Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIDAD 1 AUDITORÍA TI
Sistemas de Gestión de Seguridad de la Información
COBIT
Abril, 2021
1. Información
de alta calidad
6.
Cumplimiento 2.-Uso
de las leyes, efectivo e
normas y innovador de
regulaciones las TI
pertinentes
Beneficios
COBIT 5
5.Optimizació
n de servicios, 3.Excelencia
costos y operativa
tecnología
4.Mantener
los riesgos
relacionados a
las TI a un
nivel bajo y
aceptable
GOBIERNO TI
BENEFICIOS
Modelo COBIT 5
ISACA ha publicado cinco ediciones del modelo COBIT buscando un cubrimiento total
de los elementos que comprenden las Tecnologías de Información (TI) y de las
necesidades de las empresas.
En la primera y segunda edición del
modelo COBIT, se establecieron objetivos
de control a partir de la recolección y
análisis de diversas fuentes
internacionales, tales como:
Estándares técnicos, códigos de conducta,
estándares de calidad, estándares
profesionales en la revisión, y prácticas y
requisitos de la industria.
Para la tercera edición se
desarrollaron pautas de gerencia y
se actualizó el modelo de acuerdo a
las referencias internacionales.
La cuarta edición ayudó a llevar
las directrices de gobierno de TI a
más ejecutivos de negocio.
La más reciente edición, COBIT 5, ayuda
a las organizaciones a crear un valor
óptimo a partir de la TI, debido a que
mantiene un equilibrio entre la realización
de beneficios, la optimización de los
niveles de riesgo y el uso de los recursos.
5 EDICIONES DEL MODELO
COBIT
A partir de:
Val IT, framenwork de gobernabilidad que se puede utilizar para crear
valor de negocio en inversiones TI
Risk IT, framenwork Riesgos relacionados con el uso de TI
3.- 4.-
2.-
1.-
Estructura COBIT 5
El Marco integral de COBIT 5 presentado por ISACA incluye los siguientes
productos que permiten un trabajo y acompañamiento completo:
A partir de:
Estructura COBIT 5
COBIT 5 está construido sobre 5 principios y 7 habilitadores/catalizadores, los cuales son
genéricos y útiles para todas las organizaciones, sin importar sus características, debido a que
permite ser adaptado de acuerdo con las necesidades de cada una.
A partir de los principios y habilitadores, el modelo COBIT 5 se enfoca en alinear las metas del
negocio de la empresa con las metas de TI, brindando métricas y modelos de capacidad para
medir sus logros; una vez identificados los procesos y controles críticos de TI, el modelo de
capacidad permite identificar y demostrar a la dirección las debilidades en la capacidad, con
el fin de crear un plan de acción y llevar los procesos
A partir de: al nivel de capacidad deseado.
Estructura COBIT 5
Para lograr sus objetivos, COBIT 5 presenta un marco de trabajo que se desarrolla con base
en buenas prácticas.
A partir de:
Principios de COBIT 5
Como mencionábamos anteriormente, el marco de trabajo de COBIT 5 se basa en 5 principios
claves que permiten que la empresa construya un Gobierno y Administración de TI efectivos,
enfocados hacia 7 habilitadores, que optimizan la inversión en TI y generan beneficios para
las partes interesadas.
Los Principios son:
1. Satisfacer las necesidades de las partes interesadas
2. Cubrir la organización de forma integral
3. Aplicar un solo marco integrado
4. Habilitar un enfoque holístico A partir de:
5. Separar el gobierno de la administración de TI
Principios de COBIT 5
Uno de los principales objetivos de las empresas es la creación de valor para sus partes
interesadas (Stakeholders). Sin embargo, debido a que cuando hablamos de partes
interesadas en una empresa, nos referimos a diferentes individuos o grupos que pueden
ser afectados por las decisiones tomadas
A partiry que
de: tienen una concepción diferente de valor,
es complicado crear valor para cada uno.
Principio1
de COBIT 5
A partir de:
Principio1
de COBIT 5
Por esta razón, en primer lugar, es importante tener en cuenta todos los intereses y definir el concepto único de valor
en la empresa.
Existen diferentes factores que pueden influir en las necesidades e intereses de las partes interesadas, tales como el
entorno de la empresa, las nuevas tecnologías y las regulaciones, y normas emergentes, los cuales deben ser
analizados para entender las necesidades de las partes.
Luego, la creación de valor se obtiene cuando se logra un equilibrio entre beneficios, el costo de los recursos y la
optimización de los riesgos.
A partir de:
Principio1 de COBIT 5
Por esta razón, en primer lugar, es importante tener en cuenta todos los intereses y definir el concepto único de valor
en la empresa.
Existen diferentes factores que pueden influir en las necesidades e intereses de las partes interesadas, tales como el
entorno de la empresa, las nuevas tecnologías y las regulaciones, y normas emergentes, los cuales deben ser
analizados para entender las necesidades de las partes.
Luego, la creación de valor se obtiene cuando se logra un equilibrio entre beneficios, el costo de los recursos y la
optimización de los riesgos.
A partir de:
Principio1 de COBIT 5
A partir del análisis de las necesidades e intereses de las partes, se construye la estrategia corporativa. A partir de la
estrategia se puede proceder a definir metas específicas, prácticas y personalizadas, dentro del contexto de la
empresa, establecidas a través del mecanismo de Cascada de metas.
A partir de:
Principios de COBIT 5
Principios 2
A partir de:
Principios de COBIT 5
A partir de:
Principios de COBIT 5
A partir de:
Las
ISO 27000 e ISO 31000
ISO
¿Qué es ISO?
ISO son las siglas en inglés International Organization for Standardization. Se trata
de la Organización Internacional de Normalización o Estandarización, y se dedica
a la creación de normas o estándares para asegurar la calidad, seguridad y
eficiencia de productos y servicios. Son las llamadas Normas ISO.
*ISO/IEC 27000 :desarrollado por ISO(International Organization for Standardization) e IEC (International Electrotechnical Commission),
La serie ISO 27000
Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y
tecnologías.
La serie ISO 27000¿Cómo adaptarse?
2
5
La serie ISO 27000
Factores de éxito
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
• Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de
mejora.
• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los
usuarios (los incidentes de seguridad deben ser reportados y analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el
soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del negocio.
La serie ISO 27000
Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación,
alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo
organizativo.
• Falta de comunicación de los progresos al personal de la organización.
La serie ISO 27000
Consejos básicos
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación,
alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo
organizativo.
• Falta de comunicación de los progresos al personal de la organización.
ISO 31000
La norma ISO 31000 sobre
Gestión de Riesgos proporciona una guía y unos
principios que ayudan a las empresas en el análisis y
evaluación de los riesgos.
ISO 31000
Principios:
1. Crear valor
2. Integración en los procesos de la organización
3. Toma de decisiones
4. Trata la incertidumbre
5. Sistemática, estructurada y adecuada
6. Se basa en la información disponible
7. Hecha a la medida
8. Resalta factores humanos y culturales
9. Transparente e incluyente
10.Dinámica, interactiva y sensible al cambio
11.Mejora continua de la organización
Principios ISO 31000
1. Crear valor
Facilita el cumplimiento de los objetivos planteados y de los requisitos legales relacionados a la seguridad,
salud laboral, protección ambiental, entre otros
2. Integración en los procesos de la organización
No es una gestión que se realiza aparte, por el contrario, está involucrada en las actividades principales de
la empresa.
3. Toma de decisiones
Permite que se tomen decisiones relacionadas a los planes de prevención o alternativas que se podrán en
práctica para la gestión de riesgos
4. Trata la incertidumbre
Se enfoca en aquellos aspectos que son inciertos y de la manera en qué debería tratarse.
5. Sistemática, estructurada y adecuada
Permite que se dé un desempeño eficaz y que se puedan obtener resultados confiables.
6. Se basa en la información disponible
Se fundamentan en fuentes de información fiables como lo son la experiencia, el análisis y las opiniones
de los expertos.
Principios ISO 31000
7. Hecha a la medida
Se enfoca de manera directa con los objetivos internos y externos de la organización.
9. Transparente e incluyente
La participación de los públicos de interés permite que la gestión del riesgo este siempre actualizada.
tomada de gestioón-calidad.com
Gestión de Riesgos: diferencias entre ISO 31000 e ISO 27001
Ayuda a que la gestión se proactiva.
Permite entender la importancia de identificar, analizar, monitorear y tratar el riesgo en cada una de
sus etapas.
Contribuye a que se puedan identificar debilidades, amenazas, oportunidades y fortalezas en todo el
proceso.
Facilita el cumplimiento de los requisitos legales de las normas internacionales.
Mejora la gestión financiera y la de la compañía, y la confianza de los públicos involucrados.
Se crea una estrategia confiable enfocada en la toma de decisiones y planificación.
Previene las pérdidas que se puedan presentar.
Permite que los incidentes que se puedan presentar sean manejados a tiempo o anticipadamente.
Da la posibilidad de que se pueda conocer a fondo los procesos de la empresa.
Gestión de Riesgos: diferencias entre ISO 31000 e ISO 27001
www.juanmas.co/recursos
51
BIBLIOGRAFIA Y LINKS
• Advancing IT, Audit, Governance, Risk, Privacy & Cybersecurity | ISAC
A
( https://isaca.org)
• www.auditool.org
• https://www.normasiso.net/wp-content/uploads/2016/10/iso-27000.
pdf
• https://www.normasiso.net
• https://www.piranirisk.com/es/blog/todo-lo-que-debe-saber-sobre-la
-norma-iso-31000
• http://gestion-calidad.com/wp-content/uploads/2016/09/Modelo-EF
QM.pdf