Consideraciones para la Auditoría

SISTEMA DE GESTIÓN DE SEGURIDAD

DE LA INFORMACIÓN - SGI

Marzo del 2014

Agenda
ASPECTOS GENERALES
¿CUÁNTAS FASES TIENE EL
MODELO PROPUESTO POR EL ISO
27001 (IMPLEMENTACIÓN DEL SGI)
Y EN CUAL ESTÁ SU PROCESO?
Establezca el Contexto en la que se encuentra
su proceso en el SGI
 ¿Qué es un Activo?
Cualquier cosa que tenga valor para la organización. [ISO/IEC
27000:2012]

Estos pueden ser: un documento, un software, algún elemento

físicos, como una computadora, los servicios, las personas e los
intangibles, como la reputación o imagen de las empresas.
 ¿Qué es la seguridad de la información?
Confidencialidad Disponibilidad
Asegurar que la información Asegurar el acceso y uso sobre
no este disponible o divulgada demanda a una persona o
a personas, entidades o entidad autorizada.
procesos no autorizados.

Integridad
Salvaguardar la exactitud y
completitud de los activos, así
como los métodos de
procesamiento.
 ¿Conoce y entiende la Política del SGI?

¿Cómo contribuye
el área?
¿Dónde está
ubicada?
¿Cómo la difunde a
personal y terceros?

Asegurar la confidencialidad, integridad y

disponibilidad de los activos de información
relevantes, mediante la gestión de riesgos,
implementación de controles y mediciones de la
seguridad de la información.
¿CUÁLES SON LOS OBJETIVOS
DEL SGI (MENCIONE UN EJEMPLO
POR CADA UNO DE ELLOS)?
 ¿Conoce y entiende los Objetivos del SGI?

Asegurar un adecuado desarrollo, implementación, operación, monitoreo,

Objetivo
revisión, mantenimiento y mejora continua del Sistema de Gestión de
General
Seguridad de la Información.
 
Garantizar la integridad de los expedientes, asegurando su uso dentro de los
Objetivo 1
procesos que los requieran.
Garantizar la disponibilidad de los sistemas de información, asegurando su
Objetivo 2
operación en los procesos que los requieran.
Objetivo 3 Asegurar la efectividad del SGSI, a traves de la mejora continua.
Garantizar la efectividad de los controles implementados, asegurando una
Objetivo 4
adecuada mitigación de los riesgos.

¿Cómo contribuye el área?

¿Dónde está ubicada?
¿Tiene definido el Alcance de su proceso?

¿Dónde está
definido?

Está definido en el
Anexo 8 del Manual
SIG: Proceso,
actividades
principales,
localización, ámbito,
tecnologías.
¿CUÁLES SON LOS
PROCEDIMIENTOS DEL SGI?
¿CUÁLES SON OBLIGATORIOS
SEGÚN LA NORMA ISO 27001?
¿Conoce la documentación del SGI?
 ¿Conoce la documentación del SGI?

Procedimientos Obligatorios (NTP-ISO 27001):

•Control de Documentos (4.3.2)
•Auditorías Internas (6)
•Acciones Correctivas y Preventivas (8.2 y 8.3).

Todos estos procedimientos se encuentran

consolidados en:
•Procedimiento SIG-PG-01 – Documentación,
Revisión y Mejora
¿Sabe ubicar los registros del SGI?
DEFINICIONES SOBRE SEGURIDAD
DE LA INFORMACIÓN
Activos y sus Gestión de Riesgos
atributos

Personas Tecnologia 1. Inventariar 2. Análisis

Basado en la
Ambiente Procesos Norma ISO 27005

Mecanismos
propuestos

4. Tratamiento 3. Evaluación

Riesgo Efectivo

Probabilidad
 ¿Qué es un Activo?
Cualquier cosa que tenga valor para la organización. [ISO/IEC
27000:2012]

Estos pueden ser: un documento, un software, algún elemento

físicos, como una computadora, los servicios, las personas e los
intangibles, como la reputación o imagen de las empresas.
 ¿Qué es un Activo de Información?
Es todo aquello que es o contiene información, son los
datos y el conocimiento de las personas, y que tiene valor
para la organización.
¿Cuáles son los recursos a proteger?
• La información es un activo, que como otros activos
importantes, tiene un valor para la Institución y
requiere en consecuencia una adecuada protección.

• La información adopta diversas formas:

– Impresa o escrita en papel.
– Almacenada electrónicamente.
– Transmitida por correo o email.
– Mostrada en video.
– Hablada en conversación.
¿UNA PERSONA EN PARTICULAR
PUEDE SER UN ACTIVO DE
INFORMACION? ¿LOS SERVICIOS
DE TERCEROS SON ACTIVOS DE
INFORMACION? ¿POR QUÉ?
 Categorías de Activos

Personas Servicios
conocimiento de las internet, correo,
personas energía o de terceros

Físicos Software
computadoras, medios aplicativos y software
removibles de sistemas

Información Intangibles
contratos, guías, imagen y marca,
resoluciones, base de datos reputación
Atributos de los Activos
 Propietario de la Información
Es aquella persona o entidad que tiene la responsabilidad
gerencial aprobada de controlar la producción, desarrollo,
mantenimiento, uso y seguridad de los activos de información.

Además es el responsable por definir apropiadamente la

clasificación y los derechos de acceso a los activos de
información, estableciendo los controles apropiados.
 Custodio de la Información
Es aquella persona o entidad que mantiene bajo su
responsabilidad, activos de información de la cual NO es el
dueño o propietario.
 Activos Transversales
Los Activos de Información Transversales son identificado
por sus respectivos propietarios y revisados por cada
proceso, siguiendo lo establecido en la Metodología de
Gestión de Riesgos (SGI-PG-01).
¿CUÁLES SON LAS
CLASIFICACIONES DE LOS
ACTIVOS DE INFORMACION? ¿POR
QUÉ ES IMPORTANTE CLASIFICAR?
 Criterios de Clasificación de la Información
USO PUBLICO
Es toda aquella información que ha sido explícitamente aprobada por OSINERGMIN para su
diseminación publica.

Ejemplos Genéricos:
boletines de noticias, comunicados internos, presupuestos, memorandos, informes de prensa,
entre otros.
 Criterios de Clasificación de la Información
USO INTERNO
Es toda aquella información cuya revelación no causaría daños a
OSINERGMIN y su acceso es libre para los empleados de la entidad

Ejemplos Genéricos:
información publicada en la intranet de la organización, reglamento
interno de trabajo, entre otros.
 Criterios de Clasificación de la Información
USO CONFIDENCIAL
Es toda aquella información que debe ser estrictamente
restringida basándose en el concepto de “necesidad de
saber”, su revelación requiere la aprobación de sus dueño o
propietario, es de uso exclusivo de la organización, en el caso
de terceros se deberá firmar acuerdo de confidencialidad y
no divulgación.
 Criterios de Clasificación de la Información
USO RESTRINGIDO
Es toda aquella información cuyo acceso se da aun número
reducido de personas. Usualmente, debe ir acompañada del
principio de CONFIDENCIALIDAD.  
Esta debe ser manejada con todas las precauciones y controles
posibles determinando exactamente que personas tienen acceso a
la misma y vigilando su uso, transporte y almacenamiento.
¿CÓMO VALORIZO UN ACTIVO?
¿CUÁNTOS VALORES HAY SEGÚN
LA METODOLOGIA?
 ¿Cómo Valorizar un Activo?
Confidencialidad Disponibilidad
Asegurar que la información Asegurar el acceso y uso sobre
no este disponible o divulgada demanda a una persona o
a personas, entidades o entidad autorizada.
procesos no autorizados.

Integridad
Salvaguardar la exactitud y
completitud de los activos, así
como los métodos de
procesamiento.
 ¿Cómo Valorizar un Activo?
Clasific
ación Confidencialidad Integridad Disponibilidad Cuando la pérdida o
(Valor) falla de un
Muy Irreversiblemente. Irreversiblemente Irreversiblemente determinado activo
Alto afecta la divulgación o
(5) revelamiento no
autorizado de la
Gravemente Gravemente Gravemente
Alto información,
(4) impactando “-----------”
la operatividad,
Considerablemente Considerablemente Considerablemente competitividad, el
Medio
(3) cumplimiento legal,
rentabilidad o imagen
Parcialmente Parcialmente Parcialmente de la Institución.
Bajo
(2)

Muy No impactando No impactando No impactando

Bajo
(1)
 ¿Cómo Valorizar un Activo?
Valor Valor Tasación
Mínimo Máximo
3.334 5.000 Alto
1.668 3.333 Medio
1.000 1.667 Bajo

En la identificación de amenazas y
vulnerabilidades que componen el riesgo, el
Responsable del proceso y Coordinador SGI,
consideran los activos de información
identificados cuya valoración sea “Alta” y/o que
hayan sido clasificados como “Confidenciales”.
 ¿Qué es un AMENAZA?
Causa Potencial de un incidente no deseado que puede resultar en daño al Sistema,
a la Organización o a sus ACTIVOS.
Puede ser accidental o intencional.

Los activos están sujetas a muchos tipos de amenazas:

Desastres Naturales: Terremoto, inundación, etc.
Humanas: Errores de Mantenimiento, huelga, etc.
Tecnológicas: Caída del Sistemas, falla de hardware.
 ¿Qué es un VULNERABILIDAD?
(Falla o Insuficiencia)

Es la debilidad o ausencia de control de un

ACTIVO de Información que puede ser
aprovechada (explotada) por una AMENAZA.
Ejemplo:
Control de acceso físico inadecuado
Falta de conciencia en Seguridad
Ausencia de Sistemas contra incendio
 Las vulnerabilidades deben ser coherentes
con la amenaza
Las vulnerabilidades pueden ser “explícitas” cuando se trata de
ausencia de control o “implícitas” cuando existiendo el control
éste puede fallar (debilidad del control).

CONTROL
Debilidad de un Activo de
Amenaza control Información

Explota …
Ausencia de un Activo de
control Información
¿Qué es un EVENTO DE RIESGO?

Es la probabilidad de que una AMENAZA

vulnere un ACTIVO, causando un impacto
negativo.
 Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar pérdida o daño en un activo de información (Según ISO 27001).

Nivel de exposición al Riesgo

Valor del Activo Probabilidad de Impacto

x x
(Integridad, Confidencialidad e Integridad) Ocurrencia (Económico, legal, operacional)

Amenaza x Vulnerabilidad
 PROBABILIDAD

Es la frecuencia con que se podría producir

el RIESGO en un plazo determinado de
tiempo.

IMPACTO
Son las consecuencias posibles al momento
de materializarse un RIESGO.
 Probabilidad de
Ocurrencia del Riesgo

Amenaza x Vulnerabilidades

Niveles de Vulnerabilidad
Niveles de Amenaza
Clasificación Descripción
Clasificación Descripción
No existen controles para contener la
Muy Alto (5) Una vez a la semana Muy Alto (5)
amenaza
Alto (4) Una vez al mes
Existen controles pero no están
Alto (4)
Medio (3) Una vez cada 6 meses documentados
Existen controles documentados pero no
Bajo (2) Una vez al año Medio (3)
son medibles
Muy Bajo (1) Una vez cada 3 años
Existen controles medibles pero no son
Bajo (2)
mejorados continuamente
Existen controles mejorados
Muy Bajo (1)
continuamente
¿CÓMO ESTIMO EL NIVEL DE
RIESGO? ¿CUÁNTOS VALORES
HAY SEGÚN LA METODOLOGIA?
 Niveles de Riesgo
Clasificación
Probabilidad de Muy Alto (5)
Alto (4)
Ocurrencia del Riesgo Moderado (3)
Menor (2)
Mínimo (1)

“Se consideran los

siguientes niveles de
Amenaza x Vulnerabilidades riesgos: Muy Alto, Alto,
Medio, Bajo y Muy
Bajo, que establecen los
Niveles de Amenaza Niveles de Vulnerabilidad criterios de aceptación
Clasificación Descripción Clasificación Descripción
Muy Alto (5) Una vez a la semana No existen controles para contener la del riesgo. Para la etapa
Muy Alto (5)
Alto (4) Una vez al mes amenaza de análisis y evaluación,
Una vez cada 6 Existen controles pero no están
Medio (3)
meses Alto (4)
documentados se han considerado
Bajo (2) Una vez al año
Medio (3)
Existen controles documentados pero como aceptables los
Muy Bajo (1) Una vez cada 3 años no son medibles
Existen controles medibles pero no son niveles Medio, Bajo y
Bajo (2)
mejorados continuamente Muy Bajo”
Existen controles mejorados
Muy Bajo (1)
continuamente
 Niveles de Impacto
Clasificación Legal Operativo Económico
afecta afecta irreversiblemente la Afecta irreversiblemente a la
Institución,
Muy Alto (5) irreversiblemente a operatividad de los procesos ocasionando pérdidas cuantiosas, sin
la Institución de la Institución posibilidad de recuperación.

afecta afecta drásticamente la Afecta drásticamente a la Institución

con
Alto (4) drásticamente a la operatividad de los procesos
Impacto
posibilidad de recuperación a costos
Institución de la Institución elevados a largo plazo.

afecta seriamente la Afecta seriamente a la institución, con

(Económico, Legal, Operacional)
Muy Bajo (1)
Medio (3)
afecta seriamente a
operatividad de los procesos posibilidad de recuperación a costos
la Institución
de la Institución intermedios a mediano plazo.
Afecta parcialmente a la institución,
afecta parcialmente la con
afecta parcialmente
Bajo (2) operatividad de los procesos posibilidad de recuperación a bajo
a la Institución costo a
de la Institución
corto plazo.
No afecta económicamente a la
institución,
no afecta a la no afecta la operatividad de
con posibilidad de recuperación sin
Institución los procesos de la Institución costo o
con recursos disponibles.
Plan de Tratamiento

Plan de Acción que define

las acciones para reducir
los riesgos no aceptables e
implementar los controles
necesarios para proteger
la información.
 Identificación
de Activos y
Riesgos

El Análisis y
Evaluación
de Riesgos
TRANSFERIR EVITAR
ACEPTAR REDUCIR
CONTROL

Todo elemento o medidas que permite

reducir o eliminar la exposición al RIESGO de
cada ACTIVO.
¿Cómo desarrollar el Plan de Tratamiento de
Riesgos?
Actividades para desarrollar el Plan de tratamiento de Riesgos:

Comprender que los riesgos se tratan aplicando controles de seguridad de la

información los cuales se encuentran contenidos en el anexo “A” de la norma
ISO 27001.
Comprender los criterios de tratamiento a fin de definir controles cuya
implementación sea realista y responda positivamente a un análisis
costo/beneficio.
Trabajando en conjunto a fin de consensuar las expectativas de seguridad de
la información.
 Controles de Seguridad de la Información - anexo “A” ISO 27001.
6 Aspectos Organizacionales
Controles para Estratégico 1
la Gestión de Aspectos Físicos
la Seguridad 3 Aspectos Técnicos
de la Política de Seguridad 1 Aspecto de Control
Información

Organización de la 11 cláusulas
Seguridad de Información  39 Objetivos
 133 controles

Táctico
Gestión de activos Control de Accesos

Gestión de Incidentes de
Cumplimiento
Seguridad

Seguridad de los Recursos Seguridad Física y

Humanos Ambiental

Operativo Adquisición, Desarrollo y Gestión de Operaciones y Gestión de Continuidad de

Mant. de Sistemas Comunicaciones Negocios
Criterios para seleccionar controles de seguridad

Se debe considerar:
Riesgo
Grado vs impacto
Facilidad de implementación (Tiempo, costo)
Servicios asociados y riesgos comunes a diversos activos
Exigencias legales y regulatorias
Exigencias de clientes u otras relaciones contractuales
Considerar el costo de mantenimiento del control
Desarrollar opciones preventivas y previas a la planificación (costo/beneficio)
Mejorar los controles existentes
MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN
Y DOCUMENTOS DEL SGI
(MSIG – MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN)
POLITICAS DE OSINERGMIN
Conociendo la Política del Sistema Integrado de Gestión (SIG)

1.- Política del SIG

Como Organismo regulador, supervisor y fiscalizador de los sectores de electricidad,
hidrocarburos y minería nuestros compromisos son:

•Actuar con autonomía, transparencia y equidad; brindando un servicio oportuno y de

calidad.
•Prevenir la contaminación ambiental y controlar los impactos generados por nuestras
actividades, utilizando eficientemente los recursos naturales.
•Prevenir los daños y deterioro de la salud de los trabajadores y terceros. Controlar los
riesgos relacionados con la SST generados por nuestras actividades.
•Asegurar la Confidencialidad, Integridad y Disponibilidad de los activos de
información relevantes, mediante la gestión de riesgos, implementación de
controles y mediciones de la seguridad de la información.
•Cumplir con el marco normativo vigente y otros aplicables.
•Promover la formación y toma de conciencia del personal y la mejora continua del
desempeño del SIG.
Conociendo el Manual del Sistema de Gestión de Seguridad de la
Información (SGI)
2.- Alcance del SGI
Para el Sistema de Gestión de Seguridad de la Información el alcance es el siguiente:

OS GFE
1) Supervisión de interrupciones en instalaciones eléctricas de media
1)Gestión Documentaria (SIGED).
tensión.
2)Gestión de Centro de Datos (No entra para la
2) Supervisión de verificación de la disponibilidad y estado
Auditoría SGI).
operativo de las unidades de generación del SEIN.

GFHL GART
1) Generación y Habilitación de Usuarios y 1)Actualización de Pliegos Tarifarios
Contraseñas SCOP 2)Determinación del Factor de Recargo del FOSE

GFGN
1) Atención de solicitudes de registro de hidrocarburos
para las actividades de gas natural
STOR
1)Atención de apelaciones de reclamos de los usuarios de los servicios
públicos de electricidad y gas natural por red de ductos
2)Atención de quejas referidas a  reclamos de los usuarios de los servicios
públicos de electricidad y gas natural por red de ductos

En el anexo “8” del Manual SIG se detalla el Alcance del SGI.

Conociendo el Manual del Sistema de Gestión de Seguridad de la
Información (SGI)

3.- Objetivos del SGI

Para el SGI se han determinado los siguientes objetivos específicos:

OB6: Garantizar la integridad de los expedientes, asegurando su uso

dentro de los procesos que los requieran
OB7: Garantizar la disponibilidad de los sistemas de información,
asegurando su operación en los procesos que los requieran
OB8: Asegurar la efectividad del SGI, a través de la mejora continua
OB9: Garantizar la efectividad de los controles implementados,
asegurando una adecuada mitigación de los riesgos

Están definidos en el Manual SIG y en el Procedimiento de Medición del

SGI (SGI-PE-06).
 Nivel de Cumplimiento de Objetivos SGI - Resumen

Código Objetivo

     
Objetivo Asegurar un adecuado desarrollo, implementación, operación, monitoreo, revisión,
General mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información.

 
Garantizar la integridad de los expedientes, asegurando su uso dentro de los procesos que los Excede
Objetivo 1
requieran. Expectativas

Garantizar la disponibilidad de los sistemas de información, asegurando su operación en los Excede

Objetivo 2
procesos que los requieran. Expectativas

Objetivo 3 Asegurar la efectividad del SGSI, a traves de la mejora continua. Satisfactorio

Garantizar la efectividad de los controles implementados, asegurando una adecuada

Objetivo 4 Aceptable
mitigación de los riesgos.
Políticas Específicas de Seguridad de Información (OS-LI-01)
Otros Documenos del SGI

4. Procedimiento “Documentación, Revisión y Mejora del SGI”

(SIG-PG-01)
5. Procedimiento “Gestión de Riesgos de seguridad de la
información” (SGI-PG-01)
6. Procedimiento “Gestión de Incidentes de seguridad de la
información” (SGI-PG-02)
7. Procedimiento “Medición del desempeño del SGI” (SGI-PE-06)
8. Documento Declaración de Aplicabilidad
¿QUÉ ES LA DECLARACION DE
APLICABILIDAD?
8. Declaración de Aplicabilidad
8. Declaración de Aplicabilidad
AVANCES EN LA CONTINUIDAD DE
OPERACIONES
 (1) Análisis de
Impactos al
Negocio • Lista de Procesos/Subprocesos según
Fase de Implementación
Nivel de Impacto al negocio.
• Tiempos de Recuperación
• Lista de Procesos/ • Lista de Personal Critico.
Subprocesos según • Matriz de dependencias.
(3) Selección
Nivel de Impacto al de Estrategias
negocio.
• Lista de Activos según
Nivel de Riesgos. • Identificación de las (2) estrategias de Continuidad
• Definición de escenario que incluirá: tiempos de recuperación, costes,
• Plan de tratamiento de riesgos. recursos humanos/técnicos.
(2) Análisis y
Evaluación de (4) Desarrollo
Riesgos del Plan de
Continuidad

• Procedimientos de Gestión de Crisis.

• Desarrollo de DRP´s.
• Procedimiento de vuelta a la normalidad.
• Desarrollo del Plan de Continuidad.

(5) Desarrollo
del Plan de
Pruebas.

• Cronograma para las 05 pruebas.

• Desarrollo del Plan de Pruebas.
• Informe de Resultados de las
05 pruebas realizadas.

(6) Desarrollo del Plan de Formación

GESTION DE INCIDENTES Y
VULNERABILIDADES DE SEGURIDAD
(SGI-PG-02 PROCEDIMIENTO DE GESTIÓN DE INCIDENTES)
1. Gestión de Incidentes y Vulnerabilidades de
Seguridad de la Información

Certificación
• Forma parte del ISO 27001
Sistema de Gestión de
SI

• Es un control de
seguridad de la
información (dominio OSINERGMIN
13 del Anexo A de la
ISO 27001)
2. ¿Qué es un incidente de seguridad de la
información?
Evento inesperado y no
deseado, que puede
comprometer la CID de los
principales activos de la
información de los procesos de
OSINERGMIN.
Ejemplos: Robo de Laptop,
Perdida de Expedientes, Ataque
de Virus en la red, Incendio en el
centro de datos, Fuga de
información sensible por correo
electrónico.
3. ¿Qué es una vulnerabilidad de seguridad de
la información?
Debilidad de un activo o
grupo de activos de
información que puede
ser explotada
potencialmente por una o
más amenazas,
comprometiendo su CID.

Ejemplos: Exceso de accesos a

información sensible de una
gerencia, Puerta abierta del Data
Center.
4. ¿Por qué reportar un incidente o una
vulnerabilidad de SI?

1. Proteger los activos de información de

nuestras áreas, gerencias y organización.

2. Mejorar los procesos de las áreas,

gerencias y organización.

3. Mejorar los servicios relacionados a

recursos tecnológicos.
5. ¿Qué roles describe el Procedimiento?

• Reportante
Usuario encargado de notificar y registrar el
incidente o vulnerabilidad identificada.

• Resolutor
Entidad encargada de la atención de los
incidentes o vulnerabilidades de seguridad de
la información que han sido registrados.

• Analista de Seguridad de la Información

Rol asumido por el OSI o quien éste delegue,
para realizar las actividades de revisión,
gestión y monitoreo de los ISI y las VSI,
según lo narrado en este procedimiento.
Procedimiento de Gestión de Incidentes de Seguridad de la Información

Usuario Entidad Analista de Oficial de Recursos

Reportante Resolutora Seguridad Seguridad Humanos

Identificar ISI o Derivado a otra

VSI instancia

No

Es un ISI o
VSI?
Llenar formato
de registro
Si

Definir impacto,
Completar datos
criticidad,
faltantes
Registrar ISI o urgencia
VSI en el
sistema SIGED
Definir equipo de
Determinación trabajo, plan de
Derivar a
de Solución mitigacón, estimar Cierre del
especialista
costos y tiempo periodo
de atención

Solucionable Reasignar
? especialista
Actualización
del Historial de
Si Definición de
Incidentes y de
Planes de
la base de
Acción
Desarrollar Conocimiento
Solución (si aplica)

Actualizar Generación de Seguimiento,

Formato de Cierre del ISI o Definir plan de
Reporte y Base de
Reportes de control y
VSI capacitaciones
Conocimiento Gestión coordinación
Situación del Levantamiento de Hallazgos
de la última Auditoría Interna
 1. Objetivos del SGI
PROCESO DESCRIPCIÓN DEL DOCUMENTO
DESCRIPCIÓN DE LA EVIDENCIA
AUDITADO HALLAZGO ASOCIADO

ISO 27001:2005 5.2.2

describe el personal
relevante para el SGI
Objetivos del SGI sin
Se han mostrado 4 objetivos del SGI con respecto al hallazgo esté consciente de la
actualización ni
Todos referido al mismo punto, estos objetivos no se han actualizado importancia de sus
conocimiento adecuado por
ni documentalmente ni con el personal actividades y como
el personal
puede influir en el
logro de los objetivos
del SGI

5.2.2. La organización también debe garantizar que todo el personal pertinente

tome conciencia de la relevancia e importancia de las actividades de seguridad
de información y cómo éstas contribuyen al logro de los objetivos del SGSI.
 1. Objetivos del SGI – Plan de Acción

Difusión: (Correos, Afiches,

Salvapantallas, entre otros).
 2. Alcance
PROCESO DESCRIPCIÓN DEL DOCUMENTO
DESCRIPCIÓN DE LA EVIDENCIA
AUDITADO HALLAZGO ASOCIADO
El alcance de cada gerencia de acuerdo a como lo pide la
norma considerando, activos, tecnología, sitio geográfico, no
es claro; ni de manera genérica el personal auditado no lo
relaciona al anexo 8 del manual, en el caso de data center la
Alcance del SGI con falta exclusión de las instalaciones ubicadas en Av. Canadá no
Todos de claridad y en algunos pueden ser aceptadas dado que son parte del plan de ISO 27001 4.2.1
casos corto contingencia y quedan dentro del alcance del SGI, el alcance
para GFHL sin considerar SCOP es muy pobre. La
certificación de seguridad de la información buscara se toquen
elementos de seguridad de la información sensibles que
tengan que ver con la imagen con el usuario o ciudadanía.

4.2.1.a. Definir el alcance y límites del SGSI en términos de las características

del negocio, la organización, su localización, activos y tecnología e incluyendo
detalles y justificaciones para cualquier exclusión del alcance.
 2. Alcance – Plan de Acción

Desconocimiento del Anexo 8 del

Manual SIG
 3. Efectividad de Controles
PROCESO DESCRIPCIÓN DEL DOCUMENTO
DESCRIPCIÓN DE LA EVIDENCIA
AUDITADO HALLAZGO ASOCIADO

La efectividad de los
La medición de la efectividad de los controles se muestra de
controles y objetivos de
manera genérica pero por cada gerencia no se puede
control por gerencia es muy
demostrar. Los análisis de impacto realizados para garantizar
complicado demostrar, así
Todos la continuidad del negocio muestran un estado básico de ISO 27001 4.2.3 c)
como la implementación de
aplicación, en algunos casos se dificulta su presentación en
las estrategias de
otros, se comenta su reciente realización y en otros se
continuidad de las
comenta la falta de implementación
operaciones.

4.2.3.c. Medir la efectividad de los controles para verificar que se tomaron en

cuenta los requisitos de seguridad.
3. Efectividad de Controles y Objetivos – Plan de Acción
 4. Observación - Declaración de Aplicabilidad
PROCESO
OBSERVACIONES
AUDITADO

1.- El enunciado de aplicabilidad así como la identificación de requisitos legales son

generales esto no permite observar de forma particular al proceso tanto la aplicabilidad
Todos
como el requisito legal en el proceso especifico. La declaración de aplicabilidad general
se debe de alimentar de lo particular no al revés.

Propuesta:
Sesión de Trabajo para la revisión de la Declaración de Aplicabilidad.
Se realizará la siguiente semana (11 al 15 de noviembre)
 4. Observación – Política de Escritorio Limpio
PROCESO
OBSERVACIONES
AUDITADO

2.- La aplicación de las políticas de escritorio limpio, pantalla limpia y control de accesos
Todos
debe permear más en la organización

Propuesta:
•Charlas de concientización.
•Inspección mensual con reporte al Jefe de Área. Se realizará la semana del 18
al 22 de noviembre.
CONSIDERACIONES: PROCESO DE
AUDITORIA DE CERTIFICACIÓN DEL SGI
Área N° Fecha Hora Coordinador
Procesos
Generales Carlos Gonzales Fung
OS 23.09.13 09:00-18:00
02 Esteban Inga Llancas
GFE 24.09.13 09:00-18:00
02 José Canelo Marcet
GFHL 25.09.13 09:00-13:00
01
GFGN 25.09.13 14:00-18:00 Otilia Aguirre Aguirre
02
GART 26.09.13 09:00-13:00 Juan Jose Javier Jara
02
STOR 26.09.13 14:00-18:00 Luís Espinoza Becerra
SIGED Carlos Gonzales
OS 27.09.13 09:00-13:00
- José Chang
RRHH 27.09.13 14:00-15:30
Proceso de auditoría de certificación del SGI
Factor clave 1: Conocer los Documentos del SGI.
Factor clave 2: Conocer cómo los controles, de su ámbito, están
implementados o se cumplen dentro de su proceso.
Factor clave 3: Comprender la Política Especifica de Seguridad
de la Información. (OS-LI-01)
Factor clave 4: Estar debidamente entrenados de acuerdo al rol
que cumplimos dentro del SGI.
Proceso de auditoría de certificación del SGI
Actividad clave 1: Conocer el plan de auditoría.
Actividad clave 2: Conocer como los controles del anexo A sobre las cuales nos van a
auditar estás implementados (revisar la Declaración de Aplicabilildad).
Actividad clave 3: Durante la auditoría decir siempre la verdad.
Actividad clave 4: Conocer exactamente dónde están, ubicación física y/o lógica, los
activos de información.
Actividad clave 5: Conocer las actividades del proceso auditado (quién le envía qué
información, y ud. Qué envía a quién).
Actividad clave 6: Conocer cómo se desarrolla una SACP. Conocer el estado de las
SACPs y Observaciones de su área derivadas de auditorías y/o hallazgos.
Actividad clave 7: Conocer cómo reportar un incidente de seguridad de la información
(SGI-PG-02).
Otros Aspectos Importantes
• Situación de los controles de la gestión de riesgos 2012.
• Diferencias entre la gestión de riesgos 2012 y 2013.
• Como los controles implementados del periodo 2012 han mitigado
los riesgos (Eficacia de los controles).
• Explicar si ha habido reevaluación de riesgos por cambios en los
procesos.
• Revisión de los Informes de Gestión trimestrales.
• Explicar los controles implementados y el seguimiento al
cumplimiento de controles.
• Exponer la realización de programas de capacitación y
concientización interna (dentro de las áreas) si las ha habido.
• Exponer como han tratado los incidentes de seguridad de
información
• SACPs a cargo y las que han generado.
• Seguimiento al tratamiento de las SACPs.
Durante la Auditoria, el Auditor hará
básicamente 3 cosas:

– Observar
– Oír

Verificar
Utilizan los siguientes recursos para observar, oír y verificar:
Personal de todos los niveles
Procedimientos documentados
Registros de la organización
Observación del trabajo “in situ”
Observación de las condiciones de trabajo
Equipos herramientas (hardware y software)

El Auditor entrevista a las personas para:

 Asegurarse de que entienden los requisitos del Sistema de Seguridad de la Información.
 Obtener las descripciones del funcionamiento de un proceso.
 Obtener explicaciones sobre un requisito.
Por lo tanto…
 PROCESO

Partes Partes
Interesadas Evaluación / Calificación Resultado Interesadas
Solicitud (Resolución
> de la Solicitud => / Obs.) >
Administrad Expediente Administrad
os os
 R R R • Pérdida del
PROCESO
i i i expediente
e e e • Caída / Falla del
s s s sistema
g g g • Alteración de
o o o
Partes s s s
datos Partes
Interesadas Evaluación / Calificación Resultado Interesadas
Solicitud (Resolución
> de
Control la Solicitud
Control =>
Control / Obs.) >
Administrad Expediente Administrad
os • Expediente
os
Activos de
• Resolución
Información
• Sistema que uso
 Confidencialidad • Base de Datos
 Integridad • Servicios
 Disponibilidad
Gracias