Professional Documents
Culture Documents
n
C
r
e
a
c
i
o
n
e
s
d
e
c
u
e
n
t
a
s
d
e
u
s
u
a
r
i
o
R
e
a
l
i
z
a
c
i
n
d
e
c
o
p
i
a
s
d
e
s
e
g
u
r
i
d
a
d
B
o
r
r
a
d
o
d
e
i
n
f
o
r
m
a
c
i
n
e
n
P
C
I
n
s
t
a
l
a
c
i
n
d
e
S
o
f
t
w
a
r
e
Instrucciones Polticas Formacin
17
Mg, Ing. Jack Daniel Cceres Meza, PMP
Sugerencias previas
La implantacin de un SGSI
depende del mbito, el
tamao y complejidad de la
organizacin (no debe
pasar de 1 ao).
Optar siempre por escoger
la solucin ms sencilla de
implantar y mantener.
No es necesario cubrir
inicialmente todas las reas
18
Mg, Ing. Jack Daniel Cceres Meza, PMP
Qu es ISO?
ISO es el acrnimo de International Organization for
Standardization. Aunque si se observan las iniciales para el
acrnimo, el nombre debera ser IOS, los fundadores decidieron
que fuera ISO, derivado del griego isos, que significa igual.
ISO es una organizacin no gubernamental que forma un puente
entre los sectores pblicos y privados.
Oficialmente comenz sus operaciones el 23 de febrero de 1947
en Geneva, Suiza. Naci con el objetivo de facilitar la
coordinacin internacional y la unificacin de los estndares
industriales.
19
Mg, Ing. Jack Daniel Cceres Meza, PMP
Qu es IEC?
IEC es el acrnimo de International Electrotechnical
Commission. Esta es una organizacin sin fines de lucro y
tambin no gubernamental. Se ocupa de preparar y publicar
estndares internacionales para todas las tecnologas elctricas
o relacionadas a la electrnica.
IEC nace en 1906 en London, Reino Unido, y desde entonces ha
estado proporcionando estndares globales a las industrias
electrotcnicas mundiales.
En el ao de 1948 movieron su sede a Geneva, Suiza, ciudad en
la que tambin se encuentra la sede de ISO.
20
Mg, Ing. Jack Daniel Cceres Meza, PMP
ISO/IEC
ISO e IEC han establecido un comit tcnico conjunto
denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee).
Este comit trata todos los asuntos de tecnologa de la
informacin a travs de subcomits han venido desarrollando
una familia de Estndares Internacionales para el Sistema
Gestin y Seguridad de la Informacin.
La familia incluye Estndares Internacionales sobre
requerimientos, gestin de riesgos, mtrica y medicin, y el
lineamiento de implementacin del sistema de gestin de
seguridad de la informacin entre otros
Esta familia adopt el esquema de numeracin utilizando las
series del nmero 27000 en secuencia.
21
Mg, Ing. Jack Daniel Cceres Meza, PMP
La serie de normas
ISO/IEC 27000 son
estndares de seguridad
de la informacin
publicados por la ISO/IEC
La serie contiene las
mejores prcticas
recomendadas en
seguridad de la
informacin para
desarrollar, implementar
y mantener un SGSI
Normas ISO/IEC de la Serie 27000
Algunas de estas normas se encuentran en preparacin
22
Mg, Ing. Jack Daniel Cceres Meza, PMP
Normas ISO/IEC de la Serie 27000
ISO/IEC 27000 - Es un vocabulario estndar para el SGSI.
ISO/IEC 27001 - Norma que especifica los requisitos para la
implantacin del SGSI. Es la norma ms importante de la familia
ISO/IEC 27002:2005 - Information technology - Security techniques -
Code of practice for information security management.
ISO/IEC 27003 - son directrices para la implementacin de un SGSI. Es
el soporte de la norma ISO/IEC 27001. Publicada el 01 de febrero del
2010.
ISO/IEC 27004 - son mtricas para la gestin de seguridad de la
informacin. Publicada el 07.Dic.2009.
ISO/IEC 27005 - trata la gestin de riesgos en seguridad de la
informacin. Publicada en junio de 2008.
ISO/IEC 27006:2007 - Requisitos para la acreditacin de las
organizaciones que proporcionan la certificacin de los SGSI - Es una
gua para auditar al SGSI. Se encuentra en preparacin.
ISO/IEC 27799:2008 - Es una gua para implementar ISO/IEC 27002 en
la industria de la salud.
23
Mg, Ing. Jack Daniel Cceres Meza, PMP
Empresas
Especializadas
Especialistas
Consultores
Interesados / TI
Quien podr ayudar con la
implementacin de un SGSI
Sugerencias previas
24
Mg, Ing. Jack Daniel Cceres Meza, PMP
Partes
involucradas
Expectativas
y requisitos
del sistema
de informacin
Partes
involucradas
Seguridad de la
informacin
gerenciada
Establecer
el SGSI
Monitorear y revisar
el SGSI
Mantener y mejorar
el SGSI
Implementar y operar
el SGSI
Ciclo de desarrollo, mantenimiento y mejora
PLAN
CHECK
DO ACT
Modelo PDCA aplicado a los procesos del SGSI
25
Mg, Ing. Jack Daniel Cceres Meza, PMP
26
Mg, Ing. Jack Daniel Cceres Meza, PMP
Algunos Requisitos y Conceptos Previos
Conocimiento del negocio
Plan Estratgico de la Organizacin
Memoria
Estructura Orgnica
ROF, MOF
PETI/POI entre otros planes de TI
Otros
Anlisis de Riesgos
Lista de riesgos
Matriz de riesgos
Plan y estrategias para riesgos
Otros
27
Mg, Ing. Jack Daniel Cceres Meza, PMP
Soporte de la
Alta Direccin
Definir el
Permetro de
seguridad
Crear
Poltica
Crear
Organizacin
InfoSec
Auditar Documentar
Implantar
Controles
Anlisis
de
Riesgo
Proceso de Implantacin ISO 27001
28
Mg, Ing. Jack Daniel Cceres Meza, PMP
Modelo de un SGSI basado en la Norma ISO 27001
Dominio 01: Poltica de Seguridad
Dominio 02: Organizacin de Seguridad/Organizacin de la
Seguridad de la Informacin
Dominio 03: Administracin de Activos/Gestin de Activos
Dominio 04: Seguridad de los Recursos Humanos
Dominio 05: Seguridad Fsica y Ambiental
Dominio 06: Gestin de las Comunicaciones y Operaciones
Dominio 07: Sistema de Control de Accesos/Control de
Accesos
Dominio 08: Adquisicin, Desarrollo y Mantenimiento de
Sistemas de Informacin
Dominio 09: Administracin/Gestin de Incidentes de
Seguridad de la Informacin
Dominio 10: Plan de Continuidad del Negocio/Gestin de la
Continuidad Comercial
Dominio 11: Cumplimiento
29
Mg, Ing. Jack Daniel Cceres Meza, PMP
Empresas Certificadas en SGSI bajo ISO27001 en el
Per
ONP
Telefnica
GMD
.
.
.
30
Mg, Ing. Jack Daniel Cceres Meza, PMP
Factores Crticos de xito para un SGSI
a) Poltica, objetivos y actividades de seguridad de informacin
que reflejan los objetivos comerciales;
b) Un enfoque y marco referencial para implementar, mantener,
monitorear y mejorar la seguridad de la informacin que sea
consistente con la cultura organizacional;
c) Soporte visible y compromiso de todos los niveles de gestin;
d) Un buen entendimiento de los requerimientos de seguridad de
la informacin, evaluacin del riesgo y gestin del riesgo;
e) Marketing efectivo de la seguridad de la informacin con todo
los gerentes, empleados y otras partes para lograr conciencia
sobre el tema;
31
Mg, Ing. Jack Daniel Cceres Meza, PMP
Factores Crticos de xito para un SGSI
f) Distribucin de lineamientos sobre la poltica y los estndares
de seguridad de la informacin para todos los gerentes,
empleados y otras partes involucradas;
g) Provisin para el financiamiento de las actividades de gestin
de la seguridad de la informacin;
h) Proveer el conocimiento, capacitacin y educacin apropiados;
i) Establecer un proceso de gestin de incidentes de seguridad
de la informacin;
j) Implementacin de un sistema de medicin que se utiliza para
evaluar el desempeo en la gestin de la seguridad de la
informacin y retroalimentacin de sugerencias para el
mejoramiento.
32
Mg, Ing. Jack Daniel Cceres Meza, PMP
Oficial de seguridad de Informacin
Logra el soporte de la Alta Direccin.
Lder del grupo InfoSec.
Lder del grupo de respuesta ante incidentes.
Lleva la bitcora de incidentes y resultados.
Ejecuta los anlisis de riesgo.
Selecciona los controles y los aplica.
Aplica y monitorea los estndares a ser aplicados.
Mantiene contactos con recursos externos del rea.
Evala cambios y sus implicaciones en seguridad.
Revisa y actualiza las polticas.
33
Mg, Ing. Jack Daniel Cceres Meza, PMP
Certificaciones y Especializaciones de un Oficial de
Seguridad de la Informacin
El constante manejo de informacin en las empresas hace
necesaria la labor de un CISO (Chief Information Security
Officer) que gestione y controle toda la seguridad de la
informacin de la organizacin.
34
Mg, Ing. Jack Daniel Cceres Meza, PMP
Perfil del Oficial de Seguridad de la Informacin
Experiencia en Implementacin de Sistemas de Gestin de Continuidad de Negocios
Experiencia en implementacin de Sistemas de Gestin de Seguridad de la Informacin.
Deseable conocimiento tcnico en el entorno TIC
Conocimiento de buenas prcticas en Seguridad de Informacin y Tecnologas de Informacin: ISO/IEC
27001, COBIT, COSO, entre otros.
Conocimiento de buenas prcticas en Continuidad de Negocios: BS25999, estndares del DRII, estndares
del BCI.
Experiencia en anlisis de riesgos de TI y anlisis de impacto.
Auditora de Sistemas (deseable).
Experiencia deseable en elaborando propuestas de mitigacin, validacin de la eficacia de los controles de
TI existentes para la mitigacin de riesgos en los ambientes de tecnologa, identificando potenciales
debilidades dentro de su implementacin.
Saber identificar riesgos de TI en procesos y proyectos de Tecnologa y Seguridad de Informacin,
elaborando propuestas de mitigacin. .
De preferencia con certificaciones: CISA, CISM, CRISC, ISO 27001 LA.
Nivel intermedio del idioma Ingls
Realizar las pruebas de controles definidos en TI, requeridos para certificaciones internacionales de la
empresa
Definir y actualizar el mapa de riesgos definidos para la organizacin, discutiendo a nivel de comit
alternativas de mitigacin con la Gerencia de TI.
Proponer oportunidades de mejora en las actividades propias de su funcin, aplicando marcos de referencia
internacionalmente aceptados.
35
Mg, Ing. Jack Daniel Cceres Meza, PMP
Documentacin del SGSI
MANUAL DE
SEGURIDAD
Contenido de los documentos
Describe el sistema de gestin de
la seguridad
PROCEDIMIENTOS
DOCUMENTADOS
EXIGIDOS POR LA
NORMA
Describe los procesos y las
actividades
REGISTROS
Son evidencias objetivas de la
ejecucin de procesos,
actividades o tareas
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
OTROS)
Describe tareas y
requisitos
36
Mg, Ing. Jack Daniel Cceres Meza, PMP
Dominio 01:
Poltica de Seguridad
Sistema de Gestin de Seguridad de la Informacin
(SGSI)
37
Mg, Ing. Jack Daniel Cceres Meza, PMP
Dominio 01: Poltica de Seguridad
La Gerencia debe aprobar un documento de alto nivel,
denominado poltica, este se debe publicar y comunicar a todos
los trabajadores y entidades externas relevantes
La Gerencia debe proporcionar evidencia de su compromiso con
el establecimiento, implementacin, operacin, monitoreo,
revisin, mantenimiento y mejoramiento al SGSI
La poltica de seguridad de la informacin debe ser revisada
regularmente a intervalos planeados o si ocurre cambios
significativos para asegurar la continua idoneidad, eficiencia y
efectividad
La organizacin debe definir el alcance y los limites del SGSI en
trminos de las caractersticas del negocio, la organizacin, su
ubicacin, activos y tecnologa
38
Mg, Ing. Jack Daniel Cceres Meza, PMP
Sistema de Gestin de Seguridad de la Informacin
(SGSI)
Dominio 02:
Organizacin de
Seguridad/Organizacin de la
Seguridad de la Informacin
39
Mg, Ing. Jack Daniel Cceres Meza, PMP
Certificaciones y Especializaciones que puede tener el
personal del rea de TI
Seguridad: CISM, CDPP e CISSP
Redes: CCNA, LPIC, MCSE, CNA, CCNP, otros
DBA.: MCDBA, OCA-DBA, .
Proyectos: PMP, MCSE, CAPM,
Help Desk: MHD (Manager Help Desk), AHD (Analista Help Desk), ITIL
Desarrollo: MCAD, MCSD, SCJP, SCJD, SCWCD, OCP AppDev, otros
Auditoria: CISA, IRCA, .
40
Mg, Ing. Jack Daniel Cceres Meza, PMP
Direccin de TI
Subdireccin de
Desarrollo
y Soluciones de TI
Jefatura de
Aplicaciones
de Negocio
Jefatura de
Aplicaciones
Administrativas
Subdireccin de
Aseguramiento
de la Calidad
Jefatura de
Calidad
Jefatura de
Certificacin
Subdireccin de
Operaciones
Jefatura de
Data Center
Jefatura de
Help Desk
Jefatura de
Telecomunicaciones
Jefatura de la PMO
Jefatura de Seguridad
de la Informacin
Estructura Orgnica de la Direccin de TI del Negocio
Funciones dadas en el:
- ROF
- MOF
- MOP o equivalentes
CISO
(Chief Information
Security Officer)
Oficial de Seguridad de
la Informacin
41
Mg, Ing. Jack Daniel Cceres Meza, PMP
Dominio 02: Organizacin de la Seguridad de la
Informacin
La estructura de este punto de la norma es:
2.1. Estructura para la seguridad de la informacin (Organizacin
Interna)
2.2. Terceros (Entidades Externas)
42
Mg, Ing. Jack Daniel Cceres Meza, PMP
Dominio 02: Organizacin de la Seguridad de la
Informacin
2.1. Estructura para la seguridad de la informacin (Organizacin
Interna)
2.1.1. Compromiso de la Gerencia con la seguridad de la informacin
(Comit de gestin de seguridad de la informacin)
2.1.2. Coordinacin de seguridad de la informacin
2.1.3. Asignacin de responsabilidades para la seguridad de la
informacin
2.1.4. Proceso de autorizacin de recursos para el tratamiento de la
informacin
2.1.5. Acuerdos de confidencialidad
2.1.2. Contacto con las autoridades
2.1.7. Contacto con organizaciones de especial inters
2.1.8. Revisin independiente de la seguridad de la informacin
43
Mg, Ing. Jack Daniel Cceres Meza, PMP
Dominio 02: Organizacin de la Seguridad de la
Informacin
2.2. Terceros (Entidades Externas)
2.2.1. Identificacin de riesgos relacionados con entidades externas
2.2.2. Tratamiento de la seguridad cuando se trabaje con clientes
2.2.3. Tratamiento de la seguridad en contratos con terceros
Mg. Ing. Jack Daniel Cceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atencin
Preguntas?