1.
SEGURIDAD DE LA INFORMACIÓN Implantación en el Ministerio de Hacienda

2.
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN? La seguridad de la información es preservar su:

3.
BASE LEGAL <ul><li>Artículo 39 del decreto No 4 “Normas Técnicas de Control Interno” de la Corte de Cuentas </li></ul><ul><li>Decreto No 29 “Reglamento de Normas Técnicas de Control Interno Específicas del Ministerio de Hacienda” de la Corte de Cuentas. </li></ul><ul><li>Capítulo 7 del “Manual de Políticas de Control Interno del Ministerio de Hacienda” </li></ul>

4.
Art. 36 Definición de Políticas y Procedimientos de los Controles Generales de los Sistemas de Información (NTCIE del Ministerio de Hacienda) <ul><li>Los Titulares, Directores y demás jefaturas, deben establecer las políticas y procedimientos sobre los controles generales, comunes a todos los sistemas de información, como mínimo relativas a la Seguridad de la Información , Planes de Contingencia, Desarrollo y Mantenimiento de Aplicaciones, Huellas de Auditoría, Documentación, Control y Licenciamiento de Software….. </li></ul>

5.
Sistema de Gestión de Seguridad de la Información (SGSI) <ul><li>Comprende la Política, el Manual, la Estructura Organizativa, los Procesos y los recursos necesarios para implantar la gestión de la Seguridad de la Información </li></ul>

6.
Sistema de Gestión de Seguridad de la Información <ul><li>A través del Acuerdo Ejecutivo No 36, se delega a la DINAFI la Coordinación del SGSI (Se crea el Área de Seguridad de la Información). </li></ul><ul><li>A través del Acuerdo Ejecutivo No 291 se delega a la DGEA las Auditorias Internas del SGSI (UGC de SEDE). </li></ul>

7.
Soporte del SGSI <ul><li>Además de ser un requisito legal; uno de puntos más importantes de la Seguridad y el SGSI, es que se cuenta con el apoyo de los Titulares. </li></ul><ul><li>La Seguridad se convierte en un proceso igual a la Calidad. </li></ul>

8.
Ventajas de implementar un SGSI <ul><li>Cumplimiento de la legislación </li></ul><ul><li>Conocer los riesgos y poder gestionarlos </li></ul><ul><li>Credibilidad, confianza y fiabilidad </li></ul><ul><li>Compromiso </li></ul><ul><li>Basado en Procesos </li></ul><ul><li>Adopción de las Mejores Prácticas </li></ul><ul><li>Preservar la información </li></ul>

9.
Adopción de Estándares Internacionales <ul><li>ISO/IEC 27001:2005 </li></ul><ul><li>“ Especificaciones para los Sistemas de Gestión de Seguridad de la Información” </li></ul><ul><li>ISO/IEC 17799:2005 </li></ul><ul><li>“ Código de Buenas Practicas para la Gestión de la Seguridad de la Información” </li></ul>

10.
CICLO DE DESARROLLO, MANTENIMIENTO Y MEJORA DEL SGSI <ul><li>Rol de la DINAFI </li></ul><ul><li>Definir el alcance del SGSI </li></ul><ul><li>Definir la política del SGSI </li></ul><ul><li>Identificar los riesgos </li></ul><ul><li>Gestionar los riesgos </li></ul><ul><li>Seleccionar los controles </li></ul><ul><li>Preparar la relación de controles </li></ul><ul><li>Rol de la DINAFI y DIRECCIONES </li></ul><ul><li>Definir plan de gestión de riesgos </li></ul><ul><li>Implantar plan de gestión de riesgos </li></ul><ul><li>Implantar controles seleccionados </li></ul><ul><li>Rol de la UGC y DINAFI </li></ul><ul><li>Desarrollar procedimientos de monitoreo </li></ul><ul><li>Revisar regularmente el SGSI </li></ul><ul><li>Revisar los niveles de riesgo </li></ul><ul><li>Auditar internamente el SGSI </li></ul><ul><li>-> </li></ul><ul><li>Rol de las Unidades Organizativas del MH </li></ul><ul><li>Implantar las mejoras </li></ul><ul><li>Adoptar acciones preventivas y correctivas </li></ul><ul><li>Comunicar acciones y resultados </li></ul><ul><li>Verificar que las mejoras cumplen su objetivo </li></ul>Establecer el SGSI Implantar y operar el SGSI Mantener y mejorar el SGSI Monitorear y revisar el SGSI planificar verificar hacer actuar

11.
Estado Actual del SGSI <ul><li>Fase de Establecimiento </li></ul><ul><li>Fase de Implantación </li></ul><ul><li>El SGSI es certificable por organismos como AENOR al igual que el SGC. </li></ul>

12.
Proyección del SGSI <ul><li>2006 – Elaboración de la base legal y documentos de soporte del SGSI. </li></ul><ul><li>2007 </li></ul><ul><ul><li>Implantación en la DINAFI y primer auditoria en la misma. </li></ul></ul><ul><ul><li>Avanzar y apoyar en la implantación en las otras Direcciones y Unidades Organizativas </li></ul></ul><ul><li>2008 Auditorias a las demás Direcciones </li></ul><ul><li>2009 Posible Pre Auditoría de Certificación </li></ul>

13.
Estructura Documental del SGSI <ul><li>Política de Seguridad (MAPO) </li></ul><ul><li>Manual de Seguridad (MAS) </li></ul><ul><li>Procedimientos Normativos (PRSN) </li></ul><ul><li>Procedimientos Operativos (PRSO) </li></ul><ul><li>Fichas de Proceso </li></ul><ul><li>Otros </li></ul>

14.
Diagrama de documentos SGSI Buenas Prácticas ISO 17799 Análisis de Riesgos Requisitos Legales Manual de Seguridad ISO 27001 Política de Seguridad Procedimientos Normativos Procedimientos Operativos Planes de Contingencia Plan de Seguridad Aceptación del Riesgo Procesos

15.
Manual de Seguridad <ul><li>Contiene el desarrollo y las especificaciones de cómo cumplir los requisitos del SGSI (según la ISO 27001) </li></ul><ul><li>Contiene los controles (lineamientos) que se adoptarán para la reducción de los riesgos más comunes en la Institución </li></ul>

16.
Recursos Necesarios <ul><li>Área de Seguridad de la Información </li></ul><ul><li>Encargados de Seguridad de la Información (Por cada Dependencia) </li></ul><ul><li>Contratos y soporte por especialistas de los productos y soluciones tecnológicas con que cuenta el M.H. </li></ul><ul><li>Las responsabilidades se encuentran definidas en el Manual de Seguridad </li></ul>

17.
ESTRUCTURA FUNCIONAL

18.
Lineamientos de Seguridad <ul><li>Organización de la Seguridad de la Información </li></ul><ul><li>Gestión de Activos </li></ul><ul><li>Seguridad de los Recursos Humanos </li></ul><ul><li>Seguridad Física y Ambiental </li></ul><ul><li>Gestión de Comunicaciones y Operaciones </li></ul><ul><li>Control de Accesos </li></ul><ul><li>Adquisición, Desarrollo y Mantenimiento de Sistemas de Información </li></ul><ul><li>Gestión de Incidentes de Seguridad de la Información </li></ul><ul><li>Gestión de Continuidad del Negocio </li></ul><ul><li>Conformidad </li></ul>

19.
SGSI <ul><li>Estará disponible a través del “Portal Corporativo Intranet” del Ministerio de Hacienda </li></ul><ul><li>La metodología en la elaboración, revisión y publicación de la documentación será igual a la del SGC. </li></ul><ul><li>Se cuenta con Sistema de Mesa de Ayuda para la comunicación entre el Área de Seguridad de la Información, Proveedores y las Dependencias </li></ul>

20.
Colaboración Solicitada: <ul><li>Designar al o a los encargados de Seguridad de La Información por Dirección. Remitir a más tardar el 20 de Septiembre. </li></ul><ul><li>Se realizará una presentación detallada del SGSI y MAS para los Encargados de Seguridad seleccionados, el día 22 de Septiembre. </li></ul><ul><li>Se requiere que los encargados de Seguridad divulguen el SGSI al interior de cada Dirección, presentando a más tardar los formularios de inducción completados, el 1 de Noviembre. </li></ul>

21.
GRACIAS POR SU ATENCIÓN