Вы находитесь на странице: 1из 29

ÍNDICE

INTRODUCCIÓN CAPÍTULO I: ASPECTOS GENERALES

3

4

1.1.

Descripción del Problema

4

1.2.

Objetivos

4

1.2.1. Objetivo General

 

4

1.2.2. Objetivos Específicos

4

1.3. Metas

 

4

1.4. Limitaciones

4

1.5. Delimitaciones

 

4

1.6. Metodología

 

5

CAPÍTULO II: MARCO TEÓRICO

6

2.1.

Base Teórica

6

2.1.1.

ISO

6

2.1.1.1. Definición

 

6

2.1.1.2. ISO/IEC 27001

6

2.1.2.

Evolución e historia ISO/IEC 27001

6

2.1.3.

Cláusula

8

2.1.4.

Control

8

2.2.

Antecedentes

8

CAPÍTULO III: DESARROLLO DEL PROYECTO

11

A.12. Seguridad de operaciones A.12.1. Procedimientos y responsabilidades operativas A.12.1.2. Gestión de

11

11

11

A.12.1.3.

Gestión

de

la

14

A.12.2. Protección contra códigos malicioso A.12.2.1 Controles contra código malicioso A.12.5. Control del software operacional A.12.5.1. Instalación de software en sistemas operacionales A.12.5.1. Instalación de software en sistemas operacionales A.12.6. Gestión de vulnerabilidad A.12.6.1. Gestión de vulnerabilidades técnicas

17

17

20

20

22

23

23

CONCLUSIONES

26

RECOMENDACIONES

27

REFERENCIAS

28

ANEXOS

29

INTRODUCCIÓN

El contenido de este documento está referido al tema de Seguridad de las operaciones. Este tema es muy común hoy en día, ya que la seguridad de operaciones es un aspecto fundamental dentro una empresa, el cumplimiento de esta cláusula hace que resalte una empresa frente a otras, es por eso que se desarrollan diferentes métodos de seguridad de operaciones para las muchas operaciones que puede realizar una empresa.

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO), describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2014 y su nombre completo es ISO/IEC 27001:2014. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

La autoridad portuaria nacional ha iniciado la adecuación del Sistema de Gestión de Seguridad de la Información NTP ISO/IEC 27001:2014, Esta la labor de implementación se realiza en cumplimiento a lo dispuesto por la Resolución Ministerial N° 004-2016-PCM

La Organización deberá asegurar los procedimientos operativos realizando copias de seguridad y monitoreo, documentando cada actividad, asegurando la integridad se los sistemas, colocando normas internas y guías de implementación.

CAPÍTULO I: ASPECTOS GENERALES

1.1.

Descripción del Problema En una Organización se debe asegurar que todos los procedimientos operativos involucrados a las Tecnologías de Información, sean implementados correctamente, así también documentados, registrados y seguros, de no implementarse y tomar medidas de Seguridad en las operaciones, se podrían perder datos, los sistemas de información podrían verse afectados y aun el mismo software que se tenga en la organización, perderse y desaprovecharse.

1.2.

Objetivos

1.2.1.

Objetivo General

 

Implementar controles de la cláusula N° 12 de la NTP ISO/IEC

27001:2014

 

1.2.2.

Objetivos Específicos

 

Realizar los diferentes diagramas de cada control desarrollado en este proyecto.

Realizar el documento auditable para cada uno de los controles.

Hacer Investigación extra para cada uno de los temas, como medida de opinión.

Documentarse a medida el proyecto avance.

1.3.

Metas

Desarrollo del software.

1.4.

Limitaciones

Falta de documentación.

Falta de presupuesto para el desarrollo.

Falta de acceso a la norma.

1.5.

Delimitaciones Solo se implementará 5 controles de la cláusula A.12. Seguridad de las operaciones.

1.6.

Metodología

 

PHVA

PMI

SCRUM

(Planear, Hacer, Verificar y Actuar)

(Project Management Institute)

 

Se concentra el esfuerzo en ámbitos organizativos y de procedimientos puntuales.

Aplica para cualquier industria.

El cliente puede decidir los nuevos

Está orientada a procesos.

objetivos a realizar.

Consiguen mejoras en un corto plazo y resultados visibles.

Se agiliza el proceso,

V

Indica el conocimiento necesario para manejar el ciclo vital de cualquier proyecto, programa y portafolio a través de sus procesos.

porque se divide el problema en pequeñas tareas.

Menos probabilidad de que se den sorpresas o desarrollos inesperados.

E

N

Reducción de los costos, como resultado de un consumo menor de materias primas.

T

A

Incrementa la

productividad

J

y dirige a la organización

 

A

hacia la competitividad, lo

Define para cada proceso sus insumos, herramientas, técnicas y reportes necesarios (entregables).

S

cual es de vital importancia para las actuales organizaciones

Contribuye a la adaptación de los procesos a los avances tecnológicos.

 

Requiere de un cambio en toda la organización, ya que para obtener el éxito es

necesaria la participación de todos los integrantes de la organización y a todo nivel.

Complejo para los proyectos pequeños.

Alto nivel de stress de los miembros del

D

Tiene que ser adaptado a la industria del área de aplicación, el tamaño y el alcance del proyecto, el tiempo y el presupuesto y los apremios de la calidad.

equipo, el desgaste puede ser excesivo y estresante lo que puede disminuir el rendimiento.

E

S

V

En vista de que los gerentes

La necesidad de contar con equipos multidisciplinarios puede ser un problema, porque

E

N

en la pequeña y mediana empresa son muy

T

conservadores, el

A

mejoramiento continuo se

J

hace un proceso muy largo.

No incluye Plantillas

cada integrante del equipo debe estar en capacidad de resolver cualquier tarea.

A

S

 

CONCLUSIÓN

Como se puede observar la metodología PHVA se ajusta más a el tipo de proyecto que realizaremos, ya que nos proporciona mayores ventajas con respecto a la metodología PMI y Scrum, por lo tanto la metodología que se utilizo fue la metodología PHVA.

CAPÍTULO II: MARCO TEÓRICO

2.1. Base Teórica

2.1.1. ISO

2.1.1.1.

Definición

Se denomina ISO a la Organización Internacional para la Estandarización, la cual se trata de una federación cuyo alcance es de carácter mundial, ya que está integrada por cuerpos de estandarización de 162 países. Esta organización se estableció en 1947, como un organismo no gubernamental, cuya misión es promover a nivel mundial el desarrollo de las actividades de estandarización.

De esta manera ISO fue creada con el objetivo de facilitar el intercambio internacional de servicios y bienes, promoviendo activamente la cooperación en aspectos intelectuales, científicos, tecnológicos y económicos.

2.1.1.2. ISO/IEC 27001

Es un estándar para la seguridad de la información (Tecnología de la información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requisitos) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”:

PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

2.1.2. Evolución e historia ISO/IEC 27001

La mayoría ya sabemos que la ISO 27001 es la norma ISO que establece los requisitos para proceder a la implantación, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información.

La International Organization for Standardization y la Comisión International Electrotechnical Commission la publico en octubre del año 2005 y actualmente es la única norma aceptada a nivel internacional para la gestión de la Seguridad de la Información.

La ISO 27001 tal y como se conoce en la actualidad, se debe a la evolución de otras normas que tenían alguna relación con la seguridad de la información.

A continuación,

evolucionado a la ISO27001:

1901 – Normas “BS”: La British Standards Institution publica normas con el prefijo “BS” con carácter internacional.

1995- BS 7799-1:1995: Mejores prácticas para ayudar a las empresas británicas a administrar la Seguridad de la Información. Se trataban de recomendaciones que no permitían la certificación.

1998 BS 7799-2:1999: Revisión de la anterior norma. En ella se establecía los requisitos para implantar un Sistema de Gestión de Seguridad de la Información certificable.

1999 BS 7799-1:1999: Se revisa.

2000 ISO/IEC 17799:2000: La ISO tomó la norma británica BS 7799-1 que originó la ISO 17799, sin experimentar grandes cambios.

2002 BS 7799-2:2002: Se publicó una nueva versión que permitió la acreditación de empresas por una entidad certificadora en Reino Unido y en otros países.

2005 ISO/IEC 27001:2005 e ISO/IEC17799:2005: Surge el estándar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005.

2007 ISO 17799: Se cambia el nombre y convierte en la ISO

ha

mencionamos

las

normas

de

las

cuales

27002:2005

2007 ISO/IEC 27001:2007: Se publica la nueva versión.

2009 Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009.

En el actual año 2013 se ha publicado la nueva versión de la ISO

27001, esta versión presenta cambios importantes en su estructura, evaluación y tratamiento de los riesgos.

La Plataforma Tecnológica facilita la implementación, mantenimiento

y automatización de los Sistemas de Gestión de Seguridad en la

Información conforme a la norma ISO 27001 y da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

2.1.3. Cláusula Una Cláusula es un contrato, un documento por lo general escrito en el que se establecen condiciones y posiciones acerca de un acuerdo determinado. Concretamente, una cláusula es la determinación final, se establece la relación de todos puntos que se tratan, se debe tener en cuenta que una cláusula es un documento que se redacta bajo los principios legales correspondientes. La definición de cláusula a pesar de ser concreta y correspondiente a un basamento legal, puede ser utilizada para denotar un acuerdo de cualquier índole, sin importar a que margen de la ley establecida por el órgano correspondiente e encuentre.

2.1.4. Control Es el mecanismo para comprobar que las cosas se realicen como fueron previstas, de acuerdo con las políticas, objetivos y metas fijadas previamente para garantizar el cumplimiento de la misión institucional.

2.2.

Antecedentes

Tesis N° 1

Título: Análisis y diseño de un sistema de gestión de seguridad de información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y comercialización de productos de consumo masivo

Autor: Hans Ryan Espinoza Aguinaga

Enlace:

Conclusiones

Tal como se describió y presento a lo largo de este proyecto de fin de carrera, la ade cuada gestión de la seguridad de información es algo que debe estar ya incluido en la cultura organizacional de las empresas; y en todas ellas esta adecuada gestión no se lograría sin el apoyo de la alta gerencia como promotor activo de la seguridad en la empresa.

Debe tenerse en cuenta que el diseño de SGSI presentado se adapta a los objetivos actuales del proceso de producción, en el cual se ha basado el

proyecto, y que este diseño podría variar ya que los objetivos estratégicos y de gobierno de le empresa pueden cambiar y por ello algunos sub procesos que forman parte del alcance del proyecto, también lo harán.

Tesis N° 2

Título: Guía de implementación de la seguridad basado en la Norma ISO/IEC 27001, para apoyar la seguridad en los Sistemas informáticos de la comisaria del PNP En la ciudad de Chiclayo

Autor: Julio Cesar Alcántara Flores

Enlace:

Conclusiones:

1. Con la Guía de Implementación, se logró incrementar el nivel de la

seguridad en las aplicaciones informáticas de la institución policial, y esto se

vio reflejado en el incremento de políticas de seguridad que fueron puestas en marcha que beneficiaron a la institución y ayudaron a incrementar el nivel de seguridad en la misma.

2. El uso de la Guía de Implementación, se logró mejorar el proceso para

detectar las anomalías en la seguridad de la información, reflejado en distintos mecanismos de seguridad para salvaguardarla y prevenir su mal uso y divulgación no adecuada que perjudiquen a la institución.

3. Con el Plan de tratamiento de Riesgos, se permitió la disminución de los

niveles de riesgos con respecto a los activos de información, considerados amenazas y vulnerabilidades en la institución, esto manifestado en un plan adecuado para abordar estos riesgos, con mecanismos preventivos y

correctivos, tomando las precauciones necesarias que minimicen los impactos respectivamente.

Tesis N° 3

Título: "Implementación de un sistema de gestión de Seguridad de la información para una

Empresa de consultoría y auditoría, Aplicando la norma ISO/IEC 27001” Autor: Diana Elizabeth Tola Franco

Conclusiones:

1. Debido a que en las organizaciones es primordial la optimización de

recursos, el establecimiento del alcance del sistema de gestión de seguridad de la información se convierte en una actividad muy importante ya que delimita el campo de acción y el uso de recursos.

2. Es importante establecer los objetivos y políticas del sistema de gestión de

seguridad de la información, ya que estos van delineando el camino hacia donde la organización desea dirigirse para preservar la confidencialidad, integridad y disponibilidad de la información y por lo tanto es relevante la participación de la alta gerencia.

3. La adopción de la metodología MAGERIT para el análisis de riesgos,

permitirá identificar de manera oportuna la probabilidad y el impacto de que

se materialicen los riesgos y de esta manera poder establecer controles que nos ayuden a prevenirlos.

4. Los sistemas de Gestión de Seguridad de Información bajo la norma ISO

27001, se basan en la prevención, por lo tanto, es muy importante identificar

los riesgos a los que están expuestos los activos para así evitar pérdidas económicas u operacionales.

5. Una vez identificados los riesgos a los que están expuestos los activos de

información, es necesario implementar controles o salvaguardas, con la finalidad de proteger estos activos y lograr minimizar la probabilidad de que se materialicen los riesgos o el impacto que pueden tener sobre la organización. Es importante considerar que al momento de seleccionar los controles se debe realizar un análisis de costo beneficio ya que el costo de la implementación de un control no debe exceder la posible pérdida económica de no tener implementado el control.

CAPÍTULO III: DESARROLLO DEL PROYECTO

A.12. Seguridad de operaciones A.12.1. Procedimientos y responsabilidades operativas

Objetivo: Asegurar que las operaciones de instalaciones de procesamiento de la información sean correctas y seguras.

A.12.1.2. Gestión de Cambio. Los cambios en la organización, procesos de negocio, instalaciones de procesamiento de la información y sistemas que afecten la seguridad de la información deben ser controlados.

DIAGRAMA DE ACTIVIDADES

a) El jefe de informática deberá verificar que los cambios sean propuestos por usuarios autorizados y se encuentren alineados a la licencia de uso y necesidades de la entidad y ordenará al responsable de seguridad de la información a realizar los cambios.

b) El responsable de seguridad de la información revisará las solicitudes de cambio y realizará un análisis de impacto, para garantizar que no se violen los requerimientos de seguridad, al mismo tiempo velará por la implementación de mecanismos de control adecuados para el aseguramiento de la información y la continuidad de las operaciones, si el análisis no garantiza seguridad, se le comunica al jefe de informática para que reformule los cambios , caso contrario enviara informe donde se especificara el inicio de los cambios al jefe de informática.

c) El Jefe de Informática deberá mantener un control de versiones para todas las actualizaciones de software y los cambios realizados, en caso que sea necesario, y ordena que el responsable de los cambios informe al resto de los usuarios sobre el cambio.

d) El responsable de los cambios, deberá Informar antes de la implementación de un cambio a las áreas o usuarios que puedan verse afectados, con el fin de evitar indisposición y falta de operatividad.

e) Una vez realizado un cambio, el responsable de los cambios deberá documentar las actividades realizadas, la información relevante y los resultados obtenidos después de realizado el cambio

DIAGRAMA BPMN

DIAGRAMA BPMN 12

DOCUMENTO AUDITABLE

Control 12.1.2. Gestión de Cambio. Descripción: Los cambios en la organización, procesos de negocio, instalaciones
Control
12.1.2. Gestión de Cambio.
Descripción:
Los cambios en la organización, procesos de negocio,
instalaciones de procesamiento de la información y
sistemas que afecten la seguridad de la información deben
ser controlados.
Responsable:
Supervisor:
Nro. Documento:
Fecha:
Responsable
Nombre y Apellidos
Foto
Cargo
Firma
Documento
upervisor
Nombre y Apellidos
Foto
Cargo
Firma
Documento
Descripción de Cambios
Área
Procesos
Responsable
Fecha
Entregables
Descripción
Control
Área 1
Proceso 1
Proceso 2
Proceso 3
Área 2
Área 3

A.12.1.3. Gestión de la Capacidad. El uso de recursos debe ser monitoreado afinado y se debe hacer proyecciones de los futuros requisitos de capacidad para asegurar el desempeño requerido del sistema.

DIAGRAMA DE ACTIVIDADES

a) El jefe de informática inicia y pone en conocimiento el monitoreo de los sistemas y la gestión de capacidad y exige al administrador de los equipos realizar un informe.

b) El administrador de los equipos informáticos monitorea y realiza proyecciones e implementa controles detectivos que garanticen la continuidad de los servicios de tecnologías de la información de la entidad.

c) El administrador de los equipos informáticos evaluar cada equipo en función a su antigüedad forma de uso y particularidades tecnológicas, para realizar una planificación adecuada de la capacidad requerida para dichos equipos.

d) El administrador de los equipos informáticos revisa los indicadores de capacidad de transmisión, procesamiento y almacenamiento de los equipos, y registra el monitoreo de los mismos.

e) El administrador de los equipos informáticos entrega informe de la gestión de capacidad al jefe de informática.

f) El jefe de informática evalúa la factibilidad de realizar una inversión económica en este proyecto y propone al comité de elaboración del proyecto, y desarrollar dicho proyecto de manera monitoreada, para un mejor desempeño en el futuro.

g) El Comité de elaboración desarrolla el proyecto.

DIAGRAMA BPMN

DIAGRAMA BPMN 15

DOCUMENTO AUDITABLE

Control: 12.1.3 Gestión de Capacidad Descripción: El uso de recursos debe ser monitoreado afinado y
Control:
12.1.3 Gestión de Capacidad
Descripción:
El uso de recursos debe ser monitoreado afinado y se debe
hacer proyecciones de los futuros requisitos de capacidad
para asegurar el desempeño requerido del sistema.
Supervisor:
Descripción:
Nro. Documento:
Fecha
Responsable
Nombre y Apellidos
Foto
Cargo
Firma
Documento
Supervisor
Nombre y Apellidos
Foto
Cargo
Firma
Documento
Descripción de implementación
Condiciones
Modificaciones
Monto
Detalle
Documento
Área
Actuales
a Realizar
Asignado

A.12.2. Protección contra códigos malicioso

Objetivo: Asegurar que la información

procesamiento de la información estén protegidas contra códigos maliciosos

de

y

las

instalaciones

A.12.2.1 Controles contra código malicioso. Se deberían implantar controles para detectar el código malicioso y prevenirse contra él, junto a procedimientos adecuados para concientizar a los usuarios.

DIAGRAMA DE ACTIVIDADES

a) El jefe de informática evalúa y selecciona sistemas de información para la implementación de controles de detección y prevención de código malicioso, así como la elaboración de procedimientos para dar a conocer y concientizar a los usuarios finales sobre los riesgos del software no autorizado.

b) El comité de elaboración del proyecto recibe el documento y desarrolla propuesta de controles de detección y prevención de código malicioso para cada uno de los sistemas de información seleccionados, así como la propuesta de requerimientos de concientización para los usuarios de estos sistemas. Concluida la propuesta se devuelve al jefe de informática para su revisión y validación.

c) El jefe de informática evalúa la propuesta de la comisión y si cumple con los requerimientos de control emite informe para la elaboración de resolución directoral, y solicita al comité de elaboración del proyecto capacitar sobre el control de detección y prevención del código no autorizado a los usuarios finales, caso contrario devuelve a la comisión para corrección de observaciones.

d) El Comité de elaboración del proyecto recibe el visto bueno, y procede a desarrollar la capacitación y entrega de los procedimientos de dar a conocer y concientizar sobre los riesgos del código malicioso o no autorizado, previa acta a los usuarios finales.

DIAGRAMA BPMN

¿Aceptada
¿Aceptada

DOCUMENTO AUDITABLE

Control

12.2.1 Controles contra código malicioso

 

Descripción:

Se deberían implantar controles para detectar el código malicioso y prevenirse contra él, junto a procedimientos adecuados para concientizar a los usuarios.

Nº Documento

 

Fecha

 

Área:

 
 

Responsable

Nombre y Apellidos

 

Nº Documento

 

Cargo

Firma

 

ACTA DE VERIFICACION

 

Procedimiento

 

Descripción del procedimiento

Observaciones

Prueba

 

Resultado

Observaciones

Conclusiones

A.12.5. Control del software operacional.

Objetivo: Asegurar la integridad de los sistemas operacionales.

A.12.5.1. Instalación de software en sistemas operacionales. Procedimientos deben ser implementados para controlar la instalación de software en sistemas operacionales.

DIAGRAMA DE ACTIVIDADES

a) El

jefe

de

informática

deberá

establecer

responsabilidades

y

procedimientos para controlar la instalación del software operativo.

b) La comité de elaboración del proyecto responsable desarrolla una propuesta de proyecto para conceder accesos temporales y controlados a los proveedores, monitorear las actualizaciones, asegurar el correcto funcionamiento de sistemas de información y herramientas de software, establecer las restricciones y limitaciones para la instalación de software operativo. Luego entregara el documento para su difusión al jefe de informática.

c) El jefe de informática verifica y valida la propuesta en concordancia con las normas internas si no cumple con esta condición se devuelve el documento para la reelaboración caso contrario se envía documento a la dirección general.

d) El gerente general, previa revisión emite resolución de aprobación del proyecto y devuelve el documento para su difusión al jefe de informática.

e) El jefe de informática recibe documento y alcanza a la comisión para su difusión según cronograma de ejecución.

f) El

comité

de

elaboración

del

proyecto

capacitación.

capacita

y

firma

acta

de

DIAGRAMA BPMN

¿Aceptada
¿Aceptada

DOCUMENTO AUDITABLE

Control

A.12.5.1. Instalación de software en sistemas operacionales.

Descripción:

Procedimientos deben ser implementados para controlar la instalación de software en sistemas operacionales.

Procedimiento:

 

Área:

 

Fecha:

 
 

Responsable

 

Apellidos y nombres:

N° Documento

 

Cargo

Firma

 

ACTA DE VERIFICACION

 

Pasos

Responsable

Actividad

Documento de trabajo

A.12.6. Gestión de vulnerabilidad técnica.

Objetivo: Prevenir la explotación de vulnerabilidades técnicas.

A.12.6.1. Gestión de vulnerabilidades técnicas. Información sobre vulnerabilidades técnicas de los sistemas de información utilizados debe ser obtenida de manera oportuna, la exposición de la organización a dichas vulnerabilidades debe ser evaluada y las medidas apropiadas deben ser tomadas para resolver el riesgo asociado.

DIAGRAMA DE ACTIVIDADES

a) El jefe de informática realizara pruebas de vulnerabilidades y hacking ético.

b) El comité de elaboración del proyecto correspondiente generara los lineamientos y recomendaciones para la mitigación de vulnerabilidades, y hacking ético.

c) El jefe de informática evaluara y validara la propuesta de los lineamientos y enviara el documento a la dirección general.

d) El gerente general emitirá resolución de aprobación del proyecto y devuelve el documento para su difusión al jefe de informática.

e) El jefe de informática deberá revisar periódicamente la aparición de nuevas vulnerabilidades técnicas y reportarlas a los administradores de la plataforma tecnológica y los desarrolladores de los sistemas de información, con el fin de prevenir la exposición al riesgo de estos.

f) El jefe de informática recibe el documento para su difusión.

g) El comité de elaboración del proyecto capacita y firma el acta de capacitación.

DIAGRAMA BPMN

¿Aceptada
¿Aceptada

DOCUMENTO AUDITABLE

Control

A.12.6.1. Gestión de vulnerabilidades técnicas.

Descripción:

Información sobre vulnerabilidades técnicas de los sistemas de información utilizados debe ser obtenida de manera oportuna, la exposición de la organización a dichas vulnerabilidades debe ser evaluada y las medidas apropiadas deben ser tomadas para resolver el riesgo asociado.

Prueba:

 

Área e:

 

Fecha:

 
 

Responsable

 

Apellidos y nombres:

 

N° Documento

Cargo

Firma

 

ACTA DE VERIFICACION

 

Prueba

Resultado

Observaciones

Conclusión

CONCLUSIONES

El concepto de "Control”, se debe considerar como un conjunto de medidas, acciones y/o documentos que permiten cubrir y auditar cierto riesgo

La implantación de la norma ISO27001;2014 permite definir y mantener un Sistema de Gestión de la Seguridad de la Información (ISMS) documentado, que orienta los esfuerzos de protección de los activos de información, facilita la administración de los riesgos priorizando los controles necesarios de aplicar y mantiene un nivel de seguridad adecuado para la continuidad de la organización

La implantación de la norma ISO 27001:2014 proporciona los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información.

RECOMENDACIONES

En primera instancia se recomienda a la empresa que, en base a la implementación de los controles presentado en este proyecto, se dedique en concientizar a todos los empleados que forman parte de dicha empresa, sobre la seguridad de operaciones, de la información y su importancia, y realizar evaluaciones periódicas a los indicadores de seguridad de la empresa y de los riesgos encontrados.

Luego, se recomienda aplicar esfuerzos para poder realizar la implementación de este diseño para que permita que en el futuro se pueda gestionar la seguridad de información de tal manera que se pueda aspirar a una certificación, ya que el diseño ha sido realizado con la norma ISO/IEC 27001, la cual es certificable.

Diseñar un plan de auditoría que se realice periódicamente para analizar cómo va variando el nivel de seguridad de la empresa tal como avanza el tiempo.

ANEXOS

Resolución Ministerial N° 004-2016-PCM