Cbit
Páginas: 7 (1504 palabras)
Publicado: 13 de julio de 2010
Introducción a la Seguridad de la Información
Montevideo, octubre 2006 Ing. Santiago Paz, CISA, PMP, SSCP
Agenda
• ¿Qué es la Seguridad de la Información? • ¿A quién involucra la Seguridad de la Información? • Gobierno de TI • COBIT • ISO 17799 ISO 27001 • Gestión de riesgos
La información
• La información es un activo, que al igual que los demás, tiene valor para la organización y porlo tanto necesita ser protegido adecuadamente
Objetivos de la Seguridad de la Información (SI)
• El objetivo de la seguridad de la información es proteger los intereses de los negocios que dependan de la información.
Objetivos de la SI (cont.)
• Podemos decir que los objetivos de la seguridad de la información se cumplen cuando:
• • • • CONFIDENCIALIDAD: La información es accedida solopor aquellas personas que estan debidamente autorizadas. INTEGRIDAD: La informacion es completa, presisa y protegida contra modificaciones no autorizadas. DISPONIBILIDAD: La informacion esta disponible y utilizable cuando se requiere. AUTENTICIDAD Y NO-REPUDIO: Las transacciones de informacion del negocio son confiables e identificables.
Involucrados en SI
• La administración efectiva de laseguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio.
Involucrados en SI (cont.)
• • • • • • Dirección Alta gerencia Personal de TI Empleados Auditores Entidades reguladoras externas
Beneficios de la SI
•La SI es “una forma de vida” de la compañía que, bien ejecutada, redunda en:
• Riesgo • Impacto • Perdida de tiempo • Reputación • Confianza• Efectividad
Marcos de referencia para SI
Gobierno de TI
Gobierno de TI
• La seguridad de 100% como tal no existe, por lo que es necesario definir una estrategia de control • La SI no se consigue de un solo intento, hay mejora continua • El gobierno de TI involucra
– Personas – Procesos – Tecnología
PLAN ACT DO
CHECK
Normativa y recomendaciones existentes
• • • • • • • COSO COBITISO 17799/BS7799 ISO 27001/BS7799-2 ITIL ITGI Vendor Specific
– Microsoft – Linux – Cisco
• • • • • •
NIST 800 SOX HIPAA CBK CERT NSA Configuration Guides
Interrelación de las recomendaciones
Regulaciones especificas de la industria Cobierno de TI
COBIT
Gestión de Operaciones de TI
ISO 17799/ISO 27001, CBK, ITIL
Implementación de controles y buenas prácticas
Vendor Specific,CERT, NSA
Experiencia de adopción de recomendaciones
Muestra: 436
Orig: Information Secutity survey dec/2005
CobiT
• CobiT es un modelo de gestión y control de TI, con el objetivo de consensuar:
– los riesgos del negocio – las necesidades de control – y los aspectos tecnológicos,
• mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades El producto CobiT
Resumen Ejecutivo Herramientas de implementación
Marco ReferencialEsquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Factores Críticos de Éxito Guías de Auditoría
Modelos de Madurez
Indicadores Clave de Rendimiento
Indicadores Clave de Logros
Procesos y objetivos de control (I)
Planeación y Organización
Definir un planestratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Evaluación de Riesgos Administración de Proyectos Administración de Calidad
Adquisición e Implementación
Identificación de soluciones Adquisición ymantenimiento de SW aplicativo Adquisición y mantenimiento de Infraestructura TI Desarrollo y mantenimiento de Procedimientos de TI Procurar recursos de TI Instalación y Acreditación de sistemas Administración de Cambios
Procesos y Objetivos de control
Servicios y Soporte
Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño...
Montevideo, octubre 2006 Ing. Santiago Paz, CISA, PMP, SSCP
Agenda
• ¿Qué es la Seguridad de la Información? • ¿A quién involucra la Seguridad de la Información? • Gobierno de TI • COBIT • ISO 17799 ISO 27001 • Gestión de riesgos
La información
• La información es un activo, que al igual que los demás, tiene valor para la organización y porlo tanto necesita ser protegido adecuadamente
Objetivos de la Seguridad de la Información (SI)
• El objetivo de la seguridad de la información es proteger los intereses de los negocios que dependan de la información.
Objetivos de la SI (cont.)
• Podemos decir que los objetivos de la seguridad de la información se cumplen cuando:
• • • • CONFIDENCIALIDAD: La información es accedida solopor aquellas personas que estan debidamente autorizadas. INTEGRIDAD: La informacion es completa, presisa y protegida contra modificaciones no autorizadas. DISPONIBILIDAD: La informacion esta disponible y utilizable cuando se requiere. AUTENTICIDAD Y NO-REPUDIO: Las transacciones de informacion del negocio son confiables e identificables.
Involucrados en SI
• La administración efectiva de laseguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio.
Involucrados en SI (cont.)
• • • • • • Dirección Alta gerencia Personal de TI Empleados Auditores Entidades reguladoras externas
Beneficios de la SI
•La SI es “una forma de vida” de la compañía que, bien ejecutada, redunda en:
• Riesgo • Impacto • Perdida de tiempo • Reputación • Confianza• Efectividad
Marcos de referencia para SI
Gobierno de TI
Gobierno de TI
• La seguridad de 100% como tal no existe, por lo que es necesario definir una estrategia de control • La SI no se consigue de un solo intento, hay mejora continua • El gobierno de TI involucra
– Personas – Procesos – Tecnología
PLAN ACT DO
CHECK
Normativa y recomendaciones existentes
• • • • • • • COSO COBITISO 17799/BS7799 ISO 27001/BS7799-2 ITIL ITGI Vendor Specific
– Microsoft – Linux – Cisco
• • • • • •
NIST 800 SOX HIPAA CBK CERT NSA Configuration Guides
Interrelación de las recomendaciones
Regulaciones especificas de la industria Cobierno de TI
COBIT
Gestión de Operaciones de TI
ISO 17799/ISO 27001, CBK, ITIL
Implementación de controles y buenas prácticas
Vendor Specific,CERT, NSA
Experiencia de adopción de recomendaciones
Muestra: 436
Orig: Information Secutity survey dec/2005
CobiT
• CobiT es un modelo de gestión y control de TI, con el objetivo de consensuar:
– los riesgos del negocio – las necesidades de control – y los aspectos tecnológicos,
• mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades El producto CobiT
Resumen Ejecutivo Herramientas de implementación
Marco ReferencialEsquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Factores Críticos de Éxito Guías de Auditoría
Modelos de Madurez
Indicadores Clave de Rendimiento
Indicadores Clave de Logros
Procesos y objetivos de control (I)
Planeación y Organización
Definir un planestratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Evaluación de Riesgos Administración de Proyectos Administración de Calidad
Adquisición e Implementación
Identificación de soluciones Adquisición ymantenimiento de SW aplicativo Adquisición y mantenimiento de Infraestructura TI Desarrollo y mantenimiento de Procedimientos de TI Procurar recursos de TI Instalación y Acreditación de sistemas Administración de Cambios
Procesos y Objetivos de control
Servicios y Soporte
Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño...
Leer documento completo
Regístrate para leer el documento completo.