Está en la página 1de 4

Universidad Tecnológica Centroamericana

Facultad de Ingeniería y Arquitectura

Gobernabilidad de las TI

Tarea#3:
Análisis de un Caso de Estudio
“TIBO” Y APLICACIÓN DE CONOCIMIENTOS PREVIOS ADQUIRIDOS DE
COBIT E ISO27000 - TIBO

Docente: Ingeniero Franklin Lamelas

Presentado por Wakanda:


11041083 Agni Velásquez
11541216 Didier Murillo
11541212 Jorge Morazán
11341083 Jordi Mairena
11311056 Miguel Ardón

4 de noviembre de 2018
TOBI
El asunto de seguridad

1. En una llamada anónima al CFO, una persona manifiesta tener acceso a información
de clientes proveniente de los sistemas de la empresa y da pruebas de ello mediante
un fax conteniendo información sensible (nombres, gerentes de cuenta, etc.)

• Analizar los riesgos de seguridad.


a. No existe un Gerente de Seguridad
b. La seguridad aún se gestiona en modo reactivo. Esto podría afectar mucho en la
seguridad en los momentos de ataques, puede ser demasiado tarde cuando el
ataque esté activo.
c. Los sistemas son viejos y obsoletos, y hay mucho personal que es
incompetente, lo que puede dar lugar a ataques.
d. El consejo adquiere conocimientos de Tecnologías de Información (TI) y un poco
celosos que TI conserve su presupuesto, mientras que ellos deben
redimensionarse. Esto puede crear usuarios desleales en la cual pueden extraer
información sensible, y más aún cuando estos usuarios tienen conocimientos de
TI.

• Recomendar algunas buenas prácticas para mitigar los riesgos.


1. La organización debería definir las una personas responsable del control de
Riesgos y Seguridad en la Organización.
2. La organización debería definir y aplicar un proceso de evaluación de riesgos de
seguridad de la información.
3. La organización debería mantener la información documentada sobre el proceso
de evaluación del riesgo de seguridad de la información.
4. La organización debería comenzar a planificar acciones para abordar riesgos y
oportunidades.

2. Se le informa que la filtración ha ocurrido en la empresa subcontratada y se le hace


entrega de una copia del actual (breve e inadecuado) acuerdo de nivel de servicio (SLA).
Los datos se filtraron porque el contratista utilizó datos reales y on-line, durante las
pruebas de aceptación de la segunda fase de una instalación de un servidor web
inseguro.

•Defina que debería haber incluido la Gerencia en el SLA en relación a la seguridad.


1. La organización debería mantener la información documentada en la medida
necesaria para garantizar la confianza de que los procesos se llevarán a cabo de
manera segura y según lo planeado.
2. La organización también debería garantizar de igual manera que los procesos
subcontratados sean controlados y supervisados de igual manera,
documentando un responsable, pasos a seguir, normas y resultados esperados.

• ¿Qué es lo que cree que realmente pasa que permitió que esa información se hiciera pública?

No hubo buen control y no se reguló el manejo de datos reales de la compañía en un


entorno de pruebas no seguro, causando que fuese fácil extraer esa información.

Asunto de la subcontratación

1. Se ha presentado aquí un detallado proceso de subcontratación. Evalue el


proceso. Describir los problemas encontrados por TIBO o los riesgos a los que se
enfrenta e identifique las mejores prácticas que, de haberse implementado podrían haber
prevenido o evitado dichos problemas y riesgos.

TIBO encontró un problema en cuanto al manejo de la información por parte de la empresa


subcontratada, dando lugar a un filtrado de información delicada.
Esto ocurrió debido a que no se realizó la documentación necesaria al momento de
subcontratar, debido a que fue por un proceso rápido e inadecuado. Tomando en consideración
que es un ente bancario, seguir procesos del COBIT como la EDM02 (asegurar la entrega de
los beneficios) se pudo haber establecido un mejor manejo de la información y así ellos
hubiesen recibido el beneficio completo de la empresa subcontratada.

2. Identificar los roles que deberían jugar en el proceso de Subcontratación la


Auditoría, la dirección de Tl y el CEO. Comparar estas mejores prácticas con los roles
desempeñados.

TI debería tener el rol de asegurarse de que la empresa subcontratada cumpla con los
estándares como la BAI02 (gestionar la definición de requisitos) para manejo de información,
nivel de seguridad, nivel de certificación del personal para que sea competente para la tarea.

Asunto de alineación estratégica


1. Analice las implicancias de gobierno en la forma en que el Consejo, el nivel
Ejecutivo y la dirección de TI gestionaron el proceso de subcontratación.
¿Cuáles serían las mejores prácticas para el gobierno de servicios prestados por
terceros?

El contrato fue hecho en acuerdos del proveedor, pero debió ponerse bajo acuerdos de TIBO y
negociar en base a estos.
También debió involucrarse más personal de alto mando (directores de áreas) y no sólo el
COO y el director de TI para las negociaciones, para que finalmente el CEO pusiera su firma,
una vez que llegasen a un acuerdo.

2. ¿Por qué el CEO no estaba enterado de los reclamos de clientes antes de conocer el
informe del defensor del Consumidor? ¿Cómo se podría evitar esto en el futuro? ¿Qué
cambios en gobierno propone para solucionar este problema?

El CEO no estaba enterado de los reclamos porque el informe que es generado Mesa de
Ayuda del subcontratista y que es enviado por uno de los miembros de Soporte de Usuario,
éste asumió que el contratista gestionó de manera efectiva todos los incidentes y reclamos.

Se podría evitar aplicando métricas con reuniones informativas y aplicando procesos de COBIT
5 como el procesos DSS06 (gestionar los controles de los procesos de negocios).

Algunos cambios que se puede hacer en el gobierno es contratar gente más competente y
tener más regulaciones.

3. Estando el Consejo a punto de comenzar con la iniciativa CRM, ¿cómo se podrá lograr
una mayor alineación entre TI y la estrategia del negocio que la que fue evidente en la
iniciativa We-BOP?

La dirección de TI pensaba que era necesaria una mejor cooperación con el grupo de
estrategia de negocio, a pesar de que las reuniones eran largas y tediosas, por lo que
normalmente no se llegaba a un acuerdo.
Se podría aplicar el proceso de COBIT 5, respecto a la gestión de relaciones (APO08) para que
haya mayor entendimiento entre las 2 áreas.