Escolar Documentos
Profissional Documentos
Cultura Documentos
PROYECTO DE GRADO
TABLA DE CONTENIDO
INTRODUCCION
CAPITULO 1 GENERALIDADES
1.1
1.2.
Justificacin
10
1.3.
Objetivos
11
11
1.3.2
Objetivos Especficos
11
1.4.
Metodologa
12
12
12
1.4.3
12
13
2.1
MARCO TEORICO
13
13
14
14
2.1.4
15
16
16
17
19
19
2.2
20
MARCO LEGAL
20
21
22
2.3
MARCO CONCEPTUAL
25
26
3.1
COBIT
27
29
32
33
3.1.4
36
37
44
4.1
Directrices Gerenciales
45
60
5.1
61
5.3
62
63
6.1
63
6.2
64
6.3
66
6.4
67
6.5
69
6.6
75
6.7
76
79
7.1
Conclusiones
79
7.2
Recomendaciones
81
CAPITULO 8 BIBLIOGRAFIA
82
27
28
29
35
Figura 5. Riesgos
61
INTRODUCCION
CAPITULO 1 GENERALIDADES
___________________________________________________________
1
______________________________________________________________
1
1.2 JUSTIFICACIN
____________________________________________________________
1
10
1.3 OBJETIVOS
11
1.4 METODOLGIA
En la actualidad los sistemas de gestin de la seguridad hacen que el
funcionamiento de la empresa sea constante, con la mayor parte de riesgos
optimizados y con la seguridad en los procesos que se realizan a diario en la
empresa.
12
14
_______________________________________________________
1
2
15
En esta tesis disean un SGSI para poder tener una base que se pueda
implementar en cualquier compaa de seguros. Cabe resaltar que se hace
bajo estndares y buenas prcticas que indican qu es lo que se debe
realizar, pero no especifican cmo se deben implementar los controles. Estos
van a depender de la necesidad de la empresa y de la inversin que desee
realizar en temas de seguridad, con lo que se puede afirmar que lo expuesto
en la tesis es una forma de cmo se puede disear un SGSI.
En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su
origen (de la propia organizacin o de fuentes externas) o de la fecha de
elaboracin.
_______________________________________________________
1
Es importante resaltar que el trmino stakeholders representa aquellas personas o colectivos que tienen algn tipo de inters sobre la empresa con un fin en
18
_______________________________________________________
1
19
Poltica de seguridad
20
Organizacin de la seguridad
Clasificacin y control de recursos
La seguridad del personal
La seguridad fsica y ambiental.
Administracin de comunicaciones y operaciones
Control de acceso
Desarrollo y mantenimiento de sistemas
Plan de continuidad del negocio
Cumplimiento de normatividad legal
Cada dominio busca cumplir con unos objetivos que suman 56 en total. Para
cumplir los objetivos se deben evaluar 127 controles que son las
recomendaciones de la norma, las organizaciones deciden si adoptar o no el
control dependiendo del nivel de seguridad que desean para sus activos
informticos [16].
Esta norma est dividida en once dominios de control, 39 objetivos y 133
controles. Los dominios presentados abarcan: poltica de seguridad,
organizacin de la seguridad de la informacin, gestin de activos, control de
acceso, seguridad de los recursos humanos, cumplimiento, seguridad fsica y
del entorno, adquisicin, desarrollo y mantenimiento de sistemas de
informacin, gestin de las comunicaciones y operaciones, gestin de la
continuidad del negocio y gestin de incidentes de seguridad de la informacin
[17].
Seguridad lgica
Seguridad de personal
Seguridad fsica y ambiental
Inventario de activos y clasificacin de la informacin
Administracin de las operaciones y comunicaciones
Adquisicin, desarrollo y mantenimiento de sistemas informticos
Procedimientos de respaldo
Gestin de incidentes de seguridad de informacin.
Cumplimiento normativo
22
25
_______________________________________________________
1
Tecnologas de la informacin
26
27
Identificacin de procesos
1. Identificar los procesos core de negocio, con los que opera
normalmente una organizacin que presta servicios funerarios, en
general.
2. Realizar un anlisis de impacto del negocio, a los procesos
identificados, para definir el alcance del SGSI y definir sobre qu
procesos trabajar.
3. Evaluar la metodologa de anlisis de riesgo a utilizar para analizar los
procesos de negocio.
4. Realizar un anlisis de riesgo en cada uno de los procesos
identificados, utilizando la metodologa escogida en el punto 3.
28
Para satisfacer los objetivos del negocio, la informacin necesita concordar con
ciertos criterios a los que COBIT hace referencia como requerimientos de
negocio para la informacin. Al establecer la lista de requerimientos, COBIT
combina los principios contenidos en los modelos referenciales existentes y
conocidos:
29
Calidad
Costo
Entrega o Distribucin (de servicio)
30
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
31
Datos
Aplicaciones
Tecnologa
Instalaciones
Personas
Confidencialidad
Integridad
Disponibilidad
32
33
34
[Capte la atencin de los lectores mediante una cita importante extrada del documento o utilice este espacio para resaltar un punto clave. Para
colocar el cuadro de texto en cualquier lugar de la pgina, solo tiene que arrastrarlo.]
35
ARQUITECTURA DE SEGURIDAD
PROCESOS
Nmero de
Objetivos por
Proceso
DS 5
Garantizar
DS 4
la
PO 9
PO11
AI 6
Asegurar
seguridad
Evaluar los Administrar Administrar continuidad de
Riesgos
Calidad
cambios
de servicios sistemas
19
13
21
DS 11
Administrar
la
informacin
DS 12
Administrar
las
instalaciones
30
36
37
38
39
de
procesamiento
alternativo
para
40
41
42
43
44
El Modelo de Madurez es una forma de medir qu tan bien desarrollados estn los
procesos de administracin. El grado de desarrollo que deben tener depende de
las necesidades del negocio, como se menciona aqu anteriormente. Las escalas
son slo ejemplos prcticos para un proceso dado de administracin que muestra
esquemas tpicos para cada nivel de madurez. Los Criterios de Informacin
ayudan a asegurarse de que estamos enfocados en los aspectos correctos de la
administracin cuando describimos la prctica real.
45
46
Fecha de diagnstico :
Pag 1/2
MODELO DE MADUREZ
DOMINIO:
PLANEACION
ORGANIZACIN
OBJETIVO DE CONTROL
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las decisiones
de la administracin en alcanzar los objetivos de TI y en responder a las amenazas reduciendo la
complejidad, aumentando la objetividad e identificando factores de decisin importantes.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Inexistente: La estimacin del riesgo para los procesos y las decisiones del negocio no ocurre. La
organizacin no considera los impactos del negocio asociados con vulnerabilidades de la seguridad
y con inseguridades de proyectos de desarrollo. Es improbable que la administracin de riesgos sea
identificada dentro del plan de un proyecto o sea asignado a administradores especficos
involucrados en el proyecto. La administracin de TI no especifica responsabilidad para la
administracin del riesgo en las descripciones de los puestos de trabajo u otro medio informal.
Riesgos especficos relacionados con TI como la seguridad, disponibilidad e integridad son
considerados ocasionalmente por proyecto.[23]
Repetible pero Intuitivo: Ha surgido un entendimiento de que los riesgos de TI son importantes y que
es necesario considerarlos. Existe algn enfoque de evaluacin de riesgos, pero el proceso es
todava inmaduro y est en desarrollo. La evaluacin es usualmente a un nivel elevado y
tpicamente se aplica slo a los proyectos importantes. La evaluacin de las operaciones en curso
depende principalmente de los administradores de TI que lo presentan como un punto de la agenda,
lo cual a menudo slo ocurre cuando surgen problemas. La administracin de TI generalmente no
tiene definidos procedimientos o descripciones de puestos de trabajo que se encarguen de la
administracin del riesgo. [23]
47
Fecha de diagnstico :
Pag 2/2
MODELO DE MADUREZ
DOMINIO: PLANEACION Y
ORGANIZACIN
Control sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar las
decisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazas
reduciendo la complejidad, aumentando la objetividad e identificando factores de decisin
importantes.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Proceso Definido: La poltica de manejo del riesgo a nivel de toda una organizacin define
cundo y cmo llevar a cabo evaluaciones de riesgo. La evaluacin del riesgo sigue un
proceso definido que est documentado y disponible para todo el personal a travs de
entrenamiento. Las decisiones de seguir el proceso y recibir entrenamiento se dejan a la
discrecin de las personas. La metodologa es convincente y saludable, y asegura que los
riesgos clave del negocio probablemente sean identificados. Las decisiones de seguir el
proceso se dejan a los administradores individuales de TI y no hay procedimiento para
asegurar que todos los proyectos estn cubiertos o que la operacin en curso es
examinada en busca de riesgos de manera regular. [23]
48
Fecha de diagnstico :
Pag 1/1
MODELO DE MADUREZ
DOMINIO: PLANEACION Y
ORGANIZACIN
Control sobre el proceso de TI Administrar la Calidad con el objetivo del negocio de satisfacer
los requerimientos de TI del cliente.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
0
Inicial: Hay evidencia de que la organizacin ha reconocido que los problemas existen y
que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en
cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o caso por
caso. El mtodo general de la administracin es desorganizado. [23]
Repetible pero Intuitivo: Los procesos se han desarrollado hasta el punto en que
diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No
hay capacitacin o comunicacin formal de procedimientos estndar y la responsabilidad
se deja a la persona. [23]
Optimizado: Los procesos han sido refinados hasta un nivel de la mejor prctica, basados
en los resultados de mejoramiento continuo y diseo de la madurez con otras
organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,
suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte con rapidez. [23]
49
Fecha de diagnstico :
Pag 1/2
MODELO DE MADUREZ
DOMINIO: ADQUISICIN E
IMPLEMENTACIN
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Inicial: Se reconoce que los cambios deben ser administrados y controlados, pero no hay
un proceso consistente para seguimiento. Las prcticas varan y es probable que ocurran
cambios no autorizados. Hay documentacin insuficiente o inexistente de cambios, y la
documentacin de configuracin est incompleta y no es confiable. Es probable que
ocurran errores junto con interrupciones en el entorno de produccin causada por una
administracin deficiente del cambio. [23]
50
Fecha de diagnstico :
Pag 2/2
MODELO DE MADUREZ
DOMINIO: ADQUISICIN E
IMPLEMENTACIN
Estado Proyectado:
51
Fecha de diagnstico :
Pag 1/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Inicial: Las responsabilidades de servicio continuo son informales, con autoridad limitada.
La administracin se est volviendo consciente de los riesgos relacionados con el servicio
continuo y de la necesidad de ste. El enfoque es sobre la funcin de TI, en vez de ser
sobre la funcin de negocio. Los usuarios estn implementando formas de evadirlo. La
respuesta a las interrupciones mayores es reactiva e improvisada. Los cortes planeados
estn programados para que satisfagan las necesidades de TI, en vez de para adaptarse
a los requerimientos del negocio. [23]
Repetible pero Intuitiva: La responsabilidad del servicio continuo est asignada. Los
enfoques del servicio continuo son fragmentados. El reporte sobre la disponibilidad del
sistema es incompleto y no toma en cuenta el impacto sobre el negocio. No hay planes
documentados de usuario o de continuidad, a pesar de que hay dedicacin a la
disponibilidad de servicio continuo y que se conocen sus principios rectores. Existe un
inventario razonablemente confiable de sistemas crticos y componentes. Est surgiendo
la estandarizacin de prcticas de servicio continuo y el monitoreo del proceso, pero el
xito se basa en las personas. [23]
52
Fecha de diagnstico :
Pag 2/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
53
Fecha de diagnstico :
Pag 1/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE
OBJETIVO DE CONTROL
El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el objetivo
del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin no
autorizada, dao o prdida.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
54
Fecha de diagnstico :
Pag 2/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE
OBJETIVO DE CONTROL
El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con el objetivo
del negocio de salvaguardar la informacin contra el uso, revelacin o modificacin no
autorizada, dao o prdida.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
55
Fecha de diagnstico :
Pag 1/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
0
Inicial: La organizacin reconoce una necesidad de datos exactos. Algunos mtodos son
desarrollados a nivel individual para prevenir y detectar el ingreso, procesamiento y
errores en la salida de los datos. El proceso de identificacin y correccin de errores
depende de las actividades manuales de la persona, y las reglas y requerimientos no son
transmitidos a medida que se llevan a cabo movimientos y cambios de personal. La
administracin asume que los datos son exactos porque una computadora est
involucrada en el proceso. La integridad y seguridad de los datos no son requerimientos
de administracin y, si existe la seguridad, sta est administrada por la funcin de
servicios de informacin. [23]
56
Fecha de diagnstico :
Pag 2/2
MODELO DE MADUREZ
DOMINIO: ENTREGA Y SOPORTE
OBJETIVO DE CONTROL
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de
minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Administrado y Medible: Los datos son definidos como un recurso y un activo corporativo,
a medida que la administracin exige ms soporte de decisiones y ms reporte de
rentabilidad. La responsabilidad por la calidad de datos est claramente definida,
asignada y comunicada dentro de la organizacin. Los mtodos estandarizados estn
documentados, mantenidos, y usados para controlar la calidad de los datos, se hacen
cumplir las reglas y los datos son consistentes en todas las plataformas y unidades de
negocio. La calidad de los datos es medida y la satisfaccin del cliente respecto a la
informacin es monitoreada. El reporte de administracin asume un valor estratgico para
asesorar clientes, tendencias y evaluaciones de productos. La integridad de los datos se
vuelve un factor significativo, con la seguridad de datos reconocida como un
requerimiento de control. Se ha establecido una funcin formal de administracin de datos
a nivel de toda la organizacin, con los recursos y la autoridad para hacer cumplir la
estandarizacin de datos. [23]
57
Fecha de diagnstico :
Pag 1/2
MODELO DE MADUREZ
DOMINIO : Entrega y Soporte
Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de proveer
un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos naturales y
provocados por el hombre.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
58
Fecha de diagnstico :
Pag 2/2
MODELO DE MADUREZ
DOMINIO : Entrega y Soporte
Control sobre el proceso de TI Administrar Instalaciones con el objetivo del negocio de proveer
un entorno fsico adecuado que proteja el equipo y la gente de TI contra los riesgos naturales y
provocados por el hombre.
Estado Actual :
Estado Proyectado:
CRITERIOS DE CALIFICACIN
Optimizado: Hay un plan a largo plazo para las Instalaciones que se requiere que
soporten el entorno de computacin de la organizacin. Las normas estn definidas para
todas las instalaciones, abarcando la seleccin del sitio, la construccin, custodia,
seguridad de personal, sistemas mecnico y elctrico, proteccin contra incendio, rayo e
inundacin. Todas las Instalaciones son inventariadas y clasificadas en conformidad con
el proceso de administracin de riesgos de la organizacin en progreso. El acceso est
estrictamente controlado y se basa en la necesidad para el trabajo, es monitoreado
constantemente y los visitantes son escoltados en todo momento. El entorno es
monitoreado y controlado por medio de equipo especializado y las salas de equipos se
vuelven automatizadas. Los programas de mantenimiento preventivo hacen cumplir
estrictamente los programas y se aplican pruebas regulares a los equipos sensitivos. La
estrategia y normas de las Instalaciones estn en correspondencia con los objetivos de
disponibilidad de servicios de TI y estn integradas con la planeacin de la continuidad del
negocio y con la administracin de crisis. [23]
59
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir
y administrar las actividades de TI para alcanzar un balance efectivo entre el
manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia
necesita identificar las actividades ms importantes que deben ser desarrolladas,
midiendo el progreso hacia el cumplimiento de las metas y determinando que tan
bien se estn desarrollando los procesos de TI. An ms, necesita tener la
habilidad de avaluar el nivel de madurez de la organizacin contra las mejores
prcticas industriales y los modelos internacionales.
Figura 5. Riesgos
60
Criterio
Probabilidad de
Ocurrencia
Impacto
ALTO
10
MEDIO ALTO
MEDIO
MEDIO BAJO
BAJO
Nivel de Aceptacin
BAJO
MEDIO
ALTO
1-30
31-60
61-90
Objetivos
de Control
Procesos
Alto+Medio
13
10
21
12
30
23
19
13
105
36
61
44
8%
34%
58%
42%
DS12
instalaciones
Administrar
las
Los riesgos a priorizar son los que estn en el nivel de exposicin ALTO y MEDIO
por ser los que presentan mayores implicaciones en el CORE del negocio la
importancia de cuidar los activos ms importantes en la compaa deben ser
reflejados en la minimizacin de los mismos y basarse en un completo
acompaamiento en el diseo del SGSI.
62
Los controles que se sugieren implementar para mitigar los riesgos identificados
en la fase de evaluacin y priorizacin de riesgos, as como sus responsables y
tiempos aproximados de implementacin se pueden encontrar en los planes de
accin.
63
El plan de accin satisface los requerimientos del negocio cuando satisface los
requerimiento del cliente de Informtica y Tecnologa, se hace posible a travs
de la planeacin, implementacin y mantenimiento de estndares y sistemas
de administracin que estn presentes en las diferentes fases del desarrollo
con entregables de usuario claros y con responsabilidades explicitas en el
64
65
66
67
68
69
71
73
74
Los requerimientos que se satisfacen con este plan de accin son asegurar que
los datos permanezcan completos precisin y validos durante su entrada,
actualizacin y almacenamiento, lo cual se hace posible a travs de una
combinacin efectiva de controles generales y de aplicacin sobre las operaciones
de TI, toma en consideracin el diseo de formatos, Controles de entrada,
procesamiento y salida, identificacin, movimiento y administracin de la librera
de medios, recuperacin y respaldo de datos, autenticacin e integridad y
propiedad de datos.
Controles a implementar:
Polticas y procedimientos de administracin de datos: la organizacin
deber disear , implementar y revisar de forma peridica el flujo de datos
dentro de la funcin de TI, el proceso de autorizacin de la documentacin
fuente, procesos de recoleccin y seguimiento, transmisin de datos. Este
control debe ser implementado por la Vicepresidencia de Informtica y
Tecnologa en un plazo no mayor a 8 meses.
75
76
Controles a implementar:
Polticas y procedimientos de mantenimiento de sistemas: La organizacin
deber desarrollar y revisar peridicamente una poltica de mantenimiento
de sistemas formalmente definida y documentada. Este control debe ser
implementado por la Vicepresidencia de Informtica y Tecnologa en un
plazo no mayor a 1 mes.
Mantenimiento peridico: La organizacin debe fijar, realizar y documentar
el preventivo mantenimiento a cada uno de los componentes de los
sistemas de informacin de acuerdo a las especificaciones tcnicas
determinadas. Este control debe ser implementado por la Vicepresidencia
de Informtica y Tecnologa en un plazo no mayor a 2 meses.
Acceso a medios: La organizacin debe asegurar que solo los usuarios
autorizados tienen acceso a la informacin en forma impresa o en medios
digitales que puedan ser exportados del sistema de informacin. Este
control debe ser implementado por la Vicepresidencia de Informtica y
Tecnologa en un plazo no mayor a 1 mes.
Autorizacin de acceso fsico: La organizacin deber desarrollar y
conservar listas con el personal que tiene acceso autorizado a los recursos
de los sistemas de informacin, portando las credenciales que acrediten su
vnculo con la compaa. Este control debe ser implementado por la
Vicepresidencia de Informtica y Tecnologa en un plazo no mayor a 2
semanas.
Control de acceso fsico: La organizacin deber controlar todos los puntos
de acceso fsico a los recursos de los sistemas de informacin y verificar
77
78
7.1 Conclusiones
Cabe resaltar que partiendo de esta premisa, es importante contar con un Sistema
de Gestin de Seguridad de la Informacin para poder asegurar, a un nivel
aceptable, la informacin, de la organizacin empresarial La Ofrenda S.A, la cual
es colombiana, dado que se trata de una organizacin dedicada a satisfacer
integralmente las necesidades de la poblacin en servicios funerarios, parques
cementerios y cremacin; es una organizacin, poder cumplir con las regulaciones
de la ISO 27002.
79
80
Como conclusin final, se debe tener en cuenta que hay que recalcar que de
nada sirve contar con un SGSI, que consideren todos los posibles riesgos y
controles para mitigarlos o contar con toda la tecnologa posible para asegurar la
informacin de la compaa si no se da una debida importancia a la seguridad de
la informacin por parte de la alta gerencia y no se cumplen las polticas y
procedimientos establecidos por parte del personal de la empresa.
7.2 Recomendaciones
81
CAPITULO 8 BIBLIOGRAFIA
82
de
seguros,
83
84