Professional Documents
Culture Documents
AUTORES
Br. Carlos Rafael Mendoza Barrio de Mendoza
Br. Giul Luciano Cruz Fernndez Baca
ASESOR
Ing. Manuel Aurelio Pealoza Figueroa
Cusco Per
2014
NDICE
NDICE ......................................................................................................................... 1
INTRODUCCIN .......................................................................................................... 2
Captulo 1. Generalidades ............................................................................................ 3
1.1.
1.2.
Justificacin .................................................................................................... 3
1.3.
1.4.
Objetivos ........................................................................................................ 4
1.4.1.
1.4.2.
1.5.
1.5.1.
Alcance.................................................................................................... 4
1.5.2.
Limitaciones ............................................................................................ 4
1.6.
1.7.
Plan de actividades......................................................................................... 5
2.1.1.
2.1.1.1.
Diseo de un modelo de gobierno de TI con enfoque de seguridad de
informacin para empresas prestadoras de servicios de salud bajo la ptica de
COBIT 5.0 7
2.1.1.2.
Diseo de un sistema de gestin de seguridad de informacin para
una compaa de seguros .................................................................................. 8
2.1.2.
2.1.2.1.
2.1.2.2.
Gestin de seguridad de la informacin en HDFC Bank: Contribucin
de los 7 catalizadores....................................................................................... 11
2.2.
2.1.2.3.
2.1.2.4.
2.2.1.
2.2.1.1.
COBIT ............................................................................................ 23
2.2.1.2.
2.2.1.3.
2.2.1.4.
2.2.1.5.
2.2.2.
2.2.2.1.
INTRODUCCIN
La informacin, en el tiempo, ha ido tomando relevancia en el mbito de las
organizaciones. Hoy es considerado un recurso clave y durante todo su ciclo de vida
(desde que se crea hasta que se destruye), la tecnologa va tomando un papel cada vez
ms importante.
Como resultado de la creciente dependencia de las organizaciones respecto a la
tecnologa para el manejo de su informacin y del incremento de interconectividad en el
ambiente comercial, la informacin cada vez est ms expuesta a una diversa gama de
amenazas y ataques; por lo que debe considerarse aplicar un conjunto de medidas
preventivas y correctivas de las organizaciones y sistemas tecnolgicos que tengan por
objetivo proteger y resguardar la informacin, buscando mantener la confidencialidad,
disponibilidad e integridad de la misma.
El objetivo base de toda empresa es la creacin de valor para sus accionistas, esto
implica la generacin de beneficios a un costo ptimo de recursos y optimizando el
riesgo. Dicho de otra forma, las necesidades de las partes interesadas deben
transformarse en una estrategia corporativa, y es aqu que la seguridad de la
informacin puede y debe tener un rol fundamental dentro de cada actividad y proceso
realizado, alineando sus objetivos con los objetivos corporativos de la organizacin.
Bajo este contexto y, en aras de salvaguardar la informacin, se elaboran y actualizan
constantemente estndares, buenas prcticas, principios, polticas y marcos de trabajo
que permitan alcanzar este objetivo.
En busca de un marco de trabajo aplicable a la situacin de las organizaciones privadas
de nuestro medio, especficamente empresas del sector financiero, es que optamos por
implementar uno que combine principios, buenas prcticas, polticas de estndares
internacionales y de amplia aceptacin, bajo un enfoque integral, orientado hacia un
buen gobierno y gestin corporativa de seguridad de la informacin, donde se incluyan
aspectos como estructuras organizativas con sus respectivos roles y responsabilidades
asignados, polticas y cultura que en conjunto permitan la relacin y enlace de la
seguridad de la informacin con los objetivos estratgicos de la empresa.
Captulo 1. Generalidades
1.1.
Las organizaciones se trazan objetivos que les permitan generar valor y ser
competitivos. Estos objetivos son alcanzados mediante la gestin adecuada de recursos
tangibles como las tecnologas de informacin e intangibles como la informacin que
administra la organizacin. Estos recursos necesitan ser evaluados, supervisados y
correctamente gestionados a travs de polticas y procesos que proporcionen prcticas
de gestin y control con la finalidad de salvaguardar la informacin procurando que est
protegida contra su divulgacin a usuarios no autorizados (confidencialidad),
modificacin inadecuada (integridad) y su falta de acceso cuando se le necesita
(disponibilidad), debiendo ser considerado uno de los retos ms importantes. Frente a
esta situacin, se han desarrollado normas, estndares, polticas y cdigos de buenas
prcticas, mediante los cuales se pueden implementar medidas preventivas y
correctivas ante situaciones o escenarios de riesgo de vulnerabilidad y amenaza de la
informacin.
En nuestro medio, la seguridad de la informacin est tomando relevancia en los
procesos y actividades diarias de las organizaciones; ya sea por factores internos, por
ejemplo una creciente necesidad de proteger su informacin debido a incidentes que
implicaron un costo alto para ser controlado, o factores externos como regulaciones y
leyes que el Estado decreta con el fin de promover la seguridad de la informacin, por
ejemplo la ley de proteccin de datos personales promulgada el ao 2011 y su
respectivo reglamento aprobado por Decreto Supremo N 003-2013-JUS. En el caso
particular de las entidades financieras se ve reflejado en la normatividad y regulaciones
legales exigidas por la Superintendencia de Banca y Seguros (SBS) -ente encargado de
regular a entidades financieras de nuestro pas- la cual exige desde el ao 2009 la
implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI)
basado en el estndar internacional ISO/IEC: 27001 a travs de la circular G-140-2009.
El desarrollo de un SGSI implica un gran desafo para las organizaciones debido a
factores internos y externos que dificultan su implementacin tales como el entorno
cambiante de las tecnologas de informacin, el riesgo constante, resistencia al cambio
y falta de cultura y tica organizacional. Para superar estos obstculos es necesario
contar con un marco de trabajo que permita establecer y planificar iniciativas de
seguridad que se traduzcan en actividades habituales gestionadas de forma adecuada
dentro de un marco de gobierno de seguridad de la informacin alineado al cumplimiento
de los objetivos de la organizacin.
1.2.
Justificacin
1.3.
1.4.
Objetivos
1.4.1. Objetivo general
Realizar el diseo de Gobierno y Gestin Corporativa de Seguridad de la
Informacin en entidades financieras basado en COBIT 5.
1.5.
Alcance y limitaciones
1.5.1. Alcance
Nuestro proyecto de tesis realiza el diseo de gobierno y gestin corporativa
de seguridad de la informacin para entidades financieras.
El proyecto a desarrollar permite establecer un gobierno y gestin corporativa
de seguridad de la informacin alineado a la circular N G-140-2009 dispuesta
por la SBS y la ley de proteccin de datos personales supervisada por la
Autoridad Nacional de Proteccin de Datos Personales.
1.5.2. Limitaciones
Dada la categora de la informacin necesitada, se espera no disponer de
toda la informacin suficiente para el anlisis de la situacin actual de la
organizacin.
El tiempo que la empresa puede brindarnos durante la recoleccin de
informacin.
El proyecto contempla solo el diseo de un gobierno y gestin corporativa de
seguridad de la informacin debido al tiempo que llevara su implementacin.
La eleccin de los procesos de negocio es establecida por la prioridad que dio
la organizacin basada en sus necesidades.
Nuestro proyecto de investigacin est orientado a la seguridad de la
informacin bajo el enfoque de COBIT 5, por lo que solo comprende los
procesos y polticas de esta versin.
1.6.
Metodologa de investigacin
1.7.
Plan de actividades
Nombre de tarea
Diseo del Gobierno y Gestin Corporativa de Seguridad de la
Informacin para entidades financieras, basado en COBIT 5
1. Ante-Proyecto
1.1. Eleccin del tema de tesis
1.2. Revisin del estado del arte
1.3. Anlisis del Problema
1.4. Recoleccin y anlisis de informacin
1.5. Planteamiento y definicin del problema
2. Desarrollo del Proyecto
2.1. Establecer el ciclo de vida de gobierno y gestin
corporativa de seguridad de la informacin segn COBIT 5
adaptado a la organizacin.
2.1. Cules son los motivos?
2.2. Dnde estamos ahora?
2.3. Dnde queremos ir?
2.4. Qu es preciso hacer?
2.5. Cmo conseguiremos llegar?
2.6. Hemos conseguido llegar?
2.7. Cmo mantenemos vivo el impulso?
2.2. Desarrollar el caso de negocio que justifique un
programa de implementacin de gobierno y gestin
corporativa de seguridad de la informacin. Se utiliza la
siguiente estructura:
2.2.1. Resumen ejecutivo
2.2.2. Posicionamiento del programa de seguridad de la
informacin
2.2.3. Identificacin de la necesidad de actuar
2.2.4. Alternativas consideradas
2.2.5. Anlisis costo beneficio
2.2.6. Solucin propuesta
2.2.7. Alcance y metodologa del programa
2.2.8. Entregables del programa
2.2.9. Cuadro comparativo del estado actual y el estado
esperado (Anlisis de brecha)
2.2.10. Programa de riesgos
2.2.11. Retos y factores de xito
2.3. Identificar los objetivos corporativos y de TI, y
elaborar el Balanced ScoreCard respectivo. (A travs de la
cascada de objetivos y el BSC propuesto por COBIT).
2.3.1. Identificacin de objetivos corporativos
2.3.2. Identificacin de objetivos corporativos con
objetivos de COBIT 5.
Duracin
Comienzo
Fin
mar 16/12/14
234 das
7 das
14 das
14 das
185 das
14 das
66 das
mi 01/01/14
mi 01/01/14
jue 09/01/14
sb 25/01/14
mar 11/02/14
lun 15/09/14
mi 01/10/14
mar 30/09/14
mi 08/01/14
vie 24/01/14
lun 10/02/14
sb 13/09/14
mar 30/09/14
mar 16/12/14
16 das
mi 01/10/14 sb 18/10/14
2 das
2 das
3 das
3 das
2 das
2 das
2 das
mi 01/10/14
vie 03/10/14
lun 06/10/14
jue 09/10/14
lun 13/10/14
mi 15/10/14
vie 17/10/14
jue 02/10/14
sb 04/10/14
mi 08/10/14
sb 11/10/14
mar 14/10/14
jue 16/10/14
sb 18/10/14
20 das
lun 20/10/14
mar 11/11/14
1 da
lun 20/10/14
lun 20/10/14
1 da
4 das
1 da
1 da
3 das
1 da
1 da
mi 22/10/14
lun 27/10/14
mar 28/10/14
mi 29/10/14
sb 01/11/14
lun 03/11/14
3 das
2 das
2 das
vie 07/11/14
lun 10/11/14
6 das
2 das
mi 12/11/14
jue 13/11/14
1 da
vie 14/11/14
vie 14/11/14
sb 25/10/14
lun 27/10/14
mar 28/10/14
vie 31/10/14
sb 01/11/14
lun 03/11/14
sb 08/11/14
mar 11/11/14
1 da
vie 14/11/14
vie 14/11/14
1 da
sb 15/11/14 sb 15/11/14
1 da
sb 15/11/14
sb 15/11/14
2 das
lun 17/11/14
mar 18/11/14
4 das
mi 19/11/14 sb 22/11/14
2 das
mi 19/11/14
jue 20/11/14
2 das
vie 21/11/14
sb 22/11/14
6 das
lun 24/11/14
sb 29/11/14
10 das
lun 01/12/14
jue 11/12/14
5 das
lun 01/12/14
vie 05/12/14
5 das
sb 06/12/14
jue 11/12/14
3 das
vie 12/12/14
lun 15/12/14
1 da
2.1.1.2.
2.1.2.2.
ii.
iii.
iv.
v.
vi.
vii.
Estructuras organizacionales
La seguridad de la informacin en HDFC Bank est impulsada por su
grupo de seguridad de la informacin (information security group, ISG).
El grupo est liderado por el director general de seguridad de la
informacin (chief information security officer, CISO), que reporta al
director ejecutivo del banco. El ISG es principalmente responsable de
identificar, evaluar y proponer la mitigacin de cada riesgo relacionado
con la seguridad de la informacin. Esta responsabilidad se lleva a cabo
interactuando con diversos comits y partes interesadas y preparando
planes, propuestas, polticas, procedimientos y guas. La implementacin
El equipo del ISG utiliza la metodologa de Anlisis por factores del riesgo
de la informacin (Factored Analysis of Information Risk, FAIR) para
calcular el riesgo probable mediante la captura de la frecuencia de
eventos de amenazas y la frecuencia de eventos de prdida, dando el
peso adecuado a cada factor y la creacin de una clasificacin de riesgo
para dar prioridad y tomar decisiones. El equipo del ISG tambin revis
la norma ISO 27005 y dise un enfoque slido para la gestin de riesgos
con la ayuda de estos estndares.
Se ha creado una versin corta del documento de la poltica en una gua
del usuario de 20 pginas sustentada por una lista de 10 reglas
principales para la seguridad de la informacin.
Hay una gran cantidad de proveedores que prestan servicio a HDFC
Bank. La seguridad de la cadena de suministros queda garantizada por
revisiones peridicas de terceros a los proveedores las cuales son
llevadas a cabo por firmas de auditora externa.
HDFC Bank cuenta con las certificaciones ISO 27001 y BS 25999, planea
obtener el certificado ISO 22301 y ha alcanzado el 92% de cumplimiento
de las guas RBI.
En la actualidad, el ISG se centra en la creacin de un sistema slido de
gestin de incidentes, proveer una proteccin adecuada de los datos,
garantizar la implementacin apropiada del BYOD - "trae tu propio
dispositivo" (bring your own device) y detectar, contener y remover
amenazas persistentes avanzadas oportunamente.
Procesos
El ISG sigue un modelo de proceso de seguridad de la informacin
basado en 21 componentes:
1. Seguridad de la aplicacin
2. Criptografa
3. Monitoreo
4. Gestin de incidentes
5. Seguridad bancaria en lnea
6. Gestin de software malicioso (malware)
7. Proteccin de datos
8. Ciclo de vida del desarrollo de software seguro
9. Gestin de proveedores (terceros)
10. Planificacin de continuidad del negocio
11. Privacidad
12. Gestin de identidades y acceso
13. Gestin de riesgos
14. Seguridad fsica
15. Concientizacin
16. Gobierno
17. Poltica
18. Gestin del ciclo de vida de los activos
2.1.2.3.
Implementacin de COBIT 4.0 en Scotiabank, Costa Rica
Scotiabank conocido como BNS (Bank of Nova Scotia) es uno de los
cinco grandes bancos de Canad. Ha existido por ms de 178 aos y
tiene presencia en ms de 50 pases incluyendo Per.
En BNS se dio inicio con el proyecto de implementacin de COBIT 4.0
con una encuesta internacional dirigida a los encargados de las
direcciones de TI en BNS, para conocer si alguno de ellos aplica una
normativa que implique la obligatoriedad de contar con procesos basados
en el marco de referencia de COBIT en cualquiera de sus versiones; no
encontrando ninguna otra sucursal que posea regulaciones semejantes
a la costarricense, tales como el acuerdo SUGEF 14-091 aprobado por el
Consejo Nacional de Supervisin del Sistema Financiero de Costa Rica
(SUGEF), la cual aprob el reglamento sobre la gestin de la TI,
aplicable para todas las entidades bancarias y financieras del pas, a
partir de 2009, estableciendo la obligatoriedad de implementar los 34
procesos de COBIT y alcanzar el tercer nivel de madurez en los prximos
tres aos.
Uno de los factores crticos del xito en la implementacin de un buen
gobierno de TI, fue utilizar la actual estructura organizacional; para que
planifique, organice, dirija, coordine, monitoree y tome las decisiones
adecuadas y oportunas para aprovechar las ventajas, beneficios y
oportunidades que se derivan de su utilizacin. Esto permiti que la
unidad de cumplimiento se convirtiera en el nico canal autorizado para
recibir y entregar requerimientos de parte de los auditores ya fueran
internos o externos. La junta directiva tiene responsabilidad total para el
buen gobierno de TI, sin embargo se delegan funciones a las distintas
unidades del banco; cuyo control, evaluacin y rendimiento de cuentas
sigue el esquema de autoridad y responsabilidad que mantiene vigente
el banco.
BNS dise un plan de ruta (plan diseado para lograr cumplir en el
menor tiempo posible los objetivos de control de COBIT) para la
priorizacin de las medidas a seguir para cumplir con xito el
requerimiento. Este plan contempl en primer trmino, el involucramiento
del comit de TI con la participacin activa de la alta gerencia y los
principales ejecutivos del banco.
En un segundo plano se verific la adecuada implementacin de los
controles utilizando los documentos existentes y realizar la tarea de
acondicionarlos, referenciarlos y realizar las homologaciones necesarias,
para cumplir tanto con los controles detallados como con los
requerimientos de los niveles de madurez de COBIT requeridos por el
SUGEF, para cada uno de los procesos. Se asignaron dos funcionarios
dedicados de tiempo completo al proyecto, para asegurar la continuidad
y el seguimiento del plan de ruta.
Estrategia de Implementacin
La estrategia de implementacin defini con claridad los objetivos
generales y especficos, que permitieran al equipo de TI alcanzar los
mismos de manera efectiva, eficiente y econmica, as como garantizar
la disponibilidad de los recursos requeridos de acuerdo a las tareas
programadas, la asignacin de personal comprometido y capaz de
ejecutar con excelencia las labores encomendadas y el seguimiento
activo permanente del avance del proyecto por parte del comit de TI.
Como parte del proceso se realizaron capacitacin en COBIT para el
personal participante de la implementacin como se recomienda
habitualmente.
Resultados Obtenidos
Entre los beneficios que BNS ha recibido al utilizar el marco conceptual
de COBIT 4.0 se encuentran los siguientes:
2.1.2.4.
Capacitacin.
Redefinicin de los procesos internos de TI, basados en los dominios
de COBIT
Redefinicin de Roles, Responsabilidades y nuevas funciones.
Tablero de Control medir el cumplimiento de los principales
actividades de control de los dominios.
Anlisis de Riesgos.
2.2.
Marco terico
2.2.1. Modelos, estndares y marcos de referencia
2.2.1.1.
COBIT
Objetivos de Control para Informacin y Tecnologas Relacionadas,
conocido como COBIT (por sus siglas en ingls Control Objectives for
Information and related Technology), es una gua de mejores prcticas,
dirigida al control y supervisin de tecnologa de la informacin (TI) a
travs de una serie de recursos que pueden servir de modelo de
referencia para el gobierno y la gestin de TI, incluyendo un framework,
objetivos de control, mapas de auditora, herramientas para su
implementacin y principalmente, guas de tcnicas de gestin y temas
de riesgos, cumplimiento, aseguramiento, gobierno de TI, etc.
Dicho de otra forma, ayuda a las organizaciones a crear un valor ptimo
a partir de las TI, al mantener un equilibrio entre la realizacin de
beneficios y la optimizacin de los niveles de riesgo y utilizacin de los
recursos. Permitiendo que las tecnologas de la informacin y tecnologas
relacionadas se gobiernen y administren como un conjunto (enfoque
holstico) a nivel de toda la organizacin, incluyendo el alcance completo
de todas las reas funcionales con roles y responsabilidades definidos.
Este enfoque holstico logra unir el gobierno de TI y la gestin del riesgo
con el gobierno del negocio. En consecuencia, COBIT delinea de mejor
manera el involucramiento de los interesados del negocio y las
responsabilidades en la utilizacin de TI. Diseado para hacer ms fcil
la incorporacin en el negocio de las actividades de TI para un desarrollo
en conjunto de mejores prcticas que reflejan la naturaleza de la totalidad
de la empresa en el uso de TI.
COBIT se preocupa porque las organizaciones puedan satisfacer las
necesidades de las partes interesadas. En un sistema de gobierno se
trata de negociar y decidir entre los diversos intereses de beneficio de las
diferentes partes interesadas. Se deben considerar a todas las partes
interesadas al tomar decisiones con respecto a la evaluacin de riesgos,
los beneficios y el manejo de recursos. En consecuencia, sus
necesidades deben ser transformadas en una estrategia accionable para
la organizacin.
COBIT 5
ISACA (Information Systems Audit and Control Association) combina los
tres procesos de sus marcos de referencia (COBIT, ValIT, RiskIT) en la
ltima versin de este framework, denominado COBIT 5, aadindose a
ste un nuevo enfoque orientado a la seguridad de la informacin.
Mediante esta fusin, se ha construido eficazmente un marco de
referencia para ayudar a las personas a entender los procesos de
negocios de arriba hacia abajo de modo que puedan gobernar su
negocio, gracias a una TI efectiva.
Cascada de metas
Como se mencion antes, COBIT prioriza a la organizacin y las
necesidades de las partes interesadas, indicando que stas deben
transformarse en una estrategia corporativa factible. La cascada de
metas de COBIT 5 es el mecanismo para traducir dichas necesidades en
acciones para alcanzar los objetivos estratgicos.
Catalizadores
Un gobierno y gestin de seguridad de la informacin de la empresa,
efectivos y eficientes, requiere de un enfoque holstico que tenga en
cuenta varios componentes que interactan. COBIT 5 define un conjunto
de catalizadores para apoyar la implementacin de un sistema de
gobierno y gestin global para seguridad de la informacin de la empresa,
presentando una estrategia holstica y sistmica hacia la seguridad de la
informacin. Los catalizadores se dirigen por la cascada de metas, es
decir, las metas de alto nivel de las TI definen lo que los diferentes
catalizadores deberan lograr.
Las 7 categoras de catalizadores que define COBIT 5 se muestran en la
siguiente figura:
Modelo de procesos
Los diferentes roles del gobierno y gestin de la seguridad de la
informacin se hacen visibles mediante el modelo de procesos de COBIT
5, que incluye procesos de gestin y procesos de gobierno agrupados en
dominios, cada uno con sus propias responsabilidades. Los que estn
representados en la siguiente figura:
Objetivos corporativos
- Objetivos relacionados con TI
- Requisitos de gobierno y gestin
- Procesos de seguridad de la informacin crticos
- Prcticas y actividades priorizadas de gobierno y gestin
2.2.1.2.
Normas ISO/IEC 27000
Publicada el 1 de Mayo de 2009, revisada con una segunda edicin de
01 de Diciembre de 2012 y una tercera edicin de 14 de Enero de 2014.
Esta norma proporciona una visin general de las normas que componen
la serie 27000, indicando para cada una de ellas su alcance de actuacin
y el propsito de su publicacin. Recoge todas las definiciones para la
serie de normas 27000 y aporta las bases de por qu es importante la
implantacin de un Sistema de Gestin de Seguridad de la Informacin
(SGSI), una introduccin a los SGSI, una breve descripcin de los pasos
para el establecimiento, monitorizacin, mantenimiento y mejora de un
SGSI (la ltima edicin no aborda ya el ciclo Plan-Do-Check-Act para
evitar convertirlo en el nico marco de referencia para la mejora continua).
Alcance de la estructura del estndar
Como los riesgos de seguridad de la informacin y la efectividad de los
controles cambian en funcin de las circunstancias cambiantes, las
organizaciones necesitan:
2.2.1.3.
Normas ISO/IEC 27001
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de
2013. Es la norma principal de la serie y contiene los requerimientos del
sistema de gestin de seguridad de la informacin.
Este estndar provee los requerimientos para establecer, implementar,
mantener y mejorar continuamente un Sistema de Gestin de Seguridad
de la Informacin (SGSI) dentro del contexto de la organizacin.
Considera la adopcin de un SGSI como una decisin estratgica. Seala
que el establecimiento e implementacin del Sistema de Gestin de
Seguridad de la Informacin en la organizacin est determinado por sus
necesidades y objetivos, requerimientos de seguridad, procesos
organizacionales, y el tamao y estructura de la empresa.
Asimismo, incluye requerimientos para la evaluacin y tratamiento de los
riesgos de seguridad de la informacin, ajustados a las necesidades de
la organizacin.
Estructura de la norma
A continuacin, se muestra la estructura de esta norma:
Contexto de la organizacin
Liderazgo
Liderazgo y compromiso
Poltica
Roles, responsabilidades y autoridades de la organizacin
Planificacin
Apoyo
Recursos
Competencias
Conciencia
Comunicacin
Informacin documentada
Operacin
Evaluacin de rendimiento
Mejora
2.2.1.4.
Normas ISO/IEC 27002
La ltima revisin fue publicada en octubre del 2013, lleva el ttulo de
Information technology - Security techniques - Code of practice for
information security management, la cual fiel a su ttulo describe un cdigo
de buenas prcticas para la gestin de la informacin y los controles
recomendables relacionados con la seguridad.
Estructura de la norma
Esta norma contiene 14 dominios, 35 objetivos de control, y 114
controles. La norma ISO/IEC 27001:2013 contiene un anexo que resume
los controles de la ISO/IEC 27002:2013 y cabe declarar que esta norma
no es certificable. [ISO 27002] Cada dominio contiene un nmero de
objetivos de seguridad principales. Los catorce dominios (acompaadas
por el nmero de objetivos de seguridad principales incluidas dentro de
cada dominio) son:
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
Esta norma puede servir como una gua prctica para desarrollar
estndares organizacionales de seguridad y prcticas efectivas de la
gestin de seguridad. De igual manera, permite proporcionar confianza
en las relaciones entre organizaciones como parte de su visin
corporativa. Las recomendaciones que se establecen en esta norma se
deben elegir cuidadosamente y utilizarse de acuerdo con la legislacin
aplicable en la materia contemplando las necesidades de cada
organizacin de manera que sean viables desde todo punto de vista.
2.2.1.5.
Normas ISO/IEC 27003
Esta norma contiene una gua para el diseo e implementacin exitoso
de un Sistema de Gestin de Seguridad de la Informacin de acuerdo con
la norma ISO/IEC 27001. En esta norma se describe el proceso de
especificacin y diseo del SGSI desde el inicio hasta la elaboracin de
planes de implementacin, describe el proceso de obtener la aprobacin
de la gestin para implementar un SGSI, define un proyecto para
implementar un SGSI, y proporciona orientacin sobre como planificar el
proyecto de SGSI lo que resulta en un plan de ejecucin final del
proyecto.
Esta norma tambin propone recomendaciones y aclaraciones, no
especifica ningn requerimiento lo cual ayuda a seleccionar y a elegir. En
cuanto a su estructura presenta las siguientes clausulas:
a)
b)
c)
d)
e)
Seguridad lgica
Seguridad de personal
Seguridad fsica y ambiental
Inventario de activos y clasificacin de la informacin
Administracin de las operaciones y comunicaciones
Adquisicin, desarrollo y mantenimiento de sistemas informticos
Procedimientos de respaldo
Gestin de incidentes de seguridad de informacin.
Cumplimiento normativo
Privacidad de la informacin