ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2010
FORMATO PRELIMINAR AL DOCUMENTO Título: Fecha elaboración aaaa-mm-dd: Sumario: Palabras Claves: ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 15/12/2010 Este documento presenta la correspondencia de estándares entre el Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea y otros de amplia utilización. Correspondencia, estándares, dominios, políticas, Modelo de Seguridad de la Información, MECI, COBIT, ITIL, NTC GP 1000, ISO 27001 Formato: DOC Lenguaje: Castellano Dependencia: Código: Ministerio de Tecnologías de la Información y las Comunicaciones- Programa Agenda de Conectividad Estrategia de Gobierno en línea Área de Operación y Apropiación: Convenio CINTEL 108 GEL108_M odelo_segu ridad_infor Versión: 1.0.0 Estado: Documento Final macion Categoría: Autor (es): CINTEL Revisó: Aprobó: Información Adicional: Clara Teresa Martinez Rojas Gerente de Proyecto CINTEL Diana Patricia Peña Paez Consultora de Operación Programa Agenda de Conectividad Angélica Janneth Jaramillo Pinzón Consultora Desarrollo: Servicios de Gobierno en Línea Programa Agenda de Conectividad Francy Johanna Pimiento Coordinadora de Operación y Desarrollo Programa Agenda de Conectividad No disponible Firmas: Ubicación: Página 2 de 53
CONTROL DE CAMBIOS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN 1.0.0 15/12/2010 Extracción de documento de Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea. Página 3 de 53
TABLA DE CONTENIDO 1. INTRODUCCIÓN... 6 2. PROPÓSITO... 7 3. CORRESPONDENCIA DE ESTÁNDARES... 8 3.1. POLÍTICA DEL SISTEMA DE GESTIÓN... 8 3.2. POLÍTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN... 8 3.2.1. POLÍTICAS DE SEGURIDAD... 8 3.2.2. OBJETIVOS DE SEGURIDAD... 10 3.3. CORRESPONDENCIA DE ESTÁNDARES... 10 3.3.1. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS AL CONTROL DE ACCESO... 10 3.3.2. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA NO REPUDIACIÓN... 15 3.3.3. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA PRIVACIDAD Y CONFIDENCIALIDAD... 17 3.3.4. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA INTEGRIDAD... 24 3.3.5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA DISPONIBILIDAD DEL SERVICIO... 28 3.3.6. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA DISPONIBILIDAD DE LA INFORMACIÓN... 32 3.3.7. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA PROTECCIÓN DEL SERVICIO... 33 3.3.8. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS AL REGISTRO Y AUDITORIA... 41 Página 4 de 53
DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad de la Información con derechos reservados por parte del Ministerio de Tecnologías de la Información y las Comunicaciones, por medio del Programa Gobierno en línea. Todas las referencias a las políticas, definiciones o contenido relacionado, publicadas en la norma técnica colombiana NTC ISO/IEC 27001, así como a los anexos con derechos reservados por parte de ISO/ICONTEC. Página 5 de 53
1. INTRODUCCIÓN Existen muchos estándares a nivel internacional y algunos nacionales que abordan la problemática de seguridad de la información, en su mayoría plantean aproximaciones particulares al aseguramiento de la información y a las características que se deben cumplir para poder garantizar la misma. Este documento realiza un barrido de varios estándares de uso nacional con el fin de demostrar cómo los dominios planteados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea se ajustan a estos. Los estándares abarcados son: MECI NTC GP: 1000:2004 ISO27001 COBIT 4.1 ITIL v3 Página 6 de 53
2. PROPÓSITO El propósito de este documento es ofrecer una comparativa entre los dominios planteados en el Modelo y varios estándares relacionados con seguridad de la información que son de amplio uso nacional, con el fin de brindar un marco informativo para las entidades que proveen servicios para la estrategia de Gobierno en Línea. Página 7 de 53
3. CORRESPONDENCIA DE ESTÁNDARES Es importante mantener una relación de las políticas de seguridad de la información aplicables al programa Gobierno en línea, que se han desarrollado a lo largo del presente documento, y todas aquellas políticas y buenas prácticas condensadas en otros estándares que se han aplicado en las entidades públicas, por tal motivo se presentan a continuación el conjunto de consideraciones y la interrelación de políticas adaptadas del capítulo 6 del documento MODELO DE SEGURIDAD DE LA INFORMACIÓN SISTEMA SANSI - SGSI -, la cual complementa las políticas planteadas. 3.1. Política del Sistema de Gestión La Estrategia de Gobierno en línea requiere que la información que se gestiona a través de los servicios y trámites disponibles para los ciudadanos, funcionarios públicos y entidades públicas y privadas esté adecuadamente asegurada con el fin de proteger los intereses públicos y nacionales y preservar la privacidad personal. Esta política se enfoca a la protección de la confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de 2008. La máxima autoridad de las entidades públicas y privadas que participan en la cadena de prestación de servicios para la Estrategia de Gobierno en línea es responsable por implementar los requerimientos de seguridad que se plantean en la política con el fin proteger la información y activos públicos. El nivel de protección que cada entidad debe implementar para la información y los servicios de la Estrategia de Gobierno en Línea, debe corresponder a un proceso de análisis y evaluación de riesgos. La gestión de riesgos es un requerimiento del sistema de gestión de seguridad de la información. Este proceso se ha fortalecido en las entidades públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema de gestión de la calidad NTC GP 1000:2004 para las entidades públicas. El sistema de gestión de seguridad de la información para la Estrategia de Gobierno en línea es complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para una entidad, adaptar su(s) sistema(s) de gestión y control existente(s) para que cumplan con los requisitos de este sistema. En la implementación del sistema de gestión, se debe tener cuidado especial en la identificación de los elementos comunes, para evitar que se dupliquen esfuerzos. 3.2. Políticas y Objetivos de Seguridad de la Información 3.2.1. Políticas de Seguridad Las políticas de seguridad que se plantean en este documento se basan en un análisis y evaluación de riesgos para cada una de las fases de la Estrategia de Gobierno en línea. Estas políticas representan Página 8 de 53
directrices generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de servicios durante las fases de implementación de la Estrategia de Gobierno en línea. Política de Control de Acceso Las entidades que provean servicios de Gobierno en Línea que requieran mayor nivel de seguridad como resultado de un análisis y evaluación de riesgos, deben implementar mecanismos y controles que aseguren un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo, deben implementar mecanismos y controles que aseguren el acceso bajo el principio del mínimo privilegio necesario para realizar las labores de cada cliente o usuario de dichos servicios. Igualmente, se deben implementar controles para una efectiva administración de usuarios y derechos de acceso. Política de no repudiación Las entidades que provean servicios de transacciones electrónicas para Gobierno en Línea, deben garantizar la no repudiación de las transacciones implementando mecanismos de seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios públicos, empresas), los proveedores del servicio (entidades certificadoras) y la entidad estatal con relación a la autenticidad, trazabilidad y no repudiación de las transacciones electrónicas. Política de Privacidad y Confidencialidad Los datos personales de los clientes y demás información enviada a través de los servicios de Gobierno en Línea deben ser protegidos y manejados de manera responsable y segura. Política de Integridad La información que se recibe o se envía a través de los servicios de Gobierno en Línea debe conservar los atributos de correcta y completa durante la transmisión, el procesamiento y el almacenamiento. Política de Disponibilidad del Servicio Las entidades que provean servicios de Gobierno en Línea deben asegurar la disponibilidad continua de los servicios bajo su control. Política de Disponibilidad de la Información Las entidades que provean servicios de Gobierno en Línea deben asegurar que los datos de los usuarios y clientes se mantienen protegidos contra pérdida por actos accidentales o intencionales o por fallas de los equipos. Página 9 de 53
Política de Protección del Servicio Las entidades que provean servicios de Gobierno en Línea deben asegurar que los servicios y sus activos de información relacionados estén adecuadamente protegidos contra ataques externos o internos. Política de Registro y Auditoría Las entidades que provean servicios de Gobierno en Línea deben mantener y proteger los registros de las transacciones electrónicas como evidencia para los requerimientos de las auditorias (internas o externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios. 3.2.2. Objetivos de Seguridad Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en línea, se establecieron objetivos de control asociados a cada política. Por otra parte, considerando que las entidades públicas como parte del proceso de modernización de la gestión pública han implementado el sistema de gestión integrado de control interno, MECI y el sistema de gestión de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, alineamiento de los requerimientos de seguridad de la información con estos sistemas con el fin de evitar duplicación de esfuerzos. Igualmente, es necesario tener presente las iniciativas de las entidades públicas y privadas encaminadas a implementar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la Información (ISO27001), Gobierno de tecnología de la información (COBIT), Prestación de Servicios de TI (ITIL) entre otros. En ese sentido, a continuación se identifica el alineamiento de los requerimientos de seguridad con éstas mejores prácticas. 3.3. Correspondencia de estándares 3.3.1. Políticas de Seguridad de la Información asociadas al control de acceso MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o 2.1 Actividades de Control o 2.2 Información Página 10 de 53
o 2.3 Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección o 5.5.3 Comunicación interna o 5.6.2 Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o 7.2.3 Comunicación con el cliente o 7.3 Diseño y desarrollo o 7.3.4 Revisión del diseño y desarrollo o 7.3.5 Verificación del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o 7.5.3 Identificación y trazabilidad Página 11 de 53
o 8.4 Análisis de datos ISO27001 o CONTROL DE ACCESO o Requisito de la entidad para el control de acceso o Política de control de acceso o Gestión del acceso de usuarios o Registro de usuarios o Gestión de privilegios o Gestión de contraseñas para usuarios o Revisión de los derechos de acceso de los usuarios o Responsabilidades de los usuarios o Uso de contraseñas o Equipo de usuario desatendido o Política de escritorio despejado y pantalla despejada o Control de acceso a las redes o Política de uso de los servicios de red o Autenticación de usuarios para conexiones externas. o Identificación de los equipos en las redes o Protección de los puertos de configuración y diagnóstico remoto o Separación en las redes o Control de conexión a las redes Página 12 de 53
o Control de enrutamiento en la red o Control de acceso al sistema operativo o Procedimientos de ingresos seguros o Identificación y autenticación de usuarios o Sistema de gestión de contraseñas o Uso de las utilidades del sistema o Tiempo de inactividad de la sesión o Limitación del tiempo de conexión o Control de acceso a las aplicaciones y a la información. o Restricción de acceso a la información o Aislamiento de sistemas sensibles o Computación móvil y trabajo remoto o Computación y comunicaciones móviles o Trabajo remoto o Requisitos de seguridad de los sistemas de información o Análisis y especificación de los requisitos de seguridad o Controles criptográficos o Política sobre el uso de los controles criptográficos o Gestión de llaves COBIT 4.1 o PO2.3 Esquema de clasificación de datos Página 13 de 53
o PO3.4 Estándares tecnológicos o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o AI1.2 Reporte de análisis de riesgos o DS5.2 Plan de seguridad de TI o DS5.3 Administración de identidad o DS5.4 Administración de cuentas del usuario o DS5.7 Protección de la tecnología de seguridad o DS5.8 Administración de llaves criptográficas o DS5.10 Seguridad de la red o DS5.11 Intercambio de datos sensitivos ITIL v 3 o OPERACIÓN DEL SERVICIO o SO 4.5 Administración del acceso o SO 4.5.1 Objetivo/Meta/Propósito o SO 4.5.2 Alcance o SO 4.5.3 Valor para el negocio o SO 4.5.4 Políticas/principios/conceptos básicos o SO 4.5.5 Procesos, actividades, métodos y técnicas o SO4.5.6 Triggers, entradas, salidas, interfaces entre procesos o SO 4.5.7 Administración de Información o SO 4.5.8 Métricas Página 14 de 53
o SO 4.5.9 Desafíos, factores críticos de éxito y riesgos o SO 5.3 Administración de mainframe o SO 5.4 Administración y soporte de servidores o SO 5.5 Administración de la red o SO 5.7 Administración de bases de datos o SO 5.8 Administración de servicios de directorio o SO 5.10 Administración del middleware o SO 5.11 Administración de Internet y servicios web 3.3.2. Políticas de Seguridad de la Información asociadas a la no repudiación MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección Página 15 de 53
o 5.5.3 Comunicación interna o 5.6.2 Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o 7.2.3 Comunicación con el cliente o 7.3 Diseño y desarrollo o 7.3.4 Revisión del diseño y desarrollo o 7.3.5 Verificación del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o 7.5.3 Identificación y trazabilidad o 8.4 Análisis de datos ISO27001 o Servicios de Comercio Electrónico o Comercio electrónico o Transacciones en línea o Información disponible al público Página 16 de 53
o Requisitos de seguridad de los sistemas de información o Análisis y especificación de los requisitos de seguridad o Controles criptográficos o Política sobre el uso de los controles criptográficos o Gestión de llaves COBIT 4.1 o AC4 Integridad y validez del procesamiento de datos o AC6 Autenticidad e integridad de las transacciones o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o AI2.3 Control y auditabilidad de las aplicaciones o AI2.4 Seguridad y disponibilidad de las aplicaciones. o DS5.8 Administración de llaves criptográficas o DS5.11 Intercambio de datos sensitivos o DS11.6 Requerimientos de seguridad para administración de datos ITIL v 3 o SO 5.10 Administración del middleware o SD 3.6.1 Diseño de las soluciones del servicio o SD 5.2 Administración de información y datos 3.3.3. Políticas de Seguridad de la Información asociadas a la privacidad y confidencialidad MECI o Ambiente de control Página 17 de 53
o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5. Responsabilidad de la dirección o 5.5.3 Comunicación interna o 5.6.2 Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o 7.2.3 Comunicación con el cliente o 7.3 Diseño y desarrollo o 7.3.4 Revisión del diseño y desarrollo o 7.3.5 Verificación del diseño y desarrollo Página 18 de 53
o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o 7.5.3 Identificación y trazabilidad o 8.4 Análisis de datos ISO27001 o Gestión de la prestación del servicio por terceras partes o Prestación del servicio o Monitoreo y revisión de los servicios por terceras partes o Gestión de los cambios en los servicios por terceras partes o Gestión de la seguridad de las redes o Controles de las redes o Seguridad de los servicios de la red o Respaldo o Respaldo de la información. o Intercambio de la información o Políticas y procedimientos para el intercambio de información o Acuerdos para el intercambio o Medios físicos en tránsito o Mensajería electrónica o Sistemas de información de la entidad Página 19 de 53
o Servicios de Comercio Electrónico o Comercio electrónico o Transacciones en línea o Información disponible al público o Requisito de la entidad para el control de acceso o Política de control de acceso o Gestión del acceso de usuarios o Registro de usuarios o Gestión de privilegios o Gestión de contraseñas para usuarios o Revisión de los derechos de acceso de los usuarios o Responsabilidades de los usuarios o Uso de contraseñas o Equipo de usuario desatendido o Política de escritorio despejado y pantalla despejada o Control de acceso a las redes o Política de uso de los servicios de red o Autenticación de usuarios para conexiones externas. o Identificación de los equipos en las redes o Protección de los puertos de configuración y diagnóstico remoto o Separación en las redes Página 20 de 53
o Control de conexión a las redes o Control de enrutamiento en la red o Control de acceso al sistema operativo o Procedimientos de ingresos seguros o Identificación y autenticación de usuarios o Sistema de gestión de contraseñas o Uso de las utilidades del sistema o Tiempo de inactividad de la sesión o Limitación del tiempo de conexión o Control de acceso a las aplicaciones y a la información. o Restricción de acceso a la información o Aislamiento de sistemas sensibles o Computación móvil y trabajo remoto o Computación y comunicaciones móviles o Trabajo remoto o Requisitos de seguridad de los sistemas de información o Análisis y especificación de los requisitos de seguridad o Controles criptográficos o Política sobre el uso de los controles criptográficos o Gestión de llaves COBIT 4.1 Página 21 de 53
o AC4 Integridad y validez del procesamiento de datos o AC6 Autenticidad e integridad de las transacciones o PO2.3 Esquema de clasificación de datos o PO3.4 Estándares tecnológicos o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o AI1.2 Reporte de análisis de riesgos o AI2.3 Control y auditabilidad de las aplicaciones o AI2.4 Seguridad y disponibilidad de las aplicaciones. o DS11.1 Requerimientos de la entidad para administración de datos o DS5.2 Plan de seguridad de TI o DS5.3 Administración de identidad o DS5.4 Administración de cuentas del usuario o DS5.7 Protección de la tecnología de seguridad o DS5.8 Administración de llaves criptográficas o DS5.10 Seguridad de la red o DS5.11 Intercambio de datos sensitivos o DS11.1 Requerimientos de la entidad para administración de datos o DS11.2 Acuerdos de almacenamiento y conservación o DS11.3 Sistema de administración de librerías de medios o DS11.4 Eliminación o DS11.5 Copias de seguridad y restauración Página 22 de 53
o DS11.6 Requerimientos de seguridad para administración de datos ITIL v 3 o SO 4.5 Administración del acceso o SO 4.5.1 Objetivo/Meta/Propósito o SO 4.5.2 Alcance o SO 4.5.3 Valor para el negocio o SO 4.5.4 Políticas/principios/conceptos básicos o SO 4.5.5 Procesos, actividades, métodos y técnicas o SO 4.5.6 Triggers, entradas, salidas, interfaces entre procesos o SO 4.5.7 Administración de Información o SO 4.5.8 Métricas o SO 4.5.9 Desafíos, factores críticos de éxito y riesgos o SO 5.2.3 Copia de respaldo y restauración o SO 5.3 Administración de mainframe o SO 5.4 Administración y soporte de servidores o SO 5.5 Administración de la red o SO 5.6 Almacenamiento y archivo o SO 5.7 Administración de bases de datos o SO 5.8 Administración de servicios de directorio o SO 5.10 Administración del middleware o SO 5.11 Administración de Internet y servicios web Página 23 de 53
o SD 3.6.1 Diseño de las soluciones del servicio o SD 5.2 Administración de información y datos 3.3.4. Políticas de Seguridad de la Información asociadas a la integridad MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección o 5.5.3 Comunicación interna o 5.6.2 Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio Página 24 de 53
o 7.2 Procesos relacionados con el cliente o 7.2.3 Comunicación con el cliente o 7.3 Diseño y desarrollo o 7.3.4 Revisión del diseño y desarrollo o 7.3.5 Verificación del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o 7.5.3 Identificación y trazabilidad o 8.4 Análisis de datos ISO27001 o Respaldo o Respaldo de la información. o Gestión de la seguridad de las redes o Controles de las redes o Seguridad de los servicios de la red o Requisito de la entidad para el control de acceso o Política de control de acceso o Gestión del acceso de usuarios o Registro de usuarios o Gestión de privilegios Página 25 de 53
o Gestión de contraseñas para usuarios o Revisión de los derechos de acceso de los usuarios o Control de acceso a las redes o Política de uso de los servicios de red o Autenticación de usuarios para conexiones externas. o Identificación de los equipos en las redes o Protección de los puertos de configuración y diagnóstico remoto o Separación en las redes o Control de conexión a las redes o Control de enrutamiento en la red o Computación móvil y trabajo remoto o Computación y comunicaciones móviles o Trabajo remoto o Controles criptográficos o Política sobre el uso de los controles criptográficos o Gestión de llaves COBIT 4.1 o AC4 Integridad y validez del procesamiento de datos o AC6 Autenticidad e integridad de las transacciones o PO2.3 Esquema de clasificación de datos o PO3.4 Estándares tecnológicos Página 26 de 53
o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o AI1.2 Reporte de análisis de riesgos o AI2.3 Control y auditabilidad de las aplicaciones o AI2.4 Seguridad y disponibilidad de las aplicaciones. o DS11.1 Requerimientos de la entidad para administración de datos o DS5.2 Plan de seguridad de TI o DS5.3 Administración de identidad o DS5.4 Administración de cuentas del usuario o DS5.7 Protección de la tecnología de seguridad o DS5.8 Administración de llaves criptográficas o DS5.10 Seguridad de la red o DS5.11 Intercambio de datos sensitivos o DS11.1 Requerimientos de la entidad para administración de datos o DS11.2 Acuerdos de almacenamiento y conservación o DS11.3 Sistema de administración de librerías de medios o DS11.4 Eliminación o DS11.5 Copias de seguridad and restoration o DS11.6 Requerimientos de seguridad para administración de datos ITIL v 3 o SO 4.5 Administración del acceso o SO 4.5.1 Objetivo/Meta/Propósito Página 27 de 53
o SO 4.5.2 Alcance o SO 4.5.3 Valor para el negocio o SO 4.5.4 Políticas/principios/conceptos básicos o SO 4.5.5 Procesos, actividades, métodos y técnicas o SO 4.5.6 Triggers, entradas, salidas, interfaces entre procesos o SO 4.5.7 Administración de Información o SO 4.5.8 Métricas o SO 4.5.9 Desafíos, factores críticos de éxito y riesgos o SO 5.2.3 Copia de respaldo y restauración o SO 5.3 Administración de mainframe o SO 5.4 Administración y soporte de servidores o SO 5.5 Administración de la red o SO 5.6 Almacenamiento y archivo o SO 5.7 Administración de bases de datos o SO 5.8 Administración de servicios de directorio o SO 5.10 Administración del middleware o SO 5.11 Administración de Internet y servicios web o SD 3.6.1 Diseño de las soluciones del servicio o SD 5.2 Administración de información y datos 3.3.5. Políticas de Seguridad de la Información asociadas a la disponibilidad del servicio MECI Página 28 de 53
o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección o 5.5.3 Comunicación interna o 5.6.2 Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o 7.2.3 Comunicación con el cliente o 7.3 Diseño y desarrollo o 7.3.4 Revisión del diseño y desarrollo Página 29 de 53
o 7.3.5 Verificación del diseño y desarrollo o 7.3.7 Control de los cambios del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o 7.5.3 Identificación y trazabilidad o 8.4 Análisis de datos ISO27001 o Planificación y aceptación del sistema o Gestión de la capacidad o Aspectos de seguridad de la información, de la gestión de la continuidad de la entidad. o Inclusión de la seguridad de la información en el proceso de gestión de la continuidad de la entidad. o Continuidad de la entidad y evaluación de riesgos o Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la información. o Estructura para la planificación de la continuidad de la entidad o Pruebas, mantenimiento y reevaluación de los planes de continuidad de la entidad COBIT 4.1 o DS3 Administrar el desempeño y la capacidad o DS3.1 Planeación del desempeño y la capacidad o DS3.2 Capacidad y desempeño actual Página 30 de 53
o DS3.3 Capacidad y desempeño futuros o DS3.4 Disponibilidad de recursos de TI o DS3.5 Monitoreo y reporte o DS4 Garantizar la continuidad del servicio o DS4.1 IT Marco de trabajo de continuidad o DS4.2 Planes de continuidad de TI o DS4.3 Recursos críticos de TI o DS4.4 Mantenimiento del plan de continuidad de TI o DS4.5 Pruebas del plan de continuidad de TI o DS4.6 Entrenamiento del plan de continuidad de TI o DS4.7 Distribución del plan de continuidad de TI o DS4.8 Recuperación y reanudación de los servicios de TI o DS4.9 Almacenamiento de respaldos fuera de las instalaciones o DS4.10 Revisión post-reanudación ITIL v 3 o SO 4.1 Administración de eventos o SD 4.3 Administración de la capacidad o SD 4.4 Administración de la disponibilidad o SD 4.4.5.2 Actividades de administración de la disponibilidad o SD 4.5 Administración de la continuidad del servicio o SD 4.5.5.1 Etapa 1 - Inicio Página 31 de 53
o SD 4.5.5.2 Etapa 2 Requerimientos y estrategia o SD 4.5.5.3 Etapa 3 implementación o SD 4.5.5.4 Etapa 4 - Operación continua o SO 5.2.3 Copia de respaldo y restauración o SD Apéndice K Contenido de un plan de recuperación de desastres 3.3.6. Políticas de Seguridad de la Información asociadas a la disponibilidad de la información MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 4.2.3 Control de documentos o 4.2.4 Control de los registros o 5 Responsabilidades de la dirección Página 32 de 53
o 5.6.2 Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad ISO27001 o Respaldo o Respaldo de la información COBIT 4.1 o DS4.9 Almacenamiento de respaldos fuera de las instalaciones o DS11.2 Acuerdos de almacenamiento y conservación o DS11.5 Respaldo y restauración o DS11.6 Requerimientos de seguridad para la administración de datos ITIL v 3 o SO 5.2.3 Copia de respaldo y restauración o SD 5.2 Administración de información y datos 3.3.7. Políticas de Seguridad de la Información asociadas a la protección del servicio MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información Página 33 de 53
o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección o 5.5.3 Comunicación interna o 5.6.2 Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o 7.2.3 Comunicación con el cliente o 7.3 Diseño y desarrollo o 7.3.4 Revisión del diseño y desarrollo o 7.3.5 Verificación del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o 7.5.3 Identificación y trazabilidad Página 34 de 53
o 8.4 Análisis de datos ISO27001 o Gestión de la seguridad de las redes o Controles de las redes o Seguridad de los servicios de la red o Monitoreo o Registro de auditorias o Monitoreo del uso del sistema o Protección de la información del registro o Registros del administrador y del operador o Registro de fallas o Sincronización de relojes o Control de acceso a las redes o Política de uso de los servicios de red o Autenticación de usuarios para conexiones externas. o Identificación de los equipos en las redes o Protección de los puertos de configuración y diagnóstico remoto o Separación en las redes o Control de conexión a las redes o Control de enrutamiento en la red o Control de acceso al sistema operativo Página 35 de 53
o Procedimientos de ingresos seguros o Identificación y autenticación de usuarios o Sistema de gestión de contraseñas o Uso de las utilidades del sistema o Tiempo de inactividad de la sesión o Limitación del tiempo de conexión o Control de acceso a las aplicaciones y a la información o Restricción de acceso a la información o Aislamiento de sistemas sensibles o Computación móvil y trabajo remoto o Computación y comunicaciones móviles o Trabajo remoto o Requisitos de seguridad de los sistemas de información o Análisis y especificación de los requisitos de seguridad o Seguridad en los procesos de desarrollo y soporte o Procedimientos de control de cambios o Revisión técnica de las aplicaciones después de los cambios en el sistema operativo o Restricción en los cambios a los paquetes de software o Fuga de información o Desarrollo de software contratado externamente o Gestión de la vulnerabilidad técnica Página 36 de 53
o Control de vulnerabilidades técnicas o Gestión de los incidentes y las mejoras en la seguridad de la información o Responsabilidades y procedimientos. o Aprendizaje debido a los incidentes de seguridad de la información o Recolección de evidencia COBIT 4.1 o PO4.11 Segregación de funciones o PO3.4 Estándares tecnológicos o PO6.1 Ambiente de políticas y de control o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o PO8.3 Estándares de desarrollo y de adquisición o AI1.2 Reporte de análisis de riesgos o AI2.3 Control y auditabilidad de las aplicaciones o AI2.4 Seguridad y disponibilidad de las aplicaciones. o AI2.5 Configuración e implantación de software aplicativo adquirido o AI2.6 Actualizaciones importantes en sistemas existentes o AI2.7 Desarrollo de software aplicativo o AI2.8 Aseguramiento de la Calidad del Software o AI2.9 Administración de los requerimientos de aplicaciones o AI2.10 Mantenimiento de software aplicativo o AI3.2 Protección y disponibilidad del recurso de infraestructura Página 37 de 53
o AI3.3 Mantenimiento de la Infraestructura o AI4.2 Transferencia de conocimiento a la gerencia de la entidad o AI4.3 Transferencia de conocimiento a usuarios finales o AI4.4 Transferencia de conocimiento al personal de operaciones y soporte o AI5.2 Administración de contratos con proveedores o AI6.1 Estándares y procedimientos para cambios o AI6.2 Evaluación de impacto, priorización y autorización o AI6.3 Cambios de emergencia o AI6.4 Seguimiento y reporte del estatus de cambio o AI6.5 Cierre y documentación del cambio o AI7.1 Entrenamiento o AI7.2 Plan de prueba o AI7.3 Plan de implantación o AI7.4 Ambiente de prueba o AI7.5 Conversión de sistema y datos o AI7.6 Prueba de cambios o AI7.7 Prueba final de aceptación o AI7.8 Transferencia a producción o AI7.9 Liberación de software o AI7.10 Distribución del sistema o AI7.11 Registro y rastreo de cambios Página 38 de 53
o AI7.12 Revisión posterior a la implantación o DS2.3 Administración de riesgos del proveedor o DS2.4 Monitoreo del desempeño del proveedor o DS 5.7 Protección de la tecnología de seguridad o DS5.10 Seguridad de la red o DS9 Administrar la configuración o DS9.1 Repositorio de configuración y línea base o DS9.2 Identificación y mantenimiento de elementos de configuración o DS9.3 Revisión de integridad de la configuración o ME1.2 Definición y recolección de datos de monitoreo o ME2.2 Revisiones de Auditoría o ME2.5 Aseguramiento del control interno o ME4.7 Aseguramiento independiente. o DS5.1 Administración de la seguridad de TI o DS5.2 Plan de seguridad de TI o DS5.3 Administración de identidad o DS5.4 Administración de cuentas del usuario o DS5.5 Pruebas, vigilancia y monitoreo de la seguridad o DS5.6 Definición de incidente de seguridad o DS5.7 Protección de la tecnología de seguridad o DS5.8 Administración de llaves criptográficas Página 39 de 53
o DS5.9 Prevención, detección y corrección de software malicioso o DS5.10 Seguridad de la red o DS8 Administrar la mesa de servicio y los incidentes o DS8.1 Mesa de Servicios o DS8.2 Registro de consultas de clientes o DS8.3 Escalamiento de incidentes o DS8.4 Cierre de incidentes o DS8.5 Análisis de tendencias o DS10 Administración de problemas o DS10.1 Identificación y clasificación de problemas o DS10.2 Rastreo y resolución de problemas o DS10.3 Cierre de problemas o DS10.4 Integración de las administraciones de cambios, configuración y problemas ITIL v 3 o SD 3.6.1 Diseñando soluciones y servicios o SO 4.5 Administración del acceso o SO 4.5.1 Objetivo/Meta/Propósito o SO 4.5.2 Alcance o SO 4.5.3 Valor para el negocio o SO 4.5.4 Políticas/principios/conceptos básicos o SO 4.5.5 Procesos, actividades, métodos y técnicas Página 40 de 53
o SO 4.5.6 Triggers, entradas, salidas, interfaces entre procesos o SO 4.5.7 Administración de Información o SO 4.5.8 Métricas o SO 4.5.9 Desafíos, factores críticos de éxito y riesgos o SO 5.2.3 Copia de respaldo y restauración o SO 5.3 Administración de mainframe o SO 5.4 Administración y soporte de servidores o SO 5.5 Administración de la red o SO 5.6 Almacenamiento y archivo o SO 5.7 Administración de bases de datos o SO 5.8 Administración de servicios de directorio o SO 5.10 Administración del middleware o SO 5.11 Administración de Internet y servicios web o SD 3.6.1 Diseño de las soluciones del servicio o SD 5.2 Administración de información y datos 3.3.8. Políticas de Seguridad de la Información asociadas al registro y auditoria MECI o 3.1 Autoevaluación o 3.2 Evaluación independiente o 3.3 Planes de mejoramiento NTC GP: 1000:2004 Página 41 de 53
o 7.3.4 Revisión del diseño y desarrollo o 7.3.5 Verificación del diseño y desarrollo o 7.5.2 Validación de los procesos de producción y de la prestación del servicio o 7.6 Control de los dispositivos de seguimiento y de medición o 8 Medición, análisis y mejora o 8.2.2 Auditoría interna del sistema de gestión de la calidad o 8.2 Seguimiento y medición de los procesos o 8.2.4 Seguimiento y medición del producto y/o servicio o 8.3 Control del producto y/o servicio no conforme ISO27001 o Monitoreo o Registro de auditorias o Monitoreo del uso del sistema o Protección de la información del registro o Registros del administrador y del operador o Registro de fallas o Sincronización de relojes COBIT 4.1 o AI2.3 Control y auditabilidad de las aplicaciones o DS5.5 Pruebas, vigilancia y monitoreo de la seguridad o DS5.7 Protección de la tecnología de seguridad Página 42 de 53
o ME1.2 Definición y recolección de datos de monitoreo o ME2.2 Revisiones de Auditoria o ME2.5 Aseguramiento del control interno o ME4.7 Aseguramiento independiente. ITIL v 3 o SO 5.1 Monitoreo y control o SD 8.5 Medición del diseño del servicio o CSI 4.1 Los siete pasos del proceso de mejoramiento del servicio o CSI 5.3 Benchmarking o CSI 4.1g Siete pasos para implementar acciones correctivas o CSI 8 Implementar mejoramiento continuo del servicio En la Tabla 1 y en la Tabla 2 se puede observar la relación existente entre varios estándares de seguridad de la información, las características comunes y los elementos en los que concuerdan o difieren. Este análisis permite tomar elementos de estándares ya implementados en las entidades del estado y alinearlos a las políticas de seguridad de la información planteadas. Tabla 1: Interrelación de estándares de seguridad de la información PROPÓSITO ISO 27000 ISM3 ISF-SOGP Brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). Prevenir y mitigar ataques, errores y accidentes que puedan comprometer la seguridad de los sistemas de información y los procesos organizacionales que los soportan. Optimizar el uso de los recursos (la información, las inversiones y gastos, las personas, el tiempo y la infraestructura). Promover buenas prácticas de seguridad de la información en las organizaciones. Ayudar a mejorar el nivel de seguridad para reducir los riesgos de información a un nivel aceptable. Página 43 de 53
PROPÓSITO COBIT ITIL AS NZ 4360 NTC GP 1000 MECI Conjunto de buenas prácticas para el gobierno, control y aseguramiento de TI cuyo propósito es asegurar efectividad en la implantación de TI de manera que minimice los riesgos tecnológicos y maximice los beneficios de las inversiones de TI. Promover un enfoque da calidad para lograr efectividad y eficiencia en la prestación de servicios de TI. Proporcionar guía para permitir que las empresas públicas, privadas o comunitarias, los grupos y los individuos logren entre otros: Una base más rigurosa, y confiable para la toma de decisiones y la planificación; mejor identificación de las oportunidades y las amenazas; Ganar valor a partir de la incertidumbre y la variabilidad; una gestión proactiva y no reactiva. Establecer los requisitos para la implementación de un sistema de gestión de la calidad aplicable a la rama ejecutiva del poder público y otras entidades prestadoras de servicios. Establecer las políticas, los métodos y mecanismos de prevención, control, evaluación y de mejoramiento permanente de la entidad pública, que le permiten el cumplimiento de sus objetivos institucionales y la finalidad social del estado en su conjunto. PRINCIPIOS ISO 27000 Adhesión a los principios de la OCDE para la seguridad de sistemas y redes: Toma de conciencia Responsabilidad Respuesta Valoración de riesgos Diseño e Implantación de seguridad Gestión de la seguridad Reevaluación Página 44 de 53
PRINCIPIOS ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 Plantea los siguientes objetivos básicos de seguridad: El uso de servicios y el acceso a repositorios está restringido a usuarios autorizados; La disponibilidad de los repositorios, servicios y canales excede las expectativas de los clientes; La confiabilidad y el desempeño de los servicios y canales excede las expectativas de los clientes; La existencia de repositorios y servicios está asegurada tanto como las expectativas de los clientes; Los repositorios que terminen su ciclo de vida son destruidos; Se asegura la precisión, importancia y consistencia de los repositorios; La fecha y el tiempo exacto se refleja en todos los registros; Se propicia que los usuarios sean responsables por los repositorios y mensajes que ellos crean o modifican; Se propicia que los usuarios sean responsables por el uso de servicios y aceptación de contratos y acuerdos; Define como principios los controles de seguridad para cada una de las seis secciones que componen el documento. Los principios de más alto nivel se resumen así: Compromiso demostrado de la alta dirección con la seguridad de la información. Especificación de responsabilidades por la seguridad de la información en los contratos del personal. El Comité directivo o su equivalente debería tener el control sobre la seguridad de la información. El marco de referencia de Cobit se basa en el siguiente principio: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural". Administración integrada de servicios Orientación hacia los clientes y usuarios de la tecnología Los principios se pueden inferir como: Identificación de amenazas y oportunidades Conciencia y cultura Responsabilidad en la toma de decisiones Comunicación Relación de costo beneficio Página 45 de 53
PRINCIPIOS NTC GP 1000 MECI Enfoque hacia el cliente Liderazgo Participación activa Enfoque basado en los procesos Enfoque del sistema para la gestión Mejora continua Enfoque basado en hechos para la toma de decisiones Relaciones mutuamente beneficiosas con proveedores de bienes o servicios Coordinación, cooperación y articulación Transparencia Principios de la función administrativa: Responsabilidad, transparencia, moralidad, igualdad, imparcialidad, eficiencia, eficacia, economía, celeridad, publicidad, preservación del medio ambiente. Los fundamentos que lo enmarcan: Autocontrol, autogestión y autorregulación. MODELO PHVA ISO 27000 ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI La norma adopta el modelo de procesos PHVA. Enfoque basado en procesos. Para cada proceso se identifica el nivel de la organización responsable del proceso, dueño del proceso, objetivo del proceso, métricas, entradas, salidas y actividades del proceso entre otros. Es aplicable el modelo PHVA. El enfoque está orientado a controles. Describe un conjunto de objetivos de control y controles para seguridad de información en 6 áreas claves. La estructura de procesos de TI definida en Cobit se enfoca en el modelo PHVA. Orientado a procesos y es aplicable el modelo PHVA. Enfoque orientado a procesos aplicando PHVA Enfoque orientado a procesos aplicando PHVA Enfoque de operación basado en procesos. NIVELES DE MADUREZ ISO 27000 No se especifican Página 46 de 53
ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI Niveles de madurez de capacidad: Indefinido; Definido; Administrado; Controlado; Optimizado. Niveles de madurez de cubrimiento: Nivel 1 inversión mínima con mínima reducción del riesgo; Nivel 2 inversión moderada con reducción adicional de riesgo; Nivel 3 inversión significativa con alta reducción del riesgo; Nivel 4 inversión alta con alta reducción del riesgo; Nivel 5 similar a la anterior más el uso obligatorio de métricas. No hay especificación. Para cada proceso de TI se define un modelo de madurez: 0 - Inexistente (No existe el proceso); 1 - Inicial (Proceso adhoc y desorganizado); 2 - Repetible (sigue un patrón regular); 3 - Definido (proceso documentado y comunicado); 4 - Administrado (proceso monitoreado y medido) ; 5 - Optimizado (las mejores prácticas seguidas y automatizadas); No se especifican No se especifican No se especifican No se especifican ESTABLECIMIENTO DEL SISTEMA DE GESTIÓN ISO 27000 4.2 Establecimiento y gestión del SGSI 4.2.1 Establecimiento del SGSI 4.2.2 Implementación y Operación del SGSI 4.2.3 Seguimiento y revisión del SGSI 4.2.4 Mantenimiento y mejora del SGSI ISM3 6.3.3 Establecer y mejorar el SGSI ISF-SOGP SM Administración de la seguridad COBIT La implementación de los procesos de TI de Cobit apoya el SGSI que se adopte. Los criterios de confidencialidad, integridad, disponibilidad y cumplimiento son impactados principalmente por los procesos: P02, P09, AI6, DS45, DS5, DS11, DS12 y ME3. ITIL Se direcciona en el libro Estrategia del Servicio AS NZ 4360 Se direcciona en el numeral 4 Establecimiento de una Gestión eficaz de riesgo. NTC GP 1000 4, Sistema de Gestión de la calidad 4.1 Requisitos Generales 8.2.3 Seguimiento y medición de los procesos 8.2.4 Seguimiento y medición del producto MECI 1.Subsistema de Control Estratégico 2. Subsistema de Control de Gestión. 2.1 Componente actividades de control GESTIÓN DE RIESGOS Página 47 de 53
GESTIÓN DE RIESGOS ISO 27000 4.2.1 Establecimiento del SGSI, numerales c) al j) c) Definir enfoque organizacional para la valoración de riesgos d) Identificar los riesgos e) Analizar y evaluar los riesgos f) Identificar y evaluar las opciones de tratamiento de los riesgos g) Seleccionar objetivos de control y controles para el tratamiento de riesgos h) Obtener Aprobación de la dirección sobre los riesgos residuales propuestos i) Obtener aprobación de la dirección para implementar y operar el SGSI j) Elaborar declaración de aplicabilidad ISM3 GP-01G Política de administración de riesgos GP-3 Diseño y evolución ISF-SOGP SM3.3 Gestionar Análisis de riesgos de información SM3.4 Metodologías de Análisis de riesgos de información CB5.3 Análisis de Riesgos de Información CI5.4 Análisis de Riesgos de Información NW4.4 Análisis de Riesgos de Información SD3.5 Análisis de riesgos de información COBIT P09 Administrar y evaluar los riesgos de TI. Otros procesos con impacto primario en la gestión de riesgos: P04,P06, P09, DS2, DS4, DS5, DS11, DS12, ME2, ME3, ME4 ITIL Se menciona en los 5 libros a través del ciclo de vida del servicio. Se focaliza en los riesgos relacionados con la disponibilidad del servicio y con la efectividad y eficiencia en la prestación del servicio. AS NZ 4360 Es el fundamento de la norma. Las etapas del proceso son: a) Comunicación y consulta b) Establecimiento del contexto c) Identificación de los riesgos d) Análisis de los riesgos e) Evaluación de los riesgos f) Tratamiento de los riesgos g) Monitoreo y Revisión NTC GP 1000 4.1 Requisitos generales g) identificar y diseñarlos puntos de control sobre losriesgos de mayor probabilidad de ocurrencia en las materias y funciones que le competen a cada entidad. 7.5.1 Control de la producción y de la prestación del servicio g) los riesgos de mayor probabilidad 8.5.3 Acción preventiva MECI 1.3 Componente Administración de Riesgos 1.3.1 Contexto estratégico 1.3.2 Identificación de riesgos 1.3.3 Análisis de Riesgos 1.3.4 Valoración del Riesgo 1.3.5 Políticas de administración del riesgo Página 48 de 53
REQUISITOS DE DOCUMENTACIÓN ISO 27000 4.3 Requisitos de documentación 4.3.1 Generalidades 4.3.2 Control de documentos 4.3.3 Control de Registros ISM3 GP-1 Administración de Documentos ISF-SOGP Se hace referencia a la documentación en las 6 secciones del documento. COBIT Cobit hace referencia a la documentación en los controles de los procesos, PC6 Políticas, Planes y Procedimientos, además de los procesos: AI4.4, AI6.5, AI7.9, DS13.1. ITIL Se menciona en varios lugares de los libros, como por ejemplo: SD Apéndice C Documentación de Procesos, SO 3.7 Documentación, ST 4.7 Administrar el conocimiento, SD Apéndice D Diseñando y planeando documentos y su contenido. AS NZ 4360 Es tratado en las siguientes secciones: 3.8 Registro del Proceso de Gestión del Riesgo. 4.3.3 Desarrollo y comunicación de la política de gestión de riesgo NTC GP 1000 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la calidad 4.2.3 Control de los documentos 4.2.4 Control de los registros MECI 2.1.5 Manual de procedimientos RESPONSABILIDAD Y COMPROMISO DE LA DIRECCIÓN ISO 27000 5.Responsabilidad de la dirección 5.1 Compromiso de la dirección ISM3 Explícitamente no se mencionan aspectos de responsabilidad y compromiso de la dirección para establecer y mantener el modelo, no obstante, uno de los factores críticos de éxito de implementación del modelo es la alineación de los objetivos de seguridad con los objetivos y necesidades de la entidad, lo cual permite suponer acuerdos y consenso entre la administración y TI para la implementación del Modelo. Cada proceso de seguridad tiene un dueño identificado. Numerales relacionados: 4.3 Objetivos de seguridad y 5. Requerimientos de certificación. ISF-SOGP SM1 Direccionamiento de Alto Nivel COBIT Los procesos con impacto primario en alineamiento estratégico y que implican compromiso de la dirección son: PO1, PO2, PO6 - PO10, AI1, AI2, DS1, ME3, ME4 ITIL Se direcciona en el libro Estrategia del Servicio. Página 49 de 53