Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PLAN DE IMPLEMENTACIÓN
DE UN SGSI
CONTROL DE VERSIONES
RESPONSABLE DE FECHA DE
COMENTARIO / FIRMA DEL
VERSIÓN ACTUALIZACIÓN / ACTUALIZACIÓN /
DESCRIPCIÓN RESPONSABLE
CREACIÓN / REVISIÓN CREACIÓN / REVISIÓN
CONTENIDO
1. Descripción general
Actualmente, la referencia más utilizada para establecer, implementar, operar, mantener y mejorar
un Sistema de Seguridad de la Información (SGSI) así como para la selección de controles de
seguridad es el estándar ISO/IEC 27001:2013.
2. Objetivos
3. Beneficios
- Operativos
- Financieros
- Cumplimiento
Operativos
Identificar brechas de control y áreas de mejora, así como definir acciones de remediación
oportunas y efectivas
Definir metas y lapsos de cumplimiento para éstas
Versión: v1.0 Página 6 de 32
SECCIÓN TIC
SERIE SEGURIDAD (SEG)
*Información y Comunicación:
Financieros
Cumplimiento
4. Estrategia de Implementación
•Mejora •Contexto de la
organización
•Liderazgo
•Planeación
•Soporte
Actuar Planear
Verificar Hacer
•Evaluación de •Operación
desempeño
PLANEAR
Contexto de la organización Liderazgo Planeación Soporte
6 10
HACER
Operación
15
Planeación y control
operativo
16
17
VERIFICAR
Evaluación de Desempeño
18
19
Auditorías Internas
20
Revisión Gerencial
ACTUAR
Mejora
21
No Conformidades y Acciones
Correctivas
22
Mejora continua
6. Calendario de actividades
El calendario de actividades que se propone para el desarrollo de las líneas de trabajo es el siguiente:
Fecha de
Actividad Semana
inicio
1 2 3 4 5
Planear
Contexto de la organización
Soporte
10 Recursos
11 Competencias
12 Concienciación
13 Comunicación
14 Información documentada
Hacer
Operación
Evaluación de Desempeño
19 Auditorías internas
20 Revisión de la Gerencia
Actuar
22 Mejora Continua
Duración de la actividad
Menos de ocho horas
Más de ocho y hasta veinticuatro horas
Más de veinticuatro y hasta cuarenta horas
Más de cuarenta horas
7.1 Consideraciones
7.2 Requisitos
8.1 Consideraciones
8.2 Requisitos
9.1 Consideraciones
Determinar las actividades, infraestructura o activos esenciales de sistemas críticos del INE
que incluirá el SGSI.
Identificar servicios críticos con base al portafolio de servicios
Identificar los servicios tercerizados y las organizaciones que prestan dichos servicios al INE
Definir las dependencias e interfaces entre las actividades desempeñadas por el INE y
aquellas que están desempeñadas por otras organizaciones
Definir el alcance que incluya:
- Roles y responsabilidades
- Enunciado del Alcance del SGSI donde se mencione el/los proceso(s) crítico(s) que
abarcará el Sistema de Gestión
- Descripción del proceso o procesos críticos seleccionados
- Soluciones tecnológicas utilizadas
- Áreas involucradas en el proceso
- Ubicaciones físicas
- Exclusiones
- Límites (restricciones)
Entregable: Alcance del SGSI
9.2 Requisitos
10.1 Consideraciones
Redactar un documento que describa los requisitos y reglas específicas que deben cumplirse
en materia de Seguridad de la Información
Definir la metodología de Análisis de Riesgos
Definir en el documento los requisitos legales, regulatorios y contractuales del Instituto
previamente identificados
Realizar las actividades Política de Seguridad de la Información (4) y Funciones,
responsabilidades y autoridad de la organización (5) en paralelo para determinar los roles y
responsabilidades, e incluirlos en el documento de Política
Establecer los Objetivos del SGSI que sean consistentes con la metodología SMART
(Específicos, Medibles, Alcanzables, Orientados a resultados y Temporales) e incluirlos en la
Política de Seguridad. (Realizarse en paralelo con la actividad (9) Objetivos del SGSI y planes
para lograrlos)
Entregable: Política de Seguridad (Directriz Rectora)
10.2 Requisitos
11.1 Consideraciones
Establecer roles y responsabilidades que tengan que ver directamente con el SGSI que se
está implementando
Versión: v1.0 Página 18 de 32
SECCIÓN TIC
SERIE SEGURIDAD (SEG)
Realizar la Matriz RACI de los procesos identificados en el Alcance del SGSI y el rol dentro
del proceso de Administración de Seguridad de la Información (ASI) del SIGETIC
Realizar la actividad 4 y 5 en paralelo para determinar los roles y responsabilidades e
incluirlos en la matriz RACI
Entregable: Matriz RACI
11.2 Requisitos
12.1 Consideraciones
12.2 Requisitos
Matriz de Análisis de Riesgos (establecida por la UTP modificada y aprobada por el Grupo
de Gobierno de Seguridad de la Información)
Documentación relacionada al proceso definido en el Alcance del SGSI
Identificación de contenedores de al menos un activo de información crítico el cual estará
sujeto a la evaluación de riesgos. (Consultas técnicas durante todo el proceso de evaluación
de riesgos) a los dueños de los procesos y a los operadores de los sistemas donde se
almacene, procese o transmita el activo de información
Acceso a información en formato digital e impreso de manera oportuna sobre los sistemas,
procesos o cualquier documento relacionado con los contenedores identificados
Identificación de vulnerabilidades: Pruebas de análisis de vulnerabilidades y pruebas de
penetración a los contenedores previamente identificados
Informe o entregable de Analisis_Riesgos_(documento_trabajo)_CSB revisado y aprobado
por el Grupo de Gobierno de Seguridad de la Información
13.1 Consideraciones
Desarrollar un Plan de Tratamiento de Riesgos (PTR) con las actividades concisas y concretas
de mitigación de riesgos por cada riesgo determinado
Desarrollar la Declaración de Aplicabilidad (SoA, Statement of Applicability) de acuerdo al
Anexo A del estándar ISO/IEC 27001:2013, exponiendo brevemente la manera en la que son
implementados los controles a través de referencias a políticas (reglas o directrices),
procedimientos o evidencias físicas.
Entregables: SoA y PTR
13.2 Requisitos
Consultas técnicas durante todo el proceso de elaboración del SoA a los dueños de los
procesos y/o a los operadores de los sistemas que se consideren como control de seguridad
de la información.
Por cada solución tecnológica se debe tener documentación que respalde su función como
control de seguridad. En caso de no tenerlo, el responsable de tal tecnología será el
encargado de elaborarla (reglas de uso de servicio, procedimientos, manuales, etc.)
Plan de desarrollo de las actividades del PTR por parte de los responsables de seguir las
actividades de estrategias de mitigación de los riesgos identificados. (Incluyendo la
ejecución de las actividades y su seguimiento)
SoA y PTR revisado y aprobado por el Grupo de Gobierno de Seguridad de la Información de
la UR
14.1 Consideraciones
Establecer Objetivos del SGSI que sean consistentes con la metodología SMART (Específicos,
Medibles, Alcanzables, Orientados a resultados y Temporales) e incluirlos en la Política de
Seguridad (Hacer esta actividad en paralelo con la actividad Política de Seguridad de la
Información (4))
Alinear los objetivos con las “Atribuciones del Grupo” dentro del Acta Constitutiva del Grupo
de Gobierno de Seguridad de la Información (ActaConstGpo_ASI _PA_A) y con la misión,
visión y objetivos del INE.
Elaborar un plan, métricas e indicadores para alcanzar los objetivos del SGSI. (Desarrollarlo
en paralelo con la actividad Recursos (10))
14.2 Requisitos
15.1 Consideraciones
15.2 Requisitos
16.1 Consideraciones
16.2 Requisitos
17.1 Consideraciones
17.2 Requisitos
18.1 Consideraciones
18.2 Requisitos
19.1 Consideraciones
19.2 Requisitos
Alinear la sintaxis de etiquetado a los estatutos considerados dentro de la Guía Técnica para
la Homologación de Documentos Normativos del Instituto Federal Electoral (Considerar
documento actualizado)
Conocimiento de la distribución controlada y de responsables del repositorio de
documentos (https://colabora.ife.org.mx/ )
Reunión con la Jefa de Departamento de Procesos para establecer una relación de
documentos obligatorios por el procedimiento ASI del SIGETIC y las mejores prácticas de
SGSI (ISO/IEC 27001:2013)
20.1 Consideraciones
Implementar y controlar los procesos del SGSI, los controles de seguridad, el PTR y los planes
para cumplimiento de objetivos de Seguridad de la Información
Mantener la documentación necesaria para tener la confianza de que los procesos se están
llevando a cabo conforme se planearon
Determinar y controlar los procesos subcontratados y/o tercerizados
En caso de no haberlo, determinar un procedimiento de control de cambios
Entregable: Procedimiento de control de cambios
20.2 Requisitos
21.1 Consideraciones
21.2 Requisitos
22.1 Consideraciones
- Hacer esta actividad en paralelo con la etapa de Operación del SGSI (Actividades
15,16 y 17)
Entregable: Informe de métricas
22.2 Requisitos
23.1 Consideraciones
23.2 Requisitos
24.1 Consideraciones
Realizar una revisión gerencial cada fin de ciclo del SGSI, la cual evalúe los indicadores de
efectividad por parte del Grupo de Gobierno de Seguridad de la Información de la UR en
intervalos planeados
La Revisión Gerencial debe generar (si aplica):
- Definición de actividades para mejorar la efectividad del SGSI
- Actualización de la evaluación de riesgos y Plan de Tratamiento de Riesgos
- Modificación en controles debido a cambios en criterios de aceptación de riesgos,
requisitos regulatorios, legales, contractuales o de seguridad
- Necesidad de recursos para la operación
- Mejoras en los indicadores de efectividad
24.2 Requisitos
25.1 Consideraciones
25.2 Requisitos
26.1 Consideraciones
26.2 Requisitos
Disponibilidad y apoyo del personal involucrado en las actividades del SGSI para el
cumplimiento de las actividades Correctivas.
Minuta de la reunión de Revisión Gerencial para dar seguimiento a los acuerdos y
compromisos.
Anexo
De acuerdo con el Acta Administrativa Circunstanciada de Auditoría número 001/CP2014 del día
21 de julio 2015 y el Acta número 004/CP2014 del día 17 de agosto de 2015, se determinó lo
siguiente:
Análisis de Riesgos
Registros de Auditoría
Continuidad de la Operación.
Seguridad Física y Respaldos