Seguridad Informática

 

Buenas tardes: Les enviamos el video de Seguridad Informática y la reflexión sobre el video:

 

 

La seguridad informática tiene gran importancia para las empresas debido a las condiciones variables y nuevas plataformas tecnológicas que existen el día de hoy.

El hecho de que las organizaciones actualmente tengan muchas posibilidades para interconectarse a través de redes, hace que se presenten diferentes amenazas informáticas que pueden afectar de forma negativa, la información confidencial que maneja la organización, ocasionando pérdida de datos, sustracción de información importante de los clientes, robo de contraseñas o desvío de información personal y privada. Estas son algunas de las consecuencias que pueden presentarse si una empresa no tiene al día sus sistemas de seguridad; las organizaciones no pueden permitir que existan este tipo de pérdidas que hacen disminuir su productividad y paralizar su actividad.

 

Por esto deben contar con un sistema de seguridad informática que se encuentre basada en algunos principios tales como la confidencialidad para evitar divulgar información privada, integridad con el fin de evitar alterar o destruir la información y la disponibilidad para garantizar la operación continúa de los sistemas.

Leidy Arias
Doris Tilaguy

Resumen SAP Business One

Para ampliación del tema, se incluye el siguiente video:

 

 

 



MAPA ISO 27001

Buenas noches, este es nuestro mapa ISO 27001

Mapa ISO 17799

Buenas tardes: El siguiente es el mapa conceptual de la ISO 17799

 Atentamente,

Leidy Arias
Doris Tilaguy

Mapa Conceptual Margerit

Buenas tardes: El siguiente es el mapa conceptual del tema de Margerit

Atentamente,

Leidy Arias
Doris Tilaguy

Video Auditoria de Sistemas de información

 

Buenas tardes:

El siguiente es el video de Auditoria de Sistemas de la Información:

Atentamente,

Leidy Arias
Doris Tilaguy

Resumen Cobit

COBIT

Control Objectives for Information and related Technology

 

 

 

COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas  para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio. Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización. Además de enfatizar el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio.

 

EVOLUCION

COBIT fue publicado por primera vez por ITGI en abril de 1996, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados.

ü  La primera edición del COBIT, fue desarrollada como marco de gobierno para el control de TI.

ü  La segunda edición publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de referencia fundamentales, nuevos y revisados objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación.

ü  La tercera edición desarrollada en el año 2000, provee guías para resolver las necesidades de la administración de TI

ü  La cuarta edición desarrollada en el año 2005, incrementa su foco hacia la gerencia y el gobierno de TI a niveles directivos. Dirigido a una mayor variedad de audiencias. Incrementa madurez de las prácticas y estándares de TI. La versión 4.1. desarrollada en el año 2007, presenta cambios menores en la definición de procesos de control.

ü  Su última actualización es el COBIT 5, desarrollado en el año 2012, ayuda a las empresas a crear valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. Permite que la información y la tecnología relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos.

BENEFICIOS DE IMPLEMENTAR COBIT

Ø  Mantener información de calidad para apoyar las decisiones del negocio.

Ø  Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI), es decir lograr metas estratégicas y mejoras al negocio mediante el uso eficaz e innovador de la TI.

Ø  Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología.

Ø  Mantener el riesgo relacionado con TI a niveles aceptables.

Ø  Optimizar el costo de la tecnología y los servicios de TI.

Ø  Mejor alineación, con base en su enfoque de negocio.

Ø  Cumplimiento de los requerimientos COSO para el ambiente de control TI.

Ø  Una visión, entendible para la gerencia, de lo que hace TI.

Ø  Propiedad y responsabilidades claras, con base en su orientación a procesos.

PRODUCTOS

Nivel Estratégico
Explica porque  el gobierno de TI es importante, cuáles son sus intereses y responsabilidades para su administración

Nivel Táctico

Herramientas que ayudan a asignar responsabilidades, medir el desempeño.

Nivel Operativo

Explica como Cobit organiza los objetivos de gobierno y las buenas prácticas de TI con base en dominios y procesos de TI y los vincula a los requerimientos del negocio.

CONCEPTOS BÁSICOS

Orientación básicamente al negocio y a los procesos

 

 

La orientación a negocios es el tema principal de COBIT. Proporciona la información que la empresa requiere para lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la información empresarial requerida.

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y monitorear.

•      Planear y Organizar: Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS)

•      Adquirir e Implementar: Proporciona las soluciones y las pasa para convertirlas en servicios.

•      Entregar y Dar Soporte (DS): Recibe las soluciones y las hace utilizables por los usuarios finales.

•      Monitorear y Evaluar: Monitorear todos los procesos para asegurar que se sigue la dirección prevista.
 

o   El cubo

 

El COBIT busca atender los requerimientos de los negocios (información) cumpliendo con criterios de calidad y seguridad, haciendo uso de los recursos destinados por el negocio para tal fin, los cuales son administrados por medio de procesos y actividades de control.

 

• Criterios de información

 

Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control. Con base en los requerimientos más amplios de calidad, y de seguridad, se definieron siete criterios de información:
 

1) Efectividad: se refiere a que la información debe ser relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

2) Eficiencia: consiste en que la información sea generada con el óptimo uso de los recursos.

3) Confidencialidad: se refiere a la protección de información sensitiva contra revelación no autorizada.

4) Integridad: Relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

5) Disponibilidad: se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

6) Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

7) Confiabilidad: se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades.

 

o   Recursos de tecnología de información

La empresa debe suministrar los recursos necesarios para responder a los requerimientos que el negocio tiene hacia la función de tecnología de información. Los recursos necesarios son:

a) Aplicaciones: Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.

b)   Información: datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.

c)    Infraestructura: Recursos para alojar y dar soporte a los sistemas de información. Como el hardware, bases de datos

d)   Personal: Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información

 

o   Procesos orientados

 

Para obtener información que requiere la empresa para obtener sus objetivos, esta necesita invertir en

administrar y controlar recursos de TI utilizando un conjunto de procesos para proporcionar los servicios

que entreguen esa información requerida. Los cuales se dividen en:

 

ü  Dominios

a)    Planear y organizar: se refiere a identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.

b)   Adquirir e implementar: Para llevar a cabo la estrategia de TI, se necesitan identificación de soluciones, desarrollo o adquisición, cambios y/o mantenimiento de sistemas existentes

c)    Entregar y soportar: Cubre la entrega de los servicios requeridos. Incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

d)   Monitorear y evaluar: Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control.

ü  Procesos

Los procesos están agrupados en cuatro grandes dominios que se describen a continuación:

1.       Planeación

Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.

2.       Adquisición y desarrollo

Cambios y mantenimiento de los sistemas existentes para garantizar la continuidad del ciclo de vida para
estos sistema

3. Entrega y soporte

Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre
aspectos de seguridad y continuidad hasta capacitación. Incluye:

4.           Monitoreo

Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos

o   Controles

COBIT define objetivos de control, políticas, procedimientos, prácticas y estructuras organizaciones diseñados para proporcionar un aseguramiento razonable del cumplimiento de los objetivos institucionales. Cada proceso tiene objetivo de control específicos, objetivo de control de alto nivel, objetivos de control genéricos aplicables a todos los procesos.

• Medición

La forma de medición es a través del uso de un modelo de madurez. Permite comparar:

a.    Como estamos en relación a buenas prácticas aceptadas

b.    Como estamos frente a similares

c.     Se realiza lo necesario?

d.    Identificar que se necesita realizar para lograr el nivel de procesos

MODELO DE CAPACIDAD DE LOS PROCESOS

El modelo de madurez de los procesos manejados en COBIT 4.1., fue reemplazado por el modelo de capacidad de los procesos en COBIT 5, este  fue desarrollado basado en la ISO/IEC 15504 de Ingeniería de Software-Evaluación de Procesos, también conocida como Software Process Improvemente Capability Determinacion (SPICE), en español, “Determinación de la Capacidad de Mejora del Proceso de Software”.  El modelo tiene como objetivos generales la evaluación de procesos y apoyo a la mejora de procesos, es decir, que proporciona un medio para medir el desempeño de cualquier de los procesos de gobierno (basado en EDM) o de gestión (basado en PRM) y permitirá indicar áreas de mejora.

La ISO/IEC 15504 se caracteriza por:                          

·      Establecer un marco y requisitos para cualquier proceso de evaluación de procesos.

·      Proporciona requisitos para cualquier modelo de evaluación de organizaciones.

·      Proporciona guías para la definición de las competencias de un evaluador de procesos.

La descripción del proceso debe cumplir con los siguientes requisitos:

·      El proceso debe estar descrito en términos de su propósito y resultados.

·      La descripción del proceso no debe contener ningún aspecto del marco de medición por debajo del nivel 1, es decir. Eso quiere decir que la descripción del proceso solo contiene los pasos  necesarios para alcanzar el propósito y las metas reales del proceso.

Existen 6 niveles de capacidad que se pueden alcanzar por procesos:

·      Nivel 0 Procesos incompletos: El proceso no está implementado o no alcanzo su propósito.

·      Nivel 1 Proceso ejecutado (un atributo): Alcanzar este nivel requiere que  el atributo de rendimiento sea alcanzado ampliamente, lo que significa que el proceso se ejecute con éxito  y la organización haya obtenido los resultados esperados.

·      Nivel 2 Proceso gestionado (dos atributos): El proceso ejecutado esta ya implementado de forma gestionada (planificado, supervisado y ajustado) y los resultados de la ejecución están establecidos, controlados y mantenidos apropiadamente

·      Nivel 3 Proceso establecido (dos atributos): El proceso gestionado esta ahora implementado usando un proceso definido que es capaz de alcanzar sus resultados de procesos

·      Nivel 4 Proceso predecible (dos atributos): El proceso establecido ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso.

Nivel 5 Procesos optimizados  (dos atributos): El proceso predecible es mejorado de forma continua para poder cumplir con las metas empresariales presentes y futuras

 

DIFERENCIAS EN LA PRÁCTICA ENTRE LOS MODELOS DE COBIT 4.1 Y COBIT 5

• En general, los resultados de la evaluación serán menores al usar el modelo de capacidad de procesos de COBIT 5,  puesto que en  el modelo de madurez de COBIT 4.1, un proceso podía alcanzar un nivel 1 ó 2 sin alcanzar completamente todos los objetivos del proceso; con los niveles de la capacidad de procesos de COBIT 5, esto implicaría un resultado inferior, entre 0 y 1.

• Ya no se incluye dentro de los contenidos detallados de un proceso en COBIT 5 un modelo específico de madurez para cada proceso. Esto es porque el enfoque de la norma ISO/IEC 15504 para la evaluación de la capacidad de procesos no lo requiere. En cambio, el enfoque de la norma define la información requerida en el “modelo de referencia de procesos"

CONCLUSIONES

 

-          El COBIT es de gran importancia para la obtención de información relevante para cualquier negocio.

-          Ayuda a mejorar los procesos de negocio y permite utilizar la información de manera oportuna, correcta y consistente.

-          El uso de Cobit ayuda a lograr un balance entre los riesgos y las inversiones que se requieren en controles.

 

-          Cobit le permite a los usuarios, obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por proveedores.