Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
POLTICAS Y ORGANIZACIN DE LA
SEGURIDAD DE LA INFORMACIN SEGN LA
ISO/IEC 27002:2013
SISTEMAS DE INFORMACION GERENCIAL
GRUPO : N02
CICLO : 2017 B
ndice ........................................................................................................................................ II
TABLA DE CONTENIDOS ........................................................................................................... III
INTRODUCCIN........................................................................................................................ IV
OBJETIVOS ................................................................................................................................. V
Captulo I: Polticas de Seguridad de la Informacin ................................................................ 1
1.1. Directrices de gestin de la seguridad de la informacin ......................................... 1
1.1.1. Polticas para la Seguridad de la informacin ................................................... 1
1.1.2. Revisin de las polticas de la seguridad de la informacin .............................. 3
1.2. Caso Prctico ............................................................................................................. 4
1.2.1. Estableciendo polticas de seguridad aplicando norma ISO 27002 .................. 5
1.2.2. Resultados ......................................................................................................... 7
1.2.3. Discusin de los resultados ............................................................................... 8
Captulo II: Organizacin de la seguridad de la informacin .................................................. 10
2.1. Organizacin interna ............................................................................................... 10
2.1.1. Roles y responsabilidades en seguridad de la informacin ............................ 10
2.1.2. Segregacin de tareas ..................................................................................... 12
2.1.3. Contacto con las autoridades.......................................................................... 12
2.1.4. Contacto con grupos de inters especial ........................................................ 13
2.1.5. Seguridad de la informacin en la gestin de proyectos ................................ 14
2.2. Los dispositivos mviles y el teletrabajo................................................................. 15
2.2.1. Poltica de dispositivos mviles ...................................................................... 15
2.2.2. Teletrabajo ...................................................................................................... 18
2.3. Caso Prctico ........................................................................................................... 20
2.3.1. Evaluacin de la Organizacin de la Seguridad de la Informacin ................. 21
2.3.2. Propuestas para la organizacin de la seguridad de la informacin para el
Plan de Seguridad Informtico........................................................................................ 22
2.3.3. Resultado ........................................................................................................ 26
CONCLUSIN........................................................................................................................... 30
Bibliografa .............................................................................................................................. 31
II
TABLA DE CONTENIDOS
III
INTRODUCCIN
IV
OBJETIVOS
V
CAPTULO I: POLTICAS DE SEGURIDAD DE LA
INFORMACIN
1.1. Directrices de gestin de la seguridad de la informacin
En este captulo de la norma, se busca ofrecer instruccin para orientar y
controlar las polticas de la seguridad de la informacin en base a los
requisitos del negocio, a las leyes y a las normas pertinentes a este rubro.
1
De igual manera, la poltica debera apoyarse en polticas de temas en
especfico donde se profundice la implantacin de controles bien
estructurados para poder atender las necesidades de determinados
grupos dentro de la organizacin o para cubrir diversos temas.
a) Control de Acceso
b) Clasificacin de la informacin y su manejo
c) Seguridad fsica y ambiental
d) Temas orientados a usuarios finales como:
i. Uso adecuado de activos
ii. Puesto de trabajo despejado y pantalla limpia
iii. Transferencia de informacin
iv. Dispositivos mviles y teletrabajo
v. Restricciones de instalacin y uso de software
e) Copias de respaldo
f) Transferencia de Informacin
g) Proteccin ante el software malicioso
h) Gestin de vulnerabilidades
i) Controles criptogrficos
j) Seguridad de las comunicaciones
k) Privacidad y proteccin de la informacin identificativa de personas
l) Relaciones con proveedores
2
El grado de necesidad de polticas internas de seguridad de la informacin
va a depender del tipo de organizacin a la cual sea implementada. Estas
polticas internas son especialmente necesarias en organizaciones
grandes y de gran complejidad en las que los que solicitan y aprueban los
niveles esperados de control, son otros profesionales diferentes a los que
se encargan de implantar estas polticas, as como tambin en casos
donde una poltica se debe implementar para varias personas o a
funciones diferentes de la organizacin.
3
como en las circunstancias del negocio, las condiciones legales
reglamentarias o contractuales, o el entorno tcnico.
4
1.2.1. Estableciendo polticas de seguridad aplicando norma ISO 27002
5
Para poder establecer las polticas de seguridad se tienen en la
responsabilidad sobre los activos y la clasificacin de la informacin, as
como, polticas de control de acceso, que son las siguientes:
6
El sistema debe proveer un control de acceso obligatorio.
Slo el administrador debe tener la capacidad de conectarse a
los recursos del sistema en modo privilegiado para realizar tareas
administrativas.
1.2.2. Resultados
7
GRFICO 1. 1: ESTADSTICA DEL RIESGO EN LA EMPRESA
8
DECRETO SUPREMO N 003-2013-JUS artculo 2 numeral 6 de
la Constitucin Poltica del Per.
Por medio de una encuesta se pudo ver que la norma ISO, nos
ha permitido unificar los trabajos de los doctores con otras reas
del policlnico, lo que se establece una sistemtica de trabajo y
se deja de lado la improvisacin, lo cual se espera reducir el 86%
lo cual se toma al buscar la informacin de los pacientes.
(Guevara Perez & Miranda Zelada, 2014)
9
CAPTULO II: ORGANIZACIN DE LA SEGURIDAD DE LA
INFORMACIN
2.1. Organizacin interna
En este apartado se buscar establecer un marco de gestin para el inicio y
control de la implementacin y operabilidad de la seguridad de la informacin
dentro de la organizacin.
10
comprobar que todas las tareas delegadas han sido correctamente
realizadas.
11
2.1.2. Segregacin de tareas
12
las autoridades encargadas de vigilar el cumplimiento de la legislacin son
tambin tiles para anticiparse y prepararse para los cambios que vendrn
en nuevas reglamentaciones y que la organizacin tendr que cumplir.
Los contactos con otras autoridades incluyen:
Las empresas de servicios pblicos.
Las de suministro elctrico
Los servicios de emergencias, de seguridad y salud como el cuerpo
de bomberos (en relacin con la continuidad del negocio)
Proveedores de servicios de telecomunicacin (en relacin con la
disponibilidad y enrutamiento del servicio)
Compaas de suministro de agua (en relacin con las instalaciones
de refrigeracin para los equipos).
13
d) Obtener acceso a asesoramiento especializado en seguridad de la
informacin.
e) Compartir e intercambiar informacin sobre nuevas tecnologas,
productos, amenazas o vulnerabilidades.
f) Proporcionar adecuados puntos de enlace relacionados con
incidentes de seguridad de la informacin
14
2.2. Los dispositivos mviles y el teletrabajo
Se debe garantizar la seguridad en el teletrabajo y en el uso de dispositivos
mviles.
2.2.1. Poltica de dispositivos mviles
Se debera adoptar una poltica y unas medidas de seguridad adecuadas
para la proteccin contra los riesgos de la utilizacin de dispositivos
mviles, por otro lado, se debera tener un cuidado especial para asegurar
que no se comprometa la informacin del negocio, al igual que trabajar
con dispositivos mviles en entornos desprotegidos.
La poltica de dispositivos mviles debera considerar:
a) El registro de dispositivos mviles.
b) Los requisitos para la proteccin fsica.
c) Las restricciones de instalacin de software.
d) Los requisitos para las versiones de software de dispositivos
mviles y para la aplicacin de los parches y actualizaciones del
software.
e) Las restricciones de conexin a servicios de informacin;
f) Los controles de acceso.
g) Las tcnicas criptogrficas.
h) La proteccin ante el software malicioso (malware 1).
i) La inhabilitacin, el borrado y bloqueo remotos.
j) Las copias de respaldo.
k) La utilizacin de servicios y aplicaciones web.
1
Malware es la abreviatura de Malicious software, trmino que engloba a todo tipo de
programa o cdigo informtico malicioso cuya funcin es daar un sistema o causar un mal
funcionamiento.
15
Se debera tener cuidado con el uso de dispositivos mviles en zonas
pblicas, salas de reunin y otras reas desprotegidas fuera de las
instalaciones de la organizacin.
Tambin se debera implantar algn tipo de proteccin para evitar el
acceso no autorizado o la revelacin de la informacin almacenada y
procesada por estos dispositivos, por ejemplo:
Utilizando tcnicas criptogrficas.
Imponiendo el uso de protocolos secretos de identificacin y
autenticacin.
Los dispositivos mviles tambin deberan estar fsicamente protegidos
contra el robo, o cuando se extravan en algn lugar. Se debera
establecer un procedimiento especfico, que tuviera en cuenta, los
requisitos legales, los requisitos de los seguros y otros requisitos de
seguridad de la organizacin, para los casos de robo o prdida de los
dispositivos mviles. Para aquello equipos que contengan informacin
importante o crtica para el negocio, se debera bloquear fsicamente, o
utilizar cierres especiales para proteger el equipo.
Se debera proporcionar formacin al personal que utiliza dispositivos
mviles para aumentar su concienciacin respecto a los riesgos
adicionales de esta forma de trabajo y de los controles que se deberan
implantar.
Cuando la poltica de dispositivos mviles permita el uso de dispositivos
mviles personales o privados, las polticas deberan considerar tambin:
a) La separacin del uso de los dispositivos con fines privados respecto
a los del negocio, incluyendo el uso de software para permitir dicha
separacin y proteger los datos de negocio en un dispositivo
personal o privado.
16
b) Proporcionar acceso a la informacin de la organizacin slo
despus de que los usuarios han firmado un acuerdo de usuario final
que incluya el reconocimiento de sus obligaciones (proteccin fsica,
actualizacin de software, etc.), con renuncia a la propiedad de los
datos de negocio, permitiendo la limpieza remota de los datos por la
organizacin en caso de robo o prdida del dispositivo o cuando ya
no estn autorizados a utilizar el servicio. Esta poltica debera tener
en cuenta la legislacin de privacidad.
17
2.2.2. Teletrabajo
18
g) Las polticas y procedimientos para prevenir las disputas relativas
a los derechos de propiedad intelectual de lo desarrollado por el
propietario del equipo de manera privada
h) El acceso a la parte privada del propietario del equipo (para
comprobar la seguridad de la mquina o durante una
investigacin), que puede estar impedido por la legislacin
i) Acuerdos de licencia de software que pueden hacer que las
organizaciones puedan ser responsables de licenciar software
cliente en los puestos de trabajo propiedad privada de
empleados, contratistas o terceros
j) Los requisitos de proteccin frente a software malicioso
(malware) y de cortafuegos.
Las directrices y disposiciones por considerar deberan incluir:
a) La provisin del equipo adecuado y del mobiliario de
almacenamiento para las actividades de teletrabajo, donde no
se permita el uso de equipos privados que no estn bajo el
control de la organizacin.
b) Una definicin del trabajo permitido, las horas de trabajo, la
clasificacin de la informacin que puede manejarse y los
sistemas y servicios internos a los que el teletrabajador est
autorizado a acceder.
c) La provisin de los equipos de comunicacin adecuados,
incluyendo los mtodos para asegurar el acceso remoto.
d) La seguridad fsica.
e) Las reglas y directrices para el acceso de la familia y los
accesos de los visitantes al equipo y a la informacin.
f) La provisin de soporte y mantenimiento de hardware y
software.
g) La provisin de seguros.
19
h) Los procedimientos para las copias de respaldo y para la
continuidad del negocio.
i) Auditora y monitorizacin de la seguridad.
j) La revocacin de la autorizacin y de los derechos de acceso, y
la devolucin del equipo cuando se terminan las actividades de
teletrabajo. (Asociacin Espaola de Normalizacin y
Certificacin (AENOR), 2015)
Como caso prctico para este captulo, se va a utilizar una tesis realizada por
la ingeniera de Sistemas e Informtica, Angulo Castillo, Alexa Madelyn, tesis
presentada en la Universidad Nacional del Santa en Chimbote. Esta tesis
lleva como ttulo Plan de seguridad informtico para mejorar la calidad en el
servicio del call center de la empresa TELSAT PER SAC" y que tiene por
objetivo proponer un Plan de Seguridad Informtico basado en el Estndar
Internacional ISO/lEC 27002, para mejorar la calidad en el Servicio del call
center de la empresa Telsat Per SAC.
En este captulo nos enfocaremos en las decisiones que toma el tesista con
el objetivo planteado, en el apartado de organizacin de la seguridad de la
informacin.
Telsat es una empresa privada que ha desarrollado una amplia gama de
soluciones diseadas para empresas de distintos rubros y caractersticas,
ofreciendo diversos servicios como:
Venta e instalacin de equipos para enlaces inalmbricos.
Instalacin de Internet Inalmbrico Residencial de Banda Ancha.
Instalacin de Sistema de Televigilancia por internet.
Venta de lnea telefnica a travs de su call center, el cual presta
servicio para terceros en Estados Unidos (Latinos en EE.UU).
20
El problema principal de la empresa es que est perdiendo ventas y
empleados por la insatisfaccin con la red informtica y por la falta de
controles de seguridad que protejan la integridad, confidencialidad y
disponibilidad de los datos que en ella se transmiten. Por lo tanto, la empresa
tiene una red informtica que no cumple las normas o estndares
internacionales de seguridad haciendo que est vulnerable a ataques,
intromisiones de personas no autorizadas, desastres naturales, desastres
informticos, etc.
Esto ha ocasionado la prdida de clientes y recursos para la empresa.
Telsat Per SAC con la finalidad de mejorar el servicio que brinda en su call
center est dispuesta a seguir un plan de seguridad Informtico.
21
de datos, organizacin, planificacin de polticas de seguridad, respaldo
de datos, recuperacin de datos a la hora de desastres, asimismo
promover el uso de nuevas tecnologas; adquirir nuevos equipos
informticos, implementar sistemas de informacin etc. Dicho comit
deber tambin
estar integrado por un usuario el cual determinar los requerimientos de
la informacin.
Problema N 2
No existe un Plan Operativo Informtico sobre las actividades que se van
a desarrollar (relacionadas con computadoras, aplicativos, proyectos,
redes, etc.)
Recomendacin:
Se deber asignar a una persona que conforma el comit informtico
para que se encargue de la administracin de seguridad de la
informacin, y ponga de conocimiento de ello a todo el personal de la
empresa, adems deber controlar la proteccin de los activos
informticos de la empresa tanto fsicos (instalaciones, hardware) como
lgicos (software, datos).
22
Gerente
Un representante del rea de informtica
Un representante del rea usuaria
Las funciones del Comit sern:
a) Elaborar, documentar, actualizar y proponer a la mxima
autoridad de la empresa para su aprobacin, las polticas y
procedimientos relativos a la seguridad de la informacin.
b) Monitorear el cumplimiento de la poltica de seguridad de la
empresa.
c) Monitorear cambios significativos en los riesgos que afectan a los
recursos de la informacin de la empresa frente a posibles
amenazas, sean internas o externas.
d) Coordinar el anlisis de riesgos, planes de contingencia y planes
de continuidad.
e) Supervisin y control de los cambios significativos en la
exposicin de los activos de informacin a las amenazas
principales, as como el monitoreo de los incidentes, relativos a la
seguridad, que se produzcan en el mbito de la empresa.
f) Evaluar y coordinar la implementacin de controles especficos
de seguridad de la informacin para nuevos sistemas o servicios.
g) Coordinar el proceso de administracin de la continuidad de las
operaciones de los sistemas de tratamiento de informacin de la
empresa frente a interrupciones imprevistas.
h) Aprobacin de las iniciativas principales para mejorar la
seguridad de la informacin.
23
Asignacin de responsabilidades en materia de seguridad de la
informacin.
La empresa deber contar con un "Responsable de Seguridad
Informtica", quien tendr a cargo la supervisin de todos los aspectos
inherentes a seguridad informtica tratados en la presente Poltica.
Adems, ser quien difunda la importancia de la Seguridad de la
informacin entre todo el personal de la empresa.
El Comit de Seguridad de la Informacin propondr a la autoridad que
corresponda para su aprobacin, la definicin y asignacin de las
responsabilidades que surjan de los procesos de seguridad que se
detallan a continuacin, indicando en cada caso el/los responsable/s del
cumplimiento de los aspectos de esta poltica aplicables a cada caso:
a) Seguridad del Personal
b) Seguridad Fsica y Ambiental
c) Seguridad en las Comunicaciones y las Operaciones.
d) Control de Accesos
e) Seguridad en el Desarrollo y Mantenimiento de Sistemas
f) Planificacin de la Continuidad Operativa
As mismo, el Comit de Seguridad de la Informacin propondr la
autoridad que corresponda para su aprobacin, la definicin y asignacin
de las responsabilidades de los propietarios de la informacin que se
definan, quienes sern los responsables de las unidades organizativas a
cargo y en poner en conocimiento la importancia respecto a la seguridad
de la informacin.
Cabe aclarar que, si bien los propietarios pueden delegar la
administracin de sus funciones a personal idneo a su cargo,
conservarn la responsabilidad del cumplimiento de las mismas.
24
La delegacin de la administracin por parte de los propietarios de la
informacin ser documentada por los mismos y proporcionada al
responsable de seguridad informtica.
PROPIETARIO DE INFORMACIN: Los propietarios de informacin son
el Gerente y Jefes de reas, las cuales son responsables de la
informacin que se genera y se utiliza en las operaciones de su
respectiva oficina. Las reas de la empresa deben ser conscientes de los
riesgos de tal forma que sea posible tomar decisiones para disminuir los
mismos.
25
La incidencia de este acceso en la seguridad de la informacin de la
empresa.
En ningn caso se otorgar acceso a terceros a la informacin, a las
instalaciones de procesamiento u otras reas de servicios crticos, hasta
tanto se hayan implementado los controles apropiados y se haya firmado
un contrato o acuerdo que defina las condiciones para la conexin o el
acceso.
Plan Operativo informtico
La empresa contar con un Plan Operativo Informtico, en el cual se
definen las actividades y proyectos a realizar durante un ao, de acuerdo
a las metas y objetivos de la empresa.
2.3.3. Resultado
26
TABLA 2. 1: CANTIDAD DE VENTAS POR TELEOPERADOR
27
TABLA 2. 2: CANTIDAD DE LLAMADAS PERDIDAS POR FALLA EN LA RED
INFORMTICA
28
TABLA 2. 3: CANTIDAD DE QUEJAS POR FALLA EN LA RED INFORMTICA
29
CONCLUSIN
30
BIBLIOGRAFA
Angulo Castillo, A. M. (2014). PLAN DE SEGURIDAD INFORMATICO PARA
MEJORAR LA CALIDAD EN EL SERVICIO DEL CALL CENTER DE LA
EMPRESA TELSAT PER SAC. Chimbote.
Guevara Perez, O., & Miranda Zelada, A. A. (2014). DISEO DE UNA RED
DE DATOS PARA EL POLICLINICO SEOR DE LOS MILAGROS S.R.L.
USANDO METODOLOGA TOP DOWN NETWORK DESIGN Y
APLICANDO ESTNDARES ISO/IEC 27002. Trujillo.
31