SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN - SGI
Agenda
ASPECTOS GENERALES
CUNTAS FASES TIENE EL
MODELO PROPUESTO POR EL ISO
27001 (IMPLEMENTACIN DEL SGI)
Y EN CUAL EST SU PROCESO?
Establezca el Contexto en la que se encuentra
su proceso en el SGI
 Qu es un Activo?
Cualquier cosa que tenga valor para la organizacin. [ISO/IEC
27000:2012]

Estos pueden ser: un documento, un software, algn elemento

fsicos, como una computadora, los servicios, las personas e
los intangibles, como la reputacin o imagen de las empresas.
 Qu es la seguridad de la informacin?
Confidencialidad
Asegurar que la Disponibilidad
Asegurar el acceso y uso
informacin no este sobre demanda a una
disponible o divulgada a persona o entidad
personas, entidades o autorizada.
procesos no
autorizados.

Integridad
Salvaguardar la exactitud
y completitud de los
activos, as como los
mtodos de
procesamiento.
 Conoce y entiende la Poltica del SGI?

Cmo contribuye
el rea?
Dnde est
ubicada?
Cmo la difunde a
personal y terceros?

Asegurar la confidencialidad, integridad y

disponibilidad de los activos de informacin
relevantes, mediante la gestin de riesgos,
implementacin de controles y mediciones de la
seguridad de la informacin.
CULES SON LOS OBJETIVOS
DEL SGI (MENCIONE UN EJEMPLO
POR CADA UNO DE ELLOS)?
 Conoce y entiende los Objetivos del SGI?

Asegurar un adecuado desarrollo, implementacin, operacin, monitoreo,

Objetivo
revisin, mantenimiento y mejora continua del Sistema de Gestin de
General
Seguridad de la Informacin.

Garantizar la integridad de los expedientes, asegurando su uso dentro de los

Objetivo 1
procesos que los requieran.
Garantizar la disponibilidad de los sistemas de informacin, asegurando su
Objetivo 2
operacin en los procesos que los requieran.
Objetivo 3 Asegurar la efectividad del SGSI, a traves de la mejora continua.
Garantizar la efectividad de los controles implementados, asegurando una
Objetivo 4
adecuada mitigacin de los riesgos.

Cmo contribuye el rea?

Dnde est ubicada?
Tiene definido el Alcance de su proceso?

Dnde est
definido?

Est definido en el
Anexo 8 del Manual
SIG: Proceso,
actividades
principales,
localizacin, mbito,
tecnologas.
CULES SON LOS
PROCEDIMIENTOS DEL SGI?
CULES SON OBLIGATORIOS
SEGN LA NORMA ISO 27001?
Conoce la documentacin del SGI?
 Conoce la documentacin del SGI?

Procedimientos Obligatorios (NTP-ISO 27001):

Control de Documentos (4.3.2)
Auditoras Internas (6)
Acciones Correctivas y Preventivas (8.2 y 8.3).

Todos estos procedimientos se encuentran

consolidados en:
Procedimiento SIG-PG-01 Documentacin,
Revisin y Mejora
Sabe ubicar los registros del SGI?
DEFINICIONES SOBRE SEGURIDAD
DE LA INFORMACIN
Activos y Gestin de Riesgos
sus
atributos

Personas Tecnologia 1. Inventariar 2. Anlisis

Basado en la
Ambiente Procesos Norma ISO 27005

Mecanismos
propuestos

4. Tratamiento 3. Evaluacin

Riesgo Efectivo

Probabilidad
 Qu es un Activo?
Cualquier cosa que tenga valor para la organizacin. [ISO/IEC
27000:2012]

Estos pueden ser: un documento, un software, algn elemento

fsicos, como una computadora, los servicios, las personas e
los intangibles, como la reputacin o imagen de las empresas.
 Qu es un Activo de Informacin?
Es todo aquello que es o contiene informacin,
son los datos y el conocimiento de las
personas, y que tiene valor para la
organizacin.
Cules son los recursos a proteger?
La informacin es un activo, que como otros activos
importantes, tiene un valor para la Institucin y
requiere en consecuencia una adecuada proteccin.

La informacin adopta diversas formas:

Impresa o escrita en papel.
Almacenada electrnicamente.
Transmitida por correo o email.
Mostrada en video.
Hablada en conversacin.
UNA PERSONA EN PARTICULAR
PUEDE SER UN ACTIVO DE
INFORMACION? LOS SERVICIOS
DE TERCEROS SON ACTIVOS DE
INFORMACION? POR QU?
 Categoras de Activos

Personas Servicios
conocimiento de las internet, correo,
personas energa o de terceros

Fsicos Software
computadoras, medios aplicativos y software
removibles de sistemas

Informacin Intangibles
contratos, guas, imagen y marca,
resoluciones, base de datos reputacin
Atributos de los Activos
 Propietario de la Informacin
Es aquella persona o entidad que tiene la responsabilidad
gerencial aprobada de controlar la produccin, desarrollo,
mantenimiento, uso y seguridad de los activos de
informacin.

Adems es el responsable por definir apropiadamente la

clasificacin y los derechos de acceso a los activos de
informacin, estableciendo los controles apropiados.
 Custodio de la Informacin
Es aquella persona o entidad que mantiene
bajo su responsabilidad, activos de informacin
de la cual NO es el dueo o propietario.
 Activos Transversales
Los Activos de Informacin Transversales son
identificado por sus respectivos propietarios y
revisados por cada proceso, siguiendo lo
establecido en la Metodologa de Gestin de
Riesgos (SGI-PG-01).
CULES SON LAS
CLASIFICACIONES DE LOS
ACTIVOS DE INFORMACION? POR
QU ES IMPORTANTE CLASIFICAR?
 Criterios de Clasificacin de la
USO PUBLICO
Informacin
Es toda aquella informacin que ha sido explcitamente aprobada por
OSINERGMIN para su diseminacin publica.

Ejemplos Genricos:
boletines de noticias, comunicados internos, presupuestos, memorandos,
informes de prensa, entre otros.
 Criterios de Clasificacin de la
USO INTERNO
Informacin
Es toda aquella informacin cuya revelacin no causara daos a
OSINERGMIN y su acceso es libre para los empleados de la
entidad

Ejemplos Genricos:
informacin publicada en la intranet de la organizacin,
reglamento interno de trabajo, entre otros.
 Criterios de Clasificacin de la
Informacin
USO CONFIDENCIAL
Es toda aquella informacin que debe ser estrictamente
restringida basndose en el concepto de necesidad de
saber, su revelacin requiere la aprobacin de sus
dueo o propietario, es de uso exclusivo de la
organizacin, en el caso de terceros se deber firmar
acuerdo de confidencialidad y no divulgacin.
 Criterios de Clasificacin de la
Informacin
USO RESTRINGIDO
Es toda aquella informacin cuyo acceso se da aun
nmero reducido de personas. Usualmente, debe ir
acompaada del principio de CONFIDENCIALIDAD.
Esta debe ser manejada con todas las precauciones y
controles posibles determinando exactamente que
personas tienen acceso a la misma y vigilando su uso,
transporte y almacenamiento.
CMO VALORIZO UN ACTIVO?
CUNTOS VALORES HAY SEGN
LA METODOLOGIA?
 Cmo Valorizar un Activo?
Confidencialidad
Asegurar que la Disponibilidad
Asegurar el acceso y uso
informacin no este sobre demanda a una
disponible o divulgada a persona o entidad
personas, entidades o autorizada.
procesos no
autorizados.

Integridad
Salvaguardar la exactitud
y completitud de los
activos, as como los
mtodos de
procesamiento.
 Cmo Valorizar un Activo?
Clasific
acin Confidencialidad Integridad Disponibilidad
Cuando la prdida o
(Valor)
falla de un
Muy Irreversiblemente. Irreversiblemente Irreversiblemente determinado activo
Alto afecta la divulgacin o
(5) revelamiento no
Gravemente Gravemente Gravemente autorizado de la
Alto informacin,
(4) impactando -----------
la operatividad,
Considerablemente Considerablemente Considerablemente competitividad, el
Medio
(3) cumplimiento legal,
rentabilidad o imagen
Parcialmente Parcialmente Parcialmente de la Institucin.
Bajo
(2)

Muy No impactando No impactando No impactando

Bajo
(1)
 Cmo Valorizar un Activo?
Valor Valor Tasacin
Mnimo Mximo
3.334 5.000 Alto
1.668 3.333 Medio
1.000 1.667 Bajo

En la identificacin de amenazas y
vulnerabilidades que componen el riesgo, el
Responsable del proceso y Coordinador SGI,
consideran los activos de informacin
identificados cuya valoracin sea Alta y/o que
hayan sido clasificados como Confidenciales.
 Qu es un AMENAZA?
Causa Potencial de un incidente no deseado que puede resultar
en dao al Sistema, a la Organizacin o a sus ACTIVOS.
Puede ser accidental o intencional.

Los activos estn sujetas a muchos tipos de amenazas:

Desastres Naturales: Terremoto, inundacin, etc.
Humanas: Errores de Mantenimiento, huelga, etc.
Tecnolgicas: Cada del Sistemas, falla de hardware.
 Qu es un VULNERABILIDAD?
(Falla o Insuficiencia)

Es la debilidad o ausencia de control

de un ACTIVO de Informacin que
puede ser aprovechada
(explotada) por una AMENAZA.
Ejemplo:
Control de acceso fsico inadecuado
Falta de conciencia en Seguridad
Ausencia de Sistemas contra incendio
 Las vulnerabilidades deben ser
coherentes con la amenaza

Las vulnerabilidades pueden ser explcitas

cuando se trata de ausencia de control o
implcitas cuando existiendo el control ste
puede fallar (debilidad del control).
CONTRO
L
Debilidad de Activo de
Amenaz un control Informacin

a
Explota Ausencia de Activo de
un control Informacin
 Qu es un EVENTO DE RIESGO?

Es la probabilidad de que una

AMENAZA vulnere un ACTIVO,
causando un impacto negativo.
 Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar prdida o dao en un activo de
informacin (Segn ISO 27001).

Nivel de exposicin al Riesgo

Valor del Activo Probabilidad de Impacto

x x
(Integridad, Confidencialidad e Integridad) Ocurrencia (Econmico, legal, operacional)

Amenaza x Vulnerabilidad
 PROBABILIDAD

Es la frecuencia con que se podra

producir el RIESGO en un plazo
determinado de tiempo.

IMPACTO
Son las consecuencias posibles al
momento de materializarse un
RIESGO.
 Probabilidad de
Ocurrencia del Riesgo

Amenaza x Vulnerabilidades

Niveles de Vulnerabilidad
Niveles de Amenaza
Clasificacin Descripcin
Clasificaci
n Descripcin No existen controles para contener
Muy Alto (5)
la amenaza
Muy Alto Una vez a la
(5) semana Existen controles pero no estn
Alto (4)
Alto (4) Una vez al mes documentados
Una vez cada 6 Existen controles documentados
Medio (3) Medio (3)
meses pero no son medibles
Bajo (2) Una vez al ao Existen controles medibles pero
Bajo (2)
Muy Bajo Una vez cada 3 no son mejorados continuamente
(1) aos Existen controles mejorados
Muy Bajo (1)
continuamente
CMO ESTIMO EL NIVEL DE
RIESGO? CUNTOS VALORES HAY
SEGN LA METODOLOGIA?
 Niveles de Riesgo
Clasificacin
Probabilidad de Muy Alto (5)
Alto (4)
Ocurrencia del Riesgo Moderado (3)
Menor (2)
Mnimo (1)

Se consideran los
siguientes niveles de
Amenaza x Vulnerabilidades riesgos: Muy Alto, Alto,
Medio, Bajo y Muy
Bajo, que establecen los
Niveles de Amenaza Niveles de Vulnerabilidad
Clasificac Clasificaci
criterios de aceptacin
in Descripcin n Descripcin del riesgo. Para la etapa
Muy Alto Una vez a la No existen controles para
(5) semana
Muy Alto (5)
contener la amenaza de anlisis y evaluacin,
Alto (4) Una vez al mes
Alto (4)
Existen controles pero no estn se han considerado
Una vez cada 6 documentados
Medio (3)
meses Existen controles documentados como aceptables los
Medio (3)
Bajo (2) Una vez al ao pero no son medibles niveles Medio, Bajo y
Muy Bajo Una vez cada 3 Existen controles medibles pero
(1) aos Bajo (2) no son mejorados Muy Bajo
continuamente
Muy Bajo Existen controles mejorados
(1) continuamente
 Niveles de Impacto
Clasificac
in Legal Operativo Econmico
afecta
afecta Afecta irreversiblemente a la
irreversiblemente la
Muy Alto irreversiblemen Institucin,
operatividad de los ocasionando prdidas cuantiosas, sin
(5) te a la
procesos de la posibilidad de recuperacin.
Institucin
Institucin
Impacto afecta
afecta drsticamente Afecta drsticamente a la Institucin
la operatividad de los con
(Econmico, Legal, Operacional) Alto (4) drsticamente a
procesos de la posibilidad de recuperacin a costos
la Institucin elevados a largo plazo.
Institucin
afecta seriamente la Afecta seriamente a la institucin, con
afecta
operatividad de los
Medio (3) seriamente a la posibilidad de recuperacin a costos
procesos de la
Institucin intermedios a mediano plazo.
Institucin
afecta parcialmente la Afecta parcialmente a la institucin,
afecta con
operatividad de los
Bajo (2) parcialmente a posibilidad de recuperacin a bajo
procesos de la costo a
la Institucin
Institucin corto plazo.
no afecta la No afecta econmicamente a la
institucin,
Muy Bajo no afecta a la operatividad de los con posibilidad de recuperacin sin
(1) Institucin procesos de la costo o
Institucin con recursos disponibles.
Plan de Tratamiento

Plan de Accin que

define las acciones
para reducir los
riesgos no aceptables
e implementar los
controles
necesarios para
proteger la
informacin.
 Identificacin
Identificacin
de
de Activos
Activos yy
Riesgos
Riesgos

El Anlisis y
Evaluacin de
Riesgos

TRANSFERIR EVITAR
EVITAR
ACEPTAR
ACEPTAR REDUCIR TRANSFERIR
REDUCIR
CONTROL

Todo elemento o medidas que

permite reducir o eliminar la
exposicin al RIESGO de cada
ACTIVO.
Cmo desarrollar el Plan de Tratamiento de
Riesgos?

Actividades para desarrollar el Plan de tratamiento

de Riesgos:

Comprender que los riesgos se tratan aplicando controles

de seguridad de la informacin los cuales se encuentran
contenidos en el anexo A de la norma ISO 27001.
Comprender los criterios de tratamiento a fin de definir
controles cuya implementacin sea realista y responda
positivamente a un anlisis costo/beneficio.
Trabajando en conjunto a fin de consensuar las expectativas
de seguridad de la informacin.
 Controles de Seguridad de la Informacin - anexo A
ISO 27001. Aspectos Organizacionales 6
Estratgico 1 Aspectos Fsicos
Controles para Aspectos Tcnicos
3
la Gestin de
la Seguridad Poltica de Seguridad 1 Aspecto de Control
de la
Informacin
11 clusulas
Organizacin de la 39 Objetivos
Seguridad de Informacin 133 controles

Tctico
Gestin de activos Control de Accesos

Cumplimiento Gestin de Incidentes de

Seguridad

Seguridad de los Recursos Seguridad Fsica y

Humanos Ambiental

Operativo Adquisicin, Desarrollo y Gestin de Operaciones y Gestin de Continuidad de

Mant. de Sistemas Comunicaciones Negocios
Criterios para seleccionar controles de seguridad

Se debe considerar:
Riesgo
Grado vs impacto
Facilidad de implementacin (Tiempo, costo)
Servicios asociados y riesgos comunes a diversos activos
Exigencias legales y regulatorias
Exigencias de clientes u otras relaciones contractuales
Considerar el costo de mantenimiento del control
Desarrollar opciones preventivas y previas a la planificacin
(costo/beneficio)
Mejorar los controles existentes
MANUAL DEL SISTEMA INTEGRADO DE GESTIN
Y DOCUMENTOS DEL SGI
(MSIG MANUAL DEL SISTEMA INTEGRADO DE GESTIN)
POLITICAS DE OSINERGMIN
Conociendo la Poltica del Sistema Integrado de Gestin (SIG)

1.- Poltica del SIG

Como Organismo regulador, supervisor y fiscalizador de los sectores de electricidad,
hidrocarburos y minera nuestros compromisos son:

1.Actuar con autonoma, transparencia y equidad; brindando un servicio oportuno y de

calidad.
2.Prevenir la contaminacin ambiental y controlar los impactos generados por nuestras
actividades, utilizando eficientemente los recursos naturales.
3.Prevenir los daos y deterioro de la salud de los trabajadores y terceros. Controlar los
riesgos relacionados con la SST generados por nuestras actividades.
4.Asegurar la Confidencialidad, Integridad y Disponibilidad de los activos de
informacin relevantes, mediante la gestin de riesgos, implementacin de
controles y mediciones de la seguridad de la informacin.
5.Cumplir con el marco normativo vigente y otros aplicables.
6.Promover la formacin y toma de conciencia del personal y la mejora continua del
desempeo del SIG.
Conociendo el Manual del Sistema de Gestin de Seguridad de la
Informacin (SGI)
2.- Alcance del SGI
Para el Sistema de Gestin de Seguridad de la Informacin el alcance es el siguiente:

OS GFE
1) Supervisin de interrupciones en instalaciones elctricas de media
1)Gestin Documentaria (SIGED).
tensin.
2)Gestin de Centro de Datos (No entra para la
2) Supervisin de verificacin de la disponibilidad y estado
Auditora SGI).
operativo de las unidades de generacin del SEIN.

GFHL GART
1) Generacin y Habilitacin de Usuarios y 1)Actualizacin de Pliegos Tarifarios
Contraseas SCOP 2)Determinacin del Factor de Recargo del FOSE

GFGN
1) Atencin de solicitudes de registro de hidrocarburos
para las actividades de gas natural
STOR
1)Atencin de apelaciones de reclamos de los usuarios de los servicios
pblicos de electricidad y gas natural por red de ductos
2)Atencin de quejas referidas a reclamos de los usuarios de los servicios
pblicos de electricidad y gas natural por red de ductos

En el anexo 8 del Manual SIG se detalla el Alcance del SGI.

Conociendo el Manual del Sistema de Gestin de Seguridad de la
Informacin (SGI)

3.- Objetivos del SGI

Para el SGI se han determinado los siguientes objetivos especficos:

OB6: Garantizar la integridad de los expedientes, asegurando su uso

dentro de los procesos que los requieran
OB7: Garantizar la disponibilidad de los sistemas de informacin,
asegurando su operacin en los procesos que los requieran
OB8: Asegurar la efectividad del SGI, a travs de la mejora continua
OB9: Garantizar la efectividad de los controles implementados,
asegurando una adecuada mitigacin de los riesgos

Estn definidos en el Manual SIG y en el Procedimiento de Medicin del

SGI (SGI-PE-06).
 Nivel de Cumplimiento de Objetivos SGI - Resumen

Cdigo Objetivo

Objetivo Asegurar un adecuado desarrollo, implementacin, operacin, monitoreo, revisin,

General mantenimiento y mejora continua del Sistema de Gestin de Seguridad de la Informacin.

Garantizar la integridad de los expedientes, asegurando su uso dentro de los procesos que los Excede
Objetivo 1
requieran. Expectativas

Garantizar la disponibilidad de los sistemas de informacin, asegurando su operacin en los Excede

Objetivo 2
procesos que los requieran. Expectativas

Objetivo 3 Asegurar la efectividad del SGSI, a traves de la mejora continua. Satisfactorio

Garantizar la efectividad de los controles implementados, asegurando una adecuada

Objetivo 4 Aceptable
mitigacin de los riesgos.
Polticas Especficas de Seguridad de Informacin (OS-LI-01)
Otros Documenos del SGI

4. Procedimiento Documentacin, Revisin y Mejora del SGI

(SIG-PG-01)
5. Procedimiento Gestin de Riesgos de seguridad de la
informacin (SGI-PG-01)
6. Procedimiento Gestin de Incidentes de seguridad de la
informacin (SGI-PG-02)
7. Procedimiento Medicin del desempeo del SGI (SGI-PE-06)
8. Documento Declaracin de Aplicabilidad
QU ES LA DECLARACION DE
APLICABILIDAD?
8. Declaracin de Aplicabilidad
8. Declaracin de Aplicabilidad
AVANCES EN LA CONTINUIDAD DE
OPERACIONES
 (1) Anlisis de
Impactos al
Negocio Lista de Procesos/Subprocesos segn
Fase de Implementacin
Nivel de Impacto al negocio.
Tiempos de Recuperacin
Lista de Procesos/ Lista de Personal Critico.
Subprocesos segn Matriz de dependencias.
(3) Seleccin
Nivel de Impacto al de Estrategias
negocio.
Lista de Activos segn
Nivel de Riesgos. Identificacin de las (2) estrategias de Continuidad
Definicin de escenario que incluir: tiempos de recuperacin, costes,
Plan de tratamiento de riesgos. recursos humanos/tcnicos.
(2) Anlisis y
Evaluacin de (4) Desarrollo
Riesgos del Plan de
Continuidad

Procedimientos de Gestin de Crisis.

Desarrollo de DRPs.
Procedimiento de vuelta a la normalidad.
Desarrollo del Plan de Continuidad.

(5) Desarrollo
del Plan de
Pruebas.

Cronograma para las 05 pruebas.

Desarrollo del Plan de Pruebas.
Informe de Resultados de las
05 pruebas realizadas.

(6) Desarrollo del Plan de Formacin

GESTION DE INCIDENTES Y
VULNERABILIDADES DE SEGURIDAD
(SGI-PG-02 PROCEDIMIENTO DE GESTIN DE INCIDENTES)
1. Gestin de Incidentes y Vulnerabilidades de
Seguridad de la Informacin

Certificacin
Forma parte del ISO 27001
Sistema de Gestin de
SI

Es un control de
seguridad de la
informacin (dominio OSINERGMIN
13 del Anexo A de la
ISO 27001)
2. Qu es un incidente de seguridad de la
informacin?
Evento inesperado y no
deseado, que puede
comprometer la CID de los
principales activos de la
informacin de los procesos de
OSINERGMIN.
Ejemplos: Robo de Laptop,
Perdida de Expedientes, Ataque
de Virus en la red, Incendio en el
centro de datos, Fuga de
informacin sensible por correo
electrnico.
3. Qu es una vulnerabilidad de seguridad de
la informacin?
Debilidad de un activo o
grupo de activos de
informacin que puede
ser explotada
potencialmente por una o
ms amenazas,
comprometiendo su CID.

Ejemplos: Exceso de accesos a

informacin sensible de una
gerencia, Puerta abierta del Data
Center.
4. Por qu reportar un incidente o una
vulnerabilidad de SI?

1. Proteger los activos de informacin de

nuestras reas, gerencias y organizacin.

2. Mejorar los procesos de las reas,

gerencias y organizacin.

3. Mejorar los servicios relacionados a

recursos tecnolgicos.
5. Qu roles describe el Procedimiento?

Reportante
Usuario encargado de notificar y registrar el
incidente o vulnerabilidad identificada.

Resolutor
Entidad encargada de la atencin de los
incidentes o vulnerabilidades de seguridad de
la informacin que han sido registrados.

Analista de Seguridad de la Informacin

Rol asumido por el OSI o quien ste delegue,
para realizar las actividades de revisin,
gestin y monitoreo de los ISI y las VSI,
segn lo narrado en este procedimiento.
Situacin del Levantamiento de Hallazgos
de la ltima Auditora Interna
 1. Objetivos del SGI
PROCESO DESCRIPCIN DEL DOCUMENTO
DESCRIPCIN DE LA EVIDENCIA
AUDITADO HALLAZGO ASOCIADO

ISO 27001:2005 5.2.2

describe el personal
relevante para el SGI
Objetivos del SGI sin
Se han mostrado 4 objetivos del SGI con respecto al hallazgo est consciente de la
actualizacin ni
Todos referido al mismo punto, estos objetivos no se han actualizado importancia de sus
conocimiento adecuado por
ni documentalmente ni con el personal actividades y como
el personal
puede influir en el
logro de los objetivos
del SGI

5.2.2. La organizacin tambin debe garantizar que todo el

personal pertinente tome conciencia de la relevancia e
importancia de las actividades de seguridad de informacin y
cmo stas contribuyen al logro de los objetivos del SGSI.
 1. Objetivos del SGI Plan de Accin

Difusin: (Correos, Afiches,

Salvapantallas, entre otros).
 2. Alcance
PROCESO DESCRIPCIN DEL DOCUMENTO
DESCRIPCIN DE LA EVIDENCIA
AUDITADO HALLAZGO ASOCIADO
El alcance de cada gerencia de acuerdo a como lo pide la
norma considerando, activos, tecnologa, sitio geogrfico, no
es claro; ni de manera genrica el personal auditado no lo
relaciona al anexo 8 del manual, en el caso de data center la
Alcance del SGI con falta exclusin de las instalaciones ubicadas en Av. Canad no
Todos de claridad y en algunos pueden ser aceptadas dado que son parte del plan de ISO 27001 4.2.1
casos corto contingencia y quedan dentro del alcance del SGI, el alcance
para GFHL sin considerar SCOP es muy pobre. La
certificacin de seguridad de la informacin buscara se toquen
elementos de seguridad de la informacin sensibles que
tengan que ver con la imagen con el usuario o ciudadana.

4.2.1.a. Definir el alcance y lmites del SGSI en trminos de las

caractersticas del negocio, la organizacin, su localizacin,
activos y tecnologa e incluyendo detalles y justificaciones para
cualquier exclusin del alcance.
 2. Alcance Plan de Accin

Desconocimiento del Anexo 8 del

Manual SIG
 3. Efectividad de Controles
PROCESO DESCRIPCIN DEL DOCUMENTO
DESCRIPCIN DE LA EVIDENCIA
AUDITADO HALLAZGO ASOCIADO

La efectividad de los
La medicin de la efectividad de los controles se muestra de
controles y objetivos de
manera genrica pero por cada gerencia no se puede
control por gerencia es muy
demostrar. Los anlisis de impacto realizados para garantizar
complicado demostrar, as
Todos la continuidad del negocio muestran un estado bsico de ISO 27001 4.2.3 c)
como la implementacin de
aplicacin, en algunos casos se dificulta su presentacin en
las estrategias de
otros, se comenta su reciente realizacin y en otros se
continuidad de las
comenta la falta de implementacin
operaciones.

4.2.3.c. Medir la efectividad de los controles para verificar que

se tomaron en cuenta los requisitos de seguridad.
3. Efectividad de Controles y Objetivos Plan de Accin
 4. Observacin - Declaracin de Aplicabilidad
PROCESO
OBSERVACIONES
AUDITADO

1.- El enunciado de aplicabilidad as como la identificacin de requisitos legales son

generales esto no permite observar de forma particular al proceso tanto la aplicabilidad
Todos
como el requisito legal en el proceso especifico. La declaracin de aplicabilidad general
se debe de alimentar de lo particular no al revs.

Propuesta:
Sesin de Trabajo para la revisin de la Declaracin de
Aplicabilidad.
Se realizar la siguiente semana (11 al 15 de noviembre)
 4. Observacin Poltica de Escritorio Limpio
PROCESO
OBSERVACIONES
AUDITADO

2.- La aplicacin de las polticas de escritorio limpio, pantalla limpia y control de accesos
Todos
debe permear ms en la organizacin

Propuesta:
Charlas de concientizacin.
Inspeccin mensual con reporte al Jefe de rea. Se realizar la
semana del 18 al 22 de noviembre.
CONSIDERACIONES: PROCESO DE
AUDITORIA DE CERTIFICACIN DEL SGI
rea N Fecha Hora Coordinador
Procesos
Generales Carlos Gonzales Fung
OS 23.09.13 09:00-18:00
02 Esteban Inga Llancas
GFE 24.09.13 09:00-18:00
02 Jos Canelo Marcet
GFHL 25.09.13 09:00-13:00
01
GFGN 25.09.13 14:00-18:00 Otilia Aguirre Aguirre
02
GART 26.09.13 09:00-13:00 Juan Jose Javier Jara
02
STOR 26.09.13 14:00-18:00 Lus Espinoza Becerra
SIGED Carlos Gonzales
OS 27.09.13 09:00-13:00
- Jos Chang
RRHH 27.09.13 14:00-15:30
Proceso de auditora de certificacin del SGI
Factor clave 1: Conocer los Documentos del SGI.
Factor clave 2: Conocer cmo los controles, de su mbito, estn
implementados o se cumplen dentro de su proceso.
Factor clave 3: Comprender la Poltica Especifica de Seguridad
de la Informacin. (OS-LI-01)
Factor clave 4: Estar debidamente entrenados de acuerdo al rol
que cumplimos dentro del SGI.
Proceso de auditora de certificacin del SGI
Actividad clave 1: Conocer el plan de auditora.
Actividad clave 2: Conocer como los controles del anexo A sobre las cuales nos van a
auditar ests implementados (revisar la Declaracin de Aplicabilildad).
Actividad clave 3: Durante la auditora decir siempre la verdad.
Actividad clave 4: Conocer exactamente dnde estn, ubicacin fsica y/o lgica, los
activos de informacin.
Actividad clave 5: Conocer las actividades del proceso auditado (quin le enva qu
informacin, y ud. Qu enva a quin).
Actividad clave 6: Conocer cmo se desarrolla una SACP. Conocer el estado de las
SACPs y Observaciones de su rea derivadas de auditoras y/o hallazgos.
Actividad clave 7: Conocer cmo reportar un incidente de seguridad de la informacin
(SGI-PG-02).
Otros Aspectos Importantes
Situacin de los controles de la gestin de riesgos 2012.
Diferencias entre la gestin de riesgos 2012 y 2013.
Como los controles implementados del periodo 2012 han mitigado
los riesgos (Eficacia de los controles).
Explicar si ha habido reevaluacin de riesgos por cambios en los
procesos.
Revisin de los Informes de Gestin trimestrales.
Explicar los controles implementados y el seguimiento al
cumplimiento de controles.
Exponer la realizacin de programas de capacitacin y
concientizacin interna (dentro de las reas) si las ha habido.
Exponer como han tratado los incidentes de seguridad de
informacin
SACPs a cargo y las que han generado.
Seguimiento al tratamiento de las SACPs.
Durante la Auditoria, el Auditor har
bsicamente 3 cosas:

Observar
Or

Verificar
Utilizan los siguientes recursos para observar, or y verificar:
Personal de todos los niveles
Procedimientos documentados
Registros de la organizacin
Observacin del trabajo in situ
Observacin de las condiciones de trabajo
Equipos herramientas (hardware y software)

El Auditor entrevista a las personas para:

Asegurarse de que entienden los requisitos del Sistema de Seguridad de la Informacin.
Obtener las descripciones del funcionamiento de un proceso.
Obtener explicaciones sobre un requisito.
Por lo tanto
 PROCESO

Partes Partes
Interesadas Evaluacin / Calificacin Resultado Interesadas
Solicitud (Resolucin
> de la Solicitud => / Obs.) >
Administrad Expediente Administrad
os os
 R R R Prdida del
PROCESO
i i i expediente
e e e Cada / Falla del
s s s sistema
g g g Alteracin de
o o o
Partes s s s
datos Partes
Interesadas Evaluacin / Calificacin Resultado Interesadas
Solicitud (Resolucin
> de
Control la Solicitud
Control =>
Control / Obs.) >
Administrad Expediente Administrad
os Expediente
os
Activos de
Resolucin
Informacin
Sistema que uso
Confidencialidad Base de Datos
Integridad Servicios
Disponibilidad
Gracias