UNVERSIDAD NACIONAL DEL CALLAO

FACULTAD DE INGENIERA INDUSTRIAL Y SISTEMAS

ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

ISO/IEC 27002:2013
-POLTICAS DE SEGURIDAD DE LA INFORMACIN
-ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

SISTEMA DE INFORMACIN GERENCIAL

Autor: LEON MATIAS R.

2017
 I. POLTICAS DE SEGURIDAD DE LA INFORMACIN
Dentro de este captulo encontramos Las Directrices de gestin de la seguridad de la informacin,
las cuales se dividen en dos partes;
Polticas para la Seguridad de la informacin
Revisin de las polticas de la seguridad de la informacin

La estrategia de negocio.
Requisitos La normativa, legislacin y contratos
creados por:
El entorno actual y las amenazas que existan para la
seguridad de la informacin

Polticas para La definicin, objetivos y principios de la seguridad de

la Seguridad de Declaraciones la informacin.

la informacin relativas a: La asignacin de responsabilidades generales y

especificas
Los procesos para el tratamiento de desviaciones y
excepciones
Algunos Control de acceso
ejemplos de
estas polticas: Clasificacin de Informacin y su manejo
Gestin de vulnerabilidades
I. POLTICAS DE SEGURIDAD DE LA INFORMACIN

Revisin de las polticas de la seguridad

de la informacin
Cada poltica
Las polticas de debe tener un
seguridad de la propietario
informacin encargado de su Se debe tener en
deben ser desarrollo, cuenta las
revisadas cada revisin y revisiones de la
cierto tiempo evaluacin, Direccin.
planificado. asignado por la
Direccin.
I. POLTICAS DE SEGURIDAD DE LA INFORMACIN
CASO PRCTICO

DISEO DE UNA RED DE DATOS PARA EL OBJETIVO Interconectar los distintos consultorios que
POLICLNICO SEOR DE LOS MILAGROS, cuenta el laboratorio y adems llevar una
USANDO METODOLOGA TOP DOWN
mejor administracin de la Informacin.
NETWORK DESIGN Y APLICANDO
ESTNDARES ISO/IEC 27002

ESTABLECIENDO POLTICAS DE
SEGURIDAD APLICANDO NORMA
ISO 27002
Los controles que se consideran
esenciales para esta empresa
desde un punto de vista legislativo
comprenden:
1.La proteccin de los datos de
carcter personal y la intimidad
de las personas.
2.La salvaguarda de los registros
de la organizacin
3.Los derechos de la propiedad
intelectual.
RESPONSABILIDAD SOBRE LOS
ACTIVOS Y CLASIFICACIN DE
INFORMACIN
Todos los activos de informacin
del policlnico tienen un
propietario (mdico).
El propietario es responsable por
la proteccin de esta informacin.
La seguridad de los mismos tiene
que estar de acuerdo al nivel de
sensibilidad.
POLTICA DE CONTROL DE
ACCESO
Todos los trabajadores deben ser
autenticados.
Se permite el acceso al sistema
como administrador.
Slo el administrador debe tener
la capacidad de conectarse a los
recursos del sistema en modo
privilegiado para realizar tareas
administrativas.
I. POLTICAS DE SEGURIDAD DE LA INFORMACIN
CASO PRCTICO
Resultados:
 II. ORGANIZACIN DE LA SEGURIDAD DE LA
INFORMACIN
En este apartado se buscar establecer un marco de gestin para el inicio y control de la
implementacin y operabilidad de la seguridad de la informacin dentro de la organizacin.
Roles y responsabilidades en seguridad de la informacin
Segregacin de tareas
Contacto con las autoridades

ROLES Y RESPONSABILIDADES EN SEGURIDAD DE LA

INFORMACIN
Relacin de aspectos para
Para la proteccin de activos individuales. las reas asignadas:
Las Deberan identificarse y
responsabilidades definirse los activos y los
deben ser definidas Para poder llevar a cabo los procesos de seguridad
procesos de seguridad de
para las siguientes especficos. la informacin.
actividades Para las actividades de gestin de riesgos de Debera asignarse una
entidad responsable para
seguridad de la informacin. cada activo.
.Para la aceptacin de riesgos residuales. Deberan definirse y
documentarse los niveles
de autorizacin.
 II. ORGANIZACIN DE LA SEGURIDAD DE LA
INFORMACIN
- Las funciones y reas de responsabilidad
deberan dividirse.

Segregacin de -Se debera cuidar que una persona por s

tareas sola no pueda modificar o utilizar los
activos sin autorizacin o sin que se
ORGANIZACIN detecte.
INTERNA
Se deben mantener contactos adecuados
con las autoridades pertinentes, de esta
Contacto con las forma, las organizaciones deberan tener
autoridades implantados procedimientos que
especifiquen cundo y con qu
autoridades se debera contactar.
 Contacto con grupos de inters
especial
Debe ser considerado como medio para:
Conocer mejores prcticas y mantenerse
actualizado sobre seguridad de la informacin.
Conocer el entorno actual y completo de
seguridad de la informacin.
Recibir avisos tempranos de alertas y parches
correspondientes a los ataques y las
vulnerabilidades.
Obtener acceso a asesoramiento especializado
en seguridad de la informacin.
Seguridad de la informacin en la
gestin de proyectos
Los mtodos de gestin de proyectos en uso
deberan exigir que:
Los objetivos de seguridad de la informacin
estn incluidos en los objetivos del proyecto.
Se realice una evaluacin de riesgos de
seguridad de la informacin en una fase
temprana del proyecto para identificar los
controles necesarios.
La seguridad de la informacin es parte de todas
las fases de la metodologa aplicada en el
proyecto.
 Poltica de dispositivos mviles
La poltica de dispositivos mviles debera
considerar:
Acceso no autorizado.
Revelacin de informacin de la empresa.
Robo o prdida de dispositivos.
Uso de los dispositivos con fines privados
respecto a los del negocio.
Proporcionar acceso a la informacin de la
organizacin slo despus de que los usuarios
han firmado un acuerdo de usuario final
Las copias de respaldo.
Las conexiones de dispositivos mviles a redes
inalmbricas deben ser cuidadosas.
Teletrabajo
Las directrices y disposiciones por considerar
deberan incluir:
La provisin del equipo adecuado donde no se
permita el uso de equipos privados que no estn
bajo el control de la organizacin.
Definir el trabajo permitido, las horas de trabajo,
la clasificacin de la informacin que puede
manejarse y los sistemas internos autorizados.
Las reglas para el acceso de terceras personas al
equipo y a la informacin.
La provisin de soporte y mantenimiento de
hardware y software.
Auditora y monitorizacin de la seguridad.
Problema 1: La empresa no cuenta con un comit informtico que se preocupe por el desarrollo
informtico en la empresa. Slo cuenta con un personal encargado del centro de cmputo que a
su vez es el que ejecuta funciones de soporte y mantenimiento de los equipos.
Recomendacin: Se debe establecer un comit informtico para velar por el desarrollo
informtico de la empresa; que se encargue del manejo de datos, organizacin,
planificacin de polticas de seguridad, respaldo de datos, recuperacin de datos a la hora
de desastres, etc.
Problema 2: No existe un Plan Operativo Informtico sobre las actividades que se van a
desarrollar.
Recomendacin: Se deber asignar a una persona que conforme el comit
informtico para que se encargue de la administracin de seguridad de la
informacin, y ponga de conocimiento de ello a todo el personal de la empresa.
 CASO PRCTICO

Comit de Seguridad de Se propone la creacin de este comit integrado por representantes de reas
sustantivas de la empresa, el cual estar conformado por las siguientes personas:
la Informacin Gerente, Representante de rea informtica y Representante de rea usuaria.

Asignacin de La empresa deber contar con un "Responsable de Seguridad Informtica", quien

tendr a cargo la supervisin de todos los aspectos inherentes a seguridad
responsabilidades informtica.

Asesoramiento El responsable de seguridad informtica ser el encargado de coordinar los

conocimientos disponibles en el tema de seguridad informtica, para ayudar en
Especializado la toma de decisiones.

Seguridad Frente al Cuando exista la necesidad de otorgar informacin de la empresa a terceras partes, el
responsable de seguridad informtica y el propietario de la informacin, llevarn a
Acceso por Parte de cabo y documentarn una evaluacin de riesgos para identificar los requerimientos de
Terceros controles especficos

Plan Operativo La empresa contar con un Plan Operativo Informtico, en el cual se definen las
actividades y proyectos a realizar durante un ao, de acuerdo con las metas y
informtico objetivos de la empresa.
CASO PRCTICO: RESULTADOS