Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PÚBLICA Página: 1 de 34
__________________________
Oficial de Seguridad Digital de la Policía OS-368042
Elaborado por: José A. VENTURA RUEDA
Nacional del Perú
CAPITÁN S PNP
JEFE DEL DPTO. DE CIBERSEGURIDAD
DIRTIC PNP
--------------------------------------------------------
Jefe de la División de Informática- OA-210464
Revisado por:
DIRTIC PNP PEDRO RONALD CRUZ OSORIO
CRNL PNP
JEFE DE DIVISIÓN DE INFORMÁTICA
DIRTIC PNP
PÚBLICA Página 2 de 34
I. OBJETO
II. FINALIDAD
2.1 Fortalecer las capacidades de la Policía Nacional del Perú para enfrentar las
amenazas que atentan contra la seguridad de la información, creando un
entorno y condiciones necesarias que permitan proteger los activos de la
información y los datos personales.
2.3 Controlar, mitigar y/o prevenir impactos ocasionados por posibles eventos y/o
incidentes a la seguridad de la información.
2.5 Mantener la confianza del personal de la Policía Nacional del Perú, los
ciudadanos, contratistas y proveedores, respecto al correcto manejo y
protección de la información que es gestionada y resguardada en la Policía
Nacional del Perú.
III. ALCANCE
IV. RESPONSABILIDADES
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 3 de 34
4.3. Las unidades de organización de la Policía Nacional del Perú son responsables
del estricto cumplimiento de las disposiciones contenidas en la presente
política.
4.4. La Inspectoría General de la Policía Nacional del Perú, dispondrá las acciones
pertinentes de control que garanticen el estricto cumplimiento de la presente
Directiva, informando a la Comandancia General de la Policía Nacional del Perú
mensualmente del resultado de dichas acciones y las medidas adoptadas ante
las transgresiones constatadas.
V. BASE LEGAL
5.1 Ley 30714, Ley de Régimen disciplinario de la Policía Nacional del Perú.
5.7 Decreto Legislativo Nº 1267, Ley de la Policía Nacional del Perú y sus
modificatorias.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 4 de 34
6.2. La Policía Nacional del Perú considera que toda información utilizada para la
gestión interna, el fortalecimiento del orden público, orden interno y seguridad
ciudadana, independientemente del medio en el que se soporta, debe de ser
protegida, evitando su eliminación, destrucción, divulgación, modificación y
utilización no autorizada.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 5 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 6 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 7 de 34
7.3.2. Los activos de información deben ser utilizados solo para propósitos
relacionados con los servicios que presta a la PNP. Cualquier uso de
los activos de la información de la Institución con fines o efectos ilícitos,
lesivos a los derechos e intereses de terceros, ilegales, lucrativos,
comerciales o profesionales distintos a los permitidos, se encuentran
estrictamente prohibidos.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 8 de 34
7.3.11. Para los medios que sean retirados fuera del local policial donde se
labora, se debe requerir una autorización por el área responsable y
mantener los registros de todos los retiros. Así mismo, deben
establecerse los controles adecuados para su transporte.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 9 de 34
7.4.4. Para acceder a la red privada y/o a los sistemas de información policial
se debe:
7.4.4.1. Contar con la autorización del responsable de la gestión del
acceso, conforme a las normas internas vigentes.
7.4.4.2. Emplear autenticación robusta y multifactor (ya sea usuario
y contraseña, token, control biométrico, tarjeta inteligente u
otros).
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 10 de 34
7.4.7. cuenta de usuario que no ha sido utilizada en los últimos noventa días
debe ser inhabilitada, para su análisis y posterior eliminación de ser
necesario.
7.4.9. Mantener el registro de los eventos que realizan los usuarios que
acceden a la red privada y sistemas de información policial.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 11 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 12 de 34
7.4.19. El usuario debe generar solo una sesión de inicio e invalidarse cuando
se cierra la sesión.
7.4.21. T odas las páginas que requieren autenticación deben poseer acceso
fácil y visible a la funcionalidad de cierre de sesión.
PÚBLICA Página 13 de 34
7.6.2. Los visitantes a las instalaciones deben portar siempre visible su carné
o documento de identificación (fotocheck, carnet de identificación
policial, etc.) establecido por la Unidad Policial.
7.6.3. Si por necesidad del servicio una persona requiera acceder a un área
restringida de un local policial, debe contar con la autorización
respectiva del Jefe de la Unidad y estar acompañado por un efectivo
policial.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 14 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 15 de 34
7.6.15. Cerrar bajo llave las cajas fuertes, gabinetes, archivadores, cajones
y/o escritorios que contengan documentos o medios removibles con
información de la Policía Nacional del Perú y guardar las respectivas
llaves en un lugar seguro.
PÚBLICA Página 16 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 17 de 34
7.7.12. Antes de usar archivos electrónicos, verificar que estos estén libres de
software malicioso.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 18 de 34
7.7.17. Se deben generar como mínimo dos copias de respaldo, una de ellas
se debe almacenar en el local donde fue generada, y al menos, la otra
copia de la misma debe almacenarse en un lugar externo al local, en
ambos casos deben contar con controles de acceso físico y
condiciones ambientales adecuadas para su conservación.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 19 de 34
7.8.3. Las conexiones a los sistemas de red deben ser restringidos y deben
ser autenticados y autorizados de acuerdo a roles establecidos.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 20 de 34
7.8.10. Para gestionar las redes sociales que involucra la identidad online e
imagen institucional de la Policía Nacional del Perú, el órgano
competente debe designar el Administrador(es) de Comunidad
(Community Manager), quien estará a cargo de operar y administrar
las diferentes redes sociales de acuerdo a los procesos y normativas
internas.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 21 de 34
7.9.8. Los servicios web de la Institución que son publicados por sistemas de
información o interconexión con aplicaciones de entidades externas
deben implementar controles definidos en la metodología del ciclo de
desarrollo de software establecidos por la DIRTIC para protegerlos de
ataques informáticos internos y externos.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 22 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 23 de 34
7.10.1. Las Unidades de Organización de la Policía Nacional del Perú que son
propietarios de los activos de información, antes de permitir el acceso
o la entrega de información a un proveedor como parte de un servicio,
deben realizar la gestión de riesgos de seguridad de la información,
con el fin de establecer los niveles de acceso a la información que
permita salvaguardar la confidencialidad, integridad y disponibilidad de
la información.
7.10.2. Todos los contratos con proveedores que, como parte del servicio a
ejecutar requieran acceder a información o servicios tecnológicos de
la PNP, debe tener claramente definidos los acuerdos de
confidencialidad y niveles de servicios, los cuales deben y ser incluidos
como un numeral de las especificaciones técnicas o términos de
referencia para su contratación.
7.10.6. Cualquier cambio a ejecutar por el proveedor como parte del servicio
contratado, previamente debe realizar una gestión de riesgos de
seguridad de la información, a fin de identificar los impactos que podría
generar dicho cambio a la infraestructura tecnológica o procesos de la
PNP.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 24 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 25 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 26 de 34
PÚBLICA Página 27 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 28 de 34
PÚBLICA Página 29 de 34
8.2 Las unidades de organización de la Policía Nacional del Perú deben asegurarse
que la política de seguridad de la información sea comunicada al personal
comprendido en el alcance.
IX. VIGENCIA
X. ANEXO
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 30 de 34
ANEXO I
GLOSARIO DE TÉRMINOS
Los términos y definiciones que se indican líneas abajo, son aquellas que se encuentran
detalladas en las normas emitidas por la Organización Internacional para la
Estandarización.
1. Aceptación de riesgo
Decisión informada de asumir un riesgo en particular.
Nota 1 La aceptación del riesgo puede ocurrir sin tratamiento de riesgo o durante el
proceso de tratamiento de riesgo.
Nota 2 Los riesgos aceptados están sujetos a monitoreo y revisión.
2. Activo
Algo que tiene valor para una organización.
Nota 1 Activos incluyen, pero no limitados a personas, equipos, información, recursos
intangibles y ambientales.
3. Activo de información
Es todo aquello que procesa, almacena, transmite y/o sirve de soporte de la
información, necesaria para la operación y el cumplimiento de los objetivos de la
organización. Los tipos de activos de la información son:
- Arquitectura del sistema
- Datos/Información
- Claves criptográficas
- Servicios
- Software – Aplicaciones informáticas
- Equipamiento (hardware)
- Redes de comunicaciones
- Soportes de información
- Equipamiento auxiliar
- Instalaciones
- Personal
4. Amenaza
Causa potencial de un incidente no deseado, que puede resultar en daños para un
sistema u organización.
5. Ataque
Intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no
autorizado o hacer un uso no autorizado de un activo.
6. Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de
auditoría y evaluarlas de manera objetiva, con el fin de determinar el grado en el que
se cumplen los criterios de auditoría.
Nota 1 Una auditoría puede ser una auditoría interna (primera parte) o una auditoría
externa (segunda parte o tercera parte), y puede ser una auditoría combinada
(combinando dos o más disciplinas).
Nota 2 Una auditoría interna es realizada por la propia organización o por una parte
externa en su nombre.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 31 de 34
7. Autenticación
Aportación de garantías de que son correctas las características que una entidad
reivindica para sí misma.
8. Confiabilidad
Propiedad de un comportamiento planeado consistente y resultado.
9. Confidencialidad
Propiedad de la información por la que se mantiene inaccesible y no se revela a
personas, entidades o procesos no autorizados.
10. Conformidad
Cumplimiento de un requisito.
12. Control
Medida que modifica un riesgo.
Nota 1 Los controles incluyen cualquier proceso, política, dispositivo, práctica u otras
acciones que modifiquen el riesgo.
Nota 2 Es posible que los controles no siempre ejerzan el efecto de modificación
previsto o supuesto.
14. Criptografía
Arte de escribir con clave secreta o de un modo enigmático.
15. Datos
Conjunto de valores asociados a medidas básicas, medidas derivadas y/o
indicadores.
16. Disconformidad
Incumplimiento de un requisito.
17. Disponibilidad
Propiedad de ser accesible y utilizable bajo demanda de una entidad autorizada.
20. Evento
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 32 de 34
25. Indicador
Medida que proporciona una estimación o una evaluación de determinados atributos
usando un modelo analítico para satisfacer unas determinadas necesidades de
información.
26. Integridad
Propiedad de exactitud y completitud.
29. Política
Intenciones y dirección de una organización, formalmente expresado por la alta
dirección.
30. Proceso
Conjunto de actividades interrelacionadas o que interactúan, que transforma
elementos de entrada en elementos de salida.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 33 de 34
33. Riesgo
Efecto de la incertidumbre sobre la consecución de los objetivos.
Nota 1 Un efecto es una desviación de lo esperado, positivo o negativa, respecto a
lo previsto.
Nota 2 La incertidumbre es el estado, incluso parcial, de deficiencia en la información
relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o
de su probabilidad.
Nota 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales
y a sus consecuencias o una combinación de ambos.
Nota 4 Con frecuencia, el riesgo se expresa en términos de combinación de las
consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su
probabilidad.
Nota 5 En el contexto de sistemas de gestión de seguridad de la información, los
riesgos de seguridad de la información pueden ser expresados como un efecto de
incertidumbre sobre los objetivos de seguridad de la información.
Nota 6 El riesgo de seguridad de la información está asociado con el potencial de
que las amenazas exploten las vulnerabilidades de un activo de información o grupo
de activos de información y, por lo tanto, causen daño a una organización.
36. Vulnerabilidad
Debilidad de un activo o control que puede ser explotado por una o más amenazas.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 34 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”