IMPLEMENTACION DE LA NTP-ISO/IEC 27001:2008 “Sistema de Gestión de Seguridad de la Información”

“Adopción de SGSI en el Sector Gobierno del PERÚ”

De manera creciente las organizaciones públicas o privadas requieren contar con sistemas de gestión que preserven la seguridad de la información que ingresa, es procesada o producida al interior de las mismas. En el caso del Perú, se han aprobado dispositivos legales (Resolución Ministerial Nº129-2012-PCM) que obligan a las organizaciones del Estado a contar con un Sistema de Gestión de la Seguridad de la Información (SGSI).

¿Qué es Seguridad de la Información?

¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)? CICLO DE DEMING – ESTRATEGIA DE MEJORA CONTINUA DE CALIDAD

Objetivos de control y controles “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”. ISO/IEC 27001:2005 11 Dominios 39 Objetivos de control 133 Controles Objetivos de control y controles

Políticas de Seguridad Cumplimiento Organización de Seguridad Continuidad del Negocio Gestión de Activos Incidentes de Seguridad Seguridad Rec.Humanos Desarrollo de Sistemas Sistema de Control Acceso Seguridad Fisica y Amb. Gestión Com. y Operaciones

Política de Seguridad (2 Controles): Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.

Aspectos organizativos para la seguridad (11 Controles) Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.

Clasificación y Control de Activos (5 Controles) Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección.

Seguridad de Recursos Humanos (9 Controles) Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.

Seguridad física y del Entorno (13 Controles) Responde a la necesidad de proteger las áreas, el equipo y los controles generales.

Gestión de Comunicaciones y Operaciones (32 Controles) Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. Garantizar la protección de la información en las redes y de la infraestructura de soporte. Evitar daños a los recursos de información e interrupciones en las actividades de la institución. Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones

Control de accesos (25 Controles) Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos.

Adquisición, Desarrollo y Mantenimiento de los Sistemas (16 Controles) Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

Gestión de Incidentes de la Seguridad de la información (5 Controles) Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo.

Gestión de Continuidad del Negocio (5 Controles) Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre.

Cumplimiento (10 Controles) Evitar brechas de cualquier ley civil o penal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.

NORMATIVAS PERUANAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACIÓN

Resolución Ministerial Nº 246-2007-PCM (22/08/2007) No se Cumplió

Resolución Ministerial Nº 197-2011-PCM (14/07/2011) No se Cumplió

Resolución Ministerial Nº 129-2012-PCM (23/05/2012) Artículo 1º.- De la aprobación Apruébese el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC 27001:2008 EDI Tecnología de la información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la información. Requisitos” en todas las entidades integrantes del Sistema Nacional de Informática. Artículo 3º.- De la Implementación Dan un Plazo no mayor de 180 días calendarios, contados a partir de la fecha de publicación de la resolución para establecer el cronograma de implementación. Artículo 5º.- De la Coordinación La ONGEI de la PCM coordinará con las entidades públicas respecto a la aplicación de la resolución. Cada entidad designará un coordinador que hará las veces de oficial de seguridad de la información. No se Cumplió

Gracias IMPLEMENTACION DE LA NTP-ISO/IEC 27001:2008 “Sistema de Gestión de Seguridad de la Información”