Post on 06-Feb-2018
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
1/16
234MapeandoFortalezas de COBIT 5Seguridad con ISO/IEC
27001:2013
Johann Tello Meryk
Director, Latam Consulting Services
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
2/16
AGENDA
1. ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LAINFORMACIN
2. ESTRUCTURA DE ISO/IEC 27001:2013
3. MAPEO DE PRINCIPIOS
4. MAPEO DE PROCESOS
5. CASO DE ESTUDIOESCENARIO NO. 1
ESCENARIO NO. 2
6. CONCLUSIONES
7. PREGUNTAS
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
3/16
ESTRUCTURA DE COBIT 5 PARA SEGURIDADDE LA INFORMACIN
Marco ReferencialPrincipios de COBIT 5: Satisfacer las necesidades de las partes interesadas,cubrir a la empresa de extremo a extremo, aplicar un marco de referencia nico
integrado, hacer posible un enfoque holstico y separar al gobierno de la gestin.
Habilitadores de COBIT 5: Principios, polticas y marco de referencia;procesos; estructuras organizativas; cultura, tica y comportamiento;
informacin; servicios, infraestructura y aplicaciones; y personas, habilidades y
competencias.
COBIT 5 Implementacin: Las siete fases del ciclo de vida de implementacin
Modelo de Referencia de Procesos de COBIT 5: EDM (Evaluar, Orientar ySupervisar), APO (Alinear, Planificar y Organizar), BAI (Construir, Adquirir e
Implementar), DSS (Entregar, dar Servicio y Soporte) y MEA (Supervisar, Evaluar yValorar)
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
4/16
ESTRUCTURA DE ISO/IEC 27001:2013
reas de requerimientos del Sistema de Administracin de Seguridad
de la Informacin (ISMS)No. Requerimientos
0. Introduccin
1. Alcance
2. Referencia de la Normativa
3. Trminos y definiciones
4. Contexto de la organizacin
5. Liderazgo
6. Planeacin
7. Soporte
8. Operacin
9. Evaluacin del rendimiento
10. Mejoramiento
Anexo A: Objetivos de control y controles, A.5 a A.18
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
5/16
MAPEO DE DEFINICIONES / PRINCIPIOS
COBIT 5 Seguridad de la Informacin
Asegurar que dentro de la empresa, la informacin est protegida contra la divulgacin por
usuarios no autorizados (confidencialidad), modificacin inapropiada (integridad) y no accesocuando es requerida (disponibilidad).
Confidencialidad significa preservar restricciones autorizadas en el acceso y divulgacin,
incluyendo la proteccin de privacidad y propietario de la informacin.
Integridad significa guarda contra la modificacin inapropiada o destruccin e incluye
asegurarse de la no repudiacin de la informacin y su autenticidad.
Disponibilidad significa asegurarse del acceso oportuno y fiable a la informacin y su uso.
ISO/IEC 27001:2013
El sistema de administracin de la seguridad de la informacin preserva la confidencialidad,
integridad y disponibilidad de la informacin aplicando un procesos de administracin de riesgo y
brinda confianza a las partes interesadas que el riesgo est adecuadamente administrado.
Es importante que el sistema de administracin de la seguridad de la informacin es parte y estintegrado con los procesos de la organizacin y con la estructura global de la gerencia y que la
seguridad de la informacin es considerada en el diseo de procesos, sistemas de informacin y
controles. La expectativa es que la implementacin del sistema de administracin de la seguridad
de la informacin ser escalado en concordancia con las necesidades de la organizacin.
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
6/16
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Evaluar, Orientar y SupervisarEDM01 Asegurar el establecimiento y
mantenimiento del marco de
referencia de gobierno
5.1 Liderazgo y compromiso
5.2 Poltica
5.3 Roles, responsabilidades y autoridades
organizacionales
6.2 Objetivos de seguridad de la informacin y la
planeacin para su logro
7.4 Comunicacin
A.5 Poltica de Seguridad de Informacin
EDM02 Asegurar la Entrega de
Beneficios
4.1 Entendiendo a la organizacin y su contexto
4.2 Entender las necesidades y expectativas de
las partes interesadas
6.1.1 General
9.3 Revisin Gerencial
10 Mejoramiento
EDM03 Asegurar la Optimizacin del
Riesgo
5.2 Poltica
6.1 Acciones para abordar los riesgos y lasoportunidades
7.5 Informacin documentada
8.1 Plan operacional y de control
8.3 Tratamiento al riesgo de seguridad de
informacin
9.1 Monitoreo, medicin, anlisis y evaluacin
9.3 Revisin gerencial
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
7/16
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
EDM04 Asegurar la Optimizacin deRecursos
4.4 Sistema de Administracin de la seguridadde informacin
7.1 Recursos
7.2 Competencia
7.3 Concientizacin
EDM05 Asegurar la Transparencia
hacia las Partes Interesadas
A.12 Operaciones de Seguridad
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
8/16
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Alinear, Planificar y Organizar
APO 01 Gestionar el marco de gestin
de TI
5 LiderazgoA.5 Poltica de seguridad de la informacin
A.6 Organizacin de seguridad de la informacin
APO02 Gestionar la estrategia 4 Contexto de la organizacin5.2 Poltica
6 Planeacin
APO03 Gestionar la ArquitecturaEmpresarial
APO04 Gestionar la innovacin
APO05 Gestionar el portafolio
APO06 Gestionar el presupuesto y los
costes
APO07 Gestionar los recursos
humanos
7.2 Competencia
7.3 Concientizacin
A.7 Seguridad de Recursos Humanos
APO08 Gestionar las relaciones A.6.1 Organizacin interna
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
9/16
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
APO09 Gestionar acuerdos de
servicios
APO 10 Gestionar los proveedores A.15 Relacin con proveedores
APO11 Gestionar la calidad 4.1 Entendiendo la organizacin y su contexto4.2 Entender las necesidades y expectativas de
las partes interesadas
6.1.1 General
9.3 Revisin gerencial
10 Mejoramiento
APO12 Gestionar el riesgo. 5.2 Poltica6.1 Acciones para abordar los riesgos y las
oportunidades
7.5 Informacin documentada
8.1 Plan operacional y de control8.3 Tratamiento al riesgo de seguridad de
informacin
9.1 Monitoreo, medicin, anlisis y evaluacin
9.3 Revisin gerencial
APO13 Gestionar la seguridad Considerado en todo el estndar
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
10/16
MAPEO DE PROCESOSCOBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Construir, adquirir e implementar
BAI01 Gestionar programas y
proyectos
BAI02 Gestionar la definicin de
requisitos
A.18 Cumplimiento
BAI03 Gestionar la identificacin y
construccin de soluciones.
A.14 Adquisicin, desarrollo y mantenimiento
de sistemas
BAI04 Gestionar la disponibilidad y
la capacidad
A.12.1.3 Administracin de capacidad
BAI05 Gestionar la introduccin del
cambio organizativo
BAI06 Gestionar los cambios A.12.1.2 Administracin de cambios
BAI07 Gestionar la aceptacin del
cambio y la transicin
A.12.1.4 Separacin de los ambientes de
desarrollo, prueba y operaciones
BAI08 Gestionar el conocimiento 7.5 Informacin documentada
BAI09 Gestionar los activos A.8 Administracin de activos
BAI10 Gestionar la configuracinISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
11/16
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Entrega, Servicio y Soporte
DSS01 Gestionar operaciones
6.1 Acciones para abordar los riesgos y
oportunidades8 Operaciones
A.11 Seguridad fsica y ambiental
A.12.3 Respaldos
A.12.4 Monitoreo y registro
A.15 Relacin con proveedores
DSS02 Gestionar peticiones e
incidentes de servicio
A.16 Administracin de incidentes de
seguridad de la informacin
DSS03 Gestionar problemas
DSS04 Gestionar la continuidad 4.1 Entendiendo la organizacin y su contexto6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicacin
7.5 Informacin documentada
10 Mejoramiento
DSS05 Gestionar servicios de
seguridad
Considerado en todo el estndar
DSS06 Gestionar controles de
procesos de negocio
6.1.2 Evaluacin de riesgo de seguridad de la
informacin
9 Evaluacin del rendimiento
A.8.2 Clasificacin de la informacin
A.9.4 Control de acceso a los sistemas yaplicaciones
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
12/16
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Supervisar, Evaluar y Valorar
MEA01 Supervisar, evaluar y valorar
el rendimiento y la
conformidad
4.1 Entendiendo la organizacin y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicacin
9 Evaluacin del rendimiento
MEA02 Supervisar, evaluar y valorar
el sistema de control interno
4.1 Entendiendo la organizacin y su contexto
6.1 Acciones para abordar riesgos y
oportunidades7.4 Comunicacin
9 Evaluacin del rendimiento
A.18.2 Revisiones de seguridad de la
informacin
MEA03 Supervisar, evaluar y valorar
la conformidad con los
requerimientos externos
4.1 Entendiendo la organizacin y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicacin
9 Evaluacin del rendimiento
A.18.1 Cumplimiento con requerimientos
legales y contractuales
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
13/16
CASO DE ESTUDIO
ESCENARIO NO. 1
Recientemente una empresa ha pasado por un proceso de adquisicin
en donde la empresa matriz est implementando COBIT 5 paraseguridad de la informacin mientras que la empresa adquirida ha
logrado implementar algunos requerimientos del estndar ISO/IEC
27001:2013.
La gerencia de seguridad a nivel corporativo requiere determinar los
esfuerzos que son necesarios para lograr homologar los estndares de
seguridad. Cules seran los pasos a seguir para lograr el objetivodeseado?
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
14/16
CASO DE ESTUDIO
ESCENARIO NO. 2
Un banco ha sido fuertemente penalizado por incumplimiento de las
regulaciones establecidas de seguridad de la informacin. El enteregulador ha establecido un periodo de seis meses para evaluar los
primeros resultados de un programa de seguridad integral. Uno de los
principales hallazgos indica que no han realizado evaluaciones de
riesgos.
Cul estndar entre COBIT 5 para Seguridad de la Informacin o ISO/IEC
27001:2013 recomendara a la gerencia del banco utilizar?
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
15/16
CONCLUSIONES
COBIT 5 para Seguridad de la Informacin nos brinda un marco de
gobierno de seguridad alineado a COBIT 5
Ambos estndares establecen como requerimientos principales para laseguridad de la informacin:
Entendimiento de la organizacin
Las necesidades y expectativas
Compromiso de la alta gerencia
Roles y responsabilidades
PlaneacinEvaluar y tratar el riesgo
Medir resultados
Documentar
Mejoramiento continuo
Comparten las mismas preocupaciones sobre la integridad,
confidencialidad e integridad de la informacin.
Las inversiones en seguridad de la informacin slo sern sostenibles a
travs del cumplimiento de estndares.
ISBN 978-9962-05-581-5
7/21/2019 MAPEO DE COBIT 5 con ISO 27001 2013.pdf
16/16
PREGUNTAS
Johann Tello Meryk, CISA, CRISC, CISM
Jtello@latamcs.com