1. ESCUELA DE POST GRADO
MAESTRIA EN INGENIERÍA DE SISTEMAS
MENCIÓN: TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN
1
UNIVERSIDAD NACIONAL
“HERMILIO VALDIZAN”
2. Yanac Montesino Rannoverng
Garcia Villegas, Christian
Ponce Guizabalo Santos V.
LiviapomaCollachagua Luis
Pozo Malpartida José L.
ISO 27001 Y 27002 EN LA
UNIVERSIDAD NACIONAL AGRARIA
DE LA SELVA
3. Introducción
3
El presente trabajo realizado sobre el diagnostico
situacional de la seguridad de la información de
la Universidad Nacional Agraria de la Selva
basado en la Norma ISO 27001 y 27002.
4. Concepto
4
El ISO 27000 Internacional promueve la adopción de un enfoque del proceso para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.
Una organización necesita identificar y manejar muchas actividades para poder funcionar de
manera efectiva. Cualquier actividad que usa recursos y es manejada para permitir la
transformación de Insumos en outputs, se puede considerar un proceso. Con frecuencia el
output
de un proceso forma directamente el Insumo del siguiente proceso.
La aplicación de un sistema de procesos dentro de una organización, junto con la identificación y
las interacciones de estos procesos, y su gestión, puede considerarse un ‘enfoque del proceso’.
Un enfoque del proceso para la gestión de la seguridad de la información presentado en este
Estándar Internacional fomenta que sus usuarios enfaticen la importancia de:
a) entender los requerimientos de seguridad de la información de una organización y la
necesidad de establecer una política y objetivos para la seguridad de la información;
b) implementar y operar controles para manejar los riesgos de la seguridad de la
información;
c) monitorear y revisar el desempeño y la efectividad del SGSI; y
d) mejoramiento continúo en base a la medición del objetivo.
Este Estándar Internacional adopta el modelo del proceso Planear-Hacer-Chequear-Actuar
(PDCA), el cual se puede aplicar a todos los procesos SGSI
5. Diagnóstico con la ISO 27001
5
ISO 27001
Numeral Dominio Porcentaje cumplimiento Nivel Ideal
4.2 Establecer y manejar el SGSI 9,4% 100%
4.3 Requerimientos de documentación 3,3% 100%
5 Responsabilidad de la gerencia 6,3% 100%
6 Auditorias Internas SGSI 5,0% 100%
7 Revisión gerencial SGSI 5,0% 100%
8 mejoramiento del SGSI 5,0% 100%
5,67%
28%
10%
18%
14%
15%
15%
ISO 27001: Nive de implementación
Establecer y manejar el SGSI
Requerimientos de
documentación
Responsabilidad de la gerencia
Auditorias Internas SGSI
Revisión gerencial SGSI
mejoramiento del SGSI
7. Diagnóstico con la ISO 27002
7
ISO 27002
Numeral Dominio Porcentaje cumplimiento Nivel proyectado - META Nivel IDEAL
A.5 A.5 Politicas de seguridad 0,00% 85% 100%
A.6 A.6 Organización de la seguridad de la Información 16,82% 85% 100%
A.7 A.7 Gestión de activos 25,00% 85% 100%
A.8 A.8 Seguridad de los recursos humanos 43,89% 85% 100%
A.9 A.9 Seguridad física y ambiental 49,62% 85% 100%
A.10 A.10 Gestión de las comunic y oper 35,47% 85% 100%
A.11 A.11 Control de acceso 56,40% 85% 100%
A.12 A.12 Adquisición, dllo y mante. de SI 50,94% 85% 100%
A.13 A.13 Gestión de incidentes de seguridad de la información
48,00% 85% 100%
A.14 A.14 Gestión de la continuidad del negocio 29,00% 85% 100%
A.15 A.15 Cumplimiento 53,50% 85% 100%
37,15%
8. 8
0%
4%
6%
11%
12%
9%
14%
12%
12%
7%
13%
ISO 27002: Nivel de implementación
A.5 Politicas de seguridad
A.6 Organización de la seguridad de la
Información
A.7 Gestión de activos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y ambiental
A.10 Gestión de las comunic y oper
A.11 Control de acceso
A.12 Adquisición, dllo y mante. de SI
A.13 Gestión de incidentes de seguridad de
la información
A.14 Gestión de la continuidad del negocio
A.15 Cumplimiento
9. 9
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
70.00%
80.00%
90.00%
100.00%
A.5 Politicas de seguridad
A.6 Organización de la
seguridad de la
Información
A.7 Gestión de activos
A.8 Seguridad de los
recursos humanos
A.9 Seguridad física y
ambiental
A.10 Gestión de las
comunic y oper
A.11 Control de acceso
A.12 Adquisición, dllo y
mante. de SI
A.13 Gestión de
incidentes de seguridad
de la información
A.14 Gestión de la
continuidad del negocio
A.15 Cumplimiento
Nivel implementación ISO 27002
Estado Actual
Nivel proyectado-
META
Nivel ideal
11. CONCLUSIONES
11
De acuerdo al estudio y diagnóstico de la
seguridad de la información con respecto al ISO
27001 de la Universidad Nacional Agraria de la
Selva es de 5.67 % deduciendo que no se tiene
implementado la norma ISO 27001
De acuerdo al estudio y diagnóstico de la
seguridad de la información con respecto al ISO
27002 de la Universidad Nacional Agraria de la
Selva es de 37.15 % deduciendo que se ha
iniciado la implementación o está en la etapa de
planeación de la norma ISO 27001
12. Recomendaciones
12
Establecer una gestión por procesos
La gestión por procesos permitirá identificar los
procesos ineficientes y cuellos de botellas para
potenciar una adecuada toma de decisiones
Optando por la gestión por procesos se logra la
eficiencia con resultados dramáticos (22 días
frente a los casi seis meses del tradicional)
Usando BPM se generará satisfacción en el
usuario y en la organización