Seguridad de la Información

Protección de Datos

Dr. Raúl Salazar Tabarné

TEMARIO Seguridad de la información

Amenazas de la información

Responsabilidad por la seguridad de la información

Políticas de seguridad de la información

Reporte de incidentes y debilidades

Normatividad internacional

normatividad nacional

La información está compuesta por los datos del negocio, sistemas de información y procesos que en conjunto, tiene sentido para las operaciones de la Organización y el logro de sus objetivos.

Seguridad de la Información

Activo de InformaciónLa información y el medio donde se encuentra (impresos, medios electrónicos entre otros) constituye los activos de información

Seguridad de la Información

La seguridad de la información se entiende, en su sentido más amplio,

como proveer:

Confidencialidad

Integridad

Disponibilidad

Seguridad de la InformaciónCLASIFICACION NIVEL

CRITICIDAD NEGOCIO

DEFINICION EJEMPLOS

PUBLICA Bajo Información que puede ser de conocimiento interno o externo.

Productos y servicios bancarios

INTERNA Media Información personal para uso dentro de la organización.

Organigrama de la empresa, directorio telefónico. Políticas, procedimientos, estándares y planillas

CONFIDENCIAL Alta Toda aquella información amparada por la reserva bancaria. La revelación no autorizada podría afectar negativamente al personal.Arquitectura Tecnológica.Información de cliente y empleados protegida por ley o regulación

Número de cuenta, número de identificación personal, información sobre depósitos o inversiones de cualquier tipo, saldos , cupos y movimientos de cuenta.Historial de trabajo, información de recursos humanos. Información de nuevos productos o servicios para liberar (incluidos costos o precios a detalle).

RESTRINGIDA Extrema Requiere precauciones especiales para asegurar la integridad de los datos, protegiéndolos de eliminación o alteración no autorizada

Información financiera, proyectos de planeación estratégica. Principalmente secretos comerciales. Administración y generación de llaves criptográficas para los pines seguros Débito y Crédito .

Amenazas contra la InformaciónSon múltiples las amenazas que pueden ocasionar problemas a la seguridad de la información:

• Fenómenos naturales.

• Fuego.

• Actos accidentales o intencionales contra la información:

virus, gusanos, programas espías. Ingeniería social.Robo de datosEspionajeFraudes.Negación de servicios.

• Fallas en software, hardware y procedimientos.

Responsabilidad por la Seguridad de la Información

• En general todas las personas internas y externas que acceden a la información de la empresa son responsables por su seguridad.

• Cada uno debe tomar las precauciones necesarias para mantener la información lo más segura posible.

• Un principio básico para lograr lo anterior, es cumplir o aplicar correctamente las políticas, normas y estándares de seguridad.

Políticas de Seguridad

En los computadores solo deben residir los programas que hayan sido instalados y autorizados por la Gerencia de tecnología.

Si requiere compartir carpetas con otros usuarios de la red, solo debe autorizar su acceso a las personas estrictamente necesarias.

1.Uso Responsable de los Recursos y Servicios de Información

No use el servicio de correo para retransmitir cadenas o enviar chistes.

No abra correos de procedencia desconocida y mucho menos los archivos anexos que allí pueden venir.

La información confidencial que vaya enviar por correo fuera de la empresa debe ir cifrada para proteger su confidencialidad.

El acceso al servicio de Internet es autorizado al personal de la empresa que lo requiera para propósitos del negocio y en consecuencia es autorizado para uso personal e intransferible.

El acceso a Internet solo se autoriza por el canal que tiene contratado y protegido la empresa. Cualquier conexión alterna debe ser autorizada por Tecnología.

Los perfiles de acceso a los sistemas de información deben estar definidos de acuerdo con sus funciones y responsabilidades.

Recomendaciones

No publicar información sensible si el sitio no cuenta con funcionalidades de configuración para la privacidad de los datos.

Antes de aceptar una petición de un “amigo”, confirmar que sea la persona quien dice ser.

Seleccionar con mucho cuidado las aplicaciones que instalan en los perfiles, ya que muchas de estas aplicaciones contienen códigos maliciosos que puede robar información del perfil.

REDES SOCIALES

2. Uso Responsable de las cuentas de

usuario y contraseñasLas cuentas de usuario y contraseñas son de uso personal e intransferible. Por ninguna razón puede prestarlas y menos usar las de otro.

Usted es responsable por todos y cada uno de los eventos que queden registrados en los sistemas con sus cuentas de usuario.

Es su responsabilidad elegir contraseñas que sean seguras para evitar una posible suplantación.Cuál de las siguientes contraseñas es más segura: Filosofia4 WONDERful9 Jorge98 Elmufys8$

Usted debe reportar a Protección de Datos cualquier anomalía o sospecha de violación de las contraseñas de acceso.

3. Política de Equipo Desatendido

Mantenga activo en su PC el protector de pantalla con contraseña. Se activa cuando usted deja de usar el equipo por un determinado tiempo

Si requiere retirarse de su puesto de trabajo finalice las sesiones activas o bloquee la estación de trabajo, para evitar que alguien pueda accederla mientras está ausente:

Control - Alt - Supr → Bloquear equipo

4. Política de Escritorio LimpioHace referencia a no dejar

los activos de información que se clasifica restringida o confidencial en los puestos de trabajo al alcance de otros mientras está ausente.

Si requiere retirarse de su puesto de trabajo guarde bajo llave todos los elementos que contengan información confidencial.

Archive en un lugar seguro la información confidencial que no requiera tener a la mano.

Toda la información sensible, valiosa o crítica residente en los sistemas de computo debe respaldarse periódicamente (obtener una copia).

Usted debe acordar con Tecnología un procedimiento de respaldo si maneja información sensible en su PC.

La periodicidad de respaldo de la información debe estar definida de acuerdo con necesidades de recuperación. Si usted actualiza diariamente un volumen alto de información en su PC, esto significa que necesita sacar una copia de respaldo diariamente.

5. Política de Respaldo de Datos

Verifique que su computador tiene instalado el antivirus en caso contrario notifíquelo a Help Desk o Protección de Datos.

Verifique que se actualiza periódicamente, por lo tanto debe estar el siguiente símbolo en la parte inferior derecha de su computador:

La responsabilidad de evaluar la posible existencia de virus en la información que provenga de medios magnéticos, correo o Internet recae en el usuario.

6. Política de control de virus

Reporte de Incidentes de Seguridad

Se entiende por incidente de seguridad todo evento que afecte la confidencialidad, integridad y disponibilidad de la información, como por ejemplo:

Fallas de los sistemas y pérdida del servicio Errores por datos incompletos e inexactos Fallas en procesos En general la violación de las políticas de

seguridad.

• El personal tanto interno como externo debe estar vigilante respecto a los incidentes de seguridad y debe reportarlos a Help Desk inmediatamente tenga conocimiento de alguno de ellos.

Cumplimiento de las Políticas de Seguridad

El cumplimiento de las Políticas de seguridad es obligatorio. Si una persona viola las disposiciones en las Políticas, por negligencia o intencionalmente, la empresa se reserva el derecho de tomar las medidas correspondientes, tales como acciones disciplinarias, despido, acciones legales, etc.

Sistema de Gestión de la Seguridad de la Información

ISO 27001

¿Qué es un SGSI?

¿Para qué sirve un SGSI?

¿Qué incluye un SGSI?

¿Cómo se implementa un SGSI?

¿Qué tareas tiene la Gerencia en un SGSI?

¿Se integra un SGSI con otros sistemas de gestión?

CONTENIDOS

Estructura ISO/IEC 27001:2005

1. Alcance

2. Referencias Normativas

3. Términos y definiciones

4. Sistema de gestión de seguridad de la información

5. Responsabilidad de la gerencia

6. Auditoría interna del SGSI

7. Revisión gerencial del SGSI

8. Mejora del SGSI

INFORMACIÓN

Conjunto de datos organizados en poder de una entidad que posean valor para la misma,independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI )

INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS)

Consiste en la preservación de su:

• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial.

Este proceso es el que constituye un SGSI.

SEGURIDAD DE LA INFORMACIÓN

La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial.

Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas, tales como fraude, espionaje, sabotaje o vandalismo.

También a los virus informáticos, el “hacking” o los ataques de denegación de servicio, así como los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.

PARA QUE SIRVE UN SGSI ?

¿Qué incluye un SGSI?

• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI.

• Política y objetivos de seguridad: establece el compromiso de la dirección y el enfoque de la organización en la gestión del S.I.

• Procedimientos y mecanismos de control que soportan al SGSI: funcionamiento del SGSI.

• Enfoque de evaluación de riesgos: descripción de la metodología a emplear.

• Informe de evaluación de riesgos: estudio resultante.

DOCUMENTOS DEL SGSI

• Plan de tratamiento de riesgos: identifica las acciones de la dirección para gestionar los riesgos.

• Procedimientos documentados: todos los necesarios.

• Registros: documentos que proporcionan evidencias de la conformidad con losrequisitos y del funcionamiento eficaz del SGSI.

• Declaración de aplicabilidad: (SOA -Statement of Applicability-, documento que contiene los objetivos de control y los controlescontemplados por el SGSI.

Garantizar que los documentos :

Estén disponibles Sean transmitidos, Sean almacenados y Sean destruidos

Acorde con los procedimientos aplicables según su clasificación.

CONTROL DE DOCUMENTOS

• Plan (planificar): establecer el SGSI.

• Do (hacer): implementar y utilizar el SGSI.

• Check (verificar): monitorizar y revisar el SGSI.

• Act (actuar): mantener y mejorar el SGSI.

IMPLEMENTACIÓN DEL SGSI

TAREAS DE LA GERENCIA EN UN SGSICompromiso de la dirección

• Establecer una política de seguridad de la información.

• Asegurarse de que se establecen objetivos y planes del SGSI.

• Establecer roles y responsabilidades de seguridad de la información.

• Comunicar a la organización la importancia de lograr los objetivos de S.I., cumplir con la política de seguridad, responsabilidades legales y la necesidad de mejora continua.

• Asignar suficientes recursos al SGSI en todas sus fases.

• Decidir los criterios de aceptación de riesgos y sus niveles.

• Asegurar que se realizan auditorías internas.

• Realizar revisiones del SGSI, como se detalla más adelante.

Asignación de recursos• Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.

• Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de negocio.

• Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones contractuales de seguridad.

• Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada.

• Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de las mismas.

• Mejorar la eficacia del SGSI donde sea necesario.

Formación y concienciación• Determinar las competencias necesarias para el personal que realiza tareas en aplicación del SGSI.

• Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej., contratación de personal ya formado.

• Evaluar la eficacia de las acciones realizadas.

• Mantener registros de estudios, formación, habilidades, experiencia y cualificación.

Además, la dirección debe asegurar que todo el personal relevante esté concienciado de la importancia de sus actividades de seguridad de la información y de cómo contribuye a la consecución de los objetivos del SGSI.

Revisión del SGSI • Mejora de la eficacia del SGSI.

• Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.

• Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos.

• Necesidades de recursos.

• Mejora de la forma de medir la efectividad de los controles.

CONTROL Y AUDITORÁS INFORMÁTICOS

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Objetivo:

• Aspectos de seguridad de la información, de la gestión de lacontinuidad del negocio: contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres, y asegurar su recuperación oportuna.

ISO 9001, Gestión d la calidad

ISO 14001, Impacto medio-ambiental

OHSAS 18001, prevención de riesgos laborales

ISO 27001, como estándar de GSI

Ciclo PDCA de mejora continua común a todos estos estándares.

Algunos puntos que suponen una novedad en ISO 27001 frente a otros estándares son la evaluación de riesgos y el establecimiento de una declaración de aplicabilidad (SOA).

INTEGRACIÓN DEL SGSI CON OTROS S.G.

PROPUESTA POLÍTICA DE SEGURIDADLa corporación XXXXXXXXX , tiene como base para el cumplimiento de sus funciones regulatorias, el flujo y generación de información hacia las partes interesadas, por esta razón la Dirección Ejecutiva ha resuelto cumplir los requerimientos de la norma ISO 27001:2005, los cuales le proporcionan a la misma, la preservación de la confidencialidad, integridad y disponibilidad de la información que gestiona y almacena, mediante la aplicación del Sistema de Administración de Riesgos conocido por toda la Entidad, donde el compromiso y la participación de sus integrantes es trascendental, a fin de garantizar la mejora continua en el Sistema Integrado de Gestión y Control.

OBJETIVOS Identificar, clasificar y valorar los activos de Información dentro de la Entidad. Analizar y determinar el nivel de riesgo existente en los procesos y objetivos

de la Entidad. Implementar controles para fortalecer las estrategias de seguridad de la Información. Lograr que todos los servidores se concienticen de la importancia de la implementación del SGI.

NORMATIVIDAD NACIONAL

Norma Constitucional Constitución Política del Perú (Artículos Pertinentes)

Norma que Garantiza la Libertad de Información Ley No. 26301 Acción Constitucional de Habeas Data

Normas de Protección al Derecho de Autor Decreto Legislativo No. 822 Ley sobre el Derecho de

Autor (Protección Jurídica del Software)

Decisión No. 351 Régimen Común sobre Derecho de Autor y Derechos Conexos

Resolución No. 0121-1998/ODA-INDECOPI aprueban lineamientos de la Oficina de Derechos de Autor sobre uso legal de los programas de ordenador (software)

NORMATIVIDAD NACIONAL

Normas Sobre Delitos Informáticos Código Penal

Ley No. 27309 Ley que incorpora los Delitos Informáticos al Código Penal

Ley No. 30096 Ley de delitos informáticos

Normas de Firma y Certificados Digitales Ley No. 27269 Ley de Firmas y Certificados Digitales

Ley No. 27310 Ley que Modifica el Artículo 11º de la Ley 27269

Norma que permite la utilización de medios electrónicos para la comunicación para la manifestación de voluntad Ley No. 27291

Norma que regula el uso de correo electrónico Ley No 27419 Ley sobre notificación por correo electrónico

Ley N° 28493 Ley que regula el uso del correo electrónico comercial no solicitado (SPAM)

4. A las libertades de información, opinión, expresión y difusión del pensamiento mediante la palabra oral o escrita o la imagen, por cualquier medio de comunicación social, sin previa autorización ni censura ni impedimento algunos, bajo las responsabilidades de ley.

Los delitos cometidos por medio del libro, la prensa y demás medios de comunicación social se tipifican en el Código Penal y se juzgan en el fuero común.

Es delito toda acción que suspende o clausura algún órgano de expresión o le impide circular libremente. Los derechos de informar y opinar comprenden los de fundar medios de comunicación.

5. A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido. Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.

El secreto bancario y la reserva tributaria pueden levantarse a pedido del Juez, del Fiscal de la Nación, o de una comisión investigadora del Congreso con arreglo a ley y siempre que se refieran al caso investigado.

CONSTITUCIÓN POLÍTICA DEL PERU – 1993Título I: De la persona y la sociedad

Art. 2°, Toda persona tiene derecho a:

6. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.

7. Al honor y a la buena reputación, a la intimidad personal y familiar así como a la voz y a la imagen propias.Toda persona afectada por afirmaciones inexactas o agraviada en cualquier medio de comunicación social tiene derecho a que éste se rectifique en forma gratuita, inmediata y proporcional, sin perjuicio de las responsabilidades de ley.

8. A la libertad de creación intelectual, artística, técnica y científica, así como a la propiedad sobre dichas creaciones y a su producto. El Estado propicia el acceso a la cultura y fomenta su desarrollo y difusión.

10. Al secreto y a la inviolabilidad de sus comunicaciones y documentos privados.Las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen.Los documentos privados obtenidos con violación de este precepto no tienen efecto legal.Los libros, comprobantes y documentos contables y administrativos están sujetos a inspección o fiscalización de la autoridad competente, de conformidad con la ley. Las acciones que al respecto se tomen no pueden incluir su sustracción o incautación, salvo por orden judicial.

TITULO VDE LAS GARANTIAS CONSTITUCIONALES

Artículo 200.- Acciones de Garantía ConstitucionalSon garantías constitucionales:

3. La Acción de Hábeas Data, que procede contra el hecho u omisión, por parte de cualquier autoridad, funcionario o persona, que vulnera o amenaza los derechos a que se refiere el artículo 2, incisos 5 y 6 de la Constitución..

CAPÍTULO IFINALIDAD Y OBJETO DE LA LEY

Artículo 1. Objeto de la Ley

La presente Ley tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.

DELITOS INFORMATICOSLEY 30096 (23 Oct. 2013)

CAPÍTULO IIDELITOS CONTRA DATOS Y SISTEMAS INFORMÁTICOS

Artículo 2. Acceso ilícito

El que accede sin autorización a todo o parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días multa.Será reprimido con la misma pena el que accede a un sistema informático excediendo lo autorizado.

Artículo 3. Atentado contra la integridad de datos informáticos

El que, a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días multa.

Artículo 4. Atentado contra la integridad de sistemas informáticos

El que, a través de las tecnologías de la información o de la comunicación, inutiliza, total o parcialmente, un sistemainformático, impide el acceso a este, entorpece o imposibilitasu funcionamiento o la prestación de sus servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días multa.

Artículo 5. Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos.El que, a través de las tecnologías de la información o de la comunicación, contacta con un menor de catorce años para solicitar u obtener de él material pornográfico, o para llevar a cabo actividades sexuales con él, será reprimido con pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36 del Código Penal.

Cuando la víctima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de seis años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36 del Código Penal.

CAPÍTULO IIIDELITOS INFORMÁTICOS CONTRA LA INDEMNIDAD Y LIBERTAD SEXUALES

CAPÍTULO IVDELITOS INFORMTICOS CONTRA LA INTIMIDAD Y EL SECRETO DE LAS COMUNICACIONESArtículo 6. Tráfico ilegal de datos

El que crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

Artículo 7. Interceptación de datos informáticos

El que, a través de las tecnologías de la información o de la comunicación,intercepta datos informáticos en transmisiones no públicas, dirigidas a unsistema informático, originadas en un sistema informático o efectuadas dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años.

La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad con las normas de la materia.

La pena privativa de libertad será no menor de ocho ni mayor de diez años cuando el delito comprometa la defensa, la seguridad o la soberanía nacionales.

CAPÍTULO VDELITOS INFORMÁTICOS CONTRA EL PATRIMONIO

Artículo 8. Fraude informático

El que, a través de las tecnologías de la información o de la comunicación, procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días multa.

La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social.

CAPÍTULO VIDELITOS INFORMÁTICOS CONTRA LA FE PÚBLICA

Artículo 9. Suplantación de identidadEl que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

CAPÍTULO VIIDISPOSICIONES COMUNES

Artículo 10. Abuso de mecanismos y dispositivos informáticosEl que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días multa.

Artículo 11. Agravantes

El juez aumenta la pena privativa de libertad hasta en un tercio por encima del máximo legal fijado para cualquiera de los delitos previstos en la presente Leycuando:

1. El agente comete el delito en calidad de integrante de una organización criminal.

2. El agente comete el delito mediante el abuso de una posición especial de acceso a la data o información reservada o al conocimiento de esta información en razón del ejercicio de un cargo o función.

3. El agente comete el delito con el fi n de obtener un beneficio económico, salvo en los delitos que prevén dicha circunstancia.

4. El delito compromete fines asistenciales, la defensa, la seguridad y la soberanía nacionales.

RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM

Norma Técnica Peruana “NTP-ISO/ IEC 17799:2007EDI. Tecnología de la Información. Código de buenasprácticas para la gestión de la seguridad de lainformación. 2a. Edición” en todas las entidadesintegrantes del Sistema Nacional de Informática.

Marco de las recomendaciones La NTP-ISO 17799 es una compilación de

recomendaciones para las prácticas exitosas de seguridad, que toda organización puede aplicar independientemente de su tamaño o sector.

La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solución de seguridad de acuerdo a sus necesidades.

Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cómo se utilizan.

• En este sentido La Norma Técnica Peruana ISO – 17799, se emite para ser considerada en la implementación de estrategias y planes de seguridad de la información de las Entidades Públicas.

• La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.

RESOLUCIÓN MINISTERIAL Nº 129-2012-PCM

Aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/ IEC 27001:2008 EDI.Tecnología de la Información. Sistema de Gestión de Seguridad de la Información. Requisitos” las entidades integrantes del Sistema Nacional de Informática

“NTP-ISO/ IEC 27001:2008 EDI.Tecnología de la Información.

Sistema de Gestión de Seguridad de la Información. Requisitos”

Aspectos generales

Preparada con el fin de ofrecer un modelo para establecer, implementar, operar, monitoreas, mantener un efectivo Sistema de Gestión de Seguridad de la Información (SGSI-ISMS)

Puede usarse en el ámbito interno y externo de las organizaciones.

ENFOQUE DE PROCESO

Entender los requisitos de seguridad de información de negocios y la necesidad de establecer políticas y objetivos para la seguridad de la información

Implementar y operar controles en el contexto de administrar el riesgo total del negocio de una organización

Monitorear y revisar el desempeño y efectividad del SGSI

Mejoramiento continuo basado en la medición de objetivos.

ORGANIZACIÓN DE LA NORMA

1. ALCANCE

2. REFERENCIAS NORMATIVAS

3. TÉRMINOS Y DEFINICIONES

4. SGSI

5. RESPONSABILIDAD DE LA GERENCIA

6. AUDITORÍAS IINTERNAS DEL SGSI

7. REVISIÓN GERENCIAL DEL SGSI

8. MEJORA DEL SGSI

9. ANTECEDENTES - ANEXOS

ANEXO A (NORMATIVO)

A-5 Política de seguridad

A-6 Seguridad organizacional

A-7 Gestión de activos

A-8 Seguridad de recursos humanos

A-9 Seguridad física y del entorno

A-10 Gestión de comunicaciones y operaciones

A-11 Control de accesos

A-12 Adquisición de sistemas de información, desarrollo y mantenimiento

A-13 Gestión de incidentes en la seguridad de información

A-14 Gestión de la continuidad del negocio

A-15 Cumplimiento

ALCANCE

Todos los tipos de organizaciones:

Empresas comerciales Agencias de gobierno Organizaciones sin fines de lucro

El SGSI, está diseñado para garantizar y proporcionarcontroles de seguridad adecuados que protejan los activos deinformación.

APLICACIÓN Los requisitos establecidos en esta NTP son generales y tienen la intención de aplicarse a todas las organizaciones, sin tomar en cuenta el tipo, tamaño y naturaleza del negocio.

Cuando se realizan exclusiones de controles, los reclamos de conformidad de esta NTP no son aceptables a menos que esas exclusiones no afecten la capacidad la capacidad y/o responsabilidad de la organización para ofrecer seguridad de la información.

SISTEMA DE GESTIÓN DE SEGURIDAD DE LAINFORMACIÓN (SGSI)

La organización desarrollará, implementará, operará, revisará, mantendrá y continuará la mejora de un SGSI, documentado dentro del contexto de las actividades y riesgos totales de la organización.

El proceso se basa en el modelo PHVA-PDCA

GRACIAS