8/13/2019 Tarea 1 - COBIT5-ISO27001
1/16
COBIT 5 / ISO 27001
2013
TRABAJO DE INVESTIGACINPablo Sal Osorio 13001118
UNIVERSIDAD GALILEO | Auditoria de Sistemas
8/13/2019 Tarea 1 - COBIT5-ISO27001
2/16
1
CONTENIDOINTRODUCCIN ................................................................................................................................... 2
QU ES COBIT? .................................................................................................................................. 3
Ediciones de COBIT .......................................................................................................................... 4
COBIT 5: ........................................................................................................................................... 4
Principio 2: Cubrir la empresa de extremo a extremo ....................................................................... 5
Principio 3: La aplicacin de un nico marco integrado .................................................................... 5
Principio 4: Habilitacin de un enfoque holstico .............................................................................. 6Principio 5: La separacin de la gestin de gobierno ......................................................................... 7
ISO 27001 ............................................................................................................................................ 8
Historia del surgimiento de ISO 27001 .......................................................................................... 8
Dominios de la norma ISO 27001 ................................................................................................... 9
Fases .............................................................................................................................................. 10
Documentos de ISO 27001 ........................................................................................................... 11
Pasos hacia la certificacin ........................................................................................................... 11
1. Elegir la norma ...................................................................................................................... 112. Contactar ............................................................................................................................... 11
3. Cita con el equipo de evaluacin ......................................................................................... 11
4. Considerar la capacitacin ................................................................................................... 11
5. Revisin y evaluacin ........................................................................................................... 11
6. Certificacin y mucho ms .......................................................Error! Bookmark not defined.
CONCLUSIONES ................................................................................................................................. 13
RECOMENDACIONES ......................................................................................................................... 14
e-GRAFIA ........................................................................................................................................... 15
8/13/2019 Tarea 1 - COBIT5-ISO27001
3/16
2
INTRODUCCIN
En el complejo mundo de hoy, hay una serie de normas y marcos que se emiten pordiversas instituciones con sus propios objetivos especficos. Algunos de los msprominentes entre esta pltora de estndares y marcos son COBIT, ITIL, ISO27001,PMBOK y TOGAF. Cada uno de estos est diseados para satisfacer las necesidadesespecficas de la comunidad de usuarios.
Adems, cada uno tiene una profundidad y amplitud de la cobertura especfica enun rea especfica enfocada. No haba un solo marco global que podra ser el marcoholstico global que podra integrar otras normas y marcos, cubra el extremo de laempresa hasta el final y satisfacer las necesidades de todos los interesados.
8/13/2019 Tarea 1 - COBIT5-ISO27001
4/16
3
QU ES COBIT?
Por sus siglas en ingls Control Objectives for Information and Related Technology, siendoun conjunto de mejores prcticas para el manejo de informacin, creado por ISACA(Asociacin para la Auditora y Control de Sistemas de Informacin), y por ITGI (Instituto deAdministraciones de las Tecnologas de la Informacin)
Es un marco de referencia utilizado para la direccin de TI, as como de herramientas desoporte que permite a la alta gerencia reducir la brecha entre las necesidades de control,cuestiones tcnicas y los riesgos del negocio. Permite el desarrollo de polticas claras ybuenas prcticas para el control de TI en las organizaciones.
COBIT permite entender como dirigir y gestionar el uso de los sistemas de informacin, ascomo establecer un cdigo de buenas prcticas a ser utilizado por los proveedores desistemas. COBIT provee las herramientas para supervisar las actividades relacionadas conIT.
COBIT ofreces las siguientes ventajas.
Es un marco de referencia de gobierno IT aceptado mundialmente, basado enestndares y mejores prcticas de la industria.
Suministra un lenguaje comn que permite a los ejecutivos de negocios comunicarsus metas, objetivos y resultados con Auditores, IT y otros profesionales.
Proporciona las mejores prcticas y herramientas para monitorear y gestionar lasactividades de IT.
Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a travs de suciclo de vida.
Los resultados que se obtienen al implementar COBIT son los siguientes:
El ciclo de vida de costos de IT ser ms transparente y predecible. IT entregara informacin de mayor calidad y en menor tiempo. IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT sern
ms exitosos.
8/13/2019 Tarea 1 - COBIT5-ISO27001
5/16
4
Los requerimientos de seguridad y privacidad sern ms fcilmente identificados, ysu implementacin podr ser ms fcilmente monitoreada.
Todos los riesgos asociados a IT sern gestionados con mayor efectividad El cumplimiento de regulaciones relacionadas a IT sern una prctica normal dentro
de su gestin.
Ediciones de COBIT
COBIT surgi por primera vez en el ao 1995, con la finalidad de crear un producto quepudiese tener un impacto duradero sobre la visin de los negocios.
La primera edicin de COBIT se public en 1996 en 98 pases. La segunda edicin fue publicada en el mes de abril de 1998, contena
mejoras respecto a la edicin anterior, as como la incorporacin de msdocumentos fundamentales, nuevos y revisados objetivos de control de altonivel.
La tercera edicin fue publicada en el ao 2000. La cuarta edicin en el ao 2005 La edicin 4.1 fue publicada en el ao 2007, conteniendo 34 procesos que
cubren 210 objetivos de control, clasificados en cuatro dominios:
Planificacin y Organizacin, Adquisicin e implementacin, Entrega ySoporte y, Supervisin y Evaluacin.
La versin 5 de COBIT sali en abril de 2012, la cual profundizaremos acontinuacin, pues es el objeto de esta investigacin.
COBIT 5:
Presenta un marco para la seguridad de la informacin. Incluye todos los aspectos degaranta de la seguridad razonable y apropiada para los recursos de informacin. Sufundacin es un conjunto de principios sobre los cuales una organizacin debe construir yprobar sus polticas de seguridad, normas, directrices, procedimientos y controles:
8/13/2019 Tarea 1 - COBIT5-ISO27001
6/16
5
Principio 1: Necesidades de los interesados
Un grupo de actores incluye a cualquier persona o grupo afectado por el estado actual o elestado futuro de un proceso, sistema, poltica, etc anlisis de los interesados es el procesode identificacin de las partes interesadas para que su entrada se puede asegurar losresultados. Este es un paso importante en la planificacin de proyectos y la gestin deriesgos . La falta de participacin de todos los interesados, como equipos de auditora, porlo general da lugar a resultados menos que ptimos en el mejor. Peores resultados de loscasos incluyen proyectos fallidos o deficiencias de auditora.
El xito de los resultados de anlisis de los interesados en maximizar los beneficios,minimizar el riesgo o ir ms all de los resultados esperados, y la optimizacin derecursos. Adems, garantizar la integracin de los requisitos de seguridad de la informacinempresarial y en el desarrollo o adquisicin de una solucin es siempre preferible a intentar"pasar" algo sobre una, pero acabada incompleta del sistema, red o un marco de controlesfsicos.
Principio 2: Cubrir la empresa de extremo a extremo
Seguridad de la informacin se aplica a menudo como una serie de soluciones puntuales,como se define en ms detalle en el Principio 3. Sin embargo, la aplicacin general de lasmejores prcticas de seguridad y garanta requiere revisiones de seguridad como parte delos procesos de negocio y las actividades de desarrollo e implementacin de TI. Esto no es
slo una integracin horizontal. Por el contrario, todos los niveles de gestin deben incluirINFOSEC en todas las actividades de planificacin estratgica y operativa del negocio.
Principio 3: La aplicacin de un nico marco integrado
La aplicacin de controles de seguridad es a menudo una actividad de apuntar ydisparar. Muchas organizaciones tienden a solucionar problemas especficos, sin dar unpaso atrs y aplicar las polticas y controles que afectan a mltiples vulnerabilidades en lared o sistema de superficies de ataque . El diseo de un completo marco incluye todos losaspectos de almacenamiento de informacin, el flujo, y el procesamiento, proporcionandouna base para la implementacin de control ms eficiente.
http://www1.worldbank.org/publicsector/anticorrupt/PoliticalEconomy/stakeholderanalysis.htmhttp://resources.infosecinstitute.com/risk-management-chapter-2/http://resources.infosecinstitute.com/risk-management-chapter-2/http://www.investopedia.com/terms/m/materialweakness.asphttps://www.sans.org/reading-room/whitepapers/bestprac/security-practices-project-managers-34257https://www.sans.org/reading-room/whitepapers/bestprac/security-practices-project-managers-34257http://resources.infosecinstitute.com/attack-surface-reduction/http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdfhttp://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdfhttp://resources.infosecinstitute.com/attack-surface-reduction/https://www.sans.org/reading-room/whitepapers/bestprac/security-practices-project-managers-34257https://www.sans.org/reading-room/whitepapers/bestprac/security-practices-project-managers-34257http://www.investopedia.com/terms/m/materialweakness.asphttp://resources.infosecinstitute.com/risk-management-chapter-2/http://resources.infosecinstitute.com/risk-management-chapter-2/http://www1.worldbank.org/publicsector/anticorrupt/PoliticalEconomy/stakeholderanalysis.htm8/13/2019 Tarea 1 - COBIT5-ISO27001
7/16
6
Controles Matrix
Un mtodo para asegurar un uso ptimo de los controles es la creacin y gestin de una
matriz de controles, como se muestra en la figura A. Una matriz debe incluir reas de loscontroles de inters y crtico, ya sea desarrollado durante las evaluaciones de riesgo o conlas normas de buenas prcticas:
SANS Top TwentyControles de seguridad crticos COBIT 5 para la Seguridad de la Informacin ISO 27002
Un marco apoya un enfoque holstico para asegurar una organizacin.
Principio 4: Habilitacin de un enfoque holsticoComo apoyo para el desarrollo de un marco integrado, es importante la seguridad de lainformacin como un conjunto de componentes relacionados, no como un conjunto desilos. Cada componente es impulsado por facilitadores y otros factores que afectan el riesgoorganizacin. COBIT 5 para la Seguridad de la Informacin proporciona una lista de losfacilitadores y describe cmo se relacionan entre s como se muestra en la Figura B.Facilitadores ayudan a las organizaciones a integrar las operaciones y la seguridad en losresultados de todos los principios definidos aqu. Como siempre, esto se hace en una formade satisfacer las necesidades de las partes interesadas.
Figura B
http://www.techrepublic.com/blog/security/use-a-security-controls-matrix-to-justify-controls-and-reduce-costs/616http://www.techrepublic.com/blog/security/use-a-security-controls-matrix-to-justify-controls-and-reduce-costs/616http://www.sans.org/critical-security-controls/guidelines.phphttp://www.sans.org/critical-security-controls/guidelines.phphttp://www.techrepublic.com/blog/security/use-a-security-controls-matrix-to-justify-controls-and-reduce-costs/616http://www.techrepublic.com/blog/security/use-a-security-controls-matrix-to-justify-controls-and-reduce-costs/6168/13/2019 Tarea 1 - COBIT5-ISO27001
8/16
7
Principio 5: La separacin de la gestin de gobierno
Este principio establece una lnea entre el establecimiento de objetivos y la medicin deresultados. Segn COBIT 5 para la Seguridad de Informacin:
"Gobierno asegura que las necesidades de las partes interesadas, las condiciones y lasopciones son evaluadas para determinar los saldos, acordadas en los objetivosempresariales a alcanzar; establecimiento de la direccin a travs de prioridades y la tomade decisiones y el monitoreo de desempeo y cumplimiento contra acordados en ladireccin y objetivos.
"Los planes de manejo, construye, carreras y actividades de monitores en alineacin con ladireccin establecida por el rgano de gobierno para alcanzar los objetivos de la empresa"(p. 23).
Ya que el gobierno y la gestin son funciones separadas realizadas por equipos designados,deben apoyarse mutuamente. Gobierno define los resultados y la tecnologa de losinstrumentos de gestin y procesos para cumplir con esos resultados. Gobierno determinaentonces si se cumplen los resultados y proporciona informacin para ayudar a la gestinde hacer los ajustes necesarios.
8/13/2019 Tarea 1 - COBIT5-ISO27001
9/16
8
ISO 27001
Es una norma adecuada para cualquier organizacin, grande o pequea, de cualquier sectoro parte del mundo. La norma es particularmente interesante si la proteccin de lainformacin es crtica, como en finanzas, sanidad, sector pblico y tecnologa de lainformacin (TI).
Tambin es muy eficaz para organizaciones que gestionan la informacin por encargo deotros, por ejemplo, empresas de subcontratacin de TI. Puede utilizarse para garantizar alos clientes que su informacin est protegida.
La norma ISO 27001 permite a las empresas Certificar su Sistema de Gestin de seguridad
de la Informacin (SGSI).
Obtener la certificacin, supone decir a los clientes, empleados y proveedores que laempresa se preocupa por la gestin de la Seguridad de la Informacin y que presta unservicio de calidad reconocido.
Historia del surgimiento de ISO 27 1
8/13/2019 Tarea 1 - COBIT5-ISO27001
10/16
9
Las fases de las que consta el proyecto para la implementacin y posterior certificacin:
Delimitacin del Alcance. Anlisis de Riesgos. Gestin de Riesgos. Declaracin de Aplicabilidad. Polticas y Procedimientos. Plan Director de Seguridad. Plan de Continuidad de Negocio. Plan de Formacin. Gestin de Incidencias. Desarrollo del SGSI. Auditora Interna. Certificacin por entidad acreditada (en su caso).
Algunas ventajas en la implementacin de ISO 27001
Mejora en la imagen y relaciones con terceros. Mejora en el control de las personas. Mejora en el registro de incidentes y debilidades. Mejora en la gestin de continuidad del negocio.
Dominios de la norma ISO 27 1
8/13/2019 Tarea 1 - COBIT5-ISO27001
11/16
10
Fases
La norma se basa en la mejora continua:
PLANIFICAR: en esta fase analiza el entorno de actividad de la compaa. Lainformacin tratada por la misma, las directivas corporativas establecidas y losrequisitos legales aplicables a cada compaa. Durante esta etapa la empresa debedisear un procedimiento formal para la continua identificacin y evaluacin de losriesgos y seleccionar los objetivos de control, as como los controles que le permitangestionar estos riesgos.
IMPLEMENTAR: en esta fase se centra en el desarrollo e implementacin de un planefectivo a medio y largo plazo que evite o atene los posibles riesgos para laseguridad de la informacin. En esta fase, se iniciar tambin la formacin einformacin del personal de la empresa, de forma que se garantice la correctaimplementacin del SGSI.
REVISAR: la implantacin del SGSI exige el seguimiento y revisin de los controles ymedidas implantadas. Por ello es imprescindible, la realizacin de auditoras tantointernas como externas que revisen la eficacia y eficiencia del SGSI, y queidentifiquen las posibles amenazas, vulnerabilidades y riesgos del sistema.
ACTUAR: la implantacin de un SGSI exige actuar, mantener y mejorarconstantemente el SGSI. Cuando en la revisin (check) del SGSI se detectenamenazas, vulnerabilidades y riesgos, es necesario llevar a cabo medidas correctorasy preventivas adecuadas, que garanticen en todo momento la seguridad yproteccin de la informacin de la empresa.
Tambin se puede alinear la norma ISO 27001 con las Normas ISO 14001, ISO 20000,ISO 22301, ISO9001, etc.
Todas las actividades deben ser implementadas cclicamente para mantener la eficaciadel SGSI de forma permanente.
8/13/2019 Tarea 1 - COBIT5-ISO27001
12/16
11
Documentos de ISO 27001
La norma ISO 27001 requiere los siguientes documentos:
El alcance del SGSI; La poltica del SGSI; Procedimientos para control de documentacin, auditoras internas y procedimientos
para medidas correctivas y preventivas; Todos los dems documentos, segn los controles aplicables; Metodologa de evaluacin de riesgos; Informe de evaluacin de riesgos; Declaracin de aplicabilidad; Plan de tratamiento del riesgo; Registros.
La cantidad y exactitud de la documentacin depende del tamao y de las exigencias deseguridad de la organizacin; esto significa que una docena de documentos sernsuficientes para una pequea organizacin, mientras que las organizaciones grandes ycomplejas tendrn varios cientos de documentos en su SGSI.
Pasos hacia la certificacin
1. Elegir la norma
Antes de que pueda empezar a preparar su solicitud, necesita una copia de la norma. Debeleerla y familiarizarse con ella.
Puede adquirir ISO/IEC 27001 e ISO/IEC 17799 en lnea en la pgina Web.
2. Contactar
3. Cita con el equipo de evaluacin
4. Considerar la capacitacin
5. Revisin y evaluacin
8/13/2019 Tarea 1 - COBIT5-ISO27001
13/16
12
La auditora de certificacin suele constar de 2 fases:
FASE 1 o documental y FASE 2.
En la FASE 1 el equipo auditor revisar toda la documentacin que conforma el SGSI de laorganizacin y realizar observaciones sobre potenciales no-conformidades.
En la FASE 2 el equipo auditor revisa ya toda la organizacin, para comprobar si existen lasevidencias de que se mantiene un SGSI segn la norma.
Tras la FASE 2 el equipo auditor recomendar la certificacin directamente o emitir uninforme de no-conformidades. Una no-conformidad puede ser menor o mayor. Una no-conformidad menor significa que el auditor ha identificado un no cumplimiento puntual de
algn apartado de la norma o de nuestros propios procesos, pero que no representa unpeligro para el funcionamiento del SGSI. Una no-conformidad mayor es un no cumplimientode la norma o de un proceso propio, pero con un impacto en el SGSI mayor. Es decir, noexisten evidencias de que estemos ejecutando algn proceso tal como hemosdocumentado.
Si existen no-conformidades menores, tras la auditora la organizacin debe realizar un plande acciones correctivas donde se evidencie una planificacin razonable y realista de lasmedidas que se van a tomar para eliminar la causa raz de dichas no-conformidades.
Si existen no-conformidades mayores, la organizacin debe corregir dichas no-conformidades y evaluar la medida correctiva tomada. Luego se deber enviar al equipoauditor la explicacin detallada de la medida tomada y sus resultados.
Cundo no se obtendra la certificacin? Depende de la certificadora y su acreditacin, haycertificadoras que con nmero determinado de no-conformidades mayores ya sernecesario repetir la FASE 2 de la auditora (con el coste que ello conlleva para el auditado).Otras certificadoras, con una sola no-conformidad mayor significativa ya se suspendera laauditora y se debera reauditar.
8/13/2019 Tarea 1 - COBIT5-ISO27001
14/16
13
CONCLUSIONESLa auditora de sistemas es la revisin de los controles, sistemas, procedimientos deinformtica, de los equipos de cmputo, su utilizacin, eficiencia y seguridad.
Es de vital importancia para el buen desempeo de los sistemas de informacin, yaque proporciona los controles necesarios para que los sistemas sean confiables y conbuen nivel de seguridad.
8/13/2019 Tarea 1 - COBIT5-ISO27001
15/16
14
RECOMENDACIONES
Para llevar a cabo una auditora, siempre es importante poder contar con algunasrecomendaciones al momento de hacerla, pues la idea es poder ayudar a laorganizacin y no estar en contra de ella.
Tales recomendaciones pueden ser algunas de las que siguientes:
- La funcin principal de la auditora debe ser de ayudar a proteger elpatrimonio, reputacin y sostenibilidad de la organizacin.
- El alcance de la auditora debe estar libre de restricciones.- La auditora no debe ser parte ni responsable de la gestin de riesgos,
cumplimiento o funcin financiera.- Los auditores deben estar a un nivel lo suficientemente alto dentro de laorganizacin.
8/13/2019 Tarea 1 - COBIT5-ISO27001
16/16
15
e-GRAFIA
http://www.csi-india.org/c/document_library/get_file?uuid=6d3e2cd0-8004-48b7-91ab-b2823215dbcd&groupId=10157
http://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-la-estrategia-de-seguridad-informatica
http://seguridadinformacioncolombia.blogspot.com/2010/07/que-es-cobit.html
http://ds5-andre-ortega-5a.host56.com/historia.html
http://searchsecurity.techtarget.com/definition/COBIT
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas
http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/
http://es.wikipedia.org/wiki/ISO_27001
http://www.iso27001security.com/html/27001.html
http://www.bsigroup.com/en-GB/iso-27001-information-security/
http://www.csi-india.org/c/document_library/get_file?uuid=6d3e2cd0-8004-48b7-91ab-b2823215dbcd&groupId=10157http://www.csi-india.org/c/document_library/get_file?uuid=6d3e2cd0-8004-48b7-91ab-b2823215dbcd&groupId=10157http://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-la-estrategia-de-seguridad-informaticahttp://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-la-estrategia-de-seguridad-informaticahttp://seguridadinformacioncolombia.blogspot.com/2010/07/que-es-cobit.htmlhttp://ds5-andre-ortega-5a.host56.com/historia.htmlhttp://searchsecurity.techtarget.com/definition/COBIThttp://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadashttp://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadashttp://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/http://es.wikipedia.org/wiki/ISO_27001http://www.iso27001security.com/html/27001.htmlhttp://www.bsigroup.com/en-GB/iso-27001-information-security/http://www.bsigroup.com/en-GB/iso-27001-information-security/http://www.iso27001security.com/html/27001.htmlhttp://es.wikipedia.org/wiki/ISO_27001http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadashttp://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadashttp://searchsecurity.techtarget.com/definition/COBIThttp://ds5-andre-ortega-5a.host56.com/historia.htmlhttp://seguridadinformacioncolombia.blogspot.com/2010/07/que-es-cobit.htmlhttp://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-la-estrategia-de-seguridad-informaticahttp://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-la-estrategia-de-seguridad-informaticahttp://www.csi-india.org/c/document_library/get_file?uuid=6d3e2cd0-8004-48b7-91ab-b2823215dbcd&groupId=10157http://www.csi-india.org/c/document_library/get_file?uuid=6d3e2cd0-8004-48b7-91ab-b2823215dbcd&groupId=10157Top Related