1

CIBERTEC
2

CIBERTEC
Integración de TI a los procesos de negocio

Objetivos específicos:

CIBERTEC
3
Vincular la estrategia de TI a la estrategia de la empresa

Objetivos específicos:

CIBERTEC
4
• LA CULPA LA TIENE EL GOBIERNO… DE TI

Objetivos específicos:

CIBERTEC
5
• ¿Cómo puede la empresa poner bajo control TI de tal manera que genere la información que la
empresa necesita?

• ¿Cómo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto?

• ¿Cómo puede la empresa asegurar que TI logre susObjetivos específicos:

objetivos y soporte los del negocio?

CIBERTEC
6
• El gobierno de TI es responsabilidadObjetivos específicos:
de los ejecutivos, del consejo de
directores y consta de liderazgo, estructuras y procesos
organizacionales que garantizan que TI en la empresa sostiene y
extiende las estrategias y objetivos organizacionales.

CIBERTEC
7
• El Gobierno de TI provee la estructura que une los procesos y recursos de TI, y la información con
la estrategia y los objetivos de la empresa; además, integra una serie de mejores prácticas
relacionadas con el ciclo de vida de TI para asegurar que la información que la empresa requiere
para alcanzar sus objetivos es entregada por dicha área.

• Objetivos
Para que TI tenga éxito en satisfacer los requerimientos específicos:
del negocio, la dirección debe implementar
un sistema de control interno o un marco de trabajo que:

Establezca un vínculo entre los requerimientos del negocio y TI

Organice las actividades de TI en un modelo de procesos generalmente aceptado
Identifique los principales recursos de TI a ser utilizados
Defina los objetivos de control gerenciales a ser considerados

CIBERTEC
8
 "
!

CIBERTEC
# $ % & ' ( ()

Objetivos específicos:

CIBERTEC
10
# $ % & ' ( ()

“LA INFORMACIÓN (EN TODAS SUS MODALIDADES)

ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL
BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN.
MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y
ObjetivosPARA
DISPONIBILIDAD ES ESENCIAL específicos:
ALCANZAR
LOS OBJETIVOS DE NEGOCIO.”

CIBERTEC
11
 ( &* ' & $+
Confidencialidad
Garantizar que la Información es accesible solo a
aquellas personas autorizadas.
Prevenir Fugas y filtraciones de información
Objetivos específicos:

Información

Integridad Seguridad de la Información Disponibilidad

Asegurar que los usuarios autorizados
Salvaguardar la exactitud y totalidad de la
tengan acceso a la información y bienes
información y los métodos de procesamiento
cuando lo requieran
y transmisión.

CIBERTEC
Validez y Precisión de información Acceso en tiempo correcto y confiable

12
 & & &, & ' & && &' &

• El desarrollo de las nuevas tecnologías ha dado un giro radical a la forma de hacer negocios,
a la vez que ha aumentado los riesgos para las empresas que se exponen a nuevas amenazas.

• La mayor parte de la información reside en equipos informáticos, soportes de

almacenamiento y redes de datos, englobados dentro de lo que se conoce como sistemas de
información.
Objetivos específicos:

CIBERTEC
13
 & & &, & ' & && &' &

• Los sistemas de información están sujetos a

riesgos y amenazas que pueden generarse desde
dentro de la propia organización o desde el
exterior.
Objetivos específicos:
• Existen riesgos lógicos relacionados con la
propia tecnología que aumentan día a día.
Hackers, robos de identidad, spam, virus, robos de
información y espionaje industrial, por nombrar
algunos, pueden acabar con la confianza de
nuestros clientes y nuestra imagen en el mercado.

• Existen riesgos físicos como incendios,

inundaciones, terremotos o vandalismo que pueden
afectar la disponibilidad de nuestra información y
recursos, haciendo inviable la continuidad de
nuestro negocio si no estamos preparados para

CIBERTEC
afrontarlos.

14
( &- & &

CIBERTEC
15
“Para proteger a las organizaciones de estas
amenazas es necesario conocerlas y afrontarlas de
una manera adecuada. Para ello se deben establecer
procedimientos eficientes e implementar controles de
Objetivos específicos:
seguridad basados en la evaluación de los riesgos y
en una medición de su eficacia.”

CIBERTEC
16
( &* & &, ( &

MINIMO RIESGO ACEPTABLE.

CIBERTEC
17
 ( &* (. & , (. & (

OBJETIVOS DE CONTROL:

Define lo que se quiere alcanzar para mitigar los riesgos identificados en los activos.

5.1 Política de seguridad de la información Objetivos específicos:

OBJETIVO: Dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos
del negocio, las leyes y las regulaciones. La gerencia debería establecer de forma clara las líneas de la política de
actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una
política de seguridad en toda la organización

ACTIVIDADES DE CONTROL:

Son un conjunto de actividades que pueden ser aplicados para alcanzar el objetivo de control.

5.1.1 Documento de política de seguridad de la información

CONTROL: La gerencia debería aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un
documento de política de seguridad de la información.

CIBERTEC
5.1.2 Revisión y evaluación

CONTROL: La política de seguridad debe ser revisada en intervalos planificados o si cambios

significantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.
18
 ( &* (. & (

• SIGNIFICANCIA: clave / no clave

• NATURALEZA: autorización / reconciliación / registro y revisión / salvaguarda / segregación de

funciones
Objetivos específicos:
• PROPÓSITO: preventivo / detectivo

• AUTOMATIZACIÓN: automático / semi automático / manual

• FRECUENCIA: anual / mensual / semanal / diario …

CIBERTEC
19
 !

-
!
"

20

CIBERTEC
• Un Sistema de Gestión de Seguridad de la Información, es una herramienta o metodología sencilla
y de bajo coste que permite establecer políticas, procedimientos y controles con objeto de:

disminuir los riesgos de su organización.

asegurar la continuidad del negocio;
minimizar posibles daños al negocio;
Objetivos específicos:
maximizar oportunidades de negocios

• El plan de seguridad de la información permite la implementación de una SGSI en la organización.

CIBERTEC
21
SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD INFORMÁTICA

• Seguridad informática, se refiere a la protección de las infraestructuras de las tecnologías de la

información y comunicación que soportan nuestro negocio.
Objetivos específicos:

• Seguridad de la información, se refiere a la protección de los activos de información fundamentales

para el éxito de cualquier organización.

CIBERTEC
22
• La implantación y/o certificación de estos sistemas supone la implicación de toda la
organización, empezando por la dirección sin cuyo compromiso es imposible su puesta en marcha.

• La dirección de la empresa debe liderar todo el proceso, ya que es la que conoce los riesgos
del negocio y las obligaciones con sus clientes y accionistas mejor que nadie. Además, es la única
Objetivos específicos:
que puede introducir los cambios de mentalidad, de procedimientos y de tareas que requiere el
sistema.

CIBERTEC
23
 *

24

CIBERTEC
/"

Objetivos específicos:

CIBERTEC
25
26

CIBERTEC
#/ 4 $ & ' ( & ' & &)

1 % & &
0

1 3 &( &
2

1 & & & & &( ,& . (

(. &(% +
5

1 7 % & & ' (

& % . ( ,& .( & &, &( &
6 & &+

1 ' ((. +

CIBERTEC
8

27
#/ 4 $ & ' ( & ' & &)

• Reducción de riesgos debido al establecimiento y seguimiento de

controles sobre ellos. Se reducen las amenazas hasta alcanzar un nivel
asumible por nuestra organización. Si se produce una incidencia, los daños
se minimizan y la continuidad del negocio está asegurada.

•
Objetivos específicos:
Ahorro de costes derivado de una racionalización de los recursos. Se
eliminan las inversiones innecesarias e ineficientes como las producidas
por desestimar o sobrestimar riesgos.

• La seguridad se considera un sistema y se convierte en una actividad

de gestión. La seguridad deja de ser un conjunto de actividades más o
menos organizadas y pasa a transformarse en un ciclo de vida metódico y
controlado, en el que participa toda la organización.

• La organización se asegura del cumplimiento de la legislación vigente

y se evitan riesgos y costes innecesarios. La organización se asegura
del cumplimiento del marco legal que probablemente no se habían tenido
en cuenta anteriormente.

• Mejora la competitividad en el mercado, diferenciando a las empresas

que lo han conseguido una certificación en SGSI y haciéndolas más fiables

CIBERTEC
e incrementando su prestigio.

28
 9

29

CIBERTEC
 &

• El creciente uso de las nuevas tecnologías ha propiciado la creación de un marco legal y

jurídico que protege a todas las partes interesadas en el uso de estas tecnologías y el intercambio
y tratamiento de la información a través de ellas.

• Cumplir con las normativas vigentes es uno de los requisitos que debemos satisfacer para
implantar y certificar un Sistema de Gestión de Objetivos
Seguridad deespecíficos:
la Información. Su cumplimento
nos protegerá de amenazas externas, nos permitirá respetar los derechos de nuestros clientes y
proveedores y evitará infracciones involuntarias con sus respectivos costes

CIBERTEC
30
 2;<<<

• Normas elaboradas conjuntamente por ISO, que es la Organización Internacional de Normalización,

y por IEC, que es la Comisión Electrotécnica Internacional.

• Aplicable a cualquier tipo de organización, independiente de su tamaño y de su actividad

Objetivos específicos:
1 :
2;<<<= & (4 &, $ &
' & &( & & + & .(
2;<<< &( ( & ( ' ( && & '( & > '
& & &+

1 ( & > &( &' &( = ' ( =

2;<<0 '
&(%
=& ' . & = . & = (
$
,
%
&(

1 ? &' @ ( &> & &

& & & ( ' & & & &( &
2;<<2 $ % 7 % + 00 &=5A (. &

CIBERTEC
( , 055 ( &

31
 (. ' . (

• Normativa referida a la seguridad de la información aplicable al ámbito gubernamental y financiero.

• Normativa referida Protección del derecho de autor

Objetivos específicos:
- : 1
&
4
$
* %
% B >.
& @ ( &'
: 0;;AAC2<<8 $
&(%
(
0;;AA * 2<<; 3 ,+ $' ( $ $ ( & (, (D+

E -06< 1 &(% & $ % B D

: 05A -2<<A 1 &(% ( B D

F22 1 ,& 3 (

G E 2F6A50 1 ,> & (% & (

CIBERTEC
32