Sistema de Gestión de Seguridad de

la Información (SGSI)
ISO/IEC 27001:2013
NTP ISO/IEC 27001:2014

Mg. William Marchand Niño

William Marchand N.
Sistemas de Gestión
 Un sistema de gestión es una estructura probada para la
gestión y mejora continua de las políticas, los procedimientos y
procesos de la organización.
 Un sistema de gestión ayuda a lograr los objetivos de la
organización mediante una serie de estrategias, que incluyen la
optimización de procesos, el enfoque centrado en la gestión y
el pensamiento disciplinado.
Fuente: Maurice Frayssinet Delgado

William Marchand N.
Sistemas de Gestión
 Un SGSI (Sistema de Gestión de Seguridad de la Información)
proporciona un modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar la protección de los
activos de información para lograr objetivos de negocio.
 El análisis de los requisitos para la protección de los activos de
información y la aplicación de controles adecuados para garantizar la
protección de estos activos de información, contribuye a la exitosa
implementación de un SGSI.

Fuente: Maurice Frayssinet Delgado

William Marchand N.
ISO/IEC 27001

William Marchand N.
Algunas normas relacionadas
 ISO 27001: Sistema de Gestión de Seguridad de Información (http://www.iso.org/).

 ISO 27002: Código de Práctica de Seguridad de Información (http://www.iso.org/). (NTP

ISO/IEC 17799:2007)

 NIST: Computer Security Resource Center (http://csrc.nist.gov/).

 ISF: Information Security Forum (https://www.securityforum.org/).

 OCTAVE: Page 4 Information Security Risk Evaluation (http://www.cert.org/octave/).

 COBIT: Control Objectives for Information Technology (http://www.isaca.org/ ).

 BSI: Bundes Security Information (http://www.bsi.bund.de/english/index.htm).

William Marchand N.
Norma Técnica Peruana 27001:2014

William Marchand N.
Estructura de la Norma

William Marchand N.
Fuente: ONGEI- PCM
Estructura de la Norma

William Marchand N.
Fuente: ONGEI- PCM
Modelo PDCA para implementación de la
ISO/IEC 27001
Partes Partes
Interesadas Interesadas
Planificación
del SGSI

Implementación y Mantenimiento y
Operación del SGSI Mejora del SGSI

Monitoreo y
Revisión de SGSI
Requerimientos y Seguridad de la
expectativas de Información
Seguridad de la Gestionada
Información

William Marchand N.
Modelo PDCA para implementación de la
ISO/IEC 27001
Implementación Verificación de un
Planificación del SGSI Mejora de un SGSI
de un SGSI SGSI

Responsable del Identificación de

Análisis GAP SGSI Actualización del SGSI mejoas del SGSI

Definición de alcance y Control de la

Revisión Periódica Ejectiva Gestión de Indicadores
activos documentación
del SGSI

Definición de Políticas de
Análisis de Riesgo 1er Nivel
Auditoria Interna del SGSI

Gestión de Riesgo y Control de Registros SGSI

selección controles Solución de No
Conformidades
Gestión de Incidentes de
Plan de Trabajo y Seguridad
Documento Aplicabilidad

Gestión de
Indicadores de Seguridad

William Marchand N.
Dominios y controles
 A.5 Política de Seguridad de la Información.
 A.6 Organización de la Seguridad de la Información.
 A.7 Seguridad de los Recursos Humanos.
 A.8 Gestión de Activos.
 A.9 Control de Acceso.
 A.10 Criptografía.
 A.11 Seguridad Física y Ambiental.
 A.12 Seguridad de las Operaciones.
 A.13 Seguridad de las Comunicaciones.
 A.14 Adquisición, desarrollo y mantenimiento de sistemas.
 A.15 Relaciones con los proveedores.
 A.16 Gestión de incidentes de seguridad de la información.
 A.17 Gestión de continuidad del negocio.
 A.18 Cumplimiento. William Marchand N.
Dominios y controles
 La Norma vigente ISO/IEC 27001:2013, cubre 14 dominios, 35
objetivos de control y 114 controles.
 La norma predecesora consideraba 139 controles en 11
dominios.

William Marchand N.
Algunos documentos exigidos
 Los enunciados de la política de seguridad, los procedimientos y los objetivos de
control.
 El alcance del SGSI, los procedimientos y los controles que sostienen el SGSI.
 Plan de tratamiento de riesgo.
 Los procedimientos documentados necesarios para la organización, a fin de asegurar
la planeación, la operación y el control efectivos de sus procesos de seguridad de la
información.
 Declaración de aplicabilidad.
 Además, el SGSI de la organización debe incluir: (ver 7.5.1 NTP ISO 27001:2014)
◼ Información requerida por la Norma.
◼ Información documentada determinada por la organización, necesaria para mantener la efectividad
del SGSI.

William Marchand N.
Tratamiento de la información documentada
 Identificación y descripción adecuada.
 Formato y medios apropiados.
 Revisión y aprobación.
 Disponibilidad.
 Protección adecuada.
 Definición de distribución, acceso, recuperación y uso.
 Almacenamiento y preservación.
 Control de cambios.

William Marchand N.
Auditorias Internas al SGSI
 La organización debe realizar auditorias internas del SGSI
a intervalos planeados para determinar si los objetivos,
controles y procesos y procedimientos de su SGSI:
◼ Cumplen con los requerimientos de este estándar y la legislación
o regulaciones relevantes.
◼ Cumplen con los requerimientos de seguridad de información
identificados.
◼ Están implementados y mantenidos de manera efectiva.
◼ Se desempeñan como se esperaba.

William Marchand N.
Equilibrio Gestión-Técnico

Fuente: Gobierno de la seguridad

de información aplicando
estándares
Internacionales – (09 Jul 09)

William Marchand N.
IMPLEMENTACIÓN DE LA NORMA

William Marchand N.
Enfoque por Procesos
 La aplicación del enfoque de proceso variará de una
organización a otra en función de su tamaño, complejidad y
actividades.
 A menudo las organizaciones identifican demasiados
procesos que pueden resultar contraproducentes para el
objetivo.
 Los procesos se pueden definir como un grupo lógico de
tareas relacionadas entre sí, para alcanzar un objetivo
definido.

William Marchand N.
Información documentada

William Marchand N.
ISO para la gestión
documental
 Información y documentación. Sistemas
de gestión para documentos. Requisitos
 La organización puede ser certificada en
esta norma

William Marchand N.
Seguridad → Estrategia
 El programa de seguridad debe responder a las necesidades de la
organización, no solo ser una implementación de controles.
 Todas las objetivos de seguridad debe estar alineados a los
objetivos de negocio.
 La estrategia de seguridad debe ser parte del ciclo de vida de los
procesos de negocio.
 La implantación de un SGSI es una decisión estratégica que debe
involucrar a toda la organización y que debe ser apoyada y dirigida
desde la dirección.

William Marchand N.
Flujo de un proceso de implementación
Identificación de
Identificación de Análisis
Proceso de Negocio
(Procesos Primarios y Activos de GAP /
Procesos de Soporte) Información ISO 27002

Determinación de
Análisis de los Requisitos de
Evaluación de Impacto al
Riesgos Seguridad
Negocio (Salvaguardas)

Elaboración del
Selección de Elaboración de Programa de
Controles Declaración de Seguridad de
Aplicabilidad Información

Implantación del Monitoreo y Mantenimiento y

SGSI Análisis del SGSI Control del SGSI
William Marchand N.
Implementación de la norma con PDCA
• Definir alcance del SGSI
• Definir plan de tratamiento de riesgos
• Definir Política de Seguridad
• Implantar plan de tratamiento de
• Metodología de evaluación de riesgos Fase 3:
Fase 1: • Inventarios de activos
riesgos
• Implementar controles
Organización • Identificar amenazas y vulnerabilidades
• Formación y concienciación
Despliegue
• Identificar Impactos
• Operar el SGSI
Fase 2: • Análisis y evaluación de riesgos.
• Selección de controles y SoA
Planificación

•
•
Compromiso de la Dirección
Planificación
Plan Do
• Fechas Inicio Py.
• Responsables

Act
• Implantar mejoras
• Acciones correctivas
• Acciones preventivas
• Comprobar eficacia de las acciones
Check
• Revisar el SGSI
• Medir la eficacia de los controles Fase 4:
• Revisar riesgos residuales
• Realizar auditorias internas del SGSI Revisión
• Registrar acciones y eventos

Fase 5: Consolidación
William Marchand N.
Iniciando un SGSI
 Definición del enfoque para la aplicación del SGSI
◼ Velocidad de Implementación
◼ Nivel de madurez del proceso y controles
◼ Expectativas y ámbito
 Selección de un marco metodológico
◼ Metodología para gestionar el proyecto (PMBOK)

William Marchand N.
Nivel de Madurez
 Es importante determinar en que nivel se encuentra la
organización, para ello CMM(Modelo de Madurez de
Capacidades) muestra la madurez de una organización
basándose en la capacidad de sus procesos

William Marchand N.
Nivel de Madurez

Fuente de plantilla: Delta Asesores William Marchand N.

Nivel de Madurez

Fuente de plantilla: Delta Asesores William Marchand N.

Análisis de Brechas (GAP)
 Comparación entre lo que existe y lo que es requerido. Ejemplo:
controles diseñados e implementados versus controles exigidos
por la norma.
 El resultado será una lista de gaps (brechas) que necesitan ser
cumplidas para lograr el cumplimiento con la norma.
 Se puede aplicar el análisis de brechas con el modelo de
empresa basado en matrices orientado a la seguridad (Procesos,
Estrategias, Activos, Dominios de Control / Controles) (Ref.:
Metodología de PETI)

William Marchand N.
Análisis de
Brechas - Matrices

William Marchand N.
William Marchand N.
Análisis de Brechas (GAP)

William Marchand N.
FASE 1: ORGANIZACIÓN

William Marchand N.
Actividades de organización
 Obtener el apoyo institucional
 Determinar el alcance del Sistema de Gestión de Seguridad de la
Información
 Determinar la declaración de Política de Seguridad de la Información y
objetivos
 Determinar criterios para la evaluación y aceptación de riesgos

William Marchand N.
Actividades de organización
 Sustento para el apoyo institucional (alta dirección)
◼ Cumplimiento.
◼ Protección de Procesos de Negocio.
◼ Disminución de incidentes / mitigación de riesgos.
◼ Ordenamiento del negocio.

William Marchand N.
Propuesta de organización

William Marchand N.
Adaptado por W. Marchand N., 2015
de ONGEI
Comité de Gestión
 El Comité de Gestión de Seguridad de la Información es el máximo órgano
consultivo de carácter no técnico.
 Se sugiere reuniones periódicas con fines de evaluación y formulación de
propuestas de mejora.
 Algunas de las funciones del Comité de Gestión:
◼ Informar la situación Institucional.
◼ Proponer la designación del Oficial de Seguridad de la Información (CISO).
◼ Designar a los miembros del Comité Técnico de Seguridad de la Información.
◼ Patrocinar y participar en la implementación, operación, monitoreo, revisión,
mantenimiento y mejora continua del Sistema de Gestión Seguridad de la Información
(SGSI).

William Marchand N.
Comité Técnico
 El Comité Técnico de Seguridad de la Información es un órgano
consultivo de carácter técnico y está integrado por los Jefes, Directores
o Especialistas de los procesos.
 Las funciones del Comité Técnico son las siguientes:
◼ Proponer mejoras o iniciativas al Comité de Gestión o al CISO (gestión de riesgos,
activos de información, procesamiento de la información, mejoras al SGSI, etc.)
◼ Reunirse periódicamente para analizar y evaluar la seguridad de la información y
emitir informes.
◼ Participar de las reuniones convocadas por el Comité de Gestión.
◼ Establecer un puente de comunicación y entendimiento entre el nivel técnico y el
nivel de gestión (estratégico).

William Marchand N.
 En organizaciones pequeñas, en lugar de formar
comités (grupos de personas), es posible que el
rol del comité de gestión sea asumido por una sola
persona (gerente general o dueño), y el rol de
comité técnico sea asumido por un especialista
que conoce el proceso del negocio.

William Marchand N.
Definir Alcance
 El Alcance del SGSI debe estar adecuado a las necesidades,
naturaleza y características de cada organización (tecnología, activos,
organización, ubicación, tamaño, etc.)
 No es necesario que el SGSI cubra toda la organización, es posible y
recomendable que se implemente en ciertos procesos críticos o
alcances limitados.
 La implementación de la norma puede extenderse gradualmente hacia
toda la organización.
 El alcance definido inicialmente puede sufrir actualizaciones o cambios
que deberán ser revisados, aprobados y documentados previamente.

William Marchand N.
Definir Alcance -
Ejemplo

William Marchand N.
FASE 2: PLANIFICACIÓN

William Marchand N.
Actividades generales de Planificación
 Evaluación de Riesgos.
 Análisis de Impacto al Negocio
 Selección de Controles (Tratamiento)
 Elaboración de Declaración de Aplicabilidad (SOA).

William Marchand N.
Identificación e inventario de Activos
 Elaborar lista de activos de información incluyendo, código,
ubicación, dependencias, tipo, responsable y otra información
que determine la organización.
 Se puede utilizar listados predefinidos como el publicado en el
libro 2 – Catálogo de elementos de MAGERIT v3
(https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit
.html#.W8nw6PZReUk)

William Marchand N.
Análisis de Riesgos
 ISO 27005
 Magerit (España)
 Octave (EE.UU.)
 Cramm (Reino Unido)
 Microsoft (EE.UU.)
 TRA (Canada)
 NIST 800-30 (EE.UU.)
 Mehari (Francia)
…
William Marchand N.
Análisis de Vulnerabilidades
 Identificar las vulnerabilidades a nivel:
◼ Técnico.
◼ Recurso humano.
◼ Gestión.

William Marchand N.
Vulnerabilidades – Recurso Humano
 Identificar
las vulnerabilidades a nivel de usuarios
mediante análisis de la cultura organizacional y pruebas
basadas en técnicas de Ingeniería Social.
 Una alternativa para el análisis es el Kit de
Concienciación de INCIBE. No solo para el diagnóstico,
también para la fase de despliegue.

William Marchand N.
Kit de concienciación - INCIBE

 https://www.incibe.es/protege-tu-empresa/kit-
concienciacion William Marchand N.
Análisis de Impacto
 Determinación y estimación de la magnitud de daño de los
activos de información ante la materialización de amenazas.
 Para estimar el impacto, se puede utilizar una escala tipo Likert
(muy bajo, bajo, mediano, alto, muy alto), juicio de experto,
entre otros.
 Asimismo se debe establecer el impacto a nivel de los factores
de la seguridad (confidencialidad, integridad y disponibilidad)

William Marchand N.
Selección de controles
 Cada organización puede y debe seleccionar los controles
necesarios para su caso.
 Se debe realizar un “mapeo” de los dominios y controles que se
adoptarán para el SGSI, sustentando la elección alineada al
análisis de riesgos.

William Marchand N.
Selección de controles

William Marchand N.
Selección de controles

William Marchand N.
Declaración de Aplicabilidad
 Seleccionado los controles, elaborar la Declaración de
Aplicabilidad.

William Marchand N.
Declaración de Aplicabilidad

William Marchand N.
FASE 3: DESPLIEGUE

William Marchand N.
Actividades generales
 Elaborar el plan de trabajo priorizado.
 Plan de Capacitación.
 Desarrollar documentos y registros necesarios
 Implementar los controles seleccionados

William Marchand N.
Plan de Trabajo
 Un plan de trabajo es un instrumento de planificación.
 Estructura actividades, responsables, tiempos, recursos,
generalmente se expresa por medio de un diagrama de
gantt.

Actividad Para Responsable Tiempo Lugar Recursos

William Marchand N.
Plan de Capacitación - Concienciación
 Definir las necesidades de capacitación y concienciación
 Diseño y planificación de la capacitación y concienciación
 Provisión de la capacitación y concienciación
 Evaluación de los resultados de la capacitación y
concienciación.
 Sugerencia: Aplicación del Kit de concienciación de INCIBE

William Marchand N.
Plan de Capacitación - Concienciación
 La gran diferencia entre la formación y la concienciación es
que la capacitación tiene por objeto proporcionar los
conocimientos para permitir que la persona ejerza sus
funciones mientras que el objetivo de concienciar es
centrar la atención en un interés individual o una serie de
asuntos sobre la seguridad.

William Marchand N.
Comunicación
 Determinar qué queremos conseguir, cuáles son nuestros objetivos de
comunicación.
 Decidir a quién vamos a dirigir nuestra comunicación.
 Pensar cuál es la idea que queremos transmitir.
 Fijar el presupuesto con el que contamos (cuánto).
 Seleccionar los medios apropiados y su frecuencia de utilización.
 Ejecutar el plan de medios y medir su impacto.

William Marchand N.
FASE 4: REVISIÓN

William Marchand N.
Monitoreo y Revisión
 Monitorear el desempeño del SGSI
 Fortalecer la gestión de incidentes
 Desarrollar documentos y registros necesarios
 Desarrollar las actividades para evidenciar la mejora continua

William Marchand N.
Objetivos de medición
 La norma no indica lo que debe ser objeto de supervisión o
medición
 Corresponde a la empresa determinar qué es lo que necesita ser
controlado y medido
 Es una mejor práctica centrarse en la vigilancia y medición de las
actividades que están vinculadas a los procesos críticos.
 Demasiadas medidas pueden distorsionar el enfoque de una
organización y desenfocar lo que es verdaderamente importante.

William Marchand N.
Objetivos de medición
 Los objetivos de la medición en el marco de un sistema
de gestión incluyen:
◼ Evaluación de la eficacia de los procesos y procedimientos
implementados;
◼ Verificación de la medida en que los requisitos identificados de
la norma se han cumplido.
◼ Facilitar la mejora del rendimiento;
◼ Aportar para la revisión de la gestión para facilitar la toma de
decisiones y justificar las mejoras que necesita el sistema de
gestión implementado.

William Marchand N.
¿Cómo monitorear?
 Se puede utilizar un Tablero de Mando (BSC)

William Marchand N.
Gestión de incidentes
 Asegurarse de que los eventos de seguridad son detectados e
identificados.
 Educar a los usuarios acerca de los factores de riesgo que podrían
causar incidentes de seguridad.
 Tratar los incidentes de seguridad en la forma más adecuada y
eficaz.
 Reducir el posible impacto de los incidentes sobre las operaciones
de la organización.
 Prevenir futuros incidentes de seguridad y reducir su probabilidad
de ocurrencia.
 Mejorar la seguridad de los controles de la organización.
William Marchand N.
Gestión de incidentes
 Sugerencia: Utilizar como marco
referencial la Guía de Manejo de
Incidentes de Seguridad
Informática del NIST (800-61r2)

William Marchand N.
FASE 5: CONSOLIDACIÓN

William Marchand N.
Auditorias Internas
 Auditar internamente el SGSI
 Implementar las acciones correctivas
 Implementar las acciones preventivas pertinentes
 Desarrollar, corregir y mejorar documentación nueva o
existente

William Marchand N.
Auditorias Internas - Procedimiento
1. Crear el programa de auditoría interna.
2. Designar al responsable.
3. Establecer la independencia, objetividad e imparcialidad.
4. Planificación de las actividades.
5. Asignar y administrar los recursos del programa de auditoría.
6. Crear procedimientos de auditoría.
7. Realizar actividades de auditoría.
8. Seguimiento de no conformidades.

William Marchand N.
 El Sistema de Gestión de la Seguridad de la
Información (SGSI) en las empresas ayuda a
establecer políticas, procedimientos y controles
en relación a los objetivos de negocio de la
organización

William Marchand N.
Referencias
1. ONGEI, Maurice Frayssinet Delgado (2015)
2. NIST 800-61r2
3. ISO/IEC 27001:2013
4. NTP ISO/IEC 27001:2014
5. INCIBE, https://www.incibe.es

William Marchand N.
Actividad 3
 Definir el alcance del SGSI de la organización que está
trabajando como caso de estudio.
 Formular la Declaración de Aplicabilidad (SoA)
 Realizar un análisis de brechas de los controles de la NTP
ISO/IEC 27001

William Marchand N.
Sistema de Gestión de Seguridad de
la Información (SGSI)
ISO/IEC 27001:2013
NTP ISO/IEC 27001:2014
GRACIAS!

Mg. William Marchand Niño

William Marchand N.