resumenes cap. gobierno de las tsi

Administración de la Tecnología de Información.

PROF. Dr. Carlos Arturo Torres Gastelú

Resumen Capítulos Libro Gobiernos de las TSI

Capítulos 10-17

Alumno:Santos Pérez Roberto Carlos

Sistemas Computacionales Administrativos

Veracruz, ver. a 09 Noviembre del 2009

Facultad de administración

Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.

CAPITULO 10. PANORAMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TECNOLOGIAS DE INFORMACION.

Las normas son especificaciones tecnicas, de carácter voluntario, concensuadas, elaboradas con la participacion de las partes interesadas (fabricantes, usuarios y consumidores , laboratorios, administracion, centros de investigacion, etc.) y aprobadas por un organismo reconocido.

La normalización contribuye a simplificar y a incrementar la fiabilidad y eficiencia de los bienes y servicios que utilizamos, así como a mejorar el bienestar de la sociedad y redunda en el beneficio común.

Las normas son por tanto documentos de aplicación voluntaria, elaborados por las partes interesadas, por consenso y aprobados por un organismo reconocido.

En el ámbito internacional ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) tienen por objeto favorecer el desarrollo de la normalización en el mundo, con vistas a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos países.

Órganos de trabajo técnicos de ISO: Comités técnicos (CT) Subcomités (SC) Grupos de Trabajo (GT) Documentos:

o Norma internacional (ISO/IEC)

o Informe técnico (TR)

El subcomité SC27 se enmarca en la concepción de la seguridad de las tecnologías de la información como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la información. Se estructura en cinco grupos de trabajo:

1. GT1-requisitos, servicios de seguridad y guías, 2. GT2-mecanismos y técnicas de seguridad, 3. GT3-criterios de evaluación de la seguridad, 4. GT4-servicios y controles de seguridad y 5. GT5-gestion de identidad y privacidad.

Gestión de la seguridad de la información.- normas relativas a la gestión de la seguridad de la información, dar cobertura a áreas como sistemas de gestión de la seguridad de la información, análisis y gestión de riesgos, controles y salvaguardas, métricas otros aspectos.

Técnicas y mecanismo.- destacan en este ámbito las técnicas y mecanismos criptográficos que tienen un protagonismo singular y creciente en la garantía de dimensiones de la seguridad tales como la confidencialidad, la integridad y la autenticación.

Santos Pérez Roberto Carlos


CAPITULO 11. NORMA ISO 27001 GESTION DE LA SEGURIDAD.

Normas producidas por organismos oficiales agrupan las siguientes características:Especificaciones técnicas basadas en la experiencia y en el desarrollo tecnológico, voluntarias, accesibles al público, tanto durante su elaboración, pues se producen en órganos de trabajo abiertos a la industria, como después, pasan por un periodo de información pública durante el cual cualquier persona puede presentar alegaciones o comentarios a su contenido.

Origen de ISO/IEC 27001:o No existió a nivel internacional una norma que complemente al código de buenas prácticas a través de

las especificaciones de los sistemas de gestión de seguridad de la información.

o Coexistieron la norma inglesa BS 7799-2 y la norma española UNE 71502. Se propone el modelo internacionalmente aceptado PDCA.

o En el 2004 ya iniciado el MODELO 27000.

o Se publica la norma ISO/IEC 27001 referente internacional para los “Sistemas de gestión de la seguridad de la información”.

Establecimiento y gestión del SGSIAlcance del sistema de gestión, Definir política del SGSI y la metodología para la valoración del riesgo, identificación de los riesgos, hacer un análisis y evaluación de dichos riesgos, identificación de los diferentes tratamientos del riesgo y selección de los controles.

Implantación y puesta en marcha del SGSIPreparar un plan de tratamiento del riesgo, medir la eficacia de los controles, obtener resultados comparables y reproducibles, crear programas de formación y concienciación en todas las acciones para el personal de la organización y se posibilitaran la cultura de la seguridad.

Control y evaluación del SGSIImplantar procedimientos para el control y la revisión de lo hecho hasta ahora y derivara la eficacia del SGSI a partir de las auditorias de seguridad y las mediciones para verificar que se estén cumpliendo los requisitos de seguridad. Se descubren los defectos y mejoras para lo que se tomaran las medidas correctivas y preventivas. Debe estar sustentado por un procedimiento documentado.



CAPITULO 12. LAS METRICAS DE SEGURIDAD DE LA INFORMACION.

El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información, que supone un ámbito de actuación diferente al de las infraestructuras, aplicativa y sistemas o procesos que la soportan. Tal vez este matiz nos podría ayudar a diferencias ambas figuras y a centrar el objeto de este capítulo.

Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. Y demostrar objetivamente la eficacia y eficiencia de los controles de seguridad.

La norma 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) de una organización.

La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permita recoger, analizar y comunicar dato relacionados con procesos SGSI.

Los objetivos del proceso de medida son, por tanto:Evaluar la eficacia de la implantación de los controles de seguridad, del sistema de gestión de seguridad de la información incluyendo la mejora continua, proporcionar un estado de seguridad para dirigir la revisión de la gestión. Facilitar las mejoras de la seguridad y contribuir a auditoria de seguridad., comunicar el valor de la seguridad a la organización y servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos.

Tipos de medidas:La norma pone la categorización: derivada, base (dentro de ésta cumplimiento y rendimiento). Para medir es necesario un método específico de medición para cada entidad o combinación critica de atributos con la finalidad de extraer la información que puede utilizarse como base para el cálculo de medidas. Puede implicar actividades como contar el numero de acontecimientos u observar el paso del tiempo.

Una medida valida habrá de cumplir con los criterios:Estratégica, cuantitativa, razonable, interpretativa, verificable, evolutiva, útil, indivisible y bien definida y repetible. Los indicadores se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de la información de la organización.



CAPITULO 13. NORMA ISO 17799. CODIGO DE BUENAS PRÁCTICAS PARA LOS SGSI

Sistema de Gestión de Seguridad de la Información (SGSI) es una estructura organizativa, técnica y procedimental que persigue la seguridad de la información a través de un ciclo de análisis de la situación, aplicación de controles, revisión del funcionamiento y la aplicación permanente de mejoras o correcciones. Es lo que comúnmente se conoce como el ciclo PDCA aplicando a la seguridad de la información, que permite adaptarse a los cambios en la organización y la mejora continua.

Los SGSI utilizan la norma ISO 17799:2005 como herramienta para conseguir la seguridad definida en la empresa, pero no es en sí misma una norma certificable. Simplemente presenta qué áreas debe contemplar la empresa respecto a la seguridad y propone controles para conseguir los objetivos de la seguridad de cada una de estas áreas.

ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. Sin embargo, puesto que implantar estos controles significa una inversión, no serán recomendaciones arbitrarias.

Surge de la necesidad de las empresas de garantizar el funcionamiento seguro de los Sistemas de Información garantizando la confidencialidad integridad y disponibilidad de la información.

La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y cualquier país. El análisis de riesgos debe detallar los activos necesarios para que el sistema de información de la empresa opere correctamente y detectar cuales amenazas puede alterar su buen funcionamiento.

Es conveniente familiarizase con la estructura de la norma para manejarla de la forma más ágil posible. Esta organiza doce secciones la primera es el análisis de riesgos, seguidamente las políticas de seguridad, cuatro secciones enfocadas a definir las medidas organizativas de la empresa que apoyen la seguridad, las siguientes se ocupan de aspectos tales como la seguridad de las comunicaciones, operaciones, acceso lógico y gestión adecuada de hardware y software por ultimo la norma contempla la necesidad de gestionar adecuadamente medidas que aseguren el cumplimiento legal, regulatorio y contractual.

Norma ISO 17799:2005: análisis y gestión de riesgos, política de seguridad, organización de la seguridad, gestión de activo, recursos humanos, seguridad física, gestión de comunicaciones y operaciones, control acceso, compra, desarrollo y mantenimiento de sistemas, gestión de incidentes de seguridad, gestión de la continuidad de negocio, conformidad legal.



CAPITULO 14. COSO

El control interno es un proceso, ejercicio por el consejo de administración de la entidad, los gestores y otro personal de la organización, diseño para proporcionar seguridad razonable respecto a la consecución de los objetivos en las siguientes categorías:

Efectividad y eficiencia de las operacionesConfiabilidad de la información financieraCumplimiento con leyes y regulaciones

COSO establece un conjunto de estos componentes:Ambiente internoEstablecimiento de objetivosIdentificación de eventosEvaluación de riesgoRespuesta al riesgoActividades de controlInformación y comunicación.Supervisión.

Existe una tercera dimensión al ámbito de aplicación:Entidad: relativo a una organización concreta en su conjunto siendo el más alto nivel.División: conjunto de actividades relacionadas como negocios, líneas de producto.Unidad: considerado unitario en la organización empresarial encargado de un función, producto o misión concreta.Subsidiaria: organización dependiente de la organización principal. Esta separación cobra especial importancia en el reporte financiero.

Responsabilidades y uso de coso:Consejo de administración.Gestores.Otro personal.Auditores internos.

Promete mejoras:Alinea la tolerancia al riesgo y la estrategia.Relaciona crecimiento, riesgo y retorno de la inversión.Amplia las decisiones de respuesta al riesgo.Identifica y gestiona riesgo en los distintos niveles de la entidad.Proporciona respuestas integradas a los múltiples riesgos.Mejora los sistemas de reporte.Ayuda asegurar el cumplimiento con leyes y reglamentos.



CAPITULO 15. COBIT 4.

COBIT.- Control Objectives for Information and Related Technology, es un conjunto estructurado de buenas prácticas y metodologías para su aplicación, cuyo objetivo es facilitar el gobierno de las TSI.

Proporcionando un marco de referencia que asegure que:Las TSI están alineadas con el negocio.Las TSI posibilitan la realización de la actividad de negocio al mismo tiempo que contribuyen a la maximización de los beneficios.Los recursos de las TSI (humanos y técnicos) son utilizados de forma responsable.Los riesgos de las TSI son gestionados y dirigidos adecuadamente.

Se estructura en 34 objetivos de control de alto nivel, que están agrupados en cuatro dominios de actividades típicas.



En la implementación practica de COBIT, es necesario seguir un cierto orden:o Análisis y comprensión del contenido de COBIT.

o Fundamentación de la utilidad de su implantación y comunicación a la dirección, accionistas y áreas

afectadas.o Definir el valor que su implantación aportara.

o Análisis y evaluación del riesgo.

Las implantaciones de COBIT están realizando de forma exitosa complementariamente con: o ITIL

o ISO 27001

Es probablemente un modelo o herramienta un conjunto de buenas prácticas. Ninguna norma debe elevarse al pedestal de “verdad incontestable”.



CAPITULO 16. ITILInformation Technology Infrastructure Library; (Biblioteca para la Infraestructura de las Tecnologías de la Información TSI).

Fue desarrollada por la Agencia Central de Computación y Telecomunicaciones (CCTA), de Gran Bretaña. Consta de un conjunto de libros publicados que permiten mejorar la calidad de los servicios de TSI que presta una organización a sus clientes.

Cada uno de los libros:o Soporte de servicio

o Provisión de servicio

o Gestión de seguridad

o Perspectiva de negocio

o Planificación para la implementación de los servicios de gestión.

o Gestión de aplicaciones

o Gestión de la infraestructura TSI

o Diseño y planificación

o Despliegue

o Operaciones

o Soporte técnico

ITIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organización TSI. Sin embargo, ITIL no brinda una descripción específica de la forma en la que se deben implementar estas actividades.

Gestión de servicios: soporte de servicio, gestión del incidente, gestión del problema, gestión de configuración, gestión del cambio, gestión de la entrega.

Gestión de nivel de servicio, gestión financiera de servicios, gestión de la capacidad, gestión de la disponibilidad.

Ventajas de ITIL para el cliente/usuario: la provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en lenguaje más cómodo para el cliente. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto.

Ventajas para la organización: desarrolla una estructura más clara. La dirección tiene más control y los cambios resultan más fáciles de manejar. Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada la externalización de algunos de los elementos de los servicios.

Beneficios al negocio: calidad mejorada global de las operaciones del negocio, al asegurar que los procesos de TSI son la base de los procesos del negocio. Soporte del negocio más fiable por gestión de incidencia, gestión del cambio y centro de servicio. Incremento en la productividad del negocio y de la plantilla del cliente debido a que los servicios de TSI son más fiables y están disponibles.

Beneficios financieros: infraestructura de TSI y servicios de TSI justificados en costes.



CAPITULO 17. SARBANES-OXLEY

Exige básicamente la existencia de un sistema de control interno sobre la información de manera tal que cualquiera actividad dentro del desarrollo de los diferentes procesos de negocio de la empresa tuviera una ejecución no adecuado a las practicas formales y controladas de la empresa, este evento pudiera ser detectado corregido de forma tal que garantice que el reporte financiero de la compañía responde a un proceso formalmente aprobado y adecuadamente supervisado.

El objetivo principal de la Ley es que mediante el sistema de control interno se pueda dar garantía de validez a la información de estados financieros.

Las TSI son herramientas de gestión de información con lo cual la relación de “procesos de TSI-cuentas contables”. Los procesos de TSI son soporte de la gestión de todas las cuentas.

Concebir un modelo en el cual se desarrollen como mínimo los siguientes pasos:

El modelo SOX representa un esquema d soporte legal para una serie de actividades de control que deberían realizarse no por imperio de una ley, sino por la propia conciencia de control dentro de las organizaciones.


resumenes cap. gobierno de las tsi

Business