Seguridad Informatica, Governanza De Ti Y Cobit

4,657 views

Published on

1 Comment
0 Likes
Statistics
Notes
  • existe alguna metodologia para ayudarme a implementar el marco de cobit a una empresa o institucion? teniendo en cuenta un enfoque de implantar gobernabilidad, porque tambien existen metodologias de auditoria.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

No Downloads
Views
Total views
4,657
On SlideShare
0
From Embeds
0
Number of Embeds
58
Actions
Shares
0
Downloads
112
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad Informatica, Governanza De Ti Y Cobit

  1. 1. Ana Maria Porras Yazmina Delgado Jacqueline Vasquez
  2. 2. Temas a tratar… <ul><li>Governanzas de TI </li></ul><ul><li>Seguridad Informática </li></ul><ul><li>COBIT </li></ul><ul><li>Es necesario implementar estos temas. </li></ul>
  3. 3. Governanzas de TI <ul><li>Gobernanza de TI es la alineación de las Tecnologías de la información y la comunicación (TI) con la estrategia del negocio. Hereda las metas y la estrategia a todos los departamentos de la empresa, y provee el mejor uso de la tecnología y de sus estructuras organizacionales para alcanzarlas. </li></ul>
  4. 4. Governanzas de TI <ul><li>Para el ámbito empresarial puede referirse como la aplicación de mejores prácticas para la administración de una empresa y marca los principios a alto nivel para ayudar a la toma de decisiones. En la arquitectura de la empresa es el conjunto de opciones técnicas para guiar la organización a la satisfacción de las necesidades de negocio. En la infraestructura de la empresa son los servicios de TI como soporte y apoyo a las verdaderas necesidades de negocio. </li></ul>
  5. 5. Governanzas de TI <ul><li>Entre los elementos clave de la gobernanza menciona la re-conceptualización y re-construcción de la arquitectura operacional de la empresa, re-pensar y re-expresar los roles del personal y la alineación entre el negocio y la TI, además ayudan a comprender que los roles, la experiencia y la cultura son factores determinantes para lograr el mejor impacto y conseguir el éxito de la nueva arquitectura de la empresa mejorando su rendimiento, Alineamiento Estratégico, Estructuras organizativas, Aportación de Valor, Procesos de Gobernanza de TI, Gestión del riesgo, Gestión del rendimiento, Gestión de recursos. </li></ul>
  6. 6. Governanzas de TI <ul><li>Cómo garantizar que nuestra inversión en Gobernabilidad TI se traduzca en la oferta de valor que nos proponen. </li></ul><ul><li>Es un deber de la empresa que desea implementar la Gobernabilidad TI comprender la importancia de tener procesos y prácticas TI consolidados o, en su ausencia, estarlos definiendo sólidamente, para comenzar a implementarlos, difundirlos y ejecutarlos. </li></ul><ul><li>Usualmente se cometen errores de percepción pero les detallare los cinco más importantes. </li></ul><ul><li>1.    Creer que el software hará el trabajo </li></ul><ul><li>Existe el riesgo de adquirir una herramienta que no permita crecer o la compra de una herramienta que se transforme a la larga, o de inmediato, en un lamentable obstáculo para pensar en nuevos objetivos. A su vez implementar Gobernabilidad TI de un modo ajeno a la organización y carente de sentido para las personas que en ella trabajan o  el riesgo de invertir grandes sumas y obtener reducidos beneficios por ello. </li></ul>
  7. 7. Governanzas de TI <ul><li>2.      No contar con los sponsors internos adecuados </li></ul><ul><li>El proyecto de implementación Gobernabilidad TI debe ser apoya por el Gerente General, el Gerente de Informática, el Gerente de cada unidad del negocio que utiliza a TI como soporte de su gestión y, por último los trabajadores de TI, quienes a partir de la implementación se liberarán de las horas gastadas en la confección de complejos reportes para sus jefes y tendrán mucho más tiempo para ser productivos. Sin ese apoyo el proyecto no contará con el patrocinio que la Gobernabilidad TI amerita y no reportará o tardará demasiado en reportar los beneficios que su potencial promete. </li></ul><ul><li>  </li></ul><ul><li>3.      Querer Gobernabilidad TI con ansiedad </li></ul><ul><li>La definición de un alcance desmesurado para los plazos y pretencioso en términos de costos, es decir, un alcance inabarcable en la práctica, tiene duras consecuencias como: incremento en la dificultad para cerrarlo, aumento en la dificultad para satisfacer las expectativas de los sponsors e involucrados, aparición de estados anímicos poco propicios para el éxito del proyecto, etc. </li></ul><ul><li>  </li></ul>
  8. 8. Governanzas de TI <ul><li>4.      Predicar sin practicar </li></ul><ul><li>Es llevarla a cabo sin cumplir con los estándares que se están proponiendo. </li></ul><ul><li>5.      Descuidar el proceso de adopción de Gobernabilidad TI </li></ul><ul><li>Sin un adecuado control del proceso de adopción, cada mejora se encuentra acotada o menguada del todo en el mismo instante en que debiese comenzar a operar. Lo que ocurre es que los usuarios que no son debidamente incorporados al proyecto, de la manera que corresponda en cada caso tendrán una vaga idea de por qué es importante que lo hagan, una leve noción de la responsabilidad que cumplen con ello, y un débil conocimiento de los beneficios que esto les reportará. </li></ul>
  9. 9. Seguridad Informatica <ul><li>La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. </li></ul><ul><li>Para que un sistema se pueda definir como seguro debe tener estas cuatro características: </li></ul><ul><li>  Integridad : La información sólo puede ser modificada por quien está autorizado y de manera controlada. </li></ul><ul><li>Confidencialidad : La información sólo debe ser legible para los autorizados. </li></ul><ul><li>Disponibilidad : Debe estar disponible cuando se necesita. </li></ul><ul><li>Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción. </li></ul>
  10. 10. Seguridad Informatica <ul><li>Es importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos: </li></ul><ul><li>Las políticas deberán basarse en los siguientes pasos:  </li></ul><ul><li>Identificar y seleccionar lo que se debe proteger (información sensible) </li></ul><ul><li>Establecer niveles de prioridad e importancia sobre esta información </li></ul><ul><li>Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles </li></ul><ul><li>Identificar las amenazas, así como los niveles de vulnerabilidad de la red </li></ul><ul><li>Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla </li></ul><ul><li>Implementar respuesta a incidentes y recuperación para disminuir el impacto </li></ul>
  11. 11. Seguridad Informatica <ul><li>Técnicas para asegurar el sistema : </li></ul><ul><li>La criptología es un sistema que ofrecen medios seguros de comunicación en los que un emisor oculta o cifra un mensaje antes de transmitirlo para que sólo un receptor autorizado pueda descifrarlo. En los ultimos años se ha la autenticación de información digital (firma digital).  </li></ul><ul><li>Vigilancia de red. Zona desmilitarizada </li></ul><ul><li>En seguridad informática, una zona desmilitarizada (DMZ) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. </li></ul>
  12. 12. COBIT <ul><li>COBIT ( Control Objetives for Information and related Technology ) </li></ul><ul><li>Es el marco de referencia aceptado internacionalmente de las mejores prácticas para el control de la información, TI y los riesgos que conllevan . </li></ul><ul><li>Se utilizó para la realización de auditorías a las áreas de tecnología. Sin embargo, en los últimos años COBIT a evolucionado para convertirse en el modelo a seguir para la implementación de Gobernabilidad en Tecnologías de Información ( IT Governance ). </li></ul><ul><li>El modelo contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. </li></ul>
  13. 13. Marco de trabajo de COBIT <ul><li>Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo: </li></ul><ul><li>• Estableciendo un vínculo con los requerimientos del negocio </li></ul><ul><li>• Organizando las actividades de TI en un modelo de procesos generalmente aceptado </li></ul><ul><li>• Identificando los principales recursos de TI a ser utilizados </li></ul><ul><li>• Definiendo los objetivos de control gerenciales a ser considerados </li></ul>
  14. 14. Marco de trabajo de COBIT <ul><li>La orientación al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de TI. </li></ul><ul><li>El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visión de punta a punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas. </li></ul>
  15. 15. Marco de trabajo de COBIT <ul><li>Los productos COBIT se han organizado en tres niveles diseñados para dar soporte a: </li></ul><ul><li>• Administración y consejos ejecutivos </li></ul><ul><li>• Administración del negocio y de TI </li></ul><ul><li>• Profesionales en Gobierno, aseguramiento, control y seguridad. </li></ul>
  16. 16. Marco de trabajo de COBIT <ul><li>Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI incluyen: </li></ul><ul><li>Mejor alineación, con base en su enfoque de negocios </li></ul><ul><li>Una visión, entendible para la gerencia, de lo que hace TI </li></ul><ul><li>Propiedad y responsabilidades claras, con base en su orientación a procesos </li></ul><ul><li>Aceptación general de terceros y reguladores </li></ul><ul><li>Entendimiento compartido entre todos los Interesados, con base en un lenguaje común </li></ul><ul><li>Cumplimiento de los requerimientos COSO para el ambiente de control de TI </li></ul>
  17. 17. Es importante implementar estos temas <ul><li>Le proporciona a la empresa políticas del manejo de información y ayuda en la toma de decisiones. </li></ul><ul><li>Se trabaja con un planeamiento que va desde la cabeza de la empresa hasta un área tan importante como la de TI. </li></ul>
  18. 18. Gracias …

×