FORMATOS

Requisitos Y Procesos OBJETIVO Identificar los requisitos de la seguridad de la información en una organización y relacionarlos con sus procesos. METODOLOGÍA 1) Identificar los procesos de la organización. 2) Identificar algunos requisitos de seguridad de la información y asociarlos a las partes interesadas correspondientes. 3) Valorar, en una matriz de relación, el grado de responsabilidad de cada proceso con el cumplimiento de cada uno de los requisitos identificados. 4) Definir el alcance del SGSI. MP-30B-TALLERES-V4 Formato No. 1 Requisitos Y Procesos Fuente/Parte interesada Requisito Proceso: UDE ADMINISTRACIÓN UDE FINANCIERO UDE AUDITORIA UDE CALIDAD UEN FABRICA SOFTWARE UDE ING REQUISITOS UDE ARQUITECTURA SOFT UDE GESTION HUMANA UDE INFRAESTRUCTURA Ley Cliente 12345789 1 2 3 4 5 7 8 9 10 5 5 3 3 3 1 3 1 3 27 TOTALES Califique el grado de relación con números de 1,3 ó 5, Siendo 5 = alto, 3 = intermedio y 1 = bajo. 5 1 3 5 1 3 3 3 3 Organización Tot ales 1567 5 1 3 3 1 1 5 15 7 9 11 5 4 7 9 6 19 MI-30B-V4 Formato No. 2 Alcance UDE GESTION HUMANA UDE ADMINISTRACIÓN UDE AUDITORIA UDE CALIDAD UDE FINANCIERO Clasifique los procesos que tuvieron una mayor calificación en la columna de totales dentro del óvalo de alcance. Ubique los demás procesos de acuerdo a las características propias de la organización. Trace las interrelaciones entre los procesos de acuerdo con la descripción que realizó en el taller 2 del módulo de Fundamentos de SGSI. MP-30B-TALLERES-V4 Inventario de activos OBJETIVO Identificar y valorar los activos relevantes dentro del alcance del SGSI. METODOLOGÍA 1) Seleccione un proceso dentro del alcance del SGSI. 2) Identifique los activos de información. 3) Establezca la ubicación para cada uno de ellos. 4) Determine el propietario / responsable del activo dentro de la organización. 5) Evalúe el impacto de cada activo en el negocio de acuerdo a los criterios de Costo ($), Confidencialidad (C), Integridad (I) y Disponibilidad (D). NOTA: Puede establecer grupos de activos similares para facilitar su análisis. MP-30B-TALLERES-V4 Formato No. 3 Inventario de activos Proceso: Activo Dispositivos moviles Servidores Equipos de oficina PC's Impresoras Video Beans Telefonia IP Información empleados Información Clientes Información Negocio Tableros Red Lan Red Internet Ubicación Recursos humanos area Infraestrucura Oficinas Oficinas Oficinas Administración Oficinas Servidor Servidor Servidor Administración Administración Administración Responsable $ C I D Total Valor Diego Vallejo Julian Ortiz Infraestructura Infraestructura Infraestructura Infraestructura Infraestructura RH RH RH Maria Rendon Julian Ortiz Julian Ortiz 3 5 5 5 5 3 5 5 5 5 1 5 5 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 5 1 1 1 1 1 5 5 5 1 3 3 6 12 8 8 8 6 8 12 12 12 4 10 10 Bajo Alto Medio Medio Medio Bajo Medio Alto Alto Alto Bajo Medio Medio NOTAS: Califique el impacto ($,C,I,D) con 1, 3 ó 5, siendo 5 = alto, 3 = intermedio y 1 = bajo. Califique el valor en la escala (muy alto > 16, alto > 12, medio > 8 y bajo). MI-30B-V4 Valoración de riesgos OBJETIVO Identificar las amenazas y vulnerabilidades y valorar los riesgos asociados. METODOLOGÍA 1) Seleccione los activos de mayores valores y traslade la columna “Total” del taller 2. 2) Identifique las principales vulnerabilidades actuales de cada uno de estos activos (considere los controles existentes). 3) Identifique las principales amenazas que podrían explotar cada vulnerabilidad. 4) Evalúe el impacto que causaría en el activo, la materialización de cada evento. 5) Estime la probabilidad de ocurrencia de cada evento. 6) Calcule el valor de los riesgos. MP-30B-TALLERES-V4 Formato No. 4 Valoración de riesgos Activo Valor Vulnerabilidad Mantenimiento Servidores Información empleados Información Clientes Información Negocio Red Lan Red Internet 12 12 12 12 12 12 Almac sin proteccion Env. info medios no seguro No tener copias de respaldo Env. info medios insg No tener protección Env. info medios inseguros "Falta proc. sobre el core del neg" arquitectura inseg. Conexion deficiente Transmis. de contra. Trafico sensible sin prot Amenaza mala configuración mala comunciación facil acceso robo información suplantación identid filtración información borrado de info restaruaciones fall suplantacióon identidad filtración información borrado de info restaruaciones fall suplantacióon identidad filtración información mala ejec procesos incumplimiento procesos falla equipos falla transferencia intermitencia conexion espionaje remoto espionaje remoto falla conexion I P Valor de Riesgo 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 50 Bajo 30 Bajo 50 Bajo 50 Bajo 30 Bajo 50 Bajo 50 Bajo 30 Bajo 30 Bajo 50 Bajo 50 Bajo 30 Bajo 30 Bajo 30 Bajo 30 Bajo 30 Bajo 50 Bajo 250 Alto 90 Bajo 50 Bajo 50 Bajo 150 Medio 5 3 5 5 3 5 5 3 3 5 5 3 3 3 3 3 5 5 3 5 5 5 NOTAS: Califique el impacto con 1,3 ó 5, siendo 5 = alto, 3 = intermedio y 1 = bajo. Estime la probabilidad y califíquela con la misma escala. Califique el valor de riesgo, multiplicando : Valor, I y P y asociándolo a la escala (Muy alto> 350, alto > 200, medio >100 y bajo) MI-30B-V4 Selección de Controles OBJETIVO Seleccionar los controles adecuados para el tratamiento de los riesgos y requisitos identificados. METODOLOGÍA 1) Seleccione tres requisitos identificados en el Taller 1 (uno legal, uno contractual, uno de la norma ISO 27001). 2) Seleccione dos riesgos de los identificados en el Taller 3 (requisitos organizacionales), que superen el nivel aceptable de riesgo. 3) Identifique en el anexo A de la ISO 27001, el/los objetivo(s) de control que responde(n) a cada requisito. 4) Seleccione, de estos objetivos de control, los controles que serán implementados. Identifíquelos con X. MP-30B-TALLERES-V4 Formato No. 5 Selección de controles Control (Anexo A) Req. Legal: 2649 Req. Cliente: 1 ISO 27001 Riesgo 1: 270 Riesgo 2: 210 A.5 Política de seguridad 5.1 Política de seguridad de la información. A.5.1.1 Documento de la política de seguridad de la información A.5.1.2 Revisión de la política de seguridad de la información A.6 Organización de la seguridad de la información A.6.1 Organización Interna A.6.1.1 Compromiso de la dirección con la seguridad de la información A.6.1.2 Coordinación de la seguridad de la información A.6.1.3 Asignación de responsabilidades de seguridad de la información A.6.2 Terceros A.6.2.1 Identificación de riesgos relacionados con partes externas A.6.2.2 Tener en cuenta la seguridad cuando se trata con clientes A.6.2.3 Tener en cuenta la seguridad en acuerdos con terceras partes A.7 Gestión de activos A. 7.1 Responsabilidad sobre los activos A.7.1.1 Inventario de activos A.7.1.2 Dueños de los activos A.7.1.3 Uso aceptable de los activos A. 7.2 Clasificación de la Información A.7.2.1 Directrices para clasificación A.7.2.2 Etiquetado y manejo de información MI-30B-V4 Formato No. 5 Selección de controles Control (Anexo A) A.8 Seguridad de los recursos humanos A.8.1 Antes del Empleo A.8.1.1 Roles y responsabilidades A.8.1.2 Selección A.8.1.3 Términos y condiciones de la relación laboral A.8.2 Durante el empleo A.8.2.1 Responsabilidades de la dirección A.8.2.2 Toma de conciencia, educación y formación en seguridad de la información A.8.2.3 Proceso disciplinario A.8.3 Finalización o cambio del puesto de trabajo A.8.3.1 Responsabilidades de terminación A.8.3.2 Devolución de activos A.8.3.3 Retiro del derecho de acceso A.9 Seguridad física y del entorno A.9.1 Áreas Seguras A.9.1.1 Perímetro físico de seguridad A.9.1.2 Controles de acceso físico A.9.1.3 Seguridad de oficinas, recintos e instalaciones A.9.1.4 Protección contra amenazas ambientales y externas A.9.1.5 Trabajo en áreas seguras A.9.2 Seguridad de los Equipos A.9.2.1 Ubicación y protección de equipos A.9.2.2 Servicios públicos de apoyo A.9.2.3 Seguridad del cableado A.9.2.4 Mantenimiento de equipos A.9.2.5 Seguridad de los equipos fuera de las instalaciones Req. Legal: Req. Cliente: 1 ISO 27001 X Riesgo 1 Riesgo 2 A.9.2.6 Seguridad en la reutilización o eliminación de equipos A.9.2.7 Retiro de activos A.10 Gestión de comunicaciones y operaciones A.10.1 Procedimientos y responsabilidades de operación A.10.1.1 Procedimientos de operación documentados A.10.1.2 Gestión del cambio A.10.1.3 Separación de funciones A.10.1.4 Separación de las instalaciones de desarrollo, ensayo y operacionales A.10.2 Supervisión de los servicios contratados a terceros A.10.2.1 Prestación del servicio A.10.2.2 Seguimiento y revisión de los servicios prestados por terceras partes A.10.2.3 Gestión de cambios en los servicios suministrados por terceras partes A.10.3 Planificación y aceptación del sistema A.10.3.1 Gestión de la capacidad A.10.3.2 Aceptación del sistema A.10.4 Protección contra software malicioso y código móvil A.10.4.1 Controles contra códigos maliciosos A.10.4.2 Controles contra códigos móviles A.10.5 Copias de Seguridad A.10.5.1 Información de respaldo A.10.6 Gestión de Seguridad de los Sistemas Operativos A.10.6.1 Controles de redes A.10.6.2 Seguridad de los servicios de la red A.10.7 Utilización y seguridad de los soportes de información A.10.7.1 Administración de los medios removibles A.10.7.2 Eliminación de medios A.10.7.3 Procedimientos para el manejo de la información A.10.7.4 Seguridad de la documentación del X sistema A.10.8 Intercambio de información y software A.10.8.1 Políticas y procedimientos para intercambio de información A.10.8.2 Acuerdos de intercambio A.10.8.3 Medios físicos en tránsito A.10.8.4 Mensajería electrónica A.10.8.5 Sistemas de información del negocio A.10.9 Servicios de comercio electrónico A.10.9.1 Comercio electrónico A.10.9.2 Transacciones en línea A.10.9.3 Información disponible públicamente A.10.10 Supervisión A.10.10.1 Registro de auditorías A.10.10.2 Uso del sistema de seguimiento A.10.10.3 Protección de la información del registro A.10.10.4 Registros del administrador y el operador A.10.10.5 Registro de fallas A.10.10.6 Sincronización de relojes A.11 Control de acceso A.11.1 Requerimientos de negocio para el control de accesos A.11.1.1 Política de control de acceso A.11.2 Gestión de Acceso de Usuario A.11.2.1 Registro de usuarios A.11.2.2 Gestión de privilegios A.11.2.3 Gestión de contraseñas para usuarios A.11.2.4 Revisión de los derechos de acceso de los Usuarios A.11.3 Responsabilidades del usuario A.11.3.1 Uso de contraseñas A.11.3.2 Equipo de usuario desatendido A.11.3.3 Política de puesto de trabajo despejado y bloqueo de pantalla A.11.4 Control de acceso en red A.11.4.1 Política de uso de los servicios de red A.11.4.2 Autenticación de usuarios para conexiones externas A.11.4.3 Identificación de equipos en redes X X A.11.4.4 Protección de puertos de diagnóstico y configuración remotos A.11.4.5 Subdivisión de redes A.11.4.6 Control de conexión a las redes A.11.4.7 Control de enrutamiento en la red A.11.5.1 Control de acceso al sistema operativo A.11.5.1 Procedimientos de ingreso seguros A.11.5.2 Identificación y autenticación de usuarios A.11.5 Control de acceso al sistema operativo A.11.5.3 Sistema de gestión de contraseñas A.11.5.4 Uso de utilitarios* (utilities) del sistema A.11.5.5 Plazo expirado de la sesión A.11.5.6 Limitación del tiempo de conexión A.11.6 Control de acceso a las aplicaciones y a la información A.11.6.1 Restricción de acceso a la información A.11.6.2 Aislamiento de sistemas sensibles A.11.7 Informática móvil y teletrabajo A.11.7.1 Computación* y comunicaciones móviles A.11.7.2 Trabajo remoto A.12 Adquisición, desarrollo y mantenimiento de sistemas de Información A.12.1 Requisitos de seguridad de los sistemas de Información A.12.1.1 Análisis y especificación de requisitos de seguridad A.12.2 Seguridad de las aplicaciones del sistema A.12.2.1 Validación de los datos de entrada A.12.2.2 Control de procesamiento interno A.12.2.3 Integridad de los mensajes A.12.2.4 Validación de los datos de salida A.12.3 Controles criptográficos A.12.3.1 Política sobre el uso de controles criptográficos A.12.3.2 Gestión de llaves A.12.4 Seguridad de los ficheros del sistema A.12.4.1 Control del software operativo A.12.4.2 Protección de los datos de ensayo del sistema A.12.4.3 Control de acceso al código fuente de los programas A.12.5 Seguridad en los procesos de desarrollo y soporte A.12.5.1 Procedimientos de control de cambios A.12.5.2 Revisión técnica de las aplicaciones después de cambios en el sistema operativo A.12.5.3 Restricciones en los cambios a los paquetes de software A.12.5.4 Fuga de información A.12.5.5 Desarrollo de software contratado externamente A.12.6 Gestión de las vulnerabilidades técnicas A.12.6.1 Control de vulnerabilidades técnicas A.13 Gestión de incidentes de seguridad de la información A.13.1 Comunicación de eventos y debilidades en la seguridad de la información A.13.1.1 Reporte de eventos de seguridad de la información A.13.1.2 Reporte de las debilidades de seguridad A.13.2.1 Responsabilidades y procedimientos A.13.2.2 Aprendizaje de los incidentes de seguridad de la información A.13.2.3 Recolección de evidencia A.14 Gestión de la continuidad del negocio A.14.1 Aspectos de la gestión de continuidad del negocio A.14.1.1 Incluir la seguridad de la información en el proceso de gestión de la continuidad del negocio A.14.1.2 Valoración de la continuidad del negocio y del riesgo A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyen seguridad de la información X A.14.1.4 Estructura de planeación de la continuidad del negocio A.14.1.5 Ensayo, mantenimiento y re-valoración de los planes de continuidad del negocio A.15 Cumplimiento A.15.1 Conformidad con los requisitos legales A.15.1.1 Identificación de la legislación aplicable A.15.1.2 Derechos de propiedad intelectual (DPI) A.1.5.1.3 Protección de los registros de la organización A.15.1.4 Protección de los datos y privacidad de la información personal A.15.1.5 Prevención del uso inadecuado de las instalaciones de procesamiento de la información A.15.1.6 Reglamentación de los controles criptográficos A.15.2 Revisiones de la política de seguridad y de la conformidad técnica A.15.2.1 Cumplimiento de las políticas y normas de seguridad A.15.2.2 Verificación del cumplimiento técnicoç A.15.3 Consideraciones sobre la auditoría de los sistemas de información A.15.3.1 Controles de auditoría de sistemas de información A.15.3.2 Protección de las herramientas de auditoría de sistemas de información MI-30B-V4 Formato No. 6 Enunciado de aplicabilidad Activo de Información Obj. control Controles Justificación