Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE LA INFORMACIN - SGI
Agenda
ASPECTOS GENERALES
CUNTAS FASES TIENE EL
MODELO PROPUESTO POR EL ISO
27001 (IMPLEMENTACIN DEL SGI)
Y EN CUAL EST SU PROCESO?
Establezca el Contexto en la que se encuentra
su proceso en el SGI
Qu es un Activo?
Cualquier cosa que tenga valor para la organizacin. [ISO/IEC
27000:2012]
Integridad
Salvaguardar la exactitud
y completitud de los
activos, as como los
mtodos de
procesamiento.
Conoce y entiende la Poltica del SGI?
Cmo contribuye
el rea?
Dnde est
ubicada?
Cmo la difunde a
personal y terceros?
Dnde est
definido?
Est definido en el
Anexo 8 del Manual
SIG: Proceso,
actividades
principales,
localizacin, mbito,
tecnologas.
CULES SON LOS
PROCEDIMIENTOS DEL SGI?
CULES SON OBLIGATORIOS
SEGN LA NORMA ISO 27001?
Conoce la documentacin del SGI?
Conoce la documentacin del SGI?
Basado en la
Ambiente Procesos Norma ISO 27005
Mecanismos
propuestos
4. Tratamiento 3. Evaluacin
Riesgo Efectivo
Probabilidad
Qu es un Activo?
Cualquier cosa que tenga valor para la organizacin. [ISO/IEC
27000:2012]
Personas Servicios
conocimiento de las internet, correo,
personas energa o de terceros
Fsicos Software
computadoras, medios aplicativos y software
removibles de sistemas
Informacin Intangibles
contratos, guas, imagen y marca,
resoluciones, base de datos reputacin
Atributos de los Activos
Propietario de la Informacin
Es aquella persona o entidad que tiene la responsabilidad
gerencial aprobada de controlar la produccin, desarrollo,
mantenimiento, uso y seguridad de los activos de
informacin.
Ejemplos Genricos:
boletines de noticias, comunicados internos, presupuestos, memorandos,
informes de prensa, entre otros.
Criterios de Clasificacin de la
USO INTERNO
Informacin
Es toda aquella informacin cuya revelacin no causara daos a
OSINERGMIN y su acceso es libre para los empleados de la
entidad
Ejemplos Genricos:
informacin publicada en la intranet de la organizacin,
reglamento interno de trabajo, entre otros.
Criterios de Clasificacin de la
Informacin
USO CONFIDENCIAL
Es toda aquella informacin que debe ser estrictamente
restringida basndose en el concepto de necesidad de
saber, su revelacin requiere la aprobacin de sus
dueo o propietario, es de uso exclusivo de la
organizacin, en el caso de terceros se deber firmar
acuerdo de confidencialidad y no divulgacin.
Criterios de Clasificacin de la
Informacin
USO RESTRINGIDO
Es toda aquella informacin cuyo acceso se da aun
nmero reducido de personas. Usualmente, debe ir
acompaada del principio de CONFIDENCIALIDAD.
Esta debe ser manejada con todas las precauciones y
controles posibles determinando exactamente que
personas tienen acceso a la misma y vigilando su uso,
transporte y almacenamiento.
CMO VALORIZO UN ACTIVO?
CUNTOS VALORES HAY SEGN
LA METODOLOGIA?
Cmo Valorizar un Activo?
Confidencialidad
Asegurar que la Disponibilidad
Asegurar el acceso y uso
informacin no este sobre demanda a una
disponible o divulgada a persona o entidad
personas, entidades o autorizada.
procesos no
autorizados.
Integridad
Salvaguardar la exactitud
y completitud de los
activos, as como los
mtodos de
procesamiento.
Cmo Valorizar un Activo?
Clasific
acin Confidencialidad Integridad Disponibilidad
Cuando la prdida o
(Valor)
falla de un
Muy Irreversiblemente. Irreversiblemente Irreversiblemente determinado activo
Alto afecta la divulgacin o
(5) revelamiento no
Gravemente Gravemente Gravemente autorizado de la
Alto informacin,
(4) impactando -----------
la operatividad,
Considerablemente Considerablemente Considerablemente competitividad, el
Medio
(3) cumplimiento legal,
rentabilidad o imagen
Parcialmente Parcialmente Parcialmente de la Institucin.
Bajo
(2)
En la identificacin de amenazas y
vulnerabilidades que componen el riesgo, el
Responsable del proceso y Coordinador SGI,
consideran los activos de informacin
identificados cuya valoracin sea Alta y/o que
hayan sido clasificados como Confidenciales.
Qu es un AMENAZA?
Causa Potencial de un incidente no deseado que puede resultar
en dao al Sistema, a la Organizacin o a sus ACTIVOS.
Puede ser accidental o intencional.
a
Explota Ausencia de Activo de
un control Informacin
Qu es un EVENTO DE RIESGO?
Amenaza x Vulnerabilidad
PROBABILIDAD
IMPACTO
Son las consecuencias posibles al
momento de materializarse un
RIESGO.
Probabilidad de
Ocurrencia del Riesgo
Amenaza x Vulnerabilidades
Niveles de Vulnerabilidad
Niveles de Amenaza
Clasificacin Descripcin
Clasificaci
n Descripcin No existen controles para contener
Muy Alto (5)
la amenaza
Muy Alto Una vez a la
(5) semana Existen controles pero no estn
Alto (4)
Alto (4) Una vez al mes documentados
Una vez cada 6 Existen controles documentados
Medio (3) Medio (3)
meses pero no son medibles
Bajo (2) Una vez al ao Existen controles medibles pero
Bajo (2)
Muy Bajo Una vez cada 3 no son mejorados continuamente
(1) aos Existen controles mejorados
Muy Bajo (1)
continuamente
CMO ESTIMO EL NIVEL DE
RIESGO? CUNTOS VALORES HAY
SEGN LA METODOLOGIA?
Niveles de Riesgo
Clasificacin
Probabilidad de Muy Alto (5)
Alto (4)
Ocurrencia del Riesgo Moderado (3)
Menor (2)
Mnimo (1)
Se consideran los
siguientes niveles de
Amenaza x Vulnerabilidades riesgos: Muy Alto, Alto,
Medio, Bajo y Muy
Bajo, que establecen los
Niveles de Amenaza Niveles de Vulnerabilidad
Clasificac Clasificaci
criterios de aceptacin
in Descripcin n Descripcin del riesgo. Para la etapa
Muy Alto Una vez a la No existen controles para
(5) semana
Muy Alto (5)
contener la amenaza de anlisis y evaluacin,
Alto (4) Una vez al mes
Alto (4)
Existen controles pero no estn se han considerado
Una vez cada 6 documentados
Medio (3)
meses Existen controles documentados como aceptables los
Medio (3)
Bajo (2) Una vez al ao pero no son medibles niveles Medio, Bajo y
Muy Bajo Una vez cada 3 Existen controles medibles pero
(1) aos Bajo (2) no son mejorados Muy Bajo
continuamente
Muy Bajo Existen controles mejorados
(1) continuamente
Niveles de Impacto
Clasificac
in Legal Operativo Econmico
afecta
afecta Afecta irreversiblemente a la
irreversiblemente la
Muy Alto irreversiblemen Institucin,
operatividad de los ocasionando prdidas cuantiosas, sin
(5) te a la
procesos de la posibilidad de recuperacin.
Institucin
Institucin
Impacto afecta
afecta drsticamente Afecta drsticamente a la Institucin
la operatividad de los con
(Econmico, Legal, Operacional) Alto (4) drsticamente a
procesos de la posibilidad de recuperacin a costos
la Institucin elevados a largo plazo.
Institucin
afecta seriamente la Afecta seriamente a la institucin, con
afecta
operatividad de los
Medio (3) seriamente a la posibilidad de recuperacin a costos
procesos de la
Institucin intermedios a mediano plazo.
Institucin
afecta parcialmente la Afecta parcialmente a la institucin,
afecta con
operatividad de los
Bajo (2) parcialmente a posibilidad de recuperacin a bajo
procesos de la costo a
la Institucin
Institucin corto plazo.
no afecta la No afecta econmicamente a la
institucin,
Muy Bajo no afecta a la operatividad de los con posibilidad de recuperacin sin
(1) Institucin procesos de la costo o
Institucin con recursos disponibles.
Plan de Tratamiento
El Anlisis y
Evaluacin de
Riesgos
TRANSFERIR EVITAR
EVITAR
ACEPTAR
ACEPTAR REDUCIR TRANSFERIR
REDUCIR
CONTROL
Tctico
Gestin de activos Control de Accesos
Se debe considerar:
Riesgo
Grado vs impacto
Facilidad de implementacin (Tiempo, costo)
Servicios asociados y riesgos comunes a diversos activos
Exigencias legales y regulatorias
Exigencias de clientes u otras relaciones contractuales
Considerar el costo de mantenimiento del control
Desarrollar opciones preventivas y previas a la planificacin
(costo/beneficio)
Mejorar los controles existentes
MANUAL DEL SISTEMA INTEGRADO DE GESTIN
Y DOCUMENTOS DEL SGI
(MSIG MANUAL DEL SISTEMA INTEGRADO DE GESTIN)
POLITICAS DE OSINERGMIN
Conociendo la Poltica del Sistema Integrado de Gestin (SIG)
OS GFE
1) Supervisin de interrupciones en instalaciones elctricas de media
1)Gestin Documentaria (SIGED).
tensin.
2)Gestin de Centro de Datos (No entra para la
2) Supervisin de verificacin de la disponibilidad y estado
Auditora SGI).
operativo de las unidades de generacin del SEIN.
GFHL GART
1) Generacin y Habilitacin de Usuarios y 1)Actualizacin de Pliegos Tarifarios
Contraseas SCOP 2)Determinacin del Factor de Recargo del FOSE
STOR
GFGN 1)Atencin de apelaciones de reclamos de los usuarios de los servicios
pblicos de electricidad y gas natural por red de ductos
1) Atencin de solicitudes de registro de hidrocarburos
2)Atencin de quejas referidas a reclamos de los usuarios de los servicios
para las actividades de gas natural
pblicos de electricidad y gas natural por red de ductos
Cdigo Objetivo
Garantizar la integridad de los expedientes, asegurando su uso dentro de los procesos que los Excede
Objetivo 1
requieran. Expectativas
(5) Desarrollo
del Plan de
Pruebas.
Certificacin
Forma parte del ISO 27001
Sistema de Gestin de
SI
Es un control de
seguridad de la
informacin (dominio OSINERGMIN
13 del Anexo A de la
ISO 27001)
2. Qu es un incidente de seguridad de la
informacin?
Evento inesperado y no
deseado, que puede
comprometer la CID de los
principales activos de la
informacin de los procesos de
OSINERGMIN.
Ejemplos: Robo de Laptop,
Perdida de Expedientes, Ataque
de Virus en la red, Incendio en el
centro de datos, Fuga de
informacin sensible por correo
electrnico.
3. Qu es una vulnerabilidad de seguridad de
la informacin?
Debilidad de un activo o
grupo de activos de
informacin que puede
ser explotada
potencialmente por una o
ms amenazas,
comprometiendo su CID.
Reportante
Usuario encargado de notificar y registrar el
incidente o vulnerabilidad identificada.
Resolutor
Entidad encargada de la atencin de los
incidentes o vulnerabilidades de seguridad de
la informacin que han sido registrados.
La efectividad de los
La medicin de la efectividad de los controles se muestra de
controles y objetivos de
manera genrica pero por cada gerencia no se puede
control por gerencia es muy
demostrar. Los anlisis de impacto realizados para garantizar
complicado demostrar, as
Todos la continuidad del negocio muestran un estado bsico de ISO 27001 4.2.3 c)
como la implementacin de
aplicacin, en algunos casos se dificulta su presentacin en
las estrategias de
otros, se comenta su reciente realizacin y en otros se
continuidad de las
comenta la falta de implementacin
operaciones.
Propuesta:
Sesin de Trabajo para la revisin de la Declaracin de
Aplicabilidad.
Se realizar la siguiente semana (11 al 15 de noviembre)
4. Observacin Poltica de Escritorio Limpio
PROCESO
OBSERVACIONES
AUDITADO
2.- La aplicacin de las polticas de escritorio limpio, pantalla limpia y control de accesos
Todos
debe permear ms en la organizacin
Propuesta:
Charlas de concientizacin.
Inspeccin mensual con reporte al Jefe de rea. Se realizar la
semana del 18 al 22 de noviembre.
CONSIDERACIONES: PROCESO DE
AUDITORIA DE CERTIFICACIN DEL SGI
rea N Fecha Hora Coordinador
Procesos
Generales Carlos Gonzales Fung
OS 23.09.13 09:00-18:00
02 Esteban Inga Llancas
GFE 24.09.13 09:00-18:00
02 Jos Canelo Marcet
GFHL 25.09.13 09:00-13:00
01
GFGN 25.09.13 14:00-18:00 Otilia Aguirre Aguirre
02
GART 26.09.13 09:00-13:00 Juan Jose Javier Jara
02
STOR 26.09.13 14:00-18:00 Lus Espinoza Becerra
SIGED Carlos Gonzales
OS 27.09.13 09:00-13:00
- Jos Chang
RRHH 27.09.13 14:00-15:30
Proceso de auditora de certificacin del SGI
Factor clave 1: Conocer los Documentos del SGI.
Factor clave 2: Conocer cmo los controles, de su mbito, estn
implementados o se cumplen dentro de su proceso.
Factor clave 3: Comprender la Poltica Especifica de Seguridad
de la Informacin. (OS-LI-01)
Factor clave 4: Estar debidamente entrenados de acuerdo al rol
que cumplimos dentro del SGI.
Proceso de auditora de certificacin del SGI
Actividad clave 1: Conocer el plan de auditora.
Actividad clave 2: Conocer como los controles del anexo A sobre las cuales nos van a
auditar ests implementados (revisar la Declaracin de Aplicabilildad).
Actividad clave 3: Durante la auditora decir siempre la verdad.
Actividad clave 4: Conocer exactamente dnde estn, ubicacin fsica y/o lgica, los
activos de informacin.
Actividad clave 5: Conocer las actividades del proceso auditado (quin le enva qu
informacin, y ud. Qu enva a quin).
Actividad clave 6: Conocer cmo se desarrolla una SACP. Conocer el estado de las
SACPs y Observaciones de su rea derivadas de auditoras y/o hallazgos.
Actividad clave 7: Conocer cmo reportar un incidente de seguridad de la informacin
(SGI-PG-02).
Otros Aspectos Importantes
Situacin de los controles de la gestin de riesgos 2012.
Diferencias entre la gestin de riesgos 2012 y 2013.
Como los controles implementados del periodo 2012 han mitigado
los riesgos (Eficacia de los controles).
Explicar si ha habido reevaluacin de riesgos por cambios en los
procesos.
Revisin de los Informes de Gestin trimestrales.
Explicar los controles implementados y el seguimiento al
cumplimiento de controles.
Exponer la realizacin de programas de capacitacin y
concientizacin interna (dentro de las reas) si las ha habido.
Exponer como han tratado los incidentes de seguridad de
informacin
SACPs a cargo y las que han generado.
Seguimiento al tratamiento de las SACPs.
Durante la Auditoria, el Auditor har
bsicamente 3 cosas:
Observar
Or
Verificar
Utilizan los siguientes recursos para observar, or y verificar:
Personal de todos los niveles
Procedimientos documentados
Registros de la organizacin
Observacin del trabajo in situ
Observacin de las condiciones de trabajo
Equipos herramientas (hardware y software)
Partes Partes
Interesadas Evaluacin / Calificacin Resultado Interesadas
Solicitud (Resolucin
> de la Solicitud => / Obs.) >
Administrad Expediente Administrad
os os
R R R Prdida del
PROCESO
i i i expediente
e e e Cada / Falla del
s s s sistema
g g g Alteracin de
o o o
Partes s s s
datos Partes
Interesadas Evaluacin / Calificacin Resultado Interesadas
Solicitud (Resolucin
> de
Control la Solicitud
Control =>
Control / Obs.) >
Administrad Expediente Administrad
os Expediente
os
Activos de
Resolucin
Informacin
Sistema que uso
Confidencialidad Base de Datos
Integridad Servicios
Disponibilidad
Gracias