EXPERIENCIA DE IMPLEMENTACION DE LA NTP ISO/IEC 27001:2014. Ing. CIP Maurice Frayssinet Delgado

Transcripción

1 EXPERIENCIA DE IMPLEMENTACION DE LA NTP ISO/IEC 27001:2014 Ing. CIP Maurice Frayssinet Delgado

2 FACTORES CRÍTICOS DE ÉXITO

3 FACTORES CRÍTICOS DE ÉXITO Compromiso de la alta dirección RM PCM

4 FACTORES CRÍTICOS DE ÉXITO Un objetivo común se desarrolla con trabajo en equipo

5 FACTORES CRÍTICOS DE ÉXITO Es imposible que una organización no haya avanzado algo en materia de seguridad de la información

6 FACTORES CRÍTICOS DE ÉXITO Mucho cuidado cuando usamos la palabra PLAN a) Plan de Gestión de Seguridad de la Información o b) Manual de Gestión de Seguridad de la Información

7 FACTORES CRÍTICOS DE ÉXITO No usar muchos documentos Muchos Documentos = Muchas aprobaciones

8 FACTORES CRÍTICOS DE ÉXITO Trabajar en el enfoque de gestión de procesos

9 FACTORES CRÍTICOS DE ÉXITO Procesos y Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.

10 FACTORES CRÍTICOS DE ÉXITO

11 FACTORES CRÍTICOS DE ÉXITO Documentos de Nivel 1 Manual de seguridad: Por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

12 FACTORES CRÍTICOS DE ÉXITO Documentos de Nivel 2 Procesos y Procedimientos: Documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

13 FACTORES CRÍTICOS DE ÉXITO Documentos de Nivel 3 Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

14 FACTORES CRÍTICOS DE ÉXITO Documentos de Nivel 4 Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.

15 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

16 POLITICA DE SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE LA POLÍTICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN El Ministerio de Desarrollo e Inclusión Social MIDIS es un organismo del Poder Ejecutivo cuyo objetivo principal es mejorar la calidad de vida de la población en situación de vulnerabilidad y pobreza, promover el ejercicio de sus derechos, el acceso a oportunidades y el desarrollo de sus propias capacidades. A tal efecto, gestiona, en forma responsable, la seguridad de la información relacionada con sus actividades, metas y programas, en concordancia con la normatividad vigente1y los siguientes lineamientos: El establecimiento de mecanismos para preservar la confidencialidad, integridad y disponibilidad de la información de la institución, garantizando su transparencia La continua identificación, manejo y mitigación de los riesgos de seguridad de la información que son relevantes para la institución. La respuesta efectiva y adopción de acciones correctivas ante incidentes relacionados con la seguridad de la información. La comunicación oportuna de la política y procedimientos de seguridad definidos, asegurando que sean comprometidos y se encuentren disponibles para todos los interesados El fortalecimiento de los valores y el compromiso de todo el personal de velar por el cumplimiento de la presente política.

17 ROLES, FUNCIONES Y RESPONSABILIDADES

18 ROLES, FUNCIONES Y RESPONSABILIDADES Comité de Gestión de Seguridad de la Información Asegurar que la Política de Seguridad de la Información y los objetivos de Seguridad de la Información sean establecidos y compatibles con la dirección estratégica. Revisar periódicamente la Política de Seguridad de la Información o si ocurren cambios significativos asegurar su conveniencia, adecuación y efectividad continua. Asegurar la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la información en los procesos de la organización. Asegurar que los recursos necesarios para el sistema de gestión de seguridad de la información estén disponibles. Proponer planes y programas para mantener la conciencia en seguridad de la información entre el personal de la institución. Patrocinar auditorías internas y externas del sistema de gestión de seguridad de la información a intervalos planificados (por lo menos una vez al año). Supervisar el cumplimiento de las exigencias legales en materias de seguridad de la información y de protección de datos personales.

19 ROLES, FUNCIONES Y RESPONSABILIDADES Oficial de Seguridad Supervisar y monitorear la implementación del Sistema de Gestión de Seguridad de la Información (SGSI). Diseñar y proponer metodologías de implementación para el SGSI. Proponer mecanismos o lineamientos que permitan mejorar los modelos de implementación del SGSI. Llevar un Registro de Incidencias, formular estadísticas de nivel de avance del SGSI y reportar resultados de las actividades relacionadas a la Seguridad de la Información. Elaborar informes periódicos y emitir opinión técnica en asuntos referidos a la Seguridad de la Información. Brindar capacitación en temas de Seguridad de la Información. Proponer manuales, directivas, instructivos en materia de Seguridad de la Información. Orientar en materia de Seguridad de la Información. Coordinar con las áreas involucradas en el SGSI.

20 ROLES, FUNCIONES Y RESPONSABILIDADES Dueño del Proceso: Jefe de la Oficina General de Tecnologías de la Información Formular, proponer y evaluar las políticas y planes en materia de sistemas informáticos, tecnología y comunicaciones. Elaborar y proponer la normativa y homologación de tecnologías informáticas y de comunicaciones. Diseñar, construir, implantar, mantener y brindar soporte a los sistemas de información e infraestructura tecnológica y de comunicaciones, necesarios para el cumplimiento de las políticas dispuestas por la Alta Dirección. Desarrollar y mantener una base de datos única respecto de informes, dictámenes y otros documentos de la institución. Gestionar la arquitectura, base de datos y los aspectos técnicos del portal Web de la institución, implementando las medidas adecuadas de respaldo de la información contenida en ellos.

21 ALCANCE

22 ALCANCE Alcance del Sistema de Gestión de Seguridad de la Información Los sistemas de información que sustentan los procesos de gestión para la provisión de los servicios del centro de datos del Ministerio de Desarrollo e Inclusión Social, de acuerdo al documento de declaración de aplicabilidad vigente. El alcance del Sistema de Gestión de Seguridad de la Información, está definido en el ámbito de la ubicación física desde donde se proveen los servicios, es decir desde donde se encuentra instalado el Centro de datos, en este caso, en la Avenida Paseo de la República San Isidro, Lima-Perú.

23 METODOLOGÍA DE EVALUACIÓN Y TRATAMIENTO DE RIESGOS

24 CATALOGO PARA RIESGOS Libros de la metodología Magerit: Magerit.html#.V_eSLI_hCUk

25 CATALOGO PARA RIESGOS

26 INVENTARIO Y VALORAZIÓN DE ACTIVOS

27 MATRIZ DE CALOR

28 INVENTARIO DE ACTIVOS

29 TRATAMIENTO DEL RIESGO Aceptar: Admitir si el impacto del riesgo es mínimo o el costo para mitigarlo es mayor al costo del impacto del riesgo. Transferir: Trasladar todo el riesgo a terceros para disminuir el riesgo en el proyecto. Mitigar: Disminuir la probabilidad de que se produzca el riesgo al establecer acciones anticipadas para evitar que suceda. Evitar: Contrarrestar los riesgos que van surgiendo mediante estrategias. Esto puede implicar cambios en el cronograma o el alcance del proyecto para eliminar la amenaza del riesgo.

30 DECLARACIÓN DE APLICABILIDAD

31 QUÉ ES UNA DECLARACIÓN DE APLICABILIDAD? SOA se trata de un documento que enlista los controles de seguridad establecidos en el Anexo A del estándar ISO/IEC (un conjunto de 114 controles agrupados en 35 objetivos de control, en la versión de 2013 de esta norma de seguridad). El Anexo A suele ser utilizado como una referencia para la implementación de medidas de protección de la información, así como para comprobar que no se están dejando de lado medidas de seguridad necesarias que no habían sido consideradas dentro de una organización.

32 QUÉ ES UNA DECLARACIÓN DE APLICABILIDAD? Es importante mencionar que un SOA no está limitado a los que se encuentran listados en el anexo, por lo cual pueden ser utilizados otros controles y objetivos de control si se considera necesario.

33 DECLARACIÓN DE APLICABILIDAD

34 CAPACITACION EN EL SGSI

35 CAPACITACIÓN

36 CAPACITACIÓN

37 CAPACITACIÓN

38 AUDITORIA INTERNA Y REVISION POR PARTE DE LA DIRECCION

39 PLAN ANUAL DE AUDITORIAS INTERNAS

40 PLAN DE AUDITORIA INTERNA

41 RESULTADO AUDITORIA INTERNA

42 ACCIONES CORRECTIVAS

43 ACCIONES CORRECTIVAS

44 CERTIFICACIÓN

45 AUDITORIA DE CERTIFICACIÓN Conclusiones de la Auditoria de Certificación Puntos fuertes Oportunidades de mejora Observaciones No Conformidades

46 PLAN DE ACCIONES CORRECTIVAS

47

48 ROLES, FUNCIONES Y RESPONSABILIDADES

49 GRACIAS Ing. CIP Maurice Frayssinet D. Correo Institucional: Correo Personal: Central Telefónica: Anexo 1656 Celular: Finalizar