Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestión de
Seguridad de la
Información
ü Seguridad de la Información
Objetivos de hoy
ü Entender la importancia de la Seguridad de la Información
ü Comprender el proceso de implementación del SGSI
Seguridad de la
Información
https://youtu.be/sKcCcPI7kb8?t=12
https://youtu.be/HN5P8H0Gq9U
SEGURIDAD DE LA
INFORMACIÓN
SEGURIDAD
INFORMÁTICA CIBERSEGURIDAD
SEGURIDAD INFORMÁTICA
D
para aquellos información y su
IDA
INT
integridad y autorizados procesamiento
IAL
EG
disponibilidad de la
NC
RID
IDE
información aplicando
AD
INFORMACIÓN
NF
un proceso de gestión de
CO
riesgos.
DISPONIBILIDAD
RM N° 004-2016-PCM (Ene-16)
Aprueba uso obligatorio de la Norma Asegurar que los usuarios autorizados
Técnica Peruana "NTP ISO/IEC
27001:2014. Sistemas de Gestión de tienen acceso cuando lo requieren a la
Seguridad de la Información. información y activos asociados
Gestión de Riesgos de Seguridad de la Información
Gestión de Riesgos de Seguridad de la Información
Familia de Normas ISO27000
Familia de Normas ISO27000
ISO 27001 • ISO 27001 es una norma
internacional que permite el
Seguridad de la aseguramiento, la
confidencialidad e integridad
Información de los datos y de la
información, así como de los
sistemas que la procesan.
• La aplicación de ISO-27001
significa una diferenciación
respecto al resto, que mejora
la competitividad y la imagen
de una organización.
Norma ISO 27001
Norma ISO 27001 - Estructura
Dominios ISO 27001 - Anexo A
Proceso de implementación
Proceso de implementación
Alcance de la Seguridad de la Información
Importancia de la Seguridad de la Información
Beneficios de la Seguridad de la Información
Implementación de un Sistema de Gestión
de Seguridad de la Información - SGSI
Mejora contínua
1.7 Evaluación de riesgos Gestión de incidentes
Revisión por la dirección
Lista de actividades
Lista de actividades
Misión, objetivos,
Procesos y
valores, Entorno externo Entorno interno
actividades
estrategias
Requisitos del
Objetivos Partes interesadas Infraestructura
negocio
Alcance preliminar
1.2.1 Comprensión de la misión, objetivos,
valores y estrategias
Misión
Alineación
Objetivos
Estratégica
de la
Valores
Estrateg Gestión
ias
del Riesgo
Objetivos
Consejos Prácticos
Debilidades Fortalezas
• ISO 27005 e ISO 31000 ofrecen un enfoque práctico
para analizar el contexto de una organización.
• Existen varias metodologías para entender como una
Entorno organización funciona.
Externo • Lo importante es identificar las características de los
factores ambientales internos y externos que influyen
sobre la gestión del riesgo: misión, actividades
Oportunidades Amenazas principales, organización interna, partes interesadas,
etc.
1.2.3 Entorno Interno
Ofertas de
productos
y servicios
• ¿Cuáles son los
bienes y servicios
producidos por la Información de
organización?
los activos
• ¿Cuáles son los
activos de
información clave de
la organización?
1.2.5 Infraestructura
• Instituciones • Clientes
Financieras • Grupos de
• Proveedores Interés
Junta Equipo
Directiva Gerencial
Organización
Empleados Sindicatos
• Legislador • Público
• Medios • Accionistas
1.2.7 Requisitos del negocio
Importante
Legales y
Las • La organización debe tener en cuenta los requisitos
Reglame
Normas relacionados con el negocio y con las disposiciones
ntarias
legales o reglamentarias y sus obligaciones
contractuales en materia de seguridad que se acordaron
con las distintas partes interesadas (ISO 27001, cláusula
Políticas 4.2.1), para hacerlo, tenemos que identificar y tener en
Mercado
Internas cuenta todas las exigencias de la organización que
podrían influir en el manejo de la seguridad de la
información.
1.2.8 Objetivos
Descripción de
Lista de los Lista de procesos
Resumen de cómo las áreas
objetivos de de negocio, Relación de
mandatos para en el ámbito de
negocio de la sistemas, activos sistemas de
la gestión de la aplicación
gestión de la de información, gestión
seguridad de la interactúan con
seguridad de la etc. a las que se existentes
información otros sistemas de
información les aplicará el SGSI
gestión
1.4 Liderazgo y aprobación del proyecto
Lista de actividades
Plan de
Aprobación de
proyecto del
la dirección
SGSI
1.4.1 Caso de negocio
Estructuración
inicial del
proyecto
Documento
para
promover el
proyecto del
SGSI
Defensor Director
Equipo de
del del Equipo del Partes
gestión del
proyecto proyecto proyecto interesadas
proyecto
SGSI SGSI
1.4.3 Requisitos de recursos
• Las personas
• Información y datos
• Las instalaciones y equipos
• Sistemas de tecnologías de información y comunicación (TIC)
• Transporte
• Finanzas
• Socios y proveedores
1.5 Alcance del SGSI
Lista de actividades
Limites del
Límites
sistema de Limites físicos
organizacionales
información
Definir el
alcance del SGSI
1.5.1 Limites organizacionales
Un proceso clave
Un departamento
La organización como
un todo
La organización y sus partes
interesadas
1.5.2 Limites del sistema de información
Redes
Sistema
Aplicaciones
operativo
Ámbito de
aplicación
Base de
Procesos
datos
Equipo de
telecomuni
caciones
1.5.3 Limites físicos
• Deben tomarse en cuenta todos los lugares físicos, tanto internos como
externos, incluidos en el SGSI
• Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del
alcance y los medios físicos necesarios para que funcionen
• En el caso de los sitios físicos subcontratados, tienen que ser consideradas
las interfaces con el SGSI y los acuerdos de los servicios aplicables
1.5.4 Definir el alcance del SGSI
Lista de actividades
Proceso de
Estructura de la Elaboración de la
redacción de la
política política del SGSI
política
Elaboración de la
Elaborar políticas
Aprobación por la política de
específicas de
dirección seguridad de la
seguridad
información
Capacitación,
Publicación y Control, evaluación
comunicación y
distribución y revisión
sensibilización
1.7 Evaluación de riesgos
Lista de actividades
Definición
Lista de actividades
Redacción de la
Aprobación por la
declaración de
dirección
aplicabilidad
1.8.1 Selección de los objetivos y
controles aplicables
Se debe tener en cuenta lo siguiente:
¿Aplica
Control Descripción Justificación Documentación Responsable
?
La política de seguridad de la
información , aprobada por Proveer las
la alta dirección, en efecto directrices para
desde el de diciembre del seguridad de la
A.5.1.1 Documentar la
2017. Una copia fue enviada información y el Seguridad-
política de seguridad de Si CISO
a todos los empleados y apoyo de la dirección política-3213PO
la información
partes interesada. La versión , según los requisitos
oficial está disponible en la de negocio y las
intranet leyes y reglamentos
1.8.4 Redacción de la declaración
de aplicabilidad (II)
¿Aplica
Control Descripción Justificación Documentación Responsable
?
1. Procedimient
La política de seguridad de la
o-revisión-
información es revisada
Asegurar que la Por-La-
anualmente en la reunión de
política de Dirección-
revisión de la dirección, la
seguridad de la 312PR
resolución formal se
A.5.1.2 Revisión de la información se 2. Polìtica-De-
extiende por otro año. En
política de seguridad de Si mantiene hasta la Seguridad- CISO
caso de cambios
la información fecha y permanece 3213-PO-
importantes, puede
alineada con los Clausula-6.2
realizarse una revisión
objetivos de la 3. Actas de
durante el año a pedido de la
organización revisión por la
dirección
Dirección
2017
1.8.4 Redacción de la declaración
de aplicabilidad (III)
¿Aplica
Control Descripción Justificación Documentación Responsable
?
Nuestra organización
___________________ no tiene actividades No hay
A.6.2.2 El teletrabajo No CISO
relacionadas con el documento
teletrabajo
1.8.5 Aprobación por la dirección
ISO 27003, cláusula 8.4
Lista de actividades
Comité de gestión
Comité de Consejo de
para seguridad de
auditorias administración
la información
CEO
Servicios Seguridad de la
Operaciones RRHH Auditoría interna TI Ventas y marketing
administrativos información
2.1.2 Definir las funciones y
responsabilidades de las partes
interesadas
FUNCIÓN PRINCIPALES RESPONSABILIDADES
Encargado de la seguridad de Coordinar las actividades relativas a la gestión de la seguridad de la información y
la información operaciones del SGSI
Consejo legal Identificar el cumplimiento y análisis de los requisitos (legales, regulatorios y
contractuales)
Encargado de RRHH Implementar y gestionar la formación y el conocimiento de la seguridad de la
información, tener en cuenta los controles de seguridad en los procesos de RRHH
(contratación, despido, proceso disciplinario)
Encargado de patrimonio Implementar y administrar los controles de seguridad física (control de acceso a
edificios, protección contra incendios, mantenimiento eléctrico, etc.)
Encargado de TI Implementa y administrar soluciones y medidas técnicas n el manejo de las
operaciones diarias
Encargado del centro de Implementar y administrar los servicios a los usuarios y los controles relacionados
servicios /”Help-Desk” (control de acceso, gestión de incidencias, etc.)
Oficial de relaciones publicas Validación del impacto sobre la reputación de la organización, las comunicaciones
con las partes interesadas externas
Auditor interno Validación del cumplimiento del SGSI y de los controles de seguridad
2.1.3 Seleccionar las funciones y
responsabilidades de los comités clave
1. Comité ejecutivo
2. Comité de seguridad
de la información
3. Comités operativos
2.2 Gestión de documentos
2.2 Gestión de documentos
Lista de actividades
Implementación de
Define el proceso
Creación de un sistema de
para el control de
plantillas gestión de
la comunicación
documentos
Lista de actividades
Definición de Procedimientos
los registros de escritura
2.4 Comunicación
2.4 Comunicación
Lista de actividades
Realizar una
Evaluar la
actividad de
comunicación
comunicación
2.5 Sensibilización y capacitación
2.5 Sensibilización y capacitación
Lista de actividades
Definiendo las
Diseño y Dar la
necesidades de
planificación capacitación
capacitación
Evaluación del
resultado
2.6 Aplicación de los controles
2.6 Aplicación de los controles
Lista de actividades
Implementar
Planificar la Revisión de la
los procesos y
aplicación documentación
los controles
Aprobación de
la dirección
2.7 Gestión de incidentes
2.7 Gestión de incidentes
Lista de actividades
Implementar
controles
¿Preguntas?