Upload
fchavesta
View
44
Download
6
Embed Size (px)
Citation preview
Seminario Regional Tacna:
GOBIERNO ELECTRÓNICO EN EL MARCO DEL PROCESO DE DESCENTRALIZACIÓN Y MODERNIZACIÓN DE LA GESTIÓN DEL
ESTADO
Carlos A. Horna [email protected]
ONGEI - PCM
Seguridad de la Información27 -Junio -2012
Que es Seguridad de la Información?
La información
Una causa potencial de un incidente no deseado, que puede resultar en daño para un sistema o una organización
Amenazas
Una causa potencial de un incidente no deseado, que puede resultar en daño para un sistema o una organización
Amenazas
Vulnerabilidad
Una debilidad de un activo o grupo de activos que pueden ser aprovechados por una o mas amenazas
Riesgos
Combinación de la probabilidad de un evento y de sus consecuencias, estos pueden ser positivos o negativos, pero se toman en cuenta los negativos para tomar medidas de mitigación.
Seguridad de la información
Preservación de tres características como son la confidencialidad, integridad y disponibilidad de la información.
Marco Normativo
RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM
Norma Técnica Peruana “NTP-ISO/ IEC 17799:2007
EDI. Tecnología de la Información. Código de buenas
prácticas para la gestión de la seguridad de la
información. 2a. Edición” en todas las entidades
integrantes del Sistema Nacional de Informática.
RESOLUCIÓN MINISTERIAL Nº 129-2012-PCM
Aprueban uso obligatorio de la Norma Técnica Peruana
“NTP-ISO/ IEC 27001:2008 EDI. Tecnología de la
Información. Sistema de Gestión de Seguridad de la
Información. Requisitos” las entidades integrantes del
Sistema Nacional de Informática
La familia ISO 27000
Seminario Regional Ancash: GOBIERNO ELECTRÓNICO EN EL MARCO DEL PROCESO DE DESCENTRALIZACIÓN Y MODERNIZACIÓN DE LA GESTIÓN DEL ESTADO
Chimbote 27 -10 -2011
El sistema de gestión
Estructura ISO/IEC 27001:2005 1. Alcance
2. Referencias Normativas
3. Términos y definiciones
4. Sistema de gestión de seguridad de la información
5. Responsabilidad de la gerencia
6. Auditoría interna del SGSI
7. Revisión gerencial del SGSI
8. Mejora del SGSI
4.2.1 Establecimiento del SGSI
4.2.2 Implementar y operar el SGSI
4.2.3 Monitorear y revisar el SGSI4.2.4 Mantener
y mejorar el SGSI
SGSISGSI
● Definir el alcance
● Definir la Política
● Definir el enfoque de evaluación de riesgos
● Gestionar los riesgos
● Seleccionar objetivos de control y controles
● Elaborar la declaración de aplicabilidad
Establecimiento del SGSI
Gestión de riesgos
Los controles
A.5 Política de seguridad
A.6 Organización de la seguridad de la información
A.7 Gestión de activos
A.8 Seguridad relacionada con el personal
A.9 Seguridad física y del entorno
A.10 Gestión de comunicaciones y operaciones
A.11 Control de acceso
A.12 Adquisición, desarrollo y mantenimiento de los sistemas de la información
A.13 Gestión de los incidentes de seguridad de la información
A.14 Gestión de la continuidad del negocio
A.15 Cumplimiento
El Anexo A
Los controles
Los controles definidos en el Anexo A, en su totalidad,
no necesariamente son de obligatorio cumplimiento,
sin embargo cualquier variación en la implementación
(exclusión, inclusión de controles nuevos o
modificados) debe ser sustentada.
La Implementación
Conclusiones
La administración pública debe velar por la seguridad de la información de los ciudadanos dentro del alcance definido por la institución de manera efectiva, eficiente, trazable y verificable.
El sistema de gestión de seguridad de la información definido en ISO/IEC 27001:2005 es el estandar de referencia mundial.
Importancia de las personas
Conocer sus roles y responsabilidad con la seguridad, las ventajas y beneficios.
• Las personas son factor clave en la implementación y éxito de las medidas de seguridad.
Gracias por su atenciónGracias por su atención
http://www.ongei.gob.pe