Tema 1 - ISO 27001 y Mejores Prácticas de Ciberseguridad

Implementacin del SGSI
Oficina Nacional de Gobierno Electrnico

e Informtica - ONGEI
ONGEI2016
Ing. CIP Miguel Del Carpio Wong
Oficina Nacional de Gobierno Electrnico e Informtica
Ing. Ronal Barrientos Deza

Jefe de la Oficina Nacional
de Gobierno Electrnico e Informtica
Una Cadena es tan fuerte como el ms dbil de sus

eslabones ***
*** Adoptado de un escrito del siglo XVIII por Thomas Reid titulado: Ensayos en los Poderes
Intelectuales del Hombre y John C. Maxwell, autor de LAS 17 LEYES INCUESTIONABLES
DEL TRABAJO EN EQUIPO (2001) la menciona como la 5ta ley, La Ley de la cadena: La
fortaleza del equipo se ve afectada por el eslabn ms dbil

Parte 1 : NORMATIVA
Parte 2 : IMPLEMENTACIN

NORMATIVA

Norma Anterior
RM N. 129-2012-PCM (Mayo 2012).
Aprueba uso obligatorio NTP-ISO/IEC 27001:2008 (Req. y Anexo A)

NTP-ISO/IEC 27001:2008 EDI. Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de
Gestin de Seguridad del a Informacin. Requisitos.
Quines? 71 Entidades. Y las dems? Slo Cronograma Fase 1.

Controles deben ser implementados de acuerdo a la NTP-ISO/IEC
17799:2007 (Agosto 2007 RM N. 244-2007-PCM)
NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la Informacin. Cdigo de buenas prcticas para la
gestin de la Seguridad de la Informacin. 2da. Edicin
Deja sin efecto la RM N. 197-2011-PCM

(Pona fecha lmite [31Dic2012] para
implementar NTP-ISO/IEC 17799:2007)

Norma VIGENTE
RM N. 004-2016-PCM (Enero 2016).
Aprueba uso obligatorio NTP-ISO/IEC 27001:2014.

NTP-ISO/IEC 27001:2014 Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de
Gestin de Seguridad del a Informacin. Requisitos. 2Da Edicin.
Quines? Todas las Entidades Integrantes del Sistema Nacional de

Informtica
Presentar Cronograma: 60 das. Lo Han Presentado?
Implementacin y/o Adeacuacin : 2 aos. Lo estn trabajando?

Definir bien el Alcance en base a los recursos.
Actas, documentos, notas,...
Pueden Certificar si lo desean con recursos propios. Es bueno?

Norma VIGENTE
RM N. 004-2016-PCM (Enero 2016).
El Comit de Gestin de Seguridad de la Informacin
Titular de Entidad,
Administracin,
Planificacin,
Informtica,
Legal,
Oficial de Seguridad de la Informacin.

Deja sin efecto la RM N. 129-2012-PCM.

IMPLEMENTACIN

NTP-ISO/IEC 27001:2014
Captulo 04
Captulo 05
Captulo 06
Captulo 07
Captulo 08
Captulo 09
Captulo 10
Anexo A
:
:
:
:
:
:
:
CONTEXTO DE LA ORGANIZACIN.
LIDERAZGO.
PLANIFICACIN.
SOPORTE.
OPERACIN.
EVALUACIN DE DESEMPEO.
MEJORAS.
OBJETIVOS DE CONTROL Y CONTROLES DE

REFERENCIA.

Captulo 04 : CONTEXTO DE LA ORGANIZACIN.

Es comprender a la Organizacin y su contexto, tanto en los aspectos
internos como externos.
CONOCER A LA ENTIDAD: Misin, Visin, Matriz FODA y las
Estrategias (Sec. 4.1). (Un Auditor leer el documento y se enter de la
Entidad).
Los objetivos de la Seguridad de la Informacin deben alinearse con los
Objetivos Estratgicos.
Es comprender las necesidad y expectativas de las partes interesadas:
(Plan-Do-Check-Act) al SGSI. Es parte de la mejora continua (Sec. 4.4).
Vemos un ejemplo: Determinar el ALCANCE (Sec. 4.3).


ALCANCE
Seccin
4.3
Requerimiento de la
ISO/IEC 27001:2013
Estado
Determinar el alcance del

sistema de gestin de
seguridad de la informacin.
La
organizacin
debe
determinar los lmites y la
aplicabilidad del sistema de
gestin de seguridad de la
informacin para establecer su
alcance.
Evidencia: Cmo lo cumple?

El Sistema de Gestin de Seguridad de la Informacin
aplica a los siguientes procesos:
(Ejemplos reales)
MIDIS
Los sistemas de informacin que sustentan los procesos

de negocio para la provisin del servicio de Data Center.
CONFORME
OSIPTEL
El sistema de gestin de seguridad de la informacin
para la Regulacin del Mercado de Telecomunicaciones
mediante los procesos de emisin de normas,
regulacin, solucin de controversias, solucin de
reclamos de usuarios, supervisin, fiscalizacin y
sancin. Atencin y orientacin a usuarios desde sus
oficinas de San Borja y San Isidro en Lima, segn la
declaracin de aplicabilidad vigente.


ALCANCE (si se desea certificar, tambin tener el alcance en ingls, la auditora lo pedir.)
Qu hacer?
Definir bien el alcance (procesos o sub procesos).
Puede ser cambiado siempre y cuando existan las actas de reunin del
comit y por qu se cambi.
Cmo?
Preguntarse:
Por qu implementas el SGSI?
Qu rea debe ser cubierta por el SGSI?
NO definir un Alcance MUY AMPLIO, pues tu anlisis de riesgos
ser mayor y puedes demorar mucho: presupuesto, tiempo,...
Se debe comprender los problemas externos e internos de la Entidad.
Se recomienda hacer un DIAGRAMA DE CONTEXTO DE LA
ENTIDAD GUBERNAMENTAL.

Captulo 05 : LIDERAZGO.
Sabemos que el Comit de Seguridad de la Informacin debe estar formado
por el Titular de la Entidad.
Si se tiene al Titular de la Entidad comprometido, entonces la tarea de
implementar un SGSI y CERTIFICAR ser mucho ms fcil.
El Titular de la Entidad, debe mostrar liderazgo y compromiso respecto al
SGSI. Entonces, debe asegurar que las responsabilidades y la autoridad para
los roles relevantes a la Seguridad de la Informacin estn asignadas y
comunicadas.
Por lo tanto, es necesario establecer:
Una Poltica de Seguridad de la Informacin, y
Los Objetivos de Seguridad de la Informacin.

POLTICA DE SEGURIDAD DE LA INFORMACIN
Seccin
5.2
Requerimiento de la ISO/IEC
27001:2013
Estado
Poltica.
CONFORME
Evidencia: Cmo lo cumple?

Existe la Poltica de Seguridad de la Informacin y se
ha evidenciado que est acorde al propsito de la
organizacin, incluye objetivos de Seguridad de la
Informacin (Seccin 6.2) y est disponible y
comunicada a toda la organizacin. Adems que ha
sido aprobada por una Resolucin de Alcalda.
(Directoral, Ministerial,...)
La poltica de seguridad de la informacin debe:
f)Estar
comunicada dentro de la
organizacin;
CONFORME
Se ha evidenciado que la Poltica de Seguridad de la

Informacin ha sido comunicada a toda la
Organizacin va correo electrnico. As mismo est
publicado en la Intranet. Adems existen los cargos de
los documentos que han sido envada a cada
dependencia de la organizacin.

Qu hacer?
Hacer la Poltica de Seguridad de la Informacin.
Cmo?
Modelos hay varios y usarlos slo como referencia.
Incluir al menos:
Marco legal,
Objetivos,
Polticas,
Definiciones,
Responsabilidades,
Sanciones por incumplimiento.
IMPORTANTE respecto al documento:
Elaborado por, Revisado por, Aprobado por,
CARGO y NOMBRE. Versin, Fecha exacta.

Sabemos que los usuarios, muchas veces no cumplen las polticas.
Podra incluirse como parte de las sanciones por incumplimiento lo siguiente o
va alguna comunicacin de la Alta Direccin:
La Entidad se reserva el derecho de tomar medidas

disciplinarias del personal que incumpla con los dispuesto
en la Poltica de Seguridad de la Informacin conforme a
las disposiciones sealadas en los documentos normativos
de la institucin, sin prejuicio de las acciones civiles y/o
penales que pudieran corresponder.

Captulo 06 : PLANIFICACIN.
6.1 Acciones para tratar los riesgos y oportunidades
6.1.1 Generalidades ...
Seccin
6.1.2
Requerimiento de la ISO/IEC 27001:2013
Estado
Evidencia:
Cmo lo cumple?
CONFORME
Se tiene un procedimiento
para la Gestin de Riesgos
de
Seguridad
de
la
Informacin.
CONFORME
Se
cuenta
con
una
metodologa de Gestin de
Riesgos de Seguridad de la
Informacin y est en
conjunto con el Manual de
Gestin de Seguridad de la
Informacin.
Valoracin del riesgo de seguridad de la informacin.

La organizacin debe definir y aplicar un proceso de
valoracin del riesgo de seguridad de la informacin que:
c) identifique los riesgos de seguridad de la informacin:

1)Aplicando el proceso de valoracin de riesgos de
seguridad de la informacin para identificar riesgos
asociados con la prdida de confidencialidad, integridad
y disponibilidad para la informacin dentro del alcance
del sistema de gestin de seguridad de la informacin.

6.1.1 Generalidades
6.1.2 Valoracin del riesgo de seguridad de la informacin.
Qu hacer?
Procedimiento para la gestin de riesgos de seguridad de la
informacin.
Cmo?
Elegir tu metodologa de gestin de riesgos,
Usa ISO 31000,
Usa ISO 27002,
Usa ITIL, COBIT, COSO,
Usa MAGERIT (espaola 3 libros)

6.1.1 Generalidades
6.1.2 Valoracin del riesgo de seguridad de la informacin.
Consideraciones
Identificar los riesgos de seguridad de la informacin:
Aplicar el proceso de valoracin de riesgos: MATRIZ DE CALOR.
Se debe hacer un Inventario de Activos y considerar la valoracin
para la Confidencialidad, Integridad, Disponibilidad, lo cual da
origen a la Matriz de Calor.
Identificar a los propietarios de los riesgos y obtener su aprobacin
para tratar los riesgos.
Analizar los riesgos de seguridad de la informacin.
Establecer la Declaracin de Aplicabilidad.
Determinar todos los controles necesarios.
Formular un plan de tratamiento de riesgos.

De la misma manera trabajarlo para los siguientes captulos:
Captulo 07 : SOPORTE.
Captulo 08 : OPERACIN.
Captulo 09 : EVALUACIN DE DESEMPEO.
Captulo 10 : MEJORAS.

Anexo A :
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.
A.9 Control de acceso
A.9.1 Requisitos de la empresa para el control de acceso.
Objetivo: Limitar el acceso a la informacin y a las instalaciones de
procesamiento de la informacin
Seccin
Control del Anexo A de la

ISO/IEC 27001:2013
A.9.1.2
Acceso a redes y servicios

de red.
Control: Los usuarios
deben
tener
acceso
solamente a la red y a
servicios de red que hayan
sido
especficamente
autorizados a usar.
Estado
Evidencia:
Cmo se ha implementado?
IMPLEMENTADO
El acceso a los servidores se

realiza
mediante
los
perfiles
establecidos. El acceso a Internet
es
slo
para
los
usuarios
institucionales, adems que la red
se encuentra segmentada y el
acceso inalmbrico a Internet para
los invitados est en una red
aislada. Tambin se dispone de una
poltica de contraseas.

Anexo A :
A.9 Control de acceso
A.9.4 Control de acceso a sistema y aplicacin.
Objetivo: Prevenir el acceso no autorizado a los sistemas y
aplicaciones.
Seccin

ISO/IEC 27001:2013
A.9.4.5
Control de acceso al cdigo

fuente de los programas.
Control: El acceso al
cdigo fuente de los
programas
debe
ser
restringido.
Estado
Evidencia:
Para el alcance establecido no hay
Desarrollo de Software.
NO APLICA

Anexo A :
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin interna.
Objetivo: Establecer un marco de referencia de gestin para iniciar y
controlar la implementacin y operacin de la seguridad de la
informacin dentro de la organizacin.
Seccin
A.6.1.3

ISO/IEC 27001:2013
Contacto
autoridades.
con
Estado
las
Control: Contactos con

autoridades
relevantes
deben ser mantenidos.
IMPLEMENTADO
Evidencia:
Se cuenta con una lista para
establecer contacto rpido con las
partes involucradas y se evidencia
que se ha comunicado a todos.

Anexo A :
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin interna.
Objetivo: Establecer un marco de referencia de gestin para iniciar y
controlar la implementacin y operacin de la seguridad de la
informacin dentro de la organizacin.
Seccin
A.6.1.2

ISO/IEC 27001:2013
Estado
Segregacin de funciones.
Control: Las funciones y reas
de responsabilidad en conflicto
deben ser segregadas para
reducir
oportunidades
de
modificacin no autorizada o
no intencional o mal uso de los
activos de la organizacin
Evidencia:
La Entidad dispone de un Manual de
Organizacin y Funciones (MOF) en el cual
est definido los cargos.
IMPLEMENTADO
Tambin se cuenta con los Contratos

Administrativos de Servicios (CAS) de
aquellos trabajadores que brindan servicios
bajo dicha modalidad, en donde se definen
las responsabilidades de los mismos.

ISO 27003
Estndar Internacional usada como:
GUA PARA LA IMPLANTACIN
DE UN SGSI

Muchas Gracias...!!!
Miguel Del Carpio Wong

http://www.ongei.gob.pe
mdelcarpio@pcm.gob.pe
migueldelcarpiowong@gmail.com
+51 1 219 7000 Anexo 5111
+51 997 401 747

Tema 1 - ISO 27001 y Mejores Prácticas de Ciberseguridad

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tema 1 - ISO 27001 y Mejores Prácticas de Ciberseguridad

Uploaded by

Copyright:

Available Formats

Implementacin del SGSI

Oficina Nacional de Gobierno Electrnico

Oficina Nacional de Gobierno Electrnico e Informtica

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Una Cadena es tan fuerte como el ms dbil de sus

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Aprueba uso obligatorio NTP-ISO/IEC 27001:2008 (Req. y Anexo A)

Quines? 71 Entidades. Y las dems? Slo Cronograma Fase 1.

Deja sin efecto la RM N. 197-2011-PCM

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Aprueba uso obligatorio NTP-ISO/IEC 27001:2014.

Quines? Todas las Entidades Integrantes del Sistema Nacional de

Presentar Cronograma: 60 das. Lo Han Presentado?

Implementacin y/o Adeacuacin : 2 aos. Lo estn trabajando?

Pueden Certificar si lo desean con recursos propios. Es bueno?

Ing. Ronal Barrientos Deza

Implementacin del SGSI

El Comit de Gestin de Seguridad de la Informacin

Oficial de Seguridad de la Informacin.

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Ing. Ronal Barrientos Deza

Implementacin del SGSI

OBJETIVOS DE CONTROL Y CONTROLES DE

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Captulo 04 : CONTEXTO DE LA ORGANIZACIN.

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Captulo 04 : CONTEXTO DE LA ORGANIZACIN.

Determinar el alcance del

Evidencia: Cmo lo cumple?

Los sistemas de informacin que sustentan los procesos

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Captulo 04 : CONTEXTO DE LA ORGANIZACIN.

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Una Poltica de Seguridad de la Informacin, y

Los Objetivos de Seguridad de la Informacin.

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Evidencia: Cmo lo cumple?

La poltica de seguridad de la informacin debe:

Se ha evidenciado que la Poltica de Seguridad de la

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Ing. Ronal Barrientos Deza

Implementacin del SGSI

La Entidad se reserva el derecho de tomar medidas

Ing. Ronal Barrientos Deza

Implementacin del SGSI

Requerimiento de la ISO/IEC 27001:2013

Valoracin del riesgo de seguridad de la informacin.

c) identifique los riesgos de seguridad de la informacin:

Ing. Ronal Barrientos Deza