Implementación de Sistema de Gestión

de Seguridad de la Información (SGSI)

20 de Septiembre 2016
¿Qué es un SGSI?
Modelo de gestión que sirve para mejorar de forma continua la calidad
de la seguridad de la información de la entidad a través de un proceso
sistemático, documentado y conocido por toda la organización.

La información es un activo esencial y es decisiva para la

viabilidad de una organización. Adopta diferentes formas,
impresa, escrita en papel, digital, transmitida por correo,
mostrada en videos o hablada en conversaciones.
Necesidad de un SGSI en el IGP
Carencia de un control de buen uso de los activos de información y de la
seguridad que éste activo requiere tener.

La información debe tratarse como un activo importante y por ende debe
estar protegida.

Falta de respaldo de información ni políticas formales de protección y

acceso de información.

Riesgo de pérdida y adulteración de información, robo de información

confidencial, retrasos en procesos, recursos y tiempo invertidos en
reparaciones, entre otros.
Aspectos Legales
Cumplimiento de la Resolución Ministerial N °004 – 2016 – PCM
Cumplimiento de la NTP ISO/IEC 27001:2014

Cumplimiento de
NTP ISO/IEC
27001:2014

Implementación
de SGSI
Mejora continua
de calidad de la
Seguridad de la
Información
Dominio NTP ISO/IEC 27001

Ejemplos en la Aplicación de la Norma :

• Protección de los datos y la privacidad de la información
personal
• Protección de los registros de la información.
• Derechos de la propiedad intelectual
• Documentación de la política de seguridad de la información
• Asignación de responsabilidades
• Concientización, formación y capacitación en seguridad de la
información
• Registro y Baja de personal
• Gestión de incidentes de seguridad
• Política en el uso de equipos móviles
 Compromiso del equipo de
trabajo
Existe un compromiso por parte del Oficial y Comité
de seguridad de la información establecido en la RP
N°52-IGP/2016, lo cual conlleva a planificar y ejecutar
adecuadamente la implementación de un SGSI en la
institución, cumpliendo el plazo establecido.

Oficial de Comité de
Seguridad de Seguridad
la de la
Información Información

Equipo de
trabajo OTIDG
Comité de Gestión de Seguridad de la Información (CGSI)
RP N°52-IGP/2016
• El Presidente Ejecutivo, quien presidirá el comité, siendo sustituido en
su ausencia por el Secretario General
• El Jefe de la Oficina de Administración
• El Jefe de la Oficina de Planeamiento y Presupuesto
• La Jefe de la Oficina de Tecnologías de la Información y Datos
Geofísicos, quien desempeña la función de Oficial de Seguridad
• El Jefe de la Oficina de Asesoría Jurídica
Comité de Gestión de Seguridad de la Información (CGSI)
Funciones principales
• Planear, coordinar y administrar los procesos de SI en la entidad.
• Promover la creación y actualización de las políticas de SI.
• Respaldar, apoyar e incentivar el proceso de implementación de un
SGSI formal en la entidad.
• Promover y disponer la difusión y apoyo, a la SI dentro del IGP.
• Proponer y coordinar la realización de un análisis de riesgos formal en
Seguridad de Información que abarque toda la entidad.
¿Que garantizará un SGSI?

Confidencialidad • Implantación de medidas de

seguridad
• Reducción de riesgo de
pérdidas de información
• Continuidad de operar
Beneficios normalmente en caso de
de un SGSI problemas de Seguridad de
SGSI la Información
• Reducción de costos
• Mejoramiento de procesos
• Cumplimiento de la
normativa vigente
Integridad Disponibilidad
Fases de la Implementación
ETAPA I ETAPA II ETAPA III ETAPA IV
ORGANIZACIÓN PLANIFICACIÓN IMPLEMENTACIÓN EVALUACIÓN

Requisitos para la
Definición de Roles y Evaluación de
implementación
Objetivos responsabili- Desempeño del
de un SGSI
dades SGSI
Definición del
Contexto actual
alcance y de
de la Organización
riesgos
Aprobación,
Creación de
Verificación de la correcciones y
Planificación políticas de SI.
SI en la institución mejoras

Agosto- Octubre- Enero-

Marzo-Abril
Setiembre Diciembre Febrero
 Avances a la fecha

Envío de Cronograma para la implementación del SGSI en el IGP a la

ONGEI – PCM (dentro del plazo establecido según normativa).

Definición general de objetivos del SGSI

Desarrollo de Cronograma de trabajo (Gantt)

Desarrollo de encuesta de “Situación Actual de Seguridad de la

Información en el IGP” como parte de la “Recopilación de
Información” de la fase de Organización.
 Avance a la fecha

Cronograma para la implementación del SGSI en el IGP Encuesta de Seguridad de la Información

Oficio a la ONGEI - PCM (31/03/2016) efectuada por Personal de TI (08/09/2016)
Resultados de la Encuesta ( Personal TI)

Permite recopilar la
información que tiene el
personal sobre Seguridad
de la Información,
pudiendo clasificarla por
unidad orgánica a la cual
pertenecen.
Estos resultados
pueden presentarse en
forma gráfica o de tablas
Inventario de Activos de Información
Ficha Ejemplo
Clasificacion de
Identificador Nombre Descripción Responsable Custodio Tipo Ubicación Crítico
Informacion
Documento de pago al
Jefe de la Unidad de Mayorazgo - Unidad de
ID_0001 Cheques de pago personal que trabaja con Asistente de RRHH Documentos de Papel PUBLICA Sí
Recursos Humanos RRHH
la modalidad de locador

Contratos de trabajo por

Contratos de Personal Jefe de la Unidad de Mayorazgo - Unidad de
ID_0002 un periodo determinado Asistente de RRHH Documentos de Papel PUBLICA SI
CAS Recursos Humanos RRHH
al personal CAS
Sistema global de
interconexion mundial
ID_0003 Servicio de Internet Jefe de OTIDG Resonsable de UOTI Servicio Proveedor - OPTICAL PUBLICA Sí
hacia otros sistemas de
informacion
Sistema que consiste en Responsible de
ID_0004 Servicio de energia la alimentacion de Jefe de Administracion Sistemas Informaticos - Servicio Proveedor - Edelnor PUBLICA SI
energia electrica para Administrativos
Información obtenida de
los diferentes equipos e
instrumentos que
Servidor de Banco de
ID_0005 Datos Sísmicos pertenecen al IGP que Jefe de OTIDG Responsable del BNDG Digital RESTRINGIDA SI
Datos
es proporcionada por el
área de Redes
Geofísicas
Red privada solo para el
acceso del personal de
Servidor Intranet -
ID_0006 INTRANET la Institucion para el Jefe de OTIDG Responsible de UOTI Sistema INTERNA SI
CAMACHO
acceso de los servicios
informaticos

*
Algunas técnicas a utilizar en la
implementación del SGSI
• Encuesta sobre situación actual de seguridad de la información
• FODA orientado a SI, entre otros
Organización • Inventario de Activos de información

• Matriz de riesgos – Evaluación de Riesgos

• Project charter, matriz de responsabilidad, entre otros.
Planificación

• Uso de estándares como referencia para creación de Políticas de SGSI

Implementación • Capacitaciones a personal

• Desarrollo de pruebas de evaluación, encuestas

• Reportes y medición de ratios
Evaluación