234—Mapeando Fortalezas de COBIT 5 Seguridad con ISO/IEC 27001:2013 Johann Tello Meryk Director, Latam Consulting Services AGENDA 1. 2. 3. 4. 5. 6. 7. ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LA INFORMACIÓN ESTRUCTURA DE ISO/IEC 27001:2013 MAPEO DE PRINCIPIOS MAPEO DE PROCESOS CASO DE ESTUDIO ESCENARIO NO. 1 ESCENARIO NO. 2 CONCLUSIONES PREGUNTAS ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LA INFORMACIÓN Marco Referencial Principios de COBIT 5: Satisfacer las necesidades de las partes interesadas, cubrir a la empresa de extremo a extremo, aplicar un marco de referencia único integrado, hacer posible un enfoque holístico y separar al gobierno de la gestión. Habilitadores de COBIT 5: Principios, políticas y marco de referencia; procesos; estructuras organizativas; cultura, ética y comportamiento; información; servicios, infraestructura y aplicaciones; y personas, habilidades y competencias. COBIT 5 Implementación: Las siete fases del ciclo de vida de implementación Modelo de Referencia de Procesos de COBIT 5: EDM (Evaluar, Orientar y Supervisar), APO (Alinear, Planificar y Organizar), BAI (Construir, Adquirir e Implementar), DSS (Entregar, dar Servicio y Soporte) y MEA (Supervisar, Evaluar y Valorar) ESTRUCTURA DE ISO/IEC 27001:2013 Áreas de requerimientos del Sistema de Administración de Seguridad de la Información (ISMS) No. Requerimientos 0. Introducción 1. Alcance 2. Referencia de la Normativa 3. Términos y definiciones 4. Contexto de la organización 5. Liderazgo 6. Planeación 7. Soporte 8. Operación 9. Evaluación del rendimiento 10. Mejoramiento Anexo A: Objetivos de control y controles, A.5 a A.18 MAPEO DE DEFINICIONES / PRINCIPIOS COBIT 5 Seguridad de la Información Asegurar que dentro de la empresa, la información está protegida contra la divulgación por usuarios no autorizados (confidencialidad), modificación inapropiada (integridad) y no acceso cuando es requerida (disponibilidad). • Confidencialidad significa preservar restricciones autorizadas en el acceso y divulgación, incluyendo la protección de privacidad y propietario de la información. • Integridad significa guarda contra la modificación inapropiada o destrucción e incluye asegurarse de la no repudiación de la información y su autenticidad. • Disponibilidad significa asegurarse del acceso oportuno y fiable a la información y su uso. ISO/IEC 27001:2013 El sistema de administración de la seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información aplicando un procesos de administración de riesgo y brinda confianza a las partes interesadas que el riesgo está adecuadamente administrado. Es importante que el sistema de administración de la seguridad de la información es parte y está integrado con los procesos de la organización y con la estructura global de la gerencia y que la seguridad de la información es considerada en el diseño de procesos, sistemas de información y controles. La expectativa es que la implementación del sistema de administración de la seguridad de la información será escalado en concordancia con las necesidades de la organización. ISBN 978-9962-05-581-5 MAPEO DE PROCESOS COBIT 5 Seguridad de la Información ISO/IEC 27001:2013 Evaluar, Orientar y Supervisar EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno 5.1 Liderazgo y compromiso 5.2 Política 5.3 Roles, responsabilidades y autoridades organizacionales 6.2 Objetivos de seguridad de la información y la planeación para su logro 7.4 Comunicación A.5 Política de Seguridad de Información EDM02 Asegurar la Entrega de Beneficios 4.1 Entendiendo a la organización y su contexto 4.2 Entender las necesidades y expectativas de las partes interesadas 6.1.1 General 9.3 Revisión Gerencial 10 Mejoramiento EDM03 Asegurar la Optimización del Riesgo 5.2 Política 6.1 Acciones para abordar los riesgos y las oportunidades 7.5 Información documentada 8.1 Plan operacional y de control 8.3 Tratamiento al riesgo de seguridad de información 9.1 Monitoreo, medición, análisis y evaluación 9.3 Revisión gerencial ISBN 978-9962-05-581-5 MAPEO DE PROCESOS COBIT 5 Seguridad de la Información ISO/IEC 27001:2013 EDM04 Asegurar la Optimización de Recursos 4.4 Sistema de Administración de la seguridad de información 7.1 Recursos 7.2 Competencia 7.3 Concientización EDM05 Asegurar la Transparencia hacia las Partes Interesadas A.12 Operaciones de Seguridad ISBN 978-9962-05-581-5 MAPEO DE PROCESOS COBIT 5 Seguridad de la Información ISO/IEC 27001:2013 Alinear, Planificar y Organizar APO 01 Gestionar el marco de gestión de TI 5 Liderazgo A.5 Política de seguridad de la información A.6 Organización de seguridad de la información APO02 Gestionar la estrategia 4 Contexto de la organización 5.2 Política 6 Planeación APO03 Gestionar la Arquitectura Empresarial APO04 Gestionar la innovación APO05 Gestionar el portafolio APO06 Gestionar el presupuesto y los costes APO07 Gestionar los recursos humanos 7.2 Competencia 7.3 Concientización A.7 Seguridad de Recursos Humanos APO08 Gestionar las relaciones A.6.1 Organización interna ISBN 978-9962-05-581-5 MAPEO DE PROCESOS COBIT 5 Seguridad de la Información ISO/IEC 27001:2013 APO09 Gestionar acuerdos de servicios APO 10 Gestionar los proveedores A.15 Relación con proveedores APO11 Gestionar la calidad 4.1 Entendiendo la organización y su contexto 4.2 Entender las necesidades y expectativas de las partes interesadas 6.1.1 General 9.3 Revisión gerencial 10 Mejoramiento APO12 Gestionar el riesgo. 5.2 Política 6.1 Acciones para abordar los riesgos y las oportunidades 7.5 Información documentada 8.1 Plan operacional y de control 8.3 Tratamiento al riesgo de seguridad de información 9.1 Monitoreo, medición, análisis y evaluación 9.3 Revisión gerencial APO13 Gestionar la seguridad Considerado en todo el estándar ISBN 978-9962-05-581-5 MAPEO DE PROCESOS COBIT 5 Seguridad de la Información ISO/IEC 27001:2013 Construir, adquirir e implementar BAI01 Gestionar programas y proyectos BAI02 Gestionar la definición de requisitos A.18 Cumplimiento BAI03 Gestionar la identificación y construcción de soluciones. A.14 Adquisición, desarrollo y mantenimiento de sistemas BAI04 Gestionar la disponibilidad y la capacidad A.12.1.3 Administración de capacidad BAI05 Gestionar la introducción del cambio organizativo BAI06 Gestionar los cambios A.12.1.2 Administración de cambios BAI07 Gestionar la aceptación del cambio y la transición A.12.1.4 Separación de los ambientes de desarrollo, prueba y operaciones BAI08 Gestionar el conocimiento 7.5 Información documentada BAI09 Gestionar los activos A.8 Administración de activos BAI10 Gestionar la configuración ISBN 978-9962-05-581-5 MAPEO DE PROCESOS COBIT 5 Seguridad de la Información ISO/IEC 27001:2013 Entrega, Servicio y Soporte DSS01 Gestionar operaciones 6.1 Acciones para abordar los riesgos y oportunidades 8 Operaciones A.11 Seguridad física y ambiental A.12.3 Respaldos A.12.4 Monitoreo y registro A.15 Relación con proveedores DSS02 Gestionar peticiones e incidentes de servicio A.16 Administración de incidentes de seguridad de la información DSS03 Gestionar problemas DSS04 Gestionar la continuidad 4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 7.5 Información documentada 10 Mejoramiento DSS05 Gestionar servicios de seguridad Considerado en todo el estándar DSS06 Gestionar controles de procesos de negocio 6.1.2 Evaluación de riesgo de seguridad de la información 9 Evaluación del rendimiento A.8.2 Clasificación de la información A.9.4 Control de acceso a los sistemas y aplicaciones ISBN 978-9962-05-581-5 MAPEO DE PROCESOS COBIT 5 Seguridad de la Información ISO/IEC 27001:2013 Supervisar, Evaluar y Valorar MEA01 Supervisar, evaluar y valorar el rendimiento y la conformidad 4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 9 Evaluación del rendimiento MEA02 Supervisar, evaluar y valorar el sistema de control interno 4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 9 Evaluación del rendimiento A.18.2 Revisiones de seguridad de la información MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos 4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 9 Evaluación del rendimiento A.18.1 Cumplimiento con requerimientos legales y contractuales ISBN 978-9962-05-581-5 CASO DE ESTUDIO ESCENARIO NO. 1 Recientemente una empresa ha pasado por un proceso de adquisición en donde la empresa matriz está implementando COBIT 5 para seguridad de la información mientras que la empresa adquirida ha logrado implementar algunos requerimientos del estándar ISO/IEC 27001:2013. La gerencia de seguridad a nivel corporativo requiere determinar los esfuerzos que son necesarios para lograr homologar los estándares de seguridad. ¿Cuáles serían los pasos a seguir para lograr el objetivo deseado? ISBN 978-9962-05-581-5 CASO DE ESTUDIO ESCENARIO NO. 2 Un banco ha sido fuertemente penalizado por incumplimiento de las regulaciones establecidas de seguridad de la información. El ente regulador ha establecido un periodo de seis meses para evaluar los primeros resultados de un programa de seguridad integral. Uno de los principales hallazgos indica que no han realizado evaluaciones de riesgos. ¿Cuál estándar entre COBIT 5 para Seguridad de la Información o ISO/IEC 27001:2013 recomendaría a la gerencia del banco utilizar? ISBN 978-9962-05-581-5 CONCLUSIONES • COBIT 5 para Seguridad de la Información nos brinda un marco de gobierno de seguridad alineado a COBIT 5 •Ambos estándares establecen como requerimientos principales para la seguridad de la información: • Entendimiento de la organización • Las necesidades y expectativas • Compromiso de la alta gerencia • Roles y responsabilidades • Planeación • Evaluar y tratar el riesgo • Medir resultados • Documentar • Mejoramiento continuo •Comparten las mismas preocupaciones sobre la integridad, confidencialidad e integridad de la información. • Las inversiones en seguridad de la información sólo serán sostenibles a través del cumplimiento de estándares. ISBN 978-9962-05-581-5 PREGUNTAS Johann Tello Meryk, CISA, CRISC, CISM [email protected]
© Copyright 2024