Upload File

revges_1742

4
Enero de 2013 E1 ISO 27001 y la seguridad de los archivos ISO 27001 es la norma sobre seguridad de la información que en esta oportunidad la auto- ra destaca como fundamental para la implementación de sistemas de gestión documental en medios electrónicos. En el Perú la norma ha sido adaptada por el organismo normalizador, INDECOPI, por lo que tanto las entidades públicas como privadas cuentan oficialmente con un valioso instrumento normativo para desarrollar los procesos de seguridad de la información en las organizaciones. RESUMEN EJECUTIVO 1. INTRODUCCIÓN Un buen número de normas ISO son de aplicación a los documentos de los archi- vos, la gestión de documentos o archivos propiamente. En algunos casos la vincula- ción es directa y en otros no tanto, sin em- bargo se suman como elementos técnicos importantes para la Archivística. Hace un tiempo venimos escribiendo sobre algunas normas ISO y lo seguiremos haciendo, con la finalidad de aportar, de al- guna manera, a un tratamiento técnico y normalizado de los documentos de archivos, con el objetivo fundamental de contribuir a su conservación en las condiciones que per- mitan su acceso y uso inmediato mientras se les necesite, para las diversas actuaciones ad- ministrativas o jurisdiccionales en las que los documentos cumplen un rol importantísimo. En esta oportunidad comentaremos y analizaremos brevemente la norma ISO 27001 destacando la conveniencia de su apli- cación para garantizar y proteger los docu- mentos de archivo en soporte electrónico en cada una de las organizaciones públicas del Estado peruano que ya cuentan con sus sis- temas de gestión en este medio tecnológico. 2. ¿QUÉ SE ENTIENDE POR SERVICIOS TECNOLÓGICOS DE INFORMACIÓN? Para responder a esta pregunta centré- monos muy brevemente en la norma ISO 20000 de diciembre de 2005, se trata de una primera norma dirigida a la gestión de los servicios de tecnología de la informa- ción (TI). Está motivada en la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios, pro- venientes de un colapso técnico del sistema de TI. ISO 20000 describe un conjunto in- tegrado de procesos para prestar servicios de TI a las organizaciones y a sus clientes en forma eficaz. Es el primer estándar inter- nacional para el área de administración de servicios de tecnología de la información, la parte 2 contiene ejemplos de prácticas/ comportamientos/ evidencias que pueden ser utilizados por las organizaciones para mejorar sus procesos de servicio. Incluye, además, recomendaciones y ejemplos de evidencias acerca de la forma en la que una organización puede cumplir con los reque- rimientos contenidos en la Parte 1: Especi- ficaciones (1) . Uno de los objetivos de esta norma en cuanto al proceso de entrega de servicio es asegurar que la organización cuenta, en cualquier momento, con la ca- pacidad suficiente para satisfacer la deman- da actual y futura acordada del negocio, y administrar la seguridad de la información de forma efectiva dentro de todas las acti- vidades de servicio (2) . Según ISO 20000 los cambios frecuen- tes en la tecnología y la asistencia del pro- fesional de TI fidedignos se convierten en un proceso difícil y arriesgado. Si una em- presa de outsourcing de TI o una empresa 1. Introducción ––––––––––––––––––––––––––––––––––––––––– 2. ¿Qué se entiende por servicios tecnológicos de información? ––––––––––––––––––––––––––––––––––––––––– 3. ISO 27001 seguridad de la información ––––––––––––––––––––––––––––––––––––––––– 4. Secuencia cronológica de ISO 27001 ––––––––––––––––––––––––––––––––––––––––– 5. Conclusiones ––––––––––––––––––––––––––––––––––––––––– ÍNDICE Aída Mendoza Navarro (*) Fuente: us.bureauuveritas.com Sistemas Administrativos E Sistema Nacional de Archivos –––––––––––– (*) Abogada de la Universidad Nacional Mayor de San Marcos, Maestra en Gestión de Políticas y con estudios concluidos de Doctorado por la Universidad Nacional Federico Villareal. Consultora Internacional y miembro del CLAID TEAM, equipo para la difusión del Proyecto INTERPARES-International Research on Perma- nent Authentic Records in Electronic Systems – para el Caribe y América Latina (University of British Columbia, Vancouver-Canadá). Es auto- ra de libros y artículos publicados en ediciones especializadas nacionales y extranjeras.

Upload: byron-delgado

Post on 18-Dec-2015

212 views

Category:

Documents


0 download

Report

DESCRIPTION

ghjgjg

TRANSCRIPT

  • Sistemas Administrativos E

    Enero de 2013 E1

    ISO 27001 y la seguridad de los archivos

    ISO 27001 es la norma sobre seguridad de la informacin que en esta oportunidad la auto-ra destaca como fundamental para la implementacin de sistemas de gestin documental en medios electrnicos. En el Per la norma ha sido adaptada por el organismo normalizador, INDECOPI, por lo que tanto las entidades pblicas como privadas cuentan oficialmente con un valioso instrumento normativo para desarrollar los procesos de seguridad de la informacin en las organizaciones.

    RESumEn EjEcutIvO

    1. IntROduccIn

    Un buen nmero de normas ISO son de aplicacin a los documentos de los archi-vos, la gestin de documentos o archivos propiamente. En algunos casos la vincula-cin es directa y en otros no tanto, sin em-bargo se suman como elementos tcnicos importantes para la Archivstica.

    Hace un tiempo venimos escribiendo sobre algunas normas ISO y lo seguiremos haciendo, con la finalidad de aportar, de al-guna manera, a un tratamiento tcnico y normalizado de los documentos de archivos, con el objetivo fundamental de contribuir a su conservacin en las condiciones que per-mitan su acceso y uso inmediato mientras se les necesite, para las diversas actuaciones ad-ministrativas o jurisdiccionales en las que los documentos cumplen un rol importantsimo.

    En esta oportunidad comentaremos y analizaremos brevemente la norma ISO 27001 destacando la conveniencia de su apli-cacin para garantizar y proteger los docu-mentos de archivo en soporte electrnico en cada una de las organizaciones pblicas del Estado peruano que ya cuentan con sus sis-temas de gestin en este medio tecnolgico.

    2. Qu SE EntIEndE pOR SERvIcIOS tEcnOlgIcOS dE InfORmacIn?

    Para responder a esta pregunta centr-monos muy brevemente en la norma ISO

    20000 de diciembre de 2005, se trata de una primera norma dirigida a la gestin de los servicios de tecnologa de la informa-cin (TI). Est motivada en la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios, pro-venientes de un colapso tcnico del sistema de TI. ISO 20000 describe un conjunto in-tegrado de procesos para prestar servicios de TI a las organizaciones y a sus clientes en forma eficaz. Es el primer estndar inter-nacional para el rea de administracin de servicios de tecnologa de la informacin, la parte 2 contiene ejemplos de prcticas/comportamientos/ evidencias que pueden ser utilizados por las organizaciones para mejorar sus procesos de servicio. Incluye, adems, recomendaciones y ejemplos de evidencias acerca de la forma en la que una organizacin puede cumplir con los reque-rimientos contenidos en la Parte 1: Especi-ficaciones (1). Uno de los objetivos de esta norma en cuanto al proceso de entrega de servicio es asegurar que la organizacin cuenta, en cualquier momento, con la ca-pacidad suficiente para satisfacer la deman-da actual y futura acordada del negocio, y administrar la seguridad de la informacin de forma efectiva dentro de todas las acti-vidades de servicio (2).

    Segn ISO 20000 los cambios frecuen-tes en la tecnologa y la asistencia del pro-fesional de TI fidedignos se convierten en un proceso difcil y arriesgado. Si una em-presa de outsourcing de TI o una empresa

    1. Introduccin2. Qu se entiende por servicios tecnolgicos

    de informacin?3. ISO 27001 seguridad de la informacin4. Secuencia cronolgica de ISO 270015. Conclusiones

    ndIcE

    ada mendoza navarro(*)

    fuente: us.bureauuveritas.com

    Sistemas AdministrativosE

    Sistema Nacional de Archivos

    (*) Abogada de la Universidad Nacional Mayor de

    San Marcos, Maestra en Gestin de Polticas y con estudios concluidos de Doctorado por la Universidad Nacional Federico Villareal. Consultora Internacional y miembro del CLAID TEAM, equipo para la difusin del Proyecto INTERPARES-International Research on Perma-nent Authentic Records in Electronic Systems para el Caribe y Amrica Latina (University of British Columbia, Vancouver-Canad). Es auto-ra de libros y artculos publicados en ediciones especializadas nacionales y extranjeras.

  • Sistemas AdministrativosE

    Enero de 2013E2

    de TI en la etapa inicial o final de los pro-cesos mejora continuamente sus servicios para requerir calidad, debe cumplir con los requerimientos del cliente y libre de riesgo empresarial. Con ISO 20000 se certifica a organizaciones como una nueva tendencia para firmar acuerdos comerciales (3).

    El servicio de informacin tecnolgica archivstico a implementarse en cualquier organizacin; grande, mediana o pequea; pblica o privada, demanda, por lo regular, una infraestructura que a la vez requiere de un presupuesto no solo para su adquisicin sino para su mantenimiento permanente. Entre otros elementos se requiere bsica-mente:

    Software apropiado de acuerdo con las necesidades de la organizacin, tanto respecto de la tipologa documental que maneja, como de los accesos para usuarios internos y externos; y restric-ciones cuando se trata de documentos clasificados u otras condiciones que distinguen a cada una de las organiza-ciones.

    Hardware, el cual como en el rubro anterior, tiene que ver con la peculia-ridad del manejo de informacin de la organizacin, la calidad de documen-tos que se trata o medidas de seguri-dad especficas por la naturaleza de los documentos de archivos, sobre todo de los documentos sustantivos que se producen segn la naturaleza de la or-ganizacin.

    Procesos y procedimientos que debe-rn analizarse previamente para definir los servicio de hardware y software, se-gn su complejidad o simplicidad. Ca-da procedimiento demanda determina-dos requisitos tecnolgico-informti-cos que se distinguen de los de otras organizaciones, por tanto su eleccin obedece a una necesidad especfica, ms aun cuando se trata de un sistema de gestin de documentos electrnicos de archivo.

    Difusin interna y externa, en sentido similar a los rubros anteriores, debido a que no todas las organizaciones tienen los mismos canales de comunicacin tanto interno como externo, inclusive el tipo de informacin tambin difiere segn su calidad y cantidad o inmedia-tez de transmisin, lo que deber ser previamente estudiado con la finalidad de que los componentes tecnolgicos vayan en concordancia con la necesidad de la organizacin.

    La calidad del servicio a ofrecer merece una atencin fundamental por la multi-plicidad de usuarios a los que se desti-nan los documentos, as como las me-didas de seguridad en tanto el acceso puede ser restringido a determinados tipos de usuarios o simplemente estar

    sujetos a plazos de acuerdo con las leyes que rigen sobre la materia.

    ISO 20001 pretende asegurar una bue-na operacin y distribucin de los servicios al cliente en tanto el sistema de gestin, adems proporciona un enfoque inte-grado de los procesos que resulten en la prestacin de servicios bien gestionados. Evita la discrepancia en la continuidad del negocio, la administracin de versiones y la seguridad. Como tantas otras normas ISO dirigidas a promover la aplicacin de buenas prcticas administrativas, la ISO en mencin se basa en la implementacin de un sistema que garantizar un funciona-miento ms eficaz de la organizacin. Bus-ca la certificacin que aporta consistencia a la organizacin lo que finalmente se tra-duce en una ventaja competitiva respecto de otras de su gnero.

    Todo archivo requiere un marco tcni-co para la administracin de sus servicios de documentos de archivo. La existencia de las tecnologas de la informacin en los archivos incide en el crecimiento de la or-ganizacin siempre que se implementen medidas de seguridad en el manejo de los documentos de archivo. En ese estado se requiere capacitacin, certificacin, con-sultora y herramientas tecnolgicas apro-piadas.

    Cuando la mayora de las empresas piensa en un sistema de gestin de la in-formacin se refiere por lo general a los documentos generados en el curso de sus funciones y en la prestacin de los servicios de esos documentos, el sistema contendr conjuntos estructurados de mejores prcti-cas y metodologas estndar para cada pro-ceso operacional. Por lo general, la organi-zacin no logra entender que el sistema de gestin documental es parte integrante y fundamental del sistema de informacin organizacional. Un sistema de gestin de la informacin requiere calidad de servicio y se centra en cmo lograr que la organiza-cin sea eficiente y rentable, lo que va de la mano con un ptimo sistema de gestin de documentos de archivo que permita una fluida informacin tanto a los usuarios in-ternos como externos.

    Un sistema de gestin de la informa-

    cin nos dice qu hacer y cmo hacerlo. Los archivos naturalmente forman parte de un sistema de gestin de la informacin en el que el archivero participar activamen-te en la aplicacin de las mejores prcticas para lograr sus objetivos. En ese sentido, el archivero comparte con los equipos de consultores de TI la implementacin de cada una de las etapas del sistema a po-nerse en marcha. De esta manera, podemos afirmar que el archivero al compartir con experimentados profesionales especializa-dos en estrategias, reingeniera de proce-sos, arquitectura y el desarrollo de polticas de empresa y procedimientos, suma sus conocimientos archivsticos que permitirn

    que el sistema opere de acuerdo con los principios y tcnicas que son de exclusiva aplicacin a los documentos de archivo y protegiendo los documentos ms valiosos de la organizacin, a la vez que se cumplen los plazos de retencin que el archivero co-noce en profundidad respecto de cada una de las series documentales producidas por la organizacin de acuerdo con el marco le-gal que le es aplicable.

    De manera general, podemos mencio-nar que los beneficios de la familia ISO 20000 se dirigen a mejorar y optimizar los procesos de TI y sobre todo a aumentar la eficacia. En la misma forma asegura una calidad controlada y consistente de pres-tacin de servicios interna y externamente para redes extendidas y clientes finales. Otro de los beneficios a destacar es la de-mostracin del compromiso de la empresa en mantener un servicio confiable de TI y la infraestructura adecuada, lo que con-duce a un rendimiento satisfactorio, pero adems tiene que ver con la productividad del empleado y mejores prcticas compro-badas, entre los objetivos de negocio y TI, a la vez que reduce los riesgos y mejorara la comunicacin entre las reas de nego-cio. Un beneficio que no podemos dejar de mencionar es el de proveer al usuario (para el caso de la administracin pbli-ca) mayor confianza y satisfaccin, lo que mejorar la imagen de este sector que, en muchos casos, es juzgado como sinnimo de negligencia en el servicio, demoras en los resultados y lo que est en mente de la mayora de administrados: de corrupcin, falta de transparencia y carencia de rendi-cin de cuentas.

    3. ISO 27001 SEguRIdad dE la InfOR-macIn

    La gestin de TI en cuanto a la seguridad de los documentos de archivo gestionados en ambiente electrnico tiene una aplicacin especfica en ISO 27001. Toda organizacin debe garantizar la seguridad de la informa-cin (recursos y datos) en tanto la informa-cin es el capital ms preciado de stas o por lo menos debera serlo. ISO 27000 es una se-rie de estndares que pretende asegurar la informacin en las organizaciones y segn Ramn Robles y lvaro Rodrguez Roa: Los Sistemas de Gestin de Seguridad de la In-formacin (en adelante SGSI), as como las redes de trabajo de dichas organizaciones, se estn viendo afectadas por amenazas de seguridad, ataques y fraudes informticos, problemas de sabotajes, virus informticos y otro tipo de contingencias, imprevistos y catstrofes mayores, con el posible riesgo de eliminacin y prdida de informacin (4). En efecto, una gestin de documentos de archi-vo en ambiente electrnico, si bien constitu-ye un desarrollo significativo para la orga-nizacin, demanda las mayores garantas de seguridad porque la fragilidad de este tipo de soporte podra ocasionar la prdida irre-parable de documentos con el consiguiente perjuicio para la organizacin.

  • Sistemas Administrativos E

    Enero de 2013 E3

    La proteccin de la informacin y par-ticularmente los documentos de archivo para las organizaciones es vital. Para ello se contar con el personal debidamente entrenado que est en posibilidades de identificar y detectar los riesgos a los que est sujeta la informacin que circula por diversos medios y diferentes soportes, no nos olvidemos que en nuestro medio, aun existen documentos en papel en mayor porcentaje que electrnico y posiblemente por un buen tiempo esta situacin difcil-mente cambiar.

    Asegurar los documentos, y con ello su informacin, y adoptar las medidas de pro-teccin, segn los riesgos que se presen-ten, compete tanto a la alta direccin como a todos los funcionarios y servidores por-que todos trabajan con documentos, esta es una realidad incuestionable. Debemos precisar que todo documento producido es importante, algunos un tiempo prolon-gado, otro menos tiempo pero en general cada uno reviste importancia en el momen-to de su produccin y posteriormente de acuerdo con el plazo de retencin que se le asigne, por lo que no pueden ser expuestos a riesgos de perderse o atentar contra su integridad.

    En ese contexto, es pertinente estable-cer un conjunto estructurado, sistemtico, coherente y completo de normas tcnicas a implementar. Se contar con un sistema de seguridad de la informacin (Informa-tion Security Management System, ISMS) e ISO/IEC 27001 publicada como norma in-ternacional a finales de 2005 es la norma especfica para ese objetivo. La norma es de aplicacin en organizaciones grandes, me-dianas o pequeas.

    La implementacin de la norma ISO/IEC 27001 asegurar a clientes y proveedores la seguridad que la informacin. La norma in-dica la implementacin de los procesos di-rigidos a atender las amenazas relacionadas con la seguridad de la informacin. La nor-ma es certificable lo que indica el compro-miso de demostrar que todas las actividades se realizan segn un mtodo establecido mtodo definido por la organizacin y de-bidamente documentado, para especificar los objetivos de la seguridad. Los procesos son auditables, lo que lleva a la verificacin del cumplimiento de los objetivos.

    En trminos generales, podemos men-cionar que la norma establece un conjunto de controles de seguridad sugeridos que debern adoptarse segn la organizacin, entonces queda a su criterio determinar qu controles implementar, esto se entiende luego de un diagnstico en el que se detec-ten sus necesidades.

    La implementacin es un proceso que deber asegurar la verificacin continua de todos los elementos del sistema de seguri-dad por medio de las auditoras correspon-dientes y las revisiones peridicas.

    La norma est alineada tanto con la de sistemas de gestin de la calidad (ISO 9001) que abordamos en edicin anterior (5) como con la de sistemas de gestin ambiental (ISO 14001). Es posible integrar los tres sis-temas en la medida que tenga sentido.

    Un tema que no podemos soslayar es la tercerizacin en la custodia de archivos de-bido a que en nuestro medio y en otros pa-ses, existen empresas que se dedican a este rubro, en las que las medidas de seguridad deberan ser extremas en tanto asumen la responsabilidad de custodia de los docu-mentos de archivo de varias organizaciones tanto pblicas como privadas.

    La necesidad de espacios cada vez ms amplios y seguros para conservar los do-cumentos valiosos, vigentes e histricos de las organizaciones es cada vez ms ur-gente, entonces, estas empresas cubren esa necesidad, pero gozan de las medidas de seguridad que les permita garantizar la conservacin integral de todos los docu-mentos que custodian? de surgir algn siniestro estn suficientemente equipadas para afrontar y no perder los documentos? Evidentemente esas son unas de las condi-ciones de seguridad que deben exhibir para que las organizaciones contraten sus servi-cios, donde su compromiso ser riesgo cero. Pues bien, la norma en comentario se ha concebido para garantizar la selec-cin de controles de seguridad adecuados y proporcionales a cada organizacin. En su caso, tambin las empresas que custo-dian documentos por contrato de servicios podrn asumirla. Por tanto, a la luz de ISO 27001, evaluarn los requerimientos y re-quisitos de seguridad para las organizacio-nes a las que sirvan.

    La aplicacin y certificacin de la norma debera ser aprovechable en las licitaciones para contratar servicios de tercerizacin de custodia de documentos de archivo en cualquier tipo de soporte, porque ser una garanta para sus clientes (organizaciones pblicas y privadas) en tanto sus documen-tos estarn protegidos y aunque la protec-cin absoluta no es posible, por lo menos transmitirn confianza respecto de los ser-vicios que les brindan a las organizaciones contratantes.

    Qu se protege? Segn Ramn Ro-bles y Alvaro Rodrguez de Roa, cuanto antes se adopten las medidas correctivas, la seguridad representar un menor cos-to y ser ms efectiva. Para poder realizar una identificacin y seleccin de contro-les ms sencillos que permitan una mejor gestin de los recursos humanos y finan-cieros se debe conocer la fuente y natura-leza de las amenazas (6). De acuerdo con los autores, se debe proteger las compu-tadoras, los sistemas informticos los que son constantemente amenazados por ha-ckers, Spyware, spam, etc., o por poten-ciales aplicaciones informticas instaladas que no estn autorizadas; por el uso ina-

    propiado del e-mail y de la Web etc. En el mismo sentido se deber atender los casos de proveedores de servicios infor-mticos que no han tomado las acciones oportunas para proteger la informacin de la organizacin; de otro lado tambin son amenazas las catstrofes y contingen-cias imprevistas; la prdida, sustraccin o robo de la informacin de la organizacin en cualquier tipo de soporte.

    4. SEcuEncIa cROnOlgIca dE ISO 27001

    Tenemos como antecedente ISO/IEC 17799: 2005 Cdigo de Buenas prcticas para los sistemas de Seguridad de la In-formacin. Luego ISO 27001/IEC: 2005/BS 7799-1: 2005 Especificacin para los siste-mas de seguridad de la informacin.

    ISO 27001 comprende:

    Poltica de seguridad

    Aspectos organizativos para la seguri-dad

    Clasificacin de activos

    Control

    Seguridad ligada al personal

    Seguridad fsica y del entorno

    Gestin de comunicaciones y operacio-nes

    Control de accesos

    Desarrollo y mantenimiento de sistemas

    Gestin de continuidad del negocio

    Conformidad con la legislacin y regla-mentacin existente

    En cuanto a los beneficios de ISO 27001 tenemos:

    Mejora del conocimiento de los siste-mas de informacin

    Identificacin de los problemas y los medios de proteccin.

    Mejora de la disponibilidad de los mate-riales y datos.

    Proteccin de la informacin (algunas licitaciones internacionales empiezan a solicitar una gestin ISO 27001)

    Reduccin de los costos vinculados a in-cidentes.

    Posibilidad de disminucin de las pri-mas de seguro (7).

    En la Administracin Pblica la seguri-dad de la informacin reviste una impor-tancia singular y la responsabilidad tanto de la custodia como de la conservacin integral de los documentos es parte de la responsabilidad de los funcionarios y/o servidores pblicos. Cada vez que los dia-rios informan sobre el estado lamentable

  • Sistemas AdministrativosE

    Enero de 2013E4

    La adaptacin de ISO 27001 por INDE-COPI facilita su aplicacin en la adminis-tracin pblica que progresivamente va adoptando sistemas electrnicos de docu-mentos de archivo.

    nOtaS:

    (1) ISO 20000 en Espaol, http://iso20000enes-panol.com/index.php?option=com_content&task=view&id=12&Itemid=27 [Consulta: 24.12.12]

    (2) Ibdem.

    (3) Antecedente ISO/IEC 20000 http://seguinfo.wordpress.com/2007/06/03/iso-20000-y-la-gestion-de-servicios-de-ti/

    (4) ROBLES, Ramn, RODRGUEZ DE ROA, lva-ro, La gestin de la seguridad en la empresa

    http://www.aec.es/c/document_library/

    en el que se encuentran los documentos o sobre su prdida quienes nos vinculamos con los archivos sentimos que las cosas no cambiarn y se seguirn sumando prdidas irreparables de documentos valiosos, como el caso reciente de los documentos de la Divisin de Administracin de Legajos de la Direccin de Recursos Humanos de la Polica Nacional cuyo abandono pone en riesgo de prdida valiosa informacin que compromete los derechos de la polica en el reconocimiento de sus derechos y obli-gaciones laborales (8). En el caso de docu-mentos en medios electrnicos, en nuestra opinin, las medidas de seguridad debern ser extremas.

    INDECOPI aprob la adaptacin de ISO 27001 de 2005, se trata de la NTP-ISO/IEC 27001, cuyos cambios editoriales se refie-ren principalmente a la terminologa propia del idioma espaol (9). La norma en trmi-nos de la ISO en referencia est dirigida a ofrecer un modelo para implementar, operar, monitorear, mantener y mejorar un efectivo Sistema de Gestin de Seguridad de la Informacin, pudindose usar en el mbito interno como externo de las orga-nizaciones.

    La norma alcanza entre otras a la agen-cias de gobierno (Administracin Pblica) y especifica los requisitos para implementar los controles de seguridad segn las nece-sidades de cada organizacin.

    Actualmente, se va extendiendo el uso de los medios electrnicos para la gestin de los documentos de archivo, en este tipo de soporte los riesgos son de distinta naturale-za a los de los documentos en soporte de papel. Tanto en uno como en otro las me-didas de seguridad, por tratarse de valiosa informacin para la organizacin como para los titulares de los documentos, debern se extremas. No se puede ni debe mantener en riesgo los derechos y obligaciones de las organizaciones y de los administrados, por tanto aquellas organizaciones que han implementado sistemas de gestin de do-cumentos electrnicos de archivo deberan aplicar la norma tcnica peruana adaptada por INDECOPI.

    5. cOncluSIOnES

    Los documentos de archivo son un acti-vo importantsimo para toda organizacin, por lo que demandan la implementacin de una infraestructura tecnolgica apropiada, que a la vez requiere de un presupuesto no solo para su adquisicin sino para su man-tenimiento permanente.

    En toda organizacin pblica el archivo deber ser atendido, preferentemente, de acuerdo con el marco legal y tcnico que permita un servicio eficiente de los docu-mentos de archivo. ISO 27001 resulta ser una herramienta tcnico-normativa idnea para garantizar, de alguna manera, la segu-ridad de la informacin.

    Definir alcance del SGSI Definir poltica de seguridad Metodologa de evaluacin de riesgos Inventario de activos Identificar amenazas y vulnerabilidades Identificar impactos Anlisis y evaluacin de riesgos Seleccin de controles y SOA

    Definir plan de tratamiento de riesgos

    Implantar plan de tratamiento de riesgos

    Implementar los controles Formacin y concienciacin Operar el SGSI

    Revisar el SGSI Medir eficacia de los controles Revisar riesgos residuales Realizar auditoras internas del SGSI Registrar acciones y eventos

    Implantar mejoras Acciones correctivas Acciones preventivas Comprobar eficacia de las

    acciones

    Compromiso de la Direccin

    Planificacin Fechas Responsables

    arranque del pro

    yecto

    p l a n

    dO

    a c t c H E c

    K Definir plan de tratamiento de

    riesgos Implantar plan de tratamiento de

    riesgos Implementar los controles Formacin y concienciacin Operar el SGSI

    arranque del pro

    yecto

    p l a n

    dO

    a c t c H E c

    K

    Grfico N 01cmo adaptarse?

    fuente: www.iso27000.es.

    Grfico N 02Implementacin

    fuente: www.iso27000.es.

    get_file?p_l_id=33948&folderId=195657&name=DLFE-5965.pdf [Consulta 23.12.12]

    (5) MENDOZA NAVARRO, Ada Luz,

    (6) Op. Cit. ROBLES, Ramn, RODRGUEZ DE ROA, lvaro.

    (7) http://www.bureauveritas.com.pe/Home2/Our-Services/Certification/iso_27001.pdf

    (8) TORRES LPEZ, Fabiola, Legajos de 240 mil policas se honguean y se arruinan en un edificio inhabitable El Comercio, http://elco-mercio.pe/actualidad/1512290/noticia-legajos-240-mil-policias-se-honguean-se-arruinan-edificio-inhabitable_1 [Consulta: 20.12.12]

    (9) INDECOPI, NTP-ISO/IEC 27001 el 12 de diciembre de 2008, Primera Edicin, EDI Tecnologa de la Informacin, Tcnicas de Seguridad. Sistemas de Seguridad de la Informacin. Requisitos.


FORMULARIO DIMAR

EXPLOCION CE INSUMO HOSPITAL

Calculo Ciclon

PLANTILLA PROYECTO DE INVERSION

hoja de costos falda2

Albañilería

Metodos y Tecnicas de Investigacion Social I-2007

VALORIZACION OCTUBRE VICTOR ROMERO

reinaga - Pensamiento Amautico v2

Municipios de España

Caricaturas

Diccionario de lunfardo

captura imagen c#

PROFESORADO

Book1

Fosa Septica

Acta de Recepción Definitiva de Obras de Urbanización

BAREMOS

Kar Español

CARGUE PUCC

Libro1

Bibliografía

3-Sentsoreak

BIBLIOGRAFIA

Mapas Conceptuales

recoplilació jocs multiculturals

problemes unitats de mesura

FORMATOS DE CONTABILIDAD

Hiato, Diptongo y Triptongo

Puntuación PAEF,s

Report

especificaciones, concreto y acero

MIRTA VARGAS DE ARGENTINA MEDIA 9 CALZADA Cat B 2° grupo 1ª Actividad

BOLETA DE PAGO

gidoi teknikoa