Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN
PRESENTACIÓN DE LA NTP-ISO/IEC 27001:2008 SUPERINTENDENCIA NACIONAL DE BIENES ESTATALES (SBN)
Noviembre 2014
Sistema de Gestión de Seguridad de la Información ANTECEDENTES
La información es un activo muy importante Y que, como otros activos importantes del negocio, tiene un VALOR para la Organización y requiere, en consecuencia, de una protección adecuada.
La información es un valioso activo del que depende el buen
funcionamiento de una Organización.
Sistema de Gestión de Seguridad de la Información ANTECEDENTES
La información puede adoptar diferentes formas La información puede estar impresa o escrita en papel, almacenada electrónicamente, por correo o por medios digitales, mostrada en video o fotografías o incluso hablada
en conversación.
Todo esto hay que proteger…. Cualquiera que sea su forma o los medios que almacene o trate.
Sistema de Gestión de Seguridad de la Información QUÉ ES UN SGSI?
¿Qué es un Sistema de Gestión de Seguridad de la Información? Un SGSI es una herramienta de gestión que nos va a permitir conocer, gestionar y minimizar los riesgos que atenten contra la seguridad de la información en
nuestra institución.
Sistema de Gesti贸n de Seguridad de la Informaci贸n ANTECEDENTES
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN
Sistema de Gestión de Seguridad de la Información NTP-ISO/IEC 27001:2008
¿Qué es la Norma Técnica Peruana NTP-ISO/IEC 27001?
Mediante R.M. N° 129-2012-PCM se aprobó el uso obligatorio de esta NTP para la implementación de los Sistemas de Seguridad de la Información en
las entidades integrantes del Sistema Nacional de Informática y de la cual la Superintendencia de Bienes Nacionales -SBN- forma parte integrante.
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN INCREMENTAL NTP 27001
La Oficina Nacional de Gobierno Electrónico é Informática (ONGEI) es el ente rector del Sistema Nacional de Informática encargado de la implementación, seguimiento y monitoreo de la NTP-ISO/IEC 27001 - SGSI -
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 - ENFOQUE
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 – CICLO DE DEMING Fase 1y 2: Organización y Planificación
Fase 5: Consolidación
Fase 3: Despliegue
Fase 4: Revisión
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 - FASES
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 - ORGANIZACIÓN
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 - ORGANIZACIÓN
RESOL. N° 065-2012/SBN Designación de Oficial de Seguridad de la Información en la SBN (JUN/2012)
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 - ORGANIZACIÓN
RESOL. N° 071-2014/SBN (OCT/2014) Conformación en la SBN de: - Comité Gestión Seguridad de Información - Comité Técnico Seguridad de Información
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 – PROPUESTAS
1- Determinar el Alcance del SGSI en la SBN 2- Elaboración de la Declaración de Políticas de Seguridad de la Información en la SBN 3- Elaborar las propuestas de modelos de difusión de la Seguridad de Información en la SBN
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 – ALCANCE SGSI
Toda implementación del SGSI (NTP-ISO/IEC 27001) ha de comenzar con la
definición del ALCANCE del Sistema, es decir, el ámbito de la Organización que va a trabajar bajo los requisitos de la norma.
¿Donde está la INFORMACIÓN mas relevante de la Organización?
Sistema decumplimiento Gestión de obligatorio), Seguridad de Información El TUPA consta de 17 procedimientos (de los la cuales están organizados de la siguiente manera: IMPLEMENTACIÓN NTP 27001 - ALCANCE SGSI en SBN UTD PROCEDIMIENTO
1-
El TUPA consta de 17 procedimientos (de cumplimiento obligatorio):
Acceso a la información que posean o produzcan las Unidades Orgánicas de SBN
AREAS INVOLUCRADAS
UTD – Unidades Orgánicas de la SBN
SDAPE PROCEDIMIENTO
12345678-
Afectación en Uso Predial Cesión en Uso Predial Comodato Predial Demolición Renuncia a la afectación en uso predial Renuncia a la cesión en uso predial Arrendamiento Directo Derecho de Usufructo
AREAS INVOLUCRADAS
UTD UTD UTD UTD UTD UTD UTD UTD OAJ
-
DGPE DGPE DGPE DGPE DGPE DGPE DGPE DGPE
- SDAPE – SDAPE – SDAPE – SDAPE – SDAPE – SDAPE – SDAPE - OAJ – SDAPE - OAF - SAA - SAT -
SDDI PROCEDIMIENTO
1-
Constitución de Derecho de Superficie
2-
Permuta Predial
3-
Venta Directa
4567-
Transferencia por Aporte de Capital Transferencia Predial a favor de Empresas bajo Ámbito de FONAFE Transferencia Predial a favor de Gob. Local y/o Gob. Reg. Transferencia Predial entre Entidades Públicas (Donación)
AREAS INVOLUCRADAS
UTD - DGPE – SDDI - OAF – SAA - OPP - SAT - OAJ - AD UTD - DGPE - SDDI - AD - SRC - OAJ - OAF SAA - OPP - SG UTD - DGPE - SDDI - OAF - SAA - SAT - OAJ AD UTD - DGPE - SDDI UTD - DGPE - SDDI - SDRC UTD - DGPE - SDDI UTD - DGPE - SDDI
SDRC PROCEDIMIENTO
1-
Incorporación de Tipos de Bienes Muebles al Catálogo de Bienes Muebles del Estado
AREAS INVOLUCRADAS
UTD – Unidades Orgánicas de la SBN
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 - ALCANCE SGSI en SBN
Por tanto, el ALCANCE sobre el que se va a trabajar el Sistema de Gestión de Seguridad de la Información en la SBN se propone sobre las áreas de UTD – SDAPE – SDDI y TI. Empezando con los procedimientos de SDAPE, denominaremos a dicho alcance: “PROCESO DE ADMINISTRACIÓN DE LOS PREDIOS DEL ESTADO”
- Unidad de Trámite Documentario (UTD): En esta oficina es donde se inicia cualquier solicitud externa y que da pie a un requerimiento de un usuario (persona natural, persona jurídica, entidad pública, entidad privada, otros) - Sub-Dirección de Desarrollo Inmobiliario (SDDI): Esta oficina tiene a su cargo el tratamiento de los Bienes Inmuebles de propiedad del estado. - Sub-Dirección de Administración del Patrimonio Estatal (SDAPE): Esta oficina tiene a su cargo el tratamiento de los Bienes Muebles de propiedad del estado. - Oficina de Tecnologías de la Información (TI): En esta área se almacena toda la información que maneja la SBN para todas las áreas involucradas. Además, se provee de la conectividad necesaria a través de los servidores, así como del hardware y software requerido y se da soporte a las Bases de Datos como son el SID, SINABIP y SINABIM.
1
Esta propuesta de ALCANCE se pondría a consideración del Comité Técnico de Seguridad de la Información de la SBN para continuar el desarrollo de la implementación del SGSI.
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 - POLITICAS SGSI en SBN
Se ha elaborado el documento “Políticas de Seguridad de la Información en la SBN” el cual constituye un documento institucional que permitirá establecer un marco general de gestión para proteger adecuadamente la información de la SBN
2
Esta propuesta de POLITICAS se pondría a consideración del Comité Técnico de Seguridad de la Información de la SBN para continuar el desarrollo de la implementación del SGSI.
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 – MODELOS DIFUSIÓN SGSI en SBN
Sistema de Gestión de Seguridad de la Información IMPLEMENTACIÓN NTP 27001 – MODELOS DIFUSIÓN SGSI en SBN
3
Estos modelos propuestos se pondrían a consideración del Comité Técnico de Seguridad de la Información de la SBN para la difusión de la implementación del SGSI en el personal.
Sistema de Gestión de Seguridad de la Información FIN
IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN -SGSI-
GRACIAS
Noviembre 2014
Oficina de Tecnologías de la Información - TI SBN Superintendencia Nacional de Bienes Estatales Supervisor: Ing. Ivan Monge Valenzuela Elaboración: Ing. Javier Seclén Arana Telf.: (511) 317 – 4400 anexo 401 www.sbn.gob.pe