Charla de Preparación para la Pre-Auditoría del SGSI

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Charla de Preparación para la Pre-Auditoría del SGSI"

María Ángeles Arroyo Márquez
hace 6 años
Vistas:

1 Uso Interno Sistema de Gestión de Seguridad de la Información Basado en la NTP-ISO/IEC 17799: 2007 EDI y NTP-ISO/IEC 27001: 2008 EDI Charla de Preparación para la Pre-Auditoría del SGSI Agosto 2014

2 Uso Interno Agenda 1 Importancia de SI para INDECOPI 2 Introducción a la Seguridad de la Información 3 4 Conceptos de Seguridad de la Información Incidentes de Seguridad de la Información 5 6 Consideraciones para la Auditoria Recordar

3 1.- IMPORTANCIA PARA INDECOPI

Publicado el 2/05/2012 RM N 129-2012-PCM Uso obligatorio de la NTP-ISO/IEC 27001:2008 (Sistema de Gestión de Seguridad de Información), cuyos controles deberán ser implementados según NTP-ISO/IEC

4 Publicado el 2/05/2012 RM N PCM Uso obligatorio de la NTP-ISO/IEC 27001:2008 (Sistema de Gestión de Seguridad de Información), cuyos controles deberán ser implementados según NTP-ISO/IEC 17799:2007 (Código de buenas prácticas para la gestión de la seguridad de la información), en todas las entidades integrantes del Sistema Nacional de Informática. Implementación Progresiva. Designación de un Coordinador que hará las veces de Oficial de Seguridad de Información, mediante resolución del Titular de la Entidad. Uso Interno Qué nos regula?

5 2.- INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN

6 Uso Interno Seguridad de la Información Es toda medida correctiva o preventiva que permita resguardar y proteger la información de una organización.

7 3.-CONCEPTOS DE SEGURIDAD DE LA INFORMACIÓN

8 Uso Interno Algunos conceptos ACTIVO CRITICO Activo Critico es aquel bien o recurso de nuestra organización que contiene, aloja, transporta, transmite, procesa y/o soporta información valiosa, importante, estratégica, crucial, confidencial y restringida de nuestra organización. TIPOS DE ACTIVOS: Activos de Información Activos Físicos Activos de Software Activos de Servicios Activos de Recursos Humanos

9 Información generada por la institución Expedientes Información de Operaciones Correos Activos de Información Acta Contratos Resolución Certificados Información creada utilizando aplicaciones o herramientas Reportes Información Inventarios Información de los servicios Información Financiera Información del personal Aplicaciones y software Aplicaciones SIGA, Tramite Software Equipamiento físico y servicios Servidores Equipos de Seguridad Redes

10 Vulnerabilidad Qué es un VULNERABILIDAD? (Falla o Insuficiencia) Es la debilidad o ausencia de control de un ACTIVO de Información que puede ser aprovechada (explotada) por una AMENAZA. Ejemplo: Control de acceso físico inadecuado Falta de conciencia en Seguridad de la Información Ausencia de Controles contra incendio

11 Amenaza Qué es una AMENAZA? Causa Potencial de un incidente no deseado que puede resultar en daño al Sistema, a la Organización o a sus ACTIVOS. Puede ser accidental o intencional. Los activos están sujetas a muchos tipos de amenazas: Desastres Naturales: Terremoto, inundación, etc. Humanas: Errores de Mantenimiento, huelga, etc. Tecnológicas: Caída del Sistemas, falla de hardware.

12 Riesgo Qué es un EVENTO DE RIEGOS? Es la probabilidad de que una AMENAZA vulnere un ACTIVO, causando un impacto negativo.

13 Uso Interno Ejemplo: Riesgo en documentos RIESGO: Pérdida del expediente por falta de control en el acceso Amenaza Pérdida del expediente Activo Expediente IMPACTO Consecuencia - Legal - Económica - Imagen Vulnerabilidad Llaves en lugar inseguro/visible No tiene cerraduras (no hay llaves)

14 Ejemplo: Riesgo en Activos físicos RIESGO: Pérdida del activo/información (CPC) Amenaza Activos Consecuencia Impacto Vulnerabilidad (debilidad)

15 Qué es Plan de Tratamiento de Riesgos? Plan de Acción que define las acciones para reducir los riesgos no aceptables e implementar los controles necesarios para proteger la información.

16 Uso Interno Gestión de Riesgos Identificación de Activos Metodología para el Análisis de Riesgos ASUMIR Análisis y Evaluación de Riesgo Amenaza Vulnerabilidad REDUCIR Comparación de riesgo estimado Tratamiento TRANSFERIR EVITAR Nivel de Riesgo Aceptable Evaluar Opciones Selección de controles Medidas de protección Aceptación RIESGO RESIDUAL

Niveles de Riesgo No Tolerable (NT) Regularmente Tolerable (RT) Totalmente Tolerable (TT) Afecta seriamente a la institución, este puede llegar a paralizar las operaciones la institución mas allá del

17 Niveles de Riesgo No Tolerable (NT) Regularmente Tolerable (RT) Totalmente Tolerable (TT) Afecta seriamente a la institución, este puede llegar a paralizar las operaciones la institución mas allá del tiempo tolerable, esto puede incurrir en pérdidas considerables o daño considerable a la imagen de la institución. Bajo ninguna circunstancia se deberá mantener un riesgo con esta capacidad. Requiere atención inmediata de las gerencias. Requiere siempre desarrollar acciones prioritarias a corto plazo para su gestión, debido al alto impacto que tendría sobre la institución. No implica una gravedad significativa, por lo que no amerita la inversión de recursos y no requiere la implementación de acciones adicionales a las medidas de mitigación existentes.

18 4.- INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

19 Uso Interno Qué es un Incidentes de Seguridad de la Información? Evento inesperado y no deseado, que puede comprometer la confidencialidad, integridad y disponibilidad de los principales activos de la información de los procesos de INDECOPI.

Comunicación de incidentes de Seguridad de la

o sospechada, tan rápido como sea posible y por

20 Comunicación de incidentes de Seguridad de la Información Comunicar toda incidencia observada o sospechada, tan rápido como sea posible y por cualquier medio: Teléfono: anexos 7000 ó 5537 Correos: helpdesk@indecopi.gob.pe o incidentes@indecopi.gob.pe Gestión de Seguridad de la Información

21 5.- CONSIDERACIONES PARA LA AUDITORÍA

22 COMO SERÁ LA AUDITORIA? DONDE AUDITARÁN? Uso Interno Enfoque de Auditoria

Verificar Conformidad con la Norma ISO 27001 en : Política de Seguridad de la Información. Procedimientos requeridos por la norma.

23 Verificar Conformidad con la Norma ISO en : Política de Seguridad de la Información. Procedimientos requeridos por la norma. Controles de Seguridad de la Información Uso Interno Objetivo de la Auditoria Aplicación de la Política y de los Objetivos Demostrar que brindamos servicios de calidad y garantizamos la seguridad de la información.

24 Uso Interno Durante la Auditoria El Auditor hará básicamente 3 cosas: Observar Oír Verificar

25 Utilizan los siguientes recursos para observar, oír y verificar: Personal de todos los niveles Procedimientos documentados Registros de la organización Observación del trabajo in situ Observación de las condiciones de trabajo Equipos herramientas (hardware y software), entre otros Uso Interno Durante la Auditoria

26 Cuando el Auditor le esté entrevistando, tener en mente algunos puntos básicos sobre lo que debe y lo que no debe hacer: Sea cortés y amistoso. Muéstrese interesado y no provocativo. Nunca asuma actitudes irónicas ni haga críticas. Acuérdese de que usted esta siendo auditado. Sustente su punto de vista. Ud. Es el dueño de su proceso y lo conoce como tal. Si Ud. duda sobre un tema especifico, diga la verdad, no trate de mentir. Debe conocer cuales son los riesgos a los que esta expuesto su proceso y como mitigarlos. Sea cauteloso al momento de responder las preguntas del Auditor. Debe tener un file a la mano con toda la información relacionado a su proceso. Responda las preguntas de forma segura y concisa, no dude. Uso Interno Durante la Auditoria

27 Uso Interno Registros Vitales Que registros existen? Registros Inventario de Activos. Matriz de Análisis y Evaluación de Riesgos. Plan de Tratamiento de Riesgos. Evidencias de Implementación de Controles. Acciones Correctivas y Preventivas. Evidencia de cierre de A/C y A/P. Y donde están Ubicados? Unidad de red : Q

28 6.- Recordando

Control Interno Comité Operativo COSIG Comité de SST CSST (*) (*) En cumplimiento de la Ley N

en el trabajo Equipo de Riesgos (**) ERSIG (**) Equipo multidisciplinario conformado con

Facilitadores SIG Conformado mediante Resolución de Presidencia N 035 de fecha 18 de marzo

29 Uso Interno 1.5. Estructura de Coordinaciones del SIG Comité Gerencial SIG CSIG Conformado mediante Acuerdo del COD N de fecha 7 abril Sistema Integrado de Gestión - SIG Conformada en Sesión del CSIG de fecha 02 junio Control Interno Comité Operativo COSIG Comité de SST CSST (*) (*) En cumplimiento de la Ley N Leyenda: Calidad Seguridad De la Información Calidad en Laboratorios Seguridad y Salud en el trabajo Equipo de Riesgos (**) ERSIG (**) Equipo multidisciplinario conformado con miembros de diversas áreas, que apoyará en las labores de Gestión de riesgos institucionales. Facilitadores SIG Conformado mediante Resolución de Presidencia N 035 de fecha 18 de marzo 2014 Frecuencia de Sesión: CSIG: Trimestral COSIG: Mensual CSST: Mensual Comités Soporte o coordinación con los comités Relación jerárquica normal de autoridad, responsabilidad y subordinación. Relación formal de coordinación, y de control técnico.

30 1.6 Política del SGSI

1.6 Política del SIG Fue aprobado por el CSIG, como resultado de la sesión 01-2014 de

31 1.6 Política del SIG Fue aprobado por el CSIG, como resultado de la sesión de fecha 02 junio Actualmente en proceso para la Firma de Presidente del Consejo Directivo

32 1.7 Intranet del SIG

1.5 Documentación del SIG Documento - Política y

la Inf. Nivel 1 - Manual del SIG - Reglamento Int.

Generales Procedimientos Específicos Formatos Modelos

33 1.5 Documentación del SIG Documento - Política y Objetivos del SIG - Política Específica de Seguridad de la Inf. Nivel 1 - Manual del SIG - Reglamento Int. SST Documento para cada proceso Procedimientos Generales Procedimientos Específicos Formatos Modelos Documentos de Difusión Documentos Externos e Internos Registros Nivel 2 Nivel 3

34 Uso Interno Clasificación de la Información Sensibilidad Baja Muy alta

35 Preguntas

Documentos relacionados

ISO GAP ANALYSIS

ISO GAP ANALYSIS Fecha: 10/7/2007 CONFIDENCIAL Página 1 de 16 5.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 5.1.1 Se tiene documento de la política de seguridad de la Información 5.1.2 Se hace revisión y evaluación de este