Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Temas
Gobernabilidad de TI &
Seguridad de la Informacin
Guillermo Angarita Morris
CISA, CISSP
XXVI
Saln de INFORMTICA
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y
reto para
La gobernabilidad de TI: Una responsabilidad los
y reto directivos
para dedeTITI
los directivos
Objetivo
Identificar la importancia de
la Seguridad de la
Informacin como un
elemento que forma parte
del Gobierno Corporativo.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Agenda
Introduccin
Importancia de la
Seguridad de la
Informacin
Seguridad de la
Informacin y TI
La Gobernabilidad de
SI.
Conclusiones
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Introduccin
La difusin de la tecnologa y la
proliferacin de la informacin
transforma el papel de la informacin,
para convertirse en un recurso de igual
importancia que los recursos: tierra,
mano de obra y capital.
Peter Drucker 1996
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Introduccin
Gartner recientemente estimo que en
menos de una dcada, las
organizaciones tendrn treinta veces
mas contacto con la informacin de lo
que tienen hoy en da.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Introduccin
La INFORMACION es el NEGOCIO
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Informacin como
producto
REQUERIMIENTOS INFORMACION
Procesos de TI
Objetivos de Confidencialidad
Negocio Integridad
Oportunidades de Datos
Aplicaciones Disponibilidad
Negocio Cumplimiento
Regulaciones Recurso Humano
Tecnologa Eficiencia
Riesgos Eficacia
Contratos con Instalaciones
Confiabilidad
terceros.
Privacidad de la
Informacin
Secretos
Industriales
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Antecedentes
Cada vez mas regulaciones
relacionadas con Seguridad de la
Informacin
La responsabilidad es del
departamento de TI.
Recurso humano.
Foco nicamente en la
informacin financiera.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Antecedentes
Aumento de la dependencia de los
sistemas y las comunicaciones que
procesan la informacin.
Dependencia de entidades que van mas
all del control de la organizacin.
Aumento de la demanda para compartir
informacin con socios, proveedores y
clientes.
Impacto en la reputacin y el valor de la
organizacin como resultado de fallas
en la seguridad de la informacin.
Los directivos no lo consideran un
asunto estratgico.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Seguridad de la Informacin
parte de la Governabilidad
de IT
Soporte a las polticas de seguridad.
Soporte a las responsabilidades asignadas y los
puntos de medicin.
Soporte a la clasificacin de la informacin y la
arquitectura.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Seguridad de la Informacin
parte de la Governabilidad
de IT
Sirve como parte integral del sistema
interno de control.
Ayuda asegurar el cumplimiento legal y
regulatorio.
Privacidad de la informacin.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Gobierno Seguridad de la
Informacin.
Es un subconjunto del gobierno corporativo que
provee direccin estratgica, asegura que los
objetivos sean obtenidos, administra el riesgo
apropiadamente, utiliza los recursos de la
organizacin de manera responsable y
monitorea el xito o falla del programa
corporativo de seguridad de la informacin.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Gobierno Seguridad de la
Informacin
Es la responsabilidad de la
mesa directiva y los
ejecutivos de alto nivel.
Debe formar parte del
Gobierno corporativo.
Debe estar alineado con la
estructura de Gobierno
corporativo.
Debe relacionarse con
Gobernabilidad de TI.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Gobierno Seguridad de la
Informacin
Alineacin de seguridad de
la informacin con la
estrategia del negocio para
obtener los objetivos de
negocio.
Administracin de riesgo
para medir, mitigar y reducir
el impacto a un nivel
aceptable.
Administracin de los
recursos para utilizar la
infraestructura de manera
eficiente y efectiva.
Medicin del desempeo
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Gobierno Seguridad de la
Informacin
Definir una estructura para
la administracin de la
seguridad de la
informacin.
Revisin y aprobacin de
las polticas de seguridad
de la informacin.
Asignar seguridad de la
informacin a un comit.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Importancia Gobierno Seguridad
de la Informacin
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Enfoques.
TOP-DOWN:
Alta Direccin consciente y conocedora del problema.
Impone mecanismos para extender su Gobierno Corporativo a cubrir la
Seguridad de la Informacin.
BOTTOM-UP:
Gerencia (o VP) de IT conciente de la necesidad.
Capacidad de alinear funcin y organizacin a los objetivos y estrategias
del negocio.
Establece medios de comunicacin sobre sus resultados y el
cumplimiento de sus objetivos.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Gobierno Corporativo y de Activos Crticos
Gobierno Corporativo
Otros
Accionistas Accionistas
Junta
Directiva
Divulgacin
Monitoreo
Alta Direccin
Comportamiento
Estrategia
Deseable
Activos
Activos
Activos Activos Activos Activos Activos de
Propiedad
Humanos Financieros Fsicos Intelectual
Informacin Relaciones
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Programa de Seguridad de la
Informacin
Desarrollo y mantenimiento de las polticas de seguridad
Roles y responsabilidades,
Desarrollo de estndares, procedimientos, indicadores,
practicas y procedimientos
Evaluacin peridica de riesgos e impacto al negocio.
Asignacin de activos de informacin y su clasificacin
Controles adecuados, efectivos para las personas,
procesos y tecnologa
Integracin de seguridad en todos los procesos de la
organizacin
Administracin de incidentes
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Programa de Seguridad de la
Informacin
Proceso de administracin de identidad y control de
acceso para usuarios y proveedores de informacin.
Monitores de los indicadores de gestin
Educacin de todos lo usuarios y miembros de la junta
directiva acerca de los requerimientos de seguridad de
la informacin.
Evaluacin anuales de seguridad de la informacin y
desempeo a la junta directiva.
Plan de accin para superar las deficiencias
encontradas
Desarrollo y pruebas de planes de continuidad de
negocio en caso de una interrupcin o desastre.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Polticas y Procedimientos
Asignar responsabilidades
Polticas y procedimientos para la
prevencin y deteccin .
Procedimientos de monitoreo y reporte de
incidentes.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Recurso Humano
Tener las personas apropiadas
en el lugar requerido
Responsabilidades
Alta direccin
Usuarios toda la organizacin
Proveedores
Clientes.
Dueos de la informacin
Tecnologa de la Informacin.
Entrenamiento
Cultura organizacional
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Evaluacin de Riesgo
La evaluacin de riesgo
habilita a las organizaciones
a entender como
determinados eventos
pueden inhibir la
consecucin de los
objetivos de negocio.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Identificar Procesos Crticos.
Marco Estratgico
La organizacin y el ambiente en el que opera.
Marco Organizacional
Conocer Objetivos y estrategias.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Impacto prdida de Integridad.
Prdida financiera
Fraude
Decisiones de negocio equivocadas
Demandas
Prdida de clientes
Prdida de reputacin.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Impacto perdida de
Confidencialidad.
Perdida propiedad intelectual
Privacidad de los clientes.
Demandas
Perdida de clientes
Perdida de reputacin.
Fraudes.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Impacto Incumplimiento legal,
contractual o regulatorio.
Multas o Sanciones
Perdida de clientes
Perdida de valor de la compaa.
Perdida de reputacin.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
en
ag
Impacto perdida de Disponibilidad
im
e
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
as es
ic av
m cl
on dos sos
ec ea om
i
as pl
id m pr
rd e m
P de co
id
a
nt
o es
rd ie le
s nt
ie
P p lim tua cl
m ra
c os
cu ont is
In c om
s pr
ta m s
ul co ne
M a io n
id ac
s ci
rd er ne a l a
io st
P op ac in
de ic
un la
se a r
sa
Ce om up
y
c
oc ca
a
ha de os
Saln de INFORMTICA
No ue ad
p vi
se en to
No s en
do Ev
ea del
pl a
Em nci
Un Evento Ocurre
e
rr
cu
efecto Domino
O
Seguido por el
XXVI
Identificar activos de
Informacin.
Procesos de Negocio
Inv y Desarrollo
Comercial
R.Humano
Mercadeo
Logstica
Finanzas
Aplicaciones
R. Humano
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Evaluar y definir prioridades.
Identifique controles existentes.
Identifique la efectividad de los controles.
Riesgos de Mayor a Menor.
Identificar los riesgos sobre los cuales se deben
plantear opciones de tratamiento.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Tratamiento de los Riesgos
ITIL
ISO 17799
= Con
trole
s
OTROS
COBIT
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
CobiT
Planear
Planear Adquirir ee Implementar
Adquirir Implementar
AI
AI
Organizar
Organizar
PO
PO
Monitorear
Monitorear
MM Entrega yy Soporte
Entrega Soporte
DS
DS
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
IT. Governance
Clasificacin y
Administracin de
control de los activos
la continuidad
integridad Confidencialidad
Seguridad
Desarrollo y Informacin
del personal
mantenimiento
disponibilidad
Seguridad fsica
Control de accesos y medioambiental
Gestin de
Manejo de comunicaciones
XXVI Incidentes y operaciones
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Objetivos Bsicos.
Seguridad Organizacional
o Seguridad Lgica
i c
ct Seguridad Fsica
T Seguridad Legal
Poltica de Seguridad
tra organizacin
39
Es
O 13
Clasificacin y control
bj 2
Control de acceso
De activos
et C
iv o
os nt
ivo Manejo de Incidentes Cumplimiento
d e role
a t
r
C s.
p e Seguridad de
on
Seguridad Fsica
personal
O
tro
l
Desarrollo y mantenimiento Adm. de Comunicacin y Gestin de Continuidad
De sistemas operaciones Negocio
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
PlanearyyOrganizar
Organizar Adquirireeimplementar
Adquirir implementar
Planear
Definir Def. Def Identificar Adquiir y Adquiir y Desarrollar
Definir Def. Def Identificar Adquiir y Instalar Adquiir y Desarrollar
Plan Arquitectura Dierccin Soluciones Mantener Instalar Adm. Mantener Y mantener
Plan Arquitectura Dierccin Soluciones Mantener Y acreditar Adm. Mantener Y mantener
Estrategico Informacin Tecno. Automatiza Software de Y acreditar cambio Infraestru. Proc.
Estrategico Informacin Tecno. Automatiza Software de sistemas cambio Infraestru. Proc.
das aplicacin sistemas tecnolgica IT
das aplicacin tecnolgica IT
Definir la Comunicar y
Definir la Adm Comunicar y
Organizacin Adm De losobjetivos
Organizacin Inversion deDe losobjetivos
De IT y Inversion de De la
De IT y TI De la
Sus relaciones TI gerencia
Sus relaciones gerencia
Poltica de Seguridad
Manejar
Manejar Asegurar Evaluar
Recurso
Recurso
humano
Asegurar
cumplimiento
cumplimiento
Evaluar
riesgo
riesgo
Seguridad en la
organizacin
ISO 27001
humano
Clasificacin y control
Control de acceso
De activos
Adm Adm
Adm Adm Manejo de Incidentes Cumplimiento
proyectos calidad
proyectos calidad
Seguridad de
Seguridad Fsica
personal
Monitorear
Monitorear EntregayySoporte
Soporte
Assess
Entrega
Monitor Assess
Monitor Internal Asegurar
The Internal Definir y Adm Asegurar Asegurar Identificar Administrar
The Control Definir y Adm Adm. Asegurar Seguridad Identificar Administrar
Process Control Adm niveles Servicios Adm. Servicio Seguridad Y asociar La
Process Adequacy Adm niveles Servicios capacidad Servicio De los Y asociar La
Adequacy Servicio Con terceros capacidad continuo De los costos operacin
Servicio Con terceros continuo sistemas costos operacin
sistemas
Asistir
Obtain Provide Asistir
Obtain Provide Entrenar Los Adm. Adm. Admi. Adm
Independent Independent Entrenar Los Adm. Adm. Admi. Adm
Independent Independent usuarios Usuarios de Configuracin Incidentes datos Instalaciones
Assurance Audit usuarios Usuarios de Configuracin Incidentes datos Instalaciones
XXVI
Assurance Audit IT
Saln de INFORMTICA
IT
Indicadores (Guas de
administracin de COBIT).
Medir los resultados para
conocer el desempeo
actual y las mejoras.
Procedimientos de
acciones correctivas y
preventivas.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Anlisis Costo/ Beneficio
Estime el costo: Tenga en cuenta los
recursos de personas, hardware, software.
Estime la facilidad de implementacin:
Considere la disponibilidad de recursos, el
alcance y la duracin del trabajo.
Estime los beneficios para el negocio:
Considere el impacto sobre uno o mas de
las cinco prioridades de la organizacin.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Definicin de Indicadores
Indicadores
Implementacin
Eficiencia
Eficacia
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Informacin como producto
Indicadores
de Gestin
REQUERIMIENTOS INFORMACION
Procesos de TI
Objetivos de Confidencialidad
Negocio Integridad
Oportunidades de Datos Disponibilidad
Negocio Aplicaciones Cumplimiento
Requerimientos Recurso Humano Eficiencia
externos Tecnologa Eficacia
Regulaciones Instalaciones Confiabilidad
Riesgos
Requisitos de
calidad de la
informacin
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Beneficios
Habilitador para cumplir los objetivos de
negocio.
Requisito para el cumplimiento de
regulaciones Ej.: SOX, ISO 17799.
Reduccin en costos de procesamiento.
Incremento de las ventas debido a calidad
de los datos de los clientes.
Incremento en la automatizacin de las
decisiones y procesos.
Aumento de la disponibilidad de Servicios
y Aplicaciones
Aumento del valor patrimonial o de la
accin.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Conclusiones
La informacin activo necesario para la
operacin de las organizaciones
Es responsabilidad de las directivas minimizar
los riesgos sobre los activos de informacin.
Asunto Corporativo.
Se debe tener un proceso unificado que mire
los procesos del negocio de principio a fin.
Recurso Humano
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Referencias
Information Security Governance, IT Governance Institute .
ISO 27000, www.iso.org
IT Governance Institute, COBIT Security Baseline, USA, 2004,
www.itgi.org
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Preguntas?
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI