Beruflich Dokumente
Kultur Dokumente
TESIS
para optar el grado acadmico de Magster en Direccin y Gestin de
Tecnologas de Informacin
AUTOR
Alipio Mario Obregn
Lima Per
2010
ii
Ali
Daniel
Luis
iii
TABLA DE CONTENIDOS
iv
vi
LISTA DE TABLAS
Tabla 1 Factores crticos de xito de la seguridad de la informacin ... 28
Tabla 2 Implementacin de Sistemas de Seguridad ........................... 29
Tabla 3 Obstculos para lograr un adecuado SGSI............................. 31
Tabla 4 Identificacin de Dominios, Objetivos de control y Controles.. 36
Tabla 5 Factores Crticos de xito ....................................................... 44
Tabla 6 Organismos Pbicos Descentralizados adscritos a la PCM.... 50
Tabla 7 Directorio de las unidades de informtica ............................ 53
Tabla 8 Tabla de relacin de variables, hiptesis y preguntas ............ 58
Tabla 9 Relacin de las Instituciones que respondieron . .................... 63
Tabla 10 Tabla de valoracin de la Norma por Instituciones ................ 68
Tabla 11 Promedio Global de valoracin de la Norma por dominios .... 69
Tabla 12 Porcentaje de instituciones que no han iniciado la ................. 71
Tabla 13 Orden de Factores que causan mayor dificultad en la ........... 80
Tabla 14 Nivel de madurez de la implementacin de la Norma ............ 87
Tabla 15 Nivel de madurez de la implementacin de la Norma por ...... 88
Tabla 16 Tabla Resumen de Validacin de Hiptesis........................... 89
Tabla 17 Lista de Comisiones de Estudio y Cuestiones .................... 111
Tabla 18 Certificaciones ISO 27001 en el mundo. .............................. 112
Tabla 19 Cuadro de Entidades y porcentaje del proceso de
implementacin de la Norma NTP-ISO/IEC 17799 ......... 113
vii
LISTA DE FIGURAS
Grafico 1. Evolucin del estndar de Seguridad de la informacin ....... 18
Grafico 2. Diagrama de la metodologa PDCA, Fuente: Instituto ......... 19
Grafico 3. Marcos de trabajo seleccionados en uso a nivel mundial..... 26
Grafico 4. Nivel de implementacin de SGSI ISO 17799 en Espaa. .. 30
Grafico 5. Porcentaje de procesos de implementacin iniciados
35
viii
ix
RESUMEN
La tesis titulada Factores inhibidores en la implementacin de Sistemas de
Gestin de la Seguridad de la Informacin basado en la NTP-ISO/IEC 17799
en la Administracin Pblica es un estudio
cuantitativo,
transversal,
Per
recopil
SUMMARY
The
Thesis
entitled
Inhibitors
factors
in
the
Information
Security
17799
code
of
practice for
the information
security
management
CAPITULO 1. INTRODUCCION
1.1
Situacin Problemtica
El inters mundial sobre el uso y la seguridad de las Tecnologas de
Traducido del The Internet Protocol Journal, Volume 10, No. 4, Dic 2007.
Security Standars.
Nuestro pas no es ajeno a la evolucin de la sociedad de la
informacin, gracias al trabajo de la Comisin Multisectorial para el
Desarrollo de la Sociedad de la Informacin, se
fundamentales
para
coadyuvar
la
creacin
de
la
obligatoriedad
de
la implantacin de la Norma
del
anlisis
respectivo,
arribar
las
conclusiones
1.2
la
PCM declar su
1.3
Objetivos
El propsito de la
cuantitativo de las causas
presente
1.4
seguridad de la
estndares reconocidos
que
estn
teniendo
las
internacionalmente y la gran
norma
ISO
17799/ISO27002
(Ernes&youngs, 2008).
El Per es uno de los pases de la regin que impulsa vigorosamente
el desarrollo de la sociedad de la informacin, cuyos planes estratgicos
estn plasmados en la Agenda Digital Peruana. CODESI( 2005, p.68)
establece el plan de accin de la mencionada agenda, considera como uno
de los objetivos estratgicos el Objetivo No 5 de Gobierno Electrnico que
propone en la Estrategia 5.1, Acciones, numeral 6: Desarrollo de un plan
de seguridad de la informacin para el sector pblico.
Por lo tanto, la implantacin de la Norma Tcnica Peruana Cdigo de
buenas prcticas para la gestin de la seguridad de la informacin en las
Entidades del Sistema Nacional de Informtica
garantizar
la
Confidencialidad,
integridad
la
1.5
cuantitativo,
plantendose el problema
como pregunta de
investigacin que explique por una parte, las causas que han originado un
nivel bajo en la implementacin de la Norma Tcnica Peruana, y por otra,
los factores que dificultan su implementacin, lo cual; se pretende descubrir
y conocer a travs de la presente estudio de investigacin.
La problemtica
de la seguridad
de la informacin se da en un
contexto global que tiene que ver con el Gobierno de las Tecnologas de la
Informacin en las organizaciones y que la podemos conceptualizar desde
la perspectiva terica propuesta
por investigadores de la
University of
Antwerp Management School (De Haes S., Van Grembergen W., 2005 )
como un marco de procesos, estructuras y mecanismos de relacin para la
implementacin pragmtica de un marco de Gobierno de Tecnologas de
Informacin sostenible dentro del cual se encuentra inmerso el gobierno de
1.6
Pregunta de la Investigacin
1. Cules son los factores inhibidores que influyen en el bajo
nivel de implementacin de la Norma Tcnica NTP-ISO/IEC
17799. Cdigo de buenas prcticas para la gestin de la
seguridad de la informacin en las Entidades del Sistema
Nacional de Informtica?
1.7
Supuestos
Se asume que la ONGEI, entidad que coordina los sistemas
1.8
Limitaciones
El alcance de este estudio es investigar y determinar las causas o
implementacin de la Norma
1.9
Resumen
AlAboodi (2006), seala Esta centuria est siendo caracterizada por
los procesos,
bajo su responsabilidad
la gestin de la
NTP ISO/IEC 17799 objeto del presente estudio fue elaborada por Comit
Tcnico Nacional de Codificacin e Intercambio Electrnico De Datos EDI:
www. Indecopi.gob.pe (2009).
Por otra parte, la PCM a travs de la ONGEI como ente rector de
Gobierno Electrnico, considerando la importancia de la seguridad de la
informacin dentro de la administracin pblica adopta y exige el
uso
10
se ha convertido en uno de
los problemas ms
11
empresarial.
2.1.2 Definicin de la Seguridad de la Informacin
contabilidad
confiabilidad
tambin
pueden
ser
consideradas.
12
internacionales, regionales y
buenas
prcticas que proporcionen una base comn que permita implementar los
sistemas de gestin de la seguridad de la informacin en todas las
organizaciones sin importar el tamao y el sector, dando origen al concepto
de la SGSI (UIT, 2006).
13
proceso poltico,
14
se trabaja
en el ao
2.1.5.6 California Individual Privacy Senate Bill (SB 1386). Ley del
Senado de California sobre la privacidad individual. Que obliga a cualquier
15
la informacin.
2.1.5.12 ITIL. Marco de trabajo muy popular para la gestin de los
servicios de Tecnologas de la informacin.
2.1.5.13 COSO. Establece un marco de trabajo integrado y una
definicin comn de controles internos, estndares, y criterios contra el cual
las compaas y organizaciones pueden evaluar sus sistemas de control.
16
de la informacin: La confidencialidad, la
17
sea
consistente
tanto
interna
como
externamente.
c)
de
estndares
internacionalmente,
entre
reconocidos
ellos
la
ISO
de
17799,
gran
ISO
adopcin
aceptacin
27002/27001
(Ernest&Youngs, 2008).
La historia del ISO 17799 se remonta
a un cdigo de prctica
18
1998
Nuevo
estndar
nacional
certificable
Certificable
BS 7799-2
No certificable
Centro de
Seguridad de
Informtica
Comercial del
Reino Unido
(CCSC/DTI)
Cdigo
de
prcticas
para
usuarios
1989
1999
Revisin por:
NCC (Centro
Nacional de
Computacin)
Consorcio
usuarios
PD0003
Cdigo de
prcticas
para la
gestin de
la
seguridad
de la INF
1993
Revisin
conjunta de las
partes 1 y 2
BS 7799-2
:1999
2002
2005
Estndar
Internacional
Revisin y
acercamiento a:
ISO 9001
ISO 14001
OCDE
ISO/IEC 27001
:2005
BS 7799-2
:2002
BS 7799-3
Gest. Riesgo
Estndar nacional
britnico
BS 7799
Revisin
conjunta de las
partes 1 y 2
BS 7799-1
:1999
Estndar Internacional
(Fast Track)
Revisin peridica
(5 aos)
ISO/IEC 17799
:2000
ISO/IEC 17799
:2005
ISO/IEC
27002 :2007
1995
1999
2000
2005
2007
Adaptado de : www.iso27000.es
19
se definen
20
la
documentacin
necesaria
(polticas,
procedimientos,
instrucciones y registros).
Dentro de esta fase es muy importante dedicar un tiempo a la
concienciacin y formacin del personal de la empresa de cara a que
conozcan los controles implantados.
2.1.8.4 Verificar.
21
El
22
b) Proponer la
23
actividad
informtica
en
la
Administracin
Pblica,
impulsando
su
24
2.1.12.2
La
de La
25
26
2.2
en el grfico que
27
una
por Alberto
28
29
ms del 93% de
Tabla 2
y multidisciplinar
de
expertos,
para que
una
30
31
los factores
32
1:Disponer
de
infraestructura
de
telecomunicaciones
33
para su implantacin. En
(2007),
en
reemplazo
de
la
NTP-ISO/IEC17799:2004;
34
35
de la
36
Dominio
No Cumple con
Si
cumple excepciones cumple
Todos los
40%
dominios
42%
18%
37
38
como se ha mencionado
2.2.6 Resumen
39
democrtica
existe la imperiosa la
de la Agenda Digital
40
con lo cual se ha
institucionalizado
la
2.3
Definicin de trminos
TIC: Acrnimo de Tecnologas de Informacin y Comunicaciones
SI: Sociedad de la informacin, etapa de transicin de la era Industrial
TCP/IP: Transport Control Protocol/ Internet Protocol
Internet:
Es
computadoras
la
interconexin
implementado
en
descentralizada
un
conjunto
de
redes
de
de
protocolos
denominado TCP/IP
Gobierno electrnico: Consiste en el uso de las tecnologas de la
informacin y el conocimiento en los procesos internos de gobierno y
en la entrega de los productos y servicios del Estado tanto a los
ciudadanos como a la industria.
Servicio en lnea: Referidos a los servicios informativos y
transaccionales que se ofrecen en una red abierta como Internet.
ISO: Es una Federacin de organismos de normalizacin, con sede
en Ginebra, formada por un solo representante por pas.
41
42
3.1
Tipo de Investigacin
La propuesta de investigacin considera el empleo de una
a los Directores o
y la
recoleccin de la
impulsar
43
los
sistemas
de
informacin
administrados
por
el
estado
3.2
Modelo de Investigacin
La revisin de la literatura diversos autores consideran que para una
para
la adopcin e
2007); de all que el enfoque y la gestin del proceso resultan vitales para
materializar al aplicacin de la norma, sobre la cual se soporte el grado de
madurez que se pueda alcanzar en su implementacin.
44
Revisin de Literatura
(ISO 27002, 2005), ( Hafez Amer, Hamilton,
Jr., 2008), (Jinx P. Walton, 2002), (Preda,
Una poltica, que refleje los
Cuppens, boulahia, alfaro, toutain,
1 objetivos de la organizacin
Elrakaiby, 2009), (NIST, 2006)
(ISO 27002, 2005), (Jan Yestingsmeier &
El apoyo visible y el
Steve Guynes, 1982),( NIST, 2006),
2 compromiso de la alta gerencia (Alfawaz, May y Mohanak, 2008)
(ISO 27002, 2005), (Jan Yestingsmeier &
La conviccin de la necesidad Steve Guynes, 1982), (Spears, 2006),
3 de la seguridad
(NIST,2006)
Difusin de la poltica de
(ISO 27002, 2005), (Jinx P. Walton, 2002), ),
seguridad
(Preda, Cuppens, boulahia, alfaro, toutain,
4
Elrakaiby, 2009)
(ISO 27002, 2005),( R. Conkling, "Drew"
Financiamiento para la gestin Hamilton, 2008) (Lawrence a. Gordon,
de la seguridad de la
Martin p. Loeb, 2002), ( Fumey-Nassah,
5 informacin
2007)
(ISO 27002, 2005),(Stallings, 2007), ( Hafez
implantacin consistente con la Amer, Hamilton, Jr., 2008), (Koskosas, Ray
cultura de la organizacin
J. Paul, 2004), (Alfawaz, May y Mohanak,
6
2008)
Requisitos de la seguridad,
evaluacin y gestin del riesgo (ISO 27002, 2005),(Koskosas, Ray J. Paul,
7
2004), (Rodewald, 2005), (NIST, 2006)
Formacin y capacitacin
(ISO 27002, 2005),(Al-Hamdani, 2006),
adecuadas
(ENISA, 2008), (Alfawaz, May y Mohanak,
8
2008)
(ISO 27002, 2005),(Rollason-Reese, 2003),
Gestin de incidentes de la
(Farahmand, Navathe, Sharp, Enslow,
9 seguridad de la informacin
2003), (NIST, 2006)
Mtricas para evaluar el
rendimiento de la seguridad de (ISO 27002, 2005),( An Wang,
10 la informacin
2005),(Savola,2007), (NIST, 2006)
45
en la implementacin de la
Norma.
d) el grado de madurez alcanzado en la implementacin.
Las variables se han operacionalizado identificando sus dimensiones
y sub dimensiones segn corresponda, los indicadores y una escala de
medicin los cuales se presenta en la Tabla de Operacionalizacin de las
mismas.
En la siguiente figura se esquematiza el modelo de la investigacin:
MODELO DE INVESTIGACIN
La valoracin de la
norma por la
Institucin
Proceso de
Implementacin del
Sistema de Gestin
de Seguridad de la
Informacin (SGSI)
basado en la norma
Grado de madurez
de implementacin
de la Norrma
Nivel de
Implementacin del
SGSI basada en la
norma NTP:17799 en
las Entidades del
Sistema Nacional de
Informtica
Influencia de los
Factores Crticos en
la implementacin de
la Norma
46
buenas
uso de
controles seleccionados, la
un
47
3.3
Hiptesis de la Investigacin
En general como consecuencia de los pasos previos dados dentro de
factores
que
48
La
formalizacin
del
rea
de
Seguridad,
la
cultura
49
3.4
Diseo de la investigacin
Est constituido por las instituciones que conforma las Entidades del
Sistema Nacional de Informtica del Estado dentro del cual est inmersa la
muestra elegida constituida por los Organismos Pblicos Descentralizados
Adscritos a la Presidencia del Consejo de Ministros del Gobierno Nacional.
3.4.2 Caractersticas de la Poblacin
50
51
52
53
Tabla 7
No
Institucin
Responsable
Cargo
Nobre de la Unidad
Informtica
Direccin
Ubicacin
Lima
Direccin de Tecnologas de
la Informacin y Sistemas
aquispe@presidencia.gob.pe
Gerencia de Administracin e
Informtica
cparedes@devida.gob.pe
Jefe
Oficina de Estadistica y
Telemtica
lmaldonado@indeci.gob.pe
Jefe
Oficina de Informtica y
Estadstica
wcastro@tvperu.gob.pe
Gerente
Oficina de Informtica y
Sistemas
Instituto Nacional de
Estadstica e Informtica INEI
Director
Tcnico
Director Tcnico de
Informtica
DANIEL MAGUIA
HUERTA
vpacheco@indecopi.gob.pe
Av. General
Garzn 658
Jess Mara
daniel.maguina@Inei.gob.pe
Av
Edmundo Barranco
Aguilar S/N exAv.
Las palmas
Direccin Nacional de
CESAR BERROCAL
Inteligencia Estratgica - DINI DEL AGUILA
Jefe
Director
Direccin de Informtica
Organismo Supervisor de
Inversin Privada en
Telecomunicaciones
Jefe
Oficina de Informtica y
Sistemas
10
Organismo Supervisor de la
Inversin en Infraestructura de
Transporte de Uso Pblico - EDUARDO MORAN
OSITRAN
HUANAY
of402@dini.gob.pe
Av. Salaverry 2495 San Isidro
11
12
Organismo Supervisor de la
Inversin Privada en Energa
Superintendencia Nacional de
Servicios de Saneamiento SUNASS
Centro Nacional de
JULIO PUERTAS
VILLAR
CESAR GAMARRA
MALCA
Jefe de Desarrollo
Institucional y Sistemas
emoran@ositran.gob.pe
Bernardo
Monteagudo 222
Jefe
Oficina de Informtica
cgamarra@sunass.gob.pe
cloaIza@ceplan.gob.pe
IVAN MONGE
VALENZUELA
Unidad de Tecnologias de
Informacion
imonge@sierraexportadora.gob.
pe
14
Sierra Exportadora
15
Organismo de Supervisin de
los Recursos Forestales y de ROEL ORELLANA
Fauna Silvestre - OSINFOR SANCHEZ
Jefe
Jefe
Magdalena
Mar
del
Av.
Bernado Magdalena
Monteagudo 210- Mar
216
del
jpuertas@osinerg.gob.pe
Oficina General de
Administracin
13
amora@osiptel.gob.pe
Oficina de Sistemas
Planeamiento Estratgico
(CEPLAN
16
jerken@bomberosperu.gob.pe
ALEJANDRO ALFONSO
REA MORALES
Jefe
Oficina de Tecnologias de la
Informacin y
Comunicaciones
rorellana@osinfor.gob.pe
area@servir.gob.pe
Calle
Manuel San Isidro
Gonzles Olaechea
448
54
3.5
Consentimiento Informado
La informacin restringida por su naturaleza y que se use en el
3.6
Marco Muestral
3.6.1 Poblacin
poblacin
55
Ejecutores, Organismos
Especializados; y
funciones de
3.7
Unidad de Anlisis
Nuestra unidad de Anlisis comprende a todos los Directores,
56
3.8
Confidencialidad
Se garantiza la confidencialidad de informacin sensible de acuerdo a
la legislacin vigente.
3.9
Localizacin Geogrfica
El desarrollo de la investigacin se realizara en las Entidades del
primarios mediante
57
3.11 Instrumentacin
La presente de investigacin con enfoque cuantitativo descriptivo
utilizar una encuesta en la unidad de anlisis, a travs de un cuestionario
como instrumento principal, para la recoleccin de informacin primaria
previa operacionalizacin de las variables independientes y dependientes
definidas para el estudio (Ver Anexo 3).
Es necesario indicar, dado que la investigacin enfoca una problema
dentro del mbito de la administracin pblica, en el marco del programa de
modernizacin del estado y la Agenda Digital Peruana;
implementacin de la Norma
siendo la
realiz coordinaciones
con el
el
y viene apoyando la
La
tabla
que
58
a) El Nivel de
valoracin de
la Norma por
parte de la
Institucin
Factor
Poltica de
Seguridad
Organizacin de la
Seguridad de la
Informacin
Gestin de Activos
Hiptesis
H1
Seguridad de
Recursos Humanos
Seguridad fsica y
ambiental
Gestin de las
comunicaciones y
operaciones
Control de Acceso
Adquisicin,
desarrollo y Mant.
De sistemas de
informacin
Gestin de
incidencias
Gestin de
Continuidad del
Negocio
Cumplimiento
b) Proceso de
Implementaci
n del Sistema
de Gestin de
Seguridad de
la Informacin
(SGSI) basado
en la Norma
NTP
Pregunta de la encuesta
H2
H2.1
Iniciacin de
Proceso
Eleccin de
Metodologa
Definicin de
alcance
Aplicacin de la
Norma
Plan de
Implementacin
EtapaI, II, III y IV
Otros factores que
dificultan
H2.2
H2.3
H2.4 Y
H2.5
59
Responsabilidad de
la Seguridad de la
Informacin
Medidas para
fomentar
cumplimiento de la
Norma
Personal
c). Grado de
Influencia de
los factores
Especializado
crticos en la
implementaci Presupuesto
n de la Norma,
Entendimiento
sobre seguridad de
la informacin Alta
Direccin
Concienciacin y
Capacitacin
Alineamiento de la
seguridad con los
objetivos
estratgicos
Gestin del
H3
H3.1
Proyecto
Formalizacin del
area de Seguridad
Cultura
organizacional
d) El Nivel de
Madurez de la
implementaci
n de la norma
por parte de la
Institucin
Poltica de
Seguridad
Organizacin de la
Seguridad de la
Informacin
Gestin de Activos
Seguridad de
Recursos Humanos
Seguridad fsica y
ambiental
Gestin de las
comunicaciones y
operaciones
Control de Acceso
H4
60
Adquisicin,
desarrollo y Mant.
De sistemas de
informacin
Gestin de
incidencias
Gestin de
Continuidad del
Negocio
Cumplimiento
se ampli el enfoque
de acuerdo al modelo de
61
En posteriores coordinaciones
62
valoracin(adopcin),
II.
la
en la
63
Nombre de la Institucin
1. Despacho Presidencial (DP)
SI
2. Comisin Nacional para el Desarrollo y Vida sin
Drogas (DEVIDA)
SI
SI
SI
SI
SI
SI
SI
10. Centro
(CEPLAN)
Nacional
de
Planeamiento
Estratgico
SI
SI
Recursos
SI
SI
SI
Medio
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
64
de
Servicios
de
SI
SI
Electrnico
Oficio y
Correo
Electrnico
Oficio y
Correo
Electrnico
3.14 Resumen
A travs de la investigacin se ha logrado un anlisis exhaustivo de
la situacin relacionado con la implementacin de la NTP 17799 en las
65
66
investigacin
le atribuyen
y su
67
02 (13%) de ellos
68
Tabla 10
Seguridad de R.
Humanos
Seguridad fsica y
ambiental
Gestin de las
Comunicaciones y
Operaciones
Control de acceso
Adquisicin,
Desarrollo y Manto.
de Sistemas de
Informacin
Gest. Incidencias
Gestin de la
Continuidad del
negocio
Cumplimiento
Promedio General
INDECOPI
4,3
4,3
4,3
5,0
5,0
5,0
5,0
4,0
5,0
5,0
4,5
4,7
INSTITUCIN
Poltica de
Seguridad de la
Informacin
Organizacin de la
Seguridad de la
Informacin
Gestin de Activos
DINI
4,3
5,0
5,0
5,0
3,0
5,0
5,0
5,0
5,0
5,0
4,0
4,7
OSINERGMIN
4,0
3,7
4,7
4,0
5,0
4,5
4,0
4,0
5,0
5,0
4,5
4,4
INDECI
4,0
4,0
4,0
4,0
4,0
5,0
4,0
5,0
4,0
5,0
4,0
4,3
SERVIR
4,0
4,0
3,7
4,5
5,0
4,5
5,0
4,5
4,0
4,0
3,0
4,2
SE
3,3
2,7
3,0
3,0
4,0
4,0
3,0
5,0
3,0
5,0
5,0
3,7
INEI
3,0
4,0
3,7
3,0
4,0
4,5
4,0
3,5
3,0
4,0
4,0
3,7
DP
3,0
3,0
3,7
4,0
4,0
4,0
4,0
3,5
4,0
4,0
3,5
3,7
OSINFOR
3,0
3,0
4,0
4,0
4,0
4,0
4,0
3,5
3,0
3,0
3,0
3,5
Provee valor
OSIPTEL
3,0
3,3
4,0
4,0
3,0
3,5
4,0
3,5
3,0
4,0
3,0
3,5
Provee valor
CEPLAN
3,0
3,0
3,0
3,0
4,0
3,0
4,0
3,0
3,0
3,0
4,0
3,3
Provee valor
DEVIDA
3,0
3,0
3,0
3,0
3,0
3,0
3,0
3,0
3,0
3,0
3,0
3,0
Provee valor
I.R.T.P.
3,3
5,0
3,0
2,0
1,0
2,0
2,0
2,5
3,0
4,0
3,0
2,8
Provee valor
CGBVP
1,7
1,7
3,0
2,5
2,0
3,0
3,0
2,5
3,0
3,0
3,0
2,6
Provee valor
OSITRAN
1,0
1,0
1,0
1,0
1,0
3,0
2,0
1,0
1,0
1,0
1,0
1,3
SUNASS
4,0
4,0
0,0
0,0
0,0
0,0
0,0
0,0
0,0
0,0
0,0
0,7
Los dominios
corresponden a la parte
69
Provee valor
3,4
Provee valor
3,5
Provee valor
3,5
Provee valor
3,5
Control de acceso
3,7
Provee valor
Provee valor
adicional
Provee valor
adicional
Dominio
Poltica de Seguridad
Organizacin de la seguridad de la
informacin
Gestin de Activos
Adquisicin desarrollo y
Mantenimiento de Sistemas de
Informacin
Gestin de incidencias de Seguridad
de la Informacin
Gestin de la Continuidad del
Negocio
Cumplimiento
Promedio Global
3,9
Valoracin
3,6
Provee valor
adicional
3,5
Provee valor
3,9
3,5
3,6
Provee valor
adicional
Provee valor
Provee valor
adicional
evala
segn
las
hiptesis
correspondientes
el
proceso
de
del proceso de
70
gestin del riesgo, c) definicin del alcance del SGSI d) grado de dificultad
en la aplicacin de la norma segn las cuatro etapas definidas por la ONGEI.
En esta parte, tambin los encuestados identifican de mayor a menor
los factores que dificultan el
71
Tabla 12.
Si
43,8
No
56,3
Total
16
100,0
Grafico 12. Grfico del nivel del apoyo de la alta Gerencia respecto a
la implementacin de la Norma
72
73
4.1.3 Etapa I
74
II.1.
75
76
manifiestan
77
Etapa IV
78
represent
para el 33%
79
80
evidenciado tambin que hay dificultades para reflejar en el POI, las metas
presupuestales para las actividades crticas que requiere la implementacin
de la Norma, del cual se deriva otros factores como los antes descritos y las
que se presentan en la Tabla No. 13 y que constituyen barreras en el avance
de implementacin objeto de este estudio.
Tabla 13
0rden de
Factores que ms dificultan en la implementacin
Falta de capacitacin y concienciacin del personal
Falta de Personal especializado en Seguridad de la
informacin
Presupuesto Insuficiente o no asignado
Falta un entendimiento cabal sobre la Seguridad de la
informacin por parte de la alta direccin para apoyar con
mayor efectividad estas iniciativas
No se ha formalizado la creacin del rea de Seguridad de
la informacin y el responsable dentro de la institucin
Dificultad en la gestin del proyecto y obtener los
resultados esperados
Dificultad para cambiar la cultura organizacional orientado a
la seguridad de la informacin (Resistencia al cambio)
Dificultad para alinear la seguridad de la informacin con
los objetivos estratgicos de la institucin (No se percibe el
beneficio de la seguridad de la informacin)
Otros: Especificar.CEPLAN es un
organismo de reciente creacin (2009), el cual tiene un
plazo de tres aos para culminar su estructuracin.
dificultad
1
2
3
4
5
6
7
81
82
83
84
la poltica de
seguridad de la
85
86
H3.1:
La
formalizacin
del
rea
de
Seguridad,
la
cultura
87
Tabla 14.
INSTITUCIN
Poltica de seguridad
Organizacin de la
seguridad de la informacin
Gestin de Activos
Seguridad de Recursos
Humanos
Gestin de las
comunicaciones y
operaciones
Control de accesos
Gestin de Incidencias
Gestin de la Continuidad
del negocio
Cumplimiento Legal
Promedio General
Nivel de madurez
INDECOPI
5,0
4,7
4,7
5,0
5,0
5,0
5,0
4,0
4,0
4,0
4,5
4,6
Gestionado
DINI
4,3
5,0
2,3
5,0
5,0
6,0
5,0
5,0
5,0
1,0
4,0
4,3
Gestionado
OSINERGMIN
3,3
3,0
4,7
4,5
5,0
4,0
5,0
5,0
3,0
5,0
3,5
4,2
Gestionado
DP
3,0
3,0
3,3
4,5
5,0
5,0
4,0
5,0
3,0
5,0
5,0
4,2
Gestionado
INDECI
5,0
5,0
4,0
4,0
4,0
4,5
4,0
5,0
3,0
2,0
3,0
4,0
Gestionado
OSIPTEL
3,3
3,0
3,0
4,0
4,0
3,5
4,0
3,0
2,0
5,0
3,0
3,4
Definido
SUNASS
4,7
4,3
3,0
3,0
3,0
3,5
3,0
3,5
3,0
3,0
3,0
3,4
Definido
88
Tabla 15.
Dominio de la Norma
Poltica de Seguridad
Organizacin de la seguridad de la
informacin
Gestin de Activos
Seguridad de Recursos Humanos
Promedio de
Nivel de madurez
por Dominio
4.09
Nivel de
madurez
Gestionado
3.86
3.57
4.29
Definido
Definido
Gestionado
4.43
Gestionado
4.50
Gestionado
Control de acceso
Adquisicin desarrollo y
Mantenimiento de Sistemas de
Informacin
Gestin de incidencias de
Seguridad de la Informacin
Gestin de la Continuidad del
Negocio
Cumplimiento Legal
Promedio Global
4.29
Gestionado
Gestionado
4.36
3.29
Definido
3.57
3.71
3.99
Definido
Definido
Definido
las 7
nivel de madurez
no implementado (1),
89
Hiptesis
Resultado
No Se
confirma
Se confirma
Se confirma
Se confirma
Se confirma
Se confirma
Se confirma
90
c). Grado de
Influencia de los
factores crticos
en la
implementacin
de la Norma
d) El Nivel de
Madurez de la
implementacion
de la norma por
parte de la
Institucin
Se confirma
Se confirma
Se confirma
91
acompaamiento para
Grafico 35. Grfico sobre las medidas que debera tomar la ONGEI para
impulsar la implementacin de la Norma en las entidades del Estado.
92
4.2
se puede destacar
de Gestin de
93
se aplic
complementariamente
en dichas empresas se
como presupuesto
o tecnologa.
b)
Las organizaciones
94
aporta elementos que han servido de base para la realizacin del presente
estudio en la cual enfocamos
especficamente
la problemtica de la
los
de seguridad de la
en la
95
Jefes
de
Informtica,
Gerentes
Directores
de
la
Entidad
respectivamente.
Se plante cuatro tipos de hiptesis, a saber: Sobre la valoracin de
la norma por las instituciones, el proceso de implementacin y la influencia
de los factores crticos en la implementacin, el nivel de madurez o logros
alcanzados en el proceso de la implementacin. Son un total de 11 Hiptesis
cuyos resultados se resumen en el siguiente cuadro:
Variable
a) El Nivel de
valoracin de la
Norma por parte
de la Institucin
b) Proceso de
Implementacin
del Sistema de
Gestin
de
Seguridad de la
Informacin
Hiptesis
Resultado
Se
96
Se confirma
Se confirma
Se confirma
Se confirma
Se confirma
Se confirma
Se confirma
Se confirma
97
98
el
5.1
Conclusiones
los organismos
99
Instituciones objeto de la
100
compromiso de
Seguridad de la
no
y calificar en orden
101
de
nivel
inicial
dentro
del
grupo
de
Instituciones
5.2
Recomendaciones
En base a las conclusiones del presente estudio, se recomienda las
las Instituciones, en
de
talleres de sensibilizacin
orientado todos
los
102
Planeamiento Estratgico
con
responsable con
Informacin,
personal
de
su
planta,
designando
un
quien
deber
desarrollar
el
proyecto
de
correspondiente.
4. La PCM-ONGEI posibilite la creacin de un organismo Auditor
especializado independiente de Seguridad de la Informacin cuya
funcin especfica ser desarrollar un programa de auditoras para
auditar el proceso de implementacin de la Norma de Seguridad
de la Informacin en Entidades del Sistema Nacional de
Informtica del Estado. As mismo dicho organismo realizar la
capacitacin de auditores de seguridad de la Informacin para el
personal
de
la
administracin
pblica
determinar
la
ONGEI
establezca
un
programa
de
becas
de
103
logros
sobresalientes
en
el
proceso
de
5.3
nmero
INDECOPI_SG1
el
1,
se
programa
estima
de
que
talleres
el
de
convenio
la
ONGEI_
sensibilizacin
104
2010
Entrega del Estudio a
la ONGEI OCT-2010
2011
Convenio ONGEIIndecopi-SG1:
Grupo de apoyo
Tcnico
ONGEI/PCM /CEPLAN:
Directiva para
Incorporacin de la Seg.
Informacin dentro del
Planeamiento
Estratgico Institucional
2011-2016
Programa de
Talleres para
Titulares de las
Instituciones
Asesora del
Grupo Tcnico
de Apoyo a las
Instituciones
Creacin de
Organismo
Nacional de
Auditoria de Seg.
Informacin
DIC-ENE
Capacitacin de los
Titulares en los
Talleres de
Sensibilizacin
2012
Informe Nivel de
Implementacin
de Los Sistemas
de Gestin de
Seguridad
Institucionales
Elaboracin
Programa
auditorias de
Seguridad de la
Informacin
DIC-ENE
2013
Evaluacin logros ,
Armonizacin con
Proyecto Gobierno
Electrnico y la Agenda
Digital Peruana,
CEPLAN
DIC-ENE
Programacin, metas
y presupuestos
aprobados en el Plan
Operativo
Institucional
DIC
Auditoras de
Seguimiento
Organismo
Auditor de la
ONGEI
Implementacin
Recomendaciones
de Auditoria y
Mejora Continua
Institucional
Oportunidades de Mejora
Planeamiento
Estratgico Institucional
Objetivos y estrategias
de Seguridad de la
Informacin
Auditorias Internas
Implement. Controles
Planeacin y
organizacin del
proyecto orientado a
Riesgos
Proceso de
Implementacin
SGSI
LEYENDA:
Acciones de los rganos Rectores
PCM/ONGEI
Acciones a Nivel Institucional
5.4
105
de
Gestin
para
medir
la
efectividad
de
las
106
REFERENCIAS
Al-Hamdani Wasim A. (2006). Assessment of Need and Method of Delivery
for Information Security Awareness Program Division of Computer and
Technical Sciences. Kentucky State University Frankfort. Recuperado el 15
de Agosto 2009 desde http://portal.acm.org/citation.cfm?id=1231069.
Alfawaz, S., May, L., & Mohanak, K. (2008). E-government security in
developing countries: A managerial conceptual framework. Recuperado el 24
de mayo de 2009 desde
http://www.irspm2008.bus.qut.edu.au/papers/documents/pdf/Alfawaz%20%20E-government%20security%20in%20developing%20countries%20%20IRSPM%20-%202008.pdf
Caralli, R., A. (2004). The Critical Success Factor Method: Establishing a
Foundation for Enterprise Security Management. Recuperado el 23 Mayo de
2009 desde http://www.sei.cmu.edu/library/abstracts/reports/04tr010.cfm
Calder, A., Watkins, S. (2008). IT Governanace: A Managers Guide to Data
Security and ISO27001/ISO 27002, 4th Edition. Recuperado el 30 de mayo
de 2009 desde
http://acm.books24x7.com/viewer.asp?bookid=28468&chunkid=952046549
Comisin Multisectorial para el Desarrollo de la Sociedad de la Informacin
Multisectorial CODESI (2005) .Mesa de Trabajo N5 Gobierno Electrnico,
Recuperado el 27 de Noviembre, 2005 desde
http://www.cpsr-peru.org/si/politicas/finalmesa5.pdf
Cumbre Mundial de la Sociedad de la Informacin (2005): Agenda de Tnez
para la sociedad de la informacin. Recuperado 15 de Noviembre, 2007
desde
http://www.itu.int/wsis/dcs2/tunis/ off/6rev1-es.html.Conkling, W. R. &
Hamilton, Jr J. A. (2008). The importance of information security spending:
an economic approach. Recuperado el 16 de Mayo de 2009 desde
http://delivery.acm.org/10.1145/1410000/1400590/p293conkling.pdf?key1=1400590&key2=5618743521&coll=guide&dl=guide&cfid=
52699252&cftoken=1680800
Ernst & Youngs (2008). Moving beyond compliance Ernst & Youngs 2008
Global Information Security Survey. Recuperado el 23 mayo de 2009 desde
http://www.ey.com/Publication/vwLUAssets/GISS_2008/$FILE/GISS2008.pdf
European Network and Information Security Agency (ENISA) (2008). The
new users guide: How to raise information security awareness. Recuperado
el 17 de Mayo de 2009 desde http://www.enisa.europa.eu
107
Farahmand, F., Navathe, S., B., Sharp, G., P., Enslow, P., H. (2003).
Managing Vulnerabilities of Information Systems to Security Incidents.
Recuperado el 5 de Agosto de 2009 desde
http://delivery.acm.org/10.1145/950000/948050/p348fahramand.pdf?key1=948050&key2=2309202521&coll=acm&dl=acm&cfid=5
0127667&cftoken=78378071
Gobierno de Espaa Ministerio de Administraciones Pblicas (2007).
Normalizacin en seguridad de las tecnologas de la informacin.
Recuperado el 24 de mayo de 2009 desde
http://www.csae.map.es/csi/pdf/normalizacion.pdf
Instituto Nacional de Tecnologas de la Comunicacin (2008), Conceptos de
un SGSI Recuperado el 28 de Julio 2008 desde.
https://sgsi.inteco.es/index.php/es/conceptos-de-un-sgsi
Instituto Nacional de Tecnologas de la Comunicacin (INTECO) (s.f).
Impulso a la Implementacin y certificacin de SGSI en la Pymes.
Recuperado el 17 de mayo de 2009 desde
https://sgsi.inteco.es/index.php/conceptos-de-un-sgsi
Instituto Nacional de Defensa de la Competencia y de la Proteccin de la
Propiedad Intelectual (2009). Comisin de Normalizacin y de Fiscalizacin
de Barreras Comerciales no Arancelarias. Recuperado el 01 de Junio, 2009
desde.
http://www.indecopi.gob.pe/destacado-reglamentos-comisiones-crt-pres.jsp
International Organization for Standardization ISO (2005). State-of-the-art
information security management systems with new ISO/IEC 27001:2005
standard. Recuperado el 20 de Mayo, 2009 desde
http://www.iso.org/iso/pressrelease.htm?refid=Ref976
Jan Yestingsmeier, J., & Steve Guynes, S., (1982). Personnel considerations
in information systems security. Recuperado el 5 de mayo de 2009 desde
http://delivery.acm.org/10.1145/1060000/1058396/p23yestingsmeier.pdf?key1=1058396&key2=6532202521&coll=ACM&dl=ACM&
CFID=50119671&CFTOKEN=87752569
Jinx P. Walton, (2002). Developing an enterprise information security policy.
Recuperado el 5 de Mayo de 2009 desde
http://delivery.acm.org/10.1145/590000/588678/p153walton.pdf?key1=588678&key2=2269743521&coll=GUIDE&dl=GUIDE&CFID
=52702184&CFTOKEN=25028076
Jyotirmoyee Bhattacharjya, Vanessa Chang An Exploration of the
Implementation and Effectiveness of IT Governance Processes in Institutions
of Higher Education in Australia Recuperado el 28 de Julio 2008 desde
http://espace.lis.curtin.edu.au/archive/00001767/02/1767.pdf
108
109
Preda, P., Cuppens, F., Cuppens-Boulahia, N., Alfaro, J., G., Toutain, L.,
Elrakaiby, Y., (2009). Semantic Context Aware Security Policy Deployment
Recuperado el 5 de Agosto de 2009 desde
http://delivery.acm.org/10.1145/1540000/1533092/p251preda.pdf?key1=1533092&key2=6464202521&coll=acm&dl=acm&cfid=5011
9671&cftoken=87752569
The IT Governance Institute (ITGI, 2008) IT Governance Global Status
Report 2008 Recuperado el 20 de Mayo, 2009 desde
http://www.pwc.com/en_BE/be/multimedia/it-governance-global-statut-reportpwc-08.pdf
Rafael, C., Alessio, D., Vctor, D., Horacio, D. (2004) Concientizacin en
Seguridad de la Informacin Facultad de Ingeniera, Departamento de
Sistemas y Computacin Universidad de los Andes Bogot, Colombia.
Recuperado el 24 de mayo de 2009 desde
http://www.criptored.upm.es/guiateoria/gt_m142r.htm
Richard L. Rollason-Reese (2003). Incident handling: an orderly response to
unexpected events. Eastern Connecticut State University. Recuperado el 21
de mayo, 2009 desde
http://portal.acm.org/results.cfm?coll=GUIDE&dl=ACM&CFID=51247843&CF
TOKEN=29146142
Rodewald, G. (2005) Aligning Information Security Investments with a Firm's
Risk Tolerance. Recuperado el 16 de Mayo de 2009 desde
http://delivery.acm.org/10.1145/1110000/1107654/p139rodewald.pdf?key1=1107654&key2=2618202521&coll=acm&dl=acm&cfid=5
0127667&cftoken=78378071
Rollason-Reese, R., L. (2003). Incident Handling: An Orderly Response to
Unexpected Events. Recuperado el 17 de mayo de 2009 desde
http://portal.acm.org/citation.cfm?id=947469.947496&coll=acm&dl=acm&cfid
=50127667&cftoken=78378071
Suhair Hafez Amer, S. H & Hamilton, J.,A.,Jr. ,(2008).Understanding
security architecture. Recuperado el 5 de Mayo de 2009 desde
http://delivery.acm.org/10.1145/1410000/1400596/p335amer.pdf?key1=1400596&key2=4352202521&coll=acm&dl=acm&cfid=50119
671&cftoken=87752569
Savola, R., M. (2007).Towards Taxonomy for Information Security Metrics.
Recuperado el 17 de mayo de 2009 desde
http://delivery.acm.org/10.1145/1320000/1314266/p28savola.pdf?key1=1314266&key2=2229202521&coll=acm&dl=acm&cfid=5012
7667&cftoken=78378071
110
111
ANEXOS
ANEXO 1
Comisiones de Seguridad UIT y Datos sobre ISO
27001/ NTP ISO 17799
Tabla 17. Lista de Comisiones de Estudio y Cuestiones relativas al tema
de la seguridad UIT
112
Fuente: HTTP://WWW.ISO27001CERTIFICATES.COM/
113
Tabla 19.
114
ANEXO 2
DISEO ENCUESTA IMPLEMENTACIN DE LA NTP-ISO/IEC
17799- PCM/ONGEI
Organismos Pblicos Descentralizados Adscritos a la
Presidencia del Consejo de Ministros
Instrucciones:
La presente encuesta, est dirigida a los titulares de cada institucin
su utilidad ser de gran importancia para el desarrollo del proyecto de
Gobierno Electrnico del pas por lo que se le solicita responder con la
mayor objetividad e imparcialidad posible, agradeceremos su valioso aporte
y colaboracin.
La encuesta tiene 3 Partes:
I.
II.
III.
115
Cargo:
Correo electrnico:
..
Cualquier coordinacin al telfono: 2247800 anexo 1432, o al correo
amarino@indecopi.gob.pe.
116
CUESTIONARIO
I.
(3) Provee valor: Este control provee valor a la mayora de las reas
de la Institucin, pero puede no estar formalmente reconocido o
documentado.
117
(4)
Definido:
Los
procedimientos
de
seguridad
han
sido
reforzar
118
No
Descripcin
Domin del Dominio
io
Pregunta de la encuesta
1.- La poltica de la seguridad de la informacin existe
est vigente, y alineado con las metas y objetivos de la
Institucin
2.-La Poltica de la Seguridad de la Informacin ha sido
Poltica de
comunicado a todas las partes involucradas
Seguridad
3.-La Poltica de la Seguridad de la Informacin es
revisada en forma peridica o cuando se produce un
cambio significativo y ha sido validado por una
organizacin independiente
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
119
No
Descripcin
Domin del Dominio
io
Pregunta de la encuesta
1.-Todas las responsabilidades de la Seguridad de la
Informacin estn claramente definidas por los
representantes con roles
y funciones de trabajo
Organizarelevantes
cin de la
seguridad
2.-Los Objetivos de control, controles, polticas,
de la
procesos, tecnologa y procedimientos son revisados
Informacin independientemente en forma peridica o cuando se
produce un cambio significativo en la infraestructura de
seguridad.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
120
No
Descripcin
Domin del Dominio
io
Pregunta de la encuesta
3.-Los Acuerdos con terceros sobre el acceso,
procesamiento, comunicacin o administracin de la
informacin o instalaciones de la Institucin cubren los
requerimientos relevantes de seguridad y regulatorias.
Adicionalmente estos acuerdos son revisados
peridicamente para asegurar que estn vigentes y
operativos.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
121
No
Descripcin
Domin del Dominio
io
Gestin de
Activos
Pregunta de la encuesta
1.- Todos los activos de la Institucin estn claramente
identificados y existe un inventario actualizado de
todos activos crticos actualizados. Este inventario
incluye nombre del activo, propsito, impacto para la
Institucin y propietario.
2.- Se han implementado reglas para un aceptable uso
de la informacin y los activos de informacin estn
identificados y documentados. Estas reglas han sido
efectivamente comunicadas a todos los empleados.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
122
No
Descripcin
Domin del Dominio
io
Seguridad
de
Recursos
Humanos
Pregunta de la encuesta
3.- La informacin ha sido clasificada en trminos de su
valor, requerimientos legales, sensibilidad y criticalidad
para la Institucin.
1.-Los roles de Seguridad y responsabilidades de los
empleados, contratistas, vendedores y usuarios de
terceros estn definidas y documentadas en
concordancia con las polticas de la Institucin,
requerimientos legales y otras polticas institucionales.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
123
No
Descripcin
Domin del Dominio
io
Pregunta de la encuesta
2.-Todos los empleados de la Institucin y donde sea
relevante, contratistas y usuarios de terceros, reciben
un entrenamiento de refrescamiento y actualizacin
sobre las polticas institucionales, requerimientos
legales y procedimientos relevantes a sus funciones de
trabajo
y responsabilidades relacionadas con la
seguridad.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
124
No
Descripcin
Domin del Dominio
io
Seguridad
fsica y
ambiental
Pregunta de la encuesta
1.-Proteccin fsica contra daos de Fuego,
inundaciones, terremotos, explosin, guerras civiles, y
otras formas de desastres naturales o causados por
humanos
estn
implementados
y
operativos.
Adicionalmente las reas seguras estn protegidas por
controles de entrada apropiados para asegurar que
slo personal autorizado tiene permitido el acceso.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
125
No
Descripcin
Domin del Dominio
io
Gestin de
las
Comunicaciones y
Operaciones
Pregunta de la encuesta
1.-La red est adecuadamente administrada y
controlada, y est protegida de amenazas. La
proteccin est dada para los sistemas, aplicaciones,
dispositivos de red, informacin almacenada y en
trnsito.
2.-Las obligaciones crticas y reas de responsabilidad
estn documentadas y segregadas para reducir
oportunidades de fraude y otros usos no autorizados/
mal uso no intencional de los activos de la Institucin.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
126
No
Descripcin
Domin del Dominio
io
Control de
acceso
Pregunta de la encuesta
Esto es particularmente crtico in Finanzas, IT y
seguridad.
1.-Los derechos de acceso de todos los empleados,
contratistas y terceros a los activos de la Institucin,
ambos fsico e informacin, estn controlados y
monitoreados a travs de procesos documentados y
operativos de administracin de identidad o gestin de
usuarios.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
127
No
Descripcin
Domin del Dominio
io
Pregunta de la encuesta
1.- Los requisitos del sistema de seguridad de la
Adquisicin informacin y procesos para implementar la seguridad
desarrollo y son integrados en las etapas iniciales de los proyectos
de los sistemas de informacin.
Mant. De
Sistemas
2.-Si los productos son comprados se realiza una
de
prueba formal y un proceso de adquisicin. Los
Informacin contratos con el proveedor deben especificar los
requisitos de seguridad.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
128
No
Descripcin
Domin del Dominio
io
Gestin de
Incidencias
de
9
Seguridad
de la
Informacin
Pregunta de la encuesta
1.-Todos los empleados, contratistas, y usuarios
terceros de los sistemas de informacin y servicios
registran y reportan cualquier sospecha de seguridad
o debilidad en los sistemas y servicios. Existe un
proceso documentado y operacional para gestionar los
incidentes de seguridad.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
129
No
Descripcin
Domin del Dominio
io
10
11
Pregunta de la encuesta
1.- Un proceso administrado ha sido desarrollado,
Gestin de probado y mantenido para la continuidad del Negocio a
la Continui- travs de la institucin. Incluye los requerimientos
dad del
necesarios de seguridad de la informacin para que el
Negocio
negocio de la Institucin contine en una forma segura
y protegida.
1.-Todos los estatutos relevantes, requerimientos
Cumplicontractuales y regulatorios y todos los alcances de la
miento
institucin para cumplir estos requerimientos estn
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
130
No
Descripcin
Domin del Dominio
io
Pregunta de la encuesta
explcitamente definidos, documentados, y mantenidos
al da para cada
sistema de informacin y la
institucin.
2.-Los sistemas de informacin y sus procesos
asociados son chequeados en forma peridica para
asegurar que no hay desviaciones en el cumplimiento
con los requerimientos voluntarias y mandatorios de la
Institucin.
(6) Optimizado
(5) Gestionado
(4) Definido
(2) Inicial
(3) En proceso de
desarrollo
b. Nivel de madurez de
la Implementacin por
dominio
(1) No Implementado
a. Agrega Valor a la
Institucin
NO
d)
e)
No se ha iniciado el proceso de
definicin y evaluacin
132
4.-Si su
de implementacin
1. ETAPA I
1.1. Anlisis e interpretacin de los
requerimientos de seguridad en base a
la misin, visin y objetivos de la
organizacin
1.2. Identificacin de los recursos
(activos) dentro de los procesos de la
organizacin
2. ETAPA II
2.1. Establecimiento de la Poltica de
Seguridad de la organizacin
2.2. Efectuar un anlisis de riesgos
2.3. En base a los controles
establecidos para cada dominio de la
Norma, establecer la Brecha (Lo que
se tiene y lo que falta implementar)
SOA
3. ETAPA III
3.1. Establecimiento del documento del
plan a 1, 2 o 3 aos
3.2. Implementacin del Plan de
Seguridad dentro del POI
4. ETAPA IV
4.1. Poltica de Seguridad
4.2. Anlisis de riesgos
4.3. Brecha de lo implementado y lo
que falta por implementar
4.4. Plan de Seguridad de la
Informacin (reflejado en el POI)
Grado de dificultad
en implementacin
(1) No hay dificultad
Optimizado
Gestionado
Definido
Inicial
En proceso de
desarrollo
Proceso de implementacin de
la NTP-ISO/IEC 17799
No implementado
Nivel de Implementacin a
la fecha
133
5.- Si su respuesta en la pregunta 4 fue NO, especifique el Modelo
adoptado:.
1
2
3
3
4
5
5
6
5
7
8
8
134
7.- Segn su opinin la responsabilidad de la seguridad de la informacin
en una organizacin es:
a) De la Alta direccin
b) De la Gerencia de Sistemas
c) Del Gerente o jefe de rea de la seguridad de
la informacin
d) Del Gerente General
e) De todos los empleados
f) Otros:
Especificar
III.
1
1
2
2
3
3
4
4
5
5
136
GRADO DE INFLUENCIA
1
2
2
3
l)
m)
n)
3
4
4
5
ANEXO 3
TABLA DE OPERACIONALIZACION DE VARIABLES
Variable
Dimensin
Poltica de Seguridad
Organizacin de la Seguridad de la
Informacin
Sub
Dimensin
Gestin de Activos
Seguridad de Recursos Humanos
Seguridad fsica y ambiental
Gestin de las comunicaciones y
operaciones
Nivel de
valoracin de la
Norma por la
Institucin
Control de Acceso
Adquisicin, desarrollo y Mant. De
sistemas de informacin
Gestin de incidencias de Seguridad
de la Informacin
Gestin de Continuidad del Negocio
Cumplimiento
--
Indicador
Cuestionario
Semi
estructurado
Escala
1) Poco o nada
de valor
2) Algo de valor
3) Provee valor
4) Provee valor
adicional
5) Crtico para el
xito de la
Institucin
Tipo de Variable
Variable
independiene
138
Variable
Dimensin
Sub Dimensin
Una poltica, objetivos y actividades que
reflejen lo objetivos de negocio de la
organizacin
Un enfoque para implantar, mantener y
monitorear e improvisar la seguridad que sea
consistente con la cultura de la organizacin
El apoyo visible y el compromiso de la alta
gerencia
La buena compresin de los requisitos de la
seguridad, de la evaluacin del riesgo y de la
Valoracin
Grado de
gestin del riesgo
sobre la
influencia de
influencia de los La conviccin eficaz de la necesidad de la
los Factores
seguridad a todos los directivos y empleados
Factores
Crticos en la
Crticos en la
implementacin
La distribucin de guas sobre la poltica de
implementacin
de la Norma
seguridad de la informacin y de normas a
de la norma
todos los empleados y contratistas
Indicador
Escala
Tipo de
Variable
1) Ninguna
influencia
2) Algo de
influencia
Cuestionario
Semi
estructurado
Variable
Independiente
3) Mediana
influencia
4) Alta
influencia
5) Muy alta
influencia
139
Variable
Dimensin
Sub Dimensin
Grado de
influencia de los
Factores
Crticos en la
implementacin
de la Norma Apreciacin sobre las
herramientas disponibles para
la implementacin de la
norma en el Portal de la
ONGEI
Indicador
Cuestionario
Semi
estructurado
-Cuestionario
Semi
estructurado
--
Escala
1) Ninguna
influencia
2) Algo de
influencia
3) Mediana
influencia
4) Alta influencia
5) Muy alta
influencia
a) Son muy tiles
d) Medianamente
til
c) Est incompleto
d)No es aplicable
e) Otros
Tipo de
Variable
Variable
Independiente
140
Variable
Dimensin
Iniciacin proceso de
Implementacin de la NTP
- ISO/IEC 17799
Sub Dimensin
Indicador
Cuestionario Semi estructurado
Escala
Tipo de
Variable
a) Si
b) No
-a)OCTAVE
b) MEHARI
Metodologa para la
gestin y evaluacin de
riesgos
c) ISO TR 13335
d) BS 7799 Parte 3
e) Otra
--
Proceso de
Implementacin
del Sistema de
Gestin de la
Seguridad de la
Informacin
(SGSI) basado
en la Norma
f) No se ha iniciado el proceso
a) No. Procesos Identificados
b)Porcentaje de riesgos
identificados
c)Nmero de controles de la
norma seleccionada
--
Variable
independien
te
141
ETAPA I
Aplicacin de la Norma
NTP - ISO/IEC 17799
Nivel de Implementacin
* Anlisis e interpretacin de
los requerimientos de
seguridad en base a la
misin, visin y objetivos de Cuestionario Semi estructurado
la organizacin
1) No implementado
* Identificacin de los
recursos (activos) dentro de
los procesos de la
organizacin
2) Inicial
142
Variable
Proceso de
Implementacin
del Sistema de
Gestin de la
Seguridad de la
Informacin
(SGSI) basado
en la Norma
Dimensin
Orden de importancia
de los factores
principales que
dificultan el
cumplimiento con los
plazos de
implementacin de la
Norma dadas por la
PCM
Sub Dimensin
Falta de Personal especializado
en seguridad de la informacin
Presupuesto Insuficiente o no
asignado
Falta un entendimiento cabal
sobre la seguridad de la
informacin por parte de la alta
direccin para apoyar con mayor
efectividad
Falta de capacitacin y
concienciacin del personal
Dificultad para alinear la
seguridad de la informacin con
los objetivos estratgicos de la
institucin
Dificultad en la gestin del
proyecto y obtener los resultados
esperados
Otros
Indicador
Escala
Tipo de
Variable
Cuestionario Semi
estructurado
Ranking
de 1 -- 8
Variable
independiente
143
Variable
Dimensin
Sub
Dimensin
La responsabilidad
de la seguridad de
la informacin en la
organizacin
Proceso de
Implementacin
del Sistema de
Gestin de la
Seguridad de la
Informacin
Medidas para
(SGSI) basado
fomentar el
en la Norma
cumplimiento de de
la norma por parte
de la ONGEI
--
Indicador
Escala
a) Alta Direccin
b) Gerencia de Sistemas
Cuestionario c) Gerente o jefe de rea de la seguridad
de la informacin
Semi
estructurado d) Gerente General
e) De todos los empleados
f) Otros
a) Debera realizar una auditora de
verificacin de cumplimiento
b) Debera aplicar sanciones a los que
Cuestionario incumplen
Semi
c) Debera establecer premios de
estructurado
cumplimiento
d) Debe apoyar con consultoras
especializadas
--
Tipo de
Variable
e) Otros
Variable
independiente
144
TABLA DE OPERACIONALIZACION DE VARIABLES
Variable
Dimensin
Poltica de Seguridad
Organizacin de la
Seguridad de la
Informacin
Sub
Dimensin
Gestin de Activos
Seguridad de Recursos
Humanos
Seguridad fsica y
ambiental
Grado de
Gestin de las
Madurez de
comunicaciones y
Implementacin operaciones
de la Norma
Control de Acceso
Adquisicin, desarrollo y
Mant. De sistemas de
informacin
Gestin de incidencias de
Seguridad de la
Informacin
Gestin de Continuidad
del Negocio
Cumplimiento
Indicador
Escala
Tipo de
Variable
1) No implementado
2) Inicial
3) En proceso de
desarrollo
Cuestionario
Semi
estructurado 4) Definido
5) Gestionado
6) Optimizado
--
Variable
dependiente
ANEXO 4
a)
Dominio
Promedio de
Valoracin por
Dominio
Valoracin
Promedio
de Nivel
de
madurez
por
Dominio
Poltica de Seguridad
3,3
Provee valor
3,1
Organizacin de la seguridad de la
informacin
3,4
Provee valor
3,2
Gestin de Activos
3,5
Provee valor
3,3
3,5
Provee valor
3,1
3,5
Provee valor
3,5
3,9
Control de acceso
3,7
Adquisicin desarrollo y
Mantenimiento de Sistemas de
Informacin
Gestin de incidencias de Seguridad
de la Informacin
Gestin de la Continuidad del
Negocio
Provee valor
adicional
Provee valor
adicional
Nivel de
madurez
En proceso de
desarrollo
En proceso de
desarrollo
En proceso de
desarrollo
En proceso de
desarrollo
En proceso de
desarrollo
3,8
Definido
3,4
En proceso de
desarrollo
Definido
3,6
Provee valor
adicional
3,6
3,5
Provee valor
2,7
3,9
Provee valor
adicional
2,9
Cumplimiento
3,5
Provee valor
3,1
Promedio Global
3,6
Provee valor
adicional
3,2
En proceso de
desarrollo
En proceso de
desarrollo
En proceso de
desarrollo
En proceso de
desarrollo
II.
tem
Si
No
Total
n
7
9
16
%
43,8
56,3
100,0
tem
Continu
a
No
contestaron
n
6
%
100,
0
tem
BS 7799 Parte 3
Otra
No se ha iniciado el
proceso
n
3
1
%
60,0
20,0
20,0
Total
No contestaron
100,
0
147
Como resultado de la evaluacin de riesgos su institucin tiene definido el
alcance del SGSI?
tem
n
%
1
6,3
Porcentaje de riesgos identificado como
1
6,3
Controles
La definicin y evaluacin est en
3
18,8
proceso
No se ha iniciado el proceso de
2
12,5
definicin y evaluacin
7
43,8
Total
Nivel de
implementacin
hasta la fecha
En proceso de
desarrollo
Definido
Gestionado
Total
No contestaron
33,3
2
2
6
1
33,3
33,3
100,0
Nivel de
implentacion
hasta la fecha
No
implementado
Definido
Gestionado
Total
No
contestaron
16,7
3
2
6
50,0
33,3
100,0
148
Etapa II.1 Establecimiento de la poltica de seguridad de la
organizacin
Nivel de
implentacion
hasta la fecha
En proceso de
desarrollo
Definido
Gestionado
16,7
2
3
33,3
50,0
100,
Total
No contestaron
16,7
16,7
16,7
2
1
6
1
33,3
16,7
100,0
1
1
2
1
1
6
1
16,7
16,7
33,3
16,7
16,7
100,0
149
1
2
16,7
33,3
33,3
16,7
100,
Total
No contestaron
16,7
3
2
6
1
50,0
33,3
100,0
1
1
1
2
1
6
1
16,7
16,7
16,7
33,3
16,7
100,0
150
Nivel de
implementacin
hasta la fecha
No
implementado
En
proceso de
desarrollo
Definido
Total
No
contestaron
16,7
50,0
2
6
33,3
100,0
Nivel de
implementacin
hasta la fecha
Inicial
En
proceso de
desarrollo
Definido
Gestionad
o
Total
No
contestaron
16,7
33,3
33,3
16,7
100,0
151
Nivel de
implementacin hasta la
fecha
No implementado
Inicial
En proceso de
desarrollo
Definido
Gestionado
Total
No contestaron
1
1
16,7
16,7
33,3
1
1
6
1
16,7
16,7
100,0
152
33,3
16,7
33,3
1
6
1
16,7
100,0
16,7
50,0
33,3
100,0
153
Etapa II.2 Efectuar un anlisis de riesgos
Grado de dificultad
en implementacion
Algo de dificultad
Mediana dificultad
Alta dificultad
Total
No contestaron
2
3
1
6
1
33,3
50,0
16,7
100,0
Grado de
dificultad en
implementacion
Algo de dificultad
Mediana dificultad
Alta dificultad
Total
No contestaron
3
2
1
6
1
50,0
33,3
16,7
100,0
Grado de
dificultad en
implementacion
Algo de dificultad
Mediana dificultad
Total
No contestaron
2
4
6
1
33,3
66,7
100,0
154
Grado de
dificultad en
implementacion
No hay dificultad
Algo de dificultad
Mediana dificultad
Alta dificultad
Total
No contestaron
1
2
2
1
6
1
16,7
33,3
33,3
16,7
100,0
2
2
33,3
33,3
16,7
1
6
1
16,7
100,0
50,0
33,3
1
6
1
16,7
100,0
Grado de
dificultad en
implementacion
No hay dificultad
Algo de dificultad
Mediana
dificultad
Alta dificultad
Total
No contestaron
Grado de
dificultad en
implementacin
Algo de dificultad
Mediana
dificultad
Alta dificultad
Total
No contestaron
155
1
2
2
1
6
1
16,7
33,3
33,3
16,7
100,0
Grado de dificultad
en implementacin
Algo de dificultad
Mediana dificultad
Alta dificultad
Total
No
contestaron
3
2
1
6
50,0
33,3
16,7
100,0
tem
De la alta direccin
De la gerencia de sistemas
Del gerente o jefe de rea de la
seguridad de la informacin
De todos los empleados
Total
n
4
3
%
25,0
18,8
6,3
8
16
50,0
100,0
156
tem
Debera realizar una auditora de
verificacin de cumplimiento
Debe apoyar con consultoras
especializadas
31,3
1
1
1
Total
III.
68,8
100,0
n
1
2
4
9
16
%
6,3
12,5
25,0
56,3
100,0
25,0
11
68,8
6,3
16
100,0
157
c) El apoyo visible y el compromiso se la alta gerencia
tem
Mediana
influencia
Alta
influencia
Muy alta
influencia
Total
6,3
31,3
10
62,5
16
100,0
18,8
50,0
31,3
16
100,0
6,3
50,0
43,8
16
100,0
158
f) La distribucin de guas sobre la poltica de seguridad de la
informacin y de normas a todos los empleados y contratistas.
tem
Algo de
influencia
Mediana
influencia
Alta
influencia
Muy alta
influencia
Total
12,5
37,5
31,3
18,8
16
100,0
6,3
12,5
11
68,8
12,5
16
100,0
6,3
56,3
37,5
16
100,0
159
i) Establecer un efectivo proceso de gestin de incidentes de la
seguridad de la informacin.
Algo de
influencia
Mediana
influencia
Alta
influencia
Muy alta
influencia
Total
6,3
12,5
10
62,5
18,8
16
100,0
31,3
50,0
18,8
16
100,0
42,9
57,1
14
100,0
160
ANEXO 5
FUNCIONES DE LOS ORGANISMOS PBLICOS DESCENTRALIZADOS
ADSCRITOS A LA PRESIDENCIA DEL CONSEJO DE MINISTROS (PCM)
EL DESPACHO PRESIDENCIAL
El Despacho Presidencial o Casa de Gobierno es el organismo pblico
encargado de administrar el pliego presupuestal creado mediante la Dcima
Disposicin Complementaria y Transitoria de la Ley N 27573, Ley de
Presupuesto del Sector Pblico para el ao Fiscal 2002, con autonoma
econmica, financiera y administrativa. El Despacho Presidencial se
encuentra adscrito al Sector de la Presidencia del Consejo de Ministros y
tiene por sede la Casa de Gobierno en la ciudad de Lima.
Misin
Somos
una
institucin,
con
autonoma
econmica,
financiera
Visin
Ser
una
institucin
slidamente
organizada,
moderna,
eficiente
161
integral al seor Presidente de la Repblica, para el buen cumplimiento de
sus funciones y atribuciones, que redunde en beneficio del pas.
Funciones
1. Programar las actividades oficiales del Presidente de la Repblica y,
con su aprobacin, realizar las coordinaciones para su ejecucin.
2. Atender los gastos e inversiones correspondientes a la Presidencia de
la Repblica.
3. Asegurar el trmite fluido de la correspondencia del Presidente de la
Repblica.
4. Atender y apoyar al Presidente de la Repblica en el desarrollo de sus
diversas actividades, as como en sus relaciones con los organismos
estatales, instituciones, entidades y sectores representativos de la
ciudadana.
5. Ejecutar las etapas administrativas que permitan la realizacin de las
reuniones del Consejo de Ministros.
6. Coordinar el apoyo necesario para la seguridad del Presidente de la
Repblica y su familia, as como de los dignatarios, autoridades y
otros visitantes de Palacio de Gobierno y velar por la conservacin,
mantenimiento y seguridad de dichas instalaciones.
7. Planificar, coordinar, conducir, monitorear, evaluar y controlar el
desarrollo de las actividades de los rganos integrantes de la
estructura orgnica del Despacho Presidencial.
8. Apoyar y difundir las actividades del Presidente de la Repblica.
9. Otras funciones que le sean asignadas.
162
LA COMISIN NACIONAL PARA EL DESARROLLO Y VIDA SIN
DROGAS (DEVIDA)
Misin
Disear y conducir las polticas contra las drogas en el pas, en forma
eficiente y concertada, coordinando, promoviendo, orientando programas y
proyectos dirigidos con este fin, con la provisin oportuna de recursos del
Estado y con el apoyo de la comunidad internacional, con el fin de lograr
que la poblacin peruana excluya acciones vinculadas a la produccin, el
consumo de drogas y privilegie estilos de vida saludables.
Visin
DEVIDA es modelo de institucin rectora en el pas, promotora, moderna,
integrada y proactiva, reconocida por la comunidad internacional al haber
logrado un real compromiso y una accin efectiva en la lucha contra las
drogas de parte de los sectores, instituciones, gobiernos regionales y
locales, as como de la sociedad civil, minimizando los factores socio
econmicos que incentivan la produccin, trfico y consumo de drogas en
el Per.
Funciones
a. Dirigir y coordinar el proceso de diseo de la Estrategia Nacional contra
las Drogas y sus actualizaciones anuales.
b. Aprobar la Estrategia Nacional contra las Drogas y su actualizacin anual
y los programas operativos anuales que la componen.
c. Coordinar el proceso de diseo y elaboracin de los programas operativos
anuales; dirigir y coordinar los procesos de monitoreo y evaluacin de los
163
mismos, aprobando las medidas correctivas necesarias para alcanzar los
resultados esperados.
d. Promover, coordinar y acordar con las diferentes instituciones del Estado,
vinculadas a la lucha contra las drogas, los proyectos y actividades que se
ejecutarn anualmente y promover la inclusin de stas en el presupuesto
Nacional.
e. Coordinar con las diferentes instituciones del Estado el diseo de las
polticas sectoriales necesarias para consolidar y hacer sostenibles los
logros que se alcancen en la lucha contra las drogas.
f. Promover la inversin privada en favor de la ejecucin de los programas
contenidos en la Estrategia Nacional contra las Drogas.
g.Convocar, coordinar y negociar en coordinacin con el ministerio de
Relaciones Exteriores, con la Comunidad Internacional el apoyo que
requiere el Per para implementar la Estrategia Nacional contra las
Drogas.
h.Coordinar con el Ministerio de Relaciones Exteriores la poltica exterior del
Per en el mbito de las drogas.
i. Las dems funciones que se le asigne por Ley.
164
DIRECCIN NACIONAL DE INTELIGENCIA
Visin
Constituirse en un organismo altamente especializado en Inteligencia
Estratgica, con acciones eficaces y eficientes, de prestigio nacional e
internacional, soporte importante para la toma de decisiones de las ms
altas autoridades del Estado en asuntos de Seguridad Nacional.
Misin
Producir inteligencia estratgica y ejecutar medidas de contrainteligencia en
los campos no militares; as como, dirigir, coordinar, centralizar, integrar,
procesar y difundir la inteligencia que le proveen obligatoriamente todos los
componentes del SINA, para el proceso de toma de decisiones del
Presidente Constitucional de la Repblica y del Consejo de Ministros en
materia de Seguridad Nacional.
Funciones
Funciones
de
la
DINI
como
rgano
rector
del
SINA
(Art.24):
predictiva.
Dirigir,
coordinar,
inteligencia producida
centralizar,
integrar,
procesar
difundir
la
Nacional.
Elaborar la propuesta de Plan Anual de Inteligencia.
Articular los componentes del Sistema de Inteligencia Nacional.
Informar peridicamente a la Comisin de Inteligencia del Congreso de la
Repblica
otros pases.
165
EL INSTITUTO NACIONAL DE DEFENSA CIVIL (INDECI)
El Instituto Nacional de Defensa Civil (INDECI) es el organismo central,
rector y conductor del Sistema Nacional de Defensa Civil, encargado de la
organizacin de la poblacin, coordinacin, planeamiento y control de las
actividades de Defensa Civil.
Visin
Organismo moderno, eficiente, eficaz y lder, en su rol de ente rector,
normativo y conductor del Sistema Nacional de Defensa Civil en la
prevencin y atencin de desastres; cuenta con la confianza y compromiso
de las autoridades y poblacin, contribuye al desarrollo sostenible del pas,
con prestigio internacional.
Misin
Regir y conducir el Sistema Nacional de Defensa Civil, formulando y
promoviendo la implementacin de polticas, normas, planes y programas
para la prevencin y atencin de desastres, con la participacin de
autoridades y poblacin; a fin de proteger la vida y el patrimonio, y contribuir
al desarrollo sostenible del pas.
Funciones
a. Proponer al Consejo de Defensa Nacional los objetivos y polticas de
Defensa Civil.
b. Normar, coordinar, orientar y supervisar el planeamiento y la
ejecucin de la Defensa Civil.
c. Brindar atencin de emergencia proporcionando apoyo inmediato a la
poblacin afectada por desastres.
d. Dirigir y conducir las actividades necesarias encaminadas a obtener la
tranquilidad de la poblacin.
e. Participar en la formulacin y difusin de la doctrina de seguridad y
Defensa Nacional en lo concerniente a Defensa Civil.
f. Asesorar al Consejo de Defensa Nacional en materia de Defensa
Civil.
166
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA
PROTECCIN DE LA PROPIEDAD INTELECTUAL (INDECOPI)
El Instituto Nacional de Defensa de la Competencia y de la Proteccin
de la Propiedad Intelectual (INDECOPI) fue creado en noviembre de 1992,
mediante el Decreto Ley N 25868.
Tiene como funciones la promocin del mercado y la proteccin de los
derechos de los consumidores. Adems, fomenta en la economa peruana
una cultura de leal y honesta competencia, resguardando todas las formas
de propiedad intelectual: desde los signos distintivos y los derechos de autor
hasta las patentes y la biotecnologa.
El INDECOPI es un Organismo Pblico Especializado adscrito a la
Presidencia del Consejo de Ministros, con personera jurdica de derecho
pblico interno. En consecuencia, goza de autonoma funcional, tcnica,
econmica, presupuestal y administrativa (Decreto Legislativo No 1033).
Como resultado de su labor en la promocin de las normas de leal y
honesta competencia entre los agentes de la economa peruana, el
INDECOPI es concebido en la actualidad, como una entidad de servicios con
marcada preocupacin por impulsar una cultura de calidad para lograr la
plena satisfaccin de sus clientes: la ciudadana, el empresariado y el
Estado.
Misin
Promover y garantizar la leal competencia, los derechos de los
consumidores y la propiedad intelectual en el Per, propiciando el buen
funcionamiento del mercado, a travs de la excelencia y calidad de su
personal
Visin
Ser reconocidos como una institucin pblica lder en el Per y Amrica
Latina que brinda sus servicios de manera oportuna, transparente y
confiable, contribuyendo a generar una cultura de mercado y el bienestar en
la sociedad.
167
INSTITUTO NACIONAL DE ESTADSTICA E INFORMATICA (INEI)
Visin
En el ao 2012, el Per cuenta con un gil y eficiente sistema de
coordinacin, produccin y difusin de informacin estadstica confiable,
oportuna y de calidad con cobertura de datos desagregada todo nivel
poltico-administrativo,
que
contribuye
eficazmente
al
diseo,
la
conservacin
ambiental.
Satisface
plenamente
los
Misin
El sistema Estadstico Nacional es la red de entidades del sector pblico a
nivel central, regional y local que, bajo la rectora del Instituto Nacional de
Estadstica INEI, produce y difunde informacin estadstica oficial, en
forma integrada, coordinada, racionalizada bajo una normatividad tcnica
comn, con el propsito de contribuir al diseo, monitoreo y evaluacin de
polticas pblicas y al proceso de toma de decisiones de los agentes socio
econmicos y de la comunidad acadmica, con estadsticas oportunas,
confiables y de calidad.
168
EL INSTITUTO DE RADIO Y TELEVISIN DEL PER (IRTP)
Visin
Misin
169
EL CUERPO GENERAL DE BOMBEROS VOLUNTARIOS DEL PER
(CGBV)
Misin
El Cuerpo General de Bomberos Voluntarios del Per es la autoridad
competente en materia de prevencin, control y extincin de incendios,
realiza acciones de atencin de accidentes vehiculares y emergencias
mdicas, rescate y salvataje de vidas expuestas a peligro. Brinda sus
servicios de manera voluntaria a toda la comunidad debido a su vocacin de
servicio, sensibilidad social, entrega y disciplina.
Visin
El CGBVP es una Institucin consolidada, cientfica y tcnicamente
preparada que cumple con su misin, con equipos y maquinarias modernas
que permiten un accionar ms rpido y efectivo, con personal voluntario
capacitado
mediante
tcnicas
actualizadas.
La
difusin
de
las
170
SIERRA EXPORTADORA
Visin
Sierra con actividades econmicas competitivas y sostenibles, integrada a
los mercados nacionales e internacionales, con niveles de vida y bienestar
de su poblacin acorde con el desarrollo econmico y social del pas.
Misin
Promover, fomentar y desarrollar actividades econmicas productivas en la
sierra, que permitan a los productores articularse competitivamente a
mercados nacionales e internacionales.
Objetivos
Objetivo 1: Desarrollar y consolidar el mercado Nacionales e Internacional.
Objetivo 2: Consolidar y Ampliar una oferta competitiva de productos en la
Sierra peruana en funcin de la demanda real nacional e internacional.
Objetivo 3: Facilitar el acceso a recursos y servicios financieros e
inversiones para el desarrollo de negocios y proyectos productivos.
Objetivo 4: Coordinacin y formulacin de polticas pblicas y promocin de
mecanismos de desarrollo territorial
171
CENTRO NACIONAL DE PLANEAMIENTO ESTRATEGICO CEPLAN
Misin
Visin
ha
consolidado
un
Sistema
Nacional
de
Planeamiento
Funciones
1. Constituirse en el espacio institucionalizado para la definicin concertada
de una visin de futuro compartida y de los objetivos y planes estratgicos
para
el
desarrollo
nacional
armnico,
sustentable,
sostenido
172
4. Desarrollar los procesos y las acciones para el monitoreo de la gestin
para resultados de mediano y largo plazo, en coordinacin con el Consejo
Nacional de Competitividad, basada en los diferentes instrumentos de
planeamiento estratgico y con orientacin hacia la promocin de la
modernizacin administrativa y el logro de estndares de eficiencia al
servicio del ciudadano, as como de la mejora de los ndices de
competitividad del pas para aprovechar las oportunidades que la dinmica
internacional ofrece en el marco de los tratados internacionales de
promocin, asociacin y cooperacin econmica y comercial de los que el
Per es parte.
173
LA AUTORIDAD NACIONAL DEL SERVICIO CIVIL SERVIR
Organismo con personera jurdica de derecho pblico interno y con
autonoma tcnica adscrito a la Presidencia del Consejo de Ministros. El
objetivo de SERVIR es ejercer la rectora del sistema administrativo de
gestin de los recursos humanos del sector pblico (incluidas las entidades
de la administracin central, los gobiernos regionales y locales).
Misin
Mejorar el servicio civil de manera integral y continua para servir al
ciudadano.
Visin
SERVIR lidera procesos de reforma del servicio civil, es reconocida por los
actores clave, en especial por los ciudadanos a partir de sus resultados y
forma parte del ncleo estratgico de decisin del Estado.
Funciones:
1. Desarrollar Oficinas de Recursos Humanos descentralizadas, que
actan como socios estratgicos cercanos a la gente;
2. Apoyar a la modernizacin facultativa de los gobiernos regionales y
locales;
3. Implementar y gestionar el Cuerpo de Gerentes Pblicos a ser
destacados a entidades de los tres niveles de gobierno;
4. Establecer los lineamientos para la capacitacin y mejora del
rendimiento de los servidores pblicos y la eficiencia de los servicios
que brinda el Estado;
5. Desarrollar un sistema de evaluacin e informacin;
6. Desarrollar programas piloto de evaluacin, para asegurar los
mtodos a usar segn los distintos tipos de entidades y, sobre todo,
los tipos de tareas especficas que desempea cada servidor;
7. Proponer la poltica remunerativa, que incluye la aplicacin de
incentivos monetarios y no monetarios vinculados al rendimiento;
8. Resolver de forma progresiva conflictos individuales en materias
relativas al acceso al servicio civil, pago de retribuciones, evaluacin y
progresin en la carrera, rgimen disciplinario y terminacin de la
relacin laboral, a travs del Tribunal del Servicio Civil, que constituye
la ltima instancia de la va administrativa.
174
Misin
OSINFOR es la autoridad nacional, encargada de gestionar eficaz, eficiente,
y oportunamente, la supervisin y fiscalizacin del aprovechamiento de los
recursos forestales, fauna silvestre y los servicios ambientales provenientes
del bosque, estableciendo alianzas estratgicas con los diferentes actores
involucrados, que permitan el crecimiento sostenible y el posicionamiento del
Per entre los pases ms competitivos.
Visin
OSINFOR lder en supervisar y fiscalizar el aprovechamiento sostenible de
los recursos forestales, fauna silvestre y los servicios ambientales
provenientes del bosque, contribuye al crecimiento sostenible del Per y
colabora activamente a posicionar al Per entre los 15 pases ms
competitivos del orbe.