Análisis Complementario De Cobit Con La Norma Iso/Iec 27002:2007: La Seguridad De La Información Como Requerimiento De Negocio
Páginas: 9 (2007 palabras)
Publicado: 25 de julio de 2011
ANÁLISIS COMPLEMENTARIO DE COBIT CON LA NORMA ISO/IEC 27002:2007: LA SEGURIDAD DE LA INFORMACIÓN COMO REQUERIMIENTO DE NEGOCIO
La información es el activo más preciado de cualquier organización, por esto se debe hacer buen uso de la misma, mantener su integridad, veracidad, disponibilidad y sobretodo su seguridad. Estas responsabilidades son actualmente delegadas a los Sistemas deInformación, los cuales deben ser eficientes y eficaces, brindando así confiabilidad a la hora de entregar la información al usuario final. Un buen Sistema de Información debe satisfacer los objetivos de la empresa y las necesidades del negocio para de este modo entregar valor agregado al cliente.
Para la adquisición de un nuevo software se deben atender los requerimientos del negocio tal como dice COBIT.Esto traduce a que se deben tener en cuenta la razón social de la empresa, su tamaño y la visión de la misma para adquirir un software que se ajuste a estas necesidades. Asimismo las directivas tecnológicas y la arquitectura de información son factores relevantes en la adquisición del nuevo Sistema de Información ya que éstos no son más que la forma en cómo la empresa maneja sus recursos de TI y suinformación. El nuevo software debe poder ejecutarse dentro de la infraestructura tecnológica existente y adaptarse a la arquitectura de la información.
Lo anterior está planteado en el Objetivo de Control AI2.1 Diseño de Alto Nivel de COBIT y como se puede ver estos requerimientos son de vital importancia a la hora de adquirir un nuevo software pero también deben tenerse en cuenta los aspectossobre la seguridad de la información que COBIT no plantea dentro de este objetivo. La seguridad de la información no es algo que deba dejarse solamente en el aspecto técnico ya que ésta también es un requerimiento de negocio.
En la cláusula 12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información en su apartado 12.1 Requisitos de Seguridad de los Sistemas de Información, elestándar ISO/IEC 27002:2007 establece que “la seguridad es parte integral de los sistemas de información”, además plantea que los requisitos de seguridad de los sistemas de información se deben identificar y acordar antes de desarrollarse y/o implementarse los mismos. Asimismo sugiere que todos los requisitos de seguridad sean identificados en la fase requisitos de un proyecto. Lo anterior indica que paraISO/IEC 27002:2007 el tema de la seguridad de la información hace parte del diseño de alto nivel porque al ser la información tan valiosa para las organizaciones, este aspecto se convierte en un requerimiento esencial del negocio.
Si bien la cláusula 12 de la ISO/IEC 27002:2007 encaja dentro del diseño de alto nivel, podemos decir que su categoría 12.1.1 Análisis y especificación de losRequisitos de Seguridad más concretamente, podría ajustarse dentro de un diseño detallado, ya que la seguridad es algo que se contempla de forma general dentro del diseño de alto nivel al ser un requisito de negocio pero se debe especificar de manera técnica cada uno de los controles que se deberían considerar para cumplir con este requerimiento. Dentro de los aspectos técnicos en cuanto a seguridad serefiere, también forman parte las siguientes cláusulas y categorías:
5.1 Políticas de seguridad de la Información (que también le concierne al Objetivo de Control AI2.1).
10.3 Planificación y Aceptación del Sistema. Ésta categoría encaja perfectamente con lo que dice COBIT en su Objetivo de Control AI2.2, ya que en sus apartados 10.3.1 y 10.3.2 específica claramente lo que se debe tener en cuentaa la hora de realizar los requerimientos de la aplicación incluso a largo plazo y también sugiere criterios de aceptación del sistema.
11.1 Requisitos del Negocio para el Control del Acceso. Los controles de acceso hacen parte de los requisitos de la aplicación ya que se debe conocer éstos parámetros para poder desarrollar o implementar un software. De igual forma las categorías 11.2 Gestión...
La información es el activo más preciado de cualquier organización, por esto se debe hacer buen uso de la misma, mantener su integridad, veracidad, disponibilidad y sobretodo su seguridad. Estas responsabilidades son actualmente delegadas a los Sistemas deInformación, los cuales deben ser eficientes y eficaces, brindando así confiabilidad a la hora de entregar la información al usuario final. Un buen Sistema de Información debe satisfacer los objetivos de la empresa y las necesidades del negocio para de este modo entregar valor agregado al cliente.
Para la adquisición de un nuevo software se deben atender los requerimientos del negocio tal como dice COBIT.Esto traduce a que se deben tener en cuenta la razón social de la empresa, su tamaño y la visión de la misma para adquirir un software que se ajuste a estas necesidades. Asimismo las directivas tecnológicas y la arquitectura de información son factores relevantes en la adquisición del nuevo Sistema de Información ya que éstos no son más que la forma en cómo la empresa maneja sus recursos de TI y suinformación. El nuevo software debe poder ejecutarse dentro de la infraestructura tecnológica existente y adaptarse a la arquitectura de la información.
Lo anterior está planteado en el Objetivo de Control AI2.1 Diseño de Alto Nivel de COBIT y como se puede ver estos requerimientos son de vital importancia a la hora de adquirir un nuevo software pero también deben tenerse en cuenta los aspectossobre la seguridad de la información que COBIT no plantea dentro de este objetivo. La seguridad de la información no es algo que deba dejarse solamente en el aspecto técnico ya que ésta también es un requerimiento de negocio.
En la cláusula 12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información en su apartado 12.1 Requisitos de Seguridad de los Sistemas de Información, elestándar ISO/IEC 27002:2007 establece que “la seguridad es parte integral de los sistemas de información”, además plantea que los requisitos de seguridad de los sistemas de información se deben identificar y acordar antes de desarrollarse y/o implementarse los mismos. Asimismo sugiere que todos los requisitos de seguridad sean identificados en la fase requisitos de un proyecto. Lo anterior indica que paraISO/IEC 27002:2007 el tema de la seguridad de la información hace parte del diseño de alto nivel porque al ser la información tan valiosa para las organizaciones, este aspecto se convierte en un requerimiento esencial del negocio.
Si bien la cláusula 12 de la ISO/IEC 27002:2007 encaja dentro del diseño de alto nivel, podemos decir que su categoría 12.1.1 Análisis y especificación de losRequisitos de Seguridad más concretamente, podría ajustarse dentro de un diseño detallado, ya que la seguridad es algo que se contempla de forma general dentro del diseño de alto nivel al ser un requisito de negocio pero se debe especificar de manera técnica cada uno de los controles que se deberían considerar para cumplir con este requerimiento. Dentro de los aspectos técnicos en cuanto a seguridad serefiere, también forman parte las siguientes cláusulas y categorías:
5.1 Políticas de seguridad de la Información (que también le concierne al Objetivo de Control AI2.1).
10.3 Planificación y Aceptación del Sistema. Ésta categoría encaja perfectamente con lo que dice COBIT en su Objetivo de Control AI2.2, ya que en sus apartados 10.3.1 y 10.3.2 específica claramente lo que se debe tener en cuentaa la hora de realizar los requerimientos de la aplicación incluso a largo plazo y también sugiere criterios de aceptación del sistema.
11.1 Requisitos del Negocio para el Control del Acceso. Los controles de acceso hacen parte de los requisitos de la aplicación ya que se debe conocer éstos parámetros para poder desarrollar o implementar un software. De igual forma las categorías 11.2 Gestión...
Leer documento completo
Regístrate para leer el documento completo.