1 - Seminario de Implementación del SGSI

Vista previa del material en texto

Seminario de Implementación del SGSI
Carlos Lobos de Medina
Consultas
Carlos Lobos de Medina
https://www.linkedin.com/in/clobos/
carlos.lobos@usach.cl
Director del Programas de Diplomados de Ciberseguridad
www.diplomadociberseguridad.com 
Cybersecurity Governance & Management Expert 
Advisor | Academic |Global | 20 years experience
ISO 27001/22301/37301/27701 Implementer and Auditor
Certified COBIT 2019 | NIST | CISM | CISA | CCSA
https://www.linkedin.com/in/clobos/
mailto:carlos.lobos@usach.cl
http://www.diplomadociberseguridad.com/
Agenda
▪ 9:30 a 9:45 Introducción al SGSI
▪ 9:45 a 10:30 Lecciones Aprendidas del SGSI
▪ 10:30 a 10:45 Receso
▪ 11:00 a 12:10 Lecciones Aprendidas del SGSI
▪ 12:10 a 12:30 Consultas
SEMINARIO IMPLEMENTACIÓN DEL SGSI
Sistema de Gestión de Seguridad de la Información
“Conjunto de elementos de una 
organización interrelacionados o 
que interactúan para establecer 
políticas, objetivos, y procesos 
para lograr estos objetivos.”
ISO 9.000
Definiciones de un Sistema de Gestión
“Un SGSI (Sistema de Gestión de 
la Seguridad de la Información) 
consiste en un conjunto de 
políticas, procedimientos, guías y 
sus recursos y actividades 
asociados, que son gestionados 
de manera colectiva por una 
organización.”
ISO 27.000
“Un SGSI es un enfoque 
sistemático para establecer, 
implementar, operar, monitorizar, 
revisar, mantener y mejorar la 
seguridad de la información de 
una organización para alcanzar los 
objetivos de negocio.”
ISO 27.000
“Es un sistema que determina que 
requiere protegerse, y por qué, de 
que debe ser protegido y como 
protegerlo.” 
Albert, 2003
Otra forma de verlo
Fuente: Managing Information Security Risk – Christopher Albert.2003
¿Que requiere protegerse?
¿por qué protegerlos?
¿De que protegerlos?
¿Cómo protegerlos?
▪ Los procesos de negocio
▪ La información y TIC habilitantes
▪ El valor que tienen para el negocio
▪ Para preservar la CID requerida
▪ Amenazas 
▪ Vulnerabilidades
▪ Con una metodología 
▪ Con prácticas de gestión de riesgo
▪ Implementando controles
▪ Con un proceso estructurado
▪ Mejorando continuamente
Una metodología basada en mejores prácticas 
que posibilita la implementación de un SGSI
¿Que ofrece ISO 27.001?
Planificar
(Plan)
Hacer
(Do)
Verificar
(Check)
Actuar 
(Act)
Visión de Procesos 
alineada al ciclo PDCA
Enfoque de Riesgos
Metodología 
Estandarizada
Controles de Seguridad 
de la Información
Ciclo PDCA
✓ Permite a una organización asegurarse de que sus
procesos cuenten con recursos y se gestionen
adecuadamente.
✓ Posibilita que las oportunidades de mejora se determinen
y se actúe en consecuencia.
✓ La aplicación del enfoque a procesos en un sistema de
gestión permite:
A. La comprensión en el cumplimiento de los
requisitos.
B. La consideración de los procesos integrado.
C. El logro del desempeño eficaz del proceso.
D. La mejora de los procesos con base en la
evaluación de los datos, la información y objetivos.
Procesos de un SGSI – ISO 27.022
Parece que acá ya se complico la cosa!!!
▪ Existen decisiones estratégicas que tomar?
▪ Tenemos que tener políticas de seguridad?
▪ Debemos gestionar nuestros riesgos?
▪ Habrá que controlar los servicios?
▪ Tenemos que capacitar a nuestros RRHH?
▪ Que hacer con las incidencias?
Parece que algunos procesos hay que tener!!!
▪ Si los procesos cambian?
▪ Necesitamos auditar los procesos?
▪ Evaluaremos los procesos?
▪ Será necesario irlos mejorando?
Necesitamos información para todo esto!!!
Enfoque de Riesgos
El propósito de un SGSI es tener sus 
riesgos gestionados!!!
Controles de Seguridad de la Información – ISO 27.002
SEMINARIO IMPLEMENTACIÓN DEL SGSI
Lecciones Aprendidas de la Implementación
Algunas visiones
ISO 27001 checklist: 16 steps for the implementation – Dejan Kosutic
https://advisera.com/27001academy/knowledgebase/iso-27001-implementation-checklist/ 
https://advisera.com/27001academy/knowledgebase/iso-27001-implementation-checklist/
#01 La implementación del SGSI no sólo involucra a TI, deber ser abordado desde 
una perspectiva integral y con buenas prácticas de gestión
Consideraciones Importantes de la Implementación
Es un importante cambio que debe 
realizar en la organización, requiere 
prácticas de gestión ad-hoc
La Implementación de un Sistema de 
Gestión se basa en el Ciclo PDCA
Debe gestionar la implementación 
como un Proyecto, empleando 
metodologías ad-hoc
Cuando hablamos de Ciberseguridad desde las Buenas Prácticas
La implementación del SGSI no sólo involucra a TI, deber ser abordado desde 
una perspectiva integral y con buenas prácticas de gestión
Consideraciones de la Implementación – Visión de Controles
Gobernanza 
Gestión de 
Proyectos
Gestión de 
Activos
Control de 
Accesos
Seguridad en 
RRHH
Capacitación y 
Concientización
Protección de 
Información y 
Medios
Seguridad Física
Seguridad en la 
Configuración
Seguridad 
Operaciones
Gestión de 
Vulnerabilidades
Seguridad en 
Redes
Seguridad en 
Software
Seguridad con 
Proveedores
Gestión de la 
Continuidad
Gestión de 
Incidentes
Ciberinteligencia
Riesgos en 
Cadena de 
Suministro
Privacidad y 
Cumplimiento
Pentesting
Monitoreo Red y 
Servicios
Seguridad en la 
Nube
Auditoría y 
Aseguramiento
Gestión de Logs y 
Evidencia
Controles Administrativos Controles en TI Controles Ciber
#01
21 Pasos para la Implementación
1.- Creación de la 
Urgencia
2.- Formar una 
coalición
3.- Comprender el 
Estado Actual
4.- Entender el 
Contexto
5.- Formulación de 
Objetivos
6.- Plan de 
Implementación
7.- Formalización de 
Comité de Seguridad de 
la Información
8.- Programa de 
capacitación, 
entrenamiento y 
concientización
9.- Definir la 
Gobernanza y Gestión 
de la Seguridad de la 
Información
10.- Establecimiento 
del Política de 
Seguridad
11.- Implementación de 
procedimientos de 
apoyo del SGSI
12.- Implementación de 
procedimientos y 
controles bases del 
SGSI
13.- Definir 
Metodología e 
Implementación de 
Apreciación de Riesgos
14.- Desarrollar el Plan 
de Tratamiento de 
Riesgos
15.- Implementación de 
Políticas, 
Procedimientos y 
Controles
16.- Gestión de 
Indicadores de 
Performance
17.- Monitoreo del SGSI 18.- Auditoría al SGSI
19.- Revisión de la 
Dirección al SGSI
20.- Mejora Continua
21.- Preparación para la 
Auditoría Certificación
1.- Creación de la Urgencia
Prever lo que pasará a 
futuro, para bien y para 
mal
PARA MAL
▪ ¿Cumplimos actualmente con la Ley?
▪ ¿En el sector hay ciberataques?
▪ ¿Estamos expuestos actualmente?
▪ ¿Cuál es el potencial impacto?
▪ ¿Si perdemos datos sensibles?
▪ ¿Se paralizaría nuestra operación?
▪ ¿Podríamos afectar a pacientes?
▪ ¿Cómo responderíamos a un 
ciberataque?
PARA BIEN
▪ ¿Tenemos las capacidades internas?
▪ ¿Cuál es nuestro estado actual?
▪ ¿Qué es lo que debemos hacer?
▪ ¿Cómo mejorar nuestras falencias?
▪ ¿Qué recursos se necesitan?
▪ ¿Cómo armamos un plan?
▪ ¿Quiénes nos pueden ayudar?
▪ ¿Cuánto demorará la 
implementación?
Lograr que los directivos y tomadores de decisión se den cuenta que sería un 
error no realizar cambios necesarios, que lleguen a las mismas conclusiones.
#02
Casos de Negocio
▪ Algo simple, pero contundente
▪ Plantee algunos escenarios representativos
▪ Identifique algunos riesgos claves
▪ Identifique los potenciales efectos
▪ El análisis BIA es un buen amigo
▪ Considere la realidad organizacional
▪ Plantee algo realista
▪ Tenga claro a quien va dirigido
▪ Ver Lección Aprendida 3
Casos de Negocio - Representativos
Fuga de InformaciónCiberataques
Casos de Negocio - Representativos
Fraude del CEOIngeniería Social
Casos de Negocio - Representativos
Continuidad del Negocio Proveedores Criticos
Casos de Negocio - Representativos
Seguridad Física Seguridad en Instalaciones
2.- Formar una coalición
▪ No es solo una función de TI ni de Ciberseguridad
▪ El impacto en los procesos claves de negocio es una 
forma de buscar potenciales aliados
▪ Quienes manejaninformación sensible son buenos 
candidatos
▪ Áreas administrativas tienen un rol importante: RRHH, 
Operaciones, Adquisiciones, entre otros.
Articular un equipo de trabajo representativo que comparta la misma visión y 
hacerles participe del cambio, involucrarlos y trabajar juntos.
#03
Distribución de Roles y Funciones
▪ Ciertamente y pese a que son pocas las funciones que aparecen en como de 
responsabilidad especifica en el ámbito de la ciberseguridad, el rol de esta en los 
diversos dominios es importante.
▪ Muchas de las funciones en la adopción de controles es responsabilidad de áreas de 
tecnologías y propias del negocio, en las cuales la ciberseguridad tendrá menor o mayor 
injerencia.
▪ A continuación, se presentan algunos ejemplos que pueden ayudar a clarificar más la 
idea.
Caso 1: Definición de Políticas de Ciberseguridad
Definición y 
Formulación
Revisión y 
Aprobación
Proveer 
Recursos
Adopción y 
Ejecución
Revisión de 
Resultados
Mejora 
Continua
Es común que sea 
definida por áreas 
de Riesgos en 
conjunto con 
Ciberseguridad
La dirección es 
quien debe 
revisarla y 
aprobarla
La dirección es 
quien debe 
proveer los 
recursos
Ciberseguridad en 
conjunto con otros 
roles la llevaran a 
cabo
Desde la misma 
gestión se 
evaluará, Auditoría 
evaluará el 
cumplimiento
La Dirección 
deberá analizar y 
proveer las 
directrices y los 
recursos para ello
Caso 2: Protección frente a Malware (equipamiento usuarios)
Definición 
Herramientas de 
Protección
Instalación y/o 
Implementación
Revisión y 
Monitoreo
Respuesta 
Frente a 
Incidentes
Continuidad del 
Negocio
Es común que sea 
definida por áreas 
de TI, 
Ciberseguridad y 
Riesgos
Normalmente es 
TI el responsable 
de la instalación
Es Ciberseguridad 
en conjunto con TI 
quienes 
desarrollan esta 
función
Es una función 
comúnmente 
desarrollada por 
Ciberseguridad
Esta es una 
función propia del 
negocio, ellos 
deben saber cómo 
operar en 
contingencia
Caso 3: Capacitación y Concientización
Detección de 
Necesidades de 
Capacitación
Provisión de 
Capacitación
Campañas de 
Concientización
Ejercicios de 
Concientización
Evaluación de 
Resultados
Es común que sea 
definida por áreas 
de RRHH con 
apoyo de 
ciberseguridad
Normalmente es 
RRHH quien 
realiza esto con 
directrices de 
Ciberseguridad
Es RRHH en 
conjunto con 
Ciberseguridad 
quienes lo 
desarrollan
Es una función 
comúnmente 
desarrollada por 
Ciberseguridad
Esta es una 
función propia de 
RRHH
Caso 4: Control de Accesos
Políticas y 
Procedimientos
Definición de 
Accesos e 
Identidades
Despliegue de 
Accesos e 
Identidades
Revisión de 
Accesos e 
Identidades
Riesgos de IAM
Es común que sea 
definida por áreas 
de TI y RRHH, con 
apoyo de Riesgos
Normalmente es 
el negocio + TI los 
responsables
Es el Negocio, TI o 
RRHH quienes 
desarrollan esta 
función
Es una función 
comúnmente 
desarrollada por 
Auditoría
Es un punto de 
interés clave en 
Ciberseguridad
Caso 5: Gestión de Vulnerabilidades (Estándar)
Políticas y 
Procedimientos
Identificación de 
Parches o 
Vulnerabilidades
Revisión de 
Parches 
Actualización de 
Software
(Parchado)
Monitoreo 
Continuo
Es común que sea 
definida por áreas 
de TI
Es una función que 
debe desarrollar TI
Es responsabilidad de TI, 
apoyada por 
Ciberseguridad sobre 
todo frente a 
vulnerabilidades criticas
Es una función que 
debe desarrollar TI
Es un punto de 
interés clave en 
Ciberseguridad
Caso 6: Continuidad del Negocio (Estándar)
Políticas y 
Procedimientos
Levantamiento 
de Procesos 
Criticos
Definición del 
RIA + BIA
Definición de 
Estrategias + 
BCP + Gestión 
de Crisis
Respuesta a 
Incidentes
Es común que sea 
definida por áreas 
de Riesgos o 
Continuidad
Es una función que 
debe desarrollar el 
Negocio
Es responsabilidad de del 
Negocio
Es una función que 
debe desarrollar el 
Negocio
Es un punto de 
interés clave en 
Ciberseguridad
El Negocio debe 
seguir operando
2.- Formar una coalición
▪ Aliados claves
▪ Dirección
▪ TI
▪ Áreas de Negocio Criticas
▪ Como seducirlos
▪ Con la necesidad
▪ Con la calidad
▪ Con las regulaciones
▪ Con la debida diligencia
▪ Con los casos de negocio!!!
Articular un equipo de trabajo representativo que comparta la misma visión y 
hacerles participe del cambio, involucrarlos y trabajar juntos.
#03
3.- Comprender el Estado Actual
Realice evaluaciones realistas de las brechas y capacidades, considerando los 
aspectos de mejora priorizados que deben ser desarrollados.
#04
Uso de Check List Uso de Modelos de Madurez Estudios Comparativos
Usando Check List Estandar
Usando COBIT 2019
Usando otros Instrumentos
Institucionalidad
Prioridades 
legislativas
Consideraciones 
presupuestarias
Requisitos para 
el Sector
P
Aumentos de 
Precios de 
Servicios
Aumento de 
Rentas en 
Ciberseguridad
Rentas poco 
competitivas
Inflación/Tasas 
de Cambio
E Mayor uso de 
teléfonos, 
internet, redes 
sociales….
Mayor uso de 
servicios 
electrónicos
Mayor valor en 
la protección de 
datos 
Percepción de 
inseguridad
S
Riesgos en el 
sector
Riesgos en las 
tecnologías 
claves
Tendencias, 
desafíos y 
oportunidades
Herramientas de 
protección y 
arquitecturas de 
seguridad
T
Gestión de 
residuos
Eficiencia 
energética
Riesgos 
ambientales 
derivados de 
ciberataques
E
Ley Marco de 
Ciberseguridad
Ley de 
Protección de 
Datos
Ley de Delitos 
Informáticos
Leyes sectoriales
L
4.- Entender el Contexto Externo
Desarrolle el análisis centrado en la organización y con una visión de negocio, 
el publico objetivo es la dirección y que comprenda potenciales riesgos.
#05
4.- Entender el Contexto Interno
Sea objetivos en los análisis, su organización probablemente tenga muchas 
debilidades, reconocerlas es un paso fundamental.
#06
5.- Formulación de Objetivos
Sea coherente con las necesidades identificadas y su realidad, la formulación 
de un alcance y expectativas realista ayudará en el éxito.
#07
1.- Creación de 
la Urgencia
2.- Formar una 
coalición
3.- 
Comprender el 
Estado Actual
4.- Entender el 
Contexto
Acciones concretas a desarrollar 
para subsanar brechas
Matriz de Análisis FODA
Matriz de Análisis FODA
Sector Servicios
6.- Plan de Implementación
Un plan de implementación implica establecer metas, pero también 
responsable y recursos (personas, tecnologías, servicios, recursos).
#08
6.- Plan de Implementación
8.- Programa de capacitación, entrenamiento y concientización
Considere un programa distintivo y orientado en los roles, tomadores de 
decisión, gerencial, roles específicos de ciberseguridad y usuarios generales.
#10
NICE FrameworkENISA – Roles de CiberseguridadTres Líneas de Defensa – The IIA
9.- Definir la Gobernanza y Gestión de la Seguridad de la Información
Establezca son los roles y responsabilidades claves en las líneas de defensa, 
así como en cargos de responsabilidad especifica en SGSI y ciberseguridad.
#11
Tres Líneas de Defensa – The IIA
10.- Establecimiento del Política de Seguridad
Defina el público objetivo y desarróllela en consecuencia, es un documento 
que otorga directrices y comunicación clave, las cuales deben ser realistas.
#12
Desde las buenas prácticas (ISO 27001/ISO 27002/ISO 27003)
11.- Implementación de procedimientos de apoyo del SGSI
La adopción de plantillas de procesos es una buena práctica, pero deben 
reflejar el quehacer organizacional, el copiar-pegar no sirve.
#13
▪ Procesos en general de adopción inicial:
▪ Gestión Documental
▪ Gestión de Comunicaciones
▪ Gestión de Gobernanza
▪ Gestión de Políticas de Seguridad
▪ Auditoría Interna
▪ Gestión de RRHH
▪ Son independiente de los Riesgos, los deberá 
implementar, ayudarán a generar rápidos 
resultados del proyecto.
11.- Implementación de procedimientos de apoyo del SGSI
11.- Implementación de procedimientos de apoyo del SGSI
12.- Implementación de procedimientos y controles bases del SGSI
Los controles deseguridad de la información deben integrarse en los 
procesos, no implica la creación de nuevos procesos, probablemente ya 
tenga definiciones al respecto, utilícelas.
#14
Gobernanza 
Gestión de 
Proyectos
Gestión de 
Activos
Control de 
Accesos
Seguridad en 
RRHH
Capacitación y 
Concientización
Protección de 
Información y 
Medios
Seguridad Física
Seguridad en la 
Configuración
Seguridad 
Operaciones
Gestión de 
Vulnerabilidades
Seguridad en 
Redes
Seguridad en 
Software
Seguridad con 
Proveedores
Gestión de la 
Continuidad
Gestión de 
Incidentes
Ciberinteligencia
Riesgos en 
Cadena de 
Suministro
Privacidad y 
Cumplimiento
Pentesting
Monitoreo Red y 
Servicios
Seguridad en la 
Nube
Auditoría y 
Aseguramiento
Gestión de Logs y 
Evidencia
Controles Administrativos Controles en TI Controles Ciber
11.- Implementación de procedimientos de apoyo del SGSI
12.- Implementación de procedimientos y controles bases del SGSI
13.- Definir Metodología e Implementación de Apreciación de Riesgos
El proceso y los instrumentos para la gestión de riesgos son aspectos de 
mayor complejidad en el SGSI, emplee modelos funcionales y considere la 
capacitación especial basada en casos a los responsables
#15
Contexto de Riesgos - Apetito
▪ Se debe establecer el Apetito de Riesgo, considerando el contexto de riesgo, 
regulaciones, intereses, requisitos de partes interesadas, entre otros.
Caso 1: Sector Público
Considerar que:
Caso 2: Sector Financiero
Consideraciones
Riesgo de Continuidad Riesgo de Ciberseguridad
Línea Base
Riesgo en Infraestructura Critica
Terremotos
Incendios
APT
Ciberguerra
Organizaciones 
críticas
14.- Desarrollar el Plan de Tratamiento de Riesgos
La definición del proceso es simple, pero procure establecer los elementos de 
revisión y consolidación idóneos entre las partes. 
#16
Cada plan de tratamiento de riesgos procure gestionarlo como proyecto, 
ayudará en su capacidad de gestión y monitoreo
#17
15.- Implementación de Políticas, Procedimientos y Controles
Establezca claramente los alcances de la implementación de controles, evalué 
la pertinencia de la documentación y el uso de recursos (persona, 
tecnologías, servicios, infraestructura, entre otros).
#18
16.- Gestión de Indicadores Claves de Performance
Defínalos a un alto nivel de actividades (son claves), a nivel de procesos es 
una buena práctica, cuestiónese la utilidad y su pertinencia de uso, 
principalmente en la toma de decisiones.
#19
ISO 27004 – 
Indicadores del SGSI
Deben medir una gestión que sea 
necesaria de controlar y pueda 
aportar en la mejora continua
17.- Monitoreo del SGSI
Monitoreo periódico y con objetivos específicos, la provisión oportuna y de 
calidad de la información es clave
#20
17.- Monitoreo del SGSI
18.- Auditoría al SGSI
Las capacidades de los auditores es una importante brecha a subsanar, la 
actividad es el clave para el aseguramiento y mejora del SGSI, principalmente 
en la evaluación de controles y actividades criticas.
#21
19.- Revisión de la Dirección al SGSI
La revisión de la dirección debe ser periódica e integral, recogiendo todos los 
puntos de atención necesarios que signifiquen una potencial de brecha en 
los objetivos establecidos o una desviación, tomando decisiones oportunas 
para su corrección o fortalecimiento de medidas.
#22
21.- Preparación para la Auditoría Certificación
La inversión en la certificación es marginal en la implementación de un SGSI, 
tiende a aportar valor y compromiso a las partes interesadas
#24
21.- Preparación para la Auditoría Certificación
SEMINARIO IMPLEMENTACIÓN DEL SGSI
Lecciones Aprendidas de la Implementación
Reflexión General
“Si no te preparas, te estás 
preparando para fallar”
Benjamín Franklin
Consultas
Carlos Lobos de Medina
https://www.linkedin.com/in/clobos/
carlos.lobos@usach.cl
Director del Programas de Diplomados de Ciberseguridad
www.diplomadociberseguridad.com 
Cybersecurity Governance & Management Expert 
Advisor | Academic |Global | 20 years experience
ISO 27001/22301/37301/27701 Implementer and Auditor
Certified COBIT 2019 | NIST | CISM | CISA | CCSA
https://www.linkedin.com/in/clobos/
mailto:carlos.lobos@usach.cl
http://www.diplomadociberseguridad.com/
Seminario de Implementación del SGSI
Carlos Lobos de Medina
	Diapositiva 1: Seminario de Implementación del SGSI
	Diapositiva 2: Consultas
	Diapositiva 3: Agenda
	Diapositiva 4: Sistema de Gestión de Seguridad de la Información
	Diapositiva 5: Definiciones de un Sistema de Gestión
	Diapositiva 6: Otra forma de verlo
	Diapositiva 7: ¿Que ofrece ISO 27.001?
	Diapositiva 8: Ciclo PDCA
	Diapositiva 9: Procesos de un SGSI – ISO 27.022
	Diapositiva 10: Enfoque de Riesgos
	Diapositiva 11: Controles de Seguridad de la Información – ISO 27.002
	Diapositiva 12: Lecciones Aprendidas de la Implementación
	Diapositiva 13: Algunas visiones
	Diapositiva 14: Consideraciones Importantes de la Implementación
	Diapositiva 15: Cuando hablamos de Ciberseguridad desde las Buenas Prácticas
	Diapositiva 16: Consideraciones de la Implementación – Visión de Controles
	Diapositiva 17: 21 Pasos para la Implementación
	Diapositiva 18: 1.- Creación de la Urgencia
	Diapositiva 19: Casos de Negocio
	Diapositiva 20: Casos de Negocio - Representativos
	Diapositiva 21: Casos de Negocio - Representativos
	Diapositiva 22: Casos de Negocio - Representativos
	Diapositiva 23: Casos de Negocio - Representativos
	Diapositiva 24: 2.- Formar una coalición
	Diapositiva 25: Distribución de Roles y Funciones
	Diapositiva 26: Caso 1: Definición de Políticas de Ciberseguridad
	Diapositiva 27: Caso 2: Protección frente a Malware (equipamiento usuarios)
	Diapositiva 28: Caso 3: Capacitación y Concientización
	Diapositiva 29: Caso 4: Control de Accesos
	Diapositiva 30: Caso 5: Gestión de Vulnerabilidades (Estándar)
	Diapositiva 31: Caso 6: Continuidad del Negocio (Estándar)
	Diapositiva 32: 2.- Formar una coalición
	Diapositiva 33: 3.- Comprender el Estado Actual
	Diapositiva 34: Usando Check List Estandar
	Diapositiva 35: Usando COBIT 2019
	Diapositiva 36: Usando otros Instrumentos
	Diapositiva 37: 4.- Entender el Contexto Externo
	Diapositiva 38: 4.- Entender el Contexto Interno
	Diapositiva 39: 5.- Formulación de Objetivos
	Diapositiva 40: Matriz de Análisis FODA
	Diapositiva 41: Matriz de Análisis FODA
	Diapositiva 42: 6.- Plan de Implementación
	Diapositiva 43: 6.- Plan de Implementación
	Diapositiva 44: 8.- Programa de capacitación, entrenamiento y concientización
	Diapositiva 45: 9.- Definir la Gobernanza y Gestión de la Seguridad de la Información
	Diapositiva 46: 10.- Establecimiento del Política de Seguridad
	Diapositiva 47: 11.- Implementación de procedimientos de apoyo del SGSI
	Diapositiva 48: 11.- Implementación de procedimientos de apoyo del SGSI
	Diapositiva 49: 11.- Implementación de procedimientos de apoyo del SGSI
	Diapositiva 50: 12.- Implementación de procedimientos y controles bases del SGSI
	Diapositiva 51: 11.- Implementación de procedimientos de apoyo del SGSI
	Diapositiva 52: 12.- Implementación de procedimientos y controles bases del SGSI
	Diapositiva 53: 13.- Definir Metodología e Implementación de Apreciación de Riesgos
	Diapositiva 54: Contexto de Riesgos - Apetito
	Diapositiva 55: Caso 1: Sector Público
	Diapositiva 56: Caso 2: Sector Financiero
	Diapositiva 57: Consideraciones
	Diapositiva 58: 14.- Desarrollar el Plan de Tratamiento de Riesgos
	Diapositiva 59: 15.- Implementación de Políticas, Procedimientos y Controles
	Diapositiva 60: 16.- Gestión de Indicadores Claves de Performance
	Diapositiva 61: 17.- Monitoreo del SGSI
	Diapositiva 62: 17.- Monitoreo del SGSI
	Diapositiva 63: 18.- Auditoría al SGSI
	Diapositiva 64: 19.- Revisión de la Dirección al SGSI
	Diapositiva 65: 21.- Preparación para la Auditoría Certificación
	Diapositiva 66: 21.- Preparación para la Auditoría Certificación
	Diapositiva 67: Lecciones Aprendidas de la Implementación
	Diapositiva 68: Reflexión General
	Diapositiva 69:Consultas
	Diapositiva 70: Seminario de Implementación del SGSI