Professional Documents
Culture Documents
Debido a ello, para la realizacin de este proyecto de fin de carrera, se decidi trabajar
con una entidad pblica como caso de estudio, a fin de disear un Sistema de Gestin
de Seguridad de Informacin o SGSI que se acople a la normativa a la cual est sujeta
la organizacin y que pueda, en un futuro, servir como referencia para la
implementacin del mismo.
En nuestro pas, desde hace ms de diez aos, las polticas del gobierno han ido
recomendando una adecuada gestin de la seguridad de la informacin con
resoluciones ministeriales tales como la N 224-2004-PCM en la que aprueban el uso
obligatorio de la NTP ISO/IEC 17799:2004 en las entidades pblicas referente a las
buenas prcticas para gestionar la seguridad de la informacin [NTP ISO/IEC 17799].
Ambas normas tcnicas peruanas, la NTP ISO/IEC 27001 y la NTP ISO/IEC 17799,
estn basadas en la familia de normas ISO 27000 correspondiente a seguridad de la
informacin. La primera, es el estndar principal de esta familia y menciona cuales son
los requerimientos para desarrollar un sistema de gestin de seguridad de la
informacin basndose en el ciclo de DEMING, o ciclo Plan Do Check - Act, una
metodologa cclica muy usada en las normas ISO relacionadas a normas de gestin
[NTP ISO/IEC 27001].
Los sistemas de gestin, son estructuras probadas para la gestin y mejora continua
de polticas, procedimientos y procesos [BSI, 2013]. Este sistema, en particular, busca
establecer, implementar y mejorar la seguridad de la informacin en una determinada
organizacin [NTP ISO/IEC 27001], y deber ser implementado segn un cronograma
propuesto por la Oficina Nacional de Gobierno Electrnico e Informtica (ONGEI),
organismo encargado de apoyar a las entidades pblicas durante el proceso de
implementacin de la norma, el cual, propone 5 fases para la implementacin del
SGSI, siendo muy similares a las fases propuestas en la norma tcnica peruana, la
cual a su vez se basa en el ciclo de DEMING.
10
La siguiente grfica, vase figura 1.1.1, muestra un resumen del cronograma de
implementacin incremental de un SGSI en entidades pblicas en comparacin con el
ciclo de DEMING, como se observa, las fases I y II de este cronograma estn
ntimamente relacionadas con la fase de Planeacin de este ciclo, mientras que la fase
III correspondiente al despliegue est ligada a la fase Do / Hacer, ya que se encarga
de la implementacin del SGSI en s.
Fuente: NTP ISO/IEC 27001:2008; Portal Oficial de la Oficina Nacional de Gobierno Electrnico e
Informtica http://www.ongei.gob.pe/entidad/ongei_tematicos.asp?cod_tema=4552
11
Figura 1.1.2 - Plazos mximos para cumplir con la implementacin del SGSI
En una entrevista realizada el 3 de mayo del 2013 al ingeniero Carlos Horna, entonces
responsable del rea de seguridad de la ONGEI, se pudo obtener algunos de los
principales problemas que se est experimentando en la implementacin incremental
de la NTP ISO / IEC 27001. [HORNA; 2013; Entrevista]
Otro de los puntos clave es el tema del plan de continuidad de negocio, el cual es
contemplado en el desarrollo del SGSI. El contar con un plan de continuidad puede
llegar a tomar mucho tiempo, entre el diseo y las pruebas necesarias para la
aprobacin del plan; de ah la necesidad que cada entidad pueda delimitar
correctamente el alcance de su SGSI, siendo uno de los puntos que la ONGEI enfatiza
cuando alguna entidad le presenta su documento de alcance.
Por ltimo, se tiene el tema del presupuesto, esto debido a que cada entidad posee un
presupuesto limitado para el desarrollo del SGSI y se estima que en algunos casos la
implementacin de los controles puede exceder el presupuesto designado,
especialmente si se trata de desarrollar un plan de contingencia, ya que los costos
para contar con un centro alterno pueden llegar a ser muy altos [HORNA, 2013,
Entrevista]. Debido a este punto es que en algunos casos no se puede contratar
personal especializado para que cumpla las funciones de un oficial de seguridad de
informacin, persona encargada de planificar y verificar el rendimiento de un SGSI
[PELTIER; PELTIER; BACKLEY; 2005], siendo personal del rea de TI los que deben
asumir estos cargos e, incluso, en algunos casos no se puede adquirir los servicios de
una consultora para que los apoyen en la fase de anlisis y diseo del SGSI, la cual
es la base para la implementacin del sistema.
12
crticos de una entidad pblica, para ello, debido a su pertenencia al Sistema Nacional
de Informtica, se eligi como caso de estudio la empresa Servicios Postales del Per
S.A. SERPOST de tal forma, que el documento resultante sirva como referencia a la
implementacin de la norma NTP ISO/IEC 27001:2008 en esta empresa.
Para iniciar con el diseo del SGSI, se deben desarrollar una serie de documentos
que sirvan como marco de referencia de seguridad de la informacin para la
organizacin, cada uno de los cuales ser de utilidad para cumplir con la fase I del
cronograma de implementacin incremental propuesto por la ONGEI.
Una vez identificados los activos valiosos para la organizacin, se deber realizar
un estudio para conocer los riesgos que representan una amenaza a estos, esto se
ajusta a lo indicado por la fase II del cronograma de implementacin incremental
propuesto por la ONGEI.
Una vez se hayan identificado los riesgos, se deber realizar una lista de controles
a implementar en la organizacin, con este documento la organizacin estara
cerrando la fase II del cronograma de implementacin incremental y podra
empezar con la fase de DESPLIEGUE.
13
Se debe definir el alcance del proyecto del SGSI ya que la NTP ISO/IEC 27001, la
define como punto de partida para la correcta implementacin del sistema de
gestin. [ISO/IEC 27001:2005]
Se debe realizar un mapeo de los procesos que pertenecen al alcance del SGSI ya
que permitir conocer cules son los activos involucrados, los responsables, las
entradas a los procesos y las salidas de cada uno de ellos.
Los riesgos son eventos que de ocurrir podran amenazar los objetivos de una
organizacin [NTP ISO/IEC 17799], por ello se necesita el desarrollo de una
metodologa que pueda ser adoptada por la entidad pblica para evaluar el
impacto de los riesgos que amenazan los activos crticos de informacin.
En este punto se utilizar los controles ubicados en la norma NTP ISO / IEC 27001
Anexo A Objetivos de Control y Controles, los cuales son medios para mitigar
los riesgos detectados y los que estn por ser detectados. [NTP ISO/IEC 17799]
14
1.5. Herramientas, mtodos y procedimientos
1.5.1. Mapeo
En la tabla 1.5.1 se encuentra cada una de las herramientas a utilizar para alcanzar los
resultados esperados del proyecto, se ha de aclarar que las metodologas utilizadas
para este proyecto son:
RE2 OE1: Alcance formal del SGSI NTP ISO/IEC 27001 e ISO/IEC
27003
RE3 OE1: Poltica de Seguridad de la ISO/IEC 27001 e ISO/IEC 27003
Informacin
RE1 OE2: Mapa de procesos del Business Process Modeling
alcance del SGSI Notation o BPMN (Notacin para
el Modelado de Procesos de
Negocio) es una notacin grfica
estandarizada que permite el
modelado de procesos de negocio,
en un formato de flujo de trabajo.
1.5.2. Herramientas
15
El objetivo principal de BPMN es el proporcionar un estndar para el modelado de
procesos de la organizacin. Fue desarrollada por el BPMI (Business Process
Management Initiative) que es parte de la OMG (Object Management Organization)
desde que las 2 organizaciones se fusionaron en el 2005. Actualmente se encuentra
en la versin 2.0 la cual fue emitida en marzo del 2011.
Entre los puntos que cubre esta norma internacional encontramos [ISO/IEC
27001:2005]:
16
Responsabilidad de la gerencia
En esta norma se busca la participacin activa de la alta direccin, ya que ellos
son los dueos del negocio, la norma busca que ellos estn conscientes de las
polticas de seguridad y de los planes del SGSI aprobndolos y dndoles a
conocer ante toda la organizacin. De la misma manera, en caso se necesite
ms recursos son ellos los que lo proporcionaran.
Auditoras internas
La auditora interna busca conocer si es que los puntos tratados con
anterioridad por el SGSI siguen estn operativos y actualizados y no se
quedaron. Mediante este punto se busca comprometer a los gerentes de las
diversas reas de la empresa a asegurarse que las acciones se ejecuten segn
como fueron documentadas.
Revisin Gerencial del SGSI
Como se indic, el SGSI busca la participacin activa de la alta direccin, este
punto se busca que el SGSI sea revisado al menos una vez al ao por la alta
direccin y as asegurar el correcto funcionamiento del mismo y mejorarlo en
caso se detecten algunas oportunidades para hacerlo.
Mejora
El punto final contemplado por la norma, este se asegura de usar cada uno de
los puntos anteriormente descritos para mejorar la efectividad del SGSI.
La identificacin de no conformidades en el SGSI, es decir, situaciones que no
estn acordes a nuestros planes o lo deseado por la organizacin terminaran
en correcciones que permitirn mejorar nuestro SGSI.
1. Seguridad:
La estructura propia de un SGSI muestra una clara direccin, las polticas son
dadas por la alta direccin, los gerentes se encarga del cumplimiento y los
detalles son sacados de la documentacin generada. De esta manera se puede
monitorear y evaluar los resultados de una forma ms ordenada. El SGSI
proporciona mayor seguridad si es que ha sido validado por un auditor externo
brindando ventajas ya sea si somos consumidores o proveedores de
informacin, despus de todo trabajar con alguien que ha pasado exitosamente
por esta auditoria asegura que no darn problemas de seguridad a la
organizacin.
2. Diferencia:
Un SGSI puede servir como un diferenciador de mercado mejorando la imagen
que se proyecta. Muchos sectores demandan un cierto grado de
confidencialidad al trabajar. Tener una certificacin nos hace un socio
estratgico para estas empresas.
3. Permite negocios:
Al implementar un SGSI se busca cubrir el marco legal que afecta a la
empresa y resguardar la informacin que se posea con ayuda de controles, sin
embargo; este hecho tambin posibilita, a la empresa, el ingreso a otros
mercados que exijan la gestin de seguridad de informacin tales como
entidades financieras o que alberguen datos personales.
4. Estructura:
Un SGSI brinda una estructura a la empresa, con una direccin y roles
definidos, funciones y servicios delegados y mtricas que pueden ser
analizadas brinda una mejora continua a la empresa. En muchos casos, la
implementacin de un SGSI inspira a las organizaciones a tener un sistema de
17
gestin en otras reas como recursos humanos, seguridad fsica continuidad
de negocio, etc.
Es por eso que se puede afirmar que esta es la norma base para el desarrollo del
presente proyecto de fin de carrera, ya que en ella se encuentran los lineamientos
necesarios para el diseo de un SGSI y as cumplir con lo solicitado con el primer y
segundo resultado esperado.
La norma tcnica peruana ISO/IEC 17799:2007 fue elaborada por el Comit Tcnico
de Normalizacin de Codificacin e Intercambio Electrnico de Datos (EDI) utilizando
como base la norma ISO/IEC 17799:2005 y solo cambiando terminologas propias del
idioma espaol. [NTP ISO/IEC 17799:2007]
En esta norma ISO se explican de una forma ms detallada cada uno de los controles
y objetivos que se mostraron en el anexo A de la NTP ISO/IEC 27001.
Estos controles se pueden dividir en 11 dominios, 39 objetivos de control y 133
controles.
Los dominios se pueden observar en la figura 1.5.1 y son los siguientes [ISO/IEC
27002:2005]:
Polticas de seguridad
En este dominio se busca que la alta direccin demuestre su compromiso con
el SGSI publicando y distribuyendo las polticas del SGSI previamente
alineadas con los requisitos de la organizacin legales y operativos.
18
Seguridad en recursos humanos
Se busca asegurar que los empleados, contratistas y terceros que trabajan con
la organizacin entiendan las responsabilidades que tienen al formar parte del
SGSI y que estn capacitados para responder ante un evento o incidencia
segn sus roles.
Control de accesos
Busca evitar que la informacin sea accedida o compartida por personal no
autorizado en la organizacin y detectar actividades no autorizadas.
Cumplimiento
Este dominio busca evitar que se incumplan las normas o el marco legal bajo el
cual se rige la organizacin. Este marco legal contempla las leyes que afectan
a la empresa y al negocio, las obligaciones contractuales, requisitos
reglamentarios y requisitos de seguridad. Pero tambin busca que los sistemas
de informacin de la organizacin cumplan con las polticas de seguridad.
19
Figura 1.5.1 - Los dominios de la ISO/IEC 27002:2005
La importancia del uso de este radica en que no cubre actividades propias del SGSI,
solo muestra conceptos relacionados al diseo del plan del SGSI y lo que se debe
realizar hasta antes de ejecutar el plan de implementacin del sistema de gestin, lo
cual est fuertemente vinculado al alcance del presente plan del proyecto.
Como se mencion, la presente norma ISO indica cmo debe realizarse el diseo del
SGSI desde su inicio hasta el desarrollo de los planes de implementacin, desde el
proceso para obtener la aprobacin de la alta direccin y la definicin de un proyecto
para la implementacin del sistema de gestin, hasta la elaboracin del plan final de
implementacin del SGSI.
Por ltimo, como se menciona dentro del estndar, la ISO/IEC 27003 es aplicable a
todas las organizaciones de todos los tamaos y tipos, considerando la complejidad y
riesgos nicos de cada una de ellas. [ISO/IEC 27003:2010]
20
SGSI; sin embargo, tambin se incluye la ISO/IEC 27001 ya que esta es la norma
base para el desarrollo del proyecto.
Hace uso del modelo de ciclo de Deming (PDCA) para gestionar los riesgos, es un
estndar especializado que complementa a la norma internacional ISO/IEC 31000, la
cual se especializa en la gestin de riesgos, indicando las mejores prcticas para
gestionar los riesgos relacionados a la seguridad de la informacin. Se puede observar
su proceso de gestin de riesgos en la figura 1.5.2
Sin embargo, estas metodologas son ms usadas en los contextos en las que fueron
creadas. Por otro lado, la norma ISO/IEC 27005 es una norma internacional que
complementa a la ISO/IEC 31000 y al ser parte de la familia ISO 27000 busca apoyar
la tarea de anlisis y gestin de riesgos a la hora de implementar el SGSI con el
ISO/IEC 27001, es por este motivo que se adoptarn algunos aspectos de esta norma
para el tratamiento de riesgos durante el proyecto.
Establecer el Contexto
Valoracin de Riesgos
Anlisis de Riesgos
Monitorizacin y Revisin de Riesgos
Comunicacin de Riesgos
Identificacin de Riesgos
Estimacin de Riesgos
Evaluacin de Riesgos
Valoracin satisfactoria?
Tratamiento de Riesgos
Tratamiento satisfactorio?
Aceptacin de Riesgos
Figura 1.5.2 - Proceso de Gestin de Riesgos de Seguridad de Informacin
21
Justificacin: Este estndar internacional naci para apoyar el anlisis de riesgos al
momento de implementar un SGSI. Adicionalmente, como se expuso en el estado del
arte, es la metodologa de riesgo recomendada por el ONGEI, es debido a estos
motivos que utilizaremos esta norma para la gestin de riesgos junto a la NTP ISO
31000.
Esta norma tcnica peruana est basada en la ISO 31000:2009, la cual forma parte de
la familia de estndares que gestionan el riesgo. Esto debido a la existencia de
factores, internos o externos, que aaden incertidumbre en el logro de los objetivos de
las organizaciones.
Esta norma busca establecer principios para tener una gestin eficaz del riesgo
mediante la implementacin y mejora continua de un marco de trabajo para la
integracin del proceso de gestin de riesgos en la planificacin, estrategia, gestin,
procesos de informacin, polticas, valores y cultura de la organizacin.
22
Justificacin: Durante el anlisis y valoracin de riesgos, se utilizar esta norma
debido a que es el estndar propuesto por el gobierno peruano para la gestin de
riesgos [Resolucin 007-2011/CNB-INDECOPI]
1.5.3. Metodologas
PMBOK reconoce cinco procesos bsicos que son los procesos de iniciacin,
planificacin, ejecucin, seguimiento y control y cierre; y 10 reas de conocimiento de
las cuales solo se usarn las siguientes [Project Management Institute; 2013]:
Desarrollar el plan para la direccin del Este punto ser necesario ya que con l
proyecto se detallaran cada una de las actividades
que se realizaran como parte del
proyecto.
Dirigir y gestionar el trabajo del proyecto Este punto se ver reflejado en cada una
de las actas de reunin que se tendr con
el asesor una vez se inicie el proyecto.
Monitorear y controlar el trabajo del Esto se realizar con la revisin de los
proyecto resultados esperados del proyecto.
23
1.5.3.2. Ciclo de Deming - Ciclo PDCA
Justificacin: La presente metodologa posee los 4 pasos iterativos que pueden ser
adaptados fcilmente a los sistemas de gestin siendo muy utilizado por las normas
ISO de sistemas de gestin, incluyendo la de gestin de seguridad de informacin.
Conocido como crculo, rueda o ciclo de Deming o crculo o ciclo PDCA, por sus siglas
en ingles Plan, Do, Check y Act. Se llama as debido a que nace a raz de una
conferencia que dio el Dr. W. Edwards Deming en Japn el ao 1950.
La rueda de Deming se caracteriza por tener cinco (5) puntos clave, estos son [MOEN,
NORMAN; 2009]:
El uso del circulo de Deming es una prctica muy comn en las normas ISO
relacionadas a sistema de gestin, para el caso de un SGSI se puede adaptar segn
lo indicado en la figura 1.5.4.
24
3. Verificar: Monitorear y revisar el SGSI
Evaluar el riesgo operacional
1.6. Alcance
Sin embargo, debido a que la empresa en la que se est realizando el diseo del SGSI
tiene presencia nacional e internacional, se decidi, junto con el asesor, delimitar el
alcance del SGSI a aquellos clientes que operan dentro de Lima.
25
Por ltimo, debido a que la empresa posee 11 locales administrativos que tambin
forman parte del proceso, se delimitar el alcance a un solo local, el cual ser la sede
principal de la empresa.
1.7. Limitaciones
Adicionalmente, se debe considerar que se est trabajando con una entidad del
estado por lo que el SGSI debe estar acoplado a la normatividad a la que est
sometida la entidad.
1.8. Riesgos
26
Riesgo Impacto en el proyecto Medidas correctivas para
identificado mitigar
Se firmara una carta de
aceptacin para certificar el
El apoyo de la alta direccin apoyo de la empresa durante el
es bsico para el desarrollo proyecto, adicionalmente se
Falta de apoyo de la de un sistema de gestin, es trabajar junto al oficial de
alta direccin. por ello que sin este apoyo seguridad de la informacin de
aumentara significativamente la entidad pblica para
la complejidad del proyecto. coordinar mejor el
levantamiento de informacin
en otras reas.
En caso exista un cambio de
personal dentro de la Antes de empezar a realizar el
gerencia existe la posibilidad trabajo de tesis se obtendr un
Rotacin de
de retraso dentro del proyecto documento que certifique el
personal dentro de
debido a la falta de apoyo de apoyo de la empresa al
la gerencia de la
la nueva direccin, presente proyecto el cual tendr
entidad pblica
especialmente si este cambio valor incluso si existe una
se da dentro del comit de rotacin de personal.
seguridad de informacin.
Tabla 1.8.1 - Riesgos identificados del proyecto
27
2. Captulo 2: Marco Terico y Estado del Arte
2.1. Marco Conceptual
2.1.1. Informacin
La informacin es un activo que brinda valor al negocio; por ello, se necesita tener una
adecuada proteccin frente a la constante exposicin a distintas amenazas y
vulnerabilidades. Esta puede adoptar distintas formas, de ah surge la importancia de
conocerlas para poder protegerla adecuadamente, estas formas son:
28
Rol Externo: Ya que sirve para mostrarle al mundo como es que se trabaja
dentro de la organizacin, que somos conscientes de la necesidad de proteger
nuestra informacin y la de los clientes y que estamos trabajando para
realizarlo.
[PELTIER; PELTIER; BLACKLEY; 2005]
2.1.7. Riesgo
Un riesgo es cualquier tipo de evento o circunstancia que de ocurrir amenazaran los
objetivos de una organizacin, estos riesgos tienen una posibilidad de ocurrencia por
lo que se miden como la multiplicacin de impacto por probabilidad. [NTP ISO/IEC
17799]
HALVORSON (2008, 71) explica tres (3) naturalezas del riesgo, estos son los riesgos
estratgicos, tcticos y operacionales.
Los riesgos estratgicos son los que pueden estar ligados a la seguridad de la
informacin; sin embargo, se encuentran ms orientados a los riesgos de las
ganancias y reputacin de la organizacin, ya que se derivan de decisiones
estratgicas que han sido tomadas o sern tomadas en la organizacin.
Los riesgos tcticos son los asociados a los sistemas que vigilan la identificacin,
control y monitoreo de los riesgos que afectan a la informacin, son aquellos que
afectan indirectamente a la informacin.
Los riesgos operacionales son los relacionados a aquellos activos que pueden afectar
los objetivos de una empresa (tales como presupuestos, cronogramas y tecnologas).
Para poder identificar el potencial dao o perdida debido a un riesgo los dueos de los
activos pueden responder estas cuatro preguntas:
Qu puede suceder? (Cul es la amenaza?)
Qu tan malo puede ser? (Cul es el impacto?)
Qu tan seguido puede suceder? (Cul es la frecuencia?)
Qu tan ciertas son las respuestas de las tres primeras preguntas? (Cul es
el grado de confianza?) [OZIER, 2004]
29
2.1.9. Control
Los controles son medios para manejar el riesgo, incluyendo polticas, procedimientos,
lineamientos, prcticas o estructuras organizacionales. Una de las clasificaciones ms
generalizadas es:
Preventivos: Reducen las vulnerabilidades.
Detectivos: Descubren amenazas o escenarios previos a ellas permitiendo
activar otros controles.
Correctivos: Contrarrestan el impacto de la ocurrencia de una amenaza.
Disuasivos: Reducen la probabilidad de ocurrencia de las amenazas. [TUPIA,
2009]
En el NTP ISO/IEC 17799 tambin se utiliza el control como un sinnimo de
contramedida.
ISO/IEC 27003: Este estndar brinda informacin y una gua prctica para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
SGSI segn lo establecido por la ISO/IEC 27001.
ISO/IEC 27004: Este estndar provee guas prcticas para el uso de mtricas
que evalen la efectividad, objetivos de control y controles usados en un SGSI.
ISO/IEC 27005: Este estndar provee una gua para la gestin de los riesgos
de seguridad de informacin segn los requerimientos establecidos por la
ISO/IEC 27001.
ISO/IEC 27007: Provee una gua para conducir una auditoria de un SGSI as
como las competencias necesarias de los auditores de sistemas de gestin de
seguridad complementando la ISO/IEC 19011
ISO/IEC TR 27008: Es un reporte tcnico que brinda una gua para la revisin
de la implementacin de los controles del SGSI.
30
ISO/IEC 27010: Provee una gua para gestionar la seguridad de la informacin
en caso la organizacin intercambie o comparta informacin importante, ya sea
que pertenezca al sector pblico o privado, que lo haga nacional o
internacionalmente, o en el mismo sector u otros sectores del mercado en el
que opera.
ISO/IEC 27013: Brinda una gua para la implementacin integrada del ISO/IEC
27001 y el ISO/IEC 20000 (gestin de servicios de TI), ya sea
implementndolos al mismo tiempo o uno despus de otro.
ISO/IEC 27014: Brinda una gua para conocer los principios y procesos del
gobierno de la seguridad de la informacin, que busca que las organizaciones
puedan evaluar, dirigir y monitorear la gestin de la seguridad de la
informacin.
31
Figura 2.1.1 - Relacin de los estndares de la familia del SGSI
2.1.11. COBIT 5
COBIT 5 es un marco integrador que incorpora distintos marcos y estndares para el
gobierno de tecnologas de informacin (IT Governance).
Elaborado por ISACA, contiene las mejores prcticas para el control de los aspectos
tcnicos y riesgos del negocio permitiendo el desarrollo de polticas para el control de
las tecnologas de toda la organizacin.
En la nueva versin de COBIT podemos observar cinco principios claves para la
gestin y gobierno de las TI (vase figura 2.1.2):
32
Satisfacer las necesidades de las partes interesadas
Al ser un marco referencial, COBIT propone una serie de procesos que pueden
ser adaptados segn las necesidades propias de cada organizacin para crear
valor en ellas.
33
Figura 2.1.3 - Modelo de COBIT 5
34
2.1.12. MAGERIT 3.0
El Consejo Superior de Administracin Electrnica de Espaa elabor MAGERIT
(Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin) para
gestionar los riesgos de las TIC debido al creciente uso y dependencia de estas para
alcanzar los objetivos que cada individuo u organizacin desea. En esta metodologa
la gestin de riesgos se divide en 2 subprocesos, estos son:
Anlisis de Riesgos:
Permite determinar lo que posee la organizacin y que le podra suceder.
Tratamiento de Riesgos:
Organiza una defensa prudente para sobrevivir a los incidentes y seguir
operando en las mejores condiciones, al no poder controlar se maneja un
riesgo residual que es asumido por la alta direccin.
De esta manera MAGERIT busca no solo concientizar a los responsables del gobierno
de TI de la existencia de riesgos sino que ayuda a descubrir y planificar un tratamiento
oportuno para mantener a estos riesgos bajo control.
2.1.13. OCTAVE
35
y mtodos para la valoracin y planeamiento de la seguridad de la informacin basada
en riesgos.
El mtodo original de OCTAVE posee tres (3) fases y ocho (8) procesos los cuales son
los siguientes [CERT; 2008]:
36
Es auto dirigido: El personal de TI trabaja junto con pequeos grupos del
personal de la empresa que conocen los procesos para encontrar las
necesidades de seguridad de la organizacin.
Es flexible: Cada mtodo puede ser adaptado a las necesidades de la empresa
Es evolucionado: OCTAVE ha llevado a las organizaciones a lograr identificar
los riesgos que hay en cada proceso del negocio
2.2.1. RM-246-2007-PCM
Mediante esta resolucin se aprueba el uso obligatorio de la NTP-ISO/IEC
17799:2007 Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin
de la seguridad de la informacin en todas las entidades pblicas que pertenecen al
Sistema Nacional de Informtica. Esto significaba el reemplazo de la NTP-ISO/IEC
17799:2004 que en ese tiempo era de uso obligatorio.
2.2.2. RM-197-2011-PCM
Mediante esta resolucin se establece como fecha lmite para la implementacin de la
NTP-ISO/IEC 17799:2007 Tecnologa de la Informacin. Cdigo de buenas prcticas
para la gestin de la seguridad de la informacin el da 31 de diciembre del 2012 para
todas aquellas empresas que pertenecen al Sistema Nacional de Informtica.
2.2.3. RM-129-2012-PCM
La emisin de esta resolucin deja sin efecto la RM-197-2011-PCM, debido a que la
norma NTP-ISO/IEC 17799:2007 que deba ser implementada establece
recomendaciones y buenas prcticas de seguridad de informacin pero no defina una
forma exacta de verificar la efectividad y eficiencia de lo que haba sido implementado,
por lo que la fecha limite dada por esta resolucin ya no tena valor.
Adems se define que se debe implementar de manera obligatoria la NTP ISO/IEC
27001:2008 y da nuevas fechas lmites para desarrollar la implementacin para todas
las empresas pblicas (vase figura 1.1.2).
La norma fue emitida el 23 de mayo del 2012, y da 45 das para el inicio de la primera
fase por lo que a la primera semana de julio del 2012 debi haberse empezado la
misma.
Hasta inicios del ao 2014, se manejaba poca informacin sobre el anlisis y diseo
de un sistema de gestin de seguridad de la informacin en entidades pblicas del
Per. Debemos considerar que, hasta el momento, solo hay ocho empresas que
37
tienen certificada la ISO 27001, de las cuales, dos pertenecen al sector pblico, el
ONP e INDECOPI, siendo este ltimo la entidad ms reciente en conseguirla al haber
sido certificada el 17 de abril del ao 2013. [INDECOPI; 2013; Noticias]
Un segundo trabajo relacionado al estado del arte es una tesis de grado de tres
alumnos de la Escuela Superior Politcnica del Litoral de Guayaquil (Ecuador), que
trata sobre la implementacin de polticas de seguridad basadas en el ISO / IEC 27002
para la municipalidad de Guayaquil.
38
En esta tesis lo que se busca es brindar una adecuada solucin de seguridad de
informacin para la municipalidad de Guayaquil, dentro de la cual se hace el uso de la
metodologa MAGERIT para el tratamiento de riesgos, argumentando como principal
ventaja que las decisiones tomadas por la alta direccin, como resultado del anlisis
de riesgo, sern fcilmente defendibles y argumentadas.
Tambin se puede observar cuales son las polticas de seguridad propuestas para la
municipalidad para los activos fsicos, lgicos, equipos de cmputo, respaldo de la
informacin, entre otros.
Los resultados del estudio mostraron siete factores de xito ordenados segn su
prioridad de la siguiente forma:
Un sexto punto indica que los incentivos al personal son tiles en estos casos, lo que
lleva al autor a pensar que con buenas polticas de incentivos al personal se podra
facilitar la implementacin de un SGSI en la organizacin.
Con la ayuda de estos cuatro trabajos se puede conocer un poco ms como se est
trabajando la implementacin de los SGSI en las entidades pblicas no solo a nivel
39
local sino a nivel mundial para poder conocer las distintas formas en las que se
implementa esta solucin del problema.
Debido al marco legal, el problema tiene una nica forma de ser resuelta, esto es
siguiendo lo indicado por la NTP ISO/IEC 27001:2008. No obstante, se muestra
algunos complementos que pueden utilizarse para apoyar la implementacin del SGSI.
Como parte de las buenas practicas propuestas en el rea de TI, se recomienda el uso
de COBIT 5, un marco integrador elaborado por ISACA que contiene algunas buenas
prcticas para el control de riesgos del negocio y orienta a la gestin y gobierno de TI
[COBIT 5], esto debido a su amplia cobertura y porque est basado en muchas
practicas existentes. La ventaja de implementarlo en la organizacin es que ayuda a
los ejecutivos a comprender y gestionar las inversiones de TI durante su ciclo de vida
[ITGI, OGC; 2008], de esta manera, las empresas pueden utilizar las TI para tener
ventajas comerciales frente a sus competidores. Una ventaja adicional es que, al ser
un marco integrador, permite el uso de otras normas y marcos acoplndolos
fcilmente.
Si bien implementar COBIT e ITIL sera una gran ventaja para la organizacin, esto
escapa del alcance del presente proyecto ya que tambin se encarga de la gestin del
gobierno de TI de la organizacin; sin embargo, se proporcionar un enlace de la
publicacin de ITGI y OGC donde se mapean tanto los procesos y objetivos de control
de COBIT a secciones especficas de ITIL e ISO/IEC 27002 como de manera inversa,
mostrando como las secciones de ITIL y los objetivos de control del ISO/IEC 27002
mapean a los objetivos de control de COBIT [ITGI, OGC; 2008]. Si bien la versin de
COBIT que es mapeada es la 4.1, ser de gran ayuda para tener como base en caso
se deseen implementar estos marcos en algn proyecto, previa actualizacin de
COBIT.
Tambin cabe recalcar la importancia del constante apoyo de la alta direccin ya que
no es una responsabilidad nicamente del rea de TI; debe fluir desde arriba hasta
todos los procesos de negocio, adicionalmente, la alta direccin debe mostrar un claro
40
inters por el desarrollo del proyecto participando activamente del mismo, ya sea
apoyando en la difusin de las polticas o velando por la mejora continua del SGSI.
Asimismo, se debe tener en cuenta los resultados del estudio realizado en Irn, que
probablemente no sean muy distintos de la realidad peruana, ya que se observa la
necesidad del compromiso de la alta direccin tanto en los resultados de este estudio
como en los principales problemas detectados por el ingeniero Horna.
Basados en este ltimo punto es muy necesario, que cada uno de los empleados de la
organizacin conozca cul es su rol dentro de este sistema de gestin para que se
sientan comprometidos con el proyecto y puedan aportar positivamente a su
implementacin con la ayuda de una previa capacitacin y concientizacin de la
seguridad en su puesto laboral.
Por ltimo, se puede concluir que la norma busca organizar a las empresas para que,
con este orden adquirido, se pueda gestionar mejor la seguridad de los activos de
informacin. Es por ello que este proyecto busca dos cosas:
Ayudar a una empresa pblica con la primera etapa del ciclo de Deming (Plan
Planear) en la implementacin del SGSI, enfocado a los procesos crticos de
esta empresa, desde el modelamiento de los procesos que pertenezcan al
alcance del proyecto, hasta el anlisis de riesgo de los activos y la declaracin
de aplicabilidad.
De esta forma no solo se busca apoyar a una organizacin para gestionar la seguridad
de su informacin, tambin busca brindar una gua para el anlisis y diseo de un
SGSI en todas las empresas pblicas que se encuentran en la Fase I o II de las fases
de implementacin incremental de la NTP ISO/IEC 27001 (vase figura 1.1.1).
41
3. Captulo 3: Documentacin Necesaria para el Diseo de un
SGSI
3.1. Business Case
Como se discuti dentro del estado del arte, obtener el total apoyo de la alta direccin
es crucial para el desarrollo del proyecto. Adicionalmente, la NTP ISO/IEC 27001
indica que se debe buscar obtener este compromiso dentro de la fase inicial del
proceso de implementacin. Ante esta situacin, se desarroll un documento que
permita evidenciar ante la gerencia cual es la situacin actual de la organizacin, la
problemtica que enfrentan y que opciones se posee para atender estas nuevas
necesidades.
Dentro del documento, se present cinco (5) opciones para solucionar la problemtica,
siendo la ms recomendable la implementacin de la norma NTP ISO/IEC 27001:2008
con el apoyo de una empresa consultora especialista en el tema, decisin basada en
tres criterios principales:
Este documento puede ser visualizado en su totalidad dentro de los anexos del
presente proyecto como Anexo 4 Modelo de Caso de Negocio
Admisin
Habilitado
Clasificacin
Control de Cargos
Digitalizacin
Facturacin
Este documento puede ser consultado como Anexo 2 Alcance Formal del SGSI,
adjunto al presente trabajo. Sin embargo, el presente proyecto de fin de carrera
presenta un alcance distinto al definido por la organizacin ya que, basndose en el
alcance definido por la organizacin, se delimit a los siguientes procesos:
42
Admisin
Habilitado
Clasificacin
Control de Cargos
Digitalizacin
Es necesario aclarar que este tipo de documentos deben ser revisados y actualizados
regularmente para evitar que queden en el olvido o reflejen una realidad distinta a la
que la organizacin est atravesando, es por ello que es necesario no solo definir la
poltica de seguridad, tambin es necesario definir los roles y responsabilidades de las
personas con respecto al sistema de gestin, la frecuencia con la que se revisar este
documento y las sanciones que se aplicarn en caso no se cumpla con lo indicando.
43
4. Captulo 4: Identificacin y Valoracin de los Activos de
Informacin
4.1. Mapa de procesos relacionados al sistema de gestin
a) Proceso de Admisin
El proceso empieza una vez el rea de Extra postales de la empresa recibe una
copia del contrato que se ha realizado con un cliente indicando la cantidad de
envos que va a recibir, si debe recogerlos de algn local o si los recibir en la
misma sede central, as como otros datos tales como la fecha mxima para la
entrega, tipos de entrega, servicios adicionales requeridos y penalizaciones. Una
vez recibidos, se encarga de generar una gua de admisin y derivarla al proceso
de habilitado.
b) Proceso de Habilitado
Presentado como Anexo 12, el objetivo de este sub proceso es el preparar cada
uno de los envos solicitados por los clientes, segn las indicaciones dadas en el
contrato, para que puedan ser enviadas a los destinatarios finales.
44
El proceso empieza una vez los operadores postales generan la gua de admisin,
de haber sido solicitado por los clientes, se deber etiquetar los cargos de los
clientes en los envos, as como, de habilitar los envos, es decir, de desglosarlos,
doblarlos, ensobrarlos, encartarlos, engomarlos, embolsarlos, etiquetarlos o
engramparlos con algn objeto adicional. Por ltimo se elabora una gua de salida
y se enva al rea de clasificacin para que pueda enviarlos a los destinatarios
finales.
Adicionalmente, una vez los envos fueron entregados, este proceso incluye el
tratamiento de la gua de salida, el cierre de la gua de admisin y la bsqueda de
la conformidad del cliente, actividades a cargo del supervisor del rea.
a) Proceso de Clasificacin
El proceso inicia una vez el rea de extra postales hace entrega de envos con la
gua de salida, un operador postal es el encargado de abrir cada saca y verificar si
la cantidad entregada es la misma que la indicada en dicha gua, una vez
verificado, se hace entrega de los envos a los clasificadores, para que se
encarguen de dividirlos segn administracin postal destino y el sector
correspondiente. Una vez realizada la separacin se confeccionan las sacas para
su envo a cada administracin postal
Participan de este proceso los operadores postales, encargados de abrir las sacas
enviadas por extra postales y de entregar los envos a los clasificadores para que
se encarguen de dividir cada envo por administracin postal.
El sub proceso inicia una vez se dan los envos a los clasificadores. Ellos se
encargan de dividirlos segn administracin postal destino en un proceso que
puede ser manual o con la ayuda de un sistema de informacin, dependiendo de la
solicitud del cliente. Una vez realizada la separacin se enva al proceso de
clasificacin final.
45
Participan de este proceso tanto el operador postal que es el encargado de realizar
el conteo e ingreso al sistema de la cantidad de envos entregados y devueltos y
los postrenes, encargados de entregar documentos a los clientes para que reciban
su aprobacin.
Este proceso se encarga de recibir los cargos y despachos de los clientes, verificar
que los datos sean correctos y, de requerirlo, mandar a digitalizacin los cargos y
rezagos o solo digitarlos en el sistema, una vez finalizado este proceso se genera
un reporte de devolucin, el cual ser enviado al cliente junto con los rezagos a
travs del postren.
Presentado como Anexo 16, el objetivo de este proceso es el de emitir los reportes
de facturacin, segn los servicios brindados a los clientes, para que el rea de
facturacin pueda realizar los cobros respectivos.
Este proceso inicia una vez el postrn regrese con el reporte de devolucin
aprobado por el cliente, esta gua deber ser archivada dentro del rea y, en caso
lo solicite el cliente, se generar un reporte de facturacin para el cliente, el cual
deber ser enviado al mismo para que pueda dar su visto bueno y sea enviado al
rea de facturacin, en caso el cliente no desee este reporte, solo ser generado
para el rea de facturacin.
a) Proceso de Digitalizacin
Presentado como Anexo 17, el presente proceso tiene como objetivo digitalizar
cada uno de los envos y rezagos para que puedan ser mostrados en la extranet
de la organizacin y sean almacenados en algn dispositivo digital.
El proceso inicia una vez que el rea de control de cargos hacen entrega de los
cargos y rezagos que se deben de digitalizar, dentro del rea se encargan de
escanear cada uno de esto documentos y de enlazarlos a las guas de admisin
con la ayuda de lectoras de cdigos de barras.
Presentado como Anexo 18, el presente proceso tiene como objetivo enviar, a
cada uno de los clientes, las imgenes digitalizadas en un dispositivo de
almacenamiento en caso lo soliciten, adicionalmente se encarga de emitir los
reportes de facturacin para los clientes y el rea de facturacin por los servicios
realizados por cada cliente.
46
Participan de este proceso la supervisora, encargada de la realizacin de CD con
las imgenes digitalizadas y las bases de datos cuando el cliente lo solicita.
Una vez mapeado cada uno de los procesos que forman parte del alcance del
proyecto, se debe realizar una serie de entrevistas para identificar cada uno de los
activos de informacin que estn involucrados en los procesos, luego se proceder a
valorarlos y asegurar cada uno de los activos ms importantes para la organizacin.
Para la identificacin de estos activos se utiliz el mapa de procesos durante cada una
de las entrevistas, ya que permiti asociar los activos con una actividad del proceso.
Para la realizacin del inventario de activos se tom en cuenta los siguientes datos:
Una vez identificados cada uno de los activos involucrados en el alcance del SGSI, se
debe valorar cada uno de ellos para seleccionar aquellos que pasarn al anlisis de
riesgo, para ello, se realizaron entrevistas con los dueos de los procesos para
responder a la siguiente pregunta De qu manera la prdida del activo impacta a la
confidencialidad/integridad/disponibilidad de la informacin?
47
Durante las entrevistas, se utiliz la siguiente tabla de valoracin:
Dimensin
Valor
Confidencialidad Integridad Disponibilidad
Debe estar disponible al
No existe ningn
Debe ser correcto y menos el 25% de las
riesgo legal,
completo al menos el veces que se necesita.
reputacional,
25% de las veces. No No existe ningn riesgo
operacional, ni
existe ningn riesgo legal, reputacional,
1 financiero si la
legal, reputacional, operacional, ni
informacin es
operacional, ni financiero si la
publicada o es de
financiero en la toma informacin no est
conocimiento del
de decisiones disponible o ha sido
pblico en general
destruida
Debe ser correcto y Debe estar disponible al
La divulgacin no es completo al menos el menos el 50% de las
perjudicial para los 50% de las veces. veces que se necesita.
intereses legal, Podra ocasionar daos Podra ocasionar daos
reputacional, leves para los intereses leves para los intereses
2 operacional, ni legales, reputacionales, legales, reputacionales,
financiero pero operacionales y operacionales y
debiera ser slo de financieros de la financieros de la
conocimiento de los organizacin si se organizacin si no
colaboradores. toman decisiones sobre estuviera disponible o
sta hubiera sido destruida
Debe ser correcto y Debe estar disponible al
completo al menos el menos el 75% de las
Informacin
75% del as veces. veces que se necesita.
personal, financiera
Podra ser perjudicial Podra ser perjudicial
o de alguna
para los intereses para los intereses
sensibilidad. Su
3 legales, reputacionales, legales, reputacionales,
divulgacin podra
operacionales y operacionales y
ser perjudicial para
financieros de la financieros de la
los intereses de la
organizacin si se organizacin si no
organizacin.
toman decisiones sobre estuviera disponible o
sta hubiera sido destruida
Debe ser correcto y Debe estar disponible el
Informacin
completo el 100% de 100% de las veces que
altamente sensible.
las veces. Podra se necesita. Podra
Su divulgacin
causar daos causar daos
podra causar daos
catastrficos, catastrficos,
4 catastrficos,
reputacionales e reputacionales e
reputacionales e
imagen, prdidas imagen, prdidas
imagen, prdidas
financieras financieras
financieras
significativas de no ser significativas de no
significativas.
exacta. estar disponible.
Una vez valorados todos los activos previamente identificados se escogern aquellos
cuyo valor promedio de confidencialidad, integridad y disponibilidad sea mayor a 2
48
5. Captulo 5: Identificacin y Evaluacin de Riesgos
El objetivo del presente captulo es la elaboracin de la Matriz de Riesgos de la
organizacin, para ello se defini una metodologa de evaluacin de riesgos, en la cual
se describa cual era el apetito de riesgo de la organizacin, el procedimiento para la
identificacin de riesgos y el criterio para la evaluacin de los mismos.
Las vulnerabilidades no pueden daar a los activos por si solos, ya que son
caractersticas propias de estos; sin embargo, deben ser identificadas debido a que
son fuentes potenciales de riesgos en caso logren ser explotadas por alguna
amenaza.
Por ltimo, los riesgos se definieron como aquella probabilidad de que una amenaza
explote alguna vulnerabilidad hacindole perder alguna propiedad relacionada a la
seguridad de la informacin (confidencialidad, disponibilidad, integridad, auditabilidad,
etc.), de ah la necesidad de identificar las amenazas y vulnerabilidades previamente.
Para ello se realizaron visitas al rea donde se llevan a cabo los procesos
pertenecientes al alcance del SGSI y se utiliz una lista de ejemplos de
vulnerabilidades y amenazas proporcionadas por el Anexo D de la ISO/IEC
27005:2008, la cual se puede visualizar en los anexos del proyecto como Anexo 8 -
Lista de Ejemplos de Vulnerabilidades y Amenazas
Una vez identificados los riesgos se llev a cabo una entrevista con cada uno de los
dueos de los procesos para que corroboren si los riesgos son reales y si es que ellos
han identificado algn riesgo que no haya sido previamente mapeado para agregarlo a
la matriz.
Una vez identificados los riesgos, se proceder a evaluar, junto con los dueos de los
procesos, cules son las probabilidades de ocurrencia y los impactos que traeran a la
organizacin en caso se materialicen estos riesgos, para ello podrn usar las escalas
desde Muy Baja hasta Muy Alta para las probabilidades y una escala de
Insignificante hasta Catastrfica para el impacto.
49
A continuacin se presentan las tablas con las escalas de valoracin de probabilidades
e impactos y el criterio utilizado
Lista de Probabilidades
Escala de
Nivel Descripcin Probabilidad
porcentaje
Ms de Ocurrir en la mayora de las circunstancias; todos los das o varias
5 Muy Alta
80% veces al mes.
Probablemente ocurrir en la mayora de las circunstancias; al menos
4 Alta 60% - 80%
una vez al mes.
3 Moderada 40% - 60% Puede ocurrir en algn momento; al menos una vez al ao.
2 Baja 20% - 40% Podra ocurrir en algn momento; al menos una vez cada dos aos.
Menos de Puede ocurrir en circunstancias excepcionales; como dos veces cada
1 Muy Baja
20% cinco aos.
Una vez que se haya valorizado la probabilidad e impacto de cada uno de los riesgos
detectados, se realizar una multiplicacin entre estos valores para conocer el valor
del riesgo, dependiendo del valor hallado se conocer el nivel del riesgo con la ayuda
de la siguiente matriz de calor:
8 8 16 24 32 40
6 6 12 18 24 30
IMPACTO
4 4 8 12 16 20
2 2 4 6 8 10
1 1 2 3 4 5
1 2 3 4 5
PROBABILIDAD
50
Riesgos Bajos: Aquellos riesgos cuyo valor oscila entre 1 y 8. Riesgos
inferiores, deben ser tratados con los procedimientos de rutina ya
definidos en la organizacin. Es hasta este punto en el cual se define el
Apetito de Riesgo de SERPOST, es decir, aquellos riesgos que no se
encuentren en esta zona debern ser tratados con ayuda de controles
para minimizar su valor.
Riesgos Altos: Aquellos riesgos cuyo valor oscila entre 9 y 18. Riesgos
que deben ser tratados con procedimientos especiales con la ayuda de
la implementacin de algunos controles de seguridad, la Alta Direccin
debe ser consciente de la existencia y tratamiento de estos riesgos.
Riesgos Graves: Aquellos riesgos cuyo valor oscila entre 20 y 40.
Riesgos que deben ser tratados de manera inmediata y con alta
prioridad debido a lo que podra suceder si se materializa el riesgo, la
Alta Direccin debe ser consciente de la existencia y tratamiento de
estos riesgos.
Cualquier riesgo que exceda estos valores, deber ser tratado de manera inmediata
para reducir su valor a un rango aceptable por la organizacin segn lo indicado por la
metodologa de evaluacin de riesgos.
Segn la naturaleza del riesgo, las acciones que se pueden realizar para tratarlo
pueden ser: Mitigar el riesgo, Transferir el riesgo, Eliminar el riesgo o Aceptar el
riesgo, la definicin de cada una de estas acciones se encuentra a continuacin:
51
Tratamiento Descripcin
Por ltimo, una vez realizado todo el anlisis descrito anteriormente, el oficial de
seguridad de la informacin deber asegurarse de ingresar todos esos datos en la
matriz de riesgo de la organizacin para presentar el resultado al comit, el cual
decidir si hay algn riesgo que aceptar o si dar tratamiento a todos los riesgos.
52
Entre las varias columnas que posee la matriz de riesgo se tiene:
53
6. Captulo 6: Declaracin de Aplicabilidad
La norma NTP ISO/IEC 27001:2008, exige como parte del establecimiento del SGSI,
en el punto 4.2.1, la preparacin de la declaracin de aplicabilidad incluyendo cuales
son los objetivos de control y los controles seleccionados justificando su eleccin.
Estos controles son sacados del anexo A de la NTP ISO/IEC 27001:2008 y de la NTP
ISO/IEC 17799:2007, las cuales brindan una serie de controles y recomendaciones
para el tratamiento de los riesgos en una organizacin.
En este documento se analizar cada uno de los controles propuestos por estas
normas y se indicar si son aplicables a la realidad de la empresa o si no lo son,
justificando en ambos casos el porqu de esta decisin.
Este documento puede ser revisado como anexo del presente proyecto con nombre
Anexo 10 Declaracin de la Aplicabilidad y muestra la siguiente informacin:
54
7. Captulo 7: Conclusiones y Recomendaciones
A continuacin, se presentar cuales fueron aquellas conclusiones y recomendaciones
resultantes de haber realizado el diseo de un SGSI en una entidad pblica
perteneciente al sector postal.
7.1. Observaciones
Como bien se indic dentro del presente proyecto, el apoyo de la alta gerencia
es vital para el xito de este tipo de proyectos, uno de los principales
problemas que se encontr durante el desarrollo del mismo fue la poca
preocupacin para la implementacin de este sistema de gestin en la
organizacin, no fue sino hasta un cambio de la plana gerencial que se recibi
el apoyo necesario para la realizacin de este proyecto.
Adicionalmente, se pudo observar el poco inters y la poca concientizacin que
se tiene con respecto a la seguridad de la informacin dentro del personal
operativo, algo que resulta sorprendente teniendo en cuenta que, dentro de las
diversas reas, existen casos de personas con procesos judiciales debido a un
intercambio no autorizado de credenciales.
Por ltimo, otro de los principales problemas hallados, fue la demora en la
coordinacin con el rea de logstica para la atencin de las rdenes de
compra, esto ha trado como consecuencia, la demora en la atencin de
riesgos graves que fueron identificados previamente por la organizacin debido
a la falta de herramientas y recursos necesarios para su tratamiento.
7.2. Conclusiones
55
7.3. Recomendaciones y trabajos futuros
56
8. Referencias bibliogrficas
Oficina Nacional de Gobierno Electrnico e Informtica (ONGEI)
Portal de seguridad de informacin
Consultado en: 11/04/2013
http://www.ongei.gob.pe/entidad/ongei_tematicos.asp?cod_tema=4552
INDECOPI
2013. INDECOPI garantiza la seguridad de la informacin al obtener la Certificacin
ISO 27001. Noticia en pgina web. Consulta: 16 de junio de 2013.
http://www.indecopi.gob.pe/0/modulos/NOT/NOT_DetallarNoticia.aspx?PFL=0&NOT=6
12
HALVORSON, Nick.
2008. Information Risk Management: A Process Approach to Risk Diagnosis and
Treatment. Information Security Management Handbook. 6th edition. Volume 2.
USA: Auerbach Publications
OZIER, Will.
2004. Risk Analysis and Assessment Information Security Management Handbook.
5th edition. USA: Auerbach Publications
TUPIA, Manuel
2009. Principios de auditora y control de sistemas de informacin.
PER: Tupia Consultores y Auditores S.A.C.
COBIT 5
Un Marco de Negocio para el Gobierno y la Gestin de las TI de la Empresa
ISACA, USA.
2012
ESCORIAL, ngel
2012. La gestin de riesgos impulse la credibilidad y la transparencia. Gerencia de
Riesgos y Seguros. Espaa, 2012, Primer cuatrimestre, No 112, pp. 86. 49-57.
CARLSOM, Tom
2008. Understanding Information Security Management System. Information Security
Management Handbook. 6th edition. Volume 2. USA: Auerbach Publications
57
ITGI; OGC
2008. Alineando CobIT 4.1, ITIL v3 e ISO 27002 en beneficio del negocio
USA: ITGI, ISACA, OGC y TSO
http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-Cobit-4.1,-
ITIL-v3-y-ISO-27002-en-beneficio-de-la-empresa-v2,7.pdf
AGUIRRE, David
2013, Entrevista1. Entrevista del 3 de mayo al Ingeniero Carlos Horna.
AMPUERO, Carlos
2011. Diseo de un Sistema de Gestin de Seguridad de Informacin para una
Compaa de Seguros. Tesis para optar por el Ttulo de Ingeniero Informtico. Per:
Pontificia Universidad Catlica del Per.
http://tesis.pucp.edu.pe/repositorio/handle/123456789/933
58
Estndar Internacional ISO/IEC 27003:2010
Segunda edicin
Publicada el 01/02/2010
RM-246-2007-PCM
Presidencia de Consejo de Ministros
Fecha de Promulgacin: 22 de agosto del 2007
RM-197-2011-PCM
Presidencia de Consejo de Ministros
Fecha de Promulgacin: 14 de julio del 2011
RM-129-2012-PCM
Presidencia de Consejo de Ministros
Fecha de Promulgacin: 23 de mayo del 2012
Resolucin 007-2011/CNB-INDECOPI
Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales no
Arancelarias
Fecha de Promulgacin: 30 de marzo del 2011
59