DISEÑO DE MODELO DE GOBIERNO Y

GESTIÓN DE TI DIRIGIDO A LAS ALCALDÍAS

DE CUARTA CATEGORÍA PARA LA GESTIÓN
DE RIESGOS DE LA SEGURIDAD DE LA
INFORMACIÓN ORGANIZACIONAL

Leonardo Gómez Salas

Juan Meza Barraza
Director: Wilson Nieto

MAESTRÍA EN GOBIERNO DE TECNOLOGÍAS DE LA INFORMACIÓN

 Introducción
• Las tecnologías de información o TI están cumpliendo un rol cada vez más
importante en cualquier organización alrededor del mundo: la digitalización y
automatización de sistemas críticos para la organización, es un fenómeno que
ha venido creciendo exponencialmente en los últimos años, lo cual ha hecho que
las mismas sean cada vez más eficientes y productivas.
• Toda tecnología presenta:

Administración
Vulnerabilidades Errores Deficiencias
Compleja
 Antecedentes

• El entorno de administración local municipal no es la excepción. Los

departamentos de TI de las Alcaldías del Departamento del Atlántico, tienen
inconvenientes en su operación diaria; esto se debe a diversos factores,
entre los cuales se encuentra una gestión inadecuada de la Seguridad de la
Información y de los Riesgos de TI.
• El problema a tratar es que, a pesar que existen diversos conjuntos de
marcos de referencia y metodologías para trabajar en la seguridad de la
información y gestión de riesgos de TI, no existe una guía de
implementación ajustada a las necesidades del sector.
 Objetivo General

• Diseño de un modelo de Gestión de Riesgos de Seguridad de la Información,

para las instituciones públicas de cuarta categoría, utilizando los estándares
internacionales de Gobierno de TI, enmarcado en la ley y la Constitución
Nacional Colombiana.
 Objetivos Específicos
• Analizar los diferentes estándares y el estado del arte para gobierno y
gestión de TI aplicables al sector público, como también los aspectos
legales y constitucionales que impactan sobre un modelo de gestión de
TI.
• Proponer y establecer los componentes, la estructura, los procesos y los
indicadores del modelo de gestión de riesgos de seguridad de la
información asociados al modelo de gestión y gobierno de TI en el
contexto de la estrategia de gobierno en línea.
• Generar la propuesta de guía de implementación de mejores prácticas en
gestión de riesgos de TI, definiendo los pasos y las herramientas
adecuadas a las necesidades y particularidades de las Alcaldías.
 Alcance y Limitaciones
• Alcance: Incluye el diseño de un modelo de Gestión de Riesgos de TI y
Gestión de Seguridad de la Información, para las Alcaldías de cuarta
categoría del Departamento del Atlántico, alineado con marcos, guías,
referencias y estándares principales existentes en el mercado a nivel
nacional e internacional.
• Plan de implementación del Modelo.
• Limitaciones:
- El personal de la alta dirección de las Alcaldías del departamento del
Atlántico, tienen poco conocimiento de estándares, normas y marcos de
referencias de Gobierno de TI existentes.
- Falta de tiempo por parte del equipo de trabajo de las Alcaldías.
Componentes del Modelo Propuesto

ISO:38500

COBIT
 COBIT

Es una guía de mejores prácticas presentado como FRAMEWORK, dirigida

al control y supervisión de tecnología de la información (TI).
Mantenido por ISACA y el Instituto de Gobernanza, tiene una serie de
recursos que pueden servir de modelo de referencia para la gestión de TI,
incluyendo un resumen ejecutivo, un framework, objetivos de control,
mapas de auditoría, herramientas para su implementación y
principalmente, una guía de técnicas de gestión.
 Los Principios de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas

5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral

Principios
de COBIT 5

4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado

Fuente:  COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.

 SUBDIVISIÓN DE MODELO REFERENCIA COBIT 5

DIRIGIR

MONITOREA
EVALUAR
R

GOBIERNO
SUBDIVISIÓN DE MODELO REFERENCIA COBIT 5

Construir, Entregar,
Adquirir e servir y dar
implementar soporte

Alinear, Monitorear,
planear y evaluar y
organizar Valorar
Administración
 ISO:38500

• La norma ISO/IEC 38500:2008 se publicó en junio de 2008, basándose en la

norma australiana AS8015:2005. Es la primera de una serie sobre
el Gobierno de TI.
• Su objetivo es proporcionar un marco de principios para que la dirección de
las organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las
tecnologías de la información (TI's).
 PRINCIPIOS DE ISO 38500
Adquisición Rendimiento

Estrategia Coformidad

Responsabilida Gobierno Factor Humano

d
de TI
 Risk IT

• El Marco de Riesgos de TI (The Risk IT Framework) es producto de la

investigación y aporte de la experiencia conjunta de un equipo global de
especialistas, cuya misión fue la de facilitar a la alta Gerencia, una
administración efectiva de los riesgos de TI relacionados con el negocio, a
partir de su identificación y evaluación.
• Este Marco de Riesgos de TI complementa muy bien a COBiT, ya que
mientras COBiT establece buenas prácticas como el medio para la
administración de riesgo, el Marco de Riesgos de TI (The Risk IT Framework)
establece buenas prácticas para el fin.
 Dominios Risk IT
- Establecimiento y -Recolección de - Articulando el
Mantenimiento de una Datos Riesgo
Visión Común de
Riesgo - Análisis de Riesgo - Administrando el
- Mantenimiento del Riesgo
- Integración con ERM
Gobierno del Riesgo

Evaluación del Riesgo

Respuesta al Riesgo
(Enterprise Risk Perfil de Riesgos - Reaccionando a
Management) Eventos
- Toma de Decisiones
de Negocio con una
Conciencia del Riesgo
 Requerimientos IT
Código Requerimientos de TI Código Requerimientos de TI
RQ01 Plan estratégico de tecnología. RQ11 Gestión de servicios con terceros.
Gestión, desempeño, capacidad y disponibilidad
RQ02 Infraestructura de tecnología. RQ12
de la infraestructura tecnológica.
RQ03 Relaciones con proveedores. RQ13 Continuidad del negocio.
Cumplimiento de requerimientos
RQ04 RQ14 Seguridad de los sistemas.
legales.
RQ05 Gestión de proyectos de TI. RQ15 Educación y entrenamiento de usuarios.
RQ06 Gestión de la calidad. RQ16 Gestión de los datos.
RQ07 Adquisición de tecnología. RQ17 Gestión de instalaciones.
Adquisición y mantenimiento de
RQ08 RQ18 Gestión de operaciones de tecnología.
software.
RQ09 Instalación y acreditación de sistemas. RQ19 Gestión de la Documentación.
RQ10 Gestión de cambios.
Mapeo Requerimientos IT y Frameworks
ISO 38500 COBIT 5 RISK IT
Código Proceso de TI
Estrategia EDM01 RG1-1
RQ01 Plan estratégico de tecnología. APO01
APO02
Adquisición BAI10 -
RQ02 Infraestructura de tecnología. BAI09
Adquisición APO10  
RQ03 Relaciones con proveedores.
Cumplimiento MEA03 RR1-2
RQ04 Cumplimiento de requerimientos legales.
Estrategia BAI01 -
RQ05 Gestión de proyectos de TI.
Desempeño APO11 RR1-3
RQ06 Gestión de la calidad. RR1-4
Adquisición BAI09 RE1-1
RQ07 Adquisición de tecnología. RE1-2
RE1-3
Adquisición BAI01 RE1-1
RQ08 Adquisición y mantenimiento de software. RE1-2
RE1-3
Adquisición APO11 RG2-4
RQ09 Instalación y acreditación de sistemas. BAI03 RG2-5
Desempeño BAI05 RE3-4
RQ10 Gestión de cambios. BAI06 RE3-5
Mapeo Requerimientos IT y Frameworks
ISO 38500 COBIT 5 RISK IT
Código Proceso de TI
Desempeño APO09 -
RQ11 Gestión de servicios con terceros. APO10

Gestión, desempeño, capacidad y disponibilidad de Desempeño DSS04 -

RQ12
la infraestructura tecnológica.
Desempeño DSS04 RG3-2, RG3-3
RQ13 Continuidad del negocio.
  RG3-4
Desempeño DSS05  
RQ14 Seguridad de los sistemas.
Comportamiento APO07 RR1-1, RG1-1
RQ15 Educación y entrenamiento de usuarios.
Humano DSS06 RG1-5, RG1-6
Responsabilidad BAI01, BAI02 RE1-1, RE1-2
RQ16 Gestión de los datos. BAI06, DSS06 RE1-3, RE1-4
APO13, DSS02
Desempeño DSS01 -
RQ17 Gestión de instalaciones. DSS02

Desempeño DSS02 RE1-1

RQ18 Gestión de operaciones de tecnología. DSS06 RE2-4

Responsabilidad DSS02, BAI02 RR1-1, RR1-2

RQ19 Gestión de la Documentación. RR1-4
Modelo Propuesto
Plan de Implementación
2.DIAGNÓSTICO

5. MONITOREO Y 1.CONCIENTIZAR
MEJORA LA ALTA 3.PLANIFICACIÓN
CONTINUA DIRECCIÓN

4.IMPLEMENTACIÓN
 Conclusiones
• Existen diversas metodologías para llevar a cabo una adecuada administración de
riesgos a nivel empresarial, pero son pocas las que involucran el efecto de los Riesgos de
TI en la organización.
• La metodología propuesta presenta una oportunidad para entender mejor los
conceptos definidos en los estándares mencionados para gestión de riesgos dándole un
enfoque a los riesgos tecnológicos.
• Las organizaciones deben robustecer su protección a nivel físico (lo correspondiente a
infraestructura, incluyendo la tecnológica), nivel lógico (sistemas de información y
software) y factor humano (toma de medidas organizacionales); en estos tres aspectos
está presente el uso de tecnología y por ello la exposición a este tipo específico de
riesgo crece constantemente.
¿Preguntas?
GRACIAS