SlideShare a Scribd company logo

Resumen Capítulos 10-17 Gobiernos de las TSI

Download as DOC, PDF
S
santosperez
Business
1 of 10
Facultad de administración Administración de la Tecnología de Información. PROF. Dr. Carlos Arturo Torres Gastelú Resumen Capítulos Libro Gobiernos de las TSI Capítulos 10-17 Alumno: Santos Pérez Roberto Carlos Sistemas Computacionales Administrativos Veracruz, ver. a 09 Noviembre del 2009
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 10. PANORAMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TECNOLOGIAS DE INFORMACION. Las normas son especificaciones tecnicas, de carácter voluntario, concensuadas, elaboradas con la participacion de las partes interesadas (fabricantes, usuarios y consumidores , laboratorios, administracion, centros de investigacion, etc.) y aprobadas por un organismo reconocido. La normalización contribuye a simplificar y a incrementar la fiabilidad y eficiencia de los bienes y servicios que utilizamos, así como a mejorar el bienestar de la sociedad y redunda en el beneficio común. Las normas son por tanto documentos de aplicación voluntaria, elaborados por las partes interesadas, por consenso y aprobados por un organismo reconocido. En el ámbito internacional ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) tienen por objeto favorecer el desarrollo de la normalización en el mundo, con vistas a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos países. • Órganos de trabajo técnicos de ISO: • Comités técnicos (CT) • Subcomités (SC) • Grupos de Trabajo (GT) • Documentos: o Norma internacional (ISO/IEC) o Informe técnico (TR) El subcomité SC27 se enmarca en la concepción de la seguridad de las tecnologías de la información como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la información. Se estructura en cinco grupos de trabajo: 1. GT1-requisitos, servicios de seguridad y guías, 2. GT2-mecanismos y técnicas de seguridad, 3. GT3-criterios de evaluación de la seguridad, 4. GT4-servicios y controles de seguridad y 5. GT5-gestion de identidad y privacidad. Gestión de la seguridad de la información.- normas relativas a la gestión de la seguridad de la información, dar cobertura a áreas como sistemas de gestión de la seguridad de la información, análisis y gestión de riesgos, controles y salvaguardas, métricas otros aspectos. Técnicas y mecanismo.- destacan en este ámbito las técnicas y mecanismos criptográficos que tienen un protagonismo singular y creciente en la garantía de dimensiones de la seguridad tales como la confidencialidad, la integridad y la autenticación. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 11. NORMA ISO 27001 GESTION DE LA SEGURIDAD. Normas producidas por organismos oficiales agrupan las siguientes características: Especificaciones técnicas basadas en la experiencia y en el desarrollo tecnológico, voluntarias, accesibles al público, tanto durante su elaboración, pues se producen en órganos de trabajo abiertos a la industria, como después, pasan por un periodo de información pública durante el cual cualquier persona puede presentar alegaciones o comentarios a su contenido. Origen de ISO/IEC 27001: o No existió a nivel internacional una norma que complemente al código de buenas prácticas a través de las especificaciones de los sistemas de gestión de seguridad de la información. o Coexistieron la norma inglesa BS 7799-2 y la norma española UNE 71502. Se propone el modelo internacionalmente aceptado PDCA. o En el 2004 ya iniciado el MODELO 27000. o Se publica la norma ISO/IEC 27001 referente internacional para los “Sistemas de gestión de la seguridad de la información”. Establecimiento y gestión del SGSI Alcance del sistema de gestión, Definir política del SGSI y la metodología para la valoración del riesgo, identificación de los riesgos, hacer un análisis y evaluación de dichos riesgos, identificación de los diferentes tratamientos del riesgo y selección de los controles. Implantación y puesta en marcha del SGSI Preparar un plan de tratamiento del riesgo, medir la eficacia de los controles, obtener resultados comparables y reproducibles, crear programas de formación y concienciación en todas las acciones para el personal de la organización y se posibilitaran la cultura de la seguridad. Control y evaluación del SGSI Implantar procedimientos para el control y la revisión de lo hecho hasta ahora y derivara la eficacia del SGSI a partir de las auditorias de seguridad y las mediciones para verificar que se estén cumpliendo los requisitos de seguridad. Se descubren los defectos y mejoras para lo que se tomaran las medidas correctivas y preventivas. Debe estar sustentado por un procedimiento documentado. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 12. LAS METRICAS DE SEGURIDAD DE LA INFORMACION. El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información, que supone un ámbito de actuación diferente al de las infraestructuras, aplicativa y sistemas o procesos que la soportan. Tal vez este matiz nos podría ayudar a diferencias ambas figuras y a centrar el objeto de este capítulo. Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. Y demostrar objetivamente la eficacia y eficiencia de los controles de seguridad. La norma 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permita recoger, analizar y comunicar dato relacionados con procesos SGSI. Los objetivos del proceso de medida son, por tanto: Evaluar la eficacia de la implantación de los controles de seguridad, del sistema de gestión de seguridad de la información incluyendo la mejora continua, proporcionar un estado de seguridad para dirigir la revisión de la gestión. Facilitar las mejoras de la seguridad y contribuir a auditoria de seguridad., comunicar el valor de la seguridad a la organización y servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos. Tipos de medidas: La norma pone la categorización: derivada, base (dentro de ésta cumplimiento y rendimiento). Para medir es necesario un método específico de medición para cada entidad o combinación critica de atributos con la finalidad de extraer la información que puede utilizarse como base para el cálculo de medidas. Puede implicar actividades como contar el numero de acontecimientos u observar el paso del tiempo. Una medida valida habrá de cumplir con los criterios: Estratégica, cuantitativa, razonable, interpretativa, verificable, evolutiva, útil, indivisible y bien definida y repetible. Los indicadores se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de la información de la organización. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 13. NORMA ISO 17799. CODIGO DE BUENAS PRÁCTICAS PARA LOS SGSI Sistema de Gestión de Seguridad de la Información (SGSI) es una estructura organizativa, técnica y procedimental que persigue la seguridad de la información a través de un ciclo de análisis de la situación, aplicación de controles, revisión del funcionamiento y la aplicación permanente de mejoras o correcciones. Es lo que comúnmente se conoce como el ciclo PDCA aplicando a la seguridad de la información, que permite adaptarse a los cambios en la organización y la mejora continua. Los SGSI utilizan la norma ISO 17799:2005 como herramienta para conseguir la seguridad definida en la empresa, pero no es en sí misma una norma certificable. Simplemente presenta qué áreas debe contemplar la empresa respecto a la seguridad y propone controles para conseguir los objetivos de la seguridad de cada una de estas áreas. ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. Sin embargo, puesto que implantar estos controles significa una inversión, no serán recomendaciones arbitrarias. Surge de la necesidad de las empresas de garantizar el funcionamiento seguro de los Sistemas de Información garantizando la confidencialidad integridad y disponibilidad de la información. La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y cualquier país. El análisis de riesgos debe detallar los activos necesarios para que el sistema de información de la empresa opere correctamente y detectar cuales amenazas puede alterar su buen funcionamiento. Es conveniente familiarizase con la estructura de la norma para manejarla de la forma más ágil posible. Esta organiza doce secciones la primera es el análisis de riesgos, seguidamente las políticas de seguridad, cuatro secciones enfocadas a definir las medidas organizativas de la empresa que apoyen la seguridad, las siguientes se ocupan de aspectos tales como la seguridad de las comunicaciones, operaciones, acceso lógico y gestión adecuada de hardware y software por ultimo la norma contempla la necesidad de gestionar adecuadamente medidas que aseguren el cumplimiento legal, regulatorio y contractual. Norma ISO 17799:2005: análisis y gestión de riesgos, política de seguridad, organización de la seguridad, gestión de activo, recursos humanos, seguridad física, gestión de comunicaciones y operaciones, control acceso, compra, desarrollo y mantenimiento de sistemas, gestión de incidentes de seguridad, gestión de la continuidad de negocio, conformidad legal. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 14. COSO El control interno es un proceso, ejercicio por el consejo de administración de la entidad, los gestores y otro personal de la organización, diseño para proporcionar seguridad razonable respecto a la consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento con leyes y regulaciones COSO establece un conjunto de estos componentes: Ambiente interno Establecimiento de objetivos Identificación de eventos Evaluación de riesgo Respuesta al riesgo Actividades de control Información y comunicación. Supervisión. Existe una tercera dimensión al ámbito de aplicación: Entidad: relativo a una organización concreta en su conjunto siendo el más alto nivel. División: conjunto de actividades relacionadas como negocios, líneas de producto. Unidad: considerado unitario en la organización empresarial encargado de un función, producto o misión concreta. Subsidiaria: organización dependiente de la organización principal. Esta separación cobra especial importancia en el reporte financiero. Responsabilidades y uso de coso: Consejo de administración. Gestores. Otro personal. Auditores internos. Promete mejoras: Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión. Amplia las decisiones de respuesta al riesgo. Identifica y gestiona riesgo en los distintos niveles de la entidad. Proporciona respuestas integradas a los múltiples riesgos. Mejora los sistemas de reporte. Ayuda asegurar el cumplimiento con leyes y reglamentos. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 15. COBIT 4. COBIT.- Control Objectives for Information and Related Technology, es un conjunto estructurado de buenas prácticas y metodologías para su aplicación, cuyo objetivo es facilitar el gobierno de las TSI. Proporcionando un marco de referencia que asegure que: Las TSI están alineadas con el negocio. Las TSI posibilitan la realización de la actividad de negocio al mismo tiempo que contribuyen a la maximización de los beneficios. Los recursos de las TSI (humanos y técnicos) son utilizados de forma responsable. Los riesgos de las TSI son gestionados y dirigidos adecuadamente. Se estructura en 34 objetivos de control de alto nivel, que están agrupados en cuatro dominios de actividades típicas. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. En la implementación practica de COBIT, es necesario seguir un cierto orden: o Análisis y comprensión del contenido de COBIT. o Fundamentación de la utilidad de su implantación y comunicación a la dirección, accionistas y áreas afectadas. o Definir el valor que su implantación aportara. o Análisis y evaluación del riesgo. Las implantaciones de COBIT están realizando de forma exitosa complementariamente con: o ITIL o ISO 27001 Es probablemente un modelo o herramienta un conjunto de buenas prácticas. Ninguna norma debe elevarse al pedestal de “verdad incontestable”. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 16. ITIL Information Technology Infrastructure Library; (Biblioteca para la Infraestructura de las Tecnologías de la Información TSI). Fue desarrollada por la Agencia Central de Computación y Telecomunicaciones (CCTA), de Gran Bretaña. Consta de un conjunto de libros publicados que permiten mejorar la calidad de los servicios de TSI que presta una organización a sus clientes. Cada uno de los libros: o Soporte de servicio o Provisión de servicio o Gestión de seguridad o Perspectiva de negocio o Planificación para la implementación de los servicios de gestión. o Gestión de aplicaciones o Gestión de la infraestructura TSI o Diseño y planificación o Despliegue o Operaciones o Soporte técnico ITIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organización TSI. Sin embargo, ITIL no brinda una descripción específica de la forma en la que se deben implementar estas actividades. Gestión de servicios: soporte de servicio, gestión del incidente, gestión del problema, gestión de configuración, gestión del cambio, gestión de la entrega. Gestión de nivel de servicio, gestión financiera de servicios, gestión de la capacidad, gestión de la disponibilidad. Ventajas de ITIL para el cliente/usuario: la provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en lenguaje más cómodo para el cliente. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto. Ventajas para la organización: desarrolla una estructura más clara. La dirección tiene más control y los cambios resultan más fáciles de manejar. Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada la externalización de algunos de los elementos de los servicios. Beneficios al negocio: calidad mejorada global de las operaciones del negocio, al asegurar que los procesos de TSI son la base de los procesos del negocio. Soporte del negocio más fiable por gestión de incidencia, gestión del cambio y centro de servicio. Incremento en la productividad del negocio y de la plantilla del cliente debido a que los servicios de TSI son más fiables y están disponibles. Beneficios financieros: infraestructura de TSI y servicios de TSI justificados en costes. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 17. SARBANES-OXLEY Exige básicamente la existencia de un sistema de control interno sobre la información de manera tal que cualquiera actividad dentro del desarrollo de los diferentes procesos de negocio de la empresa tuviera una ejecución no adecuado a las practicas formales y controladas de la empresa, este evento pudiera ser detectado corregido de forma tal que garantice que el reporte financiero de la compañía responde a un proceso formalmente aprobado y adecuadamente supervisado. El objetivo principal de la Ley es que mediante el sistema de control interno se pueda dar garantía de validez a la información de estados financieros. Las TSI son herramientas de gestión de información con lo cual la relación de “procesos de TSI-cuentas contables”. Los procesos de TSI son soporte de la gestión de todas las cuentas. Concebir un modelo en el cual se desarrollen como mínimo los siguientes pasos: El modelo SOX representa un esquema d soporte legal para una serie de actividades de control que deberían realizarse no por imperio de una ley, sino por la propia conciencia de control dentro de las organizaciones. Santos Pérez Roberto Carlos

Recommended

La Estructura del Control Interno
La Estructura del Control InternoLa Estructura del Control Interno
La Estructura del Control InternoJesús Rodolfo Andrade León
 
CONTROL INTERNO-1
CONTROL INTERNO-1 CONTROL INTERNO-1
CONTROL INTERNO-1 Wendaus Vidal
 
Control interno
Control internoControl interno
Control internoadrianmontijo
 
Control Interno
Control InternoControl Interno
Control InternoBMG Latin America
 
control interno
control internocontrol interno
control internoKevin Defas
 
Componentes del-control-interno
Componentes del-control-internoComponentes del-control-interno
Componentes del-control-internofidel rivera vera
 
Control interno
Control internoControl interno
Control internoNéstor Fabián Gómez
 
Control interno
Control internoControl interno
Control internoluna16_86
 

Recommended

La Estructura del Control Interno
La Estructura del Control InternoLa Estructura del Control Interno
La Estructura del Control InternoJesús Rodolfo Andrade León
 
CONTROL INTERNO-1
CONTROL INTERNO-1 CONTROL INTERNO-1
CONTROL INTERNO-1 Wendaus Vidal
 
Control interno
Control internoControl interno
Control internoadrianmontijo
 
Control Interno
Control InternoControl Interno
Control InternoBMG Latin America
 
control interno
control internocontrol interno
control internoKevin Defas
 
Componentes del-control-interno
Componentes del-control-internoComponentes del-control-interno
Componentes del-control-internofidel rivera vera
 
Control interno
Control internoControl interno
Control internoNéstor Fabián Gómez
 
Control interno
Control internoControl interno
Control internoluna16_86
 
Control interno
Control internoControl interno
Control internojennika58
 
Control interno power point
Control interno power pointControl interno power point
Control interno power pointjesusavalosescalante
 
Sistema de control interno
Sistema de control internoSistema de control interno
Sistema de control internodrosca
 
Control Interno en el Perú
Control Interno en el PerúControl Interno en el Perú
Control Interno en el PerúCarlos Atahua Ruiz
 
Control interno
Control internoControl interno
Control internojatencio
 
Tesorería Control Interno
Tesorería Control InternoTesorería Control Interno
Tesorería Control InternoAsociación Guatemalteca de Investigadores de Presupuesto
 
Auditoria I Control Interno
Auditoria I Control InternoAuditoria I Control Interno
Auditoria I Control InternoUVMVirtual
 
Establecimiento de sistemas de control interno
Establecimiento de sistemas de control internoEstablecimiento de sistemas de control interno
Establecimiento de sistemas de control internoItzel Sarahi Ponce Camarillo
 
Sistemas de control interno
Sistemas de control internoSistemas de control interno
Sistemas de control internoKellyJacome
 
AMBIENTE DE CONTROL
AMBIENTE DE CONTROLAMBIENTE DE CONTROL
AMBIENTE DE CONTROLVICTOR31651306
 
Control interno
Control internoControl interno
Control internoEscuela de Comercio y Administración Valeria Cueva
 
Normas de control interno
Normas de control internoNormas de control interno
Normas de control internoKeyla Montero
 
Presentación control interno
Presentación control internoPresentación control interno
Presentación control internoAbrahamfelipe1
 
Informe de control interno
Informe de control internoInforme de control interno
Informe de control internoKarina Canales
 
Contro interno 1
Contro interno 1Contro interno 1
Contro interno 1Alfredo Azcue Medina
 
Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014TVPerú
 
Sistema de control interno
Sistema de control internoSistema de control interno
Sistema de control internoBrigitte Colonio
 
Control Interno
Control InternoControl Interno
Control InternoDoris Suquilanda
 
Control interno
Control internoControl interno
Control internojose manuel ramos
 
Control interno
Control internoControl interno
Control internorobertobecerra1975
 
Ati l2 eq6_gobierno de las tsi
Ati l2 eq6_gobierno de las tsiAti l2 eq6_gobierno de las tsi
Ati l2 eq6_gobierno de las tsiHéctor
 
T15_U3
T15_U3T15_U3
T15_U3Alina Carrion
 

More Related Content

What's hot

Control interno
Control internoControl interno
Control internojennika58
 
Sistema de control interno
Sistema de control internoSistema de control interno
Sistema de control internodrosca
 
Control interno
Control internoControl interno
Control internojatencio
 
Auditoria I Control Interno
Auditoria I Control InternoAuditoria I Control Interno
Auditoria I Control InternoUVMVirtual
 
Sistemas de control interno
Sistemas de control internoSistemas de control interno
Sistemas de control internoKellyJacome
 
Normas de control interno
Normas de control internoNormas de control interno
Normas de control internoKeyla Montero
 
Presentación control interno
Presentación control internoPresentación control interno
Presentación control internoAbrahamfelipe1
 
Informe de control interno
Informe de control internoInforme de control interno
Informe de control internoKarina Canales
 
Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014TVPerú
 
Sistema de control interno
Sistema de control internoSistema de control interno
Sistema de control internoBrigitte Colonio
 

What's hot (20)

Control interno
Control internoControl interno
Control interno
 
Control interno power point
Control interno power pointControl interno power point
Control interno power point
 
Sistema de control interno
Sistema de control internoSistema de control interno
Sistema de control interno
 
Control Interno en el Perú
Control Interno en el PerúControl Interno en el Perú
Control Interno en el Perú
 
Control interno
Control internoControl interno
Control interno
 
Tesorería Control Interno
Tesorería Control InternoTesorería Control Interno
Tesorería Control Interno
 
Auditoria I Control Interno
Auditoria I Control InternoAuditoria I Control Interno
Auditoria I Control Interno
 
Establecimiento de sistemas de control interno
Establecimiento de sistemas de control internoEstablecimiento de sistemas de control interno
Establecimiento de sistemas de control interno
 
Sistemas de control interno
Sistemas de control internoSistemas de control interno
Sistemas de control interno
 
AMBIENTE DE CONTROL
AMBIENTE DE CONTROLAMBIENTE DE CONTROL
AMBIENTE DE CONTROL
 
Control interno
Control internoControl interno
Control interno
 
Normas de control interno
Normas de control internoNormas de control interno
Normas de control interno
 
Presentación control interno
Presentación control internoPresentación control interno
Presentación control interno
 
Informe de control interno
Informe de control internoInforme de control interno
Informe de control interno
 
Contro interno 1
Contro interno 1Contro interno 1
Contro interno 1
 
Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014
 
Sistema de control interno
Sistema de control internoSistema de control interno
Sistema de control interno
 
Control Interno
Control InternoControl Interno
Control Interno
 
Control interno
Control internoControl interno
Control interno
 
Control interno
Control internoControl interno
Control interno
 

Viewers also liked

Ati l2 eq6_gobierno de las tsi
Ati l2 eq6_gobierno de las tsiAti l2 eq6_gobierno de las tsi
Ati l2 eq6_gobierno de las tsiHéctor
 
Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...Stefany Gamero
 
Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11abraham moreno
 
Gobierno de las tecnologías y los sistemas de información
Gobierno de las tecnologías y los sistemas de informaciónGobierno de las tecnologías y los sistemas de información
Gobierno de las tecnologías y los sistemas de informaciónabraham moreno
 
Mapas EstáNdares
Mapas EstáNdaresMapas EstáNdares
Mapas EstáNdaresLia Nakid
 
Auditoria de gestion global de las empresas
Auditoria de gestion global de las empresasAuditoria de gestion global de las empresas
Auditoria de gestion global de las empresasAUDITORA MMS LTDA
 
TEMA # 5 INFORME SISTEMA TELEINFORMATICO
TEMA # 5 INFORME SISTEMA TELEINFORMATICOTEMA # 5 INFORME SISTEMA TELEINFORMATICO
TEMA # 5 INFORME SISTEMA TELEINFORMATICOMarcelo Oly Caceres
 
AUDITORIA INTEGRAL TESIS DE INVESTIGACIÓN
AUDITORIA INTEGRAL TESIS DE INVESTIGACIÓNAUDITORIA INTEGRAL TESIS DE INVESTIGACIÓN
AUDITORIA INTEGRAL TESIS DE INVESTIGACIÓNWILSON VELASTEGUI
 

Viewers also liked (14)

Ati l2 eq6_gobierno de las tsi
Ati l2 eq6_gobierno de las tsiAti l2 eq6_gobierno de las tsi
Ati l2 eq6_gobierno de las tsi
 
T15_U3
T15_U3T15_U3
T15_U3
 
Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...
 
Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11
 
Gobierno de las tecnologías y los sistemas de información
Gobierno de las tecnologías y los sistemas de informaciónGobierno de las tecnologías y los sistemas de información
Gobierno de las tecnologías y los sistemas de información
 
Mapas EstáNdares
Mapas EstáNdaresMapas EstáNdares
Mapas EstáNdares
 
Gobierno de TSI_pdf
Gobierno de TSI_pdfGobierno de TSI_pdf
Gobierno de TSI_pdf
 
Auditoria de gestion global de las empresas
Auditoria de gestion global de las empresasAuditoria de gestion global de las empresas
Auditoria de gestion global de las empresas
 
TEMA # 5 INFORME SISTEMA TELEINFORMATICO
TEMA # 5 INFORME SISTEMA TELEINFORMATICOTEMA # 5 INFORME SISTEMA TELEINFORMATICO
TEMA # 5 INFORME SISTEMA TELEINFORMATICO
 
AUDITORIA INTEGRAL TESIS DE INVESTIGACIÓN
AUDITORIA INTEGRAL TESIS DE INVESTIGACIÓNAUDITORIA INTEGRAL TESIS DE INVESTIGACIÓN
AUDITORIA INTEGRAL TESIS DE INVESTIGACIÓN
 
Medios Bioquímicos
Medios BioquímicosMedios Bioquímicos
Medios Bioquímicos
 
Auditoria de gestion
Auditoria de gestionAuditoria de gestion
Auditoria de gestion
 
TESIS AUDITORIA DE GESTION
TESIS AUDITORIA DE GESTION TESIS AUDITORIA DE GESTION
TESIS AUDITORIA DE GESTION
 
Auditoría de Cumplimiento
Auditoría de CumplimientoAuditoría de Cumplimiento
Auditoría de Cumplimiento
 

Similar to Resumen Capítulos 10-17 Gobiernos de las TSI

Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoSole Leraguii
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadEdgardo Ortega
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsiDenis Rauda
 
Sistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSISistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSIJoel Sorto
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónCRISTIAN FLORES
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Eduardo Maradiaga
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónCelia Rivera
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 

Similar to Resumen Capítulos 10-17 Gobiernos de las TSI (20)

INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsi
 
Sistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSISistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSI
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática.
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoria
 

More from santosperez

Ensayo Santos Perez Roberto Carlos.
Ensayo Santos Perez Roberto Carlos.Ensayo Santos Perez Roberto Carlos.
Ensayo Santos Perez Roberto Carlos.santosperez
 
Ley Sarbanes Oxley
Ley Sarbanes OxleyLey Sarbanes Oxley
Ley Sarbanes Oxleysantosperez
 
Ley Sarbanes Oxley
Ley Sarbanes OxleyLey Sarbanes Oxley
Ley Sarbanes Oxleysantosperez
 
Expocision Cap. 8 Outsourcing
Expocision Cap. 8 OutsourcingExpocision Cap. 8 Outsourcing
Expocision Cap. 8 Outsourcingsantosperez
 
Propuesta Estrategia TecnolóGica Para PequeñA Empresa
Propuesta Estrategia TecnolóGica Para PequeñA EmpresaPropuesta Estrategia TecnolóGica Para PequeñA Empresa
Propuesta Estrategia TecnolóGica Para PequeñA Empresasantosperez
 
Caso De Estrategia Tecnologica
Caso De Estrategia TecnologicaCaso De Estrategia Tecnologica
Caso De Estrategia Tecnologicasantosperez
 
ReseñA, Evolucion De La Informacion
ReseñA, Evolucion De La InformacionReseñA, Evolucion De La Informacion
ReseñA, Evolucion De La Informacionsantosperez
 

More from santosperez (8)

Ensayo Santos Perez Roberto Carlos.
Ensayo Santos Perez Roberto Carlos.Ensayo Santos Perez Roberto Carlos.
Ensayo Santos Perez Roberto Carlos.
 
Ley Sarbanes Oxley
Ley Sarbanes OxleyLey Sarbanes Oxley
Ley Sarbanes Oxley
 
Ley Sarbanes Oxley
Ley Sarbanes OxleyLey Sarbanes Oxley
Ley Sarbanes Oxley
 
Araiza Inn Es
Araiza Inn EsAraiza Inn Es
Araiza Inn Es
 
Expocision Cap. 8 Outsourcing
Expocision Cap. 8 OutsourcingExpocision Cap. 8 Outsourcing
Expocision Cap. 8 Outsourcing
 
Propuesta Estrategia TecnolóGica Para PequeñA Empresa
Propuesta Estrategia TecnolóGica Para PequeñA EmpresaPropuesta Estrategia TecnolóGica Para PequeñA Empresa
Propuesta Estrategia TecnolóGica Para PequeñA Empresa
 
Caso De Estrategia Tecnologica
Caso De Estrategia TecnologicaCaso De Estrategia Tecnologica
Caso De Estrategia Tecnologica
 
ReseñA, Evolucion De La Informacion
ReseñA, Evolucion De La InformacionReseñA, Evolucion De La Informacion
ReseñA, Evolucion De La Informacion
 

Recently uploaded

EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxDr. Edwin Hernandez
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHilldanilojaviersantiago
 
TEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptx
TEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptxTEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptx
TEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptxterciariojaussaudr
 
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptxMATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptxdcmv9220
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxgabyardon485
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxjuanleivagdf
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHkarlinda198328
 
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesFORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesjvalenciama
 
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfPresentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfLuisAlbertoAlvaradoF2
 
Clase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de interesesClase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de interesesLiberteliaLibertelia
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfjesuseleazarcenuh
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfguillencuevaadrianal
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfPriscilaBermello
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralmaria diaz
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxCORPORACIONJURIDICA
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónBahamondesOscar
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónlicmarinaglez
 
Las 10 decisiones estrategicas en administracion de operaciones
Las 10 decisiones estrategicas en administracion de operacionesLas 10 decisiones estrategicas en administracion de operaciones
Las 10 decisiones estrategicas en administracion de operacionesYeilizerAguilera
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Gonzalo Morales Esparza
 

Recently uploaded (20)

EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptx
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHill
 
TEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptx
TEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptxTEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptx
TEORÍAS DE LA MOTIVACIÓN Recursos Humanos.pptx
 
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptxMATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptx
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptx
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
 
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesFORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
 
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfPresentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
 
Clase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de interesesClase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de intereses
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdf
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdf
 
Tarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.pptTarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.ppt
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industral
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de Gestión
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociación
 
Las 10 decisiones estrategicas en administracion de operaciones
Las 10 decisiones estrategicas en administracion de operacionesLas 10 decisiones estrategicas en administracion de operaciones
Las 10 decisiones estrategicas en administracion de operaciones
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.
 

Resumen Capítulos 10-17 Gobiernos de las TSI

  • 1. Facultad de administración Administración de la Tecnología de Información. PROF. Dr. Carlos Arturo Torres Gastelú Resumen Capítulos Libro Gobiernos de las TSI Capítulos 10-17 Alumno: Santos Pérez Roberto Carlos Sistemas Computacionales Administrativos Veracruz, ver. a 09 Noviembre del 2009
  • 2. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 10. PANORAMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TECNOLOGIAS DE INFORMACION. Las normas son especificaciones tecnicas, de carácter voluntario, concensuadas, elaboradas con la participacion de las partes interesadas (fabricantes, usuarios y consumidores , laboratorios, administracion, centros de investigacion, etc.) y aprobadas por un organismo reconocido. La normalización contribuye a simplificar y a incrementar la fiabilidad y eficiencia de los bienes y servicios que utilizamos, así como a mejorar el bienestar de la sociedad y redunda en el beneficio común. Las normas son por tanto documentos de aplicación voluntaria, elaborados por las partes interesadas, por consenso y aprobados por un organismo reconocido. En el ámbito internacional ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) tienen por objeto favorecer el desarrollo de la normalización en el mundo, con vistas a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos países. • Órganos de trabajo técnicos de ISO: • Comités técnicos (CT) • Subcomités (SC) • Grupos de Trabajo (GT) • Documentos: o Norma internacional (ISO/IEC) o Informe técnico (TR) El subcomité SC27 se enmarca en la concepción de la seguridad de las tecnologías de la información como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la información. Se estructura en cinco grupos de trabajo: 1. GT1-requisitos, servicios de seguridad y guías, 2. GT2-mecanismos y técnicas de seguridad, 3. GT3-criterios de evaluación de la seguridad, 4. GT4-servicios y controles de seguridad y 5. GT5-gestion de identidad y privacidad. Gestión de la seguridad de la información.- normas relativas a la gestión de la seguridad de la información, dar cobertura a áreas como sistemas de gestión de la seguridad de la información, análisis y gestión de riesgos, controles y salvaguardas, métricas otros aspectos. Técnicas y mecanismo.- destacan en este ámbito las técnicas y mecanismos criptográficos que tienen un protagonismo singular y creciente en la garantía de dimensiones de la seguridad tales como la confidencialidad, la integridad y la autenticación. Santos Pérez Roberto Carlos
  • 3. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 11. NORMA ISO 27001 GESTION DE LA SEGURIDAD. Normas producidas por organismos oficiales agrupan las siguientes características: Especificaciones técnicas basadas en la experiencia y en el desarrollo tecnológico, voluntarias, accesibles al público, tanto durante su elaboración, pues se producen en órganos de trabajo abiertos a la industria, como después, pasan por un periodo de información pública durante el cual cualquier persona puede presentar alegaciones o comentarios a su contenido. Origen de ISO/IEC 27001: o No existió a nivel internacional una norma que complemente al código de buenas prácticas a través de las especificaciones de los sistemas de gestión de seguridad de la información. o Coexistieron la norma inglesa BS 7799-2 y la norma española UNE 71502. Se propone el modelo internacionalmente aceptado PDCA. o En el 2004 ya iniciado el MODELO 27000. o Se publica la norma ISO/IEC 27001 referente internacional para los “Sistemas de gestión de la seguridad de la información”. Establecimiento y gestión del SGSI Alcance del sistema de gestión, Definir política del SGSI y la metodología para la valoración del riesgo, identificación de los riesgos, hacer un análisis y evaluación de dichos riesgos, identificación de los diferentes tratamientos del riesgo y selección de los controles. Implantación y puesta en marcha del SGSI Preparar un plan de tratamiento del riesgo, medir la eficacia de los controles, obtener resultados comparables y reproducibles, crear programas de formación y concienciación en todas las acciones para el personal de la organización y se posibilitaran la cultura de la seguridad. Control y evaluación del SGSI Implantar procedimientos para el control y la revisión de lo hecho hasta ahora y derivara la eficacia del SGSI a partir de las auditorias de seguridad y las mediciones para verificar que se estén cumpliendo los requisitos de seguridad. Se descubren los defectos y mejoras para lo que se tomaran las medidas correctivas y preventivas. Debe estar sustentado por un procedimiento documentado. Santos Pérez Roberto Carlos
  • 4. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 12. LAS METRICAS DE SEGURIDAD DE LA INFORMACION. El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información, que supone un ámbito de actuación diferente al de las infraestructuras, aplicativa y sistemas o procesos que la soportan. Tal vez este matiz nos podría ayudar a diferencias ambas figuras y a centrar el objeto de este capítulo. Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. Y demostrar objetivamente la eficacia y eficiencia de los controles de seguridad. La norma 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permita recoger, analizar y comunicar dato relacionados con procesos SGSI. Los objetivos del proceso de medida son, por tanto: Evaluar la eficacia de la implantación de los controles de seguridad, del sistema de gestión de seguridad de la información incluyendo la mejora continua, proporcionar un estado de seguridad para dirigir la revisión de la gestión. Facilitar las mejoras de la seguridad y contribuir a auditoria de seguridad., comunicar el valor de la seguridad a la organización y servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos. Tipos de medidas: La norma pone la categorización: derivada, base (dentro de ésta cumplimiento y rendimiento). Para medir es necesario un método específico de medición para cada entidad o combinación critica de atributos con la finalidad de extraer la información que puede utilizarse como base para el cálculo de medidas. Puede implicar actividades como contar el numero de acontecimientos u observar el paso del tiempo. Una medida valida habrá de cumplir con los criterios: Estratégica, cuantitativa, razonable, interpretativa, verificable, evolutiva, útil, indivisible y bien definida y repetible. Los indicadores se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de la información de la organización. Santos Pérez Roberto Carlos
  • 5. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 13. NORMA ISO 17799. CODIGO DE BUENAS PRÁCTICAS PARA LOS SGSI Sistema de Gestión de Seguridad de la Información (SGSI) es una estructura organizativa, técnica y procedimental que persigue la seguridad de la información a través de un ciclo de análisis de la situación, aplicación de controles, revisión del funcionamiento y la aplicación permanente de mejoras o correcciones. Es lo que comúnmente se conoce como el ciclo PDCA aplicando a la seguridad de la información, que permite adaptarse a los cambios en la organización y la mejora continua. Los SGSI utilizan la norma ISO 17799:2005 como herramienta para conseguir la seguridad definida en la empresa, pero no es en sí misma una norma certificable. Simplemente presenta qué áreas debe contemplar la empresa respecto a la seguridad y propone controles para conseguir los objetivos de la seguridad de cada una de estas áreas. ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. Sin embargo, puesto que implantar estos controles significa una inversión, no serán recomendaciones arbitrarias. Surge de la necesidad de las empresas de garantizar el funcionamiento seguro de los Sistemas de Información garantizando la confidencialidad integridad y disponibilidad de la información. La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y cualquier país. El análisis de riesgos debe detallar los activos necesarios para que el sistema de información de la empresa opere correctamente y detectar cuales amenazas puede alterar su buen funcionamiento. Es conveniente familiarizase con la estructura de la norma para manejarla de la forma más ágil posible. Esta organiza doce secciones la primera es el análisis de riesgos, seguidamente las políticas de seguridad, cuatro secciones enfocadas a definir las medidas organizativas de la empresa que apoyen la seguridad, las siguientes se ocupan de aspectos tales como la seguridad de las comunicaciones, operaciones, acceso lógico y gestión adecuada de hardware y software por ultimo la norma contempla la necesidad de gestionar adecuadamente medidas que aseguren el cumplimiento legal, regulatorio y contractual. Norma ISO 17799:2005: análisis y gestión de riesgos, política de seguridad, organización de la seguridad, gestión de activo, recursos humanos, seguridad física, gestión de comunicaciones y operaciones, control acceso, compra, desarrollo y mantenimiento de sistemas, gestión de incidentes de seguridad, gestión de la continuidad de negocio, conformidad legal. Santos Pérez Roberto Carlos
  • 6. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 14. COSO El control interno es un proceso, ejercicio por el consejo de administración de la entidad, los gestores y otro personal de la organización, diseño para proporcionar seguridad razonable respecto a la consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento con leyes y regulaciones COSO establece un conjunto de estos componentes: Ambiente interno Establecimiento de objetivos Identificación de eventos Evaluación de riesgo Respuesta al riesgo Actividades de control Información y comunicación. Supervisión. Existe una tercera dimensión al ámbito de aplicación: Entidad: relativo a una organización concreta en su conjunto siendo el más alto nivel. División: conjunto de actividades relacionadas como negocios, líneas de producto. Unidad: considerado unitario en la organización empresarial encargado de un función, producto o misión concreta. Subsidiaria: organización dependiente de la organización principal. Esta separación cobra especial importancia en el reporte financiero. Responsabilidades y uso de coso: Consejo de administración. Gestores. Otro personal. Auditores internos. Promete mejoras: Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión. Amplia las decisiones de respuesta al riesgo. Identifica y gestiona riesgo en los distintos niveles de la entidad. Proporciona respuestas integradas a los múltiples riesgos. Mejora los sistemas de reporte. Ayuda asegurar el cumplimiento con leyes y reglamentos. Santos Pérez Roberto Carlos
  • 7. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 15. COBIT 4. COBIT.- Control Objectives for Information and Related Technology, es un conjunto estructurado de buenas prácticas y metodologías para su aplicación, cuyo objetivo es facilitar el gobierno de las TSI. Proporcionando un marco de referencia que asegure que: Las TSI están alineadas con el negocio. Las TSI posibilitan la realización de la actividad de negocio al mismo tiempo que contribuyen a la maximización de los beneficios. Los recursos de las TSI (humanos y técnicos) son utilizados de forma responsable. Los riesgos de las TSI son gestionados y dirigidos adecuadamente. Se estructura en 34 objetivos de control de alto nivel, que están agrupados en cuatro dominios de actividades típicas. Santos Pérez Roberto Carlos
  • 8. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. En la implementación practica de COBIT, es necesario seguir un cierto orden: o Análisis y comprensión del contenido de COBIT. o Fundamentación de la utilidad de su implantación y comunicación a la dirección, accionistas y áreas afectadas. o Definir el valor que su implantación aportara. o Análisis y evaluación del riesgo. Las implantaciones de COBIT están realizando de forma exitosa complementariamente con: o ITIL o ISO 27001 Es probablemente un modelo o herramienta un conjunto de buenas prácticas. Ninguna norma debe elevarse al pedestal de “verdad incontestable”. Santos Pérez Roberto Carlos
  • 9. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 16. ITIL Information Technology Infrastructure Library; (Biblioteca para la Infraestructura de las Tecnologías de la Información TSI). Fue desarrollada por la Agencia Central de Computación y Telecomunicaciones (CCTA), de Gran Bretaña. Consta de un conjunto de libros publicados que permiten mejorar la calidad de los servicios de TSI que presta una organización a sus clientes. Cada uno de los libros: o Soporte de servicio o Provisión de servicio o Gestión de seguridad o Perspectiva de negocio o Planificación para la implementación de los servicios de gestión. o Gestión de aplicaciones o Gestión de la infraestructura TSI o Diseño y planificación o Despliegue o Operaciones o Soporte técnico ITIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organización TSI. Sin embargo, ITIL no brinda una descripción específica de la forma en la que se deben implementar estas actividades. Gestión de servicios: soporte de servicio, gestión del incidente, gestión del problema, gestión de configuración, gestión del cambio, gestión de la entrega. Gestión de nivel de servicio, gestión financiera de servicios, gestión de la capacidad, gestión de la disponibilidad. Ventajas de ITIL para el cliente/usuario: la provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en lenguaje más cómodo para el cliente. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto. Ventajas para la organización: desarrolla una estructura más clara. La dirección tiene más control y los cambios resultan más fáciles de manejar. Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada la externalización de algunos de los elementos de los servicios. Beneficios al negocio: calidad mejorada global de las operaciones del negocio, al asegurar que los procesos de TSI son la base de los procesos del negocio. Soporte del negocio más fiable por gestión de incidencia, gestión del cambio y centro de servicio. Incremento en la productividad del negocio y de la plantilla del cliente debido a que los servicios de TSI son más fiables y están disponibles. Beneficios financieros: infraestructura de TSI y servicios de TSI justificados en costes. Santos Pérez Roberto Carlos
  • 10. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 17. SARBANES-OXLEY Exige básicamente la existencia de un sistema de control interno sobre la información de manera tal que cualquiera actividad dentro del desarrollo de los diferentes procesos de negocio de la empresa tuviera una ejecución no adecuado a las practicas formales y controladas de la empresa, este evento pudiera ser detectado corregido de forma tal que garantice que el reporte financiero de la compañía responde a un proceso formalmente aprobado y adecuadamente supervisado. El objetivo principal de la Ley es que mediante el sistema de control interno se pueda dar garantía de validez a la información de estados financieros. Las TSI son herramientas de gestión de información con lo cual la relación de “procesos de TSI-cuentas contables”. Los procesos de TSI son soporte de la gestión de todas las cuentas. Concebir un modelo en el cual se desarrollen como mínimo los siguientes pasos: El modelo SOX representa un esquema d soporte legal para una serie de actividades de control que deberían realizarse no por imperio de una ley, sino por la propia conciencia de control dentro de las organizaciones. Santos Pérez Roberto Carlos