Seguridad de la Informacin

Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

EL ALCANCE Y LOS LMITES DEL SGSI

6.5 Integrar cada alcance y lmites para obtener el
alcance y lmites del SGSI
a) Caractersticas claves de la organizacin (su funcin,
estructura, servicios, activos, y el alcance y los lmites de
responsabilidad para cada activo)
Misin Institucional:
Brindar seguridad previsional otorgando pensiones mediante un servicio
pblico eficiente, predecible y transparente.
La SUPRAORM con la finalidad de mejorar la atencin a los pensionistas y
asegurados, orientar sus esfuerzos a las siguientes prioridades:
Gestionar los expedientes de manera anticipada para minimizar el
tiempo entre el cese del trabajador el reconocimiento de la pensin.
Facilitar el acceso de los trabajadores independientes a la SUPRAORM.
Consolidar una accin frontal con miras a reducir el stock de expedientes
por resolver, as como la desjudicializacin de procesos.
Optimizar la gestin interna a travs de la reingeniera de los procesos
de la Institucin, de un adecuado plan tecnolgico y de la gestin
efectiva de bases de datos, acompaada por un fortalecimiento de la
cultura organizacional y una mejor gestin respecto de los servicios
tercerizados.
Asegurar la sostenibilidad del plan de desarrollo y del modelo de gestin
de la SUPRAORM.
Algunas de las funciones del SUPRAORM son:
Reconocer, declarar, calificar, verificar, otorgar, liquidar y pagar
derechos pensionarios con arreglo a ley, de los sistemas previsionales
que se le encarguen o hayan encargado, as como del Rgimen de
Accidentes de Trabajo y Enfermedades Profesionales.
Mantener informados y orientar a los asegurados obligatorios y
facultativos, sobre los derechos y requisitos para acceder a una pensin
y otros beneficios pensionarios de su competencia.
Coordinar con la SUNAT las actividades necesarias para el control de las
aportaciones y supervisar el ejercicio de las facultades de administracin
delegadas con arreglo a lo establecido en los convenios
interinstitucionales suscritos.

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

Administrar los procesos inherentes al Seguro Complementario de

Trabajo de Riesgo (SCTR) conforme a la normatividad vigente sobre la
materia y dentro de los alcances del respectivo contrato de reaseguro
que para tal fin la SUPRAORM celebra con una compaa de seguros
debidamente autorizada para brindar dicho seguro.

EQUIPO DE TRABAJO DE
LA OFICINA DE TI
Jefatura de Oficina

Comit de Arquitectura de
la Informacin
Planificacin y Arquitectura
Tcnica

Ingeniera de Producto

Gestin de Operaciones

Gestin del Servicio

RESPONSABILIDAD BSICA
Gestionar y supervisar las actividades
relacionadas con el planeamiento, diseo y
soporte de los proyectos y recursos tecnolgicos a
fin de dar cumplimiento con los objetivos
institucionales.
Toma de decisiones, alineamiento, y definicin de
emprendimientos relacionados a las tecnologas
de informacin.
Garantizar el cumplimiento de los Acuerdos de
Niveles de Servicio de: Diseo arquitectnico y de
detalle de soluciones tecnolgicas, as como las
especificaciones de realizacin de proyectos.
Garantizar el cumplimiento de los Acuerdos de
Niveles de Servicio de proyectos tanto planeados
como emergentes.
Garantizar el cumplimiento de los Acuerdos de
Niveles de Servicio de los procesos de
administracin y operacin de la plataforma e
Infraestructura de servicios y procesos de
tecnologa de informacin.
Garantizar el cumplimiento de los Acuerdos de
Niveles de Servicio de los procesos y operaciones
de atencin al cliente interno/externo de la
SUPRAORM.

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

b) Los procesos organizacionales en el alcance.

Los procesos organizacionales que se encuentran dentro del alcance de la

implementacin del SGSI, que a su vez pertenecen al proceso mayor: Gestin
de Otorgamiento de Prestaciones (se ha considerado este proceso dentro del
alcance debido a qu es el proceso ms crtico que hace ofrece el
cumplimiento de la misin de la SUPRAORM), son:

Procesos

Valor del SGSI para el Proceso

Orientacin y atencin a los

trmites
Verificacin de los aportes

Pago de pensiones y Bonos

Reforzar los servicios y procesos

internos
Aumentar el valor de un servicio
"seguro"
Reforzar los servicios y procesos
internos
Reforzar los servicios y procesos
internos
Potenciar un servicio final

Administracin de Aportes

Potenciar la gestin interna

Atencin al Asegurado

Potenciar un servicio final

Inspeccin y Control

Potenciar la gestin interna

Procesos

Descripcin dentro del alcance

Precalificacin de solicitudes
Calificacin de solicitudes

Orientacin y atencin a los

trmites
Verificacin de los aportes

Se encarga de la atencin al usuario

inicial, y la orientacin debida para
realizar los trmites correspondientes
Se hace la verificacin de aportes y el
control de calidad de dicho proceso, a
fin que la Institucin pueda resolver
las
solicitudes
de
Derecho
Pensionario,
de
Bono
de
Reconocimiento (BdR), de Bono
Complementario (BC) y de Pensiones
Complementarias (PC) y as como se
supervisa
los
procesos
de:
Recuperacin de Planillas de Pagos,
Administracin del Archivo de las

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

Precalificacin de solicitudes

Calificacin de solicitudes

Pago de pensiones y Bonos

Administracin de Aportes

Atencin al Asegurado

Planillas de Pagos Recuperadas e

Incautadas (Archivo de Planillas) y
Administracin del Registro de la
Cuenta Individual de Asegurados al
Sistema Nacional de Pensiones.
Se conduce y administra el proceso
de precalificacin de solicitudes de los
regmenes previsionales a cargo de
SUPRAORM, as como de las
solicitudes de Bonos de
Reconocimiento (BdR), Bonos
Complementarios (BC) y Pensiones
Complementarias (PC) y de otros
productos relacionados a los
regmenes previsionales que por Ley
se le encarguen.
Administrar el derecho pensionario de
los regmenes, as como de las
solicitudes de Bonos de
Reconocimiento (BdR), Bonos
Complementarios (BC) y Pensiones
Complementarias (PC) y de otros
productos relacionados a los
regmenes previsionales que por Ley
se le encarguen.
Se procesa, ejecuta y controla el pago
de las pensiones de los pensionistas
de los diferentes regmenes
previsionales a cargo de SUPRAORM
Consiste en administrar los procesos
de Devolucin de aportes indebidos al
Sistema Nacional de Pensiones,
Reclamos, Control de Deuda,
Cobranza Coactiva, Crdito Tributario
o Procedimientos Concursales y
Verificacin de aportes para fines
pensionarios.
Proceso en el que se recibe, evala,
clasifica, atiende y controla las
solicitudes de reclamos y quejas
relacionadas al servicio otorgado por
SUPRAORM.

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

Inspeccin y Control

Consiste en controlar y fiscalizar

posteriormente el otorgamiento de
pensin, Bonos de Reconocimientos,
Bonos Complementarios y Pensiones
Complementarias.

Los objetivos de la implementacin del SGSI, se encuentran alineados con los

objetivos siguientes que se encuentran en el Plan Estratgico de Sistemas
(PETI). Por tanto los objetivos para la implementacin del SGSI son:
OBJETIVOS

Aumentar la proteccin
del negocio

Ofrecer seguridad

Neutralizar factores de
inercia

Disminuir tiempos de
respuesta
Asegurar la
institucionalidad

ESTRATEGIAS
1
Identificar y valorar activos de informacin
asociados a los procesos del negocio.
2
Identifica, analizar y evaluar los riesgos a los
que estn expuestos los activos de mayor
valor para la entidad.
3
Seleccionar los controles que permitan
gestionar y tratar los riesgos identificados.
4
Modelar los procesos de negocio que
componen la seguridad establecido por la
entidad.
5
Elaborar la documentacin exigida por la
norma internacional de la ISO/IEC 27001.
6
Minimizar el tiempo de respuesta entre el
cese y el otorgamiento de la pensin al
trabajador.
7
Facilitar el acceso al sistema previsional de
los trabajadores independientes.
8
Minimizar el stock de expedientes por
resolver.
9
Minimizar el volumen de procesos judiciales
relativos a la solucin de expedientes.
10
Perfeccionar la base de datos de aportes.
11
Optimizar procesos.
12
Mejorar la productividad adoptando nuevas
soluciones tecnolgicas.
13
Garantizar la calidad, seguridad y
transparencia en la tercerizacin de
servicios.
14
Garantizar un modelo sostenible en el
tiempo.
15
Construir una cultura organizacional capaz

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

de sostener un servicio de calidad.

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

c) La configuracin de los equipamientos y redes en el

alcance.

ID
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

Activo identificado
Licencia de Microsoft Windows XP , 7, Win Server
Licencia de Microsoft Office 2007
Pgina web de SUPRAORM
Intranet de la empresa
Email (para el envo electrnico de informacin)
Red (carpetas compartidas)
Sistema de Mesa de partes
Sistema de Administracin de Requerimientos
Nuevo Sistema de Gestin de Archivo
Recaudacin
Nuevo Sistema de Pensiones
Sistema Operativo de Pago
Informacin estratgica de SUPRAORM
Acta formal de constitucin
Documento de encuestas
Documentos estadsticos del sistema de
pensiones
Informe con el resultado de la investigacin
Acta del comit consultivo
Documento de la proyeccin anual
(presupuesto)
Reporte de pensionistas aptos
Impreso de la programacin de frecuencias
Registro de informacin del facilitador
Documento de programacin tentativa de
facilitadores
Documento de programacin de facilitadores
Registro de ambientes
Base de datos de potenciales clientes
Informe de resultados de llamadas a clientes
Material informativo / Documentacin
relacionada a los programas
Reglamento de ingreso a la SUPRAORM
Formulario de Preinscripcin

Tangibl
e?
No
No
No
No
No
No
No
No

Tipo de Activo
Aplicacin
Aplicacin
Aplicacin
Aplicacin
Aplicacin
Aplicacin
Aplicacin
Aplicacin

No
No
No
Si
Si
Si

Aplicacin
Aplicacin
Aplicacin
Dato
Dato
Dato

Si
Si
Si

Dato
Dato
Dato

Si
Si
Si
Si

Dato
Dato
Dato
Dato

Si
Si
Si
Si
Si

Dato
Dato
Dato
Dato
Dato

Si
Si
Si

Dato
Dato
Dato

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

30 Ficha de Inscripcin
Registro de orden de cobro a los clientes
31 inscritos
Partida de nacimiento original (o copia
32 legalizada)
33 Fotocopia de DNI
34 Boucher de pago

Si

Dato

Si

Dato

Si
Si
Si

35 Archivadores para los documentos

Si

36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54

Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si

Dato
Dato
Dato
Equipamiento
Auxiliar
Equipamiento
Auxiliar
Instalacin
Instalacin
Instalacin
Instalacin
Personal
Personal
Tecnologa
Tecnologa
Tecnologa
Tecnologa
Tecnologa
Tecnologa
Tecnologa
Tecnologa
Tecnologa
Tecnologa
Tecnologa
Tecnologa

Gabinetes
Ambientes
Vitrinas informativas
Oficina de reuniones
Archivos de la sede
Stakeholder interno
Stakeholder externo
Impresora
Telfono
Computadora de escritorio
Fotocopiadora
Scanner
Cableado Ethernet
Firewall
Servidores (30)
PC'S
Hub (3)
Switch (142)
Router (6)

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

d) Una lista preliminar de los activos de informacin del

alcance.
PRODUCTO

CANTIDAD

Office Estndar 2010

Office Estndar SA*
Office Estndar 2003
Office Project Professinal
Office Project Standar SA*
Office Project Standar 2003
Visio Professional 2010
Visio Estndar 2010
Visio Estndar 2003
Visual Studio Premium with MSDN
2010
Microsoft Visual FoxPro 6.0
Windows SA*

500
245
7
50
35
2
5
150
2
1
6
800

SA*= Software Assurance, contrato de Microsoft que permite tener la ltima

versin del mercado.

e) Una lista de los activos de TCI dentro del alcance (por

ejemplo: servidores)
Los siguientes cuadros muestran la cantidad de recursos informticos con los
que cuenta la institucin.
SERVIDORES Y MICROINFORMTICA:
TIPO DE HARDWARE
Servidores (Fsicos)
PCs
Laptops
Impresoras
Escneres
Impresoras
Multifuncionales
Telfonos IP
COMUNICACIONES:
TIPO DE HARDWARE
HUB

TOTAL
30
1104
45
45
3
74
413
MARCA
3 COM

TOTAL
3

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

3 COM
CISCO
NORTEL
CISCO
IBM

SWITCH
ROUTER

13
128
1
5
1

f) Mapa de los sitios en el alcance, indicando los lmites

fsicos de un SGSI.

g) Descripciones de roles y responsabilidades dentro del

SGSI y sus relaciones con la estructura organizacional.
N

ROLES
-

Alta Direccin
(COO,
CEO,CFO y
CSO)

Director
de
Seguridad de
la
Informacin

4
5

Comit
de
Seguridad de
la
Informacin

Equipo
de
Planificacin
de Seguridad
Administrado
r de sistemas

RESPONSABILIDADES
Asignar suficientes recursos al SGSI en todas sus
fases.
Establecer una poltica de seguridad de la
informacin.
Asegurarse de que se establecen objetivos y planes
del SGSI.
Analizar las situaciones de riesgo y planificacin y
programacin de las actuaciones precisas para la
implantacin del SGSI.
La propuesta de que el SGSI adecuada, as como la
supervisin de su utilizacin, funcionamiento y
conservacin.
Evaluar y coordinar la implementacin de controles
especficos de seguridad se la informacin para los
sistemas o servicios de la organizacin SUPRAORM,
sean preexistente o nuevos.
Promover la difusin y apoyo a la seguridad de la
informacin dentro de la Organizacin SUPRAORM,
como coordinar el proceso de administracin de la
continuidad de las actividades dentro del SGSI.
Resolver los conflictos hasta que el SGSI este
establecido.
Encargados de las Polticas y planes de seguridad de
la informacin.
Supervisar por el buen uso del hardware y software
en la implementacin del SGSI.
Administrar la informacin de las cuentas de
pensionistas.

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

Gerente
TIC

de

Jefe
de
Seguridad
Fsica

Asesor Legal

Jefe
Gestin
Riesgos

de
de

10

11

Jefe
de
Oficina
RR.HH

la
de

Subdirector
de pago de
prestaciones

Responsable de documentar la configuracin del

sistema.
Mantener la documentacin actualizada de los
sistemas.
Asignar los recursos de TIC para lograr el objetivo
en SUPRAORM.
Monitorear la implementacin del SGSI en curso con
reportes de estado peridicos.
Establecer agendas generales y prioridades para la
implementacin SGSI y servicios de soporte.
Hacer cumplir con las normas y procedimientos en
materia de seguridad integral, establecidos por la
organizacin SUPRAORM.
Elaborar informes peridicos de las actividades
realizadas dentro de la implantacin del SGSI.
Velar por el cumplimiento de instrucciones,
programas y procedimientos de proteccin y
seguridad.
Identificar y tratar todos los requerimientos legales y
normativos, as como las obligaciones contractuales
de seguridad.
Consultas sobre la propiedad intelectual y aspectos
legales de la transferencia de tecnologa a utilizar en
la implementacin del SGSI.
Administrar las incidencias de seguridad en la
implantacin del SGSI.
Administrar los riesgos en la implantacin del SGSI.
Analizar de manera integral los distintos riesgos
originados
por
las
actividades
durante
la
implementacin del SGSI.
Planificar, dirigir y supervisa los programas de los
diferentes subsistemas de recursos humanos
involucradas en la implementacin del SGSI.
Preparar presupuesto del personal durante la
implementacin del SGSI.
Velar para que se notifique a la Direccin General de
Migracin los cambios que se produzcan en la
nmina de funcionarios y empleados involucrados
en el SGSI.
Conducir el proceso de recepcin de entidades
transferidas a la SUPRAORM para la administracin
del pago de pensiones.
Controlar la ejecucin de los planes institucionales

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la

gerencia para iniciar el proyecto SGSI

12

Jefe
de
la
Oficina
de
Administraci
n

13

Director de
Produccin
-

14

Audito
r

as como del presupuesto, referidos a la

implementacin del SGSI.
Establecer e impartir las directivas necesarias y
especficas, as como gestionar la dotacin de los
recursos para el cumplimiento de sus funciones
dentro de la implementacin del SGSI.
Controlar la ejecucin de los planes institucionales
as como del presupuesto, referidos al rgano que
dirige, as como de las unidades orgnicas
dependientes para el xito de implementacin del
SGSI.
Gestionar los riesgos en el rgano a su cargo en
coordinacin con la Unidad de Gestin de la Calidad
y Riesgos durante la implementacin del SGSI.
Planificar, dirigir y controlar la ejecucin de las
actividades inherentes a los Sistemas de Tesorera,
Contabilidad, Recursos Humanos y Logstica durante
la implementacin del SGSI.
Dirigir, controlar y evaluar la ejecucin de los
procesos a cargo de la Direccin de Produccin, as
como presentar a la Gerencia General o Jefatura, los
resultados de gestin durante la implementacin del
SGSI.
Supervisar la ejecucin de los procesos referidos al
Seguro Complementario de Trabajo de Riesgo
durante la implementacin del SGSI.
Comprobar que el SGSI de SUPRAORM se ha
diseado, implementado, verificado y mejorado
conforme a lo detallado en la norma.
Se
encargada
de
verificar,
de
manera
independiente, la calidad e integridad del trabajo
que se ha realizado en cada rea.

Seguridad de la Informacin
Versin 1.0
29/09/2013

Acta de constitucin del proyecto SGSI para obtener la aprobacin de la gerencia para iniciar el proyecto
SGSI

Gerencia General

Equipo
Planificacin de Se
Comit de Seguridad
de la de
Informacin

Oficina Gestin de Riesgo

Jefe de Gestin de Riesgos

Oficina Gestin de RR.HH

Oficina de Administracin
Oficina de Tecnologa de la Informacin

Oficina de Asesora Jurdica

Jefe de la Oficina de RR.HH Gerente de TI Jefe de la Oficina de Administracin

Asesor Legal
Administrador de Sistemas

Desarrollador de Sistemas

Direccin de Prestaciones

Direccin de Produccin

Subdirector de pago de prestaciones

Director de Produccin

ANEXO
EL ALCANCE Y LOS LMITES DEL SGSI
6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI
Actividad:
Los lmites y el alcance del SGSI deberan ser obtenidos por la integracin de
cada lmite y alcance
Entradas:
a) Salidas de la actividad 5.3. Definir el alcance
documento para el alcance preliminar del SGSI.
b) Salidas de la actividad 6.2. Definir el alcance
c) Salidas de la actividad 6.3. Definir el alcance
de Comunicacin de la Informacin
d) Salidas de la actividad 6.4. Definir el alcance
Gua:

preliminar del SGSI El

y los lmites organizacionales
y los lmites de la tecnologa
y los lmites fsicos

El alcance de un SGSI puede ser descrito y justificado en varias maneras. Por

ejemplo la locacin fsica tal como un datacenter u oficina podra ser
seleccionada, y procesos crticos enlistados, cada una de las cuales involucra a
reas afuera que el datacenter trae estos reas fueras dentro del alcance. Uno
de los tales procesos crticos podra, por ejemplo, ser el acceso movial al
sistema de informacin central.
Salidas:
El entregable de esta actividad es un documento que describe el alcance y los
lmites del SGSI, conteniendo la siguiente informacin:
a) Caractersticas claves de la organizacin (su funcin, estructura, servicios,
activos, y el alcance y los lmites de responsabilidad para cada activo)
b) Los procesos organizacionales en el alcance.
c) La configuracin de los equipamientos y redes en el alcance.
d) Una lista preliminar de los activos de informacin del alcance.
e) Una lista de los activos de TCI dentro del alcance (por ejemplo: servidores)
f) Mapa de los sitios en el alcance, indicando los lmites fsicos de un SGSI.
g) Descripciones de roles y responsabilidades dentro del SGSI y sus relaciones
con la estructura organizacional.