You are on page 1of 123

Diseo de Sistema de Gestin de Seguridad de Informacin

CONTENIDO

1. Objetivo
2. Introduccin.
3. Entendimiento del Negocio.
3.1. Informacin Institucional.
3.2. Marco Operativo.
3.3. Informacin del Ambiente de Sistemas.
3.3.1. Catlogo de Aplicaciones.
3.3.2. Recursos Humanos Centro de Computo.
3.3.3. Recursos Tecnolgicos.
3.3.4. Comunicacin y transferencia de Informacin a travs de la organizacin.
3.3.5. Estrategia.
4. Modelo de mejores prcticas utilizado: COBIT
5. Propuesta metodolgica para el diseo del SGSI de ECUACOLOR.
6. Modelo de madurez de los 7 procesos de Seguridad de Informacin.
6.1. PO9.- Evaluar los Riesgos.
6.2. PO11.- Administrar Calidad.
6.3. A16.- Administrar Cambios.
6.4. DS4 .- Asegurar el Servicio Continuo.
6.5. DS5 .- Garantizar la Seguridad de los Sistemas.
6.6. DS11 .- Administrar los Datos.
6.7. DS12 .- Administrar Instalaciones.
7. La evaluacin de riesgos de los 105 objetivos de control.
7.1. Administracin de Riesgos.
7.2. Proceso de administracin de Riesgos.
6.2.1. Establecer Marco General.
6.2.2. Identificar Riesgos.
6.2.3. Anlisis de Riesgos.
6.2.4. Evaluar y Priorizar Riesgos.
6.2.5. Controles existentes para los riesgos de ms alta exposicin.
6.2.6. Tratamiento del Riesgo.
8. Plan de Accin.
9. Beneficios.

ANEXOS

A1. Glosario de trminos.


A2 Mapa General de Procesos.
A3. Organigrama de la Empresa.
A4. Organigrama de Sistemas.
A5 Proceso de Ventas a Distribuidores.
A5. Procesos de Ventas en Retail.
A6. Polticas Bsica de Seguridad de Informacin.
A7. Factores Crticos de xito.
A8. Indicadores Claves de Desempeo.

1/123
Diseo de Sistema de Gestin de Seguridad de Informacin

1. OBJETIVO

El objetivo de nuestra tesis es el Diseo de un Sistema de Gestin de Seguridad de la


Informacin para la empresa ECUACOLOR, basado en el anlisis de la empresa y el
conocimiento adquirido durante el Diplomado de Auditora Informtica

Un segundo objetivo es contribuir para que las empresas ecuatorianas tomen conciencia
de la necesidad de implementar Sistemas de Seguridad, como una herramienta que
ayudar a cumplir con las metas y objetivos de la empresas, ayudndoles en la gestin
del negocio y ser ms competitivas en el mercado.

2/123
Diseo de Sistema de Gestin de Seguridad de Informacin

2. INTRODUCCIN

A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas
ms poderosas para materializar uno de los conceptos ms vitales y necesarios para
cualquier organizacin empresarial, Los Sistemas de Informacin de la empresa.

La Informtica hoy, es la base en la gestin integral de la empresa, y por eso las normas
y estndares propiamente informticos deben estar, por lo tanto, sometidos a controles.
Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de
decisiones, pero no decide por s misma. Por ende, debido a su importancia en el
funcionamiento de una empresa, se hace necesario un Sistema de Gestin de Seguridad
de Informacin.

La informacin en la empresa es uno de los mas importantes activos que posee. Las
organizaciones tienen que desarrollar mecanismos que les permitan asegurar la
disponibilidad, integridad y confidencialidad en el manejo de la informacin. La
informacin est sujeta a muchas amenazas tanto de ndole externa como externa.

Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control
correspondiente, o al menos debera estarlo.

La importancia de llevar un control de los recursos de los Sistemas de Tecnologa de


Informacin se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos


apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo.
Los hackers que son expertos en Ingeniera Social consiguiendo personas de
dentro de la compaa para sacarles contraseas y claves de invitados.
Las computadoras creadas para procesar y difundir resultados o informacin
elaborada pueden producir resultados o informacin errnea si dichos datos son, a
su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas
que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes.
Un Sistema Informtico mal diseado puede convertirse en una herramienta harto
peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes
recibidas y la modelizacin de la empresa est determinada por las computadoras
que materializan los Sistemas de Informacin, la gestin y la organizacin de la
empresa no puede depender de un Software y Hardware mal diseados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informtico, por eso, la necesidad de un Sistema de Gestin de Seguridad de
Informacin..

Nuestro Proyecto de Diseo de un Sistema de Gestin de seguridad de Informacin


SGSI incluye 9 captulos y 8 anexos.

3/123
Diseo de Sistema de Gestin de Seguridad de Informacin

El captulo 1, define el objetivo de nuestra tesis, El diseo de un sistema de Gestin de


Seguridad de Informacin para la empresa ECUACOLOR.

El captulo 2, es una Introduccin sobre la necesidad de implementar en las empresas un


SGSI, para el control y proteccin de los recursos de Tecnologa de Informacin.

El captulo 3, es el levantamiento de informacin para el Entendimiento del Negocio, el


Marco Operativo y la Tecnologa de Informacin que utiliza ECUACOLOR para el
desarrollo de sus operaciones.

El Captulo 4, es una breve explicacin de la herramienta utilizada COBIT, considerada


como una de las mejores prcticas para la administracin, control, auditora y manejo de
las seguridades de Tecnologa de Informacin.

El captulo 5, establece la metodologa utilizado para el desarrollo de nuestra tesis de


graduacin.

El capitulo 6, establece el modelo de Madurez de los 7 procesos del modelo COBIT


sobre requerimientos de Seguridad (confidencialidad, integridad y disponibilidad), es la
situacin actual de la empresa y haca donde quiere llegar.

El captulo 7, constituye el trabajo de investigacin de los 105 objetivos de Control en


ECUACOLOR, estableciendo el nivel de riesgo actual (Alto Medio Bajo).

El captulo 8, es el Plan de Accin con los Controles recomendados para la mitigacin


de los Riesgos cuales.

El captulo 9, establece los Beneficios que tendra la empresa al implementar un Sistema


de Gestin de Seguridad de Informacin.

Y Finalmente tenemos 8 Anexos, Glosario de trminos: Mapa General de Procesos,


Organigrama de la Empresa, Organigrama de Sistemas, Proceso de Ventas a
Distribuidores y el Proceso de Ventas en Retail.
.
Las Polticas Bsica de Seguridad de la Informacin, que es lo mnimo que debera
implementar la empresa.

Como valor agregado hemos incluido los Factores Crticos de xito (FCE) y los
Indicadores claves de Desempeo , que constituyen herramientas adicionales para
llegar a cumplir con xito la gestin empresarial.

4/123
Diseo de Sistema de Gestin de Seguridad de Informacin

3 ENTENDIMIENTO DEL NEGOCIO

3. 1 INFORMACIN INSTITUCIONAL

Resea Histrica

Laboratorios Fotogrficos Ecuacolor es una empresa que naci en la ciudad de Quito


hace 35 aos gracias a la iniciativa y visin de los seores Luis Orrantia G. y Enrique
Martinez Q., Presidente y Gerente General de Comandato de aquel entonces, quienes
decidieron crear una empresa dedicada a la venta y procesamiento de las pelculas en
blanco y negro, bajo la razn social de Ecuacolor Laboratorios Fotogrficos.

Desde el ao 1966, los laboratorios fueron ampliando sus servicios bajo la supervisin
de Galo Vinueza, viejo amante de la fotografa y uno de los artfices del desarrollo
fotogrfico del Ecuador.

En 1975 Ecuacolor ya contaba con un moderno laboratorio de revelado a color en


Quito, que fue viendo superada su capacidad de produccin por la creciente demanda,
por lo que se decidi abrir un nuevo laboratorio. En Marzo de 1976, bajo la supervisin
del Ing. Antonio Tobar C., se inauguro uno de los mas modernos laboratorios centrales
de Sud Amrica en la ciudad de Guayaquil.

Pocos aos despus, se inicio a la apertura de punto de revelado satelitales, equipados


con mini laboratorios que ofrecan el servicio de revelado en pocas horas. Hoy se cuenta
con 106 mini laboratorios instalados en las principales ciudades del pas, atendiendo
directamente a sus clientes locales, ofrecindoles productos e innumerables servicios
fotogrficos y digitales de primersima calidad.

Ecuacolor se dedica en la actualidad a la captura, reproduccin, conservacin y


comunicacin de imgenes que son los mas preciados recuerdos y sentimientos del ser
humano.

Gracias a la utilizacin de tecnologa de punta a la experiencia de su recurso humano y


a la capacitacin continua, ha logrado colocarse como lder en la comercializacin y
distribucin de productos y servicios fotogrficos.

Sus mas de 500 colaboradores son el fundamento de la empresa y con orientacin total
hacia la excelencia que les permite dar un eficiente servicio a todos sus clientes en el
pas.

5/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MISION

Lograr la satisfaccin de las necesidades de los clientes y usuarios, mediante la


entrega de Excelencia en la Calidad de Productos y Servicios dentro de la industria
de imgenes.

Nuestro compromiso con nuestros colaboradores es proveerlos de oportunidades


para su desarrollo y crecimiento, remunerndolos mejor que el mercado en base a
resultados, e incrementando su patrimonio y bienestar a largo plazo, creando en
ellos un recurso valioso.

Nuestro compromiso con nuestros socios comerciales es el de proveerlos de una


plataforma para sus desarrollo sostenido, mediante nuestro crecimiento en ventas y
rentabilidad.

Nuestra responsabilidad con la sociedad y las comunidades en las que operamos , es


la de contribuir a su progreso y expectativas para el futuro, y prestar nuestro apoyo
para eventos deportivos, culturales y de entretenimiento, que lleven felicidad a sus
vidas.

Entregar a los accionistas el mayor rendimiento a su inversin.

VISION

Ser la empresa de mayor rentabilidad dentro de la industria de imgenes del pas, con
personal altamente calificado, motivado y profesional; sirviendo en cada rea de la
empresa y el mercado; con una participacin de mercado no menor al 70%.

VALORES

El cliente es primero.
Honestidad y lealtad que asegure la integridad de la empresa.
Capacidad para enfrentar cambios y adaptarnos a nuevas situaciones.
Educacin y aprendizaje constante para lograr la superacin personal y profesional.
Tenacidad y perseverancia para alcanzar nuestros objetivos.
Reconocimiento pblico y remuneracin econmica ante el buen desempeo.
Comunicacin abierta para promover el trabajo en equipo.
Innovacin constante, iniciativa y creatividad para lograr productividad y eficiencia.
Respeto a las personas, a la sociedad y al medio ambiente.

6/123
Diseo de Sistema de Gestin de Seguridad de Informacin

PANORAMA ACTUAL

Ecuacolor es una marca reconocida, posee una presencia bastante fuerte en el mercado
fotogrfico a nivel nacional, con ms de 100 fototiendas. Ha llegado a poseer el 70% de
participacin del mercado.

Es parte de un grupo econmico conformado por Comandato, OndaPositiva,


TecniPrint.
Mucha de la infraestructura tecnolgica es compartida por el Grupo Corporativo.
Existen Niveles Gerenciales que cumplen sus funciones de manera Corporativo.

El mercado fotogrfico en el Ecuador esta cambiando, el cambio se esta dando hacia el


revelado digital, lo que motiva que el mercado de revelado tradicional se vea
disminuido, afectando a los ingresos de la institucin.

Para contrarrestar este efecto, la institucin ha diseado nuevas estrategias y


desarrollado nuevas lneas de negocio.

Entre las estrategias de mas alto impacto estn:

Venta a Crdito, lo que debe incrementar la venta de Cmaras Digitales y otros


productos de la lnea Profesional.
Se ha logrado obtener la representacin exclusiva de los productos Maxell en
todo el territorio nacional, de tal manera que se diversifican los ingresos que
tiene la institucin actualmente.
Promociones para impulsar el revelado digital.
Alianzas estratgicas con empresas nacionales para promociones cruzadas.
Adquisicin de Equipos de revelado digital PictureMaker.

Para lograr alcanzar los objetivos estratgicos definidos existen adquisiciones de


tecnologa que tienen una incidencia directa en el plan estratgicos de negocio.

Adquisicin de nuevo sistema de punto de ventas que cumpla los requerimientos


de ley acorde a las necesidades y expectativas del negocio.
Implementacin de interconexin entre las principales tiendas a nivel nacional
con la casa matriz.
Administracin de la tecnologa actual que soporta los procesos del negocio.
Siendo este ultimo uno de los pilares fundamentales en la consecucin de las
metas trazadas por la organizacin.

Los costos de estos proyectos son bastante significativos dentro de los resultados de la
empresa, por eso razn la evaluacin y adquisicin de la tecnologa antes mencionada
debe ser llevada a cabo de la mejor manera posible.

7/123
Diseo de Sistema de Gestin de Seguridad de Informacin

PRODUCTOS CLAVES

Cmaras digitales (KODAK, PANASONIC, NIKON)


Rollos fotogrficos (KODAK)
Pilas
Accesorios para cmaras y productos relacionados.

SERVICIOS CLAVES

Revelado fotogrfico.
Ampliaciones.
Montajes.
Retoques
Copias.

LINEAS DE NEGOCIO

Distribucin.- Se encarga de la venta de mercadera y revelado al por mayor. Los


distribuidores tienen lneas de crdito, descuentos, y promociones especiales.

Fototiendas.- Se encarga de la venta de mercadera al por menor y el revelado


fotogrficos.

CLIENTES

Fotgrafos.- Clientes que se dedican a la fotografa profesional, tienen descuentos y


promociones especiales.

Distribuidores.- Clientes que estn autorizados a vender mercadera, recibir trabajos de


revelados y a facturarlos.

Aficionados.- Cliente que no se dedica a la fotografa como actividad profesional.

MERCADO.-

Ecuacolor esta enfocado en 2 segmentos, la venta a travs de su cadena de retail y la


venta a distribuidores.

Los principales competidores de Ecuacolor en el segmento de retail, son Konica, Fuji,


Fybeca, otros quedan servicio de revelado. En lo que respecta a la distribucin de
Kodak y Maxell, es la misma que la de la marca a nivel internacional.

8/123
Diseo de Sistema de Gestin de Seguridad de Informacin

Actualmente la marca Ecuacolor esta catalogada como la numero uno en cuanto al


revelado fotogrfico y apunta a mantener esta posicin. Ecuacolor siempre esta
buscando la manera de incrementar su volumen de ventas, lanzando promociones. Sin
embargo las ventas estn disminuyendo debido a cambios que estn surgiendo en el
revelado tradicional, siendo esta la principal fuente de sus ingresos.

MARKETING Y PROMOCIONES.-

Constantemente se estn lanzando promociones apuntando:

Incrementar el revelado digital.


Mantener el revelado tradicional.
Incrementar la venta de productos KODAK y MAXELL.

Actualmente se han adquirido Impresoras Termales, Digitales, y equipos PICTURE


Maker con el afn de soportar las diferentes promociones que son lanzadas
consecutivamente.

ORGANIGRAMA DE LA EMPRESA.

Ver anexo A3.

Tecnologa de Informacin.-

Existe un departamento de sistemas en Quito y Guayaquil, parte de los servicios de


tecnologa son provisto por el centro de computo de Comandato(Empresa del Grupo).

Entre los servicios tecnolgicos que son provisto por el centro de computo de
Comandato tenemos:

Correo Interno.
Acceso al Internet.
Interconexin a travs de micro-ondas con antenas de punto de vista en las
fototiendas que estn dentro de un almacn Comandato.
Administracin y soporte especializado de la red corporativa y base de datos.

Existe un Gerente de Sistemas que es corporativo, los Jefes del Dpto. de Informtica de
Quito y Guayaquil estn subordinados a la Gerencia de Sistemas corporativas.

9/123
Diseo de Sistema de Gestin de Seguridad de Informacin

3.2 MARCO OPERATIVO.-

VENTAS, TRMINOS Y DESCUENTOS.

La mercadera es recibida en las bodegas principales de Guayaquil, y de esta


distribuida al resto del pas.
Las listas de precios, son creadas, administradas, aprobadas en la oficina
principal.

Distribucin

Los precios de ventas para el rea de distribucin estn formalmente definidos y


aprobados por la alta gerencia.
Existe el concepto de mercadera dada a consignacin, pero con la aprobacin de
la gerencia general.
Los descuentos son previamente pactados con el cliente y aprobados por la
gerencia general cuando estn fuera de los lmites preestablecidos.
Todas las ventas son a crdito.
Todas las lneas de crditos son aprobadas, revisadas y analizadas para evitar la
morosidad en la cartera.

Retail.
Los precios de ventas para la cadena de retail, estn clasificados por tipo de
cliente (Aficionado y Fotgrafo), provincia, y en alguno casos por el nivel
socio-econmico del lugar en donde este ubicada la fototienda. Todos los precios
son revisados y aprobados por la alta gerencia.
Los descuentos estn ya incluido en la lista de precios para el caso de los
fotgrafos, y en el caso de los aficionados deben sujetarse al termino de la
promocin a la que desean aplicar.
Todas las ventas (actualmente) son en efectivo.

Semanalmente existen reuniones de los principales Gerentes de la Organizacin, para


monitorear las tareas y actividades que se estn llevando en cada rea. Esto incluye
informacin de: Antigedad de Cartera, Poltica de Precios, Promociones, Programacin
de pedidos, Volmenes de Venta, Estado de Resultados por tienda y lnea de negocio.
Cada gerencia es responsable de la informacin que se entrega.

Para garantizar el mejor trato al cliente, existe un Dpto. de atencin al cliente en donde
se lleva el detalle de cada reclamo y su respectiva solucin. De la misma manera para
garantizar que nuestra empresa de un buen trato a nuestros clientes, disponemos de
medios de retroalimentacin como: Cliente fantasma, Buzn de sugerencias, etc.

Nota: Ver Anexos A5 y A6 para detalle de los principales procesos.

10/123
Diseo de Sistema de Gestin de Seguridad de Informacin

COMPRAS DE INVENTARIO.-

Nuestros mayores proveedores son Eastman Kodak, Maxell.


La forma de costeo es por el mtodo de promedio ponderado.
El inventario es un rubro bastante significativo en el balance general de la
institucin.
La Gerencia de Logstica, Gerencia de Mercadeo, Jefe de Produccin trabajan en
conjunto para monitorear el inventario, y mantener un nivel adecuado a fin de
satisfacer la demanda, por promociones y el proceso de revelado fotogrfico.
Adicionalmente la Gerencia de Logstica se encarga de monitorear las
importaciones, y de informar cualquier inconveniente directamente con la
gerencia.

CUENTAS POR PAGAR.-


La mayora de las compras son de mercadera para la venta y materia prima para
el proceso de revelado fotogrfico.
Existen contratos de arrendamientos por los locales que no son propios y estn
siendo usados por las fototiendas.
Existen prstamos bancarios, pero no son de gran impacto en el estado
financiero.
Existen prstamos entre compaas del grupo.

Todas los cuentas por pagar son aprobados y monitoreadas. Para la aprobacin existe
una poltica bien definido por montos de compra. La informacin de las cuentas por
porgar es semanalmente revisada e informada a la gerencia.

SALDOS DE EFECTIVO

Todos los saldos en efectivo estn en la moneda local.


Transferencias importantes existen entre la administracin de efectivos y las
cuentas operacionales.
El flujo de efectivo es diariamente monitorizado por la Gerencia Financiera.
Las transferencias son aprobadas por la gerencia general.

PROPIEDADES, PLANTA & EQUIPOS.-


Todas las propiedades, planta y equipos son de propiedad de la compaa(no es
leasing financiero).
La vida til de todos los activos se basan en estndares de la industria y se
deprecian por medio del mtodo de lnea recta.
Si existen gastos significativos por reparacin y mantenimiento.
Durante los ltimos 2 aos, se han hecho importante adquisiciones en cuanto a
equipos de revelado digital y termal.

11/123
Diseo de Sistema de Gestin de Seguridad de Informacin

3.3 INFORMACIN DEL AMBIENTE DE SISTEMA.

Los sistemas computacionales soportan todos los procesos del negocio, pero existen
fototiendas que llevan sus transacciones de una forma manual debido a que el flujo
de transacciones de la tienda y el flujo de efectivo de la empresa no justifica su
automatizacin.

La informacin crtica de los estados financieros es generada por los sistemas


computacionales.

El soporte y administracin de la infraestructura de redes, sistema operativo, bases


de datos es soportada por un tercero o por el centro de computo de COMANDATO.
(Empresa del grupo).

Ecuacolor Laboratorio Fotogrfico S.A. tiene las siguientes unidades de negocio:

Venta en FotoTiendas.
Venta a distribuidores.

Los principales procesos del negocio son:

Ventas.
Mercadeo.
Produccin. (Revelado Fotogrfico)
Logstica
Administracin y control de fototiendas.
Administracin de fondos y flujo de efectivo.

12/123
Diseo de Sistema de Gestin de Seguridad de Informacin

3.3.1 CATALOGO DE APLICACIONES.

Aplicacin S.Operativo Base de Datos Procesos del Negocio que Soporta Transaccionalidad
Sistema de Rol de Pagos. Linux PosgreSQL Administracin y Rendicin de MEDIA ALTA
Cuentas.
Sistema Administrativo SCO Unix Informix Administracin y Rendicin de MEDIA ALTA
Financiero. (Contabilidad, Cxc, Cuentas.
Cxp)
Sistema de Administracin de SCO Unix Informix Facturacin Distribuidores ALTA
Inventario Facturacin Retail.
Administracin de Inventario
Sistema de Facturacin a SCO Unix Informix Facturacin Distribuidores MEDIA BAJA
Distribuidores Administracin de Inventario
Sistema de Compras Locales SCO Unix Informix Adquisiciones MEDIA
Administracin de Inventario
Sistema de Importaciones SCO Unix Informix Adquisiciones MEDIA
Administracin de Inventario
Sistema de Control de Caja SCO Unix Informix Facturacin Retail. MEDIA ALTA
Sistema de Punto de Venta W9x FoxPro 2.6 Facturacin Retail. ALTA
Sistema de Informacin SCO Unix Informix Toma de decisiones Gerenciales BAJA
Gerencial.
Sistema de Ordenes de Pago. W2K SQLServer Administracin y Rendicin de MEDIA
Cuentas.

CATEGORIZACIN DE LA TRANSACCIONALIDAD DE LAS OPERACIONES.


ALTA Aproximadamente 200,000 Transacciones Mensuales
MEDIA ALTA Aproximadamente 100,000 Transacciones Mensuales
MEDIA Aproximadamente 50,000 Transacciones Mensuales

13/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MEDIA BAJA Aproximadamente 20,000 Transacciones Mensuales


BAJA Aproximadamente 2,000 Transacciones Mensuales

14/123
Diseo de Sistema de Gestin de Seguridad de Informacin

3.3.2 RECURSO HUMANO CENTRO DE COMPUTO

CARGO CANTIDAD
Gerente Nacional de Sistemas 1
Jefes Departamentales (Guayaquil y Quito) 2
Analista Programadores (Guayaquil y 3
Quito)
Help Desk(Guayaquil y Quito) 2

ORGANIGRAMA DE Tecnologa de Informacin.

Ver anexo A4.

3.3.3 RECURSO TECNOLGICO

SOFTWARE.

SCO Unix Open Server 5.0


Linux RedHat Entreprise Server 3.x
Lotus Domino 5.x.
Office 2000 profesional.
Visual Basic 6.0 Entreprise.
JAVA 2 Standard Edition 1.4.
SQL Server 2000.
Informix Dynamic Server 9.x

HARDWARE.

Servidor Principal (S.O. Sco Unix, 2 procesadores XEON, 1 GB de memoria, RAID


5, 4 fuentes redundantes, dispositivo de cinta magntica).
Proxy Server (S.O. Linux, procesador PENTIUM 4, 512 MB)
MAIL Server (S.O. Linux + Lotus Domino, procesador PENTIUM 4, 512 MB).
Servidor de Desarrollo (S.O. Sco Unix, 1 procesadores XEON, 512 de memoria,
dispositivo de cinta magntica).
240 PC en toda la organizacin.

RED.
Cableado estructurado categora 5 - 6.
Red Inalmbrica.
BACKBONE de comunicaciones.
Conexin dial-up con fototiendas.

15/123
Diseo de Sistema de Gestin de Seguridad de Informacin

3.3.4 COMUNICACIN Y TRANSFERENCIA DE INFORMACIN


A NIVEL DE LA ORGANIZACIN.-

Existen 2 centros de cmputos: Quito y Guayaquil (Oficina Principal)

La interconexin a travs de Quito y Guayaquil es a travs de un enlace


dedicado de 256 kbps, usado por toda la organizacin.

Los sistemas administrativos financieros y de produccin tienen bases de datos


separadas y ubicadas fsicamente tanto en Quito como en Guayaquil, a travs de
un proceso nocturno se sincronizan las bases de datos.

La interconexin y sincronizacin de datos entre las fototiendas y las oficinas


principales ocurre una vez al da a travs de un enlace telefnico.

3.3.5 ESTRATEGIA.

Tecnologa de Informacin tiene entre sus principales proyectos:

El soporte para la seleccin de un nuevo sistema de punto de venta a nivel


nacional que permita a la empresa soportar las nuevas estrategias de negocio
de la organizacin.
La interconexin del 20% de sus fototiendas a nivela nacional para poder
soportar la nueva lnea de negocios y formas de negociacin.

Cambios en Sistemas.

Ecuacolor esta considerando cambiar su sistema de punto de venta por


exigencias del S.R.I, y por requerimientos de las nuevas estrategias del negocio.
Tambin existe un plan para la actualizacin de la base de datos y sistema
operativos de los sistemas de la casa matriz.

16/123
Diseo de Sistema de Gestin de Seguridad de Informacin

4. MODELO DE MEJORES PRCTICAS UTILIZADO: COBIT

La Misin de CobiT:

Investigar , desarrollar, publicar y promover un conjunto de objetivos de control


en tecnologa de informacin con autoridad, actualizados , de carcter
internacional y aceptados generalmente para el uso cotidiano de gerentes y
auditores.

Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT),


ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un
puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos.
Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y
presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de
COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la
informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando
las actividades van por el camino equivocado.

La Administracin debe asegurar que los sistemas de control interno o el marco


referencial estn funcionando y soportan los procesos del negocio y debe tener claridad
sobre la forma como cada actividad individual de control satisface los requerimientos de
informacin e impacta los recursos de TI.

El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT


junto con los requerimientos del negocio que deben ser alcanzados:

eficiencia
efectividad
confidencialidad
integridad
disponibilidad
cumplimiento y
confiabilidad de la informacin.

El control, que incluye polticas, estructuras, prcticas y procedimientos


organizacionales, es responsabilidad de la administracin. La administracin, mediante
este gobierno corporativo, debe asegurar que todos los individuos involucrados en la
administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de
informacin acten con la debida diligencia.

Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea


alcanzar implementando procedimientos de control especficos dentro de una actividad
de TI.

17/123
Diseo de Sistema de Gestin de Seguridad de Informacin

La orientacin al negocio es el tema principal de COBIT. Est diseado no solo para


ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser
utilizado por los propietarios de los procesos de negocio como una gua clara y
entendible. A medida que ascendemos, las prcticas de negocio requieren de una mayor
delegacin y empoderamiento de los dueos de los procesos para que estos tengan total
responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En
particular, esto incluye el proporcionar controles adecuados.

El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio,


herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de
Referencia comienza con una premisa simple y prctica:

Con el fin de proporcionar la informacin que la empresa necesita para alcanzar


sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos
de TI agrupados en forma natural.

El Marco de Referencia contina con un conjunto de 34 Objetivos de Control de alto


nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios:

1. Planeacin y Organizacin,
2. Adquisicin e Implementacin
3. Entrega de servicios y Soporte y
4. Monitoreo.

Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta.
Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el
propietario de procesos de negocio podr asegurar que se proporciona un sistema de
control adecuado para el ambiente de tecnologa de informacin.
El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para
el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los
procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias
de la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la
Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios
y Soporte y el Monitoreo.

El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as


mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja
competitiva
Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto
nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la
revisin de los procesos de TI contra los 318 objetivos detallados de control
recomendados por CobiT para proporcionar a la Gerencia la certeza de su cumplimiento
y/o sugerencias para su mejoramiento.

Las Guas o Directrices Gerenciales de COBIT , desarrolladas recientemente, ayudan a la


Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del
Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la
Administracin la direccin para mantener bajo control la informacin de la empresa y
sus procesos relacionados, para monitorear el logro de las metas organizacionales, para

18/123
Diseo de Sistema de Gestin de Seguridad de Informacin

monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de


los logros organizacionales.

Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos
de TI de tal forma que la Administracin puede ubicarse en el puntodonde la organizacin
est hoy, donde est en relacin con los mejores de su clase en su industria y con los
estndares internacionales y as mismo determinar adonde quiere llegar;

Factores Crticos de xito (Critical Success Factors), que definen o determina cuales
son las mas importantes directrices que deben ser consideradas por la Administracin para
lograr control sobre y dentro de los procesos de TI.

Indicadores Claves del logro / Objetivos o de Resultados (Key Goal Indicators) los
cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del
hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los

Indicadores Clave de desempeo (Key Performance Indicators) los cuales son


indicadoresprimarios que definen la medida para conocer qu tan bien se est ejecutando
el proceso de TI frente o comparado contra el objetivo que se busca.

Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al


propsito de
responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y se
justifica el costo respecto al beneficio obtenido? Cules son
los indicadores de buen desempeo? Cules son
los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos?
Qu hacen otros?
Cmo nos podemos medir y comparar

COBIT contiene adicionalmente un Conjunto de Herramientas de Implementacin que


proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron
COBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles -
Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y
Diagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en el
anlisis del ambiente de control de TI en una organizacin.
En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que
estn logrando incrementar sus niveles de seguridad y control. COBIT es una
herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de
control, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los
accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el
desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de las
organizaciones, a nivel mundial.
Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que
ayude al entendimiento y a la administracin de los riesgos as como de los
beneficios asociados con la informacin y sus tecnologas relacionadas.

19/123
Diseo de Sistema de Gestin de Seguridad de Informacin

5. PROPUESTA METODOLGICA PARA EL DISEO DEL SGSI


DE ECUACOLOR.

Existen dos clases distintas de modelos de control actualmente disponibles, aqullos de


la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms
enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los
dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la
Administracin y para operar a un nivel superior a los estndares de tecnologa para la
administracin de sistemas de informacin..

Por lo tanto, COBIT es el modelo para el gobierno de TI!

El marco metodolgico conceptual para elaborar el diseo del Sistema de Gestin de la


Seguridad de Ecuacolor Laboratorio Fotogrfico S.A., usando el modelo de mejores
prcticas COBIT, fue el siguiente:

1. Definicin de los criterios de la Informacin


2. Seleccionar los criterios de la Informacin que estn relacionados con
Seguridad.
3. Seleccionar de los 34 procesos de COBIT, cuales son los procesos que son
impactados de manera primaria por los criterios de la informacin relacionados
con la seguridad.
4. Definir los Objetivos de Control detallados.
5. Aplicacin del modelo de madurez, para determinar un estado de la situacin
actual de la empresa y cuales son sus metas, en cuanto a seguridad.
6. Realizar una evaluacin y priorizacion de riesgos.
7. Elaborar los planes de accin que incluyen los controles, para poder mitigar los
riesgos de alta y media exposicin.

DEFINICIONES GENERALES

Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La


definicin de Control est adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal Control-Integrated Framework,
1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC
(Systems Auditability and Control Report, The Institute of Internal Auditors Research
Foundation, 1991 y 1994).

Control se define como.- Las polticas, procedimientos, prcticas y estructuras


organizacionales diseadas para garantizar razonablemente que los objetivos del
negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y
corregidos.

Objetivo de control en TI se define como.- Una sentencia del resultado o propsito


que se desea alcanzar implementando procedimientos de control en una actividad de TI
particular.

20/123
Diseo de Sistema de Gestin de Seguridad de Informacin

Gobierno de TI se define como.- Una estructura de relaciones y procesos para dirigir


y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se
equilibran los riesgos contra el retorno sobre TI y sus procesos.

DEFINICIN DE LOS CRITERIOS DE LA INFORMACIN.

El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque


del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte
a los procesos de negocio y considerando a la informacin como el resultado de la
aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que
deben ser administrados por procesos de TI.

Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos
criterios a los que COBIT hace referencia como requerimientos de negocio para la
informacin. Al establecer la lista de requerimientos, COBIT combina los principios
contenidos en los modelos referenciales existentes y conocidos:

Calidad
Costo
Entrega o Distribucin (de servicio)

Efectividad y eficiencia de las operaciones


Confiabilidad de la informacin
Cumplimiento de leyes y regulaciones
Confidencialidad
Integridad
Disponibilidad

21/123
Diseo de Sistema de Gestin de Seguridad de Informacin

La Calidad ha sido considerada principalmente por su aspecto negativo (ausencia de


fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en los
criterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad
(estilo, atractivo, ver y sentir, desempeo ms all de las expectativas, etc.) no fueron,
por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La
premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado
de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la
Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de
entrega o distribucin del servicio, de la Calidad se traslapa con el aspecto de
disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna
medida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado,
siendo cubierto por la Eficiencia.

Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron


las definiciones de COSO para la efectividad y eficiencia de las operaciones,
confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo,
confiabilidad de informacin fue ampliada para incluir toda la informacin no slo
informacin financiera. Con respecto a los aspectos de seguridad, COBIT identific la
confidencialidad, integridad y disponibilidad como los elementos clave se encontr
que estos mismos tres elementos son utilizados a nivel mundial para describir los
requerimientos de seguridad.
Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de
Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente
superpuestas. A continuacin se muestran las definiciones utilizadas por COBIT:

Informacin relevante sea pertinente para el proceso del negocio, as


Efectividad como a que su entrega sea oportuna, correcta, consistente y de manera
utilizable.
Eficiencia Provisin de informacin a travs de la utilizacin ptima (ms
productiva y econmica) de recursos.

Confidencialidad Proteccin de informacin sensible contra divulgacin no autorizada.

Integridad Precisin y suficiencia de la informacin, as como a su validez de


acuerdo con los valores y expectativas del negocio.

Disponibilidad Disponibilidad de la informacin cuando sta es requerida por el proceso


de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de
los recursos necesarios y capacidades asociadas.
Cumplimiento Cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a
los que el proceso de negocios est sujeto, por ejemplo criterios de
negocio impuestos externamente.
Confiabilidad de Provisin de informacin apropiada para la administracin con el fin de
la informacin operar la entidad y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/ definirse como se


muestra a continuacin:

22/123
Diseo de Sistema de Gestin de Seguridad de Informacin

Los elementos de datos en su ms amplio sentido, (por ejemplo, externos


Datos e internos), estructurados y no estructurados, grficos, sonido, etc.
Aplicaciones Se entiende como sistemas de aplicacin la suma de procedimientos
manuales y programados.
Tecnologa La tecnologa cubre hardware, software, sistemas operativos, sistemas de
administracin de bases de datos, redes, multimedia, etc.
Instalaciones Recursos para alojar y dar soporte a los sistemas de informacin.

Personas Habilidades del personal, conocimiento, conciencia y productividad para


planear, organizar, adquirir, entregar, soportar y monitorear servicios y
sistemas de informacin.

El dinero o capital no fue considerado como un recurso de TI para la clasificacin de los


objetivos de control porque el dinero puede ser considerado como una inversin dentro
de cualquiera de los recursos presentados. Adems debe anotarse que el Marco
Referencial no se refiere especficamente a la documentacin de todos los materiales
relacionados con un proceso de TI en particular. Como un aspecto de buenas prcticas,
la documentacin es considerada como un buen control, y por lo tanto la falta de
documentacin sera causa de una mayor revisin y anlisis de los controles
compensatorios en cualquier rea bajo revisin.

Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios
se describe a continuacin:

CRITERIOS DE LA SEGURIDAD.-

Los criterios de la seguridad usados a nivel mundial por los modelos de mejores
prcticas y estndares son los siguientes:

Confidencialidad Proteccin de informacin sensible contra divulgacin no autorizada.

Integridad Precisin y suficiencia de la informacin, as como a su validez de


acuerdo con los valores y expectativas del negocio.
Disponibilidad Disponibilidad de la informacin cuando sta es requerida por el proceso
de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de
los recursos necesarios y capacidades asociadas.

23/123
Diseo de Sistema de Gestin de Seguridad de Informacin

SELECCIN DE LOS PROCESOS DE COBIT RELACIONADOS CON EL


DISEO DEL SGSI.-

Los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados


en forma natural, con el fin de proporcionar la informacin que la empresa necesita para
alcanzar sus objetivos.

Resulta claro que las medidas de control no satisfarn necesariamente los diferentes
requerimientos de informacin del negocio en la misma medida.

Por esa razn los procesos en COBIT satisfacen uno o varios criterios de la informacin
de la siguiente manera:

(P) Primario.- es el grado al cual el objetivo de control definido impacta directamente


el requerimiento de informacin de inters.

(S) Secundario es el grado al cual el objetivo de control definido satisface nicamente


de forma indirecta o en menor medida el requerimiento de informacin de inters.

Blanco (vaco) podra aplicarse; sin embargo, los requerimientos son satisfechos ms
apropiadamente por otro criterio en este proceso y/o por otro proceso.

PROCESOS COBIT
P01 Definir un plan estratgico de sistemas DS1 Definir niveles de servicio
P02 Definir la arquitectura de informacin DS2 Administrar servicios de terceros
P03 Determinar la direccin tecnolgica DS3 Administrar desempeo y capacidad
P04 Definir la organizacin y sus relaciones DS4 Asegurar continuidad de servicio
P05 Administrar las inversiones (en TI) DS5 Garantizar la seguridad de sistemas
Comunicar la direccin y objetivos de la
P06 gerencia DS6 Identificar y asignar costos
P07 Administrar los recursos humanos DS7 Educar y capacitar a usuarios
P08 Asegurar el apego a disposiciones externas DS8 Apoyar y orientar a clientes
P09 Evaluar Riesgos DS9 Administrar la configuracin
P010 Administrar Proyectos DS10 Administrar problemas e incidentes
P011 Administrar Calidad DS11 Administrar la informacin
DS12 Administrar las instalaciones
AI1 Identificar soluciones de automatizacin DS13 Administrar la operacin
AI2 Adquirir y mantener software de aplicacin
Adquirir y mantener la arquitectura
AI3 tecnolgica M1 Monitorear el proceso
AI4 Desarrollar y mantener procedimientos M2 Evaluar lo adecuado del control interno
AI5 Instalar y acreditar sistemas de informacin M3 Obtener aseguramiento independiente
AI6 Administrar cambios M4 Proporcionar auditoria independiente

24/123
Diseo de Sistema de Gestin de Seguridad de Informacin

25/123
Diseo de Sistema de Gestin de Seguridad de Informacin

26/123
Diseo de Sistema de Gestin de Seguridad de Informacin

DEFINICIN DE LOS OBJETIVOS DE CONTROL.

Despus de haber seleccionado los procesos que son afectados por los criterios de
informacin de Seguridad (Confidencialidad, Integridad y Disponibilidad) de una
manera primario, se obtienen los siguientes Objetivos de Control detallados:

Con el fin de asegurar que los requerimientos del negocio para la informacin se
cumplan, es necesario definir, implementar y monitorear adecuadas medidas de control
sobre esos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a
que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se
requiere de un sano marco referencial de Objetivos de Control para TI. El siguiente
diagrama ilustra este concepto.

27/123
Diseo de Sistema de Gestin de Seguridad de Informacin

ARQUITECTURA DE SEGURIDAD.-

Objetivos de Control Detallados o Especficos.-

OBJETIVO DE CONTROL CRITERIOS DE


PROCESO INFORMACIN
DETALLADO
PRIMARIO SECUNDARIO
PO9.- Evaluar Riesgo Evaluacin de Riesgos del Efectividad Eficiencia
Negocio Confidencialidad Cumplimiento
Enfoque de Evaluacin de Riesgos Integridad Confiabilidad
Identificacin de Riesgos Disponibilidad
Medicin de Riesgos
Plan de Accin contra Riesgos
Aceptacin de Riesgos
Seleccin de Garantas o
Protecciones
Compromiso con el Anlisis de
Riesgos
PO11.- Administracin de la calidad Plan General de Calidad. Efectividad Confiabilidad
Enfoque de Aseguramiento de Eficiencia
Calidad. Integridad
Planeacin del Aseguramiento de
Calidad.
Revisin del Aseguramiento de la
Calidad sobre el Cumplimiento de
Estndares y Procedimientos de
TI.
Metodologa del Ciclo de Vida de
Desarrollo de Sistemas
Metodologa del Ciclo de Vida de
Desarrollo de Sistemas para
Cambios Mayores a la Tecnologa
Actual
Actualizacin de la Metodologa
del Ciclo de Vida de Desarrollo de
Sistemas.
Coordinacin y Comunicacin.
Marco de Referencia de
Adquisicin y Mantenimiento para
la Infraestructura de Tecnologa.
Relaciones con Terceras Partes
como Implementadotes.
Estndares para la Documentacin
de Programas.
Estndares para Pruebas de
Programas.
Estndares para Pruebas de
Sistemas.
Pruebas Piloto/En Paralelo.
Documentacin de las Pruebas del
Sistema.
Evaluacin del Aseguramiento de
la Calidad sobre el Cumplimiento
de Estndares de Desarrollo.
Revisin del Aseguramiento de
Calidad sobre el Logro de los
Objetivos de TI.
Mtricas de calidad.
Reportes de Revisiones de
Aseguramiento de Calidad.

28/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVO DE CONTROL CRITERIOS DE


PROCESO INFORMACIN
DETALLADO
PRIMARIO SECUNDARIO
AI6.- Administrar cambios. Inicio y Control de Solicitudes de Efectividad Confiabilidad
Cambio Eficiencia
Anlisis de Impacto Integridad
Control de Cambios
Cambios de Emergencia
Documentacin y Procedimientos
Mantenimiento Autorizado
Poltica de Liberacin de Software
Distribucin de Software
DS4.- Asegurar el servicio continuo Marco de Referencia de Efectividad Eficiencia
Continuidad de Tecnologa de Disponibilidad
informacin
Estrategia y Filosofa del Plan de
Continuidad de TI
Contenido del Plan de Continuidad
de TI.
Reduccin de requerimientos de
Continuidad de Tecnologa de
Informacin.
Mantenimiento del Plan de
Continuidad de Tecnologa de
Informacin.
Pruebas del Plan de Continuidad
de TI.
Entrenamiento sobre el Plan de
Continuidad de Tecnologa de
Informacin.
Distribucin del Plan de
Continuidad de TI.
Procedimientos de respaldo de
procesamiento alternativo para
Departamentos usuarios.
Recursos Crticos de Tecnologa
de Informacin.
Sitio y Hardware de Respaldo.
Almacenamiento de respaldo en el
sitio alterno (Off-site).
Procedimiento de afinamiento del
Plan de Continuidad.
DS5.- Garantizar la seguridad de los Administrar Medidas de Confidencialidad Disponibilidad
sistemas. Seguridad. Integridad Cumplimiento
Identificacin, Autenticacin y Confiabilidad
Acceso.
Seguridad de Acceso a Datos en
Lnea.
Administracin de Cuentas de
Usuario.
Revisin Gerencial de Cuentas de
Usuario.
Control de Usuarios sobre Cuentas
de Usuario.
Vigilancia de Seguridad.
Clasificacin de Datos.
Administracin de Derechos de
Acceso e Identificacin
Centralizada.
Reportes de Violacin y de
Actividades de Seguridad.
Manejo de Incidentes.

29/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVO DE CONTROL CRITERIOS DE


PROCESO INFORMACIN
DETALLADO
PRIMARIO SECUNDARIO
DS5.- Garantizar la seguridad de los Reacreditacin. Confidencialidad Disponibilidad
sistemas. Confianza en Contrapartes. Integridad Cumplimiento
Autorizacin de transacciones. Confiabilidad
No negacin o no rechazo.
Sendero Seguro.
Proteccin de las funciones de
seguridad.
Administracin de Llaves
Criptogrficas.
Prevencin, Deteccin y
Correccin de Software
Malicioso.
Arquitectura de Firewalls y
conexin a redes pblicas.
Proteccin de Valores
Electrnicos.
DS11.- Administracin de datos Procedimientos de Preparacin de Integridad
Datos. Confiabilidad
Procedimientos de Autorizacin de
Documentos Fuente.
Recopilacin de Datos de
Documentos Fuente.
Manejo de errores de documentos
fuente.
Retencin de Documentos Fuente.
Procedimientos de Autorizacin de
Entrada de Datos.
Chequeos de Exactitud,
Suficiencia y Autorizacin.
Manejo de Errores en la Entrada
de Datos.
Integridad de Procesamiento de
Datos.
Validacin y Edicin de
Procesamiento de Datos.
Manejo de Errores en el
Procesamiento de Datos.
Manejo y Retencin de Datos de
Salida.
Distribucin de Datos Salidos de
los Procesos.
Balanceo y Conciliacin de Datos
de Salida.
Revisin de Datos de Salida y
Manejo de Errores.
Provisiones de Seguridad para
Reportes de Salida.
Proteccin de Informacin
Sensible durante transmisin y
transporte.
Proteccin de Informacin
Sensitiva Desechada.
Administracin de
Almacenamiento.
Perodos de Retencin y Trminos
de Almacenamiento.

30/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVO DE CONTROL CRITERIOS DE


PROCESO INFORMACIN
DETALLADO
PRIMARIO SECUNDARIO
DS11.- Administracin de datos Sistema de Administracin de la Integridad
Librera de Medios Confiabilidad
Responsabilidades de la
Administracin de la Librera de
Medios
Respaldo (Back-up) y
Restauracin
Funciones de Respaldo
Almacenamiento de Respaldos
Archivo
Proteccin de Mensajes Sensitivos
Autenticacin e Integridad
Integridad de Transacciones
Electrnicas
Integridad Continua de Datos
Almacenados
DS12.-Administracin de Seguridad Fsica
instalaciones. Discrecin sobre las Instalaciones Integridad
de Tecnologa de Informacin Disponibilidad
Escolta de Visitantes
Salud y Seguridad del Personal
Proteccin contra Factores
Ambientales
Suministro Ininterrumpido de
Energa

MODELO DE MADUREZ.-

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en
desarrollar un mtodo de asignacin de puntos para que una organizacin pueda calificarse
desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de
Madurez que el Software Engineering Institute defini para la madurez de la capacidad de
desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado
simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no
es justificable.

En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de


condiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con
los niveles desarrollados para cada uno de los 34 procesos de TI de C OBIT, la administracin
puede mapear:

La situacin actual de la organizacindnde est la organizacin actualmente


La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

El modelo de madurez aplicado a Ecuacolor Laboratorio Fotogrfico S.A. lo puede


encontrar mas adelante en este documento.

31/123
Diseo de Sistema de Gestin de Seguridad de Informacin

EVALUACIN Y PRIORIZACION DE RIESGOS.-

Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y
administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de
riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar
las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia
el cumplimiento de las metas y determinando que tan bien se estn desarrollando los
procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de
la organizacin contra las mejores practicas industriales y los modelos internacionales.

La evaluacin y priorizacion de riesgos aplicado a Ecuacolor Laboratorio Fotogrfico


S.A. lo puede encontrar mas adelante en este documento.

PLANES DE ACCIN.-

Los controles que se sugieren implementar para mitigar los riesgos identificados en la
fase de evaluacin y priorizacion de riesgos, as como sus responsables y tiempos
aproximados de implementacin se pueden encontrar en los planes de accin.

Los planes de accin del Sistema de Seguridad de la Informacin aplicados a Ecuacolor


Laboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este documento.

32/123
Diseo de Sistema de Gestin de Seguridad de Informacin

6 MODELO DE MADUREZ DE LOS 7 PROCESOS DE


SEGURIDAD DE INFORMACIN

A los gerentes generales de las organizaciones corporativas y pblicas se les pide


frecuentemente que consideren un caso de negocio para los gastos de recursos para
controlar la infraestructura de informacin. Mientras pocos argumentaran que esto no
es bueno, todos se deben preguntar:

Hasta dnde debemos ir, y est el costo justificado por el beneficio?

Para ayudar a responder esa pregunta, a menudo se hacen otras preguntas relacionadas:

Qu estndares reconocidos internacionalmente existen, y cmo estamos nosotros


situados respecto a stos?

Qu estn haciendo los dems, y cmo estamos nosotros situados en relacin a


ellos?

Qu est considerado como la mejor prctica de la industria, y cmo estamos


nosotros situados en relacin con esa mejor prctica?

Basados en estas comparaciones externas, podra decirse que nosotros estamos


tomando precauciones razonablespara salvaguardar nuestros activos de
informacin?

Usualmente ha sido difcil dar respuestas sensatas a estas preguntas, porque no se ha


contado con las herramientas requeridas para hacer las evaluaciones necesarias.

La administracin de TI est constantemente en la bsqueda de herramientas de


referencia y de auto evaluacin en respuesta a la necesidad de saber qu hacer en una
forma eficiente. Comenzando con los procesos de COBIT y con objetivos de control de
alto nivel, el propietario del proceso debe ser capaz de llevar a cabo cada vez mayores
Benchmark en comparacin con dicho objetivo de control. Esto satisface tres
necesidades:

(1) una medida relativa de dnde est la organizacin


(2) una forma de decidir eficientemente dnde ir
(3) una herramienta para medir el progreso con respecto al objetivo

El Marco Referencial de COBIT define 34 procesos de TI dentro de un entorno de TI.


Para cada proceso hay una expresin de control de alto nivel y entre 3 y 30 objetivos
detallados de control. El propietario del proceso debe ser capaz de determinar el nivel
de cumplimiento de los objetivos de control ya sea como una rpida auto evaluacin o
como una referencia en conjunto con una revisin independiente. Cualquiera de estas
evaluaciones que la administracin pueda desear poner en contexto comparando con la
industria y con el entorno en que ellas se encuentran o en comparacin con dnde estn
evolucionando los estndares y las reglamentaciones internacionales (por ejemplo, las
futuras expectativas que surgen). Para que los resultados se puedan utilizar fcilmente
en los reportes de la administracin, donde ellos sern presentados como un medio para

33/123
Diseo de Sistema de Gestin de Seguridad de Informacin

respaldar el caso de negocio para planes futuros, es necesario suministrar un mtodo


grfico de presentacin.

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste
en desarrollar un mtodo de asignacin de puntos para que una organizacin pueda
calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en
el Modelo de Madurez que el Software Engineering Institute defini para la madurez de
la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben
estar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y
sugerira una precisin que no es justificable.

En contraste, uno debe concentrarse en los niveles de madurez basndose en un


conjunto de condiciones que pueden ser satisfechas de una forma que no sea ambigua.
En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI de
COBIT, la administracin puede mapear:
La situacin actual de la organizacindnde est la organizacin actualmente
La situacin actual de la industria (la mejor de su clase en)la comparacin
La situacin actual de los estndares internacionalescomparacin adicional
La estrategia de la organizacin para mejoramientodnde quiere estar la
organizacin

Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente de medidas,
basada en una clasificacin de 0 hasta 5. La escala est asociada con las
descripciones del modelo genrico cualitativo de madurez que van desde Inexistente
hasta Optimizada de la forma siguiente:
ECTRICES GERENCIALES

34/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO GENRICO DE MADUREZ


0 Inexistente. Total falta de un proceso reconocible. La organizacin ni siquiera ha
reconocido que hay un problema que resolver.
1 Inicial. Hay evidencia de que la organizacin ha reconocido que los problemas
existen y que necesitan ser re sueltos. Sin embargo, no hay procesos estandarizados
pero en cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o
caso por caso. El mtodo general de la administracin es desorganizado.
2 Repetible. Los procesos se han desarrollado hasta el punto en que diferentes personas
siguen procedimientos similares emprendiendo la misma tarea. No hay capacitacin o
comunicacin formal de procedimientos estndar y la responsabilidad se deja a la
persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo
tanto es probable que haya errores.
3 Definida. Los procedimientos han sido estandarizados y documentados, y
comunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la
persona el seguimiento de estos procesos, y es improbable que se detecten
desviaciones. Los procedimientos mismos no son sofisticados sino que son la
formalizacin de las prcticas existentes.
4 Administrada. Es posible monitorear y medir el cumplimiento de los procedimientos
y emprender accin donde los procesos parecen no estar funcionando efectivamente.
Los procesos estn bajo constante
mejoramiento y proveen buena prctica. Se usan la automatizacin y las herramientas
en una forma limitada o fragmentada.
5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor prctica,
basados en los resultados de mejoramiento continuo y diseo de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.

COBIT es un marco de referencia general dirigido a la administracin de TI y como tal


estas escalas necesitan ser prcticas para aplicar y razonablemente fciles de entender.
Sin embargo, los tpicos de riesgo y de control apropiado en los procesos de
administracin de TI son inherentemente subjetivos e imprecisos y no necesitan el
enfoque menos automatizado que se encuentra en los modelos de madurez para la
ingeniera de software.

La ventaja de un enfoque de Modelo de Madurez es que es relativamente fcil para la


administracin ponerse en la escala y apreciar lo que est involucrado si necesita
mejorar el desempeo. La escala incluye 0 a 5 porque es bastante probable que no exista
ningn proceso en absoluto. La escala 0-5 se basa en una escala simple de madurez que
muestra cmo evoluciona un proceso desde Inexistente hasta optimizado. Debido a que
son procesos de administracin, la madurez y la capacidad aumentada es tambin
sinnimo de mayor manejo del riesgo y mayor eficiencia.

El Modelo de Madurez es una forma de medir qu tan bien desarrollados estn los
procesos de administracin. El grado de desarrollo que deben tener depende de las
necesidades del negocio, como se menciona aqu anteriormente. Las escalas son slo
ejemplos prcticos para un proceso dado de administracin que muestra esquemas
tpicos para cada nivel de madurez. Los Criterios de Informacin ayudan a asegurarse

35/123
Diseo de Sistema de Gestin de Seguridad de Informacin

de que estamos enfocados en los aspectos correctos de la administracin cuando


describimos la prctica real. Por ejemplo, la planificacin y organizacin estn
enfocadas en los objetivos de efectividad y eficiencia de administracin, mientras que
asegurar la seguridad de los sistemas se enfocar en el manejo de la confidencialidad y
la integridad.
DIRECTRICES GERENCIALES
Las escalas del Modelo de Madurez ayudarn al profesional a explicar a los
administradores dnde existen deficiencias en la administracin de TI y a fijarse
objetivos para donde necesitan estar comparando las prcticas de control de su
organizacin con los ejemplos de la mejor prctica. El nivel correcto de madurez estar
influenciado por los objetivos de negocio y el entorno operativo de la empresa.
Especficamente, el nivel de madurez de control depender de la dependencia de TI que
tenga la empresa, de la sofisticacin de la tecnologa y, lo que es ms importante, del
valor de su informacin.

Un punto estratgico de referencia para que una organizacin mejore la seguridad y el


control podra consistir tambin en mirar las normas internacionales que surgen y las
mejores prcticas de su clase. Las prcticas actuales que surgen pueden llegar a ser el
nivel esperado de desempeo de maana y es por lo tanto til para planificar dnde
quiere una organizacin estar en el tiempo.

Los Modelos de Madurez se construyen a partir del modelo genrico cualitativo (ver
arriba) a los que se agregan las prcticas y los principios de los dominios siguientes de
forma creciente a travs de todos los niveles:

Entendimiento y conocimiento de los riesgos y de los problemas de control


Capacitacin y comunicacin aplicadas a los problemas
Proceso y prcticas que son implementados
Tcnicas y automatizacin para hacer los procesos ms efectivos y eficientes
Grado de cumplimiento de la poltica interna, las leyes y las reglamentaciones
Tipo y grado de pericia empleada.

La tabla siguiente describe esta creciente aplicacin de prcticas a travs de todos los
niveles para los distintos tpicos. Junto con el modelo cualitativo, constituye un modelo
genrico de madurez aplicable a la mayora de los procesos de TI.

36/123
Diseo de Sistema de Gestin de Seguridad de Informacin

En resumen, Los Modelos de Madurez:

Se refieren a los requerimientos del negocio y a los aspectos posibilitadores en los


diferentes niveles de madurez
Son una escala que se presta para la comparacin pragmtica
Son una escala en la que la diferencia puede hacerse mensurable de manera sencilla
Son reconocibles como un perfil de la empresa relativo al gobierno de TI, la
seguridad y el control
Ayudan a fijar posiciones de Como est y Como debe estar en relacin con el
gobierno de TI, la madurez de la seguridad y el control
Se prestan para hacer anlisis de los vacos/gap para determinar lo que es necesario
hacer para alcanzar un nivel determinado GERENCIALES
Evitan, donde es posible, niveles discretos que crean umbrales que son difciles de
cruzar
Aplican cada vez ms factores crticos de xito
No son especficos de la industria ni son siempre aplicables, el tipo de negocio
define lo que es apropiado.

37/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/2
MODELO DE MADUREZ
DOMINIO: PLANEACION Y PO9.- Evaluar los Riesgos
ORGANIZACIN
OBJETIVO DE CONTROL
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las
decisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas
reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin
importantes.
Estado Actual : 2 Estado Proyectado: 4
CRITERIOS DE CALIFICACIN
Inexistente La estimacin del riesgo para los procesos y las decisiones del negocio
no ocurre. La organizacin no considera los impactos del negocio asociados con
vulnerabilidades de la seguridad y con inseguridades de proyectos de desarrollo. Es
improbable que la administracin de riesgos sea identificada dentro del plan de un
0 proyecto o sea asignada a administradores especficos involucrados en el proyecto.
La administracin de TI no especifica responsabilidad para la administracin del
riesgo en las descripciones de los puestos de trabajo u otro medio informal. Riesgos
especficos relacionados con TI como la seguridad, disponibilidad e integridad son
considerados ocasionalmente por proyecto.
Inicial /Ad Hoc La organizacin est conciente de sus responsabilidades y
obligaciones legales y contractuales, pero considera los riesgos de TI de manera ad
hoc, sin seguir procesos o polticas definidas. Tienen lugar evaluaciones informales
del riesgo de proyecto a medida que lo determina cada proyecto. No es probable
que las evaluaciones de riesgo sean identificadas especficamente dentro del plan
de un proyecto o a ser asignado a administradores especficos involucrados en el
1 proyecto. La administracin de TI no especifica responsabilidad por la
administracin del riesgo en las descripciones de puestos de trabajo u otro medio
informal. Los riesgos especficos relacionados con TI como son la seguridad,
disponibilidad e integridad son ocasionalmente considerados por proyecto. Los
riesgos relacionados con TI que afectan las operaciones cotidianas se discuten con
poca frecuencia en las reuniones de la administracin. Cuando se han considerado
los riesgos, la mitigacin es inconsistente.
Repetible pero Intuitivo Ha surgido un entendimiento de que los riesgos de TI son
importantes y que es necesario considerarlos. Existe algn enfoque de evaluacin
de riesgos, pero el proceso es todava inmaduro y est en desarrollo. La evaluacin
es usualmente a un nivel elevado y tpicamente se aplica slo a los proyectos
2 importantes. La evaluacin de las operaciones en curso depende principalmente de
los administradores de TI que lo presentan como un punto de la agenda, lo cual a
menudo slo ocurre cuando surgen problemas. La administracin de TI
generalmente no tiene definidos procedimientos o descripciones de puestos de
trabajo que se encarguen de la administracin del riesgo.

38/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/2
MODELO DE MADUREZ
DOMINIO: PLANEACION Y PO9.- Evaluar los Riesgos
ORGANIZACIN
OBJETIVO DE CONTROL
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las
decisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas
reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin
importantes.
Estado Actual : 2 Estado Proyectado: 4
CRITERIOS DE CALIFICACIN
Proceso Definido La poltica de manejo del riesgo a nivel de toda una
organizacin define cundo y cmo llevar a cabo evaluaciones de riesgo. La
evaluacin del riesgo sigue un proceso definido que est documentado y disponible
para todo el persona a travs de entrenamiento. Las decisiones de seguir el proceso
y recibir entrenamiento se dejan a la discrecin de las personas. La metodologa es
3 convincente y saludable, y asegura que los riesgos clave del negocio
probablemente sean identificados. Las decisiones de seguir el proceso se dejan a
los administradores individuales de TI y no hay procedimiento para asegurar que
todos los proyectos estn cubiertos o que la operacin en curso es examinada en
busca de riesgos de manera regular.
Administrado y Medible La evaluacin del riesgo es un procedimientos estndar
y las excepciones a seguir el procedimiento seran anunciadas por la administracin
de TI. Es probable que la administracin del riesgo sea una funcin definida de la
administracin con responsabilidad a nivel general. El proceso es adelantado y el
riesgo es evaluado a nivel del proyecto individual y tambin regularmente respecto
a la operacin general de TI. Se advierte a la administracin sobre los cambios en
el entorno de TI que podran afectar significativamente los escenarios de riesgo
4 como por ejemplo una mayor amenaza proveniente de la red o tendencias tcnicas
que afectan la integridad de la estrategia de TI. La administracin puede monitorear
la posicin de riesgo y tomar decisiones inteligentes respecto a la exposicin que
est dispuesta a aceptar. La gerencia general ha determinado los niveles de riesgo
que la organizacin tolerar y tiene medidas estndar de proporciones de riesgo /
rendimiento. Presupuestos de administracin para proyectos de administracin de
riesgos operativos para reevaluar los riesgos regularmente. Est establecida una
base de datos de administracin de riesgos.
Optimizado La evaluacin de los riesgos se ha desarrollado hasta una etapa en que
un proceso estructurado, en toda la organizacin, es ejecutado, seguido y bien
administrado. La tormenta de ideas y el anlisis de la causa que origin el riesgo,
que involucra a personas expertas, se aplican en toda la organizacin. La captura,
anlisis y reporte de datos de administracin de riesgos estn altamente
5
automatizados. El asesoramiento se obtiene de los jefes en el terreno y la
organizacin de TI participa en grupos colegas para intercambiar experiencias. La
administracin del riesgo est verdaderamente integrada en todas las operaciones y
negocios de TI, es bien aceptada e involucra extensamente a los usuarios de
servicios de TI.

39/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/1
MODELO DE MADUREZ
DOMINIO: PLANEACION Y PO11.- Administrar Calidad
ORGANIZACIN
OBJETIVO DE CONTROL
Control sobre el proceso de TI Administrar la Calidad con el objetivo del negocio de
satisfacer los requerimientos de TI del cliente.
Estado Actual : 2 Estado Proyectado: 3
CRITERIOS DE CALIFICACIN
Inexistente La organizacin no ha reconocido que existe un problema que debe ser
0 reconocido.
Inicial /Ad Hoc Hay evidencia de que la organizacin ha reconocido que los problemas
existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en
1 cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o caso por
caso. El mtodo general de la administracin es desorganizado.

Repetible pero Intuitivo Los procesos se han desarrollado hasta el punto en que diferentes
personas siguen procedimientos similares emprendiendo la misma tarea. No hay
2 capacitacin o comunicacin formal de procedimientos estndar y la responsabilidad se
deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y
por lo tanto es probable que haya errores.
Proceso Definido Los procedimientos han sido estandarizados y documentados, y
comunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la persona el
3 seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los
procedimientos mismos no son sofisticados sino que son la formalizacin de las prcticas
existentes.
Administrado y Medible Es posible monitorear y medir el cumplimiento de los
procedimientos y emprender accin donde los procesos parecen no estar funcionando
4 efectivamente. Los procesos estn bajo constante mejoramiento y proveen buena prctica.
Se usan la automatizacin y las herramientas en una forma limitada o fragmentada.

Optimizado Los procesos han sido refinados hasta un nivel de la mejor prctica, basados
en los resultados de mejoramiento continuo y diseo de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
5 suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.

40/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/2
MODELO DE MADUREZ
DOMINIO: ADQUISICIN E AI6.- Administrar Cambios
IMPLEMENTACIN
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual : 2 Estado Proyectado: 4
CRITERIOS DE CALIFICACIN
Inexistente. No hay un proceso definido de administracin de cambios y se pueden hacer
cambios prcticamente sin control alguno. No hay conciencia de que los cambios pueden
0 causar interrupciones tanto para TI como para las operaciones de negocios, y ninguna
conciencia de los beneficios de una buena administracin de cambios.
Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero
no hay un proceso consistente para seguimiento. Las prcticas varan y es probable que
ocurran cambios no autorizados. Hay documentacin insuficiente o inexistente de cambios,
1 y la documentacin de configuracin est incompleta y no es confiable. Es probable que
ocurran errores junto con interrupciones en el entorno de produccin causados por una
administracin deficiente del cambio.
Repetible pero Intuitiva Hay un proceso informal de administracin de cambios y la
mayora de los cambios siguen este mtodo; sin embargo, el mismo no est estructurado,
2 es rudimentario y est propenso a error. La precisin de la documentacin de configuracin
es inconsistente y slo tiene lugar una planeacin y un estudio de impacto limitados antes
de un cambio. Hay considerable ineficiencia y repeticin de trabajo.
Proceso Definido Est establecido un proceso formal de administracin de cambios, que
incluye procedimientos de categorizacin, priorizacin, emergencia, autorizacin y
administracin de cambios, pero no se impone su cumplimiento. El proceso definido no
siempre es visto como adecuado o prctico y, en consecuencia, ocurren trabajos paralelos y
3 los procesos son desviados. Es probable que ocurran errores y los cambios no autorizados
ocurrirn ocasionalmente. El anlisis de impacto a los cambios de TI sobre las operaciones
del negocio se estn volviendo formales para soportar la ejecucin de los planes para
nuevas aplicaciones y tecnologas.
Administrado y Medible El proceso de administracin de cambios est bien desarrollado
y es seguido de manera consistente para todos los cambios, y la administracin confa en
que no hay excepciones. El proceso es eficiente y efectivo, pero se basa en considerables
procedimientos y controles manuales para asegurar que se logre la calidad. Todos los
cambios estn sujetos a una planeacin y estudio de impacto exhaustivos para minimizar la
probabilidad de problemas posteriores a la produccin. Est establecido un proceso de
4 aprobacin para los cambios. La documentacin de administracin de cambios est al da y
es correcta, y los cambios son rastreados formalmente. La documentacin de la
configuracin est generalmente actualizada. La planeacin e implementacin de la
administracin de cambios de TI se est volviendo ms integrada con cambios en los
procesos de negocios, para asegurar ese entrenamiento, se resuelven cambios organizativos
y problemas de continuidad de negocio. Hay mayor coordinacin entre la administracin
de cambios de TI y el rediseo del proceso de negocios.

41/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/2
MODELO DE MADUREZ
DOMINIO: ADQUISICIN E AI6.- Administrar Cambios
IMPLEMENTACIN
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual : Estado Proyectado:
Optimizado El proceso de administracin de cambios es revisado y actualizado
regularmente para mantener en lnea con las mejores prcticas. La informacin de
configuracin est automatizada y provee control de versiones. La distribucin de software
es automatizada y se cuenta con capacidades de monitoreo a distancia. La administracin
5 de configuracin y liberacin y rastreo de cambios es sofisticado e incluye herramientas
para detectar software no autorizado y sin licencia. La administracin de cambios de TI
est integrada con la administracin de cambios del negocio para asegurar que TI sea un
posibilitador para aumentar la productividad y crear nuevas oportunidades de negocios
para la organizacin.

42/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE DS4 .- Asegurar el Servicio Continuo
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual : 2 Estado Proyectado:3
CRITERIOS DE CALIFICACIN
Inexistente. No hay entendimiento de los riesgos, vulnerabilidades y amenazas de
las operaciones de TI o del impacto de la prdida de los servicios de TI para el
0
negocio. La continuidad del servicio no es considerada como que necesita atencin
de la administracin.
Inicial /Ad hoc Las responsabilidades de servicio continuo son informales, con
autoridad limitada. La administracin se est volviendo conciente de los riesgos
relacionados con el servicio continuo y de la necesidad de ste. El enfoque es sobre
la funcin de TI, en vez de ser sobre la funcin de negocio. Los usuarios estn
1
implementando formas de evadirlo. La respuesta a las interrupciones mayores es
reactiva e improvisada. Los cortes planeados estn programados para que
satisfagan las necesidades de TI, en vez de para adaptarse a los requerimientos del
negocio.
Repetible pero Intuitiva La responsabilidad del servicio continuo est asignada.
Los enfoques del servicio continuo son fragmentados. El reporte sobre la
disponibilidad del sistema es incompleto y no toma en cuenta el impacto sobre el
negocio. No hay planes documentados de usuario o de continuidad, a pesar de que
2
hay dedicacin a la disponibilidad de servicio continuo y que se conocen sus
principios rectores. Existe un inventario razonablemente confiable de sistemas
crticos y componentes. Est surgiendo la estandarizacin de prcticas de servicio
continuo y el monitoreo del proceso, pero el xito se basa en las personas.
Proceso Definido La obligacin de reportar no es ambigua y las responsabilidades
de planificar y probar el servicio continuo estn claramente definidas y asignadas.
Los planes estn documentados y se basan en la importancia del sistema y en el
impacto sobre el negocio. Hay un reporte peridico de prueba de servicio continuo.
3 Las personas toman la iniciativa para seguir las normas y recibir entrenamiento. La
administracin comunica consistentemente la necesidad de servicio continuo. Los
componentes de alta disponibilidad y la redundancia de sistema se estn aplicando
de manera fragmentada. Se mantiene rigurosamente un inventario de sistemas
crticos y componentes.

43/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE DS4 .- Asegurar el Servicio Continuo
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual : Estado Proyectado:
CRITERIOS DE CALIFICACIN
Administrado y Medible Se hacen cumplir las responsabilidades y las normas
para el servicio continuo. La responsabilidad de mantener el plan de servicio
continuo est asignada. Las actividades de mantenimiento toman en cuenta el
entorno cambiante del negocio, los resultados de pruebas de servicio continuo y las
mejores prcticas internas. Se estn recopilando, analizando, reportando y
ejecutando datos estructurados sobre el servicio continuo. Se provee entrenamiento
4 para los procesos de servicio continuo. Las prcticas de redundancia de sistema,
que incluyen el uso de componentes de alta disponibilidad, estn siendo
implementadas de manera consistente. Las prcticas de redundancia y la planeacin
de servicio continuo se influyen mutuamente. Los incidentes de falta de
continuidad son clasificados y el paso cada vez mayor de escala para cada uno es
bien conocido para todos los que estn involucrados.
Optimizado Los procesos integrados de servicio continuo son proactivos, se
ajustas solos, son automatizados y auto analticos y toman en cuenta puntos de
referencia y las mejores prcticas externas. Los planes de servicio continuo y los
planes de continuidad del negocio estn integrados, alineados y son mantenidos de
manera rutinaria. La compra de las necesidades de servicio continuo est asegurada
por los vendedores y los principales proveedores. Se lleva a cabo la comprobacin
5 global y los resultados de las pruebas son utilizados como parte del proceso de
mantenimiento. La efectividad del costo del servicio continuo est optimizada a
travs de la innovacin y de la integracin. La recopilacin y el anlisis de datos se
usa para identificar oportunidades de mejoramiento. Las prcticas de redundancia y
la planeacin del servicio continuo estn totalmente alineadas. La administracin
no permite puntos nicos de falla y provee soporte para su solucin. Las prcticas
de escalamiento son entendidas y cumplidas plenamente.

44/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE DS5 .- Garantizar la Seguridad de los
Sistemas
OBJETIVO DE CONTROL
El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el
objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin
no autorizada, dao o prdida.
Estado Actual : 1 Estado Proyectado: 3
CRITERIOS DE CALIFICACIN
Inexistente. La organizacin no reconoce la necesidad de la seguridad de TI. Las
responsabilidades y las obligaciones de reportar no estn asignadas para asegurar la
seguridad. No estn implementadas medidas que soporten la administracin de la
0
seguridad de TI. No hay ningn reporte de seguridad de TI y ningn proceso de
respuesta de las violaciones de seguridad de TI. Hay una carencia total de un
proceso reconocible de administracin de seguridad de sistemas.
Inicial /Ad hoc La organizacin reconoce la necesidad de la seguridad de TI, pero
la conciencia de la seguridad depende de la persona. La seguridad de TI est
resuelta de manera reactiva y no se mide. Las violaciones de seguridad de TI
1
invocan respuestas de sealamiento si se detectan, porque las responsabilidades
no estn claras. Las respuestas a las violaciones de seguridad de TI son
impredecibles.
Repetible pero Intuitiva Las responsabilidades y obligaciones de la seguridad de
TI estn asignadas a un coordinador de seguridad de TI que no tiene autoridad de
administracin. La conciencia de seguridad es fragmentada y limitada. La
informacin de seguridad de TI es generada, pero no es analizada. Las soluciones
2 de seguridad tienden a responder de manera reactiva a los incidentes de seguridad
de TI y adoptando propuestas de terceros, sin resolver las necesidades especficas
de la organizacin. Se estn desarrollando polticas de seguridad, pero an se
siguen usando habilidades y herramientas inadecuadas. El reporte de seguridad de
TI es incompleto, engaoso y no es pertinente.
Proceso Definido Existe conciencia de la seguridad y la misma es promovida por
la administracin. Se han estandarizado y formalizados reportes de conocimientos
de la seguridad. Los procedimientos de seguridad de TI estn definidos y encajan
en una estructura para polticas y procedimientos de seguridad. Las
3
responsabilidades de seguridad de TI estn asignadas, pero no se hacen cumplir de
manera consistente. Existe un plan de seguridad de TI, que impulsa el anlisis del
riesgo y soluciones de seguridad. El reporte de seguridad de TI est concentrado en
TI, en lugar de concentrarse en el negocio. Se realizan pruebas Ad hoc de intrusin.

45/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE DS5 .- Garantizar la Seguridad de los
Sistemas
OBJETIVO DE CONTROL
El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el
objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin
no autorizada, dao o prdida.
Estado Actual : Estado Proyectado:
CRITERIOS DE CALIFICACIN
Administrado y Medible Las responsabilidades de la seguridad de TI estn
claramente asignadas, administradas y se hacen cumplir. El anlisis de riesgo e
impacto de seguridad se lleva a cabo de manera consistente. Las polticas y
prcticas de seguridad son completadas con bases especficas de seguridad. Los
reportes de conocimiento de seguridad se han vuelto obligatorios. La
identificacin, autenticacin y autorizacin de usuario se est estandarizando. Se
4 est estableciendo la certificacin de seguridad del personal. La prueba de intrusin
es un proceso estndar y formalizado que conduce a mejoras. El anlisis costo /
beneficio, que soporta la implementacin de medidas de seguridad, es cada vez
ms utilizado. Los procesos de seguridad de TI son coordinados con la funcin
general de seguridad de la organizacin. El reporte de seguridad de TI est
vinculado con los objetivos del negocio.
Optimizado La seguridad de TI es una responsabilidad conjunta del negocio y de
la administracin de TI y est integrada con objetivos de seguridad corporativa del
negocio. Los requisitos de seguridad de TI estn claramente definidos, optimizados
e incluidos en un plan verificado de seguridad. Las funciones de seguridad estn
integradas con aplicaciones en la etapa de diseo y se les puede pedir a los usuarios
finales que rindan cuenta de la seguridad a la administracin. El reporte de
seguridad de TI provee un aviso anticipado del riesgo cambiante y emergente,
usando mtodos activos automatizados de monitoreo para los sistemas crticos. Los
5 incidentes son prontamente resueltos con procedimientos formalizados de respuesta
a incidentes soportados por herramientas automatizadas. Las evaluaciones
peridicas de seguridad evalan la efectividad de la implementacin del plan de
seguridad. Se recoge y analiza sistemticamente la informacin sobre nuevas
amenazas y vulnerabilidades, y se comunican e implementan prontamente los
controles adecuados de mitigacin. La prueba de intrusin, anlisis de las causas
originarias de los incidentes de seguridad y la identificacin proactiva del riesgo es
la base para el mejoramiento continuo. Los procesos y las tecnologas de seguridad
estn integrados en toda la organizacin.

46/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE DS11 .- Administrar los Datos
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual : 2 Estado Proyectado: 4
CRITERIOS DE CALIFICACIN
Inexistente. No se reconocen los datos como un recurso y un activo corporativo.
No hay propiedad asignada de datos ni responsabilidad individual de la integridad
0
y confiabilidad de los datos. La calidad y seguridad de los datos son deficientes o
inexistentes.
Inicial /Ad hoc La organizacin reconoce una necesidad de datos exactos. Algunos
mtodos son desarrollados a nivel individual para prevenir y detectar el ingreso,
procesamiento y errores en la salida de los datos. El proceso de identificacin y
correccin de errores depende de las actividades manuales de la persona, y las
1 reglas y requerimientos no son transmitidos a medida que se llevan a cabo
movimientos y cambios de personal. La administracin asume que los datos son
exactos porque una computadora est involucrada en el proceso. La integridad y
seguridad de los datos no son requerimientos de administracin y, si existe la
seguridad, sta est administrada por la funcin de servicios de informacin.
Repetible pero Intuitivo La conciencia de la necesidad de la exactitud de los datos
y de mantener la integridad prevalece en toda la organizacin. La propiedad de los
datos comienza a tener lugar, pero a nivel de un departamento o grupo. Las reglas y
requerimientos son documentados por personas clave y no son consistentes en toda
2 la organizacin y plataformas. Los datos estn en custodia de la funcin de los
servicios de informacin y las reglas y definiciones estn impulsadas por los
requerimientos de TI. La seguridad e integridad de los datos son primariamente
responsabilidades de la funcin de los servicios de informacin con una
participacin departamental menor.
Proceso Definido La necesidad de integridad de los datos dentro y en toda la
organizacin es entendida y aceptada. Las normas de ingreso, procesamiento y
salida de datos han sido formalizadas y se hacen cumplir. El proceso de
identificacin y correccin de errores es automatizado. La propiedad de los datos es
asignada, y la integridad y seguridad son controladas por el responsable. Se utilizan
tcnicas automatizadas para prevenir y detectar errores e inconsistencias. Las
3
definiciones, reglas y requerimientos de datos estn claramente documentados y
son mantenidos por una funcin de administracin de base de datos. Los datos se
vuelven consistentes en todas las plataformas y a travs de toda la organizacin. La
funcin de los servicios de informacin tiene un rol de custodio, mientras que el
control de integridad de datos pasa al propietario de los datos. La administracin se
basa en los reportes y anlisis para las decisiones y la planeacin futuras.

47/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE DS11 .- Administrar los Datos
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual : Estado Proyectado:
CRITERIOS DE CALIFICACIN
Administrado y Medible Los datos son definidos como un recurso y un activo
corporativo, a medida que la administracin exige ms soporte de decisiones y ms
reporte de rentabilidad. La responsabilidad por la calidad de datos est claramente
definida, asignada y comunicada dentro de la organizacin. Los mtodos
estandarizados estn documentados, mantenidos, y usados para controlar la calidad
de los datos, se hacen cumplir las reglas y los datos son consistentes en todas las
plataformas y unidades de negocio. La calidad de los datos es medida y la
4
satisfaccin del cliente respecto a la informacin es monitoreada. El reporte de
administracin asume un valor estratgico para asesorar clientes, tendencias y
evaluaciones de productos. La integridad de los datos se vuelve un factor
significativo, con la seguridad de datos reconocida como un requerimiento de
control. Se ha establecido una funcin formal de administracin de datos a nivel de
toda la organizacin, con los recursos y la autoridad para hacer cumplir la
estandarizacin de datos.
Optimizado La administracin de datos es un proceso maduro, integrado y de
funcionamiento cruzado que tiene una meta claramente definida y bien entendida
de entregar informacin de calidad al usuario, con criterios claramente definidos de
integridad, disponibilidad y confiabilidad. La organizacin maneja activamente
datos, informacin y conocimientos como los recursos y los activos corporativos,
5 con el objetivo de maximizar el valor del negocio. La cultura corporativa hace
nfasis en la importancia de datos de alta calidad que necesitan ser protegidos y
tratados como un componente clave de capital intelectual. La propiedad de datos es
una responsabilidad estratgica con todos los requerimientos, reglas,
reglamentaciones y consideraciones claramente documentados, mantenidos y
comunicados.

48/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/2
MODELO DE MADUREZ
DOMINIO : Entrega y Soporte DS12 .- Administrar Instalaciones
OBJETIVO DE CONTROL
Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de
proveer un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos
naturales y provocados por el hombre.
Estado Actual : 2 Estado Proyectado: 4
CRITERIOS DE CALIFICACIN
Inexistente. No hay conciencia de la necesidad de proteger las Instalaciones o la inversin
en los recursos de computacin. Los factores ambientales, incluyendo la proteccin contra
0 incendios, el polvo, la energa y el calor y la humedad excesivos, no son monitoreados ni
controlados.
Inicial /Ad hoc La organizacin ha reconocido un requerimiento del negocio de proveer
un entorno fsico adecuado que proteja los recursos y el personal de los riesgos naturales y
provocados por el hombre. No existen procedimientos estndar y la administracin de
1 Instalaciones y equipo depende de las habilidades y capacidades de las personas clave. No
se revisa el mantenimiento y la gente se mueve dentro de las Instalaciones sin restriccin.
La administracin no monitorea los controles ambientales de la instalacin ni el
movimiento de personal.
Repetible pero intuitivo La conciencia de la necesidad de proteger y de controlar el
entorno fsico de computacin es reconocida y evidente en la asignacin de los
presupuestos y de otros recursos. Los controles ambientales son implementados y
monitoreados por el personal de operaciones. La seguridad fsica es un proceso informal,
2 impulsado por un pequeo grupo de empleados que tienen un alto nivel de preocupacin
sobre la seguridad de las Instalaciones fsicas. Los procedimientos de mantenimiento de las
Instalaciones no estn bien documentados y se basan en las mejores prcticas de unas
pocas personas. Las metas de la seguridad fsica no se basan en ningn estndar formal y
la administracin no asegura que se logren los objetivos de seguridad.
Proceso Definido La necesidad de mantener un entorno controlado de computacin es
entendida y aceptada dentro de la organizacin. Los controles ambientales, de
mantenimiento preventivo y de seguridad fsica son rubros del presupuesto aprobados y la
administracin les hace seguimiento. Se aplican restricciones de acceso, permitindose el
3 acceso a las Instalaciones de computacin slo al personal aprobado. Los visitantes son
registrados y a veces escoltados, dependiendo del personal responsable. Las Instalaciones
fsicas tienen perfil bajo y no se pueden identificar fcilmente. Las autoridades civiles
monitorean el cumplimiento de las reglamentaciones sanitarias y de seguridad. Los riesgos
estn asegurados, pero no se hace esfuerzo alguno para optimizar los costos de seguros.

49/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/2
MODELO DE MADUREZ
DOMINIO : Entrega y Soporte DS12 .- Administrar Instalaciones
OBJETIVO DE CONTROL
Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de
proveer un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos
naturales y provocados por el hombre.
Estado Actual : Estado Proyectado:
CRITERIOS DE CALIFICACIN
Administrado y Medible La necesidad de mantener un entorno controlado de
computacin es entendida totalmente, como es evidente en la estructura organizacional y
en la asignacin de presupuesto. Los requerimientos ambientales y de seguridad fsica
estn documentados y el acceso est estrictamente controlado y monitoreado. La
responsabilidad y la propiedad han sido establecidas y comunicadas. El personal de las
Instalaciones ha sido totalmente entrenado en situaciones de emergencia, as como tambin
en prcticas sanitarias y de seguridad. Estn estandarizados los mecanismos de control
4 para restringir el acceso a las Instalaciones y para resolver factores ambientales y de
seguridad. La administracin monitorea la efectividad de los controles y el cumplimiento
de las normas establecidas. La recuperacin de los recursos de computacin est
incorporada al proceso corporativo de administracin de riesgos. Estn desarrollados
planes para toda la organizacin, se llevan a cabo pruebas regulares e integradas y las
lecciones aprendidas son incorporadas en las revisiones de los planes. La informacin
integrada se usa para optimizar la cobertura de seguros y los costos relacionados.
Optimizado Hay un plan a largo plazo para las Instalaciones que se requiere que soporten
el entorno de computacin de la organizacin. Las normas estn definidas para todas las
Instalaciones, abarcando la seleccin del sitio, la construccin, custodia, seguridad de
personal, sistemas mecnico y elctrico, proteccin contra incendio, rayo e inundacin.
Todas las Instalaciones son inventariadas y clasificadas en conformidad con el proceso de
administracin de riesgos de la organizacin en progreso. El acceso est estrictamente
controlado y se basa en la necesidad para el trabajo, es monitoreado constantemente y los
visitantes son escoltados en todo momento. El entorno es monitoreado y controlado por
5 medio de equipo especializado y las salas de equipos se vuelven automatizadas. Los
programas de mantenimiento preventivo hacen cumplir estrictamente los programas y se
aplican pruebas regulares a los equipos sensitivos. La estrategia y normas de las
Instalaciones estn en correspondencia con los objetivos de disponibilidad de servicios de
TI y estn integradas con la planeacin de la continuidad del negocio y con la
administracin de crisis. La administracin revisa y optimiza las Instalaciones
constantemente, capitalizando sobre las oportunidades de mejorar la contribucin del
negocio.

50/123
Diseo de Sistema de Gestin de Seguridad de Informacin

Enfoque del Modelo de Madurez

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un mtodo de asignacin de puntos para que una
organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software
Engineering Institute defini para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado
simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable.

En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones que pueden ser satisfechas de una forma que no sea
ambigua. En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI de C OBIT, la administracin puede mapear:

La situacin actual de la organizacindnde est la organizacin actualmente


La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

51/123
Diseo de Sistema de Gestin de Seguridad de Informacin

RESUMEN GERENCIAL DEL MODELO DE MADUREZ PARA LOS PROCESOS DE SEGURIDAD DE LA INFORMACIN

Inexistente Inicial /Ad Hoc Repetible pero Proceso Administrado y Optimizado


Intuitivo Definido Medible
0 1 2 3 4 5
PO9 Evaluar los Riesgos

PO11 Administrar Calidad

AI6 Administrar Cambios

DS4 Asegurar el Servicio Continuo

DS5 Garantizar la Seguridad de los


Sistemas
DS11 Administrar los Datos

DS12 Administrar Instalaciones

LEYENDA PARA LOS SMBOLOS USADOS LEYENDA PARA LAS CLASIFICACIONES USADAS
Situacin actual de la empresa 0 Inexistente Los procesos de administracin no se aplican en absoluto
1 Inicial Los procesos son ad hoc y desorganizados
2 Repetible Los procesos siguen un patrn regular
Estrategia de la Empresa 3 Definida Los procesos son documentados y comunicados
4 Administrada Los procesos son monitoreados y medidos
5 Optimizada Las mejores prcticas son seguidas y automatizadas

52/123
Diseo de Sistema de Gestin de Seguridad de Informacin

7 EVALUACIN DE RIESGO DE LOS 105 OBJETIVOS DE


CONTROL

7.1 Administracin de Riesgos

Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y
administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de
riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar
las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia
el cumplimiento de las metas y determinando que tan bien se estn desarrollando los
procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de
la organizacin contra las mejores practicas industriales y los modelos internacionales.

53/123
Diseo de Sistema de Gestin de Seguridad de Informacin

Definicin.-

Es un proceso interactivo e iterativo basado en el conocimiento, evaluacin y manejo


de los riesgos y sus impactos, con el propsito de mejorar la toma de decisiones
organizacionales.

Aplicable a cualquier situacin donde un resultado no deseado o inesperado pueda ser


significativo o donde se identifiquen oportunidades.

Beneficios para la Organizacin

Facilita el logro de los objetivos de la organizacin.


Hace a la organizacin ms segura y consciente de sus riesgos.
Mejoramiento contino del Sistema de Control Interno.
Optimiza la asignacin de recursos.
Aprovechamiento de oportunidades de negocio.
Fortalece la cultura de autocontrol.
Mayor estabilidad ante cambios del entorno.

Beneficios para el Dpto. de Auditora


Soporta el logro de los objetivos de la auditora.
Estandarizacin en el mtodo de trabajo.
Integracin del concepto de control en las polticas organizacionales.
Mayor efectividad en la planeacin general de Auditora.
Evaluaciones enfocadas en riesgos.
Mayor cobertura de la administracin de riesgos.
Auditoras ms efectivas y con mayor valor agregado.

54/123
Diseo de Sistema de Gestin de Seguridad de Informacin

7.2 Proceso de administracin de Riesgos

1. Establecer Marco General

2. Identificar Riesgos

Monitorear
Monitorear
3. Anlisis de Riesgos yyRevisar
Revisar

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

55/123
Diseo de Sistema de Gestin de Seguridad de Informacin

7.2.1 Establecer Marco General

Ecuacolor es una marca reconocida, posee una presencia bastante fuerte en el mercado
fotogrfico a nivel nacional, con ms de 100 fototiendas. Ha llegado a poseer el 70% de
participacin del mercado.

Es parte de un grupo econmico conformado por Comandato, OndaPositiva,


TecniPrint.
Mucha de la infraestructura tecnolgica es compartida por el Grupo Corporativo.
Existen Niveles Gerenciales que cumplen sus funciones de manera Corporativo.

El mercado fotogrfico en el Ecuador esta cambiando, el cambio se esta dando hacia el


revelado digital, lo que motiva que el mercado de revelado tradicional se vea
disminuido, afectando a los ingresos de la institucin.

Para contrarrestar este efecto, la institucin ha diseado nuevas estrategias y


desarrollado nuevas lneas de negocio.

Entre las estrategias de mas alto impacto estn:

Venta a Crdito, lo que debe incrementar la venta de Cmaras Digitales y otros


productos de la lnea Profesional.
Se ha logrado obtener la representacin exclusiva de los productos Maxell en
todo el territorio nacional, de tal manera que se diversifican los ingresos que
tiene la institucin actualmente.
Promociones para impulsar el revelado digital.
Alianzas estratgicas con empresas nacionales para promociones cruzadas.
Adquisicin de Equipos de revelado digital PictureMaker.

Para lograr alcanzar los objetivos estratgicos definidos existen adquisiciones de


tecnologa que tienen una incidencia directa en el plan estratgicos de negocio.

Adquisicin de nuevo sistema de punto de ventas que cumpla los requerimientos


de ley acorde a las necesidades y expectativas del negocio.
Implementacin de interconexin entre las principales tiendas a nivel nacional
con la casa matriz.
Administracin de la tecnologa actual que soporta los procesos del negocio.
Siendo este ultimo uno de los pilares fundamentales en la consecucin de las
metas trazadas por la organizacin.

Los costos de estos proyectos son bastante significativos dentro de los resultados de la
empresa, por eso razn la evaluacin y adquisicin de la tecnologa antes mencionada
debe ser llevada a cabo de la mejor manera posible.

Ecuacolor esta enfocado en 2 segmentos, la venta a travs de su cadena de retail y la


venta a distribuidores.

Los principales competidores de Ecuacolor en el segmento de retail, son Konica, Fuji,


Fybeca, otros quedan servicio de revelado. En lo que respecta a la distribucin de
Kodak y Maxell, es la misma que la de la marca a nivel internacional.
56/123
Diseo de Sistema de Gestin de Seguridad de Informacin

Actualmente la marca Ecuacolor esta catalogada como la numero uno en cuanto al


revelado fotogrfico y apunta a mantener esta posicin. Ecuacolor siempre esta
buscando la manera de incrementar su volumen de ventas, lanzando promociones. Sin
embargo las ventas estn disminuyendo debido a cambios que estn surgiendo en el
revelado tradicional, siendo esta la principal fuente de sus ingresos.

7.2.2 Identificar Riesgos

Los riesgos son amenazas que podran explotar las vulnerabilidades de nuestra
infraestructura tecnologa ocasionando daos o prdidas a los activos, de tal manera que
habra dificultad en conseguir los Objetivos Empresariales.

Establecer un marco especfico de administracin de riesgos.

Entender la actividad o parte de la organizacin para la cual se aplicar el proceso de


administracin de riesgos.

Basndonos en la metodologa COBIT, en donde se identifican 34 procesos que rigen la


Administracin y Control de tecnologa de informacin y como estos son impactados
principalmente por las caractersticas de seguridad de la informacin (Confidencialidad,
Disponibilidad, e Integridad) se han seleccionado los procesos que a continuacin se
detallan.

Integridad
confidencialidad

Disponibilidad

DOMINIO PROCESO Criterios de


informacin
Planeacin y PO9 Evaluar riesgos P P P
Organizacin PO11 Administrar Calidad P
Adquisicin e AI6 Administrar cambios P P
Instalacin
Entrega de Servicios DS4 Asegurar continuidad del servicio P
DS5 Garantizar la seguridad de sistemas P P
DS11 Administrar la informacin P
DS12 Administrar las instalaciones P P

57/123
Diseo de Sistema de Gestin de Seguridad de Informacin

Criterios de evaluacin de riesgos.-

Definir e identificar los criterios de anlisis y el nivel de aceptacin de los riesgos

Criterios de anlisis.-

Criterio Probabilidad de Ocurrencia Impacto


ALTO 9 10
MEDIO ALTO 7 8
MEDIO 5 6
MEDIO BAJO 3 4
BAJO 1 2

Nivel de Aceptacin de Riesgo.-

Riesgo = Probabilidad de Ocurrencia * Impacto

Nivel de Aceptacin de Riesgo


BAJO MEDIO ALTO
1 - 30 31-60 61 90

58/123
Diseo de Sistema de Gestin de Seguridad de Informacin

7.2.3 Anlisis de Riesgos

El modelo comienza a partir de la valoracin de los activos, que dentro del Marco Referencial de COBIT consiste en la informacin que tiene los
criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recursos necesarios para producir dicha informacin). El
siguiente paso es el anlisis de vulnerabilidad que trata de la importancia de los criterios de informacin dentro del proceso bajo revisin, por
ejemplo, si un proceso del negocio es vulnerable a la prdida de integridad, entonces se requieren medidas especficas. Luego se tratan las
amenazas, esto es, aquello que puede provocar una vulnerabilidad. La probabilidad de la amenaza, el grado de vulnerabilidad y la severidad del
impacto se combinan para concluir acerca de la evaluacin del riesgo. Esto es seguido por la seleccin de contramedidas (controles) y una
evaluacin de su eficacia, que tambin identifica el riesgo residual. La conclusin es un plan de accin despus del cual el ciclo puede comenzar
nuevamente.

59/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN

PO9 Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la
complejidad, Incrementando la objetividad e identificando factores de decisin importante

La Gerencia deber establecer un marco de referencia


de evaluacin sistemtica de riesgos. Este marco de
referencia deber incorporar una evaluacin regular de
los riesgos de informacin relevantes para el logro de
los objetivos del negocio, formando una base para
determinar la manera en la que los riesgos deben ser
Evaluacin de manejados a un nivel aceptable. El proceso deber
9.1 Riesgos del proporcionar evaluaciones de riesgos tanto a un nivel
Negocio global como a niveles especficos del sistema, para
nuevos proyectos y para casos recurrentes y con
participacin multidisciplinaria. La Administracin
deber asegurar que se realicen reevaluaciones y que
la informacin sobre evaluacin de riesgos sea
actualizada como resultado de auditoras, inspecciones
e incidentes identificados. MEDIO-ALTO MEDIO-ALTO 56
La Gerencia deber establecer un enfoque general
para la evaluacin de riesgos que defina el alcance y
los lmites, la metodologa a ser adoptada para las
evaluaciones de riesgos, las responsabilidades y las
habilidades requeridas. La Gerencia debe adelantar la
Enfoque de identificacin de soluciones para la mitigacin de
9.2 Evaluacin de riesgos e involucrarse en la identificacin de
Riesgos vulnerabilidades. Especialistas de seguridad deben
realizar identificacin de amenazas y especialistas de
TI deben dirigir la seleccin de controles. La calidad de
las evaluaciones de riesgos deber estar asegurada
por un mtodo estructurado y por asesores expertos en
riesgos. MEDIO-ALTO MEDIO-ALTO 56

60/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN

PO9 Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la
complejidad, Incrementando la objetividad e identificando factores de decisin importante

La evaluacin de riesgos deber enfocarse al examen


de los elementos esenciales de riesgo y las relaciones
causa/efecto entre ellos. Los elementos esenciales de
riesgo incluyen activos tangibles e intangibles, valor de
los activos, amenazas, vulnerabilidades, protecciones,
consecuencias y probabilidad de amenaza. El proceso
Identificacin de identificacin de riesgos debe incluir una
9.3
de Riesgos clasificacin cualitativa y, donde sea apropiado,
clasificacin cuantitativa de riesgos debe obtener
insumos de las tormentas de ideas de la Gerencia, de
planeacin estratgica, auditoras anteriores y otros
anlisis. El anlisis de riesgos debe considerar el
negocio, regulaciones, aspectos legales, tecnologa,
comercio entre socios y riesgos del recurso humano. MEDIO MEDIO 30
El enfoque de la evaluacin de riesgos deber asegurar
que la informacin del anlisis de la identificacin de
Medicin de riesgos genere como resultado una medida cuantitativa
9.4
Riesgos y/o cualitativa del riesgo al cual est expuesta el rea
examinada. Asimismo, deber evaluarse la capacidad
de aceptacin de riesgos de la organizacin. MEDIO-ALTO MEDIO 42
El enfoque de evaluacin de riesgos deber
proporcionar la definicin de un plan de accin contra
riesgos para asegurar que el costoefectividad de los
Plan de Accin
9.5 controles y las medidas de seguridad mitiguen los
contra Riesgos
riesgos en forma continua. El plan de accin contra los
riesgos debe identificar la estrategia de riesgos en
trminos de evitar, mitigar o aceptar el riesgo. MEDIO-ALTO MEDIO-ALTO 56

61/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN

PO9 Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la
complejidad, Incrementando la objetividad e identificando factores de decisin importante

El enfoque de la evaluacin de riesgos deber asegurar


la aceptacin formal del riesgo residual, dependiendo
de la identificacin y la medicin del riesgo, de la
poltica organizacional, de la incertidumbre incorporada
Aceptacin de
al enfoque de evaluacin de riesgos y el costo-
9.6 Riesgos
efectividad de la implementacin de protecciones y
controles. El riesgo residual deber compensarse con
una cobertura de seguro adecuada, compromisos de
negociacin contractual y autoaseguramiento. MEDIO-ALTO MEDIO 42
Mientras se logra un sistema de controles y garantas
razonable, apropiado y proporcional, controles con el
mas alto retorno de inversin ROI - return of
investment) y aquellos que provean ganancia rpida
Seleccin de
deben recibir la primera prioridad. El sistema de control
9.7 Garantas o
necesita adems balancear las medidas de prevencin,
Protecciones
deteccin, correccin y recuperacin. Adicionalmente,
la Gerencia necesita comunicar el propsito de las
medidas de control, manejar el conflicto y monitorear
continuamente la efectividad de las medidas de control. MEDIO-ALTO MEDIO 42
La Gerencia deber motivar el anlisis de riesgos como
una herramienta importante para proveer informacin
Compromiso
para el diseo e implementacin de
9.8 con el Anlisis
controles internos, en la definicin del plan estratgico
de Riesgos
de tecnologa de informacin y en los mecanismos de
evaluacin y monitoreo. MEDIO MEDIO 30

62/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Cumplir con los requerimientos del cliente de TI
Administracin
PO11 de la calidad
La alta gerencia deber desarrollar y mantener
regularmente un plan general de calidad basado en los
Plan General planes organizacionales y de tecnologa de informacin
11.1
de Calidad a largo plazo. El plan deber promover la filosofa de
mejora continua y contestar a las preguntas bsicas de
qu, quin y cmo. MEDIO-ALTO MEDIO 42
La Gerencia deber establecer un enfoque estndar
con respecto al aseguramiento de calidad, que cubra
tanto las actividades de aseguramiento de calidad
generales como las especficas de un proyecto. El
Enfoque de
enfoque deber determinar el (los) tipo(s) de
11.2 Aseguramiento
actividades de aseguramiento de calidad (tales como
de Calidad
revisiones, auditoras, inspecciones, etc.) que deben
realizarse para alcanzar los objetivos del plan general
de calidad. Asimismo deber requerir una revisin
especfica de aseguramiento de calidad. MEDIO-ALTO MEDIO 42
La Gerencia deber implementar un proceso de
Planeacin del
planeacin de aseguramiento de calidad para
11.3 Aseguramiento
determinar el alcance y la duracin de las actividades
de Calidad
de aseguramiento de calidad. MEDIO-ALTO MEDIO 42
Revisin del
Aseguramiento
de la Calidad
sobre el
11.4 Cumplimiento La Gerencia deber asegurar que las
de Estndares responsabilidades asignadas al personal de
y aseguramiento de calidad incluyan una revisin del
Procedimiento cumplimiento general de los estndares y
s de TI procedimientos de TI. MEDIO-BAJO MEDIO-ALTO 24

63/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Cumplir con los requerimientos del cliente de TI
Administracin
PO11 de la calidad
La alta gerencia de la organizacin deber definir e
implementar stndares de sistemas de informacin y
adoptar una metodologa del ciclo de vida de desarrollo
Metodologa
de sistemas que gobierne el proceso de desarrollo,
del Ciclo de
adquisicin, implementacin y mantenimiento de
11.5 Vida de
sistemas de informacin computarizados y tecnologas
Desarrollo
relacionadas. La metodologa del ciclo de vida de
de Sistemas
desarrollo de sistemas elegida deber ser la apropiada
para los sistemas a ser desarrollados, adquiridos,
implementados y mantenidos. MEDIO MEDIO 30
Metodologa
del Ciclo de
Vida de
Desarrollo
11.6 de Sistemas En el caso de requerirse cambios mayores a la
para Cambios tecnologa actual, como en el caso de adquisicin de
Mayores a la nueva tecnologa, la Gerencia deber asegurar
Tecnologa el cumplimiento de la metodologa del ciclo de vida de
Actual desarrollo de sistemas, . MEDIO MEDIO 30
Actualizacin
de la
Metodologa La alta gerencia deber implementar una revisin
11.7 del Ciclo de peridica de su metodologa del ciclo de vida de
Vida de desarrollo de sistemas para asegurar que incluya
Desarrollo de tcnicas y procedimientos actuales generalmente
Sistemas aceptados. MEDIO MEDIO 30

64/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Cumplir con los requerimientos del cliente de TI
Administracin
PO11 de la calidad
La Gerencia deber establecer un proceso para
asegurar la coordinacin y comunicacin estrecha entre
los clientes de la funcin TI y los implementadores de
sistemas. Este proceso deber ocasionar que los
mtodos estructurados que utilice la metodologa del
Coordinacin y
11.8 ciclo de vida de desarrollo de sistemas aseguren la
Comunicacin
provisin de soluciones de tecnologa de informacin
de calidad que satisfagan las demandas de negocio.
La Gerencia deber promover una organizacin que se
caracterice por la estrecha cooperacin y comunicacin
a lo largo del ciclo de vida de desarrollo de sistemas. MEDIO-BAJO MEDIO-ALTO 24
Deber establecerse un marco de referencia general
Marco de referente a la adquisicin y mantenimiento de la
Referencia de infraestructura de tecnologa. Los diferentes pasos que
Adquisicin y deben ser seguidos con respecto a la infraestructura de
Mantenimiento tecnologa (tales como adquisicin; programacin,
11.9
para la documentacin y pruebas; establecimiento de
Infraestructura parmetros; mantenimiento y aplicacin de
de correcciones) debern estar regidos por y mantenerse
Tecnologa en lnea con el marco de referencia para la adquisicin
y mantenimiento de la infraestructura de tecnologa. MEDIO ALTO 50

65/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Cumplir con los requerimientos del cliente de TI
Administracin
PO11 de la calidad
La Gerencia deber crear un proceso para asegurar las
buenas relaciones de trabajo con los implementadores
externos que pertenezcan a terceras partes. Dicho
Relaciones con proceso deber disponer que el usuario y el
11.10 Terceras implementador estn de acuerdo sobre los criterios de
Partes como aceptacin, el manejo de cambios, los problemas
Implementadores
durante el desarrollo, las funciones de los usuarios, las
instalaciones, las herramientas, el software, los
estndares y los procedimientos. MEDIO-BAJO MEDIO-BAJO 12
La metodologa del ciclo de vida de desarrollo de
sistemas deber incorporar estndares para la
Estndares
documentacin de programas que hayan sido
para la
comunicados y ratificados al personal interesado. La
11.11 Documentacin
metodologa deber asegurar que la documentacin
de
creada durante el desarrollo del sistema de informacin
Programas
o durante la modificacin de los proyectos coincida con
estos estndares. MEDIO-BAJO MEDIO-ALTO 24

La metodologa del ciclo de vida de desarrollo de


sistemas de la organizacin debe proporcionar
Estndares estndares que cubran los requerimientos de pruebas,
11.12 para Pruebas verificacin, documentacin y retencin para probar las
de Programas unidades de software y los programas agregados,
creados como parte de cada proyecto de desarrollo o
modificacin de sistemas de informacin. MEDIO MEDIO 30

66/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Cumplir con los requerimientos del cliente de TI
Administracin
PO11 de la calidad
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe proporcionar
Estndares
estndares que cubran los requerimientos de pruebas,
11.13 para Pruebas
verificacin, documentacin y retencin para la prueba
de Sistemas
total del sistema, como parte de cada proyecto de
desarrollo o modificacin de sistemas de informacin. MEDIO MEDIO 30
La metodologa del ciclo de vida de desarrollo de
Pruebas sistemas de la organizacin debe definir las
11.14 Piloto/En condiciones bajo las cuales debern conducirse las
Paralelo pruebas piloto o en paralelo de sistemas nuevos y/o
actuales. BAJO MEDIO 6
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe disponer, como parte
Documentacin
de cualquier proyecto de desarrollo, implementacin o
11.15 de las Pruebas
modificacin de sistemas de informacin, que se
del Sistema
conserve la documentacin de los resultados de las
pruebas del sistema. MEDIO MEDIO-BAJO 20
Evaluacin del
Aseguramiento
de la Calidad El enfoque de aseguramiento de calidad de la
sobre el organizacin deber requerir que una revisin post -
11.16
Cumplimiento implementacin de un sistema de informacin
de Estndares operacional evale si el equipo encargado del proyecto,
de cumpli con las estipulaciones de la metodologa del
Desarrollo ciclo de vida de desarrollo de sistemas. MEDIO-ALTO MEDIO 42
Revisin del
Aseguramiento El enfoque de aseguramiento de calidad deber incluir
de Calidad una revisin de hasta qu punto los sistemas
11.17
sobre particulares y las actividades de desarrollo de
el Logro de los aplicaciones han alcanzado los objetivos de la funcin
Objetivos de TI de servicios de informacin. MEDIO-ALTO MEDIO 42

67/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Cumplir con los requerimientos del cliente de TI
Administracin
PO11 de la calidad
La gerencia deber definir y utilizar mtricas para medir
Mtricas de
11.18 los resultados de actividades, evaluando si las metas
calidad
de calidad han sido alcanzadas. MEDIO-ALTO MEDIO-BAJO 28
Reportes de
Revisiones de Los reportes de revisiones de aseguramiento de calidad
Aseguramiento debern ser preparados y enviados a la Gerencia de
11.19
de los departamentos usuarios y de la funcin de servicios
Calidad de informacin (TI). MEDIO-ALTO MEDIO-BAJO 28

68/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Administrar Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores
AI6
cambios
La Gerencia deber asegurar que todas las solicitudes
de cambios tanto internos como por parte de
proveedores estn estandarizados y sujetos a
Inicio y Control procedimientos formales de administracin de cambios.
6.1 de Solicitudes Las solicitudes debern categorizarse y priorizarse y se
de Cambio deben establecer procedimientos especficos para
manejar cambios urgentes. Los solicitantes de los
cambios deben permanecer informados acerca del
estatus de su solicitud. MEDIO-BAJO ALTO 30
Deber establecerse un procedimiento para asegurar
que todas las solicitudes de cambio sean evaluadas en
Anlisis de
6.2 una forma estructurada que considere todos los
Impacto
posibles impactos que el cambio pueda ocasionar
sobre el sistema operacional y su funcionalidad. MEDIO-BAJO MEDIO-ALTO 24
La Gerencia de TI deber asegurar que la
administracin de cambios, as como el control y la
distribucin de software sean integrados
apropiadamente en un sistema completo de
Control de
6.3 administracin de configuracin. El sistema utilizado
Cambios
para monitorear los cambios a los sistemas de
aplicacin debe ser automtico para soportar el registro
y seguimiento de los cambios realizados a grandes y
complejos sistemas de informacin. MEDIO-ALTO MEDIO-ALTO 56
La gerencia de TI debe establecer parmetros
definiendo cambios de emergencia y procedimientos
para controlar estos cambios cuando ellos traspasan
Cambios de
6.4 los procesos normales de anlisis de prioridades de la
Emergencia
gerencia para su implementacin. Los cambios de
emergencia deben ser registrados y autorizados por la
gerencia de TI antes de su implementacin. MEDIO-BAJO MEDIO-ALTO 24

69/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Administrar Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores
AI6
cambios
El procedimiento de cambios deber asegurar que,
Documentaci
siempre que se implementen modificaciones a un
ny
6.5 sistema, la documentacin y procedimientos
Procedimiento
relacionados sean actualizados de manera
s
correspondiente. MEDIO MEDIO 30
La Gerencia de TI deber asegurar que el personal de
mantenimiento tenga asignaciones especficas y que su
Mantenimiento trabajo sea monitoreado apropiadamente. Adems, sus
6.6
Autorizado derechos de acceso al sistema debern ser controlados
para evitar riesgos de accesos no autorizados a los
sistemas automatizados. MEDIO MEDIO 30
La Gerencia de TI deber garantizar que la liberacin
Poltica de
de software est regida por procedimientos formales
6.7 Liberacin de
asegurando aprobacin, empaque, pruebas de
Software
regresin, entrega, etc. MEDIO MEDIO 30
Debern establecerse medidas de control especficas
Distribucin de para asegurar la distribucin del elemento de software
6.8
Software correcto al lugar correcto, con integridad y de manera
oportuna y con adecuadas pistas de auditora. MEDIO MEDIO-ALTO 40

70/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN

Asegurar el Tener la seguridad de que los servicios de TI estn


DS4 servicio disponibles cuando se requieran y asegurar un impacto
continuo mnimo en el negocio en el evento de
una interrupcin mayor
La Gerencia de TI, en cooperacin con los propietarios
Marco de de los procesos del negocio, deber crear un marco de
Referencia de referencia de continuidad que defina los roles,
4.1 Continuidad de responsabilidades, el enfoque/metodologa basada en
Tecnologa de riesgo a seguir y las reglas y la estructura para
informacin documentar el plan de continuidad, as como los
procedimientos de aprobacin. MEDIO MEDIO 30
La Gerencia deber garantizar que el Plan de
Estrategia y continuidad de tecnologa de informacin se encuentra
Filosofa del en lnea con el plan general de continuidad de la
4.2 Plan de empresa para asegurar consistencia. An ms, el plan
Continuidad de continuidad de TI debe tomar en consideracin el
de TI plan a mediano y largo plazo de tecnologa de
informacin, con el fin de asegurar consistencia. MEDIO-ALTO MEDIO-ALTO 56

71/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN

Asegurar el Tener la seguridad de que los servicios de TI estn


DS4 servicio disponibles cuando se requieran y asegurar un impacto
continuo mnimo en el negocio en el evento de
una interrupcin mayor
No existe un plan de
Continuidad del TI, pero
La Gerencia de TI deber asegurar que se desarrolle existen ciertos
un plan escrito conteniendo lo siguiente: procedimientos no
+Guas sobre la utilizacin del Plan de Continuidad; formalizados que podrian
+Procedimientos de emergencia para asegurar la ayudar en el caso de darse
integridad de todo el personal afectado; una contingencia:
+Procedimientos de respuesta definidos para regresar + Se conoce a las personas
Contenido del al negocio al estado en que se encontraba antes del que se debe notificar en caso
Plan de incidente o desastre; de suceder una emergencia.
4.3 Continuidad de +Procedimientos para salvaguardar y reconstruir las + Se conoce en donde estan
TI instalaciones; almacenados los respaldos.
+Procedimientos de coordinacin con las autoridades + Los procesos de respaldo
pblicas; de datos son ejecutados de
+Procedimientos de comunicacin con los socios y manera diaria.
dems interesados: empleados, clientes clave, + Se cuenta con un centro
proveedores crticos, accionistas y gerencia de computo alternativo desde
+ Informacin crtica sobre grupos de continuidad, donde se podra continuar
personal afectado, clientes, proveedores, autoridades con la atencin de servicios
pblicas y medios de comunicacin. ALTO ALTO 90 de IT.
Reduccin de
requerimientos La Gerencia de servicios de informacin deber
de Continuidad establecer procedimientos y guas para minimizar los
4.4
de Tecnologa requerimientos de continuidad con respecto a personal,
de instalaciones, hardware, software, equipo, formatos,
Informacin. consumibles y mobiliario. MEDIO MEDIO 30

72/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN

Asegurar el Tener la seguridad de que los servicios de TI estn


DS4 servicio disponibles cuando se requieran y asegurar un impacto
continuo mnimo en el negocio en el evento de
una interrupcin mayor
La Gerencia de TI deber proveer procedimientos de No existe un plan de
control de cambios para asegurar que el plan de Continuidad del TI, por ende
Mantenimiento
continuidad se mantiene actualizado y refleja tampoco existen
del Plan de
requerimientos de negocio actuales. Esto requiere de procedimientos de control de
4.5 Continuidad de
procedimientos de mantenimiento del plan de cambios.
Tecnologa de
continuidad alineados con el cambio, la
Informacin
administracin y los procedimientos de recursos
humanos. ALTO ALTO 90
Para contar con un Plan efectivo de Continuidad, la No existe un plan de
gerencia necesita evaluar su adecuacin de manera Continuidad de TI
Pruebas del regular o cuando se presenten cambios
Plan de mayores en el negocio o en la infraestructura de TI;
4.6
Continuidad de esto requiere una preparacin cuidadosa,
TI documentacin, reporte de los resultados de las
pruebas e implementar un plan de accin de acuerdo
con los resultados. ALTO ALTO 90
Entrenamiento La metodologa de Continuidad ante desastres deber No existe un plan de
sobre el Plan Continuidad de TI
asegurar que todas las partes interesadas reciban
4.7 de Continuidad sesiones de entrenamiento regulares con
de Tecnologa respecto a los procedimientos a ser seguidos en caso
de Informacin de un incidente o un desastre. ALTO MEDIO-ALTO 72
Debido a la naturaleza sensitiva de la informacin del No existe un plan de
plan de continuidad, dicha informacin deber ser Continuidad de TI
Distribucin del distribuida solo a personal autorizado y mantenerse
Plan de bajo adecuadas medidas de seguridad para evitar su
4.8
Continuidad de divulgacin. Consecuentemente, algunas secciones del
TI plan debern ser distribuidas solo a las personas cuyas
actividades hagan necesario conocer dicha
informacin. ALTO MEDIO-ALTO 72

73/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN

Asegurar el Tener la seguridad de que los servicios de TI estn


DS4 servicio disponibles cuando se requieran y asegurar un impacto
continuo mnimo en el negocio en el evento de
una interrupcin mayor
Procedimiento
s de respaldo
de La metodologa de continuidad deber asegurar que los
procesamiento departamentos usuarios establezcan procedimientos
4.9
alternativo alternativos de procesamiento, que puedan ser
para utilizados hasta que la funcin de servicios de
Departamentos informacin sea capaz de restaurar completamente sus
usuarios servicios despus de un evento o un desastre. MEDIO-BAJO MEDIO-ALTO 24
El plan de continuidad deber identificar los programas No existe un plan de
de aplicacin, servicios de terceros, sistemas Continuidad del TI, pero se
operativos, personal, insumos, archivos de datos que tiene conciencia de cuales
Recursos
resultan crticos as como los tiempos necesarios para son los recursos de IT de
Crticos de
4.10 la recuperacin despus de que se presenta un importancia
Tecnologa de
desastre. Los datos y las operaciones crticas deben
Informacin
ser identificadas, documentadas, priorizadas y
aprobadas por los dueos de los procesos del negocio
en cooperacin con la Gerencia de TI. ALTO MEDIO-ALTO 72
La Gerencia deber asegurar que la metodologa de
continuidad incorpora la identificacin de alternativas
Sitio y
relativas al sitio y al hardware de respaldo, as como
4.11 Hardware de
una seleccin alternativa final. En caso de aplicar,
Respaldo
deber establecerse un contrato formal para este tipo
de servicios. MEDIO ALTO 50

74/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN

Asegurar el
DS4 servicio Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en el negocio en
continuo el evento de una interrupcin mayor

El almacenamiento externo de copias de respaldo,


documentacin y otros recursos tecnolgicos de
informacin, catalogados como crticos, debe ser
establecido para soportar el plan de recuperacin y
continuidad del negocio. Los propietarios de los
procesos del negocio y el personal de la funcin de TI
Almacenamien deben involucrarse en determinar que recursos de
to de respaldo respaldo deben ser almacenados en el sitio alterno. La
4.12 en el sitio instalacin de almacenamiento externo debe contar con
alterno medidas ambientales para los medios y otros recursos
(Off-site) almacenados; y debe tener un nivel de
seguridad suficiente, que permita proteger los recursos
de respaldo contra accesos no autorizados, robo o
dao. La Gerencia de TI debe asegurar que los
acuerdos/contratos del sitio alterno son peridicamente
analizados, al menos una vez al ao, para garantizar
que ofrezca seguridad y proteccin ambiental. MEDIO ALTO 50
Dada una exitosa reanudacin de la funcin de TI
Procedimiento
despus de un desastre, la gerencia de servicios de
de afinamiento
4.13 informacin deber establecer procedimientos para
del Plan de
evaluar lo adecuado del plan y actualizarlo de acuerdo
Continuidad
con los resultados de dicha evaluacin. ALTO MEDIO 54

75/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
La seguridad en TI deber ser administrada de tal No existe un plan de
forma que las medidas de seguridad se encuentren en seguridad
lnea con los requerimientos de negocio. Esto incluye:
+ Trasladar informacin sobre evaluacin de riesgos a
los planes de seguridad de TI;
+ Implementar el plan de seguridad de TI;
Administrar
+ Actualizar el plan de seguridad de TI para reflejar
5.1 Medidas de
cambios en la configuracin de TI;
Seguridad
+ Evaluar el impacto de las solicitudes de cambio en la
seguridad de TI;
+ Monitorear la implementacin del plan deseguridad
de TI; y
+ Alinear los procedimientos de seguridad de TI a otras
polticas y procedimientos ALTO MEDIO-ALTO 72
El acceso lgico y el uso de los recursos de TI deber
restringirse a travs de la implementacin de
mecanismos adecuados de identificacin,
autenticacin y autorizacin relacionando los usuarios y
los recursos con las reglas de acceso. Dicho
mecanismo deber evitar que personal no autorizado,
Identificacin,
conexiones telefnicas por marcado y otros puertos de
5.2 Autenticacin y
entrada al sistema (redes) tengan acceso a los
Acceso
recursos de cmputo, de igual forma deber minimizar
la necesidad de autorizar usuarios para usar mltiples
sign-ons. Asimismo debern establecerse
procedimientos para conservar la efectividad de los
mecanismos de autenticacin y acceso (por ejemplo,
cambios peridicos de contraseas o passwords). MEDIO-BAJO MEDIO-ALTO 24

76/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
En un ambiente de tecnologa de informacin en lnea,
la Gerencia de TI deber implementar procedimientos
Seguridad de
acordes con la poltica de seguridad que garantiza el
5.3 Acceso a
control de la seguridad de acceso, tomando como base
Datos en Lnea
las necesidades individuales demostradas de visualizar,
agregar, modificar o eliminar datos. MEDIO-BAJO MEDIO-ALTO 24
La Gerencia deber establecer procedimientos para
asegurar acciones oportunas relacionadas con la
solicitud, establecimiento, emisin, suspensin y cierre
de cuentas de usuario. Deber incluirse un
Administracin
procedimiento de aprobacin formal que indique el
5.4 de Cuentas de
propietario de los datos o del sistema que otorga los
Usuario
privilegios de acceso. La seguridad de acceso a
terceros debe definirse contractualmente teniendo en
cuenta requerimientos de administracin y no
revelacin. MEDIO MEDIO-ALTO 40
La Gerencia deber contar con un proceso de control
Revisin establecido para revisar y confirmar peridicamente los
Gerencial de derechos de acceso. Se debe llevar a cabo la
5.5
Cuentas de comparacin peridica entre los recursos y los registros
Usuario de las cuentas para reducir el riesgo de errores,
fraudes, alteracin no autorizada o accidental. MEDIO-ALTO MEDIO 42
Los usuarios debern controlar en forma sistemtica la
Control de
actividad de su(s) propia(s) cuenta (s). Tambin se
Usuarios sobre
5.6 debern establecer mecanismos de informacin para
Cuentas de
permitirles supervisar la actividad normal, as como
Usuario
alertarlos oportunamente sobre actividades inusuales. MEDIO-ALTO MEDIO-ALTO 56

77/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
La administracin de seguridad de TI debe asegurar
que la actividad de seguridad sea registrada y que
cualquier indicacin sobre una inminente violacin de
Vigilancia de
5.7 seguridad sea notificada inmediatamente a todos
Seguridad
aquellos que puedan verse afectados, tanto interna
como externamente y se debe actuar de una manera
oportuna. MEDIO-ALTO MEDIO-ALTO 56
La Gerencia deber implementar procedimientos para
asegurar que todos los datos son clasificados en
trminos de sensitividad, mediante una decisin
explcita y formal del dueo de los datos de acuerdo
con el esquema de clasificacin de datos. An los datos
que no requieren proteccin debern contar con una
decisin formal que les asigne dicha clasificacin. Los
dueos deben determinar la ubicacin o disposicin de
sus datos y determinar quienes pueden compartir los
Clasificacin
5.8 datos aun si y cuando los programas y archivos sean
de Datos
mantenidos, archivados o borrados. Debe quedar
evidencia de la aprobacin del dueo y de la
disposicin del dato. Se deben definir polticas para
soportar la reclasificacin de la informacin, basados
sobre cambios en la sensitividad. El esquema de
clasificacin debe incluir criterios para administrar el
intercambio de informacin entre organizaciones,
teniendo en cuenta tanto la seguridad y el cumplimiento
como la legislacin relevante. MEDIO-ALTO MEDIO 42

78/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas

Administracin Deben existir controles para asegurar que la


de Derechos identificacin y los derechos de acceso de los usuarios,
5.9 de Acceso e as como la identidad del sistema y la propiedad de los
Identificacin datos, son establecidos y administrados de forma nica
Centralizada y centralizada, para obtener consistencia y eficiencia de
un control de acceso global. MEDIO-BAJO MEDIO-ALTO 24
La administracin de la funcin de servicios de
informacin deber asegurar que las violaciones y la
actividad de seguridad sean registradas,
Reportes de reportadas, revisadas y escaladas apropiadamente en
Violacin y de forma regular para identificar y resolver incidentes que
5.10
Actividades de involucren actividades no autorizadas. El acceso lgico
Seguridad a la informacin sobre el registro de recursos de
cmputo (seguridad y otros logs) deber otorgarse
tomando como base el principio de menor privilegio o
necesidad de saber. MEDIO-ALTO MEDIO-ALTO 56
La Gerencia deber implementar la capacidad de
manejar incidentes de seguridad computacional, dar
atencin a dichos incidentes mediante el
establecimiento de una plataforma centralizada con
Manejo de suficiente experiencia y equipada con instalaciones de
5.11
Incidentes comunicacin rpidas y seguras.
Debern establecerse las responsabilidades y los
procedimientos de manejo de incidentes para asegurar
una respuesta apropiada, efectiva y oportuna a los
incidentes de seguridad. MEDIO MEDIO-ALTO 40

79/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
La Gerencia deber asegurar que se lleve a cabo
peridicamente una reacreditacin de seguridad (por
ejemplo, a travs de equipos de personal
5.12 Reacreditacin
tcnico tigre) con el fin de mantener actualizado el
nivel de seguridad aprobado formalmente y la
aceptacin del riesgo residual. ALTO MEDIO-BAJO 36
Las polticas organizacionales debern asegurar que se
implementen prcticas de control para verificar la
Confianza en autenticidad de las contrapartes que proporcionan
5.13
Contrapartes instrucciones o transacciones electrnicas. Esto puede
lograrse mediante el intercambio confiable de
passwords, tokens o llaves criptogrficas. MEDIO-ALTO BAJO 14
5.14 Las polticas organizacionales debern asegurar que,
en donde sea apropiado, se implementen controles
Autorizacin para proporcionar autenticidad a las transacciones y
de establecer la validez de la identificacin solicitada por el
transacciones usuario ante el sistema. Esto requiere el empleo de
tcnicas criptogrficas para firmar y verificar
transacciones. MEDIO-BAJO BAJO 6
Las polticas organizacionales debern asegurar que,
en donde sea apropiado, las transacciones no puedan
ser negadas por ninguna de las partes participantes en
la operacin y que se implementen controles para que
No negacin o no se pueda negar el origen o destino de la transaccin
5.15
no rechazo y que se pueda probar que se envi y recibi la
transaccin. Esto puede lograrse a travs de firmas
digitales, registro de tiempos y terceros confiables, y
adicionalmente con polticas apropiadas que tengan en
cuenta los requerimientos regulatorios relevantes. MEDIO BAJO 10

80/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
Las polticas organizacionales debern asegurar que la
informacin de transacciones sensitivas es enviada y
recibida exclusivamente a travs de
canales o senderos seguros (trusted paths). La
Sendero informacin sensitiva incluye: informacin sobre
5.16
Seguro administracin de seguridad, datos de transacciones
sensitivas, passwords y llaves criptogrficas. Para
lograr esto, se pueden establecer canales confiables
utilizando encripcin entre usuarios, entre usuarios y
sistemas y entre sistemas. MEDIO BAJO 10
Todo el hardware y software relacionado con seguridad
debe encontrarse permanentemente protegido contra
Proteccin de intromisiones para proteger su integridad y contra
5.17 las funciones divulgacin de sus claves secretas. Adicionalmente, la
de seguridad organizacin deber mantener discrecin sobre el
diseo de su seguridad, pero no basar la seguridad en
mantener el diseo como secreto. BAJO MEDIO-ALTO 8
La Gerencia deber definir e implementar
procedimientos y protocolos a ser utilizados en la
generacin, cambio, revocacin, destruccin,
distribucin, certificacin, almacenamiento, entrada,
utilizacin y archivo de llaves criptogrficas con el fin de
Administracin
asegurar la proteccin de las mismas contra
5.18 de Llaves
modificaciones y divulgacin no autorizada. Si una llave
Criptogrficas
se encuentra comprometida (en riesgo), la gerencia
deber asegurarse de que esta informacin se hace
llegar a todas las partes interesadas a travs de una
lista de revocacin de certificados o mecanismos
similares. ALTO BAJO 18

81/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
Con respecto al software malicioso, tal como los virus
computacionales o Caballos de Troya, la Gerencia
deber establecer un marco de
referencia de adecuadas medidas de control
Prevencin,
preventivas, detectivas y correctivas y responder y
Deteccin y
reportar su presencia. Las Gerencias de TI y de
5.19 Correccin de
negocios deben asegurar que se establezcan
Software
procedimientos a travs de toda la organizacin para
Malicioso
proteger los sistemas de informacin contra
virus computacionales. Los procedimientos deben
incorporar proteccin contra virus, deteccin, respuesta
ante su presencia y reporte. BAJO MEDIO-ALTO 8
La organizacin deber contar con Firewall adecuados
Arquitectura de para proteger contra negacin de servicios y cualquier
Firewalls y acceso no autorizado a los recursos internos si existe
5.20 conexin a conexin con Internet u otras redes pblicas; se deber
redes controlar en ambos sentidos cualquier aplicacin y el
pblicas flujo de administracin de infraestructura y se deber
proteger contra ataques de negacin del servicio. MEDIO-BAJO MEDIO-ALTO 24
La Gerencia debe proteger la integridad continuada de
todas las tarjetas o mecanismos de seguridad fsica
Proteccin de similares, utilizadas para autenticacin o
5.21 Valores almacenamiento de informacin financiera o sensitiva
Electrnicos tomando en consideracin las instalaciones o equipos
relacionados, los dispositivos, los empleados y los
mtodos de validacin utilizados. MEDIO MEDIO-BAJO 20

82/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
Administracin
DS11
de datos
La Gerencia deber establecer procedimientos de
preparacin de datos que deben ser seguidos por los
departamentos usuarios. En este contexto, el diseo de
Procedimiento
formas de entrada de datos deber ayudar a minimizar
s de
11.1 los errores y las omisiones. Durante la creacin de los
Preparacin de
datos, los procedimientos de manejo de errores
Datos
debern asegurar razonablemente que los errores y las
irregularidades sean detectados, reportados y
corregidos. MEDIO-BAJO MEDIO 18
Procedimiento La Gerencia deber asegurar que los documentos
s de fuente sean preparados apropiadamente por personal
Autorizacin autorizado que acta dentro de su autoridad,
11.2
de y que se establezca una separacin de funciones
Documentos adecuada con respecto al origen y aprobacin de
Fuente documentos fuente. MEDIO-BAJO MEDIO-ALTO 24
Los procedimientos de la organizacin debern
Recopilacin
asegurar que todos los documentos fuente autorizados
de Datos de
11.3 estn completos, sean precisos, registrados
Documentos
apropiadamente y transmitidos oportunamente para su
Fuente
ingreso a proceso. MEDIO-BAJO MEDIO-ALTO 24
Manejo de Los procedimientos de manejo de errores durante la
errores de creacin de datos debern asegurar razonablemente
11.4
documentos que los errores y las irregularidades sean detectados,
fuente reportados y corregidos. MEDIO MEDIO 30
Debern establecerse procedimientos para asegurar
que la organizacin pueda retener o reproducir los
Retencin de
documentos fuente originales durante un
11.5 Documentos
perodo de tiempo razonable para facilitar la
Fuente
recuperacin o reconstruccin de datos, as como para
satisfacer requerimientos legales. MEDIO-BAJO MEDIO-ALTO 24

83/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
Administracin
DS11
de datos
Procedimiento
s de
11.6 Autorizacin La organizacin deber establecer procedimientos
de Entrada de apropiados para asegurar que la entrada de datos sea
Datos llevada a cabo nicamente por personal autorizado. MEDIO-BAJO MEDIO 18
Los datos de transacciones, ingresados para su
procesamiento (generados por personas, por sistemas
Chequeos de o entradas de interfase) debern estar sujetos a una
Exactitud, variedad de controles para verificar su exactitud,
11.7
Suficiencia y suficiencia y validez. Asimismo, debern establecerse
Autorizacin procedimientos para asegurar que los datos de entrada
sean validados y editados tan cerca del punto de origen
como sea posible. MEDIO-ALTO MEDIO-ALTO 56
Manejo de
Errores en la La organizacin deber establecer procedimientos para
11.8
Entrada de la correccin y reenvo de datos que hayan sido
Datos capturados errneamente. MEDIO MEDIO 30
La organizacin deber establecer procedimientos para
el procesamiento de datos que aseguren que la
segregacin de funciones sea mantenida y que el
Integridad de
trabajo realizado sea verificado rutinariamente. Los
11.9 Procesamiento
procedimientos debern asegurar que se establezcan
de Datos
controles de actualizacin adecuados como totales de
control "corrida a corrida run to run-" y controles de
actualizacin de archivos maestros. MEDIO MEDIO-ALTO 40
Validacin y
Edicin de La organizacin deber establecer procedimientos para
11.10 Procesamiento asegurar que la validacin, autenticacin y edicin del
de procesamiento sean llevadas a cabo tan cerca del
Datos punto de origen como sea posible. MEDIO-BAJO MEDIO-BAJO 12

84/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
Administracin
DS11
de datos
Manejo de La organizacin deber establecer procedimientos para
Errores en el el manejo de errores en el procesamiento de datos que
11.11 Procesamiento permitan la identificacin de transacciones errneas sin
de que stas sean procesadas y sin interrumpir el
Datos procesamiento de otras transacciones vlidas. MEDIO-BAJO MEDIO 18
La organizacin deber establecer procedimientos para
Manejo y el manejo y la retencin de datos producidos por sus
Retencin de programas de aplicacin de TI. En caso de que
11.12
Datos de instrumentos negociables (ej. Ttulos valores) sean los
Salida receptores de la salida, se deber prestar especial
cuidado en prevenir usos inadecuados. MEDIO-BAJO MEDIO-ALTO 24
Distribucin de
Datos Salidos La organizacin deber establecer y comunicar
11.13
de los procedimientos escritos para la distribucin de datos
Procesos de salida de tecnologa de informacin. MEDIO MEDIO-BAJO 20
La organizacin deber establecer procedimientos para
Balanceo y asegurar que los datos de salida sean balanceados
Conciliacin de rutinariamente con los totales de control relevantes.
11.14
Datos de Debern existir pistas de auditora para facilitar el
Salida seguimiento del procesamiento de transacciones y la
conciliacin de datos con problema. MEDIO MEDIO 30
La Gerencia de la organizacin deber establecer
Revisin de
procedimientos para asegurar que la precisin de los
Datos de
reportes de los datos de salida sea revisada por el
11.15 Salida y
proveedor y por los usuarios responsables. Asimismo,
Manejo de
debern establecerse procedimientos para controlar los
Errores
errores contenidos en los datos de salida. MEDIO-BAJO MEDIO 18

85/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
Administracin
DS11
de datos
La organizacin deber establecer procedimientos para
Provisiones de
garantizar que la seguridad de los reportes generados
Seguridad para
11.16 por los procesos sea mantenida para todos aquellos
Reportes de
reportes que estn por distribuirse, as como para todos
Salida
aqullos que ya hayan sido distribuidos a los usuarios. MEDIO-ALTO MEDIO-ALTO 56
Proteccin de
Informacin La Gerencia deber asegurar que durante la
Sensible transmisin y transporte de informacin sensible, se
11.17
durante proporcione una adecuada proteccin contra acceso o
transmisin y modificacin no autorizada, as como contra envos a
transporte direcciones errneas. MEDIO-ALTO MEDIO-ALTO 56
La Gerencia deber definir e implementar
procedimientos para impedir el acceso a la informacin
sensitiva, al software de las computadoras, a los discos
Proteccin de
y otros equipos o medios cuando los mismos son
Informacin
11.18 desechados o transferidos a otro uso. Tales
Sensitiva
procedimientos debern garantizar que ninguna
Desechada
informacin marcada como borrada o desechada,
pueda ser accedida por personas internas o externas a
la organizacin. MEDIO-ALTO MEDIO 42
Debern desarrollarse procedimientos para el
Administracin
almacenamiento de datos que consideren
de
11.19 requerimientos de recuperacin, de economa y as
Almacenamien
mismo tengan en cuenta las polticas de seguridad de
to
la organizacin. MEDIO-BAJO MEDIO-ALTO 24
Perodos de Debern definirse los perodos de retencin y los
Retencin y trminos de almacenamiento para documentos, datos,
11.20 Trminos de programas, reportes y mensajes (de entrada y de
Almacenamien salida), as como los datos (claves, certificados)
to utilizados para su encripcin y autenticacin. MEDIO-BAJO MEDIO-ALTO 24

86/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
Administracin
DS11
de datos
La funcin de servicios de informacin deber
establecer procedimientos para asegurar que el
Sistema de
contenido de su librera de medios sea inventariado
Administracin
sistemticamente, que cualquier discrepancia revelada
11.21 de la Librera
por un inventario fsico sea solucionada oportunamente
de
y que se consideren las medidas necesarias para
Medios
mantener la integridad de los medios magnticos
almacenados en la librera. MEDIO-ALTO MEDIO-ALTO 56
La Gerencia de la funcin de servicios de informacin
deber establecer procedimientos de administracin
Responsabilida para proteger el contenido de la librera de medios.
des de la Debern definirse estndares para la identificacin
Administracin externa de medios magnticos y el control de su
11.22
de la movimiento y almacenamiento fsico para soporte y
Librera de registro. Las responsabilidades sobre el manejo de la
Medios libreras de medios (cintas magnticas, cartuchos,
discos y disquetes) debern ser asignadas a miembros
especficos del personal de servicios de informacin. MEDIO-BAJO MEDIO-ALTO 24
La Gerencia deber implementar una estrategia
apropiada de respaldo y recuperacin para asegurar
que sta incluya una revisin de los requerimientos del
Respaldo
negocio, as como el desarrollo, implementacin,
11.23 (Back-up) y
prueba y documentacin del plan de recuperacin. Se
Restauracin
debern establecer procedimientos para asegurar que
los respaldos satisfagan los requerimientos
mencionados anteriormente. MEDIO-BAJO ALTO 30
Debern establecerse procedimientos para asegurar
Funciones de que los respaldos sean realizados de acuerdo con la
11.24
Respaldo estrategia de respaldo definida, y que las copias de
respaldo sean verificadas regularmente. MEDIO-BAJO MEDIO-ALTO 24

87/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
Administracin
DS11
de datos
Los procedimientos de respaldo para los medios
relacionados con tecnologa de informacin debern
incluir el almacenamiento apropiado de
los archivos de datos, del software y de la
Almacenamien
documentacin relacionada, tanto dentro como fuera de
11.25 to de
las instalaciones. Los respaldos debern ser
Respaldos
almacenados con seguridad y las instalaciones de
almacenamiento debern ser revisadas peridicamente
con respecto a la seguridad de acceso fsico y la
seguridad de los archivos de datos y otros elementos. MEDIO-BAJO MEDIO-ALTO 24
La Gerencia deber implementar una poltica y
procedimientos para asegurar que el archivo cumple
11.26 Archivo con requerimientos legales y de negocio y que se
encuentra debidamente protegido y su informacin
adecuadamente registrada. MEDIO-ALTO MEDIO 42
Con respecto a la transmisin de datos a travs de
Internet u otra red pblica, la Gerencia deber definir e
Proteccin de
implementar procedimientos y protocolos que deben
11.27 Mensajes
ser utilizados para el aseguramiento de la integridad,
Sensitivos
confidencialidad y no negacin/rechazo de mensajes
sensitivos. MEDIO-ALTO BAJO 14
Antes que alguna accin crtica sea tomada sobre
informacin originada fuera de la Organizacin, que se
Autenticacin e reciba va telfono, correo de voz, documentos (en
11.28
Integridad papel), fax o correo electrnico, se deber verificar
adecuadamente la autenticidad e integridad de dicha
informacin. MEDIO-ALTO BAJO 14

88/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
Administracin
DS11
de datos
Tomando en consideracin que las fronteras
tradicionales de tiempo y de geografa son menos
precisas y confiables, la Gerencia deber
definir e implementar apropiados procedimientos y
prcticas para transacciones electrnicas que sean
sensitivas y crticas para la Organizacin,
que permitan asegurar su integridad y autenticidad de:
+ atomicidad (unidad de trabajo indivisible, todas sus
Integridad de acciones tienen xito o todas ellas fallan)
11.29 Transacciones + consistencia (si la transaccin no logra alcanzar un
Electrnicas estado final estable, deber regresar al sistema a su
estado inicial);
+ aislamiento (el comportamiento de una transaccin
no es afectado por otras transacciones que se ejecutan
concurrentemente); y
+ durabilidad (los efectos de una transaccin son
permanentes despus que concluye su proceso, los
cambios que origina deben sobrevivir a fallas de
sistema) ALTO BAJO 18
La Gerencia deber asegurar que la integridad y lo
Integridad adecuado de los datos mantenidos en archivos y otros
Continua de medios (ej. tarjetas electrnicas) se verifique
11.30
Datos peridicamente. Atencin especfica deber darse a
Almacenados dispositivos de tokens, archivos de referencia y
archivos que contengan informacin privada. MEDIO-BAJO BAJO 6

89/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros naturales y provocados por el
Administracin
hombre.
DS12 de
instalaciones
Debern establecerse medidas apropiadas de No existe una poltica o
seguridad fsica y medidas de control de acceso para procedimientos de seguridad
las instalaciones de tecnologa de informacin formalmente definidos. Pero
incluyendo el uso de dispositivos de informacin off-site el acceso a los servidores y al
en conformidad con la poltica general de seguridad. La rea de cableado
seguridad fsica y los controles de acceso deben estructurado esta restringido.
abarcar no slo el rea que contenga el hardware del
sistema sino tambin las ubicaciones del cableado
Seguridad
12.1 usado para conectar elementos del sistema, servicios
Fsica
de soporte (como la energa elctrica), medios de
respaldo y dems elementos requeridos para la
operacin del sistema. El acceso deber restringirse a
las personas que hayan sido autorizadas. Cuando los
recursos de tecnologa de informacin estn ubicados
en reas pblicas, debern estar debidamente
protegidos para impedir o para prevenir prdidas o
daos por robo o por vandalismo. MEDIO-ALTO ALTO 70
Discrecin La Gerencia de la funcin de servicios de informacin
sobre las deber asegurar que se mantenga un bajo perfil sobre
Instalaciones la identificacin fsica de las instalaciones relacionadas
12.2
de con sus operaciones de tecnologa de informacin. La
Tecnologa de informacin sobre la ubicacin del sitio debe ser
Informacin limitada y mantenerse con la adecuada reserva. MEDIO-ALTO MEDIO 42
Debern establecerse procedimientos apropiados que
aseguren que las personas que no formen parte del
grupo de operaciones de la funcin de servicios de
Escolta de
12.3 informacin sean escoltadas por algn miembro de ese
Visitantes
grupo cuando deban entrar a las instalaciones de
cmputo. Deber mantenerse y revisarse regularmente
una bitcora de visitantes. ALTO MEDIO 54

90/123
Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL OCURRENCIA IMPACTO RIESGO JUSTIFICACIN


Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros naturales y provocados por el
Administracin
hombre.
DS12 de
instalaciones
Debern establecerse y mantenerse prcticas de salud
Salud y
y seguridad en lnea con las leyes y regulaciones
12.4 Seguridad del
internacionales, nacionales, regionales, estatales y
Personal
locales. MEDIO-ALTO MEDIO-BAJO 28
La Gerencia de la funcin de servicios de informacin
deber asegurar que se establezcan y mantengan las
Proteccin
suficientes medidas para la proteccin contra los
contra
12.5 factores ambientales (por ejemplo, fuego, polvo,
Factores
electricidad, calor o humedad excesivos). Debern
Ambientales
instalarse equipo y dispositivos especializados para
monitorear y controlar el ambiente. MEDIO-ALTO MEDIO 42
La Gerencia deber evaluar regularmente la necesidad
de contar con generadores y bateras de suministro
Suministro ininterrumpido de energa (UPS) para las aplicaciones
12.6 Ininterrumpido crticas de tecnologa de informacin, con el fin de
de Energa protegerse contra fallas y fluctuaciones de energa.
Cuando sea justificable, deber instalarse el equipo
ms apropiado. BAJO MEDIO-ALTO 8

91/123
Diseo de Sistema de Gestin de Seguridad de Informacin

7.2.4 Evaluar y Priorizar Riesgos

Las comparaciones del anlisis de riesgo realizadas sobre diferentes reas de la


organizacin o sobre los diferentes procesos permiten priorizar los riesgos sobre los
cuales se ha de centrar la atencin para definir una opcin de tratamiento.

Se ha elaborado una lista ordenada de mayor a menor, por la valoracin del nivel de
exposicin. Esto permite definir los riesgos de mayor grado de importancia sobre los
cuales deber definir las opciones de tratamiento. Centrando nuestra atencin en lo
crtico, de acuerdo a los niveles de aceptacin que se han definidos

A continuacin se detalla un resumen del nivel de exposicin de los riesgos.

Objetivos
de
Procesos Control Alto Medio Bajo Alto+Medio
DS4 - Asegurar continuidad del
servicio 13 6 4 3 10
DS5 - Garantizar la seguridad de
sistemas 21 1 8 12 9
DS11 - Administrar la informacin 30 0 7 23 7
PO9 - Evaluar Riesgos 8 0 6 2 6
PO11 -Administrar Calidad 19 0 6 13 6
DS12 - Administrar las instalaciones 6 1 3 2 4
AI6 - Administrar cambios 8 0 2 6 2
105 8 36 61 44
8% 34% 58% 42%

Los riesgos a priorizar son los que estn en el nivel de exposicin ALTO y MEDIO.

92/123
Diseo de Sistema de Gestin de Seguridad de Informacin

7.2.5 Tratamiento del Riesgo

Para la actividad o componente al cual se aplic el proceso de administracin de


riesgos, hay que determinar las posibles formas de reducir o mitigar el riesgo.

Entre las opciones de tratamiento tenemos las siguientes:

Evitar: Se reduce la probabilidad de prdida al mnimo; dejar de ejercer la actividad o


proceso.

Reducir: Se consigue mediante la optimizacin de los procedimientos y la


implementacin de controles tendientes a disminuir la probabilidad de ocurrencia o el
impacto.

Atomizar: Distribuir la localizacin del riesgo, segmentando el objeto sobre el cual se


puede materializar el riesgo.

Transferir: Pasar el riesgo de un lugar a otro, compartir con otro el riesgo, esta tcnica
no reduce la probabilidad ni el impacto, involucra a otro en la responsabilidad.

Asumir: Se acepta la prdida residual probable, con la aceptacin del riesgo las
estrategias de prevencin se vuelven esenciales.

El tratamiento a usar para mitigar los riesgos de alto impacto es estableciendo controles
que ayuden a reducir el impacto y probabilidad de ocurrencia de eventos que puedan
ocasionar daos a la infraestructura de IT.

Los controles a implementar estn enfocados a los siguientes procesos de


Administracin de IT.

DOMINIO PROCESO
Planeacin y PO9 Evaluar riesgos
Organizacin PO11 Administrar Calidad
Adquisicin e AI6 Administrar cambios
Instalacin
Entrega de DS4 Asegurar continuidad del
Servicios servicio
DS5 Garantizar la seguridad
de sistemas
DS11 Administrar la
informacin
DS12 Administrar las
instalaciones

93/123
Diseo de Sistema de Gestin de Seguridad de Informacin

8. PLAN DE ACCIN

MODELO DE MEJORES PRACTICAS COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/3
PLAN DE ACCIN
DOMINIO : PLANIFICACIN Y PROCESO: PO9 Evaluar Riesgo
ORGANIZACIN
que satisface los Soportar las decisiones de la administracin a travs del el logro de los objetivos de TI
requerimientos de y responder a las amenazas reduciendo su complejidad incrementando su objetividad e
negocio de: identificando factores de decisin importantes
se hace posible a travs la participacin de la propia organizacin en la identificacin de riesgos de TI y en el
de: anlisis de impacto, involucrando funciones multidisciplinarias y tomando medidas
econmicas para mitigar los riesgos.

y toma en consideracin: Propiedad y registro de la administracin del riesgo


diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de
continuidad, regulatorios, etc.)
Definir y comunicar el perfil de tolerancia del riesgo
Anlisis del origen de las causas y sesiones de tormentas de ideas sobre riesgos
Medicin cuantitativa y/o cualitativa del riesgo
metodologa de evaluacin de riesgos
plan de accin de riesgos
Reevaluaciones oportunas

CONTROLES
Control a Implementar POLTICAS Y PROCEDIMIENTOS DE EVALUACIN DE
PO9 C1
RIESGOS.
La administracin deber establecer un foro Gerencial, para asegurarse que
exista una direccin clara de las iniciativas de seguridad
Metodologa
Frecuencia de evaluacin
Evaluaciones de riesgo a nivel global y de sistemas
Equipo multidiscplinario
Mantener actualizadas las evaluaciones de riesgo, resultados de
auditoras, inspecciones e incidentes
Polticas de seguros que cubren el riesgo residual.
Responsables de
Gerente General
implementacin
Plazo (tiempo de 9 meses
ejecucin)

Control a Implementar
PO9 C2 REVISIONES DE GRUPOS ESPECIALIZADOS
La Gerencia debe solicitar la revisin independiente de grupos especializados
de seguridad y de tecnologa de Informacin
Especialista de Seguridad identifican amenazas
Especialistas de TI identifican los controles

Responsables de Gerente General y Gerencia de Sistemas


implementacin
Plazo (tiempo de 3 meses
ejecucin)

94/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/3
PLAN DE ACCIN
DOMINIO : PLANIFICACIN Y PROCESO: PO9 Evaluar Riesgo
ORGANIZACIN
CONTROLES
Control a Implementar DEFINICIN DE UN MARCO REFERENCIAL DE
PO9 C3
RIESGOS
La Gerencia deber establecer una evaluacin sistemtica de
riesgos incorporando:
Los riesgos de informacin relevantes para el logro de los
objetivos de la organizacin
Base de datos para determinar la forma en la que los riesgos
deben ser manejados a un nivel aceptable.
El alcance y los lmites de la evaluacin de riesgos

Responsables de Gerente General


implementacin
Plazo (tiempo de 2 meses
ejecucin)

Control a Implementar PROCEDIMIENTOS DE EVALUACIN DE RIESGOS


PO9 C4

La gerencia deber:
Determinar que los riesgos identificados incluyen factores
tanto externos como internos
Asesores expertos en riesgos deben asegurar las evaluaciones
de riesgo
Revisar los informes de resultados de las auditoras,
Revisiones de Inspecciones e incidentes identificados.
Definir un enfoque cuantitativo y/o cualitativo formal para la
identificacin y medicin de riesgos, amenazas y exposiciones.
Responsables de Gerente General
implementacin
Plazo (tiempo de 3 meses
ejecucin)

95/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 3/3
PLAN DE ACCIN
DOMINIO : PLANIFICACIN Y PROCESO: PO9 Evaluar Riesgo
ORGANIZACIN
Control a Implementar REPORTES A LA PRESIDENCIA PARA SU REVISIN Y
PO9 C5
ACUERDO DE ACEPTACIN
La Gerencia de Sistemas deber emitir reportes a la Presidencia
para su revisin y acuerdo con los riesgos identificados.
Responsables de Gerencia de Sistemas
implementacin
Plazo (tiempo de 1 mes
ejecucin)
Control a Implementar PLAN DE ACCIN
PO9 C6
La Gerencia deber establecer el plan de accin contra los riesgos, se debe
establecer la estrategia de riesgos en trminos de evitar, mitigar o aceptar el
riesgo.
Responsables de Gerente General
implementacin
Plazo (tiempo de 3 meses
ejecucin)
RIESGOS A MITIGAR
Objetivos de Riesgo Riesgo OBSERVACIN
Control Actual Esperado
O I T O I T
Evaluacin de Riesgos del 7 8 56 3 8 24 PO9-C1, C3, C4
Negocio
Enfoque de Evaluacin de 7 9 56 3 9 27 PO9-C1, C3, C4
Riesgos
Medicin de Riesgos 7 6 42 5 6 30 PO9-C3, C4
Plan de Accin contra 7 8 56 3 8 24 PO9-C3, C6
Riesgos
Aceptacin de Riesgos 7 6 42 5 6 30 PO9-C5, C6
Seleccin de Garantas o 7 6 42 5 6 30 PO9-C1, C6
Protecciones

96/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/2
PLAN DE ACCIN
DOMINIO : PLANEACIN Y PROCESO: PO11 Administracin
ORGANIZACIN De la Calidad
que satisface los Satisfacer los requerimientos del cliente de TI
requerimientos de
negocio de:
se hace posible a travs La planeacin, implementacin y mantenimiento de estndares y
de: sistemas de administracin provistos para las distintas fases de
desarrollo, con entregables claros y responsabilidades explcitas
y toma en Establecimiento de una cultura de calidad
consideracin: Planes de calidad
responsabilidades de aseguramiento de la calidad
Prcticas de control de calidad
metodologa del ciclo de vida de desarrollo de sistemas
Pruebas y documentacin de programas y sistemas
revisiones y reporte de aseguramiento de calidad
Entrenamiento e involucramiento del usuario final y
del personal de aseguramiento de calidad
Desarrollo de una base de conocimientos de aseguramiento
de calidad
Benchmarking contra normas de la industria
CONTROLES
Control a Implementar
PO11 C1 POLTICAS Y PROCEDIMIENTOS RELACIONADOS CON EL
ASEGURAMIENTO DE LA CALIDAD
La organizacin deber desarrollar, diseminar, y peridicamente
revisar/actualizar:
(i) Una poltica de administracin del Plan General de la Calidad
formalmente definida y documentada.
(ii) Procedimientos documentados para facilitar la implantacin de la
poltica del plan general de calidad y los controles asociados.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
PO11 C2 METODOLOGA DEL CICLO DE VIDA DE DESARROLLO DE SISTEMAS

La organizacin deber fijar, realizar, y documentar la metodologa adecuada


del ciclo de vida en el desarrollo de los sistemas tanto adquirido como
desarrollado internamente

Responsables de Gerente de Sistemas, Oficial de Seguridad.


implementacin
Plazo (tiempo de 2 meses
ejecucin)
Control a Implementar
PO11 C3 MARCO REFERENCIAL DE ADQUISICIN Y MANTENIMIENTO PARA LA
INFRAESTRUCTURA DE TECNOLOGA
La organizacin deber construir un marco referencial que incluya pasos a
seguir como: adquisicin, programacin, documentacin y pruebas ,
establecimiento de parmetros y aplicacin de correcciones , estos pasos deben
estar alineados dentro del marco referencial.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 semanas
ejecucin)

97/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/2
PLAN DE ACCIN
DOMINIO : PLANEACIN Y PROCESO: PO11 Administracin
ORGANIZACIN De la Calidad
Control a Implementar
PO11 C4 ENFOQUE DE ASEGURAMIENTO DE LA CALIDAD DE LA ORGANIZACIN

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
a. Una revisin post-implementacin para asegurar que todos
los sistemas nuevos modificados sean desarrollados y
puestos en produccin de acuerdo con la metodologa del
ciclo de vida, el cual debe ser respetado por el equipo del
proyecto.
b. Una revisin en la medida que los sistemas nuevos
modificados han alcanzado los objetivos establecidos por la
administracin.

Responsables de Gerente de Sistemas, Oficial de Seguridad.


implementacin
Plazo (tiempo de 1 mes
ejecucin)

RIESGOS A MITIGAR
Riesgo Riesgo
Objetivos de
Actual Esperado OBSERVACIN
Control
O I T O I T
Plan General de Calidad 7 6 42 5 6 30 PO11-C1-C4
Enfoque de Aseguramiento 7 6 42 5 6 30 PO11-C1-C4
de Calidad
Planeacin del 7 6 42 5 6 30 PO11-C1-C4
Aseguramiento de Calidad
Marco de Referencia de 5 10 50 3 10 30 PO11-C3
Adquisicin y
Mantenimiento para la
Infraestructura de
Tecnologa
Evaluacin del 7 6 42 5 6 30 PO11-C2
Aseguramiento de la
Calidad
sobre el Cumplimiento de
Estndares de
Desarrollo
Revisin del 7 6 42 5 6 30 PO11-C4
Aseguramiento de Calidad
sobre
el Logro de los Objetivos
de TI

98/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/3
PLAN DE ACCIN
DOMINIO : ADQUISICIN E PROCESO: AI6-Administrar
IMPLEMENTACIN Cambios
que satisface los Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores
requerimientos de
negocio de:
se hace posible a travs Un sistema de administracin que permita el anlisis, implementacin y seguimiento
de: de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual.

y toma en consideracin: identificacin de cambios


procedimientos de categorizacin, priorizacin y emergencia
evaluacin del impacto
autorizacin de cambios
Administracin de liberacin
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
Rediseo de los procesos del negocio
CONTROLES
Control a Implementar
AI6 C1 CONTROL DE CAMBIOS

La Gerencia de TI deber asegurar que la administracin de cambios, as como


el control y la distribucin de software sean integrados apropiadamente en un
sistema completo de administracin de configuracin. El sistema utilizado para
monitorear los cambios a los sistemas de aplicacin debe ser automtico para
soportar el registro y seguimiento de los cambios realizados a grandes y
complejos sistemas de informacin.
Responsables de Gerencia de Sistemas
implementacin
Plazo (tiempo de 8 meses
ejecucin)

Control a Implementar SOFTWARE INSTALADO POR EL USUARIO


AI6 C2 (USER INSTALLED SOFTWARE)
La organizacin deber dar restricciones explcitas para descargar e instalar
software por parte de los usuarios
Responsables de Gerencia de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar RESTRICCIONES DE USO DE SOFTWARE.


AI6 C3 (SOFTWARE USAGE RESTRICTIONS)
La organizacin deber obedecer a las restricciones de uso del software.
Responsables de Gerencia de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 4 meses
ejecucin)

99/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/3
PLAN DE ACCIN
DOMINIO : ADQUISICIN E PROCESO: AI6-Administrar
IMPLEMENTACIN Cambios
Control a Implementar
AI6 C4 DOCUMENTACIN DE LOS SISTEMAS DE INFORMACIN

La organizacin deber asegurar que este disponible la adecuada


documentacin para el sistema de informacin y sus componentes constitutivos,
protegida cuando es requerido, y distribuida al personal autorizado.
Responsables de Gerencia de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar POLTICAS Y PROCEDIMIENTOS DE ADMINISTRACIN DE LA


AI6 C5 CONFIGURACIN
La organizacin deber desarrollar, diseminar, y peridicamente
revisar/actualizar:
(iii) Una poltica de administracin de la configuracin formalmente
definida y documentada.z
(iv) Procedimientos documentados para facilitar la implantacin de la
poltica de administracin de la configuracin y los controles
asociados
Responsables de Gerencia de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
AI6 C6 CONFIGURACIN BSICA

La organizacin deber desarrollar, documentar, y mantener actualizada la


configuracin bsica de los Sistemas de Informacin Computarizados y un
inventario de los componentes constitutivos del sistema.
Responsables de Gerencia de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 4 meses
ejecucin)

Control a Implementar
AI6 C7 CONFIGURATION SETTINGS

La organizacin deber configurar el ambiente de seguridad de los productos de


tecnologa de informacin al modo mas restrictivo posible, consistente con los
requisitos operacionales de los sistemas de informacin.
Responsables de Gerencia de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 3 meses
ejecucin)

100/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 3/3
PLAN DE ACCIN
DOMINIO : ADQUISICIN E PROCESO: AI6-Administrar
IMPLEMENTACIN Cambios
Control a Implementar
AI6 C8 BITCORA DE CONTROL DE CAMBIOS

La Gerencia de IT, deber establecer una bitcora de control de cambios sobre


los sistemas de informacin computarizados.
Responsables de Gerencia de Sistemas
implementacin
Plazo (tiempo de 3 meses
ejecucin)
RIESGOS A MITIGAR
Objetivos de Riesgo Riesgo OBSERVACIN
Control Actual Esperado
O I T O I T
Control de Cambios 7 8 56 3 8 24 AI6-C7, C1, C8, C6, C5
Distribucin de Software 5 8 40 1 8 8 AI6-C2, C3, C4

101/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/4
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS4 Asegurar
SOPORTE Continuidad del Servicio
que satisface los Asegurar de los servicios de TI estn disponibles de acuerdo con los
requerimientos de requerimientos y asegurar un impacto mnimo en el negocio en el evento que
negocio de: ocurra una interrupcin mayor.
se hace posible a travs Teniendo un plan de continuidad probado y funcional, que
de: est alineado con el plan de continuidad del negocio y relacionado
con los requerimientos de negocio.
y toma en Clasificacin con base en la criticidad
consideracin: Procedimientos alternativos
Respaldo y recuperacin
Pruebas y entrenamiento sistemticos y regulares
Procesos de escalamiento y monitoreo
Responsabilidades organizacionales tanto internas como externas
Planes de reactivacin
Actividades de administracin de riesgos
Anlisis de punto nico de falla
Administracin de problemas
CONTROLES
Control a Implementar
DS4 C1
POLTICAS Y PROCEDIMIENTOS DEL PLAN DE
CONTINGENCIA
La organizacin deber desarrollar, diseminar, y peridicamente
revisar/actualizar:
(v) Una poltica del plan de contingencia con el propsito de
identificar los roles, responsabilidades y cumplimiento.
(vi) Procedimientos documentados para facilitar la implantacin de la
polticas del plan de continuidad del negocio y los controles
asociados

Responsables de Gerente de Sistemas, Oficial de Seguridad.


implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS4 C2 PLAN DE CONTINGENCIA

La organizacin debe desarrollar implementar un Plan de Contingencia para


los sistemas de informacin . Designar un oficial para que revise y apruebe el
plan de contingencia y distribuya copias al personal clave de la contingencia
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 10 meses
ejecucin)

Control a Implementar
DS4 C3 ENTRENAMIENTO PARA LA CONTINGENCIA

La organizacin debe entrenar al personal involucrado en la contingencia con


sus roles , responsabilidades con respecto a los sistemas de informacin y
proveer constantemente entrenamiento . La organizacin debe incorporar
eventos de simulacro dentro del entrenamiento de la contingencia para una

102/123
Diseo de Sistema de Gestin de Seguridad de Informacin

respuesta efectiva del personal en situaciones de crisis


Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 semanas
ejecucin)

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/4
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS4 Asegurar
SOPORTE Continuidad del Servicio
Control a Implementar
DS4 C4 PROBAR EL PLAN DE CONTINGENCIA

La organizacin debe probar el plan de contingencia para los sistemas de


informacin y determinar si el plan es efectivo y la organizacin est lista
para ejecutar el plan

Responsables de Gerente de Sistemas, Oficial de Seguridad.


implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS4 C5 ACTUALIZACIN DEL PLAN DE CONTINGENCIA

La organizacin debe revisar el plan de contingencia , los cambios o problemas


encontrados durante la implementacin , ejecucin prueba del plan
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS4 C6 SITIO ALTERNO DE ALMACENAMIENTO

La organizacin debe identificar un sitio alterno de almacenamiento e iniciar


acuerdo necesarios que permitan almacenar la informacin de respaldo.
El sitio debe estar geogrficamente bien separado del sitio primario para que o
este expuesto a alguna amenaza. El sitio alterno debe estar configurado de
manera que sea oportuno y efectivo la recuperacin de la informacin.

Responsables de Gerente de Sistemas, Oficial de Seguridad.


implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS4 C7 SITIO ALTERNO DE PROCESAMIENTO

La organizacin debe identifica el sitio alterno de procesamiento e iniciar


los acuerdo necesarios que permita reiniciar las operaciones cuando no
este disponible el site primario. El sitio de procesamiento alterno debe
estar completamente configurado para soportar el mnimo de capacidad de
las operaciones y listo para su uso.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 3 mes
ejecucin)

103/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 3/4
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS4 Asegurar
SOPORTE Continuidad del Servicio
Control a Implementar
DS4 C8 SERVICIO DE TELECOMUNICACIONES

La organizacin debe tener un servicio alterno de telecomunicaciones cuando


el servicio principal de comunicaciones no est disponible
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 semanas
ejecucin)

Control a Implementar
DS4 C9 BACKUP DE LOS SISTEMAS DE INFORMACIN

La organizacin debe respaldar y almacenar la informacin en una ubicacin


apropiadamente segura. Debe almacenar las copias de respaldos del sistema
operativo y otros sistemas crticos de informacin.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS4 C10 RECUPERACIN Y RECONSTITUCIN DE LOS SISTEMAS DE
INFORMACIN
La organizacin debe emplear mecanismos con procedimientos de soporte para
permitir que el sistema de informacin sea recuperado y reconstituido al estado
original del sistema despus de una interrupcin falla.
La organizacin debe incluir una recuperacin y reconstitucin completa del
sistema de informacin como parte de la prueba del plan de contingencia.

Responsables de Gerente de Sistemas, Oficial de Seguridad.


implementacin
Plazo (tiempo de 2 meses
ejecucin)

104/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 4/4
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS4 Asegurar
SOPORTE Continuidad del Servicio

RIESGOS A MITIGAR
Riesgo Riesgo
Objetivos de
Actual Esperado OBSERVACIN
Control
O I T O I T
Contenido del Plan de 9 10 90 3 10 30 DS4-C1, C2,
Continuidad de TI
Mantenimiento del Plan de 9 10 90 3 10 30 DS4-C1,C2, C5
Continuidad de
Tecnologa de Informacin
Pruebas del Plan de 9 10 90 3 10 30 DS4-C1,C2,C4
Continuidad de TI
Entrenamiento sobre el 9 8 72 3 8 24 DS4-C1, C2, C3
Plan de Continuidad
de Tecnologa de
Informacin
Distribucin del Plan de 9 8 72 3 8 24 DS4-C1,C2
Continuidad de TI
Recursos Crticos de 9 8 72 5 8 40 DS4-C1,C2, C10
Tecnologa de
Informacin
Estrategia y Filosofa del 7 8 56 4 8 32 DS4-C1,C2,C10
Plan de Continuidad
de TI
Sitio y Hardware de 5 10 50 4 10 40 DS4-C1,C6,C7,C8
Respaldo
Almacenamiento de 5 10 50 3 10 30 DS4-C1, C2, C9
respaldo en el sitio alterno
(Off-site)
Procedimiento de 9 6 54 5 6 30 DS4-C1,C10
afinamiento del Plan de
Continuidad

105/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/9
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS5-Garantizar la
SOPORTE seguridad de sistemas
que satisface los Salvaguardar la informacin contra uso no autorizados, divulgacin,
requerimientos de modificacin, dao o prdida
negocio de:
se hace posible a travs Controles de acceso lgico que aseguren que el acceso a sistemas, datos y
de: programas est restringido a usuarios autorizados.
y toma en Requerimiento de confidencialidad y privacidad
consideracin: Autorizacin, autenticacin y control de acceso
identificacin de usuarios y perfiles de autorizacin
Necesidad de tener y necesidad de conocer
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Administracin centralizada de la seguridad
Entrenamiento de usuarios
Herramientas para el monitoreo del cumplimiento
Pruebas y reportes de intrusin
CONTROLES
Control a Implementar
DS5 C1 POLTICA Y PROCEDIMIENTOS DE CONTROL DE ACCESO

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(vii) Una poltica de control de acceso formalmente definida y
documentada.
(viii) Procedimientos documentados para facilitar la implantacin de la
poltica de control de acceso y los controles asociados
Responsables de Gerentes de Sistema, Oficial de Seguridad.
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
REVISIN GERENCIAL DE CUENTAS DE USUARIO
DS5 C2
La Gerencia deber contar con un proceso de control establecido para revisar y
confirmar peridicamente los derechos de acceso. Se debe llevar a cabo la
comparacin peridica entre los recursos y los registros de las cuentas para
reducir el riesgo de errores, fraudes, alteracin no autorizada o accidental.
Responsables de Gerentes de Sistema, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

106/123
Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor Fecha de diagnostico :


Diseo de un Sistema de Gestin de Seguridad Pag 2/9
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS5-Garantizar la
SOPORTE seguridad de sistemas
Control a Implementar
UNSUCCESSFUL LOGIN
DS5 C3
El sistema de informacin deber obligar a un lmite de intentos de accesos
invlidos consecutivo por un usuario durante un periodo de tiempo. El sistema
de informacin automticamente deber bloquear al usuario par un periodo
determinado, hasta que se libere el bloqueo por un funcionario con el nivel
apropiado.
Responsables de Gerentes de Sistema, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 semanas
ejecucin)

Control a Implementar
ADMINISTRACIN DE CUENTAS DE USUARIO
DS5 C4
La Gerencia deber establecer procedimientos para asegurar acciones
oportunas relacionadas con la solicitud, establecimiento, emisin, suspensin y
cierre de cuentas de usuario. Deber incluirse un procedimiento de aprobacin
formal que indique el propietario de los datos o del sistema que otorga los
privilegios de acceso. La seguridad de acceso a terceros debe definirse
contractualmente teniendo en cuenta requerimientos de administracin y no
revelacin.
Responsables de Gerentes de Sistema, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
SUPERVISIN Y REVISIN DE CONTROL DE ACCESO
DS5 C5
La organizacin deber supervisar y revisar las actividades de los usuarios con
respecto a la aplicacin y uso de los controles de accesos a los sistemas de
informacin.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
ACCESO REMOTO
DS5 C6
La organizacin deber documentar, monitorear, y controlar todos los mtodos
de acceso remoto (ej. Dial-up, internet) a los sistemas de informacin
incluyendo el accesos remoto para las funciones
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)

107/123
Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor Fecha de diagnostico :


Diseo de un Sistema de Gestin de Seguridad Pag 3/9
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS5-Garantizar la
SOPORTE seguridad de sistemas
Control a Implementar CONCIENTIZACION RESPECTO A LA SEGURIDAD IT
DS5 C7 (SECURITY AWARENESS)
La organizacin se asegura a que todos los usuarios (incluyendo gerentes y los
altos ejecutivos) estn concientes de la importancia del sistema de seguridad de
la informacin antes de autorizar acceso a los sistemas de informacin y
despus de esto.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 2 meses
ejecucin)

Control a Implementar
ENTRENAMIENTO DE SEGURIDAD (SECURITY TRAINING)
DS5 C8
La organizacin deber identificar personal con perfiles y responsabilidades
significativos en el SGSI, documentar esos perfiles y responsabilidades, y
proporciona apropiado entrenamiento en seguridad de sistema de informacin
antes de autorizar el acceso al sistema y despus de esto.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 5 meses
ejecucin)

Control a Implementar REGISTROS DE ENTRENAMIENTO DE SEGURIDAD


DS5 C9 (SECURITY TRAINING RECORDS)
La organizacin deber documentar y monitorear las actividades de
entrenamiento individual de seguridad bsico y especifico en los sistemas de
informacin.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
EVENTOS AUDITABLES (AUDITABLE EVENTS)
DS5 C10
El sistema de informacin debe generar registros de auditora para los eventos
siguientes:
Inicios de sesin.
Transacciones que afectan la contabilidad, Inventario, Cxc, CxP,
Bancos.
Altas y Bajas de Maestros de: Cuentas Contables, Proveedores,
Clientes, Productos.
Intentos fallidos de inicio de sesin.

Control a Implementar CONTENIDO DE LOS REGISTROS DE AUDITORIA


DS5 C11 (CONTENT OF AUDIT RECORDS)
Los Sistemas de Informacin Computarizados deben capturar suficiente
informacin en los registros de auditoria para establecer que eventos
ocurrieron, las fuentes de los eventos, y los resultados de los eventos.
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 3 meses
ejecucin)

108/123
Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor Fecha de diagnostico :


Diseo de un Sistema de Gestin de Seguridad Pag 4/9
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS5-Garantizar la
SOPORTE seguridad de sistemas
Control a Implementar CAPACIDAD DE ALMACENAMIENTO PARA LOS LOGS DE AUDITORIA
DS5 C12 (AUDIT STORAGE CAPACITY)
La organizacin asigna suficiente capacidad de almacenamiento y configura el
registro de la auditoria para prevenir que se excede tal espacio.
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar PROCESAMIENTO DE LA AUDITORIA


DS5 C13 (AUDIT PROCESSING)
En el evento de una falla en el registro de la auditoria o la capacidad de
almacenamiento sea alcanzada, el sistema de informacin alertara
apropiadamente a los oficiales de la organizacin para que tomen las acciones
necesarias.
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 2 meses
ejecucin)

Control a Implementar PROTECCIN DE LA INFORMACIN DE AUDITORIA


DS5 C14
El Sistema de Informacin Computarizado protege la informacin de los
LOGS e interfases de auditoria de acceso no autorizado, modificacin, y
borrado.
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar RETENCIN DE LA INFORMACIN DE LOS LOGS DE AUDITORIA


DS5 C15 (AUDIT RETENTION)
La organizacin retiene los Logs de auditoria por 5 aos para proveer apoyo a
las investigaciones de despus de-el-hecho de incidentes de seguridad y para
reunir requerimientos regulatorios y organizacionales de retencin de
informacin.
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 1 mes
ejecucin)

109/123
Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor Fecha de diagnostico :


Diseo de un Sistema de Gestin de Seguridad Pag 5/9
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS5-Garantizar la
SOPORTE seguridad de sistemas
Control a Implementar CATEGORIZACIN DE LA INFORMACIN
DS5 C16
La Gerencia deber implementar procedimientos para asegurar que todos los
datos son clasificados en trminos de sensitividad, mediante una decisin
explcita y formal del dueo de los datos de acuerdo con el esquema de
clasificacin de datos. An los datos que no requieren proteccin debern
contar con una decisin formal que les asigne dicha clasificacin. Los dueos
deben determinar la ubicacin o disposicin de sus datos y determinar quienes
pueden compartir los datos aun si y cuando los programas y archivos sean
mantenidos, archivados o borrados. Debe quedar evidencia de la aprobacin
del dueo y de la disposicin del dato. Se deben definir polticas para soportar
la reclasificacin de la informacin, basados sobre cambios en la sensitividad.
El esquema de clasificacin debe incluir criterios para administrar el
intercambio de informacin entre organizaciones, teniendo en cuenta tanto la
seguridad y el cumplimiento como la legislacin relevante.
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C17 POLTICA Y PROCEDIMIENTOS DE ACREDITACIN Y CERTIFICACIN

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(ix) Una poltica de acreditacin y certificacin formalmente definida
y documentada.
(x) Procedimientos documentados para facilitar la implantacin de la
poltica de acreditacin y certificacin y los controles asociados
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C18 CERTIFICACIN DE SEGURIDAD

La organizacin debera dirigir una valoracin de los controles de seguridad en


los sistemas de informacin para determinar hasta que punto los controles son
implementados correctamente, ejecutados como fueron planeado, y
produciendo el resultado deseado con respecto a los requisitos del SGSI.
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 3 meses
ejecucin)

EMPRESA : Ecuacolor Fecha de diagnostico :

110/123
Diseo de Sistema de Gestin de Seguridad de Informacin

Diseo de un Sistema de Gestin de Seguridad Pag 6/9


PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS5-Garantizar la
SOPORTE seguridad de sistemas
Control a Implementar
DS5 C19 PLAN OF ACTION AND MILESTONES

La organizacin debera desarrolla y actualiza, un plan de accin para el


sistema de informacin que documente los planes de la organizacin,
implementaciones, y evolucin de acciones tomadas para remediar cualquier
deficiencia notada durante la valoracin de los controles de seguridad, para
reducir o eliminar vulnerabilidades conocidas.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C20 ACREDITACIN DE SEGURIDAD

La organizacin debera autorizar (es decir, acreditar) a los sistema de


informacin antes de empezar a funcionar y cada cierto tiempo. El oficial de
seguridad debera firmar y aprobar la acreditacin de seguridad
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 2 meses
ejecucin)

Control a Implementar
DS5 C21 MONITOREO CONTINUO

La organizacin debera supervisar que los controles de seguridad en los


sistema de informacin se mantengan de una forma continua.
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C22 POLTICA Y PROCEDIMIENTOS DE RESPUESTA A INCIDENTES

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(xi) Una poltica de respuesta a incidentes formalmente definida y
documentada.
(xii) Procedimientos documentados para facilitar la implantacin de la
poltica de respuesta a incidentes y los controles asociados
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar MANEJO DE INCIDENTES


DS5 C23 (INCIDENT HANDLING)
La organizacin debera implementar una actividad de manejo de incidentes
para los eventos de seguridad y debera incluir: preparacin, deteccin y
anlisis, contencin, erradicacin, y recuperacin.
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 3 meses
ejecucin)
EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 7/9

111/123
Diseo de Sistema de Gestin de Seguridad de Informacin

PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS5-Garantizar la
SOPORTE seguridad de sistemas
Control a Implementar
DS5 C24 REPORTES DE VIOLACIN Y DE ACTIVIDADES DE SEGURIDAD

La administracin de la funcin de servicios de informacin deber asegurar


que las violaciones y la actividad de seguridad sean registradas, reportadas,
revisadas y escaladas apropiadamente en forma regular para identificar y
resolver incidentes que involucren actividades no autorizadas. El acceso lgico
a la informacin sobre el registro de recursos de cmputo (seguridad y otros
logs) deber otorgarse tomando como base el principio de menor privilegio o
necesidad de saber.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C25 INCIDENT REPORTING

La organizacin debera reportar rpidamente los informes de incidentes a las


autoridades apropiadas.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS5 C26 INCIDENT RESPONSE ASSISTANCE

La organizacin debera proporcionar ayuda a los usuarios de los sistemas de


informacin para el manejo e informacin de los incidentes de seguridad.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C27 POLTICA Y PROCEDIMIENTOS PARA LA PLANIFICACIN DE LA
SEGURIDAD
La organizacin deber desarrollar, diseminar, y peridicamente
revisar/actualizar:
(i) Una poltica para la planificacin de seguridad formalmente
definida y documentada.
(ii) Procedimientos documentados para facilitar la implantacin de la
poltica de la planificacin de la seguridad y los controles
asociados
Responsables de Gerente de sistemas, Oficial de Seguridad, Auditor Interno
implementacin
Plazo (tiempo de 5 meses
ejecucin)

112/123
Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor Fecha de diagnostico :


Diseo de un Sistema de Gestin de Seguridad Pag 8/9
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS5-Garantizar la
SOPORTE seguridad de sistemas
Control a Implementar
DS5 C28 PLAN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

La organizacin debera desarrollar e implementar un plan de seguridad para


los sistema de informacin que proporciona una apreciacin global de los
requisitos de seguridad para los sistemas y una descripcin de la controles de
seguridad que existen o estn planeados implantar.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C29 ACTUALIZAR PLAN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

La organizacin debera revisar el plan de seguridad para los sistemas de


informacin, para detectar cualquier desviacin o efectuar alguna correccin.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C30 REGLAS DE CONDUCTA

La organizacin debera establecer y hacer prontamente disponible a todos los


usuarios de los sistemas de informacin un juego de reglas que describen sus
responsabilidades y conducta esperada con respecto a los usos de los sistemas
de informacin.
La organizacin debera recibir firmado el reconocimiento de los usuarios en
donde se indica que ellos han ledo, han entendido, y han estado de acuerdo en
someterse a las reglas de conducta, antes de autorizar el acceso a los sistemas
de informacin.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C31 CONTROL DE LOS USUARIOS SOBRE SUS CUENTAS

Los usuarios debern controlar en forma sistemtica la actividad de su(s)


propia(s) cuenta (s). Tambin se debern establecer mecanismos de
informacin para permitirles supervisar la actividad normal, as como alertarlos
oportunamente sobre actividades inusuales.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)

113/123
Diseo de Sistema de Gestin de Seguridad de Informacin

EMPRESA : Ecuacolor Fecha de diagnostico :


Diseo de un Sistema de Gestin de Seguridad Pag 9/9
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS5-Garantizar la
SOPORTE seguridad de sistemas
Control a Implementar
DS5 C32 PLAN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

La organizacin debera desarrollar e implementar un plan de seguridad para los


sistema de informacin que proporciona una apreciacin global de los requisitos
de seguridad para los sistemas y una descripcin de la controles de seguridad que
existen o estn planeados implantar.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS5 C33 VIGILANCIA DE SEGURIDAD

La administracin de seguridad de TI debe asegurar que la actividad de seguridad


sea registrada y que cualquier indicacin sobre una inminente violacin de
seguridad sea notificada inmediatamente a todos aquellos que puedan verse
afectados, tanto interna como externamente y se debe actuar de una manera
oportuna.
Responsables de Gerente de sistemas, Oficial de Seguridad
implementacin
Plazo (tiempo de 3 meses
ejecucin)
RIESGOS A MITIGAR
Riesgo Riesgo
Objetivos de
Actual Esperado OBSERVACIN
Control
O I T O I T
9 8 72 5 8 40 DS5-C1, C7, C8, C9, C19,
Administrar Medidas de
Seguridad
C20, C21, C27, C28, C29,
C30, C32
Administracin de Cuentas 5 8 40 3 8 24 DS5-C1, C3, C4, C5, C6, C7,
de Usuario C8
Revisin Gerencial de 7 6 42 5 6 30 DS5-C2, C5, C6
Cuentas de Usuario
Control de Usuarios sobre 7 8 56 5 8 40 DS5-C7, C31
Cuentas de Usuario
7 8 56 3 8 24 DS5-C10, C11, C12, C13,
Vigilancia de Seguridad
C14, C15, C33
Clasificacin de Datos 7 6 42 5 6 30 DS5-C16
Reportes de Violacin y de 7 8 56 3 8 24 DS5-C10, C11, C12, C13,
Actividades de Seguridad C14, C15, C24
5 8 40 3 8 24 DS5-C22, C23, C24, C25,
Manejo de Incidentes
C26
Reacreditacin 9 4 36 7 4 28 DS5-C17, C18, C20, C21

114/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/3
PLAN DE ACCIN
DOMINIO : ADQUISICIN E PROCESO: DS11-Administrar los
IMPLEMENTACIN Datos
que satisface los Asegurar que los datos permanezcan completos, precisos y vlidos durante
requerimientos de su entrada, actualizacin y almacenamiento
negocio de:
se hace posible a travs Una combinacin efectiva de controles generales y de aplicacin
de: sobre las operaciones de TI

y toma en consideracin: Diseo de formatos


Controles de documentos fuente
Controles de entrada, procesamiento y salida
Identificacin, movimiento y administracin de la librera de medios
Recuperacin y respaldo de datos
Autenticacin e integridad
Propiedad de datos
Polticas de administracin de datos
Modelo de datos y estndares de representacin de datos
Integracin y consistencia a travs de plataformas
Requerimientos legales y regulatorios

CONTROLES
Control a Implementar POLTICAS Y PROCEDIMIENTOS DE
DS11 C1
ADMINISTRACIN DE DATOS
La Organizacin deber disear, implementar y peridicamente
revisar/actualizar:
Flujo de datos dentro de la funcin de TI y hacia/desde los usuarios de los
datos
Proceso de autorizacin de documentos fuente
Procesos de recoleccin, seguimiento y transmisin de datos
Procedimientos utilizados para identificar y corregir errores durante la
creacin de datos
Mtodos utilizados por la organizacin para retener documentos fuente
(archivo, imgenes, etc.), para definir qu documentos deben ser retenidos,
los requerimientos de retencin legales y regulatorios, etc.
Contratos de proveedores para llevar a cabo tareas de administracin de
datos
Reportes administrativos utilizados para monitorear actividades e
inventarios

Responsables de Gerencia de Sistemas


implementacin
Plazo (tiempo de 8 meses
ejecucin)

115/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/3
PLAN DE ACCIN
DOMINIO : ADQUISICIN E PROCESO: DS11-Administrar los
IMPLEMENTACIN Datos
CONTROLES
Control a Implementar
DS11 C2 REVISIN DE TODAS LAS APLICACIONES CRTICAS
La Gerencia de IT deber revisar:
Mdulos que lleven a cabo revisiones de precisin, suficiencia y
autorizacin de captura en el ingreso de datos
Funciones que lleven a cabo entradas de datos para cada aplicacin
Funciones que lleven a cabo rutinas de correccin de errores de entrada de
datos
Mtodos utilizados para prevenir (por medios manuales y programados),
detectar y corregir errores
Control de la integridad de los procesos de datos enviados a proceso
Distribucin de salidas sensitiva slo a personas autorizadas
Procedimientos de balanceo de salidas para control de totales y
conciliacin de variaciones

Responsables de Gerencia de Sistemas


implementacin
Plazo (tiempo de 7 meses
ejecucin)

Control a Implementar POLTICAS Y PROCEDIMIENTOS DE REPOSITORIO


DS11 C3
CENTRAL DE BASES DE DATOS
La organizacin deber establecer las normas, diseo y control:
Organizacin de la base de datos y diccionario de datos
Procedimientos de mantenimiento y seguridad de bases de datos
Determinacin y mantenimiento de la propiedad de las bases de datos
Procedimientos de control de cambios sobre el diseo y contenido de la
base de datos
Reportes administrativos y pistas de auditora que definen actividades de
bases de datos

Responsables de Gerencia de Sistemas


implementacin
Plazo (tiempo de 6 meses
ejecucin)

116/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 3/3
PLAN DE ACCIN
DOMINIO : ADQUISICIN E PROCESO: DS11-Administrar los
IMPLEMENTACIN Datos
Control a Implementar POLTICAS Y PROCEDIMIENTOS DE LIBRERA DE
DS11 C4
MEDIOS Y ALMACENAMIENTO DE DATOS EXTERNO
La organizacin deber definir los controles para:
Administracin de la librera de medios y del sistema de administracin de
la librera
Requerir la identificacin externa de todos los medios
Requerir el inventario actual de todos los contenidos y procesos para
actividades de control
Procedimientos de reconciliacin entre registros actuales y registros de
datos almacenados
Reciclaje de datos y proteccin de informacin sensitiva
Rotacin de medios de datos
Inventario de datos de prueba y pruebas de recuperacin llevadas a cabo
Medios y funciones del personal en el sitio alterno en el plan de continuidad
Asegurar que el archivo cumple con requerimientos legales y de negocio

Responsables de Gerencia de Sistemas


implementacin
Plazo (tiempo de 3 meses
ejecucin)
RIESGOS A MITIGAR
Objetivos de Riesgo Riesgo OBSERVACIN
Control Actual Esperado
O I T O I T
Chequeos de Exactitud, 7 8 56 3 8 24 DS11-C1, C2, C3
Suficiencia y Autorizacin
Integridad de 5 8 40 3 8 24 DS11-C2, C3, C4
Procesamiento de Datos
Provisiones de Seguridad 7 8 56 2 8 16 DS11-C2
para Reportes de
Salida
Proteccin de Informacin 7 8 56 3 8 24 DS11-C1
Sensible durante
transmisin y transporte
Proteccin de Informacin 7 6 42 3 6 18 DS11-C4
Sensitiva Desechada
Sistema de Administracin 7 8 56 2 8 16 DS11-C3, C4
de la Librera de
Medios
Archivo 7 6 42 3 6 18 DS11-C4

117/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 1/5
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS12 - Administrar las
SOPORTE instalaciones
que satisface los Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI
requerimientos de contra peligros naturales o fallas humanas.
negocio de:
se hace posible a travs La instalacin de controles fsicos y ambientales adecuados que sean revisados
de: regularmente para su funcionamiento apropiado.

y toma en acceso a instalaciones


consideracin: identificacin del sitio
seguridad fsica
Polticas de inspeccin y escalamiento
Planeacin de continuidad del negocio y administracin
de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado
CONTROLES
Control a Implementar
DS12 C1 POLTICAS Y PROCEDIMIENTOS DE MANTENIMIENTO DE SISTEMAS

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(xiii) Una poltica de mantenimiento de sistemas formalmente definida
y documentada.
(xiv) Procedimientos documentados para facilitar la implantacin de la
poltica de mantenimiento de sistemas y los controles asociados.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS12 C2 MANTENIMIENTO PERIDICO

La organizacin deber fijar, realizar, y documentar el preventivo, rutinario y


regular mantenimiento en los componentes de los sistemas de informacin de
acuerdo con las especificaciones del fabricante o vendedor y/o las de los
requerimientos internos.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 meses
ejecucin)

Control a Implementar
DS12 C3 PERSONAL DE MANTENIMIENTO

La organizacin deber mantener una lista de personal autorizado para realizar


mantenimiento sobre el sistema de informacin. Slo personal autorizado
debera realizar mantenimiento en el sistema de informacin.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 semanas
ejecucin)

118/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 2/5
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS12 - Administrar las
SOPORTE instalaciones
Control a Implementar
DS12 C4 POLTICAS Y PROCEDIMIENTOS DE PROTECCIN DE MEDIOS.

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(xv) Una poltica de proteccin de medios formalmente definida y
documentada.
(xvi) Procedimientos documentados para facilitar la implantacin de la
poltica de proteccin de medios y los controles asociados.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS12 C5 ACCESO A MEDIOS (MEDIA ACCESS)

La organizacin deber asegurar que slo los usuarios autorizados tienen


acceso a informacin en forma impresa o en medios de comunicacin digitales
extrados de los sistemas de informacin.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS12 C6 DESTRUCCIN Y DISPOSICIN DE MEDIOS
(MEDIA DESTRUCTION AND DISPOSAL)
La organizacin deber sanear o destruir los medios digitales de los sistemas de
informacin antes de su disposicin o descargo, para reutilizar fuera de la
organizacin, para prevenir que individuos no autorizados puedan obtener
acceso y usar la informacin contenida en estos.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS12 C7 POLTICAS Y PROCEDIMIENTOS DE PROTECCIN AMBIENTAL Y FSICA.

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(xvii) Una poltica de proteccin de ambiental y fsica formalmente
definida y documentada.
(xviii) Procedimientos documentados para facilitar la implantacin de la
poltica de proteccin ambiental y fsica y los controles asociados.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

119/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 3/5
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS12 - Administrar las
SOPORTE instalaciones
Control a Implementar
DS12 C8 AUTORIZACIONES DE ACCESO FSICO

La organizacin deber desarrollar y conservar listas actualizadas del personal


con acceso autorizado a los recursos de los sistemas de informacin y debern
portar credenciales apropiadas de autorizacin (ej., insignias, tarjetas de
identificacin). El oficial de seguridad debe revisar y aprobar la lista de acceso
y la autorizacin de credenciales.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 semanas
ejecucin)

Control a Implementar
DS12 C9 CONTROL DE ACCESO FSICO

La organizacin deber controlar todos los puntos de acceso fsico a los


recursos de los sistemas de informacin y verificar autorizaciones de acceso
individuales antes de conceder acceso a los recursos. La organizacin tambin
deber controlar el acceso a las reas oficialmente designadas como
pblicamente accesible, como es apropiado, en acuerdo con la valoracin de
riesgos de la organizacin.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 3 meses
ejecucin)

Control a Implementar
DS12 C10 MONITOREAR EL ACCESO FSICO

La organizacin deber monitorear el acceso fsico a los sistemas de


informacin para detectar y responder a incidentes.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 meses
ejecucin)

Control a Implementar
DS12 C11 CONTROL DE VISITANTES

La organizacin deber controlar el acceso fsico a los sistemas de informacin


autenticando a los visitantes antes de autorizar acceso a los recursos.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 meses
ejecucin)

120/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 4/5
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS12 - Administrar las
SOPORTE instalaciones
Control a Implementar
DS12 C12 ESCOLTA DE VISITANTES

Debern establecerse procedimientos apropiados que aseguren que las personas


que no formen parte del grupo de operaciones de la funcin de servicios de
informacin sean escoltadas por algn miembro de ese grupo cuando deban
entrar a las instalaciones de cmputo. Deber mantenerse y revisarse
regularmente una bitcora de visitantes.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 1 mes
ejecucin)

Control a Implementar
DS12 C13 BITCORA DE VISITANTES

La organizacin deber mantener una bitcora de visitantes que incluye:


(i) el nombre y organizacin del persona que visita;
(ii) la firma de el visitante;
(iii) la forma de identificacin;
(iv) la fecha de acceso;
(v) tiempo de entrada y salida;
(vi) propsito de visita; y
(vii) el nombre y organizacin de la persona visitada.
El Oficial de Seguridad revisara regularmente la bitcora.
Responsables de Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 semanas
ejecucin)

Control a Implementar
DS12 C14 LUCES DE EMERGENCIA

La organizacin deber emplear y mantener un sistema automtico de luces de


emergencia que se activan al evento de un fallo de poder o ruptura y que cubre
salidas de emergencia y rutas de evacuacin.
Responsables de Gerencia General, Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 7 meses
ejecucin)

Control a Implementar
DS12 C15 PROTECCIN CONTRA INCENDIOS

La organizacin deber emplear y mantener un sistema automtico de luces de


emergencia que se activan al evento de un fallo de poder o ruptura y que cubre
salidas de emergencia y rutas de evacuacin.
Responsables de Gerencia General, Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 7 meses
ejecucin)

121/123
Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor Fecha de diagnostico :
Diseo de un Sistema de Gestin de Seguridad Pag 5/5
PLAN DE ACCIN
DOMINIO : ENTREGA Y PROCESO: DS12 - Administrar las
SOPORTE instalaciones
Control a Implementar
DS12 C16 CONTROLES DE TEMPERATURA Y HUMEDAD

La organizacin deber monitorear la temperatura y humedad, y mantener


regularmente dentro de los niveles aceptables las instalaciones de Tecnologa.
Responsables de Gerencia General, Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 8 meses
ejecucin)

Control a Implementar
DS12 C17 PROTECCIN CONTRA DAOS OCASIONADOS POR EL AGUA

La organizacin deber proteger el sistema de informacin de dao de agua que


resulta de la ruptura lneas de plomera u otras fuentes de goteo de agua
asegurando que las vlvulas maestras de "shutoff" son accesibles, funcionan
apropiadamente, y son conocidas por el personal principal.
Responsables de Gerente General, Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 2 semanas
ejecucin)

Control a Implementar DISCRECIN SOBRE LAS INSTALACIONES DE


DS12 C18 TECNOLOGA DE INFORMACIN

La Gerencia de la funcin de servicios de informacin deber asegurar que se


mantenga un bajo perfil sobre la identificacin fsica de las instalaciones
relacionadas con sus operaciones de tecnologa de informacin. La informacin
sobre la ubicacin del sitio debe ser limitada y mantenerse con la adecuada
reserva.
Responsables de Gerencia General, Gerente de Sistemas, Oficial de Seguridad.
implementacin
Plazo (tiempo de 8 meses
ejecucin)
RIESGOS A MITIGAR
Riesgo Riesgo
Objetivos de
Actual Esperado OBSERVACIN
Control
O I T O I T
7 10 70 5 10 50 DS12-C1, C2, C3, C4, C5,
Seguridad Fsica
C6, C9, C10
Discrecin sobre las 7 6 42 5 6 30 DS12-C3, C5, C18
Instalaciones de
Tecnologa de Informacin
9 6 54 3 6 18 DS12-C8, C9, C10, C11,
Escolta de Visitantes
C12, C13
Proteccin contra Factores 7 6 42 5 6 30 DS12-C7, C14, C15, C16,
Ambientales C17

122/123
Diseo de Sistema de Gestin de Seguridad de Informacin

9 BENEFICIOS

La implantacin de un Sistema de Gestin de la Seguridad de la Informacin


proporciona a Ecuacolor Laboratorio Fotogrfico los siguientes beneficios:

Un anlisis de riesgos de sus Sistemas de Informacin.


Una gestin adecuada de los riesgos segn su modelo de empresa.
Una mejora continua de su gestin de la seguridad.
El cumplimento de la legislacin vigente sobre proteccin de datos de carcter
personal, comercio electrnico, propiedad intelectual, etc.
Facilita el logro de los objetivos de la organizacin.
Hace a la organizacin ms segura y consciente de sus riesgos.
Mejoramiento contino del Sistema de Control Interno.
Optimiza la asignacin de recursos.
Aprovechamiento de oportunidades de negocio.
Fortalece la cultura de autocontrol.
Mayor estabilidad ante cambios del entorno.
Conocer y Analizar sus riesgos, identificando amenazas, vulnerabilidades e
impactos en su empresa.
Reducir eficazmente el nivel de riesgo mediante los controles adecuados
Organizar los recursos de la seguridad.
Integra la Gestin de la Seguridad SI.
Aporta confianza a los sistemas de informacin

Y en definitiva, establece una cultura de la seguridad y una excelencia en el tratamiento


de la informacin en todos sus procesos de negocio. As, aporta un valor aadido de
reconocido prestigio, en la calidad de los servicios que ofrece a sus clientes.

123/123