Curso Seguridad Informacion SGSI 09.09
Curso Seguridad Informacion SGSI 09.09
Curso Seguridad Informacion SGSI 09.09
1. Objetivo
2. Alcance
3. Documentos relacionados
4. Generalidades
• Responsabilidad del documento
• Mantención del documento
• Cumplimiento
• Roles y responsabilidades generales
• Definiciones
5. Descripción de la Organización
• Contexto Interno de la Organización
• Contexto Externo de la Organización
6. Definición de las Partes Interesadas
7. Análisis FODA
8. Objetivos Específicos del SGSI
9. Alcance para el SGSI
• Alcance General
• Alcance Certificación
10.Marco del SGSI
11.Estructura del SGSI
• Estructura de Gestión del SGSI
• Estructura F uncional del SGSI
12.Estructura Documental para el SGSI
13.Gestión de Riesgos de Seguridad de la Información
14.Evaluación del Rendimiento
15.Mejora Continua del SGSI
16.Comunicación
De esta forma, la gobernanza y gestión tecnológica a través de SSTC, se centraliza en la figura de un CIO Corporativo, quien estructura su ámbito de
responsabilidades en ocho (8) pilares fundamentales, los cuales se traducen en Gerencias Corporativas con dependencia jerárquica directa como se muestra a
continuación:
Ilustración 3. Priorización de partes interesadas en función de sus intereses y relación con el negocio.
De esta forma, del análisis de las fortalezas, oportunidades, debilidades y amenazas definidas anter iormente, se obtienen los lineamientos estratégicos que dan
forma a los requisitos esperados del SGSI de SSTC:
conformado, el apoyo de la alta dirección y las continuo, formal y validado por las entidades pertinentes;
mayores exigencias de los reguladores en materia de mantención y mejora continua de su SGSI, alineado de
de seguridad de la información; se podrá forma natural con las mejores prácticas del mercado.
establecer un proceso de mantención y mejora
continua del SGSI certificado bajo un marco de
referencia líder en el mercado.
ADVERTENCIAS RIESGOS
SSTC actualmente cuenta con un SGSI El no contar con una visión externa certificada del SGSI
corporativo que hace frente cada vez más a las puede dejar fuera de la óptica del negocio brechas o
frecuentes y complejas amenazas cibernéticas, el malas prácticas existentes dentro del proceso de gestión
AMENAZAS
cual, de ser certificado bajo un marco de de la seguridad de la información que, en función de las
referencia líder de mercado; generaría un valor más frecuentes y complejas amenazas del ecosistema,
para el negocio, siendo la primera empresa de pueden significar un riesgo para SSTC.
tecnología a nivel nacional con estas
características.
Para
lograr
l a
satisfacción
de
l as
necesidades
de
las
partes
i nteresadas
internas
y
externas,
se
definen
l os
siguientes
objetivos
específicos
del
SGSI
j unto
con
sus
respectivos
requisitos:
Riesgos: • Gestionar los riesgos emergentes y actuales, así como los asociados a nuevas
tecnologías.
Gestionar los riesgos de seguridad
de la información de forma eficiente. • Evaluación continua de efectividad de controles (KRIs, KCIs y KPIs).
• Empoderar los roles de los OSI en los negocios del Corporativo.
• Evaluar los riesgos y controles de los proyectos que conforman el Master Plan de
Seguridad de la Información.
Tabla
3.
Directrices
de
tratamiento
de
riesgos
de
seguridad
de
la
i nformación.
Tabla
3.
Ejemplo
Matriz
de
Riesgo
.
Tabla
3.
Ejemplo
Matriz
de
Riesgo
.