Taller de Implementacin

de la norma ISO 27001

Ing. Maurice Frayssinet Delgado

mfrayssinet@pcm.gob.pe
www.ongei.gob.pe

Oficina Nacional de Gobierno Electrnico e Informtica

 Agenda

Seccin 1: Principios fundamentales de la Seguridad

de la Informacin

Seccin 2: Estndar y Marco Normativo

Seccin 3: Implementacin de la Norma ISO 27001

2
 Seccin 1

Principios fundamentales de la
Seguridad de la Informacin

3
 Qu es Seguridad?

El trmino seguridad proviene

de la palabra securitas del latn.
Cotidianamente se puede referir
a la seguridad como la
reduccin del riesgo o tambin
a la confianza en algo o alguien.
Sin embargo, el trmino puede
tomar diversos sentidos segn
el rea o campo a la que haga
referencia.

4
 Informacin y Activo

Informacin: Datos significativos

Activo: Cualquier bien que tiene valor para la
organizacin

5
 Activo de Informacin

Las organizaciones poseen informacin que deben

proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.

Este tipo de informacin imprescindible para las

empresas es lo que se denomina activo de
informacin.

6
 Tipos de Activos de
Informacin
Servicios: Procesos de negocio de la organizacin
Datos/Informacin: Que son manipulados dentro de la
organizacin, suelen ser el ncleo del sistema, los dems
activos les dan soporte.
Aplicaciones (Software)
Equipo Informtico (Hardware)
Personal
Redes de Comunicacin
Soporte de Informacin
Equipamiento Auxiliar
Instalaciones
Intangibles
7
 Documento - Registro

Documento: Informacin y su medio de soporte

Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeadas

8
 Seguridad de la Informacin

La seguridad de la informacin es el conjunto de

medidas preventivas y reactivas de
las organizaciones que permiten resguardar y proteger
la informacin buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de la
misma.

Nota: Por otra parte, tambin pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad

9
 Seguridad de la Informacin

Abarca todo tipo de informacin

Impresa o escrita a mano
Grabada con asistencia tcnica
Transmitida por correo electrnico o electrnicamente
Incluida en un sitio web
Mostrada en videos corporativos
Mencionada durante las conversaciones
Etc.

10
 Confidencialidad

La confidencialidad es la propiedad que impide la

divulgacin de informacin a personas o sistemas no
autorizados.

A grandes rasgos, asegura el acceso a la informacin

nicamente a aquellas personas que cuenten con la
debida autorizacin.

11
 Integridad

Es la propiedad que busca mantener los datos libres

de modificaciones no autorizadas.

La integridad es mantener con exactitud la

informacin tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.

12
 Disponibilidad

La disponibilidad es la caracterstica, cualidad o

condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.

La disponibilidad es el acceso a la informacin y a los

sistemas por personas autorizadas en el momento
que as lo requieran.

13
 Anlisis de Riesgos
Vulnerabilidad

La debilidad de un activo o de un control que puede

ser explotada por una o ms amenazas.

Las vulnerabilidades pueden ser intrnsecas o

extrnsecas.

14
 Anlisis de Riesgos
Amenazas

Una Amenaza es la posibilidad de ocurrencia de

cualquier tipo de evento o accin que puede
producir un dao (material o inmaterial) sobre
los Elementos de Informacin.

15
 Anlisis de Riesgos
Relacin: Vulnerabilidad y Amenaza

16
 Impacto

Cambio adverso importante en el nivel de los objetivos

de negocios logrados

17
 Riesgo para la Seguridad de la
Informacin

Potencialidad de que una amenaza explote una

vulnerabilidad en un activo o grupo de activos y por
lo tanto causar dao a la organizacin

Probabilidad Consecuencia
de (Impacto) Riesgo
Ocurrencia

18
 El Riesgo en funcin del
Impacto y la Probabilidad
zona 1 riesgos muy probables
y de muy alto impacto
zona 2 franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
zona 3 riesgos improbables y
de bajo impacto
zona 4 riesgos improbables
pero de muy alto impacto
19
 Objetivo de Control y Control

Objetivo de Control
Declaracin de describir lo que se quiere lograr como
resultado de los controles de aplicacin
Control
Mtodos para gestionar a riesgo
Incluye las polticas, procedimientos, directrices y
prcticas o estructuras organizativas
Sinnimo: medida, contra medida, dispositivo de
seguridad

20
 Tipos de Controles

Control preventivo
Desalentar o evitar la aparicin de problemas
Ejemplos:
Publicacin de la poltica de seguridad de la informacin.
Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la informacin.
Contratar slo personal calificado.

21
 Tipos de Controles

Control de investigacin
Buscar e identificar anomalas
Ejemplos:
Controles en trabajos de produccin.
Control de ecos en las telecomunicaciones.
Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
Verificacin de los dobles clculos.
Cmaras de vdeo.
Sistema de deteccin de intrusiones (IDS).

22
 Tipos de Controles

Control correctivo
Evitar la repeticin de anomalas
Ejemplos:
Implementar planes de emergencia con la formacin,
concienciacin, pruebas, procedimientos y actividades de
mantenimiento necesarios.
Procedimientos de emergencia, tales como copias de
seguridad peridicas, el almacenamiento en un lugar
seguro y la recuperacin de las transacciones.
Procedimientos re-ejecutados.
23
Las Relaciones entre Conceptos de
Gestin de Riesgos

24
 Seccin 2

Estndar y Marco Normativo

25
 Qu es ISO?

ISO es una red de organismos nacionales de

estandarizacin de mas de 160 pases.

Los resultados finales de los trabajos realizados por

ISO son publicados como normas internacionales

Se han publicado mas de 19,000 normas desde 1947

26
 Principios
Bsicos de las Normas ISO

1. Representacin igualitaria: 1 voto por pas

2. Adhesin voluntaria: ISO no tiene la autoridad

para forzar la adopcin de sus normas

Principios
3. Orientacin al negocio: ISO slo desarrolla
Bsicos de las normas para las que existe demanda del mercado
Normas ISO
4. Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas

5. Cooperacin internacional: ms de 160 pases

adems de organismos de enlace
27
 Qu son los Sistemas de Gestin?

Un sistema de gestin es una estructura

probada para la gestin y mejora continua
de las polticas, los procedimientos y
procesos de la organizacin.

Un sistema de gestin ayuda a lograr los

objetivos de la organizacin mediante una
serie de estrategias, que incluyen la
optimizacin de procesos, el enfoque
centrado en la gestin y el pensamiento
disciplinado.

28
 Los Sistemas de Gestin se Integran

SALUD Y
CALIDAD SEGURIDAD
ISO 9001 TRABAJO
OHSAS 18001
SISTEMA
DE
GESTION
SEGURIDAD DE
AMBIENTALISO LA
ISO 14001 INFORMACION
ISO 27001

29
 Qu es un SGSI?

Un SGSI (Sistema de Gestin de Seguridad de la

Informacin) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la proteccin de los activos de informacin para
lograr objetivos de negocio.

El anlisis de los requisitos para la proteccin de los

activos de informacin y la aplicacin de controles
adecuados para garantizar la proteccin de estos activos
de informacin, contribuye a la exitosa implementacin
de un SGSI.
En ingles se conoce con las siglas ISMS (Information
security management system) 30
 Qu es un SGSI?

El Sistema de Gestin de la Seguridad de la Informacin

(SGSI) en las empresas ayuda a establecer
estas polticas, procedimientos y controles en relacin
a los objetivos de negocio de la organizacin.

31
Enfoque a Procesos

32
 Ciclo de Deming

El circulo de DEMING se constituye como una de las

principales herramientas para lograr la mejora
continua en las organizaciones o empresas que
desean aplicar a la excelencia en sistemas de gestion.

El conocido Ciclo Deming o tambin se le denomina el

ciclo PHVA que quiere decir segn las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan,
Do, Check, Act)

33
Ciclo de Deming

34
 Familia
ISO 27000
Vocabulario

ISO 27000
Vocabulario
Requisitos

ISO 27001 ISO 27009

Requisitos del Requisitos organizacin
SGSI certificadora
Generalidades

ISO 27002 ISO 27003 ISO 27004 ISO 27005

ISO 27007-27008
Cdigo buenas Gua de Gestin de
Mtricas Guas de Auditoria
practicas Implementacin Riesgos
Industria

ISO 27011 ISO 27799 ISO 270XX

Telecomunicaciones Salud Vocabulario

35
 ISO 27001

Especifica los requisitos de gestin

de un SGSI (Clusula 4 a 10)

Los requisitos (clusulas) son

escritos utilizando el verbo
"debern" en imperativo

Anexo A: 14 clusulas que

contienen 35 objetivos de control y
114 controles

La organizacin puede ser

certificada en esta norma

36
 ISO 27002

Gua para el cdigo de prcticas para los

controles de la seguridad de la
informacin (Documento de referencia)

Clusulas escritas utilizando el verbo

"debera"

Compuesto de 14 clusulas, 35 objetivos

de control y 114 controles

Una organizacin no puede ser certificada

en esta norma

Tambin conocida como ISO 17799

37
 ISO 27003

Gua para el cdigo de prcticas para

la implementacin de un SGSI

Documento de referencia para ser

utilizado con las normas ISO 27001 e
ISO 27002

Consta de 9 clusulas que definen 28

etapas para implementar un SGSI

La certificacin con esta norma no es

posible

38
Historia de la Norma
ISO 27001

39
 Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organizacin

Clausula 5
Planificacin

Clausula 10 Clausula 8
Mejora Funcionamiento

Clausula 9
Evaluacin del
Clausula 7 desempeo Clausula 5
Soporte Liderazgo

40
 Seccin 3

Implementacin de la Norma ISO 27001

41
 Enfoque a Procesos

La aplicacin del enfoque de proceso variar de una

organizacin a otra en funcin de su tamao,
complejidad y actividades

A menudo las organizaciones identifican demasiados

procesos

Los procesos se pueden definir como un grupo lgico

de tareas relacionadas entre s, para alcanzar un
objetivo definido.

ENTRADA PROCESO SALIDA

42
 Informacin Documentada
Ciclo de Vida de los Documentos
1. Creacin

2. Identificacin

3. Clasificacin y seguridad

4. Modificacin

5. Aprobacin

6. Distribucin

7. Uso adecuado

8. Archivado

9. Disposicin
43
 ISO 30301

Informacin y
documentacin. Sistemas
de gestin para
documentos. Requisitos

La organizacin puede ser

certificada en esta norma

44
 La implantacin de un Sistema de
Gestin de Seguridad de la Informacin es
una decisin estratgica
que debe involucrar a toda la organizacin y
que debe ser apoyada y
dirigida desde la direccin

45
 Etapas
Ciclo de Deming
Definir alcance del SGSI
Definir Poltica de Seguridad
Compromiso de la direccin Metodologa de evaluacin de
Planificacin riesgos.
Fechas Inventarios de activos
Responsables Identificar amenazas y
vulnerabilidades
Identificar Impactos
Anlisis y evaluacin de riesgos
Seleccin de controles y SOA

Definir plan de tratamiento de

Implantar mejoras riesgos
Acciones correctivas Implantar plan de tratamiento
Acciones Preventivas de riesgos
Comprobar eficacia de las Implementar controles
acciones Formacin y concienciacin
Operar el SGSI

Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditorias internas del
SGSI
Registrar acciones y eventos 46
 Iniciando el SGSI

Definicin del enfoque para la aplicacin del SGSI

Velocidad de Implementacin
Nivel de madurez del proceso y controles
Expectativas y mbito
Seleccin de un marco metodolgico
Metodologa para gestionar el proyecto (PMBOK)
Alineacin con las mejores practicas
ISO 27001
ISO 27002
ISO 27003
ISO 27004
47
 Nivel de Madurez

Es importante determinar
en que nivel se encuentra la
organizacin, para ello
CMM muestra la madurez
de una organizacin
basndose en la capacidad
de sus procesos

48
FASE I Organizacin

49
 Fase I Organizacin

Desarrollar las actividades principales para la direccin e

inicio de la implantacin del SGSI.

Obtener el apoyo institucional

Determinar el alcance del Sistema de Gestin de
Seguridad de la Informacin
Determinar la declaracin de Poltica de Seguridad
de la Informacin y objetivos
Determinar criterios para la evaluacin y aceptacin
de riesgos
50
 Obtener el Apoyo
Institucional

Existen 4 ejes de apoyo para sustentar el

apoyo institucional, estos son:
1. Cumplimiento

2. Proteccin de Procesos de Negocio

3. Disminucin de incidentes

4. Ordenamiento de su negocio

51
 Organizacin de la Seguridad

CGSI COSI
COMIT DE GESTION DE COMIT TCNICO DE
SEGURIDAD DE LA SEGURIDAD DE LA
INFORMACION INFORMACION

AREAS FUNCIONALES

OSI
OFICIAL DE SEGURIDAD DE LA
INFORMACION
ROLES

SI SF
RESPONSABLE SEGURIDAD RESPONSABLE SEGURIDAD
INFORMATICA FISICA
52
 Comit Gestin

El Comit de Gestin de Seguridad de la Informacin es el

mximo rgano consultivo de carcter no tcnico sobre la
seguridad de la informacin.
Se reunir por lo menos una vez al mes para evaluar la
situacin institucional en materia de seguridad de la
informacin y el plan de accin para mejorarla
continuamente.
Las funciones del Comit de Gestin de Seguridad de la
Informacin son las siguientes:
Informar la situacin Institucional en materia de seguridad de la informacin.
Proponer la designacin del Oficial de Seguridad de la Informacin.
Designar a los miembros del Comit Tcnico de Seguridad de la Informacin.
Patrocinar y participar en la implementacin, operacin, monitoreo, revisin,
mantenimiento y mejora continua del Sistema de Gestin Seguridad de la
Informacin (SGSI). 53
 Comit Tcnico

El Comit Tcnico de Seguridad de la Informacin es un rgano

consultivo de carcter tcnico y est integrado por los Jefes de
los procesos involucrados en el alcance quienes debern tener
un amplio conocimiento de los procesos que se realizan en la
institucin.
Las funciones del Comit Consultivo de Seguridad de la
Informacin son las siguientes:
Proponer mejoras o iniciativas en materia de seguridad de la informacin al Comit de
Gestin o al Oficial de Seguridad de la Informacin en materia de gestin de riesgos, activos
de informacin, procesamiento de la informacin, mejoras al SGSI, entre otros.
Ser embajadores de seguridad de la informacin para influenciar las opiniones de una
forma positiva y, recoger las necesidades y expectativas de los trabajadores.
Reunirse peridicamente a fin de analizar y evaluar la seguridad de la informacin y emitir
informes al Comit de Gestin de Seguridad de la Informacin.
Participar de las reuniones convocadas por el Comit de Gestin de Seguridad de la
Informacin.
54
 Determinar el Alcance
del SGSI

Se debe definir en funcin de caractersticas del

negocio, organizacin, localizacin, activos y
tecnologa, definir el alcance y los lmites del SGSI
(el SGSI no tiene por qu abarcar toda la
organizacin; de hecho, es recomendable empezar
por un alcance limitado)

55
 Determinar el Alcance
del SGSI

Definir los limites de la organizacin.

Definir los limites de los sistemas de informacin.

Definir el mbito y limites fsicos.

Definir el alcance del SGSI.

Cambios en el alcance.

Extensin del mbito de aplicacin.

56
 Determinar el Alcance
del SGSI

Cualquier cambio en el alcance debe ser

evaluado, aprobado y documentado

57
 Determinar la Declaracin de Poltica de
Seguridad de la Informacin y Objetivos
Debe tener el marco general y los objetivos de seguridad de la
informacin de la organizacin

Debe explicar los requisitos de negocio, legales y contractuales

en cuanto a seguridad

Debe de estar alineada con la gestin de riesgo general,

establecer criterios de evaluacin de riesgo y ser aprobada por
la Direccin.

La poltica de seguridad es un documento muy general, una

especie de "declaracin e intenciones" de la Direccin, por lo
que no pasar de dos o tres pginas.

58
 Tipos de Poltica

POLITICA GENERALES Poltica de

DE ALTO NIVEL Seguridad

Poltica de Poltica del

POLITICA ALTO NIVEL
X TEMAS ESPECIFICOS Seguridad de SGSI
la Informacin

POLITICA
Poltica sobre Poltica de
Poltica sobre
DETALLADAS control de gestin de
criptografa
acceso incidentes

59
 Estructura de una Poltica

Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones

60
 Determinar Criterios para la
Evaluacin y Aceptacin de Riesgos
Se debe definir una metodologa de evaluacin de
riesgos apropiada para el SGSI y las necesidades de la
organizacin, desarrollar criterios de aceptacin de
riesgos y determinar el nivel de riesgo aceptable.

Existen muchas metodologas de evaluacin de riesgos

aceptadas; la organizacin puede optar por una de ellas,
hacer una combinacin de varias o crear la suya propia.

ISO 27001 no impone ninguna ni da indicaciones

adicionales sobre cmo definirla.
61
 Algunas Metodologas para
la Evaluacin de Riesgos

Magerit (Espaa)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)
62
 Factores en la Seleccin
de la Metodologa
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del mtodo
3. Posibilidad de herramientas de software
4. Documentacin, formacin, apoyo.
5. Facilidad de uso
6. Costo de utilizacin
7. Existencia de material de comparacin (mtricas,
estudios, casos, etc.)
63
FASE II Planificacin

64
 Desarrollar las actividades de planificacin requeridas por la
norma de manera metodolgica y en concordancia con la
poltica y objetivos del SGSI dentro del alcance del mismo.

Realizar evaluacin de Riesgos

Conducir un anlisis entre los riesgos identificados y

las medidas correctivas existentes

Desarrollar un plan de tratamiento de riesgos

Desarrolla la declaracin de Aplicabilidad

65
 Realizar Evaluacin de Riesgos
Inventario de Activos

Todos aquellos activos de informacin que tienen

algn valor para la organizacin y que quedan dentro
del alcance del SGSI

Se debe inventariar el nombre activo, tipo,

responsable y ubicacin como campos mnimos.

Se debe realizar la dependencia de activos

66
 Realizar Evaluacin de Riesgos
Inventario de Activos

ESCALA VALORACION
1 Muy Alto (MA)
2 Alto (A)
3 Medio (M)
4 Bajo (B)
5 Muy Bajo (MB) 67
 Realizar Evaluacin de Riesgos
Anlisis de Riesgos

Anlisis de los riesgos: evaluar el dao resultante de

un fallo de seguridad (es decir, que una amenaza
explote una vulnerabilidad) y la probabilidad de
ocurrencia del fallo; estimar el nivel de riesgo
resultante y determinar si el riesgo es aceptable (en
funcin de los niveles definidos previamente) o
requiere tratamiento.

68
Realizar Evaluacin de Riesgos
Anlisis de Riesgos

69
 Plan de
Tratamiento de Riesgos

70
 Seleccin de Controles y SOA

Confeccionar una Declaracin de Aplicabilidad: la

llamada SOA (Statement of Applicability) es una lista
de todos los controles seleccionados y la razn de su
seleccin, los controles actualmente implementados
y la justificacin de cualquier control del Anexo A
excluido.

Es, en definitiva, un resumen de las decisiones

tomadas en cuanto al tratamiento del riesgo.

71
Redaccin de la Declaracin de
Aplicabilidad

72
FASE III Despliegue

73
Desplegar las actividades de implementacin del SGSI

Elaborar el plan de trabajo priorizado

Desarrollar documentos y registros necesarios
Implementar los controles seleccionados

74
 Plan de Trabajo del SGSI

Un plan de trabajo es un instrumento de

planificacin.

Estructura actividades, responsables, tiempos,

recursos, generalmente se expresa por medio de un
diagrama de gantt.

75
 Plan de Capacitacin

1. Definir las necesidades de capacitacin

2. Diseo y planificacin de la capacitacin

3. Provisin de la capacitacin

4. Evaluacin de los resultados de la capacitacin

76
Plan de Capacitacin

77
 Plan de Capacitacin

La gran diferencia entre la formacin y la concientizacin

es que la capacitacin tiene por objeto proporcionar los
conocimientos para permitir que la persona ejerza sus
funciones mientras que el objetivo de concientizar es
centrar la atencin en un inters individual o una serie
de asuntos sobre la seguridad.

78
 Plan de Comunicacin

1. Determinar qu queremos conseguir, cules son nuestros

objetivos.

2. Decidir a quin vamos a dirigir nuestra comunicacin.

3. Pensar cul es la idea que queremos transmitir.

4. Fijar el presupuesto con el que contamos (cunto).

5. Seleccionar los medios apropiados y su frecuencia de

utilizacin.

6. Ejecutar el plan de medios y medir su impacto.

79
 Plan de Comunicacin
Partes Interesadas
Clientes
Proveedores
Empleados
Comunidades
Medios de Comunicacin
Inversores

El compromiso con las partes interesadas constituye una oportunidad para que una
organizacin pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
80
 Controles de la ISO 17799
ahora 27002
rea 1: Poltica de seguridad.
rea 2: Organizacin de la seguridad de la informacin.
rea 3: Gestin de activos. Seguridad
rea 4: Seguridad relacionada con los recursos humanos. Organizativa
rea 10: Gestin de la continuidad del negocio .

rea 6: Gestin de comunicaciones y operaciones.

rea 7: Control de accesos. Seguridad
rea 8: Adquisicin, desarrollo y mantenimiento de sistemas. Lgica
rea 9: Gestin de incidentes.

rea 5: Seguridad fsica y del entorno Seguridad

Fsica
rea 11: Conformidad Seguridad
Legal

81
FASE IV Revisin

82
Realizar actividades de revisin del SGSI evidenciando
el cumplimiento de los requisitos de la norma

Monitorear el desempeo del SGSI

Fortalecer la gestin de incidentes

Desarrollar documentos y registros necesarios

Desarrollar las actividades para evidenciar la mejora

continua

83
 Monitoreo
Determinar los Objetivos de la Medicin
La norma no indica lo que debe ser objeto
de supervisin o medicin
Corresponde a la empresa determinar qu
es lo que necesita ser controlado y medido
Es una mejor prctica centrarse en la
vigilancia y medicin de las actividades
que estn vinculadas a los procesos
crticos que permiten a la organizacin
alcanzar sus metas y objetivos de
seguridad de la informacin
Demasiadas medidas pueden distorsionar
el enfoque de una organizacin y
desenfocar lo que es verdaderamente
importante
84
 Monitoreo
Objetivos de la Medicin

Los objetivos de la medicin en el marco de un sistema de

gestin incluyen:
Evaluacin de la eficacia de los procesos y procedimientos
implementados;
Verificacin de la medida en que los requisitos identificados
de la norma se han cumplido.
Facilitar la mejora del rendimiento;
Aportar para la revisin de la gestin para facilitar la toma de
decisiones y justificar las mejoras que necesita el sistema de
gestin implementado.
85
 Monitoreo
Tableros de Mando

86
 Gestin de Incidentes

1. Asegurarse de que los eventos de seguridad son detectados

e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que
podran causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma ms adecuada
y eficaz.
4. Reducir el posible impacto de los incidentes sobre las
operaciones de la organizacin.
5. Prevenir futuros incidentes de seguridad y reducir su
probabilidad de ocurrencia.
6. Mejorar la seguridad de los controles de la organizacin.
87
FASE V Consolidacin

88
Auditar e implementar las mejoras y correcciones del
SGSI a fin de cumplir con los requisitos de la norma

Auditar internamente el SGSI

Implementar las acciones correctivas

Implementar las acciones preventivas pertinentes

Desarrollar, corregir y mejorar documentacin nueva

o existente

89
 Auditoria Interna

1. Crear el programa de auditora interna

2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad
4. Planificacin de las actividades
5. Asignar y administrar los recursos del programa de auditora
6. Crear procedimientos de auditora
7. Realizar actividades de auditora
8. Seguimiento de no conformidades

90
 Tratamiento de Problemas y
no Conformidades

Definir un proceso para resolver problemas y no

conformidades.

Definir un procedimiento de accin correctiva.

Definir un procedimiento de accin preventiva.

Elaborar Planes de Accin.

91
FASE VI Certificacin

92
 Definiciones de la Certificacin

Organismo de Certificacin: Terceros que realizan la

evaluacin de la conformidad de los sistemas de
gestin.

Certificacin: Procedimiento en el cual un tercero

garantiza por escrito que un producto, proceso o
servicio es conforme a las condiciones indicadas

93
 Proceso de Certificacin

1. Seleccin de la entidad certificadora.

2. Auditoria de Pre-evaluacin.

3. Etapa 1 de la auditoria, se fija en el diseo del SGSI

4. Etapa 2 de la auditoria, se lleva a cabo en la empresa.

5. Auditoria de seguimiento, si tuviera no conformidades

6. Confirmacin de la inscripcin.

94
Preguntas

95
 Contactos

Soporte SGSI: Maurice Frayssinet Delgado

Correo Electrnico: mfrayssinet@pcm.gob.pe
Telfonos: Rpm #963-985-125
6346000 anexo 116
2197000 anexo 5116
Contacto: Call Center
Correo Electrnico: ongei@pcm.gob.pe
Telfonos: 6346000 anexo 109/106
2197000 anexo 5109/5106

96
 ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica
www.ongei.gob.pe