Marco COBIT, Seguridad Informática y Gobierno de TI: Fundamentos Esenciales para la Gestión Empresarial

Entrada publicada en Otras materias y etiquetada Auditoría de Sistemas COBIT Continuidad del Negocio Gestión de riesgos Gobierno de TI ISACA Seguridad informatica el por .

COBIT: Marco de Gobierno de las Tecnologías de Información

COBIT es un marco de gobierno de las Tecnologías de Información (TI) que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio.

ISACA (Information Systems Audit and Control Association) es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información.

Objetivos de COBIT

  • Asegurar el buen gobierno de TI, protegiendo los intereses de clientes, accionistas, empleados, etc.
  • Garantizar el cumplimiento normativo del sector al que pertenezca la organización.
  • Mejorar la eficacia y eficiencia de los procesos y las actividades de TI de la organización.

Beneficios de Implementar COBIT

  • Una visión entendible para la gerencia de lo que hace TI.
  • Optimizar los servicios y el costo de implantar tecnología.
  • Cumplimiento de los requerimientos para el ambiente de control de TI.

Dominios de COBIT

Planear y organizar – Adquirir e implementar – Entregar y dar soporte – Monitorear y evaluar.

Seguridad Informática: Conceptos, Activos y Principios

Definición de Seguridad

Seguridad: estado de cualquier sistema (informático o no) que nos indica que se está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pudiera afectar su funcionamiento directo o los resultados que se obtienen de los mismos.

Objetivos de la Seguridad

La seguridad busca proteger los siguientes activos:

  • Información.
  • Infraestructura tecnológica.
  • Servicios.
  • Capital humano.

Tipos de Activos

Información

  • Bases de datos y archivos de datos.
  • Contratos y acuerdos.
  • Documentación impresa o en línea.
  • Información de investigación.

Infraestructura Tecnológica

Software
  • Software de aplicación.
  • Software de base.
  • Herramientas de desarrollo.
Hardware
  • Equipos de computación.
  • Equipos de comunicaciones.
  • Medios de almacenamiento.

Términos Relacionados con la Seguridad Informática

Amenaza
Evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
Vulnerabilidad
Debilidad de cualquier tipo que compromete la seguridad del sistema informático.
Riesgo
Posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.
Ataque
Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia
Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

Principios de Seguridad Informática

  • Integridad: La información solo puede ser modificada por quien está autorizado.
  • Confidencialidad: La información solo debe ser legible para los autorizados.
  • Disponibilidad: Debe estar disponible cuando se necesita.
  • Irrefutabilidad: (No Rechazo o No Repudio), que no se pueda negar la autoría.

Factores de Riesgo de la Seguridad Informática

  • Tecnológicos
  • Ambientales
  • Humanos

Elementos de la Política de Seguridad Informática

  • Alcance de las políticas, incluye recursos, sistemas y personal sobre la cual aplica.
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición.
  • Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
  • Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
  • Definición de sanciones por no cumplir con las políticas.
  • Responsabilidades de los usuarios con respecto a la información a la que tienen acceso.

Niveles Básicos de Clasificación de la Información

  • Pública
  • Confidencial
  • Secreta

Ejemplos de Seguridad Física

  • Restringir el acceso a las áreas de computadoras.
  • Restringir el acceso a las impresoras.
  • Instalar detectores de humo y extintores (fuego).
  • Colocar los dispositivos lejos del piso (agua).
  • Colocar los dispositivos lejos de las ventanas (lluvia).
  • Colocar pararrayos (rayos).
  • Proteger las antenas externas (vientos).

La Seguridad Lógica

Se refiere a la seguridad implantada en el uso del software, la protección de los datos, procesos y programas, así como la del acceso controlado y autorizado de los usuarios a la información.

Tipos de Medidas de Seguridad

  1. Medidas Físicas
  2. Medidas Lógicas

Planificación Estratégica y Gobierno de TI

La Planificación Estratégica

La planificación estratégica pone en funcionamiento los objetivos corporativos o departamentales. Si el área de TI realiza su planificación estratégica, asegura su contribución al logro exitoso de los objetivos globales de la organización mediante:

  • Planes de largo plazo (1 a 3 años).
  • Planes de corto plazo (menos de 1 año).
  • Planes consistentes con los planes de la organización.

El Gobierno de TI

Es el conjunto de responsabilidades y acciones que realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente y efectiva en respuesta a los requerimientos de la organización.

Factores de Éxito para Implementar el Gobierno de TI

  • Ética y cultura de la organización.
  • Leyes, regulaciones y normativas vigentes.
  • Misión, visión y valores de la organización.

Objetivos del Gobierno de TI

  • Proveer una dirección estratégica.
  • Asegurar que los objetivos sean alcanzados.
  • Determinar que los riesgos sean administrados apropiadamente.

Elementos del Gobierno de TI

  1. Alineación estratégica.
  2. Entrega de valor.
  3. Gestión del Riesgo.
  4. Administración de Recursos.
  5. Medición del Rendimiento.

Proceso de Implantación de Gobierno de TI

  1. Identificar necesidades.
  2. Análisis de la solución.
  3. Planificación de la solución.
  4. Implementar la solución.

¿Por qué Fallan los Proyectos?

Los proyectos suelen fallar debido a problemas en las siguientes áreas:

  • Requerimientos: No son claros, falta de acuerdo, falta de prioridad, contradictorios, imprecisos.
  • Recursos: Falta de recursos, conflictos por los recursos, rotación de personal clave, mala planificación.
  • Cronogramas: Demasiado apretados, poco realistas, demasiado optimistas.
  • Planificación: En base a datos insuficientes, falta de elementos, estimaciones pobres.
  • Riesgos: No identificados, no se gestionan.

Auditoría de Sistemas y Continuidad del Negocio

Importancia de Auditar el Área de Desarrollo

  • Los sistemas informáticos son herramientas de trabajo esenciales para la gestión de la organización y para la toma de decisiones.
  • Un mayor control en el proceso de desarrollo o adquisición de software incrementa la calidad de los mismos y disminuyen los costos de mantenimiento o del producto.
  • El índice de fracasos en proyectos de desarrollo es alto, lo que denota la inexistencia o mal funcionamiento de controles en este proceso.

Ciclo de Vida de los Sistemas

  1. Investigación Preliminar.
  2. Análisis de Sistemas.
  3. Diseño de Sistema.
  4. Desarrollo de Sistema.
  5. Implementación de Sistemas.
  6. Mantenimiento de Sistemas.

Etapas del Desarrollo de un Sistema Informático

Análisis – Diseño – Construcción – Implantación.

Tareas del Auditor en el Diseño de Sistemas

El Auditor debe realizar lo siguiente:

  • Revisar los diagramas del sistema para verificar si se ajustan al diseño general.
  • Verificar la participación de usuarios en la definición del sistema.
  • Evaluar que se contemplen pistas de auditoría y que sean adecuadas.

Tareas del Auditor en la Etapa de Pruebas

  • Revisar que se dispone de un entorno y recursos necesarios para realizar las pruebas.
  • Revisar los resultados de las pruebas en paralelo para verificar que sean correctos.
  • Verificar que la seguridad del sistema funcione de acuerdo a lo diseñado.

Etapas Durante un Desastre

  1. Declaración del control.
  2. Desastre.
  3. Toma del control.
  4. Reanudación de las operaciones.
  5. Recuperación de las capacidades.
  6. Restauración de las operaciones.

Continuidad del Negocio y Recuperación ante Desastres

Continuidad del Negocio (BCM)
Es la “capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones operativas del negocio, con el fin de permitir la continuidad de las actividades críticas de la organización en un nivel aceptable previamente definido”.
Recuperación ante Desastres (DRM)
Se refiere “al proceso, políticas y procedimientos relacionados con la recuperación de la infraestructura tecnológica crítica de una organización después de un incidente, desastre natural o producido por el hombre”.

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *