GOBIERNO DE TECNOLOGIAS DE INFORMACIN IT BSC, ESTANDARES AMERICANOS: FIPS, NIST, ITL, DOD

Presentado por: JUAN SEBASTIN RESTREPO NGEL

Presentado a: CARLOS HERNAN GOMEZ

AUDITORIA INFORMTICA

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERA INGENIERA EN SISITEMAS Y COMPUTACIN MANIZALES 2010

1

RESUMEN

IT BSC Tomando como punto de partida las perspectivas del clsico modelo de Kaplan y Norton: la orientacin al usuario para un IT BSC representa la evaluacin que los clientes internos tienen respecto de los servicios y la gestin del Departamento de TI. La perspectiva de excelencia operacional trae aparejada la calidad de los procesos empleados para desarrollar y entregar soluciones y servicios. La orientacin futura agrega la consideracin de la evolucin de los recursos humanos y tecnolgicos. Por ltimo, la perspectiva de contribucin a los negocios captura la atencin sobre el valor empresario generado a partir de las inversiones en TI.

Cada una de estas perspectivas tiene que ser traducida en mtricas y en metas. En ese proceso es esencial establecer relaciones causa-efecto y las conexiones entre dos tipos de mtricas: Mtricas de resultados. Mtricas de rendimiento.

Un IT BSC bien definido debe contener una adecuada combinacin de estos dos tipos de mtricas. Por ejemplo: una mejora en una mtrica de resultado como la productividad de los programadores sin un conductor de rendimiento como el entrenamiento del personal, no comunica con claridad cmo se piensa alcanzar el resultado. En el sentido inverso, un conductor de rendimiento sin la adecuada mtrica de resultado que refleje lo que se obtiene, puede conducir a una inversin significativa sin poder medir realmente si la estrategia es efectiva. la formacin y experiencia del personal de TI son incrementadas esto puede derivar en una mejor calidad del LUEGO desarrollo esto puede generar mejores expectativas con los LUEGO usuarios esto puede traducirse en mejor soporte a los LUEGO procesos SI Orientacin futura Excelencia operacional Orientacin al usuario Contribucin a la corporacin

El modelo estndar de IT Balanced Scorecard se vincula con la estrategia y la medicin global del negocio, a travs de la perspectiva de contribucin a la corporacin. Esta vinculacin puede ser ms claramente representada a travs de una cascada de tableros.

Este concepto de cascada facilita el desarrollo progresivo y estructurado de los tableros a distinto nivel, facilitando la construccin de un entramado de mtricas que resultar sumamente instrumental para el alineamiento entre las estrategias del negocio y del TI y una exposicin clara al ms alto nivel gerencial acerca de la contribucin que tiene el presupuesto TI.

Estndares Americanos FIPS Federal Information Processing Standards (FIPS, Estndares Federales de Procesamiento de la Informacin) son estndares anunciados pblicamente, desarrollados por el gobierno de los Estados Unidos para la utilizacin por parte de todas las agencias del gobierno no militares y por los contratistas del gobierno; tambin son requeridas por organizaciones federales y por compaas que trabajan para stas ltimas para poder asegurar la seguridad de sus datos; los desarrolladores de software y aquellos en busca de soluciones de seguridad, con frecuencia se basan en estas certificaciones en sus decisiones de compra. Por norma, se requiere que todas las agencias del Gobierno de los Estados Unidos Americanos usen soluciones de seguridad que cuenten con certificacin FIPS. Muchas organizaciones en el sector privado requieren que sus soluciones de seguridad cuenten con la certificacin FIPS 140-1 140-2 : FIPS 140: Los requerimientos de seguridad FIPS cubren reas relacionadas con el diseo e implementacin seguros de un mdulo criptogrfico. Estas reas incluyen: Mdulo criptogrfico del pliego de condiciones: Lo que debe estar documentado. Mdulo criptogrfico de partes e interfaces: Que informacin fluye de entrada y salida, y la forma en la que deben estar separados. Funciones, servicios y la autenticacin: quin puede hacer qu con el mdulo, y cmo esto se comprueba. Modelo de estados finitos: La documentacin de los estados de alto nivel el mdulo puede estar adentro, y cmo ocurren las transiciones. Seguridad fsica: Manipulacin de pruebas de la resistencia, robustez y contra condiciones ambientales extremas. Entorno operativo: Qu tipo de sistema operativo utiliza el mdulo y por quien es usado. Gestin de claves criptogrficas: Generacin, entrada, salida, almacenamiento y destruccin de las llaves. EMI / EMC: Las interferencias electromagnticas/Compatibilidad electromagntica. Auto-pruebas: Lo que debe ser probado y cuando, y lo que se debe hacer si ocurre una prueba falla. Diseo de garanta: La documentacin debe estar proporcionada para demostrar que el mdulo ha sido bien diseado e implementado. Mitigacin de otros ataques: Los mdulos estn diseados para mitigar en contra de los ataques diciendo como prepararse por medio de su documentacin.

 FIPS 140-1: Emitida el 11 de enero de 1994, fue desarrollado por el gobierno y la industria, compuesto por los proveedores y usuarios de los equipos criptogrficos. FIPS 140-2: es un estndar de seguridad de ordenadores del gobierno de los Estados Unidos para la acreditacin de mdulos criptogrficos. FIPS 140-2 define cuatro niveles de seguridad: FIPS 140-2 Nivel 1: El ms bajo, los requisitos son muy limitados, todos los componentes son "grado produccin" y las clases ms notorias de inseguridad deben estar ausentes. FIPS 140-2 Nivel 2: Aade requisitos para la manipulacin fsica-pruebas de funcin basados en la autentificacin. FIPS 140-2 Nivel 3: aade requisitos para la manipulacin fsica de resistencia de los programas (lo que hace difcil para los atacantes obtener acceso a la informacin contenida en los mdulos) y la identidad basada en la autenticacin, separando la parte fsica de la lgica entre las interfaces de autentificacin " parmetros crticos de seguridad " para que no puedan entrar y salir del mdulo y sus interfaces sin ser restringidos. FIPS 140-2 Nivel 4: hace que la seguridad fsica requiera ms restricciones y contenga ms robustez y solides contra los ataques.

NIST NIST, fundado en 1901, es una agencia federal no regulador que forma parte del Departamento de Comercio (Department of Commerce) de los EE.UU. La misin del NIST consiste en elaborar y promover patrones de la medicin, los estndares y la tecnologa con el fin de realzar la productividad, facilitar el comercio y mejorar la calidad de vida. NIST lleva a cabo su misin a travs de cuatro programas cooperativos: - Los laboratorios del NIST (NIST Laboratories), que realizan investigaciones para mejorar la infraestructura del pas en materia de la tecnologa. - El Programa de Calidad Nacional Baldrige (Baldrige National Quality Program), que promueve la excelencia en el desempeo entre los proveedores de atencin de la salud, los centros docentes, las sociedades prestatarias de servicios, los organizaciones sin nimo de lucro, y los fabricantes estadounidenses, dirige programas de extensin y administra el

Premio de Calidad Nacional de Malcolm Baldrige. Este se concede anualmente para reconocer la excelencia en el desempeo y el progreso en materia de calidad. - La Asociacin de Extensin Manufacturera (Manufacturing Extension Partnership MEP), que es una red nacional de centros locales que ofrecen asistencia tcnica y comercial a los fabricantes ms pequeos. - El Programa de la Tecnologa e Innovacin (TIP) est planeado para proporcionar concesiones de costo compartido a la industria, las universidades, y los consorcios para conducir investigaciones en las tecnologas que son potencialmente revolucionarias que se dirigen a las necesidades nacionales y sociales. (Nota que el TIP es un programa nuevamente creado y est autorizado por el Congreso). Entre los estndares NIST se destaca: NIST Serie 800: La serie 800 del NIST contiene una serie de documentos de gran inters sobre Seguridad de la Informacin, resaltando fundamentalmente el aspecto tecnolgico. Estas publicaciones comenzaron en 1990 y son fruto del esfuerzo realizado por industrias, gobiernos y organizaciones acadmicas, con notables beneficios para todos los interesados en materia de seguridad de la informacin. Existen mltiples contenidos relacionados con la seguridad publicados por el NIST, entre los que destacan:
-

Control de Accesos. Auditora y Responsabilidades. Concienciacin y Formacin. Certificacin, Acreditacin y Evaluacin de la Seguridad. Gestin de configuraciones. Planes de Contingencia Identificacin y Autenticacin. Respuesta ante incidentes. Mantenimiento Proteccin de dispositivos. Seguridad del Personal. Proteccin fsica y medioambiental. Planificacin Evaluacin del Riesgo.
6

Proteccin de Sistemas y Comunicaciones. Integridad de Sistemas e Informacin. Adquisicin de Servicios y Sistemas.

ITL El Laboratorio de Tecnologa de la Informacin (ITL) tiene la misin de apoyar a los EE.UU., a su gobierno y a su mundo acadmico mediante la promocin de la innovacin; y la industria a travs de la ciencia, la tecnologa, los estndares de forma que mejoren la seguridad econmica y la calidad de vida. ITL ha sido el encargado de llevar a los EE.UU a utilizar las TI existentes y emergentes para atender las prioridades nacionales del pas como su economa, su amplia base social, sus valores y sus objetivos polticos. Su tarea sigue extendindose en virtud de la ley Federal de Gestin de Seguridad de la Informacin para elaborar normas de seguridad ciberntica, directrices, mtodos y tcnicas. reas de Investigacin de ITL - Tecnologas de Redes Avanzadas - Seguridad informtica - Acceso a la Informacin - Matemticas y Ciencias Computacionales - Software y Sistemas - Ingeniera Estadstica Programas ITL - Sistemas complejos - Cyber y red de seguridad - Habilitacin de la investigacin cientfica - Descubrimiento, utilizacin e intercambio de la informacin - Sistemas de informacin confiable - Medicin virtual DOD El Departamento de Defensa de Estados Unidos (abreviado como DoD o DOD) es el ministerio del gobierno de Estados Unidos encargado de las fuerzas militares del pas. Su director es el secretario de defensa, que forma parte del gabinete presidencial. Su sede central se encuentra en El Pentgono en Arlington (Virginia), cerca de Washington D.C.

El Departamento de Defensa controla actualmente los tres departamentos militares: - El Departamento de la Armada que incluye tanto la Armada como el Cuerpo de Marines - El Departamento del Ejrcito - El Departamento de la Fuerza Area DoD 5015.02 STD: ELECTRONIC RECORDS MANAGEMENT SOFTWARE APPLICATIONS DESIGN CRITERIA STANDARD La DOD.5015.2 establece los requisitos bsicos que, segn necesidades operacionales, regulatorias y legales, deben cumplir los productos con aplicaciones para la gestin documental. Incluye requisitos obligatorios en el manejo de archivos electrnicos tales como: la obligatoriedad de los sistemas de gestin documental para manejar archivos en cualquier formato, la instrumentacin de cuadros de clasificacin y tablas de vigencias, accesos controlados a usuarios, gestores de documentos; la ltima versin tambin establece requisitos para el manejo de archivos con informacin clasificada, as como aquellos para el manejo de archivos relacionados con las disposiciones en materia de privacidad y libertad de informacin. La norma es til proveedores de servicios tecnolgicos, desarrolladores de sistemas y usuarios.

CONCLUSIONES Y OBSERVACIONES

El IT BSC es un componente importante de las organizaciones modernas. Su contribucin como una herramienta de gestin de TI y de control es clara, y es probable que contine como una herramienta valiosa en los prximos aos. El NITS al ser una agencia encargada de la Administracin de Tecnologa del Departamento de Comercio de los Estados Unidos vela por mejorar la estabilidad econmica y la calidad de vida, promoviendo la innovacin y la competencia industrial. La ptima de gestin de la seguridad de la informacin requiere de mtricas estandarizadas. Cada vez es ms importante tener modelos que permitan lograr valoraciones econmicas que reflejen el valor por parte de las TI en las organizaciones.

BIBLIOGRAFA Cram, A. (2007). The IT Balanced Scorecard Revisited Volume 5. ISACA. Recuperado en: http://www.isaca.org/Template.cfm?Section=Home&template=/ContentManagemen t/ContentDisplay.cfm&ContentID=35967 [2010, Marzo]. Secretario de Defensa para redes e integracin de la informacin. Departamento de Defensa de los Estados Unidos. (2007). ELECTRONIC RECORDS MANAGEMENT SOFTWARE APPLICATIONS DESIGN CRITERIA STANDAR. Recuperado en: http://jitc.fhu.disa.mil/recmgt/p50152stdapr07.pdf[2010, Marzo]. Grembergen, W.V. (SF). The Balanced Scorecard and IT Governance. IT Governance Institute. Recuperado en: http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=33582 [2010, Marzo]. Information Technology Laboratory (ITL). (2008). Federal Information Processing Standards Publication. Recuperado en: http://www.itl.nist.gov/fipspubs/ [2010, Marzo]. Narbona, M. (Mayo de 2006). Comunicacin 333. Cmo construir un sistema de Gestin de las tecnologas de la informacin (SGTI). Sevilla: Tecnimap. Recuperado en: http://www.csae.map.es/csi/tecnimap/tecnimap_2006/01T_PDF/como%20construir% 20un%20sistema.pdf [2010, Marzo]. National Institute of Standards and Technology (NITS). Guide to NIST Information Security Document. Recuperado en: http://csrc.nist.gov/publications/CSD_DocsGuide.pdf [2010, Marzo]. National Institute of Standards and Technology (NITS). Information Technology Laboratory.
Recuperado en: http://www.nist.gov/itl/upload/ITLBrochure_010509.pdf [2010, Marzo].

Prez. D.H. (Abril de 2006). De la Administracin al gobierno de TI. Los conceptos de Gobierno de TI, sus propsitos, el estado de desarrollo, herramientas y retos que afronta. Bogot: Acis. Recuperado en: http://www.acis.org.co/fileadmin/Revista_97/7_-_tres.pdf [2010, Marzo]. Villagra, S. (2004). IT Governance y Mejora contina. Recuperado en: http://www.sergiovillagra.com/Contenidos/recursos/WP01%20IT%20Governance% 20y%20Mejora%20Continua.pdf [2010, Marzo].

10