SlideShare una empresa de Scribd logo

OFIN: Proyecto seguridad del producto software

Jack Daniel Cáceres Meza
Jack Daniel Cáceres Meza

Este documento establece la norma de seguridad para productos de software del Ministerio de Educación. Detalla las responsabilidades, normas consultadas, definiciones clave, condiciones generales y específicas, y el procedimiento para evaluar la seguridad de un producto de software. El objetivo es asegurar que los productos de software cumplan con los requisitos mínimos de seguridad de la información de la institución.

Empresariales
1 de 10
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 1 de 10 Norma de Seguridad del Producto Software
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 2 de 10 Identificación del documento Historial de cambios Rol Nombre Cargo Fecha Firma Elaboración Elia Muñoz Responsable del Equipo de Calidad 05/07/2013 Revisión Elia Muñoz Responsable del Equipo de Calidad 15/11/2013 Revisión Jack Cáceres Responsable del Área de Calidad, Seguridad de la Información y PIP 15/11/2013 Revisión Grover Cerquera Jefe del Área de Operaciones Aprobación Sandro Marcone Jefe de OFIN Versión Autor Descripción Fecha V 1.0 Elia Muñoz Documento original 05/07/2013 V 1.1 Jack Cáceres Actualización técnica 18/11/2013 V 1.2
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 3 de 10 Tabla de contenido 1 OBJETIVO............................................................................................................................... 4 2 ALCANCE................................................................................................................................ 4 3 RESPONSABILIDADES............................................................................................................. 4 4 NORMAS CONSULTADAS....................................................................................................... 4 5 DEFINICIONES........................................................................................................................ 5 6 CONDICIONES GENERALES..................................................................................................... 7 7 CONDICIONES ESPECÍFICAS.................................................................................................... 9 8 DESCRIPCION DEL PROCEDIMIENTO...................................................................................... 9 9 FORMATOS.......................................................................................................................... 10 10 ANEXOS ............................................................................................................................... 10
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 4 de 10 1 OBJETIVO Normar las actividades necesarias para asegurar que el producto software a implementarse en el Ministerio de Educación cuentecon las condiciones mínimasde seguridad lógica establecidas por la institución. 2 ALCANCE Incluye el producto software resultante de un proyecto, cuyo desarrollo ha sido realizado con recursos propios o ha sido encargado a terceros. Incluye el producto software sujeto a mantenimiento, y que ha sido realizado con recursos propios o por terceros. 3 RESPONSABILIDADES El equipo comprometido con la seguridad del producto software es el siguiente: • Gestor de Soluciones TIC: Promueve reuniones y participa en ellas, elabora las actas de reunión sobre los acuerdos tomados. Estarán informados acerca del avance del proyecto. Informan al líder usuario sobre la evaluación del aseguramiento y control de calidad y de la evaluación de seguridad del producto software que OFIN realizará. • Responsable de Desarrollo: Tiene a su cargo a los gestores de proyectos. Es responsable de controlar, cumplir y hacer cumplir las normas institucionales en cuanto al mantenimiento, desarrollo y seguridad del producto software. • Gestor de Proyecto: Es el responsable del proyecto. Tiene a su cargo al Analista Funcional, Líder Técnico, Programador. Es responsable de cumplir y hacer cumplir la norma. • Especialista de Seguridad de la Información: Valida que las condiciones de seguridad mínimas establecidas por la institución hayan sido incorporadas en el mantenimiento o desarrollo del producto software. 4 NORMAS CONSULTADAS RM Nº 246-2007-PCM, aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 5 de 10 la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema Nacional de Informática. RM Nº 129-2012-PCM, aprueban el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos” en todas las entidades integrantes del Sistema Nacional de Informática. NTP ISO 9000 2007 Sistemas de gestión de la calidad. Fundamentos y vocabulario. NTP ISO 9001:2009 Sistemas de gestión de la calidad. Requisitos. 5 DEFINICIONES Auditoría Una auditoría es un proceso sistémico, crítico, cuantitativo y detallista, basado en la evidencia, y realizado por un tercero, competente, distinto y sin relación con quien preparó o se relaciona con la información motivo de la auditoría, y que tampoco tiene relación directa con la información que se audita. Este proceso es necesario para determinar la autenticidad, integridad y calidad de la información que se produce, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidos. El objetivo de la auditoría es garantizar objetividad e imparcialidad durante el proceso. Es evitar que el auditor sea juez y parte en cuanto a la evaluación que se realiza ya que contraviene toda recomendación moderna de auditoría y buena práctica operativa. Requisito La ISO 9000 distingue entre requisitos para los sistemas de gestión de la calidad y requisitos para los productos. Los requisitos para los sistemas de gestión de la calidad se especifican en la norma ISO 9001. Los requisitos para los sistemas de gestión de la calidad son genéricos y aplicables a organizacionesdecualquiersector económico eindustrialcon dependencia de la categoría del producto ofrecido. La norma ISO 9001 no establece requisitos para los productos.
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 6 de 10 Los requisitos para los productos pueden ser especificados por los clientes, por la organización anticipándose a los requisitos del cliente, o por disposiciones reglamentarias. Los requisitos para los productos y, en algunos casos, los procesos asociados pueden estar contenidos en, por ejemplo: especificaciones técnicas, normas de producto, normas de proceso, acuerdos contractuales y requisitos reglamentarios. Según INTECO: un requisito es una condición o capacidad necesitada por un usuario para solucionar un problema o conseguir un objetivo que debe ser satisfecho o poseído por un sistema o un componente de un sistema para satisfacer un contrato, estándar, especificación u otro tipo de documento. Un requisito es parte del diseño del servicio. Es una declaración formal de lo que se necesita. Por ejemplo, un requisito de nivel de servicio, un requisito de proyecto o de los servicios a prestar que se requiere para un proceso. (ITIL® V3 Glosario v2.1, 30 de mayo del 2007). En este contexto, la seguridad de la información es un requisito que debe estar incorporado en el producto software, desde su concepción. Seguridad de la información La seguridad de la información implica "Preservar la confidencialidad, integridad y disponibilidad de la información; además, también pueden ser involucradas otras características como autenticación, responsabilidad, no-repudio y fiabilidad". [ISO/IEC 17799:2005] Según la ISO/IEC 13335-1:2004, norma que trata los conceptos y modelos para la gestión de la seguridad de las tecnologías de la información y comunicaciones: • La disponibilidad implica "Garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario". • La confidencialidad implica "Garantizar que la información sea accesible únicamente para quienes tengan acceso autorizado". • La integridad implica "Salvaguardar la exactitud e integridad de la información y activos asociados".
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 7 de 10 6 CONDICIONES GENERALES La evaluación a realizar debe ser de conocimiento previo del propietario del producto software o líder usuario. El Comité de Proyectos (PMO, o la organización que cumpla este cometido o alguien que haga sus veces) deberá informar sobre los requerimientos de Proyectos que se desarrollarán con el fin de planificar la asignación del personal que estará a cargo de la Seguridad de la Información. El Gestor de Soluciones TIC o el Gestor del Proyecto deben concientizar al usuario que solicitó el desarrollo del proyecto a cerca de la propiedad de los activos de información. Según el control A.7.1.2 de la NTP ISO/IEC 27001:2008, la propiedad de los activos está descrita como sigue: La aplicabilidad del Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información dependerá, tanto de la envergadura del desarrollo o mantenimiento del producto software, como de su condición de haber sido desarrollado por OFIN o por terceros. La conducción de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información tiene carácter de auditoría interna. La auditoría interna se realiza en cumplimiento de la cláusula 6 de la NTP ISO/IEC 27001:2008:
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 8 de 10 Laspruebascontenidas en dicha lista de chequeo buscan verificarelcumplimiento delproducto software evaluado teniendo como referencia la norma técnica peruana NTP ISO/IEC 27001:2008. • "La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización [ISO/IEC 13335-1:2004] y requiere en consecuencia una protección adecuada. Esto es muy importante en el creciente ambiente interconectado de negocios. Como resultado de esta creciente interconectividad, la información está expuesta a un mayor rango de amenazas y vulnerabilidades. • La información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 9 de 10 • La seguridad de la información protege a ésta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio [enfoque social]. • La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones de software y hardware. • Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización". [RM Nº 246-2007-PCM: Uso obligatorio de la NTP ISO/IEC 17799:2007]. 7 CONDICIONES ESPECÍFICAS Durante la ejecución de las pruebas el Especialista en Seguridad de la Información actúa como Auditor Interno. El Especialista en Seguridad de la Información supervisará la ejecución de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información, y certificará los resultados obtenidos. La responsabilidad por la ejecución de las pruebas es del usuario o del especialista a quien se ha delegado la tarea. El Especialista en Seguridad de la Información anota el resultado obtenido (CONFORME / NO CONFORME) en la misma lista de chequeo. Todos los participantes en las pruebas firman la lista de chequeo. El Especialista en Seguridad de la Información emite el informe correspondiente con el detalle de los resultados obtenidos. 8 DESCRIPCION DEL PROCEDIMIENTO N° ACCIÓN RESPONSABLE 1 Ejecutar las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información Usuario o especialista responsabilizado
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 10 de 10 N° ACCIÓN RESPONSABLE 2 Supervisar la ejecución de las pruebas Especialista en Seguridad de la Información 3 Anotar los resultados de la ejecución en la lista de chequeo: CONFORME o NO CONFORME Especialista en Seguridad de la Información 4 Firmar la lista de chequeo Todos los participantes en las pruebas 5 Emitir el informe correspondiente con el detalle de los resultados obtenidos Especialista en Seguridad de la Información 9 FORMATOS Ninguno. 10 ANEXOS  CheckList de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información

Recomendados

Norma de proyecto en calidad
Norma de proyecto en calidadNorma de proyecto en calidad
Norma de proyecto en calidad
Jack Daniel Cáceres Meza
 
Norma de Calidad de Mantenimiento al Software Aplicativo
Norma de Calidad de Mantenimiento al Software AplicativoNorma de Calidad de Mantenimiento al Software Aplicativo
Norma de Calidad de Mantenimiento al Software Aplicativo
Jack Daniel Cáceres Meza
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005
Ramiro Cid
 
OFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareOFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto software
Jack Daniel Cáceres Meza
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common Criteria
Javier Tallón
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
Andres_84
 
Adquisición e Implementación
Adquisición e ImplementaciónAdquisición e Implementación
Adquisición e Implementación
PAMELA085IMBA
 
Implantación y mantenimiento de sistemas ISO con AGGIL SaaS
Implantación y mantenimiento de sistemas ISO con AGGIL SaaSImplantación y mantenimiento de sistemas ISO con AGGIL SaaS
Implantación y mantenimiento de sistemas ISO con AGGIL SaaS
Juan Carlos Lopez
 

Recomendados

Norma de proyecto en calidad
Norma de proyecto en calidadNorma de proyecto en calidad
Norma de proyecto en calidad
Jack Daniel Cáceres Meza
 
Norma de Calidad de Mantenimiento al Software Aplicativo
Norma de Calidad de Mantenimiento al Software AplicativoNorma de Calidad de Mantenimiento al Software Aplicativo
Norma de Calidad de Mantenimiento al Software Aplicativo
Jack Daniel Cáceres Meza
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005
Ramiro Cid
 
OFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareOFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto software
Jack Daniel Cáceres Meza
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common Criteria
Javier Tallón
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
Andres_84
 
Adquisición e Implementación
Adquisición e ImplementaciónAdquisición e Implementación
Adquisición e Implementación
PAMELA085IMBA
 
Implantación y mantenimiento de sistemas ISO con AGGIL SaaS
Implantación y mantenimiento de sistemas ISO con AGGIL SaaSImplantación y mantenimiento de sistemas ISO con AGGIL SaaS
Implantación y mantenimiento de sistemas ISO con AGGIL SaaS
Juan Carlos Lopez
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario Ureña
 
COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR
cproano
 
Adquirir Implementar Cobit4
Adquirir Implementar Cobit4Adquirir Implementar Cobit4
Adquirir Implementar Cobit4
Luis Enrique Castillo Leon
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo software
Pedro Garcia Repetto
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
Maricarmen García de Ureña
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Manuel Medina
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC
 
Adquisicion e implementacion cobit
Adquisicion e implementacion cobitAdquisicion e implementacion cobit
Adquisicion e implementacion cobit
julioandres55
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjsl
MariaSalazarLopez
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
AGESTIC - Asociación Gallega Empresas TIC
 
Sqa ejemplo
Sqa ejemploSqa ejemplo
Sqa ejemplo
Jose Limon
 
Cobit exposicion
Cobit exposicionCobit exposicion
Cobit exposicion
Héctor Ardón Morga
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
Grupo Ingertec
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria Informatica
Pedro Garcia Repetto
 
Casos de estudio
Casos de estudioCasos de estudio
Casos de estudio
Jonathan Imbaquingo Castillo
 
Norma tecnica peruana grupo paty
Norma tecnica peruana grupo patyNorma tecnica peruana grupo paty
Norma tecnica peruana grupo paty
gequito
 
Tecnicas de calidad del SQA
Tecnicas de calidad del SQATecnicas de calidad del SQA
Tecnicas de calidad del SQA
Boxcarpilot
 
aseguramiento de la calidad de software acs
aseguramiento de la calidad de software acsaseguramiento de la calidad de software acs
aseguramiento de la calidad de software acs
MARCO POLO SILVA SEGOVIA
 
Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.
NYCE
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y compliance
Fabián Descalzo
 
AI08 Auditoria producto software
AI08 Auditoria producto softwareAI08 Auditoria producto software
AI08 Auditoria producto software
Pedro Garcia Repetto
 

Más contenido relacionado

La actualidad más candente

COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR
cproano
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
Maricarmen García de Ureña
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjsl
MariaSalazarLopez
 
aseguramiento de la calidad de software acs
aseguramiento de la calidad de software acsaseguramiento de la calidad de software acs
aseguramiento de la calidad de software acs
MARCO POLO SILVA SEGOVIA
 

La actualidad más candente (20)

Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
 
COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR
 
Adquirir Implementar Cobit4
Adquirir Implementar Cobit4Adquirir Implementar Cobit4
Adquirir Implementar Cobit4
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo software
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Adquisicion e implementacion cobit
Adquisicion e implementacion cobitAdquisicion e implementacion cobit
Adquisicion e implementacion cobit
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjsl
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
 
Sqa ejemplo
Sqa ejemploSqa ejemplo
Sqa ejemplo
 
Cobit exposicion
Cobit exposicionCobit exposicion
Cobit exposicion
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria Informatica
 
Casos de estudio
Casos de estudioCasos de estudio
Casos de estudio
 
Norma tecnica peruana grupo paty
Norma tecnica peruana grupo patyNorma tecnica peruana grupo paty
Norma tecnica peruana grupo paty
 
Tecnicas de calidad del SQA
Tecnicas de calidad del SQATecnicas de calidad del SQA
Tecnicas de calidad del SQA
 
aseguramiento de la calidad de software acs
aseguramiento de la calidad de software acsaseguramiento de la calidad de software acs
aseguramiento de la calidad de software acs
 
Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 

Similar a OFIN: Proyecto seguridad del producto software

Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
Xiva Sandoval
 
Guia practica de_gestion_de_configuracion
Guia practica de_gestion_de_configuracionGuia practica de_gestion_de_configuracion
Guia practica de_gestion_de_configuracion
Christian Taipe Ramos
 
Calidad de software alex
Calidad de software alexCalidad de software alex
Calidad de software alex
Alexander Ortis
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
3134267271
 
Trabajo final sistemas de calidad
Trabajo final sistemas de calidadTrabajo final sistemas de calidad
Trabajo final sistemas de calidad
Omar Hernandez
 

Similar a OFIN: Proyecto seguridad del producto software (20)

Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y compliance
 
AI08 Auditoria producto software
AI08 Auditoria producto softwareAI08 Auditoria producto software
AI08 Auditoria producto software
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
 
AF3-Investigación sobre SQA V1.docx
AF3-Investigación sobre SQA V1.docxAF3-Investigación sobre SQA V1.docx
AF3-Investigación sobre SQA V1.docx
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
 
Calidad de Software
Calidad de SoftwareCalidad de Software
Calidad de Software
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Unidad1_EMDS.pptx
Unidad1_EMDS.pptxUnidad1_EMDS.pptx
Unidad1_EMDS.pptx
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptx
 
Calidad del software
Calidad del softwareCalidad del software
Calidad del software
 
Estandares ieee
Estandares ieeeEstandares ieee
Estandares ieee
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidad
 
Guia practica de_gestion_de_configuracion
Guia practica de_gestion_de_configuracionGuia practica de_gestion_de_configuracion
Guia practica de_gestion_de_configuracion
 
Calidad de software alex
Calidad de software alexCalidad de software alex
Calidad de software alex
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBIT
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
Trabajo final sistemas de calidad
Trabajo final sistemas de calidadTrabajo final sistemas de calidad
Trabajo final sistemas de calidad
 

Más de Jack Daniel Cáceres Meza

Más de Jack Daniel Cáceres Meza (20)

Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
ITIL® SLC Fundamentos
ITIL® SLC FundamentosITIL® SLC Fundamentos
ITIL® SLC Fundamentos
 
Ciclo de vida de un servicio de TI
Ciclo de vida de un servicio de TICiclo de vida de un servicio de TI
Ciclo de vida de un servicio de TI
 
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
 
Producto alcance política-v2
Producto alcance política-v2Producto alcance política-v2
Producto alcance política-v2
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
 
Curso: Unixware
Curso: UnixwareCurso: Unixware
Curso: Unixware
 
UPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporteUPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporte
 
UPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producciónUPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producción
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuarios
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -ppt
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informe
 
OFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma ColaboradoresOFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma Colaboradores
 
MINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidoresMINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidores
 

Último

DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptxDIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
7500222160
 
Catalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmgCatalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmg
dostorosmg
 
Hiperbilirrubinemia en el recién nacido.pptx
Hiperbilirrubinemia en el recién nacido.pptxHiperbilirrubinemia en el recién nacido.pptx
Hiperbilirrubinemia en el recién nacido.pptx
salazarsilverio074
 
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxCRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
geuster2
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
Evafabi
 

Último (20)

liderazgo guia.pdf.............................
liderazgo guia.pdf.............................liderazgo guia.pdf.............................
liderazgo guia.pdf.............................
 
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADADECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
DECRETO-2535-DE-1993-pdf.pdf VIGILANCIA PRIVADA
 
EL REFERENDO para una exposición de sociales
EL REFERENDO para una exposición de socialesEL REFERENDO para una exposición de sociales
EL REFERENDO para una exposición de sociales
 
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptxDIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
DIAPOSITIVAS LIDERAZGO Y GESTION INTERGENERACION (3).pptx
 
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
____ABC de las constelaciones con enfoque centrado en soluciones - Gabriel de...
 
mapa-conceptual-evidencias-de-auditoria_compress.pdf
mapa-conceptual-evidencias-de-auditoria_compress.pdfmapa-conceptual-evidencias-de-auditoria_compress.pdf
mapa-conceptual-evidencias-de-auditoria_compress.pdf
 
HIGIENE_POSTURAL-_MANEJO_DE_CARGA1compr.pptx
HIGIENE_POSTURAL-_MANEJO_DE_CARGA1compr.pptxHIGIENE_POSTURAL-_MANEJO_DE_CARGA1compr.pptx
HIGIENE_POSTURAL-_MANEJO_DE_CARGA1compr.pptx
 
Contabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contableContabilidad Gubernamental guia contable
Contabilidad Gubernamental guia contable
 
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBREDISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
 
Catalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmgCatalogo de tazas para la tienda nube de dostorosmg
Catalogo de tazas para la tienda nube de dostorosmg
 
Hiperbilirrubinemia en el recién nacido.pptx
Hiperbilirrubinemia en el recién nacido.pptxHiperbilirrubinemia en el recién nacido.pptx
Hiperbilirrubinemia en el recién nacido.pptx
 
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedadesLas sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
Las sociedades anónimas en el Perú , de acuerdo a la Ley general de sociedades
 
Presentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdfPresentacion encuentra tu creatividad papel azul.pdf
Presentacion encuentra tu creatividad papel azul.pdf
 
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdfCONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
CONSTITUCIÓN POLÍTICA DEL PERÚ al 25082023.pdf
 
Empresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercadoEmpresa Sazonadores Lopesa estudio de mercado
Empresa Sazonadores Lopesa estudio de mercado
 
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptxSostenibilidad y continuidad huamcoli robin-cristian.pptx
Sostenibilidad y continuidad huamcoli robin-cristian.pptx
 
Analisis del art. 37 de la Ley del Impuesto a la Renta
Analisis del art. 37 de la Ley del Impuesto a la RentaAnalisis del art. 37 de la Ley del Impuesto a la Renta
Analisis del art. 37 de la Ley del Impuesto a la Renta
 
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docxCRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
CRITERIOS DE EVALUACIÓN - NIVEL INICIAL.docx
 
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
3ro - Semana 1 (EDA 2) 2023 (3).ppt. edx
 
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptxCORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
CORRIENTES DEL PENSAMIENTO ECONÓMICO.pptx
 

OFIN: Proyecto seguridad del producto software

  • 1. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 1 de 10 Norma de Seguridad del Producto Software
  • 2. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 2 de 10 Identificación del documento Historial de cambios Rol Nombre Cargo Fecha Firma Elaboración Elia Muñoz Responsable del Equipo de Calidad 05/07/2013 Revisión Elia Muñoz Responsable del Equipo de Calidad 15/11/2013 Revisión Jack Cáceres Responsable del Área de Calidad, Seguridad de la Información y PIP 15/11/2013 Revisión Grover Cerquera Jefe del Área de Operaciones Aprobación Sandro Marcone Jefe de OFIN Versión Autor Descripción Fecha V 1.0 Elia Muñoz Documento original 05/07/2013 V 1.1 Jack Cáceres Actualización técnica 18/11/2013 V 1.2
  • 3. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 3 de 10 Tabla de contenido 1 OBJETIVO............................................................................................................................... 4 2 ALCANCE................................................................................................................................ 4 3 RESPONSABILIDADES............................................................................................................. 4 4 NORMAS CONSULTADAS....................................................................................................... 4 5 DEFINICIONES........................................................................................................................ 5 6 CONDICIONES GENERALES..................................................................................................... 7 7 CONDICIONES ESPECÍFICAS.................................................................................................... 9 8 DESCRIPCION DEL PROCEDIMIENTO...................................................................................... 9 9 FORMATOS.......................................................................................................................... 10 10 ANEXOS ............................................................................................................................... 10
  • 4. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 4 de 10 1 OBJETIVO Normar las actividades necesarias para asegurar que el producto software a implementarse en el Ministerio de Educación cuentecon las condiciones mínimasde seguridad lógica establecidas por la institución. 2 ALCANCE Incluye el producto software resultante de un proyecto, cuyo desarrollo ha sido realizado con recursos propios o ha sido encargado a terceros. Incluye el producto software sujeto a mantenimiento, y que ha sido realizado con recursos propios o por terceros. 3 RESPONSABILIDADES El equipo comprometido con la seguridad del producto software es el siguiente: • Gestor de Soluciones TIC: Promueve reuniones y participa en ellas, elabora las actas de reunión sobre los acuerdos tomados. Estarán informados acerca del avance del proyecto. Informan al líder usuario sobre la evaluación del aseguramiento y control de calidad y de la evaluación de seguridad del producto software que OFIN realizará. • Responsable de Desarrollo: Tiene a su cargo a los gestores de proyectos. Es responsable de controlar, cumplir y hacer cumplir las normas institucionales en cuanto al mantenimiento, desarrollo y seguridad del producto software. • Gestor de Proyecto: Es el responsable del proyecto. Tiene a su cargo al Analista Funcional, Líder Técnico, Programador. Es responsable de cumplir y hacer cumplir la norma. • Especialista de Seguridad de la Información: Valida que las condiciones de seguridad mínimas establecidas por la institución hayan sido incorporadas en el mantenimiento o desarrollo del producto software. 4 NORMAS CONSULTADAS RM Nº 246-2007-PCM, aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de
  • 5. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 5 de 10 la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema Nacional de Informática. RM Nº 129-2012-PCM, aprueban el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos” en todas las entidades integrantes del Sistema Nacional de Informática. NTP ISO 9000 2007 Sistemas de gestión de la calidad. Fundamentos y vocabulario. NTP ISO 9001:2009 Sistemas de gestión de la calidad. Requisitos. 5 DEFINICIONES Auditoría Una auditoría es un proceso sistémico, crítico, cuantitativo y detallista, basado en la evidencia, y realizado por un tercero, competente, distinto y sin relación con quien preparó o se relaciona con la información motivo de la auditoría, y que tampoco tiene relación directa con la información que se audita. Este proceso es necesario para determinar la autenticidad, integridad y calidad de la información que se produce, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidos. El objetivo de la auditoría es garantizar objetividad e imparcialidad durante el proceso. Es evitar que el auditor sea juez y parte en cuanto a la evaluación que se realiza ya que contraviene toda recomendación moderna de auditoría y buena práctica operativa. Requisito La ISO 9000 distingue entre requisitos para los sistemas de gestión de la calidad y requisitos para los productos. Los requisitos para los sistemas de gestión de la calidad se especifican en la norma ISO 9001. Los requisitos para los sistemas de gestión de la calidad son genéricos y aplicables a organizacionesdecualquiersector económico eindustrialcon dependencia de la categoría del producto ofrecido. La norma ISO 9001 no establece requisitos para los productos.
  • 6. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 6 de 10 Los requisitos para los productos pueden ser especificados por los clientes, por la organización anticipándose a los requisitos del cliente, o por disposiciones reglamentarias. Los requisitos para los productos y, en algunos casos, los procesos asociados pueden estar contenidos en, por ejemplo: especificaciones técnicas, normas de producto, normas de proceso, acuerdos contractuales y requisitos reglamentarios. Según INTECO: un requisito es una condición o capacidad necesitada por un usuario para solucionar un problema o conseguir un objetivo que debe ser satisfecho o poseído por un sistema o un componente de un sistema para satisfacer un contrato, estándar, especificación u otro tipo de documento. Un requisito es parte del diseño del servicio. Es una declaración formal de lo que se necesita. Por ejemplo, un requisito de nivel de servicio, un requisito de proyecto o de los servicios a prestar que se requiere para un proceso. (ITIL® V3 Glosario v2.1, 30 de mayo del 2007). En este contexto, la seguridad de la información es un requisito que debe estar incorporado en el producto software, desde su concepción. Seguridad de la información La seguridad de la información implica "Preservar la confidencialidad, integridad y disponibilidad de la información; además, también pueden ser involucradas otras características como autenticación, responsabilidad, no-repudio y fiabilidad". [ISO/IEC 17799:2005] Según la ISO/IEC 13335-1:2004, norma que trata los conceptos y modelos para la gestión de la seguridad de las tecnologías de la información y comunicaciones: • La disponibilidad implica "Garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario". • La confidencialidad implica "Garantizar que la información sea accesible únicamente para quienes tengan acceso autorizado". • La integridad implica "Salvaguardar la exactitud e integridad de la información y activos asociados".
  • 7. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 7 de 10 6 CONDICIONES GENERALES La evaluación a realizar debe ser de conocimiento previo del propietario del producto software o líder usuario. El Comité de Proyectos (PMO, o la organización que cumpla este cometido o alguien que haga sus veces) deberá informar sobre los requerimientos de Proyectos que se desarrollarán con el fin de planificar la asignación del personal que estará a cargo de la Seguridad de la Información. El Gestor de Soluciones TIC o el Gestor del Proyecto deben concientizar al usuario que solicitó el desarrollo del proyecto a cerca de la propiedad de los activos de información. Según el control A.7.1.2 de la NTP ISO/IEC 27001:2008, la propiedad de los activos está descrita como sigue: La aplicabilidad del Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información dependerá, tanto de la envergadura del desarrollo o mantenimiento del producto software, como de su condición de haber sido desarrollado por OFIN o por terceros. La conducción de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información tiene carácter de auditoría interna. La auditoría interna se realiza en cumplimiento de la cláusula 6 de la NTP ISO/IEC 27001:2008:
  • 8. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 8 de 10 Laspruebascontenidas en dicha lista de chequeo buscan verificarelcumplimiento delproducto software evaluado teniendo como referencia la norma técnica peruana NTP ISO/IEC 27001:2008. • "La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización [ISO/IEC 13335-1:2004] y requiere en consecuencia una protección adecuada. Esto es muy importante en el creciente ambiente interconectado de negocios. Como resultado de esta creciente interconectividad, la información está expuesta a un mayor rango de amenazas y vulnerabilidades. • La información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
  • 9. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 9 de 10 • La seguridad de la información protege a ésta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio [enfoque social]. • La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones de software y hardware. • Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización". [RM Nº 246-2007-PCM: Uso obligatorio de la NTP ISO/IEC 17799:2007]. 7 CONDICIONES ESPECÍFICAS Durante la ejecución de las pruebas el Especialista en Seguridad de la Información actúa como Auditor Interno. El Especialista en Seguridad de la Información supervisará la ejecución de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información, y certificará los resultados obtenidos. La responsabilidad por la ejecución de las pruebas es del usuario o del especialista a quien se ha delegado la tarea. El Especialista en Seguridad de la Información anota el resultado obtenido (CONFORME / NO CONFORME) en la misma lista de chequeo. Todos los participantes en las pruebas firman la lista de chequeo. El Especialista en Seguridad de la Información emite el informe correspondiente con el detalle de los resultados obtenidos. 8 DESCRIPCION DEL PROCEDIMIENTO N° ACCIÓN RESPONSABLE 1 Ejecutar las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información Usuario o especialista responsabilizado
  • 10. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 10 de 10 N° ACCIÓN RESPONSABLE 2 Supervisar la ejecución de las pruebas Especialista en Seguridad de la Información 3 Anotar los resultados de la ejecución en la lista de chequeo: CONFORME o NO CONFORME Especialista en Seguridad de la Información 4 Firmar la lista de chequeo Todos los participantes en las pruebas 5 Emitir el informe correspondiente con el detalle de los resultados obtenidos Especialista en Seguridad de la Información 9 FORMATOS Ninguno. 10 ANEXOS  CheckList de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información