Inteligencia de Negocios

y Gestin del Conocimiento

Sistema de Gestin de la Seguridad de la

Informacin & Seguridad Informtica

Nataly Bravo Lpez

 SEGURIDAD INFORMATICA
proteger las infraestructuras
Se centra en
de las Tecnologas de la Informacin
y comunicaciones que soportan nuestro
negocio (Hardware y software).

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 SEGURIDAD
Se refiere a la proteccin de los Activos de Informacin

DE
LA
independientemente del lugar en que se localice: en medios digitales,
fsicos incluso en la memoria de las personas que la conocen.

INFORMACION
Presenta tres principios:
Confidencialidad,
Integridad y
Disponibilidad
de la informacin.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

Principios de Seguridad de la Informacin

Prevencin de divulgacin
Libre de modificaciones de informacin sin Informacin autorizada
no autorizadas autorizacin accesible oportunamente
Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA
 Organizacin Internacional de
Estandarizacin - ISO
Es el organismo encargado de promover el desarrollo de normas
internacionales de fabricacin (tanto de productos como de servicios),
comercio y comunicacin para todas las ramas industriales a excepcin de la
elctrica y la electrnica. Su funcin principal es la de buscar la estandarizacin
de normas de productos y seguridad para las empresas u organizaciones
(pblicas o privadas) a nivel internacional.
La ISO esta compuesto por alrededor de 164 pases, sobre la base de un
miembro por pas, con una Secretara Central en Ginebra (Suiza) que coordina
el sistema. La Organizacin Internacional de Normalizacin (ISO), con sede en
Ginebra, est compuesta por delegaciones gubernamentales y no
gubernamentales subdivididos en una serie de subcomits encargados de
desarrollar las guas que contribuirn al mejoramiento.
Mas informacin en la red www.iso.ch

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Qu es la ISO 27001?
Es una normatividad internacional de Seguridad de la Informacin.
Define los requisitos del Sistema de Gestin de Seguridad de la
Informacin.
Esta norma es certificable en las empresas o instituciones.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Secuencia de Certificacin
Auditora de Certificacin satisfactoria para que el Auditor Lder
recomiende la emisin de la recomendacin de certificacin al Ente
Certificador; esperando no encontrar no conformidades, con una no
conformidad menor u observacin, puede recomendarse la
certificacin.
El Certificado es vlido por 03 aos, desde la fecha de su emisin, y
se dan 03 auditoras de seguimiento anual.
Al trmino de los 03 aos, debe realizarse una nueva certificacin; la
cual exige un mejor cumplimiento de los controles de seguridad de la
informacin.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Ventajas de la ISO 27001
Asesoramiento en los procesos del negocio.
Parte integral de los procesos del negocio.
Conocimiento y control de riesgos / riesgos residuales.
Prioriza la seguridad de las operaciones del negocio: Gestin de la
continuidad del negocio.
Las estructuras y procesos de la informacin sern documentados.
Incremento en la concienciacin de los empleados.
Ventaja competitiva a travs de la certificacin.
Norma reconocida a nivel mundial.
Mejorar la imagen institucional.
Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA
 Antecedentes
Norma internacional contiene
Vocabulario
27000 conceptos de trminos usados en la Normas para empresas
Vocabulario familia de la ISO 27001. certificadoras.

27001:2013 Norma internacional contiene los 27006

Requerimientos
requerimientos para certificar un Requisitos para la
Generales Requerimientos acreditacin
SGSI.
Certificable

Guas Generales
27002:2013 Norma internacional contiene 27007
Buenas prcticas conjunto de controles de la ISO Gua de auditora
27001.

27003 Norma internacional contiene

27033
Gua de directrices para implementar la ISO
27001. Seguridad en la red
Implementacin
Normas internacionales que
27004 27005 contienen directrices para desarrollar 31000
Mtricas Gestin del riesgo indicadores y gestionar los riesgos de Gestin del riesgo
seguridad de informacin.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Historia de la ISO 27001

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Integracin a un Sistema de Gestin

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Temas Relevantes
Aplicable a cualquier organizacin y alcance.
Partes Interesadas con sus requisitos, como parte del
alcance del SGSI.
Las polticas y objetivos del SGSI deben alinearse a los del
negocio.
Rol a asumir Propietario del Riesgo

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Temas Relevantes
Identificacin del riesgo asociado a la prdida de
confidencialidad, integridad y disponibilidad de la
informacin.
El nivel del riesgo est en base a la probabilidad de
ocurrencia del riesgo y las consecuencias generadas
(impacto) si el riesgo se materializa.
Informacin documentada, es el trmino que permite
recoger evidencias de los hallazgos.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la NTP ISO/IEC
27001:2014
Clusulas

0. Introduccin

1. Objeto y campo de aplicacin

2. Referencias normativas

3. Trminos y definiciones

4. Contexto de la organizacin

5. Liderazgo

6. Planificacin

7. Soporte

8. Operacin

9. Evaluacin del desempeo

10. Mejoras

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 0. Introduccin
1. Alcance y campo de aplicacin
2. Referencias normativas
3. Trminos y definiciones.

4. Contexto de la organizacin.
5. Liderazgo.
6. Planificacin.
7. Apoyo.
8. Operacin.
9. Evaluacin de desempeo.
10. Mejora.

A (normativo). Objetivos de control de referencia y

controles.
B. (Informativo) Bibliografa.
C. (Informativo) Justificacin de los cambios editoriales.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Enfoque por proceso en la ISO 27001
Este Estndar Internacional promueve la adopcin de un enfoque del proceso para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una
organizacin.
Una organizacin necesita identificar y manejar muchas actividades para poder funcionar de
manera efectiva. Cualquier actividad que usa recursos y es manejada para permitir la
transformacin de Insumos en outputs, se puede considerar un proceso. Con frecuencia el
output de un proceso forma directamente el Insumo del siguiente proceso.

Un enfoque del proceso para la gestin de la

seguridad de la informacin presentado en este
Estndar Internacional fomenta que sus usuarios
enfaticen la importancia de:
a) Entender los requerimientos de seguridad
de la informacin de una organizacin y la
necesidad de establecer una poltica y
objetivos para la seguridad de la
informacin;

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Enfoque por proceso en la ISO 27001
de la informacin;
b) Implementar y operar controles para manejar los riesgos de la seguridad de la
informacin;
c) Monitorear y revisar el desempeo y la efectividad del SGSI; y
d) Mejoramiento continuo en base a la medicin del objetivo.

Este Estndar Internacional adopta el modelo del

proceso Planear Hacer Verificar -Actuar
(PDCA), el cual se puede aplicar a todos los procesos
SGSI.
La figura siguiente, muestra cmo un SGSI toma como
Insumo los requerimientos y expectativas de la
seguridad de la informacin de las partes interesadas
y a travs de las acciones y procesos necesarios
produce resultados de seguridad de la
informacin que satisfacen aquellos
requerimientos y expectativas.
Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA
 Enfoque por proceso en la ISO 27001

Partes
Partes
Interesadas
Interesadas
Planear

Hacer Actuar

Requerimientos
Seguridad de
y expectativas Verificar informacin
de la seguridad
gestionada
de informacin

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la norma ISO 27001:2013

Contexto de la
Organizacin

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Planificar e Implementar

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la Norma

Definiciones

4. CONTEXTO DE LA ORGANIZACIN

4.1 Comprender la organizacin y su contexto

4.2 Comprender las necesidades y expectativas de las partes

interesadas
4.3 Determinar el alcance del sistema de gestin de seguridad de
la informacin.
4.4 Sistema de gestin de seguridad de la informacin.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la Norma

5. LIDERAZGO

5.1 Liderazgo y compromiso

5.2 Poltica

5.3 Roles, responsabilidades y autoridades organizacionales

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la Norma

6. PLANIFICACIN

6.1 Acciones para tratar los riesgos y las oportunidades

6.1.1 Generalidades
6.1.2 Valoracin del riesgo de seguridad de la informacin
6.1.3 Tratamiento de riesgos de seguridad de la informacin

6.2 Objetivos de seguridad de la informacin y planificacin para

conseguirlos.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la Norma
7. SOPORTE

7.1 Recursos

7.2 Competencia

7.3 Concientizacin
7.4 Comunicacin

7.5 Informacin documentada

7.5.1 Generalidades
7.5.2 Creacin y actualizacin
7.5.3 Informacin documentada

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la Norma
8. OPERACIN

8.1 Planificacin y control operacional

8.2 Evaluacin de riesgos de seguridad de la informacin

8.3 Tratamiento de riesgos de seguridad de la informacin

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la Norma
9. EVALUACIN DEL DESEMPEO

9.1 Monitoreo, medicin, anlisis y evaluacin.

9.2 Auditora interna.

9.3 Revisin por la gerencia.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la Norma
10. MEJORAS

10.1 No conformidades y accin correctiva.

10.2 Mejora continua.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Estructura de la Norma

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Trminos y Definiciones

1 Activo
Objeto que tenga valor para la organizacin
2 Disponibilidad
La propiedad de estar disponible y utilizable cuando lo requiera una entidad autorizada.
3 Confidencialidad
La propiedad que esa informacin este disponible y no sea divulgada a personas, entidades o
procesos no-autorizados.
4 Seguridad de Informacin
Preservacin de la confidencialidad, integridad y disponibilidad de la informacin.
5 Evento de seguridad de la informacin
Una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible
violacin de la poltica de seguridad de la informacin o falla en las salvaguardas, o una
situacin previamente desconocida que puede ser relevante para la seguridad.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Trminos y Definiciones
6 Incidente de seguridad de la informacin
Un solo o una serie de eventos de seguridad de la informacin no deseados o inesperados que
tienen una significativa probabilidad de comprometer las operaciones comerciales y amenazan la
seguridad de la informacin.
7 Sistema de gestin de seguridad de la informacin SGSI
Esa parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin.
NOTA: El sistema gerencial incluye la estructura organizacional, polticas, actividades de planeacin,
responsabilidades, practicas, procedimientos, procesos y recursos

8 Integridad
La propiedad de salvaguardar la exactitud e integridad de
los activos.

9 Riesgo residual
El riesgo remanente despus del tratamiento del riesgo.
10 Aceptacin de riesgo
Decisin de aceptar el riesgo.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Trminos y Definiciones

11 Anlisis de riesgo
Uso sistemtico de la informacin
para identificar fuentes y para estimar el riesgo.
12 Valuacin del riesgo
Proceso general de anlisis y evaluacin del riesgo
13 Evaluacin del riesgo
Proceso de comparar el riesgo estimado con el
criterio de riesgo dado para determinar la
Importancia del riesgo.
14 Gestin del riesgo
Actividades coordinadas para dirigir y controlar una organizacin con relacin al riesgo.
15 Tratamiento del riesgo
Proceso de tratamiento de la seleccin e implementacin de medidas para modificar el riesgo.
NOTA: En este Estndar Internacional el termino control se utiliza como sinnimo de medida.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Trminos y Definiciones
16 Enunciado de aplicabilidad
enunciado documentado que describe los objetivos de control y los controles que son
relevantes y aplicables al SGSI de la organizacin.

NOTA: Los objetivos de control

y controles se basan en los
resultados y conclusiones de
los procesos de tasacin del
riesgo y los procesos de
tratamiento del riesgo, los
requerimientos legales o
reguladores, las obligaciones
contractuales y los
requerimientos comerciales de
la organizacin para la
seguridad de la informacin.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 Controles de la ISO 27002:2013

.
.
.
114 controles

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 POLTICAS DE SEGURIDAD DE LA INFORMACIN

Poltica de general de seguridad

Proporcionar las directrices para garantizar razonablemente
la seguridad de la informacin y mejorar la calidad y
disponibilidad de los servicios que RENIEC ofrece a sus
clientes internos y externo

Cmo apoyo a su aplicacin y cumplimiento?

Leer y entender Usar Internet, Correo, Identificando y

las polticas de Computador para alertando sobre
seguridad fines del RENIEC riesgos de seguridad

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 POLTICAS DE SEGURIDAD DE LA INFORMACIN
Poltica de control de acceso
- Controlar que el acceso a los datos, sistemas de
informacin, instalaciones de procesamiento y procesos
del RENIEC sea otorgado en funcin de las tareas y
responsabilidades de cada usuario.
- Definir las reglas de autorizacin y responsabilidades en
la creacin de nuevos accesos.

Cmo apoyo a su aplicacin y cumplimiento?

No compartir Reportar el uso inadecuado Coordinar con el

claves
de los sistemas Lder Usuario

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 POLTICAS DE SEGURIDAD DE LA INFORMACIN

Poltica de clasificacin y control de la informacin

Garantizar que los activos de informacin sean protegidos
y usados correctamente, en funcin al qu tan sensible
sea la informacin que est contenida en estos.

Comprende:
Clasificacin de la informacin
Inventario de informacin
Manejo de la informacin
Manejo y administracin del correo electrnico

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 POLTICAS DE SEGURIDAD DE LA INFORMACIN

Poltica de control de acceso

- Controlar que el acceso a los datos, sistemas de
informacin, instalaciones de procesamiento y procesos
del RENIEC sea otorgado en funcin de las tareas y
responsabilidades de cada usuario.
- Definir las reglas de autorizacin y responsabilidades en
la creacin de nuevos accesos.

Comprende:
Principio del Menor Privilegio Posible, asignando solo los accesos
necesario para el cumplimiento de las funciones del personal.
Requerimientos para el Control de Acceso
Responsabilidad de los usuarios
Control de acceso a red del RENIEC
Control de Acceso al Sistema Operativo
Control de Acceso a las Aplicaciones e Informacin
Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA
 POLTICAS DE SEGURIDAD DE LA INFORMACIN

Poltica de clasificacin y control de la informacin

Garantizar que los activos de informacin sean protegidos
y usados correctamente, en funcin al qu tan sensible
sea la informacin que est contenida en estos.

Cmo apoyo a su aplicacin y cumplimiento?

Clasificando la
informacin que
manejo.
Protegindola

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 POLTICAS DE SEGURIDAD DE LA INFORMACIN

Poltica de cumplimiento
Asegurar que el personal y proveedores de todas las
reas del RENIEC cumplan con las polticas y normas de
seguridad.

Comprende:
Proteccin de los registros del RENIEC, incluyendo la clasificacin de
los mismos (en registros contables, de bases de datos, de auditora,
etc.)
Cumplimiento de la polticas y normativa de seguridad
Evaluaciones peridicas para verificar el cumplimiento e impulsar
cambios correspondientes necesario.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 POLTICAS DE SEGURIDAD DE LA INFORMACIN

Poltica de seguridad para el Recurso Humano

- Asegurar que el personal tenga presente sus roles y
responsabilidades y considere los riesgos de seguridad
de la informacin.
- Definir el marco apropiado para el entrenamiento del
personal en los aspectos de seguridad relacionados con
su actividad

Comprende:
Seleccin del personal
Durante su permanencia
Entrenamiento y Educacin en Seguridad de la Informacin
A la desvinculacin.

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA

 POLTICAS DE SEGURIDAD DE LA INFORMACIN

Poltica de seguridad fsica y ambiental

Prevenir accesos no autorizados a ambientes fsicos del
RENIEC donde se almacene o procese informacin
sensible, a fin de evitar cualquier tipo de alteracin, dao,
prdidas o uso incorrecto de la informacin que soportan.

Comprende:
Definir reas seguras.
Controles de ingreso.
Seguridad de oficinas, despachos y recursos.
Proteccin contra amenazas ambientales.
Definir reas de despacho, carga y descarga.
Seguridad de los equipos.
Seguridad en el re-uso, eliminacin y eliminacin efectiva de
informacin de los dispositivos de almacenamiento.
Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA
 La Relacin con el fraude

Inteligencia de Negocios y Gestin del Conocimiento FACULTAD DE INGENIERA