Download MAPEO DE COBIT 5 con ISO 27001 2013.pdf...
234—Mapeando Fortalezas de COBIT 5 Seguridad con ISO/IEC 27001:2013
Johann Tello Meryk Director, Latam Consulting Services
AGENDA 1. 2. 3. 4. 5.
6. 7.
ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LA INFORMACIÓN ESTRUCTURA DE ISO/IEC 27001:2013 MAPEO DE PRINCIPIOS MAPEO DE PROCESOS CASO DE ESTUDIO ESCENARIO NO. 1 ESCENARIO NO. 2 CONCLUSIONES PREGUNTAS
ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LA INFORMACIÓN Marco Referencial Principios de COBIT 5: Satisfacer las necesidades de las partes interesadas, cubrir a la empresa de extremo a extremo, aplicar un marco de referencia único integrado, hacer posible un enfoque holístico y separar al gobierno de la gestión.
Habilitadores de COBIT 5: Principios, políticas y marco de referencia; procesos; estructuras organizativas; cultura, ética y comportamiento; información; servicios, infraestructura y aplicaciones; y personas, habilidades y competencias.
COBIT 5 Implementación: Las siete fases del ciclo de vida de implementación Modelo de Referencia de Procesos de COBIT 5: EDM (Evaluar, Orientar y Supervisar), APO (Alinear, Planificar y Organizar), BAI (Construir, Adquirir e Implementar), DSS (Entregar, dar Servicio y Soporte) y MEA (Supervisar, Evaluar y Valorar)
ESTRUCTURA DE ISO/IEC 27001:2013 Áreas de requerimientos del Sistema de Administración de Seguridad de la Información (ISMS) No.
Requerimientos
0.
Introducción
1.
Alcance
2.
Referencia de la Normativa
3.
Términos y definiciones
4.
Contexto de la organización
5.
Liderazgo
6.
Planeación
7.
Soporte
8.
Operación
9.
Evaluación del rendimiento
10.
Mejoramiento Anexo A: Objetivos de control y controles, A.5 a A.18
MAPEO DE DEFINICIONES / PRINCIPIOS COBIT 5 Seguridad de la Información Asegurar que dentro de la empresa, la información está protegida contra la divulgación por usuarios no autorizados (confidencialidad), modificación inapropiada (integridad) y no acceso cuando es requerida (disponibilidad). • Confidencialidad significa preservar restricciones autorizadas en el acceso y divulgación, incluyendo la protección de privacidad y propietario de la información. • Integridad significa guarda contra la modificación inapropiada o destrucción e incluye asegurarse de la no repudiación de la información y su autenticidad. • Disponibilidad significa asegurarse del acceso oportuno y fiable a la información y su uso.
ISO/IEC 27001:2013 El sistema de administración de la seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información aplicando un procesos de administración de riesgo y brinda confianza a las partes interesadas que el riesgo está adecuadamente administrado. Es importante que el sistema de administración de la seguridad de la información es parte y está integrado con los procesos de la organización y con la estructura global de la gerencia y que la seguridad de la información es considerada en el diseño de procesos, sistemas de información y controles. La expectativa es que la implementación del sistema de administración de la seguridad de la información será escalado en concordancia con las necesidades de la organización.
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Evaluar, Orientar y Supervisar
EDM01
Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno
5.1 Liderazgo y compromiso 5.2 Política 5.3 Roles, responsabilidades y autoridades organizacionales 6.2 Objetivos de seguridad de la información y la planeación para su logro 7.4 Comunicación A.5 Política de Seguridad de Información
EDM02
Asegurar la Entrega de Beneficios
4.1 Entendiendo a la organización y su contexto 4.2 Entender las necesidades y expectativas de las partes interesadas 6.1.1 General 9.3 Revisión Gerencial 10 Mejoramiento
EDM03
Asegurar la Optimización del Riesgo
5.2 Política 6.1 Acciones para abordar los riesgos y las oportunidades 7.5 Información documentada 8.1 Plan operacional y de control 8.3 Tratamiento al riesgo de seguridad de información 9.1 Monitoreo, medición, análisis y evaluación 9.3 Revisión gerencial
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
EDM04
Asegurar la Optimización de Recursos
4.4 Sistema de Administración de la seguridad de información 7.1 Recursos 7.2 Competencia 7.3 Concientización
EDM05
Asegurar la Transparencia hacia las Partes Interesadas
A.12 Operaciones de Seguridad
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Alinear, Planificar y Organizar
APO 01
Gestionar el marco de gestión de TI
5 Liderazgo A.5 Política de seguridad de la información A.6 Organización de seguridad de la información
APO02
Gestionar la estrategia
4 Contexto de la organización 5.2 Política 6 Planeación
APO03
Gestionar la Arquitectura Empresarial
APO04
Gestionar la innovación
APO05
Gestionar el portafolio
APO06
Gestionar el presupuesto y los costes
APO07
Gestionar los recursos humanos
7.2 Competencia 7.3 Concientización A.7 Seguridad de Recursos Humanos
APO08
Gestionar las relaciones
A.6.1 Organización interna
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
APO09
Gestionar acuerdos de servicios
APO 10
Gestionar los proveedores
A.15 Relación con proveedores
APO11
Gestionar la calidad
4.1 Entendiendo la organización y su contexto 4.2 Entender las necesidades y expectativas de las partes interesadas 6.1.1 General 9.3 Revisión gerencial 10 Mejoramiento
APO12
Gestionar el riesgo.
5.2 Política 6.1 Acciones para abordar los riesgos y las oportunidades 7.5 Información documentada 8.1 Plan operacional y de control 8.3 Tratamiento al riesgo de seguridad de información 9.1 Monitoreo, medición, análisis y evaluación 9.3 Revisión gerencial
APO13
Gestionar la seguridad
Considerado en todo el estándar
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Construir, adquirir e implementar
BAI01
Gestionar programas y proyectos
BAI02
Gestionar la definición de requisitos
A.18 Cumplimiento
BAI03
Gestionar la identificación y construcción de soluciones.
A.14 Adquisición, desarrollo y mantenimiento de sistemas
BAI04
Gestionar la disponibilidad y la capacidad
A.12.1.3 Administración de capacidad
BAI05
Gestionar la introducción del cambio organizativo
BAI06
Gestionar los cambios
A.12.1.2 Administración de cambios
BAI07
Gestionar la aceptación del cambio y la transición
A.12.1.4 Separación de los ambientes de desarrollo, prueba y operaciones
BAI08
Gestionar el conocimiento
7.5 Información documentada
BAI09
Gestionar los activos
A.8 Administración de activos
BAI10
Gestionar la configuración
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Entrega, Servicio y Soporte
DSS01
Gestionar operaciones
6.1 Acciones para abordar los riesgos y oportunidades 8 Operaciones A.11 Seguridad física y ambiental A.12.3 Respaldos A.12.4 Monitoreo y registro A.15 Relación con proveedores
DSS02
Gestionar peticiones e incidentes de servicio
A.16 Administración de incidentes de seguridad de la información
DSS03
Gestionar problemas
DSS04
Gestionar la continuidad
4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 7.5 Información documentada 10 Mejoramiento
DSS05
Gestionar servicios de seguridad
Considerado en todo el estándar
DSS06
Gestionar controles de procesos de negocio
6.1.2 Evaluación de riesgo de seguridad de la información 9 Evaluación del rendimiento A.8.2 Clasificación de la información A.9.4 Control de acceso a los sistemas y aplicaciones
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS COBIT 5 Seguridad de la Información
ISO/IEC 27001:2013
Supervisar, Evaluar y Valorar
MEA01
Supervisar, evaluar y valorar el rendimiento y la conformidad
4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 9 Evaluación del rendimiento
MEA02
Supervisar, evaluar y valorar el sistema de control interno
4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 9 Evaluación del rendimiento A.18.2 Revisiones de seguridad de la información
MEA03
Supervisar, evaluar y valorar la conformidad con los requerimientos externos
4.1 Entendiendo la organización y su contexto 6.1 Acciones para abordar riesgos y oportunidades 7.4 Comunicación 9 Evaluación del rendimiento A.18.1 Cumplimiento con requerimientos legales y contractuales
ISBN 978-9962-05-581-5
CASO DE ESTUDIO ESCENARIO NO. 1 Recientemente una empresa ha pasado por un proceso de adquisición en donde la empresa matriz está implementando COBIT 5 para seguridad de la información mientras que la empresa adquirida ha logrado implementar algunos requerimientos del estándar ISO/IEC 27001:2013. La gerencia de seguridad a nivel corporativo requiere determinar los esfuerzos que son necesarios para lograr homologar los estándares de seguridad. ¿Cuáles serían los pasos a seguir para lograr el objetivo deseado?
ISBN 978-9962-05-581-5
CASO DE ESTUDIO ESCENARIO NO. 2 Un banco ha sido fuertemente penalizado por incumplimiento de las regulaciones establecidas de seguridad de la información. El ente regulador ha establecido un periodo de seis meses para evaluar los primeros resultados de un programa de seguridad integral. Uno de los principales hallazgos indica que no han realizado evaluaciones de riesgos. ¿Cuál estándar entre COBIT 5 para Seguridad de la Información o ISO/IEC 27001:2013 recomendaría a la gerencia del banco utilizar?
ISBN 978-9962-05-581-5
CONCLUSIONES • COBIT 5 para Seguridad de la Información nos brinda un marco de gobierno de seguridad alineado a COBIT 5 •Ambos estándares establecen como requerimientos principales para la seguridad de la información: • Entendimiento de la organización • Las necesidades y expectativas • Compromiso de la alta gerencia • Roles y responsabilidades • Planeación • Evaluar y tratar el riesgo • Medir resultados • Documentar • Mejoramiento continuo •Comparten las mismas preocupaciones sobre la integridad, confidencialidad e integridad de la información. • Las inversiones en seguridad de la información sólo serán sostenibles a través del cumplimiento de estándares.
ISBN 978-9962-05-581-5
PREGUNTAS
Johann Tello Meryk, CISA, CRISC, CISM
[email protected]
