Documento Gestion de Seguridad Corintos

Implantación de un modelo de
Gestión de la Seguridad
Basado en ISO/IEC 17799

WWW.GLOBALDOMAIN.COM.AR
Componentes del modelo de
gestión de la Seguridad
PROCESOS DE NEGOCIO
Criterios
Eficacia
Eficiencia
INFORMACION Confidencialidad NORMAS

Integridad
Disponibilidad
Cumplimiento
Confiabilidad
PLANIFICACION
RECURSO Y
DE IT ORGANIZACION
Datos
Sistemas de aplicación
Tecnología
Instalaciones ADQUISICION
MONITOREO Personal E
IMPLEMENTACION
ENTREGA
Y
SOPORTE
ANALISIS DE RIESGOS
RIESGO EMPRESARIO
N° CATEGORÍA DEL RIESGO

PROBABILIDAD DE
IMPACTO ESTIMADO
GESTION DE LA SEGURIDAD
CORPORATIVA IT – ISO 17799
OCURRENCIA
Administración Siniestros Comercial Sistemas Legales

1 Seguridad Incendio y Seguridad de Centro de Cómputos BAJA ALTO ALTO ALTO
No funcionan los sistemas de seguridad informática
2 Seguridad BAJA MEDIO MEDIO ALTO
(Usuario/passwords, carpetas compartidas, etc.)
Falla en sistema de iluminación o provisión de energía, sistema
3 Edificios BAJA ALTO ALTO ALTO
de calefacción o sistema de aire acondicionado.
4 Transporte Problemas en provisión de combustible. BAJA BAJO BAJO MEDIO
5 Efectivo y valores Bancos sin operar MEDIA ALTO ALTO ALTO
8
Efectivo y valores Tarjetas de crédito sin operar
Efectivo y valores
Sin transporte de dinero o con servicio demorado. (privado y
entre bancos y sucursales)
Efectivo y valores Imposibilidad / Dificultad de invertir / Mercados cerrados
BAJA
MEDIA
MEDIA
ALTO
ALTO
N/A
MEDIO/B.
ALTO
N/A
MEDIO
BAJO
BAJO
Evaluación de la minimización
de los riesgos mediante
Organismos y Problemas con terceros (AFIP ,ANSeS, Superintendencia,
9 MEDIA ALTO ALTO MEDIO
reparticiones Cámaras, etc.)
Caída de sistemas de comunicaciones de voz y datos (vía
10 Comunicaciones módem) debido a fallas en sistemas telefónicos, satélites, MEDIA ALTO ALTO ALTO
compañías locales de teléfonos, etc.
11 Comunicaciones Fallas en los sistemas PBX (Centrales telefónicas) BAJA MEDIO MEDIO MEDIO
métricas, que permitan el

Problemas con los servicios de correo públicos o privados
12 Comunicaciones BAJA BAJO MEDIO BAJO
(incluyendo bolsines)
Volúmenes en centros de atención de llamadas exceden los
13 Comunicaciones previstos en el plan, los clientes esperan mucho tiempo o MEDIA MEDIO BAJO BAJO
reciben señales de línea ocupada.
Problemas con los vínculos de comunicaciones
14 Comunicaciones MEDIA BAJO MEDIO ALTO
(maipú/cámara/internet)
15
16
17
18
19
Sistemas
Sistemas
Sistemas
Sistemas
Sistemas
Falla de suministro eléctrico en Centro de Cómputos.
Falla en servers.
Falla en comunicaciones de red
Falla en aplicaciones locales de sistemas.
Problemas con el funcionamiento de paquetes aplicativos
Office
BAJA
BAJA
BAJA
BAJA
BAJA
ALTO
ALTO
ALTO
MEDIO
ALTO
ALTO
ALTO
ALTO
MEDIO
ALTO
ALTO
ALTO
ALTO
ALTO
ALTO
mejoramiento continuo
Problemas con aplicaciones centralizadas (sistemas
20 Sistemas BAJA ALTO ALTO ALTO
centralizados: Tango, Rector, etc.)
Herramientas MARCO NORMATIVO MARCO NORMATIVO

IT para la FUNCIONAL ESTRUCTURAL
aplicabilidad  Procesos Organico Administrativo
de modelos  Acciones Juridico Legal Contable
basados en  Roles Economico
normas ISO  Ciclos Financiero
Areas de negocios
Soluciones IT
IT Componentes IT IT
Herramientas
Plataformas y Redes
Objetivo
MINIMIZACION
DEL
RIESGO
EVALUACION 17799
IDENTIFICACION DEL REQUERIMIENTO DE SEGURIDAD
IMPLEMENTACION DEL CONTROL
PROCESOS DE T.I.
PROCESOS SISTEMAS INSTALACIONES
INFORMACION
CONFIDENCIALIDAD INTEGRALIDAD DISPONIBILIDAD

Nuestra propuesta
NUESTRA PRINCIPAL CARACTERISTICA MEDIANTE LA ISO

17799 ES LA MEDICION DE LOS PROCESOS IT DE
SEGURIDAD EN 3 INDICES.
Nuestra metodología
(Base de conocimiento ISO 17799)
CHEQUEOS
ACCION CHEQUEOS
CONTROL
CHEQUEOS
ACCION
CHEQUEOS
O. CONTROL
CHEQUEOS
ACCION
CHEQUEOS
CONTROL
CHEQUEOS
ACCION
CHEQUEOS
SECCIONES
CHEQUEOS
Selección natural ACCION CHEQUEOS
de los objetivos de
CONTROL
control por área de CHEQUEOS
aplicación ACCION
CHEQUEOS
O. CONTROL
CHEQUEOS
ACCION
CHEQUEOS
CONTROL
CHEQUEOS
ACCION
Serie de controles Conjunto de acciones CHEQUEOS
conjuntos con necesarias para Detalle de las Tareas a

cortes naturales alcanzar un resultado acciones y su efectuar por
de control medible evaluación responsable
El modelo
Análisis de la brecha en seguridad
Definición y
documentación de los
Evaluación del riesgo
procesos
Mejoramiento Implantación
de la
seguridad
Adaptación de Políticas, Proc. y Controles
Estado inicial de la aplicación Estado final de la aplicación

Mejora Continua
Análisis de la brecha en
seguridad
Definición y
procesos
de la
seguridad

Mejora
Mejora Continua
Continua
Evaluación de los controles de seguridad existentes

versus los básicos requeridos por la ISO17799.
Evaluación de la efectividad de los controles.
Determinación de un plan de aplicación del modelo

de gestión.
EVALUACIONES DE LOS CONTROLES
DE SEGURIDAD EXISTENTES
CORINTOS BASICO
Brinda una guía en tiempo real de los controles aplica-
bles en la organización, permite su justificación y emite
las listas de chequeo requeridas.
Definición y documentación
de los procesos
Definición del marco de gestión
Definición y
documentación de
los procesos
de la
seguridad
Estado inicial de la aplicación

Mejora
Mejora Continua
Continua
Estado final de la aplicación
Política de Seguridad
Alcance del SGSI
MARCO Amenazas, vulnerabilidades,

DE impactos
LA
Enfoque de la organización
GESTION Hacia la gestión de los riesgos
Objetivos de control y
controles
Declaración de la
aplicabilidad
Documentación de los
procesos
Definición y
documentación de
Documentación de los procesos

los procesos
de la
seguridad

Mejora
Mejora Continua
Continua
Documentación de :
Los procedimientos propuestos.
La Gestión de la Seguridad propuesta.
LA GESTION DE LA SEGURIDAD
PROPUESTA
CORINTOS BASICO
Brinda una guía en tiempo real de los controles aplica-
bles en su organización, permite su justificación y emite
las listas de chequeo requeridas.
Definición y
EVALUACION DE RIESGOS
procesos
Mejoramiento
de la
seguridad ACTIVOS

Mejora
Mejora Continua
Continua
IDENTIFICACION DE RIESGOS Y AMENAZAS
EVALUACION DE VULNERABILIDADES Y
PROBABILIDADES DE OCURRENCIA
ESTIMACION DEL IMPACTO POTENCIAL
Definición y
Conformación de la Matriz de control
procesos
Protección de datos y
Mejoramiento
de la
confidencialidad de la
seguridad información personal
PUNTO DE Protección de registros y

documentos de la
VISTA LEGAL organización
Mejora
Mejora Continua
Continua
Derechos de propiedad
intelectual
DETERMINACION
Documentación de la
DE OBJETIVOS política de seguridad de la
información
DE CONTROL
Asignación de responsa-
bilidades en materia de
seguridad de la información
PRACTICA
Instrucción y entrenamiento
RECOMENDADA en materia de seguridad de
la información
DE USO
Comunicación de incidentes
relativos a la seguridad
FRECUENTE
Administración de la
continuidad de la empresa
Conformación de la Matriz
de control
Definición y
procesos
Mejoramiento
de la
seguridad
Ponderación de acciones
Mejora
Mejora Continua
Continua
Conformación de la Matriz de
control
Definición y
procesos
Mejoramiento
de la
seguridad
Consolidación en Controles
Mejora
Mejora Continua
Continua
Conformación de la Matriz de
control
Definición y
procesos
Mejoramiento
de la
seguridad

Objetivos de control
Mejora
Mejora Continua
Continua
Cuadro general de
Definición y
ponderación del control
procesos
Mejoramiento
de la
seguridad

Cuadro general de ponderación del control
Mejora
Mejora Continua
Continua
Implantación
Definición y
procesos
Propuesta:
de la
seguridad
 Manual de Seguridad
Mejora
Mejora Continua
Continua
Estado final de la aplicación  Programa de Mantenimiento y Mejoramiento
de la Seguridad de la Información
Implantación:
 Capacitación
 Asistencia con el desarrollo y la
implementación de controles requeridos,
políticas y procedimientos
 Definición de puestos requeridos para el
proceso de mejoramiento y control del programa
interno de revisión.
Implantación
Definición y
procesos
de la
seguridad

Evaluación concluida
Mejora
Mejora Continua
Continua
Implantación
Evaluación concluida
CORINTOS TABLERO INTEGRADO
Implementados los controles y asignados los factores de
ponderación en relación al riesgo, este módulo permite
visualizar en tiempo real y en 4 niveles el estado de aplicación de
dichos controles.
Estado Final
Definición y
La documentación del SGSI final requerida

procesos
de la
seguridad sera:
Evidencia de las acciones realizadas para

establecer el marco de gestión.
Mejora
Mejora Continua
Continua
Un resumen del marco de gestión, incluyendo la política de

seguridad de la información y los objetivos de control y los
controles implementados que figuran en la declaración de
aplicabilidad.
Los procedimientos adoptados para implementar los controles
(Estos deberán describir las responsabilidades y las acciones
correspondientes.)
Los procedimientos que cubren la gestión y el funcionamiento
del SGSI (estos deberán describir las responsabilidades y las
acciones correspondientes)
Mejora Continua
Definición y
procesos
Control de los documentos
de la
seguridad
Adaptación de Políticas, Proc. y Controles Se deberan establecer y mantener
procedimientos para controlar y asegurar
Mejora
Mejora Continua
Continua
que la documentación:
Este rápidamente disponible.
Sea revisada y analizada periódicamente, en línea con la
política de seguridad.
Sea mantenida bajo control de versión y puesta a disposición
en todos los lugares donde se realizan operaciones escenciales
para el funcionamiento eficaz del SGSI.
Se anule cuando sea obsoleta.
Se identifique y retenga cuando sea obsoleta y requerida para
propósitos legales o de conservación de los conocimientos, o
ambos.
Mejora Continua
Definición y
procesos
de la
seguridad

Mejora
Mejora Continua
Continua
Un sistema integral y equilibrado de medición que se utilice para

evaluar el desempeño de la gestión de la seguridad de la
información y para brindar sugerencias tendientes a mejorarlo.
Mejora Continua
Sistema Integral y Equilibrado de Medición
CORINTOS AVANZADO (SENSORES AUTOMATICOS)
Permite asociar listas con “n” chequeos a cada control,

definir los responsables o procesos (sensores) que la
actualizarán, distribuir a cada responsable los ítems a
controlar y verificar el cumplimiento en tiempo real,
modificando el estado del TABLERO INTEGRADO
ante cambios, emitiendo alarmas en la red a los
responsables de ejecutar o controlar de acuerdo a la
jerarquía del alerta implementado.
Mejora Continua
Sistema Integral y Equilibrado de Medición
CORINTOS AVANZADO (SENSORES AUTOMATICOS)
Factores críticos del éxito
La experiencia ha demostrado que los siguientes
factores, a menudo resultan críticos para la
implementación exitosa de la seguridad de la
información, dentro de una organización:
Política de seguridad, objetivos y actividades que reflejen

los objetivos de la empresa;
Una estrategia de implementación de seguridad que sea

consecuente con la cultura organizacional;
Apoyo y compromiso manifiestos por parte de la

gerencia;
Un claro entendimiento de los requerimientos de
seguridad, la evaluación de riesgos y la administración de
los mismos;
Comunicación eficaz de los temas de seguridad a todos

los gerentes y empleados; Distribución de guías sobre
políticas y estándares de seguridad de la información a
todos los empleados y contratistas;
Instrucción y entrenamiento adecuados;
Y fundamentalmente un sistema integral y equilibrado de
medición que se utilice para evaluar el desempeño de la
gestión de la seguridad de la información y para brindar
sugerencias tendientes a mejorarlo.
ES NECESARIO UNA HERRAMIENTA QUE UTILIZANDO
COMO BASE DE CONOCIMIENTO LA NORMA ISO 17799,
PERMITA LA MEDICION DE LOS PROCESOS DE GESTION
DE SEGURIDAD EN IT.
CORINTOS
TIENE LA SOLUCION QUE

USTED NECESITA

Documento Gestion de Seguridad Corintos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Documento Gestion de Seguridad Corintos

Cargado por

Copyright:

Formatos disponibles

Implantación de un modelo de

Basado en ISO/IEC 17799

INFORMACION Confidencialidad NORMAS

N° CATEGORÍA DEL RIESGO

Administración Siniestros Comercial Sistemas Legales

métricas, que permitan el

Herramientas MARCO NORMATIVO MARCO NORMATIVO

PROCESOS SISTEMAS INSTALACIONES

CONFIDENCIALIDAD INTEGRALIDAD DISPONIBILIDAD

NUESTRA PRINCIPAL CARACTERISTICA MEDIANTE LA ISO

conjuntos con necesarias para Detalle de las Tareas a

Estado inicial de la aplicación Estado final de la aplicación

Estado inicial de la aplicación Estado final de la aplicación

Evaluación de los controles de seguridad existentes

Evaluación de la efectividad de los controles.

Determinación de un plan de aplicación del modelo

Estado inicial de la aplicación

Alcance del SGSI

MARCO Amenazas, vulnerabilidades,

Documentación de los procesos

Estado inicial de la aplicación Estado final de la aplicación

Los procedimientos propuestos.

La Gestión de la Seguridad propuesta.

Estado inicial de la aplicación

IDENTIFICACION DE RIESGOS Y AMENAZAS

ESTIMACION DEL IMPACTO POTENCIAL

PUNTO DE Protección de registros y

Estado inicial de la aplicación

Estado inicial de la aplicación

Estado inicial de la aplicación Estado final de la aplicación

La documentación del SGSI final requerida

Evidencia de las acciones realizadas para

Un resumen del marco de gestión, incluyendo la política de

Estado inicial de la aplicación Estado final de la aplicación

Un sistema integral y equilibrado de medición que se utilice para

Permite asociar listas con “n” chequeos a cada control,

Política de seguridad, objetivos y actividades que reflejen

Una estrategia de implementación de seguridad que sea

Apoyo y compromiso manifiestos por parte de la

Comunicación eficaz de los temas de seguridad a todos

Instrucción y entrenamiento adecuados;

TIENE LA SOLUCION QUE

También podría gustarte