Ositel
Ositel
Ositel
Seguridad de la Información
ISO/IEC 27001:2013
Telefonía móvil
Soluciona en segunda
Supervisa, fiscaliza y
instancia los reclamos
sanciona
de los usuarios
Telefonía pública
Televisión de paga
Soluciona
Actúa como agencia de
controversias entre
competencia
empresas Internet
Grupos de interés del Osiptel
06 Empresas Usuarios de
01
Operadoras Telecomunicaciones
1,500 EOT Telf. Fija : 3,077.144
Telf. Móvil: 30,098,298
Internet Fijo: 1,618.907
05 Usuarios
02
Organismos Potenciales de
Públicos Telecomunicaciones
Organismos Organismos
Internacionales Civiles
04 03
Indicadores del sector
Telefonía Móvil Telefonía fija Televisión de Paga Internet fijo Orientación de usuarios Líneas Portadas
36,585,881 3,164,173 1,774,275 2,008,288 219,813 178.476
Julio 2016 Julio 2016 Julio 2016 Julio 2016 2015 Agosto 2016
Sistema de Gestion de Seguridad de la Información
ISO/IEC 27001:2013
de Gestión de la Seguridad de la
Información (SGSI). . Es la norma principal
de requisitos de un Sistema de Gestión de Seguridad
de la Información.
Especifica los requerimientos para un SGSI (Clausula 4
a 10 para la versión 2013)
Requerimientos (Clausulas) son escritas usando el
verbo imperativo o Shall su término en
ingles.
Anexo A: contiene 14 Clausulas, 35 objetivos de
control y 114 controles (antes 133)
Las organizaciones pueden obtener la certificación de
este estándar.
Clausulas del ISO/IEC 27001:2013
C
D
P
Confidencialidad
Asegurando que sólo quienes
Disponibilidad
Asegurando que los usuarios
autorizados tienen acceso
a la información usando lo
requieran
D Integridad
Asegurando que la información y
I sus métodos de
proceso son exactos y completos.
Implementación del SGSI
Implementación del SGSI en el OSIPTEL
Conformación de comité de
Determinación del Alcance del SGSI Análisis y Gestión de riesgos
Seguridad de la Información
01 02 03 04 05 06 07
Formalización del Proyecto Análisis GAP Elaboración de la Política de Seguridad de la Información documentada
Información
Implementación del SGSI en el OSIPTEL
Proceso de
08 09 10
Certificación
Auditoria Interna
Resolución de Presidencia Nº 069-2012-PD/OSIPTEL
Gerente General
.
Gerente de Tecnologías de
la Información, Jefe de Infraestructura
Comunicaciones y Tecnológica
Estadística. .
Jefe de Informática y
Gerente de Asesoría Legal
Sistemas
.
Gerente de Administración
.Coordinador de Seguridad
y Finanzas
.
SGSI
Analisis de Brecha
Basado en el Modelo CMMI, se usa un modelo de madurez con el propósito de ayudar a evaluar la
seguridad de la información, a determinar en qué nivel o grado se encuentra y así tomar decisiones que
permitan identificar las falencias que se tienen en un determinado nivel.
1 Inexistente Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que resolver.
Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos.
2 Iniciado Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma
individual o caso por caso.
Los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación.
3 Definido Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten
desviaciones.
Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no
4 Gestionado estar funcionando efectivamente.
Los procesos están bajo constante mejoramiento y proveen buena práctica.
Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y
diseño de la madurez con otras organizaciones.
5 Optimizado
TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad
y la efectividad, haciendo que la empresa se adapte con rapidez
Analisis de Brecha
El OSIPTEL, considerando los factores internos y externos, las partes interesadas y sus expectativas, ha
definido el alcance del SGSI en:
Procesos
01 02 03 04 05 06 07
Ley 29733
Aprobada el 03/07/2011
Reglamento
DS 03-2013-JUS Aprobado
22/03/2013
Vigencia
Vigencia a partir del 08 de
mayo de 2013.
Limite
Plazo máximo: 08 de mayo
del 2015
Fases de implementación
EIPD
Inventario de Bancos de Datos Determinación de la Finalidad
01 02 03 04 05 06
07 08 09 10 11 12
AA
Guía II BB
BANCOS
HH CC Sistema Administrativo
DE DATOS
Portal GG DD
FF EE
Aplicativo
Evaluación de impacto en la protección de datos personales
Clasificación de bancos de datos personales
Revisión de las
Revisión periódica del Medición de la eficacia evaluaciones y Realización de las
SGSI de los controles tratamientos del auditorías internas
riesgo
Seguimiento y revisión
Revisión por la
de los procedimientos
dirección y
de detección y
actualización de los
prevención de
planes
incidentes
Proceso de Certificación
9. Mejoramiento
6. Paso 2 - Auditoría 7. Seguimiento (en 8. Confirmación de
continuo y auditoría
de Fase II caso aplique) registro
de inspección
Resultados
Certificación del Sistema de Gestión de Seguridad de la Información
20%
0%
* Se utilizó la metodología Top Two Boxes, que significa la suma de los Telefonía Pública Telefonía Móvil Acceso a Internet
usuarios que se encontraron satisfechos y muy satisfechos, respecto a la
pregunta de que si se encontraba satisfecho con los servicios objeto de los Fuente: INEI ENAPRES 2015*
estudios realizados.
¿Cómo la sociedad civil evalúa nuestra gestión?
Puesto
6°
Puesto
Puesto Puesto 7°
Puesto 11 2015
11 2014
12 2012 2013 N ORDEN INSTITUCIÓN
2011 1 BCR