Anexo O. Cálculo de la Inversión del Proyecto

Transcripción

1 . Participantes del Proyecto Anexo O. Cálculo de la Inversión del Proyecto Participante Descripción Cargo Representante Patrocinador del Comité de Seguridad Responsable Del Consultor Experto en seguridad Soporte Administrativo (legal) y Técnico Implementadores Administrativos Implementadores Técnicos Titular de alta dirección, Responsable ante el Comité de Dirección, que ha vendido el y tiene que garantizar su éxito y resultados ante el Comité de Dirección. Quien toma la decisión del alcance que debe tener la Seguridad. Da informe y cuentas al Comité de Dirección. Grupo de Direcciones directamente corresponsables de los s de Seguridad, responsables todos y cada uno de su parte por su enfoque, de la Administración del Riesgo. Acepta o rechaza los niveles de protección, las prioridades y autoriza los recursos a asignar al. Líder o Gerente, responsable de coordinar los s y entregables en calidad y forma de la Seguridad en la Información. Responsable de que se dé la coordinación de los involucrados en el proceso de la Administración de Riesgos y el Gobierno de Seguridad en la Información. Especialista que asesora al responsable del de Seguridad para definir, ejecutar, revisar y garantizar que se logre el o los s de seguridad. Acuerda y comunica al Responsable del soporte Especialista que asesora al responsable del de Seguridad para definir, ejecutar, revisar y garantizar que se logre los aspectos legales, jurídicos y normativos de seguridad asociados con el alcance del. Especialistas para identificar procesos, hacer el análisis de riesgos, el análisis de vulnerabilidades administrativas y definir, implementar las normas y los procedimientos de seguridad. Especialistas para identificar procesos técnicos que existen y deben existir realizar el análisis de vulnerabilidades técnicas, identificar soluciones viables, definir, implementar las normas y los procedimientos de seguridad técnica. Gerente financiero Gerente financiero Jefe de control interno Jefe de riesgo operativo Jefe de sistemas Jefe de recursos humanos y administrativos Analista de Organización y métodos Jefe de riesgo Operativo Experto en seguridad Jefe del departamento jurídico Analista de Organización y métodos Analista de sistemas Responsabilidad dentro de la seguridad de la información Coordinador del comité de seguridad de la información Unidad de auditoría interna Responsable de seguridad de la información Responsable del área de TI Responsable del área de recursos humanos Responsable de administración de procesos

2 PLANEAR.2 Estructura desglosada del trabajo o WBS (Work Breakdown Structure) Conceptual (Diagnostico) Planeación (Diseño) Diagnóstico Análisis de riesgos DOFA, Alcance del y gobierno del Perfil de riesgos de seguridad potencial de la compañía y ranking de activos con la valoración de riesgos más alta Identificar las responsabilidades legales de la organización. Identificar las funciones de negocio y los activos de Información dentro del alcance. Definir el Modelo de Gobierno del. Definir el enfoque de Gestión de Riesgos. Evaluar los riesgos a los que está expuesta la Información. Recolección de información (políticas, procesos, estructura organizacional, servicios prestados, terceros y contratistas, marco normativo) Descripción general de la compañía 6 Descripción del Contexto de la compañía Identificar las responsabilidades legales de la organización. (Validación de las Normas regulatorias: circular 02, circular 4 ahora 38, habeas data, SARO, ISO 27002) Evaluación del estado de seguridad de la compañía: Realización de entrevistas por áreas con los dueños de la información y solicitud de evidencia física (visita al centro de computo, centro de desarrollo, centro de gestión documental, recursos administrativos, control interno y área jurídica) Comunicar la totalidad de hallazgos y recomendaciones definir el alcance del Definir el Modelo de Gobierno del definición de roles y responsabilidades del, conformación del comité de seguridad de la información y definición del Representante de la Dirección, quién tendrá la responsabilidad para la implementación y desarrollo del Sistema de Gestión Establecer criterios de evaluación de riesgos Establecer criterio de aceptación de riesgos, y Registro de la aprobación de riesgos aceptables Recolección de información. (Documentación de procedimientos establecidos dentro del alcance) 2 Identificación de activos. (responsables) 0 Determinación de dependencias entre activos. (Árbol de activos) 0 hacer la equivalencia entre la escala de Magerit y la escala SARO, y la equivalencia de escala de valor 2 Valoración de activos. 0 Determinación de amenazas potenciales sobre cada activo. 2 Estimación del impacto de la materialización de la amenaza sobre el activo con los responsables del activo. 0 6

3 HACER Definición del plan de tratamiento de riesgos Documentació n del sistema declaración de aplicabilidad y plan de tratamiento de riesgos Documentos del sistema Evaluar la Madurez de los controles de acuerdo a ISO 2700 para cada función y activo dentro del alcance. Desarrollar la declaración de Aplicabilidad para cada función de Negocio incluida en el alcance. Definir el plan de tratamiento de riesgos. Definir el estándar de documentación de controles para la organización. Hacer el diseño detallado de controles. Medida del riesgo, analizando el impacto ponderado por la frecuencia de ocurrencia de la amenaza. Kick off meeting, capacitación inicial Determinación y valoración de las salvaguardas existentes. (Entrevistas con los custodios de información) Determinación de la brecha para el cumplimiento de la norma ISO Realizar declaración de aplicabilidad 2 Seleccionar los objetivos de control y los controles del Anexo A de ISO 2700 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo. Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del. Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de 7 seguridad de la información. Documentar la política de seguridad de la información 20 Manual del Sistema de Gestión de Seguridad de la Información (Procedimiento de gestión de toda la documentación del ) Redactar los Procedimientos requeridos, de acuerdo a las características de la organización 40 Redactar instructivos de usuario 0 Diseñar Formatos de Registro Especificar el plan de Desarrollo Organizacional. Definir Manual de funciones de cargos 2 Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. ejecución e implementación Implantar los controles Seleccionados sensibilización y gestión del equipos instalados y controles implementados Capacitaciones efectuadas y implementación de controles del Gestión de incidentes Capacitación y Concienciación. Implementar y ajustar los controles anteriormente seleccionados que lleven a los objetivos de control. Adquisición e instalación de Equipos, Configuración de Políticas y Directrices Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad. Definir y preparar programas de formación y concienciación en relación a la seguridad de la información a todo el personal.

4 ACTUAR VERIFICAR entrega (Acompañamiento) seguimiento y revisión de los controles y medidas implantadas Auditoría interna Mantenimient o y mejora del recursos asignados Ejecución de monitoreo interno (informe de monitoreo) Informe de auditoría Gestión de no conformidades Monitorizar el rendimiento Auditoría interna Definición de acciones correctivas Implementación de acciones correctivas Mantenimiento y mejora del Capacitará al Representante de la Dirección y el Personal Responsable de los Procesos Clave en la Norma. 0 Taller Implementación ISO 2700 Identificación de fuentes y procedimientos para recolección de eventos Ejecutar procedimientos de monitorización y revisión 3 Pruebas de penetración externas e internas 4 Diagnóstico de plataforma 4 Validación del cumplimiento de las políticas de seguridad, Monitoreo de los riesgos identificados como críticos en los procesos de negocio. Informe de Monitoreo: Revisar el por parte de la dirección para garantizar que el alcance definido sigue siendo el adecuado y que las 3 mejoras en el proceso del son evidentes. (Entrevistar al personal clave para descubrir cambios importantes) Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y 2 revisión. Planeación de la auditoría 3 ejecución de la auditoría 0 seguimiento y cierre de la auditoría interna 2 Definición de acciones correctivas para eliminar las No Conformidades 3 encontradas en la Auditoría Interna Inicial. Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. Realizar las acciones preventivas y correctivas adecuadas en relación a la clausula 8 de ISO 2700 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio y de su alcance. (Reunión Semestral - revisión de la Alta Gerencia) Mejora continua del. Comités de Seguridad de la Información

5 .3 Inversión del * La tarifa del personal se establece como el salario promedio más el factor prestacional