Está en la página 1de 16

Módulo 1

El Buen Gobierno TI
IT Governance: ITIL, COBIT, CMMI

Introducción

Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de Sistemas de
Información en coordinación con la alta dirección para movilizar sus recursos de la
forma más eficiente en respuesta a requisitos regulatorios, operativos o del negocio.

A medida que las TI se han universalizado, su importancia estratégica ha disminuido,


convirtiéndose más en una tecnología de infraestructura, imprescindible para las
empresas; pero no estratégica.

Algunas definiciones de Gobierno TI

Según Jeanne Ross (MIT Sloan School of Management), el Gobierno TI es el marco


que permite definir responsabilidades y tomar decisiones correctas para impulsar los
comportamientos deseables en el uso de las TI en las organizaciones.

Según el IT Governance Institute, el Gobierno TI es una responsabilidad del consejo de


administración o de la alta dirección de las organizaciones. Constituye una parte
esencial del gobierno de la empresa en su conjunto y aglutina la estructura organizativa
y directiva necesaria para asegurar que las tecnologías de la información soportan y
facilitan el desarrollo de los objetivos estratégicos definidos.

Asegura que:

ƒ TI está alineada con la estrategia del negocio.


ƒ Las nuevas tecnologías faciliten que la organización haga cosas que antes no era
posible hacer.
ƒ Los servicios y funciones de TI se proporcionan con el máximo valor posible o
de la forma más eficiente.
ƒ Todos los riesgos relacionados con TI son conocidos y administrados y los
recursos de TI están seguros.

Antecedentes del Gobierno TI

En 1992, COSO (Committee of Sponsoring Organizations of Treadway Conmmission)


publicó el Sistema Integrado de Control Interno, un informe que establece una
definición común de control interno y proporciona un estándar mediante el cual las
organizaciones pueden evaluar y mejorar sus sistemas de control. Supuso un punto de
inflexión en la comprensión del Control Interno. A partir de ese momento se produjo un
proceso de institucionalización del Control Interno, teniendo un marco de referencia
antes inexistente.

El Control Interno es un proceso, no un fin, que involucra a todos los integrantes de la


organización, sin excepción, diseñado para dar un grado razonable de apoyo en cuanto a
la obtención de objetivos en las siguientes categorías:

ƒ Eficacia y eficiencia en las operaciones.

2
IT Governance: ITIL, COBIT, CMMI

ƒ Fidelidad de los informes financieros.

ƒ Cumplimiento con leyes y normas que son aplicables

En 1992, como simplificación del informe COSO, aparece el modelo COCO (Criteria of
Control Board del Canadian Institute of Certified Accountants).

Antecedentes del Gobierno TI por orden cronológico

¾ 1992. Cardbury Report (Committee on the Financial Aspects of


Corporate Governance) que supone una recopilación de buenas prácticas
en la distribución de información a grupos interesados.

¾ 1996. ISACA. COBIT (1º edición).

¾ 1998. Turnbull Report (Guidance for Directors on Combined Code) que


realiza un especial énfasis del gobierno corporativo en el comité de
auditoría, procesos de seguimiento de riesgos, control interno,..

¾ 1998. OCDE. Principios de Gobierno Corporativa.

¾ 1999. BIS (Bank for International Settlement. Enhancing Corporate


Governance in Banking Organization). Políticas y guías para la industria
financiera sobre riesgos operativos y de sistemas; así como buenas
prácticas en sistemas y en TI.

¾ 2000. ITGovernace Institute. COBIT 3ª Edición.

¾ 2003. ITGovernace Institute. Board brifing in IT Governance.2ª Edición.

¾ 2004. MIT. Sloan Management School. CISR IT Governace: “How top


performers manage IT Decision Rights For superior results”. Joanne
Ross /Peter Weill.

¾ 2006. ITGovernace Institute. COBIT 4ª Edición.

Principales Foros de Gobierno TI

¾ ISACA (Information Systems Audit and Control Association).

www.isaca.org

¾ ITGI (Information Technology Governance Institute).

www.itgi.org

3
IT Governance: ITIL, COBIT, CMMI

¾ BSI (British Standard Institution).

www.bsi-global.com

¾ itSMF (Information Technology Service Management Foundation).


www.itsmf.com
www.itsmf.es

¾ SO (International Organisation for Standardization).

www.iso.org

¾ AENOR (Asociación Española de Normalización).

www.aenor.es

Problemas de los Sistemas de Información


I
ƒ Excesiva orientación tecnológica.

ƒ Adaptación incontrolada a la evolución tecnológica.

ƒ Ausencia de una adecuada gestión del riesgo.

ƒ Desconexión entre la tecnología y los procesos de negocio que sustentan.

Marco de referencia

Es un conjunto de métodos y prácticas que permiten establecer:

ƒ Criterios de información exigidos por los requisitos de negocio.

ƒ Procesos de negocio.

ƒ Recursos a utilizar.

Sus características son:

ƒ Está orientado a procesos, tanto de TI como del negocio. Se debe definir el


propietario del proceso, la responsabilidad sobre el proceso y la criticidad
del mismo.

ƒ Basado en prácticas comúnmente aceptadas para aprovechar la experiencia


del mercado y ofrecer un conjunto de medidas de control multinacional,
hecho especialmente importante para la auditoría.

4
IT Governance: ITIL, COBIT, CMMI

ƒ Utiliza un lenguaje común debido a la tradicional ausencia de comunicación


entre negocio y tecnología. Se deben comprender los procesos y la
complejidad de los recursos TI.

ƒ Permite la adopción de requisitos regulatorios.

Necesidad del Marco

ƒ Asegurar el alineamiento con los objetivos de la organización.

ƒ Determinar y mitigar los riesgos empresariales.

ƒ Asegurar el cumplimiento normativo de forma general.

ƒ Calcular / proveer formalmente los recursos apropiados.

ƒ Hacer el seguimiento de la aportación de las TI al negocio.

Métricas

Los marcos de control están dirigidos por medidas. El negocio necesita conocer el
estado de sus recursos y procesos TI, cómo aportan valor y cómo evolucionan.

Sirvan como ejemplo:

ƒ KGI y KPI

¾ Key Goal Indicator: Grado de cumplimiento de los objetivos


establecidos.
Por ejemplo: Mejora de la percepción en el usuario del servicio prestado.

¾ Key Performance Indicator: Cómo se llega al grado de cumplimiento.


Por ejemplo: El tiempo medio de resolución de reclamaciones está
disminuyendo un 20%.

ƒ CMM

¾ Es un modelo de evaluación de los procesos de una organización. Cada


proceso evaluado por CMM define un conjunto de buenas prácticas que
habrán de ser: definidas en un procedimiento, provistas de los medios y
formación necesarios, ejecutadas de un modo sistemático, universal y
uniforme, medidas y verificadas. En función del estadio de aplicación de
cada práctica, el proceso se clasifica en:

Inicial / Repetible / Definido / Gestionado / Optimizado

5
IT Governance: ITIL, COBIT, CMMI

ƒ BSC (Cuadro de Mando Integral)

¾ Según la norma UNE 66174 es una herramienta de gestión que facilita la


toma de decisiones y que recoge un conjunto coherente de indicadores
que proporciona a la alta dirección y a las funciones responsables, una
visión comprensible del negocio o de su área de responsabilidad”.

El Cuadro de Mando Integral es una herramienta de administración de empresas que


muestra continuamente cuándo una compañía y sus empleados alcanzan los resultados
perseguidos por la estrategia. Sugiere la visión de la organización desde cuatro
perspectivas. Para cada perspectiva se definen indicadores representativos que
proporcionan una visión global de la organización:

A partir de un Cuadro de Mando Integral se puede establecer un mapa estratégico sobre


“donde queremos estar” y realizar un estudio del impacto de determinadas acciones.

El Cuadro de Mando Integral, es por lo tanto un sistema de gestión estratégica de la


empresa, que consiste en:

ƒ Formular una estrategia consistente y transparente.


ƒ Comunicar la estrategia a través de la organización.
ƒ Coordinar los objetivos de las diferentes unidades organizativas.
ƒ Conectar los objetivos con la planificación financiera y presupuestaria.
ƒ Identificar y coordinar las iniciativas estratégicas.
ƒ Medir sistemáticamente la realización, proponiendo las acciones correctivas
oportunas.

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas
contribuyen al éxito de las empresas en las que se encuadran, realizando una gestión
más eficiente de los recursos, minimizando los riesgos y alineando sus decisiones con
los objetivos del negocio.

6
IT Governance: ITIL, COBIT, CMMI

Los factores inductores del Gobierno TI en la organización pueden ser:

ƒ Regulaciones y Normativa: Legales (SOX,LOPD), Estándares (ISO 27001,


ISO 20000), Certificaciones CMMI,...

ƒ Optimización de Recursos: Reingeniería procesos TI, Consolidación de


Recursos, Estrategias de externalización,...

ƒ Peticiones del Negocio: Alineamiento TI con la estrategia, Ciclo de vida de


productos y servicios, gestión de la demanda,...

Los factores críticos pueden ser los siguientes:

ƒ Conocer dónde se desea ir, evitando siempre la improvisación.


ƒ Establecer mecanismos de medición y control claros.
ƒ Que el marco temporal sea adecuado, la mejora lleva tiempo, no se deben
esperar resultados a corto plazo, en menos de seis meses.
ƒ Alinearse con iniciativas que ya estén en curso.
ƒ No perderse en los modelos, no hay modelo ideal, cada situación requiere de
soluciones a medida.
ƒ Dotar a la organización de herramientas adecuadas.

Otro punto a destacar es la existencia de estándares emergentes de facto en lo que a


modelos de Gobierno TI se refiere.

Según una nota sobre COBIT 4.0 de la consultora Gartner, el futuro del Gobierno TI se
fundamentará en la adopción de modelos que tomen como marco de referencia y control
COBIT 4.0 e incorporen CMMI e ITIL como receptores de las mejores prácticas
existentes.

ƒ ITIL (IT Infrastructure Library desarrollado por la Central Computer and


Telecommunications Agency británica a partir de un caso de fracaso en la bolsa
de Londres): Es el modelo que goza del reconocimiento de toda industria como
estándar de facto para la gestión de servicios TI. En 2007 se ha publicado la
versión 3. Establece el qué; pero no el cómo.

ƒ COBIT (Control Objectives for Information and Related Technologies): Es el


modelo de referencia para la definición de objetivos y control de áreas TI.

ƒ CMMI (Capability Maturity Model Integration del Software Engineering


Institute): Hace lo propio en todo lo relativo al desarrollo de software. Mejora de
procesos de desarrollo y mantenimiento de software. En agosto de 2006 se
publicó la versión 1.2.

7
IT Governance: ITIL, COBIT, CMMI

El Gobierno TI viene a certificar la entrada definitiva del director de informática (CIO)


en el consejo de administración de las organizaciones, así como las traslación al ámbito
de los sistemas de información de toda la cultura de gobierno, gestión y control
ampliamente implantada en otros ámbitos de la empresa.

Áreas del Gobierno TI

¾ Alineamiento estratégico
Se centra en:

ƒ Asegurar la conexión e integración del negocio con los planes de TI.


ƒ Definir, mantener y validar las propuestas de valor de TI.
ƒ Alinear las operaciones de TI con las de la empresa.
ƒ Obtener mejor alineación que la competencia.

8
IT Governance: ITIL, COBIT, CMMI

¾ Entrega de valor
Se refiere a ejecutar las propuestas de valor durante el ciclo de entrega,
asegurando que TI entrega los beneficios relacionados con la estrategia del
negocio, concentrándose en optimizar costes y proporcionar el valor intrínseco a
la TI.

¾ Gestión del Riesgo


Requiere:

ƒ Concienciación por parte de la alta dirección.


ƒ Comprender la necesidad del cumplimiento con los requisitos.
ƒ Transparencia en el tratamiento de los riesgos más significativos.
ƒ Integrar las responsabilidades de la gestión de riesgos en la
organización.
ƒ Clara comprensión de la apetencia de riesgo de la organización.

¾ Gestión de Recursos
Se centra en:
ƒ Organizar de manera óptima los recursos de TI de forma que los
servicios que los requieran los obtengan en el lugar y momento
necesarios.
ƒ Alinear y priorizar servicios y productos existentes de TI que se
requieren para apoyar las operaciones del negocio.
ƒ Controlar y monitorizar los servicios TI propios y de terceros.

¾ Medición del Rendimiento


Sigue y controla:
ƒ La estrategia de la implantación.
ƒ La estrategia de los proyectos.
ƒ El uso de los recursos.
ƒ El rendimiento de los procesos.
ƒ La entrega de los servicios utilizando BSC.

Sin una efectiva medición del rendimiento, los otros cuatro aspectos del Gobierno TI es
muy probable que fallen.

Conclusiones

ƒ El buen Gobierno TI no es una ciencia ni una técnica exacta.


Requiere disciplina y compromiso.

ƒ Necesita adaptarse a las estructuras, estrategias y cultura de la


organización.

ƒ Es fundamental el compromiso de los ejecutivos de la organización.

9
IT Governance: ITIL, COBIT, CMMI

ƒ Una vez se ha tomado la decisión de desarrollar un marco para el


Gobierno TI, el primer paso debe ser convencer al Consejo y
Dirección Ejecutiva por ser parte del Gobierno Corporativo. Lo ideal
sería que la decisión partiera del Consejo o de la Dirección General.

ƒ Como mínimo debe crearse un comité de inversiones en TI para


revisar, aprobar y definir prioridades para las inversiones en TI, y un
comité de arquitectura para desarrollar, comunicar e introducir una
arquitectura de empresa y estándares de TI.

ƒ Ninguna metodología, estándar (real o de facto) o ley puede cubrir


todo el espacio de control; pero los Directores de Informática pueden
establecer una base para guiar la implementación de Gobierno TI,
incluyendo: Modelos de organización y Procesos (CMMI, TickiT,...),

ƒ No empezar desde cero. Revisar los marcos existentes (ITIL, COBIT,


CMMI, ISO 17999-1 y 2).

ƒ Establecer un proceso de medida corporativo.

ƒ Comunicar y aprender. El Gobierno TI debe ser continuamente


reforzado y explicado utilizando las medidas e indicadores obtenidos.

ƒ Utilizar el Cuadro Integral de Mando para la comunicación de las


medidas del rendimiento y dirección de TI.
ƒ Tratar de desarrollar un marco propio si:

¾ La preocupación de la organización son los riesgos de


apoyarse en COBIT.
¾ La entrega de servicios se basa en COBIT e ITIL.
¾ La seguridad se basa en COBIT e ISO 17799.

ƒ Es más difícil implantar el Gobierno TI si el CIO no pertenece a la


dirección ejecutiva.

Gestión del Riesgo

Como se ha mencionado anteriormente, la Gestión del Riesgo es un área del Gobierno


TI que requiere:

ƒ Concienciación por parte de la alta dirección.


ƒ Comprender la necesidad del cumplimiento con los requisitos.
ƒ Transparencia en el tratamiento de los riesgos más significativos.
ƒ Integrar las responsabilidades de la gestión de riesgos en la
organización.
ƒ Clara comprensión de la apetencia de riesgo de la organización.

10
IT Governance: ITIL, COBIT, CMMI

La importancia de la Gestión del Riesgo radica en:

ƒ Las nuevas tecnologías introducen nuevas funcionalidades, así como


nuevos y complejos riesgos.

ƒ Al aumentar la dependencia de TI en las organizaciones, un fallo de


seguridad significa un mayor impacto.

ƒ Las mejoras en seguridad de la información pueden llevar a alcanzar


una ventaja competitiva, al generar confianza se mejora la imagen de
la organización.

Modelos de Gestión del Riesgo

Existen diferentes propuestas y modelos de Gestionar el Riesgo.

En 2004, el Commitee of Sponsoring Organizations of the Treadway Comisión (COSO)


propone el siguiente ERM (Marco de Gestión Integral de Riesgo).

La OGC británica propone el siguiente marco para administrar riesgos:

11
IT Governance: ITIL, COBIT, CMMI

Otro modelo de administración de riesgos es el AS/NZ 4360:2004. Es el estándar


australiano y neocelandés que define una estructura lógica y ordenada para el Análisis
de Riesgos. Ha sido adoptado por los gobiernos de Australia y Nueva Zelanda, el
National Health Service británico y la administración de British Columbia en Canadá.

Seguridad de la Información

El Gobierno de la Seguridad de la Información es el proceso de establecer y mantener


un marco y una estructura de gestión y procesos que provean aseguramiento de que las
estrategias de seguridad de la información están alineados con los objetivos de negocio,
siendo conformes con la legislación vigente por medio de políticas y controles internos
y asignando responsabilidades suficientes para gestionar adecuadamente el riesgo.

¿Por qué es tan importante para una organización establecer una correcta gestión de la
seguridad de la información?

12
IT Governance: ITIL, COBIT, CMMI

La problemática de la seguridad en los sistemas de información surge del acelerado


desarrollo e implantación de las Tecnologías de la Información y Comunicaciones. La
rápida implantación que ha tenido Internet en nuestras vidas ha provocado que mucha
información (en muchos casos confidencial) esté a disposición de cualquiera. La escasa
seguridad que existía en los orígenes de la democratización de Internet sirvió de aviso,
de tal forma que la seguridad de la información comenzó a considerarse en ámbitos
como el empresarial, comercial y jurídico-legal.

La seguridad no sólo afecta al tráfico que circula por la red. Debe entenderse como algo
integral.

Los gerentes de seguridad de la información han esperado mucho tiempo a que alguien
tomara el liderazgo para desarrollar un conjunto de normas de seguridad de la
información que estuviera sujeto a auditoría y fuera reconocido globalmente. Este
conjunto de normas facilitaría la toma de decisiones de compra, incrementaría la
cooperación entre los múltiples departamentos por ser la seguridad de interés común y
ayudaría a consolidar la seguridad como prioridad empresarial.

Desde su publicación por parte de la Organización Internacional de Normas en


diciembre de 2000, ISO 17799 surge como la norma técnica de seguridad de la
información reconocida a nivel mundial.

ISO 17799 se define como un completo conjunto de controles que incluye las buenas
prácticas de seguridad de la información. En la actualidad, las normas ISO 27000 son el
estándar de seguridad de la información. En la sección Documentos del curso puede
obtener más información sobre el tema.

Evolución Normativa

1995 BS 7799-1:1995 (Norma británica/ Código de práctica. Guía de buenas prácticas,


para la que no se establece un esquema de certificación).

1999 BS 7799-2:1999 (Norma británica / Especificación. Establece los requisitos de un


sistema de seguridad de la información (SGSI) para ser certificable por una entidad
independiente).

1999 Revisión BS 7799-1:1999.

2000 ISO 17799:2000 (Norma internacional / Código de práctica. BS 7799-1:1999 se


adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000).

2002 Revisión BS 7799-2:2002 para adecuarse a la filosofía de normas ISO de sistemas


de gestión.

2004 UNE 71502 (Norma española).

2005 Revisión ISO 17799:2005.

13
IT Governance: ITIL, COBIT, CMMI

2005 Revisión BS 7799-2:2005 (Especificación con guía de empleo).

2005 ISO 27001:2005 (Norma internacional certificable).

Familia ISO 27000

ISO 27000 (En Desarrollo. Publicación prevista para 2008) Términos y Definiciones.
Distribución gratuita.

ISO 27001 (Publicado el 15 de Octubre de 2005) Estándar Certificable ya en Vigor.


ISO 27002 (2007) Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe
los objetivos de control y controles recomendables en cuanto a seguridad de la
información. No es certificable. Contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios.

ISO 27003 (En Desarrollo. Publicación prevista para 2008) Guía para la Implantación.

ISO 27004 (En Desarrollo. Publicación prevista para 2008) Métricas e Indicadores.

ISO 27005 (En Desarrollo. Publicación prevista para 2008) Gestión de Riesgos (BS
7799-3:2006).

ISO 27006 (Publicado en Febrero de 2007) Requisitos para Acreditación de Entidades


de Certificación.

ISO 27007 (En Desarrollo. Publicación prevista para 2010) Guía de auditoría de un
SGSI.

ISO 27011 (En Desarrollo. Publicación prevista para 2008) Guía de gestión de
seguridad de la información específica para telecomunicaciones.

ISO 27031 (En Desarrollo. Publicación prevista para 2010) Guía de continuidad de
negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032 (En Desarrollo. Publicación prevista para 2009) Consistirá en una guía
relativa a la ciberseguridad.

ISO 27033 (En Desarrollo. Publicación prevista para 2010) Norma consistente en 7
partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de
redes de referencia, aseguramiento de las comunicaciones entre redes mediante
gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y
diseño e implementación de seguridad en redes.

ISO 27034 (En Desarrollo. Publicación prevista para 2009) Guía de seguridad en
aplicaciones.

14
IT Governance: ITIL, COBIT, CMMI

SGSI

El SGSI no trata de garantizar un nivel de protección total ni la seguridad perfecta, sino


que los riesgos de la seguridad de la información son:
ƒ Conocidos.
ƒ Asumidos.
ƒ Gestionados y minimizados de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologías.

Pretende organizar la seguridad de la información en función de los riesgos de la


compañía.

Un SGSI se implanta por:

ƒ Requerimientos de los clientes (típicamente en empresas de servicios.


ƒ Principios corporativos.
ƒ Imagen, reputación, ventaja competitiva en el sector.
ƒ Necesidades en entornos interrelacionados (por ejemplo, cadenas de
valor integradas).
ƒ Cumplimiento normativo de diferentes ámbitos: SOX, Basilea II, Ley
de Transparencia de las Sociedades Anónimas Cotizadas (Gobierno
Corporativo, Sistemas de control del riesgo).

Ya no se discute la necesidad de implantar un Sistema de Seguridad en la empresa; pero


sí conocer cómo se está respecto al resto.

Beneficios de la implantación de un Sistema de Gestión de la Seguridad de la


Información:

ƒ Estructura e inversiones adecuadas, coste correcto.


ƒ Control y clasificación de activos, conocer de qué activos se dispone.
ƒ Involucrar a la Alta Dirección en la Seguridad de la Información
(Dirección de operaciones y comunicaciones).
ƒ Desarrollar una Política de Seguridad de obligado cumplimiento.
ƒ Evaluación de riesgos internos y externos.
ƒ Gestión de las personas: seguridad del personal.
ƒ Desarrollo y mantenimiento de sistemas.
ƒ Disponer de Planes de Contingencia ante incidencias.
ƒ Realizar análisis de riesgos para el desarrollo del negocio.
ƒ Disponer además de Planes de Continuidad de negocio y
recuperación ante desastres.
ƒ Cumplimiento con la legislación vigente.

15
IT Governance: ITIL, COBIT, CMMI

Los nuevos problemas no son meramente tecnológicos, sino de integración de la


seguridad con el resto de actividades de la organización.

Problemas a los que se enfrenta la implantación de un Sistema de Gestión de la


Seguridad de la Información:

ƒ Quien decide qué es necesario comprar se rige por criterios


meramente económicos, quien compra no entiende de Seguridad.

ƒ Aparecen nuevas necesidades legales, la LOPD, LSSICE,... han dado


paso a la Ley de Propiedad Intelectual, Sobarnes-Oxley,... En la
actualidad, es habitual encontrar bufetes con departamentos en los
que desarrollan su trabajo abogados especialistas en TI.

ƒ La seguridad se ha convertido asunto de estado, los gobiernos deben


implicarse más.

ƒ Algunos acontecimientos recientes como el atentado de las Torres


Gemelas, el incendio del Edificio Windsor en Madrid y el CPD de la
compañía Iberia han servido para analizar errores e implantar mejoras
en muchas organizaciones.

Conclusiones sobre la Seguridad y los Sistema de Gestión de la Seguridad de la


Información:

ƒ La seguridad en las Tecnologías de la Información y Comunicaciones es un


PROCESO que afecta a toda la organización.

ƒ Las organizaciones deben definir una estrategia de seguridad basada en el


negocio y no en la tecnología.

ƒ La Seguridad de la Información se basa en PERSONAS.

ƒ La Seguridad de la Información debe orientarse al RIESGO.

ƒ Las organizaciones deben definir una estrategia de seguridad basada en el


negocio y no en la tecnología.

ƒ Un buen SGSI es un sistema RENTABLE para la organización.

ƒ NO EXISTE la seguridad absoluta. El SGSI AYUDA a la gestión.

ƒ Se deben definir ESTRATEGIAS DE NEGOCIO y huir de actuaciones


puntuales.

ƒ Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO.

ƒ La implantación de un SGSI tiene muchas ventajas y es un diferenciador de la


competencia.

16