Your SlideShare is downloading. ×
0
Seguridad & COBIT<br />Equipo Nº 11 <br />UNFV – FIIS - 2011<br />
PLANIFICAR Y ORGANIZAR<br />
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede aportar de la...
P01 Definir un Plan Estratégico de TI<br />
P02. Definir la Arquitectura de la Información<br />
P03. Determinar la Dirección Tecnológica<br />
P04. Definir los Procesos, Organización y Relaciones de TI<br />
P05. Administrar la Inversión en TI<br />
P06. Comunicar las Aspiraciones y la Dirección de la Gerencia<br />
P07. Administrar los Recursos Humanos de TI<br />
P08. Administrar la Calidad<br />
P09. Evaluar y Administrar los Riesgos de TI<br />
P10. Administrar Proyectos<br />
Dominio: Adquirir e Implementar<br />AI1. Identificar soluciones<br /> automatizadas<br />AI5. Adquirir <br />recursos de ...
Dominio: Adquirir e Implementar<br />Para realizar las estrategias TI, se deben desarrollar o adquirir  las soluciones,  a...
AI1. Identificar soluciones automatizadas<br />Para que?: <br />Actividades: <br />AI1.1 Definición y Mantenimiento de los...
AI2. Adquirir y mantener software aplicativo<br />Para que?: <br />Actividades: <br />AI2.1 Diseño de Alto Nivel.<br />AI2...
AI2. Adquirir y <br />mantener software aplicativo (continuación)<br />Actividades: <br />AI2.6 Actualizaciones Importante...
AI3. Adquirir y <br />mantener infraestructura tecnológica<br />Para que?: <br />Actividades: <br />AI3.1 Plan de Adquisic...
AI4. Facilitar la operación y el uso<br />Para que?: <br />Actividades: <br />AI4.1 Plan para Soluciones de Operación.<br ...
AI5. Adquirir recursos de TI<br />Para que?: <br />Actividades: <br />AI5.1 Control de Adquisición.<br />AI5.2 Administrac...
AI6 Administrar Cambios<br />Para que?: <br />Todos los cambios, incluyendo el mantenimiento de emergencia y parches, rela...
AI6 Administrar Cambios              (continuación)<br />Actividades: <br />AI6.1 Estándares y Procedimientos para Cambios...
AI7. Instalar y <br />acreditar soluciones y cambios<br />Para que?: <br />Actividades: <br />AI7.1 Entrenamiento.<br />AI...
AI7. Instalar y <br />acreditar soluciones y cambios (continuación)<br />Actividades: <br />AI7.5 Conversión de Sistemas y...
COBIT<br />“Es un marco de referencia y un juego de herramientas de soporte que permite a la gerencia cerrar la brecha con...
Cuatro Dominios Interrelacionados de COBIT<br />Planear y Organizar<br />Adquirir e Implementar<br />Entregar y<br /> Dar ...
Gobierno de TI<br />Fuente: Tópicos- ing. Frano Capeta M.<br />
ENTREGAR Y DARSOPORTE<br />
Procesos<br />
DS4. Garantizar la continuidad de los servicios<br />Control sobre el proceso TI de<br />Garantizar la continuidad de los ...
Guardando copias de los planes de contingencia y de los datos </li></ul>fuera de las instalaciones.<br />Y se mide con<br ...
Número de Procesos críticos, pero no están cubiertos por un plan de continuidad</li></li></ul><li>Backup o Copia de Seguri...
DS5. Garantizar la seguridad de los Sistemas<br />Control sobre el proceso TI de<br />Garantizar la seguridad de los siste...
La administración de identidades y autorizaciones de los usuarios.</li></ul>Y se mide con<br /><ul><li>Número de incidente...
El número de sistemas que no cumplen los requerimientos de seguridad.
El número de violaciones en la segregación.</li></li></ul><li>Objetivos de Control<br />Normas y Estándares<br /><ul><li>N...
ISO 27001-2005
BS 25999</li></ul>Fuente: Tópicos- ing. Frano Capeta M.<br />
DS11. Administrar los datos<br />Control sobre el proceso TI de<br />Administración de datos<br />Que satisface el requeri...
Administrando almacenamiento de datos en sitio y fuera de sitio.
Desechando de manera segura los datos y el equipo.</li></ul>Y se mide con<br /><ul><li>Satisfacción del usuario con la dis...
Porcentaje de restauraciones exitosas de los datos.
Número de incidentes en los que tuvo que recuperarse datos sensitivos</li></li></ul><li>Data LossPrevention  (DLP)<br />Es...
DS12. Administrar el lugar físico<br />Control sobre el proceso TI de<br />Administración del ambiente físico.<br />Que sa...
Seleccionando y administrando las instalaciones.</li></ul>Y se mide con<br /><ul><li>Tiempo sin servicio ocasionado por in...
Número de incidentes ocasionados por fallas o brechas de seguridad física.
Frecuencia de revisiones y evaluación de riesgos físicos.</li></li></ul><li>Objetivos de Control<br />Estructura de Data C...
Upcoming SlideShare
Loading in...5
×

Cobit ppt

4,819

Published on

Published in: Technology, Business
2 Comments
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total Views
4,819
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
327
Comments
2
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Cobit ppt"

  1. 1. Seguridad & COBIT<br />Equipo Nº 11 <br />UNFV – FIIS - 2011<br />
  2. 2. PLANIFICAR Y ORGANIZAR<br />
  3. 3. Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede aportar de la mejor manera al éxito de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas.<br />¿Están alineadas las estrategias de TI y del negocio?<br />¿La empresa está alcanzando un uso óptimo de sus recursos?<br />¿Entienden todas las personas dentro de la organización los objetivos de TI?<br />¿Se entienden y administran los riesgos de TI?<br />¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?<br />
  4. 4.
  5. 5. P01 Definir un Plan Estratégico de TI<br />
  6. 6. P02. Definir la Arquitectura de la Información<br />
  7. 7. P03. Determinar la Dirección Tecnológica<br />
  8. 8. P04. Definir los Procesos, Organización y Relaciones de TI<br />
  9. 9. P05. Administrar la Inversión en TI<br />
  10. 10. P06. Comunicar las Aspiraciones y la Dirección de la Gerencia<br />
  11. 11. P07. Administrar los Recursos Humanos de TI<br />
  12. 12. P08. Administrar la Calidad<br />
  13. 13. P09. Evaluar y Administrar los Riesgos de TI<br />
  14. 14. P10. Administrar Proyectos<br />
  15. 15. Dominio: Adquirir e Implementar<br />AI1. Identificar soluciones<br /> automatizadas<br />AI5. Adquirir <br />recursos de TI<br />AI2. Adquirir y mantener<br /> software aplicativo<br />Adquirir e <br />Implementar<br />AI3. Adquirir y mantener <br />infraestructura <br />tecnológica<br />AI6. Administrar <br />cambios<br />AI4. Facilitar la <br />operación y el uso<br />AI7. Instalar y acreditar<br /> soluciones y cambios<br />
  16. 16. Dominio: Adquirir e Implementar<br />Para realizar las estrategias TI, se deben desarrollar o adquirir las soluciones, así como implementarlas en la empresa. Además, los cambios y el mantenimiento de sistemas, nos sirven para asegurar un ciclo de vida útil continuo.<br />
  17. 17. AI1. Identificar soluciones automatizadas<br />Para que?: <br />Actividades: <br />AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio.<br />AI1.2 Reporte de Análisis de Riesgos.<br />AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos.<br />AI1.4 Requerimientos, Decisión de Factibilidad y aprobación.<br />La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente.<br />
  18. 18. AI2. Adquirir y mantener software aplicativo<br />Para que?: <br />Actividades: <br />AI2.1 Diseño de Alto Nivel.<br />AI2.2 Diseño Detallado.<br />AI2.3 Control y Posibilidad de Auditar las Aplicaciones.<br />AI2.4 Seguridad y Disponibilidad de las Aplicaciones.<br />AI2.5 Configuración e Implantación de Software Aplicativo Adquirido.<br />Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas<br />
  19. 19. AI2. Adquirir y <br />mantener software aplicativo (continuación)<br />Actividades: <br />AI2.6 Actualizaciones Importantes en Sistemas Existentes.<br />AI2.7 Desarrollo de Software Aplicativo.<br />AI2.8 Aseguramiento de la Calidad del Software.<br />AI2.9 Administración de los Requerimientos de Aplicaciones.<br />AI2.10 Mantenimiento de Software Aplicativo.<br />
  20. 20. AI3. Adquirir y <br />mantener infraestructura tecnológica<br />Para que?: <br />Actividades: <br />AI3.1 Plan de Adquisición de Infraestructura Tecnológica.<br />AI3.2 Protección y Disponibilidad del Recurso de Infraestructura.<br />AI3.3 Mantenimiento de la Infraestructura.<br />AI3.4 Ambiente de Prueba de Factibilidad.<br />Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones.<br />
  21. 21. AI4. Facilitar la operación y el uso<br />Para que?: <br />Actividades: <br />AI4.1 Plan para Soluciones de Operación.<br />AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio.<br />AI4.3 Transferencia de Conocimiento a Usuarios Finales.<br />AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte.<br />Este proceso requiere la generación de documentación y manuales para usuarios y TI , y proporciona entrenamiento para garantizar el uso y la operación correcta de las aplicaciones y la infraestructura.<br />
  22. 22. AI5. Adquirir recursos de TI<br />Para que?: <br />Actividades: <br />AI5.1 Control de Adquisición.<br />AI5.2 Administración de Contratos con Proveedores.<br />AI5.3 Selección de Proveedores.<br />AI5.4 Adquisición de Recursos de TI.<br />Se deben suministrar recursos TI. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la elección de proveedores, el ajuste de arreglos Contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.<br />
  23. 23. AI6 Administrar Cambios<br />Para que?: <br />Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción.<br />
  24. 24. AI6 Administrar Cambios (continuación)<br />Actividades: <br />AI6.1 Estándares y Procedimientos para Cambios.<br />AI6.2 Evaluación de Impacto, Priorización y Autorización.<br />AI6.3 Cambios de Emergencia.<br />AI6.4 Seguimiento y Reporte del Estatus de Cambio.<br />AI6.5 Cierre y Documentación del Cambio.<br />
  25. 25. AI7. Instalar y <br />acreditar soluciones y cambios<br />Para que?: <br />Actividades: <br />AI7.1 Entrenamiento.<br />AI7.2 Plan de Prueba.<br />AI7.3 Plan de Implantación.<br />AI7.4 Ambiente de Prueba..<br />Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes.<br />definir la transición, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación.<br />
  26. 26. AI7. Instalar y <br />acreditar soluciones y cambios (continuación)<br />Actividades: <br />AI7.5 Conversión de Sistemas y Datos.<br />AI7.6 Pruebas de Cambios.<br />AI7.7 Prueba de Aceptación Final.<br />AI7.8 Promoción a Producción.<br />AI7.9 Revisión Posterior a la Implantación.<br />
  27. 27. COBIT<br />“Es un marco de referencia y un juego de herramientas de soporte que permite a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los stakeholders.”<br />IT GovernanceInstitute<br />
  28. 28. Cuatro Dominios Interrelacionados de COBIT<br />Planear y Organizar<br />Adquirir e Implementar<br />Entregar y<br /> Dar Soporte<br />MonitorearyEvaluar<br />
  29. 29. Gobierno de TI<br />Fuente: Tópicos- ing. Frano Capeta M.<br />
  30. 30. ENTREGAR Y DARSOPORTE<br />
  31. 31. Procesos<br />
  32. 32. DS4. Garantizar la continuidad de los servicios<br />Control sobre el proceso TI de<br />Garantizar la continuidad de los servicios<br />Que satisface el requerimiento de negocio de TI para<br />Asegurar el mínimo impacto al negocio en caso de una <br />Interrupción de servicios de TI.<br />Enfocándose en<br />El desarrollo de resistencias en las soluciones automatizadas <br />Y desarrollando, probando los planes de continuidad.<br />Se logra con<br /><ul><li>Desarrollando y manteniendo los planes de contingencia.
  33. 33. Guardando copias de los planes de contingencia y de los datos </li></ul>fuera de las instalaciones.<br />Y se mide con<br /><ul><li>Número de horas pérdidas por usuario por mes, debido a las interrupciones
  34. 34. Número de Procesos críticos, pero no están cubiertos por un plan de continuidad</li></li></ul><li>Backup o Copia de Seguridad<br />“Es una copia de seguridad o proceso de copia de seguridad, con el fin de que estas copias adicionales puedan utilizarse para restaurar el original después de una eventual pérdida de datos.”<br />Wikipedia-2011<br />Software<br />
  35. 35. DS5. Garantizar la seguridad de los Sistemas<br />Control sobre el proceso TI de<br />Garantizar la seguridad de los sistemas<br />Que satisface el requerimiento de negocio de TI para<br />Mantener la integridad de la información de la infraestructura de <br />Procesamiento y minimizar el impacto de los incidentes.<br />Enfocándose en<br />La definición de políticas, procedimientos estándares de seguridad de TI<br />y en el monitoreo, detección, reporte y gestión de riesgos.<br />Se logra con<br /><ul><li>El entendimiento de los requerimientos, vulnerabilidades y amenazas.
  36. 36. La administración de identidades y autorizaciones de los usuarios.</li></ul>Y se mide con<br /><ul><li>Número de incidentes que dañan la reputación con el público.
  37. 37. El número de sistemas que no cumplen los requerimientos de seguridad.
  38. 38. El número de violaciones en la segregación.</li></li></ul><li>Objetivos de Control<br />Normas y Estándares<br /><ul><li>NTP ISO 17799-2007
  39. 39. ISO 27001-2005
  40. 40. BS 25999</li></ul>Fuente: Tópicos- ing. Frano Capeta M.<br />
  41. 41. DS11. Administrar los datos<br />Control sobre el proceso TI de<br />Administración de datos<br />Que satisface el requerimiento de negocio de TI para<br />Optimizar el uso de la información y garantizar la disponibilidad de la <br />Información.<br />Enfocándose en<br />Mantener la integridad, disponibilidady accesibilidad de los datos.<br />Se logra con<br /><ul><li>Respaldando los datos y probando la restauración.
  42. 42. Administrando almacenamiento de datos en sitio y fuera de sitio.
  43. 43. Desechando de manera segura los datos y el equipo.</li></ul>Y se mide con<br /><ul><li>Satisfacción del usuario con la disponibilidad de los datos.
  44. 44. Porcentaje de restauraciones exitosas de los datos.
  45. 45. Número de incidentes en los que tuvo que recuperarse datos sensitivos</li></li></ul><li>Data LossPrevention (DLP)<br />Es un sistema encargado de prevenir el robo,<br />acceso o salida de datos de una empresa, <br />ya sea accidental o no<br />
  46. 46. DS12. Administrar el lugar físico<br />Control sobre el proceso TI de<br />Administración del ambiente físico.<br />Que satisface el requerimiento de negocio de TI para<br />Proteger los activos de computo y la información del negocio minimizando<br />el riesgo de una interrupción del servicio.<br />Enfocándose en<br />Proporcionar y mantener un ambiente físico adecuado para<br />Proteger los activos de TI contra acceso, daño o robo.<br />Se logra con<br /><ul><li>Implementando medidas de seguridad física.
  47. 47. Seleccionando y administrando las instalaciones.</li></ul>Y se mide con<br /><ul><li>Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente físico.
  48. 48. Número de incidentes ocasionados por fallas o brechas de seguridad física.
  49. 49. Frecuencia de revisiones y evaluación de riesgos físicos.</li></li></ul><li>Objetivos de Control<br />Estructura de Data Center (Centro de datos)<br />Las normas vigentes para el diseño de Data Center son:ANSI/TIA942, <br />Telecomunicationsinfrastructurefor Data Center Standard.<br />Manual de Métodos de Distribución de telecomunicaciones (TDMM) de Bicsi. Capitulo 8<br />“EquipamentRoom”.<br />
  50. 50. MONITOREAR Y EVALUAR<br />
  51. 51. “Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.”<br />
  52. 52. M1 Monitoreo del Proceso<br />Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI.<br />define<br />define<br />Satisfacción<br />Servicios<br />Clientes<br />
  53. 53. M2 Evaluar lo adecuado del Control Interno<br />Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.<br />comparaciones<br />Monitoreo<br />Gerencia<br />Efectividad<br />controles<br />Reportes<br />
  54. 54. M3 Obtención de aseguramiento independiente<br />Objetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.<br />Nuevos<br />Certificación independiente de seguridad y control interno<br />Gerencia<br />Compromisos Contractuales<br />Efectividad<br />Evaluar<br />
  55. 55. M4 Proveer Auditoria Independiente<br />Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación<br />Control<br />Auditoría <br />Objetivo de Control<br />Las tres dimensiones condeptuales de COBIT<br />
  56. 56. MONITOREAR Y EVALUAR<br />SEGURIDAD INFORMÁTICA<br />
  57. 57.
  58. 58. Algunas Herramientas<br />
  59. 59. Auditoria Remota<br />Evalúa módulos de Seguridad intentando <br />Encontrar puntos vulnerables que deberían ser reparados<br />Analizar Redes<br />(Security Auditing Tool for Analysing Networks).<br />Analizar redes en búsqueda de vulnerabilidades creada para administradores de sistema que no pueden estar constantemente chequeando bugtraq, y ese tipo de fuentes de info. <br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×