OSI VS AUDITOR

DE SISTEMAS
Roque Javier Bueno Gallardo
SLI – SLA ISO 27001
SLI ISO 22301
LRM ISO 31000
PECB Trainer Certified for ISOs 27001, 22301 y 31000
QUIEN ES EL ADVERSARIO
?
QUIEN TIENE LA RAZÓN ?

La Seguridad
Contexto de la
Alcance
Objetivo Información

Intereses Comunes
Controlar los Riesgos de
materialización de
Incidentes
 DEFINICIÓN DEL SGSI
• ISO 27000, cláusula 3.2.1:
• Un SGSI es un enfoque sistemático para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar la seguridad de la información de una
organización para conseguir los objetivos del negocio. Se basa en una evaluación del
riesgo y de los niveles de aceptación del riesgo de la organización diseñados para
tratar y gestionar los riesgos de manera eficaz. Analizar los requisitos para gestionar
los riesgos de manera eficaz. Analizar los requisitos para la protección de los activos
de información y aplicar controles adecuados para garantizarla protección de estos
activos de información, según sea necesario, contribuye a la aplicación exitosa de un
SGSI
• Nota: El Sistema de gestión consta de las Políticas, los Procedimientos, los
lineamientos, las actividades y recursos asociados
 ENFOQUE EN PROCESOS
Partes Partes
Interesadas Interesadas
Planificar
Planificación

Actuar Hacer
Mejora Funcionamiento

Requerimientos
y expectativas Evaluación del Seguridad de la
desempeño
de la seguridad Información
de la Verificar Gestionada
información
 CICLO SGSI
1. Planificar 2. Hacer 3. Verificar 4. Actuar

• 1.1 Iniciando el SGSI • 2.1 Estructura de la • 3.1 Supervisión, • 4.1 Tratamiento

• 1.2 Comprensión de la Organización Medición , de No
organización • 2.2 Gestión de Análisis y conformidades
• 1.3 Analizar el sistema Documentos Evaluación • 4.2 Mejora
existente • 2.3 Diseño de • 3.2 Auditoría Continua
• 1.4 Liderazgo y Controles y Interna
Aprobación del Procedimientos • 3.3 Revisión por
Proyecto • 2.4 Comunicación la Dirección
• 1.5 Ámbito de • 2.5 Sensibilización
aplicación y Capacitación
• 1.6 Política de • 2.6 Aplicación de
Seguridad de la los Controles
Información • 2.7 Gestión de
• 1.7 Evaluación de Incidentes
riesgos • 2.8 Gestión de
• 1.8 Declaración de Operaciones
Aplicabilidad
 MONITOREO Y REVISIÓN DEL SGSI
6. Revisión por la
• ISO 27001, cláusulas 9 dirección y
1. Seguimiento y revisión de
los procedimientos de
actualización de los detección y prevención de
planes de seguridad incidentes de SI

5. Monitoreo 2. Revisión periódica de la

Realización y revisión eficacia del SGSI teniendo
de las en cuenta las
auditorias del SGSI proposiciones de las partes
internas interesadas

Nota: Cada una de estas

4. Revisión de las 3. Medición de la
evaluaciones del eficacia de los acciones debe ser
riesgo y tratamiento procedimientos y documentada y registrada
de riesgos controles
 ACTORES EN LA GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
El Directorio

El Propietario del
La Gerencia General SGSI

Propietario de la
Información

El Usuario
El Auditor
El Proveedor o Consultor
 ROL DEL OFICIAL DE SEGURIDAD DE LA
INFORMACIÓN
Reglamento para la Gestión de Seguridad de la Información – ASFI: Titulo VII, Capitulo II,
Sección 2
 ROL DEL AUDITOR INTERNO

Reglamento para la Gestión de Seguridad de la Información – ASFI: Titulo VII, Capitulo II,
Sección 12
 OSI AUDITOR DE
SISTEMAS
• Define
• Propone
• Implementa
• Ejecuta
SGSI • Valida conformidad
• Supervisa
• Monitorea
• Controla
• Revisa

Contexto Organizacional
 ESTABLECIMIENTO DEL CONTEXTO

Cumplimiento
Objetivos del Cumplimiento Acuerdos Niveles de
Regulatorio
Negocio Legal Proveedores Servicio
 OBSERVACIONES DE AUDITORÍA
• La gestión de Riesgos no realiza un análisis cuantitativo que permita identificar el nivel de
daño económico a la Entidad ante incidentes de Seguridad de la Información.
• La entidad no tiene implementado mecanismos de cifrado de la información critica, esto
expone a riesgos de perdida de confidencialidad de la información
• La entidad no ha implementado los controles de seguridad descrito en el Anexo A de la
ISO 27001, para garantizar la Seguridad de la Información
• De acuerdo con la Metodología MAGERIT, la entidad no considera una valoración
acumulada de los activos de información
• Se evidencia que la entidad realiza la administración de las cuentas de usuarios en los
sistemas de información; sin embargo, al momento de la revisión no se evidenciaron
procedimientos documentados
 OBSERVACIONES DE AUDITORÍA
• Se evidencia cumplimiento parcial del procedimiento de gestión de Incidentes, dado
que no se realiza el registro de manera oportuna, imposibilitando la gestión
correspondiente del incidente materializado
• El análisis de riesgo no considera la estimación del impacto para determinar el nivel
de los riesgos, esto podría exponer a desviaciones en la percepción de la criticidad
de los riesgo impidiendo la atención oportuna y adecuada.
• No se evidencia que la entidad haya ejecutado su plan de concientización al
personal en materia de Seguridad de la Información, según lo dispone la Política de
Seguridad de la Información
 ESCENARIOS DE INTERÉS
• Auditorías con Valor Agregado
• Auditoría o Consultoría (Independencia)
• Implementaciones para cumplimiento mínimo
• Niveles de Madures definidos
• Funciones múltiples
• Seguridad de la Información
• Seguridad Física
• Continuidad del Negocio
• …
OBJETIVOS DE LA SEGURIDAD INTEGRAL)
Detección e
Investigación

Incidentes de Seguridad
Física
Incidentes de Seguridad
Seguridad de la Información
Bancaria

Prevención Reacción
ALCANCE DE LA SEGURIDAD INTEGRAL
Seguridad de la
Seguridad Física
Información
Seguridad
Personas Electrónica
Activos de
Activos Información
Físicos

Detección e
Prevención Reacción
Investigación
 QUIEN ES EL ADVERSARIO ?

Team Security Information Risk Information Security

Gracias…