Implementacion de Control 27001-2014
Implementacion de Control 27001-2014
Implementacion de Control 27001-2014
TEMA:
IMPLEMENTACIÓN DE CONTROLES DE LA NORMA
TÉCNICA PERUANA NTP-ISO/IEC 27001 2014
ASIGNATURA
DOCENTE
INTEGRANTES:
CUSCO - PERÚ
April de 2022
ÍNDICE
Contenido
ÍNDICE..........................................................................................................................................2
INTRODUCCIÓN............................................................................................................................3
PROBLEMA...................................................................................................................................3
OBJETIVOS....................................................................................................................................3
METODOLOGÍA............................................................................................................................3
MARCO TEÓRICO..........................................................................................................................3
CONTROLES DE LA NTP ISO/IEC 27001:2014................................................................................3
A.5 Políticas de seguridad de la información............................................................................3
A.5.1 Dirección de la gerencia para la seguridad de la información.....................................3
A.5.1.1 políticas para la seguridad de la información.......................................................3
A.5.1.2 Revisión de las políticas para la seguridad de la información...............................3
A.6 Organización de la seguridad de la información................................................................3
A.6.1 Organización interna...................................................................................................3
A.6.1.1 roles y responsabilidades para la seguridad de la información............................3
A.6.1.2 segregación de funciones.....................................................................................3
A.6.1.3 contacto con autoridades.....................................................................................3
A.6.1.4 contacto con grupos de especial interés..............................................................3
A.6.1.5 seguridad de la información en la gestión de proyectos......................................3
A.6.2 Disposición móviles y teletrabajo................................................................................3
A.6.2.1 política de dispositivos móviles............................................................................3
A.6.2.2 teletrabajo............................................................................................................3
A.7 Seguridad de los recursos humanos...................................................................................3
A.7.1 Antes del empleo........................................................................................................3
A.7.1.1 Selección..............................................................................................................3
A.7.1.2 términos y condiciones de empleo.......................................................................3
INTRODUCCIÓN
La Norma Técnica Peruana NTP-ISO/IEC 27001: 2014. Tecnología de la información. Técnicas
de seguridad. Sistemas de gestión de seguridad de la información, fue elaborada por el
comité técnico de normalización de codoficacion e intercambnio electropnico de datos,
mediante el sistema 1 o de adopción, durante los meses de abril a junio del 2014 y tiene como
antecedentes a la ISO/EIC 27001:2013 Information Technology-Security techniques –
Information security management systems – Requirements y la ISO/IEC 27001:2013/COR 1
2013 Information Technology – Security Techniques – Information security management
systems – Requirements el cual es un estándar internacional para la seguridad de la
información. Dicha norma es de uso obligatorio para las instituciones del Estado y es
recomendable y opcional para las instituciones privadas.
PROBLEMA
La implementación de controles de seguridad en una organización, pasa por una serie de pasos
y procedimientos que deben ser detallados y descritos de manera coherente es por ello que el
presente informe busca dar un modelo de implementación de dichos controles, así como sus
actividades, secuencias detalladas en los diagramas de procesos BPMN y sus respectivos
formatos; en respuesta a la necesidad de la implementación de actividades de control y su
descripción.
OBJETIVOS
Documentarnos sobre la NTP ISO/IEC 27001:2014 identificar sus cláusulas.
Seleccionar 10 procesos de control de SGSI (sistema de gestión de seguridad de la
información) como lo describe la norma NTP ISO/IEC 27001:2014.
Describir el objetivo principal de las clausulas de control tomadas de la norma NTP
ISO/IEC 27001:2014.
Elaborar las tareas y actividades de cada control seleccionado de la NTP ISO/IEC
27001:2014.
Elaborar los BPMN de los controles seleccionados de la NTP ISO/IEC 27001:2014.
Elaborar los formatos auditados para cada proceso de control seleccionado de la NTP
ISO/IEC 27001:2014
Automatizar y sustentar los formatos de control seleccionados de la NTP ISO/IEC
27001:2014
METODOLOGÍA
Para la el desarrollo del presente informe se procedió a documentarnos y basarnos en
la norma NTP ISO/IEC 27001:2014 así como sus predecesores y las guías de
implementación provistas por el estado peruano específicamente de ONGEI en dichas
tareas se ejecutan labores de investigación y análisis de dicha norma técnica así como
la revisión de normas anteriores y sus modificatorias para así llegar a las políticas de
control y sugerir la implementación de las actividades basadas en la misma como
método de solución frente al problema de la implementación.
Se procedió a tomar como referencia el anexo A normativo de la NTP ISO/IEC
27001:2014.
Seleccionamos las primeras clausulas y se tomo como referencia los objetivos de
control allí descritos y que guardan relación con los objetivos de la NTP ISO/IEC
27001:2014.
Desarrollamos las actividades de control basadas en los objetivos de control allí
descritos y las políticas allí sugeridas.
Utilizamos herramientas de modelado de procesos como Bizagi Studio para el
desarrollo de los respectivos modelos de proceso.
Desarrollamos los formularios para los controles basados en las actividades y los
responsables.
Por último, sentamos las bases para la automatización de dichos controles de
seguridad de la información para la siguiente unidad.
MARCO TEÓRICO
El presente informe describe las actividades y tareas de implementación de controles basados
en la norma NTP ISO/IEC 27001:2014 los mismos que están en vigencia en el estado peruano.
CONTROLES DE LA NTP ISO/IEC 27001:2014
A.5 Políticas de seguridad de la información
A.5.1 Dirección de la gerencia para la seguridad de la información
Objetivo: promocionar dirección y apoyo de la gerencia para la seguridad de la información en
concordancia con los requisitos del negocio y las leyes y regulaciones relevantes.
Para las entidades es importante contar con políticas de seguridad ya que son ellas quienes
guiaran el comportamiento personal y profesional de los funcionarios, contratistas o terceros
sobre la información obtenida, generada o procesada por la entidad, así mismo las políticas
permitirán que la entidad trabaje bajo las mejores prácticas de seguridad y cumpla con los
requisitos legales a los cuales esté obligada a cumplir la entidad.
1. Desarrollo de las políticas: En esta fase la Entidad debe responsabilizar las áreas para la
creación de las políticas, estructurarlas, escribirlas, revisarlas y aprobarlas; por lo cual
para llevar a buen término esta fase se requiere que se realicen actividades de
verificación e investigación de los siguientes aspectos:
1. Justificación de la creación de política: Debe identificarse el por qué la Entidad
requiere la creación de la política de seguridad de información y determinar el control
al cual hace referencia su implementación.
2. Alcance: Debe determinarse el alcance, ¿A qué población, áreas, procesos o
departamentos aplica la política?, ¿Quién debe cumplir la política?
3. Roles y Responsabilidades: Se debe definir los responsables y los roles para la
implementación, aplicación, seguimiento y autorizaciones de la política.
4. Revisión de la política: Es la actividad mediante la cual la política una vez haya sido
redactada pasa a un procedimiento de evaluación por parte de otros individuos o
grupo de individuos que evalúen la aplicabilidad, la redacción y se realizan sugerencias
sobre el desarrollo y creación de la misma.
5. Aprobación de la Política: Se debe determinar al interior de la entidad la persona o rol
de la alta dirección que tiene la competencia de formalizar las políticas de seguridad
de la información mediante la firma y publicación de las mismas. Es importante que la
Alta Gerencia de la Entidad muestre interés y apoyo en la implementación de dichas
políticas.
2. Cumplimiento: Fase mediante la cual todas aquellas políticas escritas deben estar
implementadas y relacionadas a los controles de seguridad de la Información, esto con
el fin de que exista consistencia entre lo escrito en las políticas versus los controles de
seguridad implementados y documentados.
3. Comunicación: Fase mediante la cual se da a conocer las políticas a los funcionarios,
contratistas y/o terceros de la Entidad. Esta fase es muy importante toda vez que del
conocimiento del contenido de las políticas depende gran parte del cumplimiento de
las mismas; esta fase de la implementación también permitirá obtener
retroalimentación de la efectividad de las políticas, permitiendo así realizar
excepciones, correcciones y ajustes pertinentes. Todos los funcionarios contratistas
y/o terceros de la entidad debe conocer la existencia de las políticas, la obligatoriedad
de su cumplimiento y la ubicación física de tal documento o documentos, para que
sean consultados en el momento que se requieran.
4. Monitoreo: Es importante que las políticas sean monitoreadas para determinar la
efectividad y cumplimiento de las mismas, deben crearse mecanismos ejemplo
indicadores para verificar de forma periódica y con evidencias que la política funciona
y si debe o no ajustarse.
5. Mantenimiento: Esta fase es la encargada de asegurar que la política se encuentra
actualizada, integra y que contiene los ajustes necesarios y obtenidos de las
retroalimentaciones.
6. Retiro: Fase mediante la cual se hace eliminación de una política de seguridad en
cuanto esta ha cumplido su finalidad o la política ya no es necesaria en la Entidad. Esta
es la última fase para completar el ciclo de vida de las políticas de seguridad y requiere
que este retiro sea documento
Esta política vela por el mantenimiento de las evidencias de las actividades y acciones que
afectan los activos de información. Esta política deberá contener:
CONCLUSION
BIBLIOGRAFIA
Bibliografía
Comisión de Normalizacion y de Fiscalización de barreras comerciales no arancelarias
INDECOPI. (2014). NORMA TÉCNICA PERUANA NTP-ISO/IEC 27001:2014.