COLEGIO DE ABOGADOS DE LIMA

Direccin Acadmica y de Promocin Cultural

Curso de Formacin de Fedatarios Informticos 2012

Sesin N 5
Sistema de Seguridad de la Informacin
la Norma NTP ISO /IEC 17799
Expositor: Ing. Miguel Vliz Granados
Director Ejecutivo de Consultora InnSolutions S.A.C.
Director Ejecutivo del Instituto de Normas Tcnicas de CINSEYT
Secretario Tcnico del CTN 63 Microformas Digitales CNB INDECOPI
Consultor de Certificacin de Sistemas ISO 9001, ISO 27001 y NTP 392.030-2
Lder de Certificaciones de Sistemas de produccin de microformas de SGS del Per
Noviembre 2012

Situacin Actual
Algunos riesgos y su impacto en los negocios

Algunos datos

Algunos datos

INFORMATICA

El objetivo del virus Bugbear no es colapsar

computadoras sino robar datos bancarios
Los expertos confirmaron que enva la informacin que captura a miles de
direcciones de Internet. Adems, tambin puede desactivar los sistemas de
seguridad de la PC, destruir sus archivos y descomponer impresoras.

INTERNET

Nadie logra controlar la epidemia: el correo basura

invade las casillas de todo el mundo
Apenas 150 spammers norteamericanos son los responsables del 90 por ciento
de los mensajes no deseados que atestan las computadoras de todo el mundo.
Todava no hay leyes para limitar su impacto econmico.

Algunos datos

Algunos datos
23-06-2003
Despido

Rechazan demanda de empleada por uso indebido de Internet

Buenos Aires, 23 de junio (Tlam).- El juez del trabajo Jorge Finizzola consider justo el despido
de una empleada que us las computadoras de la empresa para recibir y enviar correos
electrnicos ajenos a su tarea y de contenido pornogrfico, indicaron fuentes tribunalicias.
El magistrado rechaz la demanda iniciada por una empleada, que fue identificada como R.I.V, ya
que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a
la reclamante las costas del juicio.

NEGOCIOS

Una nueva fiebre enferma a las empresas de todo el

mundo: la seguridad de la informacin
La gestin de las polticas de seguridad de la informacin obsesiona a miles de empresas
de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; tambin
quieren ahorrar millones.
Por Daniela Blanco. Especial para Clarn.com.

Algunos datos

Algunas premisas

No existe la verdad absoluta en Seguridad Informtica.

No es posible eliminar todos los riesgos.
No se puede ser especialista en todos los temas.
La Direccin est convencida de que la Seguridad Informtica no hace
al negocio de la compaa.
Cada vez los riesgos y el impacto en los negocios son mayores.
No se puede dejar de hacer algo en este tema.

Algunas realidades
En mi compaa ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el rea.
... en la ltima auditora de sistemas no me sacaron
observaciones importantes.
... ya escrib las polticas.
... hice un penetration testing y ya arreglamos todo.

Algunos datos
En general todos coinciden en:

El 80% de los incidentes/fraudes/ataques son efectuados por personal

interno

Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data Analysis (CAIDA)
CERT
SANS

10

Algunos datos

Segn una encuesta del Departamento de Defensa de USA:

Sobre aprox 9000 computadores atacados,

7,900 fueron daados.
400 detectaron el ataque.
Slo 19 informaron el ataque.

11

Qu Informacin proteger
en formato electrnico / magntico / ptico
en formato impreso
en el conocimiento de las personas

12

Principales riesgos y su impacto en los

negocios

13

Captura de PC desde el exterior

Robo de informacin

Mails annimos con informacin crtica o con agresiones

Spamming

Violacin de e-mails

Violacin de contraseas

Virus

Destruccin de equipamiento

Intercepcin y modificacin de e-mails

Violacin de la privacidad de los empleados

Incumplimiento de leyes y regulaciones

Fraudes informticos
Interrupcin de los servicios

Ingeniera social

Programas bomba

Indisponibilidad de informacin clave

Propiedad de la Informacin

Destruccin de soportes documentales

Acceso clandestino a redes

Acceso indebido a documentos impresos

empleados deshonestos

Robo o extravo de notebooks

Software ilegal

Intercepcin de comunicaciones
Falsificacin de informacin para
terceros

Agujeros de seguridad de redes conectadas

14

Instalaciones default

Password cracking

Escalamiento de privilegios

Puertos vulnerables abiertos

Man in the middle

Servicios de log inexistentes o que no son chequeados

Denegacin de servicio
ltimos parches no instalados

Desactualizacin

Replay attack

Exploits

Backups inexistentes
Port scanning

Keylogging
15

El impacto en los negocios

En estos tipos de problemas es difcil:

Darse cuenta que pasa, hasta que pasa.

Poder cuantificarlos econmicamente, por ejemplo

cunto le cuesta a la compaa 4 horas sin sistemas?

Poder vincular directamente sus efectos sobre los resultados

de la compaa.
16

El impacto en los negocios

Es necesario estar preparado para que ocurran lo menos posible:
sin grandes inversiones en software
sin mucha estructura de personal
Tan solo:
ordenando la gestin de seguridad
gestionado indicadores de la seguridad propia de los sistemas
utilizando herramientas licenciadas y libres en la web
17

Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Informacin,
podemos encontrar los siguientes:

Information Systems and Audit Control Association - ISACA: COBIT (Control

Objectives for Information and related Technology).
Los estndares de calificacin ITIL , Information Technology Infrastructure
Library

British Standards Institute: BS

International Standards Organization: Normas ISO 20000

Departamento de Defensa de USA: Orange Book

ITSEC Information Technology Security Evaluation Criteria: White Book

Sans Institute

Modelo de Capacidad y Madurez (CMM/CMMI)

18

La NTP ISO /IEC 17799

19

Norma ISO 17799 Seguridad de la Informacin

4 Evaluacin y tratamiento del riesgo

5. Poltica de seguridad
6. Organizacin de seguridad de la informacin
7. Gestin de activos
8. Seguridad en recursos humanos
9. Seguridad fsica y del entorno
10. Gestin de comunicaciones y operaciones
11. Control de accesos
12. Adquisicin desarrollo y mantenimiento de sistemas de la informacin
13. Gestin de incidentes de seguridad de la informacin
14. Gestin de continuidad del negocio
15. Cumplimiento
20

Introduccin
La seguridad de las tecnologas de informacin, y por ende la
informtica, se convierte en un tema de importancia crucial para el
continuo y rpido progreso de nuestra sociedad, e incluso para su
propia supervivencia.

Por otro lado, el desarrollo en los ltimos aos de las redes

informticas y fundamentalmente la Internet, ha sido el factor
fundamental que ha hecho que la Seguridad Informtica cobrase una
importancia vital en el uso de sistemas informticos conectados.
Desde el momento en que nuestro ordenador se conecta a Internet,
se abren ante nosotros toda una nueva serie de posibilidades, sin
embargo stas traen consigo toda una serie de nuevos y en ocasiones
complejos tipos de ataque.
21

Qu es seguridad de la informacin?
La seguridad de la informacin es la proteccin de la
informacin de un rango amplio de amenazas para poder
asegurar la continuidad del negocio, minimizar el riesgo
comercial y maximizar el retorno de las inversiones y las
oportunidades comerciales.
Se logra implementando un adecuado conjunto de controles;
incluyendo polticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y hardware.
Se requiere establecer, implementar, monitorear, revisar y
mejorar estos controles cuando sea necesario para asegurar que
se cumplan los objetivos especficos de seguridad y comerciales.
22

Por qu se necesita seguridad de la informacin?

Las organizaciones y sus sistemas y redes de informacin
enfrentan amenazas de seguridad de un amplio rango de fuentes;
incluyendo fraude por computadora, espionaje, sabotaje,
vandalismo, fuego o inundacin. Las causas de dao como cdigo
malicioso, pirateo computarizado o negacin de ataques de
servicio se hacen cada vez ms comunes, ms ambiciosas y cada
vez ms sofisticadas.

La gestin de la seguridad de la informacin requiere, como

mnimo, la participacin de los accionistas, proveedores, terceros,
clientes u otros grupos externos. Tambin se puede requerir
asesora especializada de organizaciones externas.
23

Objetivo

Establece recomendaciones y principios generales

para iniciar, implantar o mantener y mejorar la
seguridad de la informacin en una organizacin.
Los objetivos de control y los controles de norma son
diseados para ser implementados para cumplir los
requerimientos identificados por una evaluacin del
riesgo.

24

4 Evaluacin y tratamiento del riesgo

4.1 Evaluacin de los riesgos de seguridad
Las evaluaciones del riesgo deben identificar, cuantificar y priorizar los riesgos en
comparacin con el criterio para la aceptacin del riesgo y los objetivos
relevantes para la organizacin.
Los resultados deben guiar y determinar la accin de gestin apropiada y las
prioridades para manejar los riesgos de la seguridad de la informacin y para
implementar los controles seleccionados para protegerse contra estos riesgos.
La evaluacin del riesgo debe incluir el enfoque sistemtico de calcular la
magnitud de los riesgos (anlisis del riesgo) y el proceso de comparar los riesgos
estimados con un criterio de riesgo para determinar la importancia de los riesgos
(evaluacin del riesgo). Los ejemplos de las tecnologas de evaluacin del riesgo
se discuten en ISO/IEC TR 13335-3 (Lineamientos para la Gestin de la Seguridad
TI: Tcnicas para la Gestin de la Seguridad TI).
25

4 Evaluacin y tratamiento del riesgo

4.2 Tratamiento de los riesgos de seguridad
Para cada uno de los riesgos definidos despus de una evaluacin del riesgo se
necesita tomar una decisin de tratamiento del riesgo. Las opciones posibles
para el tratamiento del riesgo incluyen:
a)
b)

c)
d)

Aplicar los controles apropiados para reducir los riesgos;

Aceptar los riesgos consciente y objetivamente, siempre que cumplan
claramente con la poltica y el criterio de aceptacin de la organizacin de
la organizacin;
Evitar los riesgos no permitiendo acciones que podran causar que el
riesgo ocurra;
Transferir los riesgos asociados a otros grupos; por ejemplo, aseguradores
o proveedores.
26

Poltica de seguridad
Dirigir y dar soporte a la gestin de la seguridad de la informacin en
concordancia con los requerimientos del negocio, las leyes y las
regulaciones.

Debe incluir:

objetivos y alcance generales de seguridad

apoyo expreso de la direccin
breve explicacin de los valores de seguridad de la
organizacin
definicin de las responsabilidades generales y
especficas en materia de gestin de la seguridad de
la informacin
referencias a documentos que puedan respaldar la
poltica
27

Alcance de la poltica de seguridad

Autorizacin

Proteccin Fsica

Confiabilidad
Confidencialidad

Propiedad

Poltica de Seguridad

Disponibilidad

Legalidad
Eficiencia
Integridad

Eficacia
Exactitud

28

6 Aspectos organizativos para la seguridad

6.1 Organizacin Interna
Debe establecerse una estructura de gestin para iniciar y controlar la
implantacin de la seguridad de la informacin dentro de la organizacin
Comits de Gestin

aprobar la poltica de seguridad de la informacin,

asignar funciones de seguridad
actualizarse ante cambios
coordinar la implementacin
definir metodologas y procesos especficos
seguridad
monitorear incidentes de seguridad
lidera el proceso de concientizacin de usuarios

de

29

6 Aspectos organizativos para la seguridad

6.1 Organizacin Interna

Gestin del compromiso con la seguridad de la informacin,

Coordinacin de la seguridad de la informacin

Asignacin de responsabilidades de seguridad de informacin

Proceso de autorizacin para instalaciones de procesamiento de

la informacin

Acuerdos de confidencialidad

Contacto con las autoridades

Contacto con grupos especiales de inters

Revisin independiente de la seguridad de la informacin

30

6 Aspectos organizativos para la seguridad

6.2 Entidades externas
Mantener la seguridad de que los recursos de tratamiento de la informacin y
de los activos de informacin de la organizacin sean accesibles por terceros
Identificacin de riesgos relativos a terceras partes
Gestin de la seguridad cuando se trata con terceros.
Gestin de la seguridad en los acuerdos con terceras
partes (clientes).

31

Ejemplo de terceros

personal de mantenimiento y soporte de hardware y

software;

limpieza, "catering", guardia de seguridad y otros

servicios de soporte tercerizados;

pasantas de estudiantes
contingentes de corto plazo;

consultores.

otras

designaciones

32

7 Gestin de Activos
7.1 Responsabilidad por los activos
Mantener una proteccin adecuada sobre los activos de la organizacin.
Inventarios de Informacin e Instalaciones
Designar un propietario para cada uno de ellos
Uso aceptable de los activos

7.2 Clasificacin de la informacin

Asegurar un nivel de proteccin adecuado a los activos de informacin.
Lineamientos para la clasificacin

Rotulado y manipulacin de la informacin

33

8 Seguridad del personal

8.1 Antes del empleo
Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades y que sean adecuados para los roles para los que han sido
considerados, reduciendo el riesgo de hurto, fraude o mal uso de las
instalaciones

Roles y responsabilidades definidas y documentadas

Seleccin de todos los candidatos para un empleo

Trminos y condiciones de empleo claramente

definidos

34

8 Seguridad del personal

8.2 Durante el empleo
Asegurar que los empleados, contratistas, y usuarios de terceros estn
consientes de las amenazas y riesgos en el mbito de la seguridad de la
informacin, y que estn preparados para sostener la poltica de seguridad
de la organizacin en el curso normal de su trabajo y de reducir el riesgo de
error humano.

Gestin de responsabilidades

Advertencias, educacin y capacitacin en seguridad de informacin

Proceso disciplinario

35

8 Seguridad del personal

8.3 Terminacin o cambio de empleo
Asegurar que los empleados, contratistas y usuarios de terceros salgan de la
organizacin o cambien de empleo de una forma ordenada.

Responsabilidades de la terminacin laboral

Devolucin de activos

Retiro de derechos de acceso

36

9 Seguridad fsica y del entorno

9.1 reas seguras
Evitar accesos no autorizados, daos e interferencias contra los locales y la
Informacin de la organizacin.

Permetro de seguridad fsica

Controles de entrada fsicos
Seguridad de oficinas, habitaciones e instalaciones
Proteccin contra amenazas externas y ambientales
Trabajo en reas seguras
reas de acceso pblico, entrega y cargas

37

9 Seguridad fsica y del entorno

9.1 Seguridad del equipo
Evitar prdidas, daos o comprometer los activos as como la interrupcin de
las actividades de la organizacin.

Ubicacin y proteccin del equipo

Servicios de apoyo
Seguridad en el cableado
Mantenimiento de equipo
Seguridad del equipo fuera del local
Eliminacin segura o reutilizacin de los equipos
Remocin de propiedad

38

10 Gestin de comunicaciones y operaciones

10.1

Procedimientos y responsabilidades operacionales

Asegurar la operacin correcta y segura de los recursos de tratamiento de
informacin..

Procedimientos de operacin documentados

Gestin de cambios

Segregacin de deberes

Separacin de las reas de desarrollo, prueba y operaciones

39

10 Gestin de comunicaciones y operaciones

10.2

Gestin de la entrega de servicio de terceros

Implementar y mantener un nivel apropiado de seguridad y de entrega de

servicio en lnea con los acuerdos con terceros.

Entrega de servicio

Monitoreo y revisin de los servicios de terceros

Manejar los cambios en los servicios de terceros

40

10 Gestin de comunicaciones y operaciones

10.3

Planificacin y aceptacin del sistema

Minimizar el riesgo de fallos de los sistemas. Se hace necesario una

planificacin y preparacin para asegurar la disponibilidad de capacidad y de
recursos adecuados para entregar en funcionamiento el sistema requerido.

Gestin de capacidad

Aceptacin del sistema

41

10 Gestin de comunicaciones y operaciones

10.5

Respaldo (back-up)

Mantener la integridad y la disponibilidad de los servicios de tratamiento de

informacin y comunicacin.

Back-up o respaldo de la informacin

Se deben hacer regularmente copias de seguridad de toda la informacin esencial del

negocio y del software, en concordancia con la poltica acordada de recuperacin.

42

10 Gestin de comunicaciones y operaciones

10.6

Gestin de seguridad en redes

Asegurar la salvaguarda de la informacin en las redes y la proteccin de su

infraestructura de apoyo.

Controles de red

Seguridad en los servicios de red

Las caractersticas de seguridad, niveles de servicio y los requisitos de gestin de todos

los servicios de red deben ser identificados e incluidos en cualquier acuerdo de servicio
de red, as estos servicios sean provistos dentro o fuera de la organizacin.

43

10 Gestin de comunicaciones y operaciones

10.7

Gestin de medios
Asegurar la salvaguarda de la informacin en las redes y la proteccin de su
infraestructura de apoyo.

Gestin de medios cambiables

Retiro de medios

Procedimientos de procesamiento de la informacin

Documentacin de la seguridad de la informacin

44

10 Gestin de comunicaciones y operaciones

10.8

Intercambio de informacin
Evitar la prdida, modificacin o mal uso del intercambio de informacin
entre organizaciones.

Poltica y procedimientos de intercambio de la informacin

Acuerdos de intercambio

Medios fsicos en trnsito

Mensajera electrnica

Sistemas de informacin del negocio

45

10

Gestin de comunicaciones y operaciones

10.9

Servicios de comercio electrnico

Asegurar las transacciones de los servicios de comercio electrnico.

Comercio electrnico

Transacciones en lnea

Informacin disponible pblicamente

46

10

Gestin de comunicaciones y operaciones

10.10 Monitoreo
Detectar las actividades de procesamiento de informacin no autorizadas.

Registro de la auditora

Uso del sistema de monitoreo

Proteccin de la informacin del registro

Registros de administrador y operador

Registro de fallas

Sincronizacin de relojes
47

11

Control de Acceso

11.1

Requerimientos del negocio para el control de acceso

Controlar los accesos a la informacin.

Poltica de control de acceso

La poltica debe ser establecida, documentada y revisada y debe estar

basada en los requerimientos de seguridad y del negocio

48

11

Control de Acceso

11.2

Gestin de acceso del usuario

Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a
los sistemas de informacin.

Inscripcin del usuario

Gestin de privilegios

Gestin de la claves del usuario

Revisin de los derechos de acceso del usuario

49

11

Control de Acceso

11.3

Responsabilidades del usuario

Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la
informacin y de las instalaciones del procesamiento de informacin.

Uso de clave

Equipo de usuario desatendido

Poltica de pantalla y escritorio limpio

50

11

Control de Acceso

11.4

Control de acceso a redes

Prevenir el acceso no autorizado de los servicios de la red.

Poltica sobre uso de servicios en red

Autenticacin de usuario para conexiones externas

Identificacin del equipo en red

Proteccin de puertos de diagnstico remoto

Segregacin en redes

Control de conexin a las redes

Control de routing de redes

51

11

Control de Acceso

11.5

Control de acceso al sistema operativo

Evitar accesos no autorizados a los computadores. Los controles deben ser
capaces de:
a) Identificar y verificar la identidad de cada usuario autorizado en
concordancia con una poltica definida de control de acceso.
b) Registrar los accesos satisfactorios y fallidos al sistema.
c) Registrar el uso de privilegios especiales del sistema.
d) Alarmas para cuando la poltica del sistema de seguridad sea abierta.
e) Suministrar mecanismos, adecuados de autenticacin.
f) Cuando proceda, restringir los tiempos de conexin de usuarios.

52

11

Control de Acceso

11.5

Control de acceso al sistema operativo

Procedimientos de registro seguro en terminales

Identificacin y autenticacin de usuario

Sistemas de gestin de claves

Uso de utilidades del sistema

Sesin inactiva

Limitacin de tiempo de conexin

53

11

Control de Acceso

11.6

Control de acceso a las aplicaciones e informacin

Prevenir el acceso no autorizado a la informacin contenida en los sistemas.
Se deben restringir el acceso lgico al software y a la informacin slo a los
usuarios autorizados. Las aplicaciones deben:
a) Controlar el acceso de los usuarios a la informacin y las funciones del sistema
de aplicacin, de acuerdo con la poltica de control de accesos.
b) Protegerse de accesos no autorizados desde otras facilidades o software de
sistemas operativos que sean capaces de eludir los controles del sistema o de
las aplicaciones.
c) No comprometer la seguridad de otros sistemas con los que se compartan
recursos de informacin.

Restricciones al acceso a la informacin

Aislamiento del sistema sensible

54

11

Control de Acceso

11.7

Computacin mvil y teletrabajo

Garantizar la seguridad de la informacin cuando se usan dispositivos de
informtica mvil y teletrabajo

Computacin mvil y comunicaciones

Tele trabajo

55

12 Adquisicin,
sistemas
12.1

desarrollo

mantenimiento

de

Requisitos de seguridad de los sistemas

Asegurar que la seguridad est imbuida dentro de los sistemas de
informacin

Anlisis y especificacin de los requerimientos de seguridad

56

12 Adquisicin,
sistemas
12.2

desarrollo

mantenimiento

de

Procesamiento correcto en las aplicaciones

Evitar prdidas, modificaciones o mal uso de los datos de usuario en las
aplicaciones

Validacin de datos de ingreso

Control del procesamiento interno

Integridad del mensaje

Validacin de los datos de salida

57

12 Adquisicin,
sistemas
12.3

desarrollo

mantenimiento

de

Controles criptogrficos
Proteger la confidencialidad, autenticidad o integridad de la informacin

12.4

Poltica de uso de los controles criptogrficos

Gestin de claves

Seguridad de los archivos del sistema

Asegurar la proteccin de los archivos del sistema

Control del software operacional

Proteccin de la data de prueba del sistema
Control de acceso al cdigo fuente del programa
58

12 Adquisicin,
sistemas
12.5

desarrollo

mantenimiento

de

Seguridad en los procesos de desarrollo y soporte

Mantener la seguridad del software de aplicacin y la informacin

Procedimientos de control de cambios en el sistema operativo

Revisin tcnica de las aplicaciones despus de cambios en el sistema

operativo

Restricciones sobre los cambios en los paquetes de software

Filtracin de informacin

Desarrollo de software externo

59

12 Adquisicin,
sistemas
12.6

desarrollo

mantenimiento

de

Gestin de la vulnerabilidad tcnica

Reducir los riesgos resultantes de la explotacin de vulnerabilidades tcnicas
publicadas
Control de las vulnerabilidades tcnicas

Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los

sistemas informacin utilizadas. Igualmente, se debe evaluar la exposicin de la
organizacin a tales vulnerabilidades y las medidas apropiadas para tratar a los riegos
asociados.

60

13 Gestin de incidentes en la seguridad de

informacin
13.1 Reporte de eventos y debilidades de la seguridad de
informacin
Asegurar que los eventos y debilidades en la seguridad de informacin
asociados con los sistemas de informacin sean comunicados de una manera
que permita que se realice una accin correctiva a tiempo

Reporte de los eventos en la seguridad de informacin

Reporte de debilidades en la informacin

61

13 Gestin de incidentes en la seguridad de

informacin
13.2 Gestin de incidentes y mejoras en la seguridad de la
informacin.
Asegurar un alcance consistente y efectivo aplicado a la gestin de incidentes
en la seguridad de informacin
Responsabilidades y procedimientos

Aprendizaje de los incidentes en la seguridad de informacin

Recoleccin de evidencia

62

14 Gestin de continuidad del negocio

14.1 Aspectos de la seguridad de la informacin en la gestin
de continuidad del negocio.
Reaccionar a la interrupcin de actividades del negocio y proteger sus
procesos crticos frente a grandes fallos de los sistemas de informacin o
desastres.

Inclusin de la seguridad de informacin en el proceso de gestin de la

continuidad del negocio

Continuidad del negocio y evaluacin del riesgo

Desarrollar e implementar planes de continuidad incluyendo seguridad

de la informacin.

Estructura de planificacin para la continuidad del negocio

Prueba, mantenimiento y reevaluacin de los planes de continuidad del

negocio
63

14 Gestin de continuidad del negocio

Etapas de planificacin
Principales etapas
Clasificacin de los distintos escenarios de desastres
Evaluacin de impacto en el negocio
Desarrollo de una estrategia de recupero
Implementacin de la estrategia
Documentacin del plan de recupero
Prueba y mantenimiento del plan
64

15 Cumplimiento
15.1 Cumplimiento con los requisitos legales.
Evitar los incumplimientos de cualquier ley civil o penal, requisito
reglamentario, regulacin u obligacin contractual, y de todo requisito de
seguridad.

Identificacin de la legislacin aplicable

Derechos de propiedad intelectual (IPR)

Proteccin de los registros organizacionales.

Proteccin de data y de la privacidad de la informacin personal

Prevencin de mal uso de medios de procesamiento de la informacin

Regulacin de los controles criptogrficos

65

15 Cumplimiento
15.2 Cumplimiento de las polticas y estndares de seguridad y
el cumplimiento tcnico.
Asegurar la conformidad de los sistemas con las polticas y normas de
seguridad.

Conformidad con la poltica de seguridad y los estndares de seguridad

Comprobacin del cumplimiento tcnico.

66

15 Cumplimiento
15.3 Consideraciones de la auditora de los sistemas de
informacin.
Maximizar la efectividad y minimizar las interferencias en el proceso de
auditora del sistema.

Controles de auditora de sistemas de informacin

Proteccin de las herramientas de auditora de sistemas la informacin.

67

Legislacin en materia de Seguridad de la Informacin

en el Per
RM 216-2006-MINCETRUR Aprueban documento Lineamientos General de
de Poltica de Seguridad de la informacin del Ministerio de Comercio Exterior
y Turismo 08-08-2006
RM 575-2006/MINSA Aprueban Directiva Administrativa de Gestin de la
Seguridad de la Informacin del Ministerio de Salud -23-06-2006
RM 520-2006/MINSA Aprueban Documento Tcnico Lineamientos de de
Poltica de seguridad de la Informacin del Ministerio de Salud 23-06-2006
RM 224-2004-PCM Aprueban uso obligatorio de la Norma Tcnica Peruana
NTP-ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin. Cdigo de buenas
prcticas para la gestin de la seguridad de la informacin 1 26-07-2004
RM 310-2004-PCM Autorizan ejecucin de la Primera Encuesta de Seguridad
de la Informacin en la Administracin Pblica
Resolucin N 030-2008 /CRT-INDECOPI Aprueban Guas de acreditacin de
Entidades de Certificacin Digital, Entidades de Registro o Verificacin de
datos y Entidades de Prestacin de Servicios de Valor Aadido, as como la
Gua para la Acreditacin del Software de Firmas Digitales 19-03-2008

68

Gracias por su atencin

mvelizg@yahoo.com.mx