MAPEO DE COBIT 5 con ISO 27001 2013.pdf

December 24, 2017 | Author: Jimmy Contreras | Category: Information Security, Cobit, Planning, Safety, Technology
Share Embed Donate


Short Description

Download MAPEO DE COBIT 5 con ISO 27001 2013.pdf...

Description

234—Mapeando Fortalezas de COBIT 5 Seguridad con ISO/IEC 27001:2013

Johann Tello Meryk Director, Latam Consulting Services

AGENDA 1. 2. 3. 4. 5.

6. 7.

ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LA INFORMACIÓN ESTRUCTURA DE ISO/IEC 27001:2013 MAPEO DE PRINCIPIOS MAPEO DE PROCESOS CASO DE ESTUDIO ESCENARIO NO. 1 ESCENARIO NO. 2 CONCLUSIONES PREGUNTAS

ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LA INFORMACIÓN Marco Referencial Principios de COBIT 5: Satisfacer las necesidades de las partes interesadas, cubrir a la empresa de extremo a extremo, aplicar un marco de referencia único integrado, hacer posible un enfoque holístico y separar al gobierno de la gestión.

Habilitadores de COBIT 5: Principios, políticas y marco de referencia; procesos; estructuras organizativas; cultura, ética y comportamiento; información; servicios, infraestructura y aplicaciones; y personas, habilidades y competencias.

COBIT 5 Implementación: Las siete fases del ciclo de vida de implementación Modelo de Referencia de Procesos de COBIT 5: EDM (Evaluar, Orientar y Supervisar), APO (Alinear, Planificar y Organizar), BAI (Construir, Adquirir e Implementar), DSS (Entregar, dar Servicio y Soporte) y MEA (Supervisar, Evaluar y Valorar)

ESTRUCTURA DE ISO/IEC 27001:2013 Áreas de requerimientos del Sistema de Administración de Seguridad de la Información (ISMS) No.

Requerimientos

0.

Introducción

1.

Alcance

2.

Referencia de la Normativa

3.

Términos y definiciones

4.

Contexto de la organización

5.

Liderazgo

6.

Planeación

7.

Soporte

8.

Operación

9.

Evaluación del rendimiento

10.

Mejoramiento Anexo A: Objetivos de control y controles, A.5 a A.18

MAPEO DE DEFINICIONES / PRINCIPIOS COBIT 5 Seguridad de la Información Asegurar que dentro de la empresa, la información está protegida contra la divulgación por usuarios no autorizados (confidencialidad), modificación inapropiada (integridad) y no acceso cuando es requerida (disponibilidad). • Confidencialidad significa preservar restricciones autorizadas en el acceso y divulgación, incluyendo la protección de privacidad y propietario de la información. • Integridad significa guarda contra la modificación inapropiada o destrucción e incluye asegurarse de la no repudiación de la información y su autenticidad. • Disponibilidad significa asegurarse del acceso oportuno y fiable a la información y su uso.

ISO/IEC 27001:2013 El sistema de administración de la seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información aplicando un procesos de administración de riesgo y brinda confianza a las partes interesadas que el riesgo está adecuadamente administrado. Es importante que el sistema de administración de la seguridad de la información es parte y está integrado con los procesos de la organización y con la estructura global de la gerencia y que la seguridad de la información es considerada en el diseño de procesos, sistemas de información y controles. La expectativa es que la implementación del sistema de administración de la seguridad de la información será escalado en concordancia con las necesidades de la organización.

ISBN 978-9962-05-581-5

MAPEO DE PROCESOS COBIT 5 Seguridad de la Información

ISO/IEC 27001:2013

Evaluar, Orientar y Supervisar

EDM01

Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno

5.1 Liderazgo y compromiso 5.2 Política 5.3 Roles, responsabilidades y autoridades organizacionales 6.2 Objetivos de seguridad de la información y la planeación para su logro 7.4 Comunicación A.5 Política de Seguridad de Información

EDM02

Asegurar la Entrega de Beneficios

4.1 Entendiendo a la organización y su contexto 4.2 Entender las necesidades y expectativas de las partes interesadas 6.1.1 General 9.3 Revisión Gerencial 10 Mejoramiento

EDM03

Asegurar la Optimización del Riesgo

5.2 Política 6.1 Acciones para abordar los riesgos y las oportunidades 7.5 Información documentada 8.1 Plan operacional y de control 8.3 Tratamiento al riesgo de seguridad de información 9.1 Monitoreo, medición, análisis y evaluación 9.3 Revisión gerencial

ISBN 978-9962-05-581-5

MAPEO DE PROCESOS COBIT 5 Seguridad de la Información

ISO/IEC 27001:2013

EDM04

Asegurar la Optimización de Recursos

4.4 Sistema de Administración de la seguridad de información 7.1 Recursos 7.2 Competencia 7.3 Concientización

EDM05

Asegurar la Transparencia hacia las Partes Interesadas

A.12 Operaciones de Seguridad

ISBN 978-9962-05-581-5

MAPEO DE PROCESOS COBIT 5 Seguridad de la Información

ISO/IEC 27001:2013

Alinear, Planificar y Organizar

APO 01

Gestionar el marco de gestión de TI

5 Liderazgo A.5 Política de seguridad de la información A.6 Organización de seguridad de la información

APO02

Gestionar la estrategia

4 Contexto de la organización 5.2 Política 6 Planeación

APO03

Gestionar la Arquitectura Empresarial

APO04

Gestionar la innovación

APO05

Gestionar el portafolio

APO06

Gestionar el presupuesto y los costes

APO07

Gestionar los recursos humanos

7.2 Competencia 7.3 Concientización A.7 Seguridad de Recursos Humanos

APO08

Gestionar las relaciones

A.6.1 Organización interna

ISBN 978-9962-05-581-5

MAPEO DE PROCESOS COBIT 5 Seguridad de la Información

ISO/IEC 27001:2013

APO09

Gestionar acuerdos de servicios

APO 10

Gestionar los proveedores

A.15 Relación con proveedores

APO11

Gestionar la calidad

4.1 Entendiendo la organización y su contexto 4.2 Entender las necesidades y expectativas de las partes interesadas 6.1.1 General 9.3 Revisión gerencial 10 Mejoramiento

APO12

Gestionar el riesgo.

5.2 Política 6.1 Acciones para abordar los riesgos y las oportunidades 7.5 Información documentada 8.1 Plan operacional y de control 8.3 Tratamiento al riesgo de seguridad de información 9.1 Monitoreo, medición, análisis y evaluación 9.3 Revisión gerencial

APO13

Gestionar la seguridad

Considerado en todo el estándar

ISBN 978-9962-05-581-5

MAPEO DE PROCESOS COBIT 5 Seguridad de la Información

ISO/IEC 27001:2013

Construir, adquirir e implementar

BAI01

Gestionar programas y proyectos

BAI02

Gestionar la definición de requisitos

A.18 Cumplimiento

BAI03

Gestionar la identificación y construcción de soluciones.

A.14 Adquisición, desarrollo y mantenimiento de sistemas

BAI04

Gestionar la disponibilidad y la capacidad

A.12.1.3 Administración de capacidad

BAI05

Gestionar la introducción del cambio organizativo

BAI06

Gestionar los cambios

A.12.1.2 Administración de cambios

BAI07

Gestionar la aceptación del cambio y la transición

A.12.1.4 Separación de los ambientes de desarrollo, prueba y operaciones

BAI08

Gestionar el conocimiento

7.5 Información documentada

BAI09

Gestionar los activos

A.8 Administración de activos

BAI10

Gestionar la configuración

ISBN 978-9962-05-581-5

MAPEO DE PROCESOS COBIT 5 Seguridad de la Información

ISO/IEC 27001:2013

Entrega, Servicio y Soporte

DSS01

Gestionar operaciones

6.1 Acciones para abordar los riesgos y oportunidades 8 Operaciones A.11 Seguridad física y ambiental A.12.3 Respaldos A.12.4 Monitoreo y registro A.15 Relación con proveedores

DSS02

Gestionar peticiones e incidentes de servicio

A.16 Administración de incidentes de seguridad de la información

DSS03

Gestionar problemas

DSS04

Gestionar la continuidad

4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 7.5 Información documentada 10 Mejoramiento

DSS05

Gestionar servicios de seguridad

Considerado en todo el estándar

DSS06

Gestionar controles de procesos de negocio

6.1.2 Evaluación de riesgo de seguridad de la información 9 Evaluación del rendimiento A.8.2 Clasificación de la información A.9.4 Control de acceso a los sistemas y aplicaciones

ISBN 978-9962-05-581-5

MAPEO DE PROCESOS COBIT 5 Seguridad de la Información

ISO/IEC 27001:2013

Supervisar, Evaluar y Valorar

MEA01

Supervisar, evaluar y valorar el rendimiento y la conformidad

4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 9 Evaluación del rendimiento

MEA02

Supervisar, evaluar y valorar el sistema de control interno

4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 9 Evaluación del rendimiento A.18.2 Revisiones de seguridad de la información

MEA03

Supervisar, evaluar y valorar la conformidad con los requerimientos externos

4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 9 Evaluación del rendimiento A.18.1 Cumplimiento con requerimientos legales y contractuales

ISBN 978-9962-05-581-5

CASO DE ESTUDIO ESCENARIO NO. 1 Recientemente una empresa ha pasado por un proceso de adquisición en donde la empresa matriz está implementando COBIT 5 para seguridad de la información mientras que la empresa adquirida ha logrado implementar algunos requerimientos del estándar ISO/IEC 27001:2013. La gerencia de seguridad a nivel corporativo requiere determinar los esfuerzos que son necesarios para lograr homologar los estándares de seguridad. ¿Cuáles serían los pasos a seguir para lograr el objetivo deseado?

ISBN 978-9962-05-581-5

CASO DE ESTUDIO ESCENARIO NO. 2 Un banco ha sido fuertemente penalizado por incumplimiento de las regulaciones establecidas de seguridad de la información. El ente regulador ha establecido un periodo de seis meses para evaluar los primeros resultados de un programa de seguridad integral. Uno de los principales hallazgos indica que no han realizado evaluaciones de riesgos. ¿Cuál estándar entre COBIT 5 para Seguridad de la Información o ISO/IEC 27001:2013 recomendaría a la gerencia del banco utilizar?

ISBN 978-9962-05-581-5

CONCLUSIONES • COBIT 5 para Seguridad de la Información nos brinda un marco de gobierno de seguridad alineado a COBIT 5 •Ambos estándares establecen como requerimientos principales para la seguridad de la información: • Entendimiento de la organización • Las necesidades y expectativas • Compromiso de la alta gerencia • Roles y responsabilidades • Planeación • Evaluar y tratar el riesgo • Medir resultados • Documentar • Mejoramiento continuo •Comparten las mismas preocupaciones sobre la integridad, confidencialidad e integridad de la información. • Las inversiones en seguridad de la información sólo serán sostenibles a través del cumplimiento de estándares.

ISBN 978-9962-05-581-5

PREGUNTAS

Johann Tello Meryk, CISA, CRISC, CISM [email protected]

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF