Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FM 0715 Memoria
FM 0715 Memoria
Tabla de contenido
1 HISTORIA NORMAS ISO/IEC 27001: 2013 E ISO/IEC 27002:2014
5
6
2 SITUACIN ACTUAL
2.1
2.2
2.3
2.4
2.5
2.6
Introduccin
Conociendo la ISO/IEC 27002
Contextualizacin
Objetivos del plan director
Anlisis diferencial
resultados
7
8
8
11
12
13
14
3.1 Introduccin
3.2 Esquema Documental
14
15
4 ANLISIS DE RIESGOS
16
4.1
4.2
4.3
4.4
4.5
4.6
16
16
17
17
19
19
Introduccin
Inventario de activos y valoracin de activos
Dimensiones de seguridad y tabla de resumen de valoracin
Anlisis de amenazas Impacto
Nivel de Riesgo Aceptable y riesgo Residual
Resultados
5 PROPUESTAS DE PROYECTOS
20
5.1 Introduccin
5.2 Propuestas
5.3 Resultados
20
20
20
6 AUDITORA DE CUMPLIMIENTO
21
2
JULIETH PARRA CASALLAS
6.1
6.2
6.3
6.4
6.5
6.6
Introduccin
Metodologa
Evaluacin de la madurez
Presentacin de resultados
Resultados
Auditora
21
22
22
22
23
24
24
7.1 Introduccin
7.2 Objetivos de la fase
7.3 Entregables
24
24
25
8 DEFINICIONES
25
9 ANEXOS
27
9.1
9.2
9.3
9.4
9.5
9.6
9.7
9.8
9.9
9.10
9.11
9.12
9.13
9.14
9.15
27
27
27
27
27
27
27
27
27
27
27
27
28
28
28
Anexo 1 Alcance
Anexo 2 Anlisis GAP inicial
Anexo 3 Poltica de seguridad de la informacin
Anexo 4 Procedimiento de auditoras internas
Anexo 5 Gestin de indicadores
Anexo 6 Procedimiento revisin por direccin
Anexo 7 Gestin de roles y responsabilidades
Anexo 8 Metodologa de anlisis de riesgos
Anexo 9 Declaracin de aplicabilidad
Anexo 10 Activos de informacin
Anexo 11 Riesgos de seguridad de la informacin
Anexo 12 Formato opciones de tratamiento y detalles
Anexo 13 Procedimiento de control de documentos
Anexo 14 Anlisis GAP final y Reporte Auditora
Anexo 15 Informe de Resultados
28
11 CONTROL DE VERSIONES
29
3
JULIETH PARRA CASALLAS
Tabla de figuras
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
Figura No.
4
JULIETH PARRA CASALLAS
Su origen fue:
-
5
JULIETH PARRA CASALLAS
0. Introduccin
1. Alcance
2. Referencias
normativas
3. Trminos y
definiciones
2. Contexto de
la organizacin
5. Liderazgo
6. Planificacin
7. Soporte
8. Operacin
9. Evaluacin
del desempeo
10. Mejora
6
JULIETH PARRA CASALLAS
Polticas de seguridad
Organizacin de la seguridad de la informacin
Seguridad de los RRHH
Gestin de activos
Control de acceso
Criptografa
Seguridad fsica y ambiental
Operaciones de seguridad
Seguridad de las comunicaciones
Sistemas de adquisicin, desarrollo y mantenimiento
Relacin con proveedores
Gestin de incidentes
Seguridad de la informacin para la continuidad del negocio
Cumplimiento
2 SITUACIN ACTUAL
2.1 INTRODUCCIN
El estado colombiano ha definido como estrategia para la
implementacin del Modelo de seguridad de informacin en las entidades
pblicas, la implementacin de un Sistema de Seguridad de la Informacin
sostenible basado en el ciclo PHVA.
Por lo anterior en este documento se desarrollan las etapas ms
importantes que se deben tener en cuenta para la implementacin de un
Sistema de Gestin de Seguridad de la Informacin en una empresa.
Etapas:
- Fase 1: Definicin de la situacin actual
- Fase 2: Sistema de gestin documental del SGSI
- Fase 3: Anlisis de riesgos
- Fase 4: Propuestas de proyectos
- Fase 5: Fase de auditora y cumplimiento
- Fase 6: Presentacin de resultados
7
JULIETH PARRA CASALLAS
2.3 CONTEXTUALIZACIN
La empresa elegida para el desarrollo de las fases descritas a lo largo de
este documento, es una empresa pblica prestadora de los servicios de
acueducto y alcantarillado sanitario y pluvial.
Cuenta aproximadamente
contratistas.
con
1200
colaboradores,
empleados
Visin:
Ser un modelo pblico sostenible en la gestin integral del agua, manejo
residuos slidos y en la prestacin de servicios con calidad, transparencia,
inclusin y equidad.
8
JULIETH PARRA CASALLAS
Misin:
Empresa pblica, responsable con la gestin integral del agua y el
saneamiento bsico como elementos comunes de vida y derechos
humanos fundamentales, generadora de bienestar, que contribuye a la
sostenibilidad ambiental del territorio.
Valores Corporativos:
Estructura organizacional:
Gerencia Jurdica
Gerencia Corporativa
Planeamiento y Control
Gerencia Financiera
Gerencia Gestin Humana y
Administrativa
Secretario de Gerencia
Junta Directiva
Gerencia General
9
JULIETH PARRA CASALLAS
Mapa de procesos
MAPA DE PROCESOS DEL SISTEMA DE GESTION DE CALIDAD PARA LA CONDUCCIN Y DISTRIBUCIN DE AGUA POTABLE EN REDES MATRICES
Planeacin Estratgica
Planeacin de Inversiones
Planificacin de Sistemas
de Gestin
GESTIN DE
INFRAESTRUCTURA
Gestin de Acuerdos
Industriales
MANTENIMIENTO
Mantenimiento Preventivo a
Tanques,
Est. de Bombeo y Est. de Control
Gestin de la Mitigacin
de la Vulnerabilidad
Gestin Institucional
Control
Mantenimiento Preventivo
de Redes
Gestin de la
Sectorizacin
Mantenimiento
Correctivo
GESTIN DE RECURSOS
Gestin de Acuerdos
de Servicios Compartidos
Capacitacin y
Entrenamiento
Gestin de la
Informacin
Gestin Administrativa y
Financiera
Gestin del
Documento
Control de Equipos
de Medicin
Tratamiento de
No Conformes
Medicin de
Sistemas de Gestin
Auditoras
Internas
Acciones de
Mejora
10
JULIETH PARRA CASALLAS
Alcance:
Los criterios utilizados para la seleccin de los procesos del alcance fueron
los siguientes:
Anlisis del proceso y sus actividades, dando prioridad a la inclusin en el
alcance, los procesos que estn asociados directamente al servicio de
acueducto y alcantarillado sanitario y pluvial; y no a aquellos que son
soporte de stos.
En el Anexo 1 Alcance, se describen:
-
Comercio electrnico
11
JULIETH PARRA CASALLAS
Cumplimiento de un 35%
12
Cumplimiento de un 30%
2.6
RESULTADOS
Alcance
El alcance del SGSI para la empresa prestadora de servicios pblicos
cubre la informacin del macro-proceso DISTRIBUCIN Y CONTROL,
el cual hace parte fundamental de la operacin de la entidad.
Cumplimiento
50%
74%
Planificacin
Soporte
70%
Operacin
13%
10
Mejora
0%
3%
35%
tem
5
6
7
8
9
10
11
12
13
14
15
16
17
18
TOTAL
Dominios
Poltica de seguridad
Organizacin de la seguridad de la informacin
Seguridad de los recursos humanos
Gestin de activos
Control de acceso
Criptografa
Seguridad fsica y del entorno
Seguridad de las operaciones
Seguridad de las comunicaciones
Adquisicin, desarrollo y mantenimiento de sistemas
Relaciones con los proveedores
Gestin de incidentes de seguridad
Aspectos de seguridad de la informacin de la
gestin de continuidad de negocio
Cumplimiento
Cumplimiento
40%
33%
41%
34%
31%
28%
39%
24%
16%
31%
30%
38%
14%
20%
30%
Poltica de seguridad
Procedimiento de auditoras
internas
Gestin de indicadores
Procedimiento de revisin por
la direccin
Gestin de roles y
responsabilidades
Metodologa de anlisis de
riesgos
Declaracin de aplicabilidad
4 ANLISIS DE RIESGOS
4.1 INTRODUCCIN
La gestin de riesgos de seguridad de la informacin para cumplir con los
requisitos de la norma ISO27001:2013 est basada en la norma ISO3100, la
cual define el marco de trabajo para la gestin de riesgos, esta norma
principalmente menciona tres aspectos generales que definen la gestin
de riesgos: los principios, el marco de trabajo, y el proceso de gestin.
Los principios son los siguientes:
Crear valor
Parte integral de los procesos de la organizacin
Parte del proceso de decisin
Tiene en cuenta la incertidumbre de manera explicita
Sistemtica, estructurada y a tiempo.
Basada en la mejor informacin disponible
Ajustada a la organizacin
Toma en cuenta factores humanos y culturales
Transparente e inclusive
Dinmica, iterativa y reactiva al cambio.
Facilita la mejora continua y el desarrollo de la organizacin.
Inventario de activos
Valoracin de activos
16
Dimensiones de seguridad
Tabla resumen de valoracin
Descripcin
de eventos
Id. de
Informaci
n y
Riesgos
Valoracin
de la prob. y
sev.
Tratamiento
de riesgos
Id. de
Vulnerabilidades,
Fuentes de riesgo y
Controles
existentes
Anlisis amenazas
Anlisis vulnerabilidades
Anlisis de impacto
4.6 RESULTADOS
Activos:
Se identificaron 75 activos, en la siguiente grfica se muestra el porcentaje
de activos valorado por cada categora:
Figura No. 13. Grfica valoracin de activos
Riesgos
En el archivo de riesgos del Anexo 11 Riesgos de seguridad de la
informacin se pueden ver las matrices de riesgo y de riesgo residual por
cada uno de los efectos definidos dentro de la metodologa: financiero,
reputacin, humano e informacin.
19
JULIETH PARRA CASALLAS
5 PROPUESTAS DE PROYECTOS
5.1 INTRODUCCIN
Una vez analizado y cuantificado los riesgos, as como el impacto que tiene en su plan de
negocio el emprendedor debe analizar cul es el nivel de oportunidad en caso de asumir
el riesgo.
Para que el tratamiento de los riesgos sea efectivo, es necesario que el lder de seguridad
de la informacin adopte determinadas medidas y acciones encaminadas a modificar,
reducir o eliminar el riesgo. Del mismo modo, si se decide no adoptar ninguna medida
contra el riesgo, puede tener importantes prdidas.
El tratamiento del riesgo debe ser el ms apropiado de acuerdo a su importancia y
relevancia en la actividad de la empresa.
5.2 PROPUESTAS
De acuerdo con o definido en la metodologa de riesgos, en el formato
Anexo 11 - Anlisis de riesgos.xls, en la hoja Riesgos_Informacin en la
seccin de Gestin de controles se observan los planes de tratamiento
propuestos para mitigar los riesgos identificados, as mismo en esa seccin
tambin se valoran y se muestra el estado del riesgo residual luego de su
implementacin.
Por otra parte en los formatos Anexo 12 - Formato opciones de
tratamiento.xls y Anexo 12 Detalles planes de tratamiento se muestra el
detalle de los planes de tratamiento estado y nmero de acuerdo con el
que el dueo del riesgo aprueba su tratamiento.
5.3 RESULTADOS
A continuacin se muestran los mapas de calor del riesgo con controles
existentes y el riesgo residual luego de la implementacin de los planes
propuestos:
20
JULIETH PARRA CASALLAS
Recurso financiero
Riesgo actual
Riesgo residual
Recurso reputacin
Riesgo actual
Riesgo residual
Recurso Humano
Riesgo actual
Riesgo residual
Recurso Informacin
Riesgo actual
Riesgo residual
6 AUDITORA DE CUMPLIMIENTO
6.1 INTRODUCCIN
La revisin de auditora se realiza con el fin de evaluar el nivel de
implementacin de los controles y su efectividad para el SGSI.
A continuacin se presenta un comparativo entre el diagnstico inicial
dado en el numeral dos de este documento.
As mismo se recuerda que la escala de valoracin utilizada es la siguiente:
21
JULIETH PARRA CASALLAS
Nivel de
Implementacin
% de
Cumplimiento
Descripcin
Gestionado
100%
Los procesos han sido llevados al nivel de mejores prcticas, con base en
los resultados de la mejora continua.
Medible
80%
Definido
60%
Repetible
40%
Inicial
20%
Inexistente
0%
6.2 METODOLOGA
La metodologa utilizada para realizar esta revisin es a travs de un anlisis
de brechas GAP final en el que se evaluar el nivel de madurez
adquirido durante todo este ciclo.
22
JULIETH PARRA CASALLAS
tem
4
5
6
7
8
9
10
Inicial
50%
74%
0%
70%
13%
3%
35%
35%
Final
60%
73%
56%
68%
53%
33%
26%
53%
6.5 RESULTADOS
La calificacin obtenida de acuerdo a cada dominio del Anexo A de la
norma ISO 27001:2013, nos permite evidenciar lo siguiente:
Cumplimiento controles
Poltica de seguridad
Organizacin de seguridad de informacin
Seguridad de los recursos humanos
Gestin de activos
Control de acceso
Criptografa
Seguridad fsica y del entorno
Seguridad de las operaciones
Seguridad de las comunicaciones
Adquisicin, desarrollo y mantenimiento de sistemas
GAP
Inicial
40%
GAP
Final
80%
Nivel de
Implementacin
Medible
33%
60%
Definido
41%
34%
31%
28%
39%
24%
16%
31%
69%
53%
58%
50%
63%
59%
40%
Definido
Repetible
Repetible
Repetible
Definido
Repetible
Repetible
Repetible
47%
23
JULIETH PARRA CASALLAS
Cumplimiento controles
Relaciones con los proveedores
Gestin de incidentes de seguridad
Aspectos de seguridad de la informacin de la gestin
de continuidad del negocio
Cumplimiento
GAP
Inicial
30%
38%
14%
20%
GAP
Final
52%
37%
53%
Nivel de
Implementacin
Repetible
Inicial
50%
Repetible
Repetible
6.6
AUDITORA
24
JULIETH PARRA CASALLAS
7.3 ENTREGABLES
En el anexo 15 Informe de Resultados se muestra un resumen de lo
descrito en el numeral anterior. As mismo se encuentra la presentacin
realizada a la alta gerencia sobre el trabajo realizado.
8 DEFINICIONES
-
9 ANEXOS
9.1 ANEXO 1 ALCANCE
9.2 ANEXO 2 ANLISIS GAP INICIAL
9.3 ANEXO 3 POLTICA DE SEGURIDAD DE LA INFORMACIN
9.4 ANEXO 4 PROCEDIMIENTO DE AUDITORAS INTERNAS
9.5 ANEXO 5 GESTIN DE INDICADORES
9.6 ANEXO 6 PROCEDIMIENTO REVISIN POR DIRECCIN
9.7 ANEXO 7 GESTIN DE ROLES Y RESPONSABILIDADES
9.8 ANEXO 8 METODOLOGA DE ANLISIS DE RIESGOS
9.9 ANEXO 9 DECLARACIN DE APLICABILIDAD
9.10 ANEXO 10 ACTIVOS DE INFORMACIN
9.11 ANEXO 11 RIESGOS DE SEGURIDAD DE LA INFORMACIN
9.12 ANEXO 12 FORMATO OPCIONES DE TRATAMIENTO Y DETALLES
27
JULIETH PARRA CASALLAS
28
JULIETH PARRA CASALLAS
11 CONTROL DE VERSIONES
Versin
Fecha
Comentarios
Por
1.0
06-03-2015
2.0
27-03-2015
3.0
24-04-2015
4.0
15-05-2015
5.0
29-05-2015
6.0
10-06-2015
Aprobado
29
JULIETH PARRA CASALLAS