Академический Документы
Профессиональный Документы
Культура Документы
CONTENIDO
1. Objetivo
2. Introduccin.
3. Entendimiento del Negocio.
3.1. Informacin Institucional.
3.2. Marco Operativo.
3.3. Informacin del Ambiente de Sistemas.
3.3.1. Catlogo de Aplicaciones.
3.3.2. Recursos Humanos Centro de Computo.
3.3.3. Recursos Tecnolgicos.
3.3.4. Comunicacin y transferencia de Informacin a travs de la
organizacin.
3.3.5. Estrategia.
4. Modelo de mejores prcticas utilizado: COBIT
5. Propuesta metodolgica para el diseo del SGSI de ECUACOLOR.
6. Modelo de madurez de los 7 procesos de Seguridad de Informacin.
6.1. PO9.- Evaluar los Riesgos.
6.2. PO11.- Administrar Calidad.
6.3. A16.- Administrar Cambios.
6.4. DS4 .- Asegurar el Servicio Continuo.
6.5. DS5 .- Garantizar la Seguridad de los Sistemas.
6.6. DS11 .- Administrar los Datos.
6.7. DS12 .- Administrar Instalaciones.
7. La evaluacin de riesgos de los 105 objetivos de control.
7.1. Administracin de Riesgos.
7.2. Proceso de administracin de Riesgos.
6.2.1. Establecer Marco General.
6.2.2. Identificar Riesgos.
6.2.3. Anlisis de Riesgos.
6.2.4. Evaluar y Priorizar Riesgos.
6.2.5. Controles existentes para los riesgos de ms alta exposicin.
6.2.6. Tratamiento del Riesgo.
8. Plan de Accin.
9. Beneficios.
ANEXOS
A1. Glosario de trminos.
A2 Mapa General de Procesos.
A3. Organigrama de la Empresa.
A4. Organigrama de Sistemas.
A5 Proceso de Ventas a Distribuidores.
A5. Procesos de Ventas en Retail.
A6. Polticas Bsica de Seguridad de Informacin.
A7. Factores Crticos de xito.
A8. Indicadores Claves de Desempeo.
1/123
1. OBJETIVO
El objetivo de nuestra tesis es el Diseo de un Sistema de Gestin de Seguridad de la
Informacin para la empresa ECUACOLOR, basado en el anlisis de la empresa y el
conocimiento adquirido durante el Diplomado de Auditora Informtica
Un segundo objetivo es contribuir para que las empresas ecuatorianas tomen conciencia
de la necesidad de implementar Sistemas de Seguridad, como una herramienta que
ayudar a cumplir con las metas y objetivos de la empresas, ayudndoles en la gestin
del negocio y ser ms competitivas en el mercado.
2/123
2. INTRODUCCIN
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas
ms poderosas para materializar uno de los conceptos ms vitales y necesarios para
cualquier organizacin empresarial, Los Sistemas de Informacin de la empresa.
La Informtica hoy, es la base en la gestin integral de la empresa, y por eso las normas
y estndares propiamente informticos deben estar, por lo tanto, sometidos a controles.
Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de
decisiones, pero no decide por s misma. Por ende, debido a su importancia en el
funcionamiento de una empresa, se hace necesario un Sistema de Gestin de Seguridad
de Informacin.
La informacin en la empresa es uno de los mas importantes activos que posee. Las
organizaciones tienen que desarrollar mecanismos que les permitan asegurar la
disponibilidad, integridad y confidencialidad en el manejo de la informacin. La
informacin est sujeta a muchas amenazas tanto de ndole externa como externa.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control
correspondiente, o al menos debera estarlo.
La importancia de llevar un control de los recursos de los Sistemas de Tecnologa de
Informacin se puede deducir de varios aspectos. He aqu algunos:
Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informtico, por eso, la necesidad de un Sistema de Gestin de Seguridad de
Informacin..
Nuestro Proyecto de Diseo de un Sistema de Gestin de seguridad de Informacin
SGSI incluye 9 captulos y 8 anexos.
3/123
4/123
5/123
MISION
VISION
Ser la empresa de mayor rentabilidad dentro de la industria de imgenes del pas, con
personal altamente calificado, motivado y profesional; sirviendo en cada rea de la
empresa y el mercado; con una participacin de mercado no menor al 70%.
VALORES
El cliente es primero.
Honestidad y lealtad que asegure la integridad de la empresa.
Capacidad para enfrentar cambios y adaptarnos a nuevas situaciones.
Educacin y aprendizaje constante para lograr la superacin personal y profesional.
Tenacidad y perseverancia para alcanzar nuestros objetivos.
Reconocimiento pblico y remuneracin econmica ante el buen desempeo.
Comunicacin abierta para promover el trabajo en equipo.
Innovacin constante, iniciativa y creatividad para lograr productividad y eficiencia.
Respeto a las personas, a la sociedad y al medio ambiente.
6/123
PANORAMA ACTUAL
Ecuacolor es una marca reconocida, posee una presencia bastante fuerte en el mercado
fotogrfico a nivel nacional, con ms de 100 fototiendas. Ha llegado a poseer el 70% de
participacin del mercado.
Los costos de estos proyectos son bastante significativos dentro de los resultados de la
empresa, por eso razn la evaluacin y adquisicin de la tecnologa antes mencionada
debe ser llevada a cabo de la mejor manera posible.
7/123
PRODUCTOS CLAVES
SERVICIOS CLAVES
Revelado fotogrfico.
Ampliaciones.
Montajes.
Retoques
Copias.
LINEAS DE NEGOCIO
Distribucin.- Se encarga de la venta de mercadera y revelado al por mayor. Los
distribuidores tienen lneas de crdito, descuentos, y promociones especiales.
Fototiendas.- Se encarga de la venta de mercadera al por menor y el revelado
fotogrficos.
CLIENTES
Fotgrafos.- Clientes que se dedican a la fotografa profesional, tienen descuentos y
promociones especiales.
Distribuidores.- Clientes que estn autorizados a vender mercadera, recibir trabajos de
revelados y a facturarlos.
Aficionados.- Cliente que no se dedica a la fotografa como actividad profesional.
8/123
ORGANIGRAMA DE LA EMPRESA.
Ver anexo A3.
Correo Interno.
Acceso al Internet.
Interconexin a travs de micro-ondas con antenas de punto de vista en las
fototiendas que estn dentro de un almacn Comandato.
Administracin y soporte especializado de la red corporativa y base de datos.
Existe un Gerente de Sistemas que es corporativo, los Jefes del Dpto. de Informtica de
Quito y Guayaquil estn subordinados a la Gerencia de Sistemas corporativas.
9/123
Distribucin
Retail.
Los precios de ventas para la cadena de retail, estn clasificados por tipo de
cliente (Aficionado y Fotgrafo), provincia, y en alguno casos por el nivel
socio-econmico del lugar en donde este ubicada la fototienda. Todos los
precios son revisados y aprobados por la alta gerencia.
Los descuentos estn ya incluido en la lista de precios para el caso de los
fotgrafos, y en el caso de los aficionados deben sujetarse al termino de la
promocin a la que desean aplicar.
Todas las ventas (actualmente) son en efectivo.
10/123
COMPRAS DE INVENTARIO.
La mayora de las compras son de mercadera para la venta y materia prima para
el proceso de revelado fotogrfico.
Existen contratos de arrendamientos por los locales que no son propios y estn
siendo usados por las fototiendas.
Existen prstamos bancarios, pero no son de gran impacto en el estado
financiero.
Existen prstamos entre compaas del grupo.
Todas los cuentas por pagar son aprobados y monitoreadas. Para la aprobacin existe
una poltica bien definido por montos de compra. La informacin de las cuentas por
porgar es semanalmente revisada e informada a la gerencia.
SALDOS DE EFECTIVO
11/123
Venta en FotoTiendas.
Venta a distribuidores.
Ventas.
Mercadeo.
Produccin. (Revelado Fotogrfico)
Logstica
Administracin y control de fototiendas.
Administracin de fondos y flujo de efectivo.
12/123
S.Operativo
Linux
Transaccionalidad
MEDIA ALTA
Sistema Administrativo
Financiero. (Contabilidad, Cxc,
Cxp)
Sistema de Administracin de
Inventario
SCO Unix
SCO Unix
Informix
ALTA
Sistema de Facturacin a
Distribuidores
Sistema de Compras Locales
SCO Unix
Informix
SCO Unix
Informix
Sistema de Importaciones
SCO Unix
Informix
SCO Unix
W9x
SCO Unix
Informix
FoxPro 2.6
Informix
Facturacin Distribuidores
Facturacin Retail.
Administracin de Inventario
Facturacin Distribuidores
Administracin de Inventario
Adquisiciones
Administracin de Inventario
Adquisiciones
Administracin de Inventario
Facturacin Retail.
Facturacin Retail.
Toma de decisiones Gerenciales
W2K
SQLServer
Administracin y Rendicin de
Cuentas.
MEDIA
ALTA
MEDIA ALTA
MEDIA
MEDIA ALTA
MEDIA BAJA
MEDIA
MEDIA
MEDIA ALTA
ALTA
BAJA
13/123
MEDIA BAJA
BAJA
14/123
CANTIDAD
1
2
3
2
HARDWARE.
RED.
Cableado estructurado categora 5 - 6.
Red Inalmbrica.
BACKBONE de comunicaciones.
Conexin dial-up con fototiendas.
15/123
3.3.5 ESTRATEGIA.
Tecnologa de Informacin tiene entre sus principales proyectos:
Cambios en Sistemas.
Ecuacolor esta considerando cambiar su sistema de punto de venta por
exigencias del S.R.I, y por requerimientos de las nuevas estrategias del negocio.
Tambin existe un plan para la actualizacin de la base de datos y sistema
operativos de los sistemas de la casa matriz.
16/123
eficiencia
efectividad
confidencialidad
integridad
disponibilidad
cumplimiento y
confiabilidad de la informacin.
17/123
Planeacin y Organizacin,
Adquisicin e Implementacin
Entrega de servicios y Soporte y
Monitoreo.
Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta.
Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario
de procesos de negocio podr asegurar que se proporciona un sistema de control
adecuado para el ambiente de tecnologa de informacin.
El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para
el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los
procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de
la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la
Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y
Soporte y el Monitoreo.
El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as
mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja
competitiva
Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel,
existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los
procesos de TI contra los 318 objetivos detallados de control recomendados por CobiT
para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su
mejoramiento.
Las Guas o Directrices Gerenciales de COBIT , desarrolladas recientemente, ayudan a la
Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del
Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la
Administracin la direccin para mantener bajo control la informacin de la empresa y sus
procesos relacionados, para monitorear el logro de las metas organizacionales, para
monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de
los logros organizacionales.
18/123
Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos
de TI de tal forma que la Administracin puede ubicarse en el puntodonde la organizacin
est hoy, donde est en relacin con los mejores de su clase en su industria y con los
estndares internacionales y as mismo determinar adonde quiere llegar;
Factores Crticos de xito (Critical Success Factors), que definen o determina cuales
son las mas importantes directrices que deben ser consideradas por la Administracin para
lograr control sobre y dentro de los procesos de TI.
Indicadores Claves del logro / Objetivos o de Resultados (Key Goal Indicators) los
cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del
hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los
Indicadores Clave de desempeo (Key Performance Indicators) los cuales son
indicadoresprimarios que definen la medida para conocer qu tan bien se est ejecutando el
proceso de TI frente o comparado contra el objetivo que se busca.
Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al
propsito de
responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y se
justifica el costo respecto al beneficio obtenido? Cules son
los indicadores de buen desempeo? Cules son
los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos?
Qu hacen otros?
Cmo nos podemos medir y comparar
19/123
20/123
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos
criterios a los que COBIT hace referencia como requerimientos de negocio para la
informacin. Al establecer la lista de requerimientos, COBIT combina los principios
contenidos en los modelos referenciales existentes y conocidos:
Calidad
Costo
Entrega o Distribucin (de servicio)
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin
Cumplimiento de leyes y regulaciones
Confidencialidad
Integridad
Disponibilidad
21/123
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad de
la informacin
22/123
Datos
Aplicaciones
Tecnologa
Instalaciones
Personas
CRITERIOS DE LA SEGURIDAD.Los criterios de la seguridad usados a nivel mundial por los modelos de mejores
prcticas y estndares son los siguientes:
Confidencialidad
Integridad
Disponibilidad
23/123
P01
P02
P03
P04
P05
P06
P07
P08
P09
P010
P011
AI1
AI2
AI3
AI4
AI5
AI6
PROCESOS COBIT
Definir un plan estratgico de sistemas
DS1
Definir la arquitectura de informacin
DS2
Determinar la direccin tecnolgica
DS3
Definir la organizacin y sus relaciones
DS4
Administrar las inversiones (en TI)
DS5
Comunicar la direccin y objetivos de la
gerencia
DS6
Administrar los recursos humanos
DS7
Asegurar el apego a disposiciones externas
DS8
Evaluar Riesgos
DS9
Administrar Proyectos
DS10
Administrar Calidad
DS11
DS12
Identificar soluciones de automatizacin
DS13
Adquirir y mantener software de aplicacin
Adquirir y mantener la arquitectura
tecnolgica
M1
Desarrollar y mantener procedimientos
M2
Instalar y acreditar sistemas de informacin
M3
Administrar cambios
M4
24/123
Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditoria independiente
25/123
26/123
Con el fin de asegurar que los requerimientos del negocio para la informacin se
cumplan, es necesario definir, implementar y monitorear adecuadas medidas de control
sobre esos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a
que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se
requiere de un sano marco referencial de Objetivos de Control para TI. El siguiente
diagrama ilustra este concepto.
27/123
PROCESO
PO9.- Evaluar Riesgo
28/123
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Efectividad
Confidencialidad
Integridad
Disponibilidad
Eficiencia
Cumplimiento
Confiabilidad
Efectividad
Eficiencia
Integridad
Confiabilidad
PROCESO
AI6.- Administrar cambios.
29/123
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Efectividad
Eficiencia
Integridad
Confiabilidad
Efectividad
Disponibilidad
Confidencialidad
Integridad
Eficiencia
Disponibilidad
Cumplimiento
Confiabilidad
PROCESO
DS5.- Garantizar la seguridad de los
sistemas.
Reacreditacin.
Confianza en Contrapartes.
Autorizacin de transacciones.
No negacin o no rechazo.
Sendero Seguro.
Proteccin de las funciones de
seguridad.
Administracin
de
Llaves
Criptogrficas.
Prevencin,
Deteccin
y
Correccin
de
Software
Malicioso.
Arquitectura de Firewalls y
conexin a redes pblicas.
Proteccin
de
Valores
Electrnicos.
Procedimientos de Preparacin de
Datos.
Procedimientos de Autorizacin
de Documentos Fuente.
Recopilacin
de
Datos
de
Documentos Fuente.
Manejo de errores de documentos
fuente.
Retencin de Documentos Fuente.
Procedimientos de Autorizacin
de Entrada de Datos.
Chequeos
de
Exactitud,
Suficiencia y Autorizacin.
Manejo de Errores en la Entrada
de Datos.
Integridad de Procesamiento de
Datos.
Validacin
y
Edicin
de
Procesamiento de Datos.
Manejo de Errores en el
Procesamiento de Datos.
Manejo y Retencin de Datos de
Salida.
Distribucin de Datos Salidos de
los Procesos.
Balanceo y Conciliacin de Datos
de Salida.
Revisin de Datos de Salida y
Manejo de Errores.
Provisiones de Seguridad para
Reportes de Salida.
Proteccin
de
Informacin
Sensible durante transmisin y
transporte.
Proteccin
de
Informacin
Sensitiva Desechada.
Administracin
de
Almacenamiento.
Perodos de Retencin y Trminos
de Almacenamiento.
30/123
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Integridad
Confiabilidad
PROCESO
DS12.-Administracin
instalaciones.
de
Sistema de Administracin de la
Librera de Medios
Responsabilidades
de
la
Administracin de la Librera de
Medios
Respaldo
(Back-up)
y
Restauracin
Funciones de Respaldo
Almacenamiento de Respaldos
Archivo
Proteccin de Mensajes Sensitivos
Autenticacin e Integridad
Integridad
de
Transacciones
Electrnicas
Integridad Continua de Datos
Almacenados
Seguridad Fsica
Discrecin sobre las Instalaciones
de Tecnologa de Informacin
Escolta de Visitantes
Salud y Seguridad del Personal
Proteccin
contra
Factores
Ambientales
Suministro Ininterrumpido de
Energa
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Integridad
Confiabilidad
Integridad
Disponibilidad
MODELO DE MADUREZ.El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en
desarrollar un mtodo de asignacin de puntos para que una organizacin pueda calificarse
desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo de
Madurez que el Software Engineering Institute defini para la madurez de la capacidad de
desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado
simplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no es
justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de
condiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparacin con
los niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracin
puede mapear:
31/123
PLANES DE ACCIN.Los controles que se sugieren implementar para mitigar los riesgos identificados en la
fase de evaluacin y priorizacion de riesgos, as como sus responsables y tiempos
aproximados de implementacin se pueden encontrar en los planes de accin.
Los planes de accin del Sistema de Seguridad de la Informacin aplicados a Ecuacolor
Laboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este documento.
32/123
MODELO DE MADUREZ DE
SEGURIDAD DE INFORMACIN
LOS 7
PROCESOS DE
Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente de medidas,
basada en una clasificacin de 0 hasta 5. La escala est asociada con las
descripciones del modelo genrico cualitativo de madurez que van desde Inexistente
hasta Optimizada de la forma siguiente:
ECTRICES GERENCIALES
34/123
La tabla siguiente describe esta creciente aplicacin de prcticas a travs de todos los
niveles para los distintos tpicos. Junto con el modelo cualitativo, constituye un modelo
genrico de madurez aplicable a la mayora de los procesos de TI.
36/123
EMPRESA : Ecuacolor
Pag 1/2
MODELO DE MADUREZ
PO9.- Evaluar los Riesgos
DOMINIO: PLANEACION Y
ORGANIZACIN
OBJETIVO DE CONTROL
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las
decisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas
reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin
importantes.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Inexistente La estimacin del riesgo para los procesos y las decisiones del negocio
no ocurre. La organizacin no considera los impactos del negocio asociados con
vulnerabilidades de la seguridad y con inseguridades de proyectos de desarrollo. Es
improbable que la administracin de riesgos sea identificada dentro del plan de un
proyecto o sea asignada a administradores especficos involucrados en el proyecto.
La administracin de TI no especifica responsabilidad para la administracin del
riesgo en las descripciones de los puestos de trabajo u otro medio informal.
Riesgos especficos relacionados con TI como la seguridad, disponibilidad e
integridad son considerados ocasionalmente por proyecto.
Inicial /Ad Hoc La organizacin est conciente de sus responsabilidades y
obligaciones legales y contractuales, pero considera los riesgos de TI de manera ad
hoc, sin seguir procesos o polticas definidas. Tienen lugar evaluaciones informales
del riesgo de proyecto a medida que lo determina cada proyecto. No es probable
que las evaluaciones de riesgo sean identificadas especficamente dentro del plan
de un proyecto o a ser asignado a administradores especficos involucrados en el
proyecto. La administracin de TI no especifica responsabilidad por la
administracin del riesgo en las descripciones de puestos de trabajo u otro medio
informal. Los riesgos especficos relacionados con TI como son la seguridad,
disponibilidad e integridad son ocasionalmente considerados por proyecto. Los
riesgos relacionados con TI que afectan las operaciones cotidianas se discuten con
poca frecuencia en las reuniones de la administracin. Cuando se han considerado
los riesgos, la mitigacin es inconsistente.
Repetible pero Intuitivo Ha surgido un entendimiento de que los riesgos de TI
son importantes y que es necesario considerarlos. Existe algn enfoque de
evaluacin de riesgos, pero el proceso es todava inmaduro y est en desarrollo. La
evaluacin es usualmente a un nivel elevado y tpicamente se aplica slo a los
proyectos importantes. La evaluacin de las operaciones en curso depende
principalmente de los administradores de TI que lo presentan como un punto de la
agenda, lo cual a menudo slo ocurre cuando surgen problemas. La administracin
de TI generalmente no tiene definidos procedimientos o descripciones de puestos
de trabajo que se encarguen de la administracin del riesgo.
38/123
EMPRESA : Ecuacolor
Pag 2/2
MODELO DE MADUREZ
PO9.- Evaluar los Riesgos
DOMINIO: PLANEACION Y
ORGANIZACIN
OBJETIVO DE CONTROL
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las
decisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas
reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin
importantes.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
39/123
EMPRESA : Ecuacolor
Pag 1/1
MODELO DE MADUREZ
PO11.- Administrar Calidad
DOMINIO: PLANEACION Y
ORGANIZACIN
OBJETIVO DE CONTROL
Control sobre el proceso de TI Administrar la Calidad con el objetivo del negocio de
satisfacer los requerimientos de TI del cliente.
Estado Actual :
0
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Inexistente La organizacin no ha reconocido que existe un problema que debe ser
reconocido.
Inicial /Ad Hoc Hay evidencia de que la organizacin ha reconocido que los problemas
existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en
cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o caso por
caso. El mtodo general de la administracin es desorganizado.
Repetible pero Intuitivo Los procesos se han desarrollado hasta el punto en que
diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No
hay capacitacin o comunicacin formal de procedimientos estndar y la responsabilidad
se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas
y por lo tanto es probable que haya errores.
Proceso Definido Los procedimientos han sido estandarizados y documentados, y
comunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la persona el
seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los
procedimientos mismos no son sofisticados sino que son la formalizacin de las prcticas
existentes.
Administrado y Medible Es posible monitorear y medir el cumplimiento de los
procedimientos y emprender accin donde los procesos parecen no estar funcionando
efectivamente. Los procesos estn bajo constante mejoramiento y proveen buena prctica.
Se usan la automatizacin y las herramientas en una forma limitada o fragmentada.
Optimizado Los procesos han sido refinados hasta un nivel de la mejor prctica, basados
en los resultados de mejoramiento continuo y diseo de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez.
40/123
EMPRESA : Ecuacolor
Pag 1/2
MODELO DE MADUREZ
AI6.- Administrar Cambios
DOMINIO: ADQUISICIN E
IMPLEMENTACIN
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Inexistente. No hay un proceso definido de administracin de cambios y se pueden hacer
cambios prcticamente sin control alguno. No hay conciencia de que los cambios pueden
causar interrupciones tanto para TI como para las operaciones de negocios, y ninguna
conciencia de los beneficios de una buena administracin de cambios.
Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero
no hay un proceso consistente para seguimiento. Las prcticas varan y es probable que
ocurran cambios no autorizados. Hay documentacin insuficiente o inexistente de
cambios, y la documentacin de configuracin est incompleta y no es confiable. Es
probable que ocurran errores junto con interrupciones en el entorno de produccin
causados por una administracin deficiente del cambio.
Repetible pero Intuitiva Hay un proceso informal de administracin de cambios y la
mayora de los cambios siguen este mtodo; sin embargo, el mismo no est estructurado,
es rudimentario y est propenso a error. La precisin de la documentacin de
configuracin es inconsistente y slo tiene lugar una planeacin y un estudio de impacto
limitados antes de un cambio. Hay considerable ineficiencia y repeticin de trabajo.
Proceso Definido Est establecido un proceso formal de administracin de cambios, que
incluye procedimientos de categorizacin, priorizacin, emergencia, autorizacin y
administracin de cambios, pero no se impone su cumplimiento. El proceso definido no
siempre es visto como adecuado o prctico y, en consecuencia, ocurren trabajos paralelos y
los procesos son desviados. Es probable que ocurran errores y los cambios no autorizados
ocurrirn ocasionalmente. El anlisis de impacto a los cambios de TI sobre las operaciones
del negocio se estn volviendo formales para soportar la ejecucin de los planes para
nuevas aplicaciones y tecnologas.
Administrado y Medible El proceso de administracin de cambios est bien desarrollado
y es seguido de manera consistente para todos los cambios, y la administracin confa en
que no hay excepciones. El proceso es eficiente y efectivo, pero se basa en considerables
procedimientos y controles manuales para asegurar que se logre la calidad. Todos los
cambios estn sujetos a una planeacin y estudio de impacto exhaustivos para minimizar la
probabilidad de problemas posteriores a la produccin. Est establecido un proceso de
aprobacin para los cambios. La documentacin de administracin de cambios est al da y
es correcta, y los cambios son rastreados formalmente. La documentacin de la
configuracin est generalmente actualizada. La planeacin e implementacin de la
administracin de cambios de TI se est volviendo ms integrada con cambios en los
procesos de negocios, para asegurar ese entrenamiento, se resuelven cambios organizativos
y problemas de continuidad de negocio. Hay mayor coordinacin entre la administracin
de cambios de TI y el rediseo del proceso de negocios.
41/123
Fecha de diagnostico :
Pag 2/2
MODELO DE MADUREZ
AI6.- Administrar Cambios
DOMINIO: ADQUISICIN E
IMPLEMENTACIN
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:
42/123
EMPRESA : Ecuacolor
Pag 1/2
MODELO DE MADUREZ
DS4 .- Asegurar el Servicio Continuo
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:3
CRITERIOS DE CALIFICACIN
43/123
EMPRESA : Ecuacolor
Pag 2/2
MODELO DE MADUREZ
DS4 .- Asegurar el Servicio Continuo
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
44/123
Pag 1/2
MODELO DE MADUREZ
DS5 .- Garantizar la Seguridad de los
DOMINIO: ENTREGA Y SOPORTE
Sistemas
OBJETIVO DE CONTROL
El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el
objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin
no autorizada, dao o prdida.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
45/123
EMPRESA : Ecuacolor
Pag 2/2
MODELO DE MADUREZ
DS5 .- Garantizar la Seguridad de los
Sistemas
OBJETIVO DE CONTROL
El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el
objetivo del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin
no autorizada, dao o prdida.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
46/123
EMPRESA : Ecuacolor
Pag 1/2
MODELO DE MADUREZ
DS11 .- Administrar los Datos
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
47/123
Pag 2/2
MODELO DE MADUREZ
DS11 .- Administrar los Datos
DOMINIO: ENTREGA Y SOPORTE
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
48/123
Pag 1/2
MODELO DE MADUREZ
DS12 .- Administrar Instalaciones
DOMINIO : Entrega y Soporte
OBJETIVO DE CONTROL
Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de
proveer un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos
naturales y provocados por el hombre.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Inexistente. No hay conciencia de la necesidad de proteger las Instalaciones o la inversin
en los recursos de computacin. Los factores ambientales, incluyendo la proteccin contra
incendios, el polvo, la energa y el calor y la humedad excesivos, no son monitoreados ni
controlados.
Inicial /Ad hoc La organizacin ha reconocido un requerimiento del negocio de proveer
un entorno fsico adecuado que proteja los recursos y el personal de los riesgos naturales y
provocados por el hombre. No existen procedimientos estndar y la administracin de
Instalaciones y equipo depende de las habilidades y capacidades de las personas clave. No
se revisa el mantenimiento y la gente se mueve dentro de las Instalaciones sin restriccin.
La administracin no monitorea los controles ambientales de la instalacin ni el
movimiento de personal.
Repetible pero intuitivo La conciencia de la necesidad de proteger y de controlar el
entorno fsico de computacin es reconocida y evidente en la asignacin de los
presupuestos y de otros recursos. Los controles ambientales son implementados y
monitoreados por el personal de operaciones. La seguridad fsica es un proceso informal,
impulsado por un pequeo grupo de empleados que tienen un alto nivel de preocupacin
sobre la seguridad de las Instalaciones fsicas. Los procedimientos de mantenimiento de las
Instalaciones no estn bien documentados y se basan en las mejores prcticas de unas
pocas personas. Las metas de la seguridad fsica no se basan en ningn estndar formal y
la administracin no asegura que se logren los objetivos de seguridad.
Proceso Definido La necesidad de mantener un entorno controlado de computacin es
entendida y aceptada dentro de la organizacin. Los controles ambientales, de
mantenimiento preventivo y de seguridad fsica son rubros del presupuesto aprobados y la
administracin les hace seguimiento. Se aplican restricciones de acceso, permitindose el
acceso a las Instalaciones de computacin slo al personal aprobado. Los visitantes son
registrados y a veces escoltados, dependiendo del personal responsable. Las Instalaciones
fsicas tienen perfil bajo y no se pueden identificar fcilmente. Las autoridades civiles
monitorean el cumplimiento de las reglamentaciones sanitarias y de seguridad. Los riesgos
estn asegurados, pero no se hace esfuerzo alguno para optimizar los costos de seguros.
49/123
EMPRESA : Ecuacolor
Pag 2/2
MODELO DE MADUREZ
DS12 .- Administrar Instalaciones
OBJETIVO DE CONTROL
Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de
proveer un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos
naturales y provocados por el hombre.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Administrado y Medible La necesidad de mantener un entorno controlado de
computacin es entendida totalmente, como es evidente en la estructura organizacional y
en la asignacin de presupuesto. Los requerimientos ambientales y de seguridad fsica
estn documentados y el acceso est estrictamente controlado y monitoreado. La
responsabilidad y la propiedad han sido establecidas y comunicadas. El personal de las
Instalaciones ha sido totalmente entrenado en situaciones de emergencia, as como tambin
en prcticas sanitarias y de seguridad. Estn estandarizados los mecanismos de control
para restringir el acceso a las Instalaciones y para resolver factores ambientales y de
seguridad. La administracin monitorea la efectividad de los controles y el cumplimiento
de las normas establecidas. La recuperacin de los recursos de computacin est
incorporada al proceso corporativo de administracin de riesgos. Estn desarrollados
planes para toda la organizacin, se llevan a cabo pruebas regulares e integradas y las
lecciones aprendidas son incorporadas en las revisiones de los planes. La informacin
integrada se usa para optimizar la cobertura de seguros y los costos relacionados.
Optimizado Hay un plan a largo plazo para las Instalaciones que se requiere que soporten
el entorno de computacin de la organizacin. Las normas estn definidas para todas las
Instalaciones, abarcando la seleccin del sitio, la construccin, custodia, seguridad de
personal, sistemas mecnico y elctrico, proteccin contra incendio, rayo e inundacin.
Todas las Instalaciones son inventariadas y clasificadas en conformidad con el proceso de
administracin de riesgos de la organizacin en progreso. El acceso est estrictamente
controlado y se basa en la necesidad para el trabajo, es monitoreado constantemente y los
visitantes son escoltados en todo momento. El entorno es monitoreado y controlado por
medio de equipo especializado y las salas de equipos se vuelven automatizadas. Los
programas de mantenimiento preventivo hacen cumplir estrictamente los programas y se
aplican pruebas regulares a los equipos sensitivos. La estrategia y normas de las
Instalaciones estn en correspondencia con los objetivos de disponibilidad de servicios de
TI y estn integradas con la planeacin de la continuidad del negocio y con la
administracin de crisis. La administracin revisa y optimiza las Instalaciones
constantemente, capitalizando sobre las oportunidades de mejorar la contribucin del
negocio.
50/123
51/123
RESUMEN GERENCIAL DEL MODELO DE MADUREZ PARA LOS PROCESOS DE SEGURIDAD DE LA INFORMACIN
PO9
PO11
Administrar Calidad
AI6
Administrar Cambios
DS4
DS5
DS11
DS12
Administrar Instalaciones
Inexistente
Repetible pero
Intuitivo
Proceso
Definido
Administrado y
Medible
Optimizado
52/123
7
7.1
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y
administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de
riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar
las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia
el cumplimiento de las metas y determinando que tan bien se estn desarrollando los
procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de
la organizacin contra las mejores practicas industriales y los modelos internacionales.
53/123
54/123
2. Identificar Riesgos
Monitorea
r y Revisar
3. Anlisis de Riesgos
55/123
Los costos de estos proyectos son bastante significativos dentro de los resultados de la
empresa, por eso razn la evaluacin y adquisicin de la tecnologa antes mencionada
debe ser llevada a cabo de la mejor manera posible.
Ecuacolor esta enfocado en 2 segmentos, la venta a travs de su cadena de retail y la
venta a distribuidores.
Los principales competidores de Ecuacolor en el segmento de retail, son Konica, Fuji,
Fybeca, otros quedan servicio de revelado. En lo que respecta a la distribucin de
Kodak y Maxell, es la misma que la de la marca a nivel internacional.
56/123
DOMINIO
Planeacin
y
Organizacin
Adquisicin
e
Instalacin
Entrega de Servicios
PROCESO
PO9 Evaluar riesgos
PO11 Administrar Calidad
AI6
Administrar cambios
DS4
DS5
DS11
DS12
57/123
Disponibilidad
Integridad
confidencialidad
Criterios de
informacin
P
P
P
P
P
P
P
P
P
P
P
Probabilidad de Ocurrencia
9
7
5
3
1
Impacto
10
8
6
4
2
BAJO
1 - 30
58/123
ALTO
61 90
7.2.3
Anlisis de Riesgos
El modelo comienza a partir de la valoracin de los activos, que dentro del Marco Referencial de COBIT consiste en la informacin que tiene los
criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recursos necesarios para producir dicha informacin). El
siguiente paso es el anlisis de vulnerabilidad que trata de la importancia de los criterios de informacin dentro del proceso bajo revisin, por
ejemplo, si un proceso del negocio es vulnerable a la prdida de integridad, entonces se requieren medidas especficas. Luego se tratan las
amenazas, esto es, aquello que puede provocar una vulnerabilidad. La probabilidad de la amenaza, el grado de vulnerabilidad y la severidad del
impacto se combinan para concluir acerca de la evaluacin del riesgo. Esto es seguido por la seleccin de contramedidas (controles) y una
evaluacin de su eficacia, que tambin identifica el riesgo residual. La conclusin es un plan de accin despus del cual el ciclo puede comenzar
nuevamente.
59/123
OBJETIVOS DE CONTROL
PO9
9.1
9.2
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la
complejidad, Incrementando la objetividad e identificando factores de decisin importante
Evaluacin de
Riesgos
del
Negocio
Enfoque
de
Evaluacin de
Riesgos
MEDIO-ALTO
56
MEDIO-ALTO
56
OCURRENCIA IMPACTO
60/123
RIESGO JUSTIFICACIN
PO9
9.3
9.4
9.5
Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la
complejidad, Incrementando la objetividad e identificando factores de decisin importante
La evaluacin de riesgos deber enfocarse al examen
de los elementos esenciales de riesgo y las relaciones
causa/efecto entre ellos. Los elementos esenciales de
riesgo incluyen activos tangibles e intangibles, valor de
los activos, amenazas, vulnerabilidades, protecciones,
consecuencias y probabilidad de amenaza. El proceso
Identificacin
de identificacin de riesgos debe incluir una
de Riesgos
clasificacin cualitativa y, donde sea apropiado,
clasificacin cuantitativa de riesgos debe obtener
insumos de las tormentas de ideas de la Gerencia, de
planeacin estratgica, auditoras anteriores y otros
anlisis. El anlisis de riesgos debe considerar el
negocio, regulaciones, aspectos legales, tecnologa,
comercio entre socios y riesgos del recurso humano.
MEDIO
El enfoque de la evaluacin de riesgos deber asegurar
que la informacin del anlisis de la identificacin de
Medicin de
riesgos genere como resultado una medida cuantitativa
Riesgos
y/o cualitativa del riesgo al cual est expuesta el rea
examinada. Asimismo, deber evaluarse la capacidad
de aceptacin de riesgos de la organizacin.
MEDIO-ALTO
El enfoque de evaluacin de riesgos deber
proporcionar la definicin de un plan de accin contra
riesgos para asegurar que el costoefectividad de los
Plan de Accin
controles y las medidas de seguridad mitiguen los
contra Riesgos
riesgos en forma continua. El plan de accin contra los
riesgos debe identificar la estrategia de riesgos en
trminos de evitar, mitigar o aceptar el riesgo.
MEDIO-ALTO
61/123
MEDIO
30
MEDIO
42
MEDIO-ALTO
56
OBJETIVOS DE CONTROL
PO9
9.6
9.8
RIESGO JUSTIFICACIN
Evaluar Riesgo Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las amenazas reduciendo la
complejidad, Incrementando la objetividad e identificando factores de decisin importante
Aceptacin de
Riesgos
9.7
OCURRENCIA IMPACTO
Seleccin de
Garantas
o
Protecciones
Compromiso
con el Anlisis
de Riesgos
62/123
MEDIO
42
MEDIO
42
MEDIO
30
Administracin
PO11 de la calidad
11.1
11.2
11.3
11.4
OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI
OCURRENCIA IMPACTO
63/123
RIESGO JUSTIFICACIN
MEDIO
42
MEDIO
42
MEDIO
42
MEDIO-ALTO
24
Administracin
PO11 de la calidad
11.5
11.6
11.7
Metodologa
del Ciclo de
Vida de
Desarrollo
de Sistemas
Metodologa
del Ciclo de
Vida de
Desarrollo
de Sistemas
para Cambios
Mayores a la
Tecnologa
Actual
Actualizacin
de la
Metodologa
del Ciclo de
Vida de
Desarrollo de
Sistemas
OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
MEDIO
30
MEDIO
30
MEDIO
30
64/123
Administracin
PO11 de la calidad
11.8
11.9
OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI
OCURRENCIA IMPACTO
OBJETIVOS DE CONTROL
MEDIO-ALTO
24
ALTO
50
OCURRENCIA IMPACTO
65/123
RIESGO JUSTIFICACIN
RIESGO JUSTIFICACIN
Administracin
PO11 de la calidad
11.10
11.11
11.12
Estndares
para Pruebas
de Programas
66/123
MEDIO-BAJO
12
MEDIO-ALTO
24
MEDIO
30
Administracin
PO11 de la calidad
11.13
11.14
11.15
11.16
11.17
OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI
OCURRENCIA IMPACTO
67/123
RIESGO JUSTIFICACIN
MEDIO
30
MEDIO
MEDIO-BAJO
20
MEDIO
42
MEDIO
42
Administracin
PO11 de la calidad
11.18
11.19
OBJETIVOS DE CONTROL
Cumplir con los requerimientos del cliente de TI
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
MEDIO-BAJO
28
Reportes de
Revisiones de
Los reportes de revisiones de aseguramiento de
Aseguramiento
calidad debern ser preparados y enviados a la
de
Gerencia de los departamentos usuarios y de la funcin
Calidad
de servicios de informacin (TI).
MEDIO-ALTO
MEDIO-BAJO
28
Mtricas de
calidad
68/123
OBJETIVOS DE CONTROL
AI6
6.1
6.2
6.3
6.4
Administrar
cambios
OCURRENCIA IMPACTO
Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores
69/123
RIESGO JUSTIFICACIN
MEDIO-BAJO
ALTO
30
MEDIO-BAJO
MEDIO-ALTO
24
MEDIO-ALTO
MEDIO-ALTO
56
MEDIO-BAJO
MEDIO-ALTO
24
OBJETIVOS DE CONTROL
AI6
Administrar
cambios
6.5
Documentaci
ny
Procedimiento
s
6.6
6.7
6.8
OCURRENCIA IMPACTO
Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores
70/123
RIESGO JUSTIFICACIN
MEDIO
MEDIO
30
MEDIO
MEDIO
30
MEDIO
MEDIO
30
MEDIO
MEDIO-ALTO
40
OBJETIVOS DE CONTROL
DS4
4.1
4.2
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar
servicio
continuo
71/123
MEDIO
30
MEDIO-ALTO
56
OBJETIVOS DE CONTROL
DS4
4.3
4.4
Asegurar
servicio
continuo
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
72/123
ALTO
No existe un plan de
Continuidad del TI, pero
existen ciertos
procedimientos no
formalizados que podrian
ayudar en el caso de darse
una contingencia:
+ Se conoce a las personas
que se debe notificar en caso
de suceder una emergencia.
+ Se conoce en donde estan
almacenados los respaldos.
+ Los procesos de respaldo
de datos son ejecutados de
manera diaria.
+ Se cuenta con un centro
de computo alternativo desde
donde se podra continuar
con la atencin de servicios
90 de IT.
MEDIO
30
OBJETIVOS DE CONTROL
DS4
4.5
4.6
4.7
4.8
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar
servicio
continuo
Entrenamiento
sobre el Plan
de Continuidad
de Tecnologa
de Informacin
73/123
No existe un plan de
Continuidad del TI, por ende
tampoco
existen
procedimientos de control de
cambios.
ALTO
ALTO
MEDIO-ALTO
MEDIO-ALTO
90
No existe un
Continuidad de TI
plan
de
No existe un
Continuidad de TI
plan
de
No existe un
Continuidad de TI
plan
de
90
72
72
OBJETIVOS DE CONTROL
DS4
4.9
4.10
4.11
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar
servicio
continuo
74/123
MEDIO-ALTO
24
No existe un plan de
Continuidad del TI, pero se
tiene conciencia de cuales
son los recursos de IT de
importancia
MEDIO-ALTO
72
ALTO
50
OBJETIVOS DE CONTROL
DS4
4.12
4.13
Asegurar
servicio
continuo
el
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un impacto mnimo en el negocio en
el evento de una interrupcin mayor
75/123
ALTO
50
MEDIO
54
DS5
5.1
5.2
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
La seguridad en TI deber ser administrada de tal
No existe un
forma que las medidas de seguridad se encuentren en
seguridad
lnea con los requerimientos de negocio. Esto incluye:
+ Trasladar informacin sobre evaluacin de riesgos a
los planes de seguridad de TI;
+ Implementar el plan de seguridad de TI;
Administrar
+ Actualizar el plan de seguridad de TI para reflejar
Medidas de
cambios en la configuracin de TI;
Seguridad
+ Evaluar el impacto de las solicitudes de cambio en la
seguridad de TI;
+ Monitorear la implementacin del plan deseguridad
de TI; y
+ Alinear los procedimientos de seguridad de TI a otras
polticas y procedimientos
ALTO
MEDIO-ALTO
72
El acceso lgico y el uso de los recursos de TI deber
restringirse a travs de la implementacin de
mecanismos adecuados de identificacin,
autenticacin y autorizacin relacionando los usuarios y
los recursos con las reglas de acceso. Dicho
mecanismo deber evitar que personal no autorizado,
Identificacin,
conexiones telefnicas por marcado y otros puertos de
Autenticacin y
entrada al sistema (redes) tengan acceso a los
Acceso
recursos de cmputo, de igual forma deber minimizar
la necesidad de autorizar usuarios para usar mltiples
sign-ons. Asimismo debern establecerse
procedimientos para conservar la efectividad de los
mecanismos de autenticacin y acceso (por ejemplo,
cambios peridicos de contraseas o passwords).
MEDIO-BAJO MEDIO-ALTO
24
76/123
plan
de
DS5
5.3
5.4
5.5
5.6
Garantizar
seguridad
los sistemas
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
de
OBJETIVOS DE CONTROL
MEDIO-BAJO
MEDIO-ALTO
24
MEDIO
MEDIO-ALTO
40
MEDIO-ALTO
MEDIO
42
MEDIO-ALTO
MEDIO-ALTO
56
OCURRENCIA IMPACTO
77/123
RIESGO JUSTIFICACIN
DS5
5.7
5.8
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
La administracin de seguridad de TI debe asegurar
que la actividad de seguridad sea registrada y que
cualquier indicacin sobre una inminente violacin de
Vigilancia de
seguridad sea notificada inmediatamente a todos
Seguridad
aquellos que puedan verse afectados, tanto interna
como externamente y se debe actuar de una manera
oportuna.
MEDIO-ALTO MEDIO-ALTO
56
La Gerencia deber implementar procedimientos para
asegurar que todos los datos son clasificados en
trminos de sensitividad, mediante una decisin
explcita y formal del dueo de los datos de acuerdo
con el esquema de clasificacin de datos. An los
datos que no requieren proteccin debern contar con
una decisin formal que les asigne dicha clasificacin.
Los dueos deben determinar la ubicacin o
disposicin de sus datos y determinar quienes pueden
Clasificacin
compartir los datos aun si y cuando los programas y
de Datos
archivos sean mantenidos, archivados o borrados.
Debe quedar evidencia de la aprobacin del dueo y de
la disposicin del dato. Se deben definir polticas para
soportar la reclasificacin de la informacin, basados
sobre cambios en la sensitividad. El esquema de
clasificacin debe incluir criterios para administrar el
intercambio de informacin entre organizaciones,
teniendo en cuenta tanto la seguridad y el cumplimiento
como la legislacin relevante.
MEDIO-ALTO MEDIO
42
78/123
DS5
5.9
5.10
5.11
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
Administracin
de Derechos
de Acceso e
Identificacin
Centralizada
Reportes de
Violacin y de
Actividades de
Seguridad
Manejo de
Incidentes
79/123
MEDIO-ALTO
24
MEDIO-ALTO
56
MEDIO-ALTO
40
DS5
5.12
5.13
5.14
5.15
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
La Gerencia deber asegurar que se lleve a cabo
peridicamente una reacreditacin de seguridad (por
ejemplo, a travs de equipos de personal
Reacreditacin
tcnico tigre) con el fin de mantener actualizado el
nivel de seguridad aprobado formalmente y la
aceptacin del riesgo residual.
ALTO
MEDIO-BAJO
36
Las polticas organizacionales debern asegurar que se
implementen prcticas de control para verificar la
Confianza en
autenticidad de las contrapartes que proporcionan
Contrapartes
instrucciones o transacciones electrnicas. Esto puede
lograrse mediante el intercambio confiable de
passwords, tokens o llaves criptogrficas.
MEDIO-ALTO BAJO
14
Las polticas organizacionales debern asegurar que,
en donde sea apropiado, se implementen controles
Autorizacin
para proporcionar autenticidad a las transacciones y
de
establecer la validez de la identificacin solicitada por el
transacciones usuario ante el sistema. Esto requiere el empleo de
tcnicas criptogrficas para firmar y verificar
transacciones.
MEDIO-BAJO BAJO
6
Las polticas organizacionales debern asegurar que,
en donde sea apropiado, las transacciones no puedan
ser negadas por ninguna de las partes participantes en
la operacin y que se implementen controles para que
No negacin o no se pueda negar el origen o destino de la transaccin
no rechazo
y que se pueda probar que se envi y recibi la
transaccin. Esto puede lograrse a travs de firmas
digitales, registro de tiempos y terceros confiables, y
adicionalmente con polticas apropiadas que tengan en
cuenta los requerimientos regulatorios relevantes.
MEDIO
BAJO
10
80/123
DS5
5.16
5.17
5.18
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
Las polticas organizacionales debern asegurar que la
informacin de transacciones sensitivas es enviada y
recibida
exclusivamente
a
travs
de
canales o senderos seguros (trusted paths). La
Sendero
informacin sensitiva incluye: informacin sobre
Seguro
administracin de seguridad, datos de transacciones
sensitivas, passwords y llaves criptogrficas. Para
lograr esto, se pueden establecer canales confiables
utilizando encripcin entre usuarios, entre usuarios y
sistemas y entre sistemas.
MEDIO
BAJO
10
Todo el hardware y software relacionado con seguridad
debe encontrarse permanentemente protegido contra
Proteccin de intromisiones para proteger su integridad y contra
las funciones
divulgacin de sus claves secretas. Adicionalmente, la
de seguridad
organizacin deber mantener discrecin sobre el
diseo de su seguridad, pero no basar la seguridad en
mantener el diseo como secreto.
BAJO
MEDIO-ALTO
8
La
Gerencia
deber
definir
e
implementar
procedimientos y protocolos a ser utilizados en la
generacin,
cambio,
revocacin,
destruccin,
distribucin, certificacin, almacenamiento, entrada,
utilizacin y archivo de llaves criptogrficas con el fin de
Administracin
asegurar la proteccin de las mismas contra
de Llaves
modificaciones y divulgacin no autorizada. Si una llave
Criptogrficas
se encuentra comprometida (en riesgo), la gerencia
deber asegurarse de que esta informacin se hace
llegar a todas las partes interesadas a travs de una
lista de revocacin de certificados o mecanismos
similares.
ALTO
BAJO
18
81/123
DS5
5.19
5.20
5.21
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
seguridad de
los sistemas
Con respecto al software malicioso, tal como los virus
computacionales o Caballos de Troya, la Gerencia
deber
establecer
un
marco
de
referencia de adecuadas medidas de control
Prevencin,
preventivas, detectivas y correctivas y responder y
Deteccin
y
reportar su presencia. Las Gerencias de TI y de
Correccin de
negocios deben asegurar que se establezcan
Software
procedimientos a travs de toda la organizacin para
Malicioso
proteger los sistemas de informacin contra
virus computacionales. Los procedimientos deben
incorporar proteccin contra virus, deteccin, respuesta
ante su presencia y reporte.
BAJO
MEDIO-ALTO
8
La organizacin deber contar con Firewall adecuados
Arquitectura de para proteger contra negacin de servicios y cualquier
Firewalls y
acceso no autorizado a los recursos internos si existe
conexin a
conexin con Internet u otras redes pblicas; se deber
redes
controlar en ambos sentidos cualquier aplicacin y el
pblicas
flujo de administracin de infraestructura y se deber
proteger contra ataques de negacin del servicio.
MEDIO-BAJO MEDIO-ALTO
24
La Gerencia debe proteger la integridad continuada de
todas las tarjetas o mecanismos de seguridad fsica
Proteccin de similares, utilizadas para autenticacin o
Valores
almacenamiento de informacin financiera o sensitiva
Electrnicos
tomando en consideracin las instalaciones o equipos
relacionados, los dispositivos, los empleados y los
mtodos de validacin utilizados.
MEDIO
MEDIO-BAJO
20
82/123
DS11
11.1
11.2
11.3
11.4
11.5
Administracin
de datos
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
MEDIO-BAJO
MEDIO
18
MEDIO-BAJO
MEDIO-ALTO
24
MEDIO-BAJO
MEDIO-ALTO
24
MEDIO
MEDIO
30
MEDIO-BAJO
MEDIO-ALTO
24
OCURRENCIA IMPACTO
83/123
RIESGO JUSTIFICACIN
DS11
Administracin
de datos
11.6
Procedimiento
s de
Autorizacin
de Entrada de
Datos
11.7
Chequeos de
Exactitud,
Suficiencia y
Autorizacin
11.8
Manejo de
Errores en la
Entrada de
Datos
11.9
11.10
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
84/123
MEDIO
18
MEDIO-ALTO
56
MEDIO
30
MEDIO-ALTO
40
MEDIO-BAJO
12
DS11
Administracin
de datos
11.11
Manejo de
Errores en el
Procesamiento
de
Datos
11.12
11.13
11.14
11.15
Manejo y
Retencin de
Datos de
Salida
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
Distribucin de
Datos Salidos La organizacin deber establecer y comunicar
de los
procedimientos escritos para la distribucin de datos
Procesos
de salida de tecnologa de informacin.
MEDIO
La organizacin deber establecer procedimientos para
Balanceo y
asegurar que los datos de salida sean balanceados
Conciliacin de rutinariamente con los totales de control relevantes.
Datos de
Debern existir pistas de auditora para facilitar el
Salida
seguimiento del procesamiento de transacciones y la
conciliacin de datos con problema.
MEDIO
La Gerencia de la organizacin deber establecer
Revisin de
procedimientos para asegurar que la precisin de los
Datos de
reportes de los datos de salida sea revisada por el
Salida y
proveedor y por los usuarios responsables. Asimismo,
Manejo de
debern establecerse procedimientos para controlar los
Errores
errores contenidos en los datos de salida.
MEDIO-BAJO
85/123
MEDIO
18
MEDIO-ALTO
24
MEDIO-BAJO
20
MEDIO
30
MEDIO
18
DS11
11.16
11.17
11.18
11.19
11.20
Administracin
de datos
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
86/123
MEDIO-ALTO
MEDIO-ALTO
56
MEDIO-ALTO
MEDIO-ALTO
56
MEDIO-ALTO
MEDIO
42
MEDIO-BAJO
MEDIO-ALTO
24
MEDIO-BAJO
MEDIO-ALTO
24
DS11
11.21
11.22
11.23
11.24
Administracin
de datos
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
87/123
MEDIO-ALTO
MEDIO-ALTO
56
MEDIO-BAJO
MEDIO-ALTO
24
MEDIO-BAJO
ALTO
30
MEDIO-BAJO
MEDIO-ALTO
24
DS11
11.25
11.26
11.27
11.28
Administracin
de datos
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
88/123
MEDIO-BAJO
MEDIO-ALTO
24
MEDIO-ALTO
MEDIO
42
MEDIO-ALTO
BAJO
14
MEDIO-ALTO
BAJO
14
DS11
11.29
11.30
Administracin
de datos
Integridad de
Transacciones
Electrnicas
Integridad
Continua de
Datos
Almacenados
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y almacenamiento
ALTO
BAJO
18
MEDIO-BAJO
BAJO
89/123
DS12
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros naturales y provocados por el
Administracin
hombre.
de
instalaciones
12.1
Seguridad
Fsica
12.2
Discrecin
sobre las
Instalaciones
de
Tecnologa de
Informacin
12.3
Escolta de
Visitantes
90/123
ALTO
70
MEDIO
42
MEDIO
54
DS12
12.4
12.5
12.6
OBJETIVOS DE CONTROL
OCURRENCIA IMPACTO
RIESGO JUSTIFICACIN
Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros naturales y provocados por el
Administracin
hombre.
de
instalaciones
Salud y
Seguridad del
Personal
Proteccin
contra
Factores
Ambientales
Suministro
Ininterrumpido
de Energa
91/123
MEDIO-BAJO
28
MEDIO
42
MEDIO-ALTO
Procesos
DS4 - Asegurar continuidad del
servicio
DS5 - Garantizar la seguridad de
sistemas
DS11 - Administrar la informacin
PO9 - Evaluar Riesgos
PO11 -Administrar Calidad
DS12 - Administrar las instalaciones
AI6 - Administrar cambios
Objetivos
de
Control Alto Medio
Bajo
Alto+Medio
13
10
21
30
8
19
6
8
105
1
0
0
0
1
0
8
8%
8
7
6
6
3
2
36
34%
12
23
2
13
2
6
61
58%
9
7
6
6
4
2
44
42%
Los riesgos a priorizar son los que estn en el nivel de exposicin ALTO y MEDIO.
92/123
PROCESO
PO9 Evaluar riesgos
PO11 Administrar Calidad
AI6
Administrar cambios
DS4
Asegurar
continuidad
del servicio
DS5 Garantizar la seguridad
de sistemas
DS11 Administrar
la
informacin
DS12 Administrar
las
instalaciones
93/123
8. PLAN DE ACCIN
MODELO DE MEJORES PRACTICAS COBIT
Fecha de diagnostico :
EMPRESA : Ecuacolor
Pag 1/3
PLAN DE ACCIN
DOMINIO :
PLANIFICACIN Y
ORGANIZACIN
PROCESO:
y toma en consideracin:
Control a Implementar
PO9 C1
CONTROLES
POLTICAS Y PROCEDIMIENTOS DE EVALUACIN DE
RIESGOS.
La administracin deber establecer un foro Gerencial, para asegurarse que
exista una direccin clara de las iniciativas de seguridad
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Metodologa
Frecuencia de evaluacin
Evaluaciones de riesgo a nivel global y de sistemas
Equipo multidiscplinario
Mantener actualizadas las evaluaciones de riesgo, resultados de
auditoras, inspecciones e incidentes
Gerente General
9 meses
Control a Implementar
PO9 C2
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
94/123
Pag 2/3
PLAN DE ACCIN
DOMINIO :
Control a Implementar
PO9 C3
PLANIFICACIN Y PROCESO:
PO9 Evaluar Riesgo
ORGANIZACIN
CONTROLES
DEFINICIN DE UN MARCO REFERENCIAL DE
RIESGOS
La Gerencia deber establecer una evaluacin sistemtica de
riesgos incorporando:
Los riesgos de informacin relevantes para el logro de los
objetivos de la organizacin
Base de datos para determinar la forma en la que los riesgos
deben ser manejados a un nivel aceptable.
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
PO9 C4
Gerente General
2 meses
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Gerente General
3 meses
95/123
Pag 3/3
PLAN DE ACCIN
DOMINIO :
Control a Implementar
PO9 C5
PLANIFICACIN Y PROCESO:
PO9 Evaluar Riesgo
ORGANIZACIN
REPORTES A LA PRESIDENCIA PARA SU REVISIN Y
ACUERDO DE ACEPTACIN
La Gerencia de Sistemas deber emitir reportes a la Presidencia
para su revisin y acuerdo con los riesgos identificados.
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
PO9 C6
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Gerencia de Sistemas
1 mes
PLAN DE ACCIN
La Gerencia deber establecer el plan de accin contra los riesgos, se debe
establecer la estrategia de riesgos en trminos de evitar, mitigar o aceptar el
riesgo.
Gerente General
3 meses
Objetivos de Control
RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
8
3
8
56
24
PO9-C1, C3, C4
56
27
PO9-C1, C3, C4
7
7
6
8
42
56
5
3
6
8
30
24
PO9-C3, C4
PO9-C3, C6
7
7
6
6
42
42
5
5
6
6
30
30
PO9-C5, C6
PO9-C1, C6
96/123
OBSERVACIN
EMPRESA : Ecuacolor
Pag 1/2
PLAN DE ACCIN
PO11 Administracin
De la Calidad
DOMINIO :
PLANEACIN Y PROCESO:
ORGANIZACIN
y toma en
consideracin:
CONTROLES
Control a Implementar
PO11 C1
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
PO11 C2
1 mes
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
2 meses
MARCO REFERENCIAL DE ADQUISICIN Y MANTENIMIENTO PARA LA
INFRAESTRUCTURA DE TECNOLOGA
2 semanas
MODELO DE MEJORES PRACTICAS - COBIT
97/123
EMPRESA : Ecuacolor
Pag 2/2
PLAN DE ACCIN
DOMINIO :
PLANEACIN Y PROCESO:
ORGANIZACIN
Control a Implementar
PO11 C4
PO11 Administracin
De la Calidad
1 mes
Objetivos de Control
Plan General de Calidad
Enfoque de
Aseguramiento de Calidad
Planeacin del
Aseguramiento de Calidad
Marco de Referencia de
Adquisicin y
Mantenimiento para la
Infraestructura de
Tecnologa
Evaluacin del
Aseguramiento de la
Calidad
sobre el Cumplimiento de
Estndares de
Desarrollo
Revisin del
Aseguramiento de Calidad
sobre
el Logro de los Objetivos
de TI
RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
6
5
6
42
30
7
6
5
6
42
30
PO11-C1-C4
PO11-C1-C4
42
30
PO11-C1-C4
10
50
10
30
PO11-C3
42
30
PO11-C2
42
30
PO11-C4
98/123
OBSERVACIN
EMPRESA : Ecuacolor
Pag 1/3
PLAN DE ACCIN
DOMINIO :
ADQUISICIN E
PROCESO:
IMPLEMENTACIN
AI6-Administrar
Cambios
y toma en consideracin:
identificacin de cambios
procedimientos de categorizacin, priorizacin y emergencia
evaluacin del impacto
autorizacin de cambios
Administracin de liberacin
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
Rediseo de los procesos del negocio
CONTROLES
Control a Implementar
AI6 C1
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
CONTROL DE CAMBIOS
Control a Implementar
AI6 C2
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
AI6 C3
99/123
EMPRESA : Ecuacolor
Pag 2/3
PLAN DE ACCIN
DOMINIO :
ADQUISICIN E
PROCESO:
IMPLEMENTACIN
Control a Implementar
AI6 C4
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
AI6 C5
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
AI6 C6
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
CONFIGURACIN BSICA
Control a Implementar
AI6 C7
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
AI6-Administrar
Cambios
CONFIGURATION SETTINGS
100/123
EMPRESA : Ecuacolor
Pag 3/3
PLAN DE ACCIN
DOMINIO :
ADQUISICIN E
PROCESO:
IMPLEMENTACIN
Control a Implementar
AI6 C8
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
AI6-Administrar
Cambios
Objetivos de Control
Control de Cambios
Distribucin de Software
RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
8
3
8
56
24
5
8
1
8
40
8
101/123
OBSERVACIN
Fecha de diagnostico :
Pag 1/4
PLAN DE ACCIN
ENTREGA
SOPORTE
y toma en
consideracin:
Y PROCESO:
DS4 Asegurar
DOMINIO :
CONTROLES
Control a Implementar
DS4 C1
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
1 mes
Control a Implementar
DS4 C2
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS4 C3
PLAN DE CONTINGENCIA
10 meses
102/123
2 semanas
Pag 2/4
PLAN DE ACCIN
DOMINIO :
ENTREGA
SOPORTE
Control a Implementar
DS4 C4
Y PROCESO:
DS4 Asegurar
Continuidad del Servicio
1 mes
Control a Implementar
DS4 C5
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
1 mes
Control a Implementar
DS4 C6
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
1 mes
Control a Implementar
DS4 C7
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
3 mes
103/123
EMPRESA : Ecuacolor
Pag 3/4
PLAN DE ACCIN
DOMINIO :
ENTREGA
SOPORTE
Control a Implementar
DS4 C8
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS4 C10
DS4 Asegurar
Continuidad del Servicio
SERVICIO DE TELECOMUNICACIONES
2 semanas
Control a Implementar
DS4 C9
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Y PROCESO:
3 meses
2 meses
104/123
EMPRESA : Ecuacolor
Pag 4/4
PLAN DE ACCIN
DOMINIO :
ENTREGA
SOPORTE
Objetivos de Control
Contenido del Plan de
Continuidad de TI
Mantenimiento del Plan de
Continuidad de
Tecnologa de Informacin
Pruebas del Plan de
Continuidad de TI
Entrenamiento sobre el
Plan de Continuidad
de Tecnologa de
Informacin
Distribucin del Plan de
Continuidad de TI
Recursos Crticos de
Tecnologa de
Informacin
Estrategia y Filosofa del
Plan de Continuidad
de TI
Sitio y Hardware de
Respaldo
Almacenamiento de
respaldo en el sitio alterno
(Off-site)
Procedimiento de
afinamiento del Plan de
Continuidad
Y PROCESO:
DS4 Asegurar
Continuidad del Servicio
RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
9
10 90
3
10 30
DS4-C1, C2,
10
90
10
30
DS4-C1,C2, C5
10
90
10
30
DS4-C1,C2,C4
72
24
DS4-C1, C2, C3
72
24
DS4-C1,C2
72
40
DS4-C1,C2, C10
56
32
DS4-C1,C2,C10
10
50
10
40
DS4-C1,C6,C7,C8
10
50
10
30
DS4-C1, C2, C9
54
30
DS4-C1,C10
105/123
OBSERVACIN
EMPRESA : Ecuacolor
Pag 1/9
PLAN DE ACCIN
DOMINIO :
ENTREGA Y
SOPORTE
y toma en
consideracin:
PROCESO:
DS5-Garantizar la
seguridad de sistemas
CONTROLES
Control a Implementar
DS5 C1
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C2
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
EMPRESA : Ecuacolor
Fecha de diagnostico :
106/123
Pag 2/9
PLAN DE ACCIN
DOMINIO :
ENTREGA Y
SOPORTE
Control a Implementar
DS5 C3
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C5
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C6
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
DS5-Garantizar la
seguridad de sistemas
UNSUCCESSFUL LOGIN
Control a Implementar
DS5 C4
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PROCESO:
ACCESO REMOTO
107/123
Fecha de diagnostico :
EMPRESA : Ecuacolor
Pag 3/9
PLAN DE ACCIN
DOMINIO :
ENTREGA Y
SOPORTE
Control a Implementar
DS5 C7
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C9
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
DS5-Garantizar la
seguridad de sistemas
Control a Implementar
DS5 C8
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PROCESO:
Control a Implementar
DS5 C10
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
108/123
EMPRESA : Ecuacolor
Pag 4/9
PLAN DE ACCIN
DOMINIO :
ENTREGA Y
SOPORTE
Control a Implementar
DS5 C12
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PROCESAMIENTO DE LA AUDITORIA
(AUDIT PROCESSING)
Control a Implementar
DS5 C14
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C15
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
DS5-Garantizar la
seguridad de sistemas
Control a Implementar
DS5 C13
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PROCESO:
La organizacin retiene los Logs de auditoria por 5 aos para proveer apoyo a
las investigaciones de despus de-el-hecho de incidentes de seguridad y para
reunir requerimientos regulatorios y organizacionales de retencin de
informacin.
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
1 mes
109/123
Fecha de diagnostico :
EMPRESA : Ecuacolor
Pag 5/9
PLAN DE ACCIN
DOMINIO :
ENTREGA Y
SOPORTE
Control a Implementar
DS5 C16
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C18
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
DS5-Garantizar la
seguridad de sistemas
CATEGORIZACIN DE LA INFORMACIN
Control a Implementar
DS5 C17
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PROCESO:
CERTIFICACIN DE SEGURIDAD
EMPRESA : Ecuacolor
Fecha de diagnostico :
110/123
Pag 6/9
PLAN DE ACCIN
DOMINIO :
ENTREGA Y
SOPORTE
Control a Implementar
DS5 C19
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
ACREDITACIN DE SEGURIDAD
Control a Implementar
DS5 C21
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
MONITOREO CONTINUO
Control a Implementar
DS5 C22
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C23
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
DS5-Garantizar la
seguridad de sistemas
Control a Implementar
DS5 C20
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PROCESO:
MANEJO DE INCIDENTES
(INCIDENT HANDLING)
EMPRESA : Ecuacolor
Fecha de diagnostico :
111/123
Pag 7/9
PLAN DE ACCIN
DOMINIO :
ENTREGA Y
SOPORTE
Control a Implementar
DS5 C24
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
INCIDENT REPORTING
Control a Implementar
DS5 C26
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C27
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
DS5-Garantizar la
seguridad de sistemas
Control a Implementar
DS5 C25
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PROCESO:
112/123
EMPRESA : Ecuacolor
Pag 8/9
PLAN DE ACCIN
DOMINIO :
ENTREGA Y
SOPORTE
Control a Implementar
DS5 C28
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS5 C30
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
REGLAS DE CONDUCTA
Control a Implementar
DS5 C31
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
DS5-Garantizar la
seguridad de sistemas
Control a Implementar
DS5 C29
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PROCESO:
EMPRESA : Ecuacolor
Fecha de diagnostico :
113/123
Pag 9/9
PLAN DE ACCIN
DOMINIO :
ENTREGA Y
SOPORTE
Control a Implementar
DS5 C32
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PROCESO:
Control a Implementar
DS5 C33
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
VIGILANCIA DE SEGURIDAD
Objetivos de Control
Administrar Medidas de
Seguridad
Administracin de Cuentas
de Usuario
Revisin Gerencial de
Cuentas de Usuario
Control de Usuarios sobre
Cuentas de Usuario
Vigilancia de Seguridad
Clasificacin de Datos
Reportes de Violacin y de
Actividades de Seguridad
Manejo de Incidentes
Reacreditacin
DS5-Garantizar la
seguridad de sistemas
RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
9
8
5
8
72
40
OBSERVACIN
40
24
42
30
56
40
DS5-C7, C31
56
24
7
7
6
8
42
56
5
3
6
8
30
24
40
24
36
28
114/123
EMPRESA : Ecuacolor
Pag 1/3
PLAN DE ACCIN
DOMINIO :
ADQUISICIN E
PROCESO:
IMPLEMENTACIN
DS11-Administrar los
Datos
y toma en consideracin:
Diseo de formatos
Controles de documentos fuente
Controles de entrada, procesamiento y salida
Identificacin, movimiento y administracin de la librera de medios
Recuperacin y respaldo de datos
Autenticacin e integridad
Propiedad de datos
Polticas de administracin de datos
Modelo de datos y estndares de representacin de datos
Integracin y consistencia a travs de plataformas
Requerimientos legales y regulatorios
CONTROLES
POLTICAS Y PROCEDIMIENTOS DE
ADMINISTRACIN DE DATOS
Control a Implementar
DS11 C1
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Gerencia de Sistemas
8 meses
115/123
EMPRESA : Ecuacolor
Pag 2/3
PLAN DE ACCIN
DOMINIO :
ADQUISICIN E
PROCESO:
IMPLEMENTACIN
CONTROLES
Control a Implementar
DS11 C2
DS11-Administrar los
Datos
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Gerencia de Sistemas
7 meses
Control a Implementar
DS11 C3
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Gerencia de Sistemas
6 meses
116/123
Pag 3/3
PLAN DE ACCIN
DOMINIO :
Control a Implementar
DS11 C4
ADQUISICIN E
DS11-Administrar los
PROCESO:
IMPLEMENTACIN
Datos
POLTICAS Y PROCEDIMIENTOS DE LIBRERA DE
MEDIOS Y ALMACENAMIENTO DE DATOS EXTERNO
La organizacin deber definir los controles para:
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Gerencia de Sistemas
3 meses
Objetivos de Control
Chequeos de Exactitud,
Suficiencia y Autorizacin
Integridad de
Procesamiento de Datos
Provisiones de Seguridad
para Reportes de
Salida
Proteccin de Informacin
Sensible durante
transmisin y transporte
Proteccin de Informacin
Sensitiva Desechada
Sistema de Administracin
de la Librera de
Medios
Archivo
RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
8
3
8
56
24
DS11-C1, C2, C3
40
24
DS11-C2, C3, C4
56
16
DS11-C2
56
24
DS11-C1
42
18
DS11-C4
56
16
DS11-C3, C4
42
18
DS11-C4
117/123
OBSERVACIN
EMPRESA : Ecuacolor
Pag 1/5
PLAN DE ACCIN
DOMINIO :
ENTREGA
SOPORTE
Y PROCESO:
y toma en
consideracin:
acceso a instalaciones
identificacin del sitio
seguridad fsica
Polticas de inspeccin y escalamiento
Planeacin de continuidad del negocio y administracin
de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado
CONTROLES
Control a Implementar
DS12 C1
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
1 mes
Control a Implementar
DS12 C2
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
MANTENIMIENTO PERIDICO
2 meses
Control a Implementar
DS12 C3
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
PERSONAL DE MANTENIMIENTO
2 semanas
118/123
EMPRESA : Ecuacolor
Pag 2/5
PLAN DE ACCIN
DOMINIO :
ENTREGA
SOPORTE
Control a Implementar
DS12 C4
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
1 mes
1 mes
Control a Implementar
DS12 C6
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS12 C7
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS12 C5
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Y PROCESO:
1 mes
1 mes
119/123
EMPRESA : Ecuacolor
Pag 3/5
PLAN DE ACCIN
DOMINIO :
ENTREGA
SOPORTE
Control a Implementar
DS12 C8
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
2 semanas
3 meses
Control a Implementar
DS12 C10
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
2 meses
Control a Implementar
DS12 C11
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Control a Implementar
DS12 C9
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Y PROCESO:
CONTROL DE VISITANTES
2 meses
120/123
EMPRESA : Ecuacolor
Pag 4/5
PLAN DE ACCIN
DOMINIO :
ENTREGA
SOPORTE
Control a Implementar
DS12 C12
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
1 mes
BITCORA DE VISITANTES
2 semanas
Control a Implementar
DS12 C14
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
LUCES DE EMERGENCIA
7 meses
Control a Implementar
DS12 C15
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
ESCOLTA DE VISITANTES
Control a Implementar
DS12 C13
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
Y PROCESO:
7 meses
121/123
EMPRESA : Ecuacolor
Pag 5/5
PLAN DE ACCIN
DOMINIO :
ENTREGA
SOPORTE
Y PROCESO:
Control a Implementar
DS12 C16
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
8 meses
Control a Implementar
DS12 C17
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
2 semanas
DISCRECIN SOBRE LAS INSTALACIONES DE
TECNOLOGA DE INFORMACIN
Control a Implementar
DS12 C18
Responsables de
implementacin
Plazo (tiempo de
ejecucin)
8 meses
Objetivos de Control
Seguridad Fsica
Discrecin sobre las
Instalaciones de
Tecnologa de Informacin
Escolta de Visitantes
Proteccin contra Factores
Ambientales
RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
O
I
T
O
I
T
7
10 70
5
10 50
7
42
30
54
18
42
30
122/123
OBSERVACIN
DS12-C1, C2, C3, C4, C5,
C6, C9, C10
DS12-C3, C5, C18
DS12-C8, C9, C10, C11,
C12, C13
DS12-C7, C14, C15, C16,
C17
BENEFICIOS
123/123