Taller de Implementacin

de la norma ISO 27001

Ing. Maurice Frayssinet Delgado
mfrayssinet@pcm.gob.pe
www.ongei.gob.pe

Oficina Nacional de Gobierno Electrnico e Informtica

Agenda

Seccin 1: Principios fundamentales de la Seguridad
de la Informacin
Seccin 2: Estndar y Marco Normativo
Seccin 3: Implementacin de la Norma ISO 27001

2
Principios fundamentales de la
Seguridad de la Informacin

Seccin 1
3
Qu es Seguridad?

El trmino seguridad proviene
de la palabra securitas del latn.
Cotidianamente se puede referir
a la seguridad como la
reduccin del riesgo o tambin
a la confianza en algo o alguien.
Sin embargo, el trmino puede
tomar diversos sentidos segn
el rea o campo a la que haga
referencia.
4
Informacin y Activo

Informacin: Datos significativos
Activo: Cualquier bien que tiene valor para la
organizacin

5
Activo de Informacin

Las organizaciones poseen informacin que deben
proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.
Este tipo de informacin imprescindible para las
empresas es lo que se denomina activo de
informacin.


6
Tipos de Activos de
Informacin
Servicios: Procesos de negocio de la organizacin
Datos/Informacin: Que son manipulados dentro de la
organizacin, suelen ser el ncleo del sistema, los dems
activos les dan soporte.
Aplicaciones (Software)
Equipo Informtico (Hardware)
Personal
Redes de Comunicacin
Soporte de Informacin
Equipamiento Auxiliar
Instalaciones
Intangibles








7
Documento - Registro

Documento: Informacin y su medio de soporte
Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeadas


8
Seguridad de la Informacin

La seguridad de la informacin es el conjunto de
medidas preventivas y reactivas de
las organizaciones que permiten resguardar y proteger
la informacin buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de la
misma.

9
Nota: Por otra parte, tambin pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad
Seguridad de la Informacin

Abarca todo tipo de informacin
Impresa o escrita a mano
Grabada con asistencia tcnica
Transmitida por correo electrnico o electrnicamente
Incluida en un sitio web
Mostrada en videos corporativos
Mencionada durante las conversaciones
Etc.

10
Confidencialidad

La confidencialidad es la propiedad que impide la
divulgacin de informacin a personas o sistemas no
autorizados.
A grandes rasgos, asegura el acceso a la informacin
nicamente a aquellas personas que cuenten con la
debida autorizacin.

11
Integridad

Es la propiedad que busca mantener los datos libres
de modificaciones no autorizadas.
La integridad es mantener con exactitud la
informacin tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.
12
Disponibilidad

La disponibilidad es la caracterstica, cualidad o
condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.
La disponibilidad es el acceso a la informacin y a los
sistemas por personas autorizadas en el momento
que as lo requieran.
13
Anlisis de Riesgos
Vulnerabilidad

La debilidad de un activo o de un control que puede
ser explotada por una o ms amenazas.
Las vulnerabilidades pueden ser intrnsecas o
extrnsecas.


14
Anlisis de Riesgos
Amenazas

Una Amenaza es la posibilidad de ocurrencia de
cualquier tipo de evento o accin que puede
producir un dao (material o inmaterial) sobre
los Elementos de Informacin.
15

Anlisis de Riesgos
Relacin: Vulnerabilidad y Amenaza
16
Impacto

17
Cambio adverso importante en el nivel de los objetivos
de negocios logrados
Riesgo para la Seguridad de la
Informacin
Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y por
lo tanto causar dao a la organizacin

18
Probabilidad
de
Ocurrencia
Consecuencia
(Impacto)
Riesgo
El Riesgo en funcin del
Impacto y la Probabilidad
19
zona 1 riesgos muy probables
y de muy alto impacto
zona 2 franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
zona 3 riesgos improbables y
de bajo impacto
zona 4 riesgos improbables
pero de muy alto impacto
Objetivo de Control y Control

Objetivo de Control
Declaracin de describir lo que se quiere lograr como
resultado de los controles de aplicacin
Control
Mtodos para gestionar a riesgo
Incluye las polticas, procedimientos, directrices y
prcticas o estructuras organizativas
Sinnimo: medida, contra medida, dispositivo de
seguridad


20
Tipos de Controles

Control preventivo
Desalentar o evitar la aparicin de problemas
Ejemplos:
Publicacin de la poltica de seguridad de la informacin.
Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la informacin.
Contratar slo personal calificado.




21
Tipos de Controles

Control de investigacin
Buscar e identificar anomalas
Ejemplos:
Controles en trabajos de produccin.
Control de ecos en las telecomunicaciones.
Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
Verificacin de los dobles clculos.
Cmaras de vdeo.
Sistema de deteccin de intrusiones (IDS).

22
Tipos de Controles

Control correctivo
Evitar la repeticin de anomalas
Ejemplos:
Implementar planes de emergencia con la formacin,
concienciacin, pruebas, procedimientos y actividades de
mantenimiento necesarios.
Procedimientos de emergencia, tales como copias de
seguridad peridicas, el almacenamiento en un lugar
seguro y la recuperacin de las transacciones.
Procedimientos re-ejecutados.

23
Las Relaciones entre Conceptos de
Gestin de Riesgos

24
Estndar y Marco Normativo
Seccin 2
25
Qu es ISO?

ISO es una red de organismos nacionales de
estandarizacin de mas de 160 pases.
Los resultados finales de los trabajos realizados por
ISO son publicados como normas internacionales
Se han publicado mas de 19,000 normas desde 1947
26
Principios
Bsicos de las Normas ISO
1. Representacin igualitaria: 1 voto por pas
2. Adhesin voluntaria: ISO no tiene la autoridad
para forzar la adopcin de sus normas
3. Orientacin al negocio: ISO slo desarrolla
normas para las que existe demanda del mercado
4. Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas
5. Cooperacin internacional: ms de 160 pases
adems de organismos de enlace
Principios
Bsicos de las
Normas ISO
27
Qu son los Sistemas de Gestin?

Un sistema de gestin es una estructura
probada para la gestin y mejora continua
de las polticas, los procedimientos y
procesos de la organizacin.
Un sistema de gestin ayuda a lograr los
objetivos de la organizacin mediante una
serie de estrategias, que incluyen la
optimizacin de procesos, el enfoque
centrado en la gestin y el pensamiento
disciplinado.
28
Los Sistemas de Gestin se Integran

SISTEMA
DE
GESTION
SALUD Y
SEGURIDAD
TRABAJO
OHSAS 18001
CALIDAD
ISO 9001
AMBIENTALISO
ISO 14001
SEGURIDAD DE
LA
INFORMACION
ISO 27001
29
Qu es un SGSI?

Un SGSI (Sistema de Gestin de Seguridad de la
Informacin) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la proteccin de los activos de informacin para
lograr objetivos de negocio.
El anlisis de los requisitos para la proteccin de los
activos de informacin y la aplicacin de controles
adecuados para garantizar la proteccin de estos activos
de informacin, contribuye a la exitosa implementacin
de un SGSI.
En ingles se conoce con las siglas ISMS (Information
security management system)
30
Qu es un SGSI?

El Sistema de Gestin de la Seguridad de la Informacin
(SGSI) en las empresas ayuda a establecer
estas polticas, procedimientos y controles en relacin
a los objetivos de negocio de la organizacin.
31
Enfoque a Procesos

32
Ciclo de Deming

El circulo de DEMING se constituye como una de las
principales herramientas para lograr la mejora
continua en las organizaciones o empresas que
desean aplicar a la excelencia en sistemas de gestion.
El conocido Ciclo Deming o tambin se le denomina el
ciclo PHVA que quiere decir segn las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan,
Do, Check, Act)
33
Ciclo de Deming

34
Familia
ISO 27000
V
o
c
a
b
u
l
a
r
i
o

R
e
q
u
i
s
i
t
o
s

G
e
n
e
r
a
l
i
d
a
d
e
s

I
n
d
u
s
t
r
i
a

ISO 27000
Vocabulario
ISO 27001
Requisitos del
SGSI
ISO 27004
Mtricas
ISO 27002
Cdigo buenas
practicas
ISO 27003
Gua de
Implementacin
ISO 27005
Gestin de
Riesgos
ISO 27007-27008
Guas de Auditoria
ISO 270XX
Vocabulario
ISO 27011
Telecomunicaciones
ISO 27799
Salud
ISO 27009
Requisitos organizacin
certificadora
35
ISO 27001

Especifica los requisitos de gestin
de un SGSI (Clusula 4 a 10)
Los requisitos (clusulas) son
escritos utilizando el verbo
"debern" en imperativo
Anexo A: 14 clusulas que
contienen 35 objetivos de control y
114 controles
La organizacin puede ser
certificada en esta norma
36
ISO 27002

Gua para el cdigo de prcticas para los
controles de la seguridad de la
informacin (Documento de referencia)
Clusulas escritas utilizando el verbo
"debera"
Compuesto de 14 clusulas, 35 objetivos
de control y 114 controles
Una organizacin no puede ser certificada
en esta norma
Tambin conocida como ISO 17799
37
ISO 27003

Gua para el cdigo de prcticas para
la implementacin de un SGSI
Documento de referencia para ser
utilizado con las normas ISO 27001 e
ISO 27002
Consta de 9 clusulas que definen 28
etapas para implementar un SGSI
La certificacin con esta norma no es
posible
38
Historia de la Norma
ISO 27001
39
Estructura de la Norma
ISO 27001
Clausula 7
Soporte
Clausula 4
Contexto de la
organizacin
Clausula 5
Liderazgo
Clausula 5
Planificacin
Clausula 8
Funcionamiento
Clausula 10
Mejora
Clausula 9
Evaluacin del
desempeo
40
Implementacin de la Norma ISO 27001
41
Seccin 3
Enfoque a Procesos

La aplicacin del enfoque de proceso variar de una
organizacin a otra en funcin de su tamao,
complejidad y actividades
A menudo las organizaciones identifican demasiados
procesos
Los procesos se pueden definir como un grupo lgico
de tareas relacionadas entre s, para alcanzar un
objetivo definido.
ENTRADA SALIDA PROCESO
42
Informacin Documentada
Ciclo de Vida de los Documentos

43
1. Creacin
2. Identificacin
3. Clasificacin y seguridad
4. Modificacin
9. Disposicin
8. Archivado
7. Uso adecuado
6. Distribucin
5. Aprobacin
ISO 30301

Informacin y
documentacin. Sistemas
de gestin para
documentos. Requisitos
La organizacin puede ser
certificada en esta norma



44
La implantacin de un Sistema de
Gestin de Seguridad de la Informacin es
una decisin estratgica
que debe involucrar a toda la organizacin y
que debe ser apoyada y
dirigida desde la direccin
45
Etapas
Ciclo de Deming

Compromiso de la direccin
Planificacin
Fechas
Responsables



Definir alcance del SGSI
Definir Poltica de Seguridad
Metodologa de evaluacin de
riesgos.
Inventarios de activos
Identificar amenazas y
vulnerabilidades
Identificar Impactos
Anlisis y evaluacin de riesgos
Seleccin de controles y SOA



Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditorias internas del
SGSI
Registrar acciones y eventos

Definir plan de tratamiento de
riesgos
Implantar plan de tratamiento
de riesgos
Implementar controles
Formacin y concienciacin
Operar el SGSI


Implantar mejoras
Acciones correctivas
Acciones Preventivas
Comprobar eficacia de las
acciones

46
Iniciando el SGSI

47
Definicin del enfoque para la aplicacin del SGSI
Velocidad de Implementacin
Nivel de madurez del proceso y controles
Expectativas y mbito
Seleccin de un marco metodolgico
Metodologa para gestionar el proyecto (PMBOK)
Alineacin con las mejores practicas
ISO 27001
ISO 27002
ISO 27003
ISO 27004


Nivel de Madurez

Es importante determinar
en que nivel se encuentra la
organizacin, para ello
CMM muestra la madurez
de una organizacin
basndose en la capacidad
de sus procesos
48
FASE I Organizacin
49
Fase I Organizacin

Obtener el apoyo institucional
Determinar el alcance del Sistema de Gestin de
Seguridad de la Informacin
Determinar la declaracin de Poltica de Seguridad
de la Informacin y objetivos
Determinar criterios para la evaluacin y aceptacin
de riesgos
50
Desarrollar las actividades principales para la direccin e
inicio de la implantacin del SGSI.
Obtener el Apoyo
Institucional
Existen 4 ejes de apoyo para sustentar el
apoyo institucional, estos son:
1. Cumplimiento
2. Proteccin de Procesos de Negocio
3. Disminucin de incidentes
4. Ordenamiento de su negocio

51
AREAS FUNCIONALES












Organizacin de la Seguridad

COSI
COMIT TCNICO DE
SEGURIDAD DE LA
INFORMACION

CGSI
COMIT DE GESTION DE
SEGURIDAD DE LA
INFORMACION
OSI
OFICIAL DE SEGURIDAD DE LA
INFORMACION
SI
RESPONSABLE SEGURIDAD
INFORMATICA
SF
RESPONSABLE SEGURIDAD
FISICA
ROLES
52
Comit Gestin

El Comit de Gestin de Seguridad de la Informacin es el
mximo rgano consultivo de carcter no tcnico sobre la
seguridad de la informacin.
Se reunir por lo menos una vez al mes para evaluar la
situacin institucional en materia de seguridad de la
informacin y el plan de accin para mejorarla
continuamente.
Las funciones del Comit de Gestin de Seguridad de la
Informacin son las siguientes:
Informar la situacin Institucional en materia de seguridad de la informacin.
Proponer la designacin del Oficial de Seguridad de la Informacin.
Designar a los miembros del Comit Tcnico de Seguridad de la Informacin.
Patrocinar y participar en la implementacin, operacin, monitoreo, revisin,
mantenimiento y mejora continua del Sistema de Gestin Seguridad de la
Informacin (SGSI).

53
Comit Tcnico


El Comit Tcnico de Seguridad de la Informacin es un rgano
consultivo de carcter tcnico y est integrado por los Jefes de
los procesos involucrados en el alcance quienes debern tener
un amplio conocimiento de los procesos que se realizan en la
institucin.
Las funciones del Comit Consultivo de Seguridad de la
Informacin son las siguientes:
Proponer mejoras o iniciativas en materia de seguridad de la informacin al Comit de
Gestin o al Oficial de Seguridad de la Informacin en materia de gestin de riesgos, activos
de informacin, procesamiento de la informacin, mejoras al SGSI, entre otros.
Ser embajadores de seguridad de la informacin para influenciar las opiniones de una
forma positiva y, recoger las necesidades y expectativas de los trabajadores.
Reunirse peridicamente a fin de analizar y evaluar la seguridad de la informacin y emitir
informes al Comit de Gestin de Seguridad de la Informacin.
Participar de las reuniones convocadas por el Comit de Gestin de Seguridad de la
Informacin.


54
Determinar el Alcance
del SGSI
Se debe definir en funcin de caractersticas del
negocio, organizacin, localizacin, activos y
tecnologa, definir el alcance y los lmites del SGSI
(el SGSI no tiene por qu abarcar toda la
organizacin; de hecho, es recomendable empezar
por un alcance limitado)
55
Determinar el Alcance
del SGSI
Definir los limites de la organizacin.
Definir los limites de los sistemas de informacin.
Definir el mbito y limites fsicos.
Definir el alcance del SGSI.
Cambios en el alcance.
Extensin del mbito de aplicacin.


56
Determinar el Alcance
del SGSI
Cualquier cambio en el alcance debe ser
evaluado, aprobado y documentado
57


Determinar la Declaracin de Poltica de
Seguridad de la Informacin y Objetivos


Debe tener el marco general y los objetivos de seguridad de la
informacin de la organizacin
Debe explicar los requisitos de negocio, legales y contractuales
en cuanto a seguridad
Debe de estar alineada con la gestin de riesgo general,
establecer criterios de evaluacin de riesgo y ser aprobada por
la Direccin.
La poltica de seguridad es un documento muy general, una
especie de "declaracin e intenciones" de la Direccin, por lo
que no pasar de dos o tres pginas.
58
Tipos de Poltica

59
Poltica de
Seguridad
Poltica de
Seguridad de
la Informacin
Poltica del
SGSI
Poltica sobre
control de
acceso
Poltica sobre
criptografa
Poltica de
gestin de
incidentes
POLITICA GENERALES
DE ALTO NIVEL
POLITICA ALTO NIVEL
X TEMAS ESPECIFICOS
POLITICA
DETALLADAS
Estructura de una Poltica

Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones
60
Determinar Criterios para la
Evaluacin y Aceptacin de Riesgos
Se debe definir una metodologa de evaluacin de
riesgos apropiada para el SGSI y las necesidades de la
organizacin, desarrollar criterios de aceptacin de
riesgos y determinar el nivel de riesgo aceptable.
Existen muchas metodologas de evaluacin de riesgos
aceptadas; la organizacin puede optar por una de ellas,
hacer una combinacin de varias o crear la suya propia.
ISO 27001 no impone ninguna ni da indicaciones
adicionales sobre cmo definirla.
61
Algunas Metodologas para
la Evaluacin de Riesgos

Magerit (Espaa)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)
62
Factores en la Seleccin
de la Metodologa
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del mtodo
3. Posibilidad de herramientas de software
4. Documentacin, formacin, apoyo.
5. Facilidad de uso
6. Costo de utilizacin
7. Existencia de material de comparacin (mtricas,
estudios, casos, etc.)
63
FASE II Planificacin
64
Realizar evaluacin de Riesgos
Conducir un anlisis entre los riesgos identificados y
las medidas correctivas existentes
Desarrollar un plan de tratamiento de riesgos
Desarrolla la declaracin de Aplicabilidad

65
Desarrollar las actividades de planificacin requeridas por la
norma de manera metodolgica y en concordancia con la
poltica y objetivos del SGSI dentro del alcance del mismo.
Realizar Evaluacin de Riesgos
Inventario de Activos

Todos aquellos activos de informacin que tienen
algn valor para la organizacin y que quedan dentro
del alcance del SGSI
Se debe inventariar el nombre activo, tipo,
responsable y ubicacin como campos mnimos.
Se debe realizar la dependencia de activos
66

Realizar Evaluacin de Riesgos
Inventario de Activos

67
ESCALA VALORACION
1 Muy Alto (MA)
2 Alto (A)
3 Medio (M)
4 Bajo (B)
5 Muy Bajo (MB)
Realizar Evaluacin de Riesgos
Anlisis de Riesgos
Anlisis de los riesgos: evaluar el dao resultante de
un fallo de seguridad (es decir, que una amenaza
explote una vulnerabilidad) y la probabilidad de
ocurrencia del fallo; estimar el nivel de riesgo
resultante y determinar si el riesgo es aceptable (en
funcin de los niveles definidos previamente) o
requiere tratamiento.
68
Realizar Evaluacin de Riesgos
Anlisis de Riesgos
69
Plan de
Tratamiento de Riesgos
70
Seleccin de Controles y SOA

Confeccionar una Declaracin de Aplicabilidad: la
llamada SOA (Statement of Applicability) es una lista
de todos los controles seleccionados y la razn de su
seleccin, los controles actualmente implementados
y la justificacin de cualquier control del Anexo A
excluido.
Es, en definitiva, un resumen de las decisiones
tomadas en cuanto al tratamiento del riesgo.
71
Redaccin de la Declaracin de
Aplicabilidad
72
FASE III Despliegue

73
Elaborar el plan de trabajo priorizado
Desarrollar documentos y registros necesarios
Implementar los controles seleccionados

74
Desplegar las actividades de implementacin del SGSI
Plan de Trabajo del SGSI

Un plan de trabajo es un instrumento de
planificacin.
Estructura actividades, responsables, tiempos,
recursos, generalmente se expresa por medio de un
diagrama de gantt.

75
Plan de Capacitacin

1. Definir las necesidades de capacitacin
2. Diseo y planificacin de la capacitacin
3. Provisin de la capacitacin
4. Evaluacin de los resultados de la capacitacin

76
Plan de Capacitacin

77
Plan de Capacitacin

78
La gran diferencia entre la formacin y la concientizacin
es que la capacitacin tiene por objeto proporcionar los
conocimientos para permitir que la persona ejerza sus
funciones mientras que el objetivo de concientizar es
centrar la atencin en un inters individual o una serie
de asuntos sobre la seguridad.
Plan de Comunicacin



79
1. Determinar qu queremos conseguir, cules son nuestros
objetivos.
2. Decidir a quin vamos a dirigir nuestra comunicacin.
3. Pensar cul es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos (cunto).
5. Seleccionar los medios apropiados y su frecuencia de
utilizacin.
6. Ejecutar el plan de medios y medir su impacto.

Plan de Comunicacin
Partes Interesadas
Clientes
Proveedores
Empleados
Comunidades
Medios de Comunicacin
Inversores
80
El compromiso con las partes interesadas constituye una oportunidad para que una
organizacin pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
Controles de la ISO 17799
ahora 27002
rea 1: Poltica de seguridad.
rea 2: Organizacin de la seguridad de la informacin.
rea 3: Gestin de activos.
rea 4: Seguridad relacionada con los recursos humanos.
rea 10: Gestin de la continuidad del negocio .
rea 6: Gestin de comunicaciones y operaciones.
rea 7: Control de accesos.
rea 8: Adquisicin, desarrollo y mantenimiento de sistemas.
rea 9: Gestin de incidentes.
rea 5: Seguridad fsica y del entorno
rea 11: Conformidad
Seguridad
Organizativa
Seguridad
Lgica
Seguridad
Fsica
Seguridad
Legal
81
FASE IV Revisin
82
Monitorear el desempeo del SGSI
Fortalecer la gestin de incidentes
Desarrollar documentos y registros necesarios
Desarrollar las actividades para evidenciar la mejora
continua

83
Realizar actividades de revisin del SGSI evidenciando
el cumplimiento de los requisitos de la norma
Monitoreo
Determinar los Objetivos de la Medicin
La norma no indica lo que debe ser objeto
de supervisin o medicin
Corresponde a la empresa determinar qu
es lo que necesita ser controlado y medido
Es una mejor prctica centrarse en la
vigilancia y medicin de las actividades
que estn vinculadas a los procesos
crticos que permiten a la organizacin
alcanzar sus metas y objetivos de
seguridad de la informacin
Demasiadas medidas pueden distorsionar
el enfoque de una organizacin y
desenfocar lo que es verdaderamente
importante
84
Monitoreo
Objetivos de la Medicin

Los objetivos de la medicin en el marco de un sistema de
gestin incluyen:
Evaluacin de la eficacia de los procesos y procedimientos
implementados;
Verificacin de la medida en que los requisitos identificados
de la norma se han cumplido.
Facilitar la mejora del rendimiento;
Aportar para la revisin de la gestin para facilitar la toma de
decisiones y justificar las mejoras que necesita el sistema de
gestin implementado.

85
Monitoreo
Tableros de Mando
86
Gestin de Incidentes

1. Asegurarse de que los eventos de seguridad son detectados
e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que
podran causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma ms adecuada
y eficaz.
4. Reducir el posible impacto de los incidentes sobre las
operaciones de la organizacin.
5. Prevenir futuros incidentes de seguridad y reducir su
probabilidad de ocurrencia.
6. Mejorar la seguridad de los controles de la organizacin.
87
FASE V Consolidacin
88
Auditar internamente el SGSI
Implementar las acciones correctivas
Implementar las acciones preventivas pertinentes
Desarrollar, corregir y mejorar documentacin nueva
o existente
89
Auditar e implementar las mejoras y correcciones del
SGSI a fin de cumplir con los requisitos de la norma
Auditoria Interna

1. Crear el programa de auditora interna
2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad
4. Planificacin de las actividades
5. Asignar y administrar los recursos del programa de auditora
6. Crear procedimientos de auditora
7. Realizar actividades de auditora
8. Seguimiento de no conformidades
90
Tratamiento de Problemas y
no Conformidades
Definir un proceso para resolver problemas y no
conformidades.
Definir un procedimiento de accin correctiva.
Definir un procedimiento de accin preventiva.
Elaborar Planes de Accin.

91
FASE VI Certificacin
92
Definiciones de la Certificacin

Organismo de Certificacin: Terceros que realizan la
evaluacin de la conformidad de los sistemas de
gestin.
Certificacin: Procedimiento en el cual un tercero
garantiza por escrito que un producto, proceso o
servicio es conforme a las condiciones indicadas

93
Proceso de Certificacin

1. Seleccin de la entidad certificadora.
2. Auditoria de Pre-evaluacin.
3. Etapa 1 de la auditoria, se fija en el diseo del SGSI
4. Etapa 2 de la auditoria, se lleva a cabo en la empresa.
5. Auditoria de seguimiento, si tuviera no conformidades
6. Confirmacin de la inscripcin.
94
Preguntas

95
Contactos
96
Maurice Frayssinet Delgado
mfrayssinet@pcm.gob.pe
Rpm #963-985-125
6346000 anexo 116
2197000 anexo 5116
Call Center
ongei@pcm.gob.pe
6346000 anexo 109/106
2197000 anexo 5109/5106
Soporte SGSI:
Correo Electrnico:
Telfonos:
Contacto:
Correo Electrnico:
Telfonos:
ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica
www.ongei.gob.pe