www.inictel-uni.edu.

pe
Sesión 2:
Requisitos de la gestión de seguridad de la información. Primera parte. (1
hora) Introducción y conceptos.
Repaso Sesión 1:
Empresa
Organización que tienen un fin económico
Una organización con objetivos, misión y visión
Organización que gestiona recursos para su máxima utilidad
Organización de funciones para lograr un objetivo
Organización que se dedica a la producción o provisión de bienes para generar ingresos y obtener
beneficios económicos compuesta por un grupo de individuos que trabajan conjuntamente para alcanzar
metas comerciales
Organismo que promueven actividades para conseguir un fin
Sociedad. Compañía. Firma. Negocio. Comercio. Tarea. Trabajo. Acción. Ocupación. Intento, afán. Plan.
Tiene objetivos. Tiene tareas, hace algo.
Produce. Transforma insumos en productos.
Tiene una organización, un organigrama.
Repaso Sesión 1:
Riesgos para mi Empresa

La dura competencia en el rubro y la pérdida de cliente

Que no se adecue a la demanda del mercado
La competencia, las amenazas y debilidades que hay dentro de la organización
No buscar la innovación y quedarse con una sola idea de negocios
Alza de precios de insumos usados tmb sería un riesgo o una crisis económica general (inflación, recesión,
etc)
Factores externos como una pandemia o las crisis políticas que derivan en lo económico
Posibles eventos que causen un impacto negativo en la empresa
Todo lo cual podría ocasionar daño:
Incendio. Sismo anunciado. Inundación de Sedapal. Robo. Demanda laboral. Pérdida de clientes. Perder
trabajadores. Crece la competencia, bajas ventas. actores políticos
Repaso Sesión 1:
Gestionar el Riesgo en mi Empresa

• ISO 22000 para el control de riesgos alimentarios.

• COBIT e ITIL para riesgos tecnológicos.
• PMBOK para gestión de riesgos en procesos.
• ISO 14000 para la gestión de riesgos de naturaleza ambiental.
• OSHAS 18001 para la gestión de la seguridad y salud ocupacional.
• COSO Es la metodología más extendida e implementada a nivel internacional, dedicada a proveer marcos y
orientaciones sobre la gestión del riesgo empresarial, control interno y la disuasión del fraude.
• IRM Son estándares de gerencia de riesgos que considera las consecuencias positivas y negativas en todo
tipo de organizaciones y actividades en el corto y largo plazo
• ISO 31000: “Gestión del riesgo. Principios y orientaciones”, que recoge y unifica todos los estándares
mencionados. Está diseñado para que cualquier tipo de organización pueda identificar y evaluar todos sus
riegos de una forma estructurada.
• ISO 27000 para los sistemas de seguridad de la
información.
www.inictel-uni.edu.pe
La experiencia ha comprobado que una buena gestión de la
información, no sólo puede mejorar significativamente el
desempeño organizacional, sino que también puede
transformar radicalmente los procesos, estructura y cultura
de la organización.
LA GESTIÓN ES LIBRE

www.inictel-uni.edu.pe
CONCEPTOS QUE DEBEMOS TENER CLAROS:

Gestión de Riesgos
Seguridad Física
Seguridad en las Operaciones
Control de Accesos
Desarrollo de aplicaciones y sistemas
Ingeniería Social
Criptografía / Infraestructura de Llaves Públicas
Recuperación ante desastres y Continuidad del Negocio

www.inictel-uni.edu.pe
 GESTIÓN DEL RIESGO

Vulnerabilidad. Debilidad de software, hardware

o procedimiento.
Amenaza. Peligro potencial de que un agente
aproveche una vulnerabilidad
Riesgo. Probabilidad de que un agente
aproveche una vulnerabilidad
Control (countermeasure, safeguard). Mitiga el
riesgo. Configuración de software, hardware o
procedimiento que elimina la vulnerabilidad o
reduce la amenaza.

www.inictel-uni.edu.pe
 Riesgo:
Combinación de la probabilidad de un suceso y su consecuencia

EL término riesgo normalmente

se utiliza únicamente cuando
existe al menos la posibilidad
de consecuencias negativas.
Tarea : describir la
vulnerabilidad y la amenaza.

www.inictel-uni.edu.pe
 GESTIÓN DEL RIESGO

Amenaza: Es una condición del

entorno que ante determinada
circunstancia puede dar lugar a un
evento negativo.
Vulnerabilidad: Es un hecho o
actividad que permite concretar una
amenaza
Impacto: Es el daño producido por la
efectivización de una amenaza.

www.inictel-uni.edu.pe
• Riesgo: Es la posibilidad
que se produzca un
impacto en la organización.
• Contramedidas o
salvaguardas: Protecciones
u acciones que disminuyen
el riesgo.
• Riesgo de ser destruida:
• ALTO
• Contramedidas :
– DEZPLAZAR LA CASA
– QUITAR LA ROCA Y LA PEÑA
– LEVANTAR UN MURO
GIGANTE 11
 Gestión de Riesgos
Seguridad Física
Seguridad en las Operaciones

SEGURIDAD FÍSICA.
Control de Accesos
Desarrollo de aplicaciones y sistemas
Ingeniería Social

Controles
Criptografía / Infraestructura de Llaves Públicas
Recuperación ante desastres y Continuidad del
Negocio

Técnicos: Físicos:
Administrativos
Selección o construcción Controles de acceso Rejas
de locaciones Detección de intrusos Seguros
Gestión de locaciones Alarmas Iluminación
Controles de personal Monitorizado (CCTV) Materiales de construcción
Entrenamiento Calefacción, Ventilación,
Aire acondicionado (HVAC)
Respuesta y Energía
procedimientos ante
emergencias Detección y supresión de
incendios
Respaldos (backups)

www.inictel-uni.edu.pe
 GESTIÓN DE OPERACIONES

Mesa de ayuda.
Soporte técnico.
Permanente tensión entre Negocios y IT: “IT debe darle valor al Negocio”
“La solución debe tener un buen ROI”
“IT debe darle valor al Negocio”
“Los proyectos requieren una justificación económica”
Cumplir objetivos de Negocios a través de la Tecnología:
“Entregar servicios al nivel correcto de contenido y calidad” Vs “Tener una infraestructura disponible, efectiva y eficiente en
costos”
SLA . ITIL - PROCESOS

www.inictel-uni.edu.pe
Control de accesos

Proceso:

www.inictel-uni.edu.pe
• #1: Si alguien puede persuadirlo para que ejecute su programa en su
computadora, ya no es su computadora
• #2: Si alguien puede alterar el sistema operativo de tu computadora, ya no es
tu computadora
• #3: Si alguien tiene acceso físico sin restricciones a su computadora, ya no
es su computadora
• #4: Si permite que alguien suba programas a su sitio web, ya no es su sitio
web
• #5: Las contraseñas débiles triunfan sobre la seguridad fuerte
• #6: Una computadora es tan segura como el administrador es confiable
• #7: Los datos cifrados son tan seguros como la clave de descifrado
• N.º 8: Un detector de virus desactualizado es solo marginalmente mejor que
ningún detector de virus
• #9: El anonimato absoluto no es práctico, en la vida real o en la Web
• #10: La tecnología no es una panacea.
www.inictel-uni.edu.pe
CONTINUIDAD DEL NEGOCIO

Programas de Respuesta
• Preservar la vida y la integridad física
• Contener el incidente para proteger las operaciones y facilitar la recuperación
Recuperación
• Recuperar procesos críticos de negocio
Restauración
• Recuperar operaciones normales

PROBAR Y MEDIR

www.inictel-uni.edu.pe
 Gestión de Riesgos
Seguridad Física
Seguridad en las Operaciones
Control de Accesos
Desarrollo de aplicaciones y sistemas
Ingeniería Social
Criptografía / Infraestructura de Llaves Públicas
Recuperación ante desastres y Continuidad del Negocio

www.inictel-uni.edu.pe
ISO/IEC 27001

www.inictel-uni.edu.pe
 ¿Qué metodologías existen?

• ISO 27000 para los sistemas de seguridad de la información.

• ISO 22000 para el control de riesgos alimentarios.
• COBIT e ITIL para riesgos tecnológicos.
• PMBOK para gestión de riesgos en procesos.
• ISO 14000 para la gestión de riesgos de naturaleza ambiental.
• OSHAS 18001 para la gestión de la seguridad y salud ocupacional.

www.inictel-uni.edu.pe
 “Lo importante es contar con un SGSI”

En el Perú se ha normado la utilización de la NTP ISO/IEC 27001: 2014

“ Aprueban el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC 27001:2014
Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad
de la Información. Requisitos. 2a. Edición”, en todas las entidades integrantes del Sistema
Nacional de Informática.” RESOLUCIÓN MINISTERIAL Nº 004-2016-PCM

www.inictel-uni.edu.pe
Metodología ISO IEC 27001: Como hacerlo.

REQUISITOS PARA LA GESTIÓN CHECK DE CONTROLES

Conocer el contexto/involucrados/scope ¿Hay políticas? ¿Hay
Liderazgo y políticas roles y responsabilidades?
Planificación -> ANÁLISIS DE RIESGO ¿Hay segregación de
Soporte: Recursos, competencias, funciones? ¿Hay .. etc.
documentación, etc.
Operación: Planificación, implementar.
Evaluación del desempeño. Auditorias.
Mejoras.

www.inictel-uni.edu.pe
 PASOS PARA IMPLEMENTAR UN SGSI.

Definir un alcance o ámbito (scope) de aplicación.

Realizar un análisis de riesgo: activos/vulnerabilidades/amenazas/el
impacto.
Implementar controles que reduzcan el impacto.

www.inictel-uni.edu.pe
www.inictel-uni.edu.pe
23
Programa de Seguridad
• Piezas necesarias para proteger a la institución y brindar la
estrategia de largo plazo.
• Debe incluir:
• Políticas de Seguridad
• Procedimientos
• Estándares
• Guías
• Baselines
• Entrenamiento
• Manejo de incidentes
• Programa de compliance
Política de Seguridad

• Hecha por los Directivos de la empresa.

• Especifica la importancia de la seguridad para la empresa.
• Debe contemplar temas de leyes y regulaciones existentes
así como las consecuencias del no cumplimiento.
• Suelen ser generales y abarcar muchos temas. La
granularidad la dan los otros componentes del Programa de
Seguridad.
Procedimientos

• Documentos detallados de acciones paso a paso para

conseguir cierto resultado o ejecutar cierta tarea.
• Por ejemplo para instalar o configurar un componente.
Estándares

• Temas de comportamiento y/o uso de determinado hardware

y/o software
• Ej. Manipulación de laptops, Uso de distintivos, tratamiento de
extraños en la oficina
• Deben hacerse cumplir.
• Ejemplo el lavado de manos al llegar al trabajo, a la casa.
Guías

• Acciones y recomendaciones para usuarios, personal de

sistemas, personal de operaciones, etc.
• Suelen cubrir “áreas grises”.
Baselines

• Brindan el nivel mínimo necesario de seguridad.

• Ej. Los antivirus deben tener firmas actualizadas como máximo en
los últimos 7 días.
• Requerimientos de negocio pueden exigir a sistemas/áreas
específicos mayores niveles de protección
 •
•
Políticas de Seguridad

Ejemplo
•
Procedimientos

•
Estándares

•
Guías

•
Baselines

•
Entrenamiento

•
Manejo de incidentes
Programa de compliance

• Política: Proteger la información confidencial

• Estándar: cifrado DES para almacenamiento e IPSec para
transmisión.
• Procedimientos: Cómo implementar DES e IPSec
• Guías: Qué hacer cuando los datos son descifrados
accidentalmente, o cuando se corrompen.
ALGUNAS CUESTIONES RESPECTO AL ALCANCE

www.inictel-uni.edu.pe
 El Alcance
EL ALCANCE: ISO 27003…” El alcance define dónde y para qué se aplica
exactamente el SGSI y dónde y para qué no lo es….. el alcance es una
actividad clave que determina la base necesaria para todas las demás
actividades en la implementación del SGSI ….ejemplos: .. uno o más procesos
específicos…… una o más funciones específicas….uno o más servicios
específicos….uno o más de sus proveedores…etc”
Guia: … seguir un enfoque de varios pasos, el primero de los cuales es:
“Determinar el alcance preliminar: esta actividad debe ser realizada por un
grupo pequeño pero representativo de representantes de la gerencia”

www.inictel-uni.edu.pe
Ejemplo:
ALCANCE: PROTEGER LOS PROCESOS CRÍTICOS DEL NEGOCIO.

MISIÓN DEL INICTEL-UNI: “Fomentar el desarrollo de la sociedad de

la información” (PEI 2014-2021)

MISIÓN DE LA UNI (PEI 2020-2025): "Formar profesionales líderes en

ciencias, ingeniería y arquitectura de manera humanista y centrada
en la investigación científica, la creación y desarrollo de
tecnologías, comprometida en la mejora continua de la calidad y la
responsabilidad social, contribuyendo al desarrollo sostenible del
país".
www.inictel-uni.edu.pe
PROPUESTA:

El ALCANCE debe centrarse en el rol de

Especialización académica de profesionales.

En consecuencia, los procesos relacionados son los

referidos a la Capacitación Tecnológica de última
generación.

www.inictel-uni.edu.pe
CONTRATACIÓN Y PAGO DE DOCENTES.
CONTROL DE PARTICIPANTES (REGISTROS DE
MATRÍCULA,CERTIFICADOS)
MANTENIMIENTO DE EQUIPOS DE LABORATORIOS.
DIFUSIÓN DE LOS RESULTADOS DE LA INVESTIGACIÓN.

www.inictel-uni.edu.pe
TAREA 4:
Definir:
Misión de su empresa
Visión de su empresa
Alcance del SGSI para su empresa
Política: (de seguridad)
01 Estándar.
Procedimiento(s) del estándar.
Guías del procedimiento.
 Fin de la segunda sesión

www.inictel-uni.edu.pe