1. Educación

234—Mapeando
Fortalezas de COBIT 5
Seguridad con ISO/IEC
27001:2013
Johann Tello Meryk
Director, Latam Consulting Services
AGENDA
1.
2.
3.
4.
5.
6.
7.
ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LA
INFORMACIÓN
ESTRUCTURA DE ISO/IEC 27001:2013
MAPEO DE PRINCIPIOS
MAPEO DE PROCESOS
CASO DE ESTUDIO
ESCENARIO NO. 1
ESCENARIO NO. 2
CONCLUSIONES
PREGUNTAS
ESTRUCTURA DE COBIT 5 PARA SEGURIDAD
DE LA INFORMACIÓN
Marco Referencial
Principios de COBIT 5: Satisfacer las necesidades de las partes interesadas,
cubrir a la empresa de extremo a extremo, aplicar un marco de referencia único
integrado, hacer posible un enfoque holístico y separar al gobierno de la gestión.
Habilitadores de COBIT 5: Principios, políticas y marco de referencia;
procesos; estructuras organizativas; cultura, ética y comportamiento;
información; servicios, infraestructura y aplicaciones; y personas, habilidades y
competencias.
COBIT 5 Implementación: Las siete fases del ciclo de vida de implementación
Modelo de Referencia de Procesos de COBIT 5: EDM (Evaluar, Orientar y
Supervisar), APO (Alinear, Planificar y Organizar), BAI (Construir, Adquirir e
Implementar), DSS (Entregar, dar Servicio y Soporte) y MEA (Supervisar, Evaluar y
Valorar)
ESTRUCTURA DE ISO/IEC 27001:2013
Áreas de requerimientos del Sistema de Administración de Seguridad
de la Información (ISMS)
No.
Requerimientos
0.
Introducción
1.
Alcance
2.
Referencia de la Normativa
3.
Términos y definiciones
4.
Contexto de la organización
5.
Liderazgo
6.
Planeación
7.
Soporte
8.
Operación
9.
Evaluación del rendimiento
10.
Mejoramiento
Anexo A: Objetivos de control y controles, A.5 a A.18
MAPEO DE DEFINICIONES / PRINCIPIOS
COBIT 5 Seguridad de la Información
Asegurar que dentro de la empresa, la información está protegida contra la divulgación por
usuarios no autorizados (confidencialidad), modificación inapropiada (integridad) y no acceso
cuando es requerida (disponibilidad).
• Confidencialidad significa preservar restricciones autorizadas en el acceso y divulgación,
incluyendo la protección de privacidad y propietario de la información.
• Integridad significa guarda contra la modificación inapropiada o destrucción e incluye
asegurarse de la no repudiación de la información y su autenticidad.
• Disponibilidad significa asegurarse del acceso oportuno y fiable a la información y su uso.
ISO/IEC 27001:2013
El sistema de administración de la seguridad de la información preserva la confidencialidad,
integridad y disponibilidad de la información aplicando un procesos de administración de riesgo y
brinda confianza a las partes interesadas que el riesgo está adecuadamente administrado.
Es importante que el sistema de administración de la seguridad de la información es parte y está
integrado con los procesos de la organización y con la estructura global de la gerencia y que la
seguridad de la información es considerada en el diseño de procesos, sistemas de información y
controles. La expectativa es que la implementación del sistema de administración de la seguridad
de la información será escalado en concordancia con las necesidades de la organización.
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Evaluar, Orientar y Supervisar
EDM01
Asegurar el establecimiento y
mantenimiento del marco de
referencia de gobierno
5.1 Liderazgo y compromiso
5.2 Política
5.3 Roles, responsabilidades y autoridades
organizacionales
6.2 Objetivos de seguridad de la información y la
planeación para su logro
7.4 Comunicación
A.5 Política de Seguridad de Información
EDM02
Asegurar la Entrega de
Beneficios
4.1 Entendiendo a la organización y su contexto
4.2 Entender las necesidades y expectativas de
las partes interesadas
6.1.1 General
9.3 Revisión Gerencial
10 Mejoramiento
EDM03
Asegurar la Optimización del
Riesgo
5.2 Política
6.1 Acciones para abordar los riesgos y las
oportunidades
7.5 Información documentada
8.1 Plan operacional y de control
8.3 Tratamiento al riesgo de seguridad de
información
9.1 Monitoreo, medición, análisis y evaluación
9.3 Revisión gerencial
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
EDM04
Asegurar la Optimización de
Recursos
4.4 Sistema de Administración de la seguridad
de información
7.1 Recursos
7.2 Competencia
7.3 Concientización
EDM05
Asegurar la Transparencia
hacia las Partes Interesadas
A.12 Operaciones de Seguridad
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Alinear, Planificar y Organizar
APO 01
Gestionar el marco de gestión
de TI
5 Liderazgo
A.5 Política de seguridad de la información
A.6 Organización de seguridad de la información
APO02
Gestionar la estrategia
4 Contexto de la organización
5.2 Política
6 Planeación
APO03
Gestionar la Arquitectura
Empresarial
APO04
Gestionar la innovación
APO05
Gestionar el portafolio
APO06
Gestionar el presupuesto y los
costes
APO07
Gestionar los recursos
humanos
7.2 Competencia
7.3 Concientización
A.7 Seguridad de Recursos Humanos
APO08
Gestionar las relaciones
A.6.1 Organización interna
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
APO09
Gestionar acuerdos de
servicios
APO 10
Gestionar los proveedores
A.15 Relación con proveedores
APO11
Gestionar la calidad
4.1 Entendiendo la organización y su contexto
4.2 Entender las necesidades y expectativas de
las partes interesadas
6.1.1 General
9.3 Revisión gerencial
10 Mejoramiento
APO12
Gestionar el riesgo.
5.2 Política
6.1 Acciones para abordar los riesgos y las
oportunidades
7.5 Información documentada
8.1 Plan operacional y de control
8.3 Tratamiento al riesgo de seguridad de
información
9.1 Monitoreo, medición, análisis y evaluación
9.3 Revisión gerencial
APO13
Gestionar la seguridad
Considerado en todo el estándar
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Construir, adquirir e implementar
BAI01
Gestionar programas y
proyectos
BAI02
Gestionar la definición de
requisitos
A.18 Cumplimiento
BAI03
Gestionar la identificación y
construcción de soluciones.
A.14 Adquisición, desarrollo y mantenimiento
de sistemas
BAI04
Gestionar la disponibilidad y
la capacidad
A.12.1.3 Administración de capacidad
BAI05
Gestionar la introducción del
cambio organizativo
BAI06
Gestionar los cambios
A.12.1.2 Administración de cambios
BAI07
Gestionar la aceptación del
cambio y la transición
A.12.1.4 Separación de los ambientes de
desarrollo, prueba y operaciones
BAI08
Gestionar el conocimiento
7.5 Información documentada
BAI09
Gestionar los activos
A.8 Administración de activos
BAI10
Gestionar la configuración
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Entrega, Servicio y Soporte
DSS01
Gestionar operaciones
6.1 Acciones para abordar los riesgos y
oportunidades
8 Operaciones
A.11 Seguridad física y ambiental
A.12.3 Respaldos
A.12.4 Monitoreo y registro
A.15 Relación con proveedores
DSS02
Gestionar peticiones e
incidentes de servicio
A.16 Administración de incidentes de
seguridad de la información
DSS03
Gestionar problemas
DSS04
Gestionar la continuidad
4.1 Entendiendo la organización y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicación
7.5 Información documentada
10 Mejoramiento
DSS05
Gestionar servicios de
seguridad
Considerado en todo el estándar
DSS06
Gestionar controles de
procesos de negocio
6.1.2 Evaluación de riesgo de seguridad de la
información
9 Evaluación del rendimiento
A.8.2 Clasificación de la información
A.9.4 Control de acceso a los sistemas y
aplicaciones
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Supervisar, Evaluar y Valorar
MEA01
Supervisar, evaluar y valorar
el rendimiento y la
conformidad
4.1 Entendiendo la organización y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicación
9 Evaluación del rendimiento
MEA02
Supervisar, evaluar y valorar
el sistema de control interno
4.1 Entendiendo la organización y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicación
9 Evaluación del rendimiento
A.18.2 Revisiones de seguridad de la
información
MEA03
Supervisar, evaluar y valorar
la conformidad con los
requerimientos externos
4.1 Entendiendo la organización y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicación
9 Evaluación del rendimiento
A.18.1 Cumplimiento con requerimientos
legales y contractuales
ISBN 978-9962-05-581-5
CASO DE ESTUDIO
ESCENARIO NO. 1
Recientemente una empresa ha pasado por un proceso de adquisición
en donde la empresa matriz está implementando COBIT 5 para
seguridad de la información mientras que la empresa adquirida ha
logrado implementar algunos requerimientos del estándar ISO/IEC
27001:2013.
La gerencia de seguridad a nivel corporativo requiere determinar los
esfuerzos que son necesarios para lograr homologar los estándares de
seguridad. ¿Cuáles serían los pasos a seguir para lograr el objetivo
deseado?
ISBN 978-9962-05-581-5
CASO DE ESTUDIO
ESCENARIO NO. 2
Un banco ha sido fuertemente penalizado por incumplimiento de las
regulaciones establecidas de seguridad de la información. El ente
regulador ha establecido un periodo de seis meses para evaluar los
primeros resultados de un programa de seguridad integral. Uno de los
principales hallazgos indica que no han realizado evaluaciones de
riesgos.
¿Cuál estándar entre COBIT 5 para Seguridad de la Información o ISO/IEC
27001:2013 recomendaría a la gerencia del banco utilizar?
ISBN 978-9962-05-581-5
CONCLUSIONES
• COBIT 5 para Seguridad de la Información nos brinda un marco de
gobierno de seguridad alineado a COBIT 5
•Ambos estándares establecen como requerimientos principales para la
seguridad de la información:
• Entendimiento de la organización
• Las necesidades y expectativas
• Compromiso de la alta gerencia
• Roles y responsabilidades
• Planeación
• Evaluar y tratar el riesgo
• Medir resultados
• Documentar
• Mejoramiento continuo
•Comparten las mismas preocupaciones sobre la integridad,
confidencialidad e integridad de la información.
• Las inversiones en seguridad de la información sólo serán sostenibles a
través del cumplimiento de estándares.
ISBN 978-9962-05-581-5
PREGUNTAS
Johann Tello Meryk, CISA, CRISC, CISM
[email protected]