Documente Academic
Documente Profesional
Documente Cultură
DOCENTE:
Alumnos:
CUSCO-PERÚ
2018
ÍNDICE
INTRODUCCIÓN .................................................................................................................. 2
CAPÍTULO I. Aspectos Generales ........................................................................................ 5
1.1. Descripción del problema ........................................................................................ 5
1.2. Objetivos ..................................................................................................................... 6
1.2.1. Objetivo General .................................................................................................. 6
1.2.2. Objetivos Específicos ........................................................................................... 6
1.3. Justificación ................................................................................................................ 6
1.4. Antecedentes .............................................................................................................. 6
1.5. Alcances ..................................................................................................................... 6
1.6 Limitaciones ................................................................................................................. 6
1.7. Metodología ................................................................................................................ 7
CAPÍTULO II. Marco Teórico ................................................................................................. 8
2.1. Norma Técnica Peruana NTP-ISO/IEC 27001 2014. TECNOLOGÍA DE LA
INFORMACIÓN. Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos. ..................................................................................................... 8
2.1.1. Norma ISO/IEC 27001 - Gestión de la Seguridad de la Información ..................... 8
2.1.2. Estructura de la norma ISO 27001 ....................................................................... 9
2.1.3. Anexo A: Objetivos de control y control de referencia ..........................................10
2.1.4. Categoría ............................................................................................................12
2.1.5. Control.................................................................................................................12
2.2. Cláusula N°9: Control de acceso ...............................................................................12
1
INTRODUCCIÓN
debido a esto se tomaran las medidas necesarias en cuanto a seguridad de la información preserva la
riesgos y proporcionar confianza a las partes interesadas en el sentido en que los riesgos se manejan
RESEÑA HISTÓRICA
La Norma Técnica Peruana 27001:2014 fue preparada por el Comité Técnico conjunto ISO/IEC JTC
de datos, durante los meses de abril a junio del 2014, utilizando como antecedente la norma ISO/IEC
27001:2013. La nueva norma NTP ISO/IEC 27001:2014 cancela y reemplaza la primera edición (NTP-
ISO/IEC 27001:2008), la cual se ha revisado técnicamente. Desde el año 2016, en el Perú se tiene a la
NTP-ISO/IEC 27001 2014, que es la Norma Técnica Peruana que regula las Tecnologías de la
del riesgo. Cada categoría principal contiene un objetivo de control declarando lo que debe alcanzar y
uno o más controles que pueden ser aplicados para alcanzar el objetivo de control.
2
Problemática
La NTP-ISO/IEC 27001 2014 es de obligación implementarlas para las entidades integrantes del
Sistema Nacional de Informática, tendrán un plazo máximo de dos (2) años para la implementación
y/o adecuación de la NTP-ISO/IEC 27001 2014.Dicha entidad tendrá un plazo de 60 días a partir de la
publicación, para presentar cronograma de implementación y/o adecuación del sistema de gestión de
• Cualquier persona puede ingresar a los espacios físicos, sistemas (red), sin ninguna restricción.
• Accesos vulnerables.
institución.
• Sin una actualización a los derechos de acceso de usuarios, los empleados promovidos no
podrán tener los privilegios que competen a su cargo, así como los empleados que bajen de
• El ingreso de cualquier persona al código fuente del sistema, podría causar modificaciones
3
Solución
proporciona medidas importantes, así mismo, en la cláusula 9 se dan las medidas para controlar los
• Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido
• Se conoce con exactitud a los usuarios registrados, lo cual permite un mejor control sobre el
• Los usuarios tienen acceso solo a los módulos que se les asigne sin provocar daño alguno a la
• Los usuarios son responsables del correcto uso de la autentificación secreta y de ser usada con
los diferentes programas de la entidad, de tal manera que se sabe con exactitud quién y/o
• Los usuarios deben ser exigidos a que sigan las prácticas de la organización en el uso de
4
CAPÍTULO I. Aspectos Generales
Un problema que se presenta en el mundo actual para todo tipo de instituciones, tiene que ver con
la seguridad y es que en las organizaciones, los propietarios de activos de información, quienes son
responsables ante la dirección de la protección sus activos, deberían tener la capacidad de definir y/o
aprobar las reglas de control de acceso y otros controles de seguridad pues ante incumplimientos, no
Dentro del control de acceso se desea evitar la intromisión de algún usuario a los espacios físicos,
fortalecerla porque puede ser víctima de ataques delictivos. Otro parámetro importante de una
organización a tomar en cuenta son los usuarios, empleados y exempleados que son los que
interactúan con él y tienen acceso a la información de manera que puede ser dañada o divulgada
información sobre el autor del acto delictivo. Sin un proceso de gestión y regulación adecuado los
El sistema de Control proporciona una seguridad razonable. Ya que reconoce que este tiene
limitaciones inherentes; esto puede traducirse en que jamás el directivo y sus trabajadores deben
pensar que, una vez implementado los controles, han erradicado las probabilidades de errores y
fraudes en la organización y que todos sus objetivos serán alcanzados, ya que estarían obviando la
posibilidad de que, así estén establecidos los procedimientos más eficientes, se puedan cometer
5
sencillamente que algunas personas decidan cometer un hecho delictivo. Por tanto, el diseño de estos
debe ir enfocado a los recursos humanos, las vías y métodos para su mejoramiento continuo.
1.2. Objetivos
ISO/IEC 27001:2014.
● Elaborar una propuesta de documentación para realizar el proceso de auditoría para cada uno
de los 10 controles.
● Desarrollar Diagramas que describan los procesos de negocio que sean abarcados por los
controles seleccionados.
1.3. Justificación
NTP-ISO/IEC 27001:2014 en todas las entidades integrantes del Sistema Nacional de Informática, por
cláusula N°9 Control de Acceso con el propósito de ser una guía de implementación para la norma y
1.4. Antecedentes
1.5. Alcances
1.6 Limitaciones
6
• No se cuenta con suficiente documentación y trabajos previos a este.
1.7. Metodología
(Planificar, Hacer, Verificar y Actuar), conocida también como ciclo PHVA, el cual es un ciclo dinámico
que puede ser empleado dentro de los procesos de la Organización. Es una herramienta de simple
actividades de una manera más organizada y eficaz. Por tanto, adoptar la filosofía del ciclo PHVA
proporciona una guía básica para la gestión de las actividades y los procesos, la estructura básica de
1. Planificar: Establecer los objetivos y procesos necesarios para obtener los resultados, de
3. Verificar: Realizar seguimiento y medir los procesos y los productos en relación con las
4. Actuar: Realizar acciones para promover la mejora del desempeño del (los) proceso(s).
Ilustración 1 Gráfico del Ciclo Deming según la norma ISO 27001: Planificar-Hacer-Verificar-Actuar. Fuente:
(ISO/IEC, 2014)
7
CAPÍTULO II. Marco Teórico
información. Requisitos.
Esta Norma Técnica Peruana ha sido preparada para proporcionar los requisitos para establecer,
información.
La Norma Técnica Peruana 27001 2014 se divide en 14 cláusulas de control de seguridad que
más controles.
Es la única norma internacional auditable que define los requisitos para un sistema de gestión de la
8
Esto ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes
interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer,
La norma ISO/IEC 27001 se ha convertido en la principal norma a nivel mundial para la seguridad
ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y
no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que
implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la
norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la
Declaración de aplicabilidad.
normas de gestión.
• Sección 1 – Alcance – Explica que esta norma es aplicable a cualquier tipo de organización.
• Sección 2 – Referencias normativas – Hace referencia a la norma ISO/IEC 27000 como estándar
ciclo PDCA (Planificar, Hacer, Verificar y Actuar) y define los requerimientos para comprender
cuestiones externas e internas, también define las partes interesadas, sus requisitos y el
• Sección 5 – Liderazgo – Esta sección es parte de la fase de Planificación del ciclo PDCA y define
9
• Sección 6 – Planificación – Esta sección es parte de la fase de Planificación del ciclo PDCA y
• Sección 7 – Apoyo – Esta sección es parte de la fase de Planificación del ciclo PDCA y define los
• Sección 8 – Funcionamiento – Esta sección es parte de la fase de Planificación del ciclo PDCA y
información.
• Sección 9 – Evaluación del desempeño – Esta sección forma parte de la fase de Revisión del
ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación,
• Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y define
El Anexo A de la Norma ISO 27001 es probablemente el anexo más famoso de todas las normas
ISO, ello porque provee una herramienta esencial para la gestión de la seguridad: contiene 14
Clausulas, 35 objetivos de control y 114 controles (antes 133), cada cláusula contiene un número de
10
• 5 Políticas de seguridad de la Información – Controles acerca de cómo deben ser escritas y
responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo.
almacenamiento.
• 9 Control de Acceso – Controles para las políticas de control de acceso, gestión de acceso de los
usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.
• 11 Seguridad física y ambiental – Controles que definen áreas seguras, controles de entrada,
en TI: gestión de cambios, gestión de capacidad, malware, respaldo, bitácoras, espejos, instalación,
vulnerabilidades, etc.
• 15 Relaciones con los proveedores – Controles acerca de qué incluir en los contratos, y cómo hacer
11
• 17 Aspectos de Seguridad de la Información de la gestión de la continuidad del negocio – Controles
seguridad de la información.
2.1.4. Categoría
Dentro del anexo A Objetivos de control y control de referencia se hallan los objetivos de control,
que declaran los que se debe alcanzar y controles que pueden ser aplicados para alcanzar el objetivo
del control.
2.1.5. Control
En cada Categoría existe un control que define el título del control y declara el control para
información.
Se debería controlar el acceso a la información y los procesos del negocio sobre la base de los
requisitos de seguridad y negocio. Se deberían tener en cuenta para ello las políticas de distribución
12
9.2 Gestión de acceso de usuario
sistemas y servicios.
Estos procedimientos deberían cubrir todas las etapas del ciclo de vida del acceso de los usuarios,
desde el registro inicial de los nuevos usuarios hasta la baja del registro de los mismos. Se debe
prestar especial atención al control de la asignación de derechos de acceso privilegiados que permitan
a ciertos usuarios evitar los controles del sistema. Se implementaron los controles:
autentificación.
de las medidas de control de acceso, en particular respecto al uso de contraseñas y a la seguridad del
Un escritorio limpio, así como una política de pantalla clara debe ser implementado con el fin de
reducir el riesgo de acceso no autorizado o de daño a los papeles, medios e instalaciones del
13
Se debe usar las facilidades de seguridad lógica dentro de los sistemas de aplicación para restringir
el acceso, también se debe restringir el acceso lógico a los sistemas sólo a los usuarios autorizados. Las
aplicaciones deberían:
Controlar el acceso de los usuarios a la información y las funciones del sistema de aplicación, de
que sean capaces de eludir los controles del sistema o de las aplicaciones.
A continuación se describe los objetivos de cada categoría y se muestran los controles que se
9 Control de acceso
9.1 Requisitos de la empresa para el control de acceso
Objetivos: Limitar el acceso a la información y a las instalaciones de procesamiento de la información.
9.1.1 Política de control de acceso Control
Una política de control de acceso debe ser establecida,
documentada y revisada basa en requisitos del negocio de
seguridad de la información.
9.1.2 Acceso a redes y servicios de Control
red Los usuarios deben tener acceso solamente a la red y a
servicios de red que hayan sido específicamente
autorizados a usar.
14
9.2 Gestión de acceso de usuario
Objetivos: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas
y servicios
9.2.1 Registro y baja de usuarios Control
Un proceso formal de registro y baja de usuarios debe ser
implementado para permitir la asignación de derechos de
acceso.
9.2.2 Aprovisionamiento de acceso Control
a usuario Un proceso formal de aprovisionamiento de acceso a
usuarios debe ser implementado para asignar o revocar los
derechos de acceso para todos los tipos de usuarios a todos
los sistemas y servicios.
9.2.3 Gestión de derechos de Control
acceso privilegiados La asignación y uso de derechos de acceso privilegiado
debe ser restringida y controlada.
9.2.4 Gestión de información de Control
autentificación secreta de La asignación de información de autentificación secreta
usuarios. debe ser controlada a través de un proceso de gestión
formal.
9.2.5 Revisión de derechos de Control
acceso de usuarios Los propietarios de los activos deben revisar los derechos
de acceso de usuario a intervalos regulares.
9.2.6 Remoción o ajuste de Control
derechos de acceso Los derechos de acceso a información e instalaciones de
procesamiento de información de todos los empleados y de
los usuarios de partes externas deben removerse al término
de su empleo, contrato o acuerdo, o ajustarse según el
cambio.
9.3 Responsabilidades de los usuarios
Objetivo: Hacer que los usuarios respondan por la salvaguarda de su información de autentificación
9.3.1 Uso de información de Control
autentificación secreta Los usuarios deben ser exigidos a que sigan las prácticas de
la organización en el uso de información de autentificación
secreta.
15
9.4 Control de acceso a sistema y aplicación
Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones
9.4.1 Restricción de acceso a la Control
información El acceso a la información y a las funciones del sistema de
aplicación debe ser restringido en concordancia con la
política de control de acceso.
9.4.2 Procedimientos de ingreso Control
seguro Donde la política de control de acceso lo requiera, el acceso
a los sistemas y a las aplicaciones debe ser controlado por
un procedimiento de ingreso seguro.
16