Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE SISTEMAS
Roque Javier Bueno Gallardo
SLI – SLA ISO 27001
SLI ISO 22301
LRM ISO 31000
PECB Trainer Certified for ISOs 27001, 22301 y 31000
QUIEN ES EL ADVERSARIO
?
QUIEN TIENE LA RAZÓN ?
La Seguridad
Contexto de la
Alcance
Objetivo Información
Intereses Comunes
Controlar los Riesgos de
materialización de
Incidentes
DEFINICIÓN DEL SGSI
• ISO 27000, cláusula 3.2.1:
• Un SGSI es un enfoque sistemático para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar la seguridad de la información de una
organización para conseguir los objetivos del negocio. Se basa en una evaluación del
riesgo y de los niveles de aceptación del riesgo de la organización diseñados para
tratar y gestionar los riesgos de manera eficaz. Analizar los requisitos para gestionar
los riesgos de manera eficaz. Analizar los requisitos para la protección de los activos
de información y aplicar controles adecuados para garantizarla protección de estos
activos de información, según sea necesario, contribuye a la aplicación exitosa de un
SGSI
• Nota: El Sistema de gestión consta de las Políticas, los Procedimientos, los
lineamientos, las actividades y recursos asociados
ENFOQUE EN PROCESOS
Partes Partes
Interesadas Interesadas
Planificar
Planificación
Actuar Hacer
Mejora Funcionamiento
Requerimientos
y expectativas Evaluación del Seguridad de la
desempeño
de la seguridad Información
de la Verificar Gestionada
información
CICLO SGSI
1. Planificar 2. Hacer 3. Verificar 4. Actuar
El Propietario del
La Gerencia General SGSI
Propietario de la
Información
El Usuario
El Auditor
El Proveedor o Consultor
ROL DEL OFICIAL DE SEGURIDAD DE LA
INFORMACIÓN
Reglamento para la Gestión de Seguridad de la Información – ASFI: Titulo VII, Capitulo II,
Sección 2
ROL DEL AUDITOR INTERNO
Reglamento para la Gestión de Seguridad de la Información – ASFI: Titulo VII, Capitulo II,
Sección 12
OSI AUDITOR DE
SISTEMAS
• Define
• Propone
• Implementa
• Ejecuta
SGSI • Valida conformidad
• Supervisa
• Monitorea
• Controla
• Revisa
Contexto Organizacional
ESTABLECIMIENTO DEL CONTEXTO
Cumplimiento
Objetivos del Cumplimiento Acuerdos Niveles de
Regulatorio
Negocio Legal Proveedores Servicio
OBSERVACIONES DE AUDITORÍA
• La gestión de Riesgos no realiza un análisis cuantitativo que permita identificar el nivel de
daño económico a la Entidad ante incidentes de Seguridad de la Información.
• La entidad no tiene implementado mecanismos de cifrado de la información critica, esto
expone a riesgos de perdida de confidencialidad de la información
• La entidad no ha implementado los controles de seguridad descrito en el Anexo A de la
ISO 27001, para garantizar la Seguridad de la Información
• De acuerdo con la Metodología MAGERIT, la entidad no considera una valoración
acumulada de los activos de información
• Se evidencia que la entidad realiza la administración de las cuentas de usuarios en los
sistemas de información; sin embargo, al momento de la revisión no se evidenciaron
procedimientos documentados
OBSERVACIONES DE AUDITORÍA
• Se evidencia cumplimiento parcial del procedimiento de gestión de Incidentes, dado
que no se realiza el registro de manera oportuna, imposibilitando la gestión
correspondiente del incidente materializado
• El análisis de riesgo no considera la estimación del impacto para determinar el nivel
de los riesgos, esto podría exponer a desviaciones en la percepción de la criticidad
de los riesgo impidiendo la atención oportuna y adecuada.
• No se evidencia que la entidad haya ejecutado su plan de concientización al
personal en materia de Seguridad de la Información, según lo dispone la Política de
Seguridad de la Información
ESCENARIOS DE INTERÉS
• Auditorías con Valor Agregado
• Auditoría o Consultoría (Independencia)
• Implementaciones para cumplimiento mínimo
• Niveles de Madures definidos
• Funciones múltiples
• Seguridad de la Información
• Seguridad Física
• Continuidad del Negocio
• …
OBJETIVOS DE LA SEGURIDAD INTEGRAL)
Detección e
Investigación
Incidentes de Seguridad
Física
Incidentes de Seguridad
Seguridad de la Información
Bancaria
Prevención Reacción
ALCANCE DE LA SEGURIDAD INTEGRAL
Seguridad de la
Seguridad Física
Información
Seguridad
Personas Electrónica
Activos de
Activos Información
Físicos
Detección e
Prevención Reacción
Investigación
QUIEN ES EL ADVERSARIO ?