Implementacion de telefonía VOIP e implementacion de ISO27001

8/20/2019 Implementacion de telefonía VOIP e implementacion de ISO27001

1/17

ContenidoINTRODUCCIÓN.............................................................................................. 2

CONTEXTUALIZACIÓN.....................................................................................3

Defnición del proble!..............................................................................3O"#ETI$O% DE LA I&'LE&ENTACIÓN DE I%O (2)**+.......................................,

Ob-etio/ 0ener!le/....................................................................................,

Ob-etio/ E/pec1fco/..................................................................................,

ANLI%I% DIERENCIAL...................................................................................4

&etodolo51! ! 6/!r......................................................................................4

ANLI%I% 0A'..............................................................................................4

....................................................................................................................... 7

ANLI%I% DE RIE%0O%....................................................................................)Li/t!do de !ctio/.......................................................................................)

$!lor!ción de lo/ Actio/.............................................................................8

Dien/ione/ de %e56rid!d.........................................................................8

An9li/i/ de Aen!:!/..................................................................................;

An9li/i/ de Rie/5o/....................................................................................++

Recoend!cione/.....................................................................................++

'RO


2/17

INTRODUCCIÓN

L! /e56rid!d de l! in?or!ción@ /e5n I%O 2)**+@ con/i/te en l!pre/er!ción de /6 confdenci!lid!d@ inte5rid!d B di/ponibilid!d@ !/1 coo de

lo/ /i/te!/ iplic!do/ en /6 tr!t!iento@ dentro de 6n! or5!ni:!ción.

El 'l!n de Director /e de/!rroll!r9 p!r! lo/ !ctio/ in?or!ción >6e e/tn !c!r5o de l! Dirección de Tecnolo51! de l! in?or!ción B >6e /e enc6entr!nen l! in?r!e/tr6ct6r! loc!l de l! Ofcin! Centr!l p!r! lo/ 6/6!rio/ dein/tit6ción >6e e/tn 6bic!do/ en el edifcio de l! Ofcin! Centr!l B >6e nopertene:c!n o /e!n !dini/tr!do/ por ?6ncion!rio/ de /6/ fli!le/ oepre/!/ !/oci!d!/.

CÓ&O I&'LE&ENTAR I%O 2)**+

'!r! ipleent!r l! nor! I%O 2)**+ en 6n! epre/!@ 6/ted tiene >6e/e56ir e/to/ +7 p!/o/F

+G Obtener el !poBo de l! dirección.

2G Utili:!r 6n! etodolo51! p!r! 5e/tión de proBecto/.

3G Defnir el !lc!nce del %0%I.

,G Red!ct!r 6n! pol1tic! de !lto niel /obre /e56rid!d de l!

in?or!ción.

4G Defnir l! etodolo51! de e!l6!ción de rie/5o/.

7G Re!li:!r l! e!l6!ción B el tr!t!iento de rie/5o/.

)G Red!ct!r l! Decl!r!ción de !plic!bilid!d.

8G Red!ct!r el 'l!n de tr!t!iento de rie/5o/.

;G Defnir l! ?or! de edir l! e?ectiid!d de /6/ controle/ B de /6

%0%I.

+*G Ipleent!r todo/ lo/ controle/ B procediiento/ nece/!rio/.

++G Ipleent!r pro5r!!/ de c!p!cit!ción B concienci!ción.

+2G Re!li:!r tod!/ l!/ oper!cione/ di!ri!/ e/t!blecid!/ en l!

doc6ent!ción de /6 %0%I.

+3G &onitore!r B edir /6 %0%I.

+,G Re!li:!r l! !6ditor1! intern!.


3/17

+4G Re!li:!r l! rei/ión por p!rte de l! dirección.

+7G Ipleent!r edid!/ correcti!/.


4/17

CONTEXTUALIZACIÓNDefnición del proble!

Act6!lente MULTIMETALES S.A. no c6ent! con lo/ controle/@ edid!/@procediiento/ de /e56rid!d nece/!rio/ p!r! re/56!rd!r /6/ !ctio/ dein?or!ción@ t!le/ coo doc6ento/@ /o?tH!re@ di/po/itio/ ?1/ico/@per/on!/@ i!5en@ rep6t!ción B /ericio/@ e/t9n ep6e/to/ ! !lto/ niele/ derie/5o/@ ?rente ! l!/ dier/!/ !en!:!/ ?1/ic!/ B ló5ic!/ ei/tente/F

De/!/tre/ n!t6r!le/ JTorent!/@ r!Bo/@ terreoto/@ in6nd!cione/@ etc.G

E/tr6ct6r!le/ JIncendio/@ in6nd!cione/@ K6ed!d@ corte/ de electricid!d@!56!@ re?ri5er!ción@ co6nic!cione/@ etc.G

!rdH!re J!llo tot!l o p!rci!l de %eridore/@ E/t!cione/ 'C@ port9tile/@

etc.G %o?tH!re JErrore/ en lo/ %O@ "D@ /o?tH!re b!/e@ Meb /erer/@

!plic!cione/@ eleento/ de /e56rid!d@ etc.G

Red LAN B MAN Jred intern!@ rede/ con dele5!cione/@ /i/te!/ de/e56rid!d de l!/ co6nic!cione/@ rede/ pblic!/ !-en!/@ etc.G

Copi!/ de /e56rid!d J!llo/ en eleento/ de copi!/@ ?!llo/ en /oporte/cint!/@ di/co/@ robot@ etc.G

In?or!ción J"!/e/ de d!to/@ fcKero/@ !n6!le/@ procediiento/@ pl!ne/de contin5enci!@ etc.G

'er/on!l JErrore/ B !t!>6e/ de per/on!l interno@ eterno@ ?6ncione/@perfle/@ ?or!ción@ etc.G

Rie/5o/ contr! el p!trionio JRobo@ prdid! no intencion!d! de !ctio/@etc.G

Otro/ rie/5o/ JTerrori/o@ epidei!/@ conf!n:! de lo/ cliente/@ i!5ende epre/!@ in/olenci! de /ericio/ eterno/@ /e56ro/@ o6t/[email protected]


5/17

O"#ETI$O% DE LA I&'LE&ENTACIÓN DE I%O (2)**+

Ob-etio/ 0ener!le/

Ipleent!r 6n! 'ol1tic! de %e56rid!d de In?or!ción >6e /e!de/ple5!d! ! todo/ lo/ col!bor!dore/@ proeedore/ B tercero/inol6cr!do/ en lo/ proce/o/ de tecnolo51!.

0e/tion!r B onitore!r de !ner! efciente lo/ incidente/ B6lner!bilid!de/ de /e56rid!d de l! in?or!ción@ p!r! red6cirlo/ en 6n8*.

De/ple5!r l!/ edid!/ de /e56rid!d p!r! 5e/tion!r lo/ rie/5o/ Be-ec6t!r controle/ de tr!t!iento de rie/5o/@ p!r! red6cir el ;* delo/ rie/5o/ ! niele/ !cept!ble/

or!ción B concienti:!ción !l +** de lo/ col!bor!dore/

inol6cr!do/ en lo/ proce/o/ de Tecnolo51!@ en te!/ de /e56rid!d dein?or!ción.

C6pliiento de l! le5i/l!ción i5ente /obre in?or!ción per/on!l@propied!d intelect6!l B otr!/.

0e/tion!r B control!r el +** de lo/ doc6ento/ del %0%I.

Ob-etio/ E/pec1fco/

Aline!r lo/ proce/o/ de l! Dirección de TI de Ofcin! Centr!l p!r!c6plir con lo/ re>6i/ito/ de l! nor! I%OIEC 2)**+F2*+3 B

5e/tion!r /6 re/pecti! doc6ent!ción B di6l5!ción. Ipleent!r lo/ controle/ defnido/ en el doc6ento Decl!r!ción de

Aplic!bilid!d $+.* en lo/ proce/o/ 5e/tion!do/ por l! Dirección de TI@rec6r/o/ K6!no/ B biene/ B /ericio/ de Ofcin! centr!l@ con/e56iiento/ en/6!le/ >6e e!len el 5r!do de ipleent!ción.

Identifc!r l!/ pol1tic!/ B nor!/ nece/!ri!/ >6e /oporten l! pol1tic!de /e56rid!d de l! in?or!ción p!r! c6brir l! ipleent!ción de lo/controle/ defnido/ en el doc6ento Decl!r!ción de Aplic!bilid!d $+.*B re!li:!r 6n! c!p!P! de di6l5!ción ! lo/ ?6ncion!rio/ de l! Ofcin!Centr!l B l!/ epre/!/ !fli!d!/.

Identifc!r lo/ proce/o/ nece/!rio/ p!r! de/!rroll!r el pl!n de

/e56rid!d@ l! ipleent!ción de controle/ B l! 5e/tión del %0%I B ! /6e:@ 5ener!r l! doc6ent!ción nece/!ri! b!/!d! en lo/ ?or!to/ Bnoencl!t6r!/ del %i/te! de 0e/tión Doc6ent!l de l! cop!P1!.


6/17

ANLI%I% DIERENCIAL&etodolo51! ! 6/!r&odelo de &!d6re: de l! C!p!cid!d JC&&G

ANLI%I% 0A'An9li/i/ 0!p p!r! I%O(2)**+

L! !lor!ción de c!d! doinio de control /e re!li:ó b!/!d! en l!ponder!ción de l!/ !lor!cione/ de lo/ ob-etio/ de control >6e ! /6 e: /onel re/6lt!do de l! e!l6!ción del 5r!do de ipleent!ción de c!d! controlindependiente B /e re/6en en l! /i56iente t!bl!F


7/17


8/17

ANLI%I% DE RIE%0O%L! prier! et!p! K!ci! l! con/ec6ción del 'l!n de Ipleent!ción de 6n%0%I con/i/tir9 en l! e!l6!ción de n6e/tro/ !ctio/@ con/ider!ndo l!/dependenci!/ ei/tente/ entre ello/ B re!li:!ndo 6n! !lor!ción de lo/

i/o/.

Li/t!do de !ctio/


9/17

C!d! codifc!do de !c6erdo ! l! /i56iente noencl!t6r!F

$!lor!ción de lo/ Actio/'!r! l! !lor!ción de lo/ !ctio/@ /e 6tili:ó l! e/c!l! >6epropone &A0ERIT@ coplet9ndolo con 6n! e/ti!ciónc6!ntit!ti! repre/ent!d! en trino/ onet!rio/ p!r! l!or5!ni:!ción.

Dien/ione/ de %e56rid!d

De/de el p6nto de i/t! de l! /e56rid!d@ -6nto ! l!!lor!ción en /1 de lo/ !ctio/ /e debe indic!r c69l e/ el!/pecto de l! /e56rid!d 9/ cr1tico de !ner! >6e /ep6ed! /eleccion!r l!/ /!l!56!rd!/ en?oc!d!/ en lo/!/pecto/ 9/ rele!nte/. 'or e/t! r!:ón@ p!r! c!d! !ctio?6e !lor!d! l! criticid!d en l!/ cinco dien/ione/ de l!/e56rid!d de l! in?or!ción !ne-!d! por el proce/o dene5ocio p!r! peritir e/ti!r el ip!cto >6e tendr9 l!

!teri!li:!ción de 6n! !en!:! /obre l! p!rte de !ctioep6e/to no c6bierto por l!/ /!l!56!rd!/ en c!d! 6n! de


10/17

l!/ dien/ione/ teniendo pre/ente >6 repre/ent! c!d!dien/ión@ eplic!d!/ en l! /i56iente t!bl!.

An9li/i/ de Aen!:!/

%e re!li:ó l! e/ti!ción de c69n 6lner!ble e/ c!d! !ctio !l! !teri!li:!ción de l! !en!:!@ l! ?rec6enci! e/ti!d!con >6e p6eden prod6cir/e B el ip!cto en l!/ di/tint!/

dien/ione/ de l! /e56rid!d. '!r! deterin!r l!/ !en!:!/po/ible/@ /e 6tili:ó l! t!bl! inici!l de !en!:!/ 6/!d!/ en&A0ERIT.

L!/ AMENAZAS e/t9n cl!/ifc!d!/ en lo/ /i56iente/5r!nde/ blo>6e/F


11/17

%e VALORARON LOS ACTIVOS coo de iport!nci! Q&6BAlt!@ QAlt!@ Q&edi!@ Q"!-! o QDe/preci!ble ! l! e: >6e/e le !/i5nó ! c!d! !ctio en c!d! dien/ión 6n!!lor!ción /i56iendo lo/ /i56iente/ criterio/F

'!r! el !n9li/i/ de l! FRECUENCIA ESTIMADA DEMATERIALIZACIÓN DE AMENAZAS@ /e 6tili:ó l! /i56ientee/c!l! de tiepo b!/!d! en l! c!ntid!d incidenci!/ en 6nper1odo enor ! 6n !Po.

El IMPACTO p6ede re/6ir/e coo el t!nto por ciento del!lor del !ctio >6e /e pierde en el c!/o de >6e /6ced! 6n

incidente /obre l. '!r! el pre/ente e-ercicio@ /e toó l!/i56iente e/c!l! de !lor!ción.


12/17

An9li/i/ de Rie/5o/'!r! l! e/ti!ción del rie/5o@ /e re!li:ó 6n! cobin!ciónentre el ip!cto B l! ?rec6enci!@ det!ll!d! en l! /i56ientet!bl!.

Rel!ción entre ip!cto B ?rec6enci!F

Recoend!cione/De !c6erdo !l !n9li/i/ de rie/5o/ re!li:!do B el niel derie/5o !cept!ble defnido por l! or5!ni:!ción p!r! el pl!nde ipleent!ción@ ! contin6!ción /e doc6ent!n l!/recoend!cione/ de e-or!@ inici!ndo con lo/ tr!t!iento/

de rie/5o/ &6B Alto.

[REC A] &onitore!r lo/ coport!iento/ c!6/!nte/ de l! /!t6r!ción de lo/c!n!le/ de internet con e/t!d1/tic!/ de 6tili:!ción >6e perit!n defnir bien/e! edid!/ de red6cción B b6en de 6/o o >6e /ir!n de /oporte p!r!/6/tent!r 6n !6ento del rec6r/o por nece/id!de/ del ne5ocio

[REC B] Defnir /en/ore/ de onitoreo >6e perit!n detect!r el 6/o noprei/to del c!n!l B /e eiten /!t6r!ción con !nticip!ción

[REC C] 0!r!nti:!r >6e lo/ edio/ de red6nd!nci! de lo/ c!n!le/ de

internet ?6ncionen !dec6!d!ente B brinden c!p!cid!de/ de re/p!ldo!cept!ble/ p!r! el ?6ncion!iento de l! oper!ción del ne5ocio


13/17

[REC D] Ipleent!r l!bor!torio/ B Kerr!ient!/ de onitoreo >6eperit!n identifc!r l!/ ?!ll!/ en l! in?r!e/tr6ct6r! de red in!l9bric! Bdoc6ent!r lo/ K!ll!:5o/ p!r! /6/tent!r lo/ rec6r/o/ nece/!rio/ >6e/ol6cionen lo/ proble!/ de l!/ co6nic!cione/ por e/te edio B >6e e/percibid! por lo/ 6/6!rio/ en 5ener!l coo 6n! dene5!ción del /ericio.

[REC E] Ipleent!r 6n proce/o control!do de !lt! de 6/6!rio/ en l! redin!l9bric! intern! p!r! 5!r!nti:!r >6e lo/ di/po/itio/ conect!do/ e/tn!6tori:!do/ en e/! red.

[REC F] Ipleent!r en lo po/ible ec!ni/o/ de control de 6/o de l! redin!l9bric! >6e eiten l! /!t6r!ción del edio@ en e/peci!l en l!/ rede/ deinit!do/

[REC G] 0ener!r el inent!rio de lo/ directorio/ cop!rtido/ por el /eridorde !rcKio/ con l! rel!ción del per/on!l !6tori:!do B lo/ priile5io/ de!cce/o B odifc!ción de lo/ contenido/@ p!r! di/in6ir l! po/ibilid!d >6ep6ed! /er borr!d! o odifc!d! l! in?or!ción !l!cen!d! o lo/ peri/o/!/i5n!do/ ! otro/ 6/6!rio/.

[REC H] '6blic!r lo/ directorio/ ecl6/i!ente p!r! lo/ 6/6!rio/ >6etienen !cce/o ! /6 contenido@ p!r! eit!r >6e l!/ per/on!/ p6ed!n er l!tot!lid!d de lo/ rec6r/o/ cop!rtido/ por el /eridor de !rcKio/

[REC I] A/i5n!r 6n propiet!rio o re/pon/!ble de c!d! directorio cop!rtido>6e defn! lo/ 6/6!rio/ !6tori:!do/ p!r! l! eliin!ción de !rcKio/ dentrodel rec6r/o

[REC J] Defnir 6n! nor! >6e deterine >6 tipo de in?or!ción p6ede /er!l!cen!d! en lo/ rec6r/o/ cop!rtido/ p!r! eit!r el 6/o del!l!cen!iento con !rcKio/ >6e no /on propio/ de l! cop!P1! o p!r! el

?6ncion!iento del ne5ocio. Jp.e. /ic! o !rcKio/ per/on!le/G[REC K] !bilit!r en el /eridor l! !6ditor1! de eliin!ción de !rcKio/ >6eperit! l! tr!:!bilid!d del 6/6!rio c6!ndo /e llee ! c!bo l! eliin!ción de!rcKio/

[REC L] Re/trin5ir el !cce/o ! l!/ c!rpet!/ cop!rtid!/ ! /olo 6/6!rio/ deldirectorio !ctio p!r! >6e l! odifc!ción de l! in?or!ción /e! control!d!por pol1tic!/ de doinio

[REC M] 0!r!nti:!r en lo po/ible >6e ei/t! 6n ec!ni/o de contin5enci!de !cce/o ! l! in?or!ción en c!/o de !?ect!ción de !l56no de lo/eleento/ tecnoló5ico/ >6e coponen el /ericio de directorio/

cop!rtido/[REC N] Identifc!r lo/ rec6r/o/ de l! pl!t!?or! de correo >6e p6ed!ne/t!r /6?riendo c6ello/ de botell! B optii:!rlo/ o ?ort!lecerlo/

[REC O] Defnir nor!/ de 6/o del correo electrónico p!r! eit!r elde/p!cKo !/io de correo/ en Kor!rio/ >6e p6ed!n !?ect!r ! lo/ 6/6!rio/

[REC P] Identifc!r B dep6r!r lo/ b6:one/ de correo t!nto 5enrico/ coode di/trib6ción@ 5ener!r 6n! noencl!t6r! e/t9nd!r B doc6ent!r l!!6tori:!ción de cre!ción B lo/ 6/6!rio/ re/pon/!ble/ de /6 6/o

[REC Q] Identifc!r lo/ ?!ctore/ rec6rrente/ de errore/ de lo/ 6/6r!rio/ en el

6/o de l!/ contr!/eP!/ de doinio B 5ener!r l!/ c!p!cit!cione/ nece/!ri!/p!r! red6cir el 1ndice de c!/o/ de /oporte de e/te tipo


14/17

[REC R] Identifc!r B eliin!r el 6/o de 6/6!rio/ 5enrico/ en todo/ lo/directorio/ de !6tentic!ción ei/tente/

[REC S] Defnir 6n! noencl!t6r! e/t9nd!r B doc6ent!r l!/ contr!/eP!/@dep6r!r B !/i5n!r re/pon/!ble/ ! lo/ 6/6!rio/ de /ericio/ >6e deb!n ei/tiren el directorio !ctio

[REC T] &onitore!r l!/ incidenci!/ por de5r!d!ción o d!Po de lo/ /eridore/con e/t!d1/tic!/ de rec6rrenci! >6e perit!n to!r edid!/ preenti!/ o>6e /6/tenten 6n! reno!ción o repl!:o de lo/ i/o/ p!r! eit!rip!cto/ ne5!tio/ ! corto pl!:o en l! oper!ción de lo/ /ericio/ de TI

[REC U] Act6!li:!r lo/ /i/te!/ oper!tio/ de lo/ /eridore/ ! /6/ er/ione/9/ reciente/ p!r! red6cir l!/ 6lner!bilid!de/ tcnic!/ del prod6cto

[REC V] Cre!r 6n e/>6e! de role/ de b!cS6p de lo/ !dini/tr!dore/ dein?r!e/tr6ct6r! de !ner! >6e K!B! otr! per/on! >6e p6ed! e-ec6t!r!ctiid!de/ oper!ti!/ de 6n c!r5o en c!/o >6e el re/pon/!ble no /e

enc6entre di/ponible[REC W] Defnir el procediiento de /olicit6d B !6tori:!ción de /o?tH!re enlo/ e>6ipo/ !/i5n!do/ ! lo/ 6/6!rio/ !/1 coo l! defnición de lo/re/pon/!ble/ p!r! /6 in/t!l!ción

[REC X] Coprob!r >6e el /o?tH!re !ct6!lente in/t!l!do en lo/cop6t!dore/ de 6/6!rio c6pl! con el licenci!iento !d>6irido por l!or5!ni:!ción

[REC Y] Doc6ent!r l! !6tori:!ción de 6/6!rio/ !dini/tr!dore/ decop6t!dore/ de tr!b!-o B re5i/tr!r l! !cept!ción de re/pon/!bilid!de/ de6/o B c6pliiento de l!/ nor!/ de /e56rid!d de l! in?or!ción con lo/

priile5io/ >6e conlle! e/te rol[REC Z] A/i5n!r 6n! contr!/eP! !e/tr! p!r! el 6/6!rio !dini/tr!dorloc!l de lo/ cop6t!dore/ de 6/6!rio >6e /e! di?erente /e5n l! epre/! ofli!l re5i/tr!d! en el directorio !ctio B /e! !dini/tr!d! por lo/?6ncion!rio/ de c!d! e/! de !B6d! corre/pondiente

[REC AA] Defnir 6n e/>6e! de !ct6!li:!cione/ !6to9tic!/ del /i/te!oper!tio de lo/ cop6t!dore/ de 6/6!rio p!r! iti5!r l!/ 6lner!bilid!de/tcnic!/ propi!/ de c!d! /i/te!

[REC BB] Defnir 6n e/>6e! de !lt! di/ponibilid!d por red6nd!nci! ocl6/teri:!ción de lo/ /ericio/ cr1tico/ de l! cop!P1! coo DC' B

!plic!cione/ Heb tr!n/!ccion!le/[REC CC] Defnir 6n procediiento de !6tori:!ción B re5i/tro de !ctiid!de/de !nteniiento de lo/ coponente/ de K!rdH!re de tecnolo51! delcentro de cóp6to

'RO6e iti5!n lo/ rie/5o/ de !Borip!cto.


15/17

ANLI%I% DE CU&'LI&IENTORe>6i/ito/ %0%IL! nor! I%OIEC 2)**+F2*+3 e/pecifc! lo/ re>6eriiento/ p!r! e/t!blecer@ipleent!r@ !ntener B contin6!ente e-or!r el /i/te! de 5e/tión de/e56rid!d de l! in?or!ción B !5r6p! /6/ re>6eriiento/ en ) cl96/6l!/.

Cop!r!ción de porcent!-e de ipleent!ción

L!

/i56iente!tri: indic! l! c!te5ori:!ción de c!d! cl96/6l! de !c6erdo ! l! !lor!ciónde proce/o/ pre/ent!d!F


16/17

L! proporción de lo/ re>6i/ito/ %0%I de !c6erdo!l e/t!do /e eidenci! en el /i56iente 5r9fco.


17/17

Doinio/ de ControlL! !lor!ción de c!d! doinio de control /e re!li:ó b!/!d! en l!ponder!ción de l!/ !lor!cione/ de lo/ ob-etio/ de control >6e ! /6 e: /onel re/6lt!do de l! e!l6!ción del 5r!do de ipleent!ción de c!d! controlindependiente B /e re/6en en l! /i56iente t!bl!F

L! proporción de lo/ controle/ de !c6erdo !l e/t!do /e eidenci! en el/i56iente 5r9fco.

Implementacion de telefonía VOIP e implementacion de ISO27001

Documents

Transcript of Implementacion de telefonía VOIP e implementacion de ISO27001