Seguridad de la

Informacin
Proteccin de
Datos

Dr. Ral Salazar Tabarn

TEMARIO
Seguridad de la informacin
Amenazas de la informacin

Responsabilidad por la seguridad de la

informacin

Polticas de seguridad de la informacin

Reporte de incidentes y debilidades
Normatividad internacional
normatividad nacional

Seguridad de la Informacin
La informacin est compuesta por los datos del negocio,
sistemas de informacin y procesos que en conjunto, tiene
sentido para las operaciones de la Organizacin y el logro
de sus objetivos.

Activo de Informacin
La informacin y el medio donde se encuentra
(impresos, medios electrnicos entre otros)
constituye los activos de informacin

Seguridad de la
Informacin
La seguridad de la
informacin se entiende, en
su sentido ms amplio, como
proveer:
Confidencialidad

Disponibilidad
Integridad

Seguridad de la Informacin
CLASIFICACION

NIVEL
CRITICIDAD
NEGOCIO

DEFINICION

EJEMPLOS

PUBLICA

Bajo

Informacin que puede ser de conocimiento interno

o externo.

Productos y servicios bancarios

INTERNA

Media

Informacin personal para uso dentro de la

organizacin.

CONFIDENCIAL

Alta

RESTRINGIDA

Extrema

Organigrama de la empresa,
directorio telefnico. Polticas,
procedimientos, estndares y
planillas
Toda aquella informacin amparada por la reserva
Nmero de cuenta, nmero de
bancaria.
identificacin personal,
La revelacin no autorizada podra afectar
informacin sobre depsitos o
negativamente al personal.
inversiones de cualquier tipo,
Arquitectura Tecnolgica.
saldos , cupos y movimientos de
Informacin de cliente y empleados protegida por ley cuenta.
o regulacin
Historial de trabajo, informacin
de recursos humanos.
Informacin de nuevos productos
o servicios para liberar (incluidos
costos o precios a detalle).
Requiere precauciones especiales para asegurar la
integridad de los datos, protegindolos de
eliminacin o alteracin no autorizada

Informacin financiera, proyectos

de planeacin estratgica.
Principalmente secretos
comerciales. Administracin y
generacin de llaves
criptogrficas para los pines
seguros Dbito y Crdito .

Amenazas contra la
Informacin
Son mltiples las amenazas que pueden ocasionar
problemas a la seguridad de la informacin:

Fenmenos naturales.
Fuego.
Actos accidentales o

intencionales

contra la informacin:
virus, gusanos, programas espas.
Ingeniera social.
Robo de datos
Espionaje
Fraudes.
Negacin de servicios.

Fallas

en
software,
procedimientos.

hardware

Responsabilidad por la
Seguridad de la Informacin
En general todas las personas
internas y externas que acceden a
la informacin de la empresa son
responsables por su seguridad.

Cada

uno
debe
tomar
las
precauciones
necesarias
para
mantener la informacin lo ms
segura posible.

Un principio bsico para lograr lo

anterior, es cumplir o aplicar
correctamente las polticas, normas
y estndares de seguridad.

Polticas de
Seguridad

1.Uso Responsable de los Recursos

y Servicios de Informacin
En los computadores solo
deben residir los programas
que hayan sido instalados y
autorizados por la Gerencia
de tecnologa.
Si requiere compartir carpetas
con otros usuarios de la red,
solo debe autorizar su acceso
a las personas estrictamente
necesarias.

 No use el servicio de correo para retransmitir

cadenas o enviar chistes.
No abra correos de procedencia desconocida y
mucho menos los archivos anexos que all pueden
venir.
La informacin confidencial que vaya enviar por
correo fuera de la empresa debe ir cifrada para
proteger su confidencialidad.
El acceso al servicio de Internet es autorizado al
personal de la empresa que lo requiera para
propsitos del negocio y en consecuencia es
autorizado para uso personal e intransferible.

 El acceso a Internet solo se autoriza

por el canal que tiene contratado y
protegido la empresa. Cualquier
conexin alterna debe ser autorizada
por Tecnologa.

Los perfiles de acceso a los sistemas

de informacin deben estar definidos
de acuerdo con sus funciones y
responsabilidades.

REDES
SOCIALES
Recomendaciones
No publicar informacin sensible si el
sitio no cuenta con funcionalidades de
configuracin para la privacidad de los
datos.
Antes de aceptar una peticin de un
amigo, confirmar que sea la persona
quien dice ser.
Seleccionar con mucho cuidado las
aplicaciones que instalan en los perfiles,
ya que muchas de estas aplicaciones
contienen cdigos maliciosos que puede
robar informacin del perfil.

2. Uso Responsable de las

cuentas de
Las usuario
cuentas de usuario
y contraseas
y contraseas
son de uso personal e intransferible. Por
ninguna razn puede prestarlas y
menos usar las de otro.

Usted es responsable por todos y cada

uno de los eventos que queden
registrados en los sistemas con sus
cuentas de usuario.
Es su responsabilidad elegir
contraseas que sean seguras para
evitar una posible suplantacin.
Cul de las siguientes contraseas es
ms segura:
Filosofia4 WONDERful9 Jorge98
Elmufys8$
Usted debe reportar a Proteccin de

3. Poltica de Equipo
Desatendido
Mantenga activo en su PC el
protector de pantalla con
contrasea.
Se
activa
cuando usted deja de usar el
equipo por un determinado
tiempo
Si requiere retirarse de su
puesto de trabajo finalice las
sesiones activas o bloquee la
estacin de trabajo, para
evitar que alguien pueda
accederla
mientras
est
ausente:
Control - Alt - Supr
Bloquear equipo

4. Poltica de Escritorio
Limpio
Hace referencia
a no dejar
los activos de informacin
que se clasifica restringida o
confidencial en los puestos
de trabajo al alcance de otros
mientras est ausente.
Si requiere retirarse de su
puesto de trabajo guarde
bajo
llave
todos
los
elementos que contengan
informacin confidencial.
Archive en un lugar seguro la
informacin confidencial que
no requiera tener a la mano.

5. Poltica de Respaldo de
Datos
Toda
la informacin sensible, valiosa o crtica

residente en los sistemas de computo debe

respaldarse
peridicamente
(obtener
una
copia).

Usted debe acordar con Tecnologa un

procedimiento
de
respaldo
si
maneja
informacin sensible en su PC.

La periodicidad de respaldo de la informacin

debe estar definida de acuerdo con necesidades
de recuperacin. Si usted actualiza diariamente
un volumen alto de informacin en su PC, esto
significa que necesita sacar una copia de
respaldo diariamente.

6. Poltica de control de
Verifique
que su computador tiene
virus
instalado el antivirus en caso contrario
notifquelo a Help Desk o Proteccin de
Datos.

Verifique que se actualiza

peridicamente, por lo tanto debe estar
el siguiente smbolo en la parte inferior
derecha de su computador:

La responsabilidad de evaluar la posible

existencia de virus en la informacin
que provenga de medios magnticos,
correo o Internet recae en el usuario.

Reporte de Incidentes de Seguridad

Se entiende por incidente de seguridad
todo
evento
que
afecte
la
confidencialidad,
integridad
y
disponibilidad de la informacin, como
por ejemplo:
Fallas de los sistemas y prdida del servicio
Errores por datos incompletos e inexactos
Fallas en procesos
En general la violacin de las polticas de
seguridad.

El personal tanto interno como externo

debe estar vigilante respecto a los
incidentes de seguridad y debe
reportarlos a Help Desk
inmediatamente tenga conocimiento

Cumplimiento de las
Polticas de Seguridad
El cumplimiento de las Polticas
de seguridad es obligatorio. Si
una
persona
viola
las
disposiciones en las Polticas,
por
negligencia
o
intencionalmente, la empresa
se reserva el derecho de tomar
las medidas correspondientes,
tales
como
acciones
disciplinarias,
despido,
acciones legales, etc.

Sistema de Gestin de la
Seguridad de la
Informacin
ISO 27001

CONTENIDOS
Qu es un SGSI?
Para qu sirve un SGSI?
Qu incluye un SGSI?
Cmo se implementa un SGSI?
Qu tareas tiene la Gerencia en un SGSI?
Se integra un SGSI con otros sistemas de
gestin?

Estructura ISO/IEC
27001:2005
1. Alcance
2. Referencias Normativas
3. Trminos y definiciones
4. Sistema de gestin de seguridad de la
informacin
5. Responsabilidad de la gerencia
6. Auditora interna del SGSI
7. Revisin gerencial del SGSI
8. Mejora del SGSI

MA DE GESTIN DE SEGURIDAD DE LA INFORM

(SGSI )

ORMATION SECURITY MANAGEMENT SYSTEM (I

INFORMACIN
Conjunto de datos organizados en poder
de una entidad que posean valor para la
misma,
independientemente de la forma en que
se guarde o transmita (escrita, en
imgenes, oral, impresa en papel,
almacenada electrnicamente,
proyectada, enviada por correo, fax o email, transmitida en conversaciones,

SEGURIDAD DE LA INFORMACIN
Consiste en la preservacin de su:
Confidencialidad: la informacin no se pone a
disposicin ni se revela a individuos, entidades o procesos
no autorizados.
Integridad: mantenimiento de la exactitud y
completitud de la informacin y sus mtodos de proceso.
Disponibilidad: acceso y utilizacin de la informacin
y los sistemas de tratamiento de la misma por parte de
los individuos, entidades o procesos autorizados cuando
lo requieran.
Para garantizar que la seguridad de la informacin es
gestionada correctamente, se debe hacer uso de un
proceso sistemtico, documentado y conocido por toda
la organizacin, desde un enfoque de riesgo
empresarial.

PARA QUE SIRVE UN SGSI ?

La informacin, junto a los procesos y sistemas que
hacen uso de ella, son activos muy importantes de una
organizacin. La confidencialidad, integridad y
disponibilidad de informacin sensible pueden llegar a
ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e
imagen empresarial.
Las organizaciones y sus sistemas de informacin estn
expuestos a un nmero cada vez ms elevado de
amenazas, tales como fraude, espionaje, sabotaje o
vandalismo.
Tambin a los virus informticos, el hacking o los
ataques de denegacin de servicio, as como los riesgos
de sufrir incidentes de seguridad causados voluntaria o
involuntariamente o aquellos provocados

Qu incluye un SGSI?

DOCUMENTOS DEL SGSI

Alcance del SGSI: mbito de la organizacin que
queda sometido al SGSI.
Poltica y objetivos de seguridad: establece el
compromiso de la direccin y el enfoque de la
organizacin en la gestin del S.I.
Procedimientos y mecanismos de control que
soportan al SGSI: funcionamiento del SGSI.
Enfoque de evaluacin de riesgos: descripcin
de la metodologa a emplear.
Informe de evaluacin de riesgos: estudio
resultante.

 Plan de tratamiento de riesgos:

identifica las acciones de la direccin para
gestionar los riesgos.
Procedimientos documentados: todos
los necesarios.
Registros: documentos que proporcionan
evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del
SGSI.
Declaracin de aplicabilidad: (SOA
-Statement of Applicability-, documento que
contiene los objetivos de control y los
controles
contemplados por el SGSI.

CONTROL DE DOCUMENTOS
Garantizar que los
documentos :

Estn disponibles
Sean transmitidos,
Sean almacenados y
Sean destruidos

Acorde con los

procedimientos aplicables
segn su clasificacin.

IMPLEMENTACIN DEL SGSI

Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el
SGSI.
Check (verificar): monitorizar y revisar
el SGSI.
Act (actuar): mantener y mejorar el
SGSI.

TAREAS DE LA GERENCIA EN UN SGS

Compromiso de la direccin
Establecer una poltica de seguridad de la informacin.
Asegurarse de que se establecen objetivos y planes del
SGSI.
Establecer roles y responsabilidades de seguridad de la
informacin.
Comunicar a la organizacin la importancia de lograr los
objetivos de S.I., cumplir con la poltica de seguridad,
responsabilidades legales y la necesidad de mejora
continua.
Asignar suficientes recursos al SGSI en todas sus fases.
Decidir los criterios de aceptacin de riesgos y sus
niveles.

Asignacin de recursos
Establecer, implementar, operar, monitorizar, revisar,
mantener y mejorar el SGSI.
Garantizar que los procedimientos de seguridad de la
informacin apoyan los requerimientos de negocio.
Identificar y tratar todos los requerimientos legales y
normativos, as como las obligaciones contractuales de
seguridad.
Aplicar correctamente todos los controles
implementados, manteniendo de esa forma la seguridad
adecuada.
Realizar revisiones cuando sea necesario y actuar
adecuadamente segn los resultados de las mismas.
Mejorar la eficacia del SGSI donde sea necesario.

Formacin y concienciacin
Determinar las competencias necesarias para el
personal que realiza tareas en aplicacin del SGSI.
Satisfacer dichas necesidades por medio de formacin
o de otras acciones como, p. ej., contratacin de
personal ya formado.
Evaluar la eficacia de las acciones realizadas.
Mantener registros de estudios, formacin, habilidades,
experiencia y cualificacin.
Adems, la direccin debe asegurar que todo el personal
relevante est concienciado de la importancia de sus
actividades de seguridad de la informacin y de cmo
contribuye a la consecucin de los objetivos del SGSI.

Revisin del SGSI

Mejora de la eficacia del SGSI.
Actualizacin de la evaluacin de riesgos y del plan de
tratamiento de riesgos.
Modificacin de los procedimientos y controles que
afecten a la seguridad de la informacin, en respuesta a
cambios internos o externos en los requisitos de negocio,
requerimientos de seguridad, procesos de negocio,
marco legal, obligaciones contractuales, niveles de riesgo
y criterios de aceptacin de riesgos.
Necesidades de recursos.
Mejora de la forma de medir la efectividad de los
controles.

ONTROL Y AUDITORS INFORMTICO

GESTIN DE LA CONTINUIDAD
DEL NEGOCIO
Objetivo:
Aspectos de seguridad de la informacin, de la
gestin de la
continuidad del negocio: contrarrestar las
interrupciones en las actividades del negocio y
proteger sus procesos crticos contra los efectos de
fallas importantes en los sistemas de informacin o
contra desastres, y asegurar su recuperacin
oportuna.

TEGRACIN DEL SGSI CON OTROS S.

ISO 9001, Gestin d la calidad
ISO 14001, Impacto medio-ambiental
OHSAS 18001, prevencin de riesgos laborales
ISO 27001, como estndar de GSI
Ciclo PDCA de mejora continua comn a todos estos
estndares.
Algunos puntos que suponen una novedad en ISO
27001 frente a otros estndares son la evaluacin de
riesgos y el establecimiento de una declaracin de
aplicabilidad (SOA).

PROPUESTA POLTICA DE
SEGURIDAD
La corporacin XXXXXXXXX , tiene como base para el
cumplimiento de sus funciones regulatorias, el flujo y generacin
de informacin hacia las partes interesadas, por esta razn la
Direccin Ejecutiva ha resuelto cumplir los requerimientos de la
norma ISO 27001:2005, los cuales le proporcionan a la misma, la
preservacin de la confidencialidad, integridad y disponibilidad
de la informacin que gestiona y almacena, mediante la
aplicacin del Sistema de Administracin de Riesgos conocido
por toda la Entidad, donde el compromiso y la participacin de
sus integrantes es trascendental, a fin de garantizar la mejora
continua en el Sistema Integrado de Gestin y Control.
OBJETIVOS
Identificar, clasificar y valorar los activos de Informacin
dentro de la Entidad.
Analizar y determinar el nivel de riesgo existente en los
procesos y objetivos de la Entidad.

NORMATIVIDAD NACIONA

NORMATIVIDAD NACIONAL
Norma Constitucional
Constitucin Poltica del Per (Artculos Pertinentes)
Norma que Garantiza la Libertad de Informacin
Ley No. 26301 Accin Constitucional de Habeas Data
Normas de Proteccin al Derecho de Autor
Decreto Legislativo No. 822 Ley sobre el Derecho de
Autor (Proteccin Jurdica del Software)
Decisin No. 351 Rgimen Comn sobre Derecho de
Autor y Derechos Conexos
Resolucin No. 0121-1998/ODA-INDECOPI aprueban
lineamientos de la Oficina de Derechos de Autor sobre
uso legal de los programas de ordenador (software)

Normas Sobre Delitos Informticos

Cdigo Penal
Ley No. 27309 Ley que incorpora los Delitos Informticos al Cdigo
Penal

Ley No. 30096 Ley de delitos informticos

Normas de Firma y Certificados Digitales
Ley No. 27269 Ley de Firmas y Certificados Digitales
Ley No. 27310 Ley que Modifica el Artculo 11 de la Ley 27269
Norma que permite la utilizacin de medios electrnicos para la
comunicacin para la manifestacin de voluntad
Ley No. 27291
Norma que regula el uso de correo electrnico
Ley No 27419 Ley sobre notificacin por correo electrnico
Ley N 28493 Ley que regula el uso del correo electrnico comercial
no solicitado (SPAM)

CONSTITUCIN POLTICA DEL PERU 1993

Ttulo I: De la persona y la sociedad
Art. 2, Toda persona tiene derecho a:
4. A las libertades de informacin, opinin, expresin y difusin del
pensamiento
mediante la palabra oral o escrita o la imagen, por cualquier medio
de comunicacin social, sin previa autorizacin ni censura ni
impedimento algunos, bajo las responsabilidades de ley.
Los delitos cometidos por medio del libro, la prensa y
dems medios de comunicacin social se tipifican en el
Cdigo Penal y se juzgan en el fuero comn.
Es delito toda accin que suspende o clausura algn rgano de
expresin o le impide circular libremente. Los derechos de informar
y opinar comprenden los de fundar medios de comunicacin.
5. A solicitar sin expresin de causa la informacin que
requiera y a recibirla de cualquier entidad pblica, en el
plazo legal, con el costo que suponga el pedido. Se
exceptan las informaciones que afectan la intimidad
personal y las que expresamente se excluyan por ley o por
razones de seguridad nacional.
El secreto bancario y la reserva tributaria pueden levantarse a

6. A que los servicios informticos, computarizados o no, pblicos

o privados, no
suministren informaciones que afecten la intimidad personal y
familiar.
7. Al honor y a la buena reputacin, a la intimidad personal y familiar as
como a la voz y a la imagen propias.
Toda persona afectada por afirmaciones inexactas o agraviada en
cualquier medio de comunicacin social tiene derecho a que ste se
rectifique en forma gratuita, inmediata y proporcional, sin perjuicio de las
responsabilidades de ley.
8. A la libertad de creacin intelectual, artstica, tcnica y
cientfica, as como a la
propiedad sobre dichas creaciones y a su producto. El Estado
propicia el acceso a la
cultura y fomenta su desarrollo y difusin.
10. Al secreto y a la inviolabilidad de sus comunicaciones y documentos
privados.
Las comunicaciones, telecomunicaciones o sus instrumentos slo pueden
ser abiertos,
incautados, interceptados o intervenidos por mandamiento motivado del
juez, con las
garantas previstas en la ley. Se guarda secreto de los asuntos ajenos al

TITULO V
DE LAS GARANTIAS CONSTITUCIONALES
Artculo 200.- Acciones de Garanta
Constitucional
Son garantas constitucionales:
3. La Accin de Hbeas Data, que procede
contra el hecho u omisin, por parte de cualquier
autoridad, funcionario o persona, que vulnera o
amenaza los derechos a que se
refiere el artculo 2, incisos 5 y 6 de la
Constitucin.
.

DELITOS INFORMATICOS
LEY 30096 (23 Oct. 2013)
CAPTULO I
FINALIDAD Y OBJETO DE LA LEY

Artculo 1.

Objeto de la Ley

La presente Ley tiene por objeto prevenir y

sancionar las conductas ilcitas que afectan los
sistemas y datos informticos y otros bienes
jurdicos de relevancia penal, cometidas
mediante la utilizacin de tecnologas de la
informacin o de la comunicacin, con la
finalidad de garantizar la lucha eficaz contra la
ciberdelincuencia.

CAPTULO II
DELITOS CONTRA DATOS Y SISTEMAS INFORMTICOS

Artculo 2. Acceso ilcito

El que accede sin autorizacin a todo o parte de un sistema
informtico, siempre que se realice con vulneracin de
medidas de seguridad establecidas para impedirlo, ser
reprimido con pena privativa de libertad no menor de uno ni
mayor de cuatro aos y con treinta a noventa das multa.
Ser reprimido con la misma pena el que accede a un
sistema informtico excediendo lo autorizado.

Artculo 3. Atentado contra la integridad de

datos informticos
El que, a travs de las tecnologas de la informacin o de la
comunicacin, introduce, borra, deteriora, altera, suprime o
hace inaccesibles datos informticos, ser reprimido con
pena privativa de libertad no menor de tres ni mayor de seis

o 4. Atentado contra la integridad de sistemas inform

a travs de las tecnologas de la informacin o de la

cacin, inutiliza, total o parcialmente, un sistema
tico, impide el acceso a este, entorpece o imposibilita
onamiento o la prestacin de sus servicios, ser
do con pena privativa de libertad no menor de tres ni
de seis aos
y con ochenta a ciento veinte das

CAPTULO III
Artculo
5. Proposiciones
a nios,
nias y Y
DELITOS
INFORMTICOS CONTRA
LA INDEMNIDAD
adolescentes conLIBERTAD
fines sexuales
SEXUALES por medios
tecnolgicos.
El que, a travs de las tecnologas de la informacin o de la
comunicacin, contacta con un menor de catorce aos para
solicitar u obtener de l material pornogrfico, o para llevar a
cabo actividades sexuales con l, ser reprimido con pena
privativa de libertad no menor de cuatro ni mayor de ocho aos e
inhabilitacin conforme a los numerales 1, 2 y 4 del artculo 36
del Cdigo Penal.
Cuando la vctima tiene entre catorce y menos de dieciocho aos
de edad y medie engao, la pena ser no menor de tres ni mayor
de seis aos e inhabilitacin conforme a los numerales 1, 2 y 4
del artculo 36 del Cdigo Penal.

CAPTULO IV
Artculo
6. Trfico CONTRA
ilegal de
datos Y EL SECRETO DE
DELITOS INFORMTICOS
LA INTIMIDAD
LAS COMUNICACIONES

El que crea, ingresa o utiliza indebidamente una base

de datos sobre una persona natural o jurdica,
identificada o identificable, para comercializar,
traficar, vender, promover, favorecer o facilitar
informacin relativa a cualquier mbito de la esfera
personal, familiar, patrimonial, laboral, financiera u
otro de naturaleza anloga, creando o no perjuicio,
ser reprimido con pena privativa de libertad no
menor de tres ni mayor de cinco aos.

Artculo
7.
informticos

Interceptacin

de

datos

El que, a travs de las tecnologas de la informacin o de la

comunicacin,
intercepta datos informticos en transmisiones no pblicas,
dirigidas a un
sistema informtico, originadas en un sistema informtico o
efectuadas
dentro del mismo, incluidas las emisiones electromagnticas
provenientes de un sistema informtico que transporte dichos
datos informticos, ser reprimido con pena privativa de
libertad no menor de tres ni mayor de seis aos.
La pena privativa de libertad ser no menor de cinco ni mayor
de ocho aos cuando el delito recaiga sobre informacin
clasificada como secreta, reservada o confidencial de
conformidad con las normas de la materia.
La pena privativa de libertad ser no menor de ocho ni mayor
de diez aos cuando el delito comprometa la defensa, la
seguridad o la soberana nacionales.

CAPTULO V
DELITOS INFORMTICOS CONTRA EL PATRIMONIO

Artculo 8. Fraude informtico

El que, a travs de las tecnologas de la informacin o de la
comunicacin, procura para s o para otro un provecho
ilcito en perjuicio de tercero mediante el diseo,
introduccin, alteracin, borrado, supresin, clonacin de
datos informticos o cualquier interferencia o manipulacin
en el funcionamiento de un sistema informtico, ser
reprimido con una pena privativa de libertad no menor de
tres ni mayor de ocho aos y con sesenta a ciento veinte
das multa.
La pena ser privativa de libertad no menor de cinco ni
mayor de diez aos y de ochenta a ciento cuarenta das
multa cuando se afecte el patrimonio del Estado destinado
a fines asistenciales o a programas de apoyo social.

CAPTULO VI
DELITOS INFORMTICOS CONTRA LA FE PBLICA

Artculo 9. Suplantacin de identidad

El que, mediante las tecnologas de la informacin o de la
comunicacin suplanta la identidad de una persona natural o jurdica,
siempre que de dicha conducta resulte algn perjuicio, material o
moral, ser reprimido con pena privativa de libertad no menor de tres
ni mayor de cinco aos.

CAPTULO VII
DISPOSICIONES COMUNES

Artculo 10. Abuso de mecanismos y

dispositivos informticos
El que fabrica, disea, desarrolla, vende, facilita, distribuye, importa u
obtiene para su utilizacin uno o ms mecanismos, programas
informticos, dispositivos, contraseas, cdigos de acceso o cualquier
otro dato informtico, especficamente diseados para la comisin de
los delitos previstos en la presente Ley, o el que ofrece o presta

Artculo 11. Agravantes

El juez aumenta la pena privativa de libertad hasta en un tercio
por encima del mximo legal fijado para cualquiera de los delitos
previstos en la presente Ley
cuando:
1. El agente comete el delito en calidad de integrante de una
organizacin criminal.
2. El agente comete el delito mediante el abuso de una posicin
especial de
acceso a la data o informacin reservada o al conocimiento de
esta informacin
en razn del ejercicio de un cargo o funcin.
3. El agente comete el delito con el fi n de obtener un beneficio
econmico, salvo
en los delitos que prevn dicha circunstancia.
4. El delito compromete fines asistenciales, la defensa, la
seguridad y la soberana
nacionales.

RESOLUCIN MINISTERIAL
N 246-2007-PCM
Norma Tcnica Peruana NTP-ISO/ IEC
17799:2007
EDI. Tecnologa de la Informacin. Cdigo
de buenas
prcticas para la gestin de la seguridad
de la
informacin. 2a. Edicin en todas las
entidades
integrantes del Sistema Nacional de

Marco de las recomendaciones

La NTP-ISO 17799 es una compilacin de
recomendaciones para las prcticas exitosas de
seguridad, que toda organizacin puede aplicar
independientemente de su tamao o sector.
La NTP fue redactada para que fuera flexible y no
induce a las organizaciones que la cumplan al pie de la
letra, se deja a estas dar una solucin de seguridad de
acuerdo a sus necesidades.
Las recomendaciones de la NTP-ISO 17799 son
neutrales en cuanto a la tecnologa. La norma discute
la necesidad de contar con Firewalls, pero no
profundiza sobre los tipos de Firewalls y cmo se
utilizan.

 En este sentido La Norma Tcnica Peruana

ISO 17799, se emite para ser
considerada en la implementacin de
estrategias y planes de seguridad de la
informacin de las Entidades Pblicas.
La NTP NO exige la certificacin, pero si la
consideracin y evaluacin de los
principales dominios de acuerdo a la
realidad de cada organizacin.

RESOLUCIN MINISTERIAL
N 129-2012-PCM
Aprueban uso obligatorio de la Norma
Tcnica Peruana NTP-ISO/ IEC
27001:2008 EDI.
Tecnologa de la Informacin. Sistema
de Gestin de Seguridad de la
Informacin. Requisitos las entidades
integrantes del Sistema Nacional de
Informtica

NTP-ISO/ IEC
27001:2008 EDI.

Tecnologa de la
Informacin.
Sistema de Gestin de
Aspectos
generales
Seguridad
de la
Informacin.
eparada con
el fin de ofrecer unRequisitos
modelo para establecer,

mplementar, operar, monitoreas, mantener un efectivo

Sistema de Gestin de Seguridad de la Informacin (SGSI-ISM

uede usarse en el mbito interno y externo de las organizacio

ENFOQUE DE PROCESO

ender los requisitos de seguridad de informacin de negocio

a necesidad de establecer polticas y objetivos para la segur
la informacin

plementar y operar controles en el contexto de administrar e

esgo total del negocio de una organizacin

nitorear y revisar el desempeo y efectividad del SGSI

joramiento continuo basado en la medicin de objetivos.

ORGANIZACIN DE LA NORMA
1. ALCANCE
2. REFERENCIAS NORMATIVAS
3. TRMINOS Y DEFINICIONES
4. SGSI
5. RESPONSABILIDAD DE LA GERENCIA
6. AUDITORAS IINTERNAS DEL SGSI
7. REVISIN GERENCIAL DEL SGSI
8. MEJORA DEL SGSI
9. ANTECEDENTES

ANEXOS

ANEXO A (NORMATIVO)

Poltica de seguridad

Seguridad organizacional

Gestin de activos

Seguridad de recursos humanos

Seguridad fsica y del entorno

10 Gestin de comunicaciones y operaciones

11 Control de accesos

12 Adquisicin de sistemas de informacin, desarrollo y mantenim

13 Gestin de incidentes en la seguridad de informacin

14 Gestin de la continuidad del negocio

15 Cumplimiento

ALCANCE

odos los tipos de organizaciones:

Empresas comerciales
Agencias de gobierno
Organizaciones sin fines de lucro

El SGSI, est diseado para garantizar y proporcionar

ontroles de seguridad adecuados que protejan los activos de
nformacin.

APLICACIN

os requisitos establecidos en esta NTP son generales y tiene

la intencin de aplicarse a todas las organizaciones, sin toma
en cuenta el tipo, tamao y naturaleza del negocio.

uando se realizan exclusiones de controles, los reclamos de

conformidad de esta NTP no son aceptables a menos que es
exclusiones no afecten la capacidad la capacidad y/o
responsabilidad de la organizacin para ofrecer seguridad de
informacin.

SISTEMA DE GESTIN DE
SEGURIDAD DE LAINFORMACIN
(SGSI)
La organizacin desarrollar, implementar,
operar, revisar,
mantendr y continuar la mejora de un SGSI,
documentado
dentro del contexto de las actividades y riesgos
totales de la
organizacin.
El proceso se basa en el
modelo PHVA-PDCA

GRACIAS