Está en la página 1de 32

Seminario Regional Tacna: GOBIERNO ELECTRNICO EN EL MARCO DEL PROCESO DE DESCENTRALIZACIN Y MODERNIZACIN DE LA GESTIN DEL ESTADO

Seguridad de la Informacin
27 -Junio -2012

Carlos A. Horna Vallejos chorna@pcm.gob.pe ONGEI - PCM

Que es Seguridad de la Informacin?

La informacin

Amenazas
Una causa potencial de un incidente no deseado, que puede resultar en dao para un sistema o una organizacin

Amenazas
Una causa potencial de un incidente no deseado, que puede resultar en dao para un sistema o una organizacin

Vulnerabilidad
Una debilidad de un activo o grupo de activos que pueden ser aprovechados por una o mas amenazas

Riesgos
Combinacin de la probabilidad de un evento y de sus consecuencias, estos pueden ser positivos o negativos, pero se toman en cuenta los negativos para tomar medidas de mitigacin.

Seguridad de la informacin
Preservacin de tres caractersticas como son integridad y disponibilidad de la informacin. la confidencialidad,

Marco Normativo

RESOLUCIN MINISTERIAL N 2462007-PCM


Norma Tcnica Peruana NTP-ISO/ IEC 17799:2007 EDI. Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. 2a. Edicin en todas las entidades integrantes del Sistema Nacional de Informtica.

RESOLUCIN MINISTERIAL N 1292012-PCM


Aprueban uso obligatorio de la Norma Tcnica Peruana NTP-ISO/ IEC 27001:2008 EDI. Tecnologa de la Informacin. Sistema de Gestin de Seguridad de la Informacin. Requisitos las entidades integrantes del Sistema Nacional de Informtica

La familia ISO 27000

Seminario Regional Ancash: GOBIERNO ELECTRNICO EN EL MARCO DEL PROCESO DE DESCENTRALIZACIN Y MODERNIZACIN DE LA GESTIN DEL ESTADO

Chimbote 27 -10 -2011

El sistema de gestin

Estructura ISO/IEC 27001:2005


1. Alcance 2. Referencias Normativas 3. Trminos y definiciones 4. Sistema de gestin de seguridad de la informacin 5. Responsabilidad de la gerencia 6. Auditora interna del SGSI 7. Revisin gerencial del SGSI 8. Mejora del SGSI

4.2.1 Establecimiento del SGSI

4.2.2 Implementar y operar el SGSI

SGSI
4.2.4 Mantener y mejorar el SGSI 4.2.3 Monitorear y revisar el SGSI

Establecimiento del SGSI

Definir el alcance Definir la Poltica Definir el enfoque de evaluacin de riesgos Gestionar los riesgos Seleccionar objetivos de control y controles Elaborar la declaracin de aplicabilidad

Gestin de riesgos

Los controles

El Anexo A
A.5 Poltica de seguridad A.6 Organizacin de la seguridad de la informacin A.7 Gestin de activos A.8 Seguridad relacionada con el personal A.9 Seguridad fsica y del entorno A.10 Gestin de comunicaciones y operaciones A.11 Control de acceso A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de la informacin A.13 Gestin de los incidentes de seguridad de la informacin A.14 Gestin de la continuidad del negocio A.15 Cumplimiento

Los controles
Los controles definidos en el Anexo A, en su totalidad, no necesariamente son de obligatorio cumplimiento, sin embargo cualquier variacin en la implementacin (exclusin, inclusin de controles nuevos o modificados) debe ser sustentada.

La Implementacin

Conclusiones
La administracin pblica debe velar por la seguridad de la informacin de los ciudadanos dentro del alcance definido por la institucin de manera efectiva, eficiente, trazable y verificable. El sistema de gestin de seguridad de la informacin definido en ISO/IEC 27001:2005 es el estandar de referencia mundial.

Importancia de las personas


Conocer sus roles y responsabilidad con la seguridad, las ventajas y beneficios. Las personas son factor clave en la implementacin y xito de las medidas de seguridad.

Gracias por su atencin


http://www.ongei.gob.pe