Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
ETAPA 2
2
CONTENIDO
pág.
3
4
INTRODUCCIÓN
5
JUSTIFICACIÓN
6
OBJETIVOS
7
CAPITULO 1: MODELOS DE TRABAJO
De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en
estándares, directrices y prácticas existentes para que las organizaciones de
infraestructura crítica gestionen mejor y reduzcan el riesgo de Ciberseguridad.
Además, se diseñó para fomentar las comunicaciones de gestión del riesgo y la
seguridad cibernética entre los interesados internos y externos de la
organización".
8
Establecer controles para proteger la propiedad intelectual, la privacidad de
los individuos y las libertades civiles cuando se ejecuten actividades de
Ciberseguridad
Identificar áreas de avance que permitan ser gestionadas a través de
colaboraciones futuras con sectores particulares y organizaciones
orientadas al proceso de estándares
El NIST está basado y/o hace referencia a los siguientes estándares, directrices y
mejores prácticas:
9
en términos de estándares de la industria, directrices y prácticas que permiten la
comunicación de actividades de ciberseguridad y sus resultados a lo largo de la
organización, desde el nivel ejecutivo hasta el nivel de implementación/operación.
Para ello, emplea cinco funciones fundamentales:
Identificar: permite desarrollar la comprensión de la organización para
gestionar los riesgos de seguridad cibernética a sistemas, con gestión de
activos, ambiente de negocios, gobernabilidad, evaluación de Riesgos y
estrategia de Gestión de Riesgos.
10
Niveles de implementación del marco (Framework Implementation Tiers)
Los perfiles se emplean para describir el estado actual (Current profile) y el estado
objetivo (Target profile) de determinadas actividades de ciberseguridad. El análisis
diferencial entre perfiles permite la identificación de brechas que deberían ser
gestionadas para cumplir con los objetivos de gestión de riesgos.
11
Para ello, se requiere la definición de un plan de acción que incluya una
priorización de actividades dependiendo de las necesidades de negocio y
procesos de gestión de riesgos de la organización. Este enfoque basado en el
riesgo le permite a la organización estimar los recursos necesarios (por ejemplo,
personal y financiación) para lograr las metas de ciberseguridad establecidas de
una manera rentable y priorizada.
COBIT
COBIT (Control Objectives for Information Systems and related Technology) que
traduce Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas, desarrollado por ISACA (Information Systems Audit and Control
Association), lanzado en 1996, es un modelo utilizado para auditar los sistemas de
información de toda la organización, es una herramienta de gobierno de TI que ha
cambiado la forma en que trabajan los profesionales de tecnología. Vinculando
tecnología informática y prácticas de control.
La estructura del modelo COBIT propone un marco de acción donde se evalúan
los criterios de información, como por ejemplo la seguridad y calidad, provee una
herramienta automatizada, para evaluar de forma ágil y consistente el
cumplimiento de los objetivos de control y se auditan los recursos que
comprenden la tecnología de información, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre
los procesos involucrados en la organización.
Se divide en 3 niveles, los cuales son los siguientes:
Dominios: Agrupación natural de procesos, normalmente corresponden a
un dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con demarcación o
cortes de inspección. y control
Actividades: Acciones requeridas para lograr un resultado medible.
12
Dominios
COBIT define un marco de referencia que clasifica los procesos de las unidades
de tecnología de información de las organizaciones en cuatro dominios
principales, los cuales presentan objetivos específicos que deben desarrollados:
13
Facilitar la operación y el uso.
Adquirir recursos de TI.
Administrar cambios.
14
Beneficios
Características
Orientado al negocio.
Alineado con estándares y regulaciones "de facto".
Basado en una revisión crítica y analítica de las tareas y actividades en TI.
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA).
15
¿Por qué implementar COBIT en una organización?
ITIL
16
ITIL engloba una sucesión de conceptos y herramientas de gestión de prestación
de servicios, principalmente de tecnologías de la información, y las operaciones
relacionadas con ellas. Esta manera de enfrentar la gestión no es un manual que
se ha de seguir al pie de la letra, ITIL no es severo en cuanto en su
implementación, por lo que se pueden adoptar los aspectos o funcionalidades que
se adapten mejor a nuestro tipo de proyectos y permita optimizar su gestión.
Soporte de Servicio
17
CONCLUSIONES
18
BIBLIOGRAFÍA
19