NORMA ISO 27001 – SGSI

Quispe Miranda David Alberto

¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?
DISPONIBILIDAD

INTEGRIDAD CONFIDENCIALIDAD

NO REPUDIO AUTENTICIDAD

TRAZABILIDAD
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?
CONFIDENCIALIDAD: PROPIEDAD DE LA INFORMACIÓN QUE SE CARACTERIZA POR
SER ACCESIBLE SÓLO PARA LAS PERSONAS QUE SE ENCUENTRAN DEBIDAMENTE
AUTORIZADAS.

INTEGRIDAD: PROPIEDAD DE PRECISIÓN Y COMPLETITUD .

DISPONIBILIDAD: ATRIBUTO DE LA INFORMACIÓN QUE SE CARACTERIZA POR SER

ACCESIBLE Y ESTAR APTO A PEDIDO DE UNA ENTIDAD AUTORIZADA. .

AUTENTICIDAD: PROPIEDAD QUE UNA ENTIDAD ES LO QUE DICE SER.

TRAZABILIDAD: PROPIEDAD DE LA TRAZA DE LA INFORMACIÓN DURANTE SU

TRATAMIENTO.

NO REPUDIO: PROPIEDAD DE ASEGURAR DE QUE NO EXISTA UN RECHAZO DE LAS

ENTIDADES QUE PARTICIPAN EN LA COMUNICACIÓN DE LA INFORMACIÓN.
 ¿QUÉ ES UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN (SGSI)?
• ES UN CONJUNTO DE POLÍTICAS, PROCESOS,
PROCEDIMIENTOS Y RECURSOS PARA
GESTIONAR EFICIENTEMENTE LA ACCESIBILIDAD
DE LA INFORMACIÓN, BUSCANDO ASEGURAR SU
CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD, MINIMIZANDO A LA VEZ LOS
RIESGOS DE SEGURIDAD DE LA INFORMACIÓN.
• LA NORMA ISO/IEC 27001 ESTABLECE LOS
REQUISITOS PARA ESTABLECER, IMPLEMENTAR,
MANTENER Y MEJORAR EL SGSI.
 ¿POR QUÉ ES IMPORTANTE UN SGSI?
 Apoya en el cumplimiento de los objetivos institucionales.

 Mantiene la operatividad de los procesos.

 Conserva la privacidad de la información.

 Evita pérdidas económicas y daño a la imagen de nuestra

institución.

 Cumplimos con las normativas vigentes.

 Nos ayuda a protegernos de las diversas amenazas.

 Asignación de responsabilidades y roles.

 Evita los fraudes financieros.

 CICLO PLAN –DO –CHECK –ACT (DEMING)
Establecimiento
Partes Interesadas: del SGSI Partes Interesadas:
•Clientes PLAN •Clientes
•Ejecutivos •Ejecutivos
•Empleados •Empleados
•Gobierno •Gobierno
Implementación Mejora Continua
•Proveedores •Proveedores
del SGSI del SGSI
•Usuarios •Usuarios
•Accionistas DO ACT •Accionistas
•Socios •Socios
•Competidores •Competidores
•Otros •Otros
Monitorización y Revisión
del SGSI
CHECK
Requisitos y SI
Expectativas para
la SI Gestionada

Alineado con las guías y principios de la OECD-Organization for Economic Cooperation and Development: conocimiento,
responsabilidad, respuesta, gestión del riesgo diseño de seguridad e implementación, gestión de seguridad y revisión
ISO/IEC 27001:2013 - CLÁUSULAS Y REQUISITOS
0-Introducción
1-Alcance (solo de la norma)
2-Referencias normativas
3-Términos y definiciones

4-Contexto de la organización Anexo A

Cláusulas
5-Liderazgo (Dominios)
Plan
6-Planificación Objetivos de
Control y Controles
7-Apoyo
de referencia
Do 8-Operación
Check 9-Evaluación del rendimiento

Act 10-Mejora
ALCANCE DEL SGSI EN APG CONSULTING PERÚ

Emisión electrónica
de factura, boleta, Certificación en
nota de crédito y ISO 27001:2013
nota de débito

Establecer los lineamientos para los procesos del Sistema de

Gestión de Seguridad de la Información (SGSI) que den el soporte
necesario para gestionar la protección de la confidencialidad,
integridad y disponibilidad de la información de la entidad.
 POLÍTICA DE SEGURIDAD
El principal activo de la empresa es la información, siendo de
vital importancia para el desarrollo de su gestión y el
cumplimiento de su misión, visión, procesos, funciones, planes y
objetivos estratégicos y funcionales; y las obligaciones legales,
normativas y contractuales, por lo tanto, se compromete a
implantar una cultura en seguridad de la información y
establecer, implementar, mantener y mejorar procesos,
controles, procedimientos, metodologías, buenas prácticas y
tecnologías que prevengan la ocurrencia de incidencias que
atenten contra la confidencialidad, integridad y disponibilidad
de la información.
PROCESO DE GESTIÓN DE RIESGOS
 POLITICAS DE SEGURIDAD (A.5)

Organización (A.6) Gestión Activo (A.8)

(funcional, responsabilidades, Teletrabajo/Equipo móvil (Inventario, clasificación, medios y responsabilidad)

Gestión Humana (A.7) Control de accesos (A.9)

(antes, durante y después) (políticas, alta, baja, privilegios, autenticación, responsabilidades)

Gestión Proveedores (A.15) Criptografía (A.10)

(Seguridad y gestión) (Políticas y claves)

Adquisición, mantenimiento y desarrollo de sistemas (A.14)

(Requisitos, Desarrollo, soporte, Pruebas)

Seguridad de la comunicaciones (A.13)

(Redes y transferencias de información)

Seguridad de la operaciones (A.12)

(Procedimientos, Malware, Backup, Log, Software, Vulnerabilidades y auditorias)

Seguridad física y del entorno (A.11)

(Entorno y equipamiento)

Gestión Incidente (A.16)

(Plan, Preparación, detección, evaluación, respuesta, lecciones aprendidas)

Continuidad de la seguridad de la información (A.17)

(Continuidad y redundancia)

Cumplimiento (A.18)
(Legal, contractual y revisiones)
 DECLARACIÓN DE APLICABILIDAD (SOA)
ISO 27001, Clausula 6.1.3 d
 Documento que contiene la declaración de los
controles necesarios y su justificación por inclusión en
caso hayan sido implementados o no, así como
también la justificación de exclusión de los controles
del anexo A.
 DECLARACIÓN DE APLICABILIDAD
Código Control ¿Aplicable?
5 Política de Seguridad SI
6 Aspectos Organizativos de la Seguridad de la Información SI
7 Seguridad ligada a los recursos humanos SI
8 Gestión de Activos SI
9 Control de Accesos SI
10 Cifrado SI
11 Seguridad Física y Ambiental SI
12 Seguridad en las Operaciones SI
13 Seguridad en las telecomunicaciones SI
14 Adquisición, Desarrollo y Mantenimiento de Software SI
15 Relaciones con los proveedores SI
16 Gestión de incidentes en la seguridad de la información SI
17 Aspectos de la seguridad de la información en la Gestión de la Continuidad SI
18 Cumplimiento SI
 OBJETIVOS DE SEGURIDAD DE LA
INFORMACIÓN

O1: Cumplir con los requisitos legales y normativos, relacionados a la seguridad de la

información.

O2: Proteger la confidencialidad, integridad y disponibilidad de la información y los

activos que le dan soporte dentro del proceso Emisión electrónica de factura, boleta, nota
de crédito y nota de débito.

O3: Establecer una cultura de seguridad de la información en APG Consulting Perú S.A.C.
que permita, a través de la aplicación de buenas prácticas de seguridad, dar soporte
efectivo al desempeño del proceso Emisión electrónica de factura, boleta, nota de crédito y
nota de débito.
 7. SOPORTE
ISO/IEC 27001, Cláusula 7
El SGSI debe incluir
Las personas que trabajan en información
La organización los controles de la documentada requerida
debe determinar y organización deben ser por la ISO 27001 y
proveer los conscientes de la política de evidencia para
recursos necesarios SI, sus roles en el SGSI y los demostrar la efectividad
para el SGSI requisitos de la organización del SGSI
Información
Recursos Competencia Concienciación Comunicación
Documentada

La organización debe La organización debe

asegurar contar con establecer, implementar y
personas competentes mantener mecanismos
para realizar las tareas para comunicarse con las
relacionadas con el SGSI partes interesadas
internas y externas
 9. EVALUACIÓN DEL DESEMPEÑO
9.1 MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
Seguimiento y Revisión
revisión de los periódica de
procedimientos de los procesos
detección y del SGSI
prevención de
incidentes

Revisión por Medición de la

la dirección y eficacia de los
actualización controles
de los planes

Realización Revisión de las

de las evaluaciones y
auditorías tratamientos de
internas riesgos
 9.2 AUDITORÍAS INTERNAS

 La organización debe conducir auditorias internas de

SGSI en intervalos regulares.
 Una programa de auditoría debe ser planeado
teniendo en cuenta la importancia de los procesos y
alcance de la auditoria, así como los resultados de
una auditoria previa.
 9.3 REVISIÓN POR LA DIRECCIÓN
 La Alta dirección debe revisar el Sistema de Gestión de
Seguridad de la Información de la organización a intervalos
planificados para asegurar su conveniencia, adecuación y
efectividad continua.
 Debe incluir lo siguiente:
a) Cambios en asuntos externos e internos que son relevantes
para el sistema de gestión de seguridad de la información.
b)Retroalimentación sobre el desempeño de seguridad de la
información incluyendo:
• No conformidades y acciones correctivas.
• Resultados del monitoreo y medición.
• Resultados de la auditoria.
• Cumplimiento de los objetivos de seguridad de la información.
 10. MEJORA DEL SGSI
 La organización deberá mejorar continuamente la
conveniencia, adecuación y eficacia del SGSI.

 Cuando la disconformidad se produce, deberá:

 Reaccionar a la no conformidad.
 Evaluar la necesidad de adoptar medidas para eliminar
las causas de no conformidades, a fin de que no se repita.
 Aplicar las medidas necesarias.
 Revisar la eficacia de las medidas correctivas adoptadas.
 Medidas del tratamiento y limitaciones.
 Realizar los cambios necesarios en el SGSI.
 GESTIÓN DE INCIDENTES
ANEXO A: ISO 27001 - Dominio A.16

• GARANTIZAR UN ENFOQUE COHERENTE Y EFICAZ PARA LA

GESTIÓN DE INCIDENTES Y EVENTOS DE SEGURIDAD DE LA
INFORMACIÓN, INCLUYENDO UN ESCALAMIENTO, UNA DEBIDA
COMUNICACIÓN Y LA GESTIÓN DE PROBLEMAS
¿QUÉ QUEREMOS?
RESUMEN:
• PROTEGER LA INFORMACIÓN DE LA ORGANIZACIÓN.

¿QUÉ INFORMACIÓN?

• TODA, EN ESPECIAL LA RELACIONADA AL ALCANCE.

¿CÓMO?

• ESTABLECIENDO POLÍTICAS Y PROCEDIMIENTOS.

• A TRAVÉS DE RECURSOS, COMUNICACIÓN, CAPACITACIÓN Y CONCIENTIZACIÓN.

• ASIGNANDO ROLES Y RESPONSABILIDADES.

• APLICANDO CONTROLES DE SEGURIDAD ORGANIZATIVOS, ADMINISTRATIVOS, FÍSICOS, LÓGICOS.

METODOLOGÍA:

• GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BAJO ISO 27001.

• GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN BAJO ISO 31000.

• MEJORA CONTINUA - ACCIONES CON RESPONSABLES.

34

• AUDITORIA.