TITULO

Temas

Gobernabilidad de TI &
Seguridad de la Informacin
Guillermo Angarita Morris
CISA, CISSP
XXVI
Saln de INFORMTICA
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y
reto para
La gobernabilidad de TI: Una responsabilidad los
y reto directivos
para dedeTITI
los directivos
 Objetivo

Identificar la importancia de
la Seguridad de la
Informacin como un
elemento que forma parte
del Gobierno Corporativo.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Agenda
Introduccin
Importancia de la
Seguridad de la
Informacin
Seguridad de la
Informacin y TI
La Gobernabilidad de
SI.
Conclusiones

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Introduccin
La difusin de la tecnologa y la
proliferacin de la informacin
transforma el papel de la informacin,
para convertirse en un recurso de igual
importancia que los recursos: tierra,
mano de obra y capital.
Peter Drucker 1996

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Introduccin
Gartner recientemente estimo que en
menos de una dcada, las
organizaciones tendrn treinta veces
mas contacto con la informacin de lo
que tienen hoy en da.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Introduccin

La INFORMACION es el NEGOCIO

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Informacin como
producto

REQUERIMIENTOS INFORMACION
Procesos de TI
Objetivos de Confidencialidad
Negocio Integridad
Oportunidades de Datos
Aplicaciones Disponibilidad
Negocio Cumplimiento
Regulaciones Recurso Humano
Tecnologa Eficiencia
Riesgos Eficacia
Contratos con Instalaciones
Confiabilidad
terceros.
Privacidad de la
Informacin
Secretos
Industriales

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Antecedentes
Cada vez mas regulaciones
relacionadas con Seguridad de la
Informacin
La responsabilidad es del
departamento de TI.
Recurso humano.
Foco nicamente en la
informacin financiera.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Antecedentes
Aumento de la dependencia de los
sistemas y las comunicaciones que
procesan la informacin.
Dependencia de entidades que van mas
all del control de la organizacin.
Aumento de la demanda para compartir
informacin con socios, proveedores y
clientes.
Impacto en la reputacin y el valor de la
organizacin como resultado de fallas
en la seguridad de la informacin.
Los directivos no lo consideran un
asunto estratgico.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Seguridad de la Informacin
parte de la Governabilidad
de IT
Soporte a las polticas de seguridad.
Soporte a las responsabilidades asignadas y los
puntos de medicin.
Soporte a la clasificacin de la informacin y la
arquitectura.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Seguridad de la Informacin
parte de la Governabilidad
de IT
Sirve como parte integral del sistema
interno de control.
Ayuda asegurar el cumplimiento legal y
regulatorio.
Privacidad de la informacin.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Gobierno Seguridad de la
Informacin.
Es un subconjunto del gobierno corporativo que
provee direccin estratgica, asegura que los
objetivos sean obtenidos, administra el riesgo
apropiadamente, utiliza los recursos de la
organizacin de manera responsable y
monitorea el xito o falla del programa
corporativo de seguridad de la informacin.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Gobierno Seguridad de la
Informacin

Es la responsabilidad de la
mesa directiva y los
ejecutivos de alto nivel.
Debe formar parte del
Gobierno corporativo.
Debe estar alineado con la
estructura de Gobierno
corporativo.
Debe relacionarse con
Gobernabilidad de TI.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Gobierno Seguridad de la
Informacin
Alineacin de seguridad de
la informacin con la
estrategia del negocio para
obtener los objetivos de
negocio.
Administracin de riesgo
para medir, mitigar y reducir
el impacto a un nivel
aceptable.
Administracin de los
recursos para utilizar la
infraestructura de manera
eficiente y efectiva.
Medicin del desempeo
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Gobierno Seguridad de la
Informacin
Definir una estructura para
la administracin de la
seguridad de la
informacin.
Revisin y aprobacin de
las polticas de seguridad
de la informacin.
Asignar seguridad de la
informacin a un comit.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Importancia Gobierno Seguridad
de la Informacin

Las organizaciones pueden

sobrevivir si pierden un
activo como el edificio,
equipo, personas pero no la
informacin.
Riesgo de perdida de CIA
de activos crticos de
informacin.
Asignar seguridad de la
informacin a un comit.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Enfoques.
TOP-DOWN:
Alta Direccin consciente y conocedora del problema.
Impone mecanismos para extender su Gobierno Corporativo a cubrir la
Seguridad de la Informacin.

BOTTOM-UP:
Gerencia (o VP) de IT conciente de la necesidad.
Capacidad de alinear funcin y organizacin a los objetivos y estrategias
del negocio.
Establece medios de comunicacin sobre sus resultados y el
cumplimiento de sus objetivos.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Gobierno Corporativo y de Activos Crticos
Gobierno Corporativo
Otros
Accionistas Accionistas
Junta
Directiva
Divulgacin
Monitoreo

Alta Direccin

Comportamiento
Estrategia
Deseable

Activos
Activos
Activos Activos Activos Activos Activos de
Propiedad
Humanos Financieros Fsicos Intelectual
Informacin Relaciones

XXVI Gobierno de activos crticos

Saln de INFORMTICA
Gobierno IT 2003 MIT Sloan School Center for information System Research.
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Framework
Metodologa para la administracin del riesgo
Estrategia de seguridad de la informacin relacionada con los
objetivos de negocio y TI.
Una efectiva estructura organizacional de seguridad.
Una estrategia que hable acerca del valor de la informacin
protegida y entregada.
Polticas de seguridad que direccionen cada aspecto de la
estrategia control y regulacin.
Estndares para cada una de las polticas que aseguren que los
procedimientos y guas cumplen con la poltica.
Proceso de monitoreo para asegurar cumplimiento y proveer
retroalimentacin sobre efectividad de los controles y mitigacin del
riesgo.
Un proceso para asegurar evaluacin continua y actualizacin de
las polticas, estndares, procedimientos y riesgo.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Programa de Seguridad de la
Informacin
Desarrollo y mantenimiento de las polticas de seguridad
Roles y responsabilidades,
Desarrollo de estndares, procedimientos, indicadores,
practicas y procedimientos
Evaluacin peridica de riesgos e impacto al negocio.
Asignacin de activos de informacin y su clasificacin
Controles adecuados, efectivos para las personas,
procesos y tecnologa
Integracin de seguridad en todos los procesos de la
organizacin
Administracin de incidentes
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Programa de Seguridad de la
Informacin
Proceso de administracin de identidad y control de
acceso para usuarios y proveedores de informacin.
Monitores de los indicadores de gestin
Educacin de todos lo usuarios y miembros de la junta
directiva acerca de los requerimientos de seguridad de
la informacin.
Evaluacin anuales de seguridad de la informacin y
desempeo a la junta directiva.
Plan de accin para superar las deficiencias
encontradas
Desarrollo y pruebas de planes de continuidad de
negocio en caso de una interrupcin o desastre.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Polticas y Procedimientos
Asignar responsabilidades
Polticas y procedimientos para la
prevencin y deteccin .
Procedimientos de monitoreo y reporte de
incidentes.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Recurso Humano
Tener las personas apropiadas
en el lugar requerido
Responsabilidades
Alta direccin
Usuarios toda la organizacin
Proveedores
Clientes.
Dueos de la informacin
Tecnologa de la Informacin.
Entrenamiento
Cultura organizacional

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Evaluacin de Riesgo
La evaluacin de riesgo
habilita a las organizaciones
a entender como
determinados eventos
pueden inhibir la
consecucin de los
objetivos de negocio.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Identificar Procesos Crticos.
Marco Estratgico
La organizacin y el ambiente en el que opera.

Marco Organizacional
Conocer Objetivos y estrategias.

Identificar Procesos crticos.

Definir los criterios bajo los cuales se pueda establecer la
criticidad de un proceso con respecto a otro.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Impacto prdida de Integridad.

Prdida financiera
Fraude
Decisiones de negocio equivocadas
Demandas
Prdida de clientes
Prdida de reputacin.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Impacto perdida de
Confidencialidad.
Perdida propiedad intelectual
Privacidad de los clientes.
Demandas
Perdida de clientes
Perdida de reputacin.
Fraudes.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Impacto Incumplimiento legal,
contractual o regulatorio.
Multas o Sanciones
Perdida de clientes
Perdida de valor de la compaa.
Perdida de reputacin.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 en
ag
Impacto perdida de Disponibilidad

im
e
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

as es
ic av
m cl
on dos sos
ec ea om
i
as pl
id m pr
rd e m
P de co
id
a
nt
o es
rd ie le
s nt
ie
P p lim tua cl
m ra
c os
cu ont is
In c om
s pr
ta m s
ul co ne
M a io n
id ac
s ci
rd er ne a l a
io st
P op ac in
de ic
un la
se a r
sa
Ce om up
y
c
oc ca
a
ha de os

Saln de INFORMTICA
No ue ad
p vi
se en to
No s en
do Ev
ea del
pl a
Em nci

Un Evento Ocurre
e
rr
cu

efecto Domino
O

Seguido por el

XXVI
 Identificar activos de
Informacin.
Procesos de Negocio

Inv y Desarrollo

Comercial

R.Humano
Mercadeo

Logstica
Finanzas

Aplicaciones
R. Humano

S.O y Bases de Datos

Comunicaciones
Documentos
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Riesgos
Mayores Riesgos:
Prdida de Confidencialidad.
Prdida de Disponibilidad.
Incumplimiento Regulatorio
Incumplimiento Contractual
Perdida de Integridad.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Evaluar y definir prioridades.
Identifique controles existentes.
Identifique la efectividad de los controles.
Riesgos de Mayor a Menor.
Identificar los riesgos sobre los cuales se deben
plantear opciones de tratamiento.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Tratamiento de los Riesgos

ITIL

ISO 17799
= Con
trole
s
OTROS

COBIT

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 CobiT

Planear
Planear Adquirir ee Implementar
Adquirir Implementar
AI
AI
Organizar
Organizar
PO
PO

Monitorear
Monitorear
MM Entrega yy Soporte
Entrega Soporte
DS
DS

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

1. Seguimiento de los procesos
2. Evaluar lo adecuado del control Interno
3. Obtener aseguramiento independiente
4. Proveer una auditora independiente
Seguimiento
Cumplimiento, Confiabilidad
1.Definicin del nivel de servicio
2.Administracin del servicio de terceros
3.Admon de la capacidad y el desempeo
4.Asegurar el servicio continuo
5.Garantizar la seguridad del sistema
6.Identificacin y asignacin de costos
7.Capacitacin de usuarios
8.Soporte a los clientes de TI
9.Administracin de la configuracin
10.Administracin de problemas e incidentes
11.Administracin de datos
12.Administracin de Instalaciones
Prestacin de
13.Administracin de Operaciones
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
IT. Governance
1. Definir un plan estratgico de TI
2. Definir la arquitectura de informacin
3. Determinar la direccin tecnolgica
4. Definir la organizacin y relaciones de TI
CobiT 5. Manejo de la inversin en TI
6. Comunicacin de la directrices Gerenciales
7. Administracin del Recurso Humano
8. Asegurar el cumplir requerimientos externos
9. Evaluacin de Riesgos
10. Administracin de Proyectos
11. Administracin de Calidad
Req. Informacin
Efectividad, Eficiencia,
Confidencialidad,
Integridad, Disponibilidad, Planeacin y
Organizacin
Recursos de TI
Datos, Aplicaciones
Tecnologa, Instalaciones, Adquisicin e
Recurso Humano Implementacin
1. Identificacin de soluciones
2. Adquisicin y mantenimiento de SW aplicativo
Servicio y 3. Adquisicin y mantenimiento de arquitectura TI
4. Desarrollo y mantenimiento de Procedimientos
Soporte de TI
5. Instalacin y Acreditacin de sistemas
6. Administracin de Cambios
 ISO 27001
Poltica de Organizacin de
Cumplimiento seguridad la Seguridad

Clasificacin y
Administracin de
control de los activos
la continuidad
integridad Confidencialidad

Seguridad
Desarrollo y Informacin
del personal
mantenimiento

disponibilidad
Seguridad fsica
Control de accesos y medioambiental
Gestin de
Manejo de comunicaciones
XXVI Incidentes y operaciones
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Objetivos Bsicos.
Seguridad Organizacional
o Seguridad Lgica
i c
ct Seguridad Fsica
T Seguridad Legal
Poltica de Seguridad

ico ISO 27001

t g Seguridad en la

tra organizacin

39
Es

O 13
Clasificacin y control

bj 2
Control de acceso
De activos

et C
iv o
os nt
ivo Manejo de Incidentes Cumplimiento

d e role
a t
r

C s.
p e Seguridad de

on
Seguridad Fsica
personal
O

tro
l
Desarrollo y mantenimiento Adm. de Comunicacin y Gestin de Continuidad
De sistemas operaciones Negocio

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 PlanearyyOrganizar
Organizar Adquirireeimplementar
Adquirir implementar
Planear
Definir Def. Def Identificar Adquiir y Adquiir y Desarrollar
Definir Def. Def Identificar Adquiir y Instalar Adquiir y Desarrollar
Plan Arquitectura Dierccin Soluciones Mantener Instalar Adm. Mantener Y mantener
Plan Arquitectura Dierccin Soluciones Mantener Y acreditar Adm. Mantener Y mantener
Estrategico Informacin Tecno. Automatiza Software de Y acreditar cambio Infraestru. Proc.
Estrategico Informacin Tecno. Automatiza Software de sistemas cambio Infraestru. Proc.
das aplicacin sistemas tecnolgica IT
das aplicacin tecnolgica IT

Definir la Comunicar y
Definir la Adm Comunicar y
Organizacin Adm De losobjetivos
Organizacin Inversion deDe losobjetivos
De IT y Inversion de De la
De IT y TI De la
Sus relaciones TI gerencia
Sus relaciones gerencia

Poltica de Seguridad
Manejar
Manejar Asegurar Evaluar
Recurso
Recurso
humano
Asegurar
cumplimiento
cumplimiento
Evaluar
riesgo
riesgo
Seguridad en la
organizacin
ISO 27001
humano
Clasificacin y control
Control de acceso
De activos

Adm Adm
Adm Adm Manejo de Incidentes Cumplimiento
proyectos calidad
proyectos calidad
Seguridad de
Seguridad Fsica
personal

Desarrollo y mantenimiento Adm. de Comunicacin y Gestin de Continuidad

De sistemas operaciones Negocio

Monitorear
Monitorear EntregayySoporte
Soporte
Assess
Entrega
Monitor Assess
Monitor Internal Asegurar
The Internal Definir y Adm Asegurar Asegurar Identificar Administrar
The Control Definir y Adm Adm. Asegurar Seguridad Identificar Administrar
Process Control Adm niveles Servicios Adm. Servicio Seguridad Y asociar La
Process Adequacy Adm niveles Servicios capacidad Servicio De los Y asociar La
Adequacy Servicio Con terceros capacidad continuo De los costos operacin
Servicio Con terceros continuo sistemas costos operacin
sistemas

Asistir
Obtain Provide Asistir
Obtain Provide Entrenar Los Adm. Adm. Admi. Adm
Independent Independent Entrenar Los Adm. Adm. Admi. Adm
Independent Independent usuarios Usuarios de Configuracin Incidentes datos Instalaciones
Assurance Audit usuarios Usuarios de Configuracin Incidentes datos Instalaciones
XXVI
Assurance Audit IT

Saln de INFORMTICA
IT

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

 Evaluacin y Monitoreo

Indicadores (Guas de
administracin de COBIT).
Medir los resultados para
conocer el desempeo
actual y las mejoras.
Procedimientos de
acciones correctivas y
preventivas.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Anlisis Costo/ Beneficio
Estime el costo: Tenga en cuenta los
recursos de personas, hardware, software.
Estime la facilidad de implementacin:
Considere la disponibilidad de recursos, el
alcance y la duracin del trabajo.
Estime los beneficios para el negocio:
Considere el impacto sobre uno o mas de
las cinco prioridades de la organizacin.
XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Definicin de Indicadores
Indicadores

Implementacin
Eficiencia
Eficacia

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Informacin como producto
Indicadores
de Gestin

REQUERIMIENTOS INFORMACION
Procesos de TI
Objetivos de Confidencialidad
Negocio Integridad
Oportunidades de Datos Disponibilidad
Negocio Aplicaciones Cumplimiento
Requerimientos Recurso Humano Eficiencia
externos Tecnologa Eficacia
Regulaciones Instalaciones Confiabilidad
Riesgos
Requisitos de
calidad de la
informacin

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Beneficios
Habilitador para cumplir los objetivos de
negocio.
Requisito para el cumplimiento de
regulaciones Ej.: SOX, ISO 17799.
Reduccin en costos de procesamiento.
Incremento de las ventas debido a calidad
de los datos de los clientes.
Incremento en la automatizacin de las
decisiones y procesos.
Aumento de la disponibilidad de Servicios
y Aplicaciones
Aumento del valor patrimonial o de la
accin.

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Conclusiones
La informacin activo necesario para la
operacin de las organizaciones
Es responsabilidad de las directivas minimizar
los riesgos sobre los activos de informacin.
Asunto Corporativo.
Se debe tener un proceso unificado que mire
los procesos del negocio de principio a fin.
Recurso Humano

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Referencias
Information Security Governance, IT Governance Institute .
ISO 27000, www.iso.org
IT Governance Institute, COBIT Security Baseline, USA, 2004,
www.itgi.org

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
 Preguntas?

Guillermo Angarita Morris

guillermo.angarita@iqcol.com
Miembro de ISACA, ISC2
Information Security Advisor
IQ Information Quality

XXVI
Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI