View
71
Download
0
Category
Preview:
Citation preview
UNAH
COBIT Seguridad Informática
Ingeniería en Sistemas
Seguridad Informática
1
Introducción
En el presente documento veremos como COBIT es una guía de mejores prácticas dirigida
a la gestión de tecnología de la información (TI). Y aprenderemos posee una serie de
recursos que pueden servir de modelo de referencia para la gestión de TI incluyendo un
resumen ejecutivo, objetivos de control, mapas de auditoría, herramientas para su
implementación y principalmente, una guía de técnicas de gestión.
Seguridad Informática
2
COBIT
Es una guía de mejores prácticas dirigida a la gestión de tecnología de la información
(TI). Tiene una serie de recursos que pueden servir de modelo de referencia para la
gestión de TI, incluyendo un resumen ejecutivo, objetivos de control, mapas de
auditoría, herramientas para su implementación y principalmente, una guía de
técnicas de gestión. COBIT consolida y armoniza estándares de fuentes globales
prominentes en un recurso crítico para la gerencia, los profesionales de control y los
auditores.
Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo
a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la
optimización de los niveles de riesgo y utilización de los recursos.
• COBIT 5 permite que la información y tecnologías relacionadas se gobiernen y
administren de una manera holística en toda la Organización, incluyendo el alcance
completo de todas las áreas de responsabilidad funcionales y de negocios,
considerando los intereses relacionados con la TI de las partes interesadas internas
y externas.
Los principios y habilitadores de COBIT 5 son genéricos y útiles para las
Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el
Principios
de COBIT
1. Satisfacer las
necesidades de las partes interesadas.
2. Cubrir la Organización
de forma integral
3. Aplicar un solo marco integrado
4. Habilitar un enfoque holistico
5. Separar el Gobierno de
la Administració
n
Seguridad Informática
3
sector público.
COBIT 5 une los cinco principios que permiten a la Organización construir un marco
efectivo de Gobierno y Administración basado en una serie holística de siete
habilitadores, que optimizan la inversión en tecnología e información así como su uso
en beneficio de las partes interesadas.
Beneficios de COBIT 5 para la SI
• Se reduce la complejidad y se incrementa la Efectividad en costos debido a una integración Mejorada y más fácil de estándares de SI
• La satisfacción del usuario se incrementa con Acuerdos y resultados de SI
• La integración de la SI en la empresa se mejora
• Hay decisiones y concientización informadas Respecto a riesgos
Seguridad Informática
4
La definición de Seguridad Informatica (SI)
• ISACA define seguridad de la información como algo que:
Los habilitadores de COBIT 5 para la SI
•1. Políticas, principios, y marcos de SI
•2. Procesos, incluyendo actividades y detalles específicos de SI
•3. Estructuras organizacionales específicas a la SI
•4. En términos de cultura, ética y comportamiento, los factores que determinan el éxito del gobierno y la administración de la SI
•5. Los tipos de información específicos a la SI
•6. Las capacidades de servicio requeridas para proveer funciones de SI a una empresa
•7. Gente, habilidades y competencias específicas para la SI
Seguridad Informática
5
• Se refiere a los mecanismos de comunicación implementados para transmitir la dirección y las instrucciones de los cuerpos de gobierno y la administración, incluyendo:
• Modelo de principios, políticas y marcos
• Principios de la SI
• Políticas de la SI
• Adaptación de políticas al ambiente de las empresas
• El ciclo de vida de las políticas
Habilitador 1: Principios, Políticas y marcos
Seguridad Informática
6
COBIT 5 para SI describe los siguientes atributos para cada política:
Principios de la SI
• Los principios de la SI comunican las reglas de la empresa. Estos principios necesitan ser:
• Limitados en número
• Expresados en lenguaje simple
Los principios soportan 3 tareas:
• Soportar el negocio.
• Defender el negocio.
• Promover un comportamiento responsable respecto a la SI.
Políticas de SI
• Las políticas proveen una guía más detallada de como poner en práctica los principios. Algunas empresas pueden incluir políticas
• Política de SI
• Política de control de accesos
• Política de SI del personal
• Política de administración de incidentes
• Política de administración de activos
Seguridad Informática
7
• El modelo de referencia de los procesos de COBIT 5 subdivide las prácticas y actividades relacionadas a TI en 2 áreas principales
• Gobierno
• Administración
Habilitador 2: Procesos
Met
as
Val
idez
Alc
ance
Seguridad Informática
8
• Revisa el modelo de comportamiento, ética y cultura desde una perspectiva de SI proporcionando ejemplos detallados y específicos de:
Habilitador 4: Cultura, Ética y Comportamiento
• La información no es sólo el principal sujeto de la SI, también es un habilitador clave.
Habilitador 5: Información
Seguridad Informática
9
1. Los tipos de información se revisan y se revelan los tipos de
• SI relevantes, los cuales pueden incluir:
• Estrategia de la SI
• Presupuesto de la SI
• Políticas
• Material de concientización
• Etc.
2. Los stakeholders de la información así como el ciclo de vida de la información son identificados
también y se detallan desde una perspectiva de SI.
• Los detalles específicos a la seguridad tales como almacenamiento, compartición, uso y destrucción de información son revisados.
• Para operar efectivamente una función de seguridad dentro de una empresa, los individuos con conocimiento y experiencia apropiados deben tener a cargo esta función. Algunas competencias y habilidades relacionadas a SI son consideradas:
Habilitador 7: Gente, Habilidades y Competencias
Seguridad Informática
10
Iniciativas de SI con COBIT 5
• Ética y cultura relativa a SI
• Leyes, regulaciones y políticas aplicables
• Prácticas y políticas actuales
• Capacidades y recursos de SI disponibles
Gobierno de SI Administración de riesgos de la
información
Operaciones de la SI
Seguridad Informática
11
COBIT 5 y su relación con otros marcos y prácticas
• COBIT 5 for Information Security pretende ser una sombrilla para Conectar con otros
marcos, buenas práctica y estándares de SI.
• COBIT 5 for Information Security describe la inclusión de la SI en toda la empresa y
provee un marco de habilitadores; sin embargo, otros marcos y prácticas disponibles
pueden ser útiles también pues se enfocan en tópicos específicos. Por ejemplo:
• Business Model for Information Security (BMIS)–ISACA
• Standard of Good Practice for Information Security (ISF)
• ISO/IEC 27000 Series
• NIST SP 800-53a
• PCI-DSS
Iniciativas de SI con COBIT 5
• Adicionalmente, los requerimientos de SI de la empresa necesitan ser definidos con base en:
• El plan de negocios y las intenciones estratégicas
• El estilo de administración
• Perfil de riesgos de la información
• El apetito al riesgo
Recommended