Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
ISO 27001:2013
La información de entrada para la revisión por la dirección incluye:
1. Estado de las acciones de las revisiones anteriores. Calidad
2. Cambios en las cuestiones externas e internas pertinentes al SGSI. Calidad /RD
3. Información sobre el comportamiento de la seguridad de la Información. Sistemas / RD
4. No conformidades y acciones correctivas. Calidad 5. Seguimiento y resultado de las mediciones. Calidad / RD 6. Resultados de las auditorias. Auditores 7. Cumplimiento de los objetivos de la seguridad de la información. Calidad / RD
8. Comentarios provenientes de las partes interesadas. Todos
9. Resultados de la apreciación del riesgo y estado del plan de tratamientos de riesgos. RD / Calidad / Sistemas
10. Oportunidades de mejora. Todos 11. Revisión de la Política de Seguridad de la Información / Todos
Se declara que por ser la primera Revisión por la Dirección para el SGSI no hay acciones pendientes por valorar.
Cuestiones Externas: • Legales y reglamentarias
• El marco legal y regulatorio no presenta cambios o actualizaciones desde la fecha de implantación del SGSI al día de hoy. La Ley Federal de Protección de Datos Personales en Posesión de particulares que corresponde a la principal regulación legal para el alcance del SGSI no tiene cambios.
• Respecto a las demás regulaciones legales, se declaran sin cambios.
Cuestiones Internas : • Proveedores
• En cuánto a proveedores , se lleva a cabo la actualización de los contratos y la integración de clausulas complementarias en materia de seguridad de la Información.
• Tecnología • Por lo que respecta al software operativo, se instalo el
Windows 7 PRO a los equipos PC de Cobranza a efecto de garantizar las medidas de seguridad de la información pertinentes que con el sistema Linux no se garantizaba.
• Se adquirieron equipos PC nuevos para el proceso de Cobranza.
• Infraestructura • Se habilito el site en el sexto piso para operar con
mayores medidas de seguridad.
Cuestiones Internas : • Recursos Humanos
• Se integro el puesto de Analista de Seguridad de la Información a la estructura organizacional a efecto llevar a cabo funciones en material de seguridad de la información .
Con la implantación y puesta en marcha del SGSI se han visto atendidas e incrementadas las medidas en materia de seguridad de la información, así como generado regulaciones en diversos ámbitos, siendo entre otros:
• Mejoras en los controles de acceso físico y regulación a través de procedimientos, políticas y controles de dichos accesos.
• Mejoras y adecuaciones en los controles de acceso lógico. • Los respaldos de la información crítica se lleva a cabo de
forma planificada y sometida a una metodología. • Se han mejorado los controles sobre la asignación de
usuarios y privilegios para acceder a los programas a través de la red.
• Se lleva a cabo la actualización de los contratos con los proveedores críticos y la generación de adendums en materia de seguridad de la información.
• Se han identificado y reforzado los controles para los
accesos a las áreas seguras. • Se han implantado disposiciones para el intercambio de
información. • El inventario de activos de la información ha sido
asignado a un responsable de su administración y actualización.
• Existe un mejor control de los softwares y su actualización, así como de las pruebas a las que deben de ser sometidas.
• Se tienen las siguientes las siguientes no conformidades
(detectadas en auditoria interna):
• Acción: se lleva a cabo la recabación del contrato
Núm. Código No Conformidad Punto
Norma
1 AI2015001 Los requisitos y especificaciones
relacionados para el Software Master
Collection y su control con el
proveedor no se han podido
evidenciar.
6.1
• Se tienen las siguientes las siguientes no conformidades
(detectadas en auditoria interna):
• Acción: se llevarán a cabo respaldos en otros medios y de forma periodica.
2 AI2015002 Los respaldos realizados a la
información crítica no garantizan la
disponibilidad y la continuidad de la
seguridad de la información ya que
se hacen sobre el mismo servidor.
6.1
• Se tienen las siguientes las siguientes no conformidades
(detectadas en auditoria interna):
• Acción: Se generan controles para las PC (inventarios, bitácoras y responsables) que aseguren que se mantiene la seguridad de la información.
3 AI2015003 Los equipos PC dados de baja no
están sometidos a un control
adecuado, no hay un inventario, ni
bitácoras sobre su revisión y
eliminación de software e información
que pudieron haber contenido.
6.1
• Se tienen las siguientes las siguientes no conformidades
(detectadas en auditoria interna):
• Acción: se dotara de los recursos financieros para adquirir las liciencias.
4 AI2015004 Las licencias actuales para el
antivirus (Esset 32) son insuficientes
para cubrir el total de equipos que
están expuestos a riesgos de virus.
Faltan 5 licencias
6.1
• Se tienen las siguientes las siguientes no conformidades
(detectadas en auditoria interna):
• Acción: Se esta generando una aplicación (Sistema de tickets),la cual se encuentra en etapa final y de implementación para el registro, control, seguimiento y cierre de los incidentes.
5 AI2015005 Los incidentes que se presentan en la
organización en materia de seguridad
de la información, no son registrados,
ni el usuario tiene acceso a un
mecanismo para reportar incidentes
que permitan su análisis y
tratamiento.
6.1
• Se tienen las siguientes las siguientes no conformidades
(detectadas en auditoria interna):
• Acción: Se lleva a cabo la investigación de antecedentes y se conserva la investigación de los antecedentes en expediente. Se responsabiliza a Rec. Humanos el llevar a cabo la investigación de antecedentes.
6 AI2015006 No hay evidencia de la investigación
de antecedentes del personal
considerado relevante para el SGSI
(personal de sistemas)
6.1
• Se tienen las siguientes las siguientes no conformidades
(detectadas en auditoria interna):
• Acción: Se hacen adecuaciones (firewall) a fin de bloquear accesos a internet no autorizados.
7 AI2015007 Se detecta en el equipo de varios
usuarios (gestores de cobranza),
privilegios para acceder a internet
libremente sin tener facultades para
ello.
6.1
• Se llevan a cabo mediciones sobre los siguientes puntos:
• Incidentes en materia de seguridad de la información ( en
fase de implantación ). • Apreciación del riesgo ( se indica en el punto
correspondiente de esta presentación). • Objetivos de la Seguridad de la Información ( se indica en
el punto correspondiente). • Tratamiento de los riesgos ( se indica en el punto
correspondiente) .
• Reporte de Incidentes:
• Incidentes relevantes: 2 ( en el periodo junio- octubre)
EMPRESA CERTIFICADA BAJO
LA NORMA ISO 9001:2008
La auditoria interna al SGSI se llevo a cabo el 21 de octubre. Objeto de la Auditoria. Evaluar si el Sistema de Gestión de Seguridad de la información (SGSI) de Grupo Asís Corporativo S.A. de C.V. cumple con los requisitos de la propia organización en materia de seguridad de la información de acuerdo a los requisitos de la norma internacional ISO-IEC 27001:2013 y si se ha implementado y se mantiene de manera eficaz.
Resumen de la Auditoria: • 7 no conformidades ( ya comentadas con anterioridad en el
punto 2 de esta presentación, todas con estatus de abiertas). • 33 observaciones en tratamiento.
• 17 para sistemas • 5 para Dirección • 4 para Cobranza • 2 para Calidad • 2 para Recursos Materiales • 3 para Recursos Humanos
•
Excelente 86 al 100%
Bueno 81 a 85%
Min. Esperado 80%
Malo menos DE 80%
Excelente 86 al 100%
Bueno 81 a 85%
Min. Esperado 80%
Malo menos DE 80%
Excelente 86 al 100%
Bueno 81 a 85%
Min. Esperado 80%
Malo menos DE 80%
Vulneración= # de
datos personales
alterados/ total de
bases de datos
personales
Mensual
Que el 100%
de las bases
de datos se
mantenga
integra
EscalaQue mideFuente de
Medición
Proceso/
Area PeriodicidadFórmula Metas
Responsable
del Reporte
de
MEDICIÓN
Matriz de Indicadores 2015
Objetivos de Seguridad de la Información
Objetivo de
Seguridad de
la Información
Indicadores de Éxito
El ataque o la
vulneración a la
confidencialidad
de las bases de
datos
Sistemas
1.-
Ma
nte
ne
r la
c
on
fid
en
cia
lid
ad
, in
teg
rid
ad
y
dis
po
nib
ilid
ad
de
la
in
form
ac
ión
pro
po
rcio
na
da
po
r lo
s c
lie
nte
s, c
on
sis
ten
te
en
da
tos
pe
rso
na
les
de
te
rce
ros
y
q
ue
se
uti
liza
n p
ara
la
pre
sta
ció
n d
el s
erv
icio
de
Sistemas
Sistemas
Vulneración= # de
datos personales
no disponible/ total
de bases de datos
personales
Vulneración de la
disponibilidad de los
datos
Que el 100%
de las bases
de datos se
mantenga
disponible
Mensual
Co
bra
nza
Co
bra
nza
Vulneración de la
integridad de los datos
El ataque o la
vulneración a la
integridad de las
bases de datos
Reporte de
Gestión de
Incidencias
El ataque o la
vulneración a la
disponibilidad de
las bases de
datos personales
de terceros
Reporte de
Gestión de
Incidencias
Que el 100%
de las bases
de datos se
mantenga
confidencial
Mensual
Reporte de
Gestión de
Incidencias
Vulneración de la
confidencialidad de
datosCo
bra
nza
Vulneración= # de
datos personales
sustraidos/ total de
bases de datos
personales
Novie
mbre
N/A N/A N/A N/A N/A N/A N/A 100% 100% 100%
100%
99%
Octu
bre
95%N/A N/A
100% 100%
96%
N/A
N/A
Enero
Febre
ro
Marz
o
Abril
Mayo
Junio
Septiem
bre
Agosto
RESULTADOS 2015
Dic
iem
bre
N/A N/A N/A N/A N/A N/A
Julio
N/AN/AN/A N/A
Objetivo de Seguridad de la Información Indicador
1.- Mantener la confidencialidad, integridad y disponibilidad de la
información proporcionada por los clientes, consistente en datos personales
de terceros y que se utilizan para la prestación del servicio de Contact
Center (Cobranza).
Vulneración de la confidencialidad de datos
Meta
Que el 100% de las bases de datos se mantenga confidencial
PLAN DE ACCION
QUE (Acciones o actividades)
Quien(es) Inicia Termina Recursos Costos
Fortalecer el control sobre los accesos lógicos (usuario y contraseña) de los usuarios mediante la generación de una
política o procedimiento
Sistemas / Dirección
Marzo Julio Logística y tiempo para la
generación de políticas
N/A
Generar formato y responsiva para la asignación de claves de
usuario y recabación de firma por el usuario
Sistemas / Rec.
Humanos
Marzo Agosto Logística y tiempo
para la recabación de firmas
N/A
Generar políticas de encriptamiento de la información y
utilización de herramienta para encriptamiento
Sistemas /
Cobranza
Marzo Septiembre Logística y tiempo
para la generación de
políticas. El
software de encriptamiento se buscara que sea
libre para no generar costos
N/A
Plan de Acción Indicador 2
Objetivo de Seguridad de la Información Indicador
1.- Mantener la confidencialidad, integridad y disponibilidad de la
información proporcionada por los clientes, consistente en datos personales
de terceros y que se utilizan para la prestación del servicio de Contact
Center (Cobranza).
Vulneración de la integridad de datos
Meta
Que el 100% de las bases de datos se mantenga integra
PLAN DE ACCION
QUE (Acciones o actividades)
Quien(es) Inicia Termina Recursos Costos
Fortalecer el control sobre los accesos lógicos (usuario y contraseña) de los usuarios mediante la generación de una
política o procedimiento
Sistemas / Dirección
Marzo Julio Logística y tiempo para la generación de
políticas
N/A
Generar formato y responsiva para la asignación de claves de usuario y recabación de firma por el usuario
Sistemas / Rec. Humanos
Marzo Agosto Logística y tiempo para la recabación
de firmas
N/A
Generar políticas de encriptamiento de la información y utilización de herramienta para encriptamiento
Sistemas / Cobranza
Marzo Septiembre Logística y tiempo para la
generación de políticas. El software de
encriptamiento se buscara que sea
libre para no
generar costos
N/A
Plan de Acción Indicador 3
Objetivo de Seguridad de la Información Indicador
1.- Mantener la confidencialidad, integridad y disponibilidad de la
información proporcionada por los clientes, consistente en datos personales
de terceros y que se utilizan para la prestación del servicio de Contact
Center (Cobranza).
Vulneración de la disponibilidad de datos
Meta
Que el 100% de las bases de datos se mantenga disponible
PLAN DE ACCION
QUE (Acciones o actividades)
Quien(es) Inicia Termina Recursos Costos
Mejorar los mecanismos para el reporte de incidentes (Sistema de tickets)
Sistemas Marzo Noviembre Logística y tiempo para el desarrollo de la aplicación
N/A
Llevar a cabo pruebas a los softwares críticos en caso de alguna actualización
Sistemas Marzo Noviembre Tiempo, recurso humano
N/A
Llevar a cabo los respaldos a la información de forma programada y en medios que garanticen su recuperación
inmediata
Sistemas Marzo Noviembre Tiempo, espacio en servidores
N/A
Clientes: Los clientes han expresado su interés por la seguridad de la información de las bases de datos que se manejan en la organización. Proveedores: Por lo que respecta a los proveedores, se llevan a cabo negociaciones a efecto de que los contratos existentes se les agreguen disposiciones en materia de seguridad de la información. Asimismo, se les ha informado sobre la consulta de las políticas de seguridad de información y su disposición en la página web. Empleados: Los empleados han comentado la necesidad de estar más ampliamente informados sobre el SGSI y las disposiciones que deben de respetar. Las demás partes no han expresado comentarios
La apreciación del riesgo, se llevo a cabo en Diciembre de 2014. Los resultados de la apreciación y el estatus de los planes de tratamientos de riesgos se presentan en la matriz de tratamientos de riesgos anexa.
• Terminar de dar tratamiento a los riesgos identificados en la apreciación del riesgo.
• Cerrar las no conformidades activas de la auditoria interna.
• Apuntalar el Sistema de Tickets para el reporte y gestión de incidentes.
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Grupo Asis Corporativo S.A. de C.V., somos una organización dedicada a la Gestión de Comunicaciones personales (Contact Center) para el servicio de recuperación de adeudos y estamos orientados a cumplir y superar los requisitos en materia de seguridad de información a través de la mejora continua de los procesos y activos, cumplimiento de objetivos de seguridad de la información y apegándonos a la normatividad legal aplicable. V-2 POL GSI 002 Julio 2015