▪

▪
•
PROCESOS DE UN SGSI
Para garantizar que la seguridad de la información
sea gestionada correctamente, se debe hacer uso de ESTABLECER EL SGSI: Establecer políticas, objetivos, procedimientos de
un proceso sistemático, documentado y conocido seguridad relevantes para administrar el riesgo y mejorar la seguridad de
por toda la organización, desde un enfoque de la información para obtener resultados de acuerdo con las políticas y
riesgo empresarial. Este proceso es el que constituye objetivos de la organización.
un SGSI
IMPLEMENTAR Y OPERAR EL SGSI: Implementar y operar las políticas,
controles, procesos y procedimientos de seguridad.

DEFINICIÓN MONITOREAR Y REVISAR EL SGSI: Monitorear y evaluar el

Podemos definir el SGSI, Sistema de gestión de la funcionamiento de los procesos con respecto a las políticas, objetivos y
seguridad de la información, basado en la norma experiencia práctica de seguridad, informando sobre los resultados
ISO/IEC 27001, como La parte del sistema de obtenidos a la gerencia para su revisión.
gestión general, basada en un enfoque de riesgo
empresarial, que se establece para crear, MANTENER Y MEJORAR EL SGSI: Tomar acciones correctivas y preventivas
implementar, operar, supervisar, revisar, basándose en los resultados de la revisión gerencial para alcanzar la mejora
mantener y mejorar la seguridad de la continua del ISMS.
información.
Todos sabemos que la información y los datos son muy importantes para las organizaciones y son la fuente de ventaja competitiva del
futuro

Pero…¿Estás seguro que esa información y esos datos están bien protegidos?

Si respondes afirmativamente a estas 4 preguntas, tu

información debe estar razonablemente protegida

1 2 3 4

¿Tienes el inventario donde ¿Has clasificado la ¿Has implementado y/o ¿Tienes conocimiento del nivel
reside la Informacion y los informacion y los datos coordinado con las áreas de cumplimiento de los
datos de tu negocio? de tu negocio? especializadas, los controles controles implementados para
necesarios para proteger la proteger la informacion de tu
informacion de tu negocio? negocio?
NUEVA VERSION DEL ISO27001
La parte principal de la ISO/IEC 27001,
correspondiente a las cláusulas de la 4 a la
10 no van a experimentar cambios. Estas
cláusulas incluyen el alcance, las partes
interesadas, el contexto, la política de
seguridad de la información, la gestión de
riesgos, los recursos, la capacitación y la
concientización, la comunicación, el control
de documentos, el seguimiento y la
medición, la auditoría interna, la revisión
de la gestión y las acciones correctivas.
Es por ello que los cambios atienden a
la actualización de los controles de
seguridad enumerados en el Anexo A de la
ISO 27001 y que se corresponden con la
ISO 27002.
La parte principal de la ISO/IEC 27001, correspondiente a las cláusulas de la 4 a la 10 no
van a experimentar cambios. Estas cláusulas incluyen el alcance, las partes interesadas, el
contexto, la política de seguridad de la información, la gestión de riesgos, los recursos, la
capacitación y la concientización, la comunicación, el control de documentos, el
seguimiento y la medición, la auditoría interna, la revisión de la gestión y las acciones
correctivas.
Es por ello que los cambios atienden a la actualización de los controles de seguridad
enumerados en el Anexo A de la ISO 27001 y que se corresponden con la ISO 27002.
•
•

•
•
•
•
•
URL: https://www.timetoast.com/timelines/iso-iec-27000-87e7849c-4b76-4e0d-b35d-d0ea0ea99e94
 SEGURIDAD EN LA SEGURIDAD FISICA Y SEGURIDAD EN LA
GESTION DEL CONTROL DE GESTION DE
GESTION DE PERSONAS AMBIENTAL USUARIO Y PERFILES PROVEEDORES
6 Controles 15 Controles 14 Controles 5 Controoles

SEGURIDAD EN EL
SEGURIDAD EN LAS SEGURIDAD EN LAS
DESARROLLO DE SEGURIDAD Y CRIPTOGRAFIA
OPERACIONES DE TI TELECOMUNIC
SISTEMAS
13 Controles 14 Controles 2 Controles 7 Controles

CONTINUIDAD DEL GESTION DE

CUMPLIMIENTO DE LA INCIDENTES DE
NEGOCIO DE LA ACTIVOS
SEGURIDAD SEGURIDAD
SEGURIDAD
4 Controles 8 Controles 7 Controles 10 Controles
Fuente : https://blog.segu-info.com.ar/2021/06/novedades-sobre-iso-2700232013.html
Favor ir a : https://www.nqa.com/medialibraries/NQA/NQA-Media-Library/PDFs/Spanish%20QRFs%20and%20PDFs/NQA-ISO-27002-Mapping-ES.pdf
El estándar PCI DSS cuenta con 400 controles de seguridad física, lógica y administrativa esquematizados en 6 grupos principales
que a su vez se subdividen en 12 requerimientos, de la siguiente manera:
 Objetivos. Nombre de Requisito # de Sub
Requisitos
Construir y mantener una red segura 1: Instalar y mantener una configuración firewall para proteger los datos. 19
2: No usar contraseñas o valores predeterminados suministrados por los 12
proveedores.
Proteger los datos de los titulares de 3: Salvaguardar la información personal de los propietarios de las tarjetas. 21
6 las tarjetas 4: Cifrar la transmisión de datos e información confidencial de los titulares a 4
Objetivos través de redes públicas abiertas.
Establecer un programa de gestión de 5: Actualizar y activar el programa antivirus de forma regular. 6
vulnerabilidades 6: Desarrollar y mantener sistemas y aplicaciones seguras. 29
12 Crear medidas sólidas de control de 7: Limitar el acceso a la información únicamente a las empresas que lo 8
Requisitos acceso necesiten.
8: Asignar una identificación única a cada persona con acceso al sistema. 22
9: Restringir el acceso físico a los datos solo a los propietarios de la tarjeta. 22
+ 231 Monitorizar y testar regularmente las 10: Rastrear y monitorizar el acceso a los recursos de red y datos del titular. 30
Sub Requisitos redes 11: Realizar pruebas habituales en los sistemas y procesos de seguridad. 17
+400
Controles Mantener una política de seguridad de 12: Crear una política que contemple y mantenga actualizada los aspectos 41
la información actualizada relacionados con seguridad de la información.
SWIFT son las siglas de la Society for World Interbank Financial
Telecommunication (Sociedad de Telecomunicación Financiera Interbancaria Mundial),
una sociedad cooperativa con sede en Bélgica que fue fundada en 1973. Unas 12.000
instituciones (financieras y no financieras) de más 200 países están conectadas entre sí a
través de SWIFT. Como tal, no es un sistema de pagos, es decir, no envía ni recibe
dinero de un banco a otro, sino que se trata de una empresa privada que proporciona un
sistema de mensajería. Estos mensajes agilizan las transferencias internacionales al
permitir identificar a las partes implicadas de una manera estandarizada, segura y sin
errores. Para que te hagas una idea de su volumen, cada día se intercambian unos 32
millones de mensajes de media.
FUNCION CATEGORIAS SUB-CATEGORIAS REFERENCIAS

IDENTIFICAR
REFERENCIAS

PROTEGER CIS CSC 19

COBIT 5
ISA 62443-2-1:2009
ISO/IEC 27001:2013.1
DETECTAR NIST SP 800-53 Rev. 4

RESPONDER

RECUPERAR
 40% 2 PE 100
0% 6 BANCOS ASA ADICIONAL % Requerimiento Adicional ASA

Reg. 2115 Reg.272

Regulación Reg.877 CN
Reg. 2116 GIR
SBS Perú Reg. SGSI-C
C. 139- CN C.191-
C.105-
C.140 - BDEP
2002 SGSI Test Uso

BDEP: SGCN
SGSI – C: NIST
Estándar Dinámico
Sistema
Indicadores e Incidentes CN
Apetito Post COVID-19 ?
RCSA Cuali- Informe: N Prod. - Subcontratación
100% Líneas de cuantitativo Sig
TC-TD: PCI DSS
Negocio Auditoría ASA • Bancos Digitales
Incentivo • Moneda 100%
S/ digital
SGSI + ISO SG test uso + 24 meses • Fintech
27002 Mejora continua para afrontar los • Big Tech
Continuidad riesgos del sector capacidad de • Nuevos modelos
Principios Gestión: Riesgo Operacional + Riesgo Tecnológico adaptabilidad ante un entorno de negocio
Apetito RO dinámico e incierto financieros
+ PCN

2002 - 2004 2005 - 2007 2008 - 2010 2011 - 2013 2014 - 2016 2017 - 2019 2020 - 2022
Proyectos normativos, iniciativas y acciones puede verse como una ruta clara para construir la ciber resiliencia / resiliencia operacional, donde
la SBS conoce la necesidad regulatoria de flexibilidad y digitalización de servicios financieros, sin perder de vista los riesgos emergentes.

Reglamento de Tarjetas de Crédito y Debito para ¿Qué requisitos de PCI DSS no sólo son aplicables a empresas como
entidades Financieras: Requisitos de PCI - DSS Seguros , EEDE y AFPs ? Y encajan como Ciberseguridad

Gestión de la Seguridad de Información y ¿Cuál será la estrategia de las empresas supervisadas? leen correctamente las
Ciberseguridad: Proyecto de Nuevo Reglamento acciones o se limitan ser seguidores reactivos sin ver la conexión estratégica tacita

Gestión de terceras partes (proveedores): Diferenciar la

gestión de proveedores principales

Fintech: Dinero Electrónico, Ciberseguridad y nube,

sandbox regulatorio, entre otras.

Gestión de Continuidad de Negocio: Nuevo Reglamento

vigencia Enero 2022 sin adecuación

Gestión de fraudes: Practicas de prevención de fraudes

sistémicas e integradas al SGROp
Crecimiento regulatorio considerando: estándares y buenas prácticas internacionales, como NIST -
National Institute of Standards and Technology y la familia de estándares ISO/IEC 27000.

Sistema de gestión de seguridad de la Sistema de Gestión extendido, con mayor alcance y cobertura de controles
información y Ciberseguridad (SGSI-C) mínimos implícitos de acuerdo a la complejidad de institución

Mayor exigencia en los controles mínimos, actualización de requisitos de los

Medidas mínimas de seguridad de la
estándares e incremento de aspectos relacionados a terceros, coherente con
información a adoptar por las empresas
la nueva realidad del sector financiero

Programa de gestión de ciberseguridad, con elementos del framework NIST y

Gestión de ciberseguridad
permite vincularse a controles técnicos más exigentes a futuro

Seguridad Técnica para Tecnología de Actualiza los requisitos de seguridad acorde con el uso de nuevas tecnologías
Información - ICT en la industria, como: Autenticación y Servicios de Procesamiento de Datos
 FUERA DEL
PAÍS ENTORNO DE SOCIEDAD
Socios Y CORPORATIVO
TERRITORIO Corporativos
NACIONAL

Grupo
Empresarial
Bases Prospectos/Postulantes

Grupo Requisitos
Empresarial de Seguridad
ENTORNO
Organizativa
ORGANIZACIONAL
Requisitos
Datos personales de Seguridad
Jurídica

Empleados
Postulantes Requisitos
Clientes de Seguridad
Prospectos Técnica

Call Center

VINCULACIÓN CON
Outsourcing de TERCEROS
Procesamiento
•

•
•
•
•
•
•
#SINEXCUSAS