Está en la página 1de 16

234Mapeando

Fortalezas de COBIT 5
Seguridad con ISO/IEC
27001:2013
Johann Tello Meryk
Director, Latam Consulting Services
AGENDA
1. ESTRUCTURA DE COBIT 5 PARA SEGURIDAD DE LA
INFORMACIN
2. ESTRUCTURA DE ISO/IEC 27001:2013
3. MAPEO DE PRINCIPIOS
4. MAPEO DE PROCESOS
5. CASO DE ESTUDIO
ESCENARIO NO. 1
ESCENARIO NO. 2
6. CONCLUSIONES
7. PREGUNTAS
ESTRUCTURA DE COBIT 5 PARA SEGURIDAD
DE LA INFORMACIN
Marco Referencial
Principios de COBIT 5: Satisfacer las necesidades de las partes interesadas,
cubrir a la empresa de extremo a extremo, aplicar un marco de referencia nico
integrado, hacer posible un enfoque holstico y separar al gobierno de la gestin.
Habilitadores de COBIT 5: Principios, polticas y marco de referencia;
procesos; estructuras organizativas; cultura, tica y comportamiento;
informacin; servicios, infraestructura y aplicaciones; y personas, habilidades y
competencias.
COBIT 5 Implementacin: Las siete fases del ciclo de vida de implementacin
Modelo de Referencia de Procesos de COBIT 5: EDM (Evaluar, Orientar y
Supervisar), APO (Alinear, Planificar y Organizar), BAI (Construir, Adquirir e
Implementar), DSS (Entregar, dar Servicio y Soporte) y MEA (Supervisar, Evaluar y
Valorar)
ESTRUCTURA DE ISO/IEC 27001:2013
reas de requerimientos del Sistema de Administracin de Seguridad
de la Informacin (ISMS)
No. Requerimientos
0. Introduccin
1. Alcance
2. Referencia de la Normativa
3. Trminos y definiciones
4. Contexto de la organizacin
5. Liderazgo
6. Planeacin
7. Soporte
8. Operacin
9. Evaluacin del rendimiento
10. Mejoramiento
Anexo A: Objetivos de control y controles, A.5 a A.18
MAPEO DE DEFINICIONES / PRINCIPIOS
COBIT 5 Seguridad de la Informacin
Asegurar que dentro de la empresa, la informacin est protegida contra la divulgacin por
usuarios no autorizados (confidencialidad), modificacin inapropiada (integridad) y no acceso
cuando es requerida (disponibilidad).
Confidencialidad significa preservar restricciones autorizadas en el acceso y divulgacin,
incluyendo la proteccin de privacidad y propietario de la informacin.
Integridad significa guarda contra la modificacin inapropiada o destruccin e incluye
asegurarse de la no repudiacin de la informacin y su autenticidad.
Disponibilidad significa asegurarse del acceso oportuno y fiable a la informacin y su uso.
ISO/IEC 27001:2013
El sistema de administracin de la seguridad de la informacin preserva la confidencialidad,
integridad y disponibilidad de la informacin aplicando un procesos de administracin de riesgo y
brinda confianza a las partes interesadas que el riesgo est adecuadamente administrado.
Es importante que el sistema de administracin de la seguridad de la informacin es parte y est
integrado con los procesos de la organizacin y con la estructura global de la gerencia y que la
seguridad de la informacin es considerada en el diseo de procesos, sistemas de informacin y
controles. La expectativa es que la implementacin del sistema de administracin de la seguridad
de la informacin ser escalado en concordancia con las necesidades de la organizacin.
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Evaluar, Orientar y Supervisar
EDM01 Asegurar el establecimiento y
mantenimiento del marco de
referencia de gobierno
5.1 Liderazgo y compromiso
5.2 Poltica
5.3 Roles, responsabilidades y autoridades
organizacionales
6.2 Objetivos de seguridad de la informacin y la
planeacin para su logro
7.4 Comunicacin
A.5 Poltica de Seguridad de Informacin
EDM02 Asegurar la Entrega de
Beneficios
4.1 Entendiendo a la organizacin y su contexto
4.2 Entender las necesidades y expectativas de
las partes interesadas
6.1.1 General
9.3 Revisin Gerencial
10 Mejoramiento
EDM03 Asegurar la Optimizacin del
Riesgo
5.2 Poltica
6.1 Acciones para abordar los riesgos y las
oportunidades
7.5 Informacin documentada
8.1 Plan operacional y de control
8.3 Tratamiento al riesgo de seguridad de
informacin
9.1 Monitoreo, medicin, anlisis y evaluacin
9.3 Revisin gerencial
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
EDM04 Asegurar la Optimizacin de
Recursos
4.4 Sistema de Administracin de la seguridad
de informacin
7.1 Recursos
7.2 Competencia
7.3 Concientizacin
EDM05 Asegurar la Transparencia
hacia las Partes Interesadas
A.12 Operaciones de Seguridad
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Alinear, Planificar y Organizar
APO 01 Gestionar el marco de gestin
de TI
5 Liderazgo
A.5 Poltica de seguridad de la informacin
A.6 Organizacin de seguridad de la informacin
APO02 Gestionar la estrategia
4 Contexto de la organizacin
5.2 Poltica
6 Planeacin
APO03

Gestionar la Arquitectura
Empresarial
APO04 Gestionar la innovacin
APO05 Gestionar el portafolio
APO06 Gestionar el presupuesto y los
costes
APO07

Gestionar los recursos
humanos
7.2 Competencia
7.3 Concientizacin
A.7 Seguridad de Recursos Humanos
APO08 Gestionar las relaciones
A.6.1 Organizacin interna
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
APO09 Gestionar acuerdos de
servicios
APO 10 Gestionar los proveedores
A.15 Relacin con proveedores
APO11 Gestionar la calidad

4.1 Entendiendo la organizacin y su contexto
4.2 Entender las necesidades y expectativas de
las partes interesadas
6.1.1 General
9.3 Revisin gerencial
10 Mejoramiento
APO12

Gestionar el riesgo.
5.2 Poltica
6.1 Acciones para abordar los riesgos y las
oportunidades
7.5 Informacin documentada
8.1 Plan operacional y de control
8.3 Tratamiento al riesgo de seguridad de
informacin
9.1 Monitoreo, medicin, anlisis y evaluacin
9.3 Revisin gerencial
APO13 Gestionar la seguridad

Considerado en todo el estndar
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Construir, adquirir e implementar
BAI01 Gestionar programas y
proyectos
BAI02 Gestionar la definicin de
requisitos
A.18 Cumplimiento
BAI03 Gestionar la identificacin y
construccin de soluciones.
A.14 Adquisicin, desarrollo y mantenimiento
de sistemas
BAI04 Gestionar la disponibilidad y
la capacidad
A.12.1.3 Administracin de capacidad
BAI05 Gestionar la introduccin del
cambio organizativo
BAI06 Gestionar los cambios
A.12.1.2 Administracin de cambios
BAI07 Gestionar la aceptacin del
cambio y la transicin
A.12.1.4 Separacin de los ambientes de
desarrollo, prueba y operaciones
BAI08 Gestionar el conocimiento
7.5 Informacin documentada
BAI09 Gestionar los activos
A.8 Administracin de activos
BAI10 Gestionar la configuracin
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Entrega, Servicio y Soporte
DSS01 Gestionar operaciones
6.1 Acciones para abordar los riesgos y
oportunidades
8 Operaciones
A.11 Seguridad fsica y ambiental
A.12.3 Respaldos
A.12.4 Monitoreo y registro
A.15 Relacin con proveedores
DSS02 Gestionar peticiones e
incidentes de servicio
A.16 Administracin de incidentes de
seguridad de la informacin
DSS03 Gestionar problemas
DSS04 Gestionar la continuidad
4.1 Entendiendo la organizacin y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicacin
7.5 Informacin documentada
10 Mejoramiento
DSS05 Gestionar servicios de
seguridad
Considerado en todo el estndar

DSS06 Gestionar controles de
procesos de negocio
6.1.2 Evaluacin de riesgo de seguridad de la
informacin
9 Evaluacin del rendimiento
A.8.2 Clasificacin de la informacin
A.9.4 Control de acceso a los sistemas y
aplicaciones
ISBN 978-9962-05-581-5
MAPEO DE PROCESOS
COBIT 5 Seguridad de la Informacin ISO/IEC 27001:2013
Supervisar, Evaluar y Valorar
MEA01 Supervisar, evaluar y valorar
el rendimiento y la
conformidad
4.1 Entendiendo la organizacin y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicacin
9 Evaluacin del rendimiento
MEA02

Supervisar, evaluar y valorar
el sistema de control interno
4.1 Entendiendo la organizacin y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicacin
9 Evaluacin del rendimiento
A.18.2 Revisiones de seguridad de la
informacin
MEA03

Supervisar, evaluar y valorar
la conformidad con los
requerimientos externos
4.1 Entendiendo la organizacin y su contexto
6.1 Acciones para abordar riesgos y
oportunidades
7.4 Comunicacin
9 Evaluacin del rendimiento
A.18.1 Cumplimiento con requerimientos
legales y contractuales

ISBN 978-9962-05-581-5
CASO DE ESTUDIO
ESCENARIO NO. 1
Recientemente una empresa ha pasado por un proceso de adquisicin
en donde la empresa matriz est implementando COBIT 5 para
seguridad de la informacin mientras que la empresa adquirida ha
logrado implementar algunos requerimientos del estndar ISO/IEC
27001:2013.
La gerencia de seguridad a nivel corporativo requiere determinar los
esfuerzos que son necesarios para lograr homologar los estndares de
seguridad. Cules seran los pasos a seguir para lograr el objetivo
deseado?


ISBN 978-9962-05-581-5
CASO DE ESTUDIO
ESCENARIO NO. 2
Un banco ha sido fuertemente penalizado por incumplimiento de las
regulaciones establecidas de seguridad de la informacin. El ente
regulador ha establecido un periodo de seis meses para evaluar los
primeros resultados de un programa de seguridad integral. Uno de los
principales hallazgos indica que no han realizado evaluaciones de
riesgos.
Cul estndar entre COBIT 5 para Seguridad de la Informacin o ISO/IEC
27001:2013 recomendara a la gerencia del banco utilizar?


ISBN 978-9962-05-581-5
CONCLUSIONES
COBIT 5 para Seguridad de la Informacin nos brinda un marco de
gobierno de seguridad alineado a COBIT 5
Ambos estndares establecen como requerimientos principales para la
seguridad de la informacin:
Entendimiento de la organizacin
Las necesidades y expectativas
Compromiso de la alta gerencia
Roles y responsabilidades
Planeacin
Evaluar y tratar el riesgo
Medir resultados
Documentar
Mejoramiento continuo
Comparten las mismas preocupaciones sobre la integridad,
confidencialidad e integridad de la informacin.
Las inversiones en seguridad de la informacin slo sern sostenibles a
travs del cumplimiento de estndares.

ISBN 978-9962-05-581-5
PREGUNTAS
Johann Tello Meryk, CISA, CRISC, CISM
Jtello@latamcs.com