IESP VRHT

1. Taller de Implementación
de la norma ISO 27001
Ing. Maurice Frayssinet Delgado
mfrayssinet@pcm.gob.pe
www.ongei.gob.pe
Oficina Nacional de Gobierno Electrónico e Informática

2. Agenda
 Sección 1: Principios fundamentales de la Seguridad
de la Información
 Sección 2: Estándar y Marco Normativo
 Sección 3: Implementación de la Norma ISO 27001
2

3. Principios fundamentales de la
Seguridad de la Información
Sección 1
3

4. ¿Qué es Seguridad?
• El término seguridad proviene
de la palabra securitas del latín.
• Cotidianamente se puede referir
a la seguridad como la
reducción del riesgo o también
a la confianza en algo o alguien.
• Sin embargo, el término puede
tomar diversos sentidos según
el área o campo a la que haga
referencia.
4

5. Información y Activo
• Información: Datos significativos
• Activo: Cualquier bien que tiene valor para la
organización
5

6. Activo de Información
• Las organizaciones poseen información que deben
proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.
• Este tipo de información imprescindible para las
empresas es lo que se denomina activo de
información.
6

7. Tipos de Activos de
Información
• Servicios: Procesos de negocio de la organización
• Datos/Información: Que son manipulados dentro de la
organización, suelen ser el núcleo del sistema, los demás
activos les dan soporte.
• Aplicaciones (Software)
• Equipo Informático (Hardware)
• Personal
• Redes de Comunicación
• Soporte de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles
7

8. Documento - Registro
• Documento: Información y su medio de soporte
• Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeñadas
8

9. Seguridad de la Información
La seguridad de la información es el conjunto de
medidas preventivas y reactivas de
las organizaciones que permiten resguardar y proteger
la información buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de la
misma.
9
Nota: Por otra parte, también pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad

10. Seguridad de la Información
Abarca todo tipo de información
 Impresa o escrita a mano
 Grabada con asistencia técnica
 Transmitida por correo electrónico o electrónicamente
 Incluida en un sitio web
 Mostrada en videos corporativos
 Mencionada durante las conversaciones
 Etc.
10

11. Confidencialidad
• La confidencialidad es la propiedad que impide la
divulgación de información a personas o sistemas no
autorizados.
• A grandes rasgos, asegura el acceso a la información
únicamente a aquellas personas que cuenten con la
debida autorización.
11

12. Integridad
• Es la propiedad que busca mantener los datos libres
de modificaciones no autorizadas.
• La integridad es mantener con exactitud la
información tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.
12

13. Disponibilidad
• La disponibilidad es la característica, cualidad o
condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.
• La disponibilidad es el acceso a la información y a los
sistemas por personas autorizadas en el momento
que así lo requieran.
13

14. Análisis de Riesgos
Vulnerabilidad
• La debilidad de un activo o de un control que puede
ser explotada por una o más amenazas.
• Las vulnerabilidades pueden ser intrínsecas o
extrínsecas.
14

15. Análisis de Riesgos
Amenazas
• Una Amenaza es la posibilidad de ocurrencia de
cualquier tipo de evento o acción que puede
producir un daño (material o inmaterial) sobre
los Elementos de Información.
15

16. Análisis de Riesgos
Relación: Vulnerabilidad y Amenaza
16

17. Impacto
17
Cambio adverso importante en el nivel de los objetivos
de negocios logrados

18. Riesgo para la Seguridad de la
Información
• Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y por
lo tanto causará daño a la organización
18
Probabilidad
de
Ocurrencia
Consecuencia
(Impacto) Riesgo

19. El Riesgo en función del
Impacto y la Probabilidad
19
• zona 1 – riesgos muy probables
y de muy alto impacto
• zona 2 – franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
• zona 3 – riesgos improbables y
de bajo impacto
• zona 4 – riesgos improbables
pero de muy alto impacto

20. Objetivo de Control y Control
Objetivo de Control
• Declaración de describir lo que se quiere lograr como
resultado de los controles de aplicación
Control
• Métodos para gestionar a riesgo
• Incluye las políticas, procedimientos, directrices y
prácticas o estructuras organizativas
• Sinónimo: medida, contra medida, dispositivo de
seguridad
20

21. Tipos de Controles
Control preventivo
 Desalentar o evitar la aparición de problemas
 Ejemplos:
• Publicación de la política de seguridad de la información.
• Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
• Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la información.
• Contratar sólo personal calificado.
21

22. Tipos de Controles
Control de investigación
 Buscar e identificar anomalías
 Ejemplos:
• Controles en trabajos de producción.
• Control de ecos en las telecomunicaciones.
• Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
• Verificación de los dobles cálculos.
• Cámaras de vídeo.
• Sistema de detección de intrusiones (IDS).
22

23. Tipos de Controles
Control correctivo
 Evitar la repetición de anomalías
 Ejemplos:
• Implementar planes de emergencia con la formación,
concienciación, pruebas, procedimientos y actividades de
mantenimiento necesarios.
• Procedimientos de emergencia, tales como copias de
seguridad periódicas, el almacenamiento en un lugar
seguro y la recuperación de las transacciones.
• Procedimientos re-ejecutados.
23

24. Las Relaciones entre Conceptos de
Gestión de Riesgos
24

25. Estándar y Marco Normativo
Sección 2
25

26. ¿Qué es ISO?
• ISO es una red de organismos nacionales de
estandarización de mas de 160 países.
• Los resultados finales de los trabajos realizados por
ISO son publicados como normas internacionales
• Se han publicado mas de 19,000 normas desde 1947
26

27. Principios
Básicos de las Normas ISO
1. Representación igualitaria: 1 voto por país
2. Adhesión voluntaria: ISO no tiene la autoridad
para forzar la adopción de sus normas
3. Orientación al negocio: ISO sólo desarrolla
normas para las que existe demanda del mercado
4. Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas
5. Cooperación internacional: más de 160 países
además de organismos de enlace
Principios
Básicos de las
Normas ISO
27

28. ¿Qué son los Sistemas de Gestión?
• Un sistema de gestión es una estructura
probada para la gestión y mejora continua
de las políticas, los procedimientos y
procesos de la organización.
• Un sistema de gestión ayuda a lograr los
objetivos de la organización mediante una
serie de estrategias, que incluyen la
optimización de procesos, el enfoque
centrado en la gestión y el pensamiento
disciplinado.
28

29. Los Sistemas de Gestión se Integran
SISTEMA
DE
GESTION
SALUD Y
SEGURIDAD
TRABAJO
OHSAS 18001
CALIDAD
ISO 9001
AMBIENTALISO
ISO 14001
SEGURIDAD DE
LA
INFORMACION
ISO 27001
29

30. ¿Qué es un SGSI?
• Un SGSI (Sistema de Gestión de Seguridad de la
Información) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la protección de los activos de información para
lograr objetivos de negocio.
• El análisis de los requisitos para la protección de los
activos de información y la aplicación de controles
adecuados para garantizar la protección de estos activos
de información, contribuye a la exitosa implementación
de un SGSI.
En ingles se conoce con las siglas ISMS (Information
security management system) 30

31. ¿Qué es un SGSI?
El Sistema de Gestión de la Seguridad de la Información
(SGSI) en las empresas ayuda a establecer
estas políticas, procedimientos y controles en relación
a los objetivos de negocio de la organización.
31

32. Enfoque a Procesos
32

33. Ciclo de Deming
• El circulo de DEMING se constituye como una de las
principales herramientas para lograr la mejora
continua en las organizaciones o empresas que
desean aplicar a la excelencia en sistemas de gestion.
• El conocido Ciclo Deming o también se le denomina el
ciclo PHVA que quiere decir según las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan,
Do, Check, Act)
33

34. Ciclo de Deming
34

35. Familia
ISO 27000
VocabularioRequisitosGeneralidadesIndustria
ISO 27000
Vocabulario
ISO 27001
Requisitos del
SGSI
ISO 27004
Métricas
ISO 27002
Código buenas
practicas
ISO 27003
Guía de
Implementación
ISO 27005
Gestión de
Riesgos
ISO 27007-27008
Guías de Auditoria
ISO 270XX
Vocabulario
ISO 27011
Telecomunicaciones
ISO 27799
Salud
ISO 27009
Requisitos organización
certificadora
35

36. ISO 27001
• Especifica los requisitos de gestión
de un SGSI (Cláusula 4 a 10)
• Los requisitos (cláusulas) son
escritos utilizando el verbo
"deberán" en imperativo
• Anexo A: 14 cláusulas que
contienen 35 objetivos de control y
114 controles
• La organización puede ser
certificada en esta norma
36

37. ISO 27002
• Guía para el código de prácticas para los
controles de la seguridad de la
información (Documento de referencia)
• Cláusulas escritas utilizando el verbo
"debería"
• Compuesto de 14 cláusulas, 35 objetivos
de control y 114 controles
• Una organización no puede ser certificada
en esta norma
• También conocida como ISO 17799
37

38. ISO 27003
• Guía para el código de prácticas para
la implementación de un SGSI
• Documento de referencia para ser
utilizado con las normas ISO 27001 e
ISO 27002
• Consta de 9 cláusulas que definen 28
etapas para implementar un SGSI
• La certificación con esta norma no es
posible
38

39. Historia de la Norma
ISO 27001
39

40. Estructura de la Norma
ISO 27001
Clausula 7
Soporte
Clausula 4
Contexto de la
organización
Clausula 5
Liderazgo
Clausula 5
Planificación
Clausula 8
Funcionamiento
Clausula 10
Mejora
Clausula 9
Evaluación del
desempeño
40

41. Implementación de la Norma ISO 27001
41
Sección 3

42. Enfoque a Procesos
• La aplicación del enfoque de proceso variará de una
organización a otra en función de su tamaño,
complejidad y actividades
• A menudo las organizaciones identifican demasiados
procesos
• Los procesos se pueden definir como un grupo lógico
de tareas relacionadas entre sí, para alcanzar un
objetivo definido.
ENTRADA SALIDAPROCESO
42

43. Información Documentada
Ciclo de Vida de los Documentos
43
1. Creación
2. Identificación
3. Clasificación y seguridad
4. Modificación
9. Disposición
8. Archivado
7. Uso adecuado
6. Distribución
5. Aprobación

44. ISO 30301
• Información y
documentación. Sistemas
de gestión para
documentos. Requisitos
• La organización puede ser
certificada en esta norma
44

45. La implantación de un Sistema de
Gestión de Seguridad de la Información es
una decisión estratégica
que debe involucrar a toda la organización y
que debe ser apoyada y
dirigida desde la dirección
45

46. Etapas
Ciclo de Deming
• Compromiso de la dirección
• Planificación
• Fechas
• Responsables
• Definir alcance del SGSI
• Definir Política de Seguridad
• Metodología de evaluación de
riesgos.
• Inventarios de activos
• Identificar amenazas y
vulnerabilidades
• Identificar Impactos
• Análisis y evaluación de riesgos
• Selección de controles y SOA
• Revisar el SGSI
• Medir eficacia de los controles
• Revisar riesgos residuales
• Realizar auditorias internas del
SGSI
• Registrar acciones y eventos
• Definir plan de tratamiento de
riesgos
• Implantar plan de tratamiento
de riesgos
• Implementar controles
• Formación y concienciación
• Operar el SGSI
• Implantar mejoras
• Acciones correctivas
• Acciones Preventivas
• Comprobar eficacia de las
acciones
46

47. Iniciando el SGSI
47
 Definición del enfoque para la aplicación del SGSI
• Velocidad de Implementación
• Nivel de madurez del proceso y controles
• Expectativas y ámbito
 Selección de un marco metodológico
• Metodología para gestionar el proyecto (PMBOK)
 Alineación con las mejores practicas
• ISO 27001
• ISO 27002
• ISO 27003
• ISO 27004

48. Nivel de Madurez
Es importante determinar
en que nivel se encuentra la
organización, para ello
CMM muestra la madurez
de una organización
basándose en la capacidad
de sus procesos
48

49. FASE I Organización
49

50. Fase I Organización
• Obtener el apoyo institucional
• Determinar el alcance del Sistema de Gestión de
Seguridad de la Información
• Determinar la declaración de Política de Seguridad
de la Información y objetivos
• Determinar criterios para la evaluación y aceptación
de riesgos
50
Desarrollar las actividades principales para la dirección e
inicio de la implantación del SGSI.

51. Obtener el Apoyo
Institucional
• Existen 4 ejes de apoyo para sustentar el
apoyo institucional, estos son:
1. Cumplimiento
2. Protección de Procesos de Negocio
3. Disminución de incidentes
4. Ordenamiento de su negocio
51

52. AREAS FUNCIONALES
Organización de la Seguridad
COSI
COMITÉ TÉCNICO DE
SEGURIDAD DE LA
INFORMACION
CGSI
COMITÉ DE GESTION DE
SEGURIDAD DE LA
INFORMACION
OSI
OFICIAL DE SEGURIDAD DE LA
INFORMACION
SI
RESPONSABLE SEGURIDAD
INFORMATICA
SF
RESPONSABLE SEGURIDAD
FISICA
ROLES
52

53. Comité Gestión
 El Comité de Gestión de Seguridad de la Información es el
máximo órgano consultivo de carácter no técnico sobre la
seguridad de la información.
 Se reunirá por lo menos una vez al mes para evaluar la
situación institucional en materia de seguridad de la
información y el plan de acción para mejorarla
continuamente.
 Las funciones del Comité de Gestión de Seguridad de la
Información son las siguientes:
• Informar la situación Institucional en materia de seguridad de la información.
• Proponer la designación del Oficial de Seguridad de la Información.
• Designar a los miembros del Comité Técnico de Seguridad de la Información.
• Patrocinar y participar en la implementación, operación, monitoreo, revisión,
mantenimiento y mejora continua del Sistema de Gestión Seguridad de la
Información (SGSI). 53

54. Comité Técnico
 El Comité Técnico de Seguridad de la Información es un órgano
consultivo de carácter técnico y está integrado por los Jefes de
los procesos involucrados en el alcance quienes deberán tener
un amplio conocimiento de los procesos que se realizan en la
institución.
 Las funciones del Comité Consultivo de Seguridad de la
Información son las siguientes:
• Proponer mejoras o iniciativas en materia de seguridad de la información al Comité de
Gestión o al Oficial de Seguridad de la Información en materia de gestión de riesgos, activos
de información, procesamiento de la información, mejoras al SGSI, entre otros.
• Ser “embajadores” de seguridad de la información para influenciar las opiniones de una
forma positiva y, recoger las necesidades y expectativas de los trabajadores.
• Reunirse periódicamente a fin de analizar y evaluar la seguridad de la información y emitir
informes al Comité de Gestión de Seguridad de la Información.
• Participar de las reuniones convocadas por el Comité de Gestión de Seguridad de la
Información.
54

55. Determinar el Alcance
del SGSI
• Se debe definir en función de características del
negocio, organización, localización, activos y
tecnología, definir el alcance y los límites del SGSI
(el SGSI no tiene por qué abarcar toda la
organización; de hecho, es recomendable empezar
por un alcance limitado)
55

56. Determinar el Alcance
del SGSI
• Definir los limites de la organización.
• Definir los limites de los sistemas de información.
• Definir el ámbito y limites físicos.
• Definir el alcance del SGSI.
• Cambios en el alcance.
• Extensión del ámbito de aplicación.
56

57. Determinar el Alcance
del SGSI
Cualquier cambio en el alcance debe ser
evaluado, aprobado y documentado
57

58. Determinar la Declaración de Política de
Seguridad de la Información y Objetivos
• Debe tener el marco general y los objetivos de seguridad de la
información de la organización
• Debe explicar los requisitos de negocio, legales y contractuales
en cuanto a seguridad
• Debe de estar alineada con la gestión de riesgo general,
establecer criterios de evaluación de riesgo y ser aprobada por
la Dirección.
• La política de seguridad es un documento muy general, una
especie de "declaración e intenciones" de la Dirección, por lo
que no pasará de dos o tres páginas.
58

59. Tipos de Política
59
Política de
Seguridad
Política de
Seguridad de
la Información
Política del
SGSI
Política sobre
control de
acceso
Política sobre
criptografía
Política de
gestión de
incidentes
POLITICA GENERALES
DE ALTO NIVEL
POLITICA ALTO NIVEL
X TEMAS ESPECIFICOS
POLITICA
DETALLADAS

60. Estructura de una Política
• Resumen
• Introducción
• Ámbito de aplicación
• Objetivos
• Principios
• Responsabilidades
• Resultados importantes
• Políticas relacionadas
• Definiciones
• Sanciones
60

61. Determinar Criterios para la
Evaluación y Aceptación de Riesgos
• Se debe definir una metodología de evaluación de
riesgos apropiada para el SGSI y las necesidades de la
organización, desarrollar criterios de aceptación de
riesgos y determinar el nivel de riesgo aceptable.
• Existen muchas metodologías de evaluación de riesgos
aceptadas; la organización puede optar por una de ellas,
hacer una combinación de varias o crear la suya propia.
• ISO 27001 no impone ninguna ni da indicaciones
adicionales sobre cómo definirla.
61

62. Algunas Metodologías para
la Evaluación de Riesgos
• Magerit (España)
• Octave (EE.UU.)
• Cramm (Reino Unido)
• Microsoft (EE.UU.)
• Tra (Canada)
• Nist 800-30 (EE.UU.)
• Ebios (Francia)
• Mehari (Francia)
62

63. Factores en la Selección
de la Metodología
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del método
3. Posibilidad de herramientas de software
4. Documentación, formación, apoyo.
5. Facilidad de uso
6. Costo de utilización
7. Existencia de material de comparación (métricas,
estudios, casos, etc.)
63

64. FASE II Planificación
64

65. • Realizar evaluación de Riesgos
• Conducir un análisis entre los riesgos identificados y
las medidas correctivas existentes
• Desarrollar un plan de tratamiento de riesgos
• Desarrolla la declaración de Aplicabilidad
65
Desarrollar las actividades de planificación requeridas por la
norma de manera metodológica y en concordancia con la
política y objetivos del SGSI dentro del alcance del mismo.

66. Realizar Evaluación de Riesgos
Inventario de Activos
• Todos aquellos activos de información que tienen
algún valor para la organización y que quedan dentro
del alcance del SGSI
• Se debe inventariar el nombre activo, tipo,
responsable y ubicación como campos mínimos.
• Se debe realizar la dependencia de activos
66

67. Realizar Evaluación de Riesgos
Inventario de Activos
67
ESCALA VALORACION
1 Muy Alto (MA)
2 Alto (A)
3 Medio (M)
4 Bajo (B)
5 Muy Bajo (MB)

68. Realizar Evaluación de Riesgos
Análisis de Riesgos
• Análisis de los riesgos: evaluar el daño resultante de
un fallo de seguridad (es decir, que una amenaza
explote una vulnerabilidad) y la probabilidad de
ocurrencia del fallo; estimar el nivel de riesgo
resultante y determinar si el riesgo es aceptable (en
función de los niveles definidos previamente) o
requiere tratamiento.
68

69. Realizar Evaluación de Riesgos
Análisis de Riesgos
69

70. Plan de
Tratamiento de Riesgos
70

71. Selección de Controles y SOA
• Confeccionar una Declaración de Aplicabilidad: la
llamada SOA (Statement of Applicability) es una lista
de todos los controles seleccionados y la razón de su
selección, los controles actualmente implementados
y la justificación de cualquier control del Anexo A
excluido.
• Es, en definitiva, un resumen de las decisiones
tomadas en cuanto al tratamiento del riesgo.
71

72. Redacción de la Declaración de
Aplicabilidad
72

73. FASE III Despliegue
73

74. • Elaborar el plan de trabajo priorizado
• Desarrollar documentos y registros necesarios
• Implementar los controles seleccionados
74
Desplegar las actividades de implementación del SGSI

75. Plan de Trabajo del SGSI
• Un plan de trabajo es un instrumento de
planificación.
• Estructura actividades, responsables, tiempos,
recursos, generalmente se expresa por medio de un
diagrama de gantt.
75

76. Plan de Capacitación
1. Definir las necesidades de capacitación
2. Diseño y planificación de la capacitación
3. Provisión de la capacitación
4. Evaluación de los resultados de la capacitación
76

77. Plan de Capacitación
77

78. Plan de Capacitación
78
La gran diferencia entre la formación y la concientización
es que la capacitación tiene por objeto proporcionar los
conocimientos para permitir que la persona ejerza sus
funciones mientras que el objetivo de concientizar es
centrar la atención en un interés individual o una serie
de asuntos sobre la seguridad.

79. Plan de Comunicación
79
1. Determinar qué queremos conseguir, cuáles son nuestros
objetivos.
2. Decidir a quién vamos a dirigir nuestra comunicación.
3. Pensar cuál es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos (cuánto).
5. Seleccionar los medios apropiados y su frecuencia de
utilización.
6. Ejecutar el plan de medios y medir su impacto.

80. Plan de Comunicación
Partes Interesadas
• Clientes
• Proveedores
• Empleados
• Comunidades
• Medios de Comunicación
• Inversores
80
El compromiso con las partes interesadas constituye una oportunidad para que una
organización pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.

81. Controles de la ISO 17799
ahora 27002
Área 1: Política de seguridad.
Área 2: Organización de la seguridad de la información.
Área 3: Gestión de activos.
Área 4: Seguridad relacionada con los recursos humanos.
Área 10: Gestión de la continuidad del negocio .
Área 6: Gestión de comunicaciones y operaciones.
Área 7: Control de accesos.
Área 8: Adquisición, desarrollo y mantenimiento de sistemas.
Área 9: Gestión de incidentes.
Área 5: Seguridad física y del entorno
Área 11: Conformidad
Seguridad
Organizativa
Seguridad
Lógica
Seguridad
Física
Seguridad
Legal
81

82. FASE IV Revisión
82

83. • Monitorear el desempeño del SGSI
• Fortalecer la gestión de incidentes
• Desarrollar documentos y registros necesarios
• Desarrollar las actividades para evidenciar la mejora
continua
83
Realizar actividades de revisión del SGSI evidenciando
el cumplimiento de los requisitos de la norma

84. Monitoreo
Determinar los Objetivos de la Medición
• La norma no indica lo que debe ser objeto
de supervisión o medición
• Corresponde a la empresa determinar qué
es lo que necesita ser controlado y medido
• Es una mejor práctica centrarse en la
vigilancia y medición de las actividades
que están vinculadas a los procesos
críticos que permiten a la organización
alcanzar sus metas y objetivos de
seguridad de la información
• Demasiadas medidas pueden distorsionar
el enfoque de una organización y
desenfocar lo que es verdaderamente
importante
84

85. Monitoreo
Objetivos de la Medición
Los objetivos de la medición en el marco de un sistema de
gestión incluyen:
• Evaluación de la eficacia de los procesos y procedimientos
implementados;
• Verificación de la medida en que los requisitos identificados
de la norma se han cumplido.
• Facilitar la mejora del rendimiento;
• Aportar para la revisión de la gestión para facilitar la toma de
decisiones y justificar las mejoras que necesita el sistema de
gestión implementado.
85

86. Monitoreo
Tableros de Mando
86

87. Gestión de Incidentes
1. Asegurarse de que los eventos de seguridad son detectados
e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que
podrían causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma más adecuada
y eficaz.
4. Reducir el posible impacto de los incidentes sobre las
operaciones de la organización.
5. Prevenir futuros incidentes de seguridad y reducir su
probabilidad de ocurrencia.
6. Mejorar la seguridad de los controles de la organización.
87

88. FASE V Consolidación
88

89. • Auditar internamente el SGSI
• Implementar las acciones correctivas
• Implementar las acciones preventivas pertinentes
• Desarrollar, corregir y mejorar documentación nueva
o existente
89
Auditar e implementar las mejoras y correcciones del
SGSI a fin de cumplir con los requisitos de la norma

90. Auditoria Interna
1. Crear el programa de auditoría interna
2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad
4. Planificación de las actividades
5. Asignar y administrar los recursos del programa de auditoría
6. Crear procedimientos de auditoría
7. Realizar actividades de auditoría
8. Seguimiento de no conformidades
90

91. Tratamiento de Problemas y
no Conformidades
• Definir un proceso para resolver problemas y no
conformidades.
• Definir un procedimiento de acción correctiva.
• Definir un procedimiento de acción preventiva.
• Elaborar Planes de Acción.
91

92. FASE VI Certificación
92

93. Definiciones de la Certificación
• Organismo de Certificación: Terceros que realizan la
evaluación de la conformidad de los sistemas de
gestión.
• Certificación: Procedimiento en el cual un tercero
garantiza por escrito que un producto, proceso o
servicio es conforme a las condiciones indicadas
93

94. Proceso de Certificación
1. Selección de la entidad certificadora.
2. Auditoria de Pre-evaluación.
3. Etapa 1 de la auditoria, se fija en el diseño del SGSI
4. Etapa 2 de la auditoria, se lleva a cabo en la empresa.
5. Auditoria de seguimiento, si tuviera no conformidades
6. Confirmación de la inscripción.
94

95. Preguntas
95

96. Contactos
96
Maurice Frayssinet Delgado
mfrayssinet@pcm.gob.pe
Rpm #963-985-125
6346000 anexo 116
2197000 anexo 5116
Call Center
ongei@pcm.gob.pe
6346000 anexo 109/106
2197000 anexo 5109/5106
Soporte SGSI:
Correo Electrónico:
Teléfonos:
Contacto:
Correo Electrónico:
Teléfonos:

97. ONGEI
Oficina Nacional de Gobierno Electrónico e Informática
www.ongei.gob.pe