Seminario Regional Tacna:

GOBIERNO ELECTRÓNICO EN EL MARCO DEL PROCESO DE DESCENTRALIZACIÓN Y MODERNIZACIÓN DE LA GESTIÓN DEL

ESTADO

Carlos A. Horna Vallejoschorna@pcm.gob.pe

ONGEI - PCM

Seguridad de la Información27 -Junio -2012

Que es Seguridad de la Información?

La información

Una causa potencial de un incidente no deseado, que puede resultar en daño para un sistema o una organización

Amenazas

Una causa potencial de un incidente no deseado, que puede resultar en daño para un sistema o una organización

Amenazas

Vulnerabilidad

Una debilidad de un activo o grupo de activos que pueden ser aprovechados por una o mas amenazas

Riesgos

Combinación de la probabilidad de un evento y de sus consecuencias, estos pueden ser positivos o negativos, pero se toman en cuenta los negativos para tomar medidas de mitigación.

Seguridad de la información

Preservación de tres características como son la confidencialidad, integridad y disponibilidad de la información.

Marco Normativo

RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM

Norma Técnica Peruana “NTP-ISO/ IEC 17799:2007

EDI. Tecnología de la Información. Código de buenas

prácticas para la gestión de la seguridad de la

información. 2a. Edición” en todas las entidades

integrantes del Sistema Nacional de Informática.

RESOLUCIÓN MINISTERIAL Nº 129-2012-PCM

Aprueban uso obligatorio de la Norma Técnica Peruana

“NTP-ISO/ IEC 27001:2008 EDI. Tecnología de la

Información. Sistema de Gestión de Seguridad de la

Información. Requisitos” las entidades integrantes del

Sistema Nacional de Informática

La familia ISO 27000

Seminario Regional Ancash: GOBIERNO ELECTRÓNICO EN EL MARCO DEL PROCESO DE DESCENTRALIZACIÓN Y MODERNIZACIÓN DE LA GESTIÓN DEL ESTADO

Chimbote 27 -10 -2011

El sistema de gestión

Estructura ISO/IEC 27001:2005 1. Alcance

2. Referencias Normativas

3. Términos y definiciones

4. Sistema de gestión de seguridad de la información

5. Responsabilidad de la gerencia

6. Auditoría interna del SGSI

7. Revisión gerencial del SGSI

8. Mejora del SGSI

4.2.1 Establecimiento del SGSI

4.2.2 Implementar y operar el SGSI

4.2.3 Monitorear y revisar el SGSI4.2.4 Mantener

y mejorar el SGSI

SGSISGSI

● Definir el alcance

● Definir la Política

● Definir el enfoque de evaluación de riesgos

● Gestionar los riesgos

● Seleccionar objetivos de control y controles

● Elaborar la declaración de aplicabilidad

Establecimiento del SGSI

Gestión de riesgos

Los controles

A.5 Política de seguridad

A.6 Organización de la seguridad de la información

A.7 Gestión de activos

A.8 Seguridad relacionada con el personal

A.9 Seguridad física y del entorno

A.10 Gestión de comunicaciones y operaciones

A.11 Control de acceso

A.12 Adquisición, desarrollo y mantenimiento de los sistemas de la información

A.13 Gestión de los incidentes de seguridad de la información

A.14 Gestión de la continuidad del negocio

A.15 Cumplimiento

El Anexo A

Los controles

Los controles definidos en el Anexo A, en su totalidad,

no necesariamente son de obligatorio cumplimiento,

sin embargo cualquier variación en la implementación

(exclusión, inclusión de controles nuevos o

modificados) debe ser sustentada.

La Implementación

Conclusiones

La administración pública debe velar por la seguridad de la información de los ciudadanos dentro del alcance definido por la institución de manera efectiva, eficiente, trazable y verificable.

El sistema de gestión de seguridad de la información definido en ISO/IEC 27001:2005 es el estandar de referencia mundial.

Importancia de las personas

Conocer sus roles y responsabilidad con la seguridad, las ventajas y beneficios.

• Las personas son factor clave en la implementación y éxito de las medidas de seguridad.

Gracias por su atenciónGracias por su atención

http://www.ongei.gob.pe