Beruflich Dokumente
Kultur Dokumente
AREQUIPA
FACULTAD DE CIENCIAS CONTABLES Y
FINANCIERAS
ESCUELA DE POST GRADO
MAESTRIA EN AUDITORIA Y GESTION TRIBUTARIA
AREQUIPA - 2014
CONTENIDO
1. Introduccin.
1.1 Objetivos:
- Principal
- Especifico
1.2 Base Legal
1.3 Estructura organizacional
2. Entendimiento del Negocio.
3.1. Informacin Institucional.
3.2. Marco Operativo.
3.3. Informacin del Ambiente de Sistemas.
3.3.1. Catlogo de Aplicaciones.
3.3.2. Recursos Humanos Centro de Cmputo.
3.3.3. Recursos Tecnolgicos.
3.3.4. Comunicacin y transferencia de Informacin a
travs de la organizacin.
3.3.5. Estrategia.
4. Modelo de mejores prcticas utilizado: COBIT
5. Propuesta metodolgica para el diseo del SGSI de PRESTONS SA.
6. Modelo de madurez de los 7 procesos de Seguridad de Informacin.
6.1. PO9.- Evaluar los Riesgos.
6.2. PO11.- Administrar Calidad.
6.3. A16.- Administrar Cambios.
6.4. DS4 .- Asegurar el Servicio Continuo.
6.5. DS5 .- Garantizar la Seguridad de los Sistemas.
6.6. DS11 .- Administrar los Datos.
6.7. DS12 .- Administrar Instalaciones.
7. La evaluacin de riesgos de los 105 objetivos de control.
7.1. Administracin de Riesgos.
7.2. Proceso de administracin de Riesgos.
6.2.1. Establecer Marco General.
6.2.2. Identificar Riesgos.
6.2.3. Anlisis de Riesgos.
6.2.4. Evaluar y Priorizar Riesgos.
6.2.5. Controles existentes para los riesgos de ms alta exposicin.
6.2.6. Tratamiento del Riesgo.
8. Plan de Accin.
9. Beneficios.
INTRODUCCIN
OBJETIVOS:
OBJETIVO PRINCIPAL.
Supervivencia y crecimiento del negocio.
Obtencin de utilidades.
Imagen y prestigio.
Satisfaccin de necesidades colectivas.
OBJETIVO ESPECIFICO.
La actividad principal es de Laboratorios Fotogrficos de acuerdo a la
clasificacin Industrial Internacional Uniforme de todas las Actividades
Econmicas (Revisin III). 22214 actividades de impresin.
c.
BASE LEGAL.
Constitucin Poltica del Per de 1993.
Ley General de Sociedades Ley N 26887.
Escritura Pblica de Constitucin.
d.
ESTRUCTURA ORGANIZACIONAL.
1.
JUNTA GENERAL DE SOCIOS.
La Junta General de socios est conformado por toda las personas que
conforman la empresa PRESTON'S SA quienes son los encargados en velar las
actividades y sus resultados administrativos y econmicos de la organizacin.
2.
GERENCIA.
El Gerente es el encargado de la administracin de la sociedad, la cual es
designada por la junta general de socios, quien representa en todos los
asuntos relativos a su objeto.
El gerente goza de las facultades generales y especiales de representacin
procesal por el slo mrito de su nombramiento.
3.
SECRETARIA.
La divisin de secretaria es la encargada de suministrar informacin todo lo
referente sobre los departamentos, recepcin de documentos que estos
lleguen a la empresa y tener actualizada la agenda.
4.
DIVISIN DE CONTABILIDAD.
La responsabilidad es efectuar el anlisis y registro de las operaciones
financieras sustentadas con documentos contables en los libros y registros
auxiliares de contabilidad.
Es el encargado de contribuir en la administracin de la empresa, alcanzando
informacin de manera adecuada, eficiente, oportuna de los resultados
econmicos de la sociedad.
5.
DEPARTAMENTO DE COMPRAS.
PRODUCTOS CLAVES
Cmaras
digitales
(KODAK,
PANASONIC,
NIKON) Rollos fotogrficos (KODAK)
Pilas
Accesorios para cmaras y productos relacionados.
SERVICIOS CLAVES
Ampliaciones.
Montajes.
Retoques
Copias.
LINEAS DE NEGOCIO
Distribucin.- Se encarga de la venta de mercadera y revelado al por
mayor. Los distribuidores tienen lneas de crdito, descuentos, y
promociones especiales.
Foto tiendas.- Se encarga de la venta de mercadera al por menor
y el revelado fotogrficos.
CLIENTES
Fotgrafos.- Clientes que se dedican a la fotografa profesional, tienen
descuentos y promociones especiales.
Distribuidores.- Clientes que estn autorizados a vender mercadera,
recibir trabajos de revelados y a facturarlos.
Aficionados.- Cliente que no se dedica a la fotografa como actividad
profesional.
MERCADO.PRESTONS SA est enfocado en 2 segmentos, la venta a travs de su
cadena de retail y la venta a distribuidores.
Los principales competidores de PRESTONS SA en el segmento de retail, son
Konica, Fuji, Fybeca, otros quedan servicio de revelado. En lo que
respecta a la distribucin de Kodak y Maxell, es la misma que la de la
marca a nivel internacional.
Actualmente la marca PRESTONS SA est catalogada como la numero uno
en cuanto al revelado fotogrfico y apunta a mantener esta posicin.
PRESTONS SA siempre est buscando la manera de incrementar su
volumen de ventas, lanzando promociones. Sin embargo las ventas estn
disminuyendo debido a cambios que estn surgiendo en el revelado
tradicional, siendo esta la principal fuente de sus ingresos.
MARKETING Y PROMOCIONES.Constantemente se estn lanzando promociones
apuntando: Incrementar el revelado digital.
S.Operativo Base
de Procesos del Negocio que Transaccionalida
Datos
Soporta
d
Linux
PosgreSQL
Administracin y Rendicin de
MEDIA
ALTA
Cuentas.
SCO Unix
Informix
Administracin y Rendicin de
MEDIA ALTA
Cuentas.
Sistema Administrativo
Financiero.
(Contabilidad,
Cxc, Cxp)
Sistema de Administracin de SCO Unix
Inventario
Informix
Sistema de Facturacin a
SCO Unix
Distribuidores
Sistema de Compras Locales SCO Unix
Informix
Sistema de Importaciones
SCO Unix
Informix
Sistema de
Sistema de
Sistema de
Gerencial.
Sistema de
SCO Unix
W9x
SCO Unix
Informix
FoxPro 2.6
Informix
Control de Caja
Punto de Venta
Informacin
ALTA
MEDIA ALTA
MEDIA
Informix
SQLServer
Facturacin Distribuidores
Facturacin
Retail.
Administracin
de
Inventario Distribuidores
Facturacin
Administracin de Inventario
Adquisiciones
Administracin de Inventario
Adquisiciones
Administracin de Inventario
Facturacin Retail.
Facturacin Retail.
Toma de decisiones Gerenciales
ALTA
Administracin y Rendicin de
Cuentas.
MEDIA
MEDIA BAJA
MEDIA
MEDIA
MEDIA ALTA
ALTA
BAJA
RED.
Cableado estructurado categora
5 - 6. Red Inalmbrica.
BACKBONE
de
comunicaciones.
Conexin
dial-up con fototiendas.
3.3.4 COMUNICACIN Y TRANSFERENCIA DE INFORMACIN A NIVEL
DE LA ORGANIZACIN.Existen 2 centros de cmputos: Per y Guayaquil (Oficina Principal)
La interconexin a travs de Per y Guayaquil es a travs de
Planeacin y Organizacin,
Adquisicin e Implementacin
Entrega de servicios y Soporte y
Monitoreo.
Para satisfacer los objetivos del negocio, la informacin necesita concordar con
ciertos criterios a los que COBIT hace referencia como requerimientos de negocio
para la informacin. Al establecer la lista de requerimientos, COBIT combina los
principios contenidos en los modelos referenciales existentes y conocidos:
Calidad
Costo
Entrega o Distribucin (de servicio)
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin
Cumplimiento de leyes y regulaciones
Confidencialidad
Integridad
Disponibilidad
Datos
Aplicaciones
Tecnologa
CRITERIOS DE LA SEGURIDAD.Los criterios de la seguridad usados a nivel mundial por los modelos
de mejores prcticas y estndares son los siguientes:
Confidencialida Proteccin de informacin sensible contra divulgacin no
autorizada.
d
Precisin y suficiencia de la informacin, as como a su
Integridad
validez de
con losde
valores
y expectativas
delsta
negocio.
Disponibilidad
la informacin
cuando
es requerida por
Disponibilidad acuerdo
el proceso
de negocio ahora y en el futuro. Tambin se refiere a la
salvaguarda de los recursos necesarios y capacidades
25 /123
26 /123
ARQUITECTURA
Objetivos
de
DE
Control
SEGURIDAD.Detallados
Especficos.PROCESO
PO9.- Evaluar Riesgo
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Eficiencia
Evaluacin de Riesgos del Efectividad
Confidencialida Cumplimiento
Negocio
Confiabilidad
Enfoque de Evaluacin de d
Integridad
Riesgos
Disponibilidad
Identificacin de Riesgos
Medicin de Riesgos
Plan
de
Accin
contra
Riesgos
Aceptacin de Riesgos
Seleccin de Garantas o
Protecciones
Compromiso
con
el
OBJETIVO DE CONTROL
DETALLADO
PO11.- Administracin de la
calidad
Efectividad
Plan General de Calidad.
Enfoque
de Eficiencia
Integridad
Aseguramiento de
Calidad.
Planeacin
del
Aseguramiento de
Calidad.
Revisin del Aseguramiento
de la Calidad sobre el
Cumplimiento
de
Estndares
y
Procedimientos de
TI.
Metodologa del Ciclo de
Vida de
Desarrollo de Sistemas
Metodologa del Ciclo de
Vida
de
Desarrollo
de
Sistemas
para
Cambios
Mayores a la Tecnologa
Actual
Actualizacin
de
la
Metodologa del Ciclo de
Vida
de
Desarrollo
de
Sistemas.
Coordinacin
y
Comunicacin. Marco
de
Referencia
de
Adquisicin
y
Mantenimiento
para
la
Infraestructura
de
Tecnologa.
Relaciones con Terceras
Partes
como
Implementadotes.
Estndares para la
Documentacin
de
Programas.
Estndares
para
Pruebas
de
Programas.
Estndares
para
Pruebas
de
Sistemas.
Pruebas Piloto/En Paralelo.
Documentacin
de
las
Confiabilidad
PROCESO
AI6.- Administrar cambios.
OBJETIVO DE CONTROL
DETALLADO
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Confiabilidad
de Efectividad
Eficiencia
Integridad
Inicio
y
Control
Solicitudes de
Cambio
Anlisis de Impacto
Control de Cambios
Cambios
de
Emergencia
Documentacin
y
Procedimientos
Mantenimiento Autorizado
DS4.- Asegurar el servicio
Marco de Referencia de Efectividad
continuo
Continuidad de Tecnologa Disponibilidad
de informacin
Estrategia y Filosofa del
Plan de
Continuidad de TI
Contenido del Plan de
Continuidad de TI.
Reduccin
de
requerimientos de
Continuidad
de
Tecnologa de
Informacin.
Mantenimiento del Plan
de
Continuidad
de
Tecnologa de Informacin.
Pruebas
del Plan de
Continuidad de TI.
Entrenamiento sobre el Plan
de
Continuidad
de
Tecnologa de Informacin.
Distribucin del Plan de
Continuidad de TI.
Procedimientos de respaldo
de
procesamiento
alternativo
para
Departamentos usuarios.
Recursos
Crticos
de
Tecnologa de Informacin.
Sitio
y
Hardware
de
Respaldo. Almacenamiento
de respaldo Medidas
en el sitio
DS5.- Garantizar la seguridad
Administrar
de Confidencialid
de los
Integrid
Seguridad.
sistemas.
Identificacin,
Autenticacin y
Acceso.
Seguridad de Acceso a
Datos en
Lnea.
Administracin
de
Cuentas de
Usuario.
Revisin Gerencial de
Cuentas de
Usuario.
Control de Usuarios sobre
Cuentas de Usuario.
Vigilancia de Seguridad.
Clasificacin
de
Datos.
Administracin
de
Derechos de Acceso
e
Identificacin
Eficiencia
Disponibilid
Cumplimiento
Confiabilidad
PROCESO
OBJETIVO DE CONTROL
DETALLADO
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Confidencialid
Reacreditacin.
ad
Confianza
en
Integridad
Contrapartes.
Autorizacin
de
transacciones.
No
negacin o no rechazo.
Sendero Seguro.
Proteccin
de
las
funciones de seguridad.
Administracin de
Llaves
Criptogrficas.
Prevencin, Deteccin y
Correccin
de
Software
Malicioso.
Arquitectura
de
Firewalls
y
conexin a redes pblicas.
Proteccin
de
Valores
Electrnicos.
Procedimientos
de
Datos
.
Procedimientos
de
Autorizacin
de
Documentos Fuente.
Recopilacin de Datos de
Documentos
Fuente.
Manejo de errores de
documentos fuente.
Retencin de Documentos
Fuente. Procedimientos de
Autorizacin de Entrada de
Datos.
Chequeos
de
Exactitud,
Suficiencia
y
Autorizacin.
Manejo de Errores en la
Entrada de Datos.
Integridad
de
Procesamiento de
Datos
.
Validacin y
Edicin de
Procesamiento de
Datos.
Manejo de Errores en el
Procesamiento de
Datos.
Manejo y Retencin de
Datos de
Salida
.
Distribucin de Datos
Salidos de los Procesos.
Balanceo y Conciliacin de
Datos de Salida.
Disponibilid
ad
Cumplimien
to
Confiabilida
d
Re
visi
n
de
Da
tos
de
Sal
ida
y
Manejo
de
Errores
.
Pro
visi
on
es
de
Se
gur
ida
d
par
a
Report
es de
Salida.
Pro
tec
ci
n
de
Inf
or
DS11.datos
Administracin
DS12.-Administracin
instalaciones.
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Sistema de Administracin Integrid
Confiabilidad
de la
Librera de Medios
Responsabilidades de la
Administracin
de
la
Librera de Medios
Respaldo
(Back-up)
y
Restauracin
Funciones de Respaldo
Almacenamiento
de
Respaldos Archivo
Proteccin
de
Mensajes
Sensitivos Autenticacin e
Integridad
Integridad
de
Transacciones
Electrnicas
Seguridad Fsica
Discrecin
sobre
las Integridad
Instalaciones de Tecnologa Disponibilidad
de Informacin Escolta de
Visitantes
Salud y Seguridad del
Personal Proteccin contra
Factores
Ambientales
OBJETIVO DE CONTROL
DETALLADO
PROCESO
de
de
MODELO DE MADUREZ.El enfoque de los Modelos de Madurez para el control sobre los procesos de
TI consiste en desarrollar un mtodo de asignacin de puntos para que
una organizacin pueda calificarse desde Inexistente hasta optimizada (de
0 a 5). Este planteamiento se basa en el Modelo de Madurez que el
Software Engineering Institute defini para la madurez de la capacidad de
desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar
demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y
sugerira una precisin que no es justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose
en un conjunto de condiciones que pueden ser satisfechas de una forma que
no sea ambigua. En comparacin con los niveles desarrollados para cada
uno de los 34 procesos de TI de COBIT, la administracin puede mapear:
La situacin actual de la organizacindnde est la organizacin
actualmente
La estrategia de la organizacin para mejoramientodnde quiere estar
la organizacin
El modelo de madurez aplicado a PRESTONS SA Laboratorio Fotogrfico
S.A. lo puede encontrar mas adelante en este documento.
EVALUACIN Y PRIORIZACION DE RIESGOS.Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe
dirigir y administrar las actividades de TI para alcanzar un balance efectivo
entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto,
la Gerencia necesita identificar las actividades mas importantes que deben
ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas
y determinando que tan bien se estn desarrollando los procesos de TI. Aun
mas, necesita tener la habilidad de avaluar el nivel de madurez de la
organizacin contra las mejores practicas industriales y los modelos
internacionales.
La
evaluacin y priorizacion de riesgos aplicado a PRESTONS SA
Laboratorio Fotogrfico
S.A. lo puede encontrar mas adelante en este
documento.
PLANES DE ACCIN.Los controles que se sugieren implementar para mitigar los riesgos
identificados en la fase de evaluacin y priorizacion de riesgos, as como
sus responsables y tiempos aproximados de implementacin se pueden
encontrar en los planes de accin.
Los planes de accin del Sistema de Seguridad de la Informacin aplicados
a PRESTONS SA
Laboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este
documento.
6
MODELO DE MADUREZ
SEGURIDAD DE INFORMACIN
DE
LOS
PROCESOS
DE
los
dems,
cmo
estamos
nosotros
ellos?
Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente
de medidas, basada en una clasificacin de 0 hasta 5. La escala est
asociada con las descripciones del modelo genrico cualitativo de madurez
que van desde Inexistente hasta Optimizada de la forma siguiente:
estamos
cuando
enfocados
en
los
aspectos
correctos
de
la
administracin
describimos la prctica
real.
Por ejemplo, la planificacin
y
organizacin estn enfocadas en los objetivos de efectividad y eficiencia de
administracin, mientras que asegurar la seguridad de los sistemas se
enfocar en el manejo de la confidencialidad y la integridad.
Las escalas del Modelo de Madurez ayudarn al profesional a explicar a los
administradores dnde existen deficiencias en la administracin de TI y a
fijarse objetivos para donde necesitan estar comparando las prcticas de
control de su organizacin con los ejemplos de la mejor prctica. El nivel
correcto de madurez estar influenciado por los objetivos de negocio y el
entorno operativo de la empresa. Especficamente, el nivel de madurez de
control depender de la dependencia de TI que tenga la empresa, de la
sofisticacin de la tecnologa y, lo que es ms importante, del valor de su
informacin.
Un punto estratgico de referencia para que una organizacin mejore la
seguridad y el control podra consistir tambin en mirar las normas
internacionales que surgen y las mejores prcticas de su clase. Las prcticas
actuales que surgen pueden llegar a ser el nivel esperado de desempeo de
maana y es por lo tanto til para planificar dnde quiere una organizacin
estar en el tiempo.
Los Modelos de Madurez se construyen a partir del modelo genrico
cualitativo (ver arriba) a los que se agregan las prcticas y los principios de
los dominios siguientes de forma creciente a travs de todos los niveles:
Entendimiento y conocimiento de los riesgos y de los problemas de control
Capacitacin y comunicacin aplicadas a los problemas
Proceso y prcticas que son implementados
Tcnicas y automatizacin para hacer los procesos ms efectivos y
eficientes Grado de cumplimiento de la poltica interna, las leyes y
las reglamentaciones Tipo y grado de pericia empleada.
La tabla siguiente describe esta creciente aplicacin de prcticas a travs de
todos los niveles para los distintos tpicos. Junto con el modelo cualitativo,
constituye un modelo genrico de madurez aplicable a la mayora de los
procesos de TI.
Fecha de diagnostico :
EMPRESA : PRESTONS SA
Diseo de un Sistema de Gestin de Seguridad
Pag 2/2
MODELO
DE
AI6.- Administrar Cambios
DOMINIO: ADQUISICINMADUREZ
E
IMPLEMENTACIN
OBJETIVO
DE
El control sobre el procesoCONTROL
de TI Administrar Cambios de TI con el objetivo
del negocio de
minimizar
la :probabilidad de interrupcin,
Estado Actual
Estadoalteraciones
Proyectado: no autorizadas y
Optimizado
El proceso de administracin de cambios es
revisado y actualizado
regularmente para mantener en lnea con las mejores prcticas. La
informacin de configuracin est automatizada y provee control de
5 versiones. La distribucin de software es automatizada y se cuenta con
capacidades de monitoreo a distancia. La administracin de
configuracin y liberacin y rastreo de cambios es sofisticado e incluye
herramientas para detectar software no autorizado y sin licencia. La
administracin de cambios de TI est integrada con la administracin
de cambios del negocio para asegurar que TI sea un posibilitador para
informales, con
autoridad limitada. La administracin se est volviendo conciente de los
riesgos relacionados con el servicio continuo y de la necesidad de ste.
El enfoque es sobre la funcin de TI, en vez de ser sobre la funcin de
negocio. Los usuarios estn implementando formas de evadirlo. La
respuesta a las interrupciones mayores es reactiva e improvisada. Los
cortes planeados estn programados para que satisfagan las
necesidades de TI, en vez de para adaptarse a los requerimientos del
Repetible pero Intuitiva La responsabilidad del servicio continuo
est asignada.
Los enfoques del servicio continuo son fragmentados. El reporte sobre la
disponibilidad del sistema es incompleto y no toma en cuenta el impacto
sobre el negocio. No hay planes documentados de usuario o de
continuidad, a pesar de que hay dedicacin a la disponibilidad de
servicio continuo y que se conocen sus principios rectores. Existe un
inventario
razonablemente
confiable
de
sistemas
crticos
y
componentes. Est surgiendo la estandarizacin de prcticas de servicio
Proceso Definido La obligacin de reportar no es ambigua y las
responsabilidades
de planificar y probar el servicio continuo estn claramente definidas y
asignadas. Los planes estn documentados y se basan en la importancia
del sistema y en el impacto sobre el negocio. Hay un reporte peridico
de prueba de servicio continuo. Las personas toman la iniciativa para
seguir las normas y recibir entrenamiento. La administracin comunica
consistentemente la necesidad de servicio continuo. Los componentes
de alta disponibilidad y la redundancia de sistema se estn aplicando de
manera fragmentada. Se mantiene rigurosamente un inventario de
exactos. Algunos
mtodos son desarrollados a nivel individual para prevenir y detectar el
ingreso, procesamiento y errores en la salida de los datos. El proceso de
identificacin y correccin de errores depende de las actividades
manuales de la persona, y las reglas y requerimientos no son
transmitidos a medida que se llevan a cabo movimientos y cambios de
personal. La administracin asume que los datos son exactos porque
una computadora est involucrada en el proceso. La integridad y
seguridad de los datos no son requerimientos de administracin y, si
Repetible pero Intuitivo La conciencia de la necesidad de la exactitud
de los datos
y de mantener la integridad prevalece en toda la organizacin. La
propiedad de los datos comienza a tener lugar, pero a nivel de un
departamento o grupo. Las reglas y requerimientos son documentados
por personas clave y no son consistentes en toda la organizacin y
plataformas. Los datos estn en custodia de la funcin de los servicios
de informacin y las reglas y definiciones estn impulsadas por los
requerimientos de TI. La seguridad e integridad de los datos son
primariamente responsabilidades de la funcin de
los servicios de
Proceso Definido La necesidad de integridad de los datos dentro y
en toda la
organizacin es entendida y aceptada. Las normas de ingreso,
procesamiento y salida de datos han sido formalizadas y se hacen
cumplir. El proceso de identificacin y correccin de errores es
automatizado. La propiedad de los datos es asignada, y la integridad y
seguridad son controladas por el responsable. Se utilizan tcnicas
automatizadas para prevenir y detectar errores e inconsistencias. Las
definiciones, reglas y requerimientos de datos estn claramente
documentados y son mantenidos por una funcin de administracin de
base de datos. Los datos se vuelven consistentes en todas las
plataformas y a travs de toda la organizacin. La funcin de los
servicios de informacin tiene un rol de custodio, mientras que el control
Enfoque del
Madurez
Modelo
de
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un mtodo de
asignacin de puntos para que una organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este
planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute defini para la madurez de la
capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que
hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones que pueden ser
satisfechas de una forma que no sea ambigua. En comparacin con los niveles desarrollados para cada uno de los 34
procesos de TI de COBIT, la administracin puede mapear:
La situacin actual de la organizacindnde est la organizacin actualmente
La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin
Intuitivo
0
PO9
Evaluar
Riesgos
Hoc
Proce
so
Defini
do
3
Administra
do y
Medib
le
4
Optimizado
los
PO11
Administrar Calidad
AI6
Administrar Cambios
DS4
DS5
DS11
DS12
Administrar Instalaciones
LEYENDA PARA LOS SMBOLOS USADOS
Situacin actual de la empresa
Estrategia de la Empresa
EVALUACIN
CONTROL
DE
RIESGO
DE
LOS
105
OBJETIVOS
DE
7.1
Administracin de
Riesgos
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe
dirigir y administrar las actividades de TI para alcanzar un balance efectivo
entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto,
la Gerencia necesita identificar las actividades mas importantes que deben
ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas
y determinando que tan bien se estn desarrollando los procesos de TI. Aun
mas, necesita tener la habilidad de avaluar el nivel de madurez de la
organizacin contra las mejores practicas industriales y los modelos
internacionales.
2. Identificar Riesgos
3. Anlisis de Riesgos
Monitorear
y Revisar
7.2.1
General
Establecer Marco
de
mas
diseado
nuevas
alto
7.2.2
Riesgos
Identificar
DOMINIO
Planeacin
Organizacin
Adquisicin
Instalacin
Entrega
Servicios
PROCESO
y PO9 Evaluar riesgos
PO11 Administrar Calidad
e AI6
Administrar cambios
de DS4
DS5
DS11
DS12
Disponibilidad
Integridad
confdencialida
Criterios de
informacin
P
P
P
P
P
P
P
P
P
P
Criterios de evaluacin de riesgos.Definir e identificar los criterios de anlisis y el nivel de aceptacin de los
riesgos
Criterios de anlisis.Criteri
ALTO
MEDIO ALTO
MEDIO
MEDIO BAJO
BAJO
Probabilidad de Ocurrencia
9
7
5
3
1
Impacto
10
8
6
4
2
BAJO
1
30
ALTO
61 90
7.2.3
Riesgos
Anlisis de
El modelo comienza a partir de la valoracin de los activos, que dentro del Marco Referencial de COBIT consiste en la
informacin que tiene los criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recursos
necesarios para producir dicha informacin). El siguiente paso es el anlisis de vulnerabilidad que trata de la importancia de
los criterios de informacin dentro del proceso bajo revisin, por ejemplo, si un proceso del negocio es vulnerable a la prdida
de integridad, entonces se requieren medidas especficas. Luego se tratan las amenazas, esto es, aquello que puede provocar
una vulnerabilidad. La probabilidad de la amenaza, el grado de vulnerabilidad y la severidad del impacto se combinan para
concluir acerca de la evaluacin del riesgo. Esto es seguido por la seleccin de contramedidas (controles) y una evaluacin
de su eficacia, que tambin identifica el riesgo residual. La conclusin es un plan de accin despus del cual el ciclo puede
comenzar nuevamente.
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las
amenazas reduciendo la complejidad, Incrementando la objetividad e identificando factores de decisin
importante
La Gerencia deber establecer un marco de
referencia
de evaluacin sistemtica de riesgos. Este
marco de referencia deber incorporar una
evaluacin regular de los riesgos de
informacin relevantes para el logro de los
Evaluacin objetivos del negocio, formando una base
de Riesgos para determinar la manera en la que los
del Negocio riesgos deben ser manejados a un nivel
aceptable. El proceso deber proporcionar
evaluaciones de riesgos tanto a un nivel
global como a
niveles especficos del
sistema, para nuevos proyectos y para
casos recurrentes y con participacin MEDIO-ALTO MEDIO-ALTO 56
La
Gerencia
deber
establecer
un
enfoque
general para la evaluacin de
riesgos que defina el alcance y
los
lmites, la
metodologa a
ser
adoptada para las evaluaciones de riesgos,
Enfoque de las responsabilidades y las habilidades
Evaluacin requeridas. La Gerencia debe adelantar la
de
soluciones
para
la
de Riesgos identificacin
mitigacin de
riesgos
e
involucrarse
en
la
identificacin de
vulnerabilidades. Especialistas de seguridad
deben realizar identificacin de amenazas MEDIO-ALTO MEDIO-ALTO 56
PO9 Evaluar
9.1
9.2
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las
amenazas reduciendo la complejidad, Incrementando la objetividad e identificando factores de decisin
importante
La evaluacin de riesgos deber enfocarse
al examen de los elementos esenciales de
riesgo y las relaciones
causa/efecto entre ellos. Los elementos
esenciales de riesgo incluyen activos
tangibles e intangibles, valor de
Identificaci los activos, amenazas, vulnerabilidades,
n
de protecciones,
Riesgos
consecuencias y probabilidad de amenaza.
El proceso de identificacin de riesgos
debe incluir una clasificacin cualitativa y,
donde
sea
apropiado,
clasificacin
cuantitativa de riesgos debe obtener
MEDIO
30
insumos de las tormentas de ideas de la MEDIO
El enfoque de la evaluacin de riesgos
deber asegurar
Medicin de que la informacin del anlisis de la
identificacin de riesgos genere como
Riesgos
resultado una medida cuantitativa y/o
42
cualitativa del riesgo al cual est expuesta MEDIO-ALTO MEDIO
El
enfoque
de
evaluacin
de
riesgos deber
proporcionar la definicin de un plan de
Plan
de
accin contra riesgos para asegurar que el
Accin
costoefectividad de los controles y las
contra
medidas de seguridad mitiguen los riesgos
Riesgos
56
en forma continua. El plan de accin contra MEDIO-ALTO MEDIO-ALTO
PO9 Evaluar
9.3
9.4
9.5
OBJETIVOS DE CONTROL
PO9 Evaluar
9.6
9.7
9.8
Aceptacin
de
Riesgos
Seleccin de
Garantas o
Protecciones
Compromiso
con
el
Anlisis de
Riesgos
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las
amenazas reduciendo la complejidad, Incrementando la objetividad e identificando factores de decisin
importante
El enfoque de la evaluacin de riesgos
deber asegurar
la aceptacin formal del riesgo residual,
dependiendo de la identificacin y la
medicin del riesgo, de la poltica
organizacional,
de
la
incertidumbre
incorporada al enfoque de evaluacin de
riesgos y el costo- efectividad de la MEDIO-ALTO MEDIO
42
implementacin
protecciones
Mientras se logra undesistema
de controles yy
garantas
razonable,
apropiado
y
proporcional, controles con el
mas alto retorno de inversin ROI return
of investment) y aquellos que
provean ganancia rpida deben recibir la
primera prioridad. El sistema de control
necesita adems balancear las medidas de
prevencin,
deteccin,
correccin
y
recuperacin. Adicionalmente,
42
MEDIO-ALTO MEDIO
la
Gerenciadeber
necesita
el
La Gerencia
motivarcomunicar
el anlisis de
riesgos como
una herramienta importante para proveer
informacin para
el
diseo
e
implementacin
de controles internos, en
MEDIO
30
la definicin del plan estratgico de MEDIO
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
Cumplir con los requerimientos del cliente de TI
Administraci
PO11 n
de
la
calidad
La alta gerencia deber desarrollar y
mantener
Plan
regularmente un plan general de calidad
11.1 General de
basado en los planes organizacionales y de
Calidad
tecnologa de informacin a largo plazo. El
plan deber promover la filosofa de mejora MEDIO-ALTO
La Gerencia deber establecer un enfoque
estndar
con respecto al aseguramiento de calidad,
Enfoque de que cubra tanto las actividades de
11.2 Aseguramie aseguramiento de calidad generales como
nto
de las especficas de un proyecto. El enfoque
deber determinar el
(los) tipo(s) de
Calidad
actividades de aseguramiento de calidad
(tales
como
revisiones,
auditoras, MEDIO-ALTO
inspecciones,
que implementar
deben realizarse
La
Gerencia etc.)
deber
un
Planeacin proceso de planeacin
de
11.3 del
aseguramiento
de calidad
Aseguramie
para
MEDIO-ALTO
nto
de determinar el alcance y la duracin de las
Revisin
del
Aseguramie
nto de la
Calidad
11.4 sobre
el La Gerencia deber asegurar que las
Cumplimien responsabilidades asignadas al personal de
to
de aseguramiento de calidad incluyan una
Estndares revisin del cumplimiento general de los MEDIO-BAJO
estndares y procedimientos de TI.
y
RIESGO JUSTIFICACIN
MEDIO
42
MEDIO
42
MEDIO
42
MEDIO-ALTO 24
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
Cumplir con los requerimientos del cliente de TI
Administraci
PO11 n
de
la
calidad
La alta gerencia de la organizacin deber
definir e
implementar
stndares de sistemas de
Metodolog
informacin y adoptar una metodologa del
a
del
ciclo de vida de desarrollo de sistemas que
11.5 Ciclo
de
gobierne el
proceso de
desarrollo,
Vida
de
adquisicin,
implementacin
y
Desarrollo
mantenimiento de sistemas de informacin
de Sistemas
computarizados y tecnologas relacionadas. MEDIO
Metodologa La metodologa del ciclo de vida de
del Ciclo
de
Vida
de
11.6 Desarroll
En el caso de requerirse cambios mayores a
la tecnologa actual, como en el caso de
o
adquisicin de nueva
tecnologa,
la
de
Gerencia
deber
asegurar
el
Sistemas
cumplimiento de la metodologa del ciclo de MEDIO
para
Actualizaci
n
de
la La alta gerencia deber implementar una
11.7 Metodolog revisin peridica de su metodologa del
a del Ciclo ciclo de vida de desarrollo de sistemas para
de Vida de asegurar
que
incluya
tcnicas
y
Desarrollo
procedimientos
actuales
generalmente MEDIO
RIESGO JUSTIFICACIN
MEDIO
30
MEDIO
30
MEDIO
30
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
Cumplir con los requerimientos del cliente de TI
RIESGO JUSTIFICACIN
Administraci
PO11 n
de
la
calidad
La Gerencia deber establecer un proceso
para
asegurar la coordinacin y comunicacin
estrecha entre los clientes de la funcin TI y
Coordinacin los implementadores de sistemas. Este
11.8
proceso deber ocasionar que los mtodos
y
Comunicaci estructurados que utilice la metodologa del
ciclo de vida de desarrollo de sistemas
n
aseguren la provisin de soluciones de
tecnologa de informacin
MEDIO-BAJO MEDIO-ALTO 24
de calidad
que satisfagan
las demandas
de
Deber
establecerse
un marco
de referencia
Marco
de general
referente a la adquisicin y mantenimiento
Referencia
de la infraestructura de tecnologa. Los
de
11.9 Adquisicin diferentes pasos que deben ser seguidos
con respecto a la infraestructura de
y
(tales
como
adquisicin;
Mantenimie tecnologa
nto para la programacin, documentacin y pruebas;
de
parmetros; MEDIO
Infraestruct establecimiento
50
ALTO
mantenimiento
y
aplicacin
de
correcciones)
ura de
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
PO1
1
MEDIO-BAJO
MEDIO-
MEDIO-BAJO
MEDIO-
a
g
r
e
g
a
d
o
s
,
c
r
e
a
d
o
s
c
o
m
o
p
a
r
t
e
d
e
c
a
d
a
p
r
o
y
e
c
t
o
d
e
d
e
s
a
r
r
o
l
l
o
o
m
o
d
i
f
i
c
a
c
i
de sistemas de informacin.
30
MEDIO
MEDIO
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
Cumplir con los requerimientos del cliente de TI
Administraci
PO11 n
de
la
calidad
La metodologa del ciclo de vida de
desarrollo de
Estndares sistemas
de
la
organizacin
debe
11.13 para
proporcionar estndares que cubran los
Pruebas de
requerimientos de pruebas, verificacin,
Sistemas
documentacin y retencin para la prueba MEDIO
La metodologa del ciclo de vida de
desarrollo de
Prueba
sistemas de la organizacin debe definir
11.14 s
las condiciones bajo las cuales debern
Piloto/E
BAJO
conducirse las pruebas piloto o en
n
La metodologa del ciclo de vida de
desarrollo de
Documenta sistemas de la organizacin debe disponer,
11.15 cin de las
como parte de cualquier proyecto de
Pruebas del desarrollo, implementacin o modificacin
Sistema
de sistemas de informacin, que se conserve MEDIO
Evaluacin
del
Aseguramie El enfoque de aseguramiento de calidad de
nto de la la organizacin deber requerir que una
11.16 Calidad
revisin post - implementacin de un
sobre
el sistema de informacin operacional evale
Cumplimien
to
de si el equipo encargado del proyecto, cumpli MEDIO-ALTO
Estndares
Revisin del con las estipulaciones de la metodologa del
RIESGO JUSTIFICACIN
MEDIO
30
MEDIO
MEDIO-BAJO 20
MEDIO
42
42
Administraci
PO11 n
de
la
calidad
Mtricas
11.18
de
calidad
Reportes de
Revisiones
de
Aseguramie
11.19 nto de
Calidad
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
Cumplir con los requerimientos del cliente de TI
RIESGO JUSTIFICACIN
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO RIESGO JUSTIFICACIN
Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores
AI6
Administr
ar
cambios
6.
1
6.2
de
6.3
de
Inicio
Control
de
Solicitudes
de Cambio
Anlisis
Impacto
Control
Cambios
Cambios de
Emergencia
30
u
n
a
f
o
r
m
a
e
s
t
r
u
c
t
u
r
a
d
a
q
u
e
c
o
n
s
i
d
e
r
e
MEDIO-ALTO
56
24
24
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO RIESGO JUSTIFICACIN
Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores
AI6
Administr
ar
cambios
6.
5
Documenta
ci
ny
Procedimie
nto s
6.6
Mantenimiento
Autorizado
Poltica de
6.
7
6.8
de
Liberacin
de
Software
Distribucin
Softwar
e
MEDIO
30
MEDIO
pruebas
MEDIO
MEDIO
MEDIO
de
30
MEDIO-ALTO
40
OBJETIVOS DE CONTROL
RIESGO JUSTIFICACIN
Asegurar el
Tener la seguridad de que los servicios de TI
DS4 servicio
estn disponibles cuando se requieran y
continuo
asegurar un impacto mnimo
en
el
negocio
en
el
evento
de una
Marco
de interrupcin mayor
Referencia
La Gerencia de TI, en cooperacin con los
4.1 de
propietarios de los procesos del negocio,
Continuidad deber crear un marco de referencia de
de
continuidad
que
defina
los
roles,
Tecnologa responsabilidades, el enfoque/metodologa
de
basada en riesgo a seguir y las reglas y la
informacin estructura para documentar el plan de
4.2
continuidad, as como los
procedimientos de aprobacin.
Estrategia
30
y Filosofa
La Gerencia deber garantizar que el Plan
del Plan
de
continuidad
de
tecnologa
de
de
informacin se encuentra en lnea con el
Continuid
plan general de continuidad de la empresa
ad de TI
para asegurar consistencia. An ms, el
plan de continuidad de TI debe tomar en
consideracin el plan a mediano y largo
plazo de tecnologa de
informacin, con el fin de asegurar consistencia.
ALTO
56
OCURRENCIA IMPACTO
MEDIO
MEDIO-ALTO
MEDIO
MEDIO-
OBJETIVOS DE CONTROL
RIESGO JUSTIFICACIN
OCURRENCIA IMPACTO
Asegurar el
Tener la seguridad de que los servicios de TI
DS4 servicio
estn disponibles cuando se requieran y
continuo
asegurar un impacto mnimo
en
el
negocio
en
el
evento
de una
interrupcin mayor
Informacin.
L
a
4.
3
Contenido
del Plan de
Continuidad
de TI
G
e
r
e
n
c
i
a
d
e
4.
4
Reduccin
de
requerimien
tos
de
Continuidad
de
Tecnologa
de
T
I
d
e
b
e
r
a
s
e
g
u
r
a
r
q
u
e
s
e
d
e
s
a
r
r
o
l
l
e
u
n
p
l
a
n
e
s
c
r
i
t
o
c
o
n
t
e
n
i
e
n
d
o
l
o
s
i
g
u
i
e
n
t
e
:
+
G
u
a
s
ALTO
MEDIO
No existe un plan de
Continuidad del TI,
pero existen ciertos
procedimientos
no
formalizados
que
podrian ayudar en el
caso de darse una
contingencia:
+ Se conoce a las
personas que se debe
notificar en caso de
suceder
una
emergencia.
+ Se conoce en donde
estan almacenados los
respaldos.
+ Los procesos de
respaldo de datos son
ejecutados de manera
ALTO diaria.
+ Se cuenta con un
centro
de
computo
alternativo
desde
donde
se
podra
continuar
con la atencin de
servicios
de IT.
MEDIO
OBJETIVOS DE CONTROL
RIESGO JUSTIFICACIN
OCURRENCIA IMPACTO
Asegurar el
Tener la seguridad de que los servicios de TI
DS4 servicio
estn disponibles cuando se requieran y
continuo
asegurar un impacto mnimo
en
el
negocio
en
el
evento
de una
interrupcin mayor
8
Mantenimiento del Plan de Continuidad de Tecnologa de Informacin
4.
5
Pruebas del Plan de Continuidad de TI
Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin
4.
6
L
a
G
e
r
e
n
c
i
a
d
e
T
I
4.
7
4.
d
e
b
e
r
p
r
o
v
e
e
r
p
r
o
c
e
d
i
m
i
e
n
t
o
s
d
e
c
o
n
t
r
o
l
d
e
c
a
m
b
i
o
s
p
a
r
a
a
s
e
g
u
r
a
r
q
u
e
e
l
p
l
a
n
d
e
c
o
n
t
ALTO
c
o
n
o
c
e
ALTO r
d
i
c
h
a
informacin.
ALTO
ALTO
ALTO
ALTO
ALTO
MEDIO-
MEDIO72
No
exist
e un
plan
de
Conti
nuid
ad
del
TI,
por
ende
tamp
oco
exist
en
proc
edim
iento
s de
contr
ol de
cam
bios.
No
exist
e
un
plan
de
C
o
n
t
in
ui
d
a
d
d
e
TI
ntinuidad de TI
No
un
de
C
o
n
ti
n
ui
d
a
d
d
e
TI
existe
plan
No
un
de
C
o
existe
plan
OBJETIVOS DE CONTROL
JUSTIFICACIN
MEDIO-BAJO
MEDIO-ALTO
de servicios.
MEDIO
ALTO
50
MEDIO-ALTO
72
24
No
exist
e un
plan
de
Conti
nuida
d del
TI,
pero
se
tiene
conci
encia
de
cuale
s son
los
recur
sos
de IT
de
impor
tanci
a
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar el
Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un
DS4 servicio
impacto mnimo en el negocio en el evento de una interrupcin mayor
continuo
Almacenami
en to de
4.12 respaldo en
el
sitio
alterno
(Off-site)
Procedimien
de
4.13 to
afinamiento
del Plan de
Continuidad
ALTO
50
MEDIO
54
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
La seguridad en TI deber ser administrada
No existe un plan de
de tal
seguridad
forma que las medidas de seguridad se
encuentren en lnea con los requerimientos
de negocio. Esto incluye:
+ Trasladar informacin sobre evaluacin
Administr
de riesgos a los planes de seguridad de TI;
5.1 ar
+ Implementar el plan de seguridad de TI;
Medidas
+ Actualizar el plan de seguridad de TI
de
para reflejar cambios en la configuracin
Segurida
de TI;
d
+ Evaluar el impacto de las solicitudes de
cambio en la seguridad de TI;
MEDIO-ALTO 72
+ Monitorear la implementacin del plan ALTO
El acceso lgico y el uso de los recursos de
TI deber restringirse a travs de la
implementacin de
mecanismos adecuados de identificacin,
autenticacin y autorizacin relacionando
Identificaci los usuarios y los recursos con las reglas de
acceso. Dicho
5.2 n,
Autenticaci mecanismo deber evitar que personal no
n y Acceso autorizado, conexiones telefnicas por
marcado y otros puertos de entrada al
sistema (redes) tengan acceso a los
recursos de cmputo, de igual forma deber
minimizar la necesidad de autorizar MEDIO-BAJO MEDIO-ALTO 24
usuarios para usar mltiples sign-ons.
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
En
un
ambiente
de
tecnologa
de
informacin en lnea,
Seguridad
la Gerencia de TI deber implementar
5.3 de
procedimientos acordes con la poltica de
Acceso a
seguridad que garantiza el control de la
Datos
en
seguridad de acceso, tomando como base MEDIO-BAJO MEDIO-ALTO 24
Lnea
La
Gerencia
deber
establecer
procedimientos para
asegurar acciones oportunas relacionadas
Administrac con la solicitud, establecimiento, emisin,
5.4 in
de suspensin y cierre de cuentas de usuario.
Cuentas de Deber incluirse un procedimiento de
aprobacin
formal
que
indique
el
Usuario
propietario de los datos o del sistema que
otorga los privilegios de acceso. La MEDIO
MEDIO-ALTO 40
seguridad
acceso
a terceros
debe
La
Gerenciade
deber
contar
con un proceso
de control establecido para revisar y
Revisin
confirmar peridicamente los
5.5 Gerencial
derechos de acceso. Se debe llevar a cabo la
de
comparacin peridica entre los recursos y
Cuentas
los registros de las cuentas para reducir
42
de Usuario el riesgo de errores, fraudes, alteracin no MEDIO-ALTO MEDIO
Los usuarios debern controlar en forma
Control de sistemtica la actividad de su(s) propia(s)
cuenta (s). Tambin se
5.6 Usuarios
sobre
debern
establecer
mecanismos
de
Cuentas de informacin para permitirles supervisar la MEDIO-ALTO MEDIO-ALTO 56
Usuario
actividad normal, as como alertarlos
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Garantizar
Salvaguardar la informacin contra el uso no autorizado, divulgacin o
DS5 la seguridad modificacin, dao o prdida.
de
los
sistemas
La administracin de seguridad de TI debe
asegurar que la actividad de seguridad
sea registrada y que cualquier indicacin
sobre una inminente violacin de
Vigilancia
5.7
seguridad sea notificada inmediatamente a
de
todos aquellos que puedan verse afectados,
Seguridad
tanto interna como externamente y se debe
actuar de una manera
oportuna.
MEDIO-ALTO MEDIO-ALTO
56
La
Gerencia
deber
implementar
procedimientos para asegurar que todos
los datos son clasificados en trminos de
sensitividad,
mediante
una
decisin
explcita y formal del dueo de los datos
de acuerdo con el esquema de clasificacin
de datos. An los
datos que no requieren proteccin
debern contar con una decisin formal que
5.8
les asigne dicha clasificacin. Los dueos
Clasificaci
n
de
deben determinar la ubicacin o
Datos
disposicin de sus datos y determinar
quienes pueden compartir los datos aun si
y cuando los programas y archivos sean
mantenidos, archivados o borrados.
Debe quedar evidencia de la aprobacin del dueo y de
la disposicin del dato. Se deben definir
polticas para soportar la reclasificacin de
la informacin, basados sobre cambios en la
sensitividad. El esquema de clasificacin
debe incluir criterios para administrar el
intercambio
de
informacin
entre
organizaciones, teniendo en cuenta tanto la
s
e
g
u
r
i
d
a
d
y
e
l
c
u
m
p
l
i
m
i
e
n
t
o
como la legislacin
relevante.
MEDIO-ALTO
MEDIO
42
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
Administrac
in
de
Derechos
de Acceso e
Identificaci
n
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
La Gerencia deber asegurar que se lleve a
cabo peridicamente una reacreditacin de
seguridad (por
5.12 Reacreditaci ejemplo,
a
travs
de
equipos
de
n
personal tcnico tigre) con el fin de
mantener actualizado el nivel de seguridad ALTO
MEDIO-BAJO 36
aprobado
formalmente
y la aceptacin
del
Las
polticas
organizacionales
debern
asegurar que se
Confianza en implementen prcticas de control para
5.13
Contrapartes verificar la autenticidad de las contrapartes
que
proporcionan
instrucciones
o
14
transacciones electrnicas. Esto puede MEDIO-ALTO BAJO
Las polticas organizacionales debern
asegurar que,
Autorizaci en donde sea apropiado, se implementen
5.14 n
de controles para proporcionar autenticidad a
transaccion las transacciones y establecer la validez de
es
la identificacin solicitada por el usuario
6
ante el sistema. Esto requiere el empleo de MEDIO-BAJO BAJO
Las polticas organizacionales debern
asegurar que,
en donde sea apropiado, las transacciones
no puedan ser negadas por ninguna de las
No
partes participantes en la operacin y que
5.15
negacin o se implementen controles para que no se
no rechazo pueda negar el origen o destino de la
transaccin y que se pueda probar que se
envi y recibi la transaccin. Esto puede MEDIO
BAJO
10
lograrse a travs de firmas digitales, registro
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
Las polticas organizacionales debern
asegurar
que
la
informacin
de
transacciones sensitivas es enviada y
recibida
exclusivamente
a
travs
de canales o senderos seguros
Sendero
5.16
(trusted paths). La informacin sensitiva
Seguro
incluye: informacin sobre administracin
de seguridad, datos de transacciones
sensitivas,
passwords
y
llaves
criptogrficas. Para
MEDIO
BAJO
10
lograrelesto,
se pueden
establecer
canales
Todo
hardware
y software
relacionado
con
seguridad
debe
encontrarse
permanentemente
Proteccin
5.17 de
las protegido contra intromisiones para proteger
funciones
su integridad y contra divulgacin de sus
de
claves
secretas.
Adicionalmente,
la
MEDIO-ALTO 8
seguridad
organizacin deber mantener discrecin BAJO
La
Gerencia
deber
definir
e
implementar
procedimientos y protocolos a ser utilizados
en la generacin, cambio, revocacin,
distribucin,
certificacin,
Administrac destruccin,
5.18 in
de almacenamiento, entrada, utilizacin y
archivo de llaves criptogrficas con el fin de
Llaves
Criptogrfic asegurar la proteccin de las mismas contra
modificaciones y divulgacin no autorizada.
as
Si una llave se encuentra comprometida
(en riesgo), la gerencia deber asegurarse ALTO
BAJO
18
de que esta informacin se hace llegar a
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
Con respecto al software malicioso, tal como
los virus computacionales o Caballos de
Troya, la Gerencia
deber
establecer
un
marco
Prevencin, de referencia de adecuadas medidas de
Deteccin y control preventivas, detectivas y correctivas
5.19 Correccin y responder y reportar su presencia. Las
de Software Gerencias de TI y de negocios
deben
Malicioso asegurar que se establezcan
procedimientos a travs de toda la
organizacin para
proteger los sistemas de informacin BAJO
MEDIO-ALTO 8
La organizacin deber contar con Firewall
Arquitectura adecuados
de Firewalls para proteger contra negacin de servicios y
5.20 y conexin a cualquier acceso no autorizado a los
recursos internos si existe conexin con
redes
Internet u otras redes pblicas; se deber
pblicas
controlar en ambos sentidos cualquier MEDIO-BAJO MEDIO-ALTO 24
La Gerencia debe proteger la integridad
continuada de todas las tarjetas o
mecanismos de seguridad fsica
Proteccin
5.21 de Valores similares, utilizadas para autenticacin o
Electrnico almacenamiento de informacin financiera
o sensitiva
s
tomando en consideracin las instalaciones o MEDIO
MEDIO-BAJO 20
equipos
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y
DS11 Administraci almacenamiento
n de datos
La
Gerencia
deber
establecer
procedimientos de
preparacin de datos que deben ser
Procedimien
seguidos por los departamentos usuarios. En
s
de
11.1 to
Preparacin este contexto, el diseo de formas de
entrada de datos deber ayudar a minimizar
de Datos
los errores y las omisiones. Durante la
creacin de los datos, los procedimientos MEDIO-BAJO MEDIO
18
manejo de
errores
debern que
asegurar
Procedimie de
La Gerencia
deber
asegurar
los
nto s de
documentos
fuente
sean
preparados
apropiadamente por personal
Autorizaci
11.2 n
de autorizado que acta dentro de su
autoridad, y que se establezca una
Document
separacin de funciones adecuada
con MEDIO-BAJO MEDIO-ALTO 24
os
Fuente
respecto
al origen y de
aprobacin
de
Los procedimientos
la organizacin
Recopilaci
debern
n
de
asegurar que todos los documentos fuente
11.3
Datos de autorizados estn completos, sean precisos,
Document
registrados apropiadamente y transmitidos MEDIO-BAJO MEDIO-ALTO 24
os Fuente
Manejo
de
Los procedimientos de manejo de errores
durante la
errores de
11.4
creacin de
datos debern asegurar
document
MEDIO
30
razonablemente que los errores y las MEDIO
os fuente
Debern establecerse procedimientos para
asegurar
Retencin de que la organizacin pueda retener o
11.5 Documentos
reproducir los documentos
fuente
Fuente
originales
durante
un perodo de
tiempo
razonable
para
facilitar
la MEDIO-BAJO MEDIO-ALTO 24
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y
Administraci
DS11 n de datos almacenamiento
11.6
11.7
11.8
11.9
Procedimient
o
s
de La
organizacin
deber
establecer
Autorizaci procedimientos apropiados para asegurar
n
de que la entrada de datos sea llevada a cabo MEDIO-BAJO
Los datos de transacciones, ingresados
para su
procesamiento (generados por personas,
Chequeos
por sistemas o entradas de interfase)
de
debern estar sujetos a una variedad de
Exactitud,
Suficiencia controles para verificar su exactitud,
suficiencia y validez. Asimismo, debern
y
establecerse procedimientos para asegurar MEDIO-ALTO
Autorizaci
Manejo de
Errores en La
organizacin
deber
establecer
la Entrada procedimientos para la correccin y reenvo
de Datos
de datos que hayan sido capturados MEDIO
La
organizacin
deber
establecer
procedimientos para
el procesamiento de datos que aseguren
Integridad
que la segregacin de funciones sea
de
mantenida y que el trabajo realizado sea
Procesamien
verificado
rutinariamente.
Los
to de Datos
procedimientos debern asegurar que se
MEDIO
Validacin y establezcan controles de actualizacin
Edicin de
11.10 Procesamie
nto de
Datos
MEDIO
18
MEDIO-ALTO 56
MEDIO
30
MEDIO-ALTO 40
La
organizacin
deber
establecer
procedimientos para asegurar que la
validacin, autenticacin y edicin del
procesamiento sean llevadas a cabo tan MEDIO-BAJO MEDIO-BAJO 12
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y
DS11 Administraci almacenamiento
n de datos
Manejo de
La
organizacin
deber
establecer
Errores
en procedimientos para
el manejo de errores en el procesamiento de
11.11 el
Procesamie datos que permitan la identificacin de
18
transacciones errneas sin que stas sean MEDIO-BAJO MEDIO
nto de
La
organizacin
deber
establecer
Manejo y procedimientos para
el manejo y la retencin de datos
11.12 Retencin
por
sus
programas
de
de Datos producidos
aplicacin de TI. En caso de que
de Salida
instrumentos
negociables
(ej.
Ttulos MEDIO-BAJO MEDIO-ALTO 24
Distribucin
de
La organizacin deber establecer y
11.13 Datos
comunicar procedimientos escritos para la
MEDIO-BAJO 20
Salidos de distribucin de datos de salida de tecnologa MEDIO
La
organizacin
deber
establecer
Balanceo y procedimientos para
asegurar que los datos de salida sean
11.14 Conciliacin
rutinariamente
con
los
de Datos de balanceados
totales de control relevantes. Debern
Salida
MEDIO
MEDIO
30
existir pistas de auditora para facilitar el
La Gerencia de la organizacin deber
Revisin
establecer
de Datos
procedimientos para asegurar que la
11.15 de Salida
precisin de los reportes de los datos de
y Manejo
salida sea revisada por el proveedor y por
de
18
los
usuarios
responsables.
Asimismo, MEDIO-BAJO MEDIO
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y
DS11 Administraci almacenamiento
n de datos
La
organizacin
deber
establecer
Provisiones procedimientos para
garantizar que la seguridad de los reportes
11.16 de
Seguridad
generados por los procesos sea mantenida
para
para todos aquellos reportes que estn por MEDIO-ALTO MEDIO-ALTO 56
Reportes
Proteccinde
de La Gerencia deber asegurar que durante
Informacin la transmisin y transporte de informacin
11.17
Sensible
sensible, se proporcione una adecuada
durante
proteccin contra acceso o modificacin no
transmisin autorizada, as como contra envos a MEDIO-ALTO MEDIO-ALTO 56
La
Gerencia
deber
definir
e
implementar
procedimientos para impedir el acceso a la
Proteccin
informacin sensitiva, al software de las
de
11.18
Informacin computadoras, a los discos y otros equipos o
medios cuando los mismos son desechados
Sensitiva
transferidos
a
otro
uso.
Tales
Desechada o
procedimientos debern garantizar que MEDIO-ALTO MEDIO
42
ninguna
informacin
como
Debern
desarrollarse marcada
procedimientos
Administraci para
el
de almacenamiento de datos que consideren
11.19 n
Almacenami requerimientos
de
recuperacin,
de
en to
economa y as mismo tengan en cuenta las MEDIO-BAJO MEDIO-ALTO 24
Perodos de Debern
definirse
los
perodos
de
retencin
y
los
Retencin y
de
almacenamiento
para
11.20 Trminos de trminos
documentos,
datos,
programas,
reportes
y
Almacenami
mensajes (de entrada y de salida), as como MEDIO-BAJO MEDIO-ALTO 24
en to
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y
DS11 Administraci almacenamiento
n de datos
La
funcin
de
servicios
de
informacin deber
Sistema de establecer procedimientos para asegurar
Administrac
11.21 in de la que el contenido de su librera de medios
sea inventariado sistemticamente, que
Librera de
cualquier discrepancia revelada por un
Medios
inventario
fsico
sea
solucionada
MEDIO-ALTO MEDIO-ALTO 56
oportunamente
y
que
se
consideren
La Gerencia de la funcin de servicios las
de
informacin
deber
establecer
Responsabili procedimientos de administracin
da des de la para proteger el contenido de la librera
de medios. Debern definirse estndares
11.22 Administraci para la identificacin externa de medios
n de la
magnticos y el control de su
Librera de movimiento y almacenamiento fsico para
Medios
soporte y registro. Las responsabilidades
sobre el manejo de la
MEDIO-BAJO MEDIO-ALTO 24
libreras
de medios
magnticas,
La
Gerencia
deber (cintas
implementar
una
estrategia
apropiada de respaldo y recuperacin para
Respaldo
asegurar que sta incluya una revisin de
11.23 (Back-up)
los requerimientos del negocio, as como
y
el
desarrollo,
implementacin, prueba y
Restauraci
documentacin
del
plan de recuperacin. Se
n
MEDIO-BAJO ALTO
30
debern
establecer
para
Debern establecerse procedimientos
procedimientos para
Funciones de asegurar
11.24
que los respaldos sean realizados de
Respaldo
acuerdo con la estrategia de respaldo MEDIO-BAJO MEDIO-ALTO 24
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y
DS11 Administraci almacenamiento
n de datos
Los procedimientos de
respaldo para
los medios
relacionados
con
tecnologa
de
informacin
debern
incluir
el
Almacenami
almacenamiento
apropiado
de
los
11.25 en to de
archivos de datos, del software y de la
Respaldos
documentacin relacionada, tanto dentro
como fuera de las instalaciones. Los
respaldos debern ser almacenados con MEDIO-BAJO MEDIO-ALTO 24
seguridad
las
instalaciones
de
La Gerenciay deber
implementar una
poltica y
procedimientos para asegurar que el
11.26 Archivo
archivo cumple con requerimientos legales
42
y de negocio y que se encuentra MEDIO-ALTO MEDIO
Con respecto a la transmisin de datos a
travs de
Proteccin
Internet u otra red pblica, la Gerencia
11.27
de deber
definir
e
implementar
Mensajes
procedimientos y protocolos que deben
Sensitivos
ser utilizados para el aseguramiento de la MEDIO-ALTO BAJO
14
integridad,
confidencialidad
no
Antes
que alguna
accin crtica seay tomada
sobre informacin originada fuera de la
Autenticaci Organizacin, que se
11.28
reciba va telfono, correo de voz,
ne
documentos (en papel), fax o correo
Integridad
electrnico,
se
deber
verificar MEDIO-ALTO BAJO
14
adecuadamente la autenticidad e integridad
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y
DS11 Administraci almacenamiento
n de datos
Tomando en consideracin que las fronteras
tradicionales de tiempo y de geografa
son menos precisas y confiables, la
Gerencia deber
definir
e
implementar
apropiados
procedimientos
y
prcticas
para
transacciones electrnicas que sean
sensitivas y crticas para la Organizacin,
Integridad
que permitan asegurar su integridad y
11.29 de
autenticidad de:
Transaccion +
atomicidad
(unidad
de
trabajo
es
indivisible, todas sus acciones tienen xito
Electrnicas o todas ellas fallan)
+ consistencia (si la transaccin no logra
alcanzar un estado final estable, deber
regresar al sistema a su estado inicial);
+ aislamiento (el comportamiento de una
transaccin no es afectado por otras ALTO
BAJO
18
transacciones
que
se
ejecutan
La Gerencia deber asegurar que la
Integridad
integridad y lo adecuado de los datos
11.30 Continua
mantenidos en archivos y otros medios (ej.
de
Datos
tarjetas
electrnicas)
se
verifique
Almacenad
peridicamente. Atencin especfica deber
MEDIO-BAJO BAJO
6
os
darse a dispositivos de tokens, archivos de
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros
Administraci naturales y provocados por el
DS12 n
de hombre.
instalacione
s
Debern
establecerse
medidas
No
existe
una
apropiadas de
poltica o
seguridad fsica y medidas de control de
procedimientos
de
acceso para las instalaciones de tecnologa
seguridad formalmente
de informacin incluyendo el uso de
definidos.
Pero
el
dispositivos de informacin off-site en
acceso a los servidores y
conformidad con la poltica general de
al rea
de
cableado
Seguridad
seguridad.
La
seguridad
fsica
y
los
estructurado
esta
12.1
Fsica
controles de acceso deben abarcar no slo
restringido.
el rea que contenga el hardware del
sistema sino tambin las ubicaciones del
cableado usado para conectar elementos
del sistema, servicios de soporte (como la
energa elctrica), medios de respaldo y
dems elementos requeridos para la
70
operacin del sistema. El acceso deber MEDIO-ALTO ALTO
Discrecin
La Gerencia de la funcin de servicios de
sobre las informacin
deber asegurar que se mantenga un bajo
12.2 Instalacion
perfil sobre la identificacin fsica de las
es de
relacionadas
con
sus
Tecnologa instalaciones
42
MEDIO-ALTO MEDIO
operaciones
de
tecnologa
de
informacin.
de
Debern
establecerse
procedimientos
apropiados que aseguren que las personas
que no formen parte del grupo de
Escolta de
operaciones de la funcin de servicios de
12.3
Visitantes
informacin sean escoltadas por algn
miembro de ese
grupo
cuando
deban
entrar
a
las ALTO
54
MEDIO
instalaciones de
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros
Administraci naturales y provocados por el
DS12 n
de hombre.
instalacione
s
Debern
establecerse
y
mantenerse
Salud
y prcticas de salud y seguridad en lnea con
12.4 Seguridad
las leyes y regulaciones internacionales,
del
nacionales, regionales, estatales y locales.
MEDIO-ALTO MEDIO-BAJO 28
Personal
La Gerencia de la funcin de servicios de
informacin
Proteccin
deber asegurar que se establezcan y
12.5 contra
mantengan las suficientes medidas para la
Factores
proteccin contra los factores ambientales
Ambiental
(por ejemplo, fuego, polvo, electricidad,
es
42
calor o humedad excesivos). Debern MEDIO-ALTO MEDIO
La Gerencia deber evaluar regularmente la
necesidad
Suministro de contar con generadores y bateras de
12.6 Ininterrump suministro ininterrumpido de energa (UPS)
ido
de para las aplicaciones crticas de tecnologa
Energa
de informacin, con el fin de protegerse
MEDIO-ALTO 8
contra fallas y fluctuaciones de energa. BAJO
7.2.4
Riesgos
Evaluar y Priorizar
Proceso
s continuidad del
DS4 - Asegurar
servicio
DS5 - Garantizar la seguridad de
sistemas
DS11 - Administrar la informacin
PO9 - Evaluar Riesgos
PO11 -Administrar Calidad
DS12
Administrar
las
instalaciones
AI6 - Administrar cambios
Objetivo
s
de
Control Alto Medio Bajo Alto+Medi
o
13
6
4
3
10
21
30
8
19
6
8
105
1
0
0
0
1
0
8
8
7
6
6
3
2
36
12
23
2
13
2
6
61
9
7
6
6
4
2
44
8%
34%
58%
42%
Los riesgos a priorizar son los que estn en el nivel de exposicin ALTO y
MEDIO.
7.2.5
Tratamiento del
Riesgo
Para la actividad o componente al cual se aplic el proceso de
administracin de riesgos, hay que determinar las posibles formas de
reducir o mitigar el riesgo.
Entre las opciones de tratamiento tenemos las
siguientes:
Evitar: Se reduce la probabilidad de prdida al mnimo; dejar de ejercer la
actividad o proceso.
Reducir: Se consigue mediante la optimizacin de los procedimientos y la
implementacin de controles tendientes a disminuir la probabilidad de
ocurrencia o el impacto.
Atomizar: Distribuir la localizacin del riesgo, segmentando el objeto sobre el
cual se puede materializar el riesgo.
Transferir: Pasar el riesgo de un lugar a otro, compartir con otro el riesgo,
esta tcnica no reduce la probabilidad ni el impacto, involucra a otro en la
responsabilidad.
Asumir: Se acepta la prdida residual probable, con la aceptacin del riesgo
las estrategias de prevencin se vuelven esenciales.
El tratamiento a usar para mitigar los riesgos de alto impacto es
estableciendo controles que ayuden a reducir el impacto y probabilidad de
ocurrencia de eventos que puedan ocasionar daos a la infraestructura de
IT.
Los controles
procesos de
Administracin
IT.
implementar
estn
enfocados
los
de
DOMINIO
Planeacin
y
Organizacin
Adquisicin e
Instalacin
Entrega
de
Servicios
PROCESO
PO9 Evaluar riesgos
PO11 Administrar Calidad
AI6
Administrar cambios
DS4
Asegurar
continuidad
Garantizar
seguridad
de sistemas
DS11 Administrar
informacin
DS12 Administrar
instalaciones
DS5
la
la
las
siguientes
8. PLAN DE ACCIN
MODELO DE MEJORES PRACTICAS COBIT
Fecha de diagnostico :
EMPRESA : PRESTONS SA
Diseo de un Sistema de Gestin de Seguridad
Pag 1/3
PLAN
DE
ACCIN
PLANIFICACIN
Y
PO9 Evaluar Riesgo
DOMINIO :
PROCESO:
ORGANIZACIN
Soportar las decisiones de la administracin a travs del
que
el logro de los objetivos de TI
satisface
y responder a las amenazas reduciendo su complejidad
los
incrementando su objetividad e identificando factores
requerimie
se hace posible la participacin de la propia organizacin en la
identificacin de riesgos de TI y en el
a travs
anlisis
de
impacto,
involucrando
funciones
de:
multidisciplinarias y tomando medidas econmicas para
los riesgos.
Propiedad
y registro de la administracin del riesgo
y
toma
en mitigar
diferentes tipos de riesgos de TI (por ejemplo:
consideracin:
tecnolgicos, de seguridad, de continuidad,
regulatorios, etc.)
Definir y comunicar el perfil de tolerancia del riesgo
Anlisis del origen de las causas y sesiones de
tormentas de ideas sobre riesgos
Medicin cuantitativa y/o cualitativa del riesgo
metodologa de evaluacin de riesgos
plan de accin de riesgos
Reevaluaciones
oportunas
CONTROLES
Control
a POLTICAS Y PROCEDIMIENTOS DE EVALUACIN DE
Implementar
RIESGOS.
PO9 C1
La administracin deber establecer un foro Gerencial,
para asegurarse que
exista una direccin clara de las iniciativas de seguridad
Metodologa
Frecuencia de evaluacin
Evaluaciones de riesgo a nivel global y de sistemas
Equipo multidiscplinario
Mantener actualizadas las evaluaciones de riesgo,
resultados de auditoras, inspecciones e incidentes
Polticas de seguros que cubren el riesgo residual.
Responsa
Gerente General
bles
de
Plazo
9 meses
(tiempo
de
Control
Implementar
PO9 C2
Responsa
bles
de
Plazo
(tiempo
de
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
PO9 C4
Responsa
bles
de
Plazo
(tiempo
de
2 meses
DOMINIO :
ORGANIZACIN
Administracin
Satisfacer los requerimientos del cliente
deCalidad
TI
que
De la
satisface
los
requerimie
se
hace La planeacin, implementacin y mantenimiento de
posible
a estndares y
sistemas de administracin provistos
travs de:
para las distintasde
fases
desarrollo,
con
Establecimiento
una de
cultura
de calidad
y
toma
en
Planes de calidad
consider
responsabilidades de aseguramiento de la calidad
acin:
Prcticas de control de calidad
metodologa del ciclo de vida de desarrollo de sistemas
Pruebas y documentacin de programas y sistemas
revisiones y reporte de aseguramiento de calidad
Entrenamiento e involucramiento
del usuario final y del personal de
aseguramiento de calidad
Desarrollo de una base de conocimientos de
aseguramiento
CONTROLES
Control
a
Implementar
POLTICAS Y PROCEDIMIENTOS RELACIONADOS
PO11 C1
CON EL desarrollar,
ASEGURAMIENTO
DEy
La organizacin
deber
diseminar,
peridicamente
revisar/actualizar:
(i)
Una poltica de administracin del Plan
General de la Calidad formalmente definida
y documentada.
Responsa
Gerente de Sistemas, Oficial de Seguridad.
bles
de
Plazo
1 mes
(tiempo
de
Control
a
Implementar
METODOLOGA
DEL
CICLO
DE
VIDA
DE
PO11 C2
DESARROLLO
DE
SISTEMAS
La organizacin deber fijar, realizar, y documentar la
metodologa adecuada
del ciclo de vida en el desarrollo de los sistemas
tanto adquirido como desarrollado internamente
Responsa
Gerente de Sistemas, Oficial de Seguridad.
bles
de
Plazo
2 meses
(tiempo
de
Control
a
Implementar
MARCO REFERENCIAL DE ADQUISICIN Y
PO11 C3
LA
La organizacinMANTENIMIENTO
deber construir un PARA
marco referencial
que incluya pasos a
seguir como: adquisicin, programacin, documentacin
y pruebas , establecimiento de parmetros y aplicacin
de correcciones
, estos
pasos
deben estar alineados
Responsa
Gerente
de Sistemas,
Oficial
de Seguridad.
bles
de
implemen
Plazo
2 semanas
(tiempo
de
MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :
EMPRESA : PRESTONS SA
Diseo de un Sistema de Gestin de Seguridad
Pag 2/2
PLAN
DE
ACCIN
PLANEACIN
Y PROCESO:
PO11
DOMINIO :
ORGANIZACIN
Administracin
Control
a
De la Calidad
Implementar
ENFOQUE DE ASEGURAMIENTO DE LA CALIDAD
PO11 C4
LA ORGANIZACIN
La DE
organizacin
deber
desarrollar, diseminar, y
peridicamente
revisar/actualizar:
a. Una revisin post-implementacin para
asegurar que todos los sistemas nuevos
modificados sean desarrollados y puestos
en produccin
de acuerdo con la
metodologa del ciclo de vida, el cual debe
ser respetado por el equipo del proyecto.
b. Una revisin en la medida que los sistemas
nuevos Oficial
modificados
han alcanzado los
Responsa
Gerente de Sistemas,
de Seguridad.
bles
de
Plazo
1 mes
(tiempo
de
RIESGOS
Riesgo
Actual
Objetivos
de
Control
O
I
T
6
42
Plan
General
de 7
Enfoque de
7
6
42
Aseguramiento
de
Calidad
Planeacin
del
7
6
42
Aseguramiento
de
Marco de Referencia 5
10 50
de
Adquisicin
y
Mantenimiento
para
la
Evaluacin del
7
6
42
Aseguramiento de la
Calidad
sobre el Cumplimiento
de
Estndares de
Revisin del
7
6
42
Aseguramiento
de
Calidad sobre
el Logro de los
Objetivos de TI
A MITIGAR
Riesgo
Esperado
OBSERVACIN
O
I
T
5
6
30 PO11-C1-C4
5
6
30 PO11-C1-C4
5
30 PO11-C1-C4
10
30 PO11-C3
30 PO11-C2
30 PO11-C4
procedimientos
de
categorizacin, priorizacin y
consideracin:
emergencia
evaluacin del impacto
autorizacin de cambios
Administracin de liberacin
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
CONTROLES
Control
a
Implementar
CONTROL
DE
AI6 C1
CAMBIOS
La Gerencia de TI deber asegurar que la administracin
de cambios, as como
el control y la distribucin de software sean integrados
apropiadamente
en
un
sistema
completo
de
administracin de configuracin. El sistema utilizado para
monitorear los cambios a los sistemas de aplicacin debe
Responsa
Gerencia de Sistemas
bles
de
Plazo
8 meses
(tiempo
de
Control
Implementar
AI6 C2
SOFTWARE
INSTALADO
POR EL USUARIO (USER
INSTALLED SOFTWARE)
La organizacin deber dar restricciones explcitas para
descargar e instalar
software
parte de los
usuarios
Gerencia por
de Sistemas,
Oficial
de Seguridad.
Responsables
de
implementacin 1 mes
Plazo
(tiempo
de
Control
Implementar
AI6 C3
Responsa
bles
de
Plazo
(tiempo
de
RESTRICCIONES DE USO
DE
SOFTWARE.
La organizacin deber obedecer a las restricciones de uso
del software.
Gerencia de Sistemas, Oficial de Seguridad.
4 meses
Responsa
bles
de
implemen
Plazo
(tiempo
de
Control
Implementar
AI6 C6
3 meses
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
AI6 C7
Responsa
bles
de
implemen
Plazo
(tiempo
de
POLTICAS
Y
PROCEDIMIENTOS
DE
ADMINISTRACIN
DE
LA
CONFIGURACIN
La organizacin
deber
desarrollar, diseminar, y
peridicamente
revisar/actualizar:
(iii)
Una poltica de administracin de la
configuracin
formalmente
definida
y
documentada.z
(iv)
Procedimientos documentados para facilitar la
Gerencia de Sistemas, Oficial de Seguridad.
CONFIGURACIN
La organizacin BSICA
deber desarrollar, documentar, y
mantener actualizada la
configuracin bsica de los Sistemas de Informacin
Gerencia de Sistemas, Oficial de Seguridad.
4 meses
CONFIGURATION
La organizacin SETTINGS
deber configurar el ambiente de
seguridad de los productos de
tecnologa de informacin al modo mas restrictivo
Gerencia de Sistemas, Oficial de Seguridad.
3 meses
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS4 C2
Responsa
bles
de
implemen
Plazo
(tiempo
de
Control
Implementar
DS4 C3
POLTICAS Y PROCEDIMIENTOS
CONTINGENCIA
DEL
PLAN
DE
La organizacin
deber
desarrollar, diseminar, y
peridicamente
revisar/actualizar:
(v)
Una poltica del plan de contingencia con
el propsito de identificar los roles,
responsabilidades y cumplimiento.
(vi)
Procedimientos documentados para facilitar
la implantacin de la polticas del plan de
Gerente de Sistemas, Oficial de Seguridad.
1 mes
a
PLAN
DE
CONTINGENCIA
La organizacin debe desarrollar implementar un Plan
de Contingencia para
los sistemas de informacin . Designar un oficial para
que
revise
y apruebe
de contingencia y
Gerente
de Sistemas,
Oficial el
de plan
Seguridad.
10 meses
ENTRENAMIENTO
PARA
LA
CONTINGENCIA
La organizacin debe entrenar al personal involucrado
en la contingencia con
sus roles , responsabilidades con respecto a los sistemas
de informacin y proveer constantemente entrenamiento
. La organizacin debe incorporar eventos de simulacro
Responsa
bles
de
Plazo
(tiempo
de
Responsa
bles
de
Plazo
(tiempo
de
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C2
Responsa
bles
de
Plazo
(tiempo
de
3 meses
Pag 2/9
Diseo de un Sistema de Gestin de Seguridad
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
UNSUCCESSFUL
Implementar
LOGIN deber obligar a un lmite de
DS5 C3
El sistema de informacin
intentos de accesos
invlidos consecutivo por un usuario durante un periodo
de tiempo. El sistema de informacin automticamente
deber bloquear al usuario par un periodo determinado,
Responsa
Gerentes de Sistema, Oficial de Seguridad.
bles
de
implemen
Plazo
2 semanas
(tiempo
de
Control
Implementar
DS5 C4
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C5
1 mes
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
Responsa
bles
de
Plazo
(tiempo
de
ADMINISTRACIN
DE
CUENTAS
DE
USUARIO
La
Gerencia
deber
establecer
procedimientos
para asegurar acciones
oportunas relacionadas con la solicitud, establecimiento,
emisin, suspensin y cierre de cuentas de usuario.
Deber incluirse un procedimiento de aprobacin formal
que indique el propietario de los datos o del sistema que
otorga los privilegios de acceso. La seguridad de acceso
Gerentes de Sistema, Oficial de Seguridad.
ACCESO
REMOTO
La organizacin deber
documentar, monitorear, y
controlar todos los mtodos
de acceso remoto (ej. Dial-up, internet) a los
Gerente de sistemas, Oficial de Seguridad
3 meses
Fecha de diagnostico :
EMPRESA : PRESTONS SA
Diseo de un Sistema de Gestin de Seguridad
Pag 3/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
CONCIENTIZACION RESPECTO
sistemas A
LA
SEGURIDAD
IT
Implementar
DS5 C7
La organizacin se(SECURITY
asegura a AWARENESS)
que todos los usuarios
(incluyendo gerentes y los
altos ejecutivos) estn concientes de la importancia del
sistema de seguridad de la
informacin antes de
Responsa
Gerente de sistemas, Oficial de Seguridad
bles
de
implemen
Plazo
2 meses
(tiempo
de
Control
Implementar
DS5 C8
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
5 meses
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C10
Control
Implementar
DS5 C11
Responsa
bles
de
Plazo
(tiempo
de
REGISTROS
DE
ENTRENAMIENTO
DE
SEGURIDAD
La organizacin
deber documentar y monitorear
las actividades de
entrenamiento individual de seguridad bsico y
Gerente de sistemas, Oficial de Seguridad
1 mes
EVENTOS
AUDITABLES
(AUDITABLE
EVENTS)
El sistema de informacin debe generar registros de
auditora para los eventos
siguientes:
Inicios de sesin.
Transacciones que afectan la contabilidad,
Inventario, Cxc, CxP, Bancos.
Altas y Bajas de Maestros de: Cuentas
Contables, Proveedores, Clientes, Productos.
Intentos fallidos de inicio de sesin.
a
CONTENIDO
DE
LOS
REGISTROS
DE
Los Sistemas de Informacin Computarizados deben
capturar suficiente
informacin en los registros de auditoria para
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses
Fecha de diagnostico :
EMPRESA : PRESTONS SA
Diseo de un Sistema de Gestin de Seguridad
Pag 4/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
CAPACIDAD DE ALMACENAMIENTO PARA
Implementar
LOS
LOGS
DE
AUDITORIA
DS5 C12
La
organizacin asigna suficiente capacidad de
almacenamiento y configura el
Responsa
registro de sistemas,
Gerente
la auditoria
Oficial
paradeprevenir
Seguridad,
queAuditor
se excede
Interno
tal
bles
de
Plazo
1 mes
(tiempo
de
Control
a
PROCESAMIENTO DE LA
Implementar
AUDITORIA (AUDIT
DS5 C13
En el evento de una falla en el registro de la auditoria
o la capacidad de
almacenamiento sea
alcanzada,
el
sistema
de
informacin alertara apropiadamente a los oficiales de la
Responsa
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
bles
de
Plazo
2 meses
(tiempo
de
Control
a
PROTECCIN DE LA INFORMACIN DE
Implementar
AUDITORIA
El Sistema de Informacin Computarizado protege la
informacin de los
LOGS e interfases de auditoria de acceso no
Responsa
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
bles
de
implemen
Plazo
1 mes
(tiempo
de
Control
a
RETENCIN DE LA INFORMACIN DE LOS
Implementar
LOGS
DE
AUDITORIA
La organizacin retiene los Logs de auditoria por 5 aos
para proveer apoyo a
las investigaciones de despus de-el-hecho de incidentes
de seguridad y para reunir requerimientos regulatorios y
organizacionales
de retencin
informacin.
Responsa
Gerente de sistemas,
Oficial dede
Seguridad,
Auditor Interno
bles
de
Plazo
1 mes
(tiempo
de
Fecha de diagnostico :
EMPRESA : PRESTONS SA
Diseo de un Sistema de Gestin de Seguridad
Pag 5/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
CATEGORIZACIN DE
LA INFORMACIN
Implementar
DS5 C16
La Gerencia deber implementar procedimientos para
asegurar que todos los
datos son clasificados en trminos de sensitividad,
mediante una decisin explcita y formal del dueo
de
los datos de
acuerdo con el
esquema de
clasificacin de datos. An los datos que no requieren
proteccin debern contar con una decisin formal que
les asigne dicha clasificacin. Los dueos deben
determinar la ubicacin o disposicin de sus datos y
determinar quienes pueden compartir los datos aun si y
cuando los programas y archivos sean mantenidos,
archivados o borrados. Debe quedar evidencia de la
Responsa
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
bles
de
Plazo
3 meses
(tiempo
de
Control
a
Implementar
POLTICA Y PROCEDIMIENTOS DE ACREDITACIN
DS5 C17
CERTIFICACIN
La Yorganizacin
deber desarrollar, diseminar, y
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C18
Responsa
bles
de
Plazo
(tiempo
de
peridicamente
revisar/actualizar:
(ix)
Una poltica de acreditacin y certificacin
formalmente definida y documentada.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses
a
CERTIFICACIN DE SEGURIDAD
La organizacin debera dirigir una valoracin de los
controles de seguridad en
los sistemas de informacin para determinar hasta que
punto los controles son implementados correctamente,
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses
EMPRESA : Ecuacolor
Fecha de diagnostico :
110 /123
Pag 6/9
Diseo de un Sistema de Gestin de Seguridad
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
Implementar
PLAN OF ACTION AND MILESTONES
DS5 C19
La organizacin debera desarrolla y actualiza, un
plan de accin para el
sistema de informacin que documente los planes de la
organizacin, implementaciones, y evolucin de acciones
tomadas para remediar cualquier deficiencia notada
Responsa
Gerente de sistemas, Oficial de Seguridad
bles
de
implemen
Plazo
3 meses
(tiempo
de
Control
a
Implementar
ACREDITACIN DE SEGURIDAD
DS5 C20
La
organizacin
debera
autorizar
(es
decir,
acreditar) a los sistema de
informacin antes de empezar a funcionar y cada cierto
Responsa
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
bles
de
Plazo
2 meses
(tiempo
de
Control
a
Implementar
MONITOREO
DS5 C21
CONTINUO
La organizacin debera
supervisar que los controles de
seguridad en los
sistema de
desistemas,
informacin
sedemantengan
de unaInterno
forma
Responsa
Gerente
Oficial
Seguridad, Auditor
bles
de
Plazo
3 meses
(tiempo
de
Control
Implementar
DS5 C22
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C23
MANEJO
DE
INCIDENTES
La organizacin debera implementar una actividad de
manejo de incidentes
para los eventos de seguridad y debera incluir:
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
Responsa
bles
de
Plazo
3 meses
(tiempo
de
EMPRESA : PRESTONS SA
Fecha de diagnostico :
Pag 7/9
Diseo de un Sistema de Gestin de Seguridad
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
Implementar
REPORTES DE VIOLACIN Y DE ACTIVIDADES
DS5 C24
DE SEGURIDAD
La administracin
de la funcin de servicios de
informacin deber asegurar
que las violaciones y la actividad de seguridad sean
registradas,
reportadas,
revisadas
y
escaladas
apropiadamente en forma regular para identificar y
resolver incidentes que involucren actividades no
autorizadas. El acceso lgico a la informacin sobre el
Responsa
Gerente de sistemas, Oficial de Seguridad
bles
de
Plazo
3 meses
(tiempo
de
Control
a
Implementar
INCIDENT
DS5 C25
REPORTING
La organizacin debera
reportar rpidamente los
informes de incidentes a las
Responsa
autoridades
Gerente
de sistemas,
apropiadas.
Oficial de Seguridad
bles
de
Plazo
1 mes
(tiempo
de
Control
a
Implementar
INCIDENT RESPONSE ASSISTANCE
DS5 C26
La organizacin debera proporcionar ayuda a los
usuarios de los sistemas de
Responsa
informacin
Gerente
de sistemas,
para elOficial
manejo
de Seguridad
e informacin de los
bles
de
implemen
Plazo
3 meses
(tiempo
de
Control
a
Implementar
POLTICA
Y
PROCEDIMIENTOS
PARA
LA
DS5 C27
LA SEGURIDAD
LaPLANIFICACIN
organizacin DEdeber
desarrollar, diseminar, y
peridicamente
revisar/actualizar:
(i)
Una poltica para la planificacin de
seguridad
formalmente
definida
y
documentada.
(ii)
Procedimientos documentados para facilitar
Responsa
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
bles
de
Plazo
5 meses
(tiempo
de
Fecha de diagnostico :
EMPRESA : PRESTONS SA
Diseo de un Sistema de Gestin de Seguridad
Pag 8/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
Implementar
PLAN DEL SISTEMA DE SEGURIDAD DE LA
DS5 C28
INFORMACIN
La organizacin
debera desarrollar e implementar un
plan de seguridad para
los sistema de informacin que proporciona una
apreciacin global de los requisitos de seguridad para los
Responsa
Gerente de sistemas, Oficial de Seguridad
bles
de
Plazo
3 meses
(tiempo
de
Control
a
Implementar
ACTUALIZAR PLAN DEL SISTEMA DE SEGURIDAD
DS5 C29
LA INFORMACIN
La DE
organizacin
debera revisar el plan de seguridad
para los sistemas de
Responsa
informacin,
Gerente
de sistemas,
para detectar
Oficialcualquier
de Seguridad
desviacin o efectuar
bles
de
implemen
Plazo
3 meses
(tiempo
de
Control
a
Implementar
REGLAS
DE
DS5 C30
CONDUCTA
La organizacin debera establecer y hacer prontamente
disponible a todos los
usuarios de los sistemas de informacin un juego de
reglas que describen sus responsabilidades y conducta
esperada con respecto a los usos de los sistemas de
informacin.
La organizacin debera recibir firmado el reconocimiento
de los usuarios en donde se indica que ellos han ledo,
Responsa
Gerente de sistemas, Oficial de Seguridad
bles
de
Plazo
3 meses
(tiempo
de
Control
a
Implementar
CONTROL DE LOS USUARIOS SOBRE SUS
DS5 C31
CUENTAS
Los usuarios
debern controlar en forma sistemtica
la actividad de su(s)
propia(s)
cuenta
(s).
Tambin
se
debern
establecer
mecanismos
de informacin para
permitirles
supervisarOficial
la actividad
normal, as como
Responsa
Gerente de sistemas,
de Seguridad
bles
de
implemen
Plazo
3 meses
(tiempo
de
Pag 9/9
Diseo de un Sistema de Gestin de Seguridad
PLAN
DE
ENTREGA YACCIN PROCESO:
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad de sistemas
Control
a
Implementar
PLAN DEL SISTEMA DE SEGURIDAD DE LA
DS5 C32
INFORMACIN
La organizacin
debera desarrollar e implementar un plan
de seguridad para los
sistema de informacin que proporciona una apreciacin
global de los requisitos de seguridad para los sistemas y
Responsa
Gerente de sistemas, Oficial de Seguridad
bles
de
Plazo
3 meses
(tiempo
de
Control
Implementar
DS5 C33
Responsa
bles
de
Plazo
(tiempo
de
Objetivos
Control
VIGILANCIA
DE
SEGURIDAD
La administracin de seguridad de TI debe asegurar que la
actividad de seguridad
sea registrada y que cualquier indicacin sobre una
inminente
violacin
de
seguridad
sea
notificada
inmediatamente a todos aquellos que puedan verse
Gerente de sistemas, Oficial de Seguridad
3 meses
RIESGOS
Riesgo
Actual
de
O
I
T
9
8
72
Medidas
Administrar
de
Seguridad
Administracin
de
Cuentas de Usuario
Revisin Gerencial de
Cuentas de Usuario
Control de Usuarios
sobre
Cuentas de Usuario
Vigilancia
de
Seguridad
Clasificacin de Datos
Reportes de Violacin
y de
Manejo de Incidentes
Reacreditacin
40
42
A MITIGAR
Riesgo
Esperado
OBSERVACIN
O
I
T
5
8
C7,
C8,
C9,
40 DS5-C1,
C19,
C20, C21, C27, C28,
C30,C3,
C32 C4, C5, C6,
3
8
DS5-C1,
24 C29,
C7,
C8
5
6
C5, C6
30 DS5-C2,
56
40 DS5-C7, C31
56
7
7
6
8
42
56
5
3
6
8
40
36
C11,
C12,
24 DS5-C10,
C13,
C15, C33
DS5-C16
30 C14,
C11,
C12,
24 DS5-C10,
C13,
C14, C15, C24C23,
C24,
24 DS5-C22,
C25,
C26
C18, C20, C21
28 DS5-C17,
Responsa
bles
de
Plazo
(tiempo
de
La Organizacin
deber
disear,
implementar
y
peridicamente
revisar/actualizar:
Flujo de datos dentro de la funcin de TI y
hacia/desde los usuarios de los datos
Proceso de autorizacin de documentos fuente
Procesos
de
recoleccin,
seguimiento
y
transmisin de datos Procedimientos utilizados
para identificar y corregir errores durante la
creacin de datos
Mtodos utilizados por la organizacin para retener
documentos fuente
(archivo, imgenes, etc.), para definir qu documentos
deben ser retenidos,
los requerimientos de retencin legales y regulatorios,
etc. de Sistemas
Gerencia
8 meses
Responsa
bles
de
Plazo
(tiempo
de
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C3
Responsa
bles
de
Plazo
(tiempo
de
MANTENIMIENTO PERIDICO
La organizacin deber fijar, realizar, y documentar el
preventivo, rutinario y
regular mantenimiento en los componentes de los
sistemas de informacin de acuerdo
con
las
Gerente de Sistemas, Oficial de Seguridad.
2 meses
PERSONAL DE MANTENIMIENTO
La organizacin deber mantener una lista de personal
autorizado para realizar
mantenimiento sobre el sistema de informacin. Slo
Gerente de Sistemas, Oficial de Seguridad.
2 semanas
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C10
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C11
Responsa
bles
de
Plazo
(tiempo
de
CONTROL
DE
VISITANTES
La organizacin deber controlar el acceso fsico a los
sistemas de informacin
autenticando
a los visitantes
antes
de autorizar acceso a
Gerente
de Sistemas,
Oficial de
Seguridad.
2 meses
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C14
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C15
Responsa
bles
de
Plazo
(tiempo
de
BITCORA
DE
VISITANTES
La organizacin deber mantener una bitcora
visitantes que incluye:
(i)
el nombre y organizacin del
persona que visita; (ii)
la firma de el
visitante;
(iii)
la
forma
de
identificacin; (iv)
la
fecha de acceso;
(v) de
tiempo
de entrada
Gerente
Sistemas,
Oficial y
desalida;
Seguridad.
de
2 semanas
a
LUCES
DE
EMERGENCIA
La organizacin deber emplear y mantener un sistema
automtico de luces de
emergencia que se activan al evento de un fallo de
Gerencia General, Gerente de Sistemas, Oficial de
Seguridad.
7 meses
BENEFICIOS