Plan Implementación SGSI

SECCIÓN TIC
SERIE SEGURIDAD (SEG)
PLAN DE IMPLEMENTACIÓN
DE UN SGSI
Versión: v1.0 Página 1 de 32

SECCIÓN TIC
CONTROL DE VERSIONES
RESPONSABLE DE FECHA DE
COMENTARIO / FIRMA DEL
VERSIÓN ACTUALIZACIÓN / ACTUALIZACIÓN /
DESCRIPCIÓN RESPONSABLE
CREACIÓN / REVISIÓN CREACIÓN / REVISIÓN
Ing. Diego Valverde

Creación del Rodríguez
1.0 25/02/2016
documento Ing. Denise Betancourt
Sandoval

SECCIÓN TIC
CONTENIDO
1. Descripción general del procedimiento ...................................................................................... 6

2. Objetivos ..................................................................................................................................... 6
3. Beneficios .................................................................................................................................... 6
4. Estrategia de Implementación .................................................................................................... 9
5. Etapas generales del procedimiento ......................................................................................... 10
6. Calendario de actividades ......................................................................................................... 14
7. Entendimiento de la organización y su contexto (1) ................................................................. 16
7.1 Consideraciones ................................................................................................................ 16
7.2 Requisitos .......................................................................................................................... 16
8. Entendimiento de las necesidades y expectativas de las partes interesadas (2) ..................... 16
8.2 Requisitos .......................................................................................................................... 17
9. Determinación del Alcance del SGSI (3) .................................................................................... 17
9.2 Requisitos .......................................................................................................................... 17
10. Política de Seguridad de la Información (4) .......................................................................... 18
10.2 Requisitos .......................................................................................................................... 18
11. Funciones, responsabilidades y autoridad de la organización (5) ........................................ 18
11.2 Requisitos .......................................................................................................................... 19
12. Análisis de Riesgos (6 y 7)...................................................................................................... 19
12.2 Requisitos .......................................................................................................................... 20
13. Tratamiento de los riesgos de Seguridad de la Información (8) ........................................... 20
13.2 Requisitos .......................................................................................................................... 20
14. Objetivos del SGSI y planes para lograrlos (9)....................................................................... 21
14.2 Requisitos .......................................................................................................................... 21
SECCIÓN TIC
15. Recursos (10) ......................................................................................................................... 21

15.2 Requisitos .......................................................................................................................... 22
16. Competencias (11) ................................................................................................................ 22
16.2 Requisitos .......................................................................................................................... 23
17. Concienciación (12) ............................................................................................................... 23
17.2 Requisitos .......................................................................................................................... 23
18. Comunicación (13) ................................................................................................................ 24
18.2 Requisitos .......................................................................................................................... 24
19. Información documentada (14) ............................................................................................ 24
19.2 Requisitos .......................................................................................................................... 25
20. Planeación y control operativo (15) ...................................................................................... 25
20.2 Requisitos .......................................................................................................................... 25
21. Evaluación y tratamiento de los Riesgos de Seguridad de la Información (16 y 17) ............ 26
21.2 Requisitos .......................................................................................................................... 26
22. Monitoreo, medición, análisis y evaluación (18) .................................................................. 26
22.2 Requisitos .......................................................................................................................... 27
23. Auditorías internas (19)......................................................................................................... 27
23.2 Requisitos .......................................................................................................................... 27
24. Revisión Gerencial (20).......................................................................................................... 28
24.2 Requisitos .......................................................................................................................... 28
25. No conformidades y Acciones correctivas (21) ..................................................................... 29
SECCIÓN TIC
25.2 Requisitos .......................................................................................................................... 29

26. Mejora continua (22)............................................................................................................. 29
26.2 Requisitos .......................................................................................................................... 30
Anexo ........................................................................................................................................ 31
27. Consideraciones de auditoría ................................................................................................ 31

SECCIÓN TIC
1. Descripción general
La Seguridad de la Información se compone de procesos, recursos, metodologías, normas, técnicas,

herramientas y estructuras organizacionales encaminadas a proteger la información en sus
diferentes formas y estados. Para mitigar riesgos, se requiere de objetivos de control y controles de
seguridad.
Actualmente, la referencia más utilizada para establecer, implementar, operar, mantener y mejorar
un Sistema de Seguridad de la Información (SGSI) así como para la selección de controles de
seguridad es el estándar ISO/IEC 27001:2013.
La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) trae consigo

diversos beneficios, entre ellos concienciar sobre la necesidad de gestionar la seguridad a nivel
institucional, promover el conocimiento de ésta, identificar brechas de control y áreas de mejora,
así como definir acciones de remediación oportunas y efectivas. Asimismo, permite brindar apoyo
en el cumplimiento de leyes, regulaciones y normas nacionales y/o internacionales relevantes al
tema de Seguridad y el manejo de los mismos, estableciendo bases de conocimiento confiables para
la toma de decisiones y planeación de la gestión de seguridad.
2. Objetivos
1. Concienciar en la importancia y ventajas que conlleva implementar un SGSI alineado al

ISO/IEC 27001:2013
2. Definir la estrategia para establecer, implementar, mantener y mejorar continuamente un

Sistema de Gestión de Seguridad de la Información dentro del contexto del Instituto
3. Especificar los pasos necesarios para la identificación, análisis y tratamiento de Riesgos de

Seguridad de la Información
3. Beneficios
Los beneficios de un SGSI se pueden clasificar en:
- Operativos
- Financieros
- Cumplimiento
Operativos
 Identificar brechas de control y áreas de mejora, así como definir acciones de remediación
oportunas y efectivas
 Definir metas y lapsos de cumplimiento para éstas
SECCIÓN TIC
 Generar indicadores precisos para la determinación de incidentes más comunes

 Considerar criterios, niveles y medidas de seguridad para facilitar la toma de decisiones
 Implementar y controlar los procesos de la Institución
 Mantener la documentación necesaria para tener confianza de que los procesos se están
llevando a cabo conforme se planearon
 Controlar los cambios planeados
 Revisar las consecuencias de los cambios no intencionados
 Determinar y controlar los procesos subcontratados
 Existen y operan mecanismos de control efectivos para las distintas actividades que se
realizan en el ámbito de competencia, entre otras, registros, autorizaciones, verificaciones,
conciliaciones, bitácoras de control, revisiones, resguardo de archivos, alertas y bloqueo de
sistemas y distribución de funciones
 Las operaciones de recursos humanos, materiales, financieros y tecnológicos, están
registradas y soportadas con la documentación clasificada, organizada y resguardada para
su consulta, y en cumplimiento a las leyes que le aplican. Las omisiones, errores,
desviaciones o insuficiencia documental, se aclaran y/o corrigen con oportunidad
 Existen los espacios y medios necesarios para asegurar y salvaguardar los bienes, incluido el
acceso restringido al efectivo, títulos de valor u otros equivalentes, inventarios, mobiliario
y equipo u otros que pueden ser vulnerables al riesgo de pérdida, uso no autorizado, actos
de corrupción, errores, fraudes, malversación de recursos o cambios no autorizados; y que
son registrados oportunamente y periódicamente comparados físicamente con los registros
contables;
 Existen y operan los mecanismos de control necesarios en materia de TIC, con base en la
normativa interna aplicable, el Manual del Sistema de Gestión de Tecnologías de la
Información y Comunicaciones (SIGETIC) y lo que determine la Unidad de Servicios de
Informática, para:
o Asegurar la integridad, confidencialidad, disponibilidad de la información

electrónica de manera oportuna y confiable
o Instalar en los equipos únicamente software licenciado adquirido
o Contar con un plan de contingencias y de recuperación de desastres que dé
continuidad a la operación de TIC y del Instituto, especialmente a la que soporta los
procesos vinculados a la consecución de objetivos establecidos en la planeación
institucional
o Contar con programas de seguridad, adquisición, desarrollo y mantenimiento
preventivo de las TIC
o Utilizar procedimientos de respaldo y recuperación de información, datos,
imágenes, voz y video, en servidores y centros de información, y programas de
trabajo de los operadores de dichos centros
o Sustentar documentalmente el desarrollo de nuevos sistemas informáticos y
modificaciones a los existentes, que sean compatibles, escalables e interoperables

SECCIÓN TIC
o Contar con mecanismos de seguridad que permitan únicamente el acceso a

personal autorizado, que comprendan registros de altas, actualización y bajas de
usuarios, y
o Apoyar con actividades de control basadas en TIC, el fortalecimiento del control
interno y la administración de riesgos, especialmente las que requieran los procesos
vinculados con la consecución de los objetivos establecidos en la planeación
institucional.
o Operar el Comité de Tecnologías de la Información y Comunicaciones con base en
sus atribuciones y medir objetivamente la actuación del mismo.
*Información y Comunicación:
 La información que se genera y registra en su ámbito de competencia, es necesaria,

correcta, completa, oportuna, está actualizada y accesible a sus usuarios.
Financieros
 Definir soluciones más rentables en términos de riesgo

 Determinar y cuantificar impactos negativos de incidentes e impactos positivos de
soluciones
 Prevenir pérdidas de información con costos financieros directos
 Planear iniciativas y acciones de mejora priorizadas a fin de maximizar los rendimientos
Cumplimiento
 Considerar controles tecnológicos, normativos y de cultura organizacional

 Establecer la base para cumplimiento y mejora de procesos basados en ITIL, COBIT 5,
BS2599, entre otros
 Garantizar el cumplimiento de todas las normas y regulaciones aplicables
 Combinar revisiones por alta dirección con auditorías de organismos acreditados
internacionalmente
 Se alinea a sistemas de gobierno corporativo como COSO y Val IT.
 Realizar las funciones y operación en cumplimiento a los manuales de organización general
y de procedimientos, respectivamente, actualizados, autorizados y publicados.
 Acuerdos con la Junta General Ejecutiva JGE140/2013 de este Instituto por el que se
aprueba el Manual de Procedimientos del Sistema de Gestión de Tecnologías de la
Información Comunicaciones (SIGETIC)
 Artículo 64, incisos f) y g) del Reglamento Interior del este Instituto, la Unidad de Servicios
de Informática deberá “Fomentar y aplicar mejores prácticas, estándares y normas
nacionales e internacionales a los procesos relacionados con tecnologías de la información

SECCIÓN TIC
a nivel institucional” y “Establecer y aplicar políticas y estándares en materia de seguridad

informática, así como coordinar la aplicación de auditorías.”
 Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.
 Capítulo 1, Artículo 4, inciso 3 “Garantizar la protección de los datos personales en posesión
de los sujetos obligados”
 Capítulo 1, Artículo 5 “La presente Ley es de observancia obligatoria para los servidores
públicos federales”
 Capítulo 4, Artículo 20, inciso 6 “Adoptar las medidas necesarias que garanticen la seguridad
de los datos personales y eviten su alteración, pérdida, transmisión y acceso no autorizado”
 Reglamento de este Instituto en Materia de Transparencia y Acceso a la Información Pública
 Capítulo 2, Artículo 11 “De los criterios para clasificar la información”, numeral 3 y 4
 Capítulo 2, Artículo 12 “De la información confidencial”
 Todos los Reglamentos, Manuales, Lineamientos, y Acuerdos que deriven del Código
Federal de Instituciones y Procedimientos Electorales y las leyes relacionadas en materia de
transparencia y acceso a la información pública
4. Estrategia de Implementación
El SGSI es un sistema cíclico enfocado en la mejora continua para el proceso de Gestión de la

Seguridad de la Información. Como propuesta, el SGSI se enmarca dentro del Ciclo de Deming,
buscando mantener un sistema actualizado y válido para enfrentar los riesgos de la Unidad.
•Mejora •Contexto de la
organización
•Liderazgo
•Planeación
•Soporte
Actuar Planear
Verificar Hacer
•Evaluación de •Operación
desempeño

SECCIÓN TIC
5. Etapas generales del procedimiento
Programa de implementación de un SGSI
PLANEAR
Contexto de la organización Liderazgo Planeación Soporte
6 10
Medidas para abordar los Recursos

riesgos y las oportunidades
1
Entendimiento de la 4 11
organización y su contexto 7
Política de Seguridad de la Competencias
Información Evaluación de riesgos de
Entendimiento de las 2 12
necesidades y las
Concienciación
expectativas de las partes 8
interesadas 5
Tratamiento de los riesgos de
13
3 Funciones, responsabilidades Seguridad de la Información
Determinación del Alcance y autoridad de la organización Comunicación
del Sistema de Gestión de
Seguridad de la Información 9 14
Objetivos del SGSI y los
planes para lograrlos Información documentada

SECCIÓN TIC
HACER
Operación
15
Planeación y control
operativo
16
Evaluación de los Riesgos de

17
Tratamiento de los Riesgos

de Seguridad de la
Información

SECCIÓN TIC
VERIFICAR
Evaluación de Desempeño
18
Monitoreo, medición, análisis

y evaluación
19
Auditorías Internas
20
Revisión Gerencial

SECCIÓN TIC
ACTUAR
Mejora
21
No Conformidades y Acciones
Correctivas
22
Mejora continua

SECCIÓN TIC
6. Calendario de actividades
NOTA: El calendario se desarrollará en el programa Project.
El calendario de actividades que se propone para el desarrollo de las líneas de trabajo es el siguiente:
Fecha de
Actividad Semana
inicio
1 2 3 4 5
Planear
Contexto de la organización
1 Entendimiento de la organización y su contexto
Entendimiento de las necesidades y las expectativas de

2
las partes interesadas
Determinación del Alcance del Sistema de Gestión de
3
Liderazgo Semana
6 7 8 9 10
4 Política de Seguridad de la Información

Funciones, responsabilidades y autoridad de la
5
organización
Planeación
6 Medidas para abordar los riesgos y las oportunidades
7 Evaluación de riesgos de Seguridad de la Información

Tratamiento de los riesgos de Seguridad de la
8
Información
9 Objetivos del SGSI y planes para lograrlos
Soporte
10 Recursos
11 Competencias
12 Concienciación
13 Comunicación
14 Información documentada

SECCIÓN TIC
Hacer
Operación
15 Planeación y control operativo
16 Evaluación de los Riesgos de Seguridad de la Información

Tratamiento de los Riesgos de Seguridad de la
17
Información
Verificar
Evaluación de Desempeño
18 Monitoreo, medición, análisis y evaluación
19 Auditorías internas
20 Revisión de la Gerencia
Actuar
21 No Conformidades y Acciones Correctivas
22 Mejora Continua
Duración de la actividad
Menos de ocho horas
Más de ocho y hasta veinticuatro horas
Más de veinticuatro y hasta cuarenta horas
Más de cuarenta horas

SECCIÓN TIC
7. Entendimiento de la organización y su contexto (1)
7.1 Consideraciones
 Identificar y conocer la misión, visión y objetivos del Instituto

 Identificar o, en su defecto, definir los procesos y/o actividades del Instituto
 Conocer la estructura de Gobierno del Instituto.
 Identificar factores internos:
- Políticas
- Reglamento interno
- Ambiente cultural
- Roles y responsabilidades
- Estrategias
- Niveles de madurez
- Atribuciones
- Procesos de SIGETIC
 Identificar factores externos:
- Leyes y regulaciones aplicables
- Ambiente político y financiero
- Condiciones culturales y sociales
7.2 Requisitos
 Acceso a información en formato digital e impreso de manera oportuna

 Cartas de confidencialidad para acceso a información (de la UNICOM)
 Consulta con personal relacionado a temas de requisitos legales, regulatorios y
contractuales aplicables al Instituto (Analista D1  Ana Victoria Arellano Cruz, Líder de
Control Interno A  Azalea Legorreta Herrera)
8. Entendimiento de las necesidades y expectativas de las partes interesadas (2)
8.1 Consideraciones
 Identificar las partes interesadas internas, sus requerimientos y sus necesidades

 Identificar las partes interesadas externas, sus requerimientos (incluir requisitos legales,
reglamentos y obligaciones contractuales) y sus necesidades

SECCIÓN TIC
8.2 Requisitos
 Consulta con participantes del Grupo de Gobierno de Seguridad de la Información (GGASI

de UNICOM)
9. Determinación del Alcance del SGSI (3)
9.1 Consideraciones
 Determinar las actividades, infraestructura o activos esenciales de sistemas críticos del INE
que incluirá el SGSI.
 Identificar servicios críticos con base al portafolio de servicios
 Identificar los servicios tercerizados y las organizaciones que prestan dichos servicios al INE
 Definir las dependencias e interfaces entre las actividades desempeñadas por el INE y
aquellas que están desempeñadas por otras organizaciones
 Definir el alcance que incluya:
- Roles y responsabilidades
- Enunciado del Alcance del SGSI donde se mencione el/los proceso(s) crítico(s) que
abarcará el Sistema de Gestión
- Descripción del proceso o procesos críticos seleccionados
- Soluciones tecnológicas utilizadas
- Áreas involucradas en el proceso
- Ubicaciones físicas
- Exclusiones
- Límites (restricciones)
 Entregable: Alcance del SGSI
9.2 Requisitos
 Junta con Grupo de Gobierno de Seguridad de la Información de UNICOM para definir el

Alcance
 Revisión y aprobación del Alcance por el Grupo de Gobierno de Seguridad de la Información
de UNICOM

SECCIÓN TIC
10. Política de Seguridad de la Información (4)
10.1 Consideraciones
 Redactar un documento que describa los requisitos y reglas específicas que deben cumplirse
en materia de Seguridad de la Información
 Definir la metodología de Análisis de Riesgos
 Definir en el documento los requisitos legales, regulatorios y contractuales del Instituto
previamente identificados
 Realizar las actividades Política de Seguridad de la Información (4) y Funciones,
responsabilidades y autoridad de la organización (5) en paralelo para determinar los roles y
responsabilidades, e incluirlos en el documento de Política
 Establecer los Objetivos del SGSI que sean consistentes con la metodología SMART
(Específicos, Medibles, Alcanzables, Orientados a resultados y Temporales) e incluirlos en la
Política de Seguridad. (Realizarse en paralelo con la actividad (9) Objetivos del SGSI y planes
para lograrlos)
 Entregable: Política de Seguridad (Directriz Rectora)
10.2 Requisitos
 Revisión y modificación de la Política de Seguridad de la UNICOM

 Matriz y metodología de Análisis de Riesgos aprobada por el grupo de Gobierno de
Seguridad de la Información y el grupo de Gobierno de Seguridad de la Información de
UNICOM (Analisis_Riesgos_(documento_trabajo)_CSB)
 Consulta con personal relacionado a temas de requisitos legales, regulatorios y
contractuales aplicables al Instituto
 Revisión y aprobación del documento a través del Portal del Grupo de Gobierno de
11. Funciones, responsabilidades y autoridad de la organización (5)
 Establecer roles y responsabilidades que tengan que ver directamente con el SGSI que se
está implementando
SECCIÓN TIC
 Realizar la Matriz RACI de los procesos identificados en el Alcance del SGSI y el rol dentro
del proceso de Administración de Seguridad de la Información (ASI) del SIGETIC
 Realizar la actividad 4 y 5 en paralelo para determinar los roles y responsabilidades e
incluirlos en la matriz RACI
 Entregable: Matriz RACI
11.2 Requisitos
 Documento definitivo de ActaConstGpo_ASI _PA_A y ActaCEjecImplSGSI PA_B

 Aprobación de Matriz RACI por el Grupo de Gobierno de Seguridad de la Información de
UNICOM
 Consulta con Grupo de Gobierno (GG de UNICOM) sobre responsabilidades no
consideradas dentro de las Actas constitutivas
12. Análisis de Riesgos (6 y 7)
 Específicamente para el Análisis de Riesgos, considerar las actividades:

- Medidas para abordar los riesgos y las oportunidades (6), y
- Evaluación de riesgos de Seguridad de la Información (7)
 La Gestión de Riesgos incluye las actividades:
- Medidas para abordar los riesgos y las oportunidades (6)
- Evaluación de riesgos de Seguridad de la Información (7)
- Tratamiento de los riesgos de Seguridad de la Información (8)
- Objetivos del SGSI y planes para lograrlos (9)
 Desarrollar la identificación, análisis y valoración (evaluación) de riesgos según la
metodología y formatos previamente aprobados
 Establecer escala de valoración de riesgos
 Acordar los criterios de aceptación de riesgos, custodios de activos y dueños de riesgo
 Desarrollar el Procedimiento de Análisis de Riesgos y Procedimiento de manejo a
Incidentes
 Entregable: Informe de Análisis de Riesgos y Matriz de Análisis de Riesgos (establecida por
la UTP y, modificada y aprobada por el Grupo de Gobierno de Seguridad de la UR)

SECCIÓN TIC
12.2 Requisitos
 Matriz de Análisis de Riesgos (establecida por la UTP modificada y aprobada por el Grupo
de Gobierno de Seguridad de la Información)
 Documentación relacionada al proceso definido en el Alcance del SGSI
 Identificación de contenedores de al menos un activo de información crítico el cual estará
sujeto a la evaluación de riesgos. (Consultas técnicas durante todo el proceso de evaluación
de riesgos) a los dueños de los procesos y a los operadores de los sistemas donde se
almacene, procese o transmita el activo de información
 Acceso a información en formato digital e impreso de manera oportuna sobre los sistemas,
procesos o cualquier documento relacionado con los contenedores identificados
 Identificación de vulnerabilidades: Pruebas de análisis de vulnerabilidades y pruebas de
penetración a los contenedores previamente identificados
 Informe o entregable de Analisis_Riesgos_(documento_trabajo)_CSB revisado y aprobado
por el Grupo de Gobierno de Seguridad de la Información
13. Tratamiento de los riesgos de Seguridad de la Información (8)
 Desarrollar un Plan de Tratamiento de Riesgos (PTR) con las actividades concisas y concretas
de mitigación de riesgos por cada riesgo determinado
 Desarrollar la Declaración de Aplicabilidad (SoA, Statement of Applicability) de acuerdo al
Anexo A del estándar ISO/IEC 27001:2013, exponiendo brevemente la manera en la que son
implementados los controles a través de referencias a políticas (reglas o directrices),
procedimientos o evidencias físicas.
 Entregables: SoA y PTR
13.2 Requisitos
 Obtención del ISO/IEC 27001:2013

 Documento Analisis_Riesgos_(documento_trabajo)_CSB revisado y aprobado por el Grupo
de Gobierno de Seguridad de la Información
 Acceso a información en formato digital e impreso de manera oportuna sobre los sistemas,
procesos o cualquier documento relacionado con los controles considerados

SECCIÓN TIC
 Consultas técnicas durante todo el proceso de elaboración del SoA a los dueños de los
procesos y/o a los operadores de los sistemas que se consideren como control de seguridad
de la información.
 Por cada solución tecnológica se debe tener documentación que respalde su función como
control de seguridad. En caso de no tenerlo, el responsable de tal tecnología será el
encargado de elaborarla (reglas de uso de servicio, procedimientos, manuales, etc.)
 Plan de desarrollo de las actividades del PTR por parte de los responsables de seguir las
actividades de estrategias de mitigación de los riesgos identificados. (Incluyendo la
ejecución de las actividades y su seguimiento)
 SoA y PTR revisado y aprobado por el Grupo de Gobierno de Seguridad de la Información de
la UR
14. Objetivos del SGSI y planes para lograrlos (9)
 Establecer Objetivos del SGSI que sean consistentes con la metodología SMART (Específicos,
Medibles, Alcanzables, Orientados a resultados y Temporales) e incluirlos en la Política de
Seguridad (Hacer esta actividad en paralelo con la actividad Política de Seguridad de la
Información (4))
 Alinear los objetivos con las “Atribuciones del Grupo” dentro del Acta Constitutiva del Grupo
de Gobierno de Seguridad de la Información (ActaConstGpo_ASI _PA_A) y con la misión,
visión y objetivos del INE.
 Elaborar un plan, métricas e indicadores para alcanzar los objetivos del SGSI. (Desarrollarlo
en paralelo con la actividad Recursos (10))
14.2 Requisitos
 Consulta con el Grupo de Seguridad de la Información de la UR sobre las características de

las atribuciones del grupo y de la viabilidad de los objetivos específicos del SGSI.
 Metodología de planeación de actividades para el cumplimiento de objetivos (PMBok, PMI)
 Documentación referente a métricas e indicadores de procesos, específicamente con ASI.
(Desarrollo de métricas de objetivos)
15. Recursos (10)

SECCIÓN TIC
 Estimar los recursos necesarios (patrocinio) para:

o Controles de seguridad para mitigación de riesgos
o Auditorías, acciones correcticas y revisiones gerenciales
o Actividades que requiera el PTR y los planes de cumplimiento de objetivos del SGSI
 Desarrollar esta actividad en paralelo con la actividad “Objetivos del SGSI y los planes para
lograrlo” (9)
15.2 Requisitos
 Analistas de tecnología y otros puestos para estudio de mercado en caso de soluciones

tecnológicas para establecer controles de seguridad o cualquier otra medida para el
cumplimiento de objetivos de SGSI
 Aprobación de recursos por parte del Grupo de Gobierno de Seguridad de la Información
de la UR
 Es indispensable la obtención de recursos para las soluciones tecnológicas. Sin embargo, el
ciclo del SGSI puede seguir en materia de desarrollo documental.
16. Competencias (11)
 Determinar las competencias necesarias del personal que puedan afectar/beneficiar la

Seguridad de la Información.
 Asegurar que estas personas son competentes sobre la base de una apropiada educación,
capacitación o experiencia.
 Tomar acciones para adquirir las competencias necesarias y evaluar la efectividad de las
acciones tomadas (donde sea aplicable).

SECCIÓN TIC
16.2 Requisitos
 Evaluación de las competencias de aspirantes que estarán involucrados en el SGSI (antes de

la contratación del personal):
- Conocimiento (exámenes teóricos)
- Habilidades (exámenes prácticos)
- Experiencia (entrevistas y casos de estudio)
Las evaluaciones serán desarrolladas por el DSe
 Disponibilidad del personal para la realización de la evaluación de las competencias

 Apoyo de áreas para Capacitación del personal, reasignación de funciones
17. Concienciación (12)
 Dar a conocer a todos los integrantes del Instituto:

- Política de Seguridad (En materia de Contenido)
- Contribución a la efectividad del SGSI, incluyendo beneficios de un mejor
desempeño de Seguridad de la Información
- Las implicaciones de no estar en conformidad con los requerimientos del SGSI
17.2 Requisitos
 Organización con personas de Comunicación (Subdirección de Medios Educativos en

Informática)
 Disponibilidad de personal involucrado en el SGSI para realización de boletines informáticos
(boletín de TIC).
 Apoyo de personal que maneja la lista usuarios@ine.mx (Entérate).

SECCIÓN TIC
18. Comunicación (13)
 Determinar la necesidad de comunicaciones internas y externas sobre asuntos del SGSI:

o Qué se comunicará
o Cuándo se comunicará
o A quién se comunicará
o Quién lo comunicará
o Proceso para efectuar la comunicación
 Desarrollar plan de comunicaciones donde se especifique lo anterior
 Entregable: Plan de Comunicación
18.2 Requisitos
 Alineación de necesidades de comunicación del SGSI con plan de comunicación existente o

creación de uno propio.
 Consideración del apartado Descripción de la operación del Grupo en las actas constitutivas
de los grupos de trabajo de:
- Implementación del SGSI y operación de los controles de la UR
- Diseño y planeación del SGSI - UR
 Consideración del apartado Reglas de operación y funcionamiento en:
Acta Constitutiva del Grupo de Gobierno de Seguridad de la Información (GGASI) sobre la
comunicación y dinámica de reuniones.
19. Información documentada (14)
 Definir una sintaxis de identificación, descripción y los criterios de revisión y aprobación de

su idoneidad y adecuación
 Asegurar su disponibilidad, confidencialidad e integridad con las restricciones necesarias en
los repositorios del Instituto (distribución controlada)

SECCIÓN TIC
 Asegurar el control de cambios, retención y disposición de los documentos en los

repositorios
 Hacer esta actividad en paralelo con todas las actividades de implementación del SGSI (1-
22)
19.2 Requisitos
 Alinear la sintaxis de etiquetado a los estatutos considerados dentro de la Guía Técnica para
la Homologación de Documentos Normativos del Instituto Federal Electoral (Considerar
documento actualizado)
 Conocimiento de la distribución controlada y de responsables del repositorio de
documentos (https://colabora.ife.org.mx/ )
 Reunión con la Jefa de Departamento de Procesos para establecer una relación de
documentos obligatorios por el procedimiento ASI del SIGETIC y las mejores prácticas de
SGSI (ISO/IEC 27001:2013)
20. Planeación y control operativo (15)
 Implementar y controlar los procesos del SGSI, los controles de seguridad, el PTR y los planes
para cumplimiento de objetivos de Seguridad de la Información
 Mantener la documentación necesaria para tener la confianza de que los procesos se están
llevando a cabo conforme se planearon
 Determinar y controlar los procesos subcontratados y/o tercerizados
 En caso de no haberlo, determinar un procedimiento de control de cambios
 Entregable: Procedimiento de control de cambios
20.2 Requisitos
 Identificación de procedimiento de control de cambios existentes y alineación con las

necesidades del SGSI
 Revisión con todos los responsables de los controles de seguridad la documentación
relacionada a la tecnología
 Revisar con los dueños de riesgos las actividades de gestión del riesgo, actividades
implementadas y la documentación relacionada
SECCIÓN TIC
21. Evaluación y tratamiento de los Riesgos de Seguridad de la Información (16 y 17)
 Llevar a cabo evaluaciones de riesgos de Seguridad de la Información a intervalos planeados

o cuando se genere un cambio significativo
 Retener información documentada de los resultados del tratamiento de riesgos de
 Hacer esta actividad en paralelo con Planeación y control operativo (15), Política de
Seguridad de la Información (4) y con todas las relacionadas a la etapa de Planeación (6,7,8
y 9)
21.2 Requisitos
 Establecer en la Política de Seguridad la periodicidad y condiciones del Análisis de Riesgos
22. Monitoreo, medición, análisis y evaluación (18)
 Determinar lo que necesita ser monitoreado y medido incluyendo procesos y controles de

 Definir los métodos para monitorear, medir, analizar y evaluar, según corresponda, para
garantizar resultados válidos
 Establecer un Programa de Métricas de Seguridad de la Información:
- Desarrollo de métricas y mediciones
- Operación de la medición
- Análisis de datos y reporte de los resultados de las métricas
- Evaluación y mejora del Programa de Métricas de Seguridad de la Información
SECCIÓN TIC
- Hacer esta actividad en paralelo con la etapa de Operación del SGSI (Actividades
15,16 y 17)
 Entregable: Informe de métricas
22.2 Requisitos
 Conocimiento y alineación de programa de indicadores existente o creación de uno con las

necesidades del SGSI
 Los dueños de riesgo, custodios de activos y los responsables de controles o procesos de
seguridad de la información deberán recabar información para la medición de efectividad y
cumplimiento de objetivos según sea el caso, posteriormente dichos resultados deberán ser
presentados en un informe de métricas
23. Auditorías internas (19)
 Planear, establecer, implementar y mantener un programa de Auditoría, incluyendo la

frecuencia, responsables, requerimientos de planeación y reporte.
 Entregable: Programa de Auditoría Interna y Resultados de auditorías internas (Informe
y Acciones Correctivas)
23.2 Requisitos
 Debe existir la figura de Auditor Interno cumpliendo con el principio de Independencia de

auditoría y el conocimiento del SGSI y del proceso ASI
 El programa de Auditoría debe considerar la importancia de los procesos en cuestión y los
resultados de auditorías previas
 Equipo de auditoría:
- Auditor (interno) líder
- Auditor(es) adjunto(s)
- Observadores
- Expertos técnicos
SECCIÓN TIC
 Disponibilidad de tiempo de la persona Guía de auditoría (Jefa del Departamento de

Seguridad Informática) durante las auditorías planeadas en el programa
 Cooperación y participación de todas las partes interesadas durante las actividades de
auditoría
24. Revisión Gerencial (20)
 Realizar una revisión gerencial cada fin de ciclo del SGSI, la cual evalúe los indicadores de
efectividad por parte del Grupo de Gobierno de Seguridad de la Información de la UR en
intervalos planeados
 La Revisión Gerencial debe generar (si aplica):
- Definición de actividades para mejorar la efectividad del SGSI
- Actualización de la evaluación de riesgos y Plan de Tratamiento de Riesgos
- Modificación en controles debido a cambios en criterios de aceptación de riesgos,
requisitos regulatorios, legales, contractuales o de seguridad
- Necesidad de recursos para la operación
- Mejoras en los indicadores de efectividad
24.2 Requisitos
 Junta con el Grupo de Gobierno de Seguridad de la Información de la UR donde se traten

los siguientes puntos:
- Las No conformidades y Acciones Correctivas (21)
- Seguimiento y medición de resultados
- Resultados de las auditorías
- Cumplimiento de los Objetivos de Seguridad de la Información
- Retroalimentación de las partes interesadas
- Resultados de la evaluación del riesgo y el estado del Plan de Tratamiento de
Riesgos
- Oportunidades para la mejora continua
- Nuevas amenazas
- Cambios
 Documentación revisada y aprobada de:
- Resultados de Análisis de Riesgos
SECCIÓN TIC
- Resultado del Tratamiento de Riesgos (PTR)

- Informe de Métricas
- Informes de Auditorías
- Reporte de No Conformidades y Acciones correctivas
- SoA (Controles de Seguridad de la Información implementados)
25. No conformidades y Acciones correctivas (21)
 Como resultado de Auditoría, cuando ocurra una No Conformidad, el Instituto debe:

- Tomar medidas para controlar y corregir la No Conformidad
- Hacer frente a las consecuencias
- Adoptar medidas para mitigar las causas de la No Conformidad
- Hacer cambios al SGSI (si es necesario)
 Las Acciones Correctivas deben ser apropiadas a los efectos de las No Conformidades
encontradas.
 Entregable: Plan de Acciones Correctivas
25.2 Requisitos
 Grupo de Seguridad de la Información de la UR donde se traten los siguientes puntos:

- Las No conformidades y Acciones Correctivas
- Revisión de la efectividad de cualquier Acción Correctiva
26. Mejora continua (22)
 Mejorar continuamente la idoneidad, adecuación y efectividad del SGSI empleando

elementos del Sistema como son:
SECCIÓN TIC
- Uso de la Política de Seguridad

- Objetivos de seguridad
- Resultados de Auditorías internas
- Análisis de eventos monitoreados
- Revisión Gerencial
 Implementar las mejoras identificadas en el SGSI
 Realizar las actividades correctivas y revisar las No Conformidades
 Comunicar las acciones y mejoras a todas las partes involucradas con el nivel de detalle
apropiado a las circunstancias.
 Verificar que las mejoras logren los objetivos del SIGETIC
26.2 Requisitos
 Disponibilidad y apoyo del personal involucrado en las actividades del SGSI para el
cumplimiento de las actividades Correctivas.
 Minuta de la reunión de Revisión Gerencial para dar seguimiento a los acuerdos y
compromisos.

SECCIÓN TIC
Anexo
27. Consideraciones de auditoría
De acuerdo con el Acta Administrativa Circunstanciada de Auditoría número 001/CP2014 del día
21 de julio 2015 y el Acta número 004/CP2014 del día 17 de agosto de 2015, se determinó lo
siguiente:
Dirección Ejecutiva de Registro Federal de Electores (DERFE):
 No se ha concluido con la implementación del Sistema de Gestión de Seguridad de la

Información (SGSI).
 Durante 2014 no se realizó un Análisis de Riesgos, por lo que no se tienen identificados,
clasificados y priorizados los que pueden presentarse y causar un impacto sobre los
procesos y los servicios de la institución.
 No se encuentra actualizado el procedimiento para la gestión de incidentes de seguridad
que describa su registro, clasificación, manejo, gestión y nivel de escalamiento.
 Se carece de logs o bitácoras con el registro de las actividades que se realizan en la base de
datos del SIIRFE (Sistema Integral de Información del Registro Federal de Electores) y no se
tienen encendidas las opciones de auditoría en ésta.
Dirección Ejecutiva de Prerrogativas y Partidos Políticos (DEPPP):
 No se ha concluido con la implementación del Sistema de Gestión de Seguridad de la

Información.
 Los documentos proporcionados como Planes de Recuperación de Desastres (DRP) se
encuentran incompletos y conforme el reciente cambio de tecnología que el INE llevó a
cabo, éstos aún no han sido actualizados.
 Los CEVEM no cuentan con equipos para detectar el nivel de humedad, sólo se realiza el de
temperatura a partir de los sensores de los servidores.
Centro de Cómputo y Resguardo Documental (CECYRD):
 No se tienen actualizados e implementados procedimientos de DRP y BCP (Business

Continuity Plan) para el CECYRD, ya que únicamente se tienen procedimientos de respaldos
y restauraciones y no del todo el Centro, lo cual podría impactar en la disponibilidad,
integridad y confidencialidad de la información que reside en este sitio.
 Se carece de documentación soporte respecto a pruebas periódicas sobre los respaldos de
información a fin de garantizar su disponibilidad e integridad.
SECCIÓN TIC
 Se carecen de Matrices de Análisis de Riesgos, por lo que no se tienen identificados,

clasificados y priorizados los riesgos que puedan presentarse y causar un impacto sobre los
procesos y los servicios de la institución.
 Durante la visita realizada, se identificó que las cámaras de vigilancia en el área de
Digitalización y Resguardo Documental no se encuentran en operación debido a fallas en el
equipo.
 Se carece de sensores para detectar los niveles de humedad y temperatura de forma
automática, ya que se realiza de manera manual por personal de instituto.
 No se ha dado mantenimiento a una de las dos unidades de alimentación de energía
ininterrumpida UPS, por lo que se encuentra en desuso.
Por lo anterior, se concluye que existen deficiencias en la gestión de la seguridad de la

información e insuficiencias e incumplimiento de controles, por lo que podría presentarse algún
riesgo que comprometa la disponibilidad, confidencialidad e integridad de la información, en
inconformidad de lo señalado en el Manual de Procedimiento del Sistema de Gestión de
Tecnologías de la Información y Comunicaciones (SIGETIC) en sus procesos 3.2 Seguridad y 3.7
Operación.
Aspectos sujetos a revisión:
 Análisis de Riesgos
 Registros de Auditoría
 Continuidad de la Operación.
 Seguridad Física y Respaldos
Pendientes a realizar en UNICOM:
 Seguir las actividades del SGSI poniendo especial atención a:

- Análisis de Riesgos (6 y 7)
- Elaboración del Procedimiento de manejo de incidentes
 Crear o actualizar el DRP (Disaster Recovery Plan) y BCP (Business Continuity Plan) conforme
al reciente cambio de tecnología
 Revisar la correcta obtención de bitácoras de las actividades que se realizan en las bases de
datos (Nombre de la BD crítica de UNICOM) y tener activas las opciones de auditoría
 Realizar pruebas y mantener documentación de los Respaldos de Información
 Implementar en servidores equipos para detectar el nivel de humedad y de temperatura
automáticos
 Asegurar el correcto funcionamiento y operación de las cámaras de operación
 Dar constante mantenimiento a las unidades de alimentación ininterrumpida (UPS)

Plan Implementación SGSI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plan Implementación SGSI

Cargado por

Copyright:

Formatos disponibles

SECCIÓN TIC

SERIE SEGURIDAD (SEG)

Versión: v1.0 Página 1 de 32

Ing. Diego Valverde

Versión: v1.0 Página 2 de 32

1. Descripción general del procedimiento ...................................................................................... 6

15. Recursos (10) ......................................................................................................................... 21

25.2 Requisitos .......................................................................................................................... 29

Versión: v1.0 Página 5 de 32

La Seguridad de la Información se compone de procesos, recursos, metodologías, normas, técnicas,

La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) trae consigo

1. Concienciar en la importancia y ventajas que conlleva implementar un SGSI alineado al

2. Definir la estrategia para establecer, implementar, mantener y mejorar continuamente un

3. Especificar los pasos necesarios para la identificación, análisis y tratamiento de Riesgos de

Los beneficios de un SGSI se pueden clasificar en:

 Generar indicadores precisos para la determinación de incidentes más comunes

o Asegurar la integridad, confidencialidad, disponibilidad de la información

Versión: v1.0 Página 7 de 32

o Contar con mecanismos de seguridad que permitan únicamente el acceso a

 La información que se genera y registra en su ámbito de competencia, es necesaria,

 Definir soluciones más rentables en términos de riesgo

 Considerar controles tecnológicos, normativos y de cultura organizacional

Versión: v1.0 Página 8 de 32

a nivel institucional” y “Establecer y aplicar políticas y estándares en materia de seguridad

El SGSI es un sistema cíclico enfocado en la mejora continua para el proceso de Gestión de la

Versión: v1.0 Página 9 de 32

5. Etapas generales del procedimiento

Programa de implementación de un SGSI

Medidas para abordar los Recursos

Versión: v1.0 Página 10 de 32

Programa de implementación de un SGSI

Evaluación de los Riesgos de

Tratamiento de los Riesgos

Versión: v1.0 Página 11 de 32

Programa de implementación de un SGSI

Monitoreo, medición, análisis

Versión: v1.0 Página 12 de 32

Programa de implementación de un SGSI

Versión: v1.0 Página 13 de 32

NOTA: El calendario se desarrollará en el programa Project.

1 Entendimiento de la organización y su contexto

Entendimiento de las necesidades y las expectativas de

4 Política de Seguridad de la Información

6 Medidas para abordar los riesgos y las oportunidades

7 Evaluación de riesgos de Seguridad de la Información

Versión: v1.0 Página 14 de 32

15 Planeación y control operativo

16 Evaluación de los Riesgos de Seguridad de la Información

18 Monitoreo, medición, análisis y evaluación

21 No Conformidades y Acciones Correctivas

Versión: v1.0 Página 15 de 32

7. Entendimiento de la organización y su contexto (1)

 Identificar y conocer la misión, visión y objetivos del Instituto

 Acceso a información en formato digital e impreso de manera oportuna

8. Entendimiento de las necesidades y expectativas de las partes interesadas (2)

 Identificar las partes interesadas internas, sus requerimientos y sus necesidades

Versión: v1.0 Página 16 de 32

 Consulta con participantes del Grupo de Gobierno de Seguridad de la Información (GGASI

9. Determinación del Alcance del SGSI (3)

 Junta con Grupo de Gobierno de Seguridad de la Información de UNICOM para definir el

Versión: v1.0 Página 17 de 32

10. Política de Seguridad de la Información (4)

 Revisión y modificación de la Política de Seguridad de la UNICOM

11. Funciones, responsabilidades y autoridad de la organización (5)