Sistema de Gestión

de la Seguridad de
la Información
ISO 27001:2013
¿QUÉ ES LA ISO?
 Sistema de Gestión de la
Seguridad de la Información
(SGSI)
Nacimos para reinventar
SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN
(SGSI) Es la herramienta de la organización para identificar e implementar las
medidas de seguridad oportunas, que proporcionen los niveles de
protección de la información que en cada momento sean necesarios,
de la forma más eficiente, en un entorno de mejora continua.

Proceso sistemático, documentado y conocido por toda la

organización, desde un enfoque de riesgo empresarial.

Ayuda a establecer políticas y procedimientos en relación a

los objetivos de negocio de la organización, con el objetivo de
mantener un nivel de exposición siempre menor al nivel de
riesgo que la propia organización ha decidido asumir.

Con el SGSI, la organización conoce los riesgos a los que está

sometida su información y los asume, minimiza, transfiere o
controla mediante un proceso definido, documentado y
conocida por todos, que se revisa y mejora periódicamente.
FASES DEL SGSI
FASES DEL SGSI

PLAN
(Establecer el SGSI)
DO
(Implementar y operar
el SGSI) CHECK
(Monitorear y revisar)
ACT
*Revisar el SGSI
(Mantener y mejorar)
*Medir la eficacia de los
controles *Implementar las
mejoras identificadas
*Revisar riesgos
residuales *Tomar las acciones
correctivas y preventivas
*Registrar acciones y apropiadas
eventos
*Comunicar los
*Realizar auditorías resultados y acciones a
internas todas las partes
interesadas
*Asegurar que las
mejoras logren sus
objetivos señalados
DIRECTIVA ISO: El Anexo SL

Con el tiempo, todas las

normas de Sistemas de
Gestión tendrán la misma
estructura, lo que facilitará
su integración.
DIRECTIVA ISO: El Anexo SL
1. Alcance
• Campo de aplicación de la norma.

2. Referencias Normativas
• Referencias a otras normas complementarias para su aplicación.

3. Términos y Definiciones
• Términos que deben ser usados para la aplicación de la norma.

4. Contexto de la Organización
• Conocer la organización y su contexto.
• Comprender las necesidades y expectativas de las partes interesadas.
• Determinar el alcance del Sistema de Gestión.
• El Sistema de Gestión y sus procesos.

5. Liderazgo
• Liderazgo y compromiso para el Sistema de Gestión.
• Política de gestión.
• Roles, responsabilidades y autoridades en la organización.

6. Planificación
• Acciones para identificar los riesgos y las oportunidades.
• Objetivos y su planificación para lograrlos.
DIRECTIVA ISO: El Anexo SL
7. Soporte
• Recursos (necesarios para establecer, implementar, mantener y mejorar el SG).
• Competencias.
8. Operación
• Esta cláusula varía de acuerdo a cada SG. Planificación, implementación y control
de los procesos necesarios para cumplir con los requerimientos:
• Estableciendo los criterios para el control de los procesos.
• Implementando el control de los procesos de acuerdo con los criterios
establecidos.
• Manteniendo la información documentada en la extensión necesaria para tener La organización debe
confianza que los procesos se llevan a cabo de acuerdo a lo planificado. controlar los cambios
planificados y revisar las
9. Evaluación del Desempeño consecuencias de los cambios
• Seguimiento, medición, análisis y evaluación. no intencionados, tomando
• Auditoría Interna. las acciones para mitigar
• Revisión por la Dirección. cualquier efecto adverso si
fuera necesario.
10. Mejora La organización debe asegurar
• No conformidad y Acción Correctiva. que los procesos externos son
• Mejora Continua. controlados.
 ISO 27001:2013
Sistema de Gestión de Seguridad de la
información (SGSI)
Con enfoque en Riesgos

Nacimos para reinventar

¿QUÉ ES EL ENFOQUE BASADO EN RIESGOS?

En la ISO 27001:2013 se requiere que la organización entienda su contexto externo e interno y

comprenda las necesidades y expectativas de las partes interesadas.

Se hace más explícito el concepto de riesgo y necesita ser considerado en el SGSI en forma
global.

Se requiere que en la Gestión de la Seguridad de la Información se determine los riesgos y las

oportunidades que necesitan tratarse

El enfoque basado en riesgos hace de las acciones preventivas parte de la rutina de gestión a
través de los controles implementados.

El riesgo es frecuentemente visto como algo negativo, sin embargo el enfoque basado en riesgo
puede también ayudar a identificar oportunidades. Esto puede ser considerado el lado positivo
del riesgo.
INFORMACIÓN DE VALOR
• Conjunto de datos organizados en poder de una
entidad que posea valor para la misma,
¿Qué es la
independientemente de la forma en que se
información?
guarde o transmita, de su origen o de la fecha de
elaboración

• Impresa o escrita en papel

• Guardada electrónicamente
Tipos de • Transmitida por correo o medio electrónicos
información • En videos corporativos
• Publicada en la web
• Verbal – en conversación

• La información, junto a los procesos y sistemas

que hacen uso de ella, es un activo vital para
Valor el éxito y la continuidad en el mercado de
cualquier organización, y debe ser protegida
adecuadamente
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?

Información Para la persona

Integridad
correcta correcta
(veracidad e integridad de
los métodos de (usuarios autorizados)
procesamiento)

En el momento
correcto
(cuando sea requerido)
SEGURIDAD DE LA INFORMACIÓN

La gestión efectiva de la seguridad debe ser

parte activa toda la organización, con la
alta dirección al frente, tomando en
consideración también a clientes y
proveedores de bienes y servicios.

El modelo de gestión de la seguridad debe

contemplar procedimientos adecuados y
la planificación e implantación de
controles de seguridad basados en una
evaluación de riesgos y la medición de la
eficacia de los mismos.
Sistema de Gestión
de la Seguridad de
la Información
ISO 27001:2013

SESIÓN 2
 Activos de Información

Nacimos para reinventar

¿QUÉ ES UN ACTIVO DE LA INFORMACIÓN?

Todo elemento que facilita el procesamiento, transferencia, almacenamiento o

destrucción de la información; por lo tanto, tiene un valor para el negocio y
debe protegerse.
 ¿QUÉ ES UN ACTIVO DE LA INFORMACIÓN?

Archivos y bases de Documentación del

Contratos y acuerdos Manuales de los usuarios
datos sistema

Material de formación Aplicaciones Software del sistema Equipos informáticos

Equipos auxiliares (UPS,

Grupo Electrógeno, aire
Equipo de Servicios informáticos y
acondicionado, sistema Las personas
comunicaciones de comunicaciones
contra incendio, entre
otros)
 Análisis de Riesgos

Nacimos para reinventar

PREMISA

¿Por qué es importante tomar

conciencia acerca de la
Seguridad de la Información?
PREMISA

Las personas son el lado MÁS

DÉBIL de la Seguridad y lo MÁS
DIFÍCIL de controlar
PREMISA
Definición de riesgo

Efecto de la incertidumbre sobre los objetivos.

Nota 1 de entrada: Un efecto es una desviación de lo esperado – positivos y/o
negativos. En los Objetivos.
ISO 31000, cláusula 3.1 Riesgo

Redactar el enunciado de un riesgo:

amenaza + activo + entorno.
Ejemplo: Robo + del celular + en el metropolitano.
Amenaza: situación o hecho externo (no tenemos control de ella).
¿FACTORES DEL RIESGO?

RIESGO: La posibilidad de que una amenaza explote la

vulnerabilidad de un activo y cause daño o pérdida. Es la
posibilidad de que se produzca un impacto sobre algún activo.

Riesgo Efectivo: Es el estudio que se

Riesgo Intrínseco: Es el riesgo
realiza teniendo en consideración las
inherente al activo. Es el estudio que se
medidas de seguridad que la
realiza sin tener en consideración las
organización ya tiene implantada, o va a
diferentes medidas de seguridad que
implementar. Es el nivel de riesgo
puedan ser implementadas en una
esperado después de implementados y
organización.
evaluados.
Gestión de riesgos - principios y directrices

EL RIESGO ES EL EFECTO DE
LA INCERTIDUMBRE SOBRE
LOS OBJETIVOS

Fuente: ISO 31000:2009 - gestión de riesgos

Análisis de riesgo

Explota

Aplica

Queda

Proceso sistemático para estimar la magnitud de los riesgos a los que está expuesta una organización.
Los Factores Externos

POLITICO
LEGAL

ECONOMICO
COMPETENCIA
FINANCIERO

SOCIAL
MERCADO
CULTURAL

TECNOLOGICO
Los Factores Internos

INFORMACION COLABORADORES

TECNOLOGIA PROCESOS

INFRAESTRUCTURA
Nivel de riesgo
ANÁLISIS DE RIESGOS – DEFINICIONES
• Algo que tiene el potencial de
Amenaza dañar a un activo.

• Una debilidad en el activo

Vulnerabilidad que puede ser explotada por
una amenaza.

• Medida del daño sobre el

Impacto activo (materialización de una Fallo de red o de Usuario con grandes
conocimientos
Falta de documentación
sistema
amenaza).

• medida de la probabilidad de
Frecuencia ocurrencia de una amenaza.

• medida de la pérdida de valor Robo o sabotaje

Degradación de un activo cuando ocurre Virus

una amenaza.

Controles • medios para contrarrestar las

amenazas (organizativos,
(Salvaguarda) técnicos, físicos, entre otros).
Fallo de seguridad física Desastres naturales e incendios
MITIGAR RIESGOS

RIESGO RIESGO

SELECCIONAR IMPLANTAR VERIFICAR ESTABLECER

CONTROL CONTROL CONTROL MÉTRICAS

Al implementar CONTROLES se mitigan los

RIESGOS
Sistema de Gestión
de la Seguridad de
la Información
ISO 27001:2013

SESIÓN 3
 Controles de seguridad de la
información

Nacimos para reinventar

¿QUÉ SON LOS CONTROLES Y PARA QUÉ SIRVEN?

ISO 27001:2013
Permite garantizar que cada aspecto que se 14 Cláusulas o dominios de
valoró como riesgo, está cubierto y es
controles de Seguridad de la
auditable
Información

Seleccionados e implementados según 35 Categorías de Control

requerimientos identificados.

114 Controles
ISO 27002 (ISO 27001 – Apéndice A)
.
CONTROLES
A.6 A.7
A.5
Organización Seguridad A.8 A.9
Políticas de
de la seguridad ligada a los Administración Control de
seguridad de la
de la recursos de activos acceso lógico
información
información humanos
A.9.1 Requisitos
A.8.1 de negocio para el
A.7.1 Previo al
Responsabilidad control de acceso
A.6.1 empleo
por los activos
Organización
interna
A.9.2 Gestión de
A.5.1 Orientación acceso del usuario
de la dirección A.7.2 Durante el A.8.2 Clasificación
para la seguridad empleo de la información
de la información A.9.3
Responsabilidades
del usuario
A.6.2 Dispositivos
móviles y trabajo
A.7.3
remoto A.8.3 Manejo de A.9.4 Control de
Desvinculación y
los medios acceso al sistema
cambio de empleo
y aplicaciones
CONTROLES

A.11 A.12 A.13

A.10
Seguridad física y Seguridad de las Seguridad de las
Criptografía
del ambiente operaciones comunicaciones

A.12.1 Procedimientos
operacionales
A.12.2 Protección contra
código malicioso A.13.1 Gestión de la
A.11.1 Áreas seguras
seguridad de red
A.12.3 Respaldo

A.10.1 Controles A.12.4 Registro y

criptográficos monitoreo
A.12.5 Control del
software de operación
A.12.6 Gestión de la A.13.2 Transferencia
A.11.2 Equipamiento
vulnerabilidad técnica de información

A.12.7 Auditoría de los

sistemas de información
CONTROLES
A.17
A.14 A.16
A.15 Aspectos de
Adquisición, Gestión de A.18
seguridad de la
desarrollo y Relaciones con el incidentes de
información en la Cumplimiento
mantenimiento proveedor seguridad de la
continuidad del
del sistema información
negocio

A.14.1 Requisitos
de seguridad de A.18.1
A.15.1 Seguridad A.17.1
los sistemas de Cumplimiento
de la información Continuidad de
información con los requisitos
en las relaciones la seguridad de la
legales y
con el proveedor información
contractuales
A.16.1 Gestión
A.14.2 Seguridad
de incidentes de
en procesos de
seguridad de la
desarrollo y
información y
soporte
mejoras
A.15.2 Gestión
A.18.2 Revisiones
de entrega del A.17.2
de seguridad de
servicio del Redundancias
A.14.3 Datos de la información
proveedor
prueba
 Beneficios de la Seguridad de
la Información

Nacimos para reinventar

Beneficios de la Seguridad de Información – ISO 27001

CONFIDENCIALIDAD
Asegurar que la información es accesible sólo a aquellos que están autorizados.

INTEGRIDAD
Resguardar la veracidad e integridad de la información y los métodos de procesamiento

DISPONIBILIDAD
Garantizar que los usuarios autorizados tengan acceso a la información y los recursos
asociados cuando lo requieran.
Beneficios de la Seguridad de Información – ISO 27001

Evitar efectos no Confianza para

deseados DATOS el cliente

Confidencialidad Integridad

Continuidad Reducción
operativa de costos

Disponibilidad

Reducción de Ventaja
incidentes competitiva

Ingreso a nuevos
mercados
Sistema de Gestión
de la Seguridad de
la Información
ISO 27001:2013

SESIÓN 4
 Políticas de la Seguridad de la
Información

Nacimos para reinventar

SGSI.POL.01. Política de Seguridad de la Información
 SGSI.POL.01. Política de Seguridad de la Información

¿CUAL ES EL OBJETIVO?:

• Garantizar la conservación de la confidencialidad, integridad y disponibilidad de la

información.
• Proteger los activos de información que dan soporte a los procesos y servicios críticos.
• Asegurar la continuidad de las operaciones del negocio.
• Cumplir las leyes y regulaciones aplicables (ej. SOX, LPDP).
• Controlar los riesgos asociados.
• Anticiparse a los hechos de seguridad de la información.
• Responder inmediatamente a los incidentes que se presenten.

Gobierno de la seguridad de la información:

• Comité de Gestión :CEO, BU y Gestión de Calidad.
• Propietarios de activos de información.
• Propietarios de riesgos.
 SGSI.POL.02 Política de Control de Acceso

• Nivel de acceso a sistemas es estrictamente según las necesidades del puesto.

• Toda contraseña es de uso personal.
• Contraseña debe ser con más de 8 caracteres: letras, números y caracteres especiales
(léase *, #, > , etc.) y alternar entre letras mayúsculas y minúsculas.
• No escribir, ni colocar contraseñas en lugares expuestos.
• Guarde los archivos importantes con opciones de cifrado (encriptación).
• Personalice las carpetas compartidas.
• Activar registros de auditoria (LOG) para analizar la trazabilidad de los hechos.
 SGSI.POL.03 Política para la Clasificación de Información

CONFIDENCIAL: Debe mantenerse en la más estricta reserva.

✓ Sujeta al cumplimiento de requisitos legales y/o

contractuales.
✓ Es crítica para el desarrollo estratégico del negocio
✓ Divulgación no autorizada ocasiona impactos severos a la
organización en términos económicos y de prestigio
✓ Divulgación a terceros podría darse sólo mediante la firma
de un acuerdo de confidencialidad.

Ejm:
➢ Información de clientes.
➢ Información comercial y económica.
➢ Información de personal, entre otros.
 SGSI.POL.03 Política para la Clasificación de Información

RESTRINGIDO: información inherente a las operaciones de un proceso o área de

negocio específica.
✓ Podría estar sujeto a cumplimiento legal y/o contractual.
✓ Es crítica para las operaciones del proceso/área de negocio,
✓ Divulgación no autorizada podría ocasionar perjuicios a la organización en
términos económicos, de servicio al cliente y ventaja competitiva.
✓ Divulgación a terceros podría darse sólo mediante la firma de un acuerdo de
confidencialidad.

USO INTERNO: información destinada a toda la organización, no implica el

cumplimiento de requisitos legales y/o contractuales.
✓ Divulgación no autorizada no representa mayor impacto para la organización.
✓ Divulgación a terceros podría darse sólo bajo la autorización formal de su
propietario mediante la firma de un acuerdo de confidencialidad.

PÚBLICO: Información destinada al conocimiento de la comunidad.

https://canvia.com
 SGSI.POL.04 Política de Seguridad Física

PERSONAL INTERNO PERSONAL EXTERNO

• Portar el FOTOCHECK en un lugar
visible.
• Registro de visitantes y ser
acompañado durante su
permanencia
• Mantener puertas y gabinetes
cerrados, evitando el acceso no
autorizado a la información.
• Debe identificarse y permitir ser
registrado por el personal interno.
• Activos del personal externo debe
tener la autorización del responsable
del área.
• Comunicar requisitos de seguridad del
área.
• Toda visita de índole personal debe
ser atendida fuera del área.
 SGSI.POL.05 Política de Seguridad para Usuarios Finales

• Los activos de propiedad de CANVIA o • NO copiar software de CANVIA o

clientes deben ser utilizados solo para clientes para uso personal.
fines del negocio. • NO copiar, instalar, bajar de Internet,
• Los usuarios no poseen privacidad sobre modificar, transformar, adaptar;
los activos . software de terceros sin autorización.
• El propietario de activos debe asegurar • No alterar, digitalizar, compartir,
que se tengan controles de seguridad copiar, imprimir, enviar, transmitir
necesarios, para la protección de la información CONFIDENCIAL sin
información. autorización.
• Se debe reportar todo evento o incidente • Tomar precauciones para evitar intrusos
de seguridad, utilizando los canales en la red de CANVIA o clientes.
establecidos por la organización.
 SGSI.POL.06 Política de respaldo de información
• Backups
✓ La información crítica del negocio debe
ser protegida a través de copias de
respaldo (backup).
✓ La ejecución de backups debe ser
registrada formalmente.
✓ Solo personal autorizado puede realizar
el backup de la información.
✓ Se deben establecer procedimientos
específicos para la gestión de backups.
• Restore
✓ Los backups deben ser revisados y
probados regularmente para verificar
su funcionamiento. (pruebas de
restore)
✓ El restore y las pruebas de restore
deben registrarse formalmente.
✓ Solo personal autorizado puede
realizar el restore de la información.
✓ Se deben establecer procedimientos
específicos para la gestión del restore.
 SGSI.POL.07 Política de transferencia de Información
• En llamadas telefónicas:
✓ Evite ser escuchado cuando transmita
información sensible (datos personales,
contraseñas, información de clientes,
información comercial o de negocio,
etc.)
• En lugares públicos, oficinas o salas
de reunión abiertas:
✓ Evite ser escuchado cuando tenga que
revelar información sensible.
• En el correo electrónico:
✓ El email del destinatario debe ser el correcto.
✓ No envíe información a personas no autorizadas.
✓ Asegurar activar la opción de acuse de recibo
✓ Asegurar activar las opciones de encriptación
(mensaje y archivos adjuntos) y firma digital.
• En traslado de documentos o medios extraíbles:
✓ Utilice Transportes confiables (Servicio de Taxi).
✓ Utilice técnicas de lacrado para asegurar que la
información no pueda ser leída fácilmente y esta
llegue a su destino tal como fue enviada.
 SGSI.POL.08 Política de protección contra el malware
• Programas automáticos
✓ Utilizar software anti malware (antivirus,
antispyware, etc.)
✓ Actualizar continuamente el software anti
malware para prevenir y eliminar las
consecuencias de la acción de los virus
informáticos.
✓ Las herramientas anti malware deben ser
instalados solo por el personal autorizado
(personal de Mesa de Ayuda y/o
Administradores de Sistema Operativo).
• Actualizaciones
✓ Se deben actualizar periódicamente las versiones
del software Anti-Malware y dicha situación debe
estar reflejada en los contratos con el proveedor.
• Archivos enviados y recibidos:
✓ El software Anti-Malware ( Anti-Virus, Anti-
Spyware, etc. ) debe permitir la detección de
malware en archivos enviados y recibidos vía el
servicio de correo electrónico y detección sobre
aplicaciones HTTP, FTP, SMTP y POP3 desde otras
redes de datos / internet.
 SGSI.POL.09 Política de gestión de vulnerabilidades técnicas

• Los equipos informáticos y aplicaciones de misión critica para las

operaciones del negocio deben ser analizados para identificar
posibles vulnerabilidades técnicas.

• Las pruebas de vulnerabilidad deben ser programadas anualmente y

solicitadas al área de servicios SOC para su ejecución.

• Los resultados de las pruebas de vulnerabilidad deben ser informados

a los propietarios de los activos de información para las acciones
correctivas que sean necesarias.

• Los propietarios de activos de información tienen la responsabilidad

de gestionar la ejecución de pruebas de vulnerabilidad para los
activos que están bajo su responsabilidad y tomar acciones
correctivas cuando sea necesario para garantizar la seguridad de la
información.
 SGSI.POL.10 Política de uso de controles criptográficos

• El propietario de la información debe asegurar que se utilicen

controles criptográficos apropiados para:
✓ La protección de claves de acceso a los sistemas, datos y
servicios.
✓ La transmisión de información sensible, fuera del ámbito de
CANVIA.

• Asimismo, asegurar que la organización desarrolle

procedimientos para la administración de claves de cifrado y la
recuperación de información cifrada en caso de pérdida.
 SGSI.POL.11 Política de Seguridad en las Comunicaciones

• Toda solicitud de conexión de equipos a la red de CANVIA debe realizarse por el

responsable del área solicitante a través del servicio de Mesa de Ayuda.
• Todo acceso a la red se debe basar en el principio del Menor Acceso posible.
• Todos los cambios de acceso a red deben ser justificados.
• Si se identifica la existencia de un acceso no autorizado a la red, el
administrador de la red debe cancelar la conexión en el breve plazo .
• Notificar al Área de Mesa de Ayuda cuando ya no se requiera el acceso a la red
 SGSI.POL.11 Política de Seguridad en las Comunicaciones

• No se debe permitir el uso de laptops de personal

externo salvo autorización del responsable del área.

• Las laptops del personal externo no deben tener

acceso la red CANVIA.

• Todo usuario de laptops debe protegerla para evitar

la perdida de la información o su acceso no
autorizado.
 SGSI.POL.11 Política de Seguridad en las Comunicaciones

• El uso de equipos fuera de CANVIA debe tener

autorización del propietario del activo.

• El uso de la información de CANVIA desde

otros lugares debe cumplir las normativas
respecto a la seguridad de información
establecidas por el SGSI, en especial el
personal destacado a proyectos fuera de las
instalaciones de CANVIA.
 SGSI.POL.12 Política de Seguridad de la Información Personal

• Se deben analizar y evaluar los riesgos Ley de Protección de Datos

relacionados con la información personal que Personales – Ley Nº 29733 y su
Reglamento
esta bajo responsabilidad de la organización.

• Establecer controles de seguridad para su

protección de acuerdo con la ley de protección
de datos personales vigente; evitando la
perdida, adulteración, transferencia no
autorizada, etc. de la información personal, ya
sea que los riesgos provengan de la acción
humana o del medio técnico utilizado.
 SGSI.POL.13 Política de Seguridad con Proveedores y Terceras partes

• Acuerdo de Confidencialidad
Los responsables del área o proyecto deben
suscribir el documento SGSI.F.13 Acuerdo de
Confidencialidad con terceros en los casos que se
deba proporcionar documentación clasificada de la
organización a proveedores o terceras partes.

• Cumplimiento del Sistema de Seguridad de la

Información (SGSI)
Los proveedores y terceras partes deben cumplir lo
establecido en la SGSI.POL.01 Política de seguridad
de la información y procedimientos relacionados
que apliquen al ámbito de su servicio.
 SGSI.POL.14 Política de Seguridad de Aplicaciones

• Adquisición de aplicaciones
Se deben definir requisitos de seguridad de la información para toda aplicación
que se requiera adquirir.

• Registro de las aplicaciones

Tanto las aplicaciones como el software en general deben ser registrados en el
inventario de activos del SGSI y actualizados cuando existan cambios
relacionados con el software. Asimismo, se debe identificar y registrar los datos
de su propietario.
 SGSI.POL.14 Política de Seguridad de Aplicaciones

• Análisis de vulnerabilidades
Periódicamente se debe realizar un análisis de vulnerabilidad al software y
tomar las acciones correctivas que sean necesarias para garantizar la
seguridad de la información.

• Gestión de riesgos
Se debe realizar el análisis de riesgos relacionado con las aplicaciones,
definir e implementar los controles de seguridad necesarios para garantizar la
seguridad de la información.
Gracias
Lima, 2021

Gestión de Calidad