Вы находитесь на странице: 1из 123

Diseo de Sistema de Gestin de Seguridad de Informacin

CONTENIDO
1. Objetivo
2. Introduccin.
3. Entendimiento del Negocio.
3.1. Informacin Institucional.
3.2. Marco Operativo.
3.3. Informacin del Ambiente de Sistemas.
3.3.1. Catlogo de Aplicaciones.
3.3.2. Recursos Humanos Centro de Computo.
3.3.3. Recursos Tecnolgicos.
3.3.4. Comunicacin y transferencia de Informacin a travs de la
organizacin.
3.3.5. Estrategia.
4. Modelo de mejores prcticas utilizado: COBIT
5. Propuesta metodolgica para el diseo del SGSI de ECUACOLOR.
6. Modelo de madurez de los 7 procesos de Seguridad de Informacin.
6.1. PO9.- Evaluar los Riesgos.
6.2. PO11.- Administrar Calidad.
6.3. A16.- Administrar Cambios.
6.4. DS4 .- Asegurar el Servicio Continuo.
6.5. DS5 .- Garantizar la Seguridad de los Sistemas.
6.6. DS11 .- Administrar los Datos.
6.7. DS12 .- Administrar Instalaciones.
7. La evaluacin de riesgos de los 105 objetivos de control.
7.1. Administracin de Riesgos.
7.2. Proceso de administracin de Riesgos.
6.2.1. Establecer Marco General.
6.2.2. Identificar Riesgos.
6.2.3. Anlisis de Riesgos.
6.2.4. Evaluar y Priorizar Riesgos.
6.2.5. Controles existentes para los riesgos de ms alta exposicin.
6.2.6. Tratamiento del Riesgo.
8. Plan de Accin.
9. Beneficios.

ANEXOS
A1. Glosario de trminos.
A2 Mapa General de Procesos.
A3. Organigrama de la Empresa.
A4. Organigrama de Sistemas.
A5 Proceso de Ventas a Distribuidores.
A5. Procesos de Ventas en Retail.
A6. Polticas Bsica de Seguridad de Informacin.
A7. Factores Crticos de xito.
A8. Indicadores Claves de Desempeo.

1/123

Diseo de Sistema de Gestin de Seguridad de Informacin

1. OBJETIVO
El objetivo de nuestra tesis es el Diseo de un Sistema de Gestin de Seguridad de la
Informacin para la empresa ECUACOLOR, basado en el anlisis de la empresa y el
conocimiento adquirido durante el Diplomado de Auditora Informtica
Un segundo objetivo es contribuir para que las empresas ecuatorianas tomen conciencia
de la necesidad de implementar Sistemas de Seguridad, como una herramienta que
ayudar a cumplir con las metas y objetivos de la empresas, ayudndoles en la gestin
del negocio y ser ms competitivas en el mercado.

2/123

Diseo de Sistema de Gestin de Seguridad de Informacin

2. INTRODUCCIN
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas
ms poderosas para materializar uno de los conceptos ms vitales y necesarios para
cualquier organizacin empresarial, Los Sistemas de Informacin de la empresa.
La Informtica hoy, es la base en la gestin integral de la empresa, y por eso las normas
y estndares propiamente informticos deben estar, por lo tanto, sometidos a controles.
Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de
decisiones, pero no decide por s misma. Por ende, debido a su importancia en el
funcionamiento de una empresa, se hace necesario un Sistema de Gestin de Seguridad
de Informacin.
La informacin en la empresa es uno de los mas importantes activos que posee. Las
organizaciones tienen que desarrollar mecanismos que les permitan asegurar la
disponibilidad, integridad y confidencialidad en el manejo de la informacin. La
informacin est sujeta a muchas amenazas tanto de ndole externa como externa.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control
correspondiente, o al menos debera estarlo.
La importancia de llevar un control de los recursos de los Sistemas de Tecnologa de
Informacin se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos


apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo.
Los hackers que son expertos en Ingeniera Social consiguiendo personas de
dentro de la compaa para sacarles contraseas y claves de invitados.
Las computadoras creadas para procesar y difundir resultados o informacin
elaborada pueden producir resultados o informacin errnea si dichos datos son, a
su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas
que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes.
Un Sistema Informtico mal diseado puede convertirse en una herramienta harto
peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes
recibidas y la modelizacin de la empresa est determinada por las computadoras
que materializan los Sistemas de Informacin, la gestin y la organizacin de la
empresa no puede depender de un Software y Hardware mal diseados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informtico, por eso, la necesidad de un Sistema de Gestin de Seguridad de
Informacin..
Nuestro Proyecto de Diseo de un Sistema de Gestin de seguridad de Informacin
SGSI incluye 9 captulos y 8 anexos.

3/123

Diseo de Sistema de Gestin de Seguridad de Informacin


El captulo 1, define el objetivo de nuestra tesis, El diseo de un sistema de Gestin de
Seguridad de Informacin para la empresa ECUACOLOR.
El captulo 2, es una Introduccin sobre la necesidad de implementar en las empresas un
SGSI, para el control y proteccin de los recursos de Tecnologa de Informacin.
El captulo 3, es el levantamiento de informacin para el Entendimiento del Negocio, el
Marco Operativo y la Tecnologa de Informacin que utiliza ECUACOLOR para el
desarrollo de sus operaciones.
El Captulo 4, es una breve explicacin de la herramienta utilizada COBIT, considerada
como una de las mejores prcticas para la administracin, control, auditora y manejo de
las seguridades de Tecnologa de Informacin.
El captulo 5, establece la metodologa utilizado para el desarrollo de nuestra tesis de
graduacin.
El capitulo 6, establece el modelo de Madurez de los 7 procesos del modelo COBIT
sobre requerimientos de Seguridad (confidencialidad, integridad y disponibilidad), es la
situacin actual de la empresa y haca donde quiere llegar.
El captulo 7, constituye el trabajo de investigacin de los 105 objetivos de Control en
ECUACOLOR, estableciendo el nivel de riesgo actual (Alto Medio Bajo).
El captulo 8, es el Plan de Accin con los Controles recomendados para la mitigacin
de los Riesgos cuales.
El captulo 9, establece los Beneficios que tendra la empresa al implementar un Sistema
de Gestin de Seguridad de Informacin.
Y Finalmente tenemos 8 Anexos, Glosario de trminos: Mapa General de Procesos,
Organigrama de la Empresa, Organigrama de Sistemas, Proceso de Ventas a
Distribuidores y el Proceso de Ventas en Retail.
.
Las Polticas Bsica de Seguridad de la Informacin, que es lo mnimo que debera
implementar la empresa.
Como valor agregado hemos incluido los Factores Crticos de xito (FCE) y los
Indicadores claves de Desempeo , que constituyen herramientas adicionales para
llegar a cumplir con xito la gestin empresarial.

4/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3 ENTENDIMIENTO DEL NEGOCIO


3. 1 INFORMACIN INSTITUCIONAL
Resea Histrica
Laboratorios Fotogrficos Ecuacolor es una empresa que naci en la ciudad de Quito
hace 35 aos gracias a la iniciativa y visin de los seores Luis Orrantia G. y Enrique
Martinez Q., Presidente y Gerente General de Comandato de aquel entonces, quienes
decidieron crear una empresa dedicada a la venta y procesamiento de las pelculas en
blanco y negro, bajo la razn social de Ecuacolor Laboratorios Fotogrficos.
Desde el ao 1966, los laboratorios fueron ampliando sus servicios bajo la supervisin
de Galo Vinueza, viejo amante de la fotografa y uno de los artfices del desarrollo
fotogrfico del Ecuador.
En 1975 Ecuacolor ya contaba con un moderno laboratorio de revelado a color en
Quito, que fue viendo superada su capacidad de produccin por la creciente demanda,
por lo que se decidi abrir un nuevo laboratorio. En Marzo de 1976, bajo la supervisin
del Ing. Antonio Tobar C., se inauguro uno de los mas modernos laboratorios centrales
de Sud Amrica en la ciudad de Guayaquil.
Pocos aos despus, se inicio a la apertura de punto de revelado satelitales, equipados
con mini laboratorios que ofrecan el servicio de revelado en pocas horas. Hoy se cuenta
con 106 mini laboratorios instalados en las principales ciudades del pas, atendiendo
directamente a sus clientes locales, ofrecindoles productos e innumerables servicios
fotogrficos y digitales de primersima calidad.
Ecuacolor se dedica en la actualidad a la captura, reproduccin, conservacin y
comunicacin de imgenes que son los mas preciados recuerdos y sentimientos del ser
humano.
Gracias a la utilizacin de tecnologa de punta a la experiencia de su recurso humano y
a la capacitacin continua, ha logrado colocarse como lder en la comercializacin y
distribucin de productos y servicios fotogrficos.
Sus mas de 500 colaboradores son el fundamento de la empresa y con orientacin total
hacia la excelencia que les permite dar un eficiente servicio a todos sus clientes en el
pas.

5/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MISION

Lograr la satisfaccin de las necesidades de los clientes y usuarios, mediante la


entrega de Excelencia en la Calidad de Productos y Servicios dentro de la industria
de imgenes.

Nuestro compromiso con nuestros colaboradores es proveerlos de oportunidades


para su desarrollo y crecimiento, remunerndolos mejor que el mercado en base a
resultados, e incrementando su patrimonio y bienestar a largo plazo, creando en
ellos un recurso valioso.

Nuestro compromiso con nuestros socios comerciales es el de proveerlos de una


plataforma para sus desarrollo sostenido, mediante nuestro crecimiento en ventas y
rentabilidad.

Nuestra responsabilidad con la sociedad y las comunidades en las que operamos , es


la de contribuir a su progreso y expectativas para el futuro, y prestar nuestro apoyo
para eventos deportivos, culturales y de entretenimiento, que lleven felicidad a sus
vidas.

Entregar a los accionistas el mayor rendimiento a su inversin.

VISION
Ser la empresa de mayor rentabilidad dentro de la industria de imgenes del pas, con
personal altamente calificado, motivado y profesional; sirviendo en cada rea de la
empresa y el mercado; con una participacin de mercado no menor al 70%.

VALORES

El cliente es primero.
Honestidad y lealtad que asegure la integridad de la empresa.
Capacidad para enfrentar cambios y adaptarnos a nuevas situaciones.
Educacin y aprendizaje constante para lograr la superacin personal y profesional.
Tenacidad y perseverancia para alcanzar nuestros objetivos.
Reconocimiento pblico y remuneracin econmica ante el buen desempeo.
Comunicacin abierta para promover el trabajo en equipo.
Innovacin constante, iniciativa y creatividad para lograr productividad y eficiencia.
Respeto a las personas, a la sociedad y al medio ambiente.

6/123

Diseo de Sistema de Gestin de Seguridad de Informacin

PANORAMA ACTUAL
Ecuacolor es una marca reconocida, posee una presencia bastante fuerte en el mercado
fotogrfico a nivel nacional, con ms de 100 fototiendas. Ha llegado a poseer el 70% de
participacin del mercado.

Es parte de un grupo econmico conformado por Comandato, OndaPositiva,


TecniPrint.
Mucha de la infraestructura tecnolgica es compartida por el Grupo Corporativo.
Existen Niveles Gerenciales que cumplen sus funciones de manera Corporativo.

El mercado fotogrfico en el Ecuador esta cambiando, el cambio se esta dando hacia el


revelado digital, lo que motiva que el mercado de revelado tradicional se vea
disminuido, afectando a los ingresos de la institucin.
Para contrarrestar este efecto, la institucin ha diseado nuevas estrategias y
desarrollado nuevas lneas de negocio.
Entre las estrategias de mas alto impacto estn:

Venta a Crdito, lo que debe incrementar la venta de Cmaras Digitales y otros


productos de la lnea Profesional.
Se ha logrado obtener la representacin exclusiva de los productos Maxell en
todo el territorio nacional, de tal manera que se diversifican los ingresos que
tiene la institucin actualmente.
Promociones para impulsar el revelado digital.
Alianzas estratgicas con empresas nacionales para promociones cruzadas.
Adquisicin de Equipos de revelado digital PictureMaker.

Para lograr alcanzar los objetivos estratgicos definidos existen adquisiciones de


tecnologa que tienen una incidencia directa en el plan estratgicos de negocio.

Adquisicin de nuevo sistema de punto de ventas que cumpla los requerimientos


de ley acorde a las necesidades y expectativas del negocio.
Implementacin de interconexin entre las principales tiendas a nivel nacional
con la casa matriz.
Administracin de la tecnologa actual que soporta los procesos del negocio.
Siendo este ultimo uno de los pilares fundamentales en la consecucin de las
metas trazadas por la organizacin.

Los costos de estos proyectos son bastante significativos dentro de los resultados de la
empresa, por eso razn la evaluacin y adquisicin de la tecnologa antes mencionada
debe ser llevada a cabo de la mejor manera posible.

7/123

Diseo de Sistema de Gestin de Seguridad de Informacin

PRODUCTOS CLAVES

Cmaras digitales (KODAK, PANASONIC, NIKON)


Rollos fotogrficos (KODAK)
Pilas
Accesorios para cmaras y productos relacionados.

SERVICIOS CLAVES

Revelado fotogrfico.
Ampliaciones.
Montajes.
Retoques
Copias.

LINEAS DE NEGOCIO
Distribucin.- Se encarga de la venta de mercadera y revelado al por mayor. Los
distribuidores tienen lneas de crdito, descuentos, y promociones especiales.
Fototiendas.- Se encarga de la venta de mercadera al por menor y el revelado
fotogrficos.

CLIENTES
Fotgrafos.- Clientes que se dedican a la fotografa profesional, tienen descuentos y
promociones especiales.
Distribuidores.- Clientes que estn autorizados a vender mercadera, recibir trabajos de
revelados y a facturarlos.
Aficionados.- Cliente que no se dedica a la fotografa como actividad profesional.

MERCADO.Ecuacolor esta enfocado en 2 segmentos, la venta a travs de su cadena de retail y la


venta a distribuidores.
Los principales competidores de Ecuacolor en el segmento de retail, son Konica, Fuji,
Fybeca, otros quedan servicio de revelado. En lo que respecta a la distribucin de
Kodak y Maxell, es la misma que la de la marca a nivel internacional.

8/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Actualmente la marca Ecuacolor esta catalogada como la numero uno en cuanto al
revelado fotogrfico y apunta a mantener esta posicin. Ecuacolor siempre esta
buscando la manera de incrementar su volumen de ventas, lanzando promociones. Sin
embargo las ventas estn disminuyendo debido a cambios que estn surgiendo en el
revelado tradicional, siendo esta la principal fuente de sus ingresos.

MARKETING Y PROMOCIONES.Constantemente se estn lanzando promociones apuntando:

Incrementar el revelado digital.


Mantener el revelado tradicional.
Incrementar la venta de productos KODAK y MAXELL.

Actualmente se han adquirido Impresoras Termales, Digitales, y equipos PICTURE


Maker con el afn de soportar las diferentes promociones que son lanzadas
consecutivamente.

ORGANIGRAMA DE LA EMPRESA.
Ver anexo A3.

Tecnologa de Informacin.Existe un departamento de sistemas en Quito y Guayaquil, parte de los servicios de


tecnologa son provisto por el centro de computo de Comandato(Empresa del Grupo).
Entre los servicios tecnolgicos que son provisto por el centro de computo de
Comandato tenemos:

Correo Interno.
Acceso al Internet.
Interconexin a travs de micro-ondas con antenas de punto de vista en las
fototiendas que estn dentro de un almacn Comandato.
Administracin y soporte especializado de la red corporativa y base de datos.

Existe un Gerente de Sistemas que es corporativo, los Jefes del Dpto. de Informtica de
Quito y Guayaquil estn subordinados a la Gerencia de Sistemas corporativas.

9/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.2 MARCO OPERATIVO.-

VENTAS, TRMINOS Y DESCUENTOS.

La mercadera es recibida en las bodegas principales de Guayaquil, y de esta


distribuida al resto del pas.
Las listas de precios, son creadas, administradas, aprobadas en la oficina
principal.

Distribucin

Los precios de ventas para el rea de distribucin estn formalmente definidos y


aprobados por la alta gerencia.
Existe el concepto de mercadera dada a consignacin, pero con la aprobacin de
la gerencia general.
Los descuentos son previamente pactados con el cliente y aprobados por la
gerencia general cuando estn fuera de los lmites preestablecidos.
Todas las ventas son a crdito.
Todas las lneas de crditos son aprobadas, revisadas y analizadas para evitar la
morosidad en la cartera.

Retail.
Los precios de ventas para la cadena de retail, estn clasificados por tipo de
cliente (Aficionado y Fotgrafo), provincia, y en alguno casos por el nivel
socio-econmico del lugar en donde este ubicada la fototienda. Todos los
precios son revisados y aprobados por la alta gerencia.
Los descuentos estn ya incluido en la lista de precios para el caso de los
fotgrafos, y en el caso de los aficionados deben sujetarse al termino de la
promocin a la que desean aplicar.
Todas las ventas (actualmente) son en efectivo.

Semanalmente existen reuniones de los principales Gerentes de la Organizacin, para


monitorear las tareas y actividades que se estn llevando en cada rea. Esto incluye
informacin de: Antigedad de Cartera, Poltica de Precios, Promociones,
Programacin de pedidos, Volmenes de Venta, Estado de Resultados por tienda y lnea
de negocio. Cada gerencia es responsable de la informacin que se entrega.
Para garantizar el mejor trato al cliente, existe un Dpto. de atencin al cliente en donde
se lleva el detalle de cada reclamo y su respectiva solucin. De la misma manera para
garantizar que nuestra empresa de un buen trato a nuestros clientes, disponemos de
medios de retroalimentacin como: Cliente fantasma, Buzn de sugerencias, etc.
Nota: Ver Anexos A5 y A6 para detalle de los principales procesos.

10/123

Diseo de Sistema de Gestin de Seguridad de Informacin

COMPRAS DE INVENTARIO.

Nuestros mayores proveedores son Eastman Kodak, Maxell.


La forma de costeo es por el mtodo de promedio ponderado.
El inventario es un rubro bastante significativo en el balance general de la
institucin.
La Gerencia de Logstica, Gerencia de Mercadeo, Jefe de Produccin trabajan en
conjunto para monitorear el inventario, y mantener un nivel adecuado a fin de
satisfacer la demanda, por promociones y el proceso de revelado fotogrfico.
Adicionalmente la Gerencia de Logstica se encarga de monitorear las
importaciones, y de informar cualquier inconveniente directamente con la
gerencia.

CUENTAS POR PAGAR.

La mayora de las compras son de mercadera para la venta y materia prima para
el proceso de revelado fotogrfico.
Existen contratos de arrendamientos por los locales que no son propios y estn
siendo usados por las fototiendas.
Existen prstamos bancarios, pero no son de gran impacto en el estado
financiero.
Existen prstamos entre compaas del grupo.

Todas los cuentas por pagar son aprobados y monitoreadas. Para la aprobacin existe
una poltica bien definido por montos de compra. La informacin de las cuentas por
porgar es semanalmente revisada e informada a la gerencia.

SALDOS DE EFECTIVO

Todos los saldos en efectivo estn en la moneda local.


Transferencias importantes existen entre la administracin de efectivos y las
cuentas operacionales.
El flujo de efectivo es diariamente monitorizado por la Gerencia Financiera.
Las transferencias son aprobadas por la gerencia general.

PROPIEDADES, PLANTA & EQUIPOS.

Todas las propiedades, planta y equipos son de propiedad de la compaa(no es


leasing financiero).
La vida til de todos los activos se basan en estndares de la industria y se
deprecian por medio del mtodo de lnea recta.
Si existen gastos significativos por reparacin y mantenimiento.
Durante los ltimos 2 aos, se han hecho importante adquisiciones en cuanto a
equipos de revelado digital y termal.

11/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.3 INFORMACIN DEL AMBIENTE DE SISTEMA.


Los sistemas computacionales soportan todos los procesos del negocio, pero existen
fototiendas que llevan sus transacciones de una forma manual debido a que el flujo
de transacciones de la tienda y el flujo de efectivo de la empresa no justifica su
automatizacin.
La informacin crtica de los estados financieros es generada por los sistemas
computacionales.
El soporte y administracin de la infraestructura de redes, sistema operativo, bases
de datos es soportada por un tercero o por el centro de computo de COMANDATO.
(Empresa del grupo).
Ecuacolor Laboratorio Fotogrfico S.A. tiene las siguientes unidades de negocio:

Venta en FotoTiendas.
Venta a distribuidores.

Los principales procesos del negocio son:

Ventas.
Mercadeo.
Produccin. (Revelado Fotogrfico)
Logstica
Administracin y control de fototiendas.
Administracin de fondos y flujo de efectivo.

12/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.3.1 CATALOGO DE APLICACIONES.


Aplicacin
Sistema de Rol de Pagos.

S.Operativo
Linux

Base de Datos Procesos del Negocio que Soporta


PosgreSQL
Administracin y Rendicin de
Cuentas.
Informix
Administracin y Rendicin de
Cuentas.

Transaccionalidad
MEDIA ALTA

Sistema Administrativo
Financiero. (Contabilidad, Cxc,
Cxp)
Sistema de Administracin de
Inventario

SCO Unix

SCO Unix

Informix

ALTA

Sistema de Facturacin a
Distribuidores
Sistema de Compras Locales

SCO Unix

Informix

SCO Unix

Informix

Sistema de Importaciones

SCO Unix

Informix

Sistema de Control de Caja


Sistema de Punto de Venta
Sistema de Informacin
Gerencial.
Sistema de Ordenes de Pago.

SCO Unix
W9x
SCO Unix

Informix
FoxPro 2.6
Informix

Facturacin Distribuidores
Facturacin Retail.
Administracin de Inventario
Facturacin Distribuidores
Administracin de Inventario
Adquisiciones
Administracin de Inventario
Adquisiciones
Administracin de Inventario
Facturacin Retail.
Facturacin Retail.
Toma de decisiones Gerenciales

W2K

SQLServer

Administracin y Rendicin de
Cuentas.

MEDIA

ALTA
MEDIA ALTA
MEDIA

MEDIA ALTA

MEDIA BAJA
MEDIA
MEDIA
MEDIA ALTA
ALTA
BAJA

CATEGORIZACIN DE LA TRANSACCIONALIDAD DE LAS OPERACIONES.


Aproximadamente 200,000 Transacciones Mensuales
Aproximadamente 100,000 Transacciones Mensuales
Aproximadamente 50,000 Transacciones Mensuales

13/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MEDIA BAJA
BAJA

Aproximadamente 20,000 Transacciones Mensuales


Aproximadamente 2,000 Transacciones Mensuales

14/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.3.2 RECURSO HUMANO CENTRO DE COMPUTO


CARGO
Gerente Nacional de Sistemas
Jefes Departamentales (Guayaquil y Quito)
Analista Programadores (Guayaquil y
Quito)
Help Desk(Guayaquil y Quito)

CANTIDAD
1
2
3
2

ORGANIGRAMA DE Tecnologa de Informacin.


Ver anexo A4.

3.3.3 RECURSO TECNOLGICO


SOFTWARE.

SCO Unix Open Server 5.0


Linux RedHat Entreprise Server 3.x
Lotus Domino 5.x.
Office 2000 profesional.
Visual Basic 6.0 Entreprise.
JAVA 2 Standard Edition 1.4.
SQL Server 2000.
Informix Dynamic Server 9.x

HARDWARE.

Servidor Principal (S.O. Sco Unix, 2 procesadores XEON, 1 GB de memoria, RAID


5, 4 fuentes redundantes, dispositivo de cinta magntica).
Proxy Server (S.O. Linux, procesador PENTIUM 4, 512 MB)
MAIL Server (S.O. Linux + Lotus Domino, procesador PENTIUM 4, 512 MB).
Servidor de Desarrollo (S.O. Sco Unix, 1 procesadores XEON, 512 de memoria,
dispositivo de cinta magntica).
240 PC en toda la organizacin.

RED.
Cableado estructurado categora 5 - 6.
Red Inalmbrica.
BACKBONE de comunicaciones.
Conexin dial-up con fototiendas.

15/123

Diseo de Sistema de Gestin de Seguridad de Informacin

3.3.4 COMUNICACIN Y TRANSFERENCIA DE INFORMACIN


A NIVEL DE LA ORGANIZACIN.

Existen 2 centros de cmputos: Quito y Guayaquil (Oficina Principal)

La interconexin a travs de Quito y Guayaquil es a travs de un enlace


dedicado de 256 kbps, usado por toda la organizacin.

Los sistemas administrativos financieros y de produccin tienen bases de datos


separadas y ubicadas fsicamente tanto en Quito como en Guayaquil, a travs de
un proceso nocturno se sincronizan las bases de datos.

La interconexin y sincronizacin de datos entre las fototiendas y las oficinas


principales ocurre una vez al da a travs de un enlace telefnico.

3.3.5 ESTRATEGIA.
Tecnologa de Informacin tiene entre sus principales proyectos:

El soporte para la seleccin de un nuevo sistema de punto de venta a nivel


nacional que permita a la empresa soportar las nuevas estrategias de negocio
de la organizacin.
La interconexin del 20% de sus fototiendas a nivela nacional para poder
soportar la nueva lnea de negocios y formas de negociacin.

Cambios en Sistemas.
Ecuacolor esta considerando cambiar su sistema de punto de venta por
exigencias del S.R.I, y por requerimientos de las nuevas estrategias del negocio.
Tambin existe un plan para la actualizacin de la base de datos y sistema
operativos de los sistemas de la casa matriz.

16/123

Diseo de Sistema de Gestin de Seguridad de Informacin

4. MODELO DE MEJORES PRCTICAS UTILIZADO: COBIT


La Misin de CobiT:
Investigar , desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologa de informacin con autoridad, actualizados , de carcter
internacional y aceptados generalmente para el uso cotidiano de gerentes y
auditores.

Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT),


ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente
entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee
buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta
actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene
el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y
proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades
van por el camino equivocado.
La Administracin debe asegurar que los sistemas de control interno o el marco
referencial estn funcionando y soportan los procesos del negocio y debe tener claridad
sobre la forma como cada actividad individual de control satisface los requerimientos de
informacin e impacta los recursos de TI.
El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT
junto con los requerimientos del negocio que deben ser alcanzados:

eficiencia
efectividad
confidencialidad
integridad
disponibilidad
cumplimiento y
confiabilidad de la informacin.

El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales,


es responsabilidad de la administracin. La administracin, mediante este gobierno
corporativo, debe asegurar que todos los individuos involucrados en la administracin,
uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con
la debida diligencia.
Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea
alcanzar implementando procedimientos de control especficos dentro de una actividad de
TI.
La orientacin al negocio es el tema principal de COBIT. Est diseado no solo para ser
utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser

17/123

Diseo de Sistema de Gestin de Seguridad de Informacin


utilizado por los propietarios de los procesos de negocio como una gua clara y entendible.
A medida que ascendemos, las prcticas de negocio requieren de una mayor delegacin y
empoderamiento de los dueos de los procesos para que estos tengan total responsabilidad
de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto
incluye el proporcionar controles adecuados.

El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio,


herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de
Referencia comienza con una premisa simple y prctica:
Con el fin de proporcionar la informacin que la empresa necesita para alcanzar
sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos
de TI agrupados en forma natural.
El Marco de Referencia contina con un conjunto de 34 Objetivos de Control de alto
nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios:
1.
2.
3.
4.

Planeacin y Organizacin,
Adquisicin e Implementacin
Entrega de servicios y Soporte y
Monitoreo.

Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta.
Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario
de procesos de negocio podr asegurar que se proporciona un sistema de control
adecuado para el ambiente de tecnologa de informacin.
El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para
el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los
procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de
la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la
Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y
Soporte y el Monitoreo.
El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as
mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja
competitiva
Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel,
existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los
procesos de TI contra los 318 objetivos detallados de control recomendados por CobiT
para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su
mejoramiento.
Las Guas o Directrices Gerenciales de COBIT , desarrolladas recientemente, ayudan a la
Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del
Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la
Administracin la direccin para mantener bajo control la informacin de la empresa y sus
procesos relacionados, para monitorear el logro de las metas organizacionales, para
monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de
los logros organizacionales.

18/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos
de TI de tal forma que la Administracin puede ubicarse en el puntodonde la organizacin
est hoy, donde est en relacin con los mejores de su clase en su industria y con los
estndares internacionales y as mismo determinar adonde quiere llegar;
Factores Crticos de xito (Critical Success Factors), que definen o determina cuales
son las mas importantes directrices que deben ser consideradas por la Administracin para
lograr control sobre y dentro de los procesos de TI.
Indicadores Claves del logro / Objetivos o de Resultados (Key Goal Indicators) los
cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del
hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los
Indicadores Clave de desempeo (Key Performance Indicators) los cuales son
indicadoresprimarios que definen la medida para conocer qu tan bien se est ejecutando el
proceso de TI frente o comparado contra el objetivo que se busca.
Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al
propsito de
responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y se
justifica el costo respecto al beneficio obtenido? Cules son
los indicadores de buen desempeo? Cules son
los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos?
Qu hacen otros?
Cmo nos podemos medir y comparar

COBIT contiene adicionalmente un Conjunto de Herramientas de Implementacin que


proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron
COBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y
Diagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en el
anlisis del ambiente de control de TI en una organizacin.
En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que
estn logrando incrementar sus niveles de seguridad y control. COBIT es una
herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de
control, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los
accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el
desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de las
organizaciones, a nivel mundial.
Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que
ayude al entendimiento y a la administracin de los riesgos as como de los
beneficios asociados con la informacin y sus tecnologas relacionadas.

19/123

Diseo de Sistema de Gestin de Seguridad de Informacin

5. PROPUESTA METODOLGICA PARA EL DISEO DEL SGSI


DE ECUACOLOR.
Existen dos clases distintas de modelos de control actualmente disponibles, aqullos de
la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms
enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los
dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la
Administracin y para operar a un nivel superior a los estndares de tecnologa para la
administracin de sistemas de informacin..
Por lo tanto, COBIT es el modelo para el gobierno de TI!
El marco metodolgico conceptual para elaborar el diseo del Sistema de Gestin de la
Seguridad de Ecuacolor Laboratorio Fotogrfico S.A., usando el modelo de mejores
prcticas COBIT, fue el siguiente:
1. Definicin de los criterios de la Informacin
2. Seleccionar los criterios de la Informacin que estn relacionados con
Seguridad.
3. Seleccionar de los 34 procesos de COBIT, cuales son los procesos que son
impactados de manera primaria por los criterios de la informacin relacionados
con la seguridad.
4. Definir los Objetivos de Control detallados.
5. Aplicacin del modelo de madurez, para determinar un estado de la situacin
actual de la empresa y cuales son sus metas, en cuanto a seguridad.
6. Realizar una evaluacin y priorizacion de riesgos.
7. Elaborar los planes de accin que incluyen los controles, para poder mitigar los
riesgos de alta y media exposicin.
DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La
definicin de Control est adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal Control-Integrated Framework,
1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC
(Systems Auditability and Control Report, The Institute of Internal Auditors Research
Foundation, 1991 y 1994).

Control se define como.- Las polticas, procedimientos, prcticas y estructuras


organizacionales diseadas para garantizar razonablemente que los objetivos del
negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y
corregidos.
Objetivo de control en TI se define como.- Una sentencia del resultado o propsito
que se desea alcanzar implementando procedimientos de control en una actividad de TI
particular.

20/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Gobierno de TI se define como.- Una estructura de relaciones y procesos para dirigir
y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se
equilibran los riesgos contra el retorno sobre TI y sus procesos.
DEFINICIN DE LOS CRITERIOS DE LA INFORMACIN.
El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque
del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte
a los procesos de negocio y considerando a la informacin como el resultado de la
aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que
deben ser administrados por procesos de TI.

Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos
criterios a los que COBIT hace referencia como requerimientos de negocio para la
informacin. Al establecer la lista de requerimientos, COBIT combina los principios
contenidos en los modelos referenciales existentes y conocidos:

Calidad
Costo
Entrega o Distribucin (de servicio)
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin
Cumplimiento de leyes y regulaciones
Confidencialidad
Integridad
Disponibilidad

21/123

Diseo de Sistema de Gestin de Seguridad de Informacin


La Calidad ha sido considerada principalmente por su aspecto negativo (ausencia de
fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en los
criterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad
(estilo, atractivo, ver y sentir, desempeo ms all de las expectativas, etc.) no fueron,
por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La
premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado
de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la
Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de
entrega o distribucin del servicio, de la Calidad se traslapa con el aspecto de
disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna
medida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado,
siendo cubierto por la Eficiencia.
Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron
las definiciones de COSO para la efectividad y eficiencia de las operaciones,
confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo,
confiabilidad de informacin fue ampliada para incluir toda la informacin no slo
informacin financiera. Con respecto a los aspectos de seguridad, COBIT identific la
confidencialidad, integridad y disponibilidad como los elementos clave se encontr
que estos mismos tres elementos son utilizados a nivel mundial para describir los
requerimientos de seguridad.
Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de
Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente
superpuestas. A continuacin se muestran las definiciones utilizadas por COBIT:

Efectividad
Eficiencia

Informacin relevante sea pertinente para el proceso del negocio, as


como a que su entrega sea oportuna, correcta, consistente y de manera
utilizable.
Provisin de informacin a travs de la utilizacin ptima (ms
productiva y econmica) de recursos.

Confidencialidad

Proteccin de informacin sensible contra divulgacin no autorizada.

Integridad

Precisin y suficiencia de la informacin, as como a su validez de


acuerdo con los valores y expectativas del negocio.

Disponibilidad

Disponibilidad de la informacin cuando sta es requerida por el proceso


de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de
los recursos necesarios y capacidades asociadas.
Cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a
los que el proceso de negocios est sujeto, por ejemplo criterios de
negocio impuestos externamente.
Provisin de informacin apropiada para la administracin con el fin de
operar la entidad y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.

Cumplimiento

Confiabilidad de
la informacin

Los recursos de TI identificados en COBIT pueden explicarse/ definirse como se


muestra a continuacin:

22/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Datos
Aplicaciones
Tecnologa
Instalaciones
Personas

Los elementos de datos en su ms amplio sentido, (por ejemplo, externos


e internos), estructurados y no estructurados, grficos, sonido, etc.
Se entiende como sistemas de aplicacin la suma de procedimientos
manuales y programados.
La tecnologa cubre hardware, software, sistemas operativos, sistemas de
administracin de bases de datos, redes, multimedia, etc.
Recursos para alojar y dar soporte a los sistemas de informacin.
Habilidades del personal, conocimiento, conciencia y productividad para
planear, organizar, adquirir, entregar, soportar y monitorear servicios y
sistemas de informacin.

El dinero o capital no fue considerado como un recurso de TI para la clasificacin de los


objetivos de control porque el dinero puede ser considerado como una inversin dentro
de cualquiera de los recursos presentados. Adems debe anotarse que el Marco
Referencial no se refiere especficamente a la documentacin de todos los materiales
relacionados con un proceso de TI en particular. Como un aspecto de buenas prcticas,
la documentacin es considerada como un buen control, y por lo tanto la falta de
documentacin sera causa de una mayor revisin y anlisis de los controles
compensatorios en cualquier rea bajo revisin.
Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios
se describe a continuacin:

CRITERIOS DE LA SEGURIDAD.Los criterios de la seguridad usados a nivel mundial por los modelos de mejores
prcticas y estndares son los siguientes:
Confidencialidad

Proteccin de informacin sensible contra divulgacin no autorizada.

Integridad

Precisin y suficiencia de la informacin, as como a su validez de


acuerdo con los valores y expectativas del negocio.
Disponibilidad de la informacin cuando sta es requerida por el proceso
de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de
los recursos necesarios y capacidades asociadas.

Disponibilidad

23/123

Diseo de Sistema de Gestin de Seguridad de Informacin

SELECCIN DE LOS PROCESOS DE COBIT RELACIONADOS CON EL


DISEO DEL SGSI.Los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados
en forma natural, con el fin de proporcionar la informacin que la empresa necesita para
alcanzar sus objetivos.
Resulta claro que las medidas de control no satisfarn necesariamente los diferentes
requerimientos de informacin del negocio en la misma medida.
Por esa razn los procesos en COBIT satisfacen uno o varios criterios de la informacin
de la siguiente manera:
(P) Primario.- es el grado al cual el objetivo de control definido impacta directamente
el requerimiento de informacin de inters.
(S) Secundario es el grado al cual el objetivo de control definido satisface nicamente
de forma indirecta o en menor medida el requerimiento de informacin de inters.
Blanco (vaco) podra aplicarse; sin embargo, los requerimientos son satisfechos ms
apropiadamente por otro criterio en este proceso y/o por otro proceso.

P01
P02
P03
P04
P05
P06
P07
P08
P09
P010
P011
AI1
AI2
AI3
AI4
AI5
AI6

PROCESOS COBIT
Definir un plan estratgico de sistemas
DS1
Definir la arquitectura de informacin
DS2
Determinar la direccin tecnolgica
DS3
Definir la organizacin y sus relaciones
DS4
Administrar las inversiones (en TI)
DS5
Comunicar la direccin y objetivos de la
gerencia
DS6
Administrar los recursos humanos
DS7
Asegurar el apego a disposiciones externas
DS8
Evaluar Riesgos
DS9
Administrar Proyectos
DS10
Administrar Calidad
DS11
DS12
Identificar soluciones de automatizacin
DS13
Adquirir y mantener software de aplicacin
Adquirir y mantener la arquitectura
tecnolgica
M1
Desarrollar y mantener procedimientos
M2
Instalar y acreditar sistemas de informacin
M3
Administrar cambios
M4

24/123

Definir niveles de servicio


Administrar servicios de terceros
Administrar desempeo y capacidad
Asegurar continuidad de servicio
Garantizar la seguridad de sistemas
Identificar y asignar costos
Educar y capacitar a usuarios
Apoyar y orientar a clientes
Administrar la configuracin
Administrar problemas e incidentes
Administrar la informacin
Administrar las instalaciones
Administrar la operacin

Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditoria independiente

Diseo de Sistema de Gestin de Seguridad de Informacin

25/123

Diseo de Sistema de Gestin de Seguridad de Informacin

26/123

Diseo de Sistema de Gestin de Seguridad de Informacin


DEFINICIN DE LOS OBJETIVOS DE CONTROL.
Despus de haber seleccionado los procesos que son afectados por los criterios de
informacin de Seguridad (Confidencialidad, Integridad y Disponibilidad) de una
manera primario, se obtienen los siguientes Objetivos de Control detallados:

Con el fin de asegurar que los requerimientos del negocio para la informacin se
cumplan, es necesario definir, implementar y monitorear adecuadas medidas de control
sobre esos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a
que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se
requiere de un sano marco referencial de Objetivos de Control para TI. El siguiente
diagrama ilustra este concepto.

27/123

Diseo de Sistema de Gestin de Seguridad de Informacin


ARQUITECTURA DE SEGURIDAD.Objetivos de Control Detallados o Especficos.OBJETIVO DE CONTROL
DETALLADO

PROCESO
PO9.- Evaluar Riesgo

PO11.- Administracin de la calidad

Evaluacin de Riesgos del


Negocio
Enfoque de Evaluacin de Riesgos
Identificacin de Riesgos
Medicin de Riesgos
Plan de Accin contra Riesgos
Aceptacin de Riesgos
Seleccin
de
Garantas
o
Protecciones
Compromiso con el Anlisis de
Riesgos
Plan General de Calidad.
Enfoque de Aseguramiento de
Calidad.
Planeacin del Aseguramiento de
Calidad.
Revisin del Aseguramiento de la
Calidad sobre el Cumplimiento de
Estndares y Procedimientos de
TI.
Metodologa del Ciclo de Vida de
Desarrollo de Sistemas
Metodologa del Ciclo de Vida de
Desarrollo de Sistemas para
Cambios Mayores a la Tecnologa
Actual
Actualizacin de la Metodologa
del Ciclo de Vida de Desarrollo de
Sistemas.
Coordinacin y Comunicacin.
Marco
de
Referencia
de
Adquisicin y Mantenimiento para
la Infraestructura de Tecnologa.
Relaciones con Terceras Partes
como Implementadotes.
Estndares para la Documentacin
de Programas.
Estndares para Pruebas de
Programas.
Estndares para Pruebas de
Sistemas.
Pruebas Piloto/En Paralelo.
Documentacin de las Pruebas del
Sistema.
Evaluacin del Aseguramiento de
la Calidad sobre el Cumplimiento
de Estndares de Desarrollo.
Revisin del Aseguramiento de
Calidad sobre el Logro de los
Objetivos de TI.
Mtricas de calidad.
Reportes de Revisiones de
Aseguramiento de Calidad.

28/123

CRITERIOS DE
INFORMACIN
PRIMARIO

SECUNDARIO

Efectividad
Confidencialidad
Integridad
Disponibilidad

Eficiencia
Cumplimiento
Confiabilidad

Efectividad
Eficiencia
Integridad

Confiabilidad

Diseo de Sistema de Gestin de Seguridad de Informacin


OBJETIVO DE CONTROL
DETALLADO

PROCESO
AI6.- Administrar cambios.

DS4.- Asegurar el servicio continuo

DS5.- Garantizar la seguridad de los


sistemas.

Inicio y Control de Solicitudes de


Cambio
Anlisis de Impacto
Control de Cambios
Cambios de Emergencia
Documentacin y Procedimientos
Mantenimiento Autorizado
Poltica de Liberacin de Software
Distribucin de Software
Marco
de
Referencia
de
Continuidad de Tecnologa de
informacin
Estrategia y Filosofa del Plan de
Continuidad de TI
Contenido del Plan de Continuidad
de TI.
Reduccin de requerimientos de
Continuidad de Tecnologa de
Informacin.
Mantenimiento del Plan de
Continuidad de Tecnologa de
Informacin.
Pruebas del Plan de Continuidad
de TI.
Entrenamiento sobre el Plan de
Continuidad de Tecnologa de
Informacin.
Distribucin
del
Plan
de
Continuidad de TI.
Procedimientos de respaldo de
procesamiento alternativo para
Departamentos usuarios.
Recursos Crticos de Tecnologa
de Informacin.
Sitio y Hardware de Respaldo.
Almacenamiento de respaldo en el
sitio alterno (Off-site).
Procedimiento de afinamiento del
Plan de Continuidad.
Administrar
Medidas
de
Seguridad.
Identificacin, Autenticacin y
Acceso.
Seguridad de Acceso a Datos en
Lnea.
Administracin de Cuentas de
Usuario.
Revisin Gerencial de Cuentas de
Usuario.
Control de Usuarios sobre Cuentas
de Usuario.
Vigilancia de Seguridad.
Clasificacin de Datos.
Administracin de Derechos de
Acceso
e
Identificacin
Centralizada.
Reportes de Violacin y de
Actividades de Seguridad.
Manejo de Incidentes.

29/123

CRITERIOS DE
INFORMACIN
PRIMARIO

SECUNDARIO

Efectividad
Eficiencia
Integridad

Confiabilidad

Efectividad
Disponibilidad

Confidencialidad
Integridad

Eficiencia

Disponibilidad
Cumplimiento
Confiabilidad

Diseo de Sistema de Gestin de Seguridad de Informacin


OBJETIVO DE CONTROL
DETALLADO

PROCESO
DS5.- Garantizar la seguridad de los
sistemas.

DS11.- Administracin de datos

Reacreditacin.
Confianza en Contrapartes.
Autorizacin de transacciones.
No negacin o no rechazo.
Sendero Seguro.
Proteccin de las funciones de
seguridad.
Administracin
de
Llaves
Criptogrficas.
Prevencin,
Deteccin
y
Correccin
de
Software
Malicioso.
Arquitectura de Firewalls y
conexin a redes pblicas.
Proteccin
de
Valores
Electrnicos.
Procedimientos de Preparacin de
Datos.
Procedimientos de Autorizacin
de Documentos Fuente.
Recopilacin
de
Datos
de
Documentos Fuente.
Manejo de errores de documentos
fuente.
Retencin de Documentos Fuente.
Procedimientos de Autorizacin
de Entrada de Datos.
Chequeos
de
Exactitud,
Suficiencia y Autorizacin.
Manejo de Errores en la Entrada
de Datos.
Integridad de Procesamiento de
Datos.
Validacin
y
Edicin
de
Procesamiento de Datos.
Manejo de Errores en el
Procesamiento de Datos.
Manejo y Retencin de Datos de
Salida.
Distribucin de Datos Salidos de
los Procesos.
Balanceo y Conciliacin de Datos
de Salida.
Revisin de Datos de Salida y
Manejo de Errores.
Provisiones de Seguridad para
Reportes de Salida.
Proteccin
de
Informacin
Sensible durante transmisin y
transporte.
Proteccin
de
Informacin
Sensitiva Desechada.
Administracin
de
Almacenamiento.
Perodos de Retencin y Trminos
de Almacenamiento.

30/123

CRITERIOS DE
INFORMACIN
PRIMARIO

SECUNDARIO

Confidencialidad
Integridad

Disponibilidad
Cumplimiento
Confiabilidad

Integridad
Confiabilidad

Diseo de Sistema de Gestin de Seguridad de Informacin


OBJETIVO DE CONTROL
DETALLADO

PROCESO

DS11.- Administracin de datos

DS12.-Administracin
instalaciones.

de

Sistema de Administracin de la
Librera de Medios
Responsabilidades
de
la
Administracin de la Librera de
Medios
Respaldo
(Back-up)
y
Restauracin
Funciones de Respaldo
Almacenamiento de Respaldos
Archivo
Proteccin de Mensajes Sensitivos
Autenticacin e Integridad
Integridad
de
Transacciones
Electrnicas
Integridad Continua de Datos
Almacenados
Seguridad Fsica
Discrecin sobre las Instalaciones
de Tecnologa de Informacin
Escolta de Visitantes
Salud y Seguridad del Personal
Proteccin
contra
Factores
Ambientales
Suministro Ininterrumpido de
Energa

CRITERIOS DE
INFORMACIN
PRIMARIO

SECUNDARIO

Integridad
Confiabilidad

Integridad
Disponibilidad

MODELO DE MADUREZ.El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en
desarrollar un mtodo de asignacin de puntos para que una organizacin pueda calificarse
desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de
Madurez que el Software Engineering Institute defini para la madurez de la capacidad de
desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado
simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no es
justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de
condiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con
los niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin
puede mapear:

La situacin actual de la organizacindnde est la organizacin actualmente


La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

El modelo de madurez aplicado a Ecuacolor Laboratorio Fotogrfico S.A. lo puede


encontrar mas adelante en este documento.

31/123

Diseo de Sistema de Gestin de Seguridad de Informacin


EVALUACIN Y PRIORIZACION DE RIESGOS.Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y
administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de
riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar
las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia
el cumplimiento de las metas y determinando que tan bien se estn desarrollando los
procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de
la organizacin contra las mejores practicas industriales y los modelos internacionales.
La evaluacin y priorizacion de riesgos aplicado a Ecuacolor Laboratorio Fotogrfico
S.A. lo puede encontrar mas adelante en este documento.

PLANES DE ACCIN.Los controles que se sugieren implementar para mitigar los riesgos identificados en la
fase de evaluacin y priorizacion de riesgos, as como sus responsables y tiempos
aproximados de implementacin se pueden encontrar en los planes de accin.
Los planes de accin del Sistema de Seguridad de la Informacin aplicados a Ecuacolor
Laboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este documento.

32/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MADUREZ DE
SEGURIDAD DE INFORMACIN

LOS 7

PROCESOS DE

A los gerentes generales de las organizaciones corporativas y pblicas se les pide


frecuentemente que consideren un caso de negocio para los gastos de recursos para
controlar la infraestructura de informacin. Mientras pocos argumentaran que esto no
es bueno, todos se deben preguntar:
Hasta dnde debemos ir, y est el costo justificado por el beneficio?
Para ayudar a responder esa pregunta, a menudo se hacen otras preguntas relacionadas:
Qu estndares reconocidos internacionalmente existen, y cmo estamos nosotros
situados respecto a stos?
Qu estn haciendo los dems, y cmo estamos nosotros situados en relacin a
ellos?
Qu est considerado como la mejor prctica de la industria, y cmo estamos
nosotros situados en relacin con esa mejor prctica?
Basados en estas comparaciones externas, podra decirse que nosotros estamos
tomando precauciones razonablespara salvaguardar nuestros activos de
informacin?
Usualmente ha sido difcil dar respuestas sensatas a estas preguntas, porque no se ha
contado con las herramientas requeridas para hacer las evaluaciones necesarias.
La administracin de TI est constantemente en la bsqueda de herramientas de
referencia y de auto evaluacin en respuesta a la necesidad de saber qu hacer en una
forma eficiente. Comenzando con los procesos de COBIT y con objetivos de control de
alto nivel, el propietario del proceso debe ser capaz de llevar a cabo cada vez mayores
Benchmark en comparacin con dicho objetivo de control. Esto satisface tres
necesidades:
(1) una medida relativa de dnde est la organizacin
(2) una forma de decidir eficientemente dnde ir
(3) una herramienta para medir el progreso con respecto al objetivo
El Marco Referencial de COBIT define 34 procesos de TI dentro de un entorno de TI.
Para cada proceso hay una expresin de control de alto nivel y entre 3 y 30 objetivos
detallados de control. El propietario del proceso debe ser capaz de determinar el nivel
de cumplimiento de los objetivos de control ya sea como una rpida auto evaluacin o
como una referencia en conjunto con una revisin independiente. Cualquiera de estas
evaluaciones que la administracin pueda desear poner en contexto comparando con la
industria y con el entorno en que ellas se encuentran o en comparacin con dnde estn
evolucionando los estndares y las reglamentaciones internacionales (por ejemplo, las
futuras expectativas que surgen). Para que los resultados se puedan utilizar fcilmente
en los reportes de la administracin, donde ellos sern presentados como un medio para
33/123

Diseo de Sistema de Gestin de Seguridad de Informacin


respaldar el caso de negocio para planes futuros, es necesario suministrar un mtodo
grfico de presentacin.
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste
en desarrollar un mtodo de asignacin de puntos para que una organizacin pueda
calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en
el Modelo de Madurez que el Software Engineering Institute defini para la madurez de
la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben
estar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y
sugerira una precisin que no es justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose en un
conjunto de condiciones que pueden ser satisfechas de una forma que no sea ambigua.
En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI de
COBIT, la administracin puede mapear:
La situacin actual de la organizacindnde est la organizacin actualmente
La situacin actual de la industria (la mejor de su clase en)la comparacin
La situacin actual de los estndares internacionalescomparacin adicional
La estrategia de la organizacin para mejoramientodnde quiere estar la
organizacin

Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente de medidas,
basada en una clasificacin de 0 hasta 5. La escala est asociada con las
descripciones del modelo genrico cualitativo de madurez que van desde Inexistente
hasta Optimizada de la forma siguiente:
ECTRICES GERENCIALES

34/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO GENRICO DE MADUREZ
0 Inexistente. Total falta de un proceso reconocible. La organizacin ni siquiera ha
reconocido que hay un problema que resolver.
1 Inicial. Hay evidencia de que la organizacin ha reconocido que los problemas
existen y que necesitan ser re sueltos. Sin embargo, no hay procesos estandarizados
pero en cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o
caso por caso. El mtodo general de la administracin es desorganizado.
2 Repetible. Los procesos se han desarrollado hasta el punto en que diferentes
personas siguen procedimientos similares emprendiendo la misma tarea. No hay
capacitacin o comunicacin formal de procedimientos estndar y la responsabilidad se
deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas
y por lo tanto es probable que haya errores.
3 Definida. Los procedimientos han sido estandarizados y documentados, y
comunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la
persona el seguimiento de estos procesos, y es improbable que se detecten
desviaciones. Los procedimientos mismos no son sofisticados sino que son la
formalizacin de las prcticas existentes.
4 Administrada. Es posible monitorear y medir el cumplimiento de los procedimientos
y emprender accin donde los procesos parecen no estar funcionando efectivamente.
Los procesos estn bajo constante
mejoramiento y proveen buena prctica. Se usan la automatizacin y las herramientas
en una forma limitada o fragmentada.
5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor prctica,
basados en los resultados de mejoramiento continuo y diseo de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.

COBIT es un marco de referencia general dirigido a la administracin de TI y como tal


estas escalas necesitan ser prcticas para aplicar y razonablemente fciles de entender.
Sin embargo, los tpicos de riesgo y de control apropiado en los procesos de
administracin de TI son inherentemente subjetivos e imprecisos y no necesitan el
enfoque menos automatizado que se encuentra en los modelos de madurez para la
ingeniera de software.
La ventaja de un enfoque de Modelo de Madurez es que es relativamente fcil para la
administracin ponerse en la escala y apreciar lo que est involucrado si necesita
mejorar el desempeo. La escala incluye 0 a 5 porque es bastante probable que no exista
ningn proceso en absoluto. La escala 0-5 se basa en una escala simple de madurez que
muestra cmo evoluciona un proceso desde Inexistente hasta optimizado. Debido a que
son procesos de administracin, la madurez y la capacidad aumentada es tambin
sinnimo de mayor manejo del riesgo y mayor eficiencia.
El Modelo de Madurez es una forma de medir qu tan bien desarrollados estn los
procesos de administracin. El grado de desarrollo que deben tener depende de las
necesidades del negocio, como se menciona aqu anteriormente. Las escalas son slo
ejemplos prcticos para un proceso dado de administracin que muestra esquemas
tpicos para cada nivel de madurez. Los Criterios de Informacin ayudan a asegurarse
de que estamos enfocados en los aspectos correctos de la administracin cuando
35/123

Diseo de Sistema de Gestin de Seguridad de Informacin


describimos la prctica real. Por ejemplo, la planificacin y organizacin estn
enfocadas en los objetivos de efectividad y eficiencia de administracin, mientras que
asegurar la seguridad de los sistemas se enfocar en el manejo de la confidencialidad y
la integridad.
DIRECTRICES GERENCIALES
Las escalas del Modelo de Madurez ayudarn al profesional a explicar a los
administradores dnde existen deficiencias en la administracin de TI y a fijarse
objetivos para donde necesitan estar comparando las prcticas de control de su
organizacin con los ejemplos de la mejor prctica. El nivel correcto de madurez estar
influenciado por los objetivos de negocio y el entorno operativo de la empresa.
Especficamente, el nivel de madurez de control depender de la dependencia de TI que
tenga la empresa, de la sofisticacin de la tecnologa y, lo que es ms importante, del
valor de su informacin.
Un punto estratgico de referencia para que una organizacin mejore la seguridad y el
control podra consistir tambin en mirar las normas internacionales que surgen y las
mejores prcticas de su clase. Las prcticas actuales que surgen pueden llegar a ser el
nivel esperado de desempeo de maana y es por lo tanto til para planificar dnde
quiere una organizacin estar en el tiempo.
Los Modelos de Madurez se construyen a partir del modelo genrico cualitativo (ver
arriba) a los que se agregan las prcticas y los principios de los dominios siguientes de
forma creciente a travs de todos los niveles:

Entendimiento y conocimiento de los riesgos y de los problemas de control


Capacitacin y comunicacin aplicadas a los problemas
Proceso y prcticas que son implementados
Tcnicas y automatizacin para hacer los procesos ms efectivos y eficientes
Grado de cumplimiento de la poltica interna, las leyes y las reglamentaciones
Tipo y grado de pericia empleada.

La tabla siguiente describe esta creciente aplicacin de prcticas a travs de todos los
niveles para los distintos tpicos. Junto con el modelo cualitativo, constituye un modelo
genrico de madurez aplicable a la mayora de los procesos de TI.

36/123

Diseo de Sistema de Gestin de Seguridad de Informacin

En resumen, Los Modelos de Madurez:

Se refieren a los requerimientos del negocio y a los aspectos posibilitadores en los


diferentes niveles de madurez
Son una escala que se presta para la comparacin pragmtica
Son una escala en la que la diferencia puede hacerse mensurable de manera sencilla
Son reconocibles como un perfil de la empresa relativo al gobierno de TI, la
seguridad y el control
Ayudan a fijar posiciones de Como est y Como debe estar en relacin con el
gobierno de TI, la madurez de la seguridad y el control
Se prestan para hacer anlisis de los vacos/gap para determinar lo que es necesario
hacer para alcanzar un nivel determinado GERENCIALES
Evitan, donde es posible, niveles discretos que crean umbrales que son difciles de
cruzar
Aplican cada vez ms factores crticos de xito
No son especficos de la industria ni son siempre aplicables, el tipo de negocio
define lo que es apropiado.
37/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/2

MODELO DE MADUREZ
PO9.- Evaluar los Riesgos

DOMINIO: PLANEACION Y
ORGANIZACIN

OBJETIVO DE CONTROL
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las
decisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas
reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin
importantes.

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN

Inexistente La estimacin del riesgo para los procesos y las decisiones del negocio
no ocurre. La organizacin no considera los impactos del negocio asociados con
vulnerabilidades de la seguridad y con inseguridades de proyectos de desarrollo. Es
improbable que la administracin de riesgos sea identificada dentro del plan de un
proyecto o sea asignada a administradores especficos involucrados en el proyecto.
La administracin de TI no especifica responsabilidad para la administracin del
riesgo en las descripciones de los puestos de trabajo u otro medio informal.
Riesgos especficos relacionados con TI como la seguridad, disponibilidad e
integridad son considerados ocasionalmente por proyecto.
Inicial /Ad Hoc La organizacin est conciente de sus responsabilidades y
obligaciones legales y contractuales, pero considera los riesgos de TI de manera ad
hoc, sin seguir procesos o polticas definidas. Tienen lugar evaluaciones informales
del riesgo de proyecto a medida que lo determina cada proyecto. No es probable
que las evaluaciones de riesgo sean identificadas especficamente dentro del plan
de un proyecto o a ser asignado a administradores especficos involucrados en el
proyecto. La administracin de TI no especifica responsabilidad por la
administracin del riesgo en las descripciones de puestos de trabajo u otro medio
informal. Los riesgos especficos relacionados con TI como son la seguridad,
disponibilidad e integridad son ocasionalmente considerados por proyecto. Los
riesgos relacionados con TI que afectan las operaciones cotidianas se discuten con
poca frecuencia en las reuniones de la administracin. Cuando se han considerado
los riesgos, la mitigacin es inconsistente.
Repetible pero Intuitivo Ha surgido un entendimiento de que los riesgos de TI
son importantes y que es necesario considerarlos. Existe algn enfoque de
evaluacin de riesgos, pero el proceso es todava inmaduro y est en desarrollo. La
evaluacin es usualmente a un nivel elevado y tpicamente se aplica slo a los
proyectos importantes. La evaluacin de las operaciones en curso depende
principalmente de los administradores de TI que lo presentan como un punto de la
agenda, lo cual a menudo slo ocurre cuando surgen problemas. La administracin
de TI generalmente no tiene definidos procedimientos o descripciones de puestos
de trabajo que se encarguen de la administracin del riesgo.

38/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 2/2

MODELO DE MADUREZ
PO9.- Evaluar los Riesgos

DOMINIO: PLANEACION Y
ORGANIZACIN

OBJETIVO DE CONTROL
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las
decisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas
reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin
importantes.

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN

Proceso Definido La poltica de manejo del riesgo a nivel de toda una


organizacin define cundo y cmo llevar a cabo evaluaciones de riesgo. La
evaluacin del riesgo sigue un proceso definido que est documentado y disponible
para todo el persona a travs de entrenamiento. Las decisiones de seguir el proceso
y recibir entrenamiento se dejan a la discrecin de las personas. La metodologa es
convincente y saludable, y asegura que los riesgos clave del negocio
probablemente sean identificados. Las decisiones de seguir el proceso se dejan a
los administradores individuales de TI y no hay procedimiento para asegurar que
todos los proyectos estn cubiertos o que la operacin en curso es examinada en
busca de riesgos de manera regular.
Administrado y Medible La evaluacin del riesgo es un procedimientos estndar
y las excepciones a seguir el procedimiento seran anunciadas por la administracin
de TI. Es probable que la administracin del riesgo sea una funcin definida de la
administracin con responsabilidad a nivel general. El proceso es adelantado y el
riesgo es evaluado a nivel del proyecto individual y tambin regularmente respecto
a la operacin general de TI. Se advierte a la administracin sobre los cambios en
el entorno de TI que podran afectar significativamente los escenarios de riesgo
como por ejemplo una mayor amenaza proveniente de la red o tendencias tcnicas
que afectan la integridad de la estrategia de TI. La administracin puede
monitorear la posicin de riesgo y tomar decisiones inteligentes respecto a la
exposicin que est dispuesta a aceptar. La gerencia general ha determinado los
niveles de riesgo que la organizacin tolerar y tiene medidas estndar de
proporciones de riesgo / rendimiento. Presupuestos de administracin para
proyectos de administracin de riesgos operativos para reevaluar los riesgos
regularmente. Est establecida una base de datos de administracin de riesgos.
Optimizado La evaluacin de los riesgos se ha desarrollado hasta una etapa en que
un proceso estructurado, en toda la organizacin, es ejecutado, seguido y bien
administrado. La tormenta de ideas y el anlisis de la causa que origin el riesgo,
que involucra a personas expertas, se aplican en toda la organizacin. La captura,
anlisis y reporte de datos de administracin de riesgos estn altamente
automatizados. El asesoramiento se obtiene de los jefes en el terreno y la
organizacin de TI participa en grupos colegas para intercambiar experiencias. La
administracin del riesgo est verdaderamente integrada en todas las operaciones y
negocios de TI, es bien aceptada e involucra extensamente a los usuarios de
servicios de TI.

39/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/1

MODELO DE MADUREZ
PO11.- Administrar Calidad

DOMINIO: PLANEACION Y
ORGANIZACIN

OBJETIVO DE CONTROL
Control sobre el proceso de TI Administrar la Calidad con el objetivo del negocio de
satisfacer los requerimientos de TI del cliente.

Estado Actual :
0

Estado Proyectado:

CRITERIOS DE CALIFICACIN
Inexistente La organizacin no ha reconocido que existe un problema que debe ser
reconocido.
Inicial /Ad Hoc Hay evidencia de que la organizacin ha reconocido que los problemas
existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en
cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o caso por
caso. El mtodo general de la administracin es desorganizado.
Repetible pero Intuitivo Los procesos se han desarrollado hasta el punto en que
diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No
hay capacitacin o comunicacin formal de procedimientos estndar y la responsabilidad
se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas
y por lo tanto es probable que haya errores.
Proceso Definido Los procedimientos han sido estandarizados y documentados, y
comunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la persona el
seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los
procedimientos mismos no son sofisticados sino que son la formalizacin de las prcticas
existentes.
Administrado y Medible Es posible monitorear y medir el cumplimiento de los
procedimientos y emprender accin donde los procesos parecen no estar funcionando
efectivamente. Los procesos estn bajo constante mejoramiento y proveen buena prctica.
Se usan la automatizacin y las herramientas en una forma limitada o fragmentada.
Optimizado Los procesos han sido refinados hasta un nivel de la mejor prctica, basados
en los resultados de mejoramiento continuo y diseo de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.

40/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/2

MODELO DE MADUREZ
AI6.- Administrar Cambios

DOMINIO: ADQUISICIN E
IMPLEMENTACIN

OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN
Inexistente. No hay un proceso definido de administracin de cambios y se pueden hacer
cambios prcticamente sin control alguno. No hay conciencia de que los cambios pueden
causar interrupciones tanto para TI como para las operaciones de negocios, y ninguna
conciencia de los beneficios de una buena administracin de cambios.
Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero
no hay un proceso consistente para seguimiento. Las prcticas varan y es probable que
ocurran cambios no autorizados. Hay documentacin insuficiente o inexistente de
cambios, y la documentacin de configuracin est incompleta y no es confiable. Es
probable que ocurran errores junto con interrupciones en el entorno de produccin
causados por una administracin deficiente del cambio.
Repetible pero Intuitiva Hay un proceso informal de administracin de cambios y la
mayora de los cambios siguen este mtodo; sin embargo, el mismo no est estructurado,
es rudimentario y est propenso a error. La precisin de la documentacin de
configuracin es inconsistente y slo tiene lugar una planeacin y un estudio de impacto
limitados antes de un cambio. Hay considerable ineficiencia y repeticin de trabajo.
Proceso Definido Est establecido un proceso formal de administracin de cambios, que
incluye procedimientos de categorizacin, priorizacin, emergencia, autorizacin y
administracin de cambios, pero no se impone su cumplimiento. El proceso definido no
siempre es visto como adecuado o prctico y, en consecuencia, ocurren trabajos paralelos y
los procesos son desviados. Es probable que ocurran errores y los cambios no autorizados
ocurrirn ocasionalmente. El anlisis de impacto a los cambios de TI sobre las operaciones
del negocio se estn volviendo formales para soportar la ejecucin de los planes para
nuevas aplicaciones y tecnologas.
Administrado y Medible El proceso de administracin de cambios est bien desarrollado
y es seguido de manera consistente para todos los cambios, y la administracin confa en
que no hay excepciones. El proceso es eficiente y efectivo, pero se basa en considerables
procedimientos y controles manuales para asegurar que se logre la calidad. Todos los
cambios estn sujetos a una planeacin y estudio de impacto exhaustivos para minimizar la
probabilidad de problemas posteriores a la produccin. Est establecido un proceso de
aprobacin para los cambios. La documentacin de administracin de cambios est al da y
es correcta, y los cambios son rastreados formalmente. La documentacin de la
configuracin est generalmente actualizada. La planeacin e implementacin de la
administracin de cambios de TI se est volviendo ms integrada con cambios en los
procesos de negocios, para asegurar ese entrenamiento, se resuelven cambios organizativos
y problemas de continuidad de negocio. Hay mayor coordinacin entre la administracin
de cambios de TI y el rediseo del proceso de negocios.

MODELO DE MEJORES PRACTICAS - COBIT

41/123

Diseo de Sistema de Gestin de Seguridad de Informacin


EMPRESA : Ecuacolor

Fecha de diagnostico :

Diseo de un Sistema de Gestin de Seguridad

Pag 2/2

MODELO DE MADUREZ
AI6.- Administrar Cambios
DOMINIO: ADQUISICIN E

IMPLEMENTACIN
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

Estado Actual :

Estado Proyectado:

Optimizado El proceso de administracin de cambios es revisado y actualizado


regularmente para mantener en lnea con las mejores prcticas. La informacin de
configuracin est automatizada y provee control de versiones. La distribucin de software
es automatizada y se cuenta con capacidades de monitoreo a distancia. La administracin
de configuracin y liberacin y rastreo de cambios es sofisticado e incluye herramientas
para detectar software no autorizado y sin licencia. La administracin de cambios de TI
est integrada con la administracin de cambios del negocio para asegurar que TI sea un
posibilitador para aumentar la productividad y crear nuevas oportunidades de negocios
para la organizacin.

42/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/2

MODELO DE MADUREZ
DS4 .- Asegurar el Servicio Continuo
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

DOMINIO: ENTREGA Y SOPORTE

Estado Actual :

Estado Proyectado:3

CRITERIOS DE CALIFICACIN

Inexistente. No hay entendimiento de los riesgos, vulnerabilidades y amenazas de


las operaciones de TI o del impacto de la prdida de los servicios de TI para el
negocio. La continuidad del servicio no es considerada como que necesita atencin
de la administracin.
Inicial /Ad hoc Las responsabilidades de servicio continuo son informales, con
autoridad limitada. La administracin se est volviendo conciente de los riesgos
relacionados con el servicio continuo y de la necesidad de ste. El enfoque es sobre
la funcin de TI, en vez de ser sobre la funcin de negocio. Los usuarios estn
implementando formas de evadirlo. La respuesta a las interrupciones mayores es
reactiva e improvisada. Los cortes planeados estn programados para que
satisfagan las necesidades de TI, en vez de para adaptarse a los requerimientos del
negocio.
Repetible pero Intuitiva La responsabilidad del servicio continuo est asignada.
Los enfoques del servicio continuo son fragmentados. El reporte sobre la
disponibilidad del sistema es incompleto y no toma en cuenta el impacto sobre el
negocio. No hay planes documentados de usuario o de continuidad, a pesar de que
hay dedicacin a la disponibilidad de servicio continuo y que se conocen sus
principios rectores. Existe un inventario razonablemente confiable de sistemas
crticos y componentes. Est surgiendo la estandarizacin de prcticas de servicio
continuo y el monitoreo del proceso, pero el xito se basa en las personas.
Proceso Definido La obligacin de reportar no es ambigua y las responsabilidades
de planificar y probar el servicio continuo estn claramente definidas y asignadas.
Los planes estn documentados y se basan en la importancia del sistema y en el
impacto sobre el negocio. Hay un reporte peridico de prueba de servicio continuo.
Las personas toman la iniciativa para seguir las normas y recibir entrenamiento. La
administracin comunica consistentemente la necesidad de servicio continuo. Los
componentes de alta disponibilidad y la redundancia de sistema se estn aplicando
de manera fragmentada. Se mantiene rigurosamente un inventario de sistemas
crticos y componentes.

43/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 2/2

MODELO DE MADUREZ
DS4 .- Asegurar el Servicio Continuo
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

DOMINIO: ENTREGA Y SOPORTE

Estado Actual :

Estado Proyectado:
CRITERIOS DE CALIFICACIN

Administrado y Medible Se hacen cumplir las responsabilidades y las normas


para el servicio continuo. La responsabilidad de mantener el plan de servicio
continuo est asignada. Las actividades de mantenimiento toman en cuenta el
entorno cambiante del negocio, los resultados de pruebas de servicio continuo y las
mejores prcticas internas. Se estn recopilando, analizando, reportando y
ejecutando datos estructurados sobre el servicio continuo. Se provee entrenamiento
para los procesos de servicio continuo. Las prcticas de redundancia de sistema,
que incluyen el uso de componentes de alta disponibilidad, estn siendo
implementadas de manera consistente. Las prcticas de redundancia y la
planeacin de servicio continuo se influyen mutuamente. Los incidentes de falta de
continuidad son clasificados y el paso cada vez mayor de escala para cada uno es
bien conocido para todos los que estn involucrados.
Optimizado Los procesos integrados de servicio continuo son proactivos, se
ajustas solos, son automatizados y auto analticos y toman en cuenta puntos de
referencia y las mejores prcticas externas. Los planes de servicio continuo y los
planes de continuidad del negocio estn integrados, alineados y son mantenidos de
manera rutinaria. La compra de las necesidades de servicio continuo est asegurada
por los vendedores y los principales proveedores. Se lleva a cabo la comprobacin
global y los resultados de las pruebas son utilizados como parte del proceso de
mantenimiento. La efectividad del costo del servicio continuo est optimizada a
travs de la innovacin y de la integracin. La recopilacin y el anlisis de datos se
usa para identificar oportunidades de mejoramiento. Las prcticas de redundancia y
la planeacin del servicio continuo estn totalmente alineadas. La administracin
no permite puntos nicos de falla y provee soporte para su solucin. Las prcticas
de escalamiento son entendidas y cumplidas plenamente.

44/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


Fecha de diagnostico :
EMPRESA : Ecuacolor
Diseo de un Sistema de Gestin de Seguridad

Pag 1/2

MODELO DE MADUREZ
DS5 .- Garantizar la Seguridad de los
DOMINIO: ENTREGA Y SOPORTE
Sistemas
OBJETIVO DE CONTROL
El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el
objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin
no autorizada, dao o prdida.

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN

Inexistente. La organizacin no reconoce la necesidad de la seguridad de TI. Las


responsabilidades y las obligaciones de reportar no estn asignadas para asegurar la
seguridad. No estn implementadas medidas que soporten la administracin de la
seguridad de TI. No hay ningn reporte de seguridad de TI y ningn proceso de
respuesta de las violaciones de seguridad de TI. Hay una carencia total de un
proceso reconocible de administracin de seguridad de sistemas.
Inicial /Ad hoc La organizacin reconoce la necesidad de la seguridad de TI, pero
la conciencia de la seguridad depende de la persona. La seguridad de TI est
resuelta de manera reactiva y no se mide. Las violaciones de seguridad de TI
invocan respuestas de sealamiento si se detectan, porque las responsabilidades
no estn claras. Las respuestas a las violaciones de seguridad de TI son
impredecibles.
Repetible pero Intuitiva Las responsabilidades y obligaciones de la seguridad de
TI estn asignadas a un coordinador de seguridad de TI que no tiene autoridad de
administracin. La conciencia de seguridad es fragmentada y limitada. La
informacin de seguridad de TI es generada, pero no es analizada. Las soluciones
de seguridad tienden a responder de manera reactiva a los incidentes de seguridad
de TI y adoptando propuestas de terceros, sin resolver las necesidades especficas
de la organizacin. Se estn desarrollando polticas de seguridad, pero an se
siguen usando habilidades y herramientas inadecuadas. El reporte de seguridad de
TI es incompleto, engaoso y no es pertinente.
Proceso Definido Existe conciencia de la seguridad y la misma es promovida por
la administracin. Se han estandarizado y formalizados reportes de conocimientos
de la seguridad. Los procedimientos de seguridad de TI estn definidos y encajan
en una estructura para polticas y procedimientos de seguridad. Las
responsabilidades de seguridad de TI estn asignadas, pero no se hacen cumplir de
manera consistente. Existe un plan de seguridad de TI, que impulsa el anlisis del
riesgo y soluciones de seguridad. El reporte de seguridad de TI est concentrado en
TI, en lugar de concentrarse en el negocio. Se realizan pruebas Ad hoc de intrusin.

45/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 2/2

MODELO DE MADUREZ
DS5 .- Garantizar la Seguridad de los
Sistemas
OBJETIVO DE CONTROL
El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el
objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin
no autorizada, dao o prdida.

DOMINIO: ENTREGA Y SOPORTE

Estado Actual :

Estado Proyectado:
CRITERIOS DE CALIFICACIN

Administrado y Medible Las responsabilidades de la seguridad de TI estn


claramente asignadas, administradas y se hacen cumplir. El anlisis de riesgo e
impacto de seguridad se lleva a cabo de manera consistente. Las polticas y
prcticas de seguridad son completadas con bases especficas de seguridad. Los
reportes de conocimiento de seguridad se han vuelto obligatorios. La
identificacin, autenticacin y autorizacin de usuario se est estandarizando. Se
est estableciendo la certificacin de seguridad del personal. La prueba de intrusin
es un proceso estndar y formalizado que conduce a mejoras. El anlisis costo /
beneficio, que soporta la implementacin de medidas de seguridad, es cada vez
ms utilizado. Los procesos de seguridad de TI son coordinados con la funcin
general de seguridad de la organizacin. El reporte de seguridad de TI est
vinculado con los objetivos del negocio.
Optimizado La seguridad de TI es una responsabilidad conjunta del negocio y de
la administracin de TI y est integrada con objetivos de seguridad corporativa del
negocio. Los requisitos de seguridad de TI estn claramente definidos, optimizados
e incluidos en un plan verificado de seguridad. Las funciones de seguridad estn
integradas con aplicaciones en la etapa de diseo y se les puede pedir a los usuarios
finales que rindan cuenta de la seguridad a la administracin. El reporte de
seguridad de TI provee un aviso anticipado del riesgo cambiante y emergente,
usando mtodos activos automatizados de monitoreo para los sistemas crticos. Los
incidentes son prontamente resueltos con procedimientos formalizados de
respuesta a incidentes soportados por herramientas automatizadas. Las
evaluaciones peridicas de seguridad evalan la efectividad de la implementacin
del plan de seguridad. Se recoge y analiza sistemticamente la informacin sobre
nuevas amenazas y vulnerabilidades, y se comunican e implementan prontamente
los controles adecuados de mitigacin. La prueba de intrusin, anlisis de las
causas originarias de los incidentes de seguridad y la identificacin proactiva del
riesgo es la base para el mejoramiento continuo. Los procesos y las tecnologas de
seguridad estn integrados en toda la organizacin.

46/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/2

MODELO DE MADUREZ
DS11 .- Administrar los Datos
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

DOMINIO: ENTREGA Y SOPORTE

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN

Inexistente. No se reconocen los datos como un recurso y un activo corporativo.


No hay propiedad asignada de datos ni responsabilidad individual de la integridad
y confiabilidad de los datos. La calidad y seguridad de los datos son deficientes o
inexistentes.
Inicial /Ad hoc La organizacin reconoce una necesidad de datos exactos. Algunos
mtodos son desarrollados a nivel individual para prevenir y detectar el ingreso,
procesamiento y errores en la salida de los datos. El proceso de identificacin y
correccin de errores depende de las actividades manuales de la persona, y las
reglas y requerimientos no son transmitidos a medida que se llevan a cabo
movimientos y cambios de personal. La administracin asume que los datos son
exactos porque una computadora est involucrada en el proceso. La integridad y
seguridad de los datos no son requerimientos de administracin y, si existe la
seguridad, sta est administrada por la funcin de servicios de informacin.
Repetible pero Intuitivo La conciencia de la necesidad de la exactitud de los datos
y de mantener la integridad prevalece en toda la organizacin. La propiedad de los
datos comienza a tener lugar, pero a nivel de un departamento o grupo. Las reglas y
requerimientos son documentados por personas clave y no son consistentes en toda
la organizacin y plataformas. Los datos estn en custodia de la funcin de los
servicios de informacin y las reglas y definiciones estn impulsadas por los
requerimientos de TI. La seguridad e integridad de los datos son primariamente
responsabilidades de la funcin de los servicios de informacin con una
participacin departamental menor.
Proceso Definido La necesidad de integridad de los datos dentro y en toda la
organizacin es entendida y aceptada. Las normas de ingreso, procesamiento y
salida de datos han sido formalizadas y se hacen cumplir. El proceso de
identificacin y correccin de errores es automatizado. La propiedad de los datos
es asignada, y la integridad y seguridad son controladas por el responsable. Se
utilizan tcnicas automatizadas para prevenir y detectar errores e inconsistencias.
Las definiciones, reglas y requerimientos de datos estn claramente documentados
y son mantenidos por una funcin de administracin de base de datos. Los datos se
vuelven consistentes en todas las plataformas y a travs de toda la organizacin. La
funcin de los servicios de informacin tiene un rol de custodio, mientras que el
control de integridad de datos pasa al propietario de los datos. La administracin se
basa en los reportes y anlisis para las decisiones y la planeacin futuras.

47/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


Fecha de diagnostico :
EMPRESA : Ecuacolor
Diseo de un Sistema de Gestin de Seguridad

Pag 2/2

MODELO DE MADUREZ
DS11 .- Administrar los Datos
DOMINIO: ENTREGA Y SOPORTE
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores

Estado Actual :

Estado Proyectado:
CRITERIOS DE CALIFICACIN

Administrado y Medible Los datos son definidos como un recurso y un activo


corporativo, a medida que la administracin exige ms soporte de decisiones y ms
reporte de rentabilidad. La responsabilidad por la calidad de datos est claramente
definida, asignada y comunicada dentro de la organizacin. Los mtodos
estandarizados estn documentados, mantenidos, y usados para controlar la calidad
de los datos, se hacen cumplir las reglas y los datos son consistentes en todas las
plataformas y unidades de negocio. La calidad de los datos es medida y la
satisfaccin del cliente respecto a la informacin es monitoreada. El reporte de
administracin asume un valor estratgico para asesorar clientes, tendencias y
evaluaciones de productos. La integridad de los datos se vuelve un factor
significativo, con la seguridad de datos reconocida como un requerimiento de
control. Se ha establecido una funcin formal de administracin de datos a nivel de
toda la organizacin, con los recursos y la autoridad para hacer cumplir la
estandarizacin de datos.
Optimizado La administracin de datos es un proceso maduro, integrado y de
funcionamiento cruzado que tiene una meta claramente definida y bien entendida
de entregar informacin de calidad al usuario, con criterios claramente definidos de
integridad, disponibilidad y confiabilidad. La organizacin maneja activamente
datos, informacin y conocimientos como los recursos y los activos corporativos,
con el objetivo de maximizar el valor del negocio. La cultura corporativa hace
nfasis en la importancia de datos de alta calidad que necesitan ser protegidos y
tratados como un componente clave de capital intelectual. La propiedad de datos es
una responsabilidad estratgica con todos los requerimientos, reglas,
reglamentaciones y consideraciones claramente documentados, mantenidos y
comunicados.

48/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


Fecha de diagnostico :
EMPRESA : Ecuacolor
Diseo de un Sistema de Gestin de Seguridad

Pag 1/2

MODELO DE MADUREZ
DS12 .- Administrar Instalaciones
DOMINIO : Entrega y Soporte
OBJETIVO DE CONTROL
Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de
proveer un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos
naturales y provocados por el hombre.

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN
Inexistente. No hay conciencia de la necesidad de proteger las Instalaciones o la inversin
en los recursos de computacin. Los factores ambientales, incluyendo la proteccin contra
incendios, el polvo, la energa y el calor y la humedad excesivos, no son monitoreados ni
controlados.
Inicial /Ad hoc La organizacin ha reconocido un requerimiento del negocio de proveer
un entorno fsico adecuado que proteja los recursos y el personal de los riesgos naturales y
provocados por el hombre. No existen procedimientos estndar y la administracin de
Instalaciones y equipo depende de las habilidades y capacidades de las personas clave. No
se revisa el mantenimiento y la gente se mueve dentro de las Instalaciones sin restriccin.
La administracin no monitorea los controles ambientales de la instalacin ni el
movimiento de personal.
Repetible pero intuitivo La conciencia de la necesidad de proteger y de controlar el
entorno fsico de computacin es reconocida y evidente en la asignacin de los
presupuestos y de otros recursos. Los controles ambientales son implementados y
monitoreados por el personal de operaciones. La seguridad fsica es un proceso informal,
impulsado por un pequeo grupo de empleados que tienen un alto nivel de preocupacin
sobre la seguridad de las Instalaciones fsicas. Los procedimientos de mantenimiento de las
Instalaciones no estn bien documentados y se basan en las mejores prcticas de unas
pocas personas. Las metas de la seguridad fsica no se basan en ningn estndar formal y
la administracin no asegura que se logren los objetivos de seguridad.
Proceso Definido La necesidad de mantener un entorno controlado de computacin es
entendida y aceptada dentro de la organizacin. Los controles ambientales, de
mantenimiento preventivo y de seguridad fsica son rubros del presupuesto aprobados y la
administracin les hace seguimiento. Se aplican restricciones de acceso, permitindose el
acceso a las Instalaciones de computacin slo al personal aprobado. Los visitantes son
registrados y a veces escoltados, dependiendo del personal responsable. Las Instalaciones
fsicas tienen perfil bajo y no se pueden identificar fcilmente. Las autoridades civiles
monitorean el cumplimiento de las reglamentaciones sanitarias y de seguridad. Los riesgos
estn asegurados, pero no se hace esfuerzo alguno para optimizar los costos de seguros.

49/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 2/2

MODELO DE MADUREZ
DS12 .- Administrar Instalaciones
OBJETIVO DE CONTROL
Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de
proveer un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos
naturales y provocados por el hombre.

DOMINIO : Entrega y Soporte

Estado Actual :

Estado Proyectado:

CRITERIOS DE CALIFICACIN
Administrado y Medible La necesidad de mantener un entorno controlado de
computacin es entendida totalmente, como es evidente en la estructura organizacional y
en la asignacin de presupuesto. Los requerimientos ambientales y de seguridad fsica
estn documentados y el acceso est estrictamente controlado y monitoreado. La
responsabilidad y la propiedad han sido establecidas y comunicadas. El personal de las
Instalaciones ha sido totalmente entrenado en situaciones de emergencia, as como tambin
en prcticas sanitarias y de seguridad. Estn estandarizados los mecanismos de control
para restringir el acceso a las Instalaciones y para resolver factores ambientales y de
seguridad. La administracin monitorea la efectividad de los controles y el cumplimiento
de las normas establecidas. La recuperacin de los recursos de computacin est
incorporada al proceso corporativo de administracin de riesgos. Estn desarrollados
planes para toda la organizacin, se llevan a cabo pruebas regulares e integradas y las
lecciones aprendidas son incorporadas en las revisiones de los planes. La informacin
integrada se usa para optimizar la cobertura de seguros y los costos relacionados.
Optimizado Hay un plan a largo plazo para las Instalaciones que se requiere que soporten
el entorno de computacin de la organizacin. Las normas estn definidas para todas las
Instalaciones, abarcando la seleccin del sitio, la construccin, custodia, seguridad de
personal, sistemas mecnico y elctrico, proteccin contra incendio, rayo e inundacin.
Todas las Instalaciones son inventariadas y clasificadas en conformidad con el proceso de
administracin de riesgos de la organizacin en progreso. El acceso est estrictamente
controlado y se basa en la necesidad para el trabajo, es monitoreado constantemente y los
visitantes son escoltados en todo momento. El entorno es monitoreado y controlado por
medio de equipo especializado y las salas de equipos se vuelven automatizadas. Los
programas de mantenimiento preventivo hacen cumplir estrictamente los programas y se
aplican pruebas regulares a los equipos sensitivos. La estrategia y normas de las
Instalaciones estn en correspondencia con los objetivos de disponibilidad de servicios de
TI y estn integradas con la planeacin de la continuidad del negocio y con la
administracin de crisis. La administracin revisa y optimiza las Instalaciones
constantemente, capitalizando sobre las oportunidades de mejorar la contribucin del
negocio.

50/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Enfoque del Modelo de Madurez


El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un mtodo de asignacin de puntos para que una
organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de Madurez que el Software
Engineering Institute defini para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado
simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones que pueden ser satisfechas de una forma que no sea
ambigua. En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin puede mapear:

La situacin actual de la organizacindnde est la organizacin actualmente


La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

51/123

Diseo de Sistema de Gestin de Seguridad de Informacin

RESUMEN GERENCIAL DEL MODELO DE MADUREZ PARA LOS PROCESOS DE SEGURIDAD DE LA INFORMACIN

PO9

Evaluar los Riesgos

PO11

Administrar Calidad

AI6

Administrar Cambios

DS4

Asegurar el Servicio Continuo

DS5
DS11

Garantizar la Seguridad de los


Sistemas
Administrar los Datos

DS12

Administrar Instalaciones

Inexistente

Inicial /Ad Hoc

Repetible pero
Intuitivo

Proceso
Definido

Administrado y
Medible

Optimizado

LEYENDA PARA LOS SMBOLOS USADOS

Situacin actual de la empresa


Estrategia de la Empresa

LEYENDA PARA LAS CLASIFICACIONES USADAS


0 Inexistente
Los procesos de administracin no se aplican en absoluto
1 Inicial
Los procesos son ad hoc y desorganizados
2 Repetible
Los procesos siguen un patrn regular
3 Definida
Los procesos son documentados y comunicados
4 Administrada
Los procesos son monitoreados y medidos
5 Optimizada
Las mejores prcticas son seguidas y automatizadas

52/123

Diseo de Sistema de Gestin de Seguridad de Informacin

7
7.1

EVALUACIN DE RIESGO DE LOS 105 OBJETIVOS DE


CONTROL
Administracin de Riesgos

Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y
administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de
riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar
las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia
el cumplimiento de las metas y determinando que tan bien se estn desarrollando los
procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de
la organizacin contra las mejores practicas industriales y los modelos internacionales.

53/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Definicin.Es un proceso interactivo e iterativo basado en el conocimiento, evaluacin y manejo
de los riesgos y sus impactos, con el propsito de mejorar la toma de decisiones
organizacionales.
Aplicable a cualquier situacin donde un resultado no deseado o inesperado pueda ser
significativo o donde se identifiquen oportunidades.

Beneficios para la Organizacin

Facilita el logro de los objetivos de la organizacin.


Hace a la organizacin ms segura y consciente de sus riesgos.
Mejoramiento contino del Sistema de Control Interno.
Optimiza la asignacin de recursos.
Aprovechamiento de oportunidades de negocio.
Fortalece la cultura de autocontrol.
Mayor estabilidad ante cambios del entorno.

Beneficios para el Dpto. de Auditora


Soporta el logro de los objetivos de la auditora.
Estandarizacin en el mtodo de trabajo.
Integracin del concepto de control en las polticas organizacionales.
Mayor efectividad en la planeacin general de Auditora.
Evaluaciones enfocadas en riesgos.
Mayor cobertura de la administracin de riesgos.
Auditoras ms efectivas y con mayor valor agregado.

54/123

Diseo de Sistema de Gestin de Seguridad de Informacin


7.2

Proceso de administracin de Riesgos

1. Establecer Marco General

2. Identificar Riesgos
Monitorea
r y Revisar

3. Anlisis de Riesgos

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

55/123

Diseo de Sistema de Gestin de Seguridad de Informacin


7.2.1 Establecer Marco General
Ecuacolor es una marca reconocida, posee una presencia bastante fuerte en el mercado
fotogrfico a nivel nacional, con ms de 100 fototiendas. Ha llegado a poseer el 70% de
participacin del mercado.

Es parte de un grupo econmico conformado por Comandato, OndaPositiva,


TecniPrint.
Mucha de la infraestructura tecnolgica es compartida por el Grupo Corporativo.
Existen Niveles Gerenciales que cumplen sus funciones de manera Corporativo.

El mercado fotogrfico en el Ecuador esta cambiando, el cambio se esta dando hacia el


revelado digital, lo que motiva que el mercado de revelado tradicional se vea
disminuido, afectando a los ingresos de la institucin.
Para contrarrestar este efecto, la institucin ha diseado nuevas estrategias y
desarrollado nuevas lneas de negocio.
Entre las estrategias de mas alto impacto estn:

Venta a Crdito, lo que debe incrementar la venta de Cmaras Digitales y otros


productos de la lnea Profesional.
Se ha logrado obtener la representacin exclusiva de los productos Maxell en
todo el territorio nacional, de tal manera que se diversifican los ingresos que
tiene la institucin actualmente.
Promociones para impulsar el revelado digital.
Alianzas estratgicas con empresas nacionales para promociones cruzadas.
Adquisicin de Equipos de revelado digital PictureMaker.

Para lograr alcanzar los objetivos estratgicos definidos existen adquisiciones de


tecnologa que tienen una incidencia directa en el plan estratgicos de negocio.

Adquisicin de nuevo sistema de punto de ventas que cumpla los requerimientos


de ley acorde a las necesidades y expectativas del negocio.
Implementacin de interconexin entre las principales tiendas a nivel nacional
con la casa matriz.
Administracin de la tecnologa actual que soporta los procesos del negocio.
Siendo este ultimo uno de los pilares fundamentales en la consecucin de las
metas trazadas por la organizacin.

Los costos de estos proyectos son bastante significativos dentro de los resultados de la
empresa, por eso razn la evaluacin y adquisicin de la tecnologa antes mencionada
debe ser llevada a cabo de la mejor manera posible.
Ecuacolor esta enfocado en 2 segmentos, la venta a travs de su cadena de retail y la
venta a distribuidores.
Los principales competidores de Ecuacolor en el segmento de retail, son Konica, Fuji,
Fybeca, otros quedan servicio de revelado. En lo que respecta a la distribucin de
Kodak y Maxell, es la misma que la de la marca a nivel internacional.
56/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Actualmente la marca Ecuacolor esta catalogada como la numero uno en cuanto al


revelado fotogrfico y apunta a mantener esta posicin. Ecuacolor siempre esta
buscando la manera de incrementar su volumen de ventas, lanzando promociones. Sin
embargo las ventas estn disminuyendo debido a cambios que estn surgiendo en el
revelado tradicional, siendo esta la principal fuente de sus ingresos.

7.2.2 Identificar Riesgos


Los riesgos son amenazas que podran explotar las vulnerabilidades de nuestra
infraestructura tecnologa ocasionando daos o prdidas a los activos, de tal manera que
habra dificultad en conseguir los Objetivos Empresariales.
Establecer un marco especfico de administracin de riesgos.
Entender la actividad o parte de la organizacin para la cual se aplicar el proceso de
administracin de riesgos.

DOMINIO
Planeacin
y
Organizacin
Adquisicin
e
Instalacin
Entrega de Servicios

PROCESO
PO9 Evaluar riesgos
PO11 Administrar Calidad
AI6
Administrar cambios
DS4
DS5
DS11
DS12

Asegurar continuidad del servicio


Garantizar la seguridad de sistemas
Administrar la informacin
Administrar las instalaciones

57/123

Disponibilidad

Integridad

confidencialidad

Basndonos en la metodologa COBIT, en donde se identifican 34 procesos que rigen la


Administracin y Control de tecnologa de informacin y como estos son impactados
principalmente por las caractersticas de seguridad de la informacin (Confidencialidad,
Disponibilidad, e Integridad) se han seleccionado los procesos que a continuacin se
detallan.

Criterios de
informacin
P
P
P
P
P
P
P
P

P
P
P

Diseo de Sistema de Gestin de Seguridad de Informacin


Criterios de evaluacin de riesgos.Definir e identificar los criterios de anlisis y el nivel de aceptacin de los riesgos
Criterios de anlisis.Criterio
ALTO
MEDIO ALTO
MEDIO
MEDIO BAJO
BAJO

Probabilidad de Ocurrencia
9
7
5
3
1

Impacto
10
8
6
4
2

Nivel de Aceptacin de Riesgo.Riesgo = Probabilidad de Ocurrencia * Impacto

BAJO
1 - 30

Nivel de Aceptacin de Riesgo


MEDIO
31-60

58/123

ALTO
61 90

Diseo de Sistema de Gestin de Seguridad de Informacin

7.2.3

Anlisis de Riesgos

El modelo comienza a partir de la valoracin de los activos, que dentro del Marco Referencial de COBIT consiste en la informacin que tiene los
criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recursos necesarios para producir dicha informacin). El
siguiente paso es el anlisis de vulnerabilidad que trata de la importancia de los criterios de informacin dentro del proceso bajo revisin, por
ejemplo, si un proceso del negocio es vulnerable a la prdida de integridad, entonces se requieren medidas especficas. Luego se tratan las
amenazas, esto es, aquello que puede provocar una vulnerabilidad. La probabilidad de la amenaza, el grado de vulnerabilidad y la severidad del
impacto se combinan para concluir acerca de la evaluacin del riesgo. Esto es seguido por la seleccin de contramedidas (controles) y una
evaluacin de su eficacia, que tambin identifica el riesgo residual. La conclusin es un plan de accin despus del cual el ciclo puede comenzar
nuevamente.

59/123

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL
PO9

9.1

9.2

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la
complejidad, Incrementando la objetividad e identificando factores de decisin importante

Evaluacin de
Riesgos
del
Negocio

Enfoque
de
Evaluacin de
Riesgos

La Gerencia deber establecer un marco de referencia


de evaluacin sistemtica de riesgos. Este marco de
referencia deber incorporar una evaluacin regular de
los riesgos de informacin relevantes para el logro de
los objetivos del negocio, formando una base para
determinar la manera en la que los riesgos deben ser
manejados a un nivel aceptable. El proceso deber
proporcionar evaluaciones de riesgos tanto a un nivel
global como a niveles especficos del sistema, para
nuevos proyectos y para casos recurrentes y con
participacin multidisciplinaria. La Administracin
deber asegurar que se realicen reevaluaciones y que
la informacin sobre evaluacin de riesgos sea
actualizada como resultado de auditoras, inspecciones
e incidentes identificados.
MEDIO-ALTO
La Gerencia deber establecer un enfoque general
para la evaluacin de riesgos que defina el alcance y
los lmites, la metodologa a ser adoptada para las
evaluaciones de riesgos, las responsabilidades y las
habilidades requeridas. La Gerencia debe adelantar la
identificacin de soluciones para la mitigacin de
riesgos e involucrarse en la identificacin de
vulnerabilidades. Especialistas de seguridad deben
realizar identificacin de amenazas y especialistas de
TI deben dirigir la seleccin de controles. La calidad de
las evaluaciones de riesgos deber estar asegurada
por un mtodo estructurado y por asesores expertos en
riesgos.
MEDIO-ALTO
OBJETIVOS DE CONTROL

MEDIO-ALTO

56

MEDIO-ALTO

56

OCURRENCIA IMPACTO

60/123

RIESGO JUSTIFICACIN

Diseo de Sistema de Gestin de Seguridad de Informacin

PO9

9.3

9.4

9.5

Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la
complejidad, Incrementando la objetividad e identificando factores de decisin importante
La evaluacin de riesgos deber enfocarse al examen
de los elementos esenciales de riesgo y las relaciones
causa/efecto entre ellos. Los elementos esenciales de
riesgo incluyen activos tangibles e intangibles, valor de
los activos, amenazas, vulnerabilidades, protecciones,
consecuencias y probabilidad de amenaza. El proceso
Identificacin
de identificacin de riesgos debe incluir una
de Riesgos
clasificacin cualitativa y, donde sea apropiado,
clasificacin cuantitativa de riesgos debe obtener
insumos de las tormentas de ideas de la Gerencia, de
planeacin estratgica, auditoras anteriores y otros
anlisis. El anlisis de riesgos debe considerar el
negocio, regulaciones, aspectos legales, tecnologa,
comercio entre socios y riesgos del recurso humano.
MEDIO
El enfoque de la evaluacin de riesgos deber asegurar
que la informacin del anlisis de la identificacin de
Medicin de
riesgos genere como resultado una medida cuantitativa
Riesgos
y/o cualitativa del riesgo al cual est expuesta el rea
examinada. Asimismo, deber evaluarse la capacidad
de aceptacin de riesgos de la organizacin.
MEDIO-ALTO
El enfoque de evaluacin de riesgos deber
proporcionar la definicin de un plan de accin contra
riesgos para asegurar que el costoefectividad de los
Plan de Accin
controles y las medidas de seguridad mitiguen los
contra Riesgos
riesgos en forma continua. El plan de accin contra los
riesgos debe identificar la estrategia de riesgos en
trminos de evitar, mitigar o aceptar el riesgo.
MEDIO-ALTO

61/123

MEDIO

30

MEDIO

42

MEDIO-ALTO

56

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL
PO9

9.6

9.8

RIESGO JUSTIFICACIN

Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la
complejidad, Incrementando la objetividad e identificando factores de decisin importante

Aceptacin de
Riesgos

9.7

OCURRENCIA IMPACTO

Seleccin de
Garantas
o
Protecciones

Compromiso
con el Anlisis
de Riesgos

El enfoque de la evaluacin de riesgos deber asegurar


la aceptacin formal del riesgo residual, dependiendo
de la identificacin y la medicin del riesgo, de la
poltica organizacional, de la incertidumbre incorporada
al enfoque de evaluacin de riesgos y el costoefectividad de la implementacin de protecciones y
controles. El riesgo residual deber compensarse con
una cobertura de seguro adecuada, compromisos de
negociacin contractual y autoaseguramiento.
MEDIO-ALTO
Mientras se logra un sistema de controles y garantas
razonable, apropiado y proporcional, controles con el
mas alto retorno de inversin ROI - return of
investment) y aquellos que provean ganancia rpida
deben recibir la primera prioridad. El sistema de control
necesita adems balancear las medidas de prevencin,
deteccin, correccin y recuperacin. Adicionalmente,
la Gerencia necesita comunicar el propsito de las
medidas de control, manejar el conflicto y monitorear
continuamente la efectividad de las medidas de control. MEDIO-ALTO
La Gerencia deber motivar el anlisis de riesgos como
una herramienta importante para proveer informacin
para
el
diseo
e
implementacin
de
controles internos, en la definicin del plan estratgico
de tecnologa de informacin y en los mecanismos de
evaluacin y monitoreo.
MEDIO

62/123

MEDIO

42

MEDIO

42

MEDIO

30

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin
PO11 de la calidad

11.1

11.2

11.3

11.4

OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

La alta gerencia deber desarrollar y mantener


regularmente un plan general de calidad basado en los
Plan General
planes organizacionales y de tecnologa de informacin
de Calidad
a largo plazo. El plan deber promover la filosofa de
mejora continua y contestar a las preguntas bsicas de
qu, quin y cmo.
MEDIO-ALTO
La Gerencia deber establecer un enfoque estndar
con respecto al aseguramiento de calidad, que cubra
tanto las actividades de aseguramiento de calidad
generales como las especficas de un proyecto. El
Enfoque de
enfoque deber determinar el (los) tipo(s) de
Aseguramiento
actividades de aseguramiento de calidad (tales como
de Calidad
revisiones, auditoras, inspecciones, etc.) que deben
realizarse para alcanzar los objetivos del plan general
de calidad. Asimismo deber requerir una revisin
especfica de aseguramiento de calidad.
MEDIO-ALTO
La Gerencia deber implementar un proceso de
Planeacin del
planeacin de aseguramiento de calidad para
Aseguramiento
determinar el alcance y la duracin de las actividades
de Calidad
de aseguramiento de calidad.
MEDIO-ALTO
Revisin del
Aseguramiento
de la Calidad
sobre el
Cumplimiento La
Gerencia
deber
asegurar
que
las
de Estndares responsabilidades
asignadas
al
personal
de
y
aseguramiento de calidad incluyan una revisin del
Procedimiento cumplimiento
general
de
los
estndares
y
s de TI
procedimientos de TI.
MEDIO-BAJO

63/123

RIESGO JUSTIFICACIN

MEDIO

42

MEDIO

42

MEDIO

42

MEDIO-ALTO

24

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin
PO11 de la calidad

11.5

11.6

11.7

Metodologa
del Ciclo de
Vida de
Desarrollo
de Sistemas

Metodologa
del Ciclo de
Vida de
Desarrollo
de Sistemas
para Cambios
Mayores a la
Tecnologa
Actual
Actualizacin
de la
Metodologa
del Ciclo de
Vida de
Desarrollo de
Sistemas

OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

La alta gerencia de la organizacin deber definir e


implementar stndares de sistemas de informacin y
adoptar una metodologa del ciclo de vida de desarrollo
de sistemas que gobierne el proceso de desarrollo,
adquisicin, implementacin y mantenimiento de
sistemas de informacin computarizados y tecnologas
relacionadas. La metodologa del ciclo de vida de
desarrollo de sistemas elegida deber ser la apropiada
para los sistemas a ser desarrollados, adquiridos,
implementados y mantenidos.
MEDIO

MEDIO

30

En el caso de requerirse cambios mayores a la


tecnologa actual, como en el caso de adquisicin de
nueva tecnologa, la Gerencia deber asegurar
el cumplimiento de la metodologa del ciclo de vida de
desarrollo de sistemas, .
MEDIO

MEDIO

30

La alta gerencia deber implementar una revisin


peridica de su metodologa del ciclo de vida de
desarrollo de sistemas para asegurar que incluya
tcnicas y procedimientos actuales generalmente
aceptados.
MEDIO

MEDIO

30

64/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin
PO11 de la calidad

11.8

11.9

OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

La Gerencia deber establecer un proceso para


asegurar la coordinacin y comunicacin estrecha entre
los clientes de la funcin TI y los implementadores de
sistemas. Este proceso deber ocasionar que los
mtodos estructurados que utilice la metodologa del
Coordinacin y
ciclo de vida de desarrollo de sistemas aseguren la
Comunicacin
provisin de soluciones de tecnologa de informacin
de calidad que satisfagan las demandas de negocio.
La Gerencia deber promover una organizacin que se
caracterice por la estrecha cooperacin y comunicacin
a lo largo del ciclo de vida de desarrollo de sistemas.
MEDIO-BAJO
Deber establecerse un marco de referencia general
Marco de
referente a la adquisicin y mantenimiento de la
Referencia de infraestructura de tecnologa. Los diferentes pasos que
Adquisicin y
deben ser seguidos con respecto a la infraestructura de
Mantenimiento tecnologa (tales como adquisicin; programacin,
para la
documentacin y pruebas; establecimiento de
Infraestructura parmetros; mantenimiento y aplicacin de
de
correcciones) debern estar regidos por y mantenerse
Tecnologa
en lnea con el marco de referencia para la adquisicin
y mantenimiento de la infraestructura de tecnologa.
MEDIO

OBJETIVOS DE CONTROL

MEDIO-ALTO

24

ALTO

50

OCURRENCIA IMPACTO

65/123

RIESGO JUSTIFICACIN

RIESGO JUSTIFICACIN

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin
PO11 de la calidad

11.10

11.11

11.12

Cumplir con los requerimientos del cliente de TI

La Gerencia deber crear un proceso para asegurar las


buenas relaciones de trabajo con los implementadores
externos que pertenezcan a terceras partes. Dicho
Relaciones con proceso deber disponer que el usuario y el
Terceras
implementador estn de acuerdo sobre los criterios de
Partes como
aceptacin, el manejo de cambios, los problemas
Implementadores
durante el desarrollo, las funciones de los usuarios, las
instalaciones, las herramientas, el software, los
estndares y los procedimientos.
MEDIO-BAJO
La metodologa del ciclo de vida de desarrollo de
sistemas deber incorporar estndares para la
Estndares
documentacin de programas que hayan sido
para la
comunicados y ratificados al personal interesado. La
Documentacin
metodologa deber asegurar que la documentacin
de
creada durante el desarrollo del sistema de informacin
Programas
o durante la modificacin de los proyectos coincida con
estos estndares.
MEDIO-BAJO

Estndares
para Pruebas
de Programas

La metodologa del ciclo de vida de desarrollo de


sistemas de la organizacin debe proporcionar
estndares que cubran los requerimientos de pruebas,
verificacin, documentacin y retencin para probar las
unidades de software y los programas agregados,
creados como parte de cada proyecto de desarrollo o
modificacin de sistemas de informacin.
MEDIO

66/123

MEDIO-BAJO

12

MEDIO-ALTO

24

MEDIO

30

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin
PO11 de la calidad

11.13

11.14

11.15

11.16

11.17

OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

La metodologa del ciclo de vida de desarrollo de


sistemas de la organizacin debe proporcionar
Estndares
estndares que cubran los requerimientos de pruebas,
para Pruebas
verificacin, documentacin y retencin para la prueba
de Sistemas
total del sistema, como parte de cada proyecto de
desarrollo o modificacin de sistemas de informacin.
MEDIO
La metodologa del ciclo de vida de desarrollo de
Pruebas
sistemas de la organizacin debe definir las
Piloto/En
condiciones bajo las cuales debern conducirse las
Paralelo
pruebas piloto o en paralelo de sistemas nuevos y/o
actuales.
BAJO
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe disponer, como parte
Documentacin
de cualquier proyecto de desarrollo, implementacin o
de las Pruebas
modificacin de sistemas de informacin, que se
del Sistema
conserve la documentacin de los resultados de las
pruebas del sistema.
MEDIO
Evaluacin del
Aseguramiento
de la Calidad
El enfoque de aseguramiento de calidad de la
sobre el
organizacin deber requerir que una revisin post Cumplimiento implementacin de un sistema de informacin
de Estndares operacional evale si el equipo encargado del proyecto,
de
cumpli con las estipulaciones de la metodologa del
Desarrollo
ciclo de vida de desarrollo de sistemas.
MEDIO-ALTO
Revisin del
Aseguramiento El enfoque de aseguramiento de calidad deber incluir
de Calidad
una revisin de hasta qu punto los sistemas
sobre
particulares y las actividades de desarrollo de
el Logro de los aplicaciones han alcanzado los objetivos de la funcin
Objetivos de TI de servicios de informacin.
MEDIO-ALTO

67/123

RIESGO JUSTIFICACIN

MEDIO

30

MEDIO

MEDIO-BAJO

20

MEDIO

42

MEDIO

42

Diseo de Sistema de Gestin de Seguridad de Informacin

Administracin
PO11 de la calidad
11.18

11.19

OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

La gerencia deber definir y utilizar mtricas para medir


los resultados de actividades, evaluando si las metas
de calidad han sido alcanzadas.
MEDIO-ALTO

MEDIO-BAJO

28

Reportes de
Revisiones de
Los reportes de revisiones de aseguramiento de
Aseguramiento
calidad debern ser preparados y enviados a la
de
Gerencia de los departamentos usuarios y de la funcin
Calidad
de servicios de informacin (TI).
MEDIO-ALTO

MEDIO-BAJO

28

Mtricas de
calidad

68/123

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL

AI6

6.1

6.2

6.3

6.4

Administrar
cambios

OCURRENCIA IMPACTO
Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores

La Gerencia deber asegurar que todas las solicitudes


de cambios tanto internos como por parte de
proveedores estn estandarizados y sujetos a
Inicio y Control procedimientos formales de administracin de cambios.
de Solicitudes Las solicitudes debern categorizarse y priorizarse y se
de Cambio
deben establecer procedimientos especficos para
manejar cambios urgentes. Los solicitantes de los
cambios deben permanecer informados acerca del
estatus de su solicitud.
Deber establecerse un procedimiento para asegurar
que todas las solicitudes de cambio sean evaluadas en
Anlisis de
una forma estructurada que considere todos los
Impacto
posibles impactos que el cambio pueda ocasionar
sobre el sistema operacional y su funcionalidad.
La Gerencia de TI deber asegurar que la
administracin de cambios, as como el control y la
distribucin de software sean integrados
apropiadamente en un sistema completo de
Control de
administracin de configuracin. El sistema utilizado
Cambios
para monitorear los cambios a los sistemas de
aplicacin debe ser automtico para soportar el registro
y seguimiento de los cambios realizados a grandes y
complejos sistemas de informacin.
La gerencia de TI debe establecer parmetros
definiendo cambios de emergencia y procedimientos
para controlar estos cambios cuando ellos traspasan
Cambios de
los procesos normales de anlisis de prioridades de la
Emergencia
gerencia para su implementacin. Los cambios de
emergencia deben ser registrados y autorizados por la
gerencia de TI antes de su implementacin.

69/123

RIESGO JUSTIFICACIN

MEDIO-BAJO

ALTO

30

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-ALTO

MEDIO-ALTO

56

MEDIO-BAJO

MEDIO-ALTO

24

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL

AI6

Administrar
cambios

6.5

Documentaci
ny
Procedimiento
s

6.6

6.7

6.8

OCURRENCIA IMPACTO
Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores

El procedimiento de cambios deber asegurar que,


siempre que se implementen modificaciones a un
sistema,
la
documentacin
y
procedimientos
relacionados
sean
actualizados
de
manera
correspondiente.
La Gerencia de TI deber asegurar que el personal de
mantenimiento tenga asignaciones especficas y que su
Mantenimiento trabajo sea monitoreado apropiadamente. Adems, sus
Autorizado
derechos de acceso al sistema debern ser controlados
para evitar riesgos de accesos no autorizados a los
sistemas automatizados.
La Gerencia de TI deber garantizar que la liberacin
Poltica de
de software est regida por procedimientos formales
Liberacin de
asegurando aprobacin, empaque, pruebas de
Software
regresin, entrega, etc.
Debern establecerse medidas de control especficas
Distribucin de para asegurar la distribucin del elemento de software
Software
correcto al lugar correcto, con integridad y de manera
oportuna y con adecuadas pistas de auditora.

70/123

RIESGO JUSTIFICACIN

MEDIO

MEDIO

30

MEDIO

MEDIO

30

MEDIO

MEDIO

30

MEDIO

MEDIO-ALTO

40

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL
DS4

4.1

4.2

OCURRENCIA IMPACTO

el Tener la seguridad de que los servicios de TI estn


disponibles cuando se requieran y asegurar un impacto
mnimo en el negocio en el evento de
una interrupcin mayor
La Gerencia de TI, en cooperacin con los propietarios
Marco de
de los procesos del negocio, deber crear un marco de
Referencia de referencia de continuidad que defina los roles,
Continuidad de responsabilidades, el enfoque/metodologa basada en
Tecnologa de riesgo a seguir y las reglas y la estructura para
informacin
documentar el plan de continuidad, as como los
procedimientos de aprobacin.
MEDIO
La Gerencia deber garantizar que el Plan de
Estrategia y
continuidad de tecnologa de informacin se encuentra
Filosofa del
en lnea con el plan general de continuidad de la
Plan de
empresa para asegurar consistencia. An ms, el plan
Continuidad
de continuidad de TI debe tomar en consideracin el
de TI
plan a mediano y largo plazo de tecnologa de
informacin, con el fin de asegurar consistencia.
MEDIO-ALTO

RIESGO JUSTIFICACIN

Asegurar
servicio
continuo

71/123

MEDIO

30

MEDIO-ALTO

56

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL
DS4

4.3

4.4

Asegurar
servicio
continuo

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

el Tener la seguridad de que los servicios de TI estn


disponibles cuando se requieran y asegurar un impacto
mnimo en el negocio en el evento de
una interrupcin mayor

La Gerencia de TI deber asegurar que se desarrolle


un plan escrito conteniendo lo siguiente:
+Guas sobre la utilizacin del Plan de Continuidad;
+Procedimientos de emergencia para asegurar la
integridad de todo el personal afectado;
+Procedimientos de respuesta definidos para regresar
Contenido del al negocio al estado en que se encontraba antes del
Plan de
incidente o desastre;
Continuidad de +Procedimientos para salvaguardar y reconstruir las
TI
instalaciones;
+Procedimientos de coordinacin con las autoridades
pblicas;
+Procedimientos de comunicacin con los socios y
dems interesados: empleados, clientes clave,
proveedores crticos, accionistas y gerencia
+ Informacin crtica sobre grupos de continuidad,
personal afectado, clientes, proveedores, autoridades
pblicas y medios de comunicacin.
ALTO
Reduccin de
requerimientos La Gerencia de servicios de informacin deber
de Continuidad establecer procedimientos y guas para minimizar los
de Tecnologa requerimientos de continuidad con respecto a personal,
de
instalaciones, hardware, software, equipo, formatos,
Informacin.
consumibles y mobiliario.
MEDIO

72/123

ALTO

No existe un plan de
Continuidad del TI, pero
existen ciertos
procedimientos no
formalizados que podrian
ayudar en el caso de darse
una contingencia:
+ Se conoce a las personas
que se debe notificar en caso
de suceder una emergencia.
+ Se conoce en donde estan
almacenados los respaldos.
+ Los procesos de respaldo
de datos son ejecutados de
manera diaria.
+ Se cuenta con un centro
de computo alternativo desde
donde se podra continuar
con la atencin de servicios
90 de IT.

MEDIO

30

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL
DS4

4.5

4.6

4.7

4.8

OCURRENCIA IMPACTO

el Tener la seguridad de que los servicios de TI estn


disponibles cuando se requieran y asegurar un impacto
mnimo en el negocio en el evento de
una interrupcin mayor
La Gerencia de TI deber proveer procedimientos de
control de cambios para asegurar que el plan de
Mantenimiento
continuidad se mantiene actualizado y refleja
del Plan de
requerimientos de negocio actuales. Esto requiere de
Continuidad de
procedimientos de mantenimiento del plan de
Tecnologa de
continuidad
alineados
con
el
cambio,
la
Informacin
administracin y los procedimientos de recursos
humanos.
ALTO
Para contar con un Plan efectivo de Continuidad, la
gerencia necesita evaluar su adecuacin de manera
Pruebas del
regular
o
cuando
se
presenten
cambios
Plan de
mayores en el negocio o en la infraestructura de TI;
Continuidad de esto
requiere
una
preparacin
cuidadosa,
TI
documentacin, reporte de los resultados de las
pruebas e implementar un plan de accin de acuerdo
con los resultados.
ALTO

RIESGO JUSTIFICACIN

Asegurar
servicio
continuo

Entrenamiento
sobre el Plan
de Continuidad
de Tecnologa
de Informacin

La metodologa de Continuidad ante desastres deber


asegurar que todas las partes interesadas reciban
sesiones
de
entrenamiento
regulares
con
respecto a los procedimientos a ser seguidos en caso
de un incidente o un desastre.
ALTO
Debido a la naturaleza sensitiva de la informacin del
plan de continuidad, dicha informacin deber ser
Distribucin del distribuida solo a personal autorizado y mantenerse
Plan de
bajo adecuadas medidas de seguridad para evitar su
Continuidad de divulgacin. Consecuentemente, algunas secciones del
TI
plan debern ser distribuidas solo a las personas cuyas
actividades
hagan
necesario
conocer
dicha
informacin.
ALTO

73/123

No existe un plan de
Continuidad del TI, por ende
tampoco
existen
procedimientos de control de
cambios.

ALTO

ALTO

MEDIO-ALTO

MEDIO-ALTO

90
No existe un
Continuidad de TI

plan

de

No existe un
Continuidad de TI

plan

de

No existe un
Continuidad de TI

plan

de

90

72

72

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL
DS4

4.9

4.10

4.11

OCURRENCIA IMPACTO

el Tener la seguridad de que los servicios de TI estn


disponibles cuando se requieran y asegurar un impacto
mnimo en el negocio en el evento de
una interrupcin mayor
Procedimiento
s de respaldo
de
La metodologa de continuidad deber asegurar que los
procesamiento departamentos usuarios establezcan procedimientos
alternativo
alternativos de procesamiento, que puedan ser
para
utilizados hasta que la funcin de servicios de
Departamentos informacin sea capaz de restaurar completamente sus
usuarios
servicios despus de un evento o un desastre.
MEDIO-BAJO
El plan de continuidad deber identificar los programas
de aplicacin, servicios de terceros, sistemas
operativos, personal, insumos, archivos de datos que
Recursos
resultan crticos as como los tiempos necesarios para
Crticos de
la recuperacin despus de que se presenta un
Tecnologa de
desastre. Los datos y las operaciones crticas deben
Informacin
ser identificadas, documentadas, priorizadas y
aprobadas por los dueos de los procesos del negocio
en cooperacin con la Gerencia de TI.
ALTO
La Gerencia deber asegurar que la metodologa de
continuidad incorpora la identificacin de alternativas
Sitio y
relativas al sitio y al hardware de respaldo, as como
Hardware de
una seleccin alternativa final. En caso de aplicar,
Respaldo
deber establecerse un contrato formal para este tipo
de servicios.
MEDIO

RIESGO JUSTIFICACIN

Asegurar
servicio
continuo

74/123

MEDIO-ALTO

24
No existe un plan de
Continuidad del TI, pero se
tiene conciencia de cuales
son los recursos de IT de
importancia

MEDIO-ALTO

72

ALTO

50

Diseo de Sistema de Gestin de Seguridad de Informacin

OBJETIVOS DE CONTROL
DS4

4.12

4.13

Asegurar
servicio
continuo

el

OCURRENCIA IMPACTO

RIESGO JUSTIFICACIN

Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en el negocio en
el evento de una interrupcin mayor

El almacenamiento externo de copias de respaldo,


documentacin y otros recursos tecnolgicos de
informacin, catalogados como crticos, debe ser
establecido para soportar el plan de recuperacin y
continuidad del negocio. Los propietarios de los
procesos del negocio y el personal de la funcin de TI
Almacenamien deben involucrarse en determinar que recursos de
to de respaldo respaldo deben ser almacenados en el sitio alterno. La
en el sitio
instalacin de almacenamiento externo debe contar con
alterno
medidas ambientales para los medios y otros recursos
(Off-site)
almacenados;
y
debe
tener
un
nivel
de
seguridad suficiente, que permita proteger los recursos
de respaldo contra accesos no autorizados, robo o
dao. La Gerencia de TI debe asegurar que los
acuerdos/contratos del sitio alterno son peridicamente
analizados, al menos una vez al ao, para garantizar
que ofrezca seguridad y proteccin ambiental.
MEDIO
Dada una exitosa reanudacin de la funcin de TI
Procedimiento
despus de un desastre, la gerencia de servicios de
de afinamiento
informacin deber establecer procedimientos para
del Plan de
evaluar lo adecuado del plan y actualizarlo de acuerdo
Continuidad
con los resultados de dicha evaluacin.
ALTO

75/123

ALTO

50

MEDIO

54

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.1

5.2

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
La seguridad en TI deber ser administrada de tal
No existe un
forma que las medidas de seguridad se encuentren en
seguridad
lnea con los requerimientos de negocio. Esto incluye:
+ Trasladar informacin sobre evaluacin de riesgos a
los planes de seguridad de TI;
+ Implementar el plan de seguridad de TI;
Administrar
+ Actualizar el plan de seguridad de TI para reflejar
Medidas de
cambios en la configuracin de TI;
Seguridad
+ Evaluar el impacto de las solicitudes de cambio en la
seguridad de TI;
+ Monitorear la implementacin del plan deseguridad
de TI; y
+ Alinear los procedimientos de seguridad de TI a otras
polticas y procedimientos
ALTO
MEDIO-ALTO
72
El acceso lgico y el uso de los recursos de TI deber
restringirse a travs de la implementacin de
mecanismos adecuados de identificacin,
autenticacin y autorizacin relacionando los usuarios y
los recursos con las reglas de acceso. Dicho
mecanismo deber evitar que personal no autorizado,
Identificacin,
conexiones telefnicas por marcado y otros puertos de
Autenticacin y
entrada al sistema (redes) tengan acceso a los
Acceso
recursos de cmputo, de igual forma deber minimizar
la necesidad de autorizar usuarios para usar mltiples
sign-ons. Asimismo debern establecerse
procedimientos para conservar la efectividad de los
mecanismos de autenticacin y acceso (por ejemplo,
cambios peridicos de contraseas o passwords).
MEDIO-BAJO MEDIO-ALTO
24

76/123

plan

de

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.3

5.4

5.5

5.6

Garantizar
seguridad
los sistemas

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
de

En un ambiente de tecnologa de informacin en lnea,


la Gerencia de TI deber implementar procedimientos
Seguridad de
acordes con la poltica de seguridad que garantiza el
Acceso a
control de la seguridad de acceso, tomando como base
Datos en Lnea
las necesidades individuales demostradas de
visualizar, agregar, modificar o eliminar datos.
La Gerencia deber establecer procedimientos para
asegurar acciones oportunas relacionadas con la
solicitud, establecimiento, emisin, suspensin y cierre
de cuentas de usuario. Deber incluirse un
Administracin
procedimiento de aprobacin formal que indique el
de Cuentas de
propietario de los datos o del sistema que otorga los
Usuario
privilegios de acceso. La seguridad de acceso a
terceros debe definirse contractualmente teniendo en
cuenta requerimientos de administracin y no
revelacin.
La Gerencia deber contar con un proceso de control
Revisin
establecido para revisar y confirmar peridicamente los
Gerencial de
derechos de acceso. Se debe llevar a cabo la
Cuentas de
comparacin peridica entre los recursos y los registros
Usuario
de las cuentas para reducir el riesgo de errores,
fraudes, alteracin no autorizada o accidental.
Los usuarios debern controlar en forma sistemtica la
Control de
actividad de su(s) propia(s) cuenta (s). Tambin se
Usuarios sobre
debern establecer mecanismos de informacin para
Cuentas de
permitirles supervisar la actividad normal, as como
Usuario
alertarlos oportunamente sobre actividades inusuales.

OBJETIVOS DE CONTROL

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO

MEDIO-ALTO

40

MEDIO-ALTO

MEDIO

42

MEDIO-ALTO

MEDIO-ALTO

56

OCURRENCIA IMPACTO

77/123

RIESGO JUSTIFICACIN

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.7

5.8

Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
La administracin de seguridad de TI debe asegurar
que la actividad de seguridad sea registrada y que
cualquier indicacin sobre una inminente violacin de
Vigilancia de
seguridad sea notificada inmediatamente a todos
Seguridad
aquellos que puedan verse afectados, tanto interna
como externamente y se debe actuar de una manera
oportuna.
MEDIO-ALTO MEDIO-ALTO
56
La Gerencia deber implementar procedimientos para
asegurar que todos los datos son clasificados en
trminos de sensitividad, mediante una decisin
explcita y formal del dueo de los datos de acuerdo
con el esquema de clasificacin de datos. An los
datos que no requieren proteccin debern contar con
una decisin formal que les asigne dicha clasificacin.
Los dueos deben determinar la ubicacin o
disposicin de sus datos y determinar quienes pueden
Clasificacin
compartir los datos aun si y cuando los programas y
de Datos
archivos sean mantenidos, archivados o borrados.
Debe quedar evidencia de la aprobacin del dueo y de
la disposicin del dato. Se deben definir polticas para
soportar la reclasificacin de la informacin, basados
sobre cambios en la sensitividad. El esquema de
clasificacin debe incluir criterios para administrar el
intercambio de informacin entre organizaciones,
teniendo en cuenta tanto la seguridad y el cumplimiento
como la legislacin relevante.
MEDIO-ALTO MEDIO
42

78/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.9

5.10

5.11

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
Administracin
de Derechos
de Acceso e
Identificacin
Centralizada

Reportes de
Violacin y de
Actividades de
Seguridad

Manejo de
Incidentes

Deben existir controles para asegurar que la


identificacin y los derechos de acceso de los usuarios,
as como la identidad del sistema y la propiedad de los
datos, son establecidos y administrados de forma nica
y centralizada, para obtener consistencia y eficiencia de
un control de acceso global.
MEDIO-BAJO
La administracin de la funcin de servicios de
informacin deber asegurar que las violaciones y la
actividad de seguridad sean registradas,
reportadas, revisadas y escaladas apropiadamente en
forma regular para identificar y resolver incidentes que
involucren actividades no autorizadas. El acceso lgico
a la informacin sobre el registro de recursos de
cmputo (seguridad y otros logs) deber otorgarse
tomando como base el principio de menor privilegio o
necesidad de saber.
MEDIO-ALTO
La Gerencia deber implementar la capacidad de
manejar incidentes de seguridad computacional, dar
atencin a dichos incidentes mediante el
establecimiento de una plataforma centralizada con
suficiente experiencia y equipada con instalaciones de
comunicacin rpidas y seguras.
Debern establecerse las responsabilidades y los
procedimientos de manejo de incidentes para asegurar
una respuesta apropiada, efectiva y oportuna a los
incidentes de seguridad.
MEDIO

79/123

MEDIO-ALTO

24

MEDIO-ALTO

56

MEDIO-ALTO

40

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.12

5.13

5.14

5.15

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
La Gerencia deber asegurar que se lleve a cabo
peridicamente una reacreditacin de seguridad (por
ejemplo, a travs de equipos de personal
Reacreditacin
tcnico tigre) con el fin de mantener actualizado el
nivel de seguridad aprobado formalmente y la
aceptacin del riesgo residual.
ALTO
MEDIO-BAJO
36
Las polticas organizacionales debern asegurar que se
implementen prcticas de control para verificar la
Confianza en
autenticidad de las contrapartes que proporcionan
Contrapartes
instrucciones o transacciones electrnicas. Esto puede
lograrse mediante el intercambio confiable de
passwords, tokens o llaves criptogrficas.
MEDIO-ALTO BAJO
14
Las polticas organizacionales debern asegurar que,
en donde sea apropiado, se implementen controles
Autorizacin
para proporcionar autenticidad a las transacciones y
de
establecer la validez de la identificacin solicitada por el
transacciones usuario ante el sistema. Esto requiere el empleo de
tcnicas criptogrficas para firmar y verificar
transacciones.
MEDIO-BAJO BAJO
6
Las polticas organizacionales debern asegurar que,
en donde sea apropiado, las transacciones no puedan
ser negadas por ninguna de las partes participantes en
la operacin y que se implementen controles para que
No negacin o no se pueda negar el origen o destino de la transaccin
no rechazo
y que se pueda probar que se envi y recibi la
transaccin. Esto puede lograrse a travs de firmas
digitales, registro de tiempos y terceros confiables, y
adicionalmente con polticas apropiadas que tengan en
cuenta los requerimientos regulatorios relevantes.
MEDIO
BAJO
10

80/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.16

5.17

5.18

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
Las polticas organizacionales debern asegurar que la
informacin de transacciones sensitivas es enviada y
recibida
exclusivamente
a
travs
de
canales o senderos seguros (trusted paths). La
Sendero
informacin sensitiva incluye: informacin sobre
Seguro
administracin de seguridad, datos de transacciones
sensitivas, passwords y llaves criptogrficas. Para
lograr esto, se pueden establecer canales confiables
utilizando encripcin entre usuarios, entre usuarios y
sistemas y entre sistemas.
MEDIO
BAJO
10
Todo el hardware y software relacionado con seguridad
debe encontrarse permanentemente protegido contra
Proteccin de intromisiones para proteger su integridad y contra
las funciones
divulgacin de sus claves secretas. Adicionalmente, la
de seguridad
organizacin deber mantener discrecin sobre el
diseo de su seguridad, pero no basar la seguridad en
mantener el diseo como secreto.
BAJO
MEDIO-ALTO
8
La
Gerencia
deber
definir
e
implementar
procedimientos y protocolos a ser utilizados en la
generacin,
cambio,
revocacin,
destruccin,
distribucin, certificacin, almacenamiento, entrada,
utilizacin y archivo de llaves criptogrficas con el fin de
Administracin
asegurar la proteccin de las mismas contra
de Llaves
modificaciones y divulgacin no autorizada. Si una llave
Criptogrficas
se encuentra comprometida (en riesgo), la gerencia
deber asegurarse de que esta informacin se hace
llegar a todas las partes interesadas a travs de una
lista de revocacin de certificados o mecanismos
similares.
ALTO
BAJO
18

81/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS5

5.19

5.20

5.21

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
Con respecto al software malicioso, tal como los virus
computacionales o Caballos de Troya, la Gerencia
deber
establecer
un
marco
de
referencia de adecuadas medidas de control
Prevencin,
preventivas, detectivas y correctivas y responder y
Deteccin
y
reportar su presencia. Las Gerencias de TI y de
Correccin de
negocios deben asegurar que se establezcan
Software
procedimientos a travs de toda la organizacin para
Malicioso
proteger los sistemas de informacin contra
virus computacionales. Los procedimientos deben
incorporar proteccin contra virus, deteccin, respuesta
ante su presencia y reporte.
BAJO
MEDIO-ALTO
8
La organizacin deber contar con Firewall adecuados
Arquitectura de para proteger contra negacin de servicios y cualquier
Firewalls y
acceso no autorizado a los recursos internos si existe
conexin a
conexin con Internet u otras redes pblicas; se deber
redes
controlar en ambos sentidos cualquier aplicacin y el
pblicas
flujo de administracin de infraestructura y se deber
proteger contra ataques de negacin del servicio.
MEDIO-BAJO MEDIO-ALTO
24
La Gerencia debe proteger la integridad continuada de
todas las tarjetas o mecanismos de seguridad fsica
Proteccin de similares, utilizadas para autenticacin o
Valores
almacenamiento de informacin financiera o sensitiva
Electrnicos
tomando en consideracin las instalaciones o equipos
relacionados, los dispositivos, los empleados y los
mtodos de validacin utilizados.
MEDIO
MEDIO-BAJO
20

82/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

11.1

11.2

11.3

11.4

11.5

Administracin
de datos

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

La Gerencia deber establecer procedimientos de


preparacin de datos que deben ser seguidos por los
departamentos usuarios. En este contexto, el diseo de
Procedimiento
formas de entrada de datos deber ayudar a minimizar
s de
los errores y las omisiones. Durante la creacin de los
Preparacin de
datos, los procedimientos de manejo de errores
Datos
debern asegurar razonablemente que los errores y las
irregularidades sean detectados, reportados y
corregidos.
Procedimiento La Gerencia deber asegurar que los documentos
s de
fuente sean preparados apropiadamente por personal
Autorizacin
autorizado que acta dentro de su autoridad,
de
y que se establezca una separacin de funciones
Documentos
adecuada con respecto al origen y aprobacin de
Fuente
documentos fuente.
Los procedimientos de la organizacin debern
Recopilacin
asegurar que todos los documentos fuente autorizados
de Datos de
estn
completos,
sean
precisos,
registrados
Documentos
apropiadamente y transmitidos oportunamente para su
Fuente
ingreso a proceso.
Manejo de
Los procedimientos de manejo de errores durante la
errores de
creacin de datos debern asegurar razonablemente
documentos
que los errores y las irregularidades sean detectados,
fuente
reportados y corregidos.
Debern establecerse procedimientos para asegurar
que la organizacin pueda retener o reproducir los
Retencin de
documentos
fuente
originales
durante
un
Documentos
perodo de tiempo razonable para facilitar la
Fuente
recuperacin o reconstruccin de datos, as como para
satisfacer requerimientos legales.
OBJETIVOS DE CONTROL

MEDIO-BAJO

MEDIO

18

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO

MEDIO

30

MEDIO-BAJO

MEDIO-ALTO

24

OCURRENCIA IMPACTO

83/123

RIESGO JUSTIFICACIN

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

Administracin
de datos

11.6

Procedimiento
s de
Autorizacin
de Entrada de
Datos

11.7

Chequeos de
Exactitud,
Suficiencia y
Autorizacin

11.8

Manejo de
Errores en la
Entrada de
Datos

11.9

11.10

Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

La organizacin deber establecer procedimientos


apropiados para asegurar que la entrada de datos sea
llevada a cabo nicamente por personal autorizado.
MEDIO-BAJO
Los datos de transacciones, ingresados para su
procesamiento (generados por personas, por sistemas
o entradas de interfase) debern estar sujetos a una
variedad de controles para verificar su exactitud,
suficiencia y validez. Asimismo, debern establecerse
procedimientos para asegurar que los datos de entrada
sean validados y editados tan cerca del punto de origen
como sea posible.
MEDIO-ALTO

La organizacin deber establecer procedimientos para


la correccin y reenvo de datos que hayan sido
capturados errneamente.
MEDIO
La organizacin deber establecer procedimientos para
el procesamiento de datos que aseguren que la
segregacin de funciones sea mantenida y que el
Integridad de
trabajo realizado sea verificado rutinariamente. Los
Procesamiento
procedimientos debern asegurar que se establezcan
de Datos
controles de actualizacin adecuados como totales de
control "corrida a corrida run to run-" y controles de
actualizacin de archivos maestros.
MEDIO
Validacin y
Edicin de
La organizacin deber establecer procedimientos para
Procesamiento asegurar que la validacin, autenticacin y edicin del
de
procesamiento sean llevadas a cabo tan cerca del
Datos
punto de origen como sea posible.
MEDIO-BAJO

84/123

MEDIO

18

MEDIO-ALTO

56

MEDIO

30

MEDIO-ALTO

40

MEDIO-BAJO

12

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

Administracin
de datos

11.11

Manejo de
Errores en el
Procesamiento
de
Datos

11.12

11.13

11.14

11.15

Manejo y
Retencin de
Datos de
Salida

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

La organizacin deber establecer procedimientos para


el manejo de errores en el procesamiento de datos que
permitan la identificacin de transacciones errneas sin
que stas sean procesadas y sin interrumpir el
procesamiento de otras transacciones vlidas.
MEDIO-BAJO
La organizacin deber establecer procedimientos para
el manejo y la retencin de datos producidos por sus
programas de aplicacin de TI. En caso de que
instrumentos negociables (ej. Ttulos valores) sean los
receptores de la salida, se deber prestar especial
cuidado en prevenir usos inadecuados.
MEDIO-BAJO

Distribucin de
Datos Salidos La organizacin deber establecer y comunicar
de los
procedimientos escritos para la distribucin de datos
Procesos
de salida de tecnologa de informacin.
MEDIO
La organizacin deber establecer procedimientos para
Balanceo y
asegurar que los datos de salida sean balanceados
Conciliacin de rutinariamente con los totales de control relevantes.
Datos de
Debern existir pistas de auditora para facilitar el
Salida
seguimiento del procesamiento de transacciones y la
conciliacin de datos con problema.
MEDIO
La Gerencia de la organizacin deber establecer
Revisin de
procedimientos para asegurar que la precisin de los
Datos de
reportes de los datos de salida sea revisada por el
Salida y
proveedor y por los usuarios responsables. Asimismo,
Manejo de
debern establecerse procedimientos para controlar los
Errores
errores contenidos en los datos de salida.
MEDIO-BAJO

85/123

MEDIO

18

MEDIO-ALTO

24

MEDIO-BAJO

20

MEDIO

30

MEDIO

18

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

11.16

11.17

11.18

11.19

11.20

Administracin
de datos

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

La organizacin deber establecer procedimientos para


Provisiones de
garantizar que la seguridad de los reportes generados
Seguridad para
por los procesos sea mantenida para todos aquellos
Reportes
de
reportes que estn por distribuirse, as como para todos
Salida
aqullos que ya hayan sido distribuidos a los usuarios.
Proteccin de
Informacin
La Gerencia deber asegurar que durante la
Sensible
transmisin y transporte de informacin sensible, se
durante
proporcione una adecuada proteccin contra acceso o
transmisin y modificacin no autorizada, as como contra envos a
transporte
direcciones errneas.
La
Gerencia
deber
definir
e
implementar
procedimientos para impedir el acceso a la informacin
sensitiva, al software de las computadoras, a los discos
Proteccin de
y otros equipos o medios cuando los mismos son
Informacin
desechados o transferidos a otro uso. Tales
Sensitiva
procedimientos debern garantizar que ninguna
Desechada
informacin marcada como borrada o desechada,
pueda ser accedida por personas internas o externas a
la organizacin.
Debern desarrollarse procedimientos para el
Administracin
almacenamiento
de
datos
que
consideren
de
requerimientos de recuperacin, de economa y as
Almacenamien
mismo tengan en cuenta las polticas de seguridad de
to
la organizacin.
Perodos de
Debern definirse los perodos de retencin y los
Retencin y
trminos de almacenamiento para documentos, datos,
Trminos de
programas, reportes y mensajes (de entrada y de
Almacenamien salida), as como los datos (claves, certificados)
to
utilizados para su encripcin y autenticacin.

86/123

MEDIO-ALTO

MEDIO-ALTO

56

MEDIO-ALTO

MEDIO-ALTO

56

MEDIO-ALTO

MEDIO

42

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-BAJO

MEDIO-ALTO

24

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

11.21

11.22

11.23

11.24

Administracin
de datos

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

La funcin de servicios de informacin deber


establecer procedimientos para asegurar que el
Sistema de
contenido de su librera de medios sea inventariado
Administracin
sistemticamente, que cualquier discrepancia revelada
de la Librera
por un inventario fsico sea solucionada oportunamente
de
y que se consideren las medidas necesarias para
Medios
mantener la integridad de los medios magnticos
almacenados en la librera.
La Gerencia de la funcin de servicios de informacin
deber establecer procedimientos de administracin
Responsabilida para proteger el contenido de la librera de medios.
des de la
Debern definirse estndares para la identificacin
Administracin externa de medios magnticos y el control de su
de la
movimiento y almacenamiento fsico para soporte y
Librera de
registro. Las responsabilidades sobre el manejo de la
Medios
libreras de medios (cintas magnticas, cartuchos,
discos y disquetes) debern ser asignadas a miembros
especficos del personal de servicios de informacin.
La Gerencia deber implementar una estrategia
apropiada de respaldo y recuperacin para asegurar
que sta incluya una revisin de los requerimientos del
Respaldo
negocio, as como el desarrollo, implementacin,
(Back-up) y
prueba y documentacin del plan de recuperacin. Se
Restauracin
debern establecer procedimientos para asegurar que
los
respaldos
satisfagan
los
requerimientos
mencionados anteriormente.
Debern establecerse procedimientos para asegurar
Funciones de
que los respaldos sean realizados de acuerdo con la
Respaldo
estrategia de respaldo definida, y que las copias de
respaldo sean verificadas regularmente.

87/123

MEDIO-ALTO

MEDIO-ALTO

56

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-BAJO

ALTO

30

MEDIO-BAJO

MEDIO-ALTO

24

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

11.25

11.26

11.27

11.28

Administracin
de datos

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

Los procedimientos de respaldo para los medios


relacionados con tecnologa de informacin debern
incluir
el
almacenamiento
apropiado
de
los archivos de datos, del software y de la
Almacenamien
documentacin relacionada, tanto dentro como fuera de
to de
las instalaciones. Los respaldos debern ser
Respaldos
almacenados con seguridad y las instalaciones de
almacenamiento debern ser revisadas peridicamente
con respecto a la seguridad de acceso fsico y la
seguridad de los archivos de datos y otros elementos.
La Gerencia deber implementar una poltica y
procedimientos para asegurar que el archivo cumple
Archivo
con requerimientos legales y de negocio y que se
encuentra debidamente protegido y su informacin
adecuadamente registrada.
Con respecto a la transmisin de datos a travs de
Internet u otra red pblica, la Gerencia deber definir e
Proteccin de
implementar procedimientos y protocolos que deben
Mensajes
ser utilizados para el aseguramiento de la integridad,
Sensitivos
confidencialidad y no negacin/rechazo de mensajes
sensitivos.
Antes que alguna accin crtica sea tomada sobre
informacin originada fuera de la Organizacin, que se
Autenticacin e reciba va telfono, correo de voz, documentos (en
Integridad
papel), fax o correo electrnico, se deber verificar
adecuadamente la autenticidad e integridad de dicha
informacin.

88/123

MEDIO-BAJO

MEDIO-ALTO

24

MEDIO-ALTO

MEDIO

42

MEDIO-ALTO

BAJO

14

MEDIO-ALTO

BAJO

14

Diseo de Sistema de Gestin de Seguridad de Informacin

DS11

11.29

11.30

Administracin
de datos

Integridad de
Transacciones
Electrnicas

Integridad
Continua de
Datos
Almacenados

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento

Tomando en consideracin que las fronteras


tradicionales de tiempo y de geografa son menos
precisas y confiables, la Gerencia deber
definir e implementar apropiados procedimientos y
prcticas para transacciones electrnicas que sean
sensitivas y crticas para la Organizacin,
que permitan asegurar su integridad y autenticidad de:
+ atomicidad (unidad de trabajo indivisible, todas sus
acciones tienen xito o todas ellas fallan)
+ consistencia (si la transaccin no logra alcanzar un
estado final estable, deber regresar al sistema a su
estado inicial);
+ aislamiento (el comportamiento de una transaccin
no es afectado por otras transacciones que se ejecutan
concurrentemente); y
+ durabilidad (los efectos de una transaccin son
permanentes despus que concluye su proceso, los
cambios que origina deben sobrevivir a fallas de
sistema)

ALTO

BAJO

18

La Gerencia deber asegurar que la integridad y lo


adecuado de los datos mantenidos en archivos y otros
medios (ej. tarjetas electrnicas) se verifique
peridicamente. Atencin especfica deber darse a
dispositivos de tokens, archivos de referencia y
archivos que contengan informacin privada.

MEDIO-BAJO

BAJO

89/123

Diseo de Sistema de Gestin de Seguridad de Informacin

DS12

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros naturales y provocados por el
Administracin
hombre.
de
instalaciones

12.1

Seguridad
Fsica

12.2

Discrecin
sobre las
Instalaciones
de
Tecnologa de
Informacin

12.3

Escolta de
Visitantes

Debern establecerse medidas apropiadas de


seguridad fsica y medidas de control de acceso para
las instalaciones de tecnologa de informacin
incluyendo el uso de dispositivos de informacin off-site
en conformidad con la poltica general de seguridad. La
seguridad fsica y los controles de acceso deben
abarcar no slo el rea que contenga el hardware del
sistema sino tambin las ubicaciones del cableado
usado para conectar elementos del sistema, servicios
de soporte (como la energa elctrica), medios de
respaldo y dems elementos requeridos para la
operacin del sistema. El acceso deber restringirse a
las personas que hayan sido autorizadas. Cuando los
recursos de tecnologa de informacin estn ubicados
en reas pblicas, debern estar debidamente
protegidos para impedir o para prevenir prdidas o
daos por robo o por vandalismo.
MEDIO-ALTO
La Gerencia de la funcin de servicios de informacin
deber asegurar que se mantenga un bajo perfil sobre
la identificacin fsica de las instalaciones relacionadas
con sus operaciones de tecnologa de informacin. La
informacin sobre la ubicacin del sitio debe ser
limitada y mantenerse con la adecuada reserva.
MEDIO-ALTO
Debern establecerse procedimientos apropiados que
aseguren que las personas que no formen parte del
grupo de operaciones de la funcin de servicios de
informacin sean escoltadas por algn miembro de ese
grupo cuando deban entrar a las instalaciones de
cmputo. Deber mantenerse y revisarse regularmente
una bitcora de visitantes.
ALTO

90/123

No existe una poltica o


procedimientos de seguridad
formalmente definidos. Pero
el acceso a los servidores y al
rea
de
cableado
estructurado esta restringido.

ALTO

70

MEDIO

42

MEDIO

54

Diseo de Sistema de Gestin de Seguridad de Informacin

DS12

12.4

12.5

12.6

OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros naturales y provocados por el
Administracin
hombre.
de
instalaciones
Salud y
Seguridad del
Personal

Proteccin
contra
Factores
Ambientales

Suministro
Ininterrumpido
de Energa

Debern establecerse y mantenerse prcticas de salud


y seguridad en lnea con las leyes y regulaciones
internacionales, nacionales, regionales, estatales y
locales.
MEDIO-ALTO
La Gerencia de la funcin de servicios de informacin
deber asegurar que se establezcan y mantengan las
suficientes medidas para la proteccin contra los
factores ambientales (por ejemplo, fuego, polvo,
electricidad, calor o humedad excesivos). Debern
instalarse equipo y dispositivos especializados para
monitorear y controlar el ambiente.
MEDIO-ALTO
La Gerencia deber evaluar regularmente la necesidad
de contar con generadores y bateras de suministro
ininterrumpido de energa (UPS) para las aplicaciones
crticas de tecnologa de informacin, con el fin de
protegerse contra fallas y fluctuaciones de energa.
Cuando sea justificable, deber instalarse el equipo
ms apropiado.
BAJO

91/123

MEDIO-BAJO

28

MEDIO

42

MEDIO-ALTO

Diseo de Sistema de Gestin de Seguridad de Informacin


7.2.4 Evaluar y Priorizar Riesgos
Las comparaciones del anlisis de riesgo realizadas sobre diferentes reas de la
organizacin o sobre los diferentes procesos permiten priorizar los riesgos sobre los
cuales se ha de centrar la atencin para definir una opcin de tratamiento.
Se ha elaborado una lista ordenada de mayor a menor, por la valoracin del nivel de
exposicin. Esto permite definir los riesgos de mayor grado de importancia sobre los
cuales deber definir las opciones de tratamiento. Centrando nuestra atencin en lo
crtico, de acuerdo a los niveles de aceptacin que se han definidos
A continuacin se detalla un resumen del nivel de exposicin de los riesgos.

Procesos
DS4 - Asegurar continuidad del
servicio
DS5 - Garantizar la seguridad de
sistemas
DS11 - Administrar la informacin
PO9 - Evaluar Riesgos
PO11 -Administrar Calidad
DS12 - Administrar las instalaciones
AI6 - Administrar cambios

Objetivos
de
Control Alto Medio

Bajo

Alto+Medio

13

10

21
30
8
19
6
8
105

1
0
0
0
1
0
8
8%

8
7
6
6
3
2
36
34%

12
23
2
13
2
6
61
58%

9
7
6
6
4
2
44
42%

Los riesgos a priorizar son los que estn en el nivel de exposicin ALTO y MEDIO.

92/123

Diseo de Sistema de Gestin de Seguridad de Informacin


7.2.5 Tratamiento del Riesgo

Para la actividad o componente al cual se aplic el proceso de administracin de


riesgos, hay que determinar las posibles formas de reducir o mitigar el riesgo.
Entre las opciones de tratamiento tenemos las siguientes:
Evitar: Se reduce la probabilidad de prdida al mnimo; dejar de ejercer la actividad o
proceso.
Reducir: Se consigue mediante la optimizacin de los procedimientos y la
implementacin de controles tendientes a disminuir la probabilidad de ocurrencia o el
impacto.
Atomizar: Distribuir la localizacin del riesgo, segmentando el objeto sobre el cual se
puede materializar el riesgo.
Transferir: Pasar el riesgo de un lugar a otro, compartir con otro el riesgo, esta tcnica
no reduce la probabilidad ni el impacto, involucra a otro en la responsabilidad.
Asumir: Se acepta la prdida residual probable, con la aceptacin del riesgo las
estrategias de prevencin se vuelven esenciales.
El tratamiento a usar para mitigar los riesgos de alto impacto es estableciendo controles
que ayuden a reducir el impacto y probabilidad de ocurrencia de eventos que puedan
ocasionar daos a la infraestructura de IT.
Los controles a implementar estn enfocados a los siguientes procesos de
Administracin de IT.
DOMINIO
Planeacin
y
Organizacin
Adquisicin
e
Instalacin
Entrega
de
Servicios

PROCESO
PO9 Evaluar riesgos
PO11 Administrar Calidad
AI6
Administrar cambios
DS4

Asegurar
continuidad
del servicio
DS5 Garantizar la seguridad
de sistemas
DS11 Administrar
la
informacin
DS12 Administrar
las
instalaciones

93/123

Diseo de Sistema de Gestin de Seguridad de Informacin

8. PLAN DE ACCIN
MODELO DE MEJORES PRACTICAS COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/3

PLAN DE ACCIN

DOMINIO :

PLANIFICACIN Y
ORGANIZACIN

PROCESO:

PO9 Evaluar Riesgo

que satisface los


requerimientos de
negocio de:

Soportar las decisiones de la administracin a travs del el logro de los objetivos de TI


y responder a las amenazas reduciendo su complejidad incrementando su objetividad e
identificando factores de decisin importantes

se hace posible a travs


de:

la participacin de la propia organizacin en la identificacin de riesgos de TI y en el


anlisis de impacto, involucrando funciones multidisciplinarias y tomando medidas
econmicas para mitigar los riesgos.

y toma en consideracin:

Propiedad y registro de la administracin del riesgo


diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de

continuidad, regulatorios, etc.)


Definir y comunicar el perfil de tolerancia del riesgo
Anlisis del origen de las causas y sesiones de tormentas de ideas sobre riesgos
Medicin cuantitativa y/o cualitativa del riesgo
metodologa de evaluacin de riesgos
plan de accin de riesgos
Reevaluaciones oportunas

Control a Implementar
PO9 C1

CONTROLES
POLTICAS Y PROCEDIMIENTOS DE EVALUACIN DE
RIESGOS.
La administracin deber establecer un foro Gerencial, para asegurarse que
exista una direccin clara de las iniciativas de seguridad

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Metodologa
Frecuencia de evaluacin
Evaluaciones de riesgo a nivel global y de sistemas
Equipo multidiscplinario
Mantener actualizadas las evaluaciones de riesgo, resultados de
auditoras, inspecciones e incidentes

Polticas de seguros que cubren el riesgo residual.

Gerente General
9 meses

Control a Implementar
PO9 C2

REVISIONES DE GRUPOS ESPECIALIZADOS


La Gerencia debe solicitar la revisin independiente de grupos especializados
de seguridad y de tecnologa de Informacin

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Especialista de Seguridad identifican amenazas


Especialistas de TI identifican los controles

Gerente General y Gerencia de Sistemas


3 meses

94/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT


Fecha de diagnostico :
EMPRESA : Ecuacolor
Diseo de un Sistema de Gestin de Seguridad

Pag 2/3

PLAN DE ACCIN

DOMINIO :

Control a Implementar
PO9 C3

PLANIFICACIN Y PROCESO:
PO9 Evaluar Riesgo
ORGANIZACIN
CONTROLES
DEFINICIN DE UN MARCO REFERENCIAL DE
RIESGOS
La Gerencia deber establecer una evaluacin sistemtica de
riesgos incorporando:
Los riesgos de informacin relevantes para el logro de los
objetivos de la organizacin
Base de datos para determinar la forma en la que los riesgos
deben ser manejados a un nivel aceptable.

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Control a Implementar
PO9 C4

El alcance y los lmites de la evaluacin de riesgos

Gerente General
2 meses

PROCEDIMIENTOS DE EVALUACIN DE RIESGOS


La gerencia deber:
Determinar que los riesgos identificados incluyen factores
tanto externos como internos
Asesores expertos en riesgos deben asegurar las evaluaciones
de riesgo
Revisar los informes de resultados de las auditoras,
Revisiones de Inspecciones e incidentes identificados.
Definir un enfoque cuantitativo y/o cualitativo formal para la
identificacin y medicin de riesgos, amenazas y
exposiciones.

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerente General
3 meses

95/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT


Fecha de diagnostico :
EMPRESA : Ecuacolor
Diseo de un Sistema de Gestin de Seguridad

Pag 3/3

PLAN DE ACCIN

DOMINIO :
Control a Implementar
PO9 C5

PLANIFICACIN Y PROCESO:
PO9 Evaluar Riesgo
ORGANIZACIN
REPORTES A LA PRESIDENCIA PARA SU REVISIN Y
ACUERDO DE ACEPTACIN
La Gerencia de Sistemas deber emitir reportes a la Presidencia
para su revisin y acuerdo con los riesgos identificados.

Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
PO9 C6

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerencia de Sistemas
1 mes

PLAN DE ACCIN
La Gerencia deber establecer el plan de accin contra los riesgos, se debe
establecer la estrategia de riesgos en trminos de evitar, mitigar o aceptar el
riesgo.
Gerente General
3 meses

Objetivos de Control

Evaluacin de Riesgos del


Negocio
Enfoque de Evaluacin de
Riesgos
Medicin de Riesgos
Plan de Accin contra
Riesgos
Aceptacin de Riesgos
Seleccin de Garantas o
Protecciones

RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
8
3
8
56
24

PO9-C1, C3, C4

56

27

PO9-C1, C3, C4

7
7

6
8

42
56

5
3

6
8

30
24

PO9-C3, C4
PO9-C3, C6

7
7

6
6

42
42

5
5

6
6

30
30

PO9-C5, C6
PO9-C1, C6

96/123

OBSERVACIN

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/2

PLAN DE ACCIN

PO11 Administracin
De la Calidad

DOMINIO :

PLANEACIN Y PROCESO:
ORGANIZACIN

que satisface los


requerimientos de
negocio de:

Satisfacer los requerimientos del cliente de TI

se hace posible a travs


de:

La planeacin, implementacin y mantenimiento de estndares y


sistemas de administracin provistos para las distintas fases de
desarrollo, con entregables claros y responsabilidades explcitas
Establecimiento de una cultura de calidad
Planes de calidad
responsabilidades de aseguramiento de la calidad
Prcticas de control de calidad
metodologa del ciclo de vida de desarrollo de sistemas
Pruebas y documentacin de programas y sistemas
revisiones y reporte de aseguramiento de calidad
Entrenamiento e involucramiento del usuario final y
del personal de aseguramiento de calidad
Desarrollo de una base de conocimientos de aseguramiento
de calidad
Benchmarking contra normas de la industria

y toma en
consideracin:

CONTROLES
Control a Implementar
PO11 C1

Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
PO11 C2

POLTICAS Y PROCEDIMIENTOS RELACIONADOS CON EL ASEGURAMIENTO DE


LA CALIDAD

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(i)
Una poltica de administracin del Plan General de la Calidad
formalmente definida y documentada.
(ii)
Procedimientos documentados para facilitar la implantacin de la
poltica del plan general de calidad y los controles asociados.
Gerente de Sistemas, Oficial de Seguridad.

1 mes

METODOLOGA DEL CICLO DE VIDA DE DESARROLLO DE SISTEMAS

La organizacin deber fijar, realizar, y documentar la metodologa adecuada


del ciclo de vida en el desarrollo de los sistemas tanto adquirido como
desarrollado internamente
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
PO11 C3

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

2 meses
MARCO REFERENCIAL DE ADQUISICIN Y MANTENIMIENTO PARA LA
INFRAESTRUCTURA DE TECNOLOGA

La organizacin deber construir un marco referencial que incluya pasos a


seguir como: adquisicin, programacin, documentacin y pruebas ,
establecimiento de parmetros y aplicacin de correcciones , estos pasos deben
estar alineados dentro del marco referencial.
Gerente de Sistemas, Oficial de Seguridad.

2 semanas
MODELO DE MEJORES PRACTICAS - COBIT

97/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 2/2

PLAN DE ACCIN

DOMINIO :

PLANEACIN Y PROCESO:
ORGANIZACIN

Control a Implementar
PO11 C4

PO11 Administracin
De la Calidad

ENFOQUE DE ASEGURAMIENTO DE LA CALIDAD DE LA ORGANIZACIN

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
a. Una revisin post-implementacin para asegurar que todos
los sistemas nuevos modificados sean desarrollados y
puestos en produccin de acuerdo con la metodologa del
ciclo de vida, el cual debe ser respetado por el equipo del
proyecto.
b. Una revisin en la medida que los sistemas nuevos
modificados han alcanzado los objetivos establecidos por la
administracin.
Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

1 mes

Objetivos de Control
Plan General de Calidad
Enfoque de
Aseguramiento de Calidad
Planeacin del
Aseguramiento de Calidad
Marco de Referencia de
Adquisicin y
Mantenimiento para la
Infraestructura de
Tecnologa
Evaluacin del
Aseguramiento de la
Calidad
sobre el Cumplimiento de
Estndares de
Desarrollo
Revisin del
Aseguramiento de Calidad
sobre
el Logro de los Objetivos
de TI

RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
6
5
6
42
30
7
6
5
6
42
30

PO11-C1-C4
PO11-C1-C4

42

30

PO11-C1-C4

10

50

10

30

PO11-C3

42

30

PO11-C2

42

30

PO11-C4

98/123

OBSERVACIN

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Pag 1/3

Diseo de un Sistema de Gestin de Seguridad

PLAN DE ACCIN

DOMINIO :

ADQUISICIN E
PROCESO:
IMPLEMENTACIN

AI6-Administrar
Cambios

que satisface los


requerimientos de
negocio de:

Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores

se hace posible a travs


de:

Un sistema de administracin que permita el anlisis, implementacin y seguimiento


de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual.

y toma en consideracin:

identificacin de cambios
procedimientos de categorizacin, priorizacin y emergencia
evaluacin del impacto
autorizacin de cambios
Administracin de liberacin
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
Rediseo de los procesos del negocio

CONTROLES
Control a Implementar
AI6 C1

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

CONTROL DE CAMBIOS

La Gerencia de TI deber asegurar que la administracin de cambios, as como


el control y la distribucin de software sean integrados apropiadamente en un
sistema completo de administracin de configuracin. El sistema utilizado para
monitorear los cambios a los sistemas de aplicacin debe ser automtico para
soportar el registro y seguimiento de los cambios realizados a grandes y
complejos sistemas de informacin.
Gerencia de Sistemas
8 meses

Control a Implementar
AI6 C2

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

SOFTWARE INSTALADO POR EL USUARIO


(USER INSTALLED SOFTWARE)

La organizacin deber dar restricciones explcitas para descargar e instalar


software por parte de los usuarios
Gerencia de Sistemas, Oficial de Seguridad.
1 mes

Control a Implementar
AI6 C3

RESTRICCIONES DE USO DE SOFTWARE.


(SOFTWARE USAGE RESTRICTIONS)

La organizacin deber obedecer a las restricciones de uso del software.


Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerencia de Sistemas, Oficial de Seguridad.


4 meses

99/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 2/3

PLAN DE ACCIN

DOMINIO :

ADQUISICIN E
PROCESO:
IMPLEMENTACIN

Control a Implementar
AI6 C4

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Control a Implementar
AI6 C5

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DOCUMENTACIN DE LOS SISTEMAS DE INFORMACIN

La organizacin deber asegurar que este disponible la adecuada


documentacin para el sistema de informacin y sus componentes constitutivos,
protegida cuando es requerido, y distribuida al personal autorizado.
Gerencia de Sistemas, Oficial de Seguridad.
1 mes

POLTICAS Y PROCEDIMIENTOS DE ADMINISTRACIN DE LA CONFIGURACIN

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(iii)
Una poltica de administracin de la configuracin formalmente
definida y documentada.z
(iv)
Procedimientos documentados para facilitar la implantacin de la
poltica de administracin de la configuracin y los controles
asociados
Gerencia de Sistemas, Oficial de Seguridad.
3 meses

Control a Implementar
AI6 C6

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

CONFIGURACIN BSICA

La organizacin deber desarrollar, documentar, y mantener actualizada la


configuracin bsica de los Sistemas de Informacin Computarizados y un
inventario de los componentes constitutivos del sistema.
Gerencia de Sistemas, Oficial de Seguridad.
4 meses

Control a Implementar
AI6 C7

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

AI6-Administrar
Cambios

CONFIGURATION SETTINGS

La organizacin deber configurar el ambiente de seguridad de los productos de


tecnologa de informacin al modo mas restrictivo posible, consistente con los
requisitos operacionales de los sistemas de informacin.
Gerencia de Sistemas, Oficial de Seguridad.
3 meses

100/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 3/3

PLAN DE ACCIN

DOMINIO :

ADQUISICIN E
PROCESO:
IMPLEMENTACIN

Control a Implementar
AI6 C8

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

AI6-Administrar
Cambios

BITCORA DE CONTROL DE CAMBIOS

La Gerencia de IT, deber establecer una bitcora de control de cambios sobre


los sistemas de informacin computarizados.
Gerencia de Sistemas
3 meses

Objetivos de Control

Control de Cambios
Distribucin de Software

RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
8
3
8
56
24
5
8
1
8
40
8

101/123

OBSERVACIN

AI6-C7, C1, C8, C6, C5


AI6-C2, C3, C4

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS - COBIT


EMPRESA : Ecuacolor

Fecha de diagnostico :

Diseo de un Sistema de Gestin de Seguridad

Pag 1/4

PLAN DE ACCIN

ENTREGA
SOPORTE

que satisface los


requerimientos de
negocio de:

Asegurar de los servicios de TI estn disponibles de acuerdo con los


requerimientos y asegurar un impacto mnimo en el negocio en el evento que
ocurra una interrupcin mayor.

se hace posible a travs


de:

Teniendo un plan de continuidad probado y funcional, que


est alineado con el plan de continuidad del negocio y relacionado
con los requerimientos de negocio.
Clasificacin con base en la criticidad
Procedimientos alternativos
Respaldo y recuperacin
Pruebas y entrenamiento sistemticos y regulares
Procesos de escalamiento y monitoreo
Responsabilidades organizacionales tanto internas como externas
Planes de reactivacin
Actividades de administracin de riesgos
Anlisis de punto nico de falla
Administracin de problemas

y toma en
consideracin:

Y PROCESO:

DS4 Asegurar

DOMINIO :

Continuidad del Servicio

CONTROLES
Control a Implementar
DS4 C1

POLTICAS Y PROCEDIMIENTOS DEL PLAN DE


CONTINGENCIA
La organizacin deber desarrollar, diseminar, y peridicamente
revisar/actualizar:
(v)
Una poltica del plan de contingencia con el propsito de
identificar los roles, responsabilidades y cumplimiento.
(vi)
Procedimientos documentados para facilitar la implantacin de la
polticas del plan de continuidad del negocio y los controles
asociados

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

1 mes

Control a Implementar
DS4 C2

Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS4 C3

PLAN DE CONTINGENCIA

La organizacin debe desarrollar implementar un Plan de Contingencia para


los sistemas de informacin . Designar un oficial para que revise y apruebe el
plan de contingencia y distribuya copias al personal clave de la contingencia
Gerente de Sistemas, Oficial de Seguridad.

10 meses

ENTRENAMIENTO PARA LA CONTINGENCIA

La organizacin debe entrenar al personal involucrado en la contingencia con


sus roles , responsabilidades con respecto a los sistemas de informacin y
proveer constantemente entrenamiento . La organizacin debe incorporar
eventos de simulacro dentro del entrenamiento de la contingencia para una
respuesta efectiva del personal en situaciones de crisis

102/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

2 semanas

MODELO DE MEJORES PRACTICAS - COBIT


Fecha de diagnostico :
EMPRESA : Ecuacolor
Diseo de un Sistema de Gestin de Seguridad

Pag 2/4

PLAN DE ACCIN

DOMINIO :

ENTREGA
SOPORTE

Control a Implementar
DS4 C4

Y PROCESO:

DS4 Asegurar
Continuidad del Servicio

PROBAR EL PLAN DE CONTINGENCIA

La organizacin debe probar el plan de contingencia para los sistemas de


informacin y determinar si el plan es efectivo y la organizacin est lista
para ejecutar el plan
Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

1 mes

Control a Implementar
DS4 C5

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

ACTUALIZACIN DEL PLAN DE CONTINGENCIA

La organizacin debe revisar el plan de contingencia , los cambios o problemas


encontrados durante la implementacin , ejecucin prueba del plan
Gerente de Sistemas, Oficial de Seguridad.

1 mes

Control a Implementar
DS4 C6

SITIO ALTERNO DE ALMACENAMIENTO

La organizacin debe identificar un sitio alterno de almacenamiento e iniciar


acuerdo necesarios que permitan almacenar la informacin de respaldo.
El sitio debe estar geogrficamente bien separado del sitio primario para que o
este expuesto a alguna amenaza. El sitio alterno debe estar configurado de
manera que sea oportuno y efectivo la recuperacin de la informacin.

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

1 mes

Control a Implementar
DS4 C7

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

SITIO ALTERNO DE PROCESAMIENTO

La organizacin debe identifica el sitio alterno de procesamiento e iniciar


los acuerdo necesarios que permita reiniciar las operaciones cuando no
este disponible el site primario. El sitio de procesamiento alterno debe
estar completamente configurado para soportar el mnimo de capacidad de
las operaciones y listo para su uso.
Gerente de Sistemas, Oficial de Seguridad.

3 mes

103/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 3/4

PLAN DE ACCIN

DOMINIO :

ENTREGA
SOPORTE

Control a Implementar
DS4 C8

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Control a Implementar
DS4 C10

DS4 Asegurar
Continuidad del Servicio

SERVICIO DE TELECOMUNICACIONES

La organizacin debe tener un servicio alterno de telecomunicaciones cuando


el servicio principal de comunicaciones no est disponible
Gerente de Sistemas, Oficial de Seguridad.

2 semanas

Control a Implementar
DS4 C9

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Y PROCESO:

BACKUP DE LOS SISTEMAS DE INFORMACIN

La organizacin debe respaldar y almacenar la informacin en una ubicacin


apropiadamente segura. Debe almacenar las copias de respaldos del sistema
operativo y otros sistemas crticos de informacin.
Gerente de Sistemas, Oficial de Seguridad.

3 meses

RECUPERACIN Y RECONSTITUCIN DE LOS SISTEMAS DE INFORMACIN

La organizacin debe emplear mecanismos con procedimientos de soporte para


permitir que el sistema de informacin sea recuperado y reconstituido al estado
original del sistema despus de una interrupcin falla.
La organizacin debe incluir una recuperacin y reconstitucin completa del
sistema de informacin como parte de la prueba del plan de contingencia.
Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Gerente de Sistemas, Oficial de Seguridad.

2 meses

104/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 4/4

PLAN DE ACCIN

DOMINIO :

ENTREGA
SOPORTE

Objetivos de Control
Contenido del Plan de
Continuidad de TI
Mantenimiento del Plan de
Continuidad de
Tecnologa de Informacin
Pruebas del Plan de
Continuidad de TI
Entrenamiento sobre el
Plan de Continuidad
de Tecnologa de
Informacin
Distribucin del Plan de
Continuidad de TI
Recursos Crticos de
Tecnologa de
Informacin
Estrategia y Filosofa del
Plan de Continuidad
de TI
Sitio y Hardware de
Respaldo
Almacenamiento de
respaldo en el sitio alterno
(Off-site)
Procedimiento de
afinamiento del Plan de
Continuidad

Y PROCESO:

DS4 Asegurar
Continuidad del Servicio

RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
9
10 90
3
10 30

DS4-C1, C2,

10

90

10

30

DS4-C1,C2, C5

10

90

10

30

DS4-C1,C2,C4

72

24

DS4-C1, C2, C3

72

24

DS4-C1,C2

72

40

DS4-C1,C2, C10

56

32

DS4-C1,C2,C10

10

50

10

40

DS4-C1,C6,C7,C8

10

50

10

30

DS4-C1, C2, C9

54

30

DS4-C1,C10

105/123

OBSERVACIN

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/9

PLAN DE ACCIN

DOMINIO :

ENTREGA Y
SOPORTE

que satisface los


requerimientos de
negocio de:

Salvaguardar la informacin contra uso no autorizados, divulgacin,


modificacin, dao o prdida

se hace posible a travs


de:

Controles de acceso lgico que aseguren que el acceso a sistemas, datos y


programas est restringido a usuarios autorizados.

y toma en
consideracin:

Requerimiento de confidencialidad y privacidad


Autorizacin, autenticacin y control de acceso
identificacin de usuarios y perfiles de autorizacin
Necesidad de tener y necesidad de conocer
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Administracin centralizada de la seguridad
Entrenamiento de usuarios
Herramientas para el monitoreo del cumplimiento
Pruebas y reportes de intrusin

PROCESO:

DS5-Garantizar la
seguridad de sistemas

CONTROLES
Control a Implementar
DS5 C1

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

POLTICA Y PROCEDIMIENTOS DE CONTROL DE ACCESO

La organizacin deber desarrollar, diseminar, y


peridicamente
revisar/actualizar:
(vii)
Una poltica de control de acceso formalmente definida y
documentada.
(viii)
Procedimientos documentados para facilitar la implantacin de la
poltica de control de acceso y los controles asociados
Gerentes de Sistema, Oficial de Seguridad.
3 meses

Control a Implementar
DS5 C2

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

REVISIN GERENCIAL DE CUENTAS DE USUARIO

La Gerencia deber contar con un proceso de control establecido para revisar y


confirmar peridicamente los derechos de acceso. Se debe llevar a cabo la
comparacin peridica entre los recursos y los registros de las cuentas para
reducir el riesgo de errores, fraudes, alteracin no autorizada o accidental.
Gerentes de Sistema, Oficial de Seguridad.
1 mes

EMPRESA : Ecuacolor

Fecha de diagnostico :

106/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Diseo de un Sistema de Gestin de Seguridad

Pag 2/9

PLAN DE ACCIN

DOMINIO :

ENTREGA Y
SOPORTE

Control a Implementar
DS5 C3

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

El sistema de informacin deber obligar a un lmite de intentos de accesos


invlidos consecutivo por un usuario durante un periodo de tiempo. El sistema
de informacin automticamente deber bloquear al usuario par un periodo
determinado, hasta que se libere el bloqueo por un funcionario con el nivel
apropiado.
Gerentes de Sistema, Oficial de Seguridad.
2 semanas

ADMINISTRACIN DE CUENTAS DE USUARIO

La Gerencia deber establecer procedimientos para asegurar acciones


oportunas relacionadas con la solicitud, establecimiento, emisin, suspensin y
cierre de cuentas de usuario. Deber incluirse un procedimiento de aprobacin
formal que indique el propietario de los datos o del sistema que otorga los
privilegios de acceso. La seguridad de acceso a terceros debe definirse
contractualmente teniendo en cuenta requerimientos de administracin y no
revelacin.
Gerentes de Sistema, Oficial de Seguridad.
1 mes

Control a Implementar
DS5 C5

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

SUPERVISIN Y REVISIN DE CONTROL DE ACCESO

La organizacin deber supervisar y revisar las actividades de los usuarios con


respecto a la aplicacin y uso de los controles de accesos a los sistemas de
informacin.
Gerente de sistemas, Oficial de Seguridad
1 mes

Control a Implementar
DS5 C6

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS5-Garantizar la
seguridad de sistemas

UNSUCCESSFUL LOGIN

Control a Implementar
DS5 C4

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROCESO:

ACCESO REMOTO

La organizacin deber documentar, monitorear, y controlar todos los mtodos


de acceso remoto (ej. Dial-up, internet) a los sistemas de informacin
incluyendo el accesos remoto para las funciones
Gerente de sistemas, Oficial de Seguridad
3 meses

107/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 3/9

PLAN DE ACCIN

DOMINIO :

ENTREGA Y
SOPORTE

Control a Implementar
DS5 C7

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

La organizacin se asegura a que todos los usuarios (incluyendo gerentes y los


altos ejecutivos) estn concientes de la importancia del sistema de seguridad de
la informacin antes de autorizar acceso a los sistemas de informacin y
despus de esto.
Gerente de sistemas, Oficial de Seguridad
2 meses

ENTRENAMIENTO DE SEGURIDAD (SECURITY TRAINING)

La organizacin deber identificar personal con perfiles y responsabilidades


significativos en el SGSI, documentar esos perfiles y responsabilidades, y
proporciona apropiado entrenamiento en seguridad de sistema de informacin
antes de autorizar el acceso al sistema y despus de esto.
Gerente de sistemas, Oficial de Seguridad
5 meses

REGISTROS DE ENTRENAMIENTO DE SEGURIDAD


(SECURITY TRAINING RECORDS)

Control a Implementar
DS5 C9

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS5-Garantizar la
seguridad de sistemas

CONCIENTIZACION RESPECTO A LA SEGURIDAD IT


(SECURITY AWARENESS)

Control a Implementar
DS5 C8

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROCESO:

La organizacin deber documentar y monitorear las actividades de


entrenamiento individual de seguridad bsico y especifico en los sistemas de
informacin.
Gerente de sistemas, Oficial de Seguridad
1 mes

Control a Implementar
DS5 C10

EVENTOS AUDITABLES (AUDITABLE EVENTS)

El sistema de informacin debe generar registros de auditora para los eventos


siguientes:
Inicios de sesin.
Transacciones que afectan la contabilidad, Inventario, Cxc, CxP,
Bancos.
Altas y Bajas de Maestros de: Cuentas Contables, Proveedores,
Clientes, Productos.
Intentos fallidos de inicio de sesin.
Control a Implementar
DS5 C11

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

CONTENIDO DE LOS REGISTROS DE AUDITORIA


(CONTENT OF AUDIT RECORDS)

Los Sistemas de Informacin Computarizados deben capturar suficiente


informacin en los registros de auditoria para establecer que eventos
ocurrieron, las fuentes de los eventos, y los resultados de los eventos.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses

108/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 4/9

PLAN DE ACCIN

DOMINIO :

ENTREGA Y
SOPORTE

Control a Implementar
DS5 C12

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

La organizacin asigna suficiente capacidad de almacenamiento y configura el


registro de la auditoria para prevenir que se excede tal espacio.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
1 mes

PROCESAMIENTO DE LA AUDITORIA
(AUDIT PROCESSING)

En el evento de una falla en el registro de la auditoria o la capacidad de


almacenamiento sea alcanzada, el sistema de informacin alertara
apropiadamente a los oficiales de la organizacin para que tomen las acciones
necesarias.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
2 meses

Control a Implementar
DS5 C14

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROTECCIN DE LA INFORMACIN DE AUDITORIA

El Sistema de Informacin Computarizado protege la informacin de los


LOGS e interfases de auditoria de acceso no autorizado, modificacin, y
borrado.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
1 mes

Control a Implementar
DS5 C15

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS5-Garantizar la
seguridad de sistemas

CAPACIDAD DE ALMACENAMIENTO PARA LOS LOGS DE AUDITORIA


(AUDIT STORAGE CAPACITY)

Control a Implementar
DS5 C13

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROCESO:

RETENCIN DE LA INFORMACIN DE LOS LOGS DE AUDITORIA


(AUDIT RETENTION)

La organizacin retiene los Logs de auditoria por 5 aos para proveer apoyo a
las investigaciones de despus de-el-hecho de incidentes de seguridad y para
reunir requerimientos regulatorios y organizacionales de retencin de
informacin.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
1 mes

109/123

Diseo de Sistema de Gestin de Seguridad de Informacin

Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 5/9

PLAN DE ACCIN

DOMINIO :

ENTREGA Y
SOPORTE

Control a Implementar
DS5 C16

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

La Gerencia deber implementar procedimientos para asegurar que todos los


datos son clasificados en trminos de sensitividad, mediante una decisin
explcita y formal del dueo de los datos de acuerdo con el esquema de
clasificacin de datos. An los datos que no requieren proteccin debern
contar con una decisin formal que les asigne dicha clasificacin. Los dueos
deben determinar la ubicacin o disposicin de sus datos y determinar quienes
pueden compartir los datos aun si y cuando los programas y archivos sean
mantenidos, archivados o borrados. Debe quedar evidencia de la aprobacin
del dueo y de la disposicin del dato. Se deben definir polticas para soportar
la reclasificacin de la informacin, basados sobre cambios en la sensitividad.
El esquema de clasificacin debe incluir criterios para administrar el
intercambio de informacin entre organizaciones, teniendo en cuenta tanto la
seguridad y el cumplimiento como la legislacin relevante.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses

POLTICA Y PROCEDIMIENTOS DE ACREDITACIN Y CERTIFICACIN

La organizacin deber desarrollar, diseminar, y


peridicamente
revisar/actualizar:
(ix)
Una poltica de acreditacin y certificacin formalmente definida
y documentada.
(x)
Procedimientos documentados para facilitar la implantacin de la
poltica de acreditacin y certificacin y los controles asociados
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses

Control a Implementar
DS5 C18

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS5-Garantizar la
seguridad de sistemas

CATEGORIZACIN DE LA INFORMACIN

Control a Implementar
DS5 C17

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROCESO:

CERTIFICACIN DE SEGURIDAD

La organizacin debera dirigir una valoracin de los controles de seguridad en


los sistemas de informacin para determinar hasta que punto los controles son
implementados correctamente, ejecutados como fueron planeado, y
produciendo el resultado deseado con respecto a los requisitos del SGSI.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses

EMPRESA : Ecuacolor

Fecha de diagnostico :

110/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Diseo de un Sistema de Gestin de Seguridad

Pag 6/9

PLAN DE ACCIN

DOMINIO :

ENTREGA Y
SOPORTE

Control a Implementar
DS5 C19

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

La organizacin debera desarrolla y actualiza, un plan de accin para el


sistema de informacin que documente los planes de la organizacin,
implementaciones, y evolucin de acciones tomadas para remediar cualquier
deficiencia notada durante la valoracin de los controles de seguridad, para
reducir o eliminar vulnerabilidades conocidas.
Gerente de sistemas, Oficial de Seguridad
3 meses

ACREDITACIN DE SEGURIDAD

La organizacin debera autorizar (es decir, acreditar) a los sistema de


informacin antes de empezar a funcionar y cada cierto tiempo. El oficial de
seguridad debera firmar y aprobar la acreditacin de seguridad
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
2 meses

Control a Implementar
DS5 C21

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

MONITOREO CONTINUO

La organizacin debera supervisar que los controles de seguridad en los


sistema de informacin se mantengan de una forma continua.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses

Control a Implementar
DS5 C22

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

POLTICA Y PROCEDIMIENTOS DE RESPUESTA A INCIDENTES

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(xi)
Una poltica de respuesta a incidentes formalmente definida y
documentada.
(xii)
Procedimientos documentados para facilitar la implantacin de la
poltica de respuesta a incidentes y los controles asociados
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses

Control a Implementar
DS5 C23

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS5-Garantizar la
seguridad de sistemas

PLAN OF ACTION AND MILESTONES

Control a Implementar
DS5 C20

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROCESO:

MANEJO DE INCIDENTES
(INCIDENT HANDLING)

La organizacin debera implementar una actividad de manejo de incidentes


para los eventos de seguridad y debera incluir: preparacin, deteccin y
anlisis, contencin, erradicacin, y recuperacin.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses

EMPRESA : Ecuacolor

Fecha de diagnostico :

111/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Diseo de un Sistema de Gestin de Seguridad

Pag 7/9

PLAN DE ACCIN

DOMINIO :

ENTREGA Y
SOPORTE

Control a Implementar
DS5 C24

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

La administracin de la funcin de servicios de informacin deber asegurar


que las violaciones y la actividad de seguridad sean registradas, reportadas,
revisadas y escaladas apropiadamente en forma regular para identificar y
resolver incidentes que involucren actividades no autorizadas. El acceso lgico
a la informacin sobre el registro de recursos de cmputo (seguridad y otros
logs) deber otorgarse tomando como base el principio de menor privilegio o
necesidad de saber.
Gerente de sistemas, Oficial de Seguridad
3 meses

INCIDENT REPORTING

La organizacin debera reportar rpidamente los informes de incidentes a las


autoridades apropiadas.
Gerente de sistemas, Oficial de Seguridad
1 mes

Control a Implementar
DS5 C26

Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C27

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS5-Garantizar la
seguridad de sistemas

REPORTES DE VIOLACIN Y DE ACTIVIDADES DE SEGURIDAD

Control a Implementar
DS5 C25

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROCESO:

INCIDENT RESPONSE ASSISTANCE

La organizacin debera proporcionar ayuda a los usuarios de los sistemas de


informacin para el manejo e informacin de los incidentes de seguridad.
Gerente de sistemas, Oficial de Seguridad
3 meses

POLTICA Y PROCEDIMIENTOS PARA LA PLANIFICACIN DE LA SEGURIDAD

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(i)
Una poltica para la planificacin de seguridad formalmente
definida y documentada.
(ii)
Procedimientos documentados para facilitar la implantacin de la
poltica de la planificacin de la seguridad y los controles
asociados
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
5 meses

112/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 8/9

PLAN DE ACCIN

DOMINIO :

ENTREGA Y
SOPORTE

Control a Implementar
DS5 C28

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

La organizacin debera desarrollar e implementar un plan de seguridad para


los sistema de informacin que proporciona una apreciacin global de los
requisitos de seguridad para los sistemas y una descripcin de la controles de
seguridad que existen o estn planeados implantar.
Gerente de sistemas, Oficial de Seguridad
3 meses

ACTUALIZAR PLAN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

La organizacin debera revisar el plan de seguridad para los sistemas de


informacin, para detectar cualquier desviacin o efectuar alguna correccin.
Gerente de sistemas, Oficial de Seguridad
3 meses

Control a Implementar
DS5 C30

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

REGLAS DE CONDUCTA

La organizacin debera establecer y hacer prontamente disponible a todos los


usuarios de los sistemas de informacin un juego de reglas que describen sus
responsabilidades y conducta esperada con respecto a los usos de los sistemas
de informacin.
La organizacin debera recibir firmado el reconocimiento de los usuarios en
donde se indica que ellos han ledo, han entendido, y han estado de acuerdo en
someterse a las reglas de conducta, antes de autorizar el acceso a los sistemas
de informacin.
Gerente de sistemas, Oficial de Seguridad
3 meses

Control a Implementar
DS5 C31

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS5-Garantizar la
seguridad de sistemas

PLAN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

Control a Implementar
DS5 C29

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROCESO:

CONTROL DE LOS USUARIOS SOBRE SUS CUENTAS

Los usuarios debern controlar en forma sistemtica la actividad de su(s)


propia(s) cuenta (s). Tambin se debern establecer mecanismos de
informacin para permitirles supervisar la actividad normal, as como alertarlos
oportunamente sobre actividades inusuales.
Gerente de sistemas, Oficial de Seguridad
3 meses

EMPRESA : Ecuacolor

Fecha de diagnostico :

113/123

Diseo de Sistema de Gestin de Seguridad de Informacin


Diseo de un Sistema de Gestin de Seguridad

Pag 9/9

PLAN DE ACCIN

DOMINIO :

ENTREGA Y
SOPORTE

Control a Implementar
DS5 C32

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROCESO:

PLAN DEL SISTEMA DE SEGURIDAD DE LA INFORMACIN

La organizacin debera desarrollar e implementar un plan de seguridad para los


sistema de informacin que proporciona una apreciacin global de los requisitos
de seguridad para los sistemas y una descripcin de la controles de seguridad que
existen o estn planeados implantar.
Gerente de sistemas, Oficial de Seguridad
3 meses

Control a Implementar
DS5 C33

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

VIGILANCIA DE SEGURIDAD

La administracin de seguridad de TI debe asegurar que la actividad de seguridad


sea registrada y que cualquier indicacin sobre una inminente violacin de
seguridad sea notificada inmediatamente a todos aquellos que puedan verse
afectados, tanto interna como externamente y se debe actuar de una manera
oportuna.
Gerente de sistemas, Oficial de Seguridad
3 meses

Objetivos de Control
Administrar Medidas de
Seguridad
Administracin de Cuentas
de Usuario
Revisin Gerencial de
Cuentas de Usuario
Control de Usuarios sobre
Cuentas de Usuario
Vigilancia de Seguridad
Clasificacin de Datos
Reportes de Violacin y de
Actividades de Seguridad
Manejo de Incidentes
Reacreditacin

DS5-Garantizar la
seguridad de sistemas

RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
9
8
5
8
72
40

OBSERVACIN

40

24

42

30

DS5-C1, C7, C8, C9, C19,


C20, C21, C27, C28, C29,
C30, C32
DS5-C1, C3, C4, C5, C6, C7,
C8
DS5-C2, C5, C6

56

40

DS5-C7, C31

56

24

7
7

6
8

42
56

5
3

6
8

30
24

40

24

36

28

DS5-C10, C11, C12, C13,


C14, C15, C33
DS5-C16
DS5-C10, C11, C12, C13,
C14, C15, C24
DS5-C22, C23, C24, C25,
C26
DS5-C17, C18, C20, C21

114/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/3

PLAN DE ACCIN

DOMINIO :

ADQUISICIN E
PROCESO:
IMPLEMENTACIN

DS11-Administrar los
Datos

que satisface los


requerimientos de
negocio de:

Asegurar que los datos permanezcan completos, precisos y vlidos durante


su entrada, actualizacin y almacenamiento

se hace posible a travs


de:

Una combinacin efectiva de controles generales y de aplicacin


sobre las operaciones de TI

y toma en consideracin:

Diseo de formatos
Controles de documentos fuente
Controles de entrada, procesamiento y salida
Identificacin, movimiento y administracin de la librera de medios
Recuperacin y respaldo de datos
Autenticacin e integridad
Propiedad de datos
Polticas de administracin de datos
Modelo de datos y estndares de representacin de datos
Integracin y consistencia a travs de plataformas
Requerimientos legales y regulatorios

CONTROLES
POLTICAS Y PROCEDIMIENTOS DE
ADMINISTRACIN DE DATOS

Control a Implementar
DS11 C1

La Organizacin deber disear, implementar y peridicamente


revisar/actualizar:

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Flujo de datos dentro de la funcin de TI y hacia/desde los usuarios de los


datos
Proceso de autorizacin de documentos fuente
Procesos de recoleccin, seguimiento y transmisin de datos
Procedimientos utilizados para identificar y corregir errores durante la
creacin de datos
Mtodos utilizados por la organizacin para retener documentos fuente
(archivo, imgenes, etc.), para definir qu documentos deben ser retenidos,
los requerimientos de retencin legales y regulatorios, etc.
Contratos de proveedores para llevar a cabo tareas de administracin de
datos
Reportes administrativos utilizados para monitorear actividades e
inventarios

Gerencia de Sistemas
8 meses

115/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 2/3

PLAN DE ACCIN

DOMINIO :

ADQUISICIN E
PROCESO:
IMPLEMENTACIN
CONTROLES

Control a Implementar
DS11 C2

DS11-Administrar los
Datos

REVISIN DE TODAS LAS APLICACIONES CRTICAS


La Gerencia de IT deber revisar:

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Mdulos que lleven a cabo revisiones de precisin, suficiencia y


autorizacin de captura en el ingreso de datos
Funciones que lleven a cabo entradas de datos para cada aplicacin
Funciones que lleven a cabo rutinas de correccin de errores de entrada de
datos
Mtodos utilizados para prevenir (por medios manuales y programados),
detectar y corregir errores
Control de la integridad de los procesos de datos enviados a proceso
Distribucin de salidas sensitiva slo a personas autorizadas
Procedimientos de balanceo de salidas para control de totales y
conciliacin de variaciones

Gerencia de Sistemas
7 meses

Control a Implementar
DS11 C3

POLTICAS Y PROCEDIMIENTOS DE REPOSITORIO


CENTRAL DE BASES DE DATOS
La organizacin deber establecer las normas, diseo y control:

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Organizacin de la base de datos y diccionario de datos


Procedimientos de mantenimiento y seguridad de bases de datos
Determinacin y mantenimiento de la propiedad de las bases de datos
Procedimientos de control de cambios sobre el diseo y contenido de la
base de datos
Reportes administrativos y pistas de auditora que definen actividades de
bases de datos

Gerencia de Sistemas
6 meses

116/123

Diseo de Sistema de Gestin de Seguridad de Informacin

MODELO DE MEJORES PRACTICAS COBIT


Fecha de diagnostico :
EMPRESA : Ecuacolor
Diseo de un Sistema de Gestin de Seguridad

Pag 3/3

PLAN DE ACCIN

DOMINIO :
Control a Implementar
DS11 C4

ADQUISICIN E
DS11-Administrar los
PROCESO:
IMPLEMENTACIN
Datos
POLTICAS Y PROCEDIMIENTOS DE LIBRERA DE
MEDIOS Y ALMACENAMIENTO DE DATOS EXTERNO
La organizacin deber definir los controles para:

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Administracin de la librera de medios y del sistema de administracin de


la librera
Requerir la identificacin externa de todos los medios
Requerir el inventario actual de todos los contenidos y procesos para
actividades de control
Procedimientos de reconciliacin entre registros actuales y registros de
datos almacenados
Reciclaje de datos y proteccin de informacin sensitiva
Rotacin de medios de datos
Inventario de datos de prueba y pruebas de recuperacin llevadas a cabo
Medios y funciones del personal en el sitio alterno en el plan de
continuidad
Asegurar que el archivo cumple con requerimientos legales y de negocio

Gerencia de Sistemas
3 meses

Objetivos de Control

Chequeos de Exactitud,
Suficiencia y Autorizacin
Integridad de
Procesamiento de Datos
Provisiones de Seguridad
para Reportes de
Salida
Proteccin de Informacin
Sensible durante
transmisin y transporte
Proteccin de Informacin
Sensitiva Desechada
Sistema de Administracin
de la Librera de
Medios
Archivo

RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
8
3
8
56
24

DS11-C1, C2, C3

40

24

DS11-C2, C3, C4

56

16

DS11-C2

56

24

DS11-C1

42

18

DS11-C4

56

16

DS11-C3, C4

42

18

DS11-C4

117/123

OBSERVACIN

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 1/5

PLAN DE ACCIN

DOMINIO :

ENTREGA
SOPORTE

Y PROCESO:

DS12 - Administrar las


instalaciones

que satisface los


requerimientos de
negocio de:

Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI


contra peligros naturales o fallas humanas.

se hace posible a travs


de:

La instalacin de controles fsicos y ambientales adecuados que sean revisados


regularmente para su funcionamiento apropiado.

y toma en
consideracin:

acceso a instalaciones
identificacin del sitio
seguridad fsica
Polticas de inspeccin y escalamiento
Planeacin de continuidad del negocio y administracin

de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado

CONTROLES
Control a Implementar
DS12 C1

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

POLTICAS Y PROCEDIMIENTOS DE MANTENIMIENTO DE SISTEMAS

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(xiii)
Una poltica de mantenimiento de sistemas formalmente definida
y documentada.
(xiv)
Procedimientos documentados para facilitar la implantacin de la
poltica de mantenimiento de sistemas y los controles asociados.
Gerente de Sistemas, Oficial de Seguridad.

1 mes

Control a Implementar
DS12 C2

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

MANTENIMIENTO PERIDICO

La organizacin deber fijar, realizar, y documentar el preventivo, rutinario y


regular mantenimiento en los componentes de los sistemas de informacin de
acuerdo con las especificaciones del fabricante o vendedor y/o las de los
requerimientos internos.
Gerente de Sistemas, Oficial de Seguridad.

2 meses

Control a Implementar
DS12 C3

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PERSONAL DE MANTENIMIENTO

La organizacin deber mantener una lista de personal autorizado para realizar


mantenimiento sobre el sistema de informacin. Slo personal autorizado
debera realizar mantenimiento en el sistema de informacin.
Gerente de Sistemas, Oficial de Seguridad.

2 semanas

118/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 2/5

PLAN DE ACCIN

DOMINIO :

ENTREGA
SOPORTE

Control a Implementar
DS12 C4

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(xv)
Una poltica de proteccin de medios formalmente definida y
documentada.
(xvi)
Procedimientos documentados para facilitar la implantacin de la
poltica de proteccin de medios y los controles asociados.
Gerente de Sistemas, Oficial de Seguridad.

1 mes

ACCESO A MEDIOS (MEDIA ACCESS)

La organizacin deber asegurar que slo los usuarios autorizados tienen


acceso a informacin en forma impresa o en medios de comunicacin digitales
extrados de los sistemas de informacin.
Gerente de Sistemas, Oficial de Seguridad.

1 mes

Control a Implementar
DS12 C6

Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS12 C7

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS12 - Administrar las


instalaciones

POLTICAS Y PROCEDIMIENTOS DE PROTECCIN DE MEDIOS.

Control a Implementar
DS12 C5

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Y PROCESO:

DESTRUCCIN Y DISPOSICIN DE MEDIOS


(MEDIA DESTRUCTION AND DISPOSAL)

La organizacin deber sanear o destruir los medios digitales de los sistemas


de informacin antes de su disposicin o descargo, para reutilizar fuera de la
organizacin, para prevenir que individuos no autorizados puedan obtener
acceso y usar la informacin contenida en estos.
Gerente de Sistemas, Oficial de Seguridad.

1 mes

POLTICAS Y PROCEDIMIENTOS DE PROTECCIN AMBIENTAL Y FSICA.

La organizacin deber desarrollar, diseminar, y peridicamente


revisar/actualizar:
(xvii) Una poltica de proteccin de ambiental y fsica formalmente
definida y documentada.
(xviii) Procedimientos documentados para facilitar la implantacin de la
poltica de proteccin ambiental y fsica y los controles
asociados.
Gerente de Sistemas, Oficial de Seguridad.

1 mes

119/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 3/5

PLAN DE ACCIN

DOMINIO :

ENTREGA
SOPORTE

Control a Implementar
DS12 C8

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

La organizacin deber desarrollar y conservar listas actualizadas del personal


con acceso autorizado a los recursos de los sistemas de informacin y debern
portar credenciales apropiadas de autorizacin (ej., insignias, tarjetas de
identificacin). El oficial de seguridad debe revisar y aprobar la lista de acceso
y la autorizacin de credenciales.
Gerente de Sistemas, Oficial de Seguridad.

2 semanas

CONTROL DE ACCESO FSICO

La organizacin deber controlar todos los puntos de acceso fsico a los


recursos de los sistemas de informacin y verificar autorizaciones de acceso
individuales antes de conceder acceso a los recursos. La organizacin tambin
deber controlar el acceso a las reas oficialmente designadas como
pblicamente accesible, como es apropiado, en acuerdo con la valoracin de
riesgos de la organizacin.
Gerente de Sistemas, Oficial de Seguridad.

3 meses

Control a Implementar
DS12 C10

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

MONITOREAR EL ACCESO FSICO

La organizacin deber monitorear el acceso fsico a los sistemas de


informacin para detectar y responder a incidentes.
Gerente de Sistemas, Oficial de Seguridad.

2 meses

Control a Implementar
DS12 C11

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS12 - Administrar las


instalaciones

AUTORIZACIONES DE ACCESO FSICO

Control a Implementar
DS12 C9

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Y PROCESO:

CONTROL DE VISITANTES

La organizacin deber controlar el acceso fsico a los sistemas de informacin


autenticando a los visitantes antes de autorizar acceso a los recursos.
Gerente de Sistemas, Oficial de Seguridad.

2 meses

120/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 4/5

PLAN DE ACCIN

DOMINIO :

ENTREGA
SOPORTE

Control a Implementar
DS12 C12

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Debern establecerse procedimientos apropiados que aseguren que las personas


que no formen parte del grupo de operaciones de la funcin de servicios de
informacin sean escoltadas por algn miembro de ese grupo cuando deban
entrar a las instalaciones de cmputo. Deber mantenerse y revisarse
regularmente una bitcora de visitantes.
Gerente de Sistemas, Oficial de Seguridad.

1 mes

BITCORA DE VISITANTES

La organizacin deber mantener una bitcora de visitantes que incluye:


(i)
el nombre y organizacin del persona que visita;
(ii)
la firma de el visitante;
(iii)
la forma de identificacin;
(iv)
la fecha de acceso;
(v)
tiempo de entrada y salida;
(vi)
propsito de visita; y
(vii)
el nombre y organizacin de la persona visitada.
El Oficial de Seguridad revisara regularmente la bitcora.
Gerente de Sistemas, Oficial de Seguridad.

2 semanas

Control a Implementar
DS12 C14

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

LUCES DE EMERGENCIA

La organizacin deber emplear y mantener un sistema automtico de luces de


emergencia que se activan al evento de un fallo de poder o ruptura y que cubre
salidas de emergencia y rutas de evacuacin.
Gerencia General, Gerente de Sistemas, Oficial de Seguridad.

7 meses

Control a Implementar
DS12 C15

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS12 - Administrar las


instalaciones

ESCOLTA DE VISITANTES

Control a Implementar
DS12 C13

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

Y PROCESO:

PROTECCIN CONTRA INCENDIOS

La organizacin deber emplear y mantener un sistema automtico de luces de


emergencia que se activan al evento de un fallo de poder o ruptura y que cubre
salidas de emergencia y rutas de evacuacin.
Gerencia General, Gerente de Sistemas, Oficial de Seguridad.

7 meses

121/123

Diseo de Sistema de Gestin de Seguridad de Informacin


MODELO DE MEJORES PRACTICAS - COBIT
Fecha de diagnostico :

EMPRESA : Ecuacolor

Diseo de un Sistema de Gestin de Seguridad

Pag 5/5

PLAN DE ACCIN

DOMINIO :

ENTREGA
SOPORTE

Y PROCESO:

Control a Implementar
DS12 C16

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

CONTROLES DE TEMPERATURA Y HUMEDAD

La organizacin deber monitorear la temperatura y humedad, y mantener


regularmente dentro de los niveles aceptables las instalaciones de Tecnologa.
Gerencia General, Gerente de Sistemas, Oficial de Seguridad.

8 meses

Control a Implementar
DS12 C17

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

PROTECCIN CONTRA DAOS OCASIONADOS POR EL AGUA

La organizacin deber proteger el sistema de informacin de dao de agua que


resulta de la ruptura lneas de plomera u otras fuentes de goteo de agua
asegurando que las vlvulas maestras de "shutoff" son accesibles, funcionan
apropiadamente, y son conocidas por el personal principal.
Gerente General, Gerente de Sistemas, Oficial de Seguridad.

2 semanas
DISCRECIN SOBRE LAS INSTALACIONES DE
TECNOLOGA DE INFORMACIN

Control a Implementar
DS12 C18

Responsables de
implementacin
Plazo (tiempo de
ejecucin)

DS12 - Administrar las


instalaciones

La Gerencia de la funcin de servicios de informacin deber asegurar que se


mantenga un bajo perfil sobre la identificacin fsica de las instalaciones
relacionadas con sus operaciones de tecnologa de informacin. La informacin
sobre la ubicacin del sitio debe ser limitada y mantenerse con la adecuada
reserva.
Gerencia General, Gerente de Sistemas, Oficial de Seguridad.

8 meses

Objetivos de Control
Seguridad Fsica
Discrecin sobre las
Instalaciones de
Tecnologa de Informacin
Escolta de Visitantes
Proteccin contra Factores
Ambientales

RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
10 70
5
10 50
7

42

30

54

18

42

30

122/123

OBSERVACIN
DS12-C1, C2, C3, C4, C5,
C6, C9, C10
DS12-C3, C5, C18
DS12-C8, C9, C10, C11,
C12, C13
DS12-C7, C14, C15, C16,
C17

Diseo de Sistema de Gestin de Seguridad de Informacin

BENEFICIOS

La implantacin de un Sistema de Gestin de la Seguridad de la Informacin


proporciona a Ecuacolor Laboratorio Fotogrfico los siguientes beneficios:

Un anlisis de riesgos de sus Sistemas de Informacin.


Una gestin adecuada de los riesgos segn su modelo de empresa.
Una mejora continua de su gestin de la seguridad.
El cumplimento de la legislacin vigente sobre proteccin de datos de carcter
personal, comercio electrnico, propiedad intelectual, etc.
Facilita el logro de los objetivos de la organizacin.
Hace a la organizacin ms segura y consciente de sus riesgos.
Mejoramiento contino del Sistema de Control Interno.
Optimiza la asignacin de recursos.
Aprovechamiento de oportunidades de negocio.
Fortalece la cultura de autocontrol.
Mayor estabilidad ante cambios del entorno.
Conocer y Analizar sus riesgos, identificando amenazas, vulnerabilidades e
impactos en su empresa.
Reducir eficazmente el nivel de riesgo mediante los controles adecuados
Organizar los recursos de la seguridad.
Integra la Gestin de la Seguridad SI.
Aporta confianza a los sistemas de informacin

Y en definitiva, establece una cultura de la seguridad y una excelencia en el tratamiento


de la informacin en todos sus procesos de negocio. As, aporta un valor aadido de
reconocido prestigio, en la calidad de los servicios que ofrece a sus clientes.

123/123

Вам также может понравиться