SGSI y MAS

Implantación en el M.H.

¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?

La seguridad de la información es preservar su:

Información:

Sistemas automatizados:Soportes Magnéticos

Sistemas manualesSoportes físicos (papel)

Sistema de Gestión de Seguridad de la Información (SGSI)

Comprende la Política, el Manual, la Estructura Organizativa, los Procesos y los recursos necesarios para implantar la gestión de la Seguridad de la Información

Jerarquía Documental

NTCI (Corte de Cuentas)NTCIE (Corte de Cuentas – MH)

MAPO (Capítulo 7) SGSI el cual contiene:

Manual de Seguridad (MAS) Procedimientos Normativos (PRSN) Procedimientos Operativos (PRSO) Fichas de Proceso Otros documentos (Metodologías, guías, etc.)

Codificación Utilizada en algunos documentos SGSI: Sistema de Gestión de Seguridad de la

Información MAS: Manual de Seguridad de la Información PRSN: Procedimiento Normativo de Seguridad PRSO: Procedimiento Operativo de Seguridad GTS: Guías de Trabajo de Seguridad FDPS: Fichas de Proceso de Seguridad

Adopción de Estándares Internacionales ISO/IEC 27001:2005

“Especificaciones para los Sistemas de Gestión de Seguridad de la Información”

ISO/IEC 17799:2005

“Código de Buenas Practicas para la Gestión de la Seguridad de la Información”

CICLO DE DESARROLLO, MANTENIMIENTO Y MEJORA DEL SGSI

Rol de la DINAFI•Definir el alcance del SGSI•Definir la política del SGSI•Identificar los riesgos•Gestionar los riesgos•Seleccionar los controles•Preparar la relación de controles

Rol de la DINAFI y DIRECCIONES•Definir plan de gestión de riesgos•Implantar plan de gestión de riesgos•Implantar controles seleccionados

Rol de la UGC y DINAFI•Desarrollar procedimientos de monitoreo•Revisar regularmente el SGSI•Revisar los niveles de riesgo•Auditar internamente el SGSI

->

Rol de las Unidades Organizativas del MH •Implantar las mejoras•Adoptar acciones preventivas y correctivas•Comunicar acciones y resultados•Verificar que las mejoras cumplen su objetivo

Establecer el SGSI

Implantar y operar el SGSI

Mantener y mejorar el SGSI

Monitorear y revisar el SGSI

planificar

verificar

haceractuar

Manual de Seguridad de la Información del MH Secciones 1 - 8: Requisitos del SGSI

según estándar ISO/IEC 27001:2005 Sección 9: Controles seleccionados del

estándar ISO/IEC 17799:2005 Sección 10: Sanciones Sección 11: Correspondencia con Calidad

Sección 1: Introducción y Alcance del SGSI Introducción Objetivos Base legal Alcance Proceso de Seguridad

Sección 2

Referencias

Sección 3

Términos y Definiciones

Sección 4: SGSI

Requisitos Generales Establecimiento y Gestión del SGSI

(FASES) Requisitos de la Documentación (Control

de Documentos y Registros)

Sección 5: Responsabilidades

Compromiso de la Dirección Titulares DINAFI Directores Encargados de Seguridad Propietarios, Custodios y Usuarios

Gestión de los Recursos Provisión de Recursos Formación, Concientización y Competencia

Sección 6: Auditorias del SGSI

Se realizarán para todo el SGSI por la Unidad de Gestión de la Calidad de SEDE

Sección 7: Revisión del SGSI

Información para la revisión:Resultado de auditorias y monitoreoEstado de las acciones preventivas y

correctivas Resultados de la revisión

Mejorar los procesosActualización del Análisis de RiesgosLas necesidades de recursos

Sección 8: Mejora Continua

Acciones CorrectivasEliminar las causas de las no conformidades

detectadas y evitar su repetición. Acciones Preventivas

Identificar y eliminar las causas de No conformidades Potenciales detectadas y prevenir que ocurran.

Sección 9: Lineamientos

1. Organización de la Seguridad de la Información2. Gestión de Activos3. Seguridad de los Recursos Humanos4. Seguridad Física y Ambiental5. Gestión de Comunicaciones y Operaciones6. Control de Accesos7. Adquisición, Desarrollo y Mantenimiento de Sistemas de

Información8. Gestión de Incidentes de Seguridad de la Información9. Gestión de Continuidad del Negocio10. Conformidad

9.1 Organización de la Seguridad

Controles para facilitar la gestión de la seguridad de la información en el seno de la Institución.

Recursos y funciones definidas. Trato con terceros

9.2 Gestión de Activos

Controles para catalogar los activos y protegerlos eficazmente.

Identificar, clasificar y marcar la información¿Qué es lo que tengo?¿Es confidencial o no?¿Se maneja adecuadamente?

9.3 Seguridad de los Recursos Humanos

Controles para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los activos o equipos.

Capacitación y conocimiento sobre seguridad.

9.4 Seguridad Física y Ambiental

Controles para impedir la violación, el deterioro y la perturbación de las instalaciones y datos¿Está mi información o los equipos protegidos

contra accesos no autorizados y desastres (fuego, inundación, etc)

¿Poseo mantenimientos correctivos o preventivos de mis equipos?

9.5 Gestión de Comunicaciones y Operaciones

Controles para garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información

9.6 Control de Accesos

La autenticación, autorización y el registro del acceso a la información.¿Quién es?¿Tiene los privilegios para el acceso?¿Qué hizo?

9.7 Adquisición, Desarrollo y Mantenimiento de Sistemas

Controles para garantizar que la seguridad esté incorporada a los sistemas de información

9.8 Gestión de Incidentes de Seguridad Controles para gestionar las incidencias

que afectan a la seguridad de la información.¿Qué sucedió?¿Cuántas veces ha sucedido?¿Fue grave o no?¿Se toman las acciones para evitar que

suceda nuevamente?

9.9 Gestión de Continuidad del Negocio

Controles para reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra averías y siniestros mayores.

9.10 Conformidad

Controles para prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y de las exigencias de seguridad

Acciones requeridas por dirección a mediano - largo plazo Inventario y gestión de activos de los sistemas

de información Análisis de riesgo Plan de Seguridad de la Información Plan de contingencia y continuidad Clasificación de la información Elaboración de Procedimientos Operativos Monitoreo

Acciones requeridas por dirección a corto plazo

Se requiere que los encargados de Seguridad divulguen el SGSI y el MAS al interior de cada Dirección, presentando a más tardar una copia de los formularios de inducción completados, el 1 de Noviembre.

Documentos del SGSI

Disponibles a través de la Intranet del M.H. en http://mhserver o http://webadmin/sgsi

Área de Seguridad de la Información Salvador E. Monterrosa Ext. 3144, email:

smonterrosa@mh.gob.sv David Edgardo Sandoval Ext. 3167, email:

dsandoval@mh.gob.sv Carlos Eduardo Delgado Ext. 3167, email:

cdelgado@mh.gob.sv

GRACIAS POR SU ATENCIÓN