Implementación de un Sistema de Gestión de

Seguridad de la Información
ISO/IEC 27001:2013

Gianncarlo Gómez Morales

Oficial de Seguridad de la Información y Protección de Datos Personales
¿Qué es el OSIPTEL?
Sistema de Gestion de Seguridad de
la Información
Proceso de Implementación en el
OSIPTEL
Cumplimiento Normativo
Proceso de Certificación
Algunos resultados
¿Quiénes somos?
OSIPTEL 22 años trabajando por un país más y mejor

OSIPTEL Somos el organismo público que regula y supervisa el

desarrollo de los servicios de telecomunicaciones.
Servicios
Funciones
Norma y regula los
servicios públicos de Telefonía fija
telecomunicaciones

Telefonía móvil
Soluciona en segunda
Supervisa, fiscaliza y
instancia los reclamos
sanciona
de los usuarios

Telefonía pública

Televisión de paga

Soluciona
Actúa como agencia de
controversias entre
competencia
empresas Internet
Grupos de interés del Osiptel

06 Empresas Usuarios de
01
Operadoras Telecomunicaciones
1,500 EOT Telf. Fija : 3,077.144
Telf. Móvil: 30,098,298
Internet Fijo: 1,618.907

05 Usuarios
02
Organismos Potenciales de
Públicos Telecomunicaciones

Organismos Organismos
Internacionales Civiles

04 03
Indicadores del sector

Telefonía Móvil Telefonía fija Televisión de Paga Internet fijo Orientación de usuarios Líneas Portadas
36,585,881 3,164,173 1,774,275 2,008,288 219,813 178.476
Julio 2016 Julio 2016 Julio 2016 Julio 2016 2015 Agosto 2016
Sistema de Gestion de Seguridad de la Información
ISO/IEC 27001:2013

de Gestión de la Seguridad de la
Información (SGSI). . Es la norma principal
de requisitos de un Sistema de Gestión de Seguridad
de la Información.
Especifica los requerimientos para un SGSI (Clausula 4
a 10 para la versión 2013)
Requerimientos (Clausulas) son escritas usando el
verbo imperativo o Shall su término en
ingles.
Anexo A: contiene 14 Clausulas, 35 objetivos de
control y 114 controles (antes 133)
Las organizaciones pueden obtener la certificación de
este estándar.
Clausulas del ISO/IEC 27001:2013

C
D
P

Plan Do Check Act

4. CONTEXTO DE LA 8. OPERACION 9. EVALUACION DEL 10. MEJORAS
ORGANIZACION 8.1 Planificación y DESEMPEÑO 10.1 No
5. LIDERAZGO control operacional 9.1 Monitoreo, conformidades y
6. PLANIFICACIÓN 8.2 Evaluación de medición, análisis y acción correctiva
7. SOPORTE riesgos de seguridad evaluación 10.2 Mejora continua
de la información 9.2 Auditoría interna
8.3 Tratamiento de 9.3 Revisión por la
riesgos de seguridad gerencia
de la información
ISO 27002:2013

A.5 Políticas de seguridad de la información

Anexo A ISO 27001:2013 Objetivos de Control

A.6 Organización de la seguridad de la información
A.7 Seguridad relativa a los recursos humanos
A.8 Gestión de activos
A.9 Control de acceso
A.10 Criptografía
A.11 Seguridad física y del entorno
A.12 Seguridad de las operaciones
A.13 Seguridad de las comunicaciones
A.14 Adquisición, desarrollo y mantenimiento de los sistemas de información
A.15 Relación con proveedores
A.16 Gestión de incidentes de seguridad de la información
A.17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio
A.18 Cumplimiento
Ventajas del ISO/IEC 27001:2013

Mejora de la Buen Reducción de

Cumplimiento
Seguridad gobierno Costos
Pilares de Seguridad de la Información

Confidencialidad
Asegurando que sólo quienes

C estén autorizados pueden

acceder a la información

Disponibilidad
Asegurando que los usuarios
autorizados tienen acceso
a la información usando lo
requieran
D Integridad
Asegurando que la información y

I sus métodos de
proceso son exactos y completos.
Implementación del SGSI
Implementación del SGSI en el OSIPTEL

Conformación de comité de
Determinación del Alcance del SGSI Análisis y Gestión de riesgos
Seguridad de la Información

01 02 03 04 05 06 07

Formalización del Proyecto Análisis GAP Elaboración de la Política de Seguridad de la Información documentada
Información
Implementación del SGSI en el OSIPTEL

Formación y concientización Revisión por la alta dirección

Proceso de
08 09 10
Certificación

Auditoria Interna
Resolución de Presidencia Nº 069-2012-PD/OSIPTEL

Artículo 1º.- Crear el Sistema de Gestión de Seguridad

de la Información SGSI del OSIPTEL, de acuerdo a lo
señalado en la Resolución Ministerial N° 129-2012-
PCM.

Artículo 2º.- Conformar el Comité de Seguridad de la

Información y asignarle las funciones respectivas
conforme a lo establecido en el Numeral 6.1.1 de la
Norma Técnica Peruana NTP-ISO/IEC 17799:2007

Artículo 3º.- Disponer que el Oficial de Seguridad de la

Información se encargará de realizar las propuestas y
mejoras del SGSI ante el Comité de Seguridad de la
Información.
Comité de Seguridad de la Información

Gerente General
.

Gerente de Tecnologías de
la Información, Jefe de Infraestructura
Comunicaciones y Tecnológica
Estadística. .

Jefe de Informática y
Gerente de Asesoría Legal
Sistemas
.

Gerente de Administración
.Coordinador de Seguridad
y Finanzas
.

SGSI
Analisis de Brecha

Basado en el Modelo CMMI, se usa un modelo de madurez con el propósito de ayudar a evaluar la
seguridad de la información, a determinar en qué nivel o grado se encuentra y así tomar decisiones que
permitan identificar las falencias que se tienen en un determinado nivel.

NIVEL DESCRIPTOR DESCRIPCIÓN

1 Inexistente Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que resolver.

Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos.
2 Iniciado Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma
individual o caso por caso.
Los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación.
3 Definido Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten
desviaciones.
Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no
4 Gestionado estar funcionando efectivamente.
Los procesos están bajo constante mejoramiento y proveen buena práctica.
Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y
diseño de la madurez con otras organizaciones.
5 Optimizado
TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad
y la efectividad, haciendo que la empresa se adapte con rapidez
Analisis de Brecha

N° ID CONTROL CLAUSULA NIVEL DE MADUREZ

1 4 CONTEXTO DE LA ORGANIZACION
2 4.1 Comprender la organización y su contexto
3 4.2 Comprender las necesidades y expectativas de las partes interesadas
4 4.3 Determinar el alcance del sistema de gestión de seguridad de la información
5 4.4 Sistema de gestión de seguridad de la información
6 5 LIDERAZGO
7 5.1 Liderazgo y compromiso
8 5.2 Política
9 5.3 Roles, responsabilidades y autoridades organizacionales
10 6 PLANIFICACIÓN
11 6.1 Acciones para tratar los riesgos y las oportunidades
12 6.2 Objetivos de seguridad de la información y planificación para conseguirlos
13 7 SOPORTE
14 7.1 Recursos
15 7.2 Competencia
16 7.3 Concientización
17 7.4 Comunicación
18 7.5 Información documentada
19 8 OPERACION
20 8.1 Planificación y control operacional
21 8.2 Evaluación de riesgos de seguridad de la información
22 8.3 Tratamiento de riesgos de seguridad de la información
23 9 EVALUACION DEL DESEMPEÑO
24 9.1 Monitoreo, medición, análisis y evaluación
25 9.2 Auditoría interna
26 9.3 Revisión por la gerencia
27 10 MEJORAS
28 10.1 No conformidades y acción correctiva
29 10.2 Mejora continua
Política de Seguridad de la Información

aseguramiento de la confidencialidad, disponibilidad e integridad como

primordial para realizar con normalidad sus operaciones y actividades
institucionales. Por tanto establece los mecanismos para su protección en los
medios de soporte, comunicación y tratamiento de todo tipo de amenazas, sean
internas o externas, deliberadas o accidentales.

El OSIPTEL garantiza el apoyo al proceso de planificación, implementación,

revisión y mejora del Sistema de Gestión de la Seguridad de la Información,
asumiendo con ello, el compromiso de proteger los recursos de información.

El OSIPTEL establece los mecanismos para respaldar la difusión y actualización,

tanto de la presente política como de los demás componentes del Sistema de
Gestión de Seguridad de la
Contexto de la organización, Clausulas 4.1 - 4.4

4.2 Entender las

4.3 Determinar el 4.4 Sistema de
4.1 Entender la necesidades y
ámbito de gestión de
organización y su expectativas de
aplicación del seguridad de la
contexto las partes
SGSI información
interesadas
Determinar el Alcance

4.1 + 4.2 = 4.3

Alcance del SGSI

El OSIPTEL, considerando los factores internos y externos, las partes interesadas y sus expectativas, ha
definido el alcance del SGSI en:

Procesos

01 02 03 04 05 06 07

Emisión de Solución de Solución de

Regulación Supervisión Fiscalización y Atención y
normas controversias reclamos sanción orientación a
de usuarios usuarios

Desde sus oficinas de San Borja y San Isidro en Lima, según la

declaración de aplicabilidad vigente.
Requerimientos de documentación

Alcance del SGSI (cláusula 4.3)

La política y los objetivos de la seguridad de la información (cláusulas 5.2 y 6.2)
Metodología de evaluación y tratamiento de riesgos (cláusula 6.1.2)
Declaración de Aplicabilidad (cláusula 6.1.3 d)
Plan de tratamiento de riesgos (cláusulas 6.1.3 e y 6.2)
Informe de la evaluación de riegos (cláusula 8.2)
Definición de roles y responsabilidades en la seguridad (cláusulas A.7.1.2 y
A.13.2.4)
Inventario de activos (cláusula A.8.1.1)
Uso aceptable de los activos (cláusula A.8.1.3)
Política de control de acceso (cláusula A.9.1.1)
Procedimientos de operación para la gestión de TI (cláusula A.12.1.1)
Principios de ingeniería para sistemas seguras (cláusula A.14.2.5)
Política para la seguridad de proveedores (cláusula A.15.1.1)
Procedimiento para la gestión de incidentes (cláusula A.16.1.5)
Procedimiento para la continuidad de negocio (cláusula A.17.1.2)
Requisitos estatutarios, regulatorios y contractuales (cláusula A.18.1.1)
Registros obligatorios

Registros de educación, formación y experiencia (cláusula 7.2)

Resultados de monitoreo y de mediciones (cláusula 9.1)
Programa de auditoría interna (cláusula 9.2)
Resultados de las auditorías internas (cláusula 9.2)
Resultados de la revisión por la dirección (cláusula 9.3)
Resultados de los acciones correctivas (cláusula 10.1)
Logs de los eventos de las actividades del usuario, excepciones y eventos de
seguridad de información (cláusulas A.12.4.1 y A.12.4.3)
Cumplimiento normativo
Vigencia y aplicación de la Ley de Protección de Datos Personales

Ley 29733
Aprobada el 03/07/2011

Reglamento
DS 03-2013-JUS Aprobado
22/03/2013

Vigencia
Vigencia a partir del 08 de
mayo de 2013.

Limite
Plazo máximo: 08 de mayo
del 2015
Fases de implementación

EIPD
Inventario de Bancos de Datos Determinación de la Finalidad

01 02 03 04 05 06

Conformación de Comité Determinación de Proceso de Registro

de trabajo Requisitos
Fases de implementación

Elaboración de directiva Formación y concientización Mejora continua

07 08 09 10 11 12

Clasificación de los Bancos Política de Protección de Revisiones y Auditoría

de Datos Personales Datos Personales
Inventario de Bancos de Datos Personales

AA

Guía II BB

BANCOS
HH CC Sistema Administrativo
DE DATOS

Portal GG DD

FF EE

Aplicativo
Evaluación de impacto en la protección de datos personales
Clasificación de bancos de datos personales

CANTIDAD CANTIDAD DATOS DATOS PERIODO PARA CUMPLIR MULTIPLES

NIVEL CATEGORIA OTRO
PERSONAS PERSONALES SENSIBLES CON LA FINALIDAD OFICINAS

01 BÁSICO HASTA 50 HASTA 5 NO HASTA 1 AÑO NO -

02 SIMPLE HASTA 100 MAS DE 5 NO HASTA 1 AÑO NO -

03 INTERMEDIO HASTA 1000 MAS DE 5 SI MAYOR A 1 AÑO SI -

04 COMPLEJO ILIMITADO MAS DE 5 SI MAYOR A 1 AÑO SI -

Sirven para el tratamiento de

datos personales cuya finalidad
05 CRÍTICO ILIMITADO MAS DE 5 SI MAYOR A 1 AÑO SI
está respaldada por una norma
legal.
Registro de los Bancos de Datos Personales
Política de Protección de Datos Personales
Revisión y proceso de Certificación
Intranet
Campus Virtual
Monitoreo y Revisión del SGSI, Clausula 9

Revisión de las
Revisión periódica del Medición de la eficacia evaluaciones y Realización de las
SGSI de los controles tratamientos del auditorías internas
riesgo

Seguimiento y revisión
Revisión por la
de los procedimientos
dirección y
de detección y
actualización de los
prevención de
planes
incidentes
Proceso de Certificación

1. Implementación 2. Auditoría interna y

3. Selección de la 4. Pre evaluación de 5. Paso 1 Auditoría
de un Sistema de revisión por la alta
entidad certificadora auditoría (Opcional) de Fase I
Gestión gestión

9. Mejoramiento
6. Paso 2 - Auditoría 7. Seguimiento (en 8. Confirmación de
continuo y auditoría
de Fase II caso aplique) registro
de inspección
Resultados
Certificación del Sistema de Gestión de Seguridad de la Información

En el 2015, obtuvimos la doble certificación de

nuestro Sistema de Gestión de Seguridad de la
Información, conforme a la Norma ISO/IEC
27001:2013, por la entidad certificadora AENOR e
IQNET.
Satisfacción de los Usuarios con los Servicios de Telecomunicaciones

Zonas Urbanas Índice del NS por Servicio

Zonas urbanas
La satisfacción de los usuarios del 100%
76.3%
ámbito urbano es creciente. 80%
65.9%
69.5% 71.6% 73.4% 73.4%
66.0%
60.6% 57.2%
58.3%55.3%
60% 52.7%

Los índices peruanos comparados 40%

con otros mercados internacionales 20%
son superiores. 0%
Telefonía Fija Telefonía Móvil Internet Fijo Cable
2012 2013 2014 2015
Fuente: OSIPTEL*
Índice del NS por Servicio
100%
Zonas rurales - 2015
Zonas Rurales 80%
77.6%
72.8% 74.7%

Más del 72% de los usuarios se encuentra 60%

satisfecho con los servicios. 40%

20%

0%
* Se utilizó la metodología Top Two Boxes, que significa la suma de los Telefonía Pública Telefonía Móvil Acceso a Internet
usuarios que se encontraron satisfechos y muy satisfechos, respecto a la
pregunta de que si se encontraba satisfecho con los servicios objeto de los Fuente: INEI ENAPRES 2015*
estudios realizados.
¿Cómo la sociedad civil evalúa nuestra gestión?

Puesto

6°
Puesto

Puesto Puesto 7°
Puesto 11 2015
11 2014
12 2012 2013 N ORDEN INSTITUCIÓN
2011 1 BCR

FUENTE: Cámara de Comercio de Lima - CCL. 2 SBS

Estudio de mercado elaborado por Cuore CCR () para la CCL.
3 INDECOPI
PREGUNTA: ¿Cuál es su opinión con respecto a la gestión de las siguientes
instituciones? 4 Ministerio de Comercio Exterior y Turismo
BASE TOTAL: 400 casos.
5 SUNARP
Nov. 2015: F-S-16 (versión 01)
Nov. 2014: F-S-16 (versión 01)
Nov. 2013: F-S-16 (versión 01)
6 OSIPTEL / SUNAT / PROINVERSIÓN
Nov. 2012: F-S-16 (versión 01)
7 MEF
Nov. 2011: Informe Final
 Seguridad de la Información no es un
proceso Tecnológico
Es un Proceso Organizacional