Sistema de

Gestión de
Seguridad de la
Información

ü Seguridad de la Información
Objetivos de hoy
ü Entender la importancia de la Seguridad de la Información
ü Comprender el proceso de implementación del SGSI
Seguridad de la
Información
https://youtu.be/sKcCcPI7kb8?t=12
https://youtu.be/HN5P8H0Gq9U
 SEGURIDAD DE LA
INFORMACIÓN

SEGURIDAD
INFORMÁTICA CIBERSEGURIDAD
SEGURIDAD INFORMÁTICA

Conjunto de procesos, técnicas y herramientas para la protección

de los sistemas informáticos (redes e infraestructura) y la
información en formato digital, es decir, los sistemas que no están
conectados a la red y aún así pueden sufrir amenazas.
CIBERSEGURIDAD

Protección de activos de información, a través del tratamiento de

amenazas que ponen en riesgo la información que es procesada,
almacenada y transportada por los sistemas de información que
se encuentran interconectados. Se pueden aplicar medidas
defensivas u ofensivas.
Fuente: ISACA
SEGURIDAD DE LA INFORMACIÓN

Es el conjunto de medidas preventivas y reactivas de las

organizaciones y sistemas tecnológicos que permiten resguardar
y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de datos.
FUENTE: Wikipedia
¿Qué es un Sistema https://youtu.be/zV2sfyvfqik
de Gestión de
Seguridad de la
información (SGSI)?
Conjunto de políticas y
mecanismos orientados Asegurar que la Garantizar la
información es exactitud y
a preservar la accesible solo completitud de la
confidencialidad,

D
para aquellos información y su

IDA

INT
integridad y autorizados procesamiento

IAL

EG
disponibilidad de la

NC

RID
IDE
información aplicando

AD
INFORMACIÓN

NF
un proceso de gestión de

CO
riesgos.

RM N° 004-2016-PCM (Ene-16)
Aprueba uso obligatorio de la Norma
Técnica Peruana "NTP ISO/IEC
27001:2014. Sistemas de Gestión de
Seguridad de la Información.
DISPONIBILIDAD
Asegurar que los usuarios autorizados
tienen acceso cuando lo requieren a la
información y activos asociados
Gestión de Riesgos de Seguridad de la Información
Gestión de Riesgos de Seguridad de la Información
Familia de Normas ISO27000
Familia de Normas ISO27000
ISO 27001 • ISO 27001 es una norma
internacional que permite el
Seguridad de la aseguramiento, la
confidencialidad e integridad
Información de los datos y de la
información, así como de los
sistemas que la procesan.

• El estándar ISO 27001:2013

para los Sistemas Gestión de la
Seguridad de la Información
permite a las organizaciones la
evaluación del riesgo y la
aplicación de los controles
necesarios para mitigarlos o
eliminarlos.

• La aplicación de ISO-27001
significa una diferenciación
respecto al resto, que mejora
la competitividad y la imagen
de una organización.
Norma ISO 27001
Norma ISO 27001 - Estructura
Dominios ISO 27001 - Anexo A
Proceso de implementación
Proceso de implementación
Alcance de la Seguridad de la Información
Importancia de la Seguridad de la Información
Beneficios de la Seguridad de la Información
Implementación de un Sistema de Gestión
de Seguridad de la Información - SGSI

1. Planificar 2. Hacer 3. Verificar 4. Actuar

1.1 Iniciando la implementación

2.1 Estructura de la organización
del SGSI
Supervisión, medición, análisis y
1.2 Comprensión de la evaluación
Gestión de documentos
organización Tratamiento de no
conformidades
Diseño de controles y
1.3 Analizar el sistema existente
procedimientos

1.4 Liderazgo y aprobación del

Comunicación
proyecto
Auditoría interna
1.5 Alcance del SGSI Sensibilización y capacitación

1.6 Política de seguridad Aplicación de los controles

Mejora contínua
1.7 Evaluación de riesgos Gestión de incidentes
Revisión por la dirección

1.8 Declaración de aplicabilidad Gestión de operaciones

1.1 Iniciando la implementación del SGSI

Lista de actividades

Definición del Selección de un Alineación con

enfoque de la marco las mejores
implementación metodológico prácticas
1.2 Comprensión de la organización

Lista de actividades

Misión, objetivos,
Procesos y
valores, Entorno externo Entorno interno
actividades
estrategias

Requisitos del
Objetivos Partes interesadas Infraestructura
negocio

Alcance preliminar
1.2.1 Comprensión de la misión, objetivos,
valores y estrategias

Misión
Alineación
Objetivos
Estratégica
de la
Valores
Estrateg Gestión
ias
del Riesgo
Objetivos

Política de Gestión del Riesgo

1.2.2 Entorno Externo

Consejos Prácticos
Debilidades Fortalezas
• ISO 27005 e ISO 31000 ofrecen un enfoque práctico
para analizar el contexto de una organización.
• Existen varias metodologías para entender como una
Entorno organización funciona.
Externo • Lo importante es identificar las características de los
factores ambientales internos y externos que influyen
sobre la gestión del riesgo: misión, actividades
Oportunidades Amenazas principales, organización interna, partes interesadas,
etc.
1.2.3 Entorno Interno

Estrategia Consejos Prácticos

• Estrategia: ¿Quién establece las

orientaciones estratégicas?
Contexto
Interno • La Dirección: ¿Quién coordina y
administra las operaciones?
La
Operativa
Dirección • Operativa: ¿Quién está involucrado en la
producción y las actividades de apoyo?
1.2.4 Procesos y actividades

• ¿Cuáles son los

Procesos procesos claves que
de permiten a la
organización cumplir
negocios con su misión?

Ofertas de
productos
y servicios
• ¿Cuáles son los
bienes y servicios
producidos por la Información de
organización?
los activos
• ¿Cuáles son los
activos de
información clave de
la organización?
 1.2.5 Infraestructura

Categoría Definición Ejemplos

Hardware Elementos físicos de soporte a los procesos Servidor, laptop, impresora, unidad
de disco , etc
Software Programas que contribuyen al tratamiento de datos Sistema operativo, procesador de
texto, software de contabilidad, etc
Redes Dispositivos de telecomunicaciones utilizados para Router, firewall, cable de red, etc
interconectar equipos físicamente remotos
Sitios Lugares físicos donde se llevan a cabo las operaciones Sala de servidores / Redes, etc
1.2.6 Partes interesadas

• Instituciones • Clientes
Financieras • Grupos de
• Proveedores Interés

Junta Equipo
Directiva Gerencial

Organización
Empleados Sindicatos

• Legislador • Público
• Medios • Accionistas
1.2.7 Requisitos del negocio

Importante
Legales y
Las • La organización debe tener en cuenta los requisitos
Reglame
Normas relacionados con el negocio y con las disposiciones
ntarias
legales o reglamentarias y sus obligaciones
contractuales en materia de seguridad que se acordaron
con las distintas partes interesadas (ISO 27001, cláusula
Políticas 4.2.1), para hacerlo, tenemos que identificar y tener en
Mercado
Internas cuenta todas las exigencias de la organización que
podrían influir en el manejo de la seguridad de la
información.
1.2.8 Objetivos

ISO 27003, cláusula 5.2

Determinar los objetivos

Mejora de la gestión de Gestión efectiva de la
Ventaja del negocio
riesgos seguridad

¿Puede el SGSI mejorar la eficacia ¿La implementación de un SGSI

¿Puede el SGSI mejorar la gestión de
de la gestión de seguridad de la puede proporcionar ventajas
riesgos?
información? competitivas?
1.2.9 Alcance preliminar

ISO 27003, cláusula 5.3.1

Descripción de
Lista de los Lista de procesos
Resumen de cómo las áreas
objetivos de de negocio, Relación de
mandatos para en el ámbito de
negocio de la sistemas, activos sistemas de
la gestión de la aplicación
gestión de la de información, gestión
seguridad de la interactúan con
seguridad de la etc. a las que se existentes
información otros sistemas de
información les aplicará el SGSI
gestión
1.4 Liderazgo y aprobación del proyecto

Lista de actividades

Caso de Equipos del Requisitos de

negocios proyecto SGSI recursos

Plan de
Aprobación de
proyecto del
la dirección
SGSI
1.4.1 Caso de negocio

ISO 27003, cláusula 5.4

Estructuración
inicial del
proyecto

Documento
para
promover el
proyecto del
SGSI

Una herramienta para

aprobar la toma de
decisiones para la
gestión
Contenido del caso de negocio

ISO 27003, cláusula 5.4 y PMBOK

1. Medio 2. Finalidad y 3. Resumen del 4. Beneficios 5. Alcance 6. Factores de

ambiente objetivos proyecto esperados preliminar éxito

9. Funciones y 10. Recursos

7. Anteproyecto 8. Plazos e hitos 11. Presupuesto 12. Restricciones
responsabilidades necesarios
1.4.2 Equipos del proyecto SGSI

Defensor Director
Equipo de
del del Equipo del Partes
gestión del
proyecto proyecto proyecto interesadas
proyecto
SGSI SGSI
1.4.3 Requisitos de recursos

Los tipos de recursos deben incluir:

• Las personas
• Información y datos
• Las instalaciones y equipos
• Sistemas de tecnologías de información y comunicación (TIC)
• Transporte
• Finanzas
• Socios y proveedores
1.5 Alcance del SGSI

Lista de actividades

Limites del
Límites
sistema de Limites físicos
organizacionales
información

Definir el
alcance del SGSI
1.5.1 Limites organizacionales

ISO 27003, cláusula 6.2

Un proceso clave

Un departamento

La organización como
un todo
La organización y sus partes
interesadas
1.5.2 Limites del sistema de información

ISO 27003, cláusula 6.3

Redes

Sistema
Aplicaciones
operativo

Ámbito de
aplicación

Base de
Procesos
datos
Equipo de
telecomuni
caciones
1.5.3 Limites físicos

ISO 27003, cláusula 6.4

Debe considerarse lo siguiente:

• Deben tomarse en cuenta todos los lugares físicos, tanto internos como
externos, incluidos en el SGSI
• Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del
alcance y los medios físicos necesarios para que funcionen
• En el caso de los sitios físicos subcontratados, tienen que ser consideradas
las interfaces con el SGSI y los acuerdos de los servicios aplicables
1.5.4 Definir el alcance del SGSI

ISO 27003, cláusula 6.5

El alcance debe incluir:

• Las principales características de la organización

• Los procesos de la organización
• Las descripciones de las funciones y responsabilidades relacionadas con el SGSI
• Lista de los activos de información
• Lista de los sistemas de información
• Mapas de ubicación geográfica
• Los detalles y motivos para las exclusiones
1.6 Política de seguridad de la información

Lista de actividades

Proceso de
Estructura de la Elaboración de la
redacción de la
política política del SGSI
política

Elaboración de la
Elaborar políticas
Aprobación por la política de
específicas de
dirección seguridad de la
seguridad
información

Capacitación,
Publicación y Control, evaluación
comunicación y
distribución y revisión
sensibilización
1.7 Evaluación de riesgos

Lista de actividades

Enfoque del Metodología de

Identificación Análisis de
tratamiento del evaluación del
del riesgo riesgos
riesgo riesgo residual

Aceptación del Tratamiento del Evaluación del

riesgo riesgo riesgo
1.8 Declaración de aplicabilidad
Definición de “declaración de
aplicabilidad”
ISO 27000, cláusula 2.75

Definición

• Declaración documentada que describe los

objetivos de control y los controles que son
pertinentes y aplicables al SGSI de la organización
1.8 Declaración de aplicabilidad

Lista de actividades

Selección de los Justificación de los

Justificación de los
objetivos y controles
controles excluidos
controles aplicables seleccionados

Redacción de la
Aprobación por la
declaración de
dirección
aplicabilidad
1.8.1 Selección de los objetivos y
controles aplicables
Se debe tener en cuenta lo siguiente:

• La organización debe revisar los 114 controles de

seguridad en el Anexo A para identificar los que son
aplicables y los que no se consideran en el contexto
del SGSI
• Se pueden utilizar otros repositorios para
implementar controles de seguridad adicionales
• La mayoría de las organizaciones informa de más de
ochenta (80) controles de seguridad (exagerado)
1.8.2 Justificación de los controles
seleccionados
Se debe tener en cuenta lo siguiente:

•La organización debería justificar las razones para la selección de cada

control de seguridad incluido en el SGSI
•Esta es la respuesta al “por qué” de cada control
•Ejemplo:
Tratamiento del riesgo dentro de acuerdos con proveedores
(A.15.1.2): Se deben establecer y acordar todos los requisitos de
seguridad de la información pertinentes con cada proveedor que pueda
tener acceso, procesar, almacenar, comunicar o suministrar componentes
de infraestructura de TI para la información e la organización.
Justificación para la selección: Garantizar la seguridad de la información
y medios de acceso, procesamiento, almacenamiento, comunicación o
de los componentes de la infraestructura de TI para la información
perteneciente a la organización, que es utilizada por los proveedores.
1.8.3 Justificación de los controles
excluidos
Se debe tener en cuenta lo siguiente:

•La organización debería justificar las razones de la

exclusión de cada control de seguridad del Anexo A que
no está incluido en el SGSI
•Los motivos de exclusión más frecuentes son:
1.Violación de un requisito legal, estatutario o
contractual (Ejemplo: Investigación de antecedentes,
A.7.1.1)
2.No existe en esta organización actividad relacionada
con este control (Ejemplo: Teletrabajo, A.6.2.2)
 1.8.4 Redacción de la declaración
de aplicabilidad (I)

¿Aplica
Control Descripción Justificación Documentación Responsable
?
La política de seguridad de la
información , aprobada por Proveer las
la alta dirección, en efecto directrices para
desde el de diciembre del seguridad de la
A.5.1.1 Documentar la
2017. Una copia fue enviada información y el Seguridad-
política de seguridad de Si CISO
a todos los empleados y apoyo de la dirección política-3213PO
la información
partes interesada. La versión , según los requisitos
oficial está disponible en la de negocio y las
intranet leyes y reglamentos
 1.8.4 Redacción de la declaración
de aplicabilidad (II)
¿Aplica
Control Descripción Justificación Documentación Responsable
?
1. Procedimient
La política de seguridad de la
o-revisión-
información es revisada
Asegurar que la Por-La-
anualmente en la reunión de
política de Dirección-
revisión de la dirección, la
seguridad de la 312PR
resolución formal se
A.5.1.2 Revisión de la información se 2. Polìtica-De-
extiende por otro año. En
política de seguridad de Si mantiene hasta la Seguridad- CISO
caso de cambios
la información fecha y permanece 3213-PO-
importantes, puede
alineada con los Clausula-6.2
realizarse una revisión
objetivos de la 3. Actas de
durante el año a pedido de la
organización revisión por la
dirección
Dirección
2017
1.8.4 Redacción de la declaración
de aplicabilidad (III)

¿Aplica
Control Descripción Justificación Documentación Responsable
?

___________________
A.6.2.2 El teletrabajo No
Nuestra organización
no tiene actividades No hay
CISO
relacionadas con el documento
teletrabajo
1.8.5 Aprobación por la dirección
ISO 27003, cláusula 8.4

Posible evidencia de Aprobación

autorización de la dirección de la
dirección

• Resolución del consejo de

administración o del comité de Implementa
directores ción del
SGSI
• Cartas oficiales
• Reunión de lanzamiento
• Etc.
2.1 Estructura de la organización
2.1 Estructura de la organización

Lista de actividades

Definir las funciones

Seleccionar una Definir las funciones
y responsabilidades
estructura y responsabilidades
de las partes
organizativa de los comités clave
interesadas
2.1.1 Seleccionar una estructura organizativa

Comité de gestión
Comité de Consejo de
para seguridad de
auditorias administración
la información

CEO

Servicios Seguridad de la
Operaciones RRHH Auditoría interna TI Ventas y marketing
administrativos información
2.1.2 Definir las funciones y
responsabilidades de las partes
interesadas
FUNCIÓN PRINCIPALES RESPONSABILIDADES
Encargado de la seguridad de Coordinar las actividades relativas a la gestión de la seguridad de la información y
la información operaciones del SGSI
Consejo legal Identificar el cumplimiento y análisis de los requisitos (legales, regulatorios y
contractuales)
Encargado de RRHH Implementar y gestionar la formación y el conocimiento de la seguridad de la
información, tener en cuenta los controles de seguridad en los procesos de RRHH
(contratación, despido, proceso disciplinario)
Encargado de patrimonio Implementar y administrar los controles de seguridad física (control de acceso a
edificios, protección contra incendios, mantenimiento eléctrico, etc.)
Encargado de TI Implementa y administrar soluciones y medidas técnicas n el manejo de las
operaciones diarias
Encargado del centro de Implementar y administrar los servicios a los usuarios y los controles relacionados
servicios /”Help-Desk” (control de acceso, gestión de incidencias, etc.)

Oficial de relaciones publicas Validación del impacto sobre la reputación de la organización, las comunicaciones
con las partes interesadas externas
Auditor interno Validación del cumplimiento del SGSI y de los controles de seguridad
2.1.3 Seleccionar las funciones y
responsabilidades de los comités clave

1. Comité ejecutivo

2. Comité de seguridad
de la información

3. Comités operativos
2.2 Gestión de documentos
2.2 Gestión de documentos

Lista de actividades

Implementación de
Define el proceso
Creación de un sistema de
para el control de
plantillas gestión de
la comunicación
documentos

Crear una lista Definir el proceso

maestra de para el control de
documentos los registros
2.3 Diseño de controles y
procedimientos
2.3 Diseño de controles y procedimientos

Lista de actividades

Diseñar los Descripción de Escribir

procesos y los procesos y políticas
controles controles especificas

Definición de Procedimientos
los registros de escritura
2.4 Comunicación
2.4 Comunicación

Lista de actividades

Establecer Identificar las Planificar las

objetivos de partes actividades de
comunicación interesadas comunicación

Realizar una
Evaluar la
actividad de
comunicación
comunicación
2.5 Sensibilización y capacitación
2.5 Sensibilización y capacitación

Lista de actividades

Definiendo las
Diseño y Dar la
necesidades de
planificación capacitación
capacitación

Evaluación del
resultado
2.6 Aplicación de los controles
2.6 Aplicación de los controles

Lista de actividades

Implementar
Planificar la Revisión de la
los procesos y
aplicación documentación
los controles

Aprobación de
la dirección
2.7 Gestión de incidentes
2.7 Gestión de incidentes

Lista de actividades

Política de Definir el proceso Crear un equipo

gestión de y escribir los de respuesta a
incidentes procedimientos incidentes - CSIRT

Implementar
controles
¿Preguntas?