COBIT - Cobit e Iso 27001 Caso Practico

Captulo Colombia
Caso prctico
Implantacin del ISMS a
travs de COBIT e ISO
270001
Agenda
Contexto del caso

Objetivo
Modelo de integracin
Caso prctico
Ciclo del ISMS

Programa de trabajo
Polticas
Infraestructura
Awareness program
Estructura organizacional
Procedimientos
Mtricas
Conclusiones
Objetivo
Presentar un caso de implantacin de
un sistema de administracin de
seguridad basado en ISO 27001 y
COBIT para:
Ver el esquema de solucin
Revisar las lecciones aprendidas en cada
fase
Compartir experiencias de que si y que
no hacer
Caso prctico
Empresa mexicana con alcance Global
Oficinas en toda la Repblica, EUA, y
representaciones comerciales en Europa, Asia
Aproximadamente 13,000 empleados
No contaba con una gerencia de seguridad,
polticas ni procedimientos, slo inversin en
tecnologa de seguridad
Se inici con el BS 7799, actualmente se est
migrando al ISO 27001
Re
I
qu Pro nd i
ye
er
ca
c
i
m
to do r
Se
i
s
en
es
gu
to
ri
da
s
d
Modelo
Integral
tr
n
Co
ie
sg
o-
os
s
ce
o
r
os
-P
s
ce
ad
o
d
r
li
os
P
a
s
C
n - oce
c i Pr
a
er l o p
O ol
rr
a
OPERACI
OPERACIN
s
e
D
BSC
PMI
COSO SOX/Basilea
/CNBV
COBIT
ISO 27001
ISO 9000 Six

Sigma
ITIL
ITILISO 20000
MEJORA
CMM
PLANEACI
PLANEACIN
TECNOLOGIAS
DE INFORMACI
INFORMACIN IMPLANTACI
IMPLANTACIN
EO
H
3~
EO
LF
D
6H
QV
L
DO
&RQILJXUDFLyQHQODWHFQRORJtD
*XtDV\SURFHGLPLHQWRV
3URFHVRV2SHUDWLYRV
(VWUXFWXUD2UJDQL]DFLRQDO
$OLQHDFLyQ\-XVWLILFDFLyQFRQ
HO1HJRFLR
3ROtWLFDV&RUSRUDWLYDV
LX\LX\LX\LX
LX\LX\LX\LX
&
RQ
ILG
HQ
FL
Visin Global
Sistema de administracin de la
seguridad
Regulaciones
Anlisis de
Riesgos
Alcance
SOA
Planear
Causa
Raz
Actuar
M.5
BS7799
Mejora
Respuesta
Documentacin
Hacer
M.3 Auditora
Riesgo
Residual
Verificar
M.4 Auditora
Revisin
gerencial
Administracin
Auditora
Medicin
Comunicacin
Liberacin
Implan
tacin
Planear
Regulaciones
de
Regu
lacion
es ex
t
Se
le
con ccin
tro
les
ernas
Clasificacin
de
Controles
Criterios de Valuacin
Inventario
de bienes
y riesgo
Alcance
Anlisis de amenazas
Y vulnerabilidades
Anlisis de
Riesgos
Clculo del riesgo
asociado
Definicin de cobertura
del sistema
Plan de
implant
acin
s
nto
e
i
rim
e
u
q
Re rnos
s
ontrole
c
e
inte
d
in
Selecc
Estatuto
de alcance
del sistema
Estatuto de
Costo
Oficina y comit
s y pr
esupu
esto de seguridad
SOA
y
eptado
c
a
o
g
s
s
Rie
sociada
a
s
a
ic
t
Pol
y
roles
e
d
n
ci
Defini abilidades
ns
respo
Hacer
so
po Ser
rte vic
y e ios
ntr de
eg
a
E
Org struc
tu
aniz
acio ra
nal
Implantacin
Certificacin
de
n
i
ac es
u
c
e
on
Ad icaci
l
ap
n de
i
c
a
u
Adec tructura
s
Infrae
Pruebas y revisin
Guas y manuales operativos

Administracin
de
documentos
Documentacin
Aprobacin
Polticas y procedimientos
Evaluac
in
Conci
entiza
cin
Liberacin
Administracin
del
Cambio
Comunicacin
Difusin
tacin
i
c
a
p
Ca
Verificar
Rep
or
hall te de
azg
os
Audit
ora I
ntern
a
Auditora
na
xter
e
a
itor
d
u
A
Cumplimiento
Deteccin de incidentes
Indicadores
Clave de
Desempeo
Medicin
Respuesta a incidentes de
seguridad
Administracin
Reporte de SLA y OLAs de
Seguridad
Monitoreo de actividad
Acciones
correctiva
s
Evaluac
i
impacto n del
de
Reporte
os
hallazg
Registro de
revisin
Revisin
Gerencial
s
Anlisis de SLA
y OLAs
is de
s
i
l
n
A
ras
audito
Actuar
Respuesta
Re
in
o p ic io d
era
c i e
n
Ejecu
cin d
ep
recup lan de
eraci
n
Plan de
Continuidad
del negocio
isin rtem
v
e
R
t-mo
s
o
P
in del
c
a
iz
l
a
Actu
eracin
p
u
c
e
r
Plan de
Evaluacin de riesgo
actual
Eliminacin de vulnerabilidades
Amenazas y
vulnerabilidades
Causa
Raz
Anlisis de incidentes
(forense)
Propuesta
Determinacin de nuevo
nivel de riesgo
de mejora
Evaluac
i
Sistema n del
de segu
ridad
Riesgo
Residual
Plan de
mejora
Mejora
impacto
Evaluacin de
al negocio
e
cin d
a
c
i
l
p
A
nes
sancio
Planteamiento del proyecto

1. Se inici con la parte de polticas
2. En paralelo se desarrollaron estndares de seguridad
para infraestructura checklist
3. Awareness program (alcance global)

4. Estructura organizacional (Oficina de seguridad)
5. Procesos y procedimientos (no todas deben ser del
rea de seguridad)
6. Guas operativas (encargados a reas operativas)
7. Al final medicin de la seguridad, controles y
procesos
Como alcance se defini a los sistemas que se alojan en
el centro de datos principal y el corporativo
Polticas
Se desarrollaron 8 polticas de alcance general
(toda la organizacin)
8 Polticas para operacin de TI
2 Polticas para desarrollo
2 Polticas para monitoreo (auditora)
Se revisaron por:
rea de seguridad
Auditora
Gerencia de TI
Direccin general (las de alcance general)
Plan de desarrollo polticas

No Descripcin de la poltica
F
a
s
e
1
F
a
s
e
2
F
a
s
e
3
Planear
Hacer
Verificar
Actuar
Oct. 04
Oct. Nov. 04
Ene. 05
Feb. 06
Nov. 04
Dic. 04
Ene. 05
Feb. 06
Dic.
04
Ene.
Feb.
05
Mar.
05
Abr.
06
Mar.
Abr.
05
May.
05
Jun.
06
Aplicacin
1 Poltica de uso correo electrnico
General
2 Poltica de Internet
General
3 Poltica control de acceso
General
4 Poltica de confidencialidad
General
5 Poltica de acceso remoto
General
6 Poltica de impresin
General
7 Poltica de clasificacin y manejo de informacin
General
8 Poltica de control fsico y ambiental
General
9 Poltica de uso y adquisicin de hw. y sw
Operacin
10 Poltica de respaldos y manejo de datos
Operacin
11 Poltica de administracin de cuentas y contraseas
Operacin
12 Poltica de uso y procesos de outsourcing
Operacin
13 Poltica de control de comercio electrnico
Operacin
14 Poltica de configuracin y administracin de red
Operacin
15 Poltica de administracin de sistemas
Operacin
16 Poltica de continuidad del negocio
Operacin
17 Poltica de desarrollo y mantenimiento de sw
Desarrollo
18 Poltica de cambios en ambientes productivos
Desarrollo
19 Poltica de monitoreo de sistemas e infraestructura
Monitoreo
20 Poltica de auditora de sistemas e infraestructura
Monitoreo
Mar.
05
Tableros de control del proyecto

(polticas)
TABLERODECONTROLDELSISTEMADESEGURIDAD
POLITICA / CONTROL
PLANEAR
ALCANCE
Poltica de Uso de Correo Electrnico

Poltica de Internet
Poltica de Control de Acceso a la Red
Poltica de Seguridad en Medios para Informacin
Poltica de Impresin
Poltica de Clasificacin y Manejo de Informacin
Poltica de Control Fsico y del Entorno
Poltica de Adquisicin y Uso de Hardware y Software
Poltica de Respaldos y Manejo de Datos
Poltica de Administracin de Cuentas y Contraseas
Poltica de Control de Comercio Electrnico
Poltica de Uso y Procesos de Outsourcing
Poltica de Configuracin y Administracin de Red
Poltica de Administracin de Sistemas
Poltica de Continuidad del Negocio
Poltica de Desarrollo y Mantenimiento de Software
Poltica de Cambios en Ambientes Productivos
Poltica de Monitoreo de Seguridad Informtica,
18
Sistemas e Infraestructura
Poltica de Auditora de Seguridad Informtica,
19
Sistemas e Infraestructura
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
GENERAL
50%
100%
REGULACION
25% 50% 75% 100%
HACER
RIESGO
50%
100%
SOA
DOCUMENTACION
25% 50% 75% 100%
50%
GENERAL
GENERAL
GENERAL
GENERAL
GENERAL
GENERAL
INFRAESTRUCTURA
SISTEMAS
INFRAESTRUCTURA
INFRAESTRUCTURA
10
10
SISTEMAS
11
11
INFRAESTRUCTURA
12
12
SISTEMAS
13
13
INFRAESTRUCTURA
14
14
DESARROLLO
15
15
DESARROLLO
16
16
17
17
18
18
19
19
MONITOREO
MONITOREO
100%
ACTUAR
CAUSA RAIZ
Fecha : 05 Dic 2005

%de Avance Total 43.52%
PLANEAR
0%
88.9 %
ACTUAR
HACER
VERIFICAR
50%
0%
85.19 %
100%
RESPUESTA
25% 50% 75% 100%
25% 50% 75% 100%
LIBERACION
50%
100%
COMUNICACION
25% 50% 75% 100%
VERIFICAR
RIESGORESIDUAL
50%
IMPLANTACION
100%
MEJORA
MEDICION
25% 50% 75% 100%
50%
10
10
11
11
12
12
13
13
14
14
15
15
16
16
17
17
18
18
19
19
100%
AUDITORIA
25% 50% 75% 100%
ADMINISTRACION
50%
100%
REV. GERENCIAL
25% 50% 75% 100%
Infraestructura
Se cuenta con plataformas:
2 centros de datos
Windows
Unix (AIX)
AS/400
Equipos de comunicacin Nortel y CISCO
Bases de datos SQL, Oracle
SAP y desarrollos propios
Para el desarrollo de los checklist se bas en:

NIST
ISACA
Proveedores
Fases del
proyecto
CERTIFICACI
CERTIFICACIN
20 %
FASE
I
40 %
CUMPLIMIEN
TO
SOX 10
10 %
FASE
III
30 %
FASE
II
30 %
PROYECTO
100 %
Dic 2006
83% Fase I
Tableros de control de
checklist
TABLERODECONTROLCHECKLISTDESEGURIDAD
CHECKLISTSEGURIDAD
FASEI
20%
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
95%
100%
94%
100%
100%
40%
40%
67%
80%
83%
67%
67%
96%
85%
99%
93%
92%
67%
67%
Checklist Win2K3
Checklist IAVM Win2K3
Checklist Win2K
Checklist IAVM Win2K
Checklist WinXP
Checklist Web IIS
Checklist Web Apache
Checklist WiFi LAN
Checklist Network
Checklist PBX
Checklist UNIX
Checklist LINUX
Checklist NOTES DOMINO
Checklist AS400
Checklist Firewall
Checklist Citrix
Checklist Data Center
Checklist SQL
Checklist DB2
FASEI
32%
48%
65%
82%
FASEIII 59.7 %
4
5
2da. Fase
2da. Fase
FASEII
%de Avance Total
100.0 %
14%
10
10
10
11
11
11
12
12
12
13
13
13
14
14
14
15
15
15
16
16
16
17
17
17
18
18
18
19
19
19
28%
42%
56%
86.55%
70%
8
9
10
10
11
11
12
12
13
13
14
14
15
15
16
16
17
17
18
18
19
19
FASEII
84%
100%
86%
100%
82%
100%
100%
2da. Fase
2da. Fase
0%
39%
49%
0%
0%
87%
56%
96%
79%
77%
0%
0%
FASEIII
100%
FECHA: 05 Dic 2005
100%
1
2da. Fase
2da. Fase
80%
60%
CIERRE2005
16%
100 %
40%
14%
28%
42%
56%
70%
84%
100%
10
10
10
11
11
11
12
12
12
13
13
13
14
14
14
15
15
15
16
16
16
17
17
17
18
18
18
19
19
19
2da. Fase
2da. Fase
6
7
8
Awareness Program
Promocionales de seguridad
Mouse PAD
Tasas
Cursos didcticos de seguridad de la

informacin reforzando los tpicos de las
8 polticas generales:
Presenciales
CBT
Es importante la evaluacin y evidencia de
asistencia
ORGANIZACIN
Se cre una Gerencia de Seguridad, en
la fase 1 dependiente de TI y en la fase
2 saldr
3 reas de operacin
Normatividad (3 personas)
Arquitectura (4 personas)
Cumplimiento (3 personas)
Se estableci una agenda dentro del

comit directivo, para generar el comit
de seguridad
Organizacin
Procedimietos
Se estableci con distintas reas
responsabilidades sobre procesos
Los procesos sustantivos de
seguridad corresponden a:
Procesos de operacin interna

Administracin de
Manejo de incidentes de seguridad
Control de acceso
Revisin de cumplimiento tcnico
Procedimientos
Ejemplo de repositorio de
documentos
Reportes
Tableros de
Control
Agenda
Actividades
Colaboracin
Repositorio
34 Categoras
728
documentos
Medicin
Riesgo basado en el CVSS Common
vulnerability scoring system
Para asignar mtricas de seguridad se
utiliz un esquema basado en:
COBIT
NIST
Clculo de riesgo CVSS
Madurez del programa de

seguridad y tipo de mediciones
Nivel 5
En
io
repositor
Nivel 4
Nivel 3
Nivel 2
Nivel 1
le
Disponib
Media a
baja
Puede
colectarse edia
M
Alguna
Alta
Bajo
leto
Comp
cia y
Eficien
idad
efectiv
Media
c i n
Implanta
Alto
Ninguna
Ninguna
Muy
Objetivo
alto
definido
Ninguna
llo
Meta
Desarro ntos
edimie
definida
de proc
ientos
Procedim s
y controle
dos
implanta
Desarrollo
de poltica
Tipo de
mtrica
Automatizacin
de recoleccin
Dificultad de
recoleccin
s
miento
i
d
e
c
o
Pr
roles
y cont
os
probad
Disponibilidad
de datos
to
Impac
tos
dimien
e
c
o
r
P
roles
y cont os
d
integra
Mtricas de NIST
Categora
Administracin de riesgos
Controles de seguridad
Ciclo de vida de desarrollos de

sistemas
Autorizacin de procesamiento
(Certificacin y acreditacin)
Plan de seguridad de sistemas
Seguridad del personal
Mtrica
Porcentaje de sistemas que tienen un anlisis de riesgo formal y
documentado
Porcentaje de sistemas que tienen los niveles de riesgos revisados
por la gerencia
Porcentaje del total de sistemas de los cuales los controles de
seguridad han sido probados y evaluados el ao pasado
El tiempo promedio que pasa entre el descubrimiento de una
vulnerabilidad o debilidad y la implantacin de una accin de
recuperacin
Porcentaje de sistemas que tienen integrados los costos de
controles de seguridad en el ciclo de vida de sistemas
Porcentaje de sistemas recertificados, si los controles de seguridad
son aadidos o modificados despus de que el sistema fue
desarrollado
Porcentaje del total de sistemas que han sido autorizados para
procesamiento, despus de una certificacin y acreditacin
Porcentaje de sistemas que operan bajo una autorizacin
intermedia
Porcentaje de sistemas con planes de seguridad de sistemas
aprobados
Porcentaje de planes de seguridad actuales
Porcentaje de sistemas que cumplen con los requerimientos de
separacin de responsabilidades
Porcentaje de usuarios con acceso especial a los sistemas que se
les han aplicado evaluaciones "background"
Mtricas de NIST
Categora
Proteccin fsica y ambiental
Controles de produccin
entrada/salida
Planeacin de contingencias
Mantenimiento de hardware y
sistemas de software
Integridad de datos
Mtrica
Porcentaje de libreras de sistemas de informacin que registran
los depsitos y salidas de cintas
Porcentaje de localidades de transmisin de datos en la
organizacin que tienen restriccin de acceso a usuarios
autorizados
Porcentaje de laptops con capacidades de encripcin para archivos
sensibles
Porcentaje de incidentes de usuario relacionados con seguridad
resueltos inmediatamente despus de la llamada inicial
Porcentaje de sanitizacin de media utilizada antes de su reuso o
eliminacin
Porcentaje de archivos y operaciones de datos crticos con una
frecuencia de respaldo establecida
Porcentaje de sistemas que tienen un plan de contingencia
Porcentaje de sistemas de los cuales los planes de contingencia
han sido probados el ao pasado
Porcentaje de sistemas que tienen impuestas restricciones al
personal de mantenimiento de sistemas
Porcentaje de cambios de software documentados y aprobados a
travs de formas de requerimimientos de cambios
Porcentaje de sistemas con la ltima versin de parche aprobada
instalada
Porcentaje de sistemas con definicin automtica de actualizacin
de virus y "scan" automtico de virus
Porcentaje de sistemas que llevan a cabo verificacin de poltcas
de contrasea
Mtricas de NIST
Mtrica
Porcentaje de aplicaciones hechas en casa con documentacin en
archivo
Documentacin
Porcentaje de sistemas con reportes de evaluacin de riesgos
documentados
Concientizacin, entrenamiento y Porcentaje de empleados con responsabilidades significativas de
educacin en seguridad
seguridad que han recibido entrenamiento especializado
Porcentaje de procesos con capacidades de manejo y respuesta de
Capacidades de respuesta de
incidentes
incidentes
Nmero de incidentes reportados a la oficina de seguridad
Porcentaje de sistemas sin contraseas provistas por los
Identificacin y autenticacin
fabricantes, activas
Porcentaje de ID de usuarios nicos
Categora
Porcentaje de usuairos con acceso a software de seguridad que no

son administradores de seguridad
Controles de acceso lgico
Porcentaje de sistemas que corren protocolos restringidos

Porcentaje de sitios web con una poltica de privacidad desplegada
Pistas de auditora
Porcentaje de sistemas en los cuales las pistas de auditora

proveen un rastro de las acciones de los usuarios
Mtricas COBIT
KGI
KPI
PO4 Definir la organizacin y relacin del personal de TI
PO6 Comunicar las metas y direccin de la Administracin
PO7 Administrar Recursos Humanos
P08 Asegurar el cumplimiento de requerimientos externos
PO9 Evaluar Riesgos
AI2 Adquirir y mantener aplicaciones de software
AI3 Adquirir y mantener la arquitectura de tecnologa
AI5 Instalar y acreditar sistemas
AI6 Administrar cambios
DS2 Administrar servicios de terceros
DS4 Asegurar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar ususario
DS9 Administrar la configuracin
DS10 Administrar problemas e incidentes
DS11 Administrar datos
DS12 Administrar instalaciones
DS13 Administrar operaciones
1
59
1
65
M1 Monitorear los procesos

Total
Mtricas Propuestas
Planear
Actuar
Hacer
Proceso COBIT
Indicadores clave de objetivo

Nmero de actividades clave fuera de la
organizacin de TI que no estn
organizacin y
relacin del personal aprobadas o no estn sujetos a estndares
organizacionales de TI
de TI
PO6 Comunicar las Nmero de polticas y procedimientos que
metas y direccin de llevan controles de informacin
la Administracin
Incremento en el nmero de procesos de
PO9 Evaluar Riesgos TI que tienen un anlisis de riesgo formal
completo
Verificar PO4 Definir la
Nmero de hallazgos durante auditoras

AI5 Instalar y acreditar
internas o externas relacionados con la
sistemas
instalacin y acreditacin de procesos
Reducir nmero de disturbios (prdida de
disponibilidad) causados por una
AI6 Administrar
administracin de cambios pobre
cambios
Porcentaje de acuerdos significativos para
DS2 Administrar
los cuales se llevaron a cabo revisiones de
servicios de terceros la calificacin del proveedor de servicios
Indicadores clave de desempeo

Porcentaje de roles con descripcin de
posiciones documentadas
Porcentaje de polticas que tienen asociados

procedimientos operativos para asegurar que
se lleven a cabo
Porcentaje de sistemas que tienen niveles de
riesgo revisados por la gerencia
Porcentaje del total de sistemas que han sido
autorizados para procesamiento, despus a
una certificacin y acreditacin
Porcentaje de cambios de software
documentados y aprobados a travs de
formas de requerimientos de cambios
Porcentaje de sistemas con la ltima versin
de parche aprobada instalada
Nmero y frecuencia de juntas de revisin
Planear
Actuar
Mtricas Propuestas
Proceso COBIT
Hacer
Verificar DS4 Asegurar la

continuidad del
servicio

Nmero de procesos crticos de negocio
que dependen de TI, que tienen planes de
continuidad adecuados
Pruebas formales y regulares de que los
planes de continuidad funcionan
Reporte inmediato de incidentes crticos

Alineacin de permisos de accesos con las
responsabilidades organizacionales
DS5 Garantizar la
seguridad de los
sistemas
Cumplimiento completo o acuerdo y

registro de desviaciones de los
requerimientos mnimos de seguridad
Reducir nmero de incidentes que
involucren acceso no autorizado o prdida
o corrupcin de informacin
Mejora medida en las practicas de

seguridad para proteccin contra daos de
fallas que afecten la disponibilidad,
DS7 Educar y entrenar confidencialidad e integridad
usuarios

Tiempo transcurrido entre cambios
organizacionales y la actualizacin del plan
de continuidad
Tiempo de normalizar el nivel de servicio
despus de la ejecucin del plan de
continuidad
Frecuencia de prueba de la continuidad del
servicio
Cantidad de tiempo fuera de operacin
causado por incidentes de seguridad
Porcentaje de sistemas en los cuales las
pistas de auditora proveen un rastro de las
acciones de los usuarios
Porcentaje de ID de usuarios nicos
Porcentaje del total de sistemas de los

cuales los controles de seguridad han sido
probados y evaluados el ao pasado
Nmero de das de entrenamiento de
concientizacin de seguridad de TI
Porcentaje de usuarios entrenados en

prcticas de seguridad
Mtricas Propuestas
Planear
Actuar
Proceso COBIT
Hacer
Una reduccin medida del impacto de los

problemas e incidentes en los recursos de
TI
Nmero de incidentes de seguridad

relacionados con empleados
Verificar DS10 Administrar

problemas e
incidentes
Una mejora medida en la calidad, tiempo y

disponibilidad de los datos
DS11 Administrar
datos
DS 12 Administrar
Instalaciones
DS13 Administrar
operaciones
M1 Monitorear los
procesos
Una reduccin en la cantidad de tiempo

fuera de operacin debido a problemas en
las instalaciones
Medida de recursos disponibles a tiempo y

en calendario
Satisfaccin de las entidades gerenciales y
de gobierno con el reporte de desempeo
Nmero de incidentes reportados a la oficina

de seguridad
El tiempo promedio que pasa entre el
descubrimiento de una vulnerabilidad o
debilidad y la implantacin de una accin de
recuperacin
Porcentaje de verificadores de integridad de
datos automatizados incorporados en las
aplicaciones
Porcentaje de sistemas con definicin
automtica de actualizacin de virus y "scan"
automtico de virus
Porcentaje de sistemas que llevan a cabo
verificacin de polticas de contrasea
Porcentaje de localidades de transmisin de
datos en la organizacin que tienen
restriccin de acceso a usuarios autorizados
Porcentaje de laptops con capacidades de
encripcin para archivos sensibles
Porcentaje de sanitizacin de media utilizada
antes de su re-uso o eliminacin
Razn entre las deficiencias de procesos
reportadas y las deficiencias
subsecuentemente aceptadas como
requirentes de atencin gerencial para dar
seguimiento (ndice de ruido)
Conclusiones
Es muy til establecer el ISMS bajo un punto
de vista integral (COBIT, ISO27001), ya que se
da cumplimiento a varias regulaciones v.g.
SOX, auditoras externas
Cuando exista es muy recomendable utilizar
mejores prcticas v.g. NIST, ITIL
Es muy importante definir un alcance lograble
Es muy importante tener el compromiso
gerencial
Estos programas no se llevan menos de 2 aos
para su implantacin

COBIT - Cobit e Iso 27001 Caso Practico

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

COBIT - Cobit e Iso 27001 Caso Practico

Hochgeladen von

Copyright:

Verfügbare Formate

Captulo Colombia

Contexto del caso

Ciclo del ISMS

ISO 9000 Six

Guas y manuales operativos

Planteamiento del proyecto

3. Awareness program (alcance global)

Plan de desarrollo polticas

1 Poltica de uso correo electrnico

3 Poltica control de acceso

5 Poltica de acceso remoto

7 Poltica de clasificacin y manejo de informacin

8 Poltica de control fsico y ambiental

9 Poltica de uso y adquisicin de hw. y sw

10 Poltica de respaldos y manejo de datos

11 Poltica de administracin de cuentas y contraseas

12 Poltica de uso y procesos de outsourcing

13 Poltica de control de comercio electrnico

14 Poltica de configuracin y administracin de red

15 Poltica de administracin de sistemas

16 Poltica de continuidad del negocio

17 Poltica de desarrollo y mantenimiento de sw

18 Poltica de cambios en ambientes productivos

19 Poltica de monitoreo de sistemas e infraestructura

20 Poltica de auditora de sistemas e infraestructura

Tableros de control del proyecto

Poltica de Uso de Correo Electrnico

25% 50% 75% 100%

Fecha : 05 Dic 2005

25% 50% 75% 100%

25% 50% 75% 100%

Para el desarrollo de los checklist se bas en:

%de Avance Total

FECHA: 05 Dic 2005

Cursos didcticos de seguridad de la

Se estableci una agenda dentro del

Procesos de operacin interna

Clculo de riesgo CVSS

Madurez del programa de

Ciclo de vida de desarrollos de

Plan de seguridad de sistemas

Seguridad del personal

Proteccin fsica y ambiental

Porcentaje de usuairos con acceso a software de seguridad que no

Porcentaje de sistemas que corren protocolos restringidos

Porcentaje de sistemas en los cuales las pistas de auditora

PO4 Definir la organizacin y relacin del personal de TI

PO6 Comunicar las metas y direccin de la Administracin

PO7 Administrar Recursos Humanos

P08 Asegurar el cumplimiento de requerimientos externos

PO9 Evaluar Riesgos

AI2 Adquirir y mantener aplicaciones de software

AI3 Adquirir y mantener la arquitectura de tecnologa

AI5 Instalar y acreditar sistemas

AI6 Administrar cambios

DS2 Administrar servicios de terceros

DS4 Asegurar la continuidad del servicio

DS5 Garantizar la seguridad de los sistemas

DS6 Identificar y asignar costos

DS7 Educar y entrenar ususario

DS9 Administrar la configuracin

DS10 Administrar problemas e incidentes

DS11 Administrar datos

DS12 Administrar instalaciones