MAPEO DE COBIT 5 con ISO 27001 2013.pdf

7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf

1/16

234MapeandoFortalezas de COBIT 5Seguridad con ISO/IEC

27001:2013

Johann Tello Meryk

Director, Latam Consulting Services


2/16

AGENDA

1. ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LAINFORMACIN

2. ESTRUCTURA DE ISO/IEC 27001:2013

3. MAPEO DE PRINCIPIOS

4. MAPEO DE PROCESOS

5. CASO DE ESTUDIOESCENARIO NO. 1

ESCENARIO NO. 2

6. CONCLUSIONES

7. PREGUNTAS


3/16

ESTRUCTURA DE COBIT 5 PARA SEGURIDADDE LA INFORMACIN

Marco ReferencialPrincipios de COBIT 5: Satisfacer las necesidades de las partes interesadas,cubrir a la empresa de extremo a extremo, aplicar un marco de referencia nico

integrado, hacer posible un enfoque holstico y separar al gobierno de la gestin.

Habilitadores de COBIT 5: Principios, polticas y marco de referencia;procesos; estructuras organizativas; cultura, tica y comportamiento;

informacin; servicios, infraestructura y aplicaciones; y personas, habilidades y

competencias.

COBIT 5 Implementacin: Las siete fases del ciclo de vida de implementacin

Modelo de Referencia de Procesos de COBIT 5: EDM (Evaluar, Orientar ySupervisar), APO (Alinear, Planificar y Organizar), BAI (Construir, Adquirir e

Implementar), DSS (Entregar, dar Servicio y Soporte) y MEA (Supervisar, Evaluar yValorar)


4/16

ESTRUCTURA DE ISO/IEC 27001:2013

reas de requerimientos del Sistema de Administracin de Seguridad

de la Informacin (ISMS)No. Requerimientos

0. Introduccin

1. Alcance

2. Referencia de la Normativa

3. Trminos y definiciones

4. Contexto de la organizacin

5. Liderazgo

6. Planeacin

7. Soporte

8. Operacin

9. Evaluacin del rendimiento

10. Mejoramiento

Anexo A: Objetivos de control y controles, A.5 a A.18


5/16

MAPEO DE DEFINICIONES / PRINCIPIOS

COBIT 5 Seguridad de la Informacin

Asegurar que dentro de la empresa, la informacin est protegida contra la divulgacin por

usuarios no autorizados (confidencialidad), modificacin inapropiada (integridad) y no accesocuando es requerida (disponibilidad).

Confidencialidad significa preservar restricciones autorizadas en el acceso y divulgacin,

incluyendo la proteccin de privacidad y propietario de la informacin.

Integridad significa guarda contra la modificacin inapropiada o destruccin e incluye

asegurarse de la no repudiacin de la informacin y su autenticidad.

Disponibilidad significa asegurarse del acceso oportuno y fiable a la informacin y su uso.

ISO/IEC 27001:2013

El sistema de administracin de la seguridad de la informacin preserva la confidencialidad,

integridad y disponibilidad de la informacin aplicando un procesos de administracin de riesgo y

brinda confianza a las partes interesadas que el riesgo est adecuadamente administrado.

Es importante que el sistema de administracin de la seguridad de la informacin es parte y estintegrado con los procesos de la organizacin y con la estructura global de la gerencia y que la

seguridad de la informacin es considerada en el diseo de procesos, sistemas de informacin y

controles. La expectativa es que la implementacin del sistema de administracin de la seguridad

de la informacin ser escalado en concordancia con las necesidades de la organizacin.

ISBN 978-9962-05-581-5


6/16

MAPEO DE PROCESOS

COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013

Evaluar, Orientar y SupervisarEDM01 Asegurar el establecimiento y

mantenimiento del marco de

referencia de gobierno

5.1 Liderazgo y compromiso

5.2 Poltica

5.3 Roles, responsabilidades y autoridades

organizacionales

6.2 Objetivos de seguridad de la informacin y la

planeacin para su logro

7.4 Comunicacin

A.5 Poltica de Seguridad de Informacin

EDM02 Asegurar la Entrega de

Beneficios

4.1 Entendiendo a la organizacin y su contexto

4.2 Entender las necesidades y expectativas de

las partes interesadas

6.1.1 General

9.3 Revisin Gerencial

10 Mejoramiento

EDM03 Asegurar la Optimizacin del

Riesgo

5.2 Poltica

6.1 Acciones para abordar los riesgos y lasoportunidades

7.5 Informacin documentada

8.1 Plan operacional y de control

8.3 Tratamiento al riesgo de seguridad de

informacin

9.1 Monitoreo, medicin, anlisis y evaluacin

9.3 Revisin gerencial

ISBN 978-9962-05-581-5


7/16

MAPEO DE PROCESOS


EDM04 Asegurar la Optimizacin deRecursos

4.4 Sistema de Administracin de la seguridadde informacin

7.1 Recursos

7.2 Competencia

7.3 Concientizacin

EDM05 Asegurar la Transparencia

hacia las Partes Interesadas

A.12 Operaciones de Seguridad

ISBN 978-9962-05-581-5


8/16

MAPEO DE PROCESOS


Alinear, Planificar y Organizar

APO 01 Gestionar el marco de gestin

de TI

5 LiderazgoA.5 Poltica de seguridad de la informacin

A.6 Organizacin de seguridad de la informacin

APO02 Gestionar la estrategia 4 Contexto de la organizacin5.2 Poltica

6 Planeacin

APO03 Gestionar la ArquitecturaEmpresarial

APO04 Gestionar la innovacin

APO05 Gestionar el portafolio

APO06 Gestionar el presupuesto y los

costes

APO07 Gestionar los recursos

humanos

7.2 Competencia

7.3 Concientizacin

A.7 Seguridad de Recursos Humanos

APO08 Gestionar las relaciones A.6.1 Organizacin interna

ISBN 978-9962-05-581-5


9/16

MAPEO DE PROCESOS


APO09 Gestionar acuerdos de

servicios

APO 10 Gestionar los proveedores A.15 Relacin con proveedores

APO11 Gestionar la calidad 4.1 Entendiendo la organizacin y su contexto4.2 Entender las necesidades y expectativas de

las partes interesadas

6.1.1 General


10 Mejoramiento

APO12 Gestionar el riesgo. 5.2 Poltica6.1 Acciones para abordar los riesgos y las

oportunidades


8.1 Plan operacional y de control8.3 Tratamiento al riesgo de seguridad de

informacin

9.1 Monitoreo, medicin, anlisis y evaluacin


APO13 Gestionar la seguridad Considerado en todo el estndar

ISBN 978-9962-05-581-5


10/16

MAPEO DE PROCESOSCOBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013

Construir, adquirir e implementar

BAI01 Gestionar programas y

proyectos

BAI02 Gestionar la definicin de

requisitos

A.18 Cumplimiento

BAI03 Gestionar la identificacin y

construccin de soluciones.

A.14 Adquisicin, desarrollo y mantenimiento

de sistemas

BAI04 Gestionar la disponibilidad y

la capacidad

A.12.1.3 Administracin de capacidad

BAI05 Gestionar la introduccin del

cambio organizativo

BAI06 Gestionar los cambios A.12.1.2 Administracin de cambios

BAI07 Gestionar la aceptacin del

cambio y la transicin

A.12.1.4 Separacin de los ambientes de

desarrollo, prueba y operaciones

BAI08 Gestionar el conocimiento 7.5 Informacin documentada

BAI09 Gestionar los activos A.8 Administracin de activos

BAI10 Gestionar la configuracinISBN 978-9962-05-581-5


11/16

MAPEO DE PROCESOS


Entrega, Servicio y Soporte

DSS01 Gestionar operaciones

6.1 Acciones para abordar los riesgos y

oportunidades8 Operaciones

A.11 Seguridad fsica y ambiental

A.12.3 Respaldos

A.12.4 Monitoreo y registro

A.15 Relacin con proveedores

DSS02 Gestionar peticiones e

incidentes de servicio

A.16 Administracin de incidentes de

seguridad de la informacin

DSS03 Gestionar problemas

DSS04 Gestionar la continuidad 4.1 Entendiendo la organizacin y su contexto6.1 Acciones para abordar riesgos y

oportunidades

7.4 Comunicacin


10 Mejoramiento

DSS05 Gestionar servicios de

seguridad

Considerado en todo el estndar

DSS06 Gestionar controles de

procesos de negocio

6.1.2 Evaluacin de riesgo de seguridad de la

informacin

9 Evaluacin del rendimiento

A.8.2 Clasificacin de la informacin

A.9.4 Control de acceso a los sistemas yaplicaciones

ISBN 978-9962-05-581-5


12/16

MAPEO DE PROCESOS


Supervisar, Evaluar y Valorar

MEA01 Supervisar, evaluar y valorar

el rendimiento y la

conformidad

4.1 Entendiendo la organizacin y su contexto

6.1 Acciones para abordar riesgos y

oportunidades

7.4 Comunicacin



el sistema de control interno



oportunidades7.4 Comunicacin


A.18.2 Revisiones de seguridad de la

informacin


la conformidad con los

requerimientos externos



oportunidades

7.4 Comunicacin


A.18.1 Cumplimiento con requerimientos

legales y contractuales

ISBN 978-9962-05-581-5


13/16

CASO DE ESTUDIO

ESCENARIO NO. 1

Recientemente una empresa ha pasado por un proceso de adquisicin

en donde la empresa matriz est implementando COBIT 5 paraseguridad de la informacin mientras que la empresa adquirida ha

logrado implementar algunos requerimientos del estndar ISO/IEC

27001:2013.

La gerencia de seguridad a nivel corporativo requiere determinar los

esfuerzos que son necesarios para lograr homologar los estndares de

seguridad. Cules seran los pasos a seguir para lograr el objetivodeseado?

ISBN 978-9962-05-581-5


14/16

CASO DE ESTUDIO

ESCENARIO NO. 2

Un banco ha sido fuertemente penalizado por incumplimiento de las

regulaciones establecidas de seguridad de la informacin. El enteregulador ha establecido un periodo de seis meses para evaluar los

primeros resultados de un programa de seguridad integral. Uno de los

principales hallazgos indica que no han realizado evaluaciones de

riesgos.

Cul estndar entre COBIT 5 para Seguridad de la Informacin o ISO/IEC

27001:2013 recomendara a la gerencia del banco utilizar?

ISBN 978-9962-05-581-5


15/16

CONCLUSIONES

COBIT 5 para Seguridad de la Informacin nos brinda un marco de

gobierno de seguridad alineado a COBIT 5

Ambos estndares establecen como requerimientos principales para laseguridad de la informacin:

Entendimiento de la organizacin

Las necesidades y expectativas

Compromiso de la alta gerencia

Roles y responsabilidades

PlaneacinEvaluar y tratar el riesgo

Medir resultados

Documentar

Mejoramiento continuo

Comparten las mismas preocupaciones sobre la integridad,

confidencialidad e integridad de la informacin.

Las inversiones en seguridad de la informacin slo sern sostenibles a

travs del cumplimiento de estndares.

ISBN 978-9962-05-581-5


16/16

PREGUNTAS

Johann Tello Meryk, CISA, CRISC, CISM

[email protected]

MAPEO DE COBIT 5 con ISO 27001 2013.pdf

Documents

Transcript of MAPEO DE COBIT 5 con ISO 27001 2013.pdf