CNSD CENTRO NACIONAL DE SEGURIDAD DIGITAL

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN

EL MARCO DE LA CONFIANZA DIGITAL
Ing. Maurice Frayssinet Delgado
mfrayssinet@gmail.com
CENTRO NACIONAL DE SEGURIDAD DIGITAL Tlf. 980.997.203
CNSD CENTRO NACIONAL DE SEGURIDAD DIGITAL

Día 2
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Unidad 3
Planificación
_________________________________________
Ing. Maurice Frayssinet Delgado
+51 980.997.203
mfrayssinet@gmail.com

TLP:WHITE
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Unidad 3

3.1 Planificar la implementación del sistema de gestión de seguridad de

la información.
3.2 Planificar la visión empresarial de la seguridad de la información
3.3 Metodología de gestión de riesgos

CENTRO NACIONAL DE SEGURIDAD DIGITAL

3.1. Planificar la
implementación del
sistema de gestión de
seguridad de la
información

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Requerimientos de las partes interesadas

Para cada organización estas partes interesadas pueden ser diferentes.

Pero podríamos pensar que las partes interesadas según ISO 27001, en
una organización típica son, entre otras:
Empleados.
Accionistas, propietarios y alta dirección.
Agencias gubernamentales con autoridad regulatoria.
Clientes.
Proveedores.
Socios y contratistas.

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Requerimientos de las partes interesadas

PARTES INTERESADAS NECESIDADES EXPECTATIVAS

La entidad Implantar SGSI SGSI bien implantado y certificado

Que los objetivos del SGSI estén alineados a los objetivos
Alta Dirección Objetivos del SGSI se encuentren definidos
estratégicos
Notarios, Ciudadanos Procedimientos bien definidos y de fácil entendimiento Servicios disponibles y apropiadamente resguardada e íntegra

Conocer la normativa existente para que los proceso se realicen

Trabajadores Normativa adecuadamente implementada
aplicando seguridad (confidencialidad, integridad y disponibilidad)
SeGDi– Secretaría de Gobierno Digital Todas las entidades del estado implementen la NTP-ISO/IEC Que la información manejada por cada entidad cumpla con los
de la PCM 27001:2014 criterios de confidencialidad, integridad y disponibilidad.
Que la información manejada cumpla con los criterios de
Comité de Seguridad de la Información de la SUNARP Conocer como se realizan las actividades del SGSI.
confidencialidad, integridad y disponibilidad de la información
Preservar la confidencialidad, integridad y disponibilidad de la Controles adecuadamente implantados para mitigar los
Propietarios de los procesos
información manejada en su proceso riesgos de seguridad de la información.
Que la información a consultar cumpla con criterios de
Instituciones Públicas y Privadas Procedimientos bien definidos y de fácil entendimiento
seguridad como integridad y disponibilidad
Ministerio de Justicia Que se cumplan con los controles de seguridad identificados
Estar informado sobre el cumplimiento de la normativa emitida
para el cumplimiento de la normativa
Que se cumplan con los controles de seguridad identificados
INDECOPI Estar informado sobre el cumplimiento de la normativa emitida
para el cumplimiento de la normativa
Contraloría Estar informado sobre el cumplimiento de la normativa emitida Que la información manejada por cada entidad cumpla con los
por la entidad correspondiente criterios de confidencialidad, integridad y disponibilidad.
Conocer los controles que tienen que cumplir dentro del
Proveedor de Bienes y Servicios Estar informados sobre los controles existentes.
desarrollo de sus servicios
Que la información manejada por cada entidad cumpla con los
Reniec Cumplir con el convenio y controles de seguridad solicitados
controles solicitados

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Contexto interno y externo
EFECTOS SOBRE EL PROCESO U OTROS
ORIGEN ÁREAS RELACIONADAS
LOGROS DE LA ORGANIZACIÓN
Cumplimiento de la Resolución Ministerial Nº 004-
2016-PCM uso obligatorio de la Norma Técnica La evaluación del contexto externo incluye:
Peruana “NTP ISO/IEC 27001:2014
Cumplimiento de la Ley de Protección de Datos
a) El entorno social y cultural, político, legal, reglamentario, económico
Personales
Ataques de hackers y grupos de hackers. b) Relaciones con las partes interesadas, sus percepciones y valores
Cumplimiento de la normativa a la que está sujeta
la ENTIDAD.
· Ley Nº 27444, del Procedimiento
Administrativo General y sus modificatorias.
· Ley Nº 29733, de Protección de Datos
Personales.
· Ley Nº 28612, que norma el Uso, Adquisición
y Adecuación del Software en la Administración
EXTERNAS

Pública, sus modificatorias, sus ampliatorias y su

Reglamento.
· Ley Nº 28493, que regula el uso del Correo
Electrónico comercial no solicitado (SPAM).
· Ley N° 27269, Ley de Firmas y Certificados
Digitales.
· Ley 28976 marco para el otorgamiento de la
licencia de funcionamiento
· Ley Nº 27309, que incorpora los Delitos
Informáticos al Código Penal.
· Resolución de Contraloría Nº 320-2006-CG.
· Código Civil (regula Mandatos y Poderes).
· RM 004-2016-PCM Aprueban el uso
obligatorio de la NTP ISO/IEC 27001:2014.
· RM Nº 166-2017-PCM que modifica el
artículo 5 de la R.M. N° 004-2016-PCM referente al
Comité de Gestión de Seguridad de la
Información.
Cumplimiento de los plazos establecidos por ley
para el registro de mandatos y poderes.
Cumplimiento de la Ley sobre derecho de autor.
Escasa cultura registral del ciudadano a nivel país
Dinamismo de la tecnología de información
promueve que la misma quede obsoleta en el corto
a mediano plazo

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Contexto interno y externo
ORIGEN EFECTOS SOBRE EL PROCESO U OTROS LOGROS DE LA ORGANIZACIÓN ÁREAS RELACIONADAS

La evaluación del contexto interno incluye:

a) Recursos y conocimientos como, por ejemplo, presupuesto,

tiempo, personas, procesos, sistemas, tecnologías,

b) Flujo de información,
Este decreto faculta a la ENTIDAD a implementar procedimientos necesarios para su implementación y c) Relaciones con las partes interesadas, sus percepciones y
cumplimiento, dado que, en ese momento, se realizaban fraudes relacionados a la inscripción de poderes. valores,
Es por eso que se crea el sistema de tramite documentario d) Objetivos y estrategias.
INTERNAS
La ENTIDAD ha definido como Objetivo Estratégico (6) Fomentar y garantizar la seguridad de las transacciones e) Cultura de la organización.

· Incrementar la calidad de los servicios registrales, por medio de una interconexión lógica y el
perfeccionamiento normativo.

La alta dirección apoya la implantación y certificación del SGSI.

Cumplimiento de la normativa interna de la ENTIDAD:
· Resolución xxxxxxxxxxxxx(Principios de Autenticidad).
· Normativa del SGSI.
· Directivas aplicables a los recursos humanos.

· Reglamento Genera
· Reglamento Interno de Trabajo - RIT
· Directivas aplicables a los registros.
· Directivas aplicables a los recursos informáticos.
Las responsabilidades de seguridad de la información que no son conocidas por los trabajadores de la
ENTIDAD.
Falta de capacitación/concientización en Seguridad de la Información.
Falta de difusión de los controles existentes en seguridad de la información.
Existencia de Sistemas de Información Registral obsoletos y no integrados
Uso frecuente de documentos físicos no digitalizados
Carencia del personal para el reemplazo de puestos operativos

CENTRO NACIONAL DE SEGURIDAD DIGITAL

3.2 Planificar la visión
empresarial de la
seguridad de la
información

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Política de Seguridad de la Información

La xxxxxxxxxxxxxx reconoce la información como un activo vital para la

Institución comprometiéndose a mantener su integridad,
confidencialidad y disponibilidad, mediante la implementación de un
Sistema de Gestión de Seguridad de la Información (SGSI), bajo el cual
gestiona los riesgos de sus activos de información; así mismo dentro
del marco legal establecido promueve la mejora continua del Sistema
de Gestión de Seguridad de la Información.

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Objetivos de Seguridad de la Información

Alinear la seguridad de información con la estrategia de negocio para

apoyar los objetivos de la organización
Análisis y gestión de riesgos.
Optimizar las inversiones en seguridad en apoyo a los objetivos de
negocio.
Utilización del conocimiento y la infraestructura de seguridad con
eficiencia y efectividad.
Monitorización y reporte de los procesos para garantizar que se alcanzan
los objetivos.
Emplear un enfoque de sistemas para planificar, implementar, monitorizar
y gestionar la seguridad de la información.

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Roles de la seguridad de la información
Oficial de Seguridad de la Información

Principal responsable operativo de la implementación del SGSI, por lo tanto tiene

responsabilidad operativa del proceso global de implementación y operación del SGSI.
Informar al Comité de Gobierno Digital la situación Institucional en materia de seguridad
de la información.
Coordinar con los propietarios de los activos de la información sus requerimientos de
seguridad, coordinar con el propietario de riesgos la ejecución de los procesos de análisis
y evaluación de riesgos.
Promover y colaborar en el mantenimiento, difusión y aplicación de la política de
seguridad de la información, así como en la redacción de las normas, procedimientos y
guías de buenas prácticas que la desarrollen.
Asesorar al Comité de Gobierno Digital en materia de procesos y procedimientos
respecto a la seguridad de la información.
Realizar la implementación, operación, monitoreo, revisión, mantenimiento y mejora
continua del Sistema de Gestión de Seguridad de la Información (SGSI), enfocado en las
actividades y riesgos de la institución.

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Roles de la seguridad de la información
Auditor Interno del SGSI

Planificar y gestionar las auditorías internas en el período planificado.

Asegurarse que los Auditores Internos mantienen sus habilidades y competencias.
Elaborar los informes y reportes finales de las auditorías internas.
Coordinar la ejecución de las auditorías internas.
Realizar la reunión de Apertura.
Requerir el informe de los auditores internos de forma oportuna.
Coordinar y gestionar, el seguimiento, medición y verificación de la efectividad de las No
Conformidades levantadas en los procesos de auditorías.
Reportar al área auditada los resultados de la auditoría.
Coordinar con los auditores el programa de auditoría para cada zona registral a nivel
nacional y la sede central.
Realizar la Reunión de Cierre de acuerdo al Plan de Auditoría Interna, coordinando y
acordando con cada zona los plazos para levantar las No Conformidades detectadas.

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Roles de la seguridad de la información
Propietario del Riesgo

Participar y/o delegar al personal que participara en las actividades de

identificación, análisis, evaluación y tratamiento de los riesgos de
Seguridad de la Información.
Responsables de la implementación de los controles de Seguridad de la
Información que estén relacionados a sus funciones.
Revisar y aprobar la Matriz de Riesgos, Plan de Tratamiento de Riesgos y
los riesgos residuales de seguridad de la información.
Aceptar el riesgo residual de seguridad del activo de información, y
revisarlos periódicamente; así como los criterios de evaluación y
aceptación de riesgos.
Brindar información oportuna y pertinente para la elaboración de
indicadores y métricas, auditoría, revisión y mejora continua del SGSI.

CENTRO NACIONAL DE SEGURIDAD DIGITAL

3.3 Metodología de
gestión de riesgos

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Matriz de riesgos

CONTROL EXISTENTE
¿Qué afecta en los activos de información? RIESGO EFECTIVO

C
Ó
DI
ACTIVO AMENAZA VULNERABILIDAD G
O
C I D VALOR CID IMPACTO PROBABILIDAD NIVEL DE RIESGO NOMBRE DEL RIESGO
DE
RI
ES
G
O

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Muchas Gracias
Contacto:
Maurice Frayssinet Delgado
mfrayssinet@gmail.com
Tlf. (+51) 980.997.203

CENTRO NACIONAL DE SEGURIDAD DIGITAL