Taller de Implementacin

de la norma ISO 27001

Ing. Maurice Frayssinet Delgado
mfrayssinet@pcm.gob.pe
www.ongei.gob.pe
Oficina Nacional de Gobierno Electrnico e Informtica

Agenda
Seccin 1: Principios fundamentales de la Seguridad
de la Informacin
Seccin 2: Estndar y Marco Normativo

Seccin 3: Implementacin de la Norma ISO 27001

Seccin

Principios fundamentales de la
Seguridad de la Informacin

Qu es Seguridad?
El trmino seguridad proviene
de la palabra securitas del latn.
Cotidianamente se puede referir
a la seguridad como la
reduccin del riesgo o tambin
a la confianza en algo o alguien.
Sin embargo, el trmino puede
tomar diversos sentidos segn
el rea o campo a la que haga
referencia.
4

Informacin y Activo
Informacin: Datos significativos
Activo: Cualquier bien que tiene valor para la
organizacin

Activo de Informacin
Las organizaciones poseen informacin que deben
proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.
Este tipo de informacin imprescindible para las
empresas es lo que se denomina activo de
informacin.

Tipos de Activos de
Informacin
Servicios: Procesos de negocio de la organizacin
Datos/Informacin: Que son manipulados dentro de la
organizacin, suelen ser el ncleo del sistema, los dems
activos les dan soporte.
Aplicaciones (Software)
Equipo Informtico (Hardware)
Personal
Redes de Comunicacin
Soporte de Informacin
Equipamiento Auxiliar
Instalaciones
Intangibles
7

Documento - Registro
Documento: Informacin y su medio de soporte
Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeadas

Seguridad de la Informacin
La seguridad de la informacin es el conjunto de
medidas
preventivas
y
reactivas
de
las organizaciones que permiten resguardar y proteger
la informacin buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de la
misma.
Nota: Por otra parte, tambin pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad

Seguridad de la Informacin
Abarca todo tipo de informacin
Impresa o escrita a mano
Grabada con asistencia tcnica
Transmitida por correo electrnico o electrnicamente
Incluida en un sitio web
Mostrada en videos corporativos

Mencionada durante las conversaciones

Etc.
10

Confidencialidad
La confidencialidad es la propiedad que impide la
divulgacin de informacin a personas o sistemas no
autorizados.
A grandes rasgos, asegura el acceso a la informacin
nicamente a aquellas personas que cuenten con la
debida autorizacin.

11

Integridad
Es la propiedad que busca mantener los datos libres
de modificaciones no autorizadas.
La integridad es mantener con exactitud la
informacin tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.

12

Disponibilidad
La disponibilidad es la caracterstica, cualidad o
condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.

La disponibilidad es el acceso a la informacin y a los

sistemas por personas autorizadas en el momento
que as lo requieran.

13

Anlisis de Riesgos
Vulnerabilidad
La debilidad de un activo o de un control que puede
ser explotada por una o ms amenazas.
Las vulnerabilidades pueden ser intrnsecas o
extrnsecas.

14

Anlisis de Riesgos
Amenazas
Una Amenaza es la posibilidad de ocurrencia de
cualquier tipo de evento o accin que puede
producir un dao (material o inmaterial) sobre
los Elementos de Informacin.

15

Anlisis de Riesgos
Relacin: Vulnerabilidad y Amenaza

16

Impacto

Cambio adverso importante en el nivel de los objetivos

de negocios logrados

17

Riesgo para la Seguridad de la

Informacin
Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y por
lo tanto causar dao a la organizacin

Probabilidad
de
Ocurrencia

Consecuencia
(Impacto)

Riesgo

18

El Riesgo en funcin del

Impacto y la Probabilidad
zona 1 riesgos muy probables
y de muy alto impacto
zona 2 franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
zona 3 riesgos improbables y
de bajo impacto

zona 4 riesgos improbables

pero de muy alto impacto
19

Objetivo de Control y Control

Objetivo de Control
Declaracin de describir lo que se quiere lograr como
resultado de los controles de aplicacin
Control
Mtodos para gestionar a riesgo
Incluye las polticas, procedimientos, directrices y
prcticas o estructuras organizativas
Sinnimo: medida, contra medida, dispositivo de
seguridad
20

Tipos de Controles
Control preventivo

Desalentar o evitar la aparicin de problemas

Ejemplos:
Publicacin de la poltica de seguridad de la informacin.

Hacer que socios y empleados firmen un acuerdo de

confidencialidad.
Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la informacin.
Contratar slo personal calificado.
21

Tipos de Controles
Control de investigacin

Buscar e identificar anomalas

Ejemplos:
Controles en trabajos de produccin.
Control de ecos en las telecomunicaciones.
Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
Verificacin de los dobles clculos.
Cmaras de vdeo.
Sistema de deteccin de intrusiones (IDS).

22

Tipos de Controles
Control correctivo
Evitar la repeticin de anomalas

Ejemplos:
Implementar planes de emergencia con la formacin,
concienciacin, pruebas, procedimientos y actividades de
mantenimiento necesarios.
Procedimientos de emergencia, tales como copias de
seguridad peridicas, el almacenamiento en un lugar
seguro y la recuperacin de las transacciones.

Procedimientos re-ejecutados.
23

Las Relaciones entre Conceptos de

Gestin de Riesgos

24

Seccin

Estndar y Marco Normativo

25

Qu es ISO?
ISO es una red de organismos nacionales de
estandarizacin de mas de 160 pases.
Los resultados finales de los trabajos realizados por
ISO son publicados como normas internacionales
Se han publicado mas de 19,000 normas desde 1947

26

Principios
Bsicos de las Normas ISO
1. Representacin igualitaria: 1 voto por pas
2. Adhesin voluntaria: ISO no tiene la autoridad
para forzar la adopcin de sus normas

Principios
Bsicos de las
Normas ISO

3. Orientacin al negocio: ISO slo desarrolla

normas para las que existe demanda del mercado
4. Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas

5. Cooperacin internacional: ms de 160 pases

adems de organismos de enlace
27

Qu son los Sistemas de Gestin?

Un sistema de gestin es una estructura
probada para la gestin y mejora continua
de las polticas, los procedimientos y
procesos de la organizacin.
Un sistema de gestin ayuda a lograr los
objetivos de la organizacin mediante una
serie de estrategias, que incluyen la
optimizacin de procesos, el enfoque
centrado en la gestin y el pensamiento
disciplinado.
28

Los Sistemas de Gestin se Integran

CALIDAD
ISO 9001
SISTEMA
DE
GESTION
AMBIENTALISO
ISO 14001

SALUD Y
SEGURIDAD
TRABAJO
OHSAS 18001

SEGURIDAD DE
LA
INFORMACION
ISO 27001

29

Qu es un SGSI?
Un SGSI (Sistema de Gestin de Seguridad de la
Informacin) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la proteccin de los activos de informacin para
lograr objetivos de negocio.
El anlisis de los requisitos para la proteccin de los
activos de informacin y la aplicacin de controles
adecuados para garantizar la proteccin de estos activos
de informacin, contribuye a la exitosa implementacin
de un SGSI.

En ingles se conoce con las siglas ISMS (Information

30
security management system)

Qu es un SGSI?
El Sistema de Gestin de la Seguridad de la Informacin
(SGSI) en las empresas ayuda a establecer
estas polticas, procedimientos y controles en relacin
a los objetivos de negocio de la organizacin.

31

Enfoque a Procesos

32

Ciclo de Deming
El circulo de DEMING se constituye como una de las
principales herramientas para lograr la mejora
continua en las organizaciones o empresas que
desean aplicar a la excelencia en sistemas de gestion.
El conocido Ciclo Deming o tambin se le denomina el
ciclo PHVA que quiere decir segn las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan,
Do, Check, Act)

33

Ciclo de Deming

34

Vocabulario
Generalidades

ISO 27001
Requisitos del
SGSI

ISO 27002
Cdigo buenas
practicas

Industria

ISO 27000
Vocabulario

Requisitos

Familia
ISO 27000

ISO 27011
Telecomunicaciones

ISO 27003
Gua de
Implementacin

ISO 27799
Salud

ISO 27004
Mtricas

ISO 27009
Requisitos organizacin
certificadora

ISO 27005
Gestin de
Riesgos

ISO 27007-27008
Guas de Auditoria

ISO 270XX
Vocabulario

35

ISO 27001
Especifica los requisitos de gestin
de un SGSI (Clusula 4 a 10)
Los requisitos (clusulas) son
escritos utilizando el verbo
"debern" en imperativo
Anexo A: 14 clusulas que
contienen 35 objetivos de control y
114 controles
La organizacin puede ser
certificada en esta norma
36

ISO 27002
Gua para el cdigo de prcticas para los
controles de la seguridad de la
informacin (Documento de referencia)
Clusulas escritas utilizando el verbo
"debera"
Compuesto de 14 clusulas, 35 objetivos
de control y 114 controles

Una organizacin no puede ser certificada

en esta norma
Tambin conocida como ISO 17799
37

ISO 27003
Gua para el cdigo de prcticas para
la implementacin de un SGSI
Documento de referencia para ser
utilizado con las normas ISO 27001 e
ISO 27002
Consta de 9 clusulas que definen 28
etapas para implementar un SGSI

La certificacin con esta norma no es

posible

38

Historia de la Norma
ISO 27001

39

Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organizacin

Clausula 5
Planificacin

Clausula 10
Mejora

Clausula 7
Soporte

Clausula 8
Funcionamiento

Clausula 9
Evaluacin del
desempeo

Clausula 5
Liderazgo
40

Seccin

Implementacin de la Norma ISO 27001

41

Enfoque a Procesos
La aplicacin del enfoque de proceso variar de una
organizacin a otra en funcin de su tamao,
complejidad y actividades
A menudo las organizaciones identifican demasiados
procesos
Los procesos se pueden definir como un grupo lgico
de tareas relacionadas entre s, para alcanzar un
objetivo definido.
ENTRADA

PROCESO

SALIDA
42

Informacin Documentada
Ciclo de Vida de los Documentos
1. Creacin
2. Identificacin
3. Clasificacin y seguridad
4. Modificacin

5. Aprobacin
6. Distribucin
7. Uso adecuado
8. Archivado
9. Disposicin
43

ISO 30301
Informacin y
documentacin. Sistemas
de gestin para
documentos. Requisitos

La organizacin puede ser

certificada en esta norma

44

La implantacin de un Sistema de
Gestin de Seguridad de la Informacin es
una decisin estratgica
que debe involucrar a toda la organizacin y
que debe ser apoyada y
dirigida desde la direccin
45

Etapas
Ciclo de Deming

Compromiso de la direccin
Planificacin
Fechas
Responsables

Definir alcance del SGSI

Definir Poltica de Seguridad
Metodologa de evaluacin de
riesgos.
Inventarios de activos
Identificar amenazas y
vulnerabilidades
Identificar Impactos
Anlisis y evaluacin de riesgos
Seleccin de controles y SOA

Implantar mejoras
Acciones correctivas
Acciones Preventivas
Comprobar eficacia de las
acciones

Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditorias internas del
SGSI
Registrar acciones y eventos

Definir plan de tratamiento de

riesgos
Implantar plan de tratamiento
de riesgos
Implementar controles
Formacin y concienciacin
Operar el SGSI

46

Iniciando el SGSI
Definicin del enfoque para la aplicacin del SGSI
Velocidad de Implementacin
Nivel de madurez del proceso y controles
Expectativas y mbito
Seleccin de un marco metodolgico
Metodologa para gestionar el proyecto (PMBOK)
Alineacin con las mejores practicas
ISO 27001
ISO 27002
ISO 27003
ISO 27004
47

Nivel de Madurez
Es importante determinar
en que nivel se encuentra la
organizacin, para ello
CMM muestra la madurez
de una organizacin
basndose en la capacidad
de sus procesos

48

FASE I Organizacin

49

Fase I Organizacin
Desarrollar las actividades principales para la direccin e
inicio de la implantacin del SGSI.

Obtener el apoyo institucional

Determinar el alcance del Sistema de Gestin de
Seguridad de la Informacin
Determinar la declaracin de Poltica de Seguridad
de la Informacin y objetivos
Determinar criterios para la evaluacin y aceptacin
de riesgos
50

Obtener el Apoyo
Institucional
Existen 4 ejes de apoyo para sustentar el
apoyo institucional, estos son:
1. Cumplimiento

2. Proteccin de Procesos de Negocio

3. Disminucin de incidentes
4. Ordenamiento de su negocio

51

Organizacin de la Seguridad
CGSI

COSI

COMIT DE GESTION DE
SEGURIDAD DE LA
INFORMACION

COMIT TCNICO DE
SEGURIDAD DE LA
INFORMACION

AREAS FUNCIONALES

OSI
OFICIAL DE SEGURIDAD DE LA
INFORMACION

ROLES
SI
RESPONSABLE SEGURIDAD
INFORMATICA

SF
RESPONSABLE SEGURIDAD
FISICA
52

Comit Gestin
El Comit de Gestin de Seguridad de la Informacin es el
mximo rgano consultivo de carcter no tcnico sobre la
seguridad de la informacin.
Se reunir por lo menos una vez al mes para evaluar la
situacin institucional en materia de seguridad de la
informacin y el plan de accin para mejorarla
continuamente.
Las funciones del Comit de Gestin de Seguridad de la
Informacin son las siguientes:

Informar la situacin Institucional en materia de seguridad de la informacin.

Proponer la designacin del Oficial de Seguridad de la Informacin.
Designar a los miembros del Comit Tcnico de Seguridad de la Informacin.
Patrocinar y participar en la implementacin, operacin, monitoreo, revisin,
mantenimiento y mejora continua del Sistema de Gestin Seguridad de la
Informacin (SGSI).
53

Comit Tcnico
El Comit Tcnico de Seguridad de la Informacin es un rgano
consultivo de carcter tcnico y est integrado por los Jefes de
los procesos involucrados en el alcance quienes debern tener
un amplio conocimiento de los procesos que se realizan en la
institucin.
Las funciones del Comit Consultivo de Seguridad de la
Informacin son las siguientes:

Proponer mejoras o iniciativas en materia de seguridad de la informacin al Comit de

Gestin o al Oficial de Seguridad de la Informacin en materia de gestin de riesgos, activos
de informacin, procesamiento de la informacin, mejoras al SGSI, entre otros.

Ser embajadores de seguridad de la informacin para influenciar las opiniones de una

forma positiva y, recoger las necesidades y expectativas de los trabajadores.

Reunirse peridicamente a fin de analizar y evaluar la seguridad de la informacin y emitir

informes al Comit de Gestin de Seguridad de la Informacin.

Participar de las reuniones convocadas por el Comit de Gestin de Seguridad de la

Informacin.
54

Determinar el Alcance
del SGSI
Se debe definir en funcin de caractersticas del
negocio, organizacin, localizacin, activos y
tecnologa, definir el alcance y los lmites del SGSI
(el SGSI no tiene por qu abarcar toda la
organizacin; de hecho, es recomendable empezar
por un alcance limitado)

55

Determinar el Alcance
del SGSI
Definir los limites de la organizacin.
Definir los limites de los sistemas de informacin.
Definir el mbito y limites fsicos.
Definir el alcance del SGSI.
Cambios en el alcance.

Extensin del mbito de aplicacin.

56

Determinar el Alcance
del SGSI

Cualquier cambio en el alcance debe ser

evaluado, aprobado y documentado

57

Determinar la Declaracin de Poltica de

Seguridad de la Informacin y Objetivos
Debe tener el marco general y los objetivos de seguridad de la
informacin de la organizacin

Debe explicar los requisitos de negocio, legales y contractuales

en cuanto a seguridad
Debe de estar alineada con la gestin de riesgo general,
establecer criterios de evaluacin de riesgo y ser aprobada por
la Direccin.
La poltica de seguridad es un documento muy general, una
especie de "declaracin e intenciones" de la Direccin, por lo
que no pasar de dos o tres pginas.
58

Tipos de Poltica

Poltica de
Seguridad

POLITICA GENERALES
DE ALTO NIVEL

POLITICA ALTO NIVEL

X TEMAS ESPECIFICOS

POLITICA
DETALLADAS

Poltica de
Seguridad de
la Informacin
Poltica sobre
control de
acceso

Poltica del
SGSI

Poltica sobre
criptografa

Poltica de
gestin de
incidentes

59

Estructura de una Poltica

Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones
60

Determinar Criterios para la

Evaluacin y Aceptacin de Riesgos
Se debe definir una metodologa de evaluacin de
riesgos apropiada para el SGSI y las necesidades de la
organizacin, desarrollar criterios de aceptacin de
riesgos y determinar el nivel de riesgo aceptable.
Existen muchas metodologas de evaluacin de riesgos
aceptadas; la organizacin puede optar por una de ellas,
hacer una combinacin de varias o crear la suya propia.
ISO 27001 no impone ninguna ni da indicaciones
adicionales sobre cmo definirla.
61

Algunas Metodologas para

la Evaluacin de Riesgos
Magerit (Espaa)

Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)

Ebios (Francia)
Mehari (Francia)
62

Factores en la Seleccin
de la Metodologa
1. Compatibilidad con los criterios de la ISO 27001

2. Idioma del mtodo

3. Posibilidad de herramientas de software

4. Documentacin, formacin, apoyo.

5. Facilidad de uso
6. Costo de utilizacin
7. Existencia de material de comparacin (mtricas,
estudios, casos, etc.)
63

FASE II Planificacin

64

Desarrollar las actividades de planificacin requeridas por la

norma de manera metodolgica y en concordancia con la
poltica y objetivos del SGSI dentro del alcance del mismo.

Realizar evaluacin de Riesgos

Conducir un anlisis entre los riesgos identificados y

las medidas correctivas existentes
Desarrollar un plan de tratamiento de riesgos
Desarrolla la declaracin de Aplicabilidad
65

Realizar Evaluacin de Riesgos

Inventario de Activos
Todos aquellos activos de informacin que tienen
algn valor para la organizacin y que quedan dentro
del alcance del SGSI
Se debe inventariar el nombre activo, tipo,
responsable y ubicacin como campos mnimos.
Se debe realizar la dependencia de activos

66

Realizar Evaluacin de Riesgos

Inventario de Activos

ESCALA
1
2
3
4
5

VALORACION
Muy Alto (MA)
Alto (A)
Medio (M)
Bajo (B)
Muy Bajo (MB)

67

Realizar Evaluacin de Riesgos

Anlisis de Riesgos
Anlisis de los riesgos: evaluar el dao resultante de
un fallo de seguridad (es decir, que una amenaza
explote una vulnerabilidad) y la probabilidad de
ocurrencia del fallo; estimar el nivel de riesgo
resultante y determinar si el riesgo es aceptable (en
funcin de los niveles definidos previamente) o
requiere tratamiento.

68

Realizar Evaluacin de Riesgos

Anlisis de Riesgos

69

Plan de
Tratamiento de Riesgos

70

Seleccin de Controles y SOA

Confeccionar una Declaracin de Aplicabilidad: la
llamada SOA (Statement of Applicability) es una lista
de todos los controles seleccionados y la razn de su
seleccin, los controles actualmente implementados
y la justificacin de cualquier control del Anexo A
excluido.
Es, en definitiva, un resumen de las decisiones
tomadas en cuanto al tratamiento del riesgo.

71

Redaccin de la Declaracin de
Aplicabilidad

72

FASE III Despliegue

73

Desplegar las actividades de implementacin del SGSI

Elaborar el plan de trabajo priorizado

Desarrollar documentos y registros necesarios

Implementar los controles seleccionados

74

Plan de Trabajo del SGSI

Un plan de trabajo es un instrumento de
planificacin.

Estructura actividades, responsables, tiempos,

recursos, generalmente se expresa por medio de un
diagrama de gantt.

75

Plan de Capacitacin
1. Definir las necesidades de capacitacin
2. Diseo y planificacin de la capacitacin
3. Provisin de la capacitacin
4. Evaluacin de los resultados de la capacitacin

76

Plan de Capacitacin

77

Plan de Capacitacin

La gran diferencia entre la formacin y la concientizacin

es que la capacitacin tiene por objeto proporcionar los
conocimientos para permitir que la persona ejerza sus
funciones mientras que el objetivo de concientizar es
centrar la atencin en un inters individual o una serie
de asuntos sobre la seguridad.

78

Plan de Comunicacin
1. Determinar qu queremos conseguir, cules son nuestros
objetivos.
2. Decidir a quin vamos a dirigir nuestra comunicacin.
3. Pensar cul es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos (cunto).
5. Seleccionar los medios apropiados y su frecuencia de
utilizacin.
6. Ejecutar el plan de medios y medir su impacto.
79

Plan de Comunicacin
Partes Interesadas
Clientes
Proveedores
Empleados
Comunidades
Medios de Comunicacin

Inversores
El compromiso con las partes interesadas constituye una oportunidad para que una
organizacin pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
80

Controles de la ISO 17799

ahora 27002
rea 1: Poltica de seguridad.
rea 2: Organizacin de la seguridad de la informacin.
rea 3: Gestin de activos.
rea 4: Seguridad relacionada con los recursos humanos.
rea 10: Gestin de la continuidad del negocio .

Seguridad
Organizativa

rea 6: Gestin de comunicaciones y operaciones.

rea 7: Control de accesos.
rea 8: Adquisicin, desarrollo y mantenimiento de sistemas.
rea 9: Gestin de incidentes.

Seguridad
Lgica

rea 5: Seguridad fsica y del entorno

Seguridad
Fsica

rea 11: Conformidad

Seguridad
Legal
81

FASE IV Revisin

82

Realizar actividades de revisin del SGSI evidenciando

el cumplimiento de los requisitos de la norma
Monitorear el desempeo del SGSI
Fortalecer la gestin de incidentes
Desarrollar documentos y registros necesarios
Desarrollar las actividades para evidenciar la mejora
continua
83

Monitoreo
Determinar los Objetivos de la Medicin
La norma no indica lo que debe ser objeto
de supervisin o medicin
Corresponde a la empresa determinar qu
es lo que necesita ser controlado y medido
Es una mejor prctica centrarse en la
vigilancia y medicin de las actividades
que estn vinculadas a los procesos
crticos que permiten a la organizacin
alcanzar sus metas y objetivos de
seguridad de la informacin
Demasiadas medidas pueden distorsionar
el enfoque de una organizacin y
desenfocar lo que es verdaderamente
importante
84

Monitoreo
Objetivos de la Medicin
Los objetivos de la medicin en el marco de un sistema de
gestin incluyen:
Evaluacin de la eficacia de los procesos y procedimientos
implementados;

Verificacin de la medida en que los requisitos identificados

de la norma se han cumplido.
Facilitar la mejora del rendimiento;

Aportar para la revisin de la gestin para facilitar la toma de

decisiones y justificar las mejoras que necesita el sistema de
gestin implementado.
85

Monitoreo
Tableros de Mando

86

Gestin de Incidentes
1. Asegurarse de que los eventos de seguridad son detectados
e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que
podran causar incidentes de seguridad.

3. Tratar los incidentes de seguridad en la forma ms adecuada

y eficaz.
4. Reducir el posible impacto de los incidentes sobre las
operaciones de la organizacin.
5. Prevenir futuros incidentes de seguridad y reducir su
probabilidad de ocurrencia.

6. Mejorar la seguridad de los controles de la organizacin.

87

FASE V Consolidacin

88

Auditar e implementar las mejoras y correcciones del

SGSI a fin de cumplir con los requisitos de la norma
Auditar internamente el SGSI
Implementar las acciones correctivas
Implementar las acciones preventivas pertinentes
Desarrollar, corregir y mejorar documentacin nueva
o existente
89

Auditoria Interna
1. Crear el programa de auditora interna

2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad
4. Planificacin de las actividades

5. Asignar y administrar los recursos del programa de auditora

6. Crear procedimientos de auditora
7. Realizar actividades de auditora
8. Seguimiento de no conformidades

90

Tratamiento de Problemas y
no Conformidades
Definir un proceso para resolver problemas y no
conformidades.
Definir un procedimiento de accin correctiva.

Definir un procedimiento de accin preventiva.

Elaborar Planes de Accin.

91

FASE VI Certificacin

92

Definiciones de la Certificacin
Organismo de Certificacin: Terceros que realizan la
evaluacin de la conformidad de los sistemas de
gestin.
Certificacin: Procedimiento en el cual un tercero
garantiza por escrito que un producto, proceso o
servicio es conforme a las condiciones indicadas

93

Proceso de Certificacin
1. Seleccin de la entidad certificadora.
2. Auditoria de Pre-evaluacin.
3. Etapa 1 de la auditoria, se fija en el diseo del SGSI

4. Etapa 2 de la auditoria, se lleva a cabo en la empresa.

5. Auditoria de seguimiento, si tuviera no conformidades

6. Confirmacin de la inscripcin.

94

Preguntas

95

Contactos
Soporte SGSI:
Correo Electrnico:
Telfonos:

Maurice Frayssinet Delgado

mfrayssinet@pcm.gob.pe
Rpm #963-985-125
6346000 anexo 116
2197000 anexo 5116

Contacto:
Correo Electrnico:
Telfonos:

Call Center
ongei@pcm.gob.pe
6346000 anexo 109/106
2197000 anexo 5109/5106

96

ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica
www.ongei.gob.pe