Seguridad de la Información

Page 1

Implementaciรณn de Sistema de Gestiรณn de Seguridad de la Informaciรณn (SGSI)

20 de Septiembre 2016

¿Qué es un SGSI? Modelo de gestión que sirve para mejorar de forma continua la calidad de la seguridad de la información de la entidad a través de un proceso sistemático, documentado y conocido por toda la organización.

La información es un activo esencial y es decisiva para la viabilidad de una organización. Adopta diferentes formas, impresa, escrita en papel, digital, transmitida por correo, mostrada en videos o hablada en conversaciones.

Necesidad de un SGSI en el IGP Carencia de un control de buen uso de los activos de información y de la seguridad que éste activo requiere tener. La información debe tratarse como un activo importante y por ende debe estar protegida. Falta de respaldo de información ni políticas formales de protección y acceso de información. Riesgo de pérdida y adulteración de información, robo de información confidencial, retrasos en procesos, recursos y tiempo invertidos en reparaciones, entre otros.

Aspectos Legales Cumplimiento de la Resolución Ministerial N °004 – 2016 – PCM Cumplimiento de la NTP ISO/IEC 27001:2014

Cumplimiento de NTP ISO/IEC 27001:2014

Implementación de SGSI Mejora continua de calidad de la Seguridad de la Información

Dominio NTP ISO/IEC 27001 Ejemplos en la Aplicación de la Norma : • Protección de los datos y la privacidad de la información personal • Protección de los registros de la información. • Derechos de la propiedad intelectual • Documentación de la política de seguridad de la información • Asignación de responsabilidades • Concientización, formación y capacitación en seguridad de la información • Registro y Baja de personal • Gestión de incidentes de seguridad • Política en el uso de equipos móviles

Compromiso del equipo de trabajo Existe un compromiso por parte del Oficial y Comité de seguridad de la información establecido en la RP N°52-IGP/2016, lo cual conlleva a planificar y ejecutar adecuadamente la implementación de un SGSI en la institución, cumpliendo el plazo establecido.

Oficial de Seguridad de la Información

Comité de Seguridad de la Información

Equipo de trabajo OTIDG

Comité de Gestión de Seguridad de la Información (CGSI) RP N°52-IGP/2016 • El Presidente Ejecutivo, quien presidirá el comité, siendo sustituido en su ausencia por el Secretario General • El Jefe de la Oficina de Administración • El Jefe de la Oficina de Planeamiento y Presupuesto • La Jefe de la Oficina de Tecnologías de la Información y Datos Geofísicos, quien desempeña la función de Oficial de Seguridad • El Jefe de la Oficina de Asesoría Jurídica

Comité de Gestión de Seguridad de la Información (CGSI) Funciones principales • Planear, coordinar y administrar los procesos de SI en la entidad. • Promover la creación y actualización de las políticas de SI. • Respaldar, apoyar e incentivar el proceso de implementación de un SGSI formal en la entidad. • Promover y disponer la difusión y apoyo, a la SI dentro del IGP. • Proponer y coordinar la realización de un análisis de riesgos formal en Seguridad de Información que abarque toda la entidad.

¿Que garantizará un SGSI? Confidencialidad

Beneficios de un SGSI

SGSI Integridad

Disponibilidad

• Implantación de medidas de seguridad • Reducción de riesgo de pérdidas de información • Continuidad de operar normalmente en caso de problemas de Seguridad de la Información • Reducción de costos • Mejoramiento de procesos • Cumplimiento de la normativa vigente

Fases de la Implementación ETAPA I ORGANIZACIÓN

ETAPA II PLANIFICACIÓN

Definición de Objetivos

Requisitos para la implementación de un SGSI

Contexto actual de la Organización

Definición del alcance y de riesgos

Verificación de la SI en la institución

AgostoSetiembre

ETAPA III IMPLEMENTACIÓN

ETAPA IV EVALUACIÓN

Roles y responsabilidades

Evaluación de Desempeño del SGSI

Planificación

Creación de políticas de SI.

Aprobación, correcciones y mejoras

OctubreDiciembre

EneroFebrero

Marzo-Abril

Avances a la fecha Envío de Cronograma para la implementación del SGSI en el IGP a la ONGEI – PCM (dentro del plazo establecido según normativa).

Definición general de objetivos del SGSI

Desarrollo de Cronograma de trabajo (Gantt)

Desarrollo de encuesta de “Situación Actual de Seguridad de la Información en el IGP” como parte de la “Recopilación de Información” de la fase de Organización.

Avance a la fecha

Cronograma para la implementaciรณn del SGSI en el IGP Oficio a la ONGEI - PCM (31/03/2016)

Encuesta de Seguridad de la Informaciรณn efectuada por Personal de TI (08/09/2016)

Resultados de la Encuesta ( Personal TI)

Permite recopilar la informaciรณn que tiene el personal sobre Seguridad de la Informaciรณn, pudiendo clasificarla por unidad orgรกnica a la cual pertenecen. Estos resultados pueden presentarse en forma grรกfica o de tablas

Inventario de Activos de Información Ficha Ejemplo

*

Identificador

Nombre

Descripción

Responsable

Custodio

Tipo

Ubicación

Clasificacion de Informacion

Crítico

ID_0001

Cheques de pago

Documento de pago al personal que trabaja con la modalidad de locador

Jefe de la Unidad de Recursos Humanos

Asistente de RRHH

Documentos de Papel

Mayorazgo - Unidad de RRHH

PUBLICA

ID_0002

Contratos de Personal CAS

Contratos de trabajo por un periodo determinado al personal CAS

Jefe de la Unidad de Recursos Humanos

Asistente de RRHH

Documentos de Papel

Mayorazgo - Unidad de RRHH

PUBLICA

SI

Servicio

Proveedor - OPTICAL

PUBLICA

Servicio

Proveedor - Edelnor

PUBLICA

SI

Digital

Servidor de Banco de Datos

RESTRINGIDA

SI

Sistema

Servidor Intranet CAMACHO

INTERNA

SI

ID_0003

Servicio de Internet

ID_0004

Servicio de energia

ID_0005

Datos Sísmicos

ID_0006

INTRANET

Sistema global de interconexion mundial Jefe de OTIDG Resonsable de UOTI hacia otros sistemas de informacion Sistema que consiste en Responsible de la alimentacion de Jefe de Administracion Sistemas Informaticos energia electrica para Administrativos Información obtenida de los diferentes equipos e instrumentos que pertenecen al IGP que Jefe de OTIDG Responsable del BNDG es proporcionada por el área de Redes Geofísicas Red privada solo para el acceso del personal de la Institucion para el Jefe de OTIDG Responsible de UOTI acceso de los servicios informaticos

Algunas técnicas a utilizar en la implementación del SGSI Organización

• Encuesta sobre situación actual de seguridad de la información • FODA orientado a SI, entre otros • Inventario de Activos de información • Matriz de riesgos – Evaluación de Riesgos • Project charter, matriz de responsabilidad, entre otros.

Planificación

Implementación

• Uso de estándares como referencia para creación de Políticas de SGSI • Capacitaciones a personal

• Desarrollo de pruebas de evaluación, encuestas • Reportes y medición de ratios Evaluación

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.