ÍNDICE

INTRODUCCIÓN .............................................................................................................................. 3
CAPÍTULO I: ASPECTOS GENERALES ..................................................................................... 4
1.1. Descripción del Problema ............................................................................................... 4
1.2. Objetivos ............................................................................................................................ 4
1.2.1. Objetivo General ........................................................................................................... 4
1.2.2. Objetivos Específicos ................................................................................................... 4
1.3. Metas .................................................................................................................................. 4
1.4. Limitaciones....................................................................................................................... 4
1.5. Delimitaciones ................................................................................................................... 4
1.6. Metodología ....................................................................................................................... 5
CAPÍTULO II: MARCO TEÓRICO ................................................................................................. 6
2.1. Base Teórica ..................................................................................................................... 6
2.1.1. ISO .................................................................................................................................. 6
2.1.1.1. Definición ................................................................................................................... 6
2.1.1.2. ISO/IEC 27001 ...................................................................................................... 6
2.1.2. Evolución e historia ISO/IEC 27001 ...................................................................... 6
2.1.3. Cláusula ......................................................................................................................... 8
2.1.4. Control ............................................................................................................................ 8
2.2. Antecedentes .................................................................................................................... 8
CAPÍTULO III: DESARROLLO DEL PROYECTO..................................................................... 11
A.12. Seguridad de operaciones .............................................................................................. 11
A.12.1. Procedimientos y responsabilidades operativas ...................................................... 11
A.12.1.2. Gestión de Cambio. .............................................................................................. 11
A.12.1.3. Gestión de la Capacidad. ..................................................................................... 14
A.12.2. Protección contra códigos malicioso ......................................................................... 17
A.12.2.1 Controles contra código malicioso. ...................................................................... 17
A.12.5. Control del software operacional. ............................................................................... 20
A.12.5.1. Instalación de software en sistemas operacionales......................................... 20
A.12.5.1. Instalación de software en sistemas operacionales......................................... 22
A.12.6. Gestión de vulnerabilidad técnica. ............................................................................. 23
A.12.6.1. Gestión de vulnerabilidades técnicas. ................................................................ 23

1
CONCLUSIONES ........................................................................................................................... 26
RECOMENDACIONES.................................................................................................................. 27
REFERENCIAS .............................................................................................................................. 28
ANEXOS .......................................................................................................................................... 29

2
 INTRODUCCIÓN

El contenido de este documento está referido al tema de Seguridad de las

operaciones.
Este tema es muy común hoy en día, ya que la seguridad de operaciones es un
aspecto fundamental dentro una empresa, el cumplimiento de esta cláusula hace
que resalte una empresa frente a otras, es por eso que se desarrollan diferentes
métodos de seguridad de operaciones para las muchas operaciones que puede
realizar una empresa.
ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO), describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de esta norma fue publicada en 2014 y su
nombre completo es ISO/IEC 27001:2014. La primera revisión se publicó en 2005 y
fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin
fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores
especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una entidad
de certificación independiente confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la norma ISO 27001.
La autoridad portuaria nacional ha iniciado la adecuación del Sistema de Gestión de
Seguridad de la Información NTP ISO/IEC 27001:2014, Esta la labor de
implementación se realiza en cumplimiento a lo dispuesto por la Resolución
Ministerial N° 004-2016-PCM
La Organización deberá asegurar los procedimientos operativos realizando copias
de seguridad y monitoreo, documentando cada actividad, asegurando la integridad
se los sistemas, colocando normas internas y guías de implementación.

3
 CAPÍTULO I: ASPECTOS GENERALES

1.1. Descripción del Problema

En una Organización se debe asegurar que todos los procedimientos
operativos involucrados a las Tecnologías de Información, sean
implementados correctamente, así también documentados, registrados y
seguros, de no implementarse y tomar medidas de Seguridad en las
operaciones, se podrían perder datos, los sistemas de información podrían
verse afectados y aun el mismo software que se tenga en la organización,
perderse y desaprovecharse.
1.2. Objetivos
1.2.1. Objetivo General

Implementar controles de la cláusula N° 12 de la NTP ISO/IEC

27001:2014
1.2.2. Objetivos Específicos

 Realizar los diferentes diagramas de cada control desarrollado en

este proyecto.
 Realizar el documento auditable para cada uno de los controles.
 Hacer Investigación extra para cada uno de los temas, como
medida de opinión.
 Documentarse a medida el proyecto avance.

1.3. Metas
 Desarrollo del software.
1.4. Limitaciones
 Falta de documentación.
 Falta de presupuesto para el desarrollo.
 Falta de acceso a la norma.

1.5. Delimitaciones
Solo se implementará 5 controles de la cláusula A.12. Seguridad de las
operaciones.

4
 1.6. Metodología

PHVA PMI SCRUM

(Planear, Hacer, Verificar (Project Management
y Actuar) Institute)
 Se concentra el esfuerzo en  Aplica para cualquier  El cliente puede
ámbitos organizativos y de industria. decidir los nuevos
procedimientos puntuales.  Está orientada a objetivos a realizar.
 Consiguen mejoras en un procesos.  Se agiliza el proceso,
corto plazo y resultados  Indica el porque se divide el
visibles. conocimiento problema en pequeñas
V
 Reducción de los costos, necesario para tareas.
E
como resultado de un manejar el ciclo vital  Menos probabilidad
N consumo menor de materias de cualquier de que se den
T primas. proyecto, programa sorpresas o desarrollos
A  Incrementa la productividad y portafolio a través inesperados.
J y dirige a la organización de sus procesos.
A hacia la competitividad, lo  Define para cada
S cual es de vital importancia proceso sus
para las actuales insumos,
organizaciones herramientas,
 Contribuye a la adaptación técnicas y reportes
de los procesos a los avances necesarios
tecnológicos. (entregables).

 Requiere de un cambio en  Complejo para los  Alto nivel de stress de

toda la organización, ya que proyectos pequeños. los miembros del
para obtener el éxito es  Tiene que ser equipo, el desgaste
D necesaria la participación de adaptado a la puede ser excesivo y
todos los integrantes de industria del área de estresante lo que
E
la organización y a todo aplicación, el puede disminuir el
S
nivel. tamaño y el alcance rendimiento.
V  En vista de que los gerentes del proyecto, el  La necesidad de contar
E en la pequeña y mediana tiempo y el con equipos
N empresa son muy presupuesto y los multidisciplinarios
T conservadores, el apremios de la puede ser un
A mejoramiento continuo se calidad. problema, porque
J hace un proceso muy largo.  No incluye Plantillas cada integrante del
A equipo debe estar en
S capacidad de resolver
cualquier tarea.
Como se puede observar la metodología PHVA se ajusta más a
CONCLUSIÓN el tipo de proyecto que realizaremos, ya que nos proporciona
mayores ventajas con respecto a la metodología PMI y Scrum,
por lo tanto la metodología que se utilizo fue la metodología
PHVA.

5
 CAPÍTULO II: MARCO TEÓRICO
2.1. Base Teórica
2.1.1. ISO
2.1.1.1. Definición
Se denomina ISO a la Organización Internacional para la
Estandarización, la cual se trata de una federación cuyo
alcance es de carácter mundial, ya que está integrada por
cuerpos de estandarización de 162 países. Esta organización
se estableció en 1947, como un organismo no gubernamental,
cuya misión es promover a nivel mundial el desarrollo de las
actividades de estandarización.
De esta manera ISO fue creada con el objetivo de facilitar el
intercambio internacional de servicios y bienes, promoviendo
activamente la cooperación en aspectos intelectuales,
científicos, tecnológicos y económicos.
2.1.1.2. ISO/IEC 27001
Es un estándar para la seguridad de la información (Tecnología
de la información Técnicas de seguridad Sistemas de gestión
de seguridad de la información Requisitos) aprobado y
publicado como estándar internacional en octubre de 2005 por
International Organization for Standardization y por la comisión
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un sistema de gestión de la seguridad de la
información (SGSI) según el conocido como “Ciclo de Deming”:
PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar).

2.1.2. Evolución e historia ISO/IEC 27001

La mayoría ya sabemos que la ISO 27001 es la norma ISO que
establece los requisitos para proceder a la implantación,
mantenimiento y mejora de un Sistema de Gestión de Seguridad de la
Información.
La International Organization for Standardization y la Comisión
International Electrotechnical Commission la publico en octubre del
año 2005 y actualmente es la única norma aceptada a nivel
internacional para la gestión de la Seguridad de la Información.

6
La ISO 27001 tal y como se conoce en la actualidad, se debe a la
evolución de otras normas que tenían alguna relación con la seguridad
de la información.
A continuación, mencionamos las normas de las cuales ha
evolucionado a la ISO27001:
 1901 – Normas “BS”: La British Standards Institution publica normas
con el prefijo “BS” con carácter internacional.
 1995- BS 7799-1:1995: Mejores prácticas para ayudar a las
empresas británicas a administrar la Seguridad de la Información.
Se trataban de recomendaciones que no permitían la certificación.
 1998 – BS 7799-2:1999: Revisión de la anterior norma. En ella se
establecía los requisitos para implantar un Sistema de Gestión de
Seguridad de la Información certificable.
 1999 – BS 7799-1:1999: Se revisa.
 2000 – ISO/IEC 17799:2000: La ISO tomó la norma británica BS
7799-1 que originó la ISO 17799, sin experimentar grandes
cambios.
 2002 – BS 7799-2:2002: Se publicó una nueva versión que permitió
la acreditación de empresas por una entidad certificadora en Reino
Unido y en otros países.
 2005 – ISO/IEC 27001:2005 e ISO/IEC17799:2005: Surge el
estándar ISO 27001 como norma internacional certificable y se
revisa la ISO 17799 dando lugar a la ISO 27001:2005.
 2007 – ISO 17799: Se cambia el nombre y convierte en la ISO
27002:2005
 2007 – ISO/IEC 27001:2007: Se publica la nueva versión.
 2009 – Se publica un documento adicional de modificaciones
llamado ISO 27001:2007/1M:2009.
En el actual año 2013 se ha publicado la nueva versión de la ISO
27001, esta versión presenta cambios importantes en su estructura,
evaluación y tratamiento de los riesgos.
La Plataforma Tecnológica facilita la implementación, mantenimiento
y automatización de los Sistemas de Gestión de Seguridad en la
Información conforme a la norma ISO 27001 y da cumplimiento de
manera complementaria a las buenas prácticas o controles
establecidos en ISO 27002.

7
 2.1.3. Cláusula
Una Cláusula es un contrato, un documento por lo general escrito en
el que se establecen condiciones y posiciones acerca de un acuerdo
determinado. Concretamente, una cláusula es la determinación final,
se establece la relación de todos puntos que se tratan, se debe tener
en cuenta que una cláusula es un documento que se redacta bajo los
principios legales correspondientes. La definición de cláusula a pesar
de ser concreta y correspondiente a un basamento legal, puede ser
utilizada para denotar un acuerdo de cualquier índole, sin importar a
que margen de la ley establecida por el órgano correspondiente e
encuentre.

2.1.4. Control
Es el mecanismo para comprobar que las cosas se realicen como
fueron previstas, de acuerdo con las políticas, objetivos y metas fijadas
previamente para garantizar el cumplimiento de la misión institucional.
2.2. Antecedentes

Tesis N° 1
Título: Análisis y diseño de un sistema de gestión de seguridad de
información basado en la norma ISO/IEC 27001:2005 para una empresa de
producción y comercialización de productos de consumo masivo
Autor: Hans Ryan Espinoza Aguinaga
Enlace:
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/123456789/4957/ESPI
NOZA_HANS_ANALISIS_SISTEMA_GESTION_SEGURIDAD_INFORMACI
ON_ISO_IEC%2027001_2005_COMERCIALIZACION_PRODUCTOS_CON
SUMO_MASIVO.pdf?sequence=1
Conclusiones
Tal como se describió y presento a lo largo de este proyecto de fin de carrera,
la ade cuada gestión de la seguridad de información es algo que debe estar
ya incluido en la cultura organizacional de las empresas; y en todas ellas esta
adecuada gestión no se lograría sin el apoyo de la alta gerencia como
promotor activo de la seguridad en la empresa.
Debe tenerse en cuenta que el diseño de SGSI presentado se adapta a los
objetivos actuales del proceso de producción, en el cual se ha basado el

8
proyecto, y que este diseño podría variar ya que los objetivos estratégicos y
de gobierno de le empresa pueden cambiar y por ello algunos sub procesos
que forman parte del alcance del proyecto, también lo harán.

Tesis N° 2
Título: Guía de implementación de la seguridad basado en la Norma ISO/IEC
27001, para apoyar la seguridad en los Sistemas informáticos de la comisaria
del PNP En la ciudad de Chiclayo
Autor: Julio Cesar Alcántara Flores
Enlace:
http://tesis.usat.edu.pe/jspui/bitstream/123456789/491/1/TL_Alcantara_Flor
es_JulioCesar.pdf
Conclusiones:
1. Con la Guía de Implementación, se logró incrementar el nivel de la
seguridad en las aplicaciones informáticas de la institución policial, y esto se
vio reflejado en el incremento de políticas de seguridad que fueron puestas
en marcha que beneficiaron a la institución y ayudaron a incrementar el nivel
de seguridad en la misma.
2. El uso de la Guía de Implementación, se logró mejorar el proceso para
detectar las anomalías en la seguridad de la información, reflejado en
distintos mecanismos de seguridad para salvaguardarla y prevenir su mal uso
y divulgación no adecuada que perjudiquen a la institución.
3. Con el Plan de tratamiento de Riesgos, se permitió la disminución de los
niveles de riesgos con respecto a los activos de información, considerados
amenazas y vulnerabilidades en la institución, esto manifestado en un plan
adecuado para abordar estos riesgos, con mecanismos preventivos y
correctivos, tomando las precauciones necesarias que minimicen los
impactos respectivamente.

Tesis N° 3
Título: "Implementación de un sistema de gestión de Seguridad de la
información para una
Empresa de consultoría y auditoría, Aplicando la norma ISO/IEC 27001”
Autor: Diana Elizabeth Tola Franco
Enlace: https://www.dspace.espol.edu.ec/retrieve/89073/D-84631.pdf

9
Conclusiones:
1. Debido a que en las organizaciones es primordial la optimización de
recursos, el establecimiento del alcance del sistema de gestión de seguridad
de la información se convierte en una actividad muy importante ya que
delimita el campo de acción y el uso de recursos.
2. Es importante establecer los objetivos y políticas del sistema de gestión de
seguridad de la información, ya que estos van delineando el camino hacia
donde la organización desea dirigirse para preservar la confidencialidad,
integridad y disponibilidad de la información y por lo tanto es relevante la
participación de la alta gerencia.
3. La adopción de la metodología MAGERIT para el análisis de riesgos,
permitirá identificar de manera oportuna la probabilidad y el impacto de que
se materialicen los riesgos y de esta manera poder establecer controles que
nos ayuden a prevenirlos.
4. Los sistemas de Gestión de Seguridad de Información bajo la norma ISO
27001, se basan en la prevención, por lo tanto, es muy importante identificar
los riesgos a los que están expuestos los activos para así evitar pérdidas
económicas u operacionales.
5. Una vez identificados los riesgos a los que están expuestos los activos de
información, es necesario implementar controles o salvaguardas, con la
finalidad de proteger estos activos y lograr minimizar la probabilidad de que
se materialicen los riesgos o el impacto que pueden tener sobre la
organización. Es importante considerar que al momento de seleccionar los
controles se debe realizar un análisis de costo beneficio ya que el costo de la
implementación de un control no debe exceder la posible pérdida económica
de no tener implementado el control.

10
 CAPÍTULO III: DESARROLLO DEL PROYECTO

A.12. Seguridad de operaciones

A.12.1. Procedimientos y responsabilidades operativas
Objetivo: Asegurar que las operaciones de instalaciones de procesamiento
de la información sean correctas y seguras.

A.12.1.2. Gestión de Cambio.

Los cambios en la organización, procesos de negocio, instalaciones de
procesamiento de la información y sistemas que afecten la seguridad de la
información deben ser controlados.
DIAGRAMA DE ACTIVIDADES
a) El jefe de informática deberá verificar que los cambios sean propuestos
por usuarios autorizados y se encuentren alineados a la licencia de uso
y necesidades de la entidad y ordenará al responsable de seguridad de
la información a realizar los cambios.
b) El responsable de seguridad de la información revisará las solicitudes
de cambio y realizará un análisis de impacto, para garantizar que no se
violen los requerimientos de seguridad, al mismo tiempo velará por la
implementación de mecanismos de control adecuados para el
aseguramiento de la información y la continuidad de las operaciones, si
el análisis no garantiza seguridad, se le comunica al jefe de informática
para que reformule los cambios , caso contrario enviara informe donde
se especificara el inicio de los cambios al jefe de informática.
c) El Jefe de Informática deberá mantener un control de versiones para
todas las actualizaciones de software y los cambios realizados, en caso
que sea necesario, y ordena que el responsable de los cambios informe
al resto de los usuarios sobre el cambio.
d) El responsable de los cambios, deberá Informar antes de la
implementación de un cambio a las áreas o usuarios que puedan verse
afectados, con el fin de evitar indisposición y falta de operatividad.
e) Una vez realizado un cambio, el responsable de los cambios deberá
documentar las actividades realizadas, la información relevante y los
resultados obtenidos después de realizado el cambio

11
DIAGRAMA BPMN

12
 DOCUMENTO AUDITABLE

Control 12.1.2. Gestión de Cambio.

Descripción: Los cambios en la organización, procesos de negocio,

instalaciones de procesamiento de la información y
sistemas que afecten la seguridad de la información deben
ser controlados.
Responsable:
Supervisor:
Nro. Documento:
Fecha:
Responsable
Nombre y Apellidos Foto Nº Cargo Firma
Documento

upervisor
Nombre y Apellidos Foto N° Cargo Firma
Documento

Descripción de Cambios
Área Procesos Responsable Fecha Entregables
Descripción
Control
Área 1 Proceso 1
Proceso 2
Proceso 3
…

Área 2

Área 3

13
A.12.1.3. Gestión de la Capacidad.
El uso de recursos debe ser monitoreado afinado y se debe hacer
proyecciones de los futuros requisitos de capacidad para asegurar el
desempeño requerido del sistema.

DIAGRAMA DE ACTIVIDADES
a) El jefe de informática inicia y pone en conocimiento el monitoreo de los
sistemas y la gestión de capacidad y exige al administrador de los equipos
realizar un informe.

b) El administrador de los equipos informáticos monitorea y realiza

proyecciones e implementa controles detectivos que garanticen la
continuidad de los servicios de tecnologías de la información de la entidad.

c) El administrador de los equipos informáticos evaluar cada equipo en

función a su antigüedad forma de uso y particularidades tecnológicas, para
realizar una planificación adecuada de la capacidad requerida para dichos
equipos.

d) El administrador de los equipos informáticos revisa los indicadores de

capacidad de transmisión, procesamiento y almacenamiento de los
equipos, y registra el monitoreo de los mismos.

e) El administrador de los equipos informáticos entrega informe de la gestión

de capacidad al jefe de informática.

f) El jefe de informática evalúa la factibilidad de realizar una inversión

económica en este proyecto y propone al comité de elaboración del
proyecto, y desarrollar dicho proyecto de manera monitoreada, para un
mejor desempeño en el futuro.

g) El Comité de elaboración desarrolla el proyecto.

14
DIAGRAMA BPMN

15
 DOCUMENTO AUDITABLE

Control: 12.1.3 Gestión de Capacidad

Descripción: El uso de recursos debe ser monitoreado afinado y se debe

hacer proyecciones de los futuros requisitos de capacidad
para asegurar el desempeño requerido del sistema.
Supervisor:
Descripción:
Nro. Documento:
Fecha
Responsable
Nombre y Apellidos Foto Nº Cargo Firma
Documento

Supervisor
Nombre y Apellidos Foto N° Cargo Firma
Documento

Descripción de implementación

Área Condiciones Modificaciones Monto Detalle Documento

Actuales a Realizar Asignado

16
A.12.2. Protección contra códigos malicioso

Objetivo: Asegurar que la información y las instalaciones de

procesamiento de la información estén protegidas contra códigos
maliciosos

A.12.2.1 Controles contra código malicioso.

Se deberían implantar controles para detectar el código malicioso y
prevenirse contra él, junto a procedimientos adecuados para concientizar a
los usuarios.
DIAGRAMA DE ACTIVIDADES
a) El jefe de informática evalúa y selecciona sistemas de información para la
implementación de controles de detección y prevención de código
malicioso, así como la elaboración de procedimientos para dar a conocer
y concientizar a los usuarios finales sobre los riesgos del software no
autorizado.

b) El comité de elaboración del proyecto recibe el documento y desarrolla

propuesta de controles de detección y prevención de código malicioso
para cada uno de los sistemas de información seleccionados, así como la
propuesta de requerimientos de concientización para los usuarios de
estos sistemas. Concluida la propuesta se devuelve al jefe de informática
para su revisión y validación.

c) El jefe de informática evalúa la propuesta de la comisión y si cumple con

los requerimientos de control emite informe para la elaboración de
resolución directoral, y solicita al comité de elaboración del proyecto
capacitar sobre el control de detección y prevención del código no
autorizado a los usuarios finales, caso contrario devuelve a la comisión
para corrección de observaciones.

d) El Comité de elaboración del proyecto recibe el visto bueno, y procede a

desarrollar la capacitación y entrega de los procedimientos de dar a
conocer y concientizar sobre los riesgos del código malicioso o no
autorizado, previa acta a los usuarios finales.

17
DIAGRAMA BPMN

¿Aceptada
?

18
DOCUMENTO AUDITABLE

Control 12.2.1 Controles contra código malicioso

Descripción: Se deberían implantar controles para detectar el código
malicioso y prevenirse contra él, junto a procedimientos
adecuados para concientizar a los usuarios.
Nº Documento
Fecha
Área:
Responsable
Nombre y Apellidos Nº Documento Cargo Firma

ACTA DE VERIFICACION
Procedimiento Descripción del Observaciones
procedimiento

Prueba Resultado Observaciones Conclusiones

19
A.12.5. Control del software operacional.

Objetivo: Asegurar la integridad de los sistemas operacionales.

A.12.5.1. Instalación de software en sistemas operacionales.

Procedimientos deben ser implementados para controlar la instalación de
software en sistemas operacionales.
DIAGRAMA DE ACTIVIDADES

a) El jefe de informática deberá establecer responsabilidades y

procedimientos para controlar la instalación del software operativo.

b) La comité de elaboración del proyecto responsable desarrolla una

propuesta de proyecto para conceder accesos temporales y controlados
a los proveedores, monitorear las actualizaciones, asegurar el correcto
funcionamiento de sistemas de información y herramientas de software,
establecer las restricciones y limitaciones para la instalación de software
operativo. Luego entregara el documento para su difusión al jefe de
informática.

c) El jefe de informática verifica y valida la propuesta en concordancia con

las normas internas si no cumple con esta condición se devuelve el
documento para la reelaboración caso contrario se envía documento a la
dirección general.

d) El gerente general, previa revisión emite resolución de aprobación del

proyecto y devuelve el documento para su difusión al jefe de informática.

e) El jefe de informática recibe documento y alcanza a la comisión para su

difusión según cronograma de ejecución.

f) El comité de elaboración del proyecto capacita y firma acta de

capacitación.

20
DIAGRAMA BPMN

¿Aceptada
?

21
DOCUMENTO AUDITABLE

Control A.12.5.1. Instalación de software en sistemas

operacionales.

Descripción: Procedimientos deben ser implementados para

controlar la instalación de software en sistemas
operacionales.

Procedimiento:

Área:
Fecha:

Responsable
Apellidos y nombres: N° Documento Cargo Firma

ACTA DE VERIFICACION
Pasos Responsable Actividad Documento de trabajo

22
A.12.6. Gestión de vulnerabilidad técnica.

Objetivo: Prevenir la explotación de vulnerabilidades técnicas.

A.12.6.1. Gestión de vulnerabilidades técnicas.

Información sobre vulnerabilidades técnicas de los sistemas de información
utilizados debe ser obtenida de manera oportuna, la exposición de la
organización a dichas vulnerabilidades debe ser evaluada y las medidas
apropiadas deben ser tomadas para resolver el riesgo asociado.

DIAGRAMA DE ACTIVIDADES

a) El jefe de informática realizara pruebas de vulnerabilidades y hacking

ético.

b) El comité de elaboración del proyecto correspondiente generara los

lineamientos y recomendaciones para la mitigación de vulnerabilidades, y
hacking ético.

c) El jefe de informática evaluara y validara la propuesta de los lineamientos

y enviara el documento a la dirección general.

d) El gerente general emitirá resolución de aprobación del proyecto y

devuelve el documento para su difusión al jefe de informática.

e) El jefe de informática deberá revisar periódicamente la aparición de

nuevas vulnerabilidades técnicas y reportarlas a los administradores de la
plataforma tecnológica y los desarrolladores de los sistemas de
información, con el fin de prevenir la exposición al riesgo de estos.

f) El jefe de informática recibe el documento para su difusión.

g) El comité de elaboración del proyecto capacita y firma el acta de

capacitación.

23
DIAGRAMA BPMN

¿Aceptada
?

24
 DOCUMENTO AUDITABLE
Control A.12.6.1. Gestión de vulnerabilidades técnicas.

Descripción: Información sobre vulnerabilidades técnicas de los

sistemas de información utilizados debe ser
obtenida de manera oportuna, la exposición de la
organización a dichas vulnerabilidades debe ser
evaluada y las medidas apropiadas deben ser
tomadas para resolver el riesgo asociado.

Prueba:

Área e:
Fecha:

Responsable
Apellidos y nombres: N° Documento Cargo Firma

ACTA DE VERIFICACION
Prueba Resultado Observaciones Conclusión

25
 CONCLUSIONES

 El concepto de "Control”, se debe considerar como un conjunto de medidas,

acciones y/o documentos que permiten cubrir y auditar cierto riesgo
 La implantación de la norma ISO27001;2014 permite definir y mantener un
Sistema de Gestión de la Seguridad de la Información (ISMS) documentado,
que orienta los esfuerzos de protección de los activos de información, facilita
la administración de los riesgos priorizando los controles necesarios de
aplicar y mantiene un nivel de seguridad adecuado para la continuidad de la
organización
 La implantación de la norma ISO 27001:2014 proporciona los requisitos para
establecer, implementar, mantener y mejorar continuamente un sistema de
gestión de seguridad de la información.

26
 RECOMENDACIONES

 En primera instancia se recomienda a la empresa que, en base a la

implementación de los controles presentado en este proyecto, se dedique en
concientizar a todos los empleados que forman parte de dicha empresa,
sobre la seguridad de operaciones, de la información y su importancia, y
realizar evaluaciones periódicas a los indicadores de seguridad de la
empresa y de los riesgos encontrados.
 Luego, se recomienda aplicar esfuerzos para poder realizar la
implementación de este diseño para que permita que en el futuro se pueda
gestionar la seguridad de información de tal manera que se pueda aspirar a
una certificación, ya que el diseño ha sido realizado con la norma ISO/IEC
27001, la cual es certificable.
 Diseñar un plan de auditoría que se realice periódicamente para analizar
cómo va variando el nivel de seguridad de la empresa tal como avanza el
tiempo.

27
 REFERENCIAS

http://www.pecert.gob.pe/_publicaciones/2014/ISO-IEC-27001-2014.pdf
http://www.ongei.gob.pe/docs/Tallerv01%206.pdf
http://www.iso27000.es/iso27000.html

28
 ANEXOS

Resolución Ministerial N° 004-2016-PCM

29