Académique Documents
Professionnel Documents
Culture Documents
MASTER
RESUMEN EJECUTIVO
PLAN DE IMPLEMENTACIN
DEL SGSI BASADO EN LA
NORMA ISO 27001:2013
ROBIN J. SALCEDO B.
ISAGXXX
19 diciembre 2014
V1.0
ISAGXXX
RESUMEN EJECUTIVO
MEMORIA
TFM PLAN DE IMPLEMENTACIN
DEL SGSI
Pgina 1 de 42
Ttulo
documento
del
Aprobacin
Documentos
relacionados
Lista
Distribucin
de
REVISIN HISTRICA
Ver.
Tipo
Fecha
Revisin y Aprobacin
1.0
Final
Nov 24 de
2014
Comit de Seguridad
Observaciones
Pgina 2 de 42
Pgina 3 de 42
Abstract
The final work of the master, describes the objectives, scope, the expectation of the ISMS
and methodology associated with the definition, planning, identification and creation of
model information security for ISAGXXX organization based on the ISO 27001: 2013 ;
starting from the understanding of the organization from the perspective of critical
processes of the operation of energy, implementation of diagnostic information security,
identification of key vulnerabilities and threats applying a risk management methodology
for risk management information security, planning of risk treatment plans and generation
of document management system framework of information security for ISAGXXX.
The project involves setting the foundation for implementing an ISMS (Information security
management system). According to the following project phases:
normative documentation on best practices in information security.
Definition of the current situation and the objectives of the ISMS.
Risk Analysis.
o Identification and valuation of corporate assets as a starting point to a risk
analysis.
o Identification of threats, evaluation and classification of the same
Evaluation of the level of compliance with the ISO / IEC 27002: 2005 in the organization.
Proposed projects face to achieve adequate safety management.
Documentary Outline management system information security.
Defining Policies, Procedures and guide information security.
TFM MISTIC Confidencial
Pgina 4 de 42
TABLA DE CONTENIDO
1.
3.
FASE 1: SITUACIN ACTUAL, CONTEXTO, OBJETIVOS Y ANALISIS
DIFERENCIAL ................................................................................................................. 17
3.1
3.2
ANEXOS ................................................................................................................. 41
10
REFERENCIAS ....................................................................................................... 42
TFM MISTIC Confidencial
Pgina 5 de 42
Pgina 6 de 42
Impresa
Almacenada electrnicamente
Transmitida por medios electrnicos
Mostrada en videos
Suministrada en una conversacin
Conocimiento de las personas
Pgina 7 de 42
Pgina 8 de 42
Pgina 9 de 42
Pgina 10 de 42
Pgina 11 de 42
Pgina 12 de 42
Pgina 13 de 42
Pgina 14 de 42
Situacin Actual
Entregables del
Proyecto
Gestin
Documental SGSI
Auditoria y
Seguimiento del
SGSI
Gestin de
Riesgos
Proyectos
Seguridad
PTR
Pgina 15 de 42
Pgina 16 de 42
Misin DE ISAGXXX.
ISAGXXX desarrolla la capacidad de generacin, produce y comercializa energa con el
propsito de satisfacer las necesidades de sus clientes y crear valor empresarial. La
gestin se desarrolla con tica, enfoque al cliente, sentido econmico y responsabilidad
social y ambiental.
Pgina 17 de 42
Propsito superior
Valores
Actitudes que definen la forma de actuar de la Organizacin y la forma en que quiere ser
percibida por el entorno.
tica: valor fundamental. Para ISAGXXX la tica es hacer las cosas correctamente y de
buena fe; ser coherente entre lo que se piensa, se dice y se hace; y privilegiar el bien
comn sobre el particular, contribuyendo a la sostenibilidad de la sociedad y del medio en
que sta se desarrolla.
Los valores con los que la organizacin se relaciona con el entorno son:
Responsabilidad social y ambiental
Enfoque al cliente
Sentido econmico
Los valores que se proyectan en la relacin con las dems personas y para el crecimiento
individual son:
Respeto a las personas
Trabajo en equipo
Autocontrol
Disposicin al cambio
Humildad
Mapa Orgnico de Procesos de la organizacin ISAGXXX.
A continuacin se describe el diagrama de proceso de la organizacin:
Pgina 18 de 42
Gestin de la planeacin de la
disponibilidad, operacin y
cumplimiento ambiental obligatorio y
voluntario
Optimizacin de competencias,
recursos, procesos y capacidades de
generacin de acuerdo con las
necesidades
Ma
Ma
Ma
Ma
Ma
Ma
9. Programacin de actividades
y recursos para el mantenimiento
correctivo
C
Ma
GI
15. Gestionar y administrar la informacin
del portal del proceso de PDE
Ma
GI
P PE
Ma
1. Evaluacin de la condicin de
equipos y obras de generacin
NC
Ma
2. Anlisis de fallas
I
3. Participacin en la etapa
de pruebas preoperativas
3. Planeacin de modernizacin
sistemas, equipos y obras
Ma
PrGM
PA
6. Evaluacin de modernizacin
sistemas, equipos y obras.
PS
I
4. Programacin de modernizacin
sistemas, equipos y obras.
I
C
Ma
5. Ejecucin de modernizacin
sistemas, equipos y obras
Ma
3. Operacin de centrales
8. Gestin de la normatividad para la
operacin
I
C
2. Programacin de la operacin
1. Planeacin de la operacin
4. Prestacin de servicios
complementarios de red
C
6. Evaluacin de la gestin operativa
I
CT
1. Gestin de la normatividad
ambiental
A
C
4. Programacin de la gestin
ambiental
A
C
5. Anlisis post-operativo
SG
GCF
Incorporacin de nuevos
centros productivos
Se encuentra en el SGC
Gestin de la Operacin
Se encuentra en el SGA
Gestin Ambiental
Alto impacto en
el SG S&SO
Pgina 19 de 42
Pgina 20 de 42
1. Establecer
Sistema (Plan)
5. Auditora
de Certificacin
2. Implementar
y Operar (Do)
SISTEMA DE GESTIN
DE SEGURIDAD DE LA
INFORMACIN
3. Monitorear y
Revisar (Check)
4.Mantener
y Mejorar (Act)
Pgina 21 de 42
Pgina 22 de 42
5. Auditora de Certificacin
Un auditor de una Entidad Certificadora autorizada realiza una revisin para detectar el
grado de apego a la norma ISO/IEC 27001:2013. Basado en el dictamen de sta, ROBIN
SALCEDO coordinar y apoyar a la empresa en la ejecucin de las actividades
necesarias para cerrar las brechas detectadas.
Exclusiones:
o
Con base en el Marco de referencia para implantacin del estndar descrito en la seccin
anterior y en la situacin actual de ISAGXXX en torno a la seguridad, las acciones a
realizar durante el proyecto son las siguientes:
Pgina 23 de 42
Pgina 24 de 42
Pgina 25 de 42
PUNTAJE DOMINIO
DOMINIO
4. Contexto de la Organizacin
5. Liderazgo
6. Planificacin
7. Soporte
8. Operacin
9. Evaluacin del desempeo
10. Mejora
PROMEDIO
Porcentaje
2,75
3,00
3,00
2,00
3,00
3,00
3,00
2,82
Calificacin
Repetible
Repetible
Definido
Repetible
Definido
Definido
Repetible
Repetible
Pgina 26 de 42
Porcentaje
Calificacin
3,00
Definido
la
1,57
Inicial
3,17
Definido
8.
Gestin
de
Activos
2,60
Repetible
9.
Control
de
Acceso
2,43
Repetible
Entorno
1,50
2,80
Inicial
Repetible
Operaciones
2,43
Repetible
6. Organizacin
Informacin
10. Criptografa
11. Seguridad
12.
Seguridad
de
la
Seguridad
Fsica
en
las
del
de
Pgina 27 de 42
13.
Seguridad
de
las
Comunicaciones
2,29
Repetible
2,31
Repetible
1,80
Inicial
1,14
Inicial
4,00
Gestionado
18.
2,38
Repetible
2,39
Repetible
.
15. Relacin con los Proveedores
Cumplimiento
PROMEDIO
Pgina 28 de 42
Pgina 29 de 42
Presidente
Director Jurdico
Director de
Seguridad de la
Informacin
Director de
Control Interno
Vicepresidente
de Mercadeo y
Soporte Cliente
Coordinador de
Seguridad de la
Informacin
Analista de
Seguridad de la
Informacin
Vicepresidente
de Operaciones
y Tecnologa
Analista de
Seguridad de la
Informacin
Director de
mercadeo y
promocin
Director de
Soporte al
Cliente
Director de
Tecnologa
Director de
Operaciones
Director
Financiero y
Administrativo
Presidente
Director de Operaciones
Director de Tecnologa
Director Jurdico
Director de Mercadeo
Pgina 30 de 42
Pgina 31 de 42
Pgina 32 de 42
Pgina 33 de 42
Pgina 34 de 42
Pgina 35 de 42
Pgina 36 de 42
Pgina 37 de 42
1. Iniciativas Estratgicas
del plan de seguridad
Informtica
Aplicar los proyectos de Seguridad Informtica identificados en el PESI teniendo en cuenta las actividades y planes de accin focalizados a las
directrices de Gobierno, polticas, procedimientos, estndares, roles y responsabilidades necesarias para desarrollar el Plan de Seguridad
Informtica para XM
XM 2014-2019
2. Iniciativas de
Seguridad en
Aplicaciones
3. Iniciativas Programa
de Prevencin y Fuga de
Informacin
4. Iniciativas de
Seguridad Informtica
para Dispositivos
Mviles y Cloud
Computing
Implementar proyecto de Cdigo Seguro, metodologas de desarrollo de Software Seguro, Anlisis Esttico de Cdigo, criterios de
aseguramiento en aplicaciones, pruebas de seguridad en aplicaciones WEB, tecnologas de cifrado en aplicaciones, gestin de la informacin en
las aplicaciones e Iniciativas de Programa de Prevencin y Fuga de Informacin
Desarrollar y Gestionar el programa de prevencin y fuga de informacin para la organizacin, implementando tecnologas y soluciones de
seguridad informtica como DLP [Data Loss Preventions], fomentando la sensibilizacin, gestin y proteccin de los datos, privacidad de la
informacin y soporte tecnolgico de las soluciones tecnolgicas para el Plan de Seguridad Informtica para XM.
Implementar directrices de seguridad para integrar las tecnologas mviles a las estrategias de seguridad tecnolgica que tiene actualmente
XM, gestin de roles, usuarios y manejo de aplicaciones en el dispositivo mvil, aplicaciones de polticas de seguridad en dispositivos mviles,
integracin de dominio y directorio activo, gestin de identidad para soluciones mviles [IDM] y otras soluciones tecnolgicas aplicables para la
gestin de tecnologas mviles en la organizacin XM.
Identificar procedimientos tecnolgicos para el manejo de informacin en la NUBE, polticas de seguridad en la Nube, implementacin de
metodologas OWASP (Open Source Web Aplications Security Project) los cuales hacen parte del Plan de Seguridad Informtica para XM.
Pgina 38 de 42
7 AUDITORIA DE CUMPLIMIENTO
Para la puesta en prctica del Sistema de Gestin de Seguridad de la Informacin, se han
definido el informe de la primera auditoria interna de seguimiento del SGSI, para
determinar el nivel de avance en la implementacin de proyectos, controles y planes de
accin al corto plazo, en la gestin del SGSI.
Nota: para el desarrollo del TFM del master, se realiza una auditoria interna al SGSI de la
organizacin ISAGXX, para evaluar el nivel de cumplimiento de los controles
implementados en los planes de tratamiento de riesgos, iniciativas de seguridad de la
informacin, hasta la fecha actual del proceso de implementacin y validar le evolucin de
la madurez de la organizacin.
Metodologa y Descripcin del Proceso
Ver Anexos: Fase5_AuditoriaCumplimiento
Pgina 39 de 42
Pgina 40 de 42
9 ANEXOS
Carpeta del Proyecto: Salcedo_rsalcedob_Fase_6_20-12-2014_12_15_57
Pgina 41 de 42
10 REFERENCIAS
International Standards Organization, ISO/IEC 27001: Tecnologa de la
Informacin Tcnicas de Seguridad Sistemas de Gestin de la seguridad
de la Informacin (SGSI) Requisitos.
International Standards Organization, ISO/IEC 27002: Tecnologa de la
Informacin Tcnicas de Seguridad Cdigo de prctica para la gestin de
la seguridad de la informacin.
International Standards Organization, ISO/IEC 27005: Tecnologa de la
Informacin Tcnicas de Seguridad Gestin del Riesgo en la seguridad de
la informacin.
ISACA: Gobierno de seguridad de la Informacin. CISM.
ISC2: Information Security Governance. CISSP
IT Governance Institute, COBIT 4.1: Control Objectives For Information And
Related Technology
International Organization for Standardisation, ISO/IEC GUIDE 73:2002:
Information Technology Risk Management Vocabulary Guidelines for use in
standards
Computer Security Division of the National Institute of Standards and
Technology, NIST 800-30: Risk Management Guide for Information Technology
Systems
Computer Security Division of the National Institute of Standards and
Technology, NIST 800-14: Generally Accepted Principles and Practices for
Securing Information Technology Systems
Computer Security Division of the National Institute of Standards and
Technology, NIST 800-34: Contingency Planning Guide For Information
Technology Systems
E-Commerce Security, Securing de Network Perimeter, Deloitte & Touche,
Information Systems Audit and Control Foundation, ISACF
Referencias WEB
Pgina 42 de 42