ONGEI2016 - peru.gob.peperu.gob.pe/pm/portales/portal_ongei/docs/ONGEI.pdf · Implementación del...

Ing. CIP Miguel Del Carpio WongOficina Nacional de Gobierno Electrónico e Informática

ONGEI2016

Oficina Nacional de Gobierno Electrónicoe Informática - ONGEI

Implementación del SGSI

Ing. Ronal Barrientos DezaJefe de la Oficina Nacional

de Gobierno Electrónico e Informática


• “Una Cadena es tan fuerte como el más débil de sus eslabones” ***

*** Adoptado de un escrito del siglo XVIII por Thomas Reid titulado: “Ensayos en los Poderes Intelectuales del Hombre y John C. Maxwell, autor de “LAS 17 LEYES INCUESTIONABLES DEL TRABAJO EN EQUIPO” (2001) la menciona como la 5ta ley, La Ley de la cadena: “La fortaleza del equipo se ve afectada por el eslabón más débil”




•Parte 1 : NORMATIVA

•Parte 2 : IMPLEMENTACIÓN




NORMATIVA




Norma Anterior

• RM N.° 129-2012-PCM (Mayo 2012).

✔ Aprueba uso obligatorio NTP-ISO/IEC 27001:2008 (Req. y Anexo A)“NTP-ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad del a Información. Requisitos”.

✔ ¿Quiénes? 71 Entidades. ¿Y las demás? Sólo Cronograma Fase 1.

✔ Controles deben ser implementados de acuerdo a la NTP-ISO/IEC 17799:2007 (Agosto 2007 – RM N.° 244-2007-PCM)

“NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la Seguridad de la Información. 2da. Edición”

✔ Deja sin efecto la RM N.° 197-2011-PCM (Ponía fecha límite [31Dic2012] para implementar NTP-ISO/IEC 17799:2007)




Norma VIGENTE

• RM N.° 004-2016-PCM (Enero 2016).

✔ Aprueba uso obligatorio NTP-ISO/IEC 27001:2014.“NTP-ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad del a Información. Requisitos. 2Da Edición”.

✔ ¿Quiénes? Todas las Entidades Integrantes del Sistema Nacional de Informática

✔ Presentar Cronograma: 60 días. ¿Lo Han Presentado?✔ Implementación y/o Adecuación : 2 años. ¿Lo están trabajando?

Definir bien el Alcance en base a los recursos.Actas, documentos, notas,...

✔ Pueden Certificar si lo desean con recursos propios. ¿Es bueno?




Norma VIGENTE

• RM N.° 004-2016-PCM (Enero 2016).

✔ El Comité de Gestión de Seguridad de la Información✔ Titular de Entidad,✔ Administración,✔ Planificación,✔ Informática,✔ Legal,✔ Oficial de Seguridad de la Información.

✔ Deja sin efecto la RM N.° 129-2012-PCM.




IMPLEMENTACIÓN




NTP-ISO/IEC 27001:2014

• Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN.• Capítulo 05 : LIDERAZGO.• Capítulo 06 : PLANIFICACIÓN.• Capítulo 07 : SOPORTE.• Capítulo 08 : OPERACIÓN.• Capítulo 09 : EVALUACIÓN DE DESEMPEÑO.• Capítulo 10 : MEJORAS.

• Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.




Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN.

• Es comprender a la Organización y su contexto, tanto en los aspectos internos como externos.

• CONOCER A LA ENTIDAD: Misión, Visión, Matriz FODA y las Estrategias (Sec. 4.1). (Un Auditor leerá el documento y se enterá de la Entidad).

• Los objetivos de la Seguridad de la Información deben alinearse con los Objetivos Estratégicos.

• Es comprender las necesidad y expectativas de las partes interesadas: (Plan-Do-Check-Act) al SGSI. Es parte de la mejora continua (Sec. 4.4).

• Veámos un ejemplo: Determinar el ALCANCE (Sec. 4.3).





ALCANCE

Sección

Requerimiento de la ISO/IEC 27001:2013 Estado Evidencia: ¿Cómo lo cumple?

4.3 Determinar el alcance del sistema de gestión de seguridad de la información.

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de seguridad de la información para establecer su alcance.

CONFORME

El Sistema de Gestión de Seguridad de la Información aplica a los siguientes procesos: (Ejemplos reales)

MIDIS• Los sistemas de información que sustentan los procesos

de negocio para la provisión del servicio de Data Center.

OSIPTEL• El sistema de gestión de seguridad de la información

para la Regulación del Mercado de Telecomunicaciones mediante los procesos de emisión de normas, regulación, solución de controversias, solución de reclamos de usuarios, supervisión, fiscalización y sanción. Atención y orientación a usuarios desde sus oficinas de San Borja y San Isidro en Lima, según la declaración de aplicabilidad vigente.





ALCANCE (si se desea certificar, también tener el alcance en inglés, la auditora lo pedirá.)¿Qué hacer?

✔Definir bien el alcance (procesos o sub procesos).✔Puede ser cambiado siempre y cuando existan las actas de reunión del

comité y por qué se cambió.¿Cómo?

✔Preguntarse: ✔¿Por qué implementas el SGSI?✔¿Qué área debe ser cubierta por el SGSI?✔NO definir un Alcance MUY AMPLIO, pues tu análisis de riesgos

será mayor y puedes demorar mucho: presupuesto, tiempo,...✔Se debe comprender los problemas externos e internos de la Entidad.

Se recomienda hacer un DIAGRAMA DE CONTEXTO DE LA ENTIDAD GUBERNAMENTAL.




Capítulo 05 : LIDERAZGO.

• Sabemos que el Comité de Seguridad de la Información debe estar formado por el Titular de la Entidad.

• Si se tiene al Titular de la Entidad comprometido, entonces la tarea de implementar un SGSI y CERTIFICAR será mucho más fácil.

• El Titular de la Entidad, debe mostrar liderazgo y compromiso respecto al SGSI. Entonces, debe asegurar que las responsabilidades y la autoridad para los roles relevantes a la Seguridad de la Información estén asignadas y comunicadas.

• Por lo tanto, es necesario establecer:● Una Política de Seguridad de la Información, y● Los Objetivos de Seguridad de la Información.





POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SecciónRequerimiento de la ISO/IEC

27001:2013 Estado Evidencia: ¿Cómo lo cumple?

5.2 Política.

CONFORME

Existe la Política de Seguridad de la Información y se ha evidenciado que está acorde al propósito de la organización, incluye objetivos de Seguridad de la Información (Sección 6.2) y está disponible y comunicada a toda la organización. Además que ha sido aprobada por una Resolución de Alcaldía. (Directoral, Ministerial,...)

La política de seguridad de la información debe:

f)Estar comunicada dentro de la organización;

CONFORME

Se ha evidenciado que la Política de Seguridad de la Información ha sido comunicada a toda la Organización vía correo electrónico. Así mismo está publicado en la Intranet. Además existen los cargos de los documentos que han sido envíada a cada dependencia de la organización.





POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN¿Qué hacer?

✔Hacer la Política de Seguridad de la Información.¿Cómo?

✔Modelos hay varios y usarlos sólo como referencia.✔ Incluir al menos:

✔Marco legal,✔Objetivos,✔Políticas,✔Definiciones,✔Responsabilidades,✔Sanciones por incumplimiento.✔ IMPORTANTE respecto al documento:

Elaborado por, Revisado por, Aprobado por,CARGO y NOMBRE. Versión, Fecha exacta.





POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

• Sabemos que los usuarios, muchas veces no cumplen las políticas.• Podría incluirse como parte de las sanciones por incumplimiento lo siguiente o

vía alguna comunicación de la Alta Dirección:

“La Entidad se reserva el derecho de tomar medidas disciplinarias del personal que incumpla con los dispuesto en la Política de Seguridad de la Información conforme a las disposiciones señaladas en los documentos normativos de la institución, sin prejuicio de las acciones civiles y/o penales que pudieran corresponder.”




Capítulo 06 : PLANIFICACIÓN.

6.1 Acciones para tratar los riesgos y oportunidades6.1.1 Generalidades ...

Sección Requerimiento de la ISO/IEC 27001:2013 EstadoEvidencia:

¿Cómo lo cumple?

6.1.2 Valoración del riesgo de seguridad de la información.

La organización debe definir y aplicar un proceso de valoración del riesgo de seguridad de la información que:

CONFORME

Se tiene un procedimiento para la Gestión de Riesgos de Seguridad de la Información.

c) identifique los riesgos de seguridad de la información:

1)Aplicando el proceso de valoración de riesgos de seguridad de la información para identificar riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad para la información dentro del alcance del sistema de gestión de seguridad de la información.

CONFORME

Se cuenta con una metodología de Gestión de Riesgos de Seguridad de la Información y está en conjunto con el Manual de Gestión de Seguridad de la Información.





6.1 Acciones para tratar los riesgos y oportunidades6.1.1 Generalidades6.1.2 Valoración del riesgo de seguridad de la información.

¿Qué hacer?✔Procedimiento para la gestión de riesgos de seguridad de la

información.

¿Cómo?✔Elegir tu metodología de gestión de riesgos,✔Usa ISO 31000,✔Usa ISO 27002,✔Usa ITIL, COBIT, COSO,✔Usa MAGERIT (española – 3 libros)





6.1 Acciones para tratar los riesgos y oportunidades6.1.1 Generalidades6.1.2 Valoración del riesgo de seguridad de la información.Consideraciones

✔ Identificar los riesgos de seguridad de la información:✔Aplicar el proceso de valoración de riesgos: MATRIZ DE CALOR.

✔Se debe hacer un Inventario de Activos y considerar la valoración para la Confidencialidad, Integridad, Disponibilidad, lo cual da origen a la Matriz de Calor.

✔ Identificar a los propietarios de los riesgos y obtener su aprobación para tratar los riesgos.

✔Analizar los riesgos de seguridad de la información.✔Establecer la Declaración de Aplicabilidad.✔Determinar todos los controles necesarios.✔Formular un plan de tratamiento de riesgos.




De la misma manera trabajarlo para los siguientes capítulos:● Capítulo 07 : SOPORTE.● Capítulo 08 : OPERACIÓN.● Capítulo 09 : EVALUACIÓN DE DESEMPEÑO.● Capítulo 10 : MEJORAS.




Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.A.9 Control de acceso

A.9.1 Requisitos de la empresa para el control de acceso.Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de la información

SecciónControl del Anexo A de la

ISO/IEC 27001:2013 EstadoEvidencia:

¿Cómo se ha implementado?

A.9.1.2 Acceso a redes y servicios de red.

Control: Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido específicamente autorizados a usar.

IMPLEMENTADO

El acceso a los servidores se realiza mediante los perfiles establecidos. El acceso a Internet es sólo para los usuarios institucionales, además que la red se encuentra segmentada y el acceso inalámbrico a Internet para los invitados está en una red aislada. También se dispone de una política de contraseñas.




Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.A.9 Control de acceso

A.9.4 Control de acceso a sistema y aplicación.Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones.




A.9.4.5 Control de acceso al código fuente de los programas.

Control: El acceso al código fuente de los programas debe ser restringido.

NO APLICA

Para el alcance establecido no hay Desarrollo de Software.




Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.A.6 Organización de la seguridad de la información

A.6.1 Organización interna.Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.




A.6.1.3 Contacto con las autoridades.

Control: Contactos con autoridades relevantes deben ser mantenidos.

IMPLEMENTADO

Se cuenta con una lista para establecer contacto rápido con las partes involucradas y se evidencia que se ha comunicado a todos.




Sección Control del Anexo A de la ISO/IEC 27001:2013 Estado Evidencia:


A.6.1.2 Segregación de funciones.

Control: Las funciones y áreas de responsabilidad en conflicto deben ser segregadas para reducir oportunidades de modificación no autorizada o no intencional o mal uso de los activos de la organización

IMPLE-MENTADO

La Entidad dispone de un Manual de Organización y Funciones (MOF) en el cual está definido los cargos.

También se cuenta con los Contratos Administrativos de Servicios (CAS) de aquellos trabajadores que brindan servicios bajo dicha modalidad, en donde se definen las responsabilidades de los mismos.

Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.A.6 Organización de la seguridad de la información

A.6.1 Organización interna.Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.




ISO 27003

Estándar Internacional usada como:GUÍA PARA LA IMPLANTACIÓN

DE UN SGSI



Muchas Gracias...!!!

http://[email protected]

[email protected]+51 1 219 7000 Anexo 5111

+51 997 401 747

http://www.ongei.gob.pe/

mailto:[email protected]

mailto:[email protected]

ONGEI2016 - peru.gob.peperu.gob.pe/pm/portales/portal_ongei/docs/ONGEI.pdf · Implementación del...

Documents

Transcript of ONGEI2016 - peru.gob.peperu.gob.pe/pm/portales/portal_ongei/docs/ONGEI.pdf · Implementación del...