridad
La política de seguridad es un documento de alto nivel que denota el compromiso

de la Alta Dirección con la seguridad de la información. Contiene la definición de
la seguridad de la información desde el punto de vista de la entidad.
 Objetivo
El principal objetivo de una política de seguridad es dar a conocer al personal

de la organización, sus obligaciones respecto a la protección de los activos
de información.
La política de seguridad sirve de guía y proporciona apoyo gerencial para

lograr los objetivos que la organización desea en cuanto a confidencialidad,
integridad y disponibilidad de la información. En consecuencia, si una
organización comienza a implementar medidas de protección sin tener al
menos una política de seguridad tácita o sobreentendida estaría cometiendo
un grave error, porque los medios técnicos no bastan para brindar seguridad,
sino que deben estar apoyados por las políticas y procedimientos
correspondientes.
3
 Responsabilidades
Un aspecto importante de la política de seguridad es asegurar que todos

saben cuál es su responsabilidad para mantener la seguridad de la
información.
La SUNAT cuenta con un Manual De Roles, Responsabilidades Y

Autoridades Organizacionales del Sistema de Gestión de Seguridad de la
Información la cual fue aprobada mediante Resolución de
Superintendencia N° 050-2019/SUNAT
http://intranet/intranet/inicio/institucion/gestionSeguridadI/docSGSI/SGSI-
MA-02_Manual_Roles_Responsabilidades_SGSI.pdf
En general para los usuarios de la información se debe cumplir con todas las
disposiciones sobre Seguridad de la Información, y de manera particular:
 Cumplir con las políticas y procedimientos de Seguridad de la
Información.
 Usar la información solamente para los propósitos autorizados por la
SUNAT.
 Cumplir con los controles establecidos en las políticas y
procedimientos definidos por la SUNAT.
 Informar de inmediato cualquier evento, vulnerabilidad, o incidente
real o potencial a la Seguridad de la Información.
 Colaborar y disponer de su tiempo para atender las consultas o
reuniones solicitadas por el jefe de la Oficina de Seguridad
Informática o el Especialista, con la finalidad de resolver el incidente.
 Participar en las charlas de concientización y sensibilización en
Seguridad de la Información.
 Elaborar propuestas de mejora para el SGSI dentro del ámbito de su
competencia.
 Reportar la no conformidad, observación u oportunidad de mejora
detectada.
 Apoyo de la Alta Dirección
Para asegurar el éxito de una política de seguridad, la Alta Dirección debe

establecer una política clara, demostrar apoyo y compromiso con respecto a
la seguridad de la información, es decir debe respaldar la política para
asegurar su cumplimiento. Una forma de demostrar este compromiso será
asignar los recursos necesarios para garantizar su desarrollo y posterior
mantenimiento.
Estos recursos no sólo deberán ser económicos, sino también humanos y de

infraestructura, por ejemplo, deberá garantizar un espacio físico y la
colaboración de gerentes, usuarios, administradores, diseñadores de
aplicaciones, auditores y personal de seguridad, y expertos en áreas como
legislación y administración de riesgos.
 Difusión
La SUNAT comunica las políticas de seguridad de la información a través de

distintos medios como: correo electrónico, publicación en la intranet, afiches
físicos o mediante educación interna, a través de seminarios de
4
entrenamiento o charlas. En definitiva, el objetivo es garantizar que todo el

personal de la organización conozca y comprenda los lineamientos de la
política y se preocupe por su cumplimiento.
 Documentación de la Política de Seguridad
La SUNAT cuenta con Política de Seguridad de la Información aprobada

mediante Resolución de Superintendencia N° 173-2018/SUNAT, la cual se
encuentra en la siguiente ruta:
http://www.sunat.gob.pe/legislacion/superin/2018/anexo-173-PO-01.pdf
Asimismo, la SUNAT cuenta con el Manual Políticas de Seguridad de la

Información aprobado mediante Resolución de Superintendencia N° 050-
2019/SUNAT, la cual se encuentra en la siguiente ruta:
http://intranet/intranet/inicio/institucion/gestionSeguridadI/docSGSI/index.ht
m
1.1.1. Organización de la seguridad de la información
Es establecer un marco de referencia de gestión para iniciar y controlar la

implementación y operación de la seguridad de la información dentro de la
organización.
1.1.1.1. Comité de Gobierno Digital en la SUNAT
De acuerdo, al artículo 1 de la Resolución Ministerial N°087-2019-PCM

señala la creación del Comité de Gobierno Digital, asimismo en su artículo
2 de las funciones del Comité de Gobierno Digital en el inciso i) señala:
Gestionar, mantener y documentar el Modelo de Gestion Documental,
Modelo de Datos Abiertos Gubernamentales y Sistema de Gestion de
Seguridad de la información de la entidad.
Asimismo, mediante Resolución de Superintendencia N° 142- 2019/SUNAT

se aprobó la modificación de la conformación del comité de gobierno digital
y designa líder de gobierno digital de la superintendencia nacional de
aduanas y de administración tributaria – SUNAT, de los cuales sus
miembros son:
• Intendente Nacional de Estrategias y Riesgos, en representación de

el/la Superintendente Nacional.
• Líder de Gobierno Digital.
• Intendente Nacional de Sistemas de Información, como Secretario
Técnico del Comité.
• Intendente Nacional de Recursos Humanos.
• Intendente Nacional de Desarrollo e Innovación Aduanera.
• Jefe de la Oficina Nacional de Planeamiento y Estudios Económicos.
• Intendente Nacional de Asesoría Legal Interna.
• Intendente Nacional de Gestión de Procesos.
• Secretario/a Institucional.
• Director/a del Programa de Transformación Digital.
• Gerente de Orientación y Servicios de la Intendencia Nacional de
Gestión de Procesos.
5
• Gerente de Operadores y Atención a Usuarios de la Intendencia

Nacional de Control Aduanero.
• Gerente de Administración Documentaria y Archivo de la Secretaría
Institucional.
• Oficial de Seguridad de la Información.
1.1.1.2. Dispositivos móviles y teletrabajo
Los usuarios que utilicen dispositivos móviles como computadores

portátiles, en su puesto de trabajo, deben mantener el equipo asegurado
utilizando como, por ejemplo: candados, cajoneras con llaves, contraseñas,
huellas dactilares, entre otros.
El teletrabajo hace referencia a todas las formas de trabajo por fuera de la

oficina, que se denomina "trabajo a distancia", "lugar de trabajo flexible",
"trabajo remoto9" y ambientes de "trabajo virtual".
La actividad de teletrabajo debe contar con una serie de condiciones y

restricciones para proteger la información a la cual se tiene acceso:
• Seguridad física del entorno donde se llevará a cabo el teletrabajo.
• Determinación del grado de sensibilidad de la información a la que
se tendrá acceso.
• Restricción sobre redes inalámbricas domésticas.
• Configuración de firewall y protección contra software malicioso.
• Definición de la prestación del servicio bajo modalidad de teletrabajo.
9
El acceso remoto debe ser sustentado y expresamente autorizado periodicidad del acceso permitir el
acceso a la red de datos a aquellos usuarios externos e internos expresamente autorizados por el
Intendente, Gerente o Jefe inmediato (en el caso de personal de la SUNAT) y el Oficial de Seguridad de la
Información (Autorización de acuerdo al documento Circular N° 020-2005 Normatividad para el Acceso
Externo al Sistema Informático de la SUNAT y para el Acceso de Funcionarios de SUNAT al Sistema
Informático de Entidades Externas), para que lo hagan desde redes externas o internas, el cual debe estar
sujeto a autenticación con un nivel adecuado de protección y obedecer a necesidades justificadas.
6
1.1.2. Seguridad de recursos humanos
Suele decirse que el éxito o fracaso en la implementación

de una estrategia de seguridad, se encuentra de una u otra
forma relacionado con los recursos humanos.
Por un lado, las personas son el activo más importante en

una organización, pero a su vez podemos considerar que
los errores humanos son normalmente el mayor riesgo para
la seguridad de la información
Los controles para la seguridad de la información que se consideran en este

capítulo abordan las medidas para la seguridad a abordar en la fase de
contratación, durante el empleo y en la fase de término o finalización del empleo.
1.1.2.1. Seguridad Antes del Empleo
Hay que asegurar que los empleados y contratistas entiendan sus

responsabilidades y sean convenientes para los roles determinados por la
organización. Se considera a los “Background Checks” como el proceso
para revisar información pública o se realicen tareas de verificación de la
información dispuesta en los currículos vitae de los candidatos.
Este tipo de procesos, si bien deben llevarse a cabo idealmente para
cualquier postulante, debería ser excluyente y probablemente más
exhaustivos, al personal que vaya a desempeñar tareas críticas o manejar
información sensible.
Mediante la conducción de procesos de “Background Checks”, la
organización obtiene entre otros, los siguientes beneficios:
• Verificar que la información provista por el candidato sea verdadera y

actualizada.
• Obtener una primera idea acerca del nivel de integridad del candidato.
• Prevenir empleados no calificados.
• Evitar incorporar personas no éticas.
• Prevenir posibles conflictos con el personal existente.
• Prevenir posibles pérdidas por acciones fraudulentas
• Prevenir acciones legales (de parte de empleados despedidos, 3ras
partes por negligencia en la contratación del personal, de parte de
otros empleados por violencia, malos tratos, etc.)
 Selección y Política de Personal
Cuando una organización, se encuentra involucrada por completo con la

estrategia de seguridad implementada, la tarea misma de selección de
personal, al momento de cubrir cualquier tipo de puesto, involucra
determinados aspectos que, de no ser tenidos en cuenta, podrían devenir
en circunstancias no deseadas. En lo posible el área encargada de la
seguridad de la información debería participar en el desarrollo de la “Política
de Contratación” o “Hiring Policies” establecida por el departamento de
recursos humanos. Por ejemplo, uno de los requisitos al momento de
7
incorporar un nuevo empleado (o un nuevo usuario, visto desde la

perspectiva del administrador de red) sería el de verificar que el postulante
no cuente con antecedentes policiales y/o penales.
En SUNAT, la Intendencia Nacional de Recursos Humanos lleva a cabo el

proceso de selección siguiendo las normas establecidas para tal efecto.
En ese sentido, las convocatorias para estos procesos de selección son
publicadas en el portal web “Únete a la SUNAT”, debiendo el postulante
generar un Formato Único de Postulación Virtual, en el cual suscribe una
“Declaración Jurada” manifestando lo siguiente:
• No tener inhabilitación administrativa o judicial para contratar con el
Estado o para desempeñar función pública.
• No encontrarse inscrito en el Registro Nacional de Sanciones de
Destitución y Despido.
• No contar con antecedentes penales, policiales y/o judiciales.
• No contar con sentencia condenatoria consentida y/o ejecutoriada.
El sistema de selección de personal da por válida automáticamente la

declaración jurada y de no existir alguna observación le permite al postulante
continuar con el proceso de selección.
 Acuerdos de confidencialidad
Al momento de establecer una relación laboral, empleado y empleador,

aceptan en forma implícita el grado de confianza que será necesario a la
hora de realizar las tareas encomendadas. No obstante, un “Acuerdo de
Confidencialidad”, suele ser visto como la confirmación explícita de la
confianza preestablecida al momento de iniciar una relación laboral. Si bien
el detalle contenido en un acuerdo de confidencialidad puede variar de
organización en organización, se establecen en forma clara algunos
lineamientos generales, entre los que se encuentran:
• Un “Acuerdo de Confidencialidad” o “No Divulgación”, debe ser

utilizado para determinar que la información es confidencial o secreta.
• Debe ser firmado por los empleados, como parte de sus términos y
condiciones iniciales de empleo, al momento de su contratación.
• El personal temporal y los usuarios externos aún no contemplados en
un contrato formalizado deberán firmar el acuerdo mencionado antes
de que se les otorgue acceso alguno.
• Los acuerdos de confidencialidad deben ser revisados cuando se
producen cambios en los términos y condiciones de empleo o del
contrato.
8
En SUNAT, los empleados firman una “Declaración de Compromiso”,

respecto a guardar secreto/reserva de la información a la que tienen acceso.
Este compromiso se genera desde el ingreso y debe observarse durante la
relación laboral e incluso a su término.
Dicho compromiso establece la obligación de:

o Guardar reserva absoluta, ante cualquier persona, durante y después de
la relación laboral en la SUNAT, sobre cualquier actividad e información
confidencial del empleador.
o No entregar ni a terceros, ni a otros trabajadores, ni directa ni
indirectamente, informaciones técnicas, sistemas de trabajo, programas
de cómputo y/o documentos de cualquier naturaleza relacionadas con la
SUNAT o información considerada como reservada, de conformidad con
las disposiciones legales sobre la materia.
o Cumplir con las normas de seguridad informática y obligaciones
referidas al uso adecuado del internet, software y correo electrónico que
se imparten en la SUNAT.
1.1.2.2. Seguridad Durante del Empleo
Hay que asegurar que los empleados y contratistas sean conscientes y

cumplan con sus responsabilidades de seguridad de la información.
La Alta Dirección debería exigir a todos los empleados y contratistas que
apliquen la seguridad de la información de acuerdo con las políticas y
procedimientos establecidos en la organización.
 Capacitación en materia de Seguridad de la Información
Gran parte del éxito en la implantación de

una estrategia de seguridad de la
información en una organización se
encuentra relacionada con el personal por
lo que es conveniente fomentar la
conciencia del riesgo potencial y la
exposición de la información.
A fin de lograr este objetivo, todo
departamento de seguridad debe tener como tarea, el diseño e
implementación de un plan de capacitación 10 a usuarios, el cual deberá
cubrir al menos, los siguientes puntos principales:
 Importancia de la Seguridad de la Información.
 Responsabilidad de las personas que conforman la organización,
respecto de la Seguridad de la Información.
 Políticas y Procedimientos relacionados.
 Como reportar incidentes de seguridad.
En SUNAT, como parte del Plan de Capacitación y Sensibilización Integral

en Seguridad de la Información (SGSI- PL-01) aprobado con Resolución de
10
La concientización, educación y capacitación del SGSI debe ser gestionada por el Oficial de Seguridad
de la Información de acuerdo al documento SGSI-PL-01 Plan de Capacitación y Sensibilización Integral en
Seguridad de la Información y en coordinación con la Intendencia Nacional de Recursos Humanos.
9
Superintendencia N.° 050-2019/SUNAT y según la normativa para la

Gestión del Proceso de Capacitación en Entidades Públicas (Resolución de
Presidencia Ejecutiva N.° 141-2016-SERVIR-PE), la planificación de las
capacitaciones están contenidas en el Plan de Desarrollo de Personas, el
cual fue aprobado para el presente año mediante Resolución de
Superintendencia Adjunta de Administración y Finanzas N.º 012-2019-
SUNAT/800000, en el cual se incorporan las capacitaciones respecto a
seguridad de la información, el contenido del curso, alcance y la oportunidad
en que se lleva a cabo la define el Comité de Gobierno Digital.
El Plan de Desarrollo de Personas se programa anualmente y contiene -
además del nombre del curso, las unidades orgánicas y cantidad de
beneficiarios, el tipo de capacitación, la modalidad, la oportunidad y el costo
total de la capacitación
1.1.2.3. Seguridad en la Terminación y Cambio de Empleo
Vela por proteger los intereses de la organización como parte del proceso
de cambio o terminación de empleo.
Por diversos motivos, la terminación de un contrato laboral muchas veces
puede estar ligado por aspectos emocionales que, en determinadas
circunstancias, pueden causar un incidente de seguridad. Esto también
puede darse ante la incorporación de un nuevo personal sino se tiene el
mismo cuidado.
Las responsabilidades para realizar la finalización del contrato de un
empleado o el cambio de éste deben ser claramente definidas, asignadas y
comunicadas por el área de Recursos Humanos.
En SUNAT se cuenta con políticas y procedimientos, respecto a la
terminación o cese del empleo, que permiten proteger la información
sensible.
Para ello, los colaboradores al cese y sus jefes inmediatos reciben
instrucciones claras y precisas a través de la Intendencia Nacional de
Recursos Humanos - INRH con relación a las obligaciones que debe cumplir
a fin de salvaguardar la información de la entidad.
Asimismo, se cuenta con un lineamiento denominado “Procedimiento de
Entrega de Cargo”, que establece las acciones que debe efectuar el
colaborador como parte de la entrega de cargo.
10
1.1.3. Gestión de activos
1.1.3.1. Clasificación de la información
Trata de identificar los activos

organizacionales y definir las
responsabilidades en cuanto a la
protección de la información. Los activos
de información se pueden clasificar en
función de los requisitos legales, valor,
criticidad y susceptibilidad a divulgación o
a modificación no autorizada.
 Criterios de clasificación de la información 11
La información debe clasificarse según su sensibilidad o grado de impacto

en el negocio, un ejemplo del esquema de clasificación se puede basar en
los siguientes niveles 12:
• Público: Son activos que se consideran públicos, y que pueden ser

accedidos tanto por miembros de la organización como por personal
externo (público en general), sin estar sujetos a ningún control.
• Uso Interno: Son activos que son accedidos exclusivamente por
personal interno de la organización y en algunos casos con acceso
excepcional por personal externo (auditores, entidades reguladoras,
consultores externos) debidamente autorizados.
• Confidencial: Son activos que pertenecen a un proceso que por su
naturaleza son reservados exclusivamente al personal del proceso
específico y cuyo acceso excepcional puede darse a personal externo
(auditores, entidades reguladoras, consultores externos), pero se
encuentra regulado y sujeto a condiciones específicas de acceso. Su
revelación requiere la aprobación del dueño o propietario, es de uso
exclusivo de la organización; en el caso de terceros se deberá firmar
acuerdo de confidencialidad y no divulgación.
• Restringida: Son activos cuyo acceso es restringido a un grupo
determinado de individuos, seleccionados a partir de un proyecto
específico o que pertenecen a un grupo o nivel específico dentro de
la organización. Estos deben ser gestionados con todas las
precauciones y controles posibles determinando exactamente que
personas tienen acceso a los mismos y vigilando su uso, transporte y
almacenamiento.
11
Se debe registrar y mantener actualizados los activos de información que están involucrados en los
procesos parte del alcance del SGSI en el documento SGSI-ME-01.FO-01 Inventario de Activos de
Información.
12
Para el desarrollo del Inventario de Activos de Información se debe realizar lo especificado en el
documento SGSI-ME-01 Metodología de Gestión de Riesgos de Seguridad de la Información.
11
1.1.3.2. Manejo de los medios
Se refiere a evitar la divulgación, la modificación, el retiro o la destrucción de la

información almacenada en los medios (CD, usb, disco externo, entre otros).
Se debe considerar las siguientes directrices para la gestión de medios
removibles:
• El contenido de cualquier medio reusable que se vaya a retirar de la

organización se debe remover de forma que no sea recuperable. 13
• Solicitar autorización para retirar los medios de la organización, y se
debe llevar un registro de dichos retiros con el fin de mantener un rastro
de auditoría.
• Se debe usar técnicas criptográficas para proteger los datos que se
encuentran en los medios removibles.
• Se debe guardar varias copias de los datos valiosos en medios
separados, con el fin de reducir el riesgo de daño o pérdida de la
información.
• Sólo se debe habilitar unidades de medios removibles si hay una razón
de negocio para hacerlo.
1.1.4. Control de accesos 14
Se refiere a controlar quien accede a la

información de la organización, siendo el
primer paso para protegerla. Es esencial
que podamos decidir quién tiene
permisos para acceder a nuestra
información, como, cuando y con qué
finalidad.
El control de acceso a la información
sensible se debe basar en el principio del
menor privilegio, lo que implica que no se
otorgará acceso a menos que sea explícitamente permitido.
13
POI.DDMO.07 Procedimiento para la destrucción de dispositivos de almacenamiento magnéticos y
ópticos
14
Las actividades asociadas al alta, baja y modificación de usuarios de los sistemas informáticos de la
SUNAT se deben realizar según lo establecido en el documento DSI.SACA.01 Normas y Pautas para la
Solicitud y Atención de Cuentas de Acceso.
12
1.1.4.1. Responsabilidades de los usuarios
Una seguridad efectiva requiere la cooperación de los usuarios autorizados,

quienes deben saber sus responsabilidades para el mantenimiento de
controles efectivos al acceso, en particular, aquellos con referencia al uso de
contraseñas, la organización debe implementar los procedimientos
necesarios que permitan controlar la creación, modificación, desactivación y
eliminación de usuarios, administración de contraseñas y permisos de
acceso a los recursos tecnológicos y a la información. Adicionalmente, es
necesario implementar un procedimiento de revisión periódica de los
permisos de acceso de los usuarios.
El personal interno y externo de la organización deben mantener de forma
confidencial las contraseñas y conservar las mismas de manera segura.
Para el cambio de una contraseña, se recomienda tomar en cuenta lo
siguiente:
• Debe ser privada y conocida sólo por el titular de la cuenta

• Debe ser secreta y para guardar su confidencialidad no debe
escribirse en ningún papel o archivo.
• Debe tener por lo menos seis caracteres y debe estar compuesta de
caracteres en mayúscula y minúscula, números y caracteres
especiales.
• No debe considerarse nombres o palabras comunes, ni datos
personales.
• En el caso de las cuentas genéricas, la extensión de las claves de
acceso debe tener por lo menos 12 caracteres y de ser posible,
diferentes para cada sistema y por cada servidor o cada instancia de
base de datos.
1.1.4.2. Control de acceso a los sistemas y aplicaciones
El propietario del activo de información debe establecer que usuarios tendrán

derecho a acceder a la información según el perfil de usuario asignado y el
nivel de clasificación de dicha información. El uso de programas que puedan
ser capaces de invalidar los controles del sistema y de la aplicación, deben
estar restringidos y estrictamente controlados. Las sesiones inactivas deben
cerrarse después de un período de inactividad definido y se deben usar
restricciones en los tiempos de conexión para proporcionar una seguridad
adicional a las aplicaciones de alto riesgo.
13
1.1.5. Criptografía
Vela por asegurar el uso apropiado y eficaz de la criptografía para proteger la

confidencialidad, autenticidad, no repudio y autenticación de la información, se
puede considerar como activo de información a encriptar:
• Las bases de datos, registros de usuarios, correos electrónicos

confidenciales.
• La información sujeta a protección legal.
• Las copias de respaldo con información sensible.
• La información confidencial en dispositivos extraíbles y móviles.
• Las credenciales de acceso para pagos online, etc.
Tomar una decisión acerca de si una solución criptográfica es apropiada se

debería considerar como parte de un proceso más amplio de valoración de
riesgos y de selección de controles. Esta valoración se puede usar entonces para
determinar si un control criptográfico es apropiado, qué tipo de control se debería
aplicar y para qué propósito y procesos de negocio.
1.1.6. Seguridad física y ambiental
La seguridad física previene el acceso físico no autorizado, el daño y la

interferencia a la información y a las instalaciones de procesamiento de la
información de la organización.
Así, la seguridad física consiste en la "aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial". Se refiere a los controles
y mecanismos de seguridad dentro y alrededor del Centro de Cómputo, así como
los medios de acceso remoto al y desde el mismo; implementados para proteger
el hardware y medios de almacenamiento de datos. Este tipo de seguridad está
enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la
naturaleza del medio físico en que se encuentra ubicado el centro.
14
Las principales amenazas a las cuales está expuesta la seguridad física 15 son:
• Desastres naturales, incendios accidentales, tormentas e inundaciones.

• Amenazas ocasionadas por el hombre.
• Disturbios, sabotajes internos y externos deliberados.
1.1.6.1. Perímetro de Seguridad Física
Se debe definir y usar perímetros de

seguridad para proteger áreas que contengan
información sensible o crítica, e instalaciones
de manejo de información.
“Un perímetro de seguridad es algo
delimitado por una barrera, por ejemplo: una
pared, una puerta de acceso controlada por
tarjeta o un escritorio u oficina de recepción
atendidos por personas. La instalación y medida de control de cada barrera
dependerán de una evaluación de riesgos”.
A continuación, citaremos algunos de los controles y lineamientos
principales:
• El perímetro de seguridad debe estar claramente definido.

• El perímetro de un edificio o área que contenga instalaciones de
procesamiento de información debe ser físicamente sólido (por
ejemplo, no deben existir aberturas en el perímetro o áreas donde
pueda producirse fácilmente una intrusión). Las paredes externas del
área deben ser de construcción sólida y todas las puertas que
comunican con el exterior deben ser adecuadamente protegidas
contra accesos no autorizados, por ejemplo, mediante mecanismos
de control, vallas, alarmas, cerraduras, etc.
• Debe existir un área de recepción atendida por personal u otros
medios de control de acceso físico al área o edificio. El acceso a las
distintas áreas y edificios debe estar restringido exclusivamente al
personal autorizado.
• Las barreras físicas deben, si es necesario, extenderse desde el piso
(real) hasta el techo (real), a fin de impedir el ingreso no autorizado
y la contaminación ambiental, por ejemplo, la ocasionada por
incendio e inundación.
• Todas las puertas de incendio de un perímetro de seguridad deben
tener alarma y cerrarse automáticamente, con apertura desde el
interior solamente.
En SUNAT, se cuenta con las siguientes normas de seguridad:
• “Normas y Pautas para Mantener la Seguridad Física, Ambiental y

de la Información en los Centros de Cómputo de la SUNAT”. - Que
regula los procedimientos para el acceso programado o en casos de
15
Actualmente la SUNAT cuenta con "DSS.PNSF.06" sobre Normas y pautas para mantener la seguridad
física, ambiental y de la información en los centros de cómputo de SUNAT.
15
contingencias para los trabajadores, proveedores y equipos

especializados a los Centros de Cómputo de la SUNAT; aprobada
por Resolución de Intendencia N°002 – 2018/SUNAT/1U0000.
• “Procedimiento de Control de Accesos a Sedes Institucionales. - Que
dispone los procedimientos de seguridad para regular los controles
de acceso a las sedes institucionales, para trabajadores
institucionales, visitantes y proveedores, además señala las
restricciones de acceso; aprobado por Memorándum Electrónico
N°0001-2019 Supervisión OSDENA 1.
• “Procedimiento de control de acceso físico para áreas sensibles y
restringidas”. - Que determina las áreas sensibles y restringidas de
acceso a las oficinas involucradas en el proceso de intercambio de
información con otros países dentro del marco de la OCDE; además
de las medidas de de seguridad física y electrónica instaladas en
dichas áreas. Aprobado por la Gerencia de OSDENA con fecha
08.02.2019.
1.1.6.2. Control de Acceso Físico
Las áreas seguras se deben proteger mediante controles de entrada

apropiados para asegurar que solamente se permite el acceso a personal
autorizado.
El control de acceso no sólo requiere la capacidad de identificación, sino
también asociarla a la apertura o cierre de puertas, permitir o negar el
acceso basado en restricciones de tiempo, área o sector dentro de una
empresa o institución.
• Utilización de Guardias
• Utilización de Detectores de Metales
• Utilización de Sistemas Biométricos (Definimos a la Biometría como
"la parte de la biología que estudia en forma cuantitativa la
variabilidad individual de los seres vivos utilizando métodos
estadísticos". La biometría es una tecnología que realiza mediciones
en forma electrónica, guarda y compara características únicas para
la identificación de personas. La forma de identificación consiste en
la comparación de características físicas de cada persona con un
patrón conocido y almacenado en una base de datos. Los lectores
biométricos identifican a la persona por lo que es (manos, ojos,
huellas digitales y voz).
• Verificación Automática de Firmas
• Seguridad con Animales
• Protección Electrónica (se llama así a la detección de robo, intrusión,
asalto e incendios mediante la utilización de sensores conectados a
centrales de alarmas. Estas centrales tienen conectadas los
elementos de señalización que son los encargados de hacerles
saber al personal de una situación de emergencia.)
En SUNAT, por ejemplo, en las áreas vinculadas al proceso de Intercambio

Automático de Información se cuentan con los siguientes controles:
• Agente de seguridad y vigilancia equipado.
16
• Control de acceso biométrico de huella dactilar y reconocimiento de

iris, control de acceso por tarjeta de aproximación, así como sistema
de videovigilancia.
• Puertas con apertura de tarjeta de proximidad.
• Medios contraincendios.
• Prohibición del acceso y uso de celulares y cámaras fotográficas.
1.1.6.3. Equipos
Se debe establecer que todos los equipos de hardware y software que se

utilicen para el tratamiento de información de la organización deben contar
con las medidas de protección eléctrica y de comunicaciones con el fin de
evitar daños a la información procesada.
Asimismo, los equipos deben contar con mecanismos que impidan y/o
detecten los accesos o instalación no autorizada de componentes internos
de hardware; así como mecanismos de control para el traslado de estos sin
autorización. Todos los equipos deben contar con medidas de seguridad
para evitar su pérdida, robo o fuga de información.
 Suministro de Energía
La energía, es un factor fundamental en todo centro de cómputo, y como tal

debe ser administrado cuidadosamente, a fin de evitar cualquier tipo de
incidente producido en torno a ella. Por lo general, el centro de cómputo es
el sitio donde se aloja el equipamiento más crítico y costoso, motivo por el
cual debe estar protegido ante posibles fallas en el suministro de energía u
otras anomalías eléctricas.
Los servicios de suministro (por ejemplo, electricidad, telecomunicaciones,

suministro de agua, gas, alcantarillado, ventilación y aire acondicionado)
deberían:
• cumplir con las especificaciones de los fabricantes de equipos y con

los requisitos legales locales.
• evaluarse regularmente en cuanto a su capacidad.
• inspeccionarse y probarse regularmente para asegurar su
funcionamiento apropiado.
• si es necesario, contar con alarmas para detectar mal
funcionamiento.
• suministrar iluminación y comunicaciones de emergencia.
17
 Protección del Cableado
El cableado de potencia y de
telecomunicaciones que porta datos o
soporta servicios de información debería
estar protegido contra interceptación,
interferencia o daño, cualquier descuido,
podría significar serios problemas en el
correcto funcionamiento de los dispositivos
y/o equipos, y que podrían llegar a
comprometer la integridad y privacidad de los
datos.
Con relación a estos puntos, se plantea los siguientes puntos de control:
• Las líneas de energía eléctrica y telecomunicaciones que se

conectan con las instalaciones de procesamiento de información
deben ser subterráneas, siempre que sea posible, o sujetas a una
adecuada protección alternativa.
• El cableado de red debe estar protegido contra interceptación no
autorizada o daño, por ejemplo, mediante el uso de conductos o
evitando trayectos que atraviesen áreas públicas.
• Los cables de energía deben estar separados de los cables de
comunicaciones para evitar interferencias.
Si los sistemas son sensibles o críticos se deben considerar los siguientes

controles adicionales:
• Instalación de conductos blindados y recintos o cajas con cerradura

en los puntos terminales y de inspección.
• Uso de blindaje electromagnético para proteger los cables
• Inspecciones físicas de dispositivos no autorizados que se conectan
a los cables.
1.1.6.4. Política de escritorios y pantallas limpias 16
Se debe adoptar una política de escritorio y pantalla limpia con el fin de

reducir el riesgo de pérdida o fuga de información física o digital por accesos
no autorizados a las ubicaciones de trabajo y a los equipos de cómputo,
personales y compartidos, los cuales deben estar protegidos cuando no
estén en uso.
La Disposición Informática Administrativa (DIA) sobre Normas y Pautas de
Pantallas y Escritorios Limpios (DSS.PESL.05), aprobada con Resolución de
Intendencia N° 03-2019-SUNAT/1U0000 (15/08/2019), se difundió a través
de una comunicación interna enviada por la Intendencia de Recursos
Humanos (16/08/19) dirigida a todos los colaboradores. Esta revisión tiene
por objetivo, reducir el riesgo de pérdida o fuga de información tanto física
como digital, por lo que el Oficial de Seguridad de la información tiene la
16
Actualmente la SUNAT cuenta con "DSS.PESL.05" sobre Normas y pautas de pantallas y escritorios
limpios.
18
responsabilidad de concientizar al personal de la SUNAT y efectuar

revisiones anuales para verificar su cumplimiento.
1.1.7. Seguridad de las operaciones
Se debe proveer el funcionamiento correcto y seguro de las instalaciones de

procesamiento de la información y medios de comunicación; así como establecer
las responsabilidades para el manejo y operación de las instalaciones de
computadores y redes, apoyadas por instrucciones operacionales apropiadas
incluyendo procedimientos de respuesta en caso de incidentes.
Entre los controles mínimos se pueden considerar:
• Copias de seguridad.
• Verificación de cintas.
• Recuperación de datos y reversión de cambios.
• Administración de sistemas de antivirus.
• Administración de usuarios y contraseñas.
• Administración de acceso a los recursos.
• Administración de acceso remoto.
• Medición de desempeño.
• Capacidad y disponibilidad de los recursos de TI.
• Gestión de pistas de auditoria y sistemas de registro de información.
• Aseguramiento de plataformas.
1.1.7.1. Protección contra códigos maliciosos
Se debe implementar controles para detección, prevención y recuperación

para la protección frente al código malicioso. Los usuarios deben ser
conscientes de los peligros de los códigos maliciosos. Por ejemplo, que en
la organización sólo se permita el uso de software licenciado y que su
instalación sea debidamente autorizada, para evitar la propagación de virus
informáticos, ransomware, etc.
1.1.7.2. Respaldo
Se debe hacer copias de respaldo de la información, del software e imágenes

de los sistemas, y ponerlas a prueba regularmente de acuerdo con una
política de copias de respaldo, conservando los niveles de clasificación de la
información requeridos.
Cuando se diseña un procedimiento de copias de respaldo 17, se deberían
tener en cuenta los siguientes aspectos:
• Se debe producir registros exactos y completos de las copias de

respaldo, y procedimientos de restauración documentados
• La cobertura (por ejemplo, copias de respaldo completas o
diferenciales) y la frecuencia con que se hagan las copias de respaldo
deberían reflejar los requisitos del negocio de la organización, los
17
DOI.GRRI.01 Normas y Pautas para la Gestión de los Respaldos y Restauraciones Informáticas.
19
requisitos de la seguridad de la información involucrada, y la criticidad

de la información para la operación continua de la organización.
• Los medios de respaldo se deberían poner a prueba regularmente
para asegurar que se puede depender de ellos para uso de
emergencia en caso necesario; esto se debe combinar con una
prueba de los procedimientos de restauración, y se debería verificar
contra el tiempo de restauración requerido.
En la SUNAT este proceso es automatizado, donde se utiliza un software

para automatizar el respaldo de los diferentes recursos informáticos.
Asimismo, las cintas de los respaldos mensuales son enviadas a una entidad
externa de la SUNAT.
1.1.7.3. Registro y monitoreo
Todo sistema de información que maneje información importante debe contar

con la capacidad de registrar eventos de seguridad sobre actividades de los
usuarios, activaciones y desactivaciones de los sistemas, excepciones,
alertas o fallas del sistema, entre otras; los cuales deben ser guardados
durante un periodo definido para asistir futuras investigaciones y para el
monitoreo de control de acceso. Asimismo, se deben registrar las actividades
tanto del operador como del administrador del sistema.
1.1.8. Seguridad de las comunicaciones 18
Se debe asegurar la protección de la información en las redes, y sus

instalaciones de procesamiento de información de soporte. Entre los controles a
considerar se encuentran:
• las responsabilidades y procedimientos para la gestión de equipos de

redes.
• se debe establecer controles especiales para salvaguardar la
confidencialidad e integridad de los datos que pasan sobre redes públicas
o sobre redes inalámbricas, y para proteger los sistemas y aplicaciones
conectados tal como cifrado seguro.
• se debe realizar seguimiento con regularidad con la finalidad de detectar
acciones que puedan afectar la seguridad de la información.
1.1.9. Adquisición, desarrollo y mantenimiento de sistemas
Siempre que se establezca un requerimiento nuevo para un sistema, se deben

especificar los controles o requerimientos de seguridad asociados a él y a su
implantación, además del análisis de riesgo y de impacto derivado en una posible
falla.
Para el software desarrollado por personal propio de la organización o adquirido
a terceros se debe establecer una política de desarrollo seguro que contemple:
• la seguridad del entorno de desarrollo.
18
El acceso y uso del servicio de internet se debe realizar de acuerdo a lo establecido en el documento
"DSI.USI.01" sobre Políticas y normas para el servicio Internet en la SUNAT.
20
• la seguridad en la metodología de desarrollo de software (ciclo de vida

del desarrollo de software).
• las directrices de codificación para cada lenguaje de programación
utilizado.
• los requisitos de seguridad en la etapa de diseño.
• los controles de seguridad dentro de los hitos del proyecto.
• los registros de seguridad.
• la seguridad en el control de la versión.
Desde el modelamiento del proceso de negocio hasta la implementación de la

solución informática, la INSI prioriza el cumplimiento de las políticas de seguridad
detalladas en el Manual de Políticas del Sistema de Gestión de Seguridad de la
Información (SGSI-MA-03) aprobado con Resolución de Superintendencia N°
050-2019/SUNAT, en especial con el numeral 14 referido a las políticas de
seguridad para la adquisición, desarrollo y mantenimiento de sistemas. Temas
como Utilización de Logs, Pruebas de Vulnerabilidad, Datos cifrados, Bases de
Datos cifradas, Canales de comunicación seguros, Redes aisladas, Alta
Disponibilidad, Control de Accesos, Controles de bloqueo, Uso del Capcha, Uso
de certificados digitales, Autenticación Multifactor, Consideraciones OWASP, -
entre otros-, son algunos de los requerimientos no funcionales que las distintas
áreas de INSI proponen en base al tipo de información que manejará la solución
informática.
1.1.10. Relaciones con los proveedores
Se debe asegurar la protección de los activos de la organización que sean

accesibles a los proveedores, así como definir los requisitos de seguridad de la
información para mitigar los riesgos asociados con el acceso de proveedores a
los activos de la organización. Por ejemplo, si hay una necesidad especial de
confidencialidad de la información, se pueden usar los acuerdos de no
divulgación; otro ejemplo son los riesgos de protección de datos, cuando el
acuerdo con los proveedores incluye la transferencia o acceso de información
a través de fronteras. Por lo tanto, la organización necesita tener conciencia de
que la responsabilidad legal o contractual con respecto a la protección sigue
siendo de la organización. Algunos controles a tener en cuenta son:
• firma de acuerdos de confidencialidad, en los cuales se comprometen a

no divulgar, usar o explotar la información de la organización a la cual
tengan acceso.
• los requisitos mínimos de seguridad de la información para cada tipo de
información y tipo de acceso.
• los procesos y procedimientos para hacer seguimiento del cumplimiento
de los requisitos de seguridad de la información establecidos para cada
tipo de proveedor y tipo de acceso.
• el manejo de incidentes y contingencias asociadas con el acceso de
proveedores, incluidas las responsabilidades tanto de la organización
como de los proveedores.
• la formación sobre toma de conciencia, para el personal de la
organización involucrado en adquisiciones, relativa a políticas, procesos
y procedimientos aplicables.
21
• las condiciones bajo las cuales los requisitos y controles de seguridad de

la información se documentarán en un acuerdo firmado por ambas partes,
de ser el caso, contemplar penalidades ante el incumplimiento.
1.1.11. Gestión de incidentes de seguridad de la información 19
Se debe asegurar un enfoque consistente y efectivo a la gestión de incidentes

de seguridad de la información, incluyendo la comunicación sobre eventos de
seguridad y debilidades.
Se debe establecer un procedimiento formal de comunicación de eventos de
seguridad de la información, junto con un procedimiento de respuesta y
escalado de incidentes, que determine la respuesta que debe darse cuando se
recibe un informe de un evento de seguridad de la información.
Cuando una acción contra una persona u organización, después de un
incidente de seguridad de la información, implique medidas legales, se deben
recopilar las pruebas, que deberían conservarse y presentarse de manera que
se ajusten a las normas legales vigentes.
La Gestión de Incidentes en SUNAT se encuentra descrita en el documento
“Normas y Pautas para la atención de solicitudes sobre servicios informáticos”
así como en el documento de “Normas y Pautas para el registro y atención de
incidentes y vulnerabilidades de seguridad” aprobadas por Resolución de
Intendencia N° 019-2019-1U0000.
SUNAT dispone de una solución automatizada de registro y seguimiento de
incidentes, herramienta de Gestión de Servicios de Tecnologías de Información
(GSTI), mediante la cual los usuarios deben reportar y registrar incidentes de
seguridad e incidentes referidos a la operación de los servicios informáticos que
se producen en el día a día en la plataforma tecnológica de la SUNAT,
actualmente no se registran incidentes no informáticos, sin embargo se cuenta
con un buzón de correo electrónico, buzonincidentesseguridad@sunat.gob.pe,
mediante el cual los usuarios pueden reportar incidentes de seguridad no
informáticos.
1.1.12. Aspectos de seguridad de la información en la gestión de la

continuidad del negocio
La continuidad de seguridad de la información se debe incluir en los sistemas de

gestión de la continuidad de negocio de la organización.
La organización debe determinar sus requisitos para la seguridad de la
información y la continuidad de la gestión de la seguridad de la información en
situaciones adversas, por ejemplo, durante una crisis o desastre. Los controles
que considerar son:
• contar con una estructura de gestión adecuada para prepararse, mitigar

y responder ante un evento perturbador, haciendo uso de personal con
la autoridad, experiencia y competencia necesarias.
19
Actualmente la SUNAT cuenta con "DSI.RAIV.02" Normas y Pautas para el registro y atención de
incidentes y vulnerabilidades de seguridad.
22
• se designe personal de respuesta a incidentes con la responsabilidad,

autoridad y competencia necesarias para manejar un incidente y
mantener la seguridad de la información.
• se desarrollen y aprueben planes, procedimientos de respuesta y
recuperación documentados, en los que se especifique en detalle como
la organización gestionará un evento perturbador y mantendrá su
seguridad de la información en un límite predeterminado, con base en los
objetivos de continuidad de seguridad de la información aprobados por la
Alta Dirección.
1.1.13. Cumplimiento
Se debe evitar el incumplimiento de las obligaciones legales, contractuales y

reglamentarias relacionadas con seguridad de la información, y de cualquier
requisito de seguridad. Asimismo, los registros se deben proteger contra pérdida,
destrucción, falsificación, acceso no autorizado y liberación no autorizada, de
acuerdo con los requisitos legales, contractuales y reglamentarios.
23

Modulo II-politicas Si

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo II-politicas Si

Cargado por

Copyright:

Formatos disponibles

CURSO DE SEGURIDAD DE

UNIDAD I: POLÍTICAS DE SEGURIDAD DE LA

La seguridad de la información al ser “el conjunto de medidas y procedimientos puesto

1.1. Políticas de seguridad

La política de seguridad es un documento de alto nivel que denota el compromiso

El principal objetivo de una política de seguridad es dar a conocer al personal

La política de seguridad sirve de guía y proporciona apoyo gerencial para

Un aspecto importante de la política de seguridad es asegurar que todos

La SUNAT cuenta con un Manual De Roles, Responsabilidades Y

 Apoyo de la Alta Dirección

Para asegurar el éxito de una política de seguridad, la Alta Dirección debe

Estos recursos no sólo deberán ser económicos, sino también humanos y de

La SUNAT comunica las políticas de seguridad de la información a través de

entrenamiento o charlas. En definitiva, el objetivo es garantizar que todo el

 Documentación de la Política de Seguridad

La SUNAT cuenta con Política de Seguridad de la Información aprobada

Asimismo, la SUNAT cuenta con el Manual Políticas de Seguridad de la

1.1.1. Organización de la seguridad de la información

Es establecer un marco de referencia de gestión para iniciar y controlar la

1.1.1.1. Comité de Gobierno Digital en la SUNAT

De acuerdo, al artículo 1 de la Resolución Ministerial N°087-2019-PCM

Asimismo, mediante Resolución de Superintendencia N° 142- 2019/SUNAT

• Intendente Nacional de Estrategias y Riesgos, en representación de

• Gerente de Operadores y Atención a Usuarios de la Intendencia

1.1.1.2. Dispositivos móviles y teletrabajo

Los usuarios que utilicen dispositivos móviles como computadores

El teletrabajo hace referencia a todas las formas de trabajo por fuera de la

La actividad de teletrabajo debe contar con una serie de condiciones y

1.1.2. Seguridad de recursos humanos

Suele decirse que el éxito o fracaso en la implementación

Por un lado, las personas son el activo más importante en

Los controles para la seguridad de la información que se consideran en este

1.1.2.1. Seguridad Antes del Empleo

Hay que asegurar que los empleados y contratistas entiendan sus

• Verificar que la información provista por el candidato sea verdadera y

 Selección y Política de Personal

Cuando una organización, se encuentra involucrada por completo con la

incorporar un nuevo empleado (o un nuevo usuario, visto desde la

En SUNAT, la Intendencia Nacional de Recursos Humanos lleva a cabo el

El sistema de selección de personal da por válida automáticamente la

Al momento de establecer una relación laboral, empleado y empleador,

• Un “Acuerdo de Confidencialidad” o “No Divulgación”, debe ser

En SUNAT, los empleados firman una “Declaración de Compromiso”,

Dicho compromiso establece la obligación de:

1.1.2.2. Seguridad Durante del Empleo

Hay que asegurar que los empleados y contratistas sean conscientes y

 Capacitación en materia de Seguridad de la Información

Gran parte del éxito en la implantación de

En SUNAT, como parte del Plan de Capacitación y Sensibilización Integral

Superintendencia N.° 050-2019/SUNAT y según la normativa para la

1.1.2.3. Seguridad en la Terminación y Cambio de Empleo

1.1.3. Gestión de activos

1.1.3.1. Clasificación de la información

Trata de identificar los activos

 Criterios de clasificación de la información 11

La información debe clasificarse según su sensibilidad o grado de impacto

• Público: Son activos que se consideran públicos, y que pueden ser

1.1.3.2. Manejo de los medios

Se refiere a evitar la divulgación, la modificación, el retiro o la destrucción de la

• El contenido de cualquier medio reusable que se vaya a retirar de la

1.1.4. Control de accesos 14

Se refiere a controlar quien accede a la

1.1.4.1. Responsabilidades de los usuarios

Una seguridad efectiva requiere la cooperación de los usuarios autorizados,