“Año del Diálogo y la Reconciliación Nacional”

INSTITUTO DE EDUCACIÓN SUPERIOR

TECNOLÓGICO PÚBLICO

“JOAQUÍN REÁTEGUI MEDINA”

COMPUTACIÓN E INFORMÁTICA
II

“Aplicación de la NTP ISO-IEC 17799/27001”

CURSO:
-Administración de Redes-
INTEGRANTES:
 AMIAS MANIHUARI, Bill
 MANAJO SAAVEDRA, Marlon Brandon
 TORRES GONGORA, Jenny Margarita
 TAMANI ARIMUYA, Wilber Elix
DOCENTE:
Ing. José Dilver Loayza Chávez

NAUTA – LORETO – PERÚ

2018
2 COMPUTACIÓN E INFORMÁTICA II

ÍNDICE

PÁG.
DEDICATORIA 3
I.
INTRODUCCIÓN 4
II.
5
III. APLICACIÓN DE LA NTP ISO-IEC 17799/27001

2.1. Sistema de Gestión de Seguridad de la Información (SGSI) 5

2.2. Implementación 6

2.3. Dominios de Control 6

2.3.1. Seguridad Organizacional 6

2.3.2. Seguridad Física 6

2.3.3. Seguridad Lógica 8

2.3.4. Seguridad Legal 9

CONCLUSIONES 10
V.
ANEXO 11
VI.
REFERENCIAS BIBLIOGRÁFICAS 12
VII.

ADMINISTRACIÓN DE REDES
2
3 COMPUTACIÓN E INFORMÁTICA II

I. DEDICATORIA

A Dios por brindarnos

vitalidad y salud todos los
días.

A cada uno de las personas

que hicieron posible la
realización de esta
monografía.

A los alumnos de
computación e informática
II, para que aprendan del
tema de la normalización
NTP-ISO 17799/27001.

ADMINISTRACIÓN DE REDES
3
4 COMPUTACIÓN E INFORMÁTICA II

II. INTRODUCCIÓN

El presente trabajo monográfico “Aplicación de la NTP ISO-IEC

17799/27001”, fue desarrollado por los alumnos de Computación e
Informática II para el curso de Administración de Redes de la carrera
Técnica de Computación e Informática del I.E.S.T.P “Joaquín Reátegui
Medina”.

En este trabajo se desarrollan los aspectos principales de la aplicación

de la norma peruana de Gestión de la Seguridad de la Información
NTP ISO-IEC 17799/27001, esta norma ofrece los requisitos
necesarios para que los responsables del área en concreto puedan
iniciar, implantar, mantener y mejorar la seguridad en las
organizaciones.

La finalidad de esta norma la norma IEC 17799; es establecer una

guía para una práctica efectiva durante la gestión de seguridad de la
información. Esta norma, incrementa la confianza entre diferentes
organizaciones a la hora de establecer una relación, precisa también
que esta norma está legislada.

La ISO/IEC 17799 establece diez dominios de control que cubren

por completo la Gestión de la Seguridad de la Información.

ADMINISTRACIÓN DE REDES
4
5 COMPUTACIÓN E INFORMÁTICA II

III. APLICACIÓN DE LA NTP ISO-IEC 17799/27001

La NTP ISO -IEC 17799/27001 es una norma peruana que ofrece

todas las recomendaciones necesarias para poder gestionar
un Sistema de Seguridad de la Información (SSI), al igual que la
norma internacional ISO 27001 cuyo ámbito de aplicación es
internacional, ofreciendo los requisitos necesarios para que los
responsables del área en concreto puedan iniciar, implantar,
mantener y mejorar la seguridad en las organizaciones.

La norma ISO-IEC 17799 persigue que se proporcione una base

común con la que poder llevar a cabo normas de seguridad dentro de
las empresas y convertirse en una práctica eficaz de gestión de la
seguridad.

Esta normal es una guía práctica que desarrolla los estándares

organizacionales de la seguridad y genera prácticas efectivas durante
la gestión de la Seguridad de la Información. Además, incrementa la
confianza a la hora de establecer relaciones entre diferentes
organizaciones. Todas las recomendaciones que genera esta norma
tienen que ser utilizadas de acuerdo con la legislación aplicable a esta
materia.

3.1. Sistema de Gestión de Seguridad de la Información (SGSI)

SGSI es la abreviatura utilizada para referirse a un Sistema de

Gestión de la Seguridad de la Información. En el contexto aquí
tratado, se entiende por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita.

La información, junto a los procesos y sistemas que hacen uso de ella,

son activos muy importantes de una organización. La
confidencialidad, integridad y disponibilidad de información sensible
pueden llegar a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial.

En el ámbito de la gestión de la calidad según ISO 9001, siempre se

ha mostrado gráficamente la documentación del sistema como una
pirámide de cuatro niveles.

 Manual de seguridad.
 Procedimientos.
 Instrucciones, checklists y formularios.
 Registros.

ADMINISTRACIÓN DE REDES
5
6 COMPUTACIÓN E INFORMÁTICA II

3.2. Implementación

Para establecer y gestionar un Sistema de Gestión de la Seguridad de

la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA
(Plan, Do, Check y Act) tradicional en los sistemas de gestión de la
calidad.
 Plan (planificar): establecer el SGSI.
 Do (hacer): implementar y utilizar el SGSI.
 Check (verificar): monitorizar y revisar el SGSI.
 Act (actuar): mantener y mejorar el SGSI.

3.3. Dominios de Control

La norma ISO/IEC 17799 establece diez dominios de control que

cubren por completo la Gestión de la Seguridad de la Información:

3.3.1. Seguridad Organizacional

Dentro de este, se establece el marco formal de seguridad que debe

sustentar la institución, incluyendo servicios o contrataciones
externas a la infraestructura de seguridad.

1. Política de Seguridad

 La alta dirección debe definir una política que refleje las líneas
directrices de la organización en materia de seguridad.
 La política se constituye en la base de todo el sistema de seguridad
de lainformación.
 La alta dirección debe apoyar visiblemente la seguridad de la
información en la compañía.

ADMINISTRACIÓN DE REDES
6
7 COMPUTACIÓN E INFORMÁTICA II

2. Aspectos organizativos para la seguridad

 Gestionar la seguridad de la información dentro de la organización.

 Mantener la seguridad de los recursos de tratamiento de la
información y de los activos de información de la organización.
 Mantener la seguridad de la información cuando la
responsabilidad de su tratamiento se ha externalizado a otra
organización.

3. Clasificación y control de activos

 Mantener una protección adecuada sobre los activos de la

organización.
 Asegurar un nivel de protección adecuado a los activos de
información.

4. Seguridad ligada al personal

 Reducir los riesgos de errores humanos, robos, fraudes o mal uso

de las instalaciones y los servicios.
 Asegurar que los usuarios son conscientes de las amenazas y
riesgos en el ámbito de la seguridad de la información.
 Minimizar los daños provocados por incidencias de seguridad y por
el mal funcionamiento, controlándolos y aprendiendo de ellos.

5. Gestión de continuidad del negocio

 Reaccionar a la interrupción de actividades del negocio y proteger

sus procesos críticos frente grandes fallos o desastres.
 Los planes de contingencia deben ser probados y revisados
periódicamente.
 Se deben definir equipos de recuperación ante contingencias.

3.3.2. Seguridad Física

Identifica los límites mínimos que se deben cumplir en cuanto a

perímetros de seguridad, de forma que se puedan establecer controles
en el manejo de equipos, transferencia de información y control de los
accesos a las distintas áreas con base en la importancia de los activos.

ADMINISTRACIÓN DE REDES
7
8 COMPUTACIÓN E INFORMÁTICA II

6. Seguridad física y del Entorno

 Evitar accesos no autorizados, daños e interferencias contra los

locales y la información de la organización.
 Evitar pérdidas, daños o comprometer los activos así como la
interrupción de las actividades de la organización.
 Prevenir las exposiciones a riesgo o robos de información y de
recursos de tratamiento de información.

3.3.3. SEGURIDAD LÓGICA

Trata de establecer e integrar los mecanismos y procedimientos, que

permitan monitorear el acceso a los activos de información, que
incluyen los procedimientos de administración de usuarios, definición
de responsabilidades, perfiles de seguridad, control de acceso a las
aplicaciones sobre sistemas.

7. Control de accesos

 Controlar los accesos a la información.

 Evitar accesos no autorizados a los sistemas de información.
 Evitar el acceso de usuarios no autorizados.
 Protección de los servicios en red.
 Evitar accesos no autorizados a ordenadores.

8. Desarrollo y mantenimiento de sistemas

 Asegurar que la seguridad está incluida dentro de los sistemas de

información.
 Evitar pérdidas, modificaciones o mal uso de los datos de usuarios
en las aplicaciones.
 Proteger la confidencialidad, autenticidad e integridad de la
información.

9. Gestión de comunicaciones y operaciones

 Asegurar la operación correcta y segura de los recursos de

tratamiento de información.
 Minimizar el riesgo de fallos en los sistemas.
 Proteger la integridad del software y de la información.

ADMINISTRACIÓN DE REDES
8
9 COMPUTACIÓN E INFORMÁTICA II

 Mantener la integridad y la disponibilidad de los servicios de

tratamiento de información y comunicación.

3.3.4. SEGURIDAD LEGAL

Integra los requerimientos de seguridad que deben cumplir todos los

empleados y usuarios de la red institucional bajo la reglamentación
de la normativa interna de políticas y manuales de procedimientos.

10. Conformidad con la legislación

 Evitar el incumplimiento de cualquier ley, estatuto, regulación u

obligación contractual y de cualquier requerimiento de seguridad.
 Garantizar la alineación de los sistemas con la política de
seguridad de la organización.
 Maximizar la efectividad y minimizar la interferencia de proceso de
auditoría de sistemas.

ADMINISTRACIÓN DE REDES
9
10 COMPUTACIÓN E INFORMÁTICA II

IV. CONCLUSIÓN
El grupo concluye en qué; la norma ISO-IEC 17799/27001 es un
conjunto de buenas prácticas que tiene 133 controles de seguridad y
10 dominios de control y aplicarlo en el ámbito organizacional de la
empresa brindará una mejor gestión de la seguridad, permitiendo de
esa manera implementar, administrar, y mejorar la seguridad por
parte del personal TIC a cargo.
La norma plantea sus pautas en tres aspectos marcados, la primera
de ella tiene que ver con seguridad organizacional, la segunda con
seguridad física, la tercera tiene que ver con seguridad lógica y la
última con seguridad legal.
El apoyo legal de la norma permite un alineamiento en cuanto a
política de seguridad de la organización, garantizando la máxima
efectividad y minimiza la interferencia del proceso de auditoría de
sistemas.

ADMINISTRACIÓN DE REDES
10
11 COMPUTACIÓN E INFORMÁTICA II

V. ANEXO

Seguridad de la Información basada en la normalización ISO 27001

Empresas que cuentan con más empresas certificadas en ISO 27001

ADMINISTRACIÓN DE REDES
11
12 COMPUTACIÓN E INFORMÁTICA II

VI. REFERENCIAS BIBLIOGRAFICAS

 NTP-ISO/IEC 17799: Norma Técnica Peruana

https://www.pmg-ssi.com/2015/03/ntp-isoiec-17799-norma-tecnica-
peruana/

 Aprueban el uso obligatorio de la Norma Técnica Peruana “NTP

ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de
Seguridad. Sistemas de Gestión de Seguridad de la Información.
Requisitos. 2a. Edición”, en todas las entidades integrantes del
Sistema Nacional de Informática
https://busquedas.elperuano.pe/download/url/aprueban-el-uso-
obligatorio-de-la-norma-tecnica-peruana-ntp-resolucion-ministerial-no-
004-2016-pcm-1333015-1

 Normas ISO 27001 y 17799

http://blogisofus.blogspot.com/2008/07/norma-iso-17799-2005.html

ADMINISTRACIÓN DE REDES
12