Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Consideraciones Auditoria 2014
Consideraciones Auditoria 2014
Integridad
Salvaguardar la exactitud y
completitud de los activos, así
como los métodos de
procesamiento.
¿Conoce y entiende la Política del SGI?
¿Cómo contribuye
el área?
¿Dónde está
ubicada?
¿Cómo la difunde a
personal y terceros?
¿Dónde está
definido?
Está definido en el
Anexo 8 del Manual
SIG: Proceso,
actividades
principales,
localización, ámbito,
tecnologías.
¿CUÁLES SON LOS
PROCEDIMIENTOS DEL SGI?
¿CUÁLES SON OBLIGATORIOS
SEGÚN LA NORMA ISO 27001?
¿Conoce la documentación del SGI?
¿Conoce la documentación del SGI?
Basado en la
Ambiente Procesos Norma ISO 27005
Mecanismos
propuestos
4. Tratamiento 3. Evaluación
Riesgo Efectivo
Probabilidad
¿Qué es un Activo?
Cualquier cosa que tenga valor para la organización. [ISO/IEC
27000:2012]
Personas Servicios
conocimiento de las internet, correo,
personas energía o de terceros
Físicos Software
computadoras, medios aplicativos y software
removibles de sistemas
Información Intangibles
contratos, guías, imagen y marca,
resoluciones, base de datos reputación
Atributos de los Activos
Propietario de la Información
Es aquella persona o entidad que tiene la responsabilidad
gerencial aprobada de controlar la producción, desarrollo,
mantenimiento, uso y seguridad de los activos de información.
Ejemplos Genéricos:
boletines de noticias, comunicados internos, presupuestos, memorandos, informes de prensa,
entre otros.
Criterios de Clasificación de la Información
USO INTERNO
Es toda aquella información cuya revelación no causaría daños a
OSINERGMIN y su acceso es libre para los empleados de la entidad
Ejemplos Genéricos:
información publicada en la intranet de la organización, reglamento
interno de trabajo, entre otros.
Criterios de Clasificación de la Información
USO CONFIDENCIAL
Es toda aquella información que debe ser estrictamente
restringida basándose en el concepto de “necesidad de
saber”, su revelación requiere la aprobación de sus dueño o
propietario, es de uso exclusivo de la organización, en el caso
de terceros se deberá firmar acuerdo de confidencialidad y
no divulgación.
Criterios de Clasificación de la Información
USO RESTRINGIDO
Es toda aquella información cuyo acceso se da aun número
reducido de personas. Usualmente, debe ir acompañada del
principio de CONFIDENCIALIDAD.
Esta debe ser manejada con todas las precauciones y controles
posibles determinando exactamente que personas tienen acceso a
la misma y vigilando su uso, transporte y almacenamiento.
¿CÓMO VALORIZO UN ACTIVO?
¿CUÁNTOS VALORES HAY SEGÚN
LA METODOLOGIA?
¿Cómo Valorizar un Activo?
Confidencialidad Disponibilidad
Asegurar que la información Asegurar el acceso y uso sobre
no este disponible o divulgada demanda a una persona o
a personas, entidades o entidad autorizada.
procesos no autorizados.
Integridad
Salvaguardar la exactitud y
completitud de los activos, así
como los métodos de
procesamiento.
¿Cómo Valorizar un Activo?
Clasific
ación Confidencialidad Integridad Disponibilidad Cuando la pérdida o
(Valor) falla de un
Muy Irreversiblemente. Irreversiblemente Irreversiblemente determinado activo
Alto afecta la divulgación o
(5) revelamiento no
autorizado de la
Gravemente Gravemente Gravemente
Alto información,
(4) impactando “-----------”
la operatividad,
Considerablemente Considerablemente Considerablemente competitividad, el
Medio
(3) cumplimiento legal,
rentabilidad o imagen
Parcialmente Parcialmente Parcialmente de la Institución.
Bajo
(2)
En la identificación de amenazas y
vulnerabilidades que componen el riesgo, el
Responsable del proceso y Coordinador SGI,
consideran los activos de información
identificados cuya valoración sea “Alta” y/o que
hayan sido clasificados como “Confidenciales”.
¿Qué es un AMENAZA?
Causa Potencial de un incidente no deseado que puede resultar en daño al Sistema,
a la Organización o a sus ACTIVOS.
Puede ser accidental o intencional.
CONTROL
Debilidad de un Activo de
Amenaza control Información
Explota …
Ausencia de un Activo de
control Información
¿Qué es un EVENTO DE RIESGO?
Amenaza x Vulnerabilidad
PROBABILIDAD
IMPACTO
Son las consecuencias posibles al momento
de materializarse un RIESGO.
Probabilidad de
Ocurrencia del Riesgo
Amenaza x Vulnerabilidades
Niveles de Vulnerabilidad
Niveles de Amenaza
Clasificación Descripción
Clasificación Descripción
No existen controles para contener la
Muy Alto (5) Una vez a la semana Muy Alto (5)
amenaza
Alto (4) Una vez al mes
Existen controles pero no están
Alto (4)
Medio (3) Una vez cada 6 meses documentados
Existen controles documentados pero no
Bajo (2) Una vez al año Medio (3)
son medibles
Muy Bajo (1) Una vez cada 3 años
Existen controles medibles pero no son
Bajo (2)
mejorados continuamente
Existen controles mejorados
Muy Bajo (1)
continuamente
¿CÓMO ESTIMO EL NIVEL DE
RIESGO? ¿CUÁNTOS VALORES
HAY SEGÚN LA METODOLOGIA?
Niveles de Riesgo
Clasificación
Probabilidad de Muy Alto (5)
Alto (4)
Ocurrencia del Riesgo Moderado (3)
Menor (2)
Mínimo (1)
El Análisis y
Evaluación
de Riesgos
TRANSFERIR EVITAR
ACEPTAR REDUCIR
CONTROL
Organización de la 11 cláusulas
Seguridad de Información 39 Objetivos
133 controles
Táctico
Gestión de activos Control de Accesos
Gestión de Incidentes de
Cumplimiento
Seguridad
Se debe considerar:
Riesgo
Grado vs impacto
Facilidad de implementación (Tiempo, costo)
Servicios asociados y riesgos comunes a diversos activos
Exigencias legales y regulatorias
Exigencias de clientes u otras relaciones contractuales
Considerar el costo de mantenimiento del control
Desarrollar opciones preventivas y previas a la planificación (costo/beneficio)
Mejorar los controles existentes
MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN
Y DOCUMENTOS DEL SGI
(MSIG – MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN)
POLITICAS DE OSINERGMIN
Conociendo la Política del Sistema Integrado de Gestión (SIG)
OS GFE
1) Supervisión de interrupciones en instalaciones eléctricas de media
1)Gestión Documentaria (SIGED).
tensión.
2)Gestión de Centro de Datos (No entra para la
2) Supervisión de verificación de la disponibilidad y estado
Auditoría SGI).
operativo de las unidades de generación del SEIN.
GFHL GART
1) Generación y Habilitación de Usuarios y 1)Actualización de Pliegos Tarifarios
Contraseñas SCOP 2)Determinación del Factor de Recargo del FOSE
STOR
GFGN 1)Atención de apelaciones de reclamos de los usuarios de los servicios
públicos de electricidad y gas natural por red de ductos
1) Atención de solicitudes de registro de hidrocarburos
2)Atención de quejas referidas a reclamos de los usuarios de los servicios
para las actividades de gas natural
públicos de electricidad y gas natural por red de ductos
Código Objetivo
Objetivo Asegurar un adecuado desarrollo, implementación, operación, monitoreo, revisión,
General mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información.
Garantizar la integridad de los expedientes, asegurando su uso dentro de los procesos que los Excede
Objetivo 1
requieran. Expectativas
(5) Desarrollo
del Plan de
Pruebas.
Certificación
• Forma parte del ISO 27001
Sistema de Gestión de
SI
• Es un control de
seguridad de la
información (dominio OSINERGMIN
13 del Anexo A de la
ISO 27001)
2. ¿Qué es un incidente de seguridad de la
información?
Evento inesperado y no
deseado, que puede
comprometer la CID de los
principales activos de la
información de los procesos de
OSINERGMIN.
Ejemplos: Robo de Laptop,
Perdida de Expedientes, Ataque
de Virus en la red, Incendio en el
centro de datos, Fuga de
información sensible por correo
electrónico.
3. ¿Qué es una vulnerabilidad de seguridad de
la información?
Debilidad de un activo o
grupo de activos de
información que puede
ser explotada
potencialmente por una o
más amenazas,
comprometiendo su CID.
• Reportante
Usuario encargado de notificar y registrar el
incidente o vulnerabilidad identificada.
• Resolutor
Entidad encargada de la atención de los
incidentes o vulnerabilidades de seguridad de
la información que han sido registrados.
No
Es un ISI o
VSI?
Llenar formato
de registro
Si
Definir impacto,
Completar datos
criticidad,
faltantes
Registrar ISI o urgencia
VSI en el
sistema SIGED
Definir equipo de
Determinación trabajo, plan de
Derivar a
de Solución mitigacón, estimar Cierre del
especialista
costos y tiempo periodo
de atención
Solucionable Reasignar
? especialista
Actualización
del Historial de
Si Definición de
Incidentes y de
Planes de
la base de
Acción
Desarrollar Conocimiento
Solución (si aplica)
La efectividad de los
La medición de la efectividad de los controles se muestra de
controles y objetivos de
manera genérica pero por cada gerencia no se puede
control por gerencia es muy
demostrar. Los análisis de impacto realizados para garantizar
complicado demostrar, así
Todos la continuidad del negocio muestran un estado básico de ISO 27001 4.2.3 c)
como la implementación de
aplicación, en algunos casos se dificulta su presentación en
las estrategias de
otros, se comenta su reciente realización y en otros se
continuidad de las
comenta la falta de implementación
operaciones.
Propuesta:
Sesión de Trabajo para la revisión de la Declaración de Aplicabilidad.
Se realizará la siguiente semana (11 al 15 de noviembre)
4. Observación – Política de Escritorio Limpio
PROCESO
OBSERVACIONES
AUDITADO
2.- La aplicación de las políticas de escritorio limpio, pantalla limpia y control de accesos
Todos
debe permear más en la organización
Propuesta:
•Charlas de concientización.
•Inspección mensual con reporte al Jefe de Área. Se realizará la semana del 18
al 22 de noviembre.
CONSIDERACIONES: PROCESO DE
AUDITORIA DE CERTIFICACIÓN DEL SGI
Área N° Fecha Hora Coordinador
Procesos
Generales Carlos Gonzales Fung
OS 23.09.13 09:00-18:00
02 Esteban Inga Llancas
GFE 24.09.13 09:00-18:00
02 José Canelo Marcet
GFHL 25.09.13 09:00-13:00
01
GFGN 25.09.13 14:00-18:00 Otilia Aguirre Aguirre
02
GART 26.09.13 09:00-13:00 Juan Jose Javier Jara
02
STOR 26.09.13 14:00-18:00 Luís Espinoza Becerra
SIGED Carlos Gonzales
OS 27.09.13 09:00-13:00
- José Chang
RRHH 27.09.13 14:00-15:30
Proceso de auditoría de certificación del SGI
Factor clave 1: Conocer los Documentos del SGI.
Factor clave 2: Conocer cómo los controles, de su ámbito, están
implementados o se cumplen dentro de su proceso.
Factor clave 3: Comprender la Política Especifica de Seguridad
de la Información. (OS-LI-01)
Factor clave 4: Estar debidamente entrenados de acuerdo al rol
que cumplimos dentro del SGI.
Proceso de auditoría de certificación del SGI
Actividad clave 1: Conocer el plan de auditoría.
Actividad clave 2: Conocer como los controles del anexo A sobre las cuales nos van a
auditar estás implementados (revisar la Declaración de Aplicabilildad).
Actividad clave 3: Durante la auditoría decir siempre la verdad.
Actividad clave 4: Conocer exactamente dónde están, ubicación física y/o lógica, los
activos de información.
Actividad clave 5: Conocer las actividades del proceso auditado (quién le envía qué
información, y ud. Qué envía a quién).
Actividad clave 6: Conocer cómo se desarrolla una SACP. Conocer el estado de las
SACPs y Observaciones de su área derivadas de auditorías y/o hallazgos.
Actividad clave 7: Conocer cómo reportar un incidente de seguridad de la información
(SGI-PG-02).
Otros Aspectos Importantes
• Situación de los controles de la gestión de riesgos 2012.
• Diferencias entre la gestión de riesgos 2012 y 2013.
• Como los controles implementados del periodo 2012 han mitigado
los riesgos (Eficacia de los controles).
• Explicar si ha habido reevaluación de riesgos por cambios en los
procesos.
• Revisión de los Informes de Gestión trimestrales.
• Explicar los controles implementados y el seguimiento al
cumplimiento de controles.
• Exponer la realización de programas de capacitación y
concientización interna (dentro de las áreas) si las ha habido.
• Exponer como han tratado los incidentes de seguridad de
información
• SACPs a cargo y las que han generado.
• Seguimiento al tratamiento de las SACPs.
Durante la Auditoria, el Auditor hará
básicamente 3 cosas:
– Observar
– Oír
Verificar
Utilizan los siguientes recursos para observar, oír y verificar:
Personal de todos los niveles
Procedimientos documentados
Registros de la organización
Observación del trabajo “in situ”
Observación de las condiciones de trabajo
Equipos herramientas (hardware y software)
Partes Partes
Interesadas Evaluación / Calificación Resultado Interesadas
Solicitud (Resolución
> de la Solicitud => / Obs.) >
Administrad Expediente Administrad
os os
R R R • Pérdida del
PROCESO
i i i expediente
e e e • Caída / Falla del
s s s sistema
g g g • Alteración de
o o o
Partes s s s
datos Partes
Interesadas Evaluación / Calificación Resultado Interesadas
Solicitud (Resolución
> de
Control la Solicitud
Control =>
Control / Obs.) >
Administrad Expediente Administrad
os • Expediente
os
Activos de
• Resolución
Información
• Sistema que uso
Confidencialidad • Base de Datos
Integridad • Servicios
Disponibilidad
Gracias