Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Para realizar proyecto: Consultora Determinacin de Grado de Madurez del rea de TI, bajo metodologa COBIT y anlisis de entorno de Seguridad Informtica.
Consultora Determinacin de Grado de Madurez del rea de TI, bajo metodologa COBIT y anlisis de entorno de Seguridad Informtica.
Contenido
I. Oferta Tcnica.................................................................................................. 5 1 Introduccin..................................................................................................... 5 2 Objetivo General.............................................................................................. 6 Determinar el grado de madurez del rea de TI de la institucin, basado en el Modelo de Madurez de COBIT y efectuar una evaluacin del ambiente de seguridad de TI................................................................................................ 6 2.1 Objetivos especficos................................................................................. 6 3 Alcance............................................................................................................ 6 4 Modelo de Madurez COBIT.............................................................................. 7 4.1 Propuesta de Anlisis............................................................................... 11 4.2 Fase 0. Preparacin Inicial.......................................................................11 4.3 Fase 1. Anlisis Preliminar.......................................................................11 4.4 Fase 2. Medicin...................................................................................... 11 4.5 Fase 3. Anlisis de Resultados.................................................................13 5 Anlisis de ambiente de seguridad de TI.......................................................14 5.1 Metodologa propuesta............................................................................ 14 II. Oferta Econmica.......................................................................................... 15
[4]
I. 1 Introduccin
Oferta Tcnica
Una necesidad bsica de toda organizacin es entender el estado de sus propios sistemas de Tecnologas de Informacin (TI) y decidir qu nivel de administracin y control debe proporcionar. Para decidir el nivel correcto, la direccin superior debe preguntarse: Hasta dnde debemos ir?, y est el costo justificado por el beneficio? La obtencin de una visin objetiva del nivel de desempeo propio de una organizacin no es sencilla. Qu se debe medir y cmo? Las organizaciones deben medir dnde se encuentran y dnde se requieren mejoras, e implementar sus herramientas gerenciales para monitorear esta mejora. COBIT atiende estos temas a travs de: Modelos de madurez que facilitan la evaluacin por medio de benchmarking y la identificacin de las mejoras necesarias en la capacidad, el cual es el tema que hoy aqu se presenta. Metas y mediciones de desempeo para los procesos de TI, que demuestran cmo los procesos satisfacen las necesidades del negocio y de TI, y cmo se usan para medir el desempeo de los procesos internos. Metas de actividades para facilitar el desempeo efectivo de los procesos. Seguridad en el rea de TI La informacin, los procesos, sistemas y redes de apoyo son activos comerciales importantes. Definir, lograr, mantener y mejorar la seguridad de la informacin puede ser esencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial. Las organizaciones, sus sistemas y redes de informacin enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo fraude por computadora, espionaje, sabotaje, vandalismo, fuego o inundacin. Las causas de dao como cdigo malicioso, pirateo computarizado o negacin de ataques de servicio se hacen cada vez ms comunes, ms ambiciosas y cada vez ms sofisticadas. Es esencial que una organizacin identifique sus requerimientos de seguridad, para minimizar el riesgo. Existen tres fuentes principales de requerimientos de seguridad: Una fuente se deriva de evaluar los riesgos para la organizacin, tomando en cuenta la estrategia general y los objetivos de la organizacin. Otra fuente son los requerimientos legales, reguladores, estatutarios y contractuales que tienen [5]
que satisfacer una organizacin, sus socios comerciales, contratistas y proveedores de servicio; y su ambiente socio-cultural. Finalmente el conjunto particular de principios, objetivos y requerimientos comerciales para el procesamiento de la informacin que una organizacin ha desarrollado para sostener sus operaciones. Los requerimientos de seguridad se identifican mediante una evaluacin metdica de los riesgos de seguridad. El gasto en controles debiera ser equilibrado con el dao comercial probable resultado de fallas en la seguridad. Los resultados de la evaluacin del riesgo ayudarn a guiar y determinar la accin de gestin apropiada y las prioridades para manejar los riesgos de seguridad de la informacin, e implementar los controles seleccionados para protegerse contra esos riesgos. La evaluacin del riesgo se debiera repetir peridicamente para tratar cualquier cambio que podra influir en los resultados de la evaluacin del riesgo.
2 Objetivo General
Determinar el grado de madurez del rea de TI de la institucin, basado en el Modelo de Madurez de COBIT y efectuar una evaluacin del ambiente de seguridad de TI 2.1 Objetivos especficos. Definir aquellos procesos de la definicin de COBIT a los cuales se determinar su grado de madurez. Establecer al grado de madurez deseado a corto y mediano plazo. Determinar el actual grado de madurez de los procesos definidos Establecer la brecha entro el grado actual y el deseado. Establecer un diagnstico y recomendaciones sobre el ambiente de seguridad de la organizacin
3 Alcance
Determinacin del grado de madurez de acuerdo a las mejores prcticas segn el modelo COBIT que mide la capacidad de gestin de los procesos bajo estndar de COBIT en los 24 dominios relacionados con la gestin de TI de la organizacin, dando como resultado un anlisis grfico.
[6]
Evaluacin de la seguridad informtica adaptada de la norma ISO/IEC 17799 para determinar estado actual y proporcionar una recomendacin para su mejora y minimizacin de riesgos.
[7]
Esto se debe a que cuando se emplea la evaluacin de la madurez con los modelos de COBIT, a menudo algunas implementaciones estarn en diferentes niveles aunque no est completa o suficiente. Estas fortalezas pueden apalancarse para seguir mejorando la madurez. Por ejemplo, algunas partes del proceso pueden estar bien definidas, y, an cuando est incompleto, sera errneo decir que no est definido del todo. Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la direccin superior podr identificar: El desempeo real de la empresaDnde se encuentra la empresa hoy. El objetivo de mejora de la empresaDnde desea estar la empresa El crecimiento requerido entre como es y como ser Grficamente el modelo de madurez se describe a continuacin.
COBIT es un marco de referencia desarrollado para la administracin de procesos de TI con un fuerte enfoque en el control. Estas escalas deben ser prcticas en su aplicacin y razonablemente fciles de entender. El tema de procesos de TI es esencialmente complejo y subjetivo, por lo tanto, es ms fcil abordarlo por medio de evaluaciones fciles que aumenten la conciencia, que logren un consenso amplio y que motiven la mejora. Estas evaluaciones se pueden realizar ya sea contra las descripciones del modelo de madurez como un todo o con mayor rigor, en cada una de las afirmaciones individuales de las descripciones. La ventaja de un modelo de madurez es que es relativamente fcil para la direccin ubicarse a s misma en la escala y evaluar qu se debe hacer si se requiere desarrollar una mejora. La escala incluye al 0 ya que es muy posible que no existan procesos en lo absoluto. La escala del 0-5 se basa en una escala de madurez simple que muestra como un proceso evoluciona desde una capacidad no existente hasta una capacidad optimizada. [8]
El modelo de madurez es una forma de medir qu tan bien estn desarrollados los procesos administrativos, esto es, qu tan capaces son en realidad. Qu tan bien desarrollados o capaces deberan ser, principalmente dependen de las metas de TI y en las necesidades del negocio subyacentes a las cuales sirven de base. Por ejemplo, habr procesos y sistemas crticos que requieren de una mayor administracin de la seguridad que otros que son menos crticos. Por otro lado, el grado y sofisticacin de los controles que se requiere aplicar en un proceso estn ms definidos por el apetito de riesgo de una empresa y por los requerimientos aplicables. Las escalas del modelo de madurez ayudarn a los profesionales a explicarle a la gerencia dnde se encuentran los defectos en la administracin de procesos de TI y a establecer objetivos donde se requieran. El nivel de madurez correcto estar influenciado por los objetivos de negocio de una empresa, por el ambiente operativo y por las prcticas de la industria. Especficamente, el nivel de madurez en la administracin se basar en la dependencia que tenga la empresa en TI, en su sofisticacin tecnolgica y, lo ms importante, en el valor de su informacin. Un punto de referencia estratgico para una empresa que ayuda a mejorar la administracin y el control de los procesos de TI. En resumen, los modelos de madurez brindan un perfil genrico de las etapas a travs de las cuales evolucionan las empresas para la administracin y el control de los procesos de TI, estos son: Un conjunto de requerimientos y los aspectos que los hacen posibles en los distintos niveles de madurez. Una escala donde la diferencia se puede medir de forma sencilla. Una escala que se presta a s misma para una comparacin prctica. La base para establecer el estado actual y el estado deseado. Soporte para un anlisis de brechas para determinar qu se requiere hacer para alcanzar el nivel seleccionado Tomado en conjunto, una vista de cmo se administra TI en la empresa. Los modelos de madurez COBIT se enfocan en la capacidad, y no necesariamente en el desempeo. No son un nmero al cual hay que llegar, ni estn diseados para ser una base formal de certificacin con niveles discretos que formen umbrales difciles de atravesar. Sin embargo, se disearon para ser aplicables siempre, con niveles que brindan una descripcin que una empresa pueda reconocer como la mejor para sus procesos. El nivel correcto est determinado por el tipo de empresa, por su medio ambiente y por la estrategia. [9]
El desempeo, o la manera en que la capacidad se usa y se implanta, es una decisin de rentabilidad. Por ejemplo, un alto nivel de administracin de la seguridad quiz se tenga que enfocar slo en los sistemas empresariales ms crticos. Para finalizar, mientras los niveles de madurez ms altos aumentan el control del proceso, la empresa an necesita analizar, con base en los impulsores de riesgo y de valor, cules mecanismos de control debe aplicar. Las metas genricas de negocio y de TI, como se definen en este marco de trabajo, ayudarn a realizar este anlisis. Los objetivos de control de COBIT guan los mecanismos de control y stos se enfocan en qu se hace en el proceso; los modelos de madurez se enfocan principalmente en qu tan bien se administra un proceso. Un ambiente de control implantado de forma adecuada, se logra cuando se han conseguido los tres aspectos de madurez (capacidad, desempeo y control). El incremento en la madurez reduce el riesgo y mejora la eficiencia, generando menos errores, ms procesos predecibles y un uso rentable de los recursos.
[10]
Presentacin de fundamentos de COBIT a personal clave. Presentacin de metodologa para evaluar el Modelo de Madurez y los insumos necesarios.
Anlisis de Metas Institucionales vrs. Metas de TI con el objetivo de determinar el grado de alineamiento con la estrategia institucional. Base: Objetivos de control de COBIT P01 Definir un Plan Estratgico de TI. Entregable: Informe de grado de alineamiento entre la Institucin y TI.
[11]
El proceso tiene 3 etapas. 1. Alcance y Priorizacin: Definicin de horizonte a corto y mediano plazo, descripcin de brecha inicial. Se define la importancia relativa de las metas del negocio relacionadas a cada proceso de acuerdo la relacin definida en COBIT entre las metas del negocio y la metas de TI: a) Priorizacin de las metas del negocio. Se define la importancia relativa en una escala de 1 a 10 de acuerdo a la organizacin. b) Determinacin de la metas de TI. La priorizacin anterior se traslada en forma automtica a las metas de TI de acuerdo a la relacin que establece COBIT. c) Se indica cuales procesos estarn en el alcance de la evaluacin, lo cual se muestra grficamente. d) Priorizacin de procesos COBIT. Se valida la priorizacin de los procesos de acuerdo al paso anterior. e) Se define la madurez deseada para corto y mediano plazo en una escala de 0 a 5.
[12]
Entregables: 1. Cuadro Consolidado de peso asignado a procesos de TI, horizonte de madurez deseada y procesos a ser evaluados. 2. Cuadro inicial de Evaluacin de Madurez con madurez deseada.
2. Anlisis: Medicin detallada de procesos COBIT, para establecer grado de madurez. Para cada uno de los 34 procesos definidos en COBIT, se hace un anlisis de madurez, de acuerdo a los 6 grados de madurez definidos, en base a diferentes declaraciones planteadas a las cuales se debe dar un peso y una valoracin cualitativa. Se establece su grado de madurez segn la importancia definida en la etapa de alcance y priorizacin. Entregable: grado de madurez de procesos bajo estndar COBIT. 3. Resultados: Determinacin de brecha. Se presentan en forma grfica los resultados en forma comparativa entre horizonte deseado a corto y mediano plazo y grado de madurez actual.
[13]
5. Seguridad fsica y del entorno. 6. Gestin de comunicaciones y operaciones. 7. Control de acceso. 8. Adquisicin (o desarrollo) y mantenimiento de sistemas. 9. Gestin de continuidad del negocio. 10.Cumplimiento o conformidad de la legislacin: la organizacin establecer los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; stos se encontrarn formalizados en los contratos o convenios.
5. Presentacin de conclusiones y recomendaciones. Entregable: Documento recomendaciones. con resultado de anlisis, conclusiones y
II.
Oferta Econmica
Duracin del proyecto: 5 semanas Valor total del proyecto $2,500.00 13% IVA TOTAL $ 325.00
$2,825.00
Forma de pago, segn cuadro a continuacin CONCEPTO El dar orden de inicio al proyecto 30% del valor total 13% IVA TOTAL Finalizacin etapa de Medicin y Evaluacin, 20% del valor total 13% IVA TOTAL Entrega de informes finales, 50% del valor total 13% IVA TOTAL CARGO $ 750.00 $97.50 $847.50 $500.00 $65.00 $565.00 $1,250.00 $162.50 $1,412.50
[15]