taller de implementación de la norma iso 27001 · taller de implementación de la norma iso 27001...
TRANSCRIPT
![Page 1: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/1.jpg)
Taller de Implementación
de la norma ISO 27001
Ing. Maurice Frayssinet Delgado
www.ongei.gob.pe
Oficina Nacional de Gobierno Electrónico e Informática
![Page 2: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/2.jpg)
Agenda
Sección 1: Principios fundamentales de la Seguridad de la Información
Sección 2: Estándar y Marco Normativo
Sección 3: Implementación de la Norma ISO 27001
2
![Page 3: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/3.jpg)
Principios fundamentales de la Seguridad de la Información
Sección 1
3
![Page 4: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/4.jpg)
¿Qué es Seguridad?
• El término seguridad proviene de la palabra securitas del latín.
• Cotidianamente se puede referir a la seguridad como la reducción del riesgo o también a la confianza en algo o alguien.
• Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia.
4
![Page 5: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/5.jpg)
Información y Activo
• Información: Datos significativos
• Activo: Cualquier bien que tiene valor para la organización
5
![Page 6: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/6.jpg)
Activo de Información
• Las organizaciones poseen información que deben proteger frente a riesgos y amenazas para asegurar el correcto funcionamiento de su negocio.
• Este tipo de información imprescindible para las empresas es lo que se denomina activo de información.
6
![Page 7: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/7.jpg)
Tipos de Activos de Información
• Servicios: Procesos de negocio de la organización
• Datos/Información: Que son manipulados dentro de la organización, suelen ser el núcleo del sistema, los demás activos les dan soporte.
• Aplicaciones (Software)
• Equipo Informático (Hardware)
• Personal
• Redes de Comunicación
• Soporte de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles
7
![Page 8: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/8.jpg)
Documento - Registro
• Documento: Información y su medio de soporte
• Registro: Documento que indique los resultados obtenidos o proporcione evidencia de las actividades desempeñadas
8
![Page 9: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/9.jpg)
Seguridad de la Información
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones que permiten resguardar y proteger la información buscando mantener las dimensiones (confidencialidad, disponibilidad e integridad) de la misma.
9
Nota: Por otra parte, también pueden participar otras propiedades, como la autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad
![Page 10: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/10.jpg)
Seguridad de la Información
Abarca todo tipo de información
Impresa o escrita a mano
Grabada con asistencia técnica
Transmitida por correo electrónico o electrónicamente
Incluida en un sitio web
Mostrada en videos corporativos
Mencionada durante las conversaciones
Etc.
10
![Page 11: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/11.jpg)
Confidencialidad
• La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados.
• A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.
11
![Page 12: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/12.jpg)
Integridad
• Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
• La integridad es mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.
12
![Page 13: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/13.jpg)
Disponibilidad
• La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
• La disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
13
![Page 14: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/14.jpg)
Análisis de Riesgos Vulnerabilidad
• La debilidad de un activo o de un control que puede
ser explotada por una o más amenazas.
• Las vulnerabilidades pueden ser intrínsecas o extrínsecas.
14
![Page 15: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/15.jpg)
Análisis de Riesgos Amenazas
• Una Amenaza es la posibilidad de ocurrencia de
cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre
los Elementos de Información.
15
![Page 16: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/16.jpg)
Análisis de Riesgos
Relación: Vulnerabilidad y Amenaza
16
![Page 17: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/17.jpg)
Impacto
17
Cambio adverso importante en el nivel de los objetivos de negocios logrados
![Page 18: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/18.jpg)
Riesgo para la Seguridad de la Información
• Potencialidad de que una amenaza explote una vulnerabilidad en un activo o grupo de activos y por lo tanto causará daño a la organización
18
Probabilidad de
Ocurrencia
Consecuencia (Impacto) Riesgo
![Page 19: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/19.jpg)
El Riesgo en función del Impacto y la Probabilidad
19
• zona 1 – riesgos muy probables y de muy alto impacto
• zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo
• zona 3 – riesgos improbables y de bajo impacto
• zona 4 – riesgos improbables pero de muy alto impacto
![Page 20: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/20.jpg)
Objetivo de Control y Control
Objetivo de Control
• Declaración de describir lo que se quiere lograr como resultado de los controles de aplicación
Control
• Métodos para gestionar a riesgo
• Incluye las políticas, procedimientos, directrices y prácticas o estructuras organizativas
• Sinónimo: medida, contra medida, dispositivo de seguridad
20
![Page 21: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/21.jpg)
Tipos de Controles
Control preventivo
Desalentar o evitar la aparición de problemas
Ejemplos:
• Publicación de la política de seguridad de la información.
• Hacer que socios y empleados firmen un acuerdo de confidencialidad.
• Establecer y mantener contactos apropiados con los grupos de especialistas en seguridad de la información.
• Contratar sólo personal calificado.
21
![Page 22: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/22.jpg)
Tipos de Controles
Control de investigación
Buscar e identificar anomalías
Ejemplos:
• Controles en trabajos de producción.
• Control de ecos en las telecomunicaciones.
• Alarmas para detectar el calor, humo, fuego o riesgos relacionados con el agua.
• Verificación de los dobles cálculos.
• Cámaras de vídeo.
• Sistema de detección de intrusiones (IDS).
22
![Page 23: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/23.jpg)
Tipos de Controles
Control correctivo
Evitar la repetición de anomalías
Ejemplos:
• Implementar planes de emergencia con la formación, concienciación, pruebas, procedimientos y actividades de mantenimiento necesarios.
• Procedimientos de emergencia, tales como copias de seguridad periódicas, el almacenamiento en un lugar seguro y la recuperación de las transacciones.
• Procedimientos re-ejecutados.
23
![Page 24: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/24.jpg)
Las Relaciones entre Conceptos de Gestión de Riesgos
24
![Page 25: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/25.jpg)
Estándar y Marco Normativo
Sección 2
25
![Page 26: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/26.jpg)
¿Qué es ISO?
• ISO es una red de organismos nacionales de estandarización de mas de 160 países.
• Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales
• Se han publicado mas de 19,000 normas desde 1947
26
![Page 27: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/27.jpg)
Principios Básicos de las Normas ISO
1. Representación igualitaria: 1 voto por país
2. Adhesión voluntaria: ISO no tiene la autoridad para forzar la adopción de sus normas
3. Orientación al negocio: ISO sólo desarrolla normas para las que existe demanda del mercado
4. Enfoque de consenso: busca un amplio consenso entre las distintas partes interesadas
5. Cooperación internacional: más de 160 países además de organismos de enlace
Principios Básicos de las Normas ISO
27
![Page 28: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/28.jpg)
¿Qué son los Sistemas de Gestión?
• Un sistema de gestión es una estructura probada para la gestión y mejora continua de las políticas, los procedimientos y procesos de la organización.
• Un sistema de gestión ayuda a lograr los objetivos de la organización mediante una serie de estrategias, que incluyen la optimización de procesos, el enfoque centrado en la gestión y el pensamiento disciplinado.
28
![Page 29: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/29.jpg)
Los Sistemas de Gestión se Integran
SISTEMA DE
GESTION
SALUD Y SEGURIDAD
TRABAJO OHSAS 18001
CALIDAD ISO 9001
AMBIENTALISO ISO 14001
SEGURIDAD DE LA
INFORMACION ISO 27001
29
![Page 30: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/30.jpg)
¿Qué es un SGSI?
• Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la protección de los activos de información para lograr objetivos de negocio.
• El análisis de los requisitos para la protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de estos activos de información, contribuye a la exitosa implementación de un SGSI.
En ingles se conoce con las siglas ISMS (Information security management system) 30
![Page 31: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/31.jpg)
¿Qué es un SGSI?
El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas, procedimientos y controles en relación
a los objetivos de negocio de la organización.
31
![Page 32: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/32.jpg)
Enfoque a Procesos
32
![Page 33: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/33.jpg)
Ciclo de Deming
• El circulo de DEMING se constituye como una de las principales herramientas para lograr la mejora continua en las organizaciones o empresas que desean aplicar a la excelencia en sistemas de gestion.
• El conocido Ciclo Deming o también se le denomina el ciclo PHVA que quiere decir según las iniciales (planear, hacer, verificar y actuar) o ingles PDCA (Plan, Do, Check, Act)
33
![Page 34: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/34.jpg)
Ciclo de Deming
34
![Page 35: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/35.jpg)
Familia ISO 27000
Vo
cab
ula
rio
R
eq
uis
ito
s G
en
era
lidad
es
Ind
ust
ria
ISO 27000 Vocabulario
ISO 27001 Requisitos del
SGSI
ISO 27004 Métricas
ISO 27002 Código buenas
practicas
ISO 27003 Guía de
Implementación
ISO 27005 Gestión de
Riesgos
ISO 27007-27008 Guías de Auditoria
ISO 270XX Vocabulario
ISO 27011 Telecomunicaciones
ISO 27799 Salud
ISO 27009 Requisitos organización
certificadora
35
![Page 36: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/36.jpg)
ISO 27001
• Especifica los requisitos de gestión de un SGSI (Cláusula 4 a 10)
• Los requisitos (cláusulas) son escritos utilizando el verbo "deberán" en imperativo
• Anexo A: 14 cláusulas que contienen 35 objetivos de control y 114 controles
• La organización puede ser certificada en esta norma
36
![Page 37: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/37.jpg)
ISO 27002
• Guía para el código de prácticas para los controles de la seguridad de la información (Documento de referencia)
• Cláusulas escritas utilizando el verbo "debería"
• Compuesto de 14 cláusulas, 35 objetivos de control y 114 controles
• Una organización no puede ser certificada en esta norma
• También conocida como ISO 17799 37
![Page 38: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/38.jpg)
ISO 27003
• Guía para el código de prácticas para la implementación de un SGSI
• Documento de referencia para ser utilizado con las normas ISO 27001 e ISO 27002
• Consta de 9 cláusulas que definen 28 etapas para implementar un SGSI
• La certificación con esta norma no es posible
38
![Page 39: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/39.jpg)
Historia de la Norma ISO 27001
39
![Page 40: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/40.jpg)
Estructura de la Norma ISO 27001
Clausula 7 Soporte
Clausula 4 Contexto de la organización
Clausula 5 Liderazgo
Clausula 5 Planificación
Clausula 8 Funcionamiento
Clausula 10 Mejora
Clausula 9 Evaluación del
desempeño
40
![Page 41: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/41.jpg)
Implementación de la Norma ISO 27001
41
Sección 3
![Page 42: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/42.jpg)
Enfoque a Procesos
• La aplicación del enfoque de proceso variará de una organización a otra en función de su tamaño, complejidad y actividades
• A menudo las organizaciones identifican demasiados procesos
• Los procesos se pueden definir como un grupo lógico de tareas relacionadas entre sí, para alcanzar un objetivo definido.
ENTRADA SALIDA PROCESO 42
![Page 43: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/43.jpg)
Información Documentada Ciclo de Vida de los Documentos
43
1. Creación
2. Identificación
3. Clasificación y seguridad
4. Modificación
9. Disposición
8. Archivado
7. Uso adecuado
6. Distribución
5. Aprobación
![Page 44: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/44.jpg)
ISO 30301
• Información y documentación. Sistemas de gestión para documentos. Requisitos
• La organización puede ser certificada en esta norma
44
![Page 45: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/45.jpg)
La implantación de un Sistema de Gestión de Seguridad de la Información es
una decisión estratégica que debe involucrar a toda la organización y
que debe ser apoyada y dirigida desde la dirección
45
![Page 46: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/46.jpg)
Etapas Ciclo de Deming
• Compromiso de la dirección • Planificación • Fechas • Responsables
• Definir alcance del SGSI • Definir Política de Seguridad • Metodología de evaluación de
riesgos. • Inventarios de activos • Identificar amenazas y
vulnerabilidades • Identificar Impactos • Análisis y evaluación de riesgos • Selección de controles y SOA
• Revisar el SGSI • Medir eficacia de los controles • Revisar riesgos residuales • Realizar auditorias internas del
SGSI • Registrar acciones y eventos
• Definir plan de tratamiento de
riesgos • Implantar plan de tratamiento
de riesgos • Implementar controles • Formación y concienciación • Operar el SGSI
• Implantar mejoras • Acciones correctivas • Acciones Preventivas • Comprobar eficacia de las
acciones
46
![Page 47: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/47.jpg)
Iniciando el SGSI
47
Definición del enfoque para la aplicación del SGSI
• Velocidad de Implementación • Nivel de madurez del proceso y controles • Expectativas y ámbito
Selección de un marco metodológico
• Metodología para gestionar el proyecto (PMBOK)
Alineación con las mejores practicas
• ISO 27001 • ISO 27002 • ISO 27003 • ISO 27004
![Page 48: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/48.jpg)
Nivel de Madurez
Es importante determinar en que nivel se encuentra la organización, para ello CMM muestra la madurez de una organización basándose en la capacidad de sus procesos
48
![Page 49: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/49.jpg)
FASE I Organización
49
![Page 50: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/50.jpg)
Fase I Organización
• Obtener el apoyo institucional
• Determinar el alcance del Sistema de Gestión de Seguridad de la Información
• Determinar la declaración de Política de Seguridad de la Información y objetivos
• Determinar criterios para la evaluación y aceptación de riesgos
50
Desarrollar las actividades principales para la dirección e inicio de la implantación del SGSI.
![Page 51: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/51.jpg)
Obtener el Apoyo Institucional
• Existen 4 ejes de apoyo para sustentar el apoyo institucional, estos son:
1. Cumplimiento
2. Protección de Procesos de Negocio
3. Disminución de incidentes
4. Ordenamiento de su negocio
51
![Page 52: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/52.jpg)
AREAS FUNCIONALES
Organización de la Seguridad
COSI COMITÉ TÉCNICO DE
SEGURIDAD DE LA INFORMACION
CGSI COMITÉ DE GESTION DE
SEGURIDAD DE LA INFORMACION
OSI OFICIAL DE SEGURIDAD DE LA
INFORMACION
SI RESPONSABLE SEGURIDAD
INFORMATICA
SF RESPONSABLE SEGURIDAD
FISICA
ROLES
52
![Page 53: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/53.jpg)
Comité Gestión
El Comité de Gestión de Seguridad de la Información es el máximo órgano consultivo de carácter no técnico sobre la seguridad de la información.
Se reunirá por lo menos una vez al mes para evaluar la situación institucional en materia de seguridad de la información y el plan de acción para mejorarla continuamente.
Las funciones del Comité de Gestión de Seguridad de la Información son las siguientes: • Informar la situación Institucional en materia de seguridad de la información. • Proponer la designación del Oficial de Seguridad de la Información. • Designar a los miembros del Comité Técnico de Seguridad de la Información. • Patrocinar y participar en la implementación, operación, monitoreo, revisión,
mantenimiento y mejora continua del Sistema de Gestión Seguridad de la Información (SGSI).
53
![Page 54: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/54.jpg)
Comité Técnico
El Comité Técnico de Seguridad de la Información es un órgano consultivo de carácter técnico y está integrado por los Jefes de los procesos involucrados en el alcance quienes deberán tener un amplio conocimiento de los procesos que se realizan en la institución.
Las funciones del Comité Consultivo de Seguridad de la Información son las siguientes: • Proponer mejoras o iniciativas en materia de seguridad de la información al Comité de
Gestión o al Oficial de Seguridad de la Información en materia de gestión de riesgos, activos de información, procesamiento de la información, mejoras al SGSI, entre otros.
• Ser “embajadores” de seguridad de la información para influenciar las opiniones de una forma positiva y, recoger las necesidades y expectativas de los trabajadores.
• Reunirse periódicamente a fin de analizar y evaluar la seguridad de la información y emitir informes al Comité de Gestión de Seguridad de la Información.
• Participar de las reuniones convocadas por el Comité de Gestión de Seguridad de la Información.
54
![Page 55: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/55.jpg)
Determinar el Alcance del SGSI
• Se debe definir en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado)
55
![Page 56: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/56.jpg)
Determinar el Alcance del SGSI
• Definir los limites de la organización.
• Definir los limites de los sistemas de información.
• Definir el ámbito y limites físicos.
• Definir el alcance del SGSI.
• Cambios en el alcance.
• Extensión del ámbito de aplicación.
56
![Page 57: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/57.jpg)
Determinar el Alcance del SGSI
Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado
57
![Page 58: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/58.jpg)
Determinar la Declaración de Política de Seguridad de la Información y Objetivos
• Debe tener el marco general y los objetivos de seguridad de la información de la organización
• Debe explicar los requisitos de negocio, legales y contractuales en cuanto a seguridad
• Debe de estar alineada con la gestión de riesgo general, establecer criterios de evaluación de riesgo y ser aprobada por la Dirección.
• La política de seguridad es un documento muy general, una especie de "declaración e intenciones" de la Dirección, por lo que no pasará de dos o tres páginas.
58
![Page 59: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/59.jpg)
Tipos de Política
59
Política de Seguridad
Política de Seguridad de
la Información
Política del SGSI
Política sobre control de
acceso
Política sobre criptografía
Política de gestión de incidentes
POLITICA GENERALES DE ALTO NIVEL
POLITICA ALTO NIVEL X TEMAS ESPECIFICOS
POLITICA DETALLADAS
![Page 60: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/60.jpg)
Estructura de una Política
• Resumen
• Introducción
• Ámbito de aplicación
• Objetivos
• Principios
• Responsabilidades
• Resultados importantes
• Políticas relacionadas
• Definiciones
• Sanciones
60
![Page 61: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/61.jpg)
Determinar Criterios para la Evaluación y Aceptación de Riesgos
• Se debe definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable.
• Existen muchas metodologías de evaluación de riesgos aceptadas; la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia.
• ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cómo definirla.
61
![Page 62: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/62.jpg)
Algunas Metodologías para la Evaluación de Riesgos
• Magerit (España)
• Octave (EE.UU.)
• Cramm (Reino Unido)
• Microsoft (EE.UU.)
• Tra (Canada)
• Nist 800-30 (EE.UU.)
• Ebios (Francia)
• Mehari (Francia)
62
![Page 63: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/63.jpg)
Factores en la Selección de la Metodología
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del método
3. Posibilidad de herramientas de software
4. Documentación, formación, apoyo.
5. Facilidad de uso
6. Costo de utilización
7. Existencia de material de comparación (métricas, estudios, casos, etc.)
63
![Page 64: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/64.jpg)
FASE II Planificación
64
![Page 65: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/65.jpg)
• Realizar evaluación de Riesgos
• Conducir un análisis entre los riesgos identificados y las medidas correctivas existentes
• Desarrollar un plan de tratamiento de riesgos
• Desarrolla la declaración de Aplicabilidad
65
Desarrollar las actividades de planificación requeridas por la norma de manera metodológica y en concordancia con la política y objetivos del SGSI dentro del alcance del mismo.
![Page 66: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/66.jpg)
Realizar Evaluación de Riesgos Inventario de Activos
• Todos aquellos activos de información que tienen
algún valor para la organización y que quedan dentro del alcance del SGSI
• Se debe inventariar el nombre activo, tipo, responsable y ubicación como campos mínimos.
• Se debe realizar la dependencia de activos
66
![Page 67: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/67.jpg)
Realizar Evaluación de Riesgos
Inventario de Activos
67
ESCALA VALORACION
1 Muy Alto (MA)
2 Alto (A)
3 Medio (M)
4 Bajo (B)
5 Muy Bajo (MB)
![Page 68: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/68.jpg)
Realizar Evaluación de Riesgos Análisis de Riesgos
• Análisis de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.
68
![Page 69: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/69.jpg)
Realizar Evaluación de Riesgos Análisis de Riesgos
69
![Page 70: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/70.jpg)
Plan de Tratamiento de Riesgos
70
![Page 71: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/71.jpg)
Selección de Controles y SOA
• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido.
• Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
71
![Page 72: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/72.jpg)
Redacción de la Declaración de Aplicabilidad
72
![Page 73: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/73.jpg)
FASE III Despliegue
73
![Page 74: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/74.jpg)
• Elaborar el plan de trabajo priorizado
• Desarrollar documentos y registros necesarios
• Implementar los controles seleccionados
74
Desplegar las actividades de implementación del SGSI
![Page 75: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/75.jpg)
Plan de Trabajo del SGSI
• Un plan de trabajo es un instrumento de planificación.
• Estructura actividades, responsables, tiempos, recursos, generalmente se expresa por medio de un diagrama de gantt.
75
![Page 76: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/76.jpg)
Plan de Capacitación
1. Definir las necesidades de capacitación
2. Diseño y planificación de la capacitación
3. Provisión de la capacitación
4. Evaluación de los resultados de la capacitación
76
![Page 77: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/77.jpg)
Plan de Capacitación
77
![Page 78: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/78.jpg)
Plan de Capacitación
78
La gran diferencia entre la formación y la concientización es que la capacitación tiene por objeto proporcionar los conocimientos para permitir que la persona ejerza sus funciones mientras que el objetivo de concientizar es
centrar la atención en un interés individual o una serie de asuntos sobre la seguridad.
![Page 79: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/79.jpg)
Plan de Comunicación
79
1. Determinar qué queremos conseguir, cuáles son nuestros objetivos.
2. Decidir a quién vamos a dirigir nuestra comunicación.
3. Pensar cuál es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos (cuánto).
5. Seleccionar los medios apropiados y su frecuencia de utilización.
6. Ejecutar el plan de medios y medir su impacto.
![Page 80: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/80.jpg)
Plan de Comunicación Partes Interesadas
• Clientes
• Proveedores
• Empleados
• Comunidades
• Medios de Comunicación
• Inversores
80
El compromiso con las partes interesadas constituye una oportunidad para que una organización pueda conocer sus problemas e inquietudes; puede llevar a que el conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
![Page 81: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/81.jpg)
Controles de la ISO 17799 ahora 27002
Área 1: Política de seguridad. Área 2: Organización de la seguridad de la información. Área 3: Gestión de activos. Área 4: Seguridad relacionada con los recursos humanos. Área 10: Gestión de la continuidad del negocio .
Área 6: Gestión de comunicaciones y operaciones. Área 7: Control de accesos. Área 8: Adquisición, desarrollo y mantenimiento de sistemas. Área 9: Gestión de incidentes.
Área 5: Seguridad física y del entorno
Área 11: Conformidad
Seguridad Organizativa
Seguridad Lógica
Seguridad Física
Seguridad Legal
81
![Page 82: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/82.jpg)
FASE IV Revisión
82
![Page 83: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/83.jpg)
• Monitorear el desempeño del SGSI
• Fortalecer la gestión de incidentes
• Desarrollar documentos y registros necesarios
• Desarrollar las actividades para evidenciar la mejora continua
83
Realizar actividades de revisión del SGSI evidenciando el cumplimiento de los requisitos de la norma
![Page 84: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/84.jpg)
Monitoreo Determinar los Objetivos de la Medición
• La norma no indica lo que debe ser objeto de supervisión o medición
• Corresponde a la empresa determinar qué es lo que necesita ser controlado y medido
• Es una mejor práctica centrarse en la vigilancia y medición de las actividades que están vinculadas a los procesos críticos que permiten a la organización alcanzar sus metas y objetivos de seguridad de la información
• Demasiadas medidas pueden distorsionar el enfoque de una organización y desenfocar lo que es verdaderamente importante
84
![Page 85: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/85.jpg)
Monitoreo Objetivos de la Medición
Los objetivos de la medición en el marco de un sistema de gestión incluyen:
• Evaluación de la eficacia de los procesos y procedimientos implementados;
• Verificación de la medida en que los requisitos identificados de la norma se han cumplido.
• Facilitar la mejora del rendimiento;
• Aportar para la revisión de la gestión para facilitar la toma de decisiones y justificar las mejoras que necesita el sistema de gestión implementado.
85
![Page 86: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/86.jpg)
Monitoreo Tableros de Mando
86
![Page 87: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/87.jpg)
Gestión de Incidentes
1. Asegurarse de que los eventos de seguridad son detectados e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que podrían causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma más adecuada y eficaz.
4. Reducir el posible impacto de los incidentes sobre las operaciones de la organización.
5. Prevenir futuros incidentes de seguridad y reducir su probabilidad de ocurrencia.
6. Mejorar la seguridad de los controles de la organización. 87
![Page 88: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/88.jpg)
FASE V Consolidación
88
![Page 89: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/89.jpg)
• Auditar internamente el SGSI
• Implementar las acciones correctivas
• Implementar las acciones preventivas pertinentes
• Desarrollar, corregir y mejorar documentación nueva o existente
89
Auditar e implementar las mejoras y correcciones del SGSI a fin de cumplir con los requisitos de la norma
![Page 90: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/90.jpg)
Auditoria Interna
1. Crear el programa de auditoría interna
2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad
4. Planificación de las actividades
5. Asignar y administrar los recursos del programa de auditoría
6. Crear procedimientos de auditoría
7. Realizar actividades de auditoría
8. Seguimiento de no conformidades
90
![Page 91: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/91.jpg)
Tratamiento de Problemas y no Conformidades
• Definir un proceso para resolver problemas y no conformidades.
• Definir un procedimiento de acción correctiva.
• Definir un procedimiento de acción preventiva.
• Elaborar Planes de Acción.
91
![Page 92: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/92.jpg)
FASE VI Certificación
92
![Page 93: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/93.jpg)
Definiciones de la Certificación
• Organismo de Certificación: Terceros que realizan la evaluación de la conformidad de los sistemas de gestión.
• Certificación: Procedimiento en el cual un tercero garantiza por escrito que un producto, proceso o servicio es conforme a las condiciones indicadas
93
![Page 94: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/94.jpg)
Proceso de Certificación
1. Selección de la entidad certificadora.
2. Auditoria de Pre-evaluación.
3. Etapa 1 de la auditoria, se fija en el diseño del SGSI
4. Etapa 2 de la auditoria, se lleva a cabo en la empresa.
5. Auditoria de seguimiento, si tuviera no conformidades
6. Confirmación de la inscripción.
94
![Page 95: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/95.jpg)
Preguntas
95
![Page 96: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/96.jpg)
Contactos
96
Maurice Frayssinet Delgado [email protected] Rpm #963-985-125 6346000 anexo 116 2197000 anexo 5116
Call Center [email protected] 6346000 anexo 109/106 2197000 anexo 5109/5106
Soporte SGSI: Correo Electrónico: Teléfonos:
Contacto: Correo Electrónico: Teléfonos:
![Page 97: Taller de Implementación de la norma ISO 27001 · Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe Oficina Nacional de …](https://reader031.vdocuments.net/reader031/viewer/2022021704/5b340e927f8b9a436d8b9cd3/html5/thumbnails/97.jpg)
ONGEI Oficina Nacional de Gobierno Electrónico e Informática
www.ongei.gob.pe