Revisión y Evaluación al Sistema

de Seguridad de la Información –
ITALBANK

ING. JOSÉ LUIS MONTERO

NOV. 2020
CONFIDENCIAL
Introducción

La Junta Directiva de ITALBANK ha solicitado se realice una revisión

y evaluación del estado actual de la seguridad de la información de la
banco con la finalidad identificar los controles existentes y los no
existentes así como la verificación de la eficacia de los mismos en la
protección de los activos de información de la empresa.
A continuación se presentará a las diferentes partes interesadas la
metodología a utilizar en la actividad.
Metodología de la revisión

A través de la revisión se espera determinar los activos de información mas relevantes para la
organización, las vulnerabilidades y amenazas a la que están expuestos así como los controles
existentes y la efectividad de los mismos con la finalidad de determinar las acciones a seguir
para elevar los niveles de seguridad de la información.
La revisión utilizará la Norma ISO 27001 como guía o marco referencial.
Metodología de la revisión

La norma ISO 27001: es un estándar internacional emitida por la organización

internacional de normalización que describe como gestionar la seguridad de la
información en una empresa, se centra en proteger la confidencialidad, integridad
y disponibilidad de la información en una empresa.
La versión de ISO 2007: 2013 del estándar describe 14 dominios, 35 objetivos de
control y 114 controles.

La Norma ISO 27001 define la seguridad de la información como "la preservación de

la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a
la información), integridad (asegurando que la información y sus métodos de proceso
son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados
tienen acceso a la información y a sus activos asociados cuando lo requieran)".
Alcance y Objetivos:

Se consideraran los siguientes dominios de la norma ISO 27001 para la revisión:

A DISCUTIR

Objetivos generales: Comprobar el modo de funcionamiento, Normas,

procedimientos, controles técnicos existentes en la organización
ITALBANK.
Objetivos específicos – Identificar áreas de gran complejidad -
contrastar los informes de auditoría externa - evaluación del
funcionamiento de áreas críticas - trabajar sobre la mitigación de las
vulnerabilidades encontradas durante la revisión.
Metodología de la revisión

 Fase I - Levantamiento inicial de la información: En esta fase se reúne toda la

información posible relacionada el Sistema de Gestión de Seguridad de la Información de
la organización tales como: Organigrama de la empresa, Organigrama de los
departamentos responsables de la seguridad de información, Políticas de Seguridad,
Normas y Procedimientos informáticos relacionados con mantenimiento de la plataforma,
Base de Datos, Antivirus, otros, Inventario de Aplicaciones Flujos de información
existentes en los procesos críticos y sensibles de la organización, situación del CPD, modo
de funcionamiento y responsables
 Fase II – Revisión: Para esta fase se realizaran entrevista al personal responsable por
áreas, se utilizaran formatos y tablas para la documentación y análisis de la información
propia y la recopilada durante la revisión.
Metodología de la revisión

 Fase III – Informe de resultado y recomendaciones: Presentación de la situación actual,

debilidades y amenazas identificadas, impacto, conclusiones y recomendaciones.