Beruflich Dokumente
Kultur Dokumente
Caso prctico
Implantacin del ISMS a
travs de COBIT e ISO
270001
Agenda
Conclusiones
Objetivo
Presentar un caso de implantacin de
un sistema de administracin de
seguridad basado en ISO 27001 y
COBIT para:
Ver el esquema de solucin
Revisar las lecciones aprendidas en cada
fase
Compartir experiencias de que si y que
no hacer
Caso prctico
Empresa mexicana con alcance Global
Oficinas en toda la Repblica, EUA, y
representaciones comerciales en Europa, Asia
Aproximadamente 13,000 empleados
No contaba con una gerencia de seguridad,
polticas ni procedimientos, slo inversin en
tecnologa de seguridad
Se inici con el BS 7799, actualmente se est
migrando al ISO 27001
Re
I
qu Pro nd i
ye
er
ca
c
i
m
to do r
Se
i
s
en
es
gu
to
ri
da
s
d
Modelo
Integral
tr
n
Co
ie
sg
o-
os
s
ce
o
r
os
-P
s
ce
ad
o
d
r
li
os
P
a
s
C
n - oce
c i Pr
a
er l o p
O ol
rr
a
OPERACI
OPERACIN
s
e
D
BSC
PMI
COSO SOX/Basilea
/CNBV
COBIT
ISO 27001
CMM
PLANEACI
PLANEACIN
TECNOLOGIAS
DE INFORMACI
INFORMACIN IMPLANTACI
IMPLANTACIN
EO
H
3~
EO
LF
D
6H
QV
L
DO
&RQILJXUDFLyQHQODWHFQRORJtD
*XtDV\SURFHGLPLHQWRV
3URFHVRV2SHUDWLYRV
(VWUXFWXUD2UJDQL]DFLRQDO
$OLQHDFLyQ\-XVWLILFDFLyQFRQ
HO1HJRFLR
3ROtWLFDV&RUSRUDWLYDV
LX\LX\LX\LX
LX\LX\LX\LX
&
RQ
ILG
HQ
FL
Visin Global
Sistema de administracin de la
seguridad
Regulaciones
Anlisis de
Riesgos
Alcance
SOA
Planear
Causa
Raz
Actuar
M.5
BS7799
Mejora
Respuesta
Documentacin
Hacer
M.3 Auditora
Riesgo
Residual
Verificar
M.4 Auditora
Revisin
gerencial
Administracin
Auditora
Medicin
Comunicacin
Liberacin
Implan
tacin
Planear
Regulaciones
de
Regu
lacion
es ex
t
Se
le
con ccin
tro
les
ernas
Clasificacin
de
Controles
Criterios de Valuacin
Inventario
de bienes
y riesgo
Alcance
Anlisis de amenazas
Y vulnerabilidades
Anlisis de
Riesgos
Clculo del riesgo
asociado
Definicin de cobertura
del sistema
Plan de
implant
acin
s
nto
e
i
rim
e
u
q
Re rnos
s
ontrole
c
e
inte
d
in
Selecc
Estatuto
de alcance
del sistema
Estatuto de
Costo
Oficina y comit
s y pr
esupu
esto de seguridad
SOA
y
eptado
c
a
o
g
s
s
Rie
sociada
a
s
a
ic
t
Pol
y
roles
e
d
n
ci
Defini abilidades
ns
respo
Hacer
so
po Ser
rte vic
y e ios
ntr de
eg
a
E
Org struc
tu
aniz
acio ra
nal
Implantacin
Certificacin
de
n
i
ac es
u
c
e
on
Ad icaci
l
ap
n de
i
c
a
u
Adec tructura
s
Infrae
Pruebas y revisin
Documentacin
Aprobacin
Polticas y procedimientos
Evaluac
in
Conci
entiza
cin
Liberacin
Administracin
del
Cambio
Comunicacin
Difusin
tacin
i
c
a
p
Ca
Verificar
Rep
or
hall te de
azg
os
Audit
ora I
ntern
a
Auditora
na
xter
e
a
itor
d
u
A
Cumplimiento
Deteccin de incidentes
Indicadores
Clave de
Desempeo
Medicin
Respuesta a incidentes de
seguridad
Administracin
Reporte de SLA y OLAs de
Seguridad
Monitoreo de actividad
Acciones
correctiva
s
Evaluac
i
impacto n del
de
Reporte
os
hallazg
Registro de
revisin
Revisin
Gerencial
s
Anlisis de SLA
y OLAs
is de
s
i
l
n
A
ras
audito
Actuar
Respuesta
Re
in
o p ic io d
era
c i e
n
Ejecu
cin d
ep
recup lan de
eraci
n
Plan de
Continuidad
del negocio
isin rtem
v
e
R
t-mo
s
o
P
in del
c
a
iz
l
a
Actu
eracin
p
u
c
e
r
Plan de
Evaluacin de riesgo
actual
Eliminacin de vulnerabilidades
Amenazas y
vulnerabilidades
Causa
Raz
Anlisis de incidentes
(forense)
Propuesta
Determinacin de nuevo
nivel de riesgo
de mejora
Evaluac
i
Sistema n del
de segu
ridad
Riesgo
Residual
Plan de
mejora
Mejora
impacto
Evaluacin de
al negocio
e
cin d
a
c
i
l
p
A
nes
sancio
Polticas
Se desarrollaron 8 polticas de alcance general
(toda la organizacin)
8 Polticas para operacin de TI
2 Polticas para desarrollo
2 Polticas para monitoreo (auditora)
Se revisaron por:
rea de seguridad
Auditora
Gerencia de TI
Direccin general (las de alcance general)
F
a
s
e
1
F
a
s
e
2
F
a
s
e
3
Planear
Hacer
Verificar
Actuar
Oct. 04
Oct. Nov. 04
Ene. 05
Feb. 06
Nov. 04
Dic. 04
Ene. 05
Feb. 06
Dic.
04
Ene.
Feb.
05
Mar.
05
Abr.
06
Mar.
Abr.
05
May.
05
Jun.
06
Aplicacin
General
2 Poltica de Internet
General
General
4 Poltica de confidencialidad
General
General
6 Poltica de impresin
General
General
General
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Operacin
Desarrollo
Desarrollo
Monitoreo
Monitoreo
Mar.
05
POLITICA / CONTROL
PLANEAR
ALCANCE
GENERAL
50%
100%
REGULACION
25% 50% 75% 100%
HACER
RIESGO
50%
100%
SOA
DOCUMENTACION
50%
GENERAL
GENERAL
GENERAL
GENERAL
GENERAL
GENERAL
INFRAESTRUCTURA
SISTEMAS
INFRAESTRUCTURA
INFRAESTRUCTURA
10
10
SISTEMAS
11
11
INFRAESTRUCTURA
12
12
SISTEMAS
13
13
INFRAESTRUCTURA
14
14
DESARROLLO
15
15
DESARROLLO
16
16
17
17
18
18
19
19
MONITOREO
MONITOREO
100%
ACTUAR
CAUSA RAIZ
0%
88.9 %
ACTUAR
HACER
VERIFICAR
50%
0%
85.19 %
100%
RESPUESTA
25% 50% 75% 100%
LIBERACION
50%
100%
COMUNICACION
25% 50% 75% 100%
VERIFICAR
RIESGORESIDUAL
50%
IMPLANTACION
100%
MEJORA
MEDICION
50%
10
10
11
11
12
12
13
13
14
14
15
15
16
16
17
17
18
18
19
19
100%
AUDITORIA
25% 50% 75% 100%
ADMINISTRACION
50%
100%
REV. GERENCIAL
25% 50% 75% 100%
Infraestructura
Se cuenta con plataformas:
2 centros de datos
Windows
Unix (AIX)
AS/400
Equipos de comunicacin Nortel y CISCO
Bases de datos SQL, Oracle
SAP y desarrollos propios
Fases del
proyecto
CERTIFICACI
CERTIFICACIN
20 %
FASE
I
40 %
CUMPLIMIEN
TO
SOX 10
10 %
FASE
III
30 %
FASE
II
30 %
PROYECTO
100 %
Dic 2006
83% Fase I
Tableros de control de
checklist
TABLERODECONTROLCHECKLISTDESEGURIDAD
CHECKLISTSEGURIDAD
FASEI
20%
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
95%
100%
94%
100%
100%
40%
40%
67%
80%
83%
67%
67%
96%
85%
99%
93%
92%
67%
67%
Checklist Win2K3
Checklist IAVM Win2K3
Checklist Win2K
Checklist IAVM Win2K
Checklist WinXP
Checklist Web IIS
Checklist Web Apache
Checklist WiFi LAN
Checklist Network
Checklist PBX
Checklist UNIX
Checklist LINUX
Checklist NOTES DOMINO
Checklist AS400
Checklist Firewall
Checklist Citrix
Checklist Data Center
Checklist SQL
Checklist DB2
FASEI
32%
48%
65%
82%
FASEIII 59.7 %
4
5
2da. Fase
2da. Fase
FASEII
100.0 %
14%
10
10
10
11
11
11
12
12
12
13
13
13
14
14
14
15
15
15
16
16
16
17
17
17
18
18
18
19
19
19
28%
42%
56%
86.55%
70%
8
9
10
10
11
11
12
12
13
13
14
14
15
15
16
16
17
17
18
18
19
19
FASEII
84%
100%
86%
100%
82%
100%
100%
2da. Fase
2da. Fase
0%
39%
49%
0%
0%
87%
56%
96%
79%
77%
0%
0%
FASEIII
100%
100%
1
2da. Fase
2da. Fase
80%
60%
CIERRE2005
16%
100 %
40%
14%
28%
42%
56%
70%
84%
100%
10
10
10
11
11
11
12
12
12
13
13
13
14
14
14
15
15
15
16
16
16
17
17
17
18
18
18
19
19
19
2da. Fase
2da. Fase
6
7
8
Awareness Program
Promocionales de seguridad
Mouse PAD
Tasas
ORGANIZACIN
Se cre una Gerencia de Seguridad, en
la fase 1 dependiente de TI y en la fase
2 saldr
3 reas de operacin
Normatividad (3 personas)
Arquitectura (4 personas)
Cumplimiento (3 personas)
Organizacin
Procedimietos
Se estableci con distintas reas
responsabilidades sobre procesos
Los procesos sustantivos de
seguridad corresponden a:
Procedimientos
Ejemplo de repositorio de
documentos
Reportes
Tableros de
Control
Agenda
Actividades
Colaboracin
Repositorio
34 Categoras
728
documentos
Medicin
Riesgo basado en el CVSS Common
vulnerability scoring system
Para asignar mtricas de seguridad se
utiliz un esquema basado en:
COBIT
NIST
Nivel 4
Nivel 3
Nivel 2
Nivel 1
le
Disponib
Media a
baja
Puede
colectarse edia
M
Alguna
Alta
Bajo
leto
Comp
cia y
Eficien
idad
efectiv
Media
c i n
Implanta
Alto
Ninguna
Ninguna
Muy
Objetivo
alto
definido
Ninguna
llo
Meta
Desarro ntos
edimie
definida
de proc
ientos
Procedim s
y controle
dos
implanta
Desarrollo
de poltica
Tipo de
mtrica
Automatizacin
de recoleccin
Dificultad de
recoleccin
s
miento
i
d
e
c
o
Pr
roles
y cont
os
probad
Disponibilidad
de datos
to
Impac
tos
dimien
e
c
o
r
P
roles
y cont os
d
integra
Mtricas de NIST
Categora
Administracin de riesgos
Controles de seguridad
Autorizacin de procesamiento
(Certificacin y acreditacin)
Mtrica
Porcentaje de sistemas que tienen un anlisis de riesgo formal y
documentado
Porcentaje de sistemas que tienen los niveles de riesgos revisados
por la gerencia
Porcentaje del total de sistemas de los cuales los controles de
seguridad han sido probados y evaluados el ao pasado
El tiempo promedio que pasa entre el descubrimiento de una
vulnerabilidad o debilidad y la implantacin de una accin de
recuperacin
Porcentaje de sistemas que tienen integrados los costos de
controles de seguridad en el ciclo de vida de sistemas
Porcentaje de sistemas recertificados, si los controles de seguridad
son aadidos o modificados despus de que el sistema fue
desarrollado
Porcentaje del total de sistemas que han sido autorizados para
procesamiento, despus de una certificacin y acreditacin
Porcentaje de sistemas que operan bajo una autorizacin
intermedia
Porcentaje de sistemas con planes de seguridad de sistemas
aprobados
Porcentaje de planes de seguridad actuales
Porcentaje de sistemas que cumplen con los requerimientos de
separacin de responsabilidades
Porcentaje de usuarios con acceso especial a los sistemas que se
les han aplicado evaluaciones "background"
Mtricas de NIST
Categora
Controles de produccin
entrada/salida
Planeacin de contingencias
Mantenimiento de hardware y
sistemas de software
Integridad de datos
Mtrica
Porcentaje de libreras de sistemas de informacin que registran
los depsitos y salidas de cintas
Porcentaje de localidades de transmisin de datos en la
organizacin que tienen restriccin de acceso a usuarios
autorizados
Porcentaje de laptops con capacidades de encripcin para archivos
sensibles
Porcentaje de incidentes de usuario relacionados con seguridad
resueltos inmediatamente despus de la llamada inicial
Porcentaje de sanitizacin de media utilizada antes de su reuso o
eliminacin
Porcentaje de archivos y operaciones de datos crticos con una
frecuencia de respaldo establecida
Porcentaje de sistemas que tienen un plan de contingencia
Porcentaje de sistemas de los cuales los planes de contingencia
han sido probados el ao pasado
Porcentaje de sistemas que tienen impuestas restricciones al
personal de mantenimiento de sistemas
Porcentaje de cambios de software documentados y aprobados a
travs de formas de requerimimientos de cambios
Porcentaje de sistemas con la ltima versin de parche aprobada
instalada
Porcentaje de sistemas con definicin automtica de actualizacin
de virus y "scan" automtico de virus
Porcentaje de sistemas que llevan a cabo verificacin de poltcas
de contrasea
Mtricas de NIST
Mtrica
Porcentaje de aplicaciones hechas en casa con documentacin en
archivo
Documentacin
Porcentaje de sistemas con reportes de evaluacin de riesgos
documentados
Concientizacin, entrenamiento y Porcentaje de empleados con responsabilidades significativas de
educacin en seguridad
seguridad que han recibido entrenamiento especializado
Porcentaje de procesos con capacidades de manejo y respuesta de
Capacidades de respuesta de
incidentes
incidentes
Nmero de incidentes reportados a la oficina de seguridad
Porcentaje de sistemas sin contraseas provistas por los
Identificacin y autenticacin
fabricantes, activas
Porcentaje de ID de usuarios nicos
Categora
Pistas de auditora
Mtricas COBIT
KGI
KPI
1
59
1
65
Mtricas Propuestas
Planear
Actuar
Hacer
Proceso COBIT
Planear
Actuar
Mtricas Propuestas
Proceso COBIT
Hacer
Mtricas Propuestas
Planear
Actuar
Proceso COBIT
Hacer
DS 12 Administrar
Instalaciones
DS13 Administrar
operaciones
M1 Monitorear los
procesos
Conclusiones
Es muy til establecer el ISMS bajo un punto
de vista integral (COBIT, ISO27001), ya que se
da cumplimiento a varias regulaciones v.g.
SOX, auditoras externas
Cuando exista es muy recomendable utilizar
mejores prcticas v.g. NIST, ITIL
Es muy importante definir un alcance lograble
Es muy importante tener el compromiso
gerencial
Estos programas no se llevan menos de 2 aos
para su implantacin