1 Consideraciones para la Auditoría SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN - SGI Marzo del 2014

2 Agenda Aspectos Generales1 Aspectos Generales 2 Gestión de riesgos de Seguridad de la Información 3 Manual del Sistema Integrado de Gestión MSIG y Documentos del SGI 4 Gestión de Incidentes y Vulnerabilidades de SI 5 Continuidad de Operaciones 6 Consideraciones proceso de auditoría de certificación del SGI

3 Aspectos generales

4 ¿Cuántas fases tiene el modelo propuesto por el ISO (implementación del SGI) y en cual está su proceso?

5 Establezca el Contexto en la que se encuentrasu proceso en el SGI

6 ¿Qué es un Activo? Cualquier cosa que tenga valor para la organización. [ISO/IEC 27000:2012] Estos pueden ser: un documento, un software, algún elemento físicos, como una computadora, los servicios, las personas e los intangibles, como la reputación o imagen de las empresas.

7 ¿Qué es la seguridad de la información?Asegurar el acceso y uso sobre demanda a una persona o entidad autorizada. Disponibilidad Asegurar que la información no este disponible o divulgada a personas, entidades o procesos no autorizados. Confidencialidad Salvaguardar la exactitud y completitud de los activos, así como los métodos de procesamiento. Integridad Confidencialidad: Asegurar que la información es accesible sólo a aquellos que están autorizados. Integridad: Resguardar la veracidad e integridad de la información y los métodos de procesamiento. Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a la información y los recursos asociados cuando lo requieran.

8 ¿Conoce y entiende la Política del SGI?¿Cómo contribuye el área? ¿Dónde está ubicada? ¿Cómo la difunde a personal y terceros? Asegurar la confidencialidad, integridad y disponibilidad de los activos de información relevantes, mediante la gestión de riesgos, implementación de controles y mediciones de la seguridad de la información.

9 ¿cuáles son los objetivos del sgi (mencione un ejemplo por cada uno de ellos)?

10 ¿Conoce y entiende los Objetivos del SGI?Objetivo General Asegurar un adecuado desarrollo, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información. Objetivo 1 Garantizar la integridad de los expedientes, asegurando su uso dentro de los procesos que los requieran. Objetivo 2 Garantizar la disponibilidad de los sistemas de información, asegurando su operación en los procesos que los requieran. Objetivo 3 Asegurar la efectividad del SGSI, a traves de la mejora continua. Objetivo 4 Garantizar la efectividad de los controles implementados, asegurando una adecuada mitigación de los riesgos. ¿Cómo contribuye el área? ¿Dónde está ubicada?

11 ¿Tiene definido el Alcance de su proceso?¿Dónde está definido? Está definido en el Anexo 8 del Manual SIG: Proceso, actividades principales, localización, ámbito, tecnologías.

12 ¿cuáles son los procedimientos del sgi¿cuáles son los procedimientos del sgi? ¿Cuáles son obligatorios según la norma iso 27001?

13 ¿Conoce la documentación del SGI?

14 ¿Conoce la documentación del SGI?Procedimientos Obligatorios (NTP-ISO 27001): Control de Documentos (4.3.2) Auditorías Internas (6) Acciones Correctivas y Preventivas (8.2 y 8.3). Todos estos procedimientos se encuentran consolidados en: Procedimiento SIG-PG-01 – Documentación, Revisión y Mejora

15 ¿Sabe ubicar los registros del SGI?

16 DEFINICIONES SOBRE SEGURIDAD DE LA INFORMACIÓN

17 Gestión de Riesgos 1. Inventariar 2. Análisis 3. EvaluaciónActivos y sus atributos 2. Análisis Personas Tecnologia Procesos Ambiente 1. Inventariar 3. Evaluación Basado en la Norma ISO 27005 Mecanismos propuestos 4. Tratamiento Riesgo Efectivo Probabilidad

18 ¿Qué es un Activo? Cualquier cosa que tenga valor para la organización. [ISO/IEC 27000:2012] Estos pueden ser: un documento, un software, algún elemento físicos, como una computadora, los servicios, las personas e los intangibles, como la reputación o imagen de las empresas.

19 ¿Qué es un Activo de Información?Es todo aquello que es o contiene información, son los datos y el conocimiento de las personas, y que tiene valor para la organización.

20 ¿Cuáles son los recursos a proteger?La información es un activo, que como otros activos importantes, tiene un valor para la Institución y requiere en consecuencia una adecuada protección. La información adopta diversas formas: Impresa o escrita en papel. Almacenada electrónicamente. Transmitida por correo o . Mostrada en video. Hablada en conversación.

21 ¿una persona en particular puede ser un activo de informacion¿una persona en particular puede ser un activo de informacion? ¿los servicios de terceros son activos de informacion? ¿Por qué?

22 Categorías de Activos Servicios Personas Físicos Software Informacióninternet, correo, energía o de terceros conocimiento de las personas Software Físicos computadoras, medios removibles aplicativos y software de sistemas Información Intangibles contratos, guías, resoluciones, base de datos imagen y marca, reputación

23 Clasificación Marcado Ubicación Valorización Propietario CustodioAtributos de los Activos Clasificación Marcado Ubicación Valorización Propietario Custodio

24 Propietario de la InformaciónEs aquella persona o entidad que tiene la responsabilidad gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos de información. Además es el responsable por definir apropiadamente la clasificación y los derechos de acceso a los activos de información, estableciendo los controles apropiados.

25 Custodio de la InformaciónEs aquella persona o entidad que mantiene bajo su responsabilidad, activos de información de la cual NO es el dueño o propietario.

26 Activos TransversalesLos Activos de Información Transversales son identificado por sus respectivos propietarios y revisados por cada proceso, siguiendo lo establecido en la Metodología de Gestión de Riesgos (SGI-PG-01).

27 ¿Cuáles son las clasificaciones de los activos de informacion¿Cuáles son las clasificaciones de los activos de informacion? ¿Por qué es importante clasificar?

28 Criterios de Clasificación de la InformaciónUSO PUBLICO Es toda aquella información que ha sido explícitamente aprobada por OSINERGMIN para su diseminación publica. Ejemplos Genéricos: boletines de noticias, comunicados internos, presupuestos, memorandos, informes de prensa, entre otros.

29 Criterios de Clasificación de la InformaciónUSO INTERNO Es toda aquella información cuya revelación no causaría daños a OSINERGMIN y su acceso es libre para los empleados de la entidad Ejemplos Genéricos: información publicada en la intranet de la organización, reglamento interno de trabajo, entre otros.

30 Criterios de Clasificación de la InformaciónUSO CONFIDENCIAL Es toda aquella información que debe ser estrictamente restringida basándose en el concepto de “necesidad de saber”, su revelación requiere la aprobación de sus dueño o propietario, es de uso exclusivo de la organización, en el caso de terceros se deberá firmar acuerdo de confidencialidad y no divulgación.

31 Criterios de Clasificación de la InformaciónUSO RESTRINGIDO Es toda aquella información cuyo acceso se da aun número reducido de personas. Usualmente, debe ir acompañada del principio de CONFIDENCIALIDAD.   Esta debe ser manejada con todas las precauciones y controles posibles determinando exactamente que personas tienen acceso a la misma y vigilando su uso, transporte y almacenamiento.

32 ¿Cómo valorizo un activo? ¿Cuántos valores hay según la metodologia?

33 ¿Cómo Valorizar un Activo?Asegurar el acceso y uso sobre demanda a una persona o entidad autorizada. Disponibilidad Asegurar que la información no este disponible o divulgada a personas, entidades o procesos no autorizados. Confidencialidad Salvaguardar la exactitud y completitud de los activos, así como los métodos de procesamiento. Integridad Confidencialidad: Asegurar que la información es accesible sólo a aquellos que están autorizados. Integridad: Resguardar la veracidad e integridad de la información y los métodos de procesamiento. Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a la información y los recursos asociados cuando lo requieran.

34 ¿Cómo Valorizar un Activo?Clasific ación (Valor) Confidencialidad Integridad Disponibilidad Muy Alto (5) Irreversiblemente. Irreversiblemente Alto (4) Gravemente Medio (3) Considerablemente Bajo (2) Parcialmente Muy Bajo (1) No impactando Cuando la pérdida o falla de un determinado activo afecta la divulgación o revelamiento no autorizado de la información, impactando “ ” la operatividad, competitividad, el cumplimiento legal, rentabilidad o imagen de la Institución. Confidencialidad: Asegurar que la información es accesible sólo a aquellos que están autorizados. Integridad: Resguardar la veracidad e integridad de la información y los métodos de procesamiento. Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a la información y los recursos asociados cuando lo requieran.

35 ¿Cómo Valorizar un Activo?Valor Mínimo Valor Máximo Tasación 3.334 5.000 Alto 1.668 3.333 Medio 1.000 1.667 Bajo En la identificación de amenazas y vulnerabilidades que componen el riesgo, el Responsable del proceso y Coordinador SGI, consideran los activos de información identificados cuya valoración sea “Alta” y/o que hayan sido clasificados como “Confidenciales”. Confidencialidad: Asegurar que la información es accesible sólo a aquellos que están autorizados. Integridad: Resguardar la veracidad e integridad de la información y los métodos de procesamiento. Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a la información y los recursos asociados cuando lo requieran.

36 Puede ser accidental o intencional.¿Qué es un AMENAZA? Causa Potencial de un incidente no deseado que puede resultar en daño al Sistema, a la Organización o a sus ACTIVOS. Puede ser accidental o intencional. Los activos están sujetas a muchos tipos de amenazas: Desastres Naturales: Terremoto, inundación, etc. Humanas: Errores de Mantenimiento, huelga, etc. Tecnológicas: Caída del Sistemas, falla de hardware.

37 ¿Qué es un VULNERABILIDAD? (Falla o Insuficiencia)Es la debilidad o ausencia de control de un ACTIVO de Información que puede ser aprovechada (explotada) por una AMENAZA. Ejemplo: Control de acceso físico inadecuado Falta de conciencia en Seguridad Ausencia de Sistemas contra incendio

38 Las vulnerabilidades deben ser coherentes con la amenazaLas vulnerabilidades pueden ser “explícitas” cuando se trata de ausencia de control o “implícitas” cuando existiendo el control éste puede fallar (debilidad del control). CONTROL Debilidad de un control Activo de Información Amenaza Explota … Ausencia de un control Activo de Información

39 ¿Qué es un EVENTO DE RIESGO?Es la probabilidad de que una AMENAZA vulnere un ACTIVO, causando un impacto negativo.

40 Nivel de exposición al RiesgoPosibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar pérdida o daño en un activo de información (Según ISO 27001). Nivel de exposición al Riesgo Valor del Activo (Integridad, Confidencialidad e Integridad) Probabilidad de Ocurrencia Impacto (Económico, legal, operacional) x x Amenaza Vulnerabilidad x

41 Son las consecuencias posibles al momento de materializarse un RIESGO.PROBABILIDAD Es la frecuencia con que se podría producir el RIESGO en un plazo determinado de tiempo. IMPACTO Son las consecuencias posibles al momento de materializarse un RIESGO.

42 Niveles de VulnerabilidadProbabilidad de Ocurrencia del Riesgo Amenaza Vulnerabilidades x Niveles de Vulnerabilidad Clasificación Descripción Muy Alto (5) No existen controles para contener la amenaza Alto (4) Existen controles pero no están documentados Medio (3) Existen controles documentados pero no son medibles Bajo (2) Existen controles medibles pero no son mejorados continuamente Muy Bajo (1) Existen controles mejorados continuamente Niveles de Amenaza Clasificación Descripción Muy Alto (5) Una vez a la semana Alto (4) Una vez al mes Medio (3) Una vez cada 6 meses Bajo (2) Una vez al año Muy Bajo (1) Una vez cada 3 años

43 ¿Cómo estimo el nivel de riesgo¿Cómo estimo el nivel de riesgo? ¿Cuántos valores hay según la metodologia?

44 Niveles de VulnerabilidadNiveles de Riesgo Clasificación Muy Alto (5) Alto (4) Moderado (3) Menor (2) Mínimo (1) Probabilidad de Ocurrencia del Riesgo “Se consideran los siguientes niveles de riesgos: Muy Alto, Alto, Medio, Bajo y Muy Bajo, que establecen los criterios de aceptación del riesgo. Para la etapa de análisis y evaluación, se han considerado como aceptables los niveles Medio, Bajo y Muy Bajo” Amenaza Vulnerabilidades x Niveles de Amenaza Clasificación Descripción Muy Alto (5) Una vez a la semana Alto (4) Una vez al mes Medio (3) Una vez cada 6 meses Bajo (2) Una vez al año Muy Bajo (1) Una vez cada 3 años Niveles de Vulnerabilidad Clasificación Descripción Muy Alto (5) No existen controles para contener la amenaza Alto (4) Existen controles pero no están documentados Medio (3) Existen controles documentados pero no son medibles Bajo (2) Existen controles medibles pero no son mejorados continuamente Muy Bajo (1) Existen controles mejorados continuamente

45 (Económico, Legal, Operacional)Niveles de Impacto Clasificación Legal Operativo Económico Muy Alto (5) afecta irreversiblemente a la Institución afecta irreversiblemente la operatividad de los procesos de la Institución Afecta irreversiblemente a la Institución, ocasionando pérdidas cuantiosas, sin posibilidad de recuperación. Alto (4) afecta drásticamente a la Institución afecta drásticamente la operatividad de los procesos de la Institución Afecta drásticamente a la Institución con posibilidad de recuperación a costos elevados a largo plazo. Medio (3) afecta seriamente a la Institución afecta seriamente la operatividad de los procesos de la Institución Afecta seriamente a la institución, con posibilidad de recuperación a costos intermedios a mediano plazo. Bajo (2) afecta parcialmente a la Institución afecta parcialmente la operatividad de los procesos de la Institución Afecta parcialmente a la institución, con posibilidad de recuperación a bajo costo a corto plazo. Muy Bajo (1) no afecta a la Institución no afecta la operatividad de los procesos de la Institución No afecta económicamente a la institución, con posibilidad de recuperación sin costo o con recursos disponibles. Impacto (Económico, Legal, Operacional)

46 Plan de Tratamiento Plan de Acción que define las acciones para reducir los riesgos no aceptables e implementar los controles necesarios para proteger la información.

47 El Análisis y Evaluación de RiesgosIdentificación de Activos y Riesgos Evaluación de Riesgo Comparación de riesgo estimado Nivel de Riesgo Aceptable Tratamiento El Análisis y Evaluación de Riesgos ACEPTAR REDUCIR TRANSFERIR EVITAR Selección de controles Medidas de protección Aceptación RIESGO RESIDUAL

48 CONTROL Todo elemento o medidas que permite reducir o eliminar la exposición al RIESGO de cada ACTIVO.

49 ¿Cómo desarrollar el Plan de Tratamiento de Riesgos?Actividades para desarrollar el Plan de tratamiento de Riesgos: Comprender que los riesgos se tratan aplicando controles de seguridad de la información los cuales se encuentran contenidos en el anexo “A” de la norma ISO Comprender los criterios de tratamiento a fin de definir controles cuya implementación sea realista y responda positivamente a un análisis costo/beneficio. Trabajando en conjunto a fin de consensuar las expectativas de seguridad de la información.

50 Controles de Seguridad de la Información - anexo “A” ISO 27001.6 Aspectos Organizacionales Aspectos Físicos Aspectos Técnicos Aspecto de Control 1 3 Controles para la Gestión de la Seguridad de la Información Política de Seguridad Organización de la Seguridad de Información Seguridad de los Recursos Humanos Seguridad Física y Ambiental Gestión de activos Control de Accesos Gestión de Operaciones y Comunicaciones Adquisición, Desarrollo y Mant. de Sistemas Gestión de Continuidad de Negocios Gestión de Incidentes de Seguridad Cumplimiento Estratégico Operativo 1 11 cláusulas 39 Objetivos 133 controles Táctico

51 Criterios para seleccionar controles de seguridadSe debe considerar: Riesgo Grado vs impacto Facilidad de implementación (Tiempo, costo) Servicios asociados y riesgos comunes a diversos activos Exigencias legales y regulatorias Exigencias de clientes u otras relaciones contractuales Considerar el costo de mantenimiento del control Desarrollar opciones preventivas y previas a la planificación (costo/beneficio) Mejorar los controles existentes

52 MANUAL DEL SISTEMA INTEGRADO de Gestión Y DOCUMENTOS DEL SGI (msig – manual del sistema integrado de gestión)

53 POLITICAS DE OSINERGMINManual del SIG Política Específica SI Procedimientos Documentación Externa Instructivos y Registros

54 Conociendo la Política del Sistema Integrado de Gestión (SIG)1.- Política del SIG Como Organismo regulador, supervisor y fiscalizador de los sectores de electricidad, hidrocarburos y minería nuestros compromisos son: Actuar con autonomía, transparencia y equidad; brindando un servicio oportuno y de calidad. Prevenir la contaminación ambiental y controlar los impactos generados por nuestras actividades, utilizando eficientemente los recursos naturales. Prevenir los daños y deterioro de la salud de los trabajadores y terceros. Controlar los riesgos relacionados con la SST generados por nuestras actividades. Asegurar la Confidencialidad, Integridad y Disponibilidad de los activos de información relevantes, mediante la gestión de riesgos, implementación de controles y mediciones de la seguridad de la información. Cumplir con el marco normativo vigente y otros aplicables. Promover la formación y toma de conciencia del personal y la mejora continua del desempeño del SIG.

55 Conociendo el Manual del Sistema de Gestión de Seguridad de la Información (SGI)2.- Alcance del SGI Para el Sistema de Gestión de Seguridad de la Información el alcance es el siguiente: OS Gestión Documentaria (SIGED). Gestión de Centro de Datos (No entra para la Auditoría SGI). GFE 1) Supervisión de interrupciones en instalaciones eléctricas de media tensión. 2) Supervisión de verificación de la disponibilidad y estado operativo de las unidades de generación del SEIN. GFHL Generación y Habilitación de Usuarios y Contraseñas SCOP GART Actualización de Pliegos Tarifarios Determinación del Factor de Recargo del FOSE GFGN 1) Atención de solicitudes de registro de hidrocarburos para las actividades de gas natural STOR Atención de apelaciones de reclamos de los usuarios de los servicios públicos de electricidad y gas natural por red de ductos Atención de quejas referidas a  reclamos de los usuarios de los servicios públicos de electricidad y gas natural por red de ductos En el anexo “8” del Manual SIG se detalla el Alcance del SGI.

56 Conociendo el Manual del Sistema de Gestión de Seguridad de la Información (SGI)3.- Objetivos del SGI Para el SGI se han determinado los siguientes objetivos específicos: OB6: Garantizar la integridad de los expedientes, asegurando su uso dentro de los procesos que los requieran OB7: Garantizar la disponibilidad de los sistemas de información, asegurando su operación en los procesos que los requieran OB8: Asegurar la efectividad del SGI, a través de la mejora continua OB9: Garantizar la efectividad de los controles implementados, asegurando una adecuada mitigación de los riesgos Están definidos en el Manual SIG y en el Procedimiento de Medición del SGI (SGI-PE-06).

57 Nivel de Cumplimiento de Objetivos SGI - ResumenCódigo Objetivo Objetivo General Asegurar un adecuado desarrollo, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información. Objetivo 1 Garantizar la integridad de los expedientes, asegurando su uso dentro de los procesos que los requieran. Excede Expectativas Objetivo 2 Garantizar la disponibilidad de los sistemas de información, asegurando su operación en los procesos que los requieran. Objetivo 3 Asegurar la efectividad del SGSI, a traves de la mejora continua. Satisfactorio Objetivo 4 Garantizar la efectividad de los controles implementados, asegurando una adecuada mitigación de los riesgos. Aceptable

58 Políticas Específicas de Seguridad de Información (OS-LI-01)

59 Otros Documenos del SGIProcedimiento “Documentación, Revisión y Mejora del SGI” (SIG-PG-01) Procedimiento “Gestión de Riesgos de seguridad de la información” (SGI-PG-01) Procedimiento “Gestión de Incidentes de seguridad de la información” (SGI-PG-02) Procedimiento “Medición del desempeño del SGI” (SGI-PE-06) Documento Declaración de Aplicabilidad

60 ¿Qué es la declaracion de aplicabilidad?

61 Qué es? Documento requerido por la Norma ISO 27001 que describe8. Declaración de Aplicabilidad Qué es? Documento requerido por la Norma ISO que describe los objetivos de control y los Controles que son relevantes y aplicables al SGSI de una organización.

62 ¿Cual es el requisito de la norma?8. Declaración de Aplicabilidad ¿Cual es el requisito de la norma? 4.2.1.j. Una declaración de aplicabilidad debe ser preparada e incluir: Objetivos de control y controles seleccionados Objetivos de control y controles implementados Se registra la exclusión de cualquier objetivo de control y controles así como su justificación.

63 Avances en la continuidad de operaciones

64 Fase de Implementación(1) Análisis de Impactos al Negocio Lista de Procesos/Subprocesos según Nivel de Impacto al negocio. Tiempos de Recuperación Lista de Personal Critico. Matriz de dependencias. Lista de Procesos/ Subprocesos según Nivel de Impacto al negocio. (3) Selección de Estrategias Lista de Activos según Nivel de Riesgos. Definición de escenario Plan de tratamiento de riesgos. Identificación de las (2) estrategias de Continuidad que incluirá: tiempos de recuperación, costes, recursos humanos/técnicos. (2) Análisis y Evaluación de Riesgos (4) Desarrollo del Plan de Continuidad Procedimientos de Gestión de Crisis. Desarrollo de DRP´s. Procedimiento de vuelta a la normalidad. Desarrollo del Plan de Continuidad. (5) Desarrollo del Plan de Pruebas. Cronograma para las 05 pruebas. Desarrollo del Plan de Pruebas. Informe de Resultados de las 05 pruebas realizadas. (6) Desarrollo del Plan de Formación

65 GESTION DE INCIDENTES Y VULNERABILIDADES DE SEGURIDAD (sGI-PG-02 PROCEDIMIENTO DE Gestión de Incidentes)

66 Gestión de Incidentes y Vulnerabilidades de Seguridad de la InformaciónCertificación ISO 27001 Forma parte del Sistema de Gestión de SI Es un control de seguridad de la información (dominio 13 del Anexo A de la ISO 27001) OSINERGMIN

67 2. ¿Qué es un incidente de seguridad de la información?Evento inesperado y no deseado, que puede comprometer la CID de los principales activos de la información de los procesos de OSINERGMIN. Ejemplos: Robo de Laptop, Perdida de Expedientes, Ataque de Virus en la red, Incendio en el centro de datos, Fuga de información sensible por correo electrónico.

68 3. ¿Qué es una vulnerabilidad de seguridad de la información?Debilidad de un activo o grupo de activos de información que puede ser explotada potencialmente por una o más amenazas, comprometiendo su CID. Ejemplos: Exceso de accesos a información sensible de una gerencia, Puerta abierta del Data Center.

69 4. ¿Por qué reportar un incidente o una vulnerabilidad de SI?Proteger los activos de información de nuestras áreas, gerencias y organización. 2. Mejorar los procesos de las áreas, gerencias y organización. 3. Mejorar los servicios relacionados a recursos tecnológicos.

70 5. ¿Qué roles describe el Procedimiento?Reportante Usuario encargado de notificar y registrar el incidente o vulnerabilidad identificada. Resolutor Entidad encargada de la atención de los incidentes o vulnerabilidades de seguridad de la información que han sido registrados. Analista de Seguridad de la Información Rol asumido por el OSI o quien éste delegue, para realizar las actividades de revisión, gestión y monitoreo de los ISI y las VSI, según lo narrado en este procedimiento.

71

72 Situación del Levantamiento de Hallazgos de la última Auditoría Interna

73 DESCRIPCIÓN DEL HALLAZGO DESCRIPCIÓN DE LA EVIDENCIA1. Objetivos del SGI PROCESO AUDITADO DESCRIPCIÓN DEL HALLAZGO DESCRIPCIÓN DE LA EVIDENCIA DOCUMENTO ASOCIADO Todos Objetivos del SGI sin actualización ni conocimiento adecuado por el personal Se han mostrado 4 objetivos del SGI con respecto al hallazgo referido al mismo punto, estos objetivos no se han actualizado ni documentalmente ni con el personal ISO 27001: describe el personal relevante para el SGI esté consciente de la importancia de sus actividades y como puede influir en el logro de los objetivos del SGI La organización también debe garantizar que todo el personal pertinente tome conciencia de la relevancia e importancia de las actividades de seguridad de información y cómo éstas contribuyen al logro de los objetivos del SGSI.

74 1. Objetivos del SGI – Plan de AcciónCapacitación y Concientización en Políticas y Objetivos del SGI A realizar en Octubre y Noviembre (cada mes) Meta: 100% del personal y terceros Evaluado y reportado Difusión: (Correos, Afiches, Salvapantallas, entre otros).

75 DESCRIPCIÓN DEL HALLAZGO DESCRIPCIÓN DE LA EVIDENCIA2. Alcance PROCESO AUDITADO DESCRIPCIÓN DEL HALLAZGO DESCRIPCIÓN DE LA EVIDENCIA DOCUMENTO ASOCIADO Todos Alcance del SGI con falta de claridad y en algunos casos corto El alcance de cada gerencia de acuerdo a como lo pide la norma considerando, activos, tecnología, sitio geográfico, no es claro; ni de manera genérica el personal auditado no lo relaciona al anexo 8 del manual, en el caso de data center la exclusión de las instalaciones ubicadas en Av. Canadá no pueden ser aceptadas dado que son parte del plan de contingencia y quedan dentro del alcance del SGI, el alcance para GFHL sin considerar SCOP es muy pobre. La certificación de seguridad de la información buscara se toquen elementos de seguridad de la información sensibles que tengan que ver con la imagen con el usuario o ciudadanía. ISO 4.2.1.a. Definir el alcance y límites del SGSI en términos de las características del negocio, la organización, su localización, activos y tecnología e incluyendo detalles y justificaciones para cualquier exclusión del alcance.

76 2. Alcance – Plan de AcciónDesconocimiento del Anexo 8 del Manual SIG Definir y/o sustentar alcance del proceso Actualizar anexo “8. Alcance” del Manual SIG Capacitación y Concientización (considerado en el punto 1) Evaluado y reportado

77 DESCRIPCIÓN DEL HALLAZGO DESCRIPCIÓN DE LA EVIDENCIA3. Efectividad de Controles PROCESO AUDITADO DESCRIPCIÓN DEL HALLAZGO DESCRIPCIÓN DE LA EVIDENCIA DOCUMENTO ASOCIADO Todos La efectividad de los controles y objetivos de control por gerencia es muy complicado demostrar, así como la implementación de las estrategias de continuidad de las operaciones. La medición de la efectividad de los controles se muestra de manera genérica pero por cada gerencia no se puede demostrar. Los análisis de impacto realizados para garantizar la continuidad del negocio muestran un estado básico de aplicación, en algunos casos se dificulta su presentación en otros, se comenta su reciente realización y en otros se comenta la falta de implementación ISO c) 4.2.3.c. Medir la efectividad de los controles para verificar que se tomaron en cuenta los requisitos de seguridad.

78 3. Efectividad de Controles y Objetivos – Plan de AcciónReuniones de Inducción a cada área con respecto a entendimiento del Sistema de Gestión. Establecimiento de acuerdo de revisiones mensuales de evaluación de efectividad de controles y retroalimentación a matrices de gestión de riesgos. Ejecución de Reuniones de Revisión Mensual Establecer forma de revisión de efectividad de controles

79 4. Observación - Declaración de AplicabilidadPROCESO AUDITADO OBSERVACIONES Todos 1.- El enunciado de aplicabilidad así como la identificación de requisitos legales son generales esto no permite observar de forma particular al proceso tanto la aplicabilidad como el requisito legal en el proceso especifico. La declaración de aplicabilidad general se debe de alimentar de lo particular no al revés. Propuesta: Sesión de Trabajo para la revisión de la Declaración de Aplicabilidad. Se realizará la siguiente semana (11 al 15 de noviembre)

80 4. Observación – Política de Escritorio LimpioPROCESO AUDITADO OBSERVACIONES Todos 2.- La aplicación de las políticas de escritorio limpio, pantalla limpia y control de accesos debe permear más en la organización Propuesta: Charlas de concientización. Inspección mensual con reporte al Jefe de Área. Se realizará la semana del 18 al 22 de noviembre.

81 Consideraciones: proceso de auditoria de certificación del SGI

82 Datos de la Auditoría Interna:Se realizará del 2 al 6 de diciembre de acuerdo al Programa de Auditoría. Empresa SGS Se está realizando las coordinaciones. Área N° Procesos Fecha Hora Coordinador OS Generales 09:00-18:00 Carlos Gonzales Fung GFE 02 Esteban Inga Llancas GFHL 09:00-13:00 José Canelo Marcet GFGN 01 14:00-18:00 Otilia Aguirre Aguirre GART Juan Jose Javier Jara STOR Luís Espinoza Becerra SIGED Carlos Gonzales RRHH - 14:00-15:30 José Chang

83 Proceso de auditoría de certificación del SGIFactor clave 1: Conocer los Documentos del SGI. Factor clave 2: Conocer cómo los controles, de su ámbito, están implementados o se cumplen dentro de su proceso. Factor clave 3: Comprender la Política Especifica de Seguridad de la Información. (OS-LI-01) Factor clave 4: Estar debidamente entrenados de acuerdo al rol que cumplimos dentro del SGI.

84 Proceso de auditoría de certificación del SGIActividad clave 1: Conocer el plan de auditoría. Actividad clave 2: Conocer como los controles del anexo A sobre las cuales nos van a auditar estás implementados (revisar la Declaración de Aplicabilildad). Actividad clave 3: Durante la auditoría decir siempre la verdad. Actividad clave 4: Conocer exactamente dónde están, ubicación física y/o lógica, los activos de información. Actividad clave 5: Conocer las actividades del proceso auditado (quién le envía qué información, y ud. Qué envía a quién). Actividad clave 6: Conocer cómo se desarrolla una SACP. Conocer el estado de las SACPs y Observaciones de su área derivadas de auditorías y/o hallazgos. Actividad clave 7: Conocer cómo reportar un incidente de seguridad de la información (SGI-PG-02).

85 Otros Aspectos ImportantesSituación de los controles de la gestión de riesgos 2012. Diferencias entre la gestión de riesgos 2012 y 2013. Como los controles implementados del periodo 2012 han mitigado los riesgos (Eficacia de los controles). Explicar si ha habido reevaluación de riesgos por cambios en los procesos. Revisión de los Informes de Gestión trimestrales. Explicar los controles implementados y el seguimiento al cumplimiento de controles. Exponer la realización de programas de capacitación y concientización interna (dentro de las áreas) si las ha habido. Exponer como han tratado los incidentes de seguridad de información SACPs a cargo y las que han generado. Seguimiento al tratamiento de las SACPs.

86 Durante la Auditoria, el Auditor hará básicamente 3 cosas:Observar Oír Verificar

87 Utilizan los siguientes recursos para observar, oír y verificar:Personal de todos los niveles Procedimientos documentados Registros de la organización Observación del trabajo “in situ” Observación de las condiciones de trabajo Equipos herramientas (hardware y software) El Auditor entrevista a las personas para: Asegurarse de que entienden los requisitos del Sistema de Seguridad de la Información. Obtener las descripciones del funcionamiento de un proceso. Obtener explicaciones sobre un requisito.

88 Por lo tanto…

89 Partes Interesadas > Administrados PROCESO Partes Interesadas > Administrados Evaluación / Calificación de la Solicitud => Expediente Partes Interesadas > Administrados Solicitud Resultado (Resolución / Obs.)

90 Partes Interesadas > Administrados Expediente Resolución Sistema que uso Base de Datos Servicios Pérdida del expediente Caída / Falla del sistema Alteración de datos Riesgos PROCESO Partes Interesadas > Administrados Evaluación / Calificación de la Solicitud => Expediente Partes Interesadas > Administrados Solicitud Resultado (Resolución / Obs.) Control Confidencialidad Integridad Disponibilidad Activos de Información

91 Gracias