PDF de programación - Modelado de Procesos de Seguridad de la Información basado en el estándar O-ISM3

Universidad de Buenos Aires

Facultades de Ciencias Económicas,

Cs. Exactas y Naturales e Ingeniería



Carrera de Especialización en Seguridad Informática



Trabajo final de Especialización



Modelado de Procesos de Seguridad de la Información basado en el

estándar O-ISM3



Autor:

Oscar Fabián Cardoso Caicedo



Tutor del Trabajo final:



Dr. Juan Pedro Hecht



Año de presentación

2014

Cohorte

2011







Declaración Jurada de origen de los contenidos






Por medio de la presente, el autor manifiesta conocer y aceptar el
Reglamento de Trabajos Finales vigente y se hace responsable que la totalidad
de los contenidos del presente documento son originales y de su creación
exclusiva, o bien pertenecen a terceros u otras fuentes, que han sido
adecuadamente referenciados y cuya inclusión no infringe la legislación
Nacional e Internacional de Propiedad Intelectual.





_________________________

Oscar Fabián Cardoso Caicedo
CC. 14.135.538 Ibagué, Colombia



























2



Resumen



Las áreas de seguridad de la información de las empresas realizan
actividades en pro de la protección de sus activos de información, las cuales
en muchos casos no disponen de una estructura de procesos asociada,
impidiendo de cierta forma tomar las mejores decisiones posibles en beneficio
de los objetivos del área y a su vez de la empresa.


La temática propuesta pretende abordar esta necesidad, utilizando como
guía estándar el Modelo de Madurez de la Gestión de la Seguridad de la
Información O-ISM31, donde se establecen procesos por niveles operacionales,
tácticos y estratégicos, que permite constituir una visión mucho más global
sobre las necesidades reales del área de Seguridad de la información,
relacionada directamente al cumplimiento de los objetivos del negocio.


La metodología utilizada para el desarrollo del trabajo será de forma
descriptiva, detallando los procesos para cada uno de los niveles, así como las
posibles métricas asociadas, la relación existente con otros frameworks o
estándares; logrando de esta forma, establecer un modelo de madurez de
procesos base que servirá de input para la gestión del área.





Palabras Clave: O-ISM3, activo de información, procesos, objetivos de
negocio, métricas, modelo de madurez, Matriz RACI






[1] Open Information Security Management Maturity Model (O-ISM3)




3



Tabla de contenido


Nómina de Términos y abreviaturas .................................................................................. 7

I. Cuerpo Introductorio ..................................................................................................... 9

1.

Introducción .................................................................................................................... 9

2. Objetivos ....................................................................................................................... 10

3. Alcance ......................................................................................................................... 11

II. Cuerpo Principal .......................................................................................................... 12

1. Estándar ISM3 ............................................................................................................. 12

1.1 Modelo ISM3 ................................................................................................................ 13

2. Niveles de Procesos ISM3 ......................................................................................... 16

2.1 Template para definición de los procesos ISM3 ...................................................... 18

2.2 Roles y Responsabilidades del proceso ................................................................... 19

2.3 Descripción de procesos ISM3 ................................................................................... 20

2.3.1 Procesos Genéricos .................................................................................................. 20

2.3.1.1 GP-1 Gestión del Conocimiento .......................................................................... 20

2.3.1.2. GP-2 Auditoria del SGSI ............................................................................... 22

2.3.1.2 GP-3 Diseño y Evolución del sistema de Gestión de la Seguridad (SGSI) .. 24

2.3.2 Procesos de Gestión Estratégica .......................................................................... 25

2.3.2.1 SSP-1 Reporte a los Stakeholders .................................................................... 26

2.3.2.2 SSP- 2 Coordinación ............................................................................................ 27

2.3.2.3 SSP- 4 Segregación de Funciones ................................................................... 28

2.3.2.4 SSP- 6 Asignación de Recursos para la Seguridad de la información ......... 30

2.3.3 Procesos de Gestión Táctica................................................................................... 31

2.3.3.1 TSP-1 Reporte a la Gestión Estratégica ............................................................ 31

2.3.3.2 TSP-2 Administración de Recursos Asignados ............................................... 32



4



2.3.3.3 TSP-3 Definición de metas y objetivos de Seguridad ...................................... 34

2.3.3.4 TSP-4 Gestión de Niveles de Servicio ............................................................... 35

2.3.3.5 TSP-6 Arquitectura de Seguridad ..................................................................... 36

2.3.3.6

TSP-13 Gestión de Seguros .......................................................................... 37

2.3.3.7 TSP-7 Revisión de Antecedentes ...................................................................... 38

2.3.3.8 TSP-8 Gestión de Personal de Seguridad ......................................................... 39

2.3.3.9 TSP-9 Entrenamiento del Personal de Seguridad ............................................ 40

2.3.3.10 TSP-10 Procesos Disciplinarios ........................................................................ 42

2.3.3.11 TSP-11 Concientización en Seguridad ............................................................ 42

2.3.3.12 TSP-14 Información de las Operaciones ......................................................... 44

2.3.4 Procesos de Gestión Operacional .......................................................................... 45

2.3.4.1 OSP-1 Reporte de la Gestión Operacional de seguridad................................ 45

2.3.4.2 OSP-2 Adquisición en Seguridad ........................................................................ 46

2.3.4.3 OSP-3 Gestión de inventario de activos de información ................................. 47

2.3.4.4 OSP-4 Seguridad en la Gestión de Cambios .................................................... 48

2.3.4.5 OSP-5 Actualizaciones de Seguridad ................................................................. 50

2.3.4.6 OSP-6 Depuración y/o Destrucción de Activos de Información .................... 51

2.3.4.7 OSP-7 Securitización de Activos ......................................................................... 52

2.3.4.8 OSP-8 Seguridad en el ciclo de vida de desarrollo de Software .................... 54

2.3.4.9 OSP-9 Medidas de Seguridad de control de Cambios .................................... 56

2.3.4.10 OSP-10 Gestión de Backup .............................................................................. 57

2.3.4.11 OSP-11 Control de Acceso ................................................................................ 58

2.3.4.12 OSP-12 Registro de Usuarios ........................................................................... 60

2.3.4.13 OSP-14 Protección de ambientes físicos ........................................................ 61

2.3.4.14 OSP-15 Gestión de continuidad de operaciones............................................ 62

2.3.4.15 OSP-16 Gestión de Trafico de Redes .............................................................. 64



5



2.3.4.16 OSP-17 Gestión de protección contra código malicioso ............................... 66

2.3.4.17 OSP-19 Auditoría Técnica Interna ................................................................... 67

2.3.4.18 OSP-20 Emulación de Incidentes ..................................................................... 69

2.3.4.19 OSP-21 Calidad de Información y evaluación de Cumplimiento ................. 70

2.3.4.20 OSP-22 Monitoreo de Alertas ............................................................................ 71

2.3.4.21 OSP-23 Detección y Análisis de eventos internos ......................................... 73

2.3.4.22 OSP-24 Gestión de incidentes .......................................................................... 75

2.3.4.23 OSP-25 Informática forense............................................................................... 76

2.3.4.24 OSP-26 Gestión de infraestructura critica de seguridad .............................. 77

2.3.4.25 OSP-27 Gestión de archivo ............................................................................... 79

2.3.4.26 OSP-28 Detección y Análisis de eventos externos ........................................ 80

3. Especificación de Métricas ........................................................................................ 82

3.1 Tipos de métricas ........................................................................................................ 82

3.1.1 Métricas de implementación ...................................