2013

COBIT 5 / ISO 27001

TRABAJO DE INVESTIGACIN
Pablo Sal Osorio 13001118

UNIVERSIDAD GALILEO | Auditoria de Sistemas

CONTENIDO
INTRODUCCIN ................................................................................................................................... 2 QU ES COBIT? .................................................................................................................................. 3 Ediciones de COBIT.......................................................................................................................... 4 COBIT 5: ........................................................................................................................................... 4 Principio 2: Cubrir la empresa de extremo a extremo....................................................................... 5 Principio 3: La aplicacin de un nico marco integrado .................................................................... 5 Principio 4: Habilitacin de un enfoque holstico .............................................................................. 6 Principio 5: La separacin de la gestin de gobierno......................................................................... 7 ISO 27001 ............................................................................................................................................ 8 Historia del surgimiento de ISO 27001 .......................................................................................... 8 Dominios de la norma ISO 27001 ................................................................................................... 9 Fases .............................................................................................................................................. 10 Documentos de ISO 27001 ........................................................................................................... 11 Pasos hacia la certificacin ........................................................................................................... 11 1. Elegir la norma ...................................................................................................................... 11 2. Contactar............................................................................................................................... 11 3. Cita con el equipo de evaluacin ......................................................................................... 11 4. Considerar la capacitacin ................................................................................................... 11 5. Revisin y evaluacin ........................................................................................................... 11 6. Certificacin y mucho ms .......................................................Error! Bookmark not defined. CONCLUSIONES ................................................................................................................................. 13 RECOMENDACIONES ......................................................................................................................... 14 e-GRAFIA ........................................................................................................................................... 15

INTRODUCCIN
En el complejo mundo de hoy, hay una serie de normas y marcos que se emiten por diversas instituciones con sus propios objetivos especficos. Algunos de los ms prominentes entre esta pltora de estndares y marcos son COBIT, ITIL, ISO27001, PMBOK y TOGAF. Cada uno de estos est diseados para satisfacer las necesidades especficas de la comunidad de usuarios. Adems, cada uno tiene una profundidad y amplitud de la cobertura especfica en un rea especfica enfocada. No haba un solo marco global que podra ser el marco holstico global que podra integrar otras normas y marcos, cubra el extremo de la empresa hasta el final y satisfacer las necesidades de todos los interesados.

QU ES COBIT?
Por sus siglas en ingls Control Objectives for Information and Related Technology, siendo un conjunto de mejores prcticas para el manejo de informacin, creado por ISACA (Asociacin para la Auditora y Control de Sistemas de Informacin), y por ITGI (Instituto de Administraciones de las Tecnologas de la Informacin) Es un marco de referencia utilizado para la direccin de TI, as como de herramientas de soporte que permite a la alta gerencia reducir la brecha entre las necesidades de control, cuestiones tcnicas y los riesgos del negocio. Permite el desarrollo de polticas claras y buenas prcticas para el control de TI en las organizaciones. COBIT permite entender como dirigir y gestionar el uso de los sistemas de informacin, as como establecer un cdigo de buenas prcticas a ser utilizado por los proveedores de sistemas. COBIT provee las herramientas para supervisar las actividades relacionadas con IT. COBIT ofreces las siguientes ventajas. Es un marco de referencia de gobierno IT aceptado mundialmente, basado en estndares y mejores prcticas de la industria. Suministra un lenguaje comn que permite a los ejecutivos de negocios comunicar sus metas, objetivos y resultados con Auditores, IT y otros profesionales. Proporciona las mejores prcticas y herramientas para monitorear y gestionar las actividades de IT. Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a travs de su ciclo de vida.

Los resultados que se obtienen al implementar COBIT son los siguientes: El ciclo de vida de costos de IT ser ms transparente y predecible. IT entregara informacin de mayor calidad y en menor tiempo. IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT sern ms exitosos.

Los requerimientos de seguridad y privacidad sern ms fcilmente identificados, y su implementacin podr ser ms fcilmente monitoreada. Todos los riesgos asociados a IT sern gestionados con mayor efectividad El cumplimiento de regulaciones relacionadas a IT sern una prctica normal dentro de su gestin.

Ediciones de COBIT
COBIT surgi por primera vez en el ao 1995, con la finalidad de crear un producto que pudiese tener un impacto duradero sobre la visin de los negocios. La primera edicin de COBIT se public en 1996 en 98 pases. La segunda edicin fue publicada en el mes de abril de 1998, contena mejoras respecto a la edicin anterior, as como la incorporacin de ms documentos fundamentales, nuevos y revisados objetivos de control de alto nivel. La tercera edicin fue publicada en el ao 2000. La cuarta edicin en el ao 2005 La edicin 4.1 fue publicada en el ao 2007, conteniendo 34 procesos que cubren 210 objetivos de control, clasificados en cuatro dominios: Planificacin y Organizacin, Adquisicin e implementacin, Entrega y Soporte y, Supervisin y Evaluacin. La versin 5 de COBIT sali en abril de 2012, la cual profundizaremos a continuacin, pues es el objeto de esta investigacin.

COBIT 5:
Presenta un marco para la seguridad de la informacin. Incluye todos los aspectos de garanta de la seguridad razonable y apropiada para los recursos de informacin. Su fundacin es un conjunto de principios sobre los cuales una organizacin debe construir y probar sus polticas de seguridad, normas, directrices, procedimientos y controles:

Principio 1: Necesidades de los interesados Un grupo de actores incluye a cualquier persona o grupo afectado por el estado actual o el estado futuro de un proceso, sistema, poltica, etc anlisis de los interesados es el proceso de identificacin de las partes interesadas para que su entrada se puede asegurar los resultados. Este es un paso importante en la planificacin de proyectos y la gestin de riesgos . La falta de participacin de todos los interesados, como equipos de auditora, por lo general da lugar a resultados menos que ptimos en el mejor. Peores resultados de los casos incluyen proyectos fallidos o deficiencias de auditora. El xito de los resultados de anlisis de los interesados en maximizar los beneficios, minimizar el riesgo o ir ms all de los resultados esperados, y la optimizacin de recursos. Adems, garantizar la integracin de los requisitos de seguridad de la informacin empresarial y en el desarrollo o adquisicin de una solucin es siempre preferible a intentar "pasar" algo sobre una, pero acabada incompleta del sistema, red o un marco de controles fsicos. Principio 2: Cubrir la empresa de extremo a extremo Seguridad de la informacin se aplica a menudo como una serie de soluciones puntuales, como se define en ms detalle en el Principio 3. Sin embargo, la aplicacin general de las mejores prcticas de seguridad y garanta requiere revisiones de seguridad como parte de los procesos de negocio y las actividades de desarrollo e implementacin de TI. Esto no es slo una integracin horizontal. Por el contrario, todos los niveles de gestin deben incluir INFOSEC en todas las actividades de planificacin estratgica y operativa del negocio. Principio 3: La aplicacin de un nico marco integrado La aplicacin de controles de seguridad es a menudo una actividad de apuntar y disparar. Muchas organizaciones tienden a solucionar problemas especficos, sin dar un paso atrs y aplicar las polticas y controles que afectan a mltiples vulnerabilidades en la red o sistema de superficies de ataque . El diseo de un completo marco incluye todos los aspectos de almacenamiento de informacin, el flujo, y el procesamiento, proporcionando una base para la implementacin de control ms eficiente.

Controles Matrix Un mtodo para asegurar un uso ptimo de los controles es la creacin y gestin de una matriz de controles, como se muestra en la figura A. Una matriz debe incluir reas de los controles de inters y crtico, ya sea desarrollado durante las evaluaciones de riesgo o con las normas de buenas prcticas:

SANS Top Twenty Controles de seguridad crticos COBIT 5 para la Seguridad de la Informacin ISO 27002

Un marco apoya un enfoque holstico para asegurar una organizacin. Principio 4: Habilitacin de un enfoque holstico Como apoyo para el desarrollo de un marco integrado, es importante la seguridad de la informacin como un conjunto de componentes relacionados, no como un conjunto de silos. Cada componente es impulsado por facilitadores y otros factores que afectan el riesgo organizacin. COBIT 5 para la Seguridad de la Informacin proporciona una lista de los facilitadores y describe cmo se relacionan entre s como se muestra en la Figura B. Facilitadores ayudan a las organizaciones a integrar las operaciones y la seguridad en los resultados de todos los principios definidos aqu. Como siempre, esto se hace en una forma de satisfacer las necesidades de las partes interesadas.
Figura B

Principio 5: La separacin de la gestin de gobierno Este principio establece una lnea entre el establecimiento de objetivos y la medicin de resultados. Segn COBIT 5 para la Seguridad de Informacin: "Gobierno asegura que las necesidades de las partes interesadas, las condiciones y las opciones son evaluadas para determinar los saldos, acordadas en los objetivos empresariales a alcanzar; establecimiento de la direccin a travs de prioridades y la toma de decisiones y el monitoreo de desempeo y cumplimiento contra acordados en la direccin y objetivos. "Los planes de manejo, construye, carreras y actividades de monitores en alineacin con la direccin establecida por el rgano de gobierno para alcanzar los objetivos de la empresa" (p. 23). Ya que el gobierno y la gestin son funciones separadas realizadas por equipos designados, deben apoyarse mutuamente. Gobierno define los resultados y la tecnologa de los instrumentos de gestin y procesos para cumplir con esos resultados. Gobierno determina entonces si se cumplen los resultados y proporciona informacin para ayudar a la gestin de hacer los ajustes necesarios.

ISO 27001
Es una norma adecuada para cualquier organizacin, grande o pequea, de cualquier sector o parte del mundo. La norma es particularmente interesante si la proteccin de la informacin es crtica, como en finanzas, sanidad, sector pblico y tecnologa de la informacin (TI). Tambin es muy eficaz para organizaciones que gestionan la informacin por encargo de otros, por ejemplo, empresas de subcontratacin de TI. Puede utilizarse para garantizar a los clientes que su informacin est protegida. La norma ISO 27001 permite a las empresas Certificar su Sistema de Gestin de seguridad de la Informacin (SGSI). Obtener la certificacin, supone decir a los clientes, empleados y proveedores que la empresa se preocupa por la gestin de la Seguridad de la Informacin y que presta un servicio de calidad reconocido. Historia del surgimiento de ISO 27001

Las fases de las que consta el proyecto para la implementacin y posterior certificacin: Delimitacin del Alcance. Anlisis de Riesgos. Gestin de Riesgos. Declaracin de Aplicabilidad. Polticas y Procedimientos. Plan Director de Seguridad. Plan de Continuidad de Negocio. Plan de Formacin. Gestin de Incidencias. Desarrollo del SGSI. Auditora Interna. Certificacin por entidad acreditada (en su caso).

Algunas ventajas en la implementacin de ISO 27001 Mejora en la imagen y relaciones con terceros. Mejora en el control de las personas. Mejora en el registro de incidentes y debilidades. Mejora en la gestin de continuidad del negocio.

Dominios de la norma ISO 27001

Fases La norma se basa en la mejora continua: PLANIFICAR: en esta fase analiza el entorno de actividad de la compaa. La informacin tratada por la misma, las directivas corporativas establecidas y los requisitos legales aplicables a cada compaa. Durante esta etapa la empresa debe disear un procedimiento formal para la continua identificacin y evaluacin de los riesgos y seleccionar los objetivos de control, as como los controles que le permitan gestionar estos riesgos. IMPLEMENTAR: en esta fase se centra en el desarrollo e implementacin de un plan efectivo a medio y largo plazo que evite o atene los posibles riesgos para la seguridad de la informacin. En esta fase, se iniciar tambin la formacin e informacin del personal de la empresa, de forma que se garantice la correcta implementacin del SGSI. REVISAR: la implantacin del SGSI exige el seguimiento y revisin de los controles y medidas implantadas. Por ello es imprescindible, la realizacin de auditoras tanto internas como externas que revisen la eficacia y eficiencia del SGSI, y que identifiquen las posibles amenazas, vulnerabilidades y riesgos del sistema. ACTUAR: la implantacin de un SGSI exige actuar, mantener y mejorar constantemente el SGSI. Cuando en la revisin (check) del SGSI se detecten amenazas, vulnerabilidades y riesgos, es necesario llevar a cabo medidas correctoras y preventivas adecuadas, que garanticen en todo momento la seguridad y proteccin de la informacin de la empresa. Tambin se puede alinear la norma ISO 27001 con las Normas ISO 14001, ISO 20000, ISO 22301, ISO9001, etc.

Todas las actividades deben ser implementadas cclicamente para mantener la eficacia del SGSI de forma permanente.

10

Documentos de ISO 27001

La norma ISO 27001 requiere los siguientes documentos:

El alcance del SGSI; La poltica del SGSI; Procedimientos para control de documentacin, auditoras internas y procedimientos para medidas correctivas y preventivas; Todos los dems documentos, segn los controles aplicables; Metodologa de evaluacin de riesgos; Informe de evaluacin de riesgos; Declaracin de aplicabilidad; Plan de tratamiento del riesgo; Registros.

La cantidad y exactitud de la documentacin depende del tamao y de las exigencias de seguridad de la organizacin; esto significa que una docena de documentos sern suficientes para una pequea organizacin, mientras que las organizaciones grandes y complejas tendrn varios cientos de documentos en su SGSI.

Pasos hacia la certificacin 1. Elegir la norma Antes de que pueda empezar a preparar su solicitud, necesita una copia de la norma. Debe leerla y familiarizarse con ella. Puede adquirir ISO/IEC 27001 e ISO/IEC 17799 en lnea en la pgina Web. 2. Contactar 3. Cita con el equipo de evaluacin 4. Considerar la capacitacin 5. Revisin y evaluacin

11

La auditora de certificacin suele constar de 2 fases: FASE 1 o documental y FASE 2. En la FASE 1 el equipo auditor revisar toda la documentacin que conforma el SGSI de la organizacin y realizar observaciones sobre potenciales no-conformidades. En la FASE 2 el equipo auditor revisa ya toda la organizacin, para comprobar si existen las evidencias de que se mantiene un SGSI segn la norma. Tras la FASE 2 el equipo auditor recomendar la certificacin directamente o emitir un informe de no-conformidades. Una no-conformidad puede ser menor o mayor. Una noconformidad menor significa que el auditor ha identificado un no cumplimiento puntual de algn apartado de la norma o de nuestros propios procesos, pero que no representa un peligro para el funcionamiento del SGSI. Una no-conformidad mayor es un no cumplimiento de la norma o de un proceso propio, pero con un impacto en el SGSI mayor. Es decir, no existen evidencias de que estemos ejecutando algn proceso tal como hemos documentado. Si existen no-conformidades menores, tras la auditora la organizacin debe realizar un plan de acciones correctivas donde se evidencie una planificacin razonable y realista de las medidas que se van a tomar para eliminar la causa raz de dichas no-conformidades. Si existen no-conformidades mayores, la organizacin debe corregir dichas noconformidades y evaluar la medida correctiva tomada. Luego se deber enviar al equipo auditor la explicacin detallada de la medida tomada y sus resultados. Cundo no se obtendra la certificacin? Depende de la certificadora y su acreditacin, hay certificadoras que con nmero determinado de no-conformidades mayores ya ser necesario repetir la FASE 2 de la auditora (con el coste que ello conlleva para el auditado). Otras certificadoras, con una sola no-conformidad mayor significativa ya se suspendera la auditora y se debera reauditar.

12

CONCLUSIONES
La auditora de sistemas es la revisin de los controles, sistemas, procedimientos de informtica, de los equipos de cmputo, su utilizacin, eficiencia y seguridad. Es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con buen nivel de seguridad.

13

RECOMENDACIONES
Para llevar a cabo una auditora, siempre es importante poder contar con algunas recomendaciones al momento de hacerla, pues la idea es poder ayudar a la organizacin y no estar en contra de ella. Tales recomendaciones pueden ser algunas de las que siguientes: La funcin principal de la auditora debe ser de ayudar a proteger el patrimonio, reputacin y sostenibilidad de la organizacin. El alcance de la auditora debe estar libre de restricciones. La auditora no debe ser parte ni responsable de la gestin de riesgos, cumplimiento o funcin financiera. Los auditores deben estar a un nivel lo suficientemente alto dentro de la organizacin.

14

e-GRAFIA
http://www.csi-india.org/c/document_library/get_file?uuid=6d3e2cd0-8004-48b7-91abb2823215dbcd&groupId=10157 http://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-la-estrategia-deseguridad-informatica http://seguridadinformacioncolombia.blogspot.com/2010/07/que-es-cobit.html http://ds5-andre-ortega-5a.host56.com/historia.html http://searchsecurity.techtarget.com/definition/COBIT http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnol og%C3%ADas_relacionadas http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandaresesquemas/Seguridad-de-la-Informacion-ISOIEC27001/ http://es.wikipedia.org/wiki/ISO_27001 http://www.iso27001security.com/html/27001.html http://www.bsigroup.com/en-GB/iso-27001-information-security/

15