Escolar Documentos
Profissional Documentos
Cultura Documentos
La PCM conciente de los riesgos tecnológicos actuales, al cual estan expuestos los activos de
información de las diferentes organizaciones del sector público, el 25 de Agosto del 2007 emitió
a través de la Resolución Ministerial 246-2007-PCM, el uso obligatorio de la NTP-ISO/IEC
17799:Código de Buenas Prácticas para la Gestión de la Seguridad de la Información.
Toda norma que regule la materia de seguridad de la información, tiene como finalidad
asegurar los tres requisitos básicos:
Los tres requisitos precedentes son los pilares para asegurar la información y cualquier
proceso que haga uso de esta como por ejemplo, la normativa de firma electrónica, el
funcionamiento del D.N.I. electrónico, las medidas de seguridad en materia de protección de
datos de carácter personal, etc.
- Política de seguridad
- Aspectos organizativos para la seguridad
- Clasificación y control de activos
- Seguridad ligada al personal
- Seguridad física y del entorno
- Gestión de comunicaciones y operaciones
1/7
Política de Seguridad
- Control de accesos
- Desarrollo y mantenimiento de sistemas
- Gestión de incidentes de seguridad de la información
- Gestión de continuidad de negocio
- Conformidad
Alcances
Todas las instituciones públicas del Estado Peruano deberan considerar en materia de
seguridad de la información lo siguiente:
- En este sentido el ámbito de aplicación incluye a todas las entidades del Gobierno
2/7
Política de Seguridad
- Autonomía financiera
- Personalidad jurídica
- Patrimonio propio
Donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de las
decisiones.
Plazos:
3/7
Política de Seguridad
1. ETAPA I
El análisis de las principales funciones dentro de los procesos de la organización nos permitirá
identificar todos los recursos que interactúan en estos procesos, los cuales podemos
clasificarlos de la siguiente manera:
Materiales y Tecnológicos
Los recursos materiales y tecnológicos involucrados.
Recursos Humanos
Los recursos humanos involucrados.
Como resultado de esta etapa se tiene que tener una matriz con las funciones y todos los
recursos o activos de información involucrados dentro del proceso analizado.
2. ETAPA II
En esta etapa debemos de usar la información obtenida de la Etapa I, para implementar lo que
se recomienda dentro de la NTP-ISO/IEC 17799.
4/7
Política de Seguridad
En base a los controles establecidos para cada dominio de la Norma que permita
establecer la Brecha
El análisis de riesgos nos permitirá priorizar cuales son los activos prioritarios a proteger, y en
base a esto realizar una comparación de lo que ya se tiene implementado versus lo que falta
implementar, como medidas de seguridad.
3. ETAPA III
4. ETAPA IV
Una vez elaborados los pasos anteriores se definen como entregables los siguientes
documentos:
- Política de Seguridad
- Análisis de riesgos
- Brecha de lo implementado y lo que falta por implementar
- Plan de Seguridad de la Información (reflejado en el POI)
Gestión de la Seguridad
5/7
Política de Seguridad
El análisis del riesgo es una de las fases cruciales para el desarrollo y operación de un SGSI.
En esta fase la organización debe construir lo que será su "modelo de seguridad", una
representación de todos sus activos y las dependencias que estos presentan frente a otros
elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas
informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y
que tuviera un impacto para la organización).
El análisis de riesgos es como la visita del doctor donde nos identifica alguna enfermedad. Se
realizan una serie de actividades como son: identificación de activos, identificación de
amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el
riesgo.
Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo
estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas,
modificación en la ocurrencia de las amenazas. Por tanto, cada año la organización debe
replantearse su diagnóstico y cuestionarse si tiene nuevos sintomas o si los sintomas
detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La
mejora contínua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo
lógico es plantearse para el siguiente año atacar los siguientes menos altos.
6/7
Política de Seguridad
7/7