FACULTAD DE INGENIERÍA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

TEMA:
IMPLEMENTACIÓN DE CONTROLES DE LA NORMA
TÉCNICA PERUANA NTP-ISO/IEC 27001 2014

ASIGNATURA

AUDITORÍA, SEGURIDAD Y CONTROL DE SISTEMAS

DOCENTE

ING.PALOMINO OLIVERA EMILIO

INTEGRANTES:

CUNISI CHUQUITAPA OSCAR

MONTOYA PILLCO MIJKAEL JOSUE
PILCO PALOMINO JESUS
QUISPE HUAMAN JOSE LUIS
ALEXANDER

CUSCO - PERÚ
April de 2022
ÍNDICE
Contenido
ÍNDICE..........................................................................................................................................2
INTRODUCCIÓN............................................................................................................................3
PROBLEMA...................................................................................................................................3
OBJETIVOS....................................................................................................................................3
METODOLOGÍA............................................................................................................................3
MARCO TEÓRICO..........................................................................................................................3
CONTROLES DE LA NTP ISO/IEC 27001:2014................................................................................3
A.5 Políticas de seguridad de la información............................................................................3
A.5.1 Dirección de la gerencia para la seguridad de la información.....................................3
A.5.1.1 políticas para la seguridad de la información.......................................................3
A.5.1.2 Revisión de las políticas para la seguridad de la información...............................3
A.6 Organización de la seguridad de la información................................................................3
A.6.1 Organización interna...................................................................................................3
A.6.1.1 roles y responsabilidades para la seguridad de la información............................3
A.6.1.2 segregación de funciones.....................................................................................3
A.6.1.3 contacto con autoridades.....................................................................................3
A.6.1.4 contacto con grupos de especial interés..............................................................3
A.6.1.5 seguridad de la información en la gestión de proyectos......................................3
A.6.2 Disposición móviles y teletrabajo................................................................................3
A.6.2.1 política de dispositivos móviles............................................................................3
A.6.2.2 teletrabajo............................................................................................................3
A.7 Seguridad de los recursos humanos...................................................................................3
A.7.1 Antes del empleo........................................................................................................3
A.7.1.1 Selección..............................................................................................................3
A.7.1.2 términos y condiciones de empleo.......................................................................3
INTRODUCCIÓN
La Norma Técnica Peruana NTP-ISO/IEC 27001: 2014. Tecnología de la información. Técnicas
de seguridad. Sistemas de gestión de seguridad de la información, fue elaborada por el
comité técnico de normalización de codoficacion e intercambnio electropnico de datos,
mediante el sistema 1 o de adopción, durante los meses de abril a junio del 2014 y tiene como
antecedentes a la ISO/EIC 27001:2013 Information Technology-Security techniques –
Information security management systems – Requirements y la ISO/IEC 27001:2013/COR 1
2013 Information Technology – Security Techniques – Information security management
systems – Requirements el cual es un estándar internacional para la seguridad de la
información. Dicha norma es de uso obligatorio para las instituciones del Estado y es
recomendable y opcional para las instituciones privadas.

En resumen, la norma descrita es una guía para la implementación de controles de seguridad

de la información en las organizaciones, esto para una consecuente identificación, evaluación y
tratamiento de los riesgos de seguridad de la información que puedan existir. Ya que se trata a
la información, en sus diversas formas, como un activo importante que debido a diversos
factores está expuesta a amenazas y vulnerabilidades, y por ello se debe salvaguardar su
seguridad para asegurar la continuidad del negocio, minimizar los daños a la organización,
mantener su competitividad, entre otros beneficios.

Para conseguir dicha seguridad la norma sugiere la implantación de un conjunto adecuado de

controles, que si bien es cierto en esta norma es tomada de forma general, estos controles
pueden ser más específicos en cada organización. Estos controles pueden ser políticas,
prácticas, estructuras organizativas y funciones de hardware o software.

La estructura de este estándar consta de 10 cláusulas de control de seguridad, nuestro equipo

de trabajo tomó como punto de trabajo la cláusula que trata sobre las políticas de seguridad
de la información, organización de la seguridad y seguridad e los recursos humanos.

La Gestión de Comunicaciones y Operaciones asegura la operación correcta y segura de los

recursos de tratamiento de la información manteniendo su integridad y disponibilidad;
protege la integridad del hardware, software, información, e infraestructura de apoyo, evita
interrupciones de actividades.

El objetivo de este documento es mostrar un prototipo que puede seguirse de acuerdo a la

guía de implementación de controles mostrada en la norma, por cada control se ha realizado
cuatro cuadros, el primero contiene el nombre de la actividad, del control y la guía de
implementación, el segundo es el formato prototipo, el tercero y cuarto contienen ejemplos
de las dos anteriores. El prototipo precisa el uso de un cuadro por cada tarea, servicio,
operación o proceso según sea el caso en los controles; ya que pretender amontonar todos los
detalles en un solo cuadro solo traería dificultades en su comprensión y organización.

PROBLEMA
La implementación de controles de seguridad en una organización, pasa por una serie de pasos
y procedimientos que deben ser detallados y descritos de manera coherente es por ello que el
presente informe busca dar un modelo de implementación de dichos controles, así como sus
actividades, secuencias detalladas en los diagramas de procesos BPMN y sus respectivos
formatos; en respuesta a la necesidad de la implementación de actividades de control y su
descripción.

OBJETIVOS
 Documentarnos sobre la NTP ISO/IEC 27001:2014 identificar sus cláusulas.
 Seleccionar 10 procesos de control de SGSI (sistema de gestión de seguridad de la
información) como lo describe la norma NTP ISO/IEC 27001:2014.
 Describir el objetivo principal de las clausulas de control tomadas de la norma NTP
ISO/IEC 27001:2014.
 Elaborar las tareas y actividades de cada control seleccionado de la NTP ISO/IEC
27001:2014.
 Elaborar los BPMN de los controles seleccionados de la NTP ISO/IEC 27001:2014.
 Elaborar los formatos auditados para cada proceso de control seleccionado de la NTP
ISO/IEC 27001:2014
 Automatizar y sustentar los formatos de control seleccionados de la NTP ISO/IEC
27001:2014

METODOLOGÍA
 Para la el desarrollo del presente informe se procedió a documentarnos y basarnos en
la norma NTP ISO/IEC 27001:2014 así como sus predecesores y las guías de
implementación provistas por el estado peruano específicamente de ONGEI en dichas
tareas se ejecutan labores de investigación y análisis de dicha norma técnica así como
la revisión de normas anteriores y sus modificatorias para así llegar a las políticas de
control y sugerir la implementación de las actividades basadas en la misma como
método de solución frente al problema de la implementación.
 Se procedió a tomar como referencia el anexo A normativo de la NTP ISO/IEC
27001:2014.
 Seleccionamos las primeras clausulas y se tomo como referencia los objetivos de
control allí descritos y que guardan relación con los objetivos de la NTP ISO/IEC
27001:2014.
 Desarrollamos las actividades de control basadas en los objetivos de control allí
descritos y las políticas allí sugeridas.
 Utilizamos herramientas de modelado de procesos como Bizagi Studio para el
desarrollo de los respectivos modelos de proceso.
 Desarrollamos los formularios para los controles basados en las actividades y los
responsables.
 Por último, sentamos las bases para la automatización de dichos controles de
seguridad de la información para la siguiente unidad.

MARCO TEÓRICO
El presente informe describe las actividades y tareas de implementación de controles basados
en la norma NTP ISO/IEC 27001:2014 los mismos que están en vigencia en el estado peruano.
CONTROLES DE LA NTP ISO/IEC 27001:2014
A.5 Políticas de seguridad de la información
A.5.1 Dirección de la gerencia para la seguridad de la información
Objetivo: promocionar dirección y apoyo de la gerencia para la seguridad de la información en
concordancia con los requisitos del negocio y las leyes y regulaciones relevantes.

A.5.1.1 políticas para la seguridad de la información

Control: Destinado a un conjunto de políticas para la seguridad de la información debe ser
definido y aprobado por la gerencia, publicado y comunicado a los empleados y a las partes
externas relevantes.

Para las entidades es importante contar con políticas de seguridad ya que son ellas quienes
guiaran el comportamiento personal y profesional de los funcionarios, contratistas o terceros
sobre la información obtenida, generada o procesada por la entidad, así mismo las políticas
permitirán que la entidad trabaje bajo las mejores prácticas de seguridad y cumpla con los
requisitos legales a los cuales esté obligada a cumplir la entidad.

ACTIVIDADES DE IMPLEMENTACIÓN DE LAS POLITICAS DE SEGURIDAD DE INFORMACIÓN

1. Desarrollo de las políticas: En esta fase la Entidad debe responsabilizar las áreas para la
creación de las políticas, estructurarlas, escribirlas, revisarlas y aprobarlas; por lo cual
para llevar a buen término esta fase se requiere que se realicen actividades de
verificación e investigación de los siguientes aspectos:
1. Justificación de la creación de política: Debe identificarse el por qué la Entidad
requiere la creación de la política de seguridad de información y determinar el control
al cual hace referencia su implementación.
2. Alcance: Debe determinarse el alcance, ¿A qué población, áreas, procesos o
departamentos aplica la política?, ¿Quién debe cumplir la política?
3. Roles y Responsabilidades: Se debe definir los responsables y los roles para la
implementación, aplicación, seguimiento y autorizaciones de la política.
4. Revisión de la política: Es la actividad mediante la cual la política una vez haya sido
redactada pasa a un procedimiento de evaluación por parte de otros individuos o
grupo de individuos que evalúen la aplicabilidad, la redacción y se realizan sugerencias
sobre el desarrollo y creación de la misma.
5. Aprobación de la Política: Se debe determinar al interior de la entidad la persona o rol
de la alta dirección que tiene la competencia de formalizar las políticas de seguridad
de la información mediante la firma y publicación de las mismas. Es importante que la
Alta Gerencia de la Entidad muestre interés y apoyo en la implementación de dichas
políticas.
2. Cumplimiento: Fase mediante la cual todas aquellas políticas escritas deben estar
implementadas y relacionadas a los controles de seguridad de la Información, esto con
el fin de que exista consistencia entre lo escrito en las políticas versus los controles de
seguridad implementados y documentados.
3. Comunicación: Fase mediante la cual se da a conocer las políticas a los funcionarios,
contratistas y/o terceros de la Entidad. Esta fase es muy importante toda vez que del
conocimiento del contenido de las políticas depende gran parte del cumplimiento de
las mismas; esta fase de la implementación también permitirá obtener
retroalimentación de la efectividad de las políticas, permitiendo así realizar
excepciones, correcciones y ajustes pertinentes. Todos los funcionarios contratistas
 y/o terceros de la entidad debe conocer la existencia de las políticas, la obligatoriedad
de su cumplimiento y la ubicación física de tal documento o documentos, para que
sean consultados en el momento que se requieran.
4. Monitoreo: Es importante que las políticas sean monitoreadas para determinar la
efectividad y cumplimiento de las mismas, deben crearse mecanismos ejemplo
indicadores para verificar de forma periódica y con evidencias que la política funciona
y si debe o no ajustarse.
5. Mantenimiento: Esta fase es la encargada de asegurar que la política se encuentra
actualizada, integra y que contiene los ajustes necesarios y obtenidos de las
retroalimentaciones.
6. Retiro: Fase mediante la cual se hace eliminación de una política de seguridad en
cuanto esta ha cumplido su finalidad o la política ya no es necesaria en la Entidad. Esta
es la última fase para completar el ciclo de vida de las políticas de seguridad y requiere
que este retiro sea documento

A.5.1.2 Revisión de las políticas para la seguridad de la información

Control: Las políticas para la seguridad de la información deben ser revisadas a intervalos
planificadas o si ocurren cambios significativos para asegurar su conveniencia, adecuación y
efectividad continua.

Esta política vela por el mantenimiento de las evidencias de las actividades y acciones que
afectan los activos de información. Esta política deberá contener:

1. Responsabilidad: Incluir la responsabilidad de la Oficina de Control Interno y similares,

acerca de la responsabilidad de llevar a cabo las auditorías periódicas a los sistemas y
actividades relacionadas a la gestión de activos de información, así como la
responsabilidad de dicha Oficina de informar los resultados de las auditorías.
2. Almacenamiento de registros: La política debe incluir el almacenamiento de los
registros de las copias de seguridad en la base de datos correspondiente y el correcto
funcionamiento de las mismas. Los registros de auditoría deben incluir toda la
información registro y monitoreo de eventos de seguridad.
3. Normatividad: La política de auditoría debe velar porque las mismas sean realizadas
acorde a la normatividad y requerimientos legales aplicables a la naturaleza de la
Entidad.
4. Garantía cumplimiento: La política de auditoría debe garantizar la evaluación de los
controles, la eficiencia de los sistemas, el cumplimiento de las políticas y
procedimientos de la Entidad; así como recomendar las deficiencias detectadas.
5. Periodicidad: La política debe determinar la revisión periódica de los niveles de riesgos
a los cuales está expuesta la Entidad, lo cual se logra a través de auditorías periódicas
alineada a los objetivos estratégicos y gestión de procesos de la Entidad.

A.6 Organización de la seguridad de la información

A.6.1 Organización interna
Objetivo: Proporcionar dirección y apoyo de la gerencia para la seguridad de la
información en concordancia con los requisitos del negocio y las regulaciones
relevantes.

A.6.1.1 roles y responsabilidades para la seguridad de la información

Control: Todas las responsabilidades de seguridad de la información deben ser
definidas y asignadas.
 A.6.1.2 segregación de funciones
Control: Las funciones y áreas de responsabilidad en conflicto deben ser
segregadas para reducir oportunidades de modificación no autorizada o no
intencional o mal uso de los activos de la organización.

A.6.1.3 contacto con autoridades

A.6.1.4 contacto con grupos de especial interés
A.6.1.5 seguridad de la información en la gestión de proyectos
A.6.2 Disposición móviles y teletrabajo
A.6.2.1 política de dispositivos móviles
A.6.2.2 teletrabajo
A.7 Seguridad de los recursos humanos
A.7.1 Antes del empleo
A.7.1.1 Selección
A.7.1.2 términos y condiciones de empleo

CONCLUSION
BIBLIOGRAFIA
Bibliografía
Comisión de Normalizacion y de Fiscalización de barreras comerciales no arancelarias
INDECOPI. (2014). NORMA TÉCNICA PERUANA NTP-ISO/IEC 27001:2014.

GTDI. (s.f.). tecnologias de la informacion y consultoria. Obtenido de https://www.gtdi.pe/NTP-

ISOIEC_27001_2014_aprobada

Luz Adriana Moyano Orjuela, Y. E. (2017). PLAN DE IMPLEMENTACION DE SGSI BASADO EN LA

NORMA 27001:2013 EMPRESA DE INTERFACES Y SOLUCIONES . Bogotá: Facultad de
tecnológia Ingeniería en telemática.