Implementación del SGSI

Oficina Nacional de Gobierno Electrónico

e Informática - ONGEI

ONGEI2016
Ing. CIP Miguel Del Carpio Wong
Oficina Nacional de Gobierno Electrónico e Informática
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

• “Una Cadena es tan fuerte como el más débil de sus

eslabones” ***
*** Adoptado de un escrito del siglo XVIII por Thomas Reid titulado: “Ensayos en los Poderes
Intelectuales del Hombre y John C. Maxwell, autor de “LAS 17 LEYES INCUESTIONABLES
DEL TRABAJO EN EQUIPO” (2001) la menciona como la 5ta ley, La Ley de la cadena: “La
fortaleza del equipo se ve afectada por el eslabón más débil”
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

• Parte 1 : NORMATIVA

• Parte 2 : IMPLEMENTACIÓN
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

NORMATIVA
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Norma Anterior

• RM N.° 129-2012-PCM (Mayo 2012).

✔
Aprueba uso obligatorio NTP-ISO/IEC 27001:2008 (Req. y Anexo A)
“NTP-ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de
Gestión de Seguridad del a Información. Requisitos”.

✔
¿Quiénes? 71 Entidades. ¿Y las demás? Sólo Cronograma Fase 1.

✔
Controles deben ser implementados de acuerdo a la NTP-ISO/IEC
17799:2007 (Agosto 2007 – RM N.° 244-2007-PCM)
“NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la
gestión de la Seguridad de la Información. 2da. Edición”

✔
Deja sin efecto la RM N.° 197-2011-PCM
(Ponía fecha límite [31Dic2012] para
implementar NTP-ISO/IEC 17799:2007)
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Norma VIGENTE

• RM N.° 004-2016-PCM (Enero 2016).

✔
Aprueba uso obligatorio NTP-ISO/IEC 27001:2014.
“NTP-ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de
Gestión de Seguridad del a Información. Requisitos. 2Da Edición”.

✔
¿Quiénes? Todas las Entidades Integrantes del Sistema Nacional de
Informática
✔
Presentar Cronograma: 60 días. ¿Lo Han Presentado?
✔
Implementación y/o Adecuación : 2 años. ¿Lo están trabajando?
Definir bien el Alcance en base a los recursos.
Actas, documentos, notas,...
✔
Pueden Certificar si lo desean con recursos propios. ¿Es bueno?
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Norma VIGENTE

• RM N.° 004-2016-PCM (Enero 2016).

✔
El Comité de Gestión de Seguridad de la Información
✔
Titular de Entidad,
✔
Administración,
✔
Planificación,
✔
Informática,
✔
Legal,
✔
Oficial de Seguridad de la Información.

✔
Deja sin efecto la RM N.° 129-2012-PCM.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

IMPLEMENTACIÓN
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

NTP-ISO/IEC 27001:2014
• Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN.
• Capítulo 05 : LIDERAZGO.
• Capítulo 06 : PLANIFICACIÓN.
• Capítulo 07 : SOPORTE.
• Capítulo 08 : OPERACIÓN.
• Capítulo 09 : EVALUACIÓN DE DESEMPEÑO.
• Capítulo 10 : MEJORAS.

• Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE

REFERENCIA.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN.

• Es comprender a la Organización y su contexto, tanto en los aspectos

internos como externos.

• CONOCER A LA ENTIDAD: Misión, Visión, Matriz FODA y las

Estrategias (Sec. 4.1). (Un Auditor leerá el documento y se enterá de la
Entidad).

• Los objetivos de la Seguridad de la Información deben alinearse con los

Objetivos Estratégicos.

• Es comprender las necesidad y expectativas de las partes interesadas:

(Plan-Do-Check-Act) al SGSI. Es parte de la mejora continua (Sec. 4.4).

• Veámos un ejemplo: Determinar el ALCANCE (Sec. 4.3).

 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN.

ALCANCE
Requerimiento de la
Sección Estado Evidencia: ¿Cómo lo cumple?
ISO/IEC 27001:2013

4.3 Determinar el alcance del

sistema de gestión de
El Sistema de Gestión de Seguridad de la Información
aplica a los siguientes procesos:
seguridad de la información. (Ejemplos reales)
MIDIS
La organización debe • Los sistemas de información que sustentan los procesos
determinar los límites y la de negocio para la provisión del servicio de Data Center.
aplicabilidad del sistema de
gestión de seguridad de la OSIPTEL
CONFORME
información para establecer su • El sistema de gestión de seguridad de la información
alcance. para la Regulación del Mercado de Telecomunicaciones
mediante los procesos de emisión de normas,
regulación, solución de controversias, solución de
reclamos de usuarios, supervisión, fiscalización y
sanción. Atención y orientación a usuarios desde sus
oficinas de San Borja y San Isidro en Lima, según la
declaración de aplicabilidad vigente.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN.

ALCANCE (si se desea certificar, también tener el alcance en inglés, la auditora lo pedirá.)
¿Qué hacer?
✔ Definir bien el alcance (procesos o sub procesos).
✔ Puede ser cambiado siempre y cuando existan las actas de reunión del
comité y por qué se cambió.
¿Cómo?
✔ Preguntarse:
✔ ¿Por qué implementas el SGSI?
✔ ¿Qué área debe ser cubierta por el SGSI?
✔ NO definir un Alcance MUY AMPLIO, pues tu análisis de riesgos
será mayor y puedes demorar mucho: presupuesto, tiempo,...
✔ Se debe comprender los problemas externos e internos de la Entidad.
Se recomienda hacer un DIAGRAMA DE CONTEXTO DE LA
ENTIDAD GUBERNAMENTAL.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 05 : LIDERAZGO.

• Sabemos que el Comité de Seguridad de la Información debe estar formado

por el Titular de la Entidad.

• Si se tiene al Titular de la Entidad comprometido, entonces la tarea de

implementar un SGSI y CERTIFICAR será mucho más fácil.

• El Titular de la Entidad, debe mostrar liderazgo y compromiso respecto al

SGSI. Entonces, debe asegurar que las responsabilidades y la autoridad para
los roles relevantes a la Seguridad de la Información estén asignadas y
comunicadas.

• Por lo tanto, es necesario establecer:

●
Una Política de Seguridad de la Información, y
●
Los Objetivos de Seguridad de la Información.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 05 : LIDERAZGO.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Requerimiento de la ISO/IEC
Sección Estado Evidencia: ¿Cómo lo cumple?
27001:2013

5.2 Política. Existe la Política de Seguridad de la Información y se

ha evidenciado que está acorde al propósito de la
organización, incluye objetivos de Seguridad de la
Información (Sección 6.2) y está disponible y
CONFORME comunicada a toda la organización. Además que ha
sido aprobada por una Resolución de Alcaldía.
(Directoral, Ministerial,...)

La política de seguridad de la información debe:

f)Estar comunicada dentro de la

Se ha evidenciado que la Política de Seguridad de la
Información ha sido comunicada a toda la
organización; Organización vía correo electrónico. Así mismo está
CONFORME publicado en la Intranet. Además existen los cargos de
los documentos que han sido envíada a cada
dependencia de la organización.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 05 : LIDERAZGO.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

¿Qué hacer?
✔ Hacer la Política de Seguridad de la Información.
¿Cómo?
✔ Modelos hay varios y usarlos sólo como referencia.
✔ Incluir al menos:
✔ Marco legal,
✔ Objetivos,
✔ Políticas,
✔ Definiciones,
✔ Responsabilidades,
✔ Sanciones por incumplimiento.
✔ IMPORTANTE respecto al documento:
Elaborado por, Revisado por, Aprobado por,
CARGO y NOMBRE. Versión, Fecha exacta.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 05 : LIDERAZGO.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

• Sabemos que los usuarios, muchas veces no cumplen las políticas.

• Podría incluirse como parte de las sanciones por incumplimiento lo siguiente o
vía alguna comunicación de la Alta Dirección:

“La Entidad se reserva el derecho de tomar medidas

disciplinarias del personal que incumpla con los dispuesto
en la Política de Seguridad de la Información conforme a
las disposiciones señaladas en los documentos normativos
de la institución, sin prejuicio de las acciones civiles y/o
penales que pudieran corresponder.”
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 06 : PLANIFICACIÓN.

6.1 Acciones para tratar los riesgos y oportunidades

6.1.1 Generalidades ...
Evidencia:
Sección Requerimiento de la ISO/IEC 27001:2013 Estado
¿Cómo lo cumple?

6.1.2 Valoración del riesgo de seguridad de la información. Se tiene un procedimiento

para la Gestión de Riesgos
La organización debe definir y aplicar un proceso de CONFORME de Seguridad de la
valoración del riesgo de seguridad de la información que: Información.

c) identifique los riesgos de seguridad de la información:

1)Aplicando el proceso de valoración de riesgos de Se cuenta con una
metodología de Gestión de
seguridad de la información para identificar riesgos Riesgos de Seguridad de la
asociados con la pérdida de confidencialidad, integridad Información y está en
y disponibilidad para la información dentro del alcance CONFORME
conjunto con el Manual de
del sistema de gestión de seguridad de la información. Gestión de Seguridad de la
Información.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 06 : PLANIFICACIÓN.

6.1 Acciones para tratar los riesgos y oportunidades

6.1.1 Generalidades
6.1.2 Valoración del riesgo de seguridad de la información.

¿Qué hacer?
✔ Procedimiento para la gestión de riesgos de seguridad de la
información.

¿Cómo?
✔ Elegir tu metodología de gestión de riesgos,
✔ Usa ISO 31000,
✔ Usa ISO 27002,
✔ Usa ITIL, COBIT, COSO,
✔ Usa MAGERIT (española – 3 libros)
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Capítulo 06 : PLANIFICACIÓN.

6.1 Acciones para tratar los riesgos y oportunidades

6.1.1 Generalidades
6.1.2 Valoración del riesgo de seguridad de la información.
Consideraciones
✔ Identificar los riesgos de seguridad de la información:
✔ Aplicar el proceso de valoración de riesgos: MATRIZ DE CALOR.
✔ Se debe hacer un Inventario de Activos y considerar la valoración
para la Confidencialidad, Integridad, Disponibilidad, lo cual da
origen a la Matriz de Calor.
✔ Identificar a los propietarios de los riesgos y obtener su aprobación
para tratar los riesgos.
✔ Analizar los riesgos de seguridad de la información.
✔ Establecer la Declaración de Aplicabilidad.
✔ Determinar todos los controles necesarios.
✔ Formular un plan de tratamiento de riesgos.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

De la misma manera trabajarlo para los siguientes capítulos:

●
Capítulo 07 : SOPORTE.
●
Capítulo 08 : OPERACIÓN.
●
Capítulo 09 : EVALUACIÓN DE DESEMPEÑO.
●
Capítulo 10 : MEJORAS.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.9 Control de acceso
A.9.1 Requisitos de la empresa para el control de acceso.
Objetivo: Limitar el acceso a la información y a las instalaciones de
procesamiento de la información
Control del Anexo A de la Evidencia:
Sección Estado
ISO/IEC 27001:2013 ¿Cómo se ha implementado?

A.9.1.2 Acceso a redes y servicios

de red.
El acceso a los servidores se
realiza mediante los perfiles
establecidos. El acceso a Internet
Control: Los usuarios es sólo para los usuarios
deben tener acceso institucionales, además que la red
solamente a la red y a IMPLEMENTADO
se encuentra segmentada y el
servicios de red que hayan acceso inalámbrico a Internet para
sido específicamente los invitados está en una red
autorizados a usar. aislada. También se dispone de una
política de contraseñas.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.9 Control de acceso
A.9.4 Control de acceso a sistema y aplicación.
Objetivo: Prevenir el acceso no autorizado a los sistemas y
aplicaciones.
Control del Anexo A de la Evidencia:
Sección Estado
ISO/IEC 27001:2013 ¿Cómo se ha implementado?

A.9.4.5 Control de acceso al código

fuente de los programas.
Para el alcance establecido no hay
Desarrollo de Software.

Control: El acceso al
código fuente de los NO APLICA
programas debe ser
restringido.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.6 Organización de la seguridad de la información
A.6.1 Organización interna.
Objetivo: Establecer un marco de referencia de gestión para iniciar y
controlar la implementación y operación de la seguridad de la
información dentro de la organización.
Control del Anexo A de la Evidencia:
Sección Estado
ISO/IEC 27001:2013 ¿Cómo se ha implementado?

A.6.1.3 Contacto
autoridades.
con las Se cuenta con una lista para
establecer contacto rápido con las
partes involucradas y se evidencia
Control: Contactos con que se ha comunicado a todos.
autoridades relevantes IMPLEMENTADO
deben ser mantenidos.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.6 Organización de la seguridad de la información
A.6.1 Organización interna.
Objetivo: Establecer un marco de referencia de gestión para iniciar y
controlar la implementación y operación de la seguridad de la
información dentro de la organización.
Control del Anexo A de la Evidencia:
Sección Estado
ISO/IEC 27001:2013 ¿Cómo se ha implementado?

A.6.1.2 Segregación de funciones. La Entidad dispone de un Manual de

Control: Las funciones y áreas
de responsabilidad en conflicto
deben ser segregadas para
reducir oportunidades de
modificación no autorizada o
no intencional o mal uso de los
activos de la organización
Organización y Funciones (MOF) en el cual
está definido los cargos.
IMPLE- También se cuenta con los Contratos
MENTADO Administrativos de Servicios (CAS) de
aquellos trabajadores que brindan servicios
bajo dicha modalidad, en donde se definen
las responsabilidades de los mismos.
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Implementación del SGSI

ISO 27003

Estándar Internacional usada como:

GUÍA PARA LA IMPLANTACIÓN
DE UN SGSI
 Ing. Ronal Barrientos Deza
Jefe de la Oficina Nacional
de Gobierno Electrónico e Informática

Muchas Gracias...!!!

http://www.ongei.gob.pe
mdelcarpio@pcm.gob.pe
migueldelcarpiowong@gmail.com
+51 1 219 7000 Anexo 5111
+51 997 401 747