UNIVERSIDAD NACIONAL DEL CALLAO

FACULTAD DE INGENIERA INDUSTRIAL Y DE SISTEMAS

ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

POLTICAS Y ORGANIZACIN DE LA
SEGURIDAD DE LA INFORMACIN SEGN LA
ISO/IEC 27002:2013
SISTEMAS DE INFORMACION GERENCIAL

PROFESOR : Dr. Ing. ARADIEL CASTAEDA, HILARIO

GRUPO : N02

AUTOR: : leon Matias

TRABAJO N : Exposicin de captulos 5 y 6 de ISO/IEC 27002:2013

CICLO : 2017 B

FECHA : Bellavista, 9 de Octubre del 2017

 NDICE

ndice ........................................................................................................................................ II
TABLA DE CONTENIDOS ........................................................................................................... III
INTRODUCCIN........................................................................................................................ IV
OBJETIVOS ................................................................................................................................. V
Captulo I: Polticas de Seguridad de la Informacin ................................................................ 1
1.1. Directrices de gestin de la seguridad de la informacin ......................................... 1
1.1.1. Polticas para la Seguridad de la informacin ................................................... 1
1.1.2. Revisin de las polticas de la seguridad de la informacin .............................. 3
1.2. Caso Prctico ............................................................................................................. 4
1.2.1. Estableciendo polticas de seguridad aplicando norma ISO 27002 .................. 5
1.2.2. Resultados ......................................................................................................... 7
1.2.3. Discusin de los resultados ............................................................................... 8
Captulo II: Organizacin de la seguridad de la informacin .................................................. 10
2.1. Organizacin interna ............................................................................................... 10
2.1.1. Roles y responsabilidades en seguridad de la informacin ............................ 10
2.1.2. Segregacin de tareas ..................................................................................... 12
2.1.3. Contacto con las autoridades.......................................................................... 12
2.1.4. Contacto con grupos de inters especial ........................................................ 13
2.1.5. Seguridad de la informacin en la gestin de proyectos ................................ 14
2.2. Los dispositivos mviles y el teletrabajo................................................................. 15
2.2.1. Poltica de dispositivos mviles ...................................................................... 15
2.2.2. Teletrabajo ...................................................................................................... 18
2.3. Caso Prctico ........................................................................................................... 20
2.3.1. Evaluacin de la Organizacin de la Seguridad de la Informacin ................. 21
2.3.2. Propuestas para la organizacin de la seguridad de la informacin para el
Plan de Seguridad Informtico........................................................................................ 22
2.3.3. Resultado ........................................................................................................ 26
CONCLUSIN........................................................................................................................... 30
Bibliografa .............................................................................................................................. 31

II
 TABLA DE CONTENIDOS

Grfico 1. 1: Estadstica del Riesgo en la Empresa ........................................ 8

Tabla 2. 1: Cantidad de Ventas por Teleoperador ........................................ 27

Tabla 2. 2: Cantidad de Llamadas perdidas por falla en la red Informtica .. 28

Tabla 2. 3: Cantidad de quejas por falla en la red informtica ...................... 29

III
 INTRODUCCIN

Actualmente las organizaciones dependen mucho de la informacin y los

datos que esta mantenga como resultado de sus procesos internos y
externos. Una gran cantidad de empresas, en su mayora MYPEs,
establecen sus propias reglas o normas para otorgarle seguridad a toda la
informacin almacenada, as como tambin a la manera en que se manejan
todos los dispositivos informticos.

La norma ISO/IEC 27002:2013 es un estndar para la seguridad de la

informacin publicada por la Organizacin Internacional de Normalizacin y
la Comisin Electrnica Internacional. Esta norma brinda recomendaciones
para las mejores prcticas en la gestin de la seguridad de la informacin a
todas las personas o empresas interesadas en desarrollar, implementar o
mantener sistemas de gestin de la seguridad de la informacin.

Este trabajo se centra en la explicacin de los captulos cinco y seis de la

norma que hablan de las Polticas de la Seguridad de la Informacin y de la
Organizacin de Seguridad de la Informacin, respectivamente. Estos
captulos son explicados concretamente con las recomendaciones de la
norma y utilizando como casos prcticos, tesis desarrolladas que se basan
en este estndar para buscar la solucin o mejora de la seguridad de
informacin en diferentes empresas del Per.

IV
 OBJETIVOS

Conocer las definiciones de controles de seguridad; las de

Polticas de seguridad de la informacin y de la Organizacin de
la seguridad de la informacin de la Norma ISO/IEC 27002.
Identificar los requisitos que se necesitan para la
implementacin de polticas de seguridad.
Analizar casos prcticos en el que se apliquen las polticas y
organizacin de seguridad de la informacin.
Comprender la importancia de aplicar los controles de
seguridad en las organizaciones.

V
 CAPTULO I: POLTICAS DE SEGURIDAD DE LA
INFORMACIN
1.1. Directrices de gestin de la seguridad de la informacin
En este captulo de la norma, se busca ofrecer instruccin para orientar y
controlar las polticas de la seguridad de la informacin en base a los
requisitos del negocio, a las leyes y a las normas pertinentes a este rubro.

1.1.1. Polticas para la Seguridad de la informacin

Una organizacin debe establecer claramente su enfoque que tendr al
momento de gestionar la seguridad de la informacin. Para eso deber
definir un conjunto de polticas al mximo nivel, que sea aprobado por la
Direccin de la organizacin y posteriormente publicado y comunicado a
los empleados y partes externas de la organizacin.

Estas polticas a desarrollar deben tener en cuenta los requisitos creados

por:
La estrategia de negocio.
La normativa, legislacin y contratos
El entorno actual y las amenazas que existan para la seguridad de
la informacin

Tambin se indica que estas polticas deben declaraciones relativas a:

a) La definicin de la seguridad de la informacin, sus objetivos y

principios, para orientar en todas las actividades concernientes a este
rubro.
b) La asignacin de responsabilidades generales y especificas en
materia de gestin de la seguridad de la informacin para los roles
definidos.
c) Los procesos para el tratamiento de desviaciones y excepciones.

1
De igual manera, la poltica debera apoyarse en polticas de temas en
especfico donde se profundice la implantacin de controles bien
estructurados para poder atender las necesidades de determinados
grupos dentro de la organizacin o para cubrir diversos temas.

Ejemplos de estas polticas temticas que dan soporte a la gestin de

seguridad de la informacin son:

a) Control de Acceso
b) Clasificacin de la informacin y su manejo
c) Seguridad fsica y ambiental
d) Temas orientados a usuarios finales como:
i. Uso adecuado de activos
ii. Puesto de trabajo despejado y pantalla limpia
iii. Transferencia de informacin
iv. Dispositivos mviles y teletrabajo
v. Restricciones de instalacin y uso de software
e) Copias de respaldo
f) Transferencia de Informacin
g) Proteccin ante el software malicioso
h) Gestin de vulnerabilidades
i) Controles criptogrficos
j) Seguridad de las comunicaciones
k) Privacidad y proteccin de la informacin identificativa de personas
l) Relaciones con proveedores

Estas polticas que se vayan a implementar deben ser comunicadas a los

empleados y terceras partes relevantes de una manera entendible,
apropiada y accesible al lector al que van dirigidas.

2
El grado de necesidad de polticas internas de seguridad de la informacin
va a depender del tipo de organizacin a la cual sea implementada. Estas
polticas internas son especialmente necesarias en organizaciones
grandes y de gran complejidad en las que los que solicitan y aprueban los
niveles esperados de control, son otros profesionales diferentes a los que
se encargan de implantar estas polticas, as como tambin en casos
donde una poltica se debe implementar para varias personas o a
funciones diferentes de la organizacin.

Todas estas polticas deben ser documentadas en un solo documento, o

tambin en varios documentos pero que tengan relacin entre si. Este
documento debera llamarse Polticas de la Seguridad de la Informacin,
pero las organizaciones tambin suelen usar nombres como: normas,
directivas o reglas.

Si se distribuye con el exterior de la organizacin alguna de estas

polticas, hay que tener cuidado que no se est compartiendo informacin
confidencial de la organizacin.

1.1.2. Revisin de las polticas de la seguridad de la informacin

Las polticas de seguridad de la informacin deben ser revisadas cada

cierto tiempo planificado o cuando se produzcan cambios significativos,
con el fin de que estas mantengan su competencia, adecuacin y eficacia.

Cada poltica debe tener un propietario encargado de su desarrollo,

revisin y evaluacin, asignado por la Direccin. Cada vez que se realice
una revisin, se debe incluir que la poltica evale las oportunidades de
mejora que presente, y se debe enfocar en que esta poltica de una
adecuada respuesta a los cambios en el entorno de la organizacin, as

3
 como en las circunstancias del negocio, las condiciones legales
reglamentarias o contractuales, o el entorno tcnico.

Se debe tener en cuenta las revisiones de la Direccin, ya que esta es la

que otorga la aprobacin a la poltica revisada. (Asociacin Espaola de
Normalizacin y Certificacin (AENOR), 2015)

1.2. Caso Prctico

Se tiene la siguiente tesis; Diseo de una red de datos para el Policlnico

Seor de los Milagros, usando metodologa Top Down Network Design y
aplicando estndares ISO/IEC 27002 de Guevara Prez, Obed y Miranda
Zelada, Arnold; de la Universidad Privada Antenor Orrego.

Actualmente el Policlnico Seor de Los Milagros no cuenta con una red de

computadores en la que no se comparten recursos de hardware (impresoras)
y software, esto genera demora en la impresin de documentos debido a que
todo el laboratorio solo cuenta con una sola impresora.

Dado el siguiente problema se plantea hacer una red de datos con la

metodologa Disear una red de datos usando metodologa Top Down
Network Desing y aplicando estndares ISO/IEC 27002. Para dar seguridad
de informacin a la empresa se requiere implementar un Estndar de
seguridad mediante la Norma ISO 27002.
A continuacin, se especificarn los detalles de la implementacin de la
poltica de seguridad de la informacin, para definir las polticas necesita de
otros controles de informacin, como por ejemplo; el gestin de activos y
control de acceso.

4
1.2.1. Estableciendo polticas de seguridad aplicando norma ISO 27002

Teniendo en cuenta que el Policlnico no cuenta con estndares de

seguridad se est considerando el objetivo cuatro de la presente tesis es
establecer polticas de seguridad ISO/IEC 27002.
Se ha considerado implementar los controles que aseguren la reduccin
de los riesgos a un nivel aceptable. Hay muchas formas de gestionar los
riesgos y este documento proporcionar ejemplos de enfoques
habituales. Sin embargo, hay que reconocer que ciertos controles no son
aplicables para todos los sistemas o entornos de informacin y pueden
no ser de aplicacin en todas las organizaciones.
Los controles que se consideran esenciales para esta empresa desde un
punto de vista legislativo comprenden:
La proteccin de los datos de carcter personal y la intimidad de
las personas.
La salvaguarda de los registros de la organizacin
Los derechos de la propiedad intelectual.
Los controles que se consideran comunes para la mejor prctica habitual
para conseguir la seguridad de la informacin comprenden:

La documentacin de la poltica de seguridad de la informacin.

La asignacin de responsabilidades de seguridad, estas las dar
la gerencia.
La informacin y capacitacin para la seguridad de la informacin
del personal que se encargara de supervisar la red.
El riesgo de las incidencias de seguridad.
La gestin de la continuidad del negocio.
Estos controles pueden aplicarse a la mayora de las organizaciones y
los entornos.

5
Para poder establecer las polticas de seguridad se tienen en la
responsabilidad sobre los activos y la clasificacin de la informacin, as
como, polticas de control de acceso, que son las siguientes:

Responsabilidad sobre los activos y clasificacin de informacin

Todos los activos de informacin del policlnico tienen un
propietario (mdico).
Cada propietario clasificar la informacin dentro de uno de los
niveles sensitivos que dependen de obligaciones legales,
costos, polticas institucionales y necesidades de la empresa.
El propietario es responsable por la proteccin de esta
informacin.
La seguridad de los mismos tiene que estar de acuerdo al nivel
de sensibilidad.

Para mantener la seguridad de la informacin del Policlnico se ha

considerado clasificar la informacin considerando cuatro niveles.
El ms bajo (Pblica) es el menos sensitivo y el ms alto (Secreta) es
para los procesos o datos ms importantes. Cada nivel es un sper
conjunto del nivel previo.

Poltica de control de acceso

Todos los trabajadores deben ser autenticados.
Se permite el acceso al sistema como administrador privilegiado
solo va consola o desde las estaciones que se defina.
Se debe de controlar el acceso de los usuarios a todos los
objetos en el sistema (archivos, impresoras, dispositivos, base de
datos, comandos, aplicaciones, etc.).
Identificar la informacin de acuerdo con la clasificacin de
sensibilidad previamente definida.

6
 El sistema debe proveer un control de acceso obligatorio.
Slo el administrador debe tener la capacidad de conectarse a
los recursos del sistema en modo privilegiado para realizar tareas
administrativas.

Las cuentas de usuarios deben existir slo para el personal

autorizado.
Los usuarios y grupos deben ser administrados por el
administrador de la base o su delegado, pero no por los usuarios
en s.
Los usuarios debern ser informados de acciones que violan la
seguridad.

1.2.2. Resultados

Al aplicar el dominio 7 de la Norma ISO 27002 nos ha dado como

resultado apoyar en polticas de responsabilidad para un mejor manejo
de los Activos del Policlnico.
La certificacin ISO se aplic una gua de levantamiento de informacin
de riesgo el cual nos dio como resultado una mejora del 16% en el
diseo e implementacin de la Red ante una crisis encontrada en 21%.
(vase en la figura N 1.1, en la pgina 8)

7
 GRFICO 1. 1: ESTADSTICA DEL RIESGO EN LA EMPRESA

Fuente: Tesis (Guevara Perez & Miranda Zelada, 2014)

1.2.3. Discusin de los resultados

En este captulo se presenta la discusin de los resultados obtenidos en

la investigacin.
Al aplicar los dominios de control 5 y 11 de la ISO 27002, se ha
recopilado la informacin de los Activos y funciones de la
empresa dando como resultado el apoyo a definir polticas de
seguridad, con la descripcin de las acciones que se deben
realiza para salvaguardar la integridad de los trabajadores y
clientes en el policlnico.
Mediante una encuesta tomada de la ISO 27002, nos ha
permitido poyar en la gestin de proteger datos de los pacientes
del Policlnico, teniendo como resultado, el cumplimiento de la
Ley Nro. N 29733, Ley de Proteccin de Datos Personales

8
 DECRETO SUPREMO N 003-2013-JUS artculo 2 numeral 6 de
la Constitucin Poltica del Per.
Por medio de una encuesta se pudo ver que la norma ISO, nos
ha permitido unificar los trabajos de los doctores con otras reas
del policlnico, lo que se establece una sistemtica de trabajo y
se deja de lado la improvisacin, lo cual se espera reducir el 86%
lo cual se toma al buscar la informacin de los pacientes.
(Guevara Perez & Miranda Zelada, 2014)

9
 CAPTULO II: ORGANIZACIN DE LA SEGURIDAD DE LA
INFORMACIN
2.1. Organizacin interna
En este apartado se buscar establecer un marco de gestin para el inicio y
control de la implementacin y operabilidad de la seguridad de la informacin
dentro de la organizacin.

2.1.1. Roles y responsabilidades en seguridad de la informacin

Se deben definir y asignar todas las responsabilidades pertenecientes a la

seguridad de la informacin. Estas responsabilidades deben ser asignadas
de acuerdo con las polticas de seguridad de la informacin establecidas
en el captulo anterior.

Las responsabilidades deben ser definidas para las siguientes actividades:

Para la proteccin de activos individuales

Para poder llevar a cabo los procesos de seguridad especficos.
Para las actividades de gestin de riesgos de seguridad de la
informacin
Para la aceptacin de riesgos residuales

Estas responsabilidades deben completarse con una gua de ms

detallada para ubicaciones e instalaciones de tratamiento de informacin
especficas. Debe haber responsabilidades locales para la proteccin de
activos y para llevar a cabo procesos de seguridad especficos.

Aquellos individuos a los que se les han asignado responsabilidades de

seguridad pueden delegar estas tareas de seguridad en otras personas.
Sin embargo, los primeros mantienen la responsabilidad y deberan

10
comprobar que todas las tareas delegadas han sido correctamente
realizadas.

Las reas a las que los individuos tienen asignadas responsabilidades

deberan quedar establecidas, en particular en relacin con los siguientes
aspectos:

a) Deberan identificarse y definirse los activos y los procesos de

seguridad de la informacin.
b) Debera asignarse una entidad responsable para cada activo o
proceso de seguridad de la informacin y deberan documentarse
los detalles de dicha responsabilidad.
c) Deberan definirse y documentarse los niveles de autorizacin.
d) Para que una responsabilidad sea eficazmente realizada, los
individuos designados deberan ser competentes en el rea y
mantenerse actualizados en sus desarrollos.
e) Deberan identificarse y documentarse los aspectos de coordinacin
y supervisin de seguridad de la informacin relativos a las
relaciones con los proveedores.

En muchas organizaciones se nombra un responsable de seguridad de la

informacin para asumir la responsabilidad general del desarrollo e
implantacin de la seguridad de la informacin y para dar soporte a la
identificacin de los controles. Sin embargo, la responsabilidad de la
provisin e implantacin de los controles a menudo permanece en
directivos a ttulo individual. Una prctica comn es nombrar un propietario
para cada activo quien se hace responsable de la proteccin en el da a
da.

11
2.1.2. Segregacin de tareas

Las funciones y reas de responsabilidad deberan dividirse para reducir la

posibilidad de que se produzcan modificaciones no autorizadas o usos
indebidos de los activos de la organizacin. La segregacin de tareas es
un mtodo para reducir el riesgo de uso incorrecto de los activos de una
organizacin, ya sea accidental o intencionado.

Se debera cuidar que una persona por s sola no pueda acceder,

modificar o utilizar los activos sin autorizacin o sin que se detecte. Se
debera considerar la complicidad en el diseo de los controles. Las
organizaciones pequeas pueden considerar que la segregacin de tareas
es difcil de conseguir, pero el principio debera aplicarse en la medida en
que sea posible y practicable. Cuando la segregacin sea difcil, se
deberan considerar otros controles como la monitorizacin de las
actividades, las pistas de auditora y la supervisin por la Direccin.

2.1.3. Contacto con las autoridades

Se deben mantener contactos adecuados con las autoridades pertinentes,

de esta forma, las organizaciones deberan tener implantados
procedimientos que especifiquen cundo y con qu autoridades se
debera contactar, y la manera adecuada de cmo y cundo se debera
informar de los incidentes de seguridad de la informacin (por ejemplo, si
se sospecha que se puede haber infringido la ley). Las organizaciones que
sufran un ataque a travs de Internet pueden necesitar de las autoridades
para emprender alguna accin contra la fuente del ataque.
El mantenimiento de estos contactos puede ser un requisito para dar
soporte a la gestin de los incidentes de seguridad de la informacin o a la
continuidad del negocio y a los planes de contingencia. Los contactos con

12
las autoridades encargadas de vigilar el cumplimiento de la legislacin son
tambin tiles para anticiparse y prepararse para los cambios que vendrn
en nuevas reglamentaciones y que la organizacin tendr que cumplir.
Los contactos con otras autoridades incluyen:
Las empresas de servicios pblicos.
Las de suministro elctrico
Los servicios de emergencias, de seguridad y salud como el cuerpo
de bomberos (en relacin con la continuidad del negocio)
Proveedores de servicios de telecomunicacin (en relacin con la
disponibilidad y enrutamiento del servicio)
Compaas de suministro de agua (en relacin con las instalaciones
de refrigeracin para los equipos).

2.1.4. Contacto con grupos de inters especial

Se deben mantener los contactos apropiados con grupos de inters

especial y asociaciones profesionales especializados en seguridad, donde
se pueden establecer acuerdos de intercambio de informacin para
mejorar la cooperacin y coordinacin en los
asuntos de seguridad. Tales acuerdos deberan identificar los requisitos
para proteger la informacin confidencial.
Esta participacin como miembro en grupos de inters especial o foros
debera ser considerado como medio para:
a) Mejorar el conocimiento sobre las mejores prcticas y mantenerse
actualizado sobre informacin relevante de seguridad.
b) Asegurar un conocimiento del entorno de seguridad de la
informacin, actual y completo.
c) Recibir avisos tempranos de alertas, asesoramiento y parches
correspondientes a los ataques y las vulnerabilidades.

13
 d) Obtener acceso a asesoramiento especializado en seguridad de la
informacin.
e) Compartir e intercambiar informacin sobre nuevas tecnologas,
productos, amenazas o vulnerabilidades.
f) Proporcionar adecuados puntos de enlace relacionados con
incidentes de seguridad de la informacin

2.1.5. Seguridad de la informacin en la gestin de proyectos

La seguridad de la informacin debera tratarse dentro de la gestin de

proyectos, independientemente de la naturaleza del proyecto.
Esta debera integrarse en el mtodo o mtodos de gestin de proyectos
de la organizacin para asegurar que los riesgos de seguridad de la
informacin se identifican y se contemplan en el marco de un proyecto.
Esto se aplica en general a cualquier proyecto, independientemente de su
carcter. Los mtodos de gestin de proyectos en uso deberan exigir que:
a) Los objetivos de seguridad de la informacin estn incluidos en los
objetivos del proyecto.
b) Se realice una evaluacin de riesgos de seguridad de la
informacin en una fase temprana del proyecto para identificar los
controles necesarios.
c) La seguridad de la informacin es parte de todas las fases de la
metodologa aplicada en el proyecto.
Deberan contemplarse y revisarse con regularidad las implicaciones de
seguridad de la informacin en todos los proyectos. Las responsabilidades
de seguridad de la informacin deberan estar definidas y asignadas a los
roles especficos sealados en los mtodos de gestin de proyectos.

14
2.2. Los dispositivos mviles y el teletrabajo
Se debe garantizar la seguridad en el teletrabajo y en el uso de dispositivos
mviles.
2.2.1. Poltica de dispositivos mviles
Se debera adoptar una poltica y unas medidas de seguridad adecuadas
para la proteccin contra los riesgos de la utilizacin de dispositivos
mviles, por otro lado, se debera tener un cuidado especial para asegurar
que no se comprometa la informacin del negocio, al igual que trabajar
con dispositivos mviles en entornos desprotegidos.
La poltica de dispositivos mviles debera considerar:
a) El registro de dispositivos mviles.
b) Los requisitos para la proteccin fsica.
c) Las restricciones de instalacin de software.
d) Los requisitos para las versiones de software de dispositivos
mviles y para la aplicacin de los parches y actualizaciones del
software.
e) Las restricciones de conexin a servicios de informacin;
f) Los controles de acceso.
g) Las tcnicas criptogrficas.
h) La proteccin ante el software malicioso (malware 1).
i) La inhabilitacin, el borrado y bloqueo remotos.
j) Las copias de respaldo.
k) La utilizacin de servicios y aplicaciones web.

1
Malware es la abreviatura de Malicious software, trmino que engloba a todo tipo de
programa o cdigo informtico malicioso cuya funcin es daar un sistema o causar un mal
funcionamiento.

15
Se debera tener cuidado con el uso de dispositivos mviles en zonas
pblicas, salas de reunin y otras reas desprotegidas fuera de las
instalaciones de la organizacin.
Tambin se debera implantar algn tipo de proteccin para evitar el
acceso no autorizado o la revelacin de la informacin almacenada y
procesada por estos dispositivos, por ejemplo:
Utilizando tcnicas criptogrficas.
Imponiendo el uso de protocolos secretos de identificacin y
autenticacin.
Los dispositivos mviles tambin deberan estar fsicamente protegidos
contra el robo, o cuando se extravan en algn lugar. Se debera
establecer un procedimiento especfico, que tuviera en cuenta, los
requisitos legales, los requisitos de los seguros y otros requisitos de
seguridad de la organizacin, para los casos de robo o prdida de los
dispositivos mviles. Para aquello equipos que contengan informacin
importante o crtica para el negocio, se debera bloquear fsicamente, o
utilizar cierres especiales para proteger el equipo.
Se debera proporcionar formacin al personal que utiliza dispositivos
mviles para aumentar su concienciacin respecto a los riesgos
adicionales de esta forma de trabajo y de los controles que se deberan
implantar.
Cuando la poltica de dispositivos mviles permita el uso de dispositivos
mviles personales o privados, las polticas deberan considerar tambin:
a) La separacin del uso de los dispositivos con fines privados respecto
a los del negocio, incluyendo el uso de software para permitir dicha
separacin y proteger los datos de negocio en un dispositivo
personal o privado.

16
 b) Proporcionar acceso a la informacin de la organizacin slo
despus de que los usuarios han firmado un acuerdo de usuario final
que incluya el reconocimiento de sus obligaciones (proteccin fsica,
actualizacin de software, etc.), con renuncia a la propiedad de los
datos de negocio, permitiendo la limpieza remota de los datos por la
organizacin en caso de robo o prdida del dispositivo o cuando ya
no estn autorizados a utilizar el servicio. Esta poltica debera tener
en cuenta la legislacin de privacidad.

Las conexiones de dispositivos mviles a redes inalmbricas son similares

a otros tipos de conexin a redes, pero tienen diferencias importantes que
deberan tenerse en cuenta cuando se identifican los controles. Las
diferencias tpicas son:

a) Algunos protocolos de seguridad inalmbrica son inmaduros y

tienen debilidades
b) De la informacin almacenada en dispositivos mviles puede que
no se haga una copia de respaldo debido a la limitacin del ancho
de banda o porque el equipo mvil puede no estar conectado en el
momento en que se programan las copias de seguridad.

Los dispositivos mviles, en general, comparten funciones comunes con

los dispositivos de uso fijo como, por ejemplo, redes compartidas, acceso
a Internet, correo electrnico y gestin de archivos.

Los controles de seguridad de la informacin para los dispositivos mviles

consisten, en general, en aquellos adoptados para los dispositivos de uso
fijo y aquellos que hacen frente a las amenazas planteadas por su uso
fuera de los locales de la organizacin.

17
2.2.2. Teletrabajo

El teletrabajo se refiere a todas las formas de trabajo fuera de la oficina,

incluyendo entornos de trabajo no tradicionales tales como aquellos
denominados "trabajo a distancia.
Se debera implementar una poltica y unas medidas de seguridad
adecuadas para proteger la informacin accedida, tratada o almacenada
en emplazamientos de teletrabajo.
Las organizaciones que autorizan actividades de teletrabajo deberan
instrumentar una poltica que defina las condiciones y restricciones para el
uso del teletrabajo. Cuando se considere aplicable y permitido por la ley se
deberan considerar los siguientes aspectos:
a) La existencia de seguridad fsica en el lugar de teletrabajo,
teniendo en cuenta la seguridad fsica del edificio y del entorno
local
b) El entorno fsico de teletrabajo propuesto
c) Los requisitos de seguridad de las comunicaciones, teniendo en
cuenta la necesidad de acceso remoto a los sistemas internos de
la organizacin, la sensibilidad de la informacin a la que se va a
acceder y transmitir a travs del enlace de comunicacin, as
como la sensibilidad del sistema interno
d) La facilitacin de un acceso al escritorio virtual que prevenga el
tratamiento y almacenamiento de informacin en equipos de uso
personal o privado
e) La amenaza de un intento de acceso no autorizado a la
informacin o a los recursos por parte de otras personas del
mismo emplazamiento, por ejemplo, familia y amigos
f) El uso de redes domsticas y los requisitos o restricciones en la
configuracin de los servicios de la red inalmbrica

18
 g) Las polticas y procedimientos para prevenir las disputas relativas
a los derechos de propiedad intelectual de lo desarrollado por el
propietario del equipo de manera privada
h) El acceso a la parte privada del propietario del equipo (para
comprobar la seguridad de la mquina o durante una
investigacin), que puede estar impedido por la legislacin
i) Acuerdos de licencia de software que pueden hacer que las
organizaciones puedan ser responsables de licenciar software
cliente en los puestos de trabajo propiedad privada de
empleados, contratistas o terceros
j) Los requisitos de proteccin frente a software malicioso
(malware) y de cortafuegos.
Las directrices y disposiciones por considerar deberan incluir:
a) La provisin del equipo adecuado y del mobiliario de
almacenamiento para las actividades de teletrabajo, donde no
se permita el uso de equipos privados que no estn bajo el
control de la organizacin.
b) Una definicin del trabajo permitido, las horas de trabajo, la
clasificacin de la informacin que puede manejarse y los
sistemas y servicios internos a los que el teletrabajador est
autorizado a acceder.
c) La provisin de los equipos de comunicacin adecuados,
incluyendo los mtodos para asegurar el acceso remoto.
d) La seguridad fsica.
e) Las reglas y directrices para el acceso de la familia y los
accesos de los visitantes al equipo y a la informacin.
f) La provisin de soporte y mantenimiento de hardware y
software.
g) La provisin de seguros.

19
 h) Los procedimientos para las copias de respaldo y para la
continuidad del negocio.
i) Auditora y monitorizacin de la seguridad.
j) La revocacin de la autorizacin y de los derechos de acceso, y
la devolucin del equipo cuando se terminan las actividades de
teletrabajo. (Asociacin Espaola de Normalizacin y
Certificacin (AENOR), 2015)

2.3. Caso Prctico

Como caso prctico para este captulo, se va a utilizar una tesis realizada por
la ingeniera de Sistemas e Informtica, Angulo Castillo, Alexa Madelyn, tesis
presentada en la Universidad Nacional del Santa en Chimbote. Esta tesis
lleva como ttulo Plan de seguridad informtico para mejorar la calidad en el
servicio del call center de la empresa TELSAT PER SAC" y que tiene por
objetivo proponer un Plan de Seguridad Informtico basado en el Estndar
Internacional ISO/lEC 27002, para mejorar la calidad en el Servicio del call
center de la empresa Telsat Per SAC.
En este captulo nos enfocaremos en las decisiones que toma el tesista con
el objetivo planteado, en el apartado de organizacin de la seguridad de la
informacin.
Telsat es una empresa privada que ha desarrollado una amplia gama de
soluciones diseadas para empresas de distintos rubros y caractersticas,
ofreciendo diversos servicios como:
Venta e instalacin de equipos para enlaces inalmbricos.
Instalacin de Internet Inalmbrico Residencial de Banda Ancha.
Instalacin de Sistema de Televigilancia por internet.
Venta de lnea telefnica a travs de su call center, el cual presta
servicio para terceros en Estados Unidos (Latinos en EE.UU).

20
El problema principal de la empresa es que est perdiendo ventas y
empleados por la insatisfaccin con la red informtica y por la falta de
controles de seguridad que protejan la integridad, confidencialidad y
disponibilidad de los datos que en ella se transmiten. Por lo tanto, la empresa
tiene una red informtica que no cumple las normas o estndares
internacionales de seguridad haciendo que est vulnerable a ataques,
intromisiones de personas no autorizadas, desastres naturales, desastres
informticos, etc.
Esto ha ocasionado la prdida de clientes y recursos para la empresa.
Telsat Per SAC con la finalidad de mejorar el servicio que brinda en su call
center est dispuesta a seguir un plan de seguridad Informtico.

2.3.1. Evaluacin de la Organizacin de la Seguridad de la Informacin

Para hacer un diagnstico de la empresa en cuanto a Seguridad

informtica se ha tomado como ayuda la realizacin del cuestionario de
diagnstico basado en la norma ISO/lEC 27002.
En el tema de Organizacin de la Seguridad de la Informacin se
encontraron 2 problemas a los que se le dio recomendaciones.
Problema N 1
La empresa no cuenta con un comit informtico que permita coordinar y
debatir los asuntos relacionados a ella, como promover el uso de nuevas
tecnologas; adquirir nuevos equipos informticos, implementar sistemas
de informacin, etc., es decir velar por el desarrollo informtico en la
empresa. Slo cuenta con un personal encargado del centro de cmputo
que a su vez es el que ejecuta funciones de soporte y mantenimiento de
los equipos.
Recomendacin:
Se debe establecer la conformacin de un comit informtico para velar
por el desarrollo informtico de la empresa; que se encargue del manejo

21
de datos, organizacin, planificacin de polticas de seguridad, respaldo
de datos, recuperacin de datos a la hora de desastres, asimismo
promover el uso de nuevas tecnologas; adquirir nuevos equipos
informticos, implementar sistemas de informacin etc. Dicho comit
deber tambin
estar integrado por un usuario el cual determinar los requerimientos de
la informacin.
Problema N 2
No existe un Plan Operativo Informtico sobre las actividades que se van
a desarrollar (relacionadas con computadoras, aplicativos, proyectos,
redes, etc.)
Recomendacin:
Se deber asignar a una persona que conforma el comit informtico
para que se encargue de la administracin de seguridad de la
informacin, y ponga de conocimiento de ello a todo el personal de la
empresa, adems deber controlar la proteccin de los activos
informticos de la empresa tanto fsicos (instalaciones, hardware) como
lgicos (software, datos).

2.3.2. Propuestas para la organizacin de la seguridad de la informacin

para el Plan de Seguridad Informtico

Posteriormente en la formulacin del Plan de Seguridad Informtico, se

brindaron un grupo de soluciones para que la empresa pueda mejorar en
el tema indicado.

Comit de Seguridad de la Informacin

Se propone la creacin de este comit integrado por representantes de
reas sustantivas de la empresa destinado a garantizar la seguridad de
la informacin, la cual estar conformado por las siguientes personas:

22
 Gerente
Un representante del rea de informtica
Un representante del rea usuaria
Las funciones del Comit sern:
a) Elaborar, documentar, actualizar y proponer a la mxima
autoridad de la empresa para su aprobacin, las polticas y
procedimientos relativos a la seguridad de la informacin.
b) Monitorear el cumplimiento de la poltica de seguridad de la
empresa.
c) Monitorear cambios significativos en los riesgos que afectan a los
recursos de la informacin de la empresa frente a posibles
amenazas, sean internas o externas.
d) Coordinar el anlisis de riesgos, planes de contingencia y planes
de continuidad.
e) Supervisin y control de los cambios significativos en la
exposicin de los activos de informacin a las amenazas
principales, as como el monitoreo de los incidentes, relativos a la
seguridad, que se produzcan en el mbito de la empresa.
f) Evaluar y coordinar la implementacin de controles especficos
de seguridad de la informacin para nuevos sistemas o servicios.
g) Coordinar el proceso de administracin de la continuidad de las
operaciones de los sistemas de tratamiento de informacin de la
empresa frente a interrupciones imprevistas.
h) Aprobacin de las iniciativas principales para mejorar la
seguridad de la informacin.

23
Asignacin de responsabilidades en materia de seguridad de la
informacin.
La empresa deber contar con un "Responsable de Seguridad
Informtica", quien tendr a cargo la supervisin de todos los aspectos
inherentes a seguridad informtica tratados en la presente Poltica.
Adems, ser quien difunda la importancia de la Seguridad de la
informacin entre todo el personal de la empresa.
El Comit de Seguridad de la Informacin propondr a la autoridad que
corresponda para su aprobacin, la definicin y asignacin de las
responsabilidades que surjan de los procesos de seguridad que se
detallan a continuacin, indicando en cada caso el/los responsable/s del
cumplimiento de los aspectos de esta poltica aplicables a cada caso:
a) Seguridad del Personal
b) Seguridad Fsica y Ambiental
c) Seguridad en las Comunicaciones y las Operaciones.
d) Control de Accesos
e) Seguridad en el Desarrollo y Mantenimiento de Sistemas
f) Planificacin de la Continuidad Operativa
As mismo, el Comit de Seguridad de la Informacin propondr la
autoridad que corresponda para su aprobacin, la definicin y asignacin
de las responsabilidades de los propietarios de la informacin que se
definan, quienes sern los responsables de las unidades organizativas a
cargo y en poner en conocimiento la importancia respecto a la seguridad
de la informacin.
Cabe aclarar que, si bien los propietarios pueden delegar la
administracin de sus funciones a personal idneo a su cargo,
conservarn la responsabilidad del cumplimiento de las mismas.

24
La delegacin de la administracin por parte de los propietarios de la
informacin ser documentada por los mismos y proporcionada al
responsable de seguridad informtica.
PROPIETARIO DE INFORMACIN: Los propietarios de informacin son
el Gerente y Jefes de reas, las cuales son responsables de la
informacin que se genera y se utiliza en las operaciones de su
respectiva oficina. Las reas de la empresa deben ser conscientes de los
riesgos de tal forma que sea posible tomar decisiones para disminuir los
mismos.

Asesoramiento Especializado en Materia de Seguridad de la

informacin.
El responsable de seguridad informtica ser el encargado de coordinar
los conocimientos y las experiencias disponibles en el tema de seguridad
informtica, a fin de brindar ayuda en la toma de decisiones en esta
materia. ste podr obtener asesoramiento de otros organismos
especializados en temas relativos a la seguridad informtica como la
Oficina Nacional de Gobierno Electrnico e Informtico (ONGEI).

Seguridad Frente al Acceso por Parte de Terceros

Cuando exista la necesidad de otorgar informacin de la empresa a
terceras partes, el responsable de seguridad informtica y el propietario
de la informacin, llevarn a cabo y documentarn una evaluacin de
riesgos para identificar los requerimientos de controles especficos,
teniendo en cuenta, entre otros aspectos:
El tipo de acceso requerido (fsico/lgico y a qu recurso).
Los motivos para los cuales se solicita el acceso.
El valor de la informacin.
Los controles empleados por la tercera parte.

25
 La incidencia de este acceso en la seguridad de la informacin de la
empresa.
En ningn caso se otorgar acceso a terceros a la informacin, a las
instalaciones de procesamiento u otras reas de servicios crticos, hasta
tanto se hayan implementado los controles apropiados y se haya firmado
un contrato o acuerdo que defina las condiciones para la conexin o el
acceso.
Plan Operativo informtico
La empresa contar con un Plan Operativo Informtico, en el cual se
definen las actividades y proyectos a realizar durante un ao, de acuerdo
a las metas y objetivos de la empresa.

2.3.3. Resultado

La tesis se bas en tres problemas principales de la empresa: Las bajas

ventas, las llamadas perdidas y las quejas hacia la empresa.
Luego de aplicado todo el Plan de Seguridad de la Informacin, se
obtuvieron los siguientes resultados:

26
TABLA 2. 1: CANTIDAD DE VENTAS POR TELEOPERADOR

Fuente: Tesis (Angulo Castillo, 2014)

27
TABLA 2. 2: CANTIDAD DE LLAMADAS PERDIDAS POR FALLA EN LA RED
INFORMTICA

Fuente: Tesis (Angulo Castillo, 2014)

28
 TABLA 2. 3: CANTIDAD DE QUEJAS POR FALLA EN LA RED INFORMTICA

Fuente: Tesis (Angulo Castillo, 2014)

Por el resultado de los tres indicadores de evaluacin, se pudo determinar

que la implementacin de un Plan de Seguridad Informtico mejor la calidad
en el servicio del call center de la empresa TELSAT PER SAC. (Angulo
Castillo, 2014)

29
 CONCLUSIN

En el captulo de Polticas de Seguridad de la Informacin, podemos ver que

necesita recopilar de otros controles para establecer y comprender las
normas que se ejecutaran, los usuarios que forman parte de la organizacin
estn incluidos en ella, por ello la Organizacin de la Seguridad de la
Informacin es tan importante para asignar un conjunto de responsabilidades
de acuerdo con las polticas. Luego de estudiar esta parte que conforma la
ISO/IEC 27002, y analizar a partir de los casos prcticos, concluimos que son
aspectos generales que la mayora de organizaciones toman en cuenta para
la proteccin del activo con mayor valor, que es la informacin. Sin embargo,
sabemos que implementar estas normas suele ser caro y algunas veces
presentan dificultan por el nuevo cambio que se desarrolla, pero tambin
sabemos que ms costoso resultara las consecuencias de la falta de
seguridad en un sistema de informacin.

El resultado de implementar esta ISO no es asegurar por completo la

informacin, de lo contrario no hubiera tantos fraudes. Pero aplicar las
polticas de seguridad minimizar los riesgos que puede sufrir la informacin,
por otro lado, es una gua de cmo trabajar con las tecnologas de la
informacin.

30
 BIBLIOGRAFA
Angulo Castillo, A. M. (2014). PLAN DE SEGURIDAD INFORMATICO PARA
MEJORAR LA CALIDAD EN EL SERVICIO DEL CALL CENTER DE LA
EMPRESA TELSAT PER SAC. Chimbote.

Asociacin Espaola de Normalizacin y Certificacin (AENOR). (2015).

UNE-ISO/IEC 27002. Madrid: AENOR.

Guevara Perez, O., & Miranda Zelada, A. A. (2014). DISEO DE UNA RED
DE DATOS PARA EL POLICLINICO SEOR DE LOS MILAGROS S.R.L.
USANDO METODOLOGA TOP DOWN NETWORK DESIGN Y
APLICANDO ESTNDARES ISO/IEC 27002. Trujillo.

31