Grupo Redinfo | PMG/MEI-SSI PMG-SSI Programa de Mejoramiento de la Gestión Sistema de Seguridad de la Información NCh-ISO 27001:2013 PMG Municipal
PMG/MEI-SSI
PMG/MEI-SSI PMG-SSI Programa de Mejoramiento de la Gestión Sistema de Seguridad de la Información NCh-ISO 27001:2013 PMG Municipal
16450
page,page-id-16450,page-template-default,ajax_fade,page_not_loaded,,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive
 

Implementación PMG/MEI SSI

Implementación PMG/MEI Sistema de Seguridad de la Información

NCh-ISO 27001:2013

Objetivo General del Servicio

La consultoría tiene por objetivo general, realizar las actividades de implementación de un “Sistema de Seguridad de la Información”, utilizando como metodología de implementación el actual PMG-SSI, la familia normativa Nch-ISO 27000,  y tomando como base la documentación existente dentro de la institución.

El desarrollo de esta consultoría garantizará a la institución el nivel de madurez requerido para enfrentar el proceso de aprobación del Programa de Mejoramiento de la Gestión – Sistema de Gestión de Seguridad de la Información.

Introducción a la Consultoría

La norma NCH-ISO 27001:2013 de Sistemas de Gestión de Seguridad de la Información (SGSI), establece 11 dominios, con el objetivo de preservar:

  • La integridad: La información está como se pretende, sin modificaciones inapropiadas o corrupción.
  • La Confidencialidad: La información está protegida de personas no autorizadas.
  • La Disponibilidad: Usuarios autorizados pueden acceder aplicaciones y sistemas cuando lo requieran para desempeñar sus funciones.

Gestionar la seguridad de la información consiste en la realización de las tareas necesarias para garantizar los niveles exigibles en la organización, dentro del ámbito de protección de la integridad, la confidencialidad y la disponibilidad, como principio clave.

Las nuevas tecnologías, el desarrollo del conocimiento, la liberación de las comunicaciones y la disponibilidad de acceso libre a aplicativos, introducen nuevas amenazas para los activos de información, y la dependencia creciente de los recursos de TI, aumenta considerablemente los impactos que la materialización de un incidente de seguridad pueda provocar en los activos de información.

No siempre se pueden eliminar los riesgos, por lo tanto es necesario gestionar la seguridad de la información a través de un programa de implementación de un sistema de gestión administrado.

La norma NCH-ISO 27001:2013 constituye un código de buenas prácticas para la gestión de la seguridad de la información y establece la base común para desarrollar normas de seguridad dentro de las organizaciones, por lo que el presente proyecto de asesoría en la implementación de un sistema de gestión, recoge la metodología entregada por esta norma.

Dentro de esta norma, se definen catorce (14) dominios de control que cubren por completo la Gestión de Seguridad de la Información, siendo la norma técnica de seguridad de la información más reconocida a nivel internacional, contemplando 114 controles específicos.

El proceso de Modernización del Estado tiene como objetivo central realizar las adecuaciones necesarias, tanto en la estructura institucional del aparato estatal, como en la manera en que estas instituciones “hacen las cosas”, para aumentar la eficacia y eficiencia en sus funciones de modo de servir mejor a la ciudadanía.

En el año 1998, con la implementación de la ley Nº 19.553, se inició el desarrollo de Programas de Mejoramiento de la Gestión (PMG) en los servicios públicos, asociando el cumplimiento de objetivos de gestión a un incentivo en las remuneraciones de los funcionarios.

A partir del año 2010, el PMG incluye al sistema de “Seguridad de la Información” – dentro del área de Calidad de Atención a Usuarios, Siendo actualizado a principios del año 2011, para cumplir con los requisitos de la norma NCH-ISO 27001:2005 y a mediados del año 2012 dándole un enfoque a los procesos de negocio en las instituciones, actualizándose a la normativa NCH-ISO 27001:2013

Dentro del contexto de la implementación del SSI que persiguen las instituciones para el cumplimiento de las distintas etapas en la implementación de este sistema; se pone a disposición el presente servicio de consultoría para el Desarrollo de un Sistema de Seguridad de la información en la institución, dando cumplimiento a las distintas etapas actuando en consecuencia con la metodología del PMG/MEI-SSI comprometido.

Detalle de la Consultoría

La presente consultoría esta diseñada para entregar una metodología concreta de implantación del sistema de seguridad de la información, de manera de habilitar a la institución en el desarrollo de cada una de las actividades específicas para el cumplimiento de lo comprometido con los organismos contralores para el presente PMG/MEI-SSI

El detalle de actividades, se detalla a continuación:

Revisión de la evaluación de los controles específicos priorizados de la NCH-ISO 27001:2013 utilizando el instrumental provisto por la red de expertos del PMG/MEI-SSI, distribuidos en sus 14 dominios.

Revisión y actualización de acuerdo a nueva metodología, del levantamiento y análisis de riesgos sobre los activos de información para los procesos seleccionados.

Generación de todas las evidencias requeridas para el cumplimiento eficaz de las etapas involucradas en el PMG/MEI SSI de los organismos contralores, considerando lo siguiente:

Actualización de Etapa I de “Diagnóstico sobre los activos de información y análisis de riesgos”:

  • Diagnóstico actualizado de acuerdo a nueva metodología, considerando el levantamiento y análisis de riesgos sobre los activos de información para los procesos seleccionados.

Actualización de Etapa II de “Planificación y evaluación de indicadores”:

  • Revisión Plan General de Implementación del SSI en la institución, incorporando los nuevos proyectos en base al análisis de riesgos de los activos de información realizado (revisión y actualización).
  • Definición de indicadores de eficacia para los controles implementados, forma de cálculo, frecuencia de medición, metas, medios de verificación y supuestos.
  • Generación de indicador transversal, requisito técnico del PMG/MEI – SSI
  • Creación de:

o    Política General de Seguridad

o    Resolución de nombramiento Encargado de Seguridad

o    Resolución de nombramiento Comité de Seguridad

Ejecución de Etapa III de “Implementación”:

  • Implementación del programa de trabajo, actividades en curso.
  • Registro de Implementación, que contenga:
  • Plazos y Costos
  • Bitácora (historial de eventos de re programación)
  • Gestión de Riesgos realizada
  • Evidencias de cumplimiento (Documentos Referidos), sólo la recopilación de ellos.
  • % de cumplimiento alcanzado
DESARROLLO DEL “GOBIERNO CORPORATIVO DE SEGURIDAD DE LA INFORMACIÓN"

Esta actividad tiene por objetivo guiar a la organización en la conformación de los comités de seguridad de la información, definiendo sus procedimientos de operación, coordinando y ejecutando sus sesiones, definiendo los contenidos a tratar de acuerdo a los avances en la implementación del proyecto “Sistema de Gestión de Seguridad de la Información”.

Dentro de las actividades a realizar se encuentran las siguientes:

  • Asesorar en la definición de roles funciones y atribuciones de los siguientes comités:
    1. Comité Directivo de Seguridad de la Información (CSI).
    2. Comité Operativo de Seguridad de la Información (COS)
    3. Comité de Incidentes de Seguridad (CIS)
  • Confeccionar procedimientos de operación para comités.
  • Apoyar en la gestión del Encargado de Seguridad.
  • Coordinar y ejecutar las sesiones de las instancias de Comités, conforme a las buenas prácticas establecidas por organismos internacionales expertos en Seguridad y los lineamientos provistos por la normativa NCH-ISO 27001
  • Asesorar al Comité de Seguridad en las estrategias para dar a conocer al personal de la organización las políticas de seguridad de la información.
  • Asesorar al Comité de Seguridad en presentaciones a la alta Dirección sobre el estado de avance del proyecto.
  • Asesorar a las instancias de Comité, en la adecuada respuesta ante desastres y continuidad del negocio.
  • Definir el gobierno corporativo de seguridad de la información.
+ INFO del servicio

Si requieres más información del servicio y códigos de contrato marco, contáctanos aquí señalando el nombre del servicio.