You are on page 1of 123

Diseo de Sistema de Gestin de Seguridad de Informacin

CONTENIDO
1. Objetivo 2. Introduccin. 3. Entendimiento del Negocio. 3.1. Informacin Institucional. 3.2. Marco Operativo. 3.3. Informacin del Ambiente de Sistemas. 3.3.1. Catlogo de Aplicaciones. 3.3.2. Recursos Humanos Centro de Computo. 3.3.3. Recursos Tecnolgicos. 3.3.4. Comunicacin y transferencia de Informacin a travs de la organizacin. 3.3.5. Estrategia. 4. Modelo de mejores prcticas utilizado: COBIT 5. Propuesta metodolgica para el diseo del SGSI de ECUACOLOR. 6. Modelo de madurez de los 7 procesos de Seguridad de Informacin. 6.1. PO9.- Evaluar los Riesgos. 6.2. PO11.- Administrar Calidad. 6.3. A16.- Administrar Cambios. 6.4. DS4 .- Asegurar el Servicio Continuo. 6.5. DS5 .- Garantizar la Seguridad de los Sistemas. 6.6. DS11 .- Administrar los Datos. 6.7. DS12 .- Administrar Instalaciones. 7. La evaluacin de riesgos de los 105 objetivos de control. 7.1. Administracin de Riesgos. 7.2. Proceso de administracin de Riesgos. 6.2.1. Establecer Marco General. 6.2.2. Identificar Riesgos. 6.2.3. Anlisis de Riesgos. 6.2.4. Evaluar y Priorizar Riesgos. 6.2.5. Controles existentes para los riesgos de ms alta exposicin. 6.2.6. Tratamiento del Riesgo. 8. Plan de Accin. 9. Beneficios.

ANEXOS
A1. Glosario de trminos. A2 Mapa General de Procesos. A3. Organigrama de la Empresa. A4. Organigrama de Sistemas. A5 Proceso de Ventas a Distribuidores. A5. Procesos de Ventas en Retail. A6. Polticas Bsica de Seguridad de Informacin. A7. Factores Crticos de xito. A8. Indicadores Claves de Desempeo.

1/123

Diseo de Sistema de Gestin de Seguridad de Informacin

1. OBJETIVO
El objetivo de nuestra tesis es el Diseo de un Sistema de Gestin de Seguridad de la Informacin para la empresa ECUACOLOR, basado en el anlisis de la empresa y el conocimiento adquirido durante el Diplomado de Auditora Informtica Un segundo objetivo es contribuir para que las empresas ecuatorianas tomen conciencia de la necesidad de implementar Sistemas de Seguridad, como una herramienta que ayudar a cumplir con las metas y objetivos de la empresas, ayudndoles en la gestin del negocio y ser ms competitivas en el mercado.

2/123

Diseo de Sistema de Gestin de Seguridad de Informacin

2. INTRODUCCIN
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, Los Sistemas de Informacin de la empresa. La Informtica hoy, es la base en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a controles. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, se hace necesario un Sistema de Gestin de Seguridad de Informacin. La informacin en la empresa es uno de los mas importantes activos que posee. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la informacin. La informacin est sujeta a muchas amenazas tanto de ndole externa como externa. Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera estarlo. La importancia de llevar un control de los recursos de los Sistemas de Tecnologa de Informacin se puede deducir de varios aspectos. He aqu algunos: Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. Los hackers que son expertos en Ingeniera Social consiguiendo personas de dentro de la compaa para sacarles contraseas y claves de invitados. Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. Un Sistema Informtico mal diseado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informtico, por eso, la necesidad de un Sistema de Gestin de Seguridad de Informacin.. Nuestro Proyecto de Diseo de un Sistema de Gestin de seguridad de Informacin SGSI incluye 9 captulos y 8 anexos.

3/123

Diseo de Sistema de Gestin de Seguridad de Informacin El captulo 1, define el objetivo de nuestra tesis, El diseo de un sistema de Gestin de Seguridad de Informacin para la empresa ECUACOLOR. El captulo 2, es una Introduccin sobre la necesidad de implementar en las empresas un SGSI, para el control y proteccin de los recursos de Tecnologa de Informacin. El captulo 3, es el levantamiento de informacin para el Entendimiento del Negocio, el Marco Operativo y la Tecnologa de Informacin que utiliza ECUACOLOR para el desarrollo de sus operaciones. El Captulo 4, es una breve explicacin de la herramienta utilizada COBIT, considerada como una de las mejores prcticas para la administracin, control, auditora y manejo de las seguridades de Tecnologa de Informacin. El captulo 5, establece la metodologa utilizado para el desarrollo de nuestra tesis de graduacin. El capitulo 6, establece el modelo de Madurez de los 7 procesos del modelo COBIT sobre requerimientos de Seguridad (confidencialidad, integridad y disponibilidad), es la situacin actual de la empresa y haca donde quiere llegar. El captulo 7, constituye el trabajo de investigacin de los 105 objetivos de Control en ECUACOLOR, estableciendo el nivel de riesgo actual (Alto Medio Bajo). El captulo 8, es el Plan de Accin con los Controles recomendados para la mitigacin de los Riesgos cuales. El captulo 9, establece los Beneficios que tendra la empresa al implementar un Sistema de Gestin de Seguridad de Informacin. Y Finalmente tenemos 8 Anexos, Glosario de trminos: Mapa General de Procesos, Organigrama de la Empresa, Organigrama de Sistemas, Proceso de Ventas a Distribuidores y el Proceso de Ventas en Retail. . Las Polticas Bsica de Seguridad de la Informacin, que es lo mnimo que debera implementar la empresa. Como valor agregado hemos incluido los Factores Crticos de xito (FCE) y los Indicadores claves de Desempeo , que constituyen herramientas adicionales para llegar a cumplir con xito la gestin empresarial.

4/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3 ENTENDIMIENTO DEL NEGOCIO 3. 1 INFORMACIN INSTITUCIONAL Resea Histrica


Laboratorios Fotogrficos Ecuacolor es una empresa que naci en la ciudad de Quito hace 35 aos gracias a la iniciativa y visin de los seores Luis Orrantia G. y Enrique Martinez Q., Presidente y Gerente General de Comandato de aquel entonces, quienes decidieron crear una empresa dedicada a la venta y procesamiento de las pelculas en blanco y negro, bajo la razn social de Ecuacolor Laboratorios Fotogrficos. Desde el ao 1966, los laboratorios fueron ampliando sus servicios bajo la supervisin de Galo Vinueza, viejo amante de la fotografa y uno de los artfices del desarrollo fotogrfico del Ecuador. En 1975 Ecuacolor ya contaba con un moderno laboratorio de revelado a color en Quito, que fue viendo superada su capacidad de produccin por la creciente demanda, por lo que se decidi abrir un nuevo laboratorio. En Marzo de 1976, bajo la supervisin del Ing. Antonio Tobar C., se inauguro uno de los mas modernos laboratorios centrales de Sud Amrica en la ciudad de Guayaquil. Pocos aos despus, se inicio a la apertura de punto de revelado satelitales, equipados con mini laboratorios que ofrecan el servicio de revelado en pocas horas. Hoy se cuenta con 106 mini laboratorios instalados en las principales ciudades del pas, atendiendo directamente a sus clientes locales, ofrecindoles productos e innumerables servicios fotogrficos y digitales de primersima calidad. Ecuacolor se dedica en la actualidad a la captura, reproduccin, conservacin y comunicacin de imgenes que son los mas preciados recuerdos y sentimientos del ser humano. Gracias a la utilizacin de tecnologa de punta a la experiencia de su recurso humano y a la capacitacin continua, ha logrado colocarse como lder en la comercializacin y distribucin de productos y servicios fotogrficos. Sus mas de 500 colaboradores son el fundamento de la empresa y con orientacin total hacia la excelencia que les permite dar un eficiente servicio a todos sus clientes en el pas.

5/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MISION
Lograr la satisfaccin de las necesidades de los clientes y usuarios, mediante la entrega de Excelencia en la Calidad de Productos y Servicios dentro de la industria de imgenes. Nuestro compromiso con nuestros colaboradores es proveerlos de oportunidades para su desarrollo y crecimiento, remunerndolos mejor que el mercado en base a resultados, e incrementando su patrimonio y bienestar a largo plazo, creando en ellos un recurso valioso. Nuestro compromiso con nuestros socios comerciales es el de proveerlos de una plataforma para sus desarrollo sostenido, mediante nuestro crecimiento en ventas y rentabilidad. Nuestra responsabilidad con la sociedad y las comunidades en las que operamos , es la de contribuir a su progreso y expectativas para el futuro, y prestar nuestro apoyo para eventos deportivos, culturales y de entretenimiento, que lleven felicidad a sus vidas. Entregar a los accionistas el mayor rendimiento a su inversin.

VISION
Ser la empresa de mayor rentabilidad dentro de la industria de imgenes del pas, con personal altamente calificado, motivado y profesional; sirviendo en cada rea de la empresa y el mercado; con una participacin de mercado no menor al 70%.

VALORES
El cliente es primero. Honestidad y lealtad que asegure la integridad de la empresa. Capacidad para enfrentar cambios y adaptarnos a nuevas situaciones. Educacin y aprendizaje constante para lograr la superacin personal y profesional. Tenacidad y perseverancia para alcanzar nuestros objetivos. Reconocimiento pblico y remuneracin econmica ante el buen desempeo. Comunicacin abierta para promover el trabajo en equipo. Innovacin constante, iniciativa y creatividad para lograr productividad y eficiencia. Respeto a las personas, a la sociedad y al medio ambiente.

6/123

Diseo de Sistema de Gestin de Seguridad de Informacin

PANORAMA ACTUAL
Ecuacolor es una marca reconocida, posee una presencia bastante fuerte en el mercado fotogrfico a nivel nacional, con ms de 100 fototiendas. Ha llegado a poseer el 70% de participacin del mercado. Es parte de un grupo econmico conformado por Comandato, OndaPositiva, TecniPrint. Mucha de la infraestructura tecnolgica es compartida por el Grupo Corporativo. Existen Niveles Gerenciales que cumplen sus funciones de manera Corporativo.

El mercado fotogrfico en el Ecuador esta cambiando, el cambio se esta dando hacia el revelado digital, lo que motiva que el mercado de revelado tradicional se vea disminuido, afectando a los ingresos de la institucin. Para contrarrestar este efecto, la institucin ha diseado nuevas estrategias y desarrollado nuevas lneas de negocio. Entre las estrategias de mas alto impacto estn: Venta a Crdito, lo que debe incrementar la venta de Cmaras Digitales y otros productos de la lnea Profesional. Se ha logrado obtener la representacin exclusiva de los productos Maxell en todo el territorio nacional, de tal manera que se diversifican los ingresos que tiene la institucin actualmente. Promociones para impulsar el revelado digital. Alianzas estratgicas con empresas nacionales para promociones cruzadas. Adquisicin de Equipos de revelado digital PictureMaker.

Para lograr alcanzar los objetivos estratgicos definidos existen adquisiciones de tecnologa que tienen una incidencia directa en el plan estratgicos de negocio. Adquisicin de nuevo sistema de punto de ventas que cumpla los requerimientos de ley acorde a las necesidades y expectativas del negocio. Implementacin de interconexin entre las principales tiendas a nivel nacional con la casa matriz. Administracin de la tecnologa actual que soporta los procesos del negocio. Siendo este ultimo uno de los pilares fundamentales en la consecucin de las metas trazadas por la organizacin.

Los costos de estos proyectos son bastante significativos dentro de los resultados de la empresa, por eso razn la evaluacin y adquisicin de la tecnologa antes mencionada debe ser llevada a cabo de la mejor manera posible.

7/123

Diseo de Sistema de Gestin de Seguridad de Informacin

PRODUCTOS CLAVES
Cmaras digitales (KODAK, PANASONIC, NIKON) Rollos fotogrficos (KODAK) Pilas Accesorios para cmaras y productos relacionados.

SERVICIOS CLAVES
Revelado fotogrfico. Ampliaciones. Montajes. Retoques Copias.

LINEAS DE NEGOCIO
Distribucin.- Se encarga de la venta de mercadera y revelado al por mayor. Los distribuidores tienen lneas de crdito, descuentos, y promociones especiales. Fototiendas.- Se encarga de la venta de mercadera al por menor y el revelado fotogrficos.

CLIENTES
Fotgrafos.- Clientes que se dedican a la fotografa profesional, tienen descuentos y promociones especiales. Distribuidores.- Clientes que estn autorizados a vender mercadera, recibir trabajos de revelados y a facturarlos. Aficionados.- Cliente que no se dedica a la fotografa como actividad profesional.

MERCADO.Ecuacolor esta enfocado en 2 segmentos, la venta a travs de su cadena de retail y la venta a distribuidores. Los principales competidores de Ecuacolor en el segmento de retail, son Konica, Fuji, Fybeca, otros quedan servicio de revelado. En lo que respecta a la distribucin de Kodak y Maxell, es la misma que la de la marca a nivel internacional.

8/123

Diseo de Sistema de Gestin de Seguridad de Informacin Actualmente la marca Ecuacolor esta catalogada como la numero uno en cuanto al revelado fotogrfico y apunta a mantener esta posicin. Ecuacolor siempre esta buscando la manera de incrementar su volumen de ventas, lanzando promociones. Sin embargo las ventas estn disminuyendo debido a cambios que estn surgiendo en el revelado tradicional, siendo esta la principal fuente de sus ingresos.

MARKETING Y PROMOCIONES.Constantemente se estn lanzando promociones apuntando: Incrementar el revelado digital. Mantener el revelado tradicional. Incrementar la venta de productos KODAK y MAXELL.

Actualmente se han adquirido Impresoras Termales, Digitales, y equipos PICTURE Maker con el afn de soportar las diferentes promociones que son lanzadas consecutivamente.

ORGANIGRAMA DE LA EMPRESA.
Ver anexo A3.

Tecnologa de Informacin.Existe un departamento de sistemas en Quito y Guayaquil, parte de los servicios de tecnologa son provisto por el centro de computo de Comandato(Empresa del Grupo). Entre los servicios tecnolgicos que son provisto por el centro de computo de Comandato tenemos: Correo Interno. Acceso al Internet. Interconexin a travs de micro-ondas con antenas de punto de vista en las fototiendas que estn dentro de un almacn Comandato. Administracin y soporte especializado de la red corporativa y base de datos.

Existe un Gerente de Sistemas que es corporativo, los Jefes del Dpto. de Informtica de Quito y Guayaquil estn subordinados a la Gerencia de Sistemas corporativas.

9/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.2 MARCO OPERATIVO.-

VENTAS, TRMINOS Y DESCUENTOS.


La mercadera es recibida en las bodegas principales de Guayaquil, y de esta distribuida al resto del pas. Las listas de precios, son creadas, administradas, aprobadas en la oficina principal.

Distribucin Los precios de ventas para el rea de distribucin estn formalmente definidos y aprobados por la alta gerencia. Existe el concepto de mercadera dada a consignacin, pero con la aprobacin de la gerencia general. Los descuentos son previamente pactados con el cliente y aprobados por la gerencia general cuando estn fuera de los lmites preestablecidos. Todas las ventas son a crdito. Todas las lneas de crditos son aprobadas, revisadas y analizadas para evitar la morosidad en la cartera.

Retail. Los precios de ventas para la cadena de retail, estn clasificados por tipo de cliente (Aficionado y Fotgrafo), provincia, y en alguno casos por el nivel socio-econmico del lugar en donde este ubicada la fototienda. Todos los precios son revisados y aprobados por la alta gerencia. Los descuentos estn ya incluido en la lista de precios para el caso de los fotgrafos, y en el caso de los aficionados deben sujetarse al termino de la promocin a la que desean aplicar. Todas las ventas (actualmente) son en efectivo.

Semanalmente existen reuniones de los principales Gerentes de la Organizacin, para monitorear las tareas y actividades que se estn llevando en cada rea. Esto incluye informacin de: Antigedad de Cartera, Poltica de Precios, Promociones, Programacin de pedidos, Volmenes de Venta, Estado de Resultados por tienda y lnea de negocio. Cada gerencia es responsable de la informacin que se entrega. Para garantizar el mejor trato al cliente, existe un Dpto. de atencin al cliente en donde se lleva el detalle de cada reclamo y su respectiva solucin. De la misma manera para garantizar que nuestra empresa de un buen trato a nuestros clientes, disponemos de medios de retroalimentacin como: Cliente fantasma, Buzn de sugerencias, etc. Nota: Ver Anexos A5 y A6 para detalle de los principales procesos.

10/123

Diseo de Sistema de Gestin de Seguridad de Informacin

COMPRAS DE INVENTARIO. Nuestros mayores proveedores son Eastman Kodak, Maxell. La forma de costeo es por el mtodo de promedio ponderado. El inventario es un rubro bastante significativo en el balance general de la institucin. La Gerencia de Logstica, Gerencia de Mercadeo, Jefe de Produccin trabajan en conjunto para monitorear el inventario, y mantener un nivel adecuado a fin de satisfacer la demanda, por promociones y el proceso de revelado fotogrfico. Adicionalmente la Gerencia de Logstica se encarga de monitorear las importaciones, y de informar cualquier inconveniente directamente con la gerencia.

CUENTAS POR PAGAR. La mayora de las compras son de mercadera para la venta y materia prima para el proceso de revelado fotogrfico. Existen contratos de arrendamientos por los locales que no son propios y estn siendo usados por las fototiendas. Existen prstamos bancarios, pero no son de gran impacto en el estado financiero. Existen prstamos entre compaas del grupo.

Todas los cuentas por pagar son aprobados y monitoreadas. Para la aprobacin existe una poltica bien definido por montos de compra. La informacin de las cuentas por porgar es semanalmente revisada e informada a la gerencia.

SALDOS DE EFECTIVO
Todos los saldos en efectivo estn en la moneda local. Transferencias importantes existen entre la administracin de efectivos y las cuentas operacionales. El flujo de efectivo es diariamente monitorizado por la Gerencia Financiera. Las transferencias son aprobadas por la gerencia general.

PROPIEDADES, PLANTA & EQUIPOS. Todas las propiedades, planta y equipos son de propiedad de la compaa(no es leasing financiero). La vida til de todos los activos se basan en estndares de la industria y se deprecian por medio del mtodo de lnea recta. Si existen gastos significativos por reparacin y mantenimiento. Durante los ltimos 2 aos, se han hecho importante adquisiciones en cuanto a equipos de revelado digital y termal.

11/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.3 INFORMACIN DEL AMBIENTE DE SISTEMA.


Los sistemas computacionales soportan todos los procesos del negocio, pero existen fototiendas que llevan sus transacciones de una forma manual debido a que el flujo de transacciones de la tienda y el flujo de efectivo de la empresa no justifica su automatizacin. La informacin crtica de los estados financieros es generada por los sistemas computacionales. El soporte y administracin de la infraestructura de redes, sistema operativo, bases de datos es soportada por un tercero o por el centro de computo de COMANDATO. (Empresa del grupo). Ecuacolor Laboratorio Fotogrfico S.A. tiene las siguientes unidades de negocio: Venta en FotoTiendas. Venta a distribuidores.

Los principales procesos del negocio son: Ventas. Mercadeo. Produccin. (Revelado Fotogrfico) Logstica Administracin y control de fototiendas. Administracin de fondos y flujo de efectivo.

12/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.3.1 CATALOGO DE APLICACIONES.


Aplicacin Sistema de Rol de Pagos. Sistema Administrativo Financiero. (Contabilidad, Cxc, Cxp) Sistema de Administracin de Inventario Sistema de Facturacin a Distribuidores Sistema de Compras Locales Sistema de Importaciones Sistema de Control de Caja Sistema de Punto de Venta Sistema de Informacin Gerencial. Sistema de Ordenes de Pago. S.Operativo Linux SCO Unix Base de Datos Procesos del Negocio que Soporta PosgreSQL Administracin y Rendicin de Cuentas. Informix Administracin y Rendicin de Cuentas. Informix Facturacin Distribuidores Facturacin Retail. Administracin de Inventario Facturacin Distribuidores Administracin de Inventario Adquisiciones Administracin de Inventario Adquisiciones Administracin de Inventario Facturacin Retail. Facturacin Retail. Toma de decisiones Gerenciales Administracin y Rendicin de Cuentas. Transaccionalidad MEDIA ALTA MEDIA ALTA

SCO Unix

ALTA

SCO Unix SCO Unix SCO Unix SCO Unix W9x SCO Unix W2K

Informix Informix Informix Informix FoxPro 2.6 Informix SQLServer

MEDIA BAJA MEDIA MEDIA MEDIA ALTA ALTA BAJA MEDIA

ALTA MEDIA ALTA MEDIA

CATEGORIZACIN DE LA TRANSACCIONALIDAD DE LAS OPERACIONES. Aproximadamente 200,000 Transacciones Mensuales Aproximadamente 100,000 Transacciones Mensuales Aproximadamente 50,000 Transacciones Mensuales

13/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MEDIA BAJA BAJA

Aproximadamente 20,000 Transacciones Mensuales Aproximadamente 2,000 Transacciones Mensuales

14/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.3.2 RECURSO HUMANO CENTRO DE COMPUTO


CARGO Gerente Nacional de Sistemas Jefes Departamentales (Guayaquil y Quito) Analista Programadores (Guayaquil y Quito) Help Desk(Guayaquil y Quito) CANTIDAD 1 2 3 2

ORGANIGRAMA DE Tecnologa de Informacin.


Ver anexo A4.

3.3.3 RECURSO TECNOLGICO


SOFTWARE. SCO Unix Open Server 5.0 Linux RedHat Entreprise Server 3.x Lotus Domino 5.x. Office 2000 profesional. Visual Basic 6.0 Entreprise. JAVA 2 Standard Edition 1.4. SQL Server 2000. Informix Dynamic Server 9.x

HARDWARE. Servidor Principal (S.O. Sco Unix, 2 procesadores XEON, 1 GB de memoria, RAID 5, 4 fuentes redundantes, dispositivo de cinta magntica). Proxy Server (S.O. Linux, procesador PENTIUM 4, 512 MB) MAIL Server (S.O. Linux + Lotus Domino, procesador PENTIUM 4, 512 MB). Servidor de Desarrollo (S.O. Sco Unix, 1 procesadores XEON, 512 de memoria, dispositivo de cinta magntica). 240 PC en toda la organizacin.

RED. Cableado estructurado categora 5 - 6. Red Inalmbrica. BACKBONE de comunicaciones. Conexin dial-up con fototiendas.

15/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.3.4 COMUNICACIN Y TRANSFERENCIA DE INFORMACIN A NIVEL DE LA ORGANIZACIN. Existen 2 centros de cmputos: Quito y Guayaquil (Oficina Principal) La interconexin a travs de Quito y Guayaquil es a travs de un enlace dedicado de 256 kbps, usado por toda la organizacin. Los sistemas administrativos financieros y de produccin tienen bases de datos separadas y ubicadas fsicamente tanto en Quito como en Guayaquil, a travs de un proceso nocturno se sincronizan las bases de datos. La interconexin y sincronizacin de datos entre las fototiendas y las oficinas principales ocurre una vez al da a travs de un enlace telefnico.

3.3.5 ESTRATEGIA.
Tecnologa de Informacin tiene entre sus principales proyectos: El soporte para la seleccin de un nuevo sistema de punto de venta a nivel nacional que permita a la empresa soportar las nuevas estrategias de negocio de la organizacin. La interconexin del 20% de sus fototiendas a nivela nacional para poder soportar la nueva lnea de negocios y formas de negociacin.

Cambios en Sistemas.
Ecuacolor esta considerando cambiar su sistema de punto de venta por exigencias del S.R.I, y por requerimientos de las nuevas estrategias del negocio. Tambin existe un plan para la actualizacin de la base de datos y sistema operativos de los sistemas de la casa matriz.

16/123

Diseo de Sistema de Gestin de Seguridad de Informacin

4. MODELO DE MEJORES PRCTICAS UTILIZADO: COBIT La Misin de CobiT:


Investigar , desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados , de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes y auditores.

Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado. La Administracin debe asegurar que los sistemas de control interno o el marco referencial estn funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de control satisface los requerimientos de informacin e impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT junto con los requerimientos del negocio que deben ser alcanzados:

eficiencia efectividad confidencialidad integridad disponibilidad cumplimiento y confiabilidad de la informacin.

El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la debida diligencia. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. La orientacin al negocio es el tema principal de COBIT. Est diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser

17/123

Diseo de Sistema de Gestin de Seguridad de Informacin utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren de una mayor delegacin y empoderamiento de los dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados.

El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de Referencia comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. El Marco de Referencia contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: 1. 2. 3. 4. Planeacin y Organizacin, Adquisicin e Implementacin Entrega de servicios y Soporte y Monitoreo.

Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y Soporte y el Monitoreo. El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 318 objetivos detallados de control recomendados por CobiT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento. Las Guas o Directrices Gerenciales de COBIT , desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales.

18/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Administracin puede ubicarse en el puntodonde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar adonde quiere llegar; Factores Crticos de xito (Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro / Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los Indicadores Clave de desempeo (Key Performance Indicators) los cuales son indicadoresprimarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca. Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y se justifica el costo respecto al beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos? Qu hacen otros? Cmo nos podemos medir y comparar

COBIT contiene adicionalmente un Conjunto de Herramientas de Implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y Diagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del ambiente de control de TI en una organizacin. En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT es una herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de control, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de las organizaciones, a nivel mundial. Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relacionadas.

19/123

Diseo de Sistema de Gestin de Seguridad de Informacin

5. PROPUESTA METODOLGICA PARA EL DISEO DEL SGSI DE ECUACOLOR.


Existen dos clases distintas de modelos de control actualmente disponibles, aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior a los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI! El marco metodolgico conceptual para elaborar el diseo del Sistema de Gestin de la Seguridad de Ecuacolor Laboratorio Fotogrfico S.A., usando el modelo de mejores prcticas COBIT, fue el siguiente: 1. Definicin de los criterios de la Informacin 2. Seleccionar los criterios de la Informacin que estn relacionados con Seguridad. 3. Seleccionar de los 34 procesos de COBIT, cuales son los procesos que son impactados de manera primaria por los criterios de la informacin relacionados con la seguridad. 4. Definir los Objetivos de Control detallados. 5. Aplicacin del modelo de madurez, para determinar un estado de la situacin actual de la empresa y cuales son sus metas, en cuanto a seguridad. 6. Realizar una evaluacin y priorizacion de riesgos. 7. Elaborar los planes de accin que incluyen los controles, para poder mitigar los riesgos de alta y media exposicin. DEFINICIONES GENERALES Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994).

Control se define como.- Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos. Objetivo de control en TI se define como.- Una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.

20/123

Diseo de Sistema de Gestin de Seguridad de Informacin Gobierno de TI se define como.- Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos. DEFINICIN DE LOS CRITERIOS DE LA INFORMACIN. El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.

Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:

Calidad Costo Entrega o Distribucin (de servicio) Efectividad y eficiencia de las operaciones Confiabilidad de la informacin Cumplimiento de leyes y regulaciones Confidencialidad Integridad Disponibilidad

21/123

Diseo de Sistema de Gestin de Seguridad de Informacin La Calidad ha sido considerada principalmente por su aspecto negativo (ausencia de fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad (estilo, atractivo, ver y sentir, desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega o distribucin del servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado, siendo cubierto por la Eficiencia. Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de las operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera. Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y disponibilidad como los elementos clave se encontr que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad. Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones utilizadas por COBIT: Informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Proteccin de informacin sensible contra divulgacin no autorizada.

Efectividad
Eficiencia

Confidencialidad

Integridad

Precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo criterios de negocio impuestos externamente. Provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Disponibilidad

Cumplimiento

Confiabilidad de la informacin

Los recursos de TI identificados en COBIT pueden explicarse/ definirse como se muestra a continuacin:

22/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Datos
Aplicaciones Tecnologa Instalaciones Personas

Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de informacin. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.

El dinero o capital no fue considerado como un recurso de TI para la clasificacin de los objetivos de control porque el dinero puede ser considerado como una inversin dentro de cualquiera de los recursos presentados. Adems debe anotarse que el Marco Referencial no se refiere especficamente a la documentacin de todos los materiales relacionados con un proceso de TI en particular. Como un aspecto de buenas prcticas, la documentacin es considerada como un buen control, y por lo tanto la falta de documentacin sera causa de una mayor revisin y anlisis de los controles compensatorios en cualquier rea bajo revisin. Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:

CRITERIOS DE LA SEGURIDAD.Los criterios de la seguridad usados a nivel mundial por los modelos de mejores prcticas y estndares son los siguientes: Confidencialidad Integridad Disponibilidad Proteccin de informacin sensible contra divulgacin no autorizada. Precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

23/123

Diseo de Sistema de Gestin de Seguridad de Informacin

SELECCIN DE LOS PROCESOS DE COBIT RELACIONADOS CON EL DISEO DEL SGSI.Los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos. Resulta claro que las medidas de control no satisfarn necesariamente los diferentes requerimientos de informacin del negocio en la misma medida. Por esa razn los procesos en COBIT satisfacen uno o varios criterios de la informacin de la siguiente manera: (P) Primario.- es el grado al cual el objetivo de control definido impacta directamente el requerimiento de informacin de inters. (S) Secundario es el grado al cual el objetivo de control definido satisface nicamente de forma indirecta o en menor medida el requerimiento de informacin de inters. Blanco (vaco) podra aplicarse; sin embargo, los requerimientos son satisfechos ms apropiadamente por otro criterio en este proceso y/o por otro proceso.

P01 P02 P03 P04 P05 P06 P07 P08 P09 P010 P011 AI1 AI2 AI3 AI4 AI5 AI6

PROCESOS COBIT Definir un plan estratgico de sistemas DS1 Definir la arquitectura de informacin DS2 Determinar la direccin tecnolgica DS3 Definir la organizacin y sus relaciones DS4 Administrar las inversiones (en TI) DS5 Comunicar la direccin y objetivos de la gerencia DS6 Administrar los recursos humanos DS7 Asegurar el apego a disposiciones externas DS8 Evaluar Riesgos DS9 Administrar Proyectos DS10 Administrar Calidad DS11 DS12 Identificar soluciones de automatizacin DS13 Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica M1 Desarrollar y mantener procedimientos M2 Instalar y acreditar sistemas de informacin M3 Administrar cambios M4

Definir niveles de servicio Administrar servicios de terceros Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistemas Identificar y asignar costos Educar y capacitar a usuarios Apoyar y orientar a clientes Administrar la configuracin Administrar problemas e incidentes Administrar la informacin Administrar las instalaciones Administrar la operacin

Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente Proporcionar auditoria independiente

24/123

Diseo de Sistema de Gestin de Seguridad de Informacin

25/123

Diseo de Sistema de Gestin de Seguridad de Informacin

26/123

Diseo de Sistema de Gestin de Seguridad de Informacin DEFINICIN DE LOS OBJETIVOS DE CONTROL. Despus de haber seleccionado los procesos que son afectados por los criterios de informacin de Seguridad (Confidencialidad, Integridad y Disponibilidad) de una manera primario, se obtienen los siguientes Objetivos de Control detallados:

Con el fin de asegurar que los requerimientos del negocio para la informacin se cumplan, es necesario definir, implementar y monitorear adecuadas medidas de control sobre esos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El siguiente diagrama ilustra este concepto.

27/123

Diseo de Sistema de Gestin de Seguridad de Informacin ARQUITECTURA DE SEGURIDAD.Objetivos de Control Detallados o Especficos.PROCESO
PO9.- Evaluar Riesgo PO11.- Administracin de la calidad

OBJETIVO DE CONTROL DETALLADO


Evaluacin de Riesgos del Negocio Enfoque de Evaluacin de Riesgos Identificacin de Riesgos Medicin de Riesgos Plan de Accin contra Riesgos Aceptacin de Riesgos Seleccin de Garantas o Protecciones Compromiso con el Anlisis de Riesgos Plan General de Calidad. Enfoque de Aseguramiento de Calidad. Planeacin del Aseguramiento de Calidad. Revisin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares y Procedimientos de TI. Metodologa del Ciclo de Vida de Desarrollo de Sistemas Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas. Coordinacin y Comunicacin. Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa. Relaciones con Terceras Partes como Implementadotes. Estndares para la Documentacin de Programas. Estndares para Pruebas de Programas. Estndares para Pruebas de Sistemas. Pruebas Piloto/En Paralelo. Documentacin de las Pruebas del Sistema. Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo. Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de TI. Mtricas de calidad. Reportes de Revisiones de Aseguramiento de Calidad.

CRITERIOS DE INFORMACIN
PRIMARIO SECUNDARIO

Efectividad Confidencialidad Integridad Disponibilidad

Eficiencia Cumplimiento Confiabilidad

Efectividad Eficiencia Integridad

Confiabilidad

28/123

Diseo de Sistema de Gestin de Seguridad de Informacin


OBJETIVO DE CONTROL DETALLADO
DS5.- Garantizar la seguridad de los sistemas. Inicio y Control de Solicitudes de Cambio Anlisis de Impacto Control de Cambios Cambios de Emergencia Documentacin y Procedimientos Mantenimiento Autorizado Poltica de Liberacin de Software Distribucin de Software Marco de Referencia de Continuidad de Tecnologa de informacin Estrategia y Filosofa del Plan de Continuidad de TI Contenido del Plan de Continuidad de TI. Reduccin de requerimientos de Continuidad de Tecnologa de Informacin. Mantenimiento del Plan de Continuidad de Tecnologa de Informacin. Pruebas del Plan de Continuidad de TI. Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin. Distribucin del Plan de Continuidad de TI. Procedimientos de respaldo de procesamiento alternativo para Departamentos usuarios. Recursos Crticos de Tecnologa de Informacin. Sitio y Hardware de Respaldo. Almacenamiento de respaldo en el sitio alterno (Off-site). Procedimiento de afinamiento del Plan de Continuidad. Administrar Medidas de Seguridad. Identificacin, Autenticacin y Acceso. Seguridad de Acceso a Datos en Lnea. Administracin de Cuentas de Usuario. Revisin Gerencial de Cuentas de Usuario. Control de Usuarios sobre Cuentas de Usuario. Vigilancia de Seguridad. Clasificacin de Datos. Administracin de Derechos de Acceso e Identificacin Centralizada. Reportes de Violacin y de Actividades de Seguridad. Manejo de Incidentes.

PROCESO
AI6.- Administrar cambios.

CRITERIOS DE INFORMACIN
PRIMARIO SECUNDARIO

Efectividad Eficiencia Integridad

Confiabilidad

DS4.- Asegurar el servicio continuo

Efectividad Disponibilidad

Eficiencia

Confidencialidad Integridad

Disponibilidad Cumplimiento Confiabilidad

29/123

Diseo de Sistema de Gestin de Seguridad de Informacin


OBJETIVO DE CONTROL DETALLADO
DS11.- Administracin de datos Reacreditacin. Confianza en Contrapartes. Autorizacin de transacciones. No negacin o no rechazo. Sendero Seguro. Proteccin de las funciones de seguridad. Administracin de Llaves Criptogrficas. Prevencin, Deteccin y Correccin de Software Malicioso. Arquitectura de Firewalls y conexin a redes pblicas. Proteccin de Valores Electrnicos. Procedimientos de Preparacin de Datos. Procedimientos de Autorizacin de Documentos Fuente. Recopilacin de Datos de Documentos Fuente. Manejo de errores de documentos fuente. Retencin de Documentos Fuente. Procedimientos de Autorizacin de Entrada de Datos. Chequeos de Exactitud, Suficiencia y Autorizacin. Manejo de Errores en la Entrada de Datos. Integridad de Procesamiento de Datos. Validacin y Edicin de Procesamiento de Datos. Manejo de Errores en el Procesamiento de Datos. Manejo y Retencin de Datos de Salida. Distribucin de Datos Salidos de los Procesos. Balanceo y Conciliacin de Datos de Salida. Revisin de Datos de Salida y Manejo de Errores. Provisiones de Seguridad para Reportes de Salida. Proteccin de Informacin Sensible durante transmisin y transporte. Proteccin de Informacin Sensitiva Desechada. Administracin de Almacenamiento. Perodos de Retencin y Trminos de Almacenamiento.

PROCESO
DS5.- Garantizar la seguridad de los sistemas.

CRITERIOS DE INFORMACIN
PRIMARIO SECUNDARIO

Confidencialidad Integridad

Disponibilidad Cumplimiento Confiabilidad

Integridad Confiabilidad

30/123

Diseo de Sistema de Gestin de Seguridad de Informacin


OBJETIVO DE CONTROL DETALLADO
DS12.-Administracin instalaciones. de Sistema de Administracin de la Librera de Medios Responsabilidades de la Administracin de la Librera de Medios Respaldo (Back-up) y Restauracin Funciones de Respaldo Almacenamiento de Respaldos Archivo Proteccin de Mensajes Sensitivos Autenticacin e Integridad Integridad de Transacciones Electrnicas Integridad Continua de Datos Almacenados Seguridad Fsica Discrecin sobre las Instalaciones de Tecnologa de Informacin Escolta de Visitantes Salud y Seguridad del Personal Proteccin contra Factores Ambientales Suministro Ininterrumpido de Energa

PROCESO
DS11.- Administracin de datos

CRITERIOS DE INFORMACIN
PRIMARIO SECUNDARIO

Integridad Confiabilidad

Integridad Disponibilidad

MODELO DE MADUREZ.El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un mtodo de asignacin de puntos para que una organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute defini para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable. En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin puede mapear:

La situacin actual de la organizacindnde est la organizacin actualmente La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

El modelo de madurez aplicado a Ecuacolor Laboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este documento.

31/123

Diseo de Sistema de Gestin de Seguridad de Informacin EVALUACIN Y PRIORIZACION DE RIESGOS.Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las mejores practicas industriales y los modelos internacionales. La evaluacin y priorizacion de riesgos aplicado a Ecuacolor Laboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este documento.

PLANES DE ACCIN.Los controles que se sugieren implementar para mitigar los riesgos identificados en la fase de evaluacin y priorizacion de riesgos, as como sus responsables y tiempos aproximados de implementacin se pueden encontrar en los planes de accin. Los planes de accin del Sistema de Seguridad de la Informacin aplicados a Ecuacolor Laboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este documento.

32/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MADUREZ DE SEGURIDAD DE INFORMACIN

LOS 7

PROCESOS DE

A los gerentes generales de las organizaciones corporativas y pblicas se les pide frecuentemente que consideren un caso de negocio para los gastos de recursos para controlar la infraestructura de informacin. Mientras pocos argumentaran que esto no es bueno, todos se deben preguntar: Hasta dnde debemos ir, y est el costo justificado por el beneficio? Para ayudar a responder esa pregunta, a menudo se hacen otras preguntas relacionadas: Qu estndares reconocidos internacionalmente existen, y cmo estamos nosotros situados respecto a stos? Qu estn haciendo los dems, y cmo estamos nosotros situados en relacin a ellos? Qu est considerado como la mejor prctica de la industria, y cmo estamos nosotros situados en relacin con esa mejor prctica? Basados en estas comparaciones externas, podra decirse que nosotros estamos tomando precauciones razonablespara salvaguardar nuestros activos de informacin? Usualmente ha sido difcil dar respuestas sensatas a estas preguntas, porque no se ha contado con las herramientas requeridas para hacer las evaluaciones necesarias. La administracin de TI est constantemente en la bsqueda de herramientas de referencia y de auto evaluacin en respuesta a la necesidad de saber qu hacer en una forma eficiente. Comenzando con los procesos de COBIT y con objetivos de control de alto nivel, el propietario del proceso debe ser capaz de llevar a cabo cada vez mayores Benchmark en comparacin con dicho objetivo de control. Esto satisface tres necesidades: (1) una medida relativa de dnde est la organizacin (2) una forma de decidir eficientemente dnde ir (3) una herramienta para medir el progreso con respecto al objetivo El Marco Referencial de COBIT define 34 procesos de TI dentro de un entorno de TI. Para cada proceso hay una expresin de control de alto nivel y entre 3 y 30 objetivos detallados de control. El propietario del proceso debe ser capaz de determinar el nivel de cumplimiento de los objetivos de control ya sea como una rpida auto evaluacin o como una referencia en conjunto con una revisin independiente. Cualquiera de estas evaluaciones que la administracin pueda desear poner en contexto comparando con la industria y con el entorno en que ellas se encuentran o en comparacin con dnde estn evolucionando los estndares y las reglamentaciones internacionales (por ejemplo, las futuras expectativas que surgen). Para que los resultados se puedan utilizar fcilmente en los reportes de la administracin, donde ellos sern presentados como un medio para 33/123

Diseo de Sistema de Gestin de Seguridad de Informacin respaldar el caso de negocio para planes futuros, es necesario suministrar un mtodo grfico de presentacin. El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un mtodo de asignacin de puntos para que una organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute defini para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable. En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin puede mapear: La situacin actual de la organizacindnde est la organizacin actualmente La situacin actual de la industria (la mejor de su clase en)la comparacin La situacin actual de los estndares internacionalescomparacin adicional La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente de medidas, basada en una clasificacin de 0 hasta 5. La escala est asociada con las descripciones del modelo genrico cualitativo de madurez que van desde Inexistente hasta Optimizada de la forma siguiente: ECTRICES GERENCIALES

34/123

Diseo de Sistema de Gestin de Seguridad de Informacin MODELO GENRICO DE MADUREZ 0 Inexistente. Total falta de un proceso reconocible. La organizacin ni siquiera ha reconocido que hay un problema que resolver. 1 Inicial. Hay evidencia de que la organizacin ha reconocido que los problemas existen y que necesitan ser re sueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El mtodo general de la administracin es desorganizado. 2 Repetible. Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitacin o comunicacin formal de procedimientos estndar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores. 3 Definida. Los procedimientos han sido estandarizados y documentados, y comunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalizacin de las prcticas existentes. 4 Administrada. Es posible monitorear y medir el cumplimiento de los procedimientos y emprender accin donde los procesos parecen no estar funcionando efectivamente. Los procesos estn bajo constante mejoramiento y proveen buena prctica. Se usan la automatizacin y las herramientas en una forma limitada o fragmentada. 5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor prctica, basados en los resultados de mejoramiento continuo y diseo de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.

COBIT es un marco de referencia general dirigido a la administracin de TI y como tal estas escalas necesitan ser prcticas para aplicar y razonablemente fciles de entender. Sin embargo, los tpicos de riesgo y de control apropiado en los procesos de administracin de TI son inherentemente subjetivos e imprecisos y no necesitan el enfoque menos automatizado que se encuentra en los modelos de madurez para la ingeniera de software. La ventaja de un enfoque de Modelo de Madurez es que es relativamente fcil para la administracin ponerse en la escala y apreciar lo que est involucrado si necesita mejorar el desempeo. La escala incluye 0 a 5 porque es bastante probable que no exista ningn proceso en absoluto. La escala 0-5 se basa en una escala simple de madurez que muestra cmo evoluciona un proceso desde Inexistente hasta optimizado. Debido a que son procesos de administracin, la madurez y la capacidad aumentada es tambin sinnimo de mayor manejo del riesgo y mayor eficiencia. El Modelo de Madurez es una forma de medir qu tan bien desarrollados estn los procesos de administracin. El grado de desarrollo que deben tener depende de las necesidades del negocio, como se menciona aqu anteriormente. Las escalas son slo ejemplos prcticos para un proceso dado de administracin que muestra esquemas tpicos para cada nivel de madurez. Los Criterios de Informacin ayudan a asegurarse de que estamos enfocados en los aspectos correctos de la administracin cuando 35/123

Diseo de Sistema de Gestin de Seguridad de Informacin describimos la prctica real. Por ejemplo, la planificacin y organizacin estn enfocadas en los objetivos de efectividad y eficiencia de administracin, mientras que asegurar la seguridad de los sistemas se enfocar en el manejo de la confidencialidad y la integridad. DIRECTRICES GERENCIALES Las escalas del Modelo de Madurez ayudarn al profesional a explicar a los administradores dnde existen deficiencias en la administracin de TI y a fijarse objetivos para donde necesitan estar comparando las prcticas de control de su organizacin con los ejemplos de la mejor prctica. El nivel correcto de madurez estar influenciado por los objetivos de negocio y el entorno operativo de la empresa. Especficamente, el nivel de madurez de control depender de la dependencia de TI que tenga la empresa, de la sofisticacin de la tecnologa y, lo que es ms importante, del valor de su informacin. Un punto estratgico de referencia para que una organizacin mejore la seguridad y el control podra consistir tambin en mirar las normas internacionales que surgen y las mejores prcticas de su clase. Las prcticas actuales que surgen pueden llegar a ser el nivel esperado de desempeo de maana y es por lo tanto til para planificar dnde quiere una organizacin estar en el tiempo. Los Modelos de Madurez se construyen a partir del modelo genrico cualitativo (ver arriba) a los que se agregan las prcticas y los principios de los dominios siguientes de forma creciente a travs de todos los niveles: Entendimiento y conocimiento de los riesgos y de los problemas de control Capacitacin y comunicacin aplicadas a los problemas Proceso y prcticas que son implementados Tcnicas y automatizacin para hacer los procesos ms efectivos y eficientes Grado de cumplimiento de la poltica interna, las leyes y las reglamentaciones Tipo y grado de pericia empleada.

La tabla siguiente describe esta creciente aplicacin de prcticas a travs de todos los niveles para los distintos tpicos. Junto con el modelo cualitativo, constituye un modelo genrico de madurez aplicable a la mayora de los procesos de TI.

36/123

Diseo de Sistema de Gestin de Seguridad de Informacin

En resumen, Los Modelos de Madurez: Se refieren a los requerimientos del negocio y a los aspectos posibilitadores en los diferentes niveles de madurez Son una escala que se presta para la comparacin pragmtica Son una escala en la que la diferencia puede hacerse mensurable de manera sencilla Son reconocibles como un perfil de la empresa relativo al gobierno de TI, la seguridad y el control Ayudan a fijar posiciones de Como est y Como debe estar en relacin con el gobierno de TI, la madurez de la seguridad y el control Se prestan para hacer anlisis de los vacos/gap para determinar lo que es necesario hacer para alcanzar un nivel determinado GERENCIALES Evitan, donde es posible, niveles discretos que crean umbrales que son difciles de cruzar Aplican cada vez ms factores crticos de xito No son especficos de la industria ni son siempre aplicables, el tipo de negocio define lo que es apropiado. 37/123

Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor

MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :


Pag 1/2

Diseo de un Sistema de Gestin de Seguridad

DOMINIO: PLANEACION Y ORGANIZACIN

MODELO DE MADUREZ PO9.- Evaluar los Riesgos

OBJETIVO DE CONTROL Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin importantes.

Estado Actual :

Estado Proyectado:
CRITERIOS DE CALIFICACIN

Inexistente La estimacin del riesgo para los procesos y las decisiones del negocio no ocurre. La organizacin no considera los impactos del negocio asociados con vulnerabilidades de la seguridad y con inseguridades de proyectos de desarrollo. Es improbable que la administracin de riesgos sea identificada dentro del plan de un proyecto o sea asignada a administradores especficos involucrados en el proyecto. La administracin de TI no especifica responsabilidad para la administracin del riesgo en las descripciones de los puestos de trabajo u otro medio informal. Riesgos especficos relacionados con TI como la seguridad, disponibilidad e integridad son considerados ocasionalmente por proyecto. Inicial /Ad Hoc La organizacin est conciente de sus responsabilidades y obligaciones legales y contractuales, pero considera los riesgos de TI de manera ad hoc, sin seguir procesos o polticas definidas. Tienen lugar evaluaciones informales del riesgo de proyecto a medida que lo determina cada proyecto. No es probable que las evaluaciones de riesgo sean identificadas especficamente dentro del plan de un proyecto o a ser asignado a administradores especficos involucrados en el proyecto. La administracin de TI no especifica responsabilidad por la administracin del riesgo en las descripciones de puestos de trabajo u otro medio informal. Los riesgos especficos relacionados con TI como son la seguridad, disponibilidad e integridad son ocasionalmente considerados por proyecto. Los riesgos relacionados con TI que afectan las operaciones cotidianas se discuten con poca frecuencia en las reuniones de la administracin. Cuando se han considerado los riesgos, la mitigacin es inconsistente. Repetible pero Intuitivo Ha surgido un entendimiento de que los riesgos de TI son importantes y que es necesario considerarlos. Existe algn enfoque de evaluacin de riesgos, pero el proceso es todava inmaduro y est en desarrollo. La evaluacin es usualmente a un nivel elevado y tpicamente se aplica slo a los proyectos importantes. La evaluacin de las operaciones en curso depende principalmente de los administradores de TI que lo presentan como un punto de la agenda, lo cual a menudo slo ocurre cuando surgen problemas. La administracin de TI generalmente no tiene definidos procedimientos o descripciones de puestos de trabajo que se encarguen de la administracin del riesgo.

38/123

Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor

MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :


Pag 2/2

Diseo de un Sistema de Gestin de Seguridad

DOMINIO: PLANEACION Y ORGANIZACIN

MODELO DE MADUREZ PO9.- Evaluar los Riesgos

OBJETIVO DE CONTROL Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin importantes.

Estado Actual :

Estado Proyectado:
CRITERIOS DE CALIFICACIN

Proceso Definido La poltica de manejo del riesgo a nivel de toda una organizacin define cundo y cmo llevar a cabo evaluaciones de riesgo. La evaluacin del riesgo sigue un proceso definido que est documentado y disponible para todo el persona a travs de entrenamiento. Las decisiones de seguir el proceso y recibir entrenamiento se dejan a la discrecin de las personas. La metodologa es convincente y saludable, y asegura que los riesgos clave del negocio probablemente sean identificados. Las decisiones de seguir el proceso se dejan a los administradores individuales de TI y no hay procedimiento para asegurar que todos los proyectos estn cubiertos o que la operacin en curso es examinada en busca de riesgos de manera regular. Administrado y Medible La evaluacin del riesgo es un procedimientos estndar y las excepciones a seguir el procedimiento seran anunciadas por la administracin de TI. Es probable que la administracin del riesgo sea una funcin definida de la administracin con responsabilidad a nivel general. El proceso es adelantado y el riesgo es evaluado a nivel del proyecto individual y tambin regularmente respecto a la operacin general de TI. Se advierte a la administracin sobre los cambios en el entorno de TI que podran afectar significativamente los escenarios de riesgo como por ejemplo una mayor amenaza proveniente de la red o tendencias tcnicas que afectan la integridad de la estrategia de TI. La administracin puede monitorear la posicin de riesgo y tomar decisiones inteligentes respecto a la exposicin que est dispuesta a aceptar. La gerencia general ha determinado los niveles de riesgo que la organizacin tolerar y tiene medidas estndar de proporciones de riesgo / rendimiento. Presupuestos de administracin para proyectos de administracin de riesgos operativos para reevaluar los riesgos regularmente. Est establecida una base de datos de administracin de riesgos. Optimizado La evaluacin de los riesgos se ha desarrollado hasta una etapa en que un proceso estructurado, en toda la organizacin, es ejecutado, seguido y bien administrado. La tormenta de ideas y el anlisis de la causa que origin el riesgo, que involucra a personas expertas, se aplican en toda la organizacin. La captura, anlisis y reporte de datos de administracin de riesgos estn altamente automatizados. El asesoramiento se obtiene de los jefes en el terreno y la organizacin de TI participa en grupos colegas para intercambiar experiencias. La administracin del riesgo est verdaderamente integrada en todas las operaciones y negocios de TI, es bien aceptada e involucra extensamente a los usuarios de servicios de TI.

39/123

Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor

MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :


Pag 1/1

Diseo de un Sistema de Gestin de Seguridad

DOMINIO: PLANEACION Y ORGANIZACIN

MODELO DE MADUREZ PO11.- Administrar Calidad

OBJETIVO DE CONTROL Control sobre el proceso de TI Administrar la Calidad con el objetivo del negocio de satisfacer los requerimientos de TI del cliente.

Estado Actual : 0

Estado Proyectado:

CRITERIOS DE CALIFICACIN Inexistente La organizacin no ha reconocido que existe un problema que debe ser reconocido. Inicial /Ad Hoc Hay evidencia de que la organizacin ha reconocido que los problemas existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El mtodo general de la administracin es desorganizado. Repetible pero Intuitivo Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitacin o comunicacin formal de procedimientos estndar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores. Proceso Definido Los procedimientos han sido estandarizados y documentados, y comunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalizacin de las prcticas existentes. Administrado y Medible Es posible monitorear y medir el cumplimiento de los procedimientos y emprender accin donde los procesos parecen no estar funcionando efectivamente. Los procesos estn bajo constante mejoramiento y proveen buena prctica. Se usan la automatizacin y las herramientas en una forma limitada o fragmentada. Optimizado Los procesos han sido refinados hasta un nivel de la mejor prctica, basados en los resultados de mejoramiento continuo y diseo de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.

40/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 1/2

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

DOMINIO: ADQUISICIN E IMPLEMENTACIN

MODELO DE MADUREZ AI6.- Administrar Cambios

OBJETIVO DE CONTROL El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN Inexistente. No hay un proceso definido de administracin de cambios y se pueden hacer cambios prcticamente sin control alguno. No hay conciencia de que los cambios pueden causar interrupciones tanto para TI como para las operaciones de negocios, y ninguna conciencia de los beneficios de una buena administracin de cambios. Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero no hay un proceso consistente para seguimiento. Las prcticas varan y es probable que ocurran cambios no autorizados. Hay documentacin insuficiente o inexistente de cambios, y la documentacin de configuracin est incompleta y no es confiable. Es probable que ocurran errores junto con interrupciones en el entorno de produccin causados por una administracin deficiente del cambio. Repetible pero Intuitiva Hay un proceso informal de administracin de cambios y la mayora de los cambios siguen este mtodo; sin embargo, el mismo no est estructurado, es rudimentario y est propenso a error. La precisin de la documentacin de configuracin es inconsistente y slo tiene lugar una planeacin y un estudio de impacto limitados antes de un cambio. Hay considerable ineficiencia y repeticin de trabajo. Proceso Definido Est establecido un proceso formal de administracin de cambios, que incluye procedimientos de categorizacin, priorizacin, emergencia, autorizacin y administracin de cambios, pero no se impone su cumplimiento. El proceso definido no siempre es visto como adecuado o prctico y, en consecuencia, ocurren trabajos paralelos y los procesos son desviados. Es probable que ocurran errores y los cambios no autorizados ocurrirn ocasionalmente. El anlisis de impacto a los cambios de TI sobre las operaciones del negocio se estn volviendo formales para soportar la ejecucin de los planes para nuevas aplicaciones y tecnologas. Administrado y Medible El proceso de administracin de cambios est bien desarrollado y es seguido de manera consistente para todos los cambios, y la administracin confa en que no hay excepciones. El proceso es eficiente y efectivo, pero se basa en considerables procedimientos y controles manuales para asegurar que se logre la calidad. Todos los cambios estn sujetos a una planeacin y estudio de impacto exhaustivos para minimizar la probabilidad de problemas posteriores a la produccin. Est establecido un proceso de aprobacin para los cambios. La documentacin de administracin de cambios est al da y es correcta, y los cambios son rastreados formalmente. La documentacin de la configuracin est generalmente actualizada. La planeacin e implementacin de la administracin de cambios de TI se est volviendo ms integrada con cambios en los procesos de negocios, para asegurar ese entrenamiento, se resuelven cambios organizativos y problemas de continuidad de negocio. Hay mayor coordinacin entre la administracin de cambios de TI y el rediseo del proceso de negocios.

MODELO DE MEJORES PRACTICAS - COBIT

41/123

Diseo de Sistema de Gestin de Seguridad de Informacin EMPRESA : Ecuacolor


Fecha de diagnostico :
Pag 2/2

Diseo de un Sistema de Gestin de Seguridad

MODELO DE MADUREZ AI6.- Administrar Cambios DOMINIO: ADQUISICIN E

IMPLEMENTACIN
OBJETIVO DE CONTROL El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

Estado Actual :

Estado Proyectado:

Optimizado El proceso de administracin de cambios es revisado y actualizado regularmente para mantener en lnea con las mejores prcticas. La informacin de configuracin est automatizada y provee control de versiones. La distribucin de software es automatizada y se cuenta con capacidades de monitoreo a distancia. La administracin de configuracin y liberacin y rastreo de cambios es sofisticado e incluye herramientas para detectar software no autorizado y sin licencia. La administracin de cambios de TI est integrada con la administracin de cambios del negocio para asegurar que TI sea un posibilitador para aumentar la productividad y crear nuevas oportunidades de negocios para la organizacin.

42/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 1/2

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

MODELO DE MADUREZ DS4 .- Asegurar el Servicio Continuo OBJETIVO DE CONTROL El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

DOMINIO: ENTREGA Y SOPORTE

Estado Actual :

Estado Proyectado:3

CRITERIOS DE CALIFICACIN

Inexistente. No hay entendimiento de los riesgos, vulnerabilidades y amenazas de las operaciones de TI o del impacto de la prdida de los servicios de TI para el negocio. La continuidad del servicio no es considerada como que necesita atencin de la administracin. Inicial /Ad hoc Las responsabilidades de servicio continuo son informales, con autoridad limitada. La administracin se est volviendo conciente de los riesgos relacionados con el servicio continuo y de la necesidad de ste. El enfoque es sobre la funcin de TI, en vez de ser sobre la funcin de negocio. Los usuarios estn implementando formas de evadirlo. La respuesta a las interrupciones mayores es reactiva e improvisada. Los cortes planeados estn programados para que satisfagan las necesidades de TI, en vez de para adaptarse a los requerimientos del negocio. Repetible pero Intuitiva La responsabilidad del servicio continuo est asignada. Los enfoques del servicio continuo son fragmentados. El reporte sobre la disponibilidad del sistema es incompleto y no toma en cuenta el impacto sobre el negocio. No hay planes documentados de usuario o de continuidad, a pesar de que hay dedicacin a la disponibilidad de servicio continuo y que se conocen sus principios rectores. Existe un inventario razonablemente confiable de sistemas crticos y componentes. Est surgiendo la estandarizacin de prcticas de servicio continuo y el monitoreo del proceso, pero el xito se basa en las personas. Proceso Definido La obligacin de reportar no es ambigua y las responsabilidades de planificar y probar el servicio continuo estn claramente definidas y asignadas. Los planes estn documentados y se basan en la importancia del sistema y en el impacto sobre el negocio. Hay un reporte peridico de prueba de servicio continuo. Las personas toman la iniciativa para seguir las normas y recibir entrenamiento. La administracin comunica consistentemente la necesidad de servicio continuo. Los componentes de alta disponibilidad y la redundancia de sistema se estn aplicando de manera fragmentada. Se mantiene rigurosamente un inventario de sistemas crticos y componentes.

43/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 2/2

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

MODELO DE MADUREZ DS4 .- Asegurar el Servicio Continuo OBJETIVO DE CONTROL El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

DOMINIO: ENTREGA Y SOPORTE

Estado Actual :

Estado Proyectado:
CRITERIOS DE CALIFICACIN

Administrado y Medible Se hacen cumplir las responsabilidades y las normas para el servicio continuo. La responsabilidad de mantener el plan de servicio continuo est asignada. Las actividades de mantenimiento toman en cuenta el entorno cambiante del negocio, los resultados de pruebas de servicio continuo y las mejores prcticas internas. Se estn recopilando, analizando, reportando y ejecutando datos estructurados sobre el servicio continuo. Se provee entrenamiento para los procesos de servicio continuo. Las prcticas de redundancia de sistema, que incluyen el uso de componentes de alta disponibilidad, estn siendo implementadas de manera consistente. Las prcticas de redundancia y la planeacin de servicio continuo se influyen mutuamente. Los incidentes de falta de continuidad son clasificados y el paso cada vez mayor de escala para cada uno es bien conocido para todos los que estn involucrados. Optimizado Los procesos integrados de servicio continuo son proactivos, se ajustas solos, son automatizados y auto analticos y toman en cuenta puntos de referencia y las mejores prcticas externas. Los planes de servicio continuo y los planes de continuidad del negocio estn integrados, alineados y son mantenidos de manera rutinaria. La compra de las necesidades de servicio continuo est asegurada por los vendedores y los principales proveedores. Se lleva a cabo la comprobacin global y los resultados de las pruebas son utilizados como parte del proceso de mantenimiento. La efectividad del costo del servicio continuo est optimizada a travs de la innovacin y de la integracin. La recopilacin y el anlisis de datos se usa para identificar oportunidades de mejoramiento. Las prcticas de redundancia y la planeacin del servicio continuo estn totalmente alineadas. La administracin no permite puntos nicos de falla y provee soporte para su solucin. Las prcticas de escalamiento son entendidas y cumplidas plenamente.

44/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico : EMPRESA : Ecuacolor


Diseo de un Sistema de Gestin de Seguridad Pag 1/2

MODELO DE MADUREZ DS5 .- Garantizar la Seguridad de los DOMINIO: ENTREGA Y SOPORTE Sistemas OBJETIVO DE CONTROL El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin no autorizada, dao o prdida.

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN

Inexistente. La organizacin no reconoce la necesidad de la seguridad de TI. Las responsabilidades y las obligaciones de reportar no estn asignadas para asegurar la seguridad. No estn implementadas medidas que soporten la administracin de la seguridad de TI. No hay ningn reporte de seguridad de TI y ningn proceso de respuesta de las violaciones de seguridad de TI. Hay una carencia total de un proceso reconocible de administracin de seguridad de sistemas. Inicial /Ad hoc La organizacin reconoce la necesidad de la seguridad de TI, pero la conciencia de la seguridad depende de la persona. La seguridad de TI est resuelta de manera reactiva y no se mide. Las violaciones de seguridad de TI invocan respuestas de sealamiento si se detectan, porque las responsabilidades no estn claras. Las respuestas a las violaciones de seguridad de TI son impredecibles. Repetible pero Intuitiva Las responsabilidades y obligaciones de la seguridad de TI estn asignadas a un coordinador de seguridad de TI que no tiene autoridad de administracin. La conciencia de seguridad es fragmentada y limitada. La informacin de seguridad de TI es generada, pero no es analizada. Las soluciones de seguridad tienden a responder de manera reactiva a los incidentes de seguridad de TI y adoptando propuestas de terceros, sin resolver las necesidades especficas de la organizacin. Se estn desarrollando polticas de seguridad, pero an se siguen usando habilidades y herramientas inadecuadas. El reporte de seguridad de TI es incompleto, engaoso y no es pertinente. Proceso Definido Existe conciencia de la seguridad y la misma es promovida por la administracin. Se han estandarizado y formalizados reportes de conocimientos de la seguridad. Los procedimientos de seguridad de TI estn definidos y encajan en una estructura para polticas y procedimientos de seguridad. Las responsabilidades de seguridad de TI estn asignadas, pero no se hacen cumplir de manera consistente. Existe un plan de seguridad de TI, que impulsa el anlisis del riesgo y soluciones de seguridad. El reporte de seguridad de TI est concentrado en TI, en lugar de concentrarse en el negocio. Se realizan pruebas Ad hoc de intrusin.

45/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 2/2

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

MODELO DE MADUREZ DS5 .- Garantizar la Seguridad de los Sistemas OBJETIVO DE CONTROL El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin no autorizada, dao o prdida.

DOMINIO: ENTREGA Y SOPORTE

Estado Actual :

Estado Proyectado:
CRITERIOS DE CALIFICACIN

Administrado y Medible Las responsabilidades de la seguridad de TI estn claramente asignadas, administradas y se hacen cumplir. El anlisis de riesgo e impacto de seguridad se lleva a cabo de manera consistente. Las polticas y prcticas de seguridad son completadas con bases especficas de seguridad. Los reportes de conocimiento de seguridad se han vuelto obligatorios. La identificacin, autenticacin y autorizacin de usuario se est estandarizando. Se est estableciendo la certificacin de seguridad del personal. La prueba de intrusin es un proceso estndar y formalizado que conduce a mejoras. El anlisis costo / beneficio, que soporta la implementacin de medidas de seguridad, es cada vez ms utilizado. Los procesos de seguridad de TI son coordinados con la funcin general de seguridad de la organizacin. El reporte de seguridad de TI est vinculado con los objetivos del negocio. Optimizado La seguridad de TI es una responsabilidad conjunta del negocio y de la administracin de TI y est integrada con objetivos de seguridad corporativa del negocio. Los requisitos de seguridad de TI estn claramente definidos, optimizados e incluidos en un plan verificado de seguridad. Las funciones de seguridad estn integradas con aplicaciones en la etapa de diseo y se les puede pedir a los usuarios finales que rindan cuenta de la seguridad a la administracin. El reporte de seguridad de TI provee un aviso anticipado del riesgo cambiante y emergente, usando mtodos activos automatizados de monitoreo para los sistemas crticos. Los incidentes son prontamente resueltos con procedimientos formalizados de respuesta a incidentes soportados por herramientas automatizadas. Las evaluaciones peridicas de seguridad evalan la efectividad de la implementacin del plan de seguridad. Se recoge y analiza sistemticamente la informacin sobre nuevas amenazas y vulnerabilidades, y se comunican e implementan prontamente los controles adecuados de mitigacin. La prueba de intrusin, anlisis de las causas originarias de los incidentes de seguridad y la identificacin proactiva del riesgo es la base para el mejoramiento continuo. Los procesos y las tecnologas de seguridad estn integrados en toda la organizacin.

46/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 1/2

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

MODELO DE MADUREZ DS11 .- Administrar los Datos OBJETIVO DE CONTROL El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

DOMINIO: ENTREGA Y SOPORTE

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN

Inexistente. No se reconocen los datos como un recurso y un activo corporativo. No hay propiedad asignada de datos ni responsabilidad individual de la integridad y confiabilidad de los datos. La calidad y seguridad de los datos son deficientes o inexistentes. Inicial /Ad hoc La organizacin reconoce una necesidad de datos exactos. Algunos mtodos son desarrollados a nivel individual para prevenir y detectar el ingreso, procesamiento y errores en la salida de los datos. El proceso de identificacin y correccin de errores depende de las actividades manuales de la persona, y las reglas y requerimientos no son transmitidos a medida que se llevan a cabo movimientos y cambios de personal. La administracin asume que los datos son exactos porque una computadora est involucrada en el proceso. La integridad y seguridad de los datos no son requerimientos de administracin y, si existe la seguridad, sta est administrada por la funcin de servicios de informacin. Repetible pero Intuitivo La conciencia de la necesidad de la exactitud de los datos y de mantener la integridad prevalece en toda la organizacin. La propiedad de los datos comienza a tener lugar, pero a nivel de un departamento o grupo. Las reglas y requerimientos son documentados por personas clave y no son consistentes en toda la organizacin y plataformas. Los datos estn en custodia de la funcin de los servicios de informacin y las reglas y definiciones estn impulsadas por los requerimientos de TI. La seguridad e integridad de los datos son primariamente responsabilidades de la funcin de los servicios de informacin con una participacin departamental menor. Proceso Definido La necesidad de integridad de los datos dentro y en toda la organizacin es entendida y aceptada. Las normas de ingreso, procesamiento y salida de datos han sido formalizadas y se hacen cumplir. El proceso de identificacin y correccin de errores es automatizado. La propiedad de los datos es asignada, y la integridad y seguridad son controladas por el responsable. Se utilizan tcnicas automatizadas para prevenir y detectar errores e inconsistencias. Las definiciones, reglas y requerimientos de datos estn claramente documentados y son mantenidos por una funcin de administracin de base de datos. Los datos se vuelven consistentes en todas las plataformas y a travs de toda la organizacin. La funcin de los servicios de informacin tiene un rol de custodio, mientras que el control de integridad de datos pasa al propietario de los datos. La administracin se basa en los reportes y anlisis para las decisiones y la planeacin futuras.

47/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico : EMPRESA : Ecuacolor


Diseo de un Sistema de Gestin de Seguridad Pag 2/2

MODELO DE MADUREZ DS11 .- Administrar los Datos DOMINIO: ENTREGA Y SOPORTE OBJETIVO DE CONTROL El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

Estado Actual :

Estado Proyectado:
CRITERIOS DE CALIFICACIN

Administrado y Medible Los datos son definidos como un recurso y un activo corporativo, a medida que la administracin exige ms soporte de decisiones y ms reporte de rentabilidad. La responsabilidad por la calidad de datos est claramente definida, asignada y comunicada dentro de la organizacin. Los mtodos estandarizados estn documentados, mantenidos, y usados para controlar la calidad de los datos, se hacen cumplir las reglas y los datos son consistentes en todas las plataformas y unidades de negocio. La calidad de los datos es medida y la satisfaccin del cliente respecto a la informacin es monitoreada. El reporte de administracin asume un valor estratgico para asesorar clientes, tendencias y evaluaciones de productos. La integridad de los datos se vuelve un factor significativo, con la seguridad de datos reconocida como un requerimiento de control. Se ha establecido una funcin formal de administracin de datos a nivel de toda la organizacin, con los recursos y la autoridad para hacer cumplir la estandarizacin de datos. Optimizado La administracin de datos es un proceso maduro, integrado y de funcionamiento cruzado que tiene una meta claramente definida y bien entendida de entregar informacin de calidad al usuario, con criterios claramente definidos de integridad, disponibilidad y confiabilidad. La organizacin maneja activamente datos, informacin y conocimientos como los recursos y los activos corporativos, con el objetivo de maximizar el valor del negocio. La cultura corporativa hace nfasis en la importancia de datos de alta calidad que necesitan ser protegidos y tratados como un componente clave de capital intelectual. La propiedad de datos es una responsabilidad estratgica con todos los requerimientos, reglas, reglamentaciones y consideraciones claramente documentados, mantenidos y comunicados.

48/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico : EMPRESA : Ecuacolor


Diseo de un Sistema de Gestin de Seguridad Pag 1/2

MODELO DE MADUREZ DS12 .- Administrar Instalaciones DOMINIO : Entrega y Soporte OBJETIVO DE CONTROL Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de proveer un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos naturales y provocados por el hombre.

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN Inexistente. No hay conciencia de la necesidad de proteger las Instalaciones o la inversin en los recursos de computacin. Los factores ambientales, incluyendo la proteccin contra incendios, el polvo, la energa y el calor y la humedad excesivos, no son monitoreados ni controlados. Inicial /Ad hoc La organizacin ha reconocido un requerimiento del negocio de proveer un entorno fsico adecuado que proteja los recursos y el personal de los riesgos naturales y provocados por el hombre. No existen procedimientos estndar y la administracin de Instalaciones y equipo depende de las habilidades y capacidades de las personas clave. No se revisa el mantenimiento y la gente se mueve dentro de las Instalaciones sin restriccin. La administracin no monitorea los controles ambientales de la instalacin ni el movimiento de personal. Repetible pero intuitivo La conciencia de la necesidad de proteger y de controlar el entorno fsico de computacin es reconocida y evidente en la asignacin de los presupuestos y de otros recursos. Los controles ambientales son implementados y monitoreados por el personal de operaciones. La seguridad fsica es un proceso informal, impulsado por un pequeo grupo de empleados que tienen un alto nivel de preocupacin sobre la seguridad de las Instalaciones fsicas. Los procedimientos de mantenimiento de las Instalaciones no estn bien documentados y se basan en las mejores prcticas de unas pocas personas. Las metas de la seguridad fsica no se basan en ningn estndar formal y la administracin no asegura que se logren los objetivos de seguridad. Proceso Definido La necesidad de mantener un entorno controlado de computacin es entendida y aceptada dentro de la organizacin. Los controles ambientales, de mantenimiento preventivo y de seguridad fsica son rubros del presupuesto aprobados y la administracin les hace seguimiento. Se aplican restricciones de acceso, permitindose el acceso a las Instalaciones de computacin slo al personal aprobado. Los visitantes son registrados y a veces escoltados, dependiendo del personal responsable. Las Instalaciones fsicas tienen perfil bajo y no se pueden identificar fcilmente. Las autoridades civiles monitorean el cumplimiento de las reglamentaciones sanitarias y de seguridad. Los riesgos estn asegurados, pero no se hace esfuerzo alguno para optimizar los costos de seguros.

49/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 2/2

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

MODELO DE MADUREZ DS12 .- Administrar Instalaciones OBJETIVO DE CONTROL Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de proveer un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos naturales y provocados por el hombre.

DOMINIO : Entrega y Soporte

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN Administrado y Medible La necesidad de mantener un entorno controlado de computacin es entendida totalmente, como es evidente en la estructura organizacional y en la asignacin de presupuesto. Los requerimientos ambientales y de seguridad fsica estn documentados y el acceso est estrictamente controlado y monitoreado. La responsabilidad y la propiedad han sido establecidas y comunicadas. El personal de las Instalaciones ha sido totalmente entrenado en situaciones de emergencia, as como tambin en prcticas sanitarias y de seguridad. Estn estandarizados los mecanismos de control para restringir el acceso a las Instalaciones y para resolver factores ambientales y de seguridad. La administracin monitorea la efectividad de los controles y el cumplimiento de las normas establecidas. La recuperacin de los recursos de computacin est incorporada al proceso corporativo de administracin de riesgos. Estn desarrollados planes para toda la organizacin, se llevan a cabo pruebas regulares e integradas y las lecciones aprendidas son incorporadas en las revisiones de los planes. La informacin integrada se usa para optimizar la cobertura de seguros y los costos relacionados. Optimizado Hay un plan a largo plazo para las Instalaciones que se requiere que soporten el entorno de computacin de la organizacin. Las normas estn definidas para todas las Instalaciones, abarcando la seleccin del sitio, la construccin, custodia, seguridad de personal, sistemas mecnico y elctrico, proteccin contra incendio, rayo e inundacin. Todas las Instalaciones son inventariadas y clasificadas en conformidad con el proceso de administracin de riesgos de la organizacin en progreso. El acceso est estrictamente controlado y se basa en la necesidad para el trabajo, es monitoreado constantemente y los visitantes son escoltados en todo momento. El entorno es monitoreado y controlado por medio de equipo especializado y las salas de equipos se vuelven automatizadas. Los programas de mantenimiento preventivo hacen cumplir estrictamente los programas y se aplican pruebas regulares a los equipos sensitivos. La estrategia y normas de las Instalaciones estn en correspondencia con los objetivos de disponibilidad de servicios de TI y estn integradas con la planeacin de la continuidad del negocio y con la administracin de crisis. La administracin revisa y optimiza las Instalaciones constantemente, capitalizando sobre las oportunidades de mejorar la contribucin del negocio.

50/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Enfoque del Modelo de Madurez


El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un mtodo de asignacin de puntos para que una organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute defini para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable. En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin puede mapear:

La situacin actual de la organizacindnde est la organizacin actualmente La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

51/123

Diseo de Sistema de Gestin de Seguridad de Informacin

RESUMEN GERENCIAL DEL MODELO DE MADUREZ PARA LOS PROCESOS DE SEGURIDAD DE LA INFORMACIN
Inexistente Inicial /Ad Hoc Repetible pero Intuitivo Proceso Definido Administrado y Medible Optimizado

0
PO9 PO11 AI6 DS4 DS5 DS11 DS12 Evaluar los Riesgos Administrar Calidad Administrar Cambios Asegurar el Servicio Continuo Garantizar la Seguridad de los Sistemas Administrar los Datos Administrar Instalaciones
LEYENDA PARA LOS SMBOLOS USADOS

Situacin actual de la empresa Estrategia de la Empresa

LEYENDA PARA LAS CLASIFICACIONES USADAS 0 Inexistente Los procesos de administracin no se aplican en absoluto 1 Inicial Los procesos son ad hoc y desorganizados 2 Repetible Los procesos siguen un patrn regular 3 Definida Los procesos son documentados y comunicados 4 Administrada Los procesos son monitoreados y medidos 5 Optimizada Las mejores prcticas son seguidas y automatizadas

52/123

Diseo de Sistema de Gestin de Seguridad de Informacin

7
7.1

EVALUACIN DE RIESGO DE LOS 105 OBJETIVOS DE CONTROL


Administracin de Riesgos

Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las mejores practicas industriales y los modelos internacionales.

53/123

Diseo de Sistema de Gestin de Seguridad de Informacin Definicin.Es un proceso interactivo e iterativo basado en el conocimiento, evaluacin y manejo de los riesgos y sus impactos, con el propsito de mejorar la toma de decisiones organizacionales. Aplicable a cualquier situacin donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.

Beneficios para la Organizacin Facilita el logro de los objetivos de la organizacin. Hace a la organizacin ms segura y consciente de sus riesgos. Mejoramiento contino del Sistema de Control Interno. Optimiza la asignacin de recursos. Aprovechamiento de oportunidades de negocio. Fortalece la cultura de autocontrol. Mayor estabilidad ante cambios del entorno.

Beneficios para el Dpto. de Auditora Soporta el logro de los objetivos de la auditora. Estandarizacin en el mtodo de trabajo. Integracin del concepto de control en las polticas organizacionales. Mayor efectividad en la planeacin general de Auditora. Evaluaciones enfocadas en riesgos. Mayor cobertura de la administracin de riesgos. Auditoras ms efectivas y con mayor valor agregado.

54/123

Diseo de Sistema de Gestin de Seguridad de Informacin 7.2 Proceso de administracin de Riesgos

1. Establecer Marco General

2. Identificar Riesgos Monitorear y Revisar

3. Anlisis de Riesgos

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

55/123

Diseo de Sistema de Gestin de Seguridad de Informacin 7.2.1 Establecer Marco General Ecuacolor es una marca reconocida, posee una presencia bastante fuerte en el mercado fotogrfico a nivel nacional, con ms de 100 fototiendas. Ha llegado a poseer el 70% de participacin del mercado. Es parte de un grupo econmico conformado por Comandato, OndaPositiva, TecniPrint. Mucha de la infraestructura tecnolgica es compartida por el Grupo Corporativo. Existen Niveles Gerenciales que cumplen sus funciones de manera Corporativo.

El mercado fotogrfico en el Ecuador esta cambiando, el cambio se esta dando hacia el revelado digital, lo que motiva que el mercado de revelado tradicional se vea disminuido, afectando a los ingresos de la institucin. Para contrarrestar este efecto, la institucin ha diseado nuevas estrategias y desarrollado nuevas lneas de negocio. Entre las estrategias de mas alto impacto estn: Venta a Crdito, lo que debe incrementar la venta de Cmaras Digitales y otros productos de la lnea Profesional. Se ha logrado obtener la representacin exclusiva de los productos Maxell en todo el territorio nacional, de tal manera que se diversifican los ingresos que tiene la institucin actualmente. Promociones para impulsar el revelado digital. Alianzas estratgicas con empresas nacionales para promociones cruzadas. Adquisicin de Equipos de revelado digital PictureMaker.

Para lograr alcanzar los objetivos estratgicos definidos existen adquisiciones de tecnologa que tienen una incidencia directa en el plan estratgicos de negocio. Adquisicin de nuevo sistema de punto de ventas que cumpla los requerimientos de ley acorde a las necesidades y expectativas del negocio. Implementacin de interconexin entre las principales tiendas a nivel nacional con la casa matriz. Administracin de la tecnologa actual que soporta los procesos del negocio. Siendo este ultimo uno de los pilares fundamentales en la consecucin de las metas trazadas por la organizacin.

Los costos de estos proyectos son bastante significativos dentro de los resultados de la empresa, por eso razn la evaluacin y adquisicin de la tecnologa antes mencionada debe ser llevada a cabo de la mejor manera posible. Ecuacolor esta enfocado en 2 segmentos, la venta a travs de su cadena de retail y la venta a distribuidores. Los principales competidores de Ecuacolor en el segmento de retail, son Konica, Fuji, Fybeca, otros quedan servicio de revelado. En lo que respecta a la distribucin de Kodak y Maxell, es la misma que la de la marca a nivel internacional. 56/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Actualmente la marca Ecuacolor esta catalogada como la numero uno en cuanto al revelado fotogrfico y apunta a mantener esta posicin. Ecuacolor siempre esta buscando la manera de incrementar su volumen de ventas, lanzando promociones. Sin embargo las ventas estn disminuyendo debido a cambios que estn surgiendo en el revelado tradicional, siendo esta la principal fuente de sus ingresos.

7.2.2 Identificar Riesgos Los riesgos son amenazas que podran explotar las vulnerabilidades de nuestra infraestructura tecnologa ocasionando daos o prdidas a los activos, de tal manera que habra dificultad en conseguir los Objetivos Empresariales. Establecer un marco especfico de administracin de riesgos. Entender la actividad o parte de la organizacin para la cual se aplicar el proceso de administracin de riesgos. Basndonos en la metodologa COBIT, en donde se identifican 34 procesos que rigen la Administracin y Control de tecnologa de informacin y como estos son impactados principalmente por las caractersticas de seguridad de la informacin (Confidencialidad, Disponibilidad, e Integridad) se han seleccionado los procesos que a continuacin se detallan.

confidencialidad

DOMINIO Planeacin y Organizacin Adquisicin e Instalacin Entrega de Servicios

PROCESO PO9 Evaluar riesgos PO11 Administrar Calidad AI6 Administrar cambios DS4 DS5 DS11 DS12 Asegurar continuidad del servicio Garantizar la seguridad de sistemas Administrar la informacin Administrar las instalaciones

Criterios de informacin P P P P P P P P P P P

57/123

Disponibilidad

Integridad

Diseo de Sistema de Gestin de Seguridad de Informacin Criterios de evaluacin de riesgos.Definir e identificar los criterios de anlisis y el nivel de aceptacin de los riesgos Criterios de anlisis.Criterio ALTO MEDIO ALTO MEDIO MEDIO BAJO BAJO Probabilidad de Ocurrencia 9 7 5 3 1 Impacto 10 8 6 4 2

Nivel de Aceptacin de Riesgo.Riesgo = Probabilidad de Ocurrencia * Impacto

BAJO 1 - 30

Nivel de Aceptacin de Riesgo MEDIO 31-60

ALTO 61 90

58/123

Diseo de Sistema de Gestin de Seguridad de Informacin

7.2.3

Anlisis de Riesgos

El modelo comienza a partir de la valoracin de los activos, que dentro del Marco Referencial de COBIT consiste en la informacin que tiene los criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recursos necesarios para producir dicha informacin). El siguiente paso es el anlisis de vulnerabilidad que trata de la importancia de los criterios de informacin dentro del proceso bajo revisin, por ejemplo, si un proceso del negocio es vulnerable a la prdida de integridad, entonces se requieren medidas especficas. Luego se tratan las amenazas, esto es, aquello que puede provocar una vulnerabilidad. La probabilidad de la amenaza, el grado de vulnerabilidad y la severidad del impacto se combinan para concluir acerca de la evaluacin del riesgo. Esto es seguido por la seleccin de contramedidas (controles) y una evaluacin de su eficacia, que tambin identifica el riesgo residual. La conclusin es un plan de accin despus del cual el ciclo puede comenzar nuevamente.

59/123

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL PO9

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la complejidad, Incrementando la objetividad e identificando factores de decisin importante La Gerencia deber establecer un marco de referencia de evaluacin sistemtica de riesgos. Este marco de referencia deber incorporar una evaluacin regular de los riesgos de informacin relevantes para el logro de los objetivos del negocio, formando una base para determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable. El proceso deber proporcionar evaluaciones de riesgos tanto a un nivel global como a niveles especficos del sistema, para nuevos proyectos y para casos recurrentes y con participacin multidisciplinaria. La Administracin deber asegurar que se realicen reevaluaciones y que la informacin sobre evaluacin de riesgos sea actualizada como resultado de auditoras, inspecciones e incidentes identificados. MEDIO-ALTO La Gerencia deber establecer un enfoque general para la evaluacin de riesgos que defina el alcance y los lmites, la metodologa a ser adoptada para las evaluaciones de riesgos, las responsabilidades y las habilidades requeridas. La Gerencia debe adelantar la identificacin de soluciones para la mitigacin de riesgos e involucrarse en la identificacin de vulnerabilidades. Especialistas de seguridad deben realizar identificacin de amenazas y especialistas de TI deben dirigir la seleccin de controles. La calidad de las evaluaciones de riesgos deber estar asegurada por un mtodo estructurado y por asesores expertos en riesgos. MEDIO-ALTO OBJETIVOS DE CONTROL

9.1

Evaluacin de Riesgos del Negocio

MEDIO-ALTO

56

9.2

Enfoque de Evaluacin de Riesgos

MEDIO-ALTO

56 RIESGO JUSTIFICACIN

OCURRENCIA IMPACTO

60/123

Diseo de Sistema de Gestin de Seguridad de Informacin

PO9

Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la complejidad, Incrementando la objetividad e identificando factores de decisin importante La evaluacin de riesgos deber enfocarse al examen de los elementos esenciales de riesgo y las relaciones causa/efecto entre ellos. Los elementos esenciales de riesgo incluyen activos tangibles e intangibles, valor de los activos, amenazas, vulnerabilidades, protecciones, consecuencias y probabilidad de amenaza. El proceso Identificacin de identificacin de riesgos debe incluir una de Riesgos clasificacin cualitativa y, donde sea apropiado, clasificacin cuantitativa de riesgos debe obtener insumos de las tormentas de ideas de la Gerencia, de planeacin estratgica, auditoras anteriores y otros anlisis. El anlisis de riesgos debe considerar el negocio, regulaciones, aspectos legales, tecnologa, comercio entre socios y riesgos del recurso humano. MEDIO El enfoque de la evaluacin de riesgos deber asegurar que la informacin del anlisis de la identificacin de Medicin de riesgos genere como resultado una medida cuantitativa Riesgos y/o cualitativa del riesgo al cual est expuesta el rea examinada. Asimismo, deber evaluarse la capacidad de aceptacin de riesgos de la organizacin. MEDIO-ALTO El enfoque de evaluacin de riesgos deber proporcionar la definicin de un plan de accin contra riesgos para asegurar que el costoefectividad de los Plan de Accin controles y las medidas de seguridad mitiguen los contra Riesgos riesgos en forma continua. El plan de accin contra los riesgos debe identificar la estrategia de riesgos en trminos de evitar, mitigar o aceptar el riesgo. MEDIO-ALTO

9.3

MEDIO

30

9.4

MEDIO

42

9.5

MEDIO-ALTO

56

61/123

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL PO9

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la complejidad, Incrementando la objetividad e identificando factores de decisin importante El enfoque de la evaluacin de riesgos deber asegurar la aceptacin formal del riesgo residual, dependiendo de la identificacin y la medicin del riesgo, de la poltica organizacional, de la incertidumbre incorporada al enfoque de evaluacin de riesgos y el costoefectividad de la implementacin de protecciones y controles. El riesgo residual deber compensarse con una cobertura de seguro adecuada, compromisos de negociacin contractual y autoaseguramiento. MEDIO-ALTO Mientras se logra un sistema de controles y garantas razonable, apropiado y proporcional, controles con el mas alto retorno de inversin ROI - return of investment) y aquellos que provean ganancia rpida deben recibir la primera prioridad. El sistema de control necesita adems balancear las medidas de prevencin, deteccin, correccin y recuperacin. Adicionalmente, la Gerencia necesita comunicar el propsito de las medidas de control, manejar el conflicto y monitorear continuamente la efectividad de las medidas de control. MEDIO-ALTO La Gerencia deber motivar el anlisis de riesgos como una herramienta importante para proveer informacin para el diseo e implementacin de controles internos, en la definicin del plan estratgico de tecnologa de informacin y en los mecanismos de evaluacin y monitoreo. MEDIO

Aceptacin de Riesgos 9.6

MEDIO

42

9.7

Seleccin de Garantas o Protecciones

MEDIO

42

9.8

Compromiso con el Anlisis de Riesgos

MEDIO

30

62/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin PO11 de la calidad

OBJETIVOS DE CONTROL Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

11.1

11.2

11.3

11.4

La alta gerencia deber desarrollar y mantener regularmente un plan general de calidad basado en los Plan General planes organizacionales y de tecnologa de informacin de Calidad a largo plazo. El plan deber promover la filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y cmo. MEDIO-ALTO La Gerencia deber establecer un enfoque estndar con respecto al aseguramiento de calidad, que cubra tanto las actividades de aseguramiento de calidad generales como las especficas de un proyecto. El Enfoque de enfoque deber determinar el (los) tipo(s) de Aseguramiento actividades de aseguramiento de calidad (tales como de Calidad revisiones, auditoras, inspecciones, etc.) que deben realizarse para alcanzar los objetivos del plan general de calidad. Asimismo deber requerir una revisin especfica de aseguramiento de calidad. MEDIO-ALTO La Gerencia deber implementar un proceso de Planeacin del planeacin de aseguramiento de calidad para Aseguramiento determinar el alcance y la duracin de las actividades de Calidad de aseguramiento de calidad. MEDIO-ALTO Revisin del Aseguramiento de la Calidad sobre el Cumplimiento La Gerencia deber asegurar que las de Estndares responsabilidades asignadas al personal de y aseguramiento de calidad incluyan una revisin del Procedimiento cumplimiento general de los estndares y s de TI procedimientos de TI. MEDIO-BAJO

MEDIO

42

MEDIO

42

MEDIO

42

MEDIO-ALTO

24

63/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin PO11 de la calidad

OBJETIVOS DE CONTROL Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

11.5

Metodologa del Ciclo de Vida de Desarrollo de Sistemas

La alta gerencia de la organizacin deber definir e implementar stndares de sistemas de informacin y adoptar una metodologa del ciclo de vida de desarrollo de sistemas que gobierne el proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin computarizados y tecnologas relacionadas. La metodologa del ciclo de vida de desarrollo de sistemas elegida deber ser la apropiada para los sistemas a ser desarrollados, adquiridos, implementados y mantenidos. MEDIO

MEDIO

30

11.6

11.7

Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas

En el caso de requerirse cambios mayores a la tecnologa actual, como en el caso de adquisicin de nueva tecnologa, la Gerencia deber asegurar el cumplimiento de la metodologa del ciclo de vida de desarrollo de sistemas, . MEDIO

MEDIO

30

La alta gerencia deber implementar una revisin peridica de su metodologa del ciclo de vida de desarrollo de sistemas para asegurar que incluya tcnicas y procedimientos actuales generalmente aceptados. MEDIO

MEDIO

30

64/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin PO11 de la calidad

OBJETIVOS DE CONTROL Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

11.8

11.9

La Gerencia deber establecer un proceso para asegurar la coordinacin y comunicacin estrecha entre los clientes de la funcin TI y los implementadores de sistemas. Este proceso deber ocasionar que los mtodos estructurados que utilice la metodologa del Coordinacin y ciclo de vida de desarrollo de sistemas aseguren la Comunicacin provisin de soluciones de tecnologa de informacin de calidad que satisfagan las demandas de negocio. La Gerencia deber promover una organizacin que se caracterice por la estrecha cooperacin y comunicacin a lo largo del ciclo de vida de desarrollo de sistemas. MEDIO-BAJO Deber establecerse un marco de referencia general Marco de referente a la adquisicin y mantenimiento de la Referencia de infraestructura de tecnologa. Los diferentes pasos que Adquisicin y deben ser seguidos con respecto a la infraestructura de Mantenimiento tecnologa (tales como adquisicin; programacin, para la documentacin y pruebas; establecimiento de Infraestructura parmetros; mantenimiento y aplicacin de de correcciones) debern estar regidos por y mantenerse Tecnologa en lnea con el marco de referencia para la adquisicin y mantenimiento de la infraestructura de tecnologa. MEDIO

MEDIO-ALTO

24

ALTO

50

OBJETIVOS DE CONTROL

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

65/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin PO11 de la calidad

Cumplir con los requerimientos del cliente de TI

11.10

11.11

La Gerencia deber crear un proceso para asegurar las buenas relaciones de trabajo con los implementadores externos que pertenezcan a terceras partes. Dicho Relaciones con proceso deber disponer que el usuario y el Terceras implementador estn de acuerdo sobre los criterios de Partes como aceptacin, el manejo de cambios, los problemas Implementadores durante el desarrollo, las funciones de los usuarios, las instalaciones, las herramientas, el software, los estndares y los procedimientos. MEDIO-BAJO La metodologa del ciclo de vida de desarrollo de sistemas deber incorporar estndares para la Estndares documentacin de programas que hayan sido para la comunicados y ratificados al personal interesado. La Documentacin metodologa deber asegurar que la documentacin de creada durante el desarrollo del sistema de informacin Programas o durante la modificacin de los proyectos coincida con estos estndares. MEDIO-BAJO La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe proporcionar estndares que cubran los requerimientos de pruebas, verificacin, documentacin y retencin para probar las unidades de software y los programas agregados, creados como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin. MEDIO

MEDIO-BAJO

12

MEDIO-ALTO

24

11.12

Estndares para Pruebas de Programas

MEDIO

30

66/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin PO11 de la calidad

OBJETIVOS DE CONTROL Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

11.13

11.14

11.15

11.16

11.17

La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe proporcionar Estndares estndares que cubran los requerimientos de pruebas, para Pruebas verificacin, documentacin y retencin para la prueba de Sistemas total del sistema, como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin. MEDIO La metodologa del ciclo de vida de desarrollo de Pruebas sistemas de la organizacin debe definir las Piloto/En condiciones bajo las cuales debern conducirse las Paralelo pruebas piloto o en paralelo de sistemas nuevos y/o actuales. BAJO La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe disponer, como parte Documentacin de cualquier proyecto de desarrollo, implementacin o de las Pruebas modificacin de sistemas de informacin, que se del Sistema conserve la documentacin de los resultados de las pruebas del sistema. MEDIO Evaluacin del Aseguramiento de la Calidad El enfoque de aseguramiento de calidad de la sobre el organizacin deber requerir que una revisin post Cumplimiento implementacin de un sistema de informacin de Estndares operacional evale si el equipo encargado del proyecto, de cumpli con las estipulaciones de la metodologa del Desarrollo ciclo de vida de desarrollo de sistemas. MEDIO-ALTO Revisin del Aseguramiento El enfoque de aseguramiento de calidad deber incluir de Calidad una revisin de hasta qu punto los sistemas sobre particulares y las actividades de desarrollo de el Logro de los aplicaciones han alcanzado los objetivos de la funcin Objetivos de TI de servicios de informacin. MEDIO-ALTO

MEDIO

30

MEDIO

MEDIO-BAJO

20

MEDIO

42

MEDIO

42

67/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin PO11 de la calidad 11.18 Mtricas de calidad

OBJETIVOS DE CONTROL Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

La gerencia deber definir y utilizar mtricas para medir los resultados de actividades, evaluando si las metas de calidad han sido alcanzadas. MEDIO-ALTO

MEDIO-BAJO

28

11.19

Reportes de Revisiones de Los reportes de revisiones de aseguramiento de Aseguramiento calidad debern ser preparados y enviados a la de Gerencia de los departamentos usuarios y de la funcin Calidad de servicios de informacin (TI). MEDIO-ALTO

MEDIO-BAJO

28

68/123

Diseo de Sistema de Gestin de Seguridad de Informacin

AI6

Administrar cambios

OCURRENCIA IMPACTO Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores

OBJETIVOS DE CONTROL

RIESGO JUSTIFICACIN

6.1

6.2

6.3

6.4

La Gerencia deber asegurar que todas las solicitudes de cambios tanto internos como por parte de proveedores estn estandarizados y sujetos a Inicio y Control procedimientos formales de administracin de cambios. de Solicitudes Las solicitudes debern categorizarse y priorizarse y se de Cambio deben establecer procedimientos especficos para manejar cambios urgentes. Los solicitantes de los cambios deben permanecer informados acerca del estatus de su solicitud. Deber establecerse un procedimiento para asegurar que todas las solicitudes de cambio sean evaluadas en Anlisis de una forma estructurada que considere todos los Impacto posibles impactos que el cambio pueda ocasionar sobre el sistema operacional y su funcionalidad. La Gerencia de TI deber asegurar que la administracin de cambios, as como el control y la distribucin de software sean integrados apropiadamente en un sistema completo de Control de administracin de configuracin. El sistema utilizado Cambios para monitorear los cambios a los sistemas de aplicacin debe ser automtico para soportar el registro y seguimiento de los cambios realizados a grandes y complejos sistemas de informacin. La gerencia de TI debe establecer parmetros definiendo cambios de emergencia y procedimientos para controlar estos cambios cuando ellos traspasan Cambios de los procesos normales de anlisis de prioridades de la Emergencia gerencia para su implementacin. Los cambios de emergencia deben ser registrados y autorizados por la gerencia de TI antes de su implementacin.

MEDIO-BAJO

ALTO

30

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-ALTO

MEDIO-ALTO

56

MEDIO-BAJO

MEDIO-ALTO

24

69/123

Diseo de Sistema de Gestin de Seguridad de Informacin

AI6

Administrar cambios Documentaci ny Procedimiento s

OCURRENCIA IMPACTO Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores

OBJETIVOS DE CONTROL

RIESGO JUSTIFICACIN

6.5

6.6

6.7

6.8

El procedimiento de cambios deber asegurar que, siempre que se implementen modificaciones a un sistema, la documentacin y procedimientos relacionados sean actualizados de manera correspondiente. La Gerencia de TI deber asegurar que el personal de mantenimiento tenga asignaciones especficas y que su Mantenimiento trabajo sea monitoreado apropiadamente. Adems, sus Autorizado derechos de acceso al sistema debern ser controlados para evitar riesgos de accesos no autorizados a los sistemas automatizados. La Gerencia de TI deber garantizar que la liberacin Poltica de de software est regida por procedimientos formales Liberacin de asegurando aprobacin, empaque, pruebas de Software regresin, entrega, etc. Debern establecerse medidas de control especficas Distribucin de para asegurar la distribucin del elemento de software Software correcto al lugar correcto, con integridad y de manera oportuna y con adecuadas pistas de auditora.

MEDIO

MEDIO

30

MEDIO

MEDIO

30

MEDIO

MEDIO

30

MEDIO

MEDIO-ALTO

40

70/123

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL DS4 Asegurar servicio continuo

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

4.1

4.2

el Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en el negocio en el evento de una interrupcin mayor La Gerencia de TI, en cooperacin con los propietarios Marco de de los procesos del negocio, deber crear un marco de Referencia de referencia de continuidad que defina los roles, Continuidad de responsabilidades, el enfoque/metodologa basada en Tecnologa de riesgo a seguir y las reglas y la estructura para informacin documentar el plan de continuidad, as como los procedimientos de aprobacin. MEDIO La Gerencia deber garantizar que el Plan de Estrategia y continuidad de tecnologa de informacin se encuentra Filosofa del en lnea con el plan general de continuidad de la Plan de empresa para asegurar consistencia. An ms, el plan Continuidad de continuidad de TI debe tomar en consideracin el de TI plan a mediano y largo plazo de tecnologa de informacin, con el fin de asegurar consistencia. MEDIO-ALTO

MEDIO

30

MEDIO-ALTO

56

71/123

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL DS4 Asegurar servicio continuo el Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en el negocio en el evento de una interrupcin mayor

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

4.3

4.4

La Gerencia de TI deber asegurar que se desarrolle un plan escrito conteniendo lo siguiente: +Guas sobre la utilizacin del Plan de Continuidad; +Procedimientos de emergencia para asegurar la integridad de todo el personal afectado; +Procedimientos de respuesta definidos para regresar Contenido del al negocio al estado en que se encontraba antes del Plan de incidente o desastre; Continuidad de +Procedimientos para salvaguardar y reconstruir las TI instalaciones; +Procedimientos de coordinacin con las autoridades pblicas; +Procedimientos de comunicacin con los socios y dems interesados: empleados, clientes clave, proveedores crticos, accionistas y gerencia + Informacin crtica sobre grupos de continuidad, personal afectado, clientes, proveedores, autoridades pblicas y medios de comunicacin. ALTO Reduccin de requerimientos La Gerencia de servicios de informacin deber de Continuidad establecer procedimientos y guas para minimizar los de Tecnologa requerimientos de continuidad con respecto a personal, de instalaciones, hardware, software, equipo, formatos, Informacin. consumibles y mobiliario. MEDIO

ALTO

No existe un plan de Continuidad del TI, pero existen ciertos procedimientos no formalizados que podrian ayudar en el caso de darse una contingencia: + Se conoce a las personas que se debe notificar en caso de suceder una emergencia. + Se conoce en donde estan almacenados los respaldos. + Los procesos de respaldo de datos son ejecutados de manera diaria. + Se cuenta con un centro de computo alternativo desde donde se podra continuar con la atencin de servicios 90 de IT.

MEDIO

30

72/123

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL DS4 Asegurar servicio continuo

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

4.5

4.6

el Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en el negocio en el evento de una interrupcin mayor La Gerencia de TI deber proveer procedimientos de control de cambios para asegurar que el plan de Mantenimiento continuidad se mantiene actualizado y refleja del Plan de requerimientos de negocio actuales. Esto requiere de Continuidad de procedimientos de mantenimiento del plan de Tecnologa de continuidad alineados con el cambio, la Informacin administracin y los procedimientos de recursos humanos. ALTO Para contar con un Plan efectivo de Continuidad, la gerencia necesita evaluar su adecuacin de manera Pruebas del regular o cuando se presenten cambios Plan de mayores en el negocio o en la infraestructura de TI; Continuidad de esto requiere una preparacin cuidadosa, TI documentacin, reporte de los resultados de las pruebas e implementar un plan de accin de acuerdo con los resultados. ALTO Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin La metodologa de Continuidad ante desastres deber asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos a ser seguidos en caso de un incidente o un desastre. ALTO Debido a la naturaleza sensitiva de la informacin del plan de continuidad, dicha informacin deber ser Distribucin del distribuida solo a personal autorizado y mantenerse Plan de bajo adecuadas medidas de seguridad para evitar su Continuidad de divulgacin. Consecuentemente, algunas secciones del TI plan debern ser distribuidas solo a las personas cuyas actividades hagan necesario conocer dicha informacin. ALTO

No existe un plan de Continuidad del TI, por ende tampoco existen procedimientos de control de cambios.

ALTO

90 No existe un Continuidad de TI plan de

ALTO

90 No existe un Continuidad de TI plan de

4.7

MEDIO-ALTO

72 No existe un Continuidad de TI plan de

4.8

MEDIO-ALTO

72

73/123

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL DS4 Asegurar servicio continuo

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

4.9

4.10

4.11

el Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en el negocio en el evento de una interrupcin mayor Procedimiento s de respaldo de La metodologa de continuidad deber asegurar que los procesamiento departamentos usuarios establezcan procedimientos alternativo alternativos de procesamiento, que puedan ser para utilizados hasta que la funcin de servicios de Departamentos informacin sea capaz de restaurar completamente sus usuarios servicios despus de un evento o un desastre. MEDIO-BAJO El plan de continuidad deber identificar los programas de aplicacin, servicios de terceros, sistemas operativos, personal, insumos, archivos de datos que Recursos resultan crticos as como los tiempos necesarios para Crticos de la recuperacin despus de que se presenta un Tecnologa de desastre. Los datos y las operaciones crticas deben Informacin ser identificadas, documentadas, priorizadas y aprobadas por los dueos de los procesos del negocio en cooperacin con la Gerencia de TI. ALTO La Gerencia deber asegurar que la metodologa de continuidad incorpora la identificacin de alternativas Sitio y relativas al sitio y al hardware de respaldo, as como Hardware de una seleccin alternativa final. En caso de aplicar, Respaldo deber establecerse un contrato formal para este tipo de servicios. MEDIO

MEDIO-ALTO

24 No existe un plan de Continuidad del TI, pero se tiene conciencia de cuales son los recursos de IT de importancia

MEDIO-ALTO

72

ALTO

50

74/123

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL DS4 Asegurar servicio continuo el

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en el negocio en el evento de una interrupcin mayor

4.12

4.13

El almacenamiento externo de copias de respaldo, documentacin y otros recursos tecnolgicos de informacin, catalogados como crticos, debe ser establecido para soportar el plan de recuperacin y continuidad del negocio. Los propietarios de los procesos del negocio y el personal de la funcin de TI Almacenamien deben involucrarse en determinar que recursos de to de respaldo respaldo deben ser almacenados en el sitio alterno. La en el sitio instalacin de almacenamiento externo debe contar con alterno medidas ambientales para los medios y otros recursos (Off-site) almacenados; y debe tener un nivel de seguridad suficiente, que permita proteger los recursos de respaldo contra accesos no autorizados, robo o dao. La Gerencia de TI debe asegurar que los acuerdos/contratos del sitio alterno son peridicamente analizados, al menos una vez al ao, para garantizar que ofrezca seguridad y proteccin ambiental. MEDIO Dada una exitosa reanudacin de la funcin de TI Procedimiento despus de un desastre, la gerencia de servicios de de afinamiento informacin deber establecer procedimientos para del Plan de evaluar lo adecuado del plan y actualizarlo de acuerdo Continuidad con los resultados de dicha evaluacin. ALTO

ALTO

50

MEDIO

54

75/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.1

5.2

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida. seguridad de los sistemas La seguridad en TI deber ser administrada de tal No existe un forma que las medidas de seguridad se encuentren en seguridad lnea con los requerimientos de negocio. Esto incluye: + Trasladar informacin sobre evaluacin de riesgos a los planes de seguridad de TI; + Implementar el plan de seguridad de TI; Administrar + Actualizar el plan de seguridad de TI para reflejar Medidas de cambios en la configuracin de TI; Seguridad + Evaluar el impacto de las solicitudes de cambio en la seguridad de TI; + Monitorear la implementacin del plan deseguridad de TI; y + Alinear los procedimientos de seguridad de TI a otras polticas y procedimientos ALTO MEDIO-ALTO 72 El acceso lgico y el uso de los recursos de TI deber restringirse a travs de la implementacin de mecanismos adecuados de identificacin, autenticacin y autorizacin relacionando los usuarios y los recursos con las reglas de acceso. Dicho mecanismo deber evitar que personal no autorizado, Identificacin, conexiones telefnicas por marcado y otros puertos de Autenticacin y entrada al sistema (redes) tengan acceso a los Acceso recursos de cmputo, de igual forma deber minimizar la necesidad de autorizar usuarios para usar mltiples sign-ons. Asimismo debern establecerse procedimientos para conservar la efectividad de los mecanismos de autenticacin y acceso (por ejemplo, cambios peridicos de contraseas o passwords). MEDIO-BAJO MEDIO-ALTO 24

plan

de

76/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

Garantizar seguridad los sistemas

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida. de

5.3

5.4

5.5

5.6

En un ambiente de tecnologa de informacin en lnea, la Gerencia de TI deber implementar procedimientos Seguridad de acordes con la poltica de seguridad que garantiza el Acceso a control de la seguridad de acceso, tomando como base Datos en Lnea las necesidades individuales demostradas de visualizar, agregar, modificar o eliminar datos. La Gerencia deber establecer procedimientos para asegurar acciones oportunas relacionadas con la solicitud, establecimiento, emisin, suspensin y cierre de cuentas de usuario. Deber incluirse un Administracin procedimiento de aprobacin formal que indique el de Cuentas de propietario de los datos o del sistema que otorga los Usuario privilegios de acceso. La seguridad de acceso a terceros debe definirse contractualmente teniendo en cuenta requerimientos de administracin y no revelacin. La Gerencia deber contar con un proceso de control Revisin establecido para revisar y confirmar peridicamente los Gerencial de derechos de acceso. Se debe llevar a cabo la Cuentas de comparacin peridica entre los recursos y los registros Usuario de las cuentas para reducir el riesgo de errores, fraudes, alteracin no autorizada o accidental. Los usuarios debern controlar en forma sistemtica la Control de actividad de su(s) propia(s) cuenta (s). Tambin se Usuarios sobre debern establecer mecanismos de informacin para Cuentas de permitirles supervisar la actividad normal, as como Usuario alertarlos oportunamente sobre actividades inusuales.

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO

MEDIO-ALTO

40

MEDIO-ALTO

MEDIO

42

MEDIO-ALTO

MEDIO-ALTO

56

OBJETIVOS DE CONTROL

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

77/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.7

5.8

Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida. seguridad de los sistemas La administracin de seguridad de TI debe asegurar que la actividad de seguridad sea registrada y que cualquier indicacin sobre una inminente violacin de Vigilancia de seguridad sea notificada inmediatamente a todos Seguridad aquellos que puedan verse afectados, tanto interna como externamente y se debe actuar de una manera oportuna. MEDIO-ALTO MEDIO-ALTO 56 La Gerencia deber implementar procedimientos para asegurar que todos los datos son clasificados en trminos de sensitividad, mediante una decisin explcita y formal del dueo de los datos de acuerdo con el esquema de clasificacin de datos. An los datos que no requieren proteccin debern contar con una decisin formal que les asigne dicha clasificacin. Los dueos deben determinar la ubicacin o disposicin de sus datos y determinar quienes pueden Clasificacin compartir los datos aun si y cuando los programas y de Datos archivos sean mantenidos, archivados o borrados. Debe quedar evidencia de la aprobacin del dueo y de la disposicin del dato. Se deben definir polticas para soportar la reclasificacin de la informacin, basados sobre cambios en la sensitividad. El esquema de clasificacin debe incluir criterios para administrar el intercambio de informacin entre organizaciones, teniendo en cuenta tanto la seguridad y el cumplimiento como la legislacin relevante. MEDIO-ALTO MEDIO 42

78/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida. seguridad de los sistemas Administracin de Derechos de Acceso e Identificacin Centralizada Deben existir controles para asegurar que la identificacin y los derechos de acceso de los usuarios, as como la identidad del sistema y la propiedad de los datos, son establecidos y administrados de forma nica y centralizada, para obtener consistencia y eficiencia de un control de acceso global. MEDIO-BAJO La administracin de la funcin de servicios de informacin deber asegurar que las violaciones y la actividad de seguridad sean registradas, reportadas, revisadas y escaladas apropiadamente en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas. El acceso lgico a la informacin sobre el registro de recursos de cmputo (seguridad y otros logs) deber otorgarse tomando como base el principio de menor privilegio o necesidad de saber. MEDIO-ALTO La Gerencia deber implementar la capacidad de manejar incidentes de seguridad computacional, dar atencin a dichos incidentes mediante el establecimiento de una plataforma centralizada con suficiente experiencia y equipada con instalaciones de comunicacin rpidas y seguras. Debern establecerse las responsabilidades y los procedimientos de manejo de incidentes para asegurar una respuesta apropiada, efectiva y oportuna a los incidentes de seguridad. MEDIO

5.9

MEDIO-ALTO

24

5.10

Reportes de Violacin y de Actividades de Seguridad

MEDIO-ALTO

56

5.11

Manejo de Incidentes

MEDIO-ALTO

40

79/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.12

5.13

5.14

5.15

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida. seguridad de los sistemas La Gerencia deber asegurar que se lleve a cabo peridicamente una reacreditacin de seguridad (por ejemplo, a travs de equipos de personal Reacreditacin tcnico tigre) con el fin de mantener actualizado el nivel de seguridad aprobado formalmente y la aceptacin del riesgo residual. ALTO MEDIO-BAJO 36 Las polticas organizacionales debern asegurar que se implementen prcticas de control para verificar la Confianza en autenticidad de las contrapartes que proporcionan Contrapartes instrucciones o transacciones electrnicas. Esto puede lograrse mediante el intercambio confiable de passwords, tokens o llaves criptogrficas. MEDIO-ALTO BAJO 14 Las polticas organizacionales debern asegurar que, en donde sea apropiado, se implementen controles Autorizacin para proporcionar autenticidad a las transacciones y de establecer la validez de la identificacin solicitada por el transacciones usuario ante el sistema. Esto requiere el empleo de tcnicas criptogrficas para firmar y verificar transacciones. MEDIO-BAJO BAJO 6 Las polticas organizacionales debern asegurar que, en donde sea apropiado, las transacciones no puedan ser negadas por ninguna de las partes participantes en la operacin y que se implementen controles para que No negacin o no se pueda negar el origen o destino de la transaccin no rechazo y que se pueda probar que se envi y recibi la transaccin. Esto puede lograrse a travs de firmas digitales, registro de tiempos y terceros confiables, y adicionalmente con polticas apropiadas que tengan en cuenta los requerimientos regulatorios relevantes. MEDIO BAJO 10

80/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.16

5.17

5.18

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida. seguridad de los sistemas Las polticas organizacionales debern asegurar que la informacin de transacciones sensitivas es enviada y recibida exclusivamente a travs de canales o senderos seguros (trusted paths). La Sendero informacin sensitiva incluye: informacin sobre Seguro administracin de seguridad, datos de transacciones sensitivas, passwords y llaves criptogrficas. Para lograr esto, se pueden establecer canales confiables utilizando encripcin entre usuarios, entre usuarios y sistemas y entre sistemas. MEDIO BAJO 10 Todo el hardware y software relacionado con seguridad debe encontrarse permanentemente protegido contra Proteccin de intromisiones para proteger su integridad y contra las funciones divulgacin de sus claves secretas. Adicionalmente, la de seguridad organizacin deber mantener discrecin sobre el diseo de su seguridad, pero no basar la seguridad en mantener el diseo como secreto. BAJO MEDIO-ALTO 8 La Gerencia deber definir e implementar procedimientos y protocolos a ser utilizados en la generacin, cambio, revocacin, destruccin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin de Administracin asegurar la proteccin de las mismas contra de Llaves modificaciones y divulgacin no autorizada. Si una llave Criptogrficas se encuentra comprometida (en riesgo), la gerencia deber asegurarse de que esta informacin se hace llegar a todas las partes interesadas a travs de una lista de revocacin de certificados o mecanismos similares. ALTO BAJO 18

81/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.19

5.20

5.21

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida. seguridad de los sistemas Con respecto al software malicioso, tal como los virus computacionales o Caballos de Troya, la Gerencia deber establecer un marco de referencia de adecuadas medidas de control Prevencin, preventivas, detectivas y correctivas y responder y Deteccin y reportar su presencia. Las Gerencias de TI y de Correccin de negocios deben asegurar que se establezcan Software procedimientos a travs de toda la organizacin para Malicioso proteger los sistemas de informacin contra virus computacionales. Los procedimientos deben incorporar proteccin contra virus, deteccin, respuesta ante su presencia y reporte. BAJO MEDIO-ALTO 8 La organizacin deber contar con Firewall adecuados Arquitectura de para proteger contra negacin de servicios y cualquier Firewalls y acceso no autorizado a los recursos internos si existe conexin a conexin con Internet u otras redes pblicas; se deber redes controlar en ambos sentidos cualquier aplicacin y el pblicas flujo de administracin de infraestructura y se deber proteger contra ataques de negacin del servicio. MEDIO-BAJO MEDIO-ALTO 24 La Gerencia debe proteger la integridad continuada de todas las tarjetas o mecanismos de seguridad fsica Proteccin de similares, utilizadas para autenticacin o Valores almacenamiento de informacin financiera o sensitiva Electrnicos tomando en consideracin las instalaciones o equipos relacionados, los dispositivos, los empleados y los mtodos de validacin utilizados. MEDIO MEDIO-BAJO 20

82/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

Administracin de datos

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

11.1

11.2

11.3

11.4

11.5

La Gerencia deber establecer procedimientos de preparacin de datos que deben ser seguidos por los departamentos usuarios. En este contexto, el diseo de Procedimiento formas de entrada de datos deber ayudar a minimizar s de los errores y las omisiones. Durante la creacin de los Preparacin de datos, los procedimientos de manejo de errores Datos debern asegurar razonablemente que los errores y las irregularidades sean detectados, reportados y corregidos. Procedimiento La Gerencia deber asegurar que los documentos s de fuente sean preparados apropiadamente por personal Autorizacin autorizado que acta dentro de su autoridad, de y que se establezca una separacin de funciones Documentos adecuada con respecto al origen y aprobacin de Fuente documentos fuente. Los procedimientos de la organizacin debern Recopilacin asegurar que todos los documentos fuente autorizados de Datos de estn completos, sean precisos, registrados Documentos apropiadamente y transmitidos oportunamente para su Fuente ingreso a proceso. Manejo de Los procedimientos de manejo de errores durante la errores de creacin de datos debern asegurar razonablemente documentos que los errores y las irregularidades sean detectados, fuente reportados y corregidos. Debern establecerse procedimientos para asegurar que la organizacin pueda retener o reproducir los Retencin de documentos fuente originales durante un Documentos perodo de tiempo razonable para facilitar la Fuente recuperacin o reconstruccin de datos, as como para satisfacer requerimientos legales. OBJETIVOS DE CONTROL

MEDIO-BAJO

MEDIO

18

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO

MEDIO

30

MEDIO-BAJO

MEDIO-ALTO

24 RIESGO JUSTIFICACIN

OCURRENCIA IMPACTO

83/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

Administracin de datos Procedimiento s de Autorizacin de Entrada de Datos

Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

11.6

11.7

Chequeos de Exactitud, Suficiencia y Autorizacin

La organizacin deber establecer procedimientos apropiados para asegurar que la entrada de datos sea llevada a cabo nicamente por personal autorizado. MEDIO-BAJO Los datos de transacciones, ingresados para su procesamiento (generados por personas, por sistemas o entradas de interfase) debern estar sujetos a una variedad de controles para verificar su exactitud, suficiencia y validez. Asimismo, debern establecerse procedimientos para asegurar que los datos de entrada sean validados y editados tan cerca del punto de origen como sea posible. MEDIO-ALTO

MEDIO

18

MEDIO-ALTO

56

11.8

Manejo de Errores en la Entrada de Datos

11.9

11.10

La organizacin deber establecer procedimientos para la correccin y reenvo de datos que hayan sido capturados errneamente. MEDIO La organizacin deber establecer procedimientos para el procesamiento de datos que aseguren que la segregacin de funciones sea mantenida y que el Integridad de trabajo realizado sea verificado rutinariamente. Los Procesamiento procedimientos debern asegurar que se establezcan de Datos controles de actualizacin adecuados como totales de control "corrida a corrida run to run-" y controles de actualizacin de archivos maestros. MEDIO Validacin y Edicin de La organizacin deber establecer procedimientos para Procesamiento asegurar que la validacin, autenticacin y edicin del de procesamiento sean llevadas a cabo tan cerca del Datos punto de origen como sea posible. MEDIO-BAJO

MEDIO

30

MEDIO-ALTO

40

MEDIO-BAJO

12

84/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

Administracin de datos Manejo de Errores en el Procesamiento de Datos Manejo y Retencin de Datos de Salida

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

11.11

11.12

La organizacin deber establecer procedimientos para el manejo de errores en el procesamiento de datos que permitan la identificacin de transacciones errneas sin que stas sean procesadas y sin interrumpir el procesamiento de otras transacciones vlidas. MEDIO-BAJO La organizacin deber establecer procedimientos para el manejo y la retencin de datos producidos por sus programas de aplicacin de TI. En caso de que instrumentos negociables (ej. Ttulos valores) sean los receptores de la salida, se deber prestar especial cuidado en prevenir usos inadecuados. MEDIO-BAJO

MEDIO

18

MEDIO-ALTO

24

11.13

11.14

11.15

Distribucin de Datos Salidos La organizacin deber establecer y comunicar de los procedimientos escritos para la distribucin de datos Procesos de salida de tecnologa de informacin. MEDIO La organizacin deber establecer procedimientos para Balanceo y asegurar que los datos de salida sean balanceados Conciliacin de rutinariamente con los totales de control relevantes. Datos de Debern existir pistas de auditora para facilitar el Salida seguimiento del procesamiento de transacciones y la conciliacin de datos con problema. MEDIO La Gerencia de la organizacin deber establecer Revisin de procedimientos para asegurar que la precisin de los Datos de reportes de los datos de salida sea revisada por el Salida y proveedor y por los usuarios responsables. Asimismo, Manejo de debern establecerse procedimientos para controlar los Errores errores contenidos en los datos de salida. MEDIO-BAJO

MEDIO-BAJO

20

MEDIO

30

MEDIO

18

85/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

Administracin de datos

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

11.16

11.17

11.18

11.19

11.20

La organizacin deber establecer procedimientos para Provisiones de garantizar que la seguridad de los reportes generados Seguridad para por los procesos sea mantenida para todos aquellos Reportes de reportes que estn por distribuirse, as como para todos Salida aqullos que ya hayan sido distribuidos a los usuarios. Proteccin de Informacin La Gerencia deber asegurar que durante la Sensible transmisin y transporte de informacin sensible, se durante proporcione una adecuada proteccin contra acceso o transmisin y modificacin no autorizada, as como contra envos a transporte direcciones errneas. La Gerencia deber definir e implementar procedimientos para impedir el acceso a la informacin sensitiva, al software de las computadoras, a los discos Proteccin de y otros equipos o medios cuando los mismos son Informacin desechados o transferidos a otro uso. Tales Sensitiva procedimientos debern garantizar que ninguna Desechada informacin marcada como borrada o desechada, pueda ser accedida por personas internas o externas a la organizacin. Debern desarrollarse procedimientos para el Administracin almacenamiento de datos que consideren de requerimientos de recuperacin, de economa y as Almacenamien mismo tengan en cuenta las polticas de seguridad de to la organizacin. Perodos de Debern definirse los perodos de retencin y los Retencin y trminos de almacenamiento para documentos, datos, Trminos de programas, reportes y mensajes (de entrada y de Almacenamien salida), as como los datos (claves, certificados) to utilizados para su encripcin y autenticacin.

MEDIO-ALTO

MEDIO-ALTO

56

MEDIO-ALTO

MEDIO-ALTO

56

MEDIO-ALTO

MEDIO

42

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-BAJO

MEDIO-ALTO

24

86/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

Administracin de datos

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

11.21

11.22

11.23

11.24

La funcin de servicios de informacin deber establecer procedimientos para asegurar que el Sistema de contenido de su librera de medios sea inventariado Administracin sistemticamente, que cualquier discrepancia revelada de la Librera por un inventario fsico sea solucionada oportunamente de y que se consideren las medidas necesarias para Medios mantener la integridad de los medios magnticos almacenados en la librera. La Gerencia de la funcin de servicios de informacin deber establecer procedimientos de administracin Responsabilida para proteger el contenido de la librera de medios. des de la Debern definirse estndares para la identificacin Administracin externa de medios magnticos y el control de su de la movimiento y almacenamiento fsico para soporte y Librera de registro. Las responsabilidades sobre el manejo de la Medios libreras de medios (cintas magnticas, cartuchos, discos y disquetes) debern ser asignadas a miembros especficos del personal de servicios de informacin. La Gerencia deber implementar una estrategia apropiada de respaldo y recuperacin para asegurar que sta incluya una revisin de los requerimientos del Respaldo negocio, as como el desarrollo, implementacin, (Back-up) y prueba y documentacin del plan de recuperacin. Se Restauracin debern establecer procedimientos para asegurar que los respaldos satisfagan los requerimientos mencionados anteriormente. Debern establecerse procedimientos para asegurar Funciones de que los respaldos sean realizados de acuerdo con la Respaldo estrategia de respaldo definida, y que las copias de respaldo sean verificadas regularmente.

MEDIO-ALTO

MEDIO-ALTO

56

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-BAJO

ALTO

30

MEDIO-BAJO

MEDIO-ALTO

24

87/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

Administracin de datos

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

11.25

11.26

11.27

11.28

Los procedimientos de respaldo para los medios relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de los archivos de datos, del software y de la Almacenamien documentacin relacionada, tanto dentro como fuera de to de las instalaciones. Los respaldos debern ser Respaldos almacenados con seguridad y las instalaciones de almacenamiento debern ser revisadas peridicamente con respecto a la seguridad de acceso fsico y la seguridad de los archivos de datos y otros elementos. La Gerencia deber implementar una poltica y procedimientos para asegurar que el archivo cumple Archivo con requerimientos legales y de negocio y que se encuentra debidamente protegido y su informacin adecuadamente registrada. Con respecto a la transmisin de datos a travs de Internet u otra red pblica, la Gerencia deber definir e Proteccin de implementar procedimientos y protocolos que deben Mensajes ser utilizados para el aseguramiento de la integridad, Sensitivos confidencialidad y no negacin/rechazo de mensajes sensitivos. Antes que alguna accin crtica sea tomada sobre informacin originada fuera de la Organizacin, que se Autenticacin e reciba va telfono, correo de voz, documentos (en Integridad papel), fax o correo electrnico, se deber verificar adecuadamente la autenticidad e integridad de dicha informacin.

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-ALTO

MEDIO

42

MEDIO-ALTO

BAJO

14

MEDIO-ALTO

BAJO

14

88/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

Administracin de datos

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

11.29

Integridad de Transacciones Electrnicas

Tomando en consideracin que las fronteras tradicionales de tiempo y de geografa son menos precisas y confiables, la Gerencia deber definir e implementar apropiados procedimientos y prcticas para transacciones electrnicas que sean sensitivas y crticas para la Organizacin, que permitan asegurar su integridad y autenticidad de: + atomicidad (unidad de trabajo indivisible, todas sus acciones tienen xito o todas ellas fallan) + consistencia (si la transaccin no logra alcanzar un estado final estable, deber regresar al sistema a su estado inicial); + aislamiento (el comportamiento de una transaccin no es afectado por otras transacciones que se ejecutan concurrentemente); y + durabilidad (los efectos de una transaccin son permanentes despus que concluye su proceso, los cambios que origina deben sobrevivir a fallas de sistema) La Gerencia deber asegurar que la integridad y lo adecuado de los datos mantenidos en archivos y otros medios (ej. tarjetas electrnicas) se verifique peridicamente. Atencin especfica deber darse a dispositivos de tokens, archivos de referencia y archivos que contengan informacin privada.

ALTO

BAJO

18

11.30

Integridad Continua de Datos Almacenados

MEDIO-BAJO

BAJO

89/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS12

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros naturales y provocados por el Administracin hombre. de instalaciones Debern establecerse medidas apropiadas de seguridad fsica y medidas de control de acceso para las instalaciones de tecnologa de informacin incluyendo el uso de dispositivos de informacin off-site en conformidad con la poltica general de seguridad. La seguridad fsica y los controles de acceso deben abarcar no slo el rea que contenga el hardware del sistema sino tambin las ubicaciones del cableado usado para conectar elementos del sistema, servicios de soporte (como la energa elctrica), medios de respaldo y dems elementos requeridos para la operacin del sistema. El acceso deber restringirse a las personas que hayan sido autorizadas. Cuando los recursos de tecnologa de informacin estn ubicados en reas pblicas, debern estar debidamente protegidos para impedir o para prevenir prdidas o daos por robo o por vandalismo. MEDIO-ALTO La Gerencia de la funcin de servicios de informacin deber asegurar que se mantenga un bajo perfil sobre la identificacin fsica de las instalaciones relacionadas con sus operaciones de tecnologa de informacin. La informacin sobre la ubicacin del sitio debe ser limitada y mantenerse con la adecuada reserva. MEDIO-ALTO Debern establecerse procedimientos apropiados que aseguren que las personas que no formen parte del grupo de operaciones de la funcin de servicios de informacin sean escoltadas por algn miembro de ese grupo cuando deban entrar a las instalaciones de cmputo. Deber mantenerse y revisarse regularmente una bitcora de visitantes. ALTO No existe una poltica o procedimientos de seguridad formalmente definidos. Pero el acceso a los servidores y al rea de cableado estructurado esta restringido.

12.1

Seguridad Fsica

ALTO

70

12.2

Discrecin sobre las Instalaciones de Tecnologa de Informacin

MEDIO

42

12.3

Escolta de Visitantes

MEDIO

54

90/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS12

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros naturales y provocados por el Administracin hombre. de instalaciones Salud y Seguridad del Personal Debern establecerse y mantenerse prcticas de salud y seguridad en lnea con las leyes y regulaciones internacionales, nacionales, regionales, estatales y locales. MEDIO-ALTO La Gerencia de la funcin de servicios de informacin deber asegurar que se establezcan y mantengan las suficientes medidas para la proteccin contra los factores ambientales (por ejemplo, fuego, polvo, electricidad, calor o humedad excesivos). Debern instalarse equipo y dispositivos especializados para monitorear y controlar el ambiente. MEDIO-ALTO La Gerencia deber evaluar regularmente la necesidad de contar con generadores y bateras de suministro ininterrumpido de energa (UPS) para las aplicaciones crticas de tecnologa de informacin, con el fin de protegerse contra fallas y fluctuaciones de energa. Cuando sea justificable, deber instalarse el equipo ms apropiado. BAJO

12.4

MEDIO-BAJO

28

12.5

Proteccin contra Factores Ambientales

MEDIO

42

12.6

Suministro Ininterrumpido de Energa

MEDIO-ALTO

91/123

Diseo de Sistema de Gestin de Seguridad de Informacin 7.2.4 Evaluar y Priorizar Riesgos Las comparaciones del anlisis de riesgo realizadas sobre diferentes reas de la organizacin o sobre los diferentes procesos permiten priorizar los riesgos sobre los cuales se ha de centrar la atencin para definir una opcin de tratamiento. Se ha elaborado una lista ordenada de mayor a menor, por la valoracin del nivel de exposicin. Esto permite definir los riesgos de mayor grado de importancia sobre los cuales deber definir las opciones de tratamiento. Centrando nuestra atencin en lo crtico, de acuerdo a los niveles de aceptacin que se han definidos A continuacin se detalla un resumen del nivel de exposicin de los riesgos. Objetivos de Control Alto Medio 13 21 30 8 19 6 8 105 6 1 0 0 0 1 0 8 8% 4 8 7 6 6 3 2 36 34%

Procesos DS4 - Asegurar continuidad del servicio DS5 - Garantizar la seguridad de sistemas DS11 - Administrar la informacin PO9 - Evaluar Riesgos PO11 -Administrar Calidad DS12 - Administrar las instalaciones AI6 - Administrar cambios

Bajo 3 12 23 2 13 2 6 61 58%

Alto+Medio 10 9 7 6 6 4 2 44 42%

Los riesgos a priorizar son los que estn en el nivel de exposicin ALTO y MEDIO.

92/123

Diseo de Sistema de Gestin de Seguridad de Informacin 7.2.5 Tratamiento del Riesgo

Para la actividad o componente al cual se aplic el proceso de administracin de riesgos, hay que determinar las posibles formas de reducir o mitigar el riesgo. Entre las opciones de tratamiento tenemos las siguientes: Evitar: Se reduce la probabilidad de prdida al mnimo; dejar de ejercer la actividad o proceso. Reducir: Se consigue mediante la optimizacin de los procedimientos y la implementacin de controles tendientes a disminuir la probabilidad de ocurrencia o el impacto. Atomizar: Distribuir la localizacin del riesgo, segmentando el objeto sobre el cual se puede materializar el riesgo. Transferir: Pasar el riesgo de un lugar a otro, compartir con otro el riesgo, esta tcnica no reduce la probabilidad ni el impacto, involucra a otro en la responsabilidad. Asumir: Se acepta la prdida residual probable, con la aceptacin del riesgo las estrategias de prevencin se vuelven esenciales. El tratamiento a usar para mitigar los riesgos de alto impacto es estableciendo controles que ayuden a reducir el impacto y probabilidad de ocurrencia de eventos que puedan ocasionar daos a la infraestructura de IT. Los controles a implementar estn enfocados a los siguientes procesos de Administracin de IT. DOMINIO Planeacin y Organizacin Adquisicin e Instalacin Entrega de Servicios PROCESO PO9 Evaluar riesgos PO11 Administrar Calidad AI6 Administrar cambios DS4 Asegurar continuidad del servicio DS5 Garantizar la seguridad de sistemas DS11 Administrar la informacin DS12 Administrar las instalaciones

93/123

Diseo de Sistema de Gestin de Seguridad de Informacin

8. PLAN DE ACCIN
EMPRESA : Ecuacolor DOMINIO :
que satisface los requerimientos de negocio de: se hace posible a travs de:

MODELO DE MEJORES PRACTICAS COBIT Fecha de diagnostico :


Pag 1/3

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

PLANIFICACIN Y ORGANIZACIN

PROCESO:

PO9 Evaluar Riesgo

Soportar las decisiones de la administracin a travs del el logro de los objetivos de TI y responder a las amenazas reduciendo su complejidad incrementando su objetividad e identificando factores de decisin importantes la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, involucrando funciones multidisciplinarias y tomando medidas econmicas para mitigar los riesgos.
Propiedad y registro de la administracin del riesgo diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de

y toma en consideracin:

continuidad, regulatorios, etc.) Definir y comunicar el perfil de tolerancia del riesgo Anlisis del origen de las causas y sesiones de tormentas de ideas sobre riesgos Medicin cuantitativa y/o cualitativa del riesgo metodologa de evaluacin de riesgos plan de accin de riesgos Reevaluaciones oportunas

Control a Implementar PO9 C1

CONTROLES POLTICAS Y PROCEDIMIENTOS DE EVALUACIN DE RIESGOS.


La administracin deber establecer un foro Gerencial, para asegurarse que exista una direccin clara de las iniciativas de seguridad



Responsables de implementacin Plazo (tiempo de ejecucin)

Metodologa Frecuencia de evaluacin Evaluaciones de riesgo a nivel global y de sistemas Equipo multidiscplinario Mantener actualizadas las evaluaciones de riesgo, resultados de auditoras, inspecciones e incidentes

Polticas de seguros que cubren el riesgo residual.

Gerente General 9 meses

Control a Implementar PO9 C2

REVISIONES DE GRUPOS ESPECIALIZADOS


La Gerencia debe solicitar la revisin independiente de grupos especializados de seguridad y de tecnologa de Informacin


Responsables de implementacin Plazo (tiempo de ejecucin)

Especialista de Seguridad identifican amenazas Especialistas de TI identifican los controles

Gerente General y Gerencia de Sistemas 3 meses

94/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT Fecha de diagnostico : EMPRESA : Ecuacolor


Diseo de un Sistema de Gestin de Seguridad Pag 2/3

PLAN DE ACCIN

DOMINIO :

Control a Implementar PO9 C3

PLANIFICACIN Y PROCESO: PO9 Evaluar Riesgo ORGANIZACIN CONTROLES DEFINICIN DE UN MARCO REFERENCIAL DE RIESGOS La Gerencia deber establecer una evaluacin sistemtica de riesgos incorporando: Los riesgos de informacin relevantes para el logro de los objetivos de la organizacin Base de datos para determinar la forma en la que los riesgos deben ser manejados a un nivel aceptable.
El alcance y los lmites de la evaluacin de riesgos

Responsables de implementacin Plazo (tiempo de ejecucin)

Gerente General 2 meses

Control a Implementar PO9 C4

PROCEDIMIENTOS DE EVALUACIN DE RIESGOS La gerencia deber: Determinar que los riesgos identificados incluyen factores tanto externos como internos Asesores expertos en riesgos deben asegurar las evaluaciones de riesgo Revisar los informes de resultados de las auditoras, Revisiones de Inspecciones e incidentes identificados. Definir un enfoque cuantitativo y/o cualitativo formal para la identificacin y medicin de riesgos, amenazas y exposiciones.

Responsables de implementacin Plazo (tiempo de ejecucin)

Gerente General 3 meses

95/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT Fecha de diagnostico : EMPRESA : Ecuacolor


Diseo de un Sistema de Gestin de Seguridad Pag 3/3

PLAN DE ACCIN

DOMINIO :
Control a Implementar PO9 C5

PLANIFICACIN Y PROCESO: PO9 Evaluar Riesgo ORGANIZACIN REPORTES A LA PRESIDENCIA PARA SU REVISIN Y ACUERDO DE ACEPTACIN La Gerencia de Sistemas deber emitir reportes a la Presidencia para su revisin y acuerdo con los riesgos identificados.

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar PO9 C6

Gerencia de Sistemas 1 mes

PLAN DE ACCIN
La Gerencia deber establecer el plan de accin contra los riesgos, se debe establecer la estrategia de riesgos en trminos de evitar, mitigar o aceptar el riesgo. Gerente General 3 meses

Responsables de implementacin Plazo (tiempo de ejecucin)

Objetivos de Control

Evaluacin de Riesgos del Negocio Enfoque de Evaluacin de Riesgos Medicin de Riesgos Plan de Accin contra Riesgos Aceptacin de Riesgos Seleccin de Garantas o Protecciones

RIESGOS A MITIGAR Riesgo Riesgo Actual Esperado O I T O I T 7 8 3 8 56 24 7 7 7 7 7 9 6 8 6 6 56 42 56 42 42 3 5 3 5 5 9 6 8 6 6 27 30 24 30 30

OBSERVACIN

PO9-C1, C3, C4 PO9-C1, C3, C4 PO9-C3, C4 PO9-C3, C6 PO9-C5, C6 PO9-C1, C6

96/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor DOMINIO :
que satisface los requerimientos de negocio de: se hace posible a travs de: y toma en consideracin:

Fecha de diagnostico :
Pag 1/2

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

PLANEACIN Y PROCESO: ORGANIZACIN


Satisfacer los requerimientos del cliente de TI

PO11 Administracin De la Calidad

La planeacin, implementacin y mantenimiento de estndares y sistemas de administracin provistos para las distintas fases de desarrollo, con entregables claros y responsabilidades explcitas Establecimiento de una cultura de calidad Planes de calidad responsabilidades de aseguramiento de la calidad Prcticas de control de calidad metodologa del ciclo de vida de desarrollo de sistemas Pruebas y documentacin de programas y sistemas revisiones y reporte de aseguramiento de calidad Entrenamiento e involucramiento del usuario final y del personal de aseguramiento de calidad Desarrollo de una base de conocimientos de aseguramiento de calidad Benchmarking contra normas de la industria

CONTROLES
Control a Implementar PO11 C1
POLTICAS Y PROCEDIMIENTOS RELACIONADOS CON EL ASEGURAMIENTO DE LA CALIDAD

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar PO11 C2

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (i) Una poltica de administracin del Plan General de la Calidad formalmente definida y documentada. (ii) Procedimientos documentados para facilitar la implantacin de la poltica del plan general de calidad y los controles asociados. Gerente de Sistemas, Oficial de Seguridad.

1 mes

METODOLOGA DEL CICLO DE VIDA DE DESARROLLO DE SISTEMAS

La organizacin deber fijar, realizar, y documentar la metodologa adecuada del ciclo de vida en el desarrollo de los sistemas tanto adquirido como desarrollado internamente
Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar PO11 C3

Gerente de Sistemas, Oficial de Seguridad.

2 meses
MARCO REFERENCIAL DE ADQUISICIN Y MANTENIMIENTO PARA LA INFRAESTRUCTURA DE TECNOLOGA

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber construir un marco referencial que incluya pasos a seguir como: adquisicin, programacin, documentacin y pruebas , establecimiento de parmetros y aplicacin de correcciones , estos pasos deben estar alineados dentro del marco referencial. Gerente de Sistemas, Oficial de Seguridad.

2 semanas
MODELO DE MEJORES PRACTICAS - COBIT

97/123

Diseo de Sistema de Gestin de Seguridad de Informacin EMPRESA : Ecuacolor DOMINIO :


Control a Implementar PO11 C4

Fecha de diagnostico :
Pag 2/2

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

PLANEACIN Y PROCESO: ORGANIZACIN

PO11 Administracin De la Calidad

ENFOQUE DE ASEGURAMIENTO DE LA CALIDAD DE LA ORGANIZACIN

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: a. Una revisin post-implementacin para asegurar que todos los sistemas nuevos modificados sean desarrollados y puestos en produccin de acuerdo con la metodologa del ciclo de vida, el cual debe ser respetado por el equipo del proyecto. b. Una revisin en la medida que los sistemas nuevos modificados han alcanzado los objetivos establecidos por la administracin.
Responsables de implementacin Plazo (tiempo de ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

1 mes RIESGOS A MITIGAR Riesgo Riesgo Actual Esperado O I T O I T 7 6 5 6 42 30 7 6 5 6 42 30 7 5 6 10 42 50 5 3 6 10 30 30

Objetivos de Control
Plan General de Calidad Enfoque de Aseguramiento de Calidad Planeacin del Aseguramiento de Calidad Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de TI

OBSERVACIN PO11-C1-C4 PO11-C1-C4 PO11-C1-C4 PO11-C3

42

30

PO11-C2

42

30

PO11-C4

98/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 1/3

EMPRESA : Ecuacolor DOMINIO :


que satisface los requerimientos de negocio de: se hace posible a travs de: y toma en consideracin:

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ADQUISICIN E PROCESO: IMPLEMENTACIN

AI6-Administrar Cambios

Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores

Un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual.
identificacin de cambios procedimientos de categorizacin, priorizacin y emergencia evaluacin del impacto autorizacin de cambios Administracin de liberacin distribucin de software Uso de herramientas automatizadas Administracin de la configuracin Rediseo de los procesos del negocio

CONTROLES
Control a Implementar AI6 C1
CONTROL DE CAMBIOS

Responsables de implementacin Plazo (tiempo de ejecucin)

La Gerencia de TI deber asegurar que la administracin de cambios, as como el control y la distribucin de software sean integrados apropiadamente en un sistema completo de administracin de configuracin. El sistema utilizado para monitorear los cambios a los sistemas de aplicacin debe ser automtico para soportar el registro y seguimiento de los cambios realizados a grandes y complejos sistemas de informacin. Gerencia de Sistemas 8 meses

Control a Implementar AI6 C2

SOFTWARE INSTALADO POR EL USUARIO (USER INSTALLED SOFTWARE)

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber dar restricciones explcitas para descargar e instalar software por parte de los usuarios Gerencia de Sistemas, Oficial de Seguridad. 1 mes

Control a Implementar AI6 C3

RESTRICCIONES DE USO DE SOFTWARE. (SOFTWARE USAGE RESTRICTIONS)

La organizacin deber obedecer a las restricciones de uso del software.


Responsables de implementacin Plazo (tiempo de ejecucin)

Gerencia de Sistemas, Oficial de Seguridad. 4 meses

99/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 2/3

EMPRESA : Ecuacolor DOMINIO :


Control a Implementar AI6 C4

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ADQUISICIN E PROCESO: IMPLEMENTACIN

AI6-Administrar Cambios

DOCUMENTACIN DE LOS SISTEMAS DE INFORMACIN

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber asegurar que este disponible la adecuada documentacin para el sistema de informacin y sus componentes constitutivos, protegida cuando es requerido, y distribuida al personal autorizado. Gerencia de Sistemas, Oficial de Seguridad. 1 mes

Control a Implementar AI6 C5

POLTICAS Y PROCEDIMIENTOS DE ADMINISTRACIN DE LA CONFIGURACIN

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (iii) Una poltica de administracin de la configuracin formalmente definida y documentada.z (iv) Procedimientos documentados para facilitar la implantacin de la poltica de administracin de la configuracin y los controles asociados Gerencia de Sistemas, Oficial de Seguridad. 3 meses

Control a Implementar AI6 C6

CONFIGURACIN BSICA

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber desarrollar, documentar, y mantener actualizada la configuracin bsica de los Sistemas de Informacin Computarizados y un inventario de los componentes constitutivos del sistema. Gerencia de Sistemas, Oficial de Seguridad. 4 meses

Control a Implementar AI6 C7

CONFIGURATION SETTINGS

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber configurar el ambiente de seguridad de los productos de tecnologa de informacin al modo mas restrictivo posible, consistente con los requisitos operacionales de los sistemas de informacin. Gerencia de Sistemas, Oficial de Seguridad. 3 meses

100/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 3/3

EMPRESA : Ecuacolor DOMINIO :


Control a Implementar AI6 C8

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ADQUISICIN E PROCESO: IMPLEMENTACIN

AI6-Administrar Cambios

BITCORA DE CONTROL DE CAMBIOS

Responsables de implementacin Plazo (tiempo de ejecucin)

La Gerencia de IT, deber establecer una bitcora de control de cambios sobre los sistemas de informacin computarizados. Gerencia de Sistemas 3 meses

Objetivos de Control

Control de Cambios Distribucin de Software

RIESGOS A MITIGAR Riesgo Riesgo Actual Esperado O I T O I T 7 8 3 8 56 24 5 8 1 8 40 8

OBSERVACIN

AI6-C7, C1, C8, C6, C5 AI6-C2, C3, C4

101/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor DOMINIO :
que satisface los requerimientos de negocio de: se hace posible a travs de: y toma en consideracin:

Fecha de diagnostico :
Pag 1/4

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA SOPORTE

Y PROCESO:

DS4 Asegurar
Continuidad del Servicio

Asegurar de los servicios de TI estn disponibles de acuerdo con los requerimientos y asegurar un impacto mnimo en el negocio en el evento que ocurra una interrupcin mayor. Teniendo un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio. Clasificacin con base en la criticidad Procedimientos alternativos Respaldo y recuperacin Pruebas y entrenamiento sistemticos y regulares Procesos de escalamiento y monitoreo Responsabilidades organizacionales tanto internas como externas Planes de reactivacin Actividades de administracin de riesgos Anlisis de punto nico de falla Administracin de problemas

CONTROLES
Control a Implementar DS4 C1

POLTICAS Y PROCEDIMIENTOS DEL PLAN DE CONTINGENCIA


La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (v) Una poltica del plan de contingencia con el propsito de identificar los roles, responsabilidades y cumplimiento. (vi) Procedimientos documentados para facilitar la implantacin de la polticas del plan de continuidad del negocio y los controles asociados

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS4 C2

Gerente de Sistemas, Oficial de Seguridad.

1 mes

PLAN DE CONTINGENCIA

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS4 C3

La organizacin debe desarrollar implementar un Plan de Contingencia para los sistemas de informacin . Designar un oficial para que revise y apruebe el plan de contingencia y distribuya copias al personal clave de la contingencia Gerente de Sistemas, Oficial de Seguridad.

10 meses

ENTRENAMIENTO PARA LA CONTINGENCIA

La organizacin debe entrenar al personal involucrado en la contingencia con sus roles , responsabilidades con respecto a los sistemas de informacin y proveer constantemente entrenamiento . La organizacin debe incorporar eventos de simulacro dentro del entrenamiento de la contingencia para una respuesta efectiva del personal en situaciones de crisis

102/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Responsables de implementacin Plazo (tiempo de ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

2 semanas

MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico : EMPRESA : Ecuacolor


Diseo de un Sistema de Gestin de Seguridad Pag 2/4

PLAN DE ACCIN

DOMINIO :
Control a Implementar DS4 C4

ENTREGA SOPORTE

Y PROCESO:

DS4 Asegurar
Continuidad del Servicio

PROBAR EL PLAN DE CONTINGENCIA

La organizacin debe probar el plan de contingencia para los sistemas de informacin y determinar si el plan es efectivo y la organizacin est lista para ejecutar el plan
Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS4 C5

Gerente de Sistemas, Oficial de Seguridad.

1 mes

ACTUALIZACIN DEL PLAN DE CONTINGENCIA

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS4 C6

La organizacin debe revisar el plan de contingencia , los cambios o problemas encontrados durante la implementacin , ejecucin prueba del plan Gerente de Sistemas, Oficial de Seguridad.

1 mes

SITIO ALTERNO DE ALMACENAMIENTO

La organizacin debe identificar un sitio alterno de almacenamiento e iniciar acuerdo necesarios que permitan almacenar la informacin de respaldo. El sitio debe estar geogrficamente bien separado del sitio primario para que o este expuesto a alguna amenaza. El sitio alterno debe estar configurado de manera que sea oportuno y efectivo la recuperacin de la informacin.

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS4 C7

Gerente de Sistemas, Oficial de Seguridad.

1 mes

SITIO ALTERNO DE PROCESAMIENTO

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin debe identifica el sitio alterno de procesamiento e iniciar los acuerdo necesarios que permita reiniciar las operaciones cuando no este disponible el site primario. El sitio de procesamiento alterno debe estar completamente configurado para soportar el mnimo de capacidad de las operaciones y listo para su uso. Gerente de Sistemas, Oficial de Seguridad.

3 mes

103/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 3/4

EMPRESA : Ecuacolor DOMINIO :


Control a Implementar DS4 C8

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA SOPORTE

Y PROCESO:

DS4 Asegurar
Continuidad del Servicio

SERVICIO DE TELECOMUNICACIONES

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS4 C9

La organizacin debe tener un servicio alterno de telecomunicaciones cuando el servicio principal de comunicaciones no est disponible Gerente de Sistemas, Oficial de Seguridad.

2 semanas

BACKUP DE LOS SISTEMAS DE INFORMACIN

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS4 C10

La organizacin debe respaldar y almacenar la informacin en una ubicacin apropiadamente segura. Debe almacenar las copias de respaldos del sistema operativo y otros sistemas crticos de informacin. Gerente de Sistemas, Oficial de Seguridad.

3 meses

RECUPERACIN Y RECONSTITUCIN DE LOS SISTEMAS DE INFORMACIN

La organizacin debe emplear mecanismos con procedimientos de soporte para permitir que el sistema de informacin sea recuperado y reconstituido al estado original del sistema despus de una interrupcin falla. La organizacin debe incluir una recuperacin y reconstitucin completa del sistema de informacin como parte de la prueba del plan de contingencia.
Responsables de implementacin Plazo (tiempo de ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

2 meses

104/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 4/4

EMPRESA : Ecuacolor DOMINIO :

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA SOPORTE

Y PROCESO:

DS4 Asegurar
Continuidad del Servicio

Objetivos de Control
Contenido del Plan de Continuidad de TI Mantenimiento del Plan de Continuidad de Tecnologa de Informacin Pruebas del Plan de Continuidad de TI Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin Distribucin del Plan de Continuidad de TI Recursos Crticos de Tecnologa de Informacin Estrategia y Filosofa del Plan de Continuidad de TI Sitio y Hardware de Respaldo Almacenamiento de respaldo en el sitio alterno (Off-site) Procedimiento de afinamiento del Plan de Continuidad

RIESGOS A MITIGAR Riesgo Riesgo Actual Esperado O I T O I T 9 10 90 3 10 30 9 9 9 10 10 8 90 90 72 3 3 3 10 10 8 30 30 24

OBSERVACIN DS4-C1, C2, DS4-C1,C2, C5 DS4-C1,C2,C4 DS4-C1, C2, C3

9 9 7 5 5 9

8 8 8 10 10 6

72 72 56 50 50 54

3 5 4 4 3 5

8 8 8 10 10 6

24 40 32 40 30 30

DS4-C1,C2 DS4-C1,C2, C10 DS4-C1,C2,C10 DS4-C1,C6,C7,C8 DS4-C1, C2, C9 DS4-C1,C10

105/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 1/9

EMPRESA : Ecuacolor DOMINIO :


que satisface los requerimientos de negocio de: se hace posible a travs de: y toma en consideracin:

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA Y SOPORTE

PROCESO:

DS5-Garantizar la seguridad de sistemas

Salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida Controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados.
Requerimiento de confidencialidad y privacidad Autorizacin, autenticacin y control de acceso identificacin de usuarios y perfiles de autorizacin Necesidad de tener y necesidad de conocer administracin de llaves criptogrficas manejo, reporte y seguimiento de incidentes Prevencin y deteccin de virus Firewalls Administracin centralizada de la seguridad Entrenamiento de usuarios Herramientas para el monitoreo del cumplimiento Pruebas y reportes de intrusin

CONTROLES
Control a Implementar DS5 C1
POLTICA Y PROCEDIMIENTOS DE CONTROL DE ACCESO

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (vii) Una poltica de control de acceso formalmente definida y documentada. (viii) Procedimientos documentados para facilitar la implantacin de la poltica de control de acceso y los controles asociados Gerentes de Sistema, Oficial de Seguridad. 3 meses

Control a Implementar DS5 C2

REVISIN GERENCIAL DE CUENTAS DE USUARIO

Responsables de implementacin Plazo (tiempo de ejecucin)

La Gerencia deber contar con un proceso de control establecido para revisar y confirmar peridicamente los derechos de acceso. Se debe llevar a cabo la comparacin peridica entre los recursos y los registros de las cuentas para reducir el riesgo de errores, fraudes, alteracin no autorizada o accidental. Gerentes de Sistema, Oficial de Seguridad. 1 mes

EMPRESA : Ecuacolor

Fecha de diagnostico :

106/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Diseo de un Sistema de Gestin de Seguridad Pag 2/9

PLAN DE ACCIN

DOMINIO :
Control a Implementar DS5 C3

ENTREGA Y SOPORTE

PROCESO:

DS5-Garantizar la seguridad de sistemas

UNSUCCESSFUL LOGIN

Responsables de implementacin Plazo (tiempo de ejecucin)

El sistema de informacin deber obligar a un lmite de intentos de accesos invlidos consecutivo por un usuario durante un periodo de tiempo. El sistema de informacin automticamente deber bloquear al usuario par un periodo determinado, hasta que se libere el bloqueo por un funcionario con el nivel apropiado. Gerentes de Sistema, Oficial de Seguridad. 2 semanas

Control a Implementar DS5 C4

ADMINISTRACIN DE CUENTAS DE USUARIO

Responsables de implementacin Plazo (tiempo de ejecucin)

La Gerencia deber establecer procedimientos para asegurar acciones oportunas relacionadas con la solicitud, establecimiento, emisin, suspensin y cierre de cuentas de usuario. Deber incluirse un procedimiento de aprobacin formal que indique el propietario de los datos o del sistema que otorga los privilegios de acceso. La seguridad de acceso a terceros debe definirse contractualmente teniendo en cuenta requerimientos de administracin y no revelacin. Gerentes de Sistema, Oficial de Seguridad. 1 mes

Control a Implementar DS5 C5

SUPERVISIN Y REVISIN DE CONTROL DE ACCESO

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber supervisar y revisar las actividades de los usuarios con respecto a la aplicacin y uso de los controles de accesos a los sistemas de informacin. Gerente de sistemas, Oficial de Seguridad 1 mes

Control a Implementar DS5 C6

ACCESO REMOTO

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber documentar, monitorear, y controlar todos los mtodos de acceso remoto (ej. Dial-up, internet) a los sistemas de informacin incluyendo el accesos remoto para las funciones Gerente de sistemas, Oficial de Seguridad 3 meses

107/123

Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor DOMINIO :


Control a Implementar DS5 C7

Fecha de diagnostico :
Pag 3/9

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA Y SOPORTE

PROCESO:

DS5-Garantizar la seguridad de sistemas

CONCIENTIZACION RESPECTO A LA SEGURIDAD IT (SECURITY AWARENESS)

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin se asegura a que todos los usuarios (incluyendo gerentes y los altos ejecutivos) estn concientes de la importancia del sistema de seguridad de la informacin antes de autorizar acceso a los sistemas de informacin y despus de esto. Gerente de sistemas, Oficial de Seguridad 2 meses

Control a Implementar DS5 C8

ENTRENAMIENTO DE SEGURIDAD (SECURITY TRAINING)

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber identificar personal con perfiles y responsabilidades significativos en el SGSI, documentar esos perfiles y responsabilidades, y proporciona apropiado entrenamiento en seguridad de sistema de informacin antes de autorizar el acceso al sistema y despus de esto. Gerente de sistemas, Oficial de Seguridad 5 meses

Control a Implementar DS5 C9

REGISTROS DE ENTRENAMIENTO DE SEGURIDAD (SECURITY TRAINING RECORDS)

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber documentar y monitorear las actividades de entrenamiento individual de seguridad bsico y especifico en los sistemas de informacin. Gerente de sistemas, Oficial de Seguridad 1 mes

Control a Implementar DS5 C10

EVENTOS AUDITABLES (AUDITABLE EVENTS)

El sistema de informacin debe generar registros de auditora para los eventos siguientes: Inicios de sesin. Transacciones que afectan la contabilidad, Inventario, Cxc, CxP, Bancos. Altas y Bajas de Maestros de: Cuentas Contables, Proveedores, Clientes, Productos. Intentos fallidos de inicio de sesin.
Control a Implementar DS5 C11
CONTENIDO DE LOS REGISTROS DE AUDITORIA (CONTENT OF AUDIT RECORDS)

Responsables de implementacin Plazo (tiempo de ejecucin)

Los Sistemas de Informacin Computarizados deben capturar suficiente informacin en los registros de auditoria para establecer que eventos ocurrieron, las fuentes de los eventos, y los resultados de los eventos. Gerente de sistemas, Oficial de Seguridad, Auditor Interno 3 meses

108/123

Diseo de Sistema de Gestin de Seguridad de Informacin EMPRESA : Ecuacolor DOMINIO :


Control a Implementar DS5 C12

Fecha de diagnostico :
Pag 4/9

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA Y SOPORTE

PROCESO:

DS5-Garantizar la seguridad de sistemas

CAPACIDAD DE ALMACENAMIENTO PARA LOS LOGS DE AUDITORIA (AUDIT STORAGE CAPACITY)

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C13

La organizacin asigna suficiente capacidad de almacenamiento y configura el registro de la auditoria para prevenir que se excede tal espacio. Gerente de sistemas, Oficial de Seguridad, Auditor Interno 1 mes

PROCESAMIENTO DE LA AUDITORIA (AUDIT PROCESSING)

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C14

En el evento de una falla en el registro de la auditoria o la capacidad de almacenamiento sea alcanzada, el sistema de informacin alertara apropiadamente a los oficiales de la organizacin para que tomen las acciones necesarias. Gerente de sistemas, Oficial de Seguridad, Auditor Interno 2 meses

PROTECCIN DE LA INFORMACIN DE AUDITORIA

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C15

El Sistema de Informacin Computarizado protege la informacin de los LOGS e interfases de auditoria de acceso no autorizado, modificacin, y borrado. Gerente de sistemas, Oficial de Seguridad, Auditor Interno 1 mes

RETENCIN DE LA INFORMACIN DE LOS LOGS DE AUDITORIA (AUDIT RETENTION)

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin retiene los Logs de auditoria por 5 aos para proveer apoyo a las investigaciones de despus de-el-hecho de incidentes de seguridad y para reunir requerimientos regulatorios y organizacionales de retencin de informacin. Gerente de sistemas, Oficial de Seguridad, Auditor Interno 1 mes

109/123

Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor DOMINIO :


Control a Implementar DS5 C16

Fecha de diagnostico :
Pag 5/9

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA Y SOPORTE

PROCESO:

DS5-Garantizar la seguridad de sistemas

CATEGORIZACIN DE LA INFORMACIN

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C17

La Gerencia deber implementar procedimientos para asegurar que todos los datos son clasificados en trminos de sensitividad, mediante una decisin explcita y formal del dueo de los datos de acuerdo con el esquema de clasificacin de datos. An los datos que no requieren proteccin debern contar con una decisin formal que les asigne dicha clasificacin. Los dueos deben determinar la ubicacin o disposicin de sus datos y determinar quienes pueden compartir los datos aun si y cuando los programas y archivos sean mantenidos, archivados o borrados. Debe quedar evidencia de la aprobacin del dueo y de la disposicin del dato. Se deben definir polticas para soportar la reclasificacin de la informacin, basados sobre cambios en la sensitividad. El esquema de clasificacin debe incluir criterios para administrar el intercambio de informacin entre organizaciones, teniendo en cuenta tanto la seguridad y el cumplimiento como la legislacin relevante. Gerente de sistemas, Oficial de Seguridad, Auditor Interno 3 meses

POLTICA Y PROCEDIMIENTOS DE ACREDITACIN Y CERTIFICACIN

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C18

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (ix) Una poltica de acreditacin y certificacin formalmente definida y documentada. (x) Procedimientos documentados para facilitar la implantacin de la poltica de acreditacin y certificacin y los controles asociados Gerente de sistemas, Oficial de Seguridad, Auditor Interno 3 meses

CERTIFICACIN DE SEGURIDAD

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin debera dirigir una valoracin de los controles de seguridad en los sistemas de informacin para determinar hasta que punto los controles son implementados correctamente, ejecutados como fueron planeado, y produciendo el resultado deseado con respecto a los requisitos del SGSI. Gerente de sistemas, Oficial de Seguridad, Auditor Interno 3 meses

EMPRESA : Ecuacolor

Fecha de diagnostico :

110/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Diseo de un Sistema de Gestin de Seguridad Pag 6/9

PLAN DE ACCIN

DOMINIO :
Control a Implementar DS5 C19

ENTREGA Y SOPORTE

PROCESO:

DS5-Garantizar la seguridad de sistemas

PLAN OF ACTION AND MILESTONES

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C20

La organizacin debera desarrolla y actualiza, un plan de accin para el sistema de informacin que documente los planes de la organizacin, implementaciones, y evolucin de acciones tomadas para remediar cualquier deficiencia notada durante la valoracin de los controles de seguridad, para reducir o eliminar vulnerabilidades conocidas. Gerente de sistemas, Oficial de Seguridad 3 meses

ACREDITACIN DE SEGURIDAD

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C21

La organizacin debera autorizar (es decir, acreditar) a los sistema de informacin antes de empezar a funcionar y cada cierto tiempo. El oficial de seguridad debera firmar y aprobar la acreditacin de seguridad Gerente de sistemas, Oficial de Seguridad, Auditor Interno 2 meses

MONITOREO CONTINUO

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C22

La organizacin debera supervisar que los controles de seguridad en los sistema de informacin se mantengan de una forma continua. Gerente de sistemas, Oficial de Seguridad, Auditor Interno 3 meses

POLTICA Y PROCEDIMIENTOS DE RESPUESTA A INCIDENTES

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C23

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (xi) Una poltica de respuesta a incidentes formalmente definida y documentada. (xii) Procedimientos documentados para facilitar la implantacin de la poltica de respuesta a incidentes y los controles asociados Gerente de sistemas, Oficial de Seguridad, Auditor Interno 3 meses

MANEJO DE INCIDENTES (INCIDENT HANDLING)

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin debera implementar una actividad de manejo de incidentes para los eventos de seguridad y debera incluir: preparacin, deteccin y anlisis, contencin, erradicacin, y recuperacin. Gerente de sistemas, Oficial de Seguridad, Auditor Interno 3 meses

EMPRESA : Ecuacolor

Fecha de diagnostico :

111/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Diseo de un Sistema de Gestin de Seguridad Pag 7/9

PLAN DE ACCIN

DOMINIO :
Control a Implementar DS5 C24

ENTREGA Y SOPORTE

PROCESO:

DS5-Garantizar la seguridad de sistemas

REPORTES DE VIOLACIN Y DE ACTIVIDADES DE SEGURIDAD

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C25

La administracin de la funcin de servicios de informacin deber asegurar que las violaciones y la actividad de seguridad sean registradas, reportadas, revisadas y escaladas apropiadamente en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas. El acceso lgico a la informacin sobre el registro de recursos de cmputo (seguridad y otros logs) deber otorgarse tomando como base el principio de menor privilegio o necesidad de saber. Gerente de sistemas, Oficial de Seguridad 3 meses

INCIDENT REPORTING

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C26

La organizacin debera reportar rpidamente los informes de incidentes a las autoridades apropiadas. Gerente de sistemas, Oficial de Seguridad 1 mes

INCIDENT RESPONSE ASSISTANCE

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C27

La organizacin debera proporcionar ayuda a los usuarios de los sistemas de informacin para el manejo e informacin de los incidentes de seguridad. Gerente de sistemas, Oficial de Seguridad 3 meses

POLTICA Y PROCEDIMIENTOS PARA LA PLANIFICACIN DE LA SEGURIDAD

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (i) Una poltica para la planificacin de seguridad formalmente definida y documentada. (ii) Procedimientos documentados para facilitar la implantacin de la poltica de la planificacin de la seguridad y los controles asociados Gerente de sistemas, Oficial de Seguridad, Auditor Interno 5 meses

112/123

Diseo de Sistema de Gestin de Seguridad de Informacin EMPRESA : Ecuacolor DOMINIO :


Control a Implementar DS5 C28

Fecha de diagnostico :
Pag 8/9

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA Y SOPORTE

PROCESO:

DS5-Garantizar la seguridad de sistemas

PLAN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C29

La organizacin debera desarrollar e implementar un plan de seguridad para los sistema de informacin que proporciona una apreciacin global de los requisitos de seguridad para los sistemas y una descripcin de la controles de seguridad que existen o estn planeados implantar. Gerente de sistemas, Oficial de Seguridad 3 meses

ACTUALIZAR PLAN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C30

La organizacin debera revisar el plan de seguridad para los sistemas de informacin, para detectar cualquier desviacin o efectuar alguna correccin. Gerente de sistemas, Oficial de Seguridad 3 meses

REGLAS DE CONDUCTA

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C31

La organizacin debera establecer y hacer prontamente disponible a todos los usuarios de los sistemas de informacin un juego de reglas que describen sus responsabilidades y conducta esperada con respecto a los usos de los sistemas de informacin. La organizacin debera recibir firmado el reconocimiento de los usuarios en donde se indica que ellos han ledo, han entendido, y han estado de acuerdo en someterse a las reglas de conducta, antes de autorizar el acceso a los sistemas de informacin. Gerente de sistemas, Oficial de Seguridad 3 meses

CONTROL DE LOS USUARIOS SOBRE SUS CUENTAS

Responsables de implementacin Plazo (tiempo de ejecucin)

Los usuarios debern controlar en forma sistemtica la actividad de su(s) propia(s) cuenta (s). Tambin se debern establecer mecanismos de informacin para permitirles supervisar la actividad normal, as como alertarlos oportunamente sobre actividades inusuales. Gerente de sistemas, Oficial de Seguridad 3 meses

EMPRESA : Ecuacolor

Fecha de diagnostico :

113/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Diseo de un Sistema de Gestin de Seguridad Pag 9/9

PLAN DE ACCIN

DOMINIO :
Control a Implementar DS5 C32

ENTREGA Y SOPORTE

PROCESO:

DS5-Garantizar la seguridad de sistemas

PLAN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS5 C33

La organizacin debera desarrollar e implementar un plan de seguridad para los sistema de informacin que proporciona una apreciacin global de los requisitos de seguridad para los sistemas y una descripcin de la controles de seguridad que existen o estn planeados implantar. Gerente de sistemas, Oficial de Seguridad 3 meses

VIGILANCIA DE SEGURIDAD

Responsables de implementacin Plazo (tiempo de ejecucin)

La administracin de seguridad de TI debe asegurar que la actividad de seguridad sea registrada y que cualquier indicacin sobre una inminente violacin de seguridad sea notificada inmediatamente a todos aquellos que puedan verse afectados, tanto interna como externamente y se debe actuar de una manera oportuna. Gerente de sistemas, Oficial de Seguridad 3 meses

Objetivos de Control
Administrar Medidas de Seguridad Administracin de Cuentas de Usuario Revisin Gerencial de Cuentas de Usuario Control de Usuarios sobre Cuentas de Usuario Vigilancia de Seguridad Clasificacin de Datos Reportes de Violacin y de Actividades de Seguridad Manejo de Incidentes Reacreditacin

RIESGOS A MITIGAR Riesgo Riesgo Actual Esperado O I T O I T 9 8 5 8 72 40

OBSERVACIN DS5-C1, C7, C8, C9, C19, C20, C21, C27, C28, C29, C30, C32 DS5-C1, C3, C4, C5, C6, C7, C8 DS5-C2, C5, C6 DS5-C7, C31 DS5-C10, C11, C12, C13, C14, C15, C33 DS5-C16 DS5-C10, C11, C12, C13, C14, C15, C24 DS5-C22, C23, C24, C25, C26 DS5-C17, C18, C20, C21

5 7 7 7 7 7 5 9

8 6 8 8 6 8 8 4

40 42 56 56 42 56 40 36

3 5 5 3 5 3 3 7

8 6 8 8 6 8 8 4

24 30 40 24 30 24 24 28

114/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS COBIT Fecha de diagnostico :
Pag 1/3

EMPRESA : Ecuacolor DOMINIO :


que satisface los requerimientos de negocio de: se hace posible a travs de: y toma en consideracin:

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ADQUISICIN E PROCESO: IMPLEMENTACIN

DS11-Administrar los Datos

Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento Una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI
Diseo de formatos Controles de documentos fuente Controles de entrada, procesamiento y salida Identificacin, movimiento y administracin de la librera de medios Recuperacin y respaldo de datos Autenticacin e integridad Propiedad de datos Polticas de administracin de datos Modelo de datos y estndares de representacin de datos Integracin y consistencia a travs de plataformas Requerimientos legales y regulatorios

Control a Implementar DS11 C1

CONTROLES POLTICAS Y PROCEDIMIENTOS DE ADMINISTRACIN DE DATOS La Organizacin deber disear, implementar y peridicamente revisar/actualizar:
Flujo de datos dentro de la funcin de TI y hacia/desde los usuarios de los datos Proceso de autorizacin de documentos fuente Procesos de recoleccin, seguimiento y transmisin de datos Procedimientos utilizados para identificar y corregir errores durante la creacin de datos Mtodos utilizados por la organizacin para retener documentos fuente (archivo, imgenes, etc.), para definir qu documentos deben ser retenidos, los requerimientos de retencin legales y regulatorios, etc. Contratos de proveedores para llevar a cabo tareas de administracin de datos Reportes administrativos utilizados para monitorear actividades e inventarios

Responsables de implementacin Plazo (tiempo de ejecucin)

Gerencia de Sistemas 8 meses

115/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS COBIT Fecha de diagnostico :
Pag 2/3

EMPRESA : Ecuacolor DOMINIO :

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ADQUISICIN E PROCESO: IMPLEMENTACIN CONTROLES

DS11-Administrar los Datos

Control a Implementar DS11 C2

REVISIN DE TODAS LAS APLICACIONES CRTICAS La Gerencia de IT deber revisar:


Mdulos que lleven a cabo revisiones de precisin, suficiencia y autorizacin de captura en el ingreso de datos Funciones que lleven a cabo entradas de datos para cada aplicacin Funciones que lleven a cabo rutinas de correccin de errores de entrada de datos Mtodos utilizados para prevenir (por medios manuales y programados), detectar y corregir errores Control de la integridad de los procesos de datos enviados a proceso Distribucin de salidas sensitiva slo a personas autorizadas Procedimientos de balanceo de salidas para control de totales y conciliacin de variaciones

Responsables de implementacin Plazo (tiempo de ejecucin)

Gerencia de Sistemas 7 meses

Control a Implementar DS11 C3

POLTICAS Y PROCEDIMIENTOS DE REPOSITORIO CENTRAL DE BASES DE DATOS La organizacin deber establecer las normas, diseo y control:
Organizacin de la base de datos y diccionario de datos Procedimientos de mantenimiento y seguridad de bases de datos Determinacin y mantenimiento de la propiedad de las bases de datos Procedimientos de control de cambios sobre el diseo y contenido de la base de datos Reportes administrativos y pistas de auditora que definen actividades de bases de datos

Responsables de implementacin Plazo (tiempo de ejecucin)

Gerencia de Sistemas 6 meses

116/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT Fecha de diagnostico : EMPRESA : Ecuacolor


Diseo de un Sistema de Gestin de Seguridad Pag 3/3

PLAN DE ACCIN

DOMINIO :
Control a Implementar DS11 C4

ADQUISICIN E DS11-Administrar los PROCESO: IMPLEMENTACIN Datos POLTICAS Y PROCEDIMIENTOS DE LIBRERA DE MEDIOS Y ALMACENAMIENTO DE DATOS EXTERNO La organizacin deber definir los controles para:
Administracin de la librera de medios y del sistema de administracin de la librera Requerir la identificacin externa de todos los medios Requerir el inventario actual de todos los contenidos y procesos para actividades de control Procedimientos de reconciliacin entre registros actuales y registros de datos almacenados Reciclaje de datos y proteccin de informacin sensitiva Rotacin de medios de datos Inventario de datos de prueba y pruebas de recuperacin llevadas a cabo Medios y funciones del personal en el sitio alterno en el plan de continuidad Asegurar que el archivo cumple con requerimientos legales y de negocio

Responsables de implementacin Plazo (tiempo de ejecucin)

Gerencia de Sistemas 3 meses

Objetivos de Control

Chequeos de Exactitud, Suficiencia y Autorizacin Integridad de Procesamiento de Datos Provisiones de Seguridad para Reportes de Salida Proteccin de Informacin Sensible durante transmisin y transporte Proteccin de Informacin Sensitiva Desechada Sistema de Administracin de la Librera de Medios Archivo

RIESGOS A MITIGAR Riesgo Riesgo Actual Esperado O I T O I T 7 8 3 8 56 24 5 7 7 7 7 7 8 8 8 6 8 6 40 56 56 42 56 42 3 2 3 3 2 3 8 8 8 6 8 6 24 16 24 18 16 18

OBSERVACIN

DS11-C1, C2, C3 DS11-C2, C3, C4 DS11-C2 DS11-C1 DS11-C4 DS11-C3, C4 DS11-C4

117/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 1/5

EMPRESA : Ecuacolor DOMINIO :


que satisface los requerimientos de negocio de: se hace posible a travs de: y toma en consideracin:

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA SOPORTE

Y PROCESO:

DS12 - Administrar las instalaciones

Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales o fallas humanas. La instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado.
acceso a instalaciones identificacin del sitio seguridad fsica Polticas de inspeccin y escalamiento Planeacin de continuidad del negocio y administracin

de crisis salud y seguridad del personal Polticas de mantenimiento preventivo proteccin contra amenazas ambientales Monitoreo automatizado

CONTROLES
Control a Implementar DS12 C1
POLTICAS Y PROCEDIMIENTOS DE MANTENIMIENTO DE SISTEMAS

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C2

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (xiii) Una poltica de mantenimiento de sistemas formalmente definida y documentada. (xiv) Procedimientos documentados para facilitar la implantacin de la poltica de mantenimiento de sistemas y los controles asociados. Gerente de Sistemas, Oficial de Seguridad.

1 mes

MANTENIMIENTO PERIDICO

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C3

La organizacin deber fijar, realizar, y documentar el preventivo, rutinario y regular mantenimiento en los componentes de los sistemas de informacin de acuerdo con las especificaciones del fabricante o vendedor y/o las de los requerimientos internos. Gerente de Sistemas, Oficial de Seguridad.

2 meses

PERSONAL DE MANTENIMIENTO

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber mantener una lista de personal autorizado para realizar mantenimiento sobre el sistema de informacin. Slo personal autorizado debera realizar mantenimiento en el sistema de informacin. Gerente de Sistemas, Oficial de Seguridad.

2 semanas

118/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 2/5

EMPRESA : Ecuacolor DOMINIO :


Control a Implementar DS12 C4

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA SOPORTE

Y PROCESO:

DS12 - Administrar las instalaciones

POLTICAS Y PROCEDIMIENTOS DE PROTECCIN DE MEDIOS.

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C5

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (xv) Una poltica de proteccin de medios formalmente definida y documentada. (xvi) Procedimientos documentados para facilitar la implantacin de la poltica de proteccin de medios y los controles asociados. Gerente de Sistemas, Oficial de Seguridad.

1 mes

ACCESO A MEDIOS (MEDIA ACCESS)

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C6

La organizacin deber asegurar que slo los usuarios autorizados tienen acceso a informacin en forma impresa o en medios de comunicacin digitales extrados de los sistemas de informacin. Gerente de Sistemas, Oficial de Seguridad.

1 mes

DESTRUCCIN Y DISPOSICIN DE MEDIOS (MEDIA DESTRUCTION AND DISPOSAL)

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C7

La organizacin deber sanear o destruir los medios digitales de los sistemas de informacin antes de su disposicin o descargo, para reutilizar fuera de la organizacin, para prevenir que individuos no autorizados puedan obtener acceso y usar la informacin contenida en estos. Gerente de Sistemas, Oficial de Seguridad.

1 mes

POLTICAS Y PROCEDIMIENTOS DE PROTECCIN AMBIENTAL Y FSICA.

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber desarrollar, diseminar, y peridicamente revisar/actualizar: (xvii) Una poltica de proteccin de ambiental y fsica formalmente definida y documentada. (xviii) Procedimientos documentados para facilitar la implantacin de la poltica de proteccin ambiental y fsica y los controles asociados. Gerente de Sistemas, Oficial de Seguridad.

1 mes

119/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 3/5

EMPRESA : Ecuacolor DOMINIO :


Control a Implementar DS12 C8

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA SOPORTE

Y PROCESO:

DS12 - Administrar las instalaciones

AUTORIZACIONES DE ACCESO FSICO

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C9

La organizacin deber desarrollar y conservar listas actualizadas del personal con acceso autorizado a los recursos de los sistemas de informacin y debern portar credenciales apropiadas de autorizacin (ej., insignias, tarjetas de identificacin). El oficial de seguridad debe revisar y aprobar la lista de acceso y la autorizacin de credenciales. Gerente de Sistemas, Oficial de Seguridad.

2 semanas

CONTROL DE ACCESO FSICO

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C10

La organizacin deber controlar todos los puntos de acceso fsico a los recursos de los sistemas de informacin y verificar autorizaciones de acceso individuales antes de conceder acceso a los recursos. La organizacin tambin deber controlar el acceso a las reas oficialmente designadas como pblicamente accesible, como es apropiado, en acuerdo con la valoracin de riesgos de la organizacin. Gerente de Sistemas, Oficial de Seguridad.

3 meses

MONITOREAR EL ACCESO FSICO

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C11

La organizacin deber monitorear el acceso fsico a los sistemas de informacin para detectar y responder a incidentes. Gerente de Sistemas, Oficial de Seguridad.

2 meses

CONTROL DE VISITANTES

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber controlar el acceso fsico a los sistemas de informacin autenticando a los visitantes antes de autorizar acceso a los recursos. Gerente de Sistemas, Oficial de Seguridad.

2 meses

120/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 4/5

EMPRESA : Ecuacolor DOMINIO :


Control a Implementar DS12 C12

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA SOPORTE

Y PROCESO:

DS12 - Administrar las instalaciones

ESCOLTA DE VISITANTES

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C13

Debern establecerse procedimientos apropiados que aseguren que las personas que no formen parte del grupo de operaciones de la funcin de servicios de informacin sean escoltadas por algn miembro de ese grupo cuando deban entrar a las instalaciones de cmputo. Deber mantenerse y revisarse regularmente una bitcora de visitantes. Gerente de Sistemas, Oficial de Seguridad.

1 mes

BITCORA DE VISITANTES

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C14

La organizacin deber mantener una bitcora de visitantes que incluye: (i) el nombre y organizacin del persona que visita; (ii) la firma de el visitante; (iii) la forma de identificacin; (iv) la fecha de acceso; (v) tiempo de entrada y salida; (vi) propsito de visita; y (vii) el nombre y organizacin de la persona visitada. El Oficial de Seguridad revisara regularmente la bitcora. Gerente de Sistemas, Oficial de Seguridad.

2 semanas

LUCES DE EMERGENCIA

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C15

La organizacin deber emplear y mantener un sistema automtico de luces de emergencia que se activan al evento de un fallo de poder o ruptura y que cubre salidas de emergencia y rutas de evacuacin. Gerencia General, Gerente de Sistemas, Oficial de Seguridad.

7 meses

PROTECCIN CONTRA INCENDIOS

Responsables de implementacin Plazo (tiempo de ejecucin)

La organizacin deber emplear y mantener un sistema automtico de luces de emergencia que se activan al evento de un fallo de poder o ruptura y que cubre salidas de emergencia y rutas de evacuacin. Gerencia General, Gerente de Sistemas, Oficial de Seguridad.

7 meses

121/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT Fecha de diagnostico :
Pag 5/5

EMPRESA : Ecuacolor DOMINIO :


Control a Implementar DS12 C16

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

ENTREGA SOPORTE

Y PROCESO:

DS12 - Administrar las instalaciones

CONTROLES DE TEMPERATURA Y HUMEDAD

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C17

La organizacin deber monitorear la temperatura y humedad, y mantener regularmente dentro de los niveles aceptables las instalaciones de Tecnologa. Gerencia General, Gerente de Sistemas, Oficial de Seguridad.

8 meses

PROTECCIN CONTRA DAOS OCASIONADOS POR EL AGUA

Responsables de implementacin Plazo (tiempo de ejecucin) Control a Implementar DS12 C18

La organizacin deber proteger el sistema de informacin de dao de agua que resulta de la ruptura lneas de plomera u otras fuentes de goteo de agua asegurando que las vlvulas maestras de "shutoff" son accesibles, funcionan apropiadamente, y son conocidas por el personal principal. Gerente General, Gerente de Sistemas, Oficial de Seguridad.

2 semanas
DISCRECIN SOBRE LAS INSTALACIONES DE TECNOLOGA DE INFORMACIN

Responsables de implementacin Plazo (tiempo de ejecucin)

La Gerencia de la funcin de servicios de informacin deber asegurar que se mantenga un bajo perfil sobre la identificacin fsica de las instalaciones relacionadas con sus operaciones de tecnologa de informacin. La informacin sobre la ubicacin del sitio debe ser limitada y mantenerse con la adecuada reserva. Gerencia General, Gerente de Sistemas, Oficial de Seguridad.

8 meses RIESGOS A MITIGAR Riesgo Riesgo Actual Esperado O I T O I T 7 10 70 5 10 50 7 9 7 6 6 6 42 54 42 5 3 5 6 6 6 30 18 30

Objetivos de Control
Seguridad Fsica Discrecin sobre las Instalaciones de Tecnologa de Informacin Escolta de Visitantes Proteccin contra Factores Ambientales

OBSERVACIN DS12-C1, C2, C3, C4, C5, C6, C9, C10 DS12-C3, C5, C18 DS12-C8, C9, C10, C11, C12, C13 DS12-C7, C14, C15, C16, C17

122/123

Diseo de Sistema de Gestin de Seguridad de Informacin

BENEFICIOS

La implantacin de un Sistema de Gestin de la Seguridad de la Informacin proporciona a Ecuacolor Laboratorio Fotogrfico los siguientes beneficios:

Un anlisis de riesgos de sus Sistemas de Informacin. Una gestin adecuada de los riesgos segn su modelo de empresa. Una mejora continua de su gestin de la seguridad. El cumplimento de la legislacin vigente sobre proteccin de datos de carcter personal, comercio electrnico, propiedad intelectual, etc. Facilita el logro de los objetivos de la organizacin. Hace a la organizacin ms segura y consciente de sus riesgos. Mejoramiento contino del Sistema de Control Interno. Optimiza la asignacin de recursos. Aprovechamiento de oportunidades de negocio. Fortalece la cultura de autocontrol. Mayor estabilidad ante cambios del entorno. Conocer y Analizar sus riesgos, identificando amenazas, vulnerabilidades e impactos en su empresa. Reducir eficazmente el nivel de riesgo mediante los controles adecuados Organizar los recursos de la seguridad. Integra la Gestin de la Seguridad SI. Aporta confianza a los sistemas de informacin

Y en definitiva, establece una cultura de la seguridad y una excelencia en el tratamiento de la informacin en todos sus procesos de negocio. As, aporta un valor aadido de reconocido prestigio, en la calidad de los servicios que ofrece a sus clientes.

123/123