UNAH

COBIT
Seguridad Informtica

Ingeniera en Sistemas

Seguridad Informtica

Introduccin

En el presente documento veremos como COBIT es una gua de mejores prcticas dirigida a la gestin de tecnologa de la informacin (TI). Y aprenderemos posee una serie de recursos que pueden servir de modelo de referencia para la gestin de TI incluyendo un resumen ejecutivo, objetivos de control, mapas de auditora, herramientas para su implementacin y principalmente, una gua de tcnicas de gestin.

Seguridad Informtica

COBIT
Es una gua de mejores prcticas dirigida a la gestin de tecnologa de la informacin (TI). Tiene una serie de recursos que pueden servir de modelo de referencia para la gestin de TI, incluyendo un resumen ejecutivo, objetivos de control, mapas de auditora, herramientas para su implementacin y principalmente, una gua de tcnicas de gestin. COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor ptimo a partir de la TI, al mantener un equilibrio entre la realizacin de beneficios y la optimizacin de los niveles de riesgo y utilizacin de los recursos. COBIT 5 permite que la informacin y tecnologas relacionadas se gobiernen y administren de una manera holstica en toda la Organizacin, incluyendo el alcance completo de todas las reas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas. Los principios y habilitadores de COBIT 5 son genricos y tiles para las Organizaciones de cualquier tamao, bien sean comerciales, sin fines de lucro o en el
1. Satisfacer las necesidades de las partes interesadas.

5. Separar el Gobierno de la Administraci n

Principios de COBIT

2. Cubrir la Organizacin de forma integral

4. Habilitar un enfoque holistico

3. Aplicar un solo marco integrado

Seguridad Informtica
sector pblico. COBIT 5 une los cinco principios que permiten a la Organizacin construir un marco efectivo de Gobierno y Administracin basado en una serie holstica de siete habilitadores, que optimizan la inversin en tecnologa e informacin as como su uso en beneficio de las partes interesadas.

Beneficios de COBIT 5 para la SI

Se reduce la complejidad y se incrementa la Efectividad en costos debido a una integracin Mejorada y ms fcil de estndares de SI La satisfaccin del usuario se incrementa con Acuerdos y resultados de SI La integracin de la SI en la empresa se mejora Hay decisiones y concientizacin informadas Respecto a riesgos

Seguridad Informtica

La definicin de Seguridad Informatica (SI)

ISACA define seguridad de la informacin como algo que:

Los habilitadores de COBIT 5 para la SI

1. Polticas, principios, y marcos de SI 2. Procesos, incluyendo actividades y detalles especficos de SI 3. Estructuras organizacionales especficas a la SI 4. En trminos de cultura, tica y comportamiento, los factores que determinan el xito del gobierno y la administracin de la SI 5. Los tipos de informacin especficos a la SI 6. Las capacidades de servicio requeridas para proveer funciones de SI a una empresa 7. Gente, habilidades y competencias especficas para la SI

Seguridad Informtica

Habilitador 1: Principios, Polticas y marcos Se refiere a los mecanismos de comunicacin implementados para transmitir la direccin y las instrucciones de los cuerpos de gobierno y la administracin, incluyendo: Modelo de principios, polticas y marcos Principios de la SI Polticas de la SI Adaptacin de polticas al ambiente de las empresas El ciclo de vida de las polticas

Seguridad Informtica

Principios de la SI Los principios de la SI comunican las reglas de la empresa. Estos principios necesitan ser: Limitados en nmero Expresados en lenguaje simple

Los principios soportan 3 tareas: Soportar el negocio. Defender el negocio. Promover un comportamiento responsable respecto a la SI.

Polticas de SI
Las polticas proveen una gua ms detallada de como poner en prctica los principios. Algunas empresas pueden incluir polticas Poltica de SI Poltica de control de accesos Poltica de SI del personal Poltica de administracin de incidentes Poltica de administracin de activos
COBIT 5 para SI describe los siguientes atributos para cada poltica:
6

Seguridad Informtica

Alcance

Validez
7

Habilitador 2: Procesos El modelo de referencia de los procesos de COBIT 5 subdivide las prcticas y actividades relacionadas a TI en 2 reas principales Gobierno Administracin

Metas

Seguridad Informtica

Habilitador 4: Cultura, tica y Comportamiento

Revisa el modelo de comportamiento, tica y cultura desde una perspectiva de SI proporcionando ejemplos detallados y especficos de:

Habilitador 5: Informacin La informacin no es slo el principal sujeto de la SI, tambin es un habilitador clave.

Seguridad Informtica

1. Los tipos de informacin se revisan y se revelan los tipos de

2. Los stakeholders de la informacin as como el ciclo de vida de la informacin son identificados tambin y se detallan desde una perspectiva de SI. Los detalles especficos a la seguridad tales como almacenamiento, comparticin, uso y destruccin de informacin son revisados.

SI relevantes, los cuales pueden incluir: Estrategia de la SI Presupuesto de la SI Polticas Material de concientizacin Etc.

Habilitador 7: Gente, Habilidades y

Competencias

Para operar efectivamente una funcin de seguridad dentro de una empresa, los individuos con conocimiento y experiencia apropiados deben tener a cargo esta funcin. Algunas competencias y habilidades relacionadas a SI son consideradas:
9

Seguridad Informtica

Gobierno de SI

Administracin de riesgos de la informacin

Operaciones de la SI

Iniciativas de SI con COBIT 5

tica y cultura relativa a SI Leyes, regulaciones y polticas aplicables Prcticas y polticas actuales Capacidades y recursos de SI disponibles

10

Seguridad Informtica

Iniciativas de SI con COBIT 5

Adicionalmente, los requerimientos de SI de la empresa necesitan ser definidos con base en: El plan de negocios y las intenciones estratgicas El estilo de administracin Perfil de riesgos de la informacin El apetito al riesgo

COBIT 5 y su relacin con otros marcos y prcticas

COBIT 5 for Information Security pretende ser una sombrilla para Conectar con otros marcos, buenas prctica y estndares de SI. COBIT 5 for Information Security describe la inclusin de la SI en toda la empresa y provee un marco de habilitadores; sin embargo, otros marcos y prcticas disponibles pueden ser tiles tambin pues se enfocan en tpicos especficos. Por ejemplo: Business Model for Information Security (BMIS)ISACA Standard of Good Practice for Information Security (ISF) ISO/IEC 27000 Series NIST SP 800-53a PCI-DSS

11