SlideShare una empresa de Scribd logo

El Modelo de Negocios para la Seguridad de la Información

Rodolfo Carrion
Rodolfo Carrion

El BMIS, es un modelo que apoya al negocio en materia de seguridad de la información a las empresas.

Empresariales
1 de 70
Lic. Rodolfo Carrión Coronas, CPA rodocarrion@gmail.com rodolfo@acti.co.cr 10 / Octubre / 2011
BMIS El Modelo de Negocios para la Seguridad de la Información Este material es una presentación del modelo desarrollado por ISACA WWW.ISACA.ORG/BMIS
El Modelo de Negocios para la Seguridad de la Información (BMIS) El BMIS, es un modelo que apoya al negocio en materia de seguridad de la información a las empresas. Su perspectiva se enfoca en ver a la empresa sistémicamente permitiendo tener una visión integrada enfocándose en los negocios con un aporte extraordinario en la gestión de la seguridad de la información y que ningún marco de control o estándar proporciona. El modelo propone ver a la empresa como un conjunto que tiene cuatro elementos (Organización, Personas, Tecnología y Procesos) y seis interconexiones dinámicas (Gobierno, Cultura, Arquitectura, Habilitación y Soporte, Factores Humanos y Emergentes). Cada uno de los elementos se correlación entre si y el estudio de cada una ellas proporcionan un modelo para el análisis de la problemática de la seguridad de la información. El modelo propone un estudio exhaustivo de cada uno de los elementos e interconexiones desde la perspectiva de seguridad que impactará en agregarle valor al negocio.
El Modelo de Negocios para la Seguridad de la Información (BMIS) :
Modelos Un modelo puede ser considerado como una descripción teórica de la forma en que funciona un sistema. Los modelos deben ser flexibles para satisfacer las necesidades del mundo empresarial. Tienen que ser probado en ocasiones para asegurarse de que siguen siendo aplicable y ajustarse a la finalidad prevista, Debe incorporar cambios en los sistemas y las empresas en las que existe. Son descriptivos, pero no normativos
Objetivo del BMIS General Proveer de seguridad a los activos de información de la empresa para el logro de los objetivos del negocio a un nivel aceptable de riesgo. Específicos Alineamiento estratégico Gestión de riesgos Entrega de Valor Gestión de recursos Integración del proceso de Aseguramiento Medición del Desempeño
Estructura del BMIS Elementos Conexiones Dinámicas Cultura Organización Gobierno Personas Arquitectura Tecnología Emergentes Procesos  Habilitación y soporte  Factores Humanos
Estructura del BMIS
Características del BMIS EL BMIS es ante todo un modelo en tres dimensiones. Se compone de cuatro elementos y seis interconexiones dinámicas (DIS). Como regla general, todas las partes del BMIS interactúan unos con otros. Los elementos están conectados entre sí a través de la DIS. Si alguna parte del modelo se cambia, otras partes también se cambiarán
Características del BMIS En un universo de información de seguridad integral y bien administrada, el modelo se considera que esta en equilibrio. Si las partes del modelo se cambian, o si persisten las debilidades de seguridad, el equilibrio del modelo se distorsiona. Las Interdependencias entre las partes de BMIS son el resultado del enfoque sistémico global. Las DIS pueden verse afectadas directa o indirectamente por los cambios en cualquiera de los componentes dentro del modelo, no sólo a los elementos en cada extremo.
ELEMENTOS DEL BMIS
Elemento ORGANIZACION Objetivos Ofrecer una visión de cómo el diseño de la empresa y la estrategia afecta a las personas, procesos y tecnologías, dando lugar a riesgos adicionales, oportunidades y áreas de mejora. Establecer un vínculo claro entre las medidas de seguridad tradicionales y la empresa, incluyendo su influencia en términos de diseño y estrategia. Esto puede ser mapeado para los fundamentos de la seguridad de confidencialidad, disponibilidad e integridad. Ofrecer una visión de negocios sobre los riesgos intrínsecos y culturales de cualquier diseño de la organización y si estos riesgos afectan la visión del impacto en la seguridad. Lograr ver a la empresa en su conjunto en lugar de verlo como un enfoque de elementos aislados como tradicionalmente se ha observado
Elemento ORGANIZACION ORGANIZACIÓN FORMAL La organización formal es la estructura creada por la dirección de la empresa e incluye los organigramas formales, políticas y procedimientos documentados y directrices provistos por los encargados. Se complementa con la estrategia establecida por la alta dirección. ORGANIZACIÓN INFORMAL Subculturas individuales por las acciones de los empleados, estas subculturas se forman en grupos que existen en las unidades de negocio individuales
Elemento ORGANIZACION
Elemento PROCESOS Los procesos son creados para ayudar a las organizaciones a lograr su estrategia en el BMIS Es único y ofrece un enlace vital para todos los de DIS del modelo Representan las actividades estructuradas que se crean para lograr un resultado en particular a través de persona o de una serie de tareas aplicadas consistentemente Un proceso se considera maduro cuando está bien definido, gestionado, medible, y optimizado.
Elemento PROCESOS Factores Clave La retroalimentación representa el compartir observaciones, preocupaciones y sugerencias, entre las personas dentro de la empresa con el fin de mejorar tanto la organización y el desempeño personal. Retardo (Delay) representa el período de tiempo durante el cual el proceso está en funcionamiento cuando la retroalimentación que se recibe y se integran en el proceso por lo que tiene consecuencias para el modelo. •El retardo crea un riesgo en el modelo desde la perspectiva de seguridad, ya que representa una vulnerabilidad para la empresa.
Elemento PROCESOS
Elemento TECNOLOGIA "la aplicación práctica del conocimiento, especialmente en un área en particular“ y "una capacidad dada por la aplicación la práctica del conocimiento" Para efectos del BMIS: La tecnología incluye todas las aplicaciones técnicas del conocimiento utilizado en la organización
Elemento TECNOLOGIA La tecnología ofrece las herramientas necesarias para llevar a cabo la misión y la estrategia de la empresa como un todo, incluyendo los parámetros generales de seguridad de la confidencialidad, integridad y disponibilidad La tecnología, para efectos del BMIS, tiene 2 componentes •Los objetos que representan cualquier tipo de tecnología •La capacidad de aplicación dentro de la empresa lo que implica que las empresas podrían tener mucha o poca dependencia de la tecnología
Elemento TECNOLOGIA
Elemento PERSONAS Representa los recursos humanos en una organización Para efectos del BMIS Personal primario representa a empleados o asociados con la organización Personal secundario, se da en eventuales subcontrataciones como en el caso de los proveedores de servicios administrados o soluciones tecnológicas
Elemento PERSONAS Las personas dentro de una organización tienen sus propias creencias, valores y comportamientos que surgen de sus personalidades y experiencias. "Las personas” no son sólo unidades de uno y no pueden ser estudiados de manera independiente. Para entender cómo afecta la seguridad de la información, y se ve afectada por la gente, un enfoque sistémico es necesario, el estudio de la interacción de las personas con el resto de los elementos del modelo a través de la DIS.
Elemento PERSONAS
CONEXIONES DINAMICAS DEL BMIS
DIS - Aspectos Relevantes de las DIS Cualquier DIs entre dos elementos es flexible y también representa la tensión potencial entre los elementos. Las interconexiones son una señal de que BMIS no es estático, que representa las partes dinámicas de la modelo en el que ocurren las acciones y donde los cambios, a su vez, lo influencian los elementos.
DIS - Aspectos Relevantes de las DIS Los DIS en BMIS también interactúan entre sí en un sentido sistémico. En algunas situaciones, el comportamiento de todo el sistema crea bucles de realimentación o lazos. Estos lazos dinámicamente cambian el sistema y poco a poco se mueve a un nuevo estado . Donde existen tensiones que distorsionan el modelo, los cambios se presentarán por primera vez en un DIS y luego en los elementos correspondientes. Esto, a su vez, puede influir en otros DIS y elementos, dando lugar a un bucle que se refuerza a sí mismo y se mueve el modelo en su conjunto.
Estructura del BMIS
DIS - GOBIERNO La DIS de Gobierno traduce los conceptos de gobierno y las medidas que se deben seguir para cumplir con la misión y objetivos, y establecer límites y controles a nivel de procesos. El Gobierno es la conexión entre los elementos de organización y procesos, La DIS gobierno representa la acción de poner en práctica la gobernabilidad dentro de BMIS. Esto implica que la gestión de los procesos es fijada por el gobierno. La retroalimentación es la responsable de modificar el DIs Gobierno por medio del DIs de Cultura y Arquitectura, que involucra el diseño y la estrategia empresarial
DIS – GOBIERNO - Acciones Las acciones del Gobierno tiene la finalidad de mantener en equilibrio el BMIS •Estrategia de la organización en el diseño organizacional. Cualquier actividad que no cumpla con estos criterios será contraproducente y creará excesivas "tensiones" que deben ser resueltas a través de cambios en el diseño y la estrategia o en el IDs Gobierno. Limitar los riesgos a niveles aceptables, si los riesgos no son correctamente gestionados reduce la capacidad de adaptación de la organización y la resistencia para hacer frente a situaciones emergentes. y por medio de los canales apropiados.
DIS – GOBIERNO - Acciones Las herramientas principales para el gobierno son los estándares y guías que demuestren que cumplen la intención de la política. Políticas Estándares y directrices y otra documentación normativa Reglas de responsabilidad (Accountability) Asignación de recursos y priorización Métricas (de todo lo anterior) Cumplimiento (como un tema Global) La comunicación es vital dentro del DIS de Gobierno.
DIS – GOBIERNO
DIS – CULTURA La Cultura es uno de los DIS más influentes del BMIS de los modelos de seguridad. La cultura y su impacto sobre el BMIS nos provee de la más completa imagen de la empresa El impacto de la cultura en las personas es un tema clave en la seguridad de la información desde que las personas sean capaces de contribuir a la seguridad de la información o, por el contrario, se comprometan con esto.
DIS – CULTURA Para el BMIS la cultura es “un patrón de comportamientos, creencias, presunciones, actitudes y formas de hacer las cosas". Está compuesta por •la cultura organizacional que se forma a través del tiempo por la estrategia, diseño organizativo y comportamiento de las personas en el trabajo, y •Por la cultura de las personas individuales, que pueden ser diversas y heterogéneas. Para mejorar el programa de seguridad de la información examinar y entender la cultura que existe dentro de la empresa.
DIS – CULTURA La Gestión sistémica de la seguridad investiga los siguientes aspectos: Las reglas y normas La tolerancia a la ambigüedad Fuente de distancia El factor de cortesía Contexto Colectividad vs. Individualidad La asunción de riesgos vr. aversión al riesgo El elemento cultura bien gestionado implica una buena Seguridad de la Información, a través de estrategias bien establecidas y bien comunicadas y metas necesariamente apoya a las organizaciones a crecer desde la perspectiva del "yo" al "nosotros“
DIS – CULTURA Una “buena” cultura impacta en que, independientemente de las políticas de seguridad y procedimientos formales, las personas desarrollarían una perspectiva correcta a la protección de la información
DIS – CULTURA – Aspectos a mejorar Trabajar para establecer un programa de seguridad de la información sólido incluyendo a los líderes de la empresa Fomentar la colaboración entre las unidades de negocio, reduciendo así la gestión de silos. Trabajar para que las responsabilidades de seguridad se incluyan en las descripciones de puestos Proporcionar los conocimientos, herramientas y habilidades que las personas necesitan para manejar eficazmente los activos de información. Desarrollar procesos sistemáticos de manejo de la información Trabajar para cambiar las percepciones negativas de seguridad. Comunicar, comunicar, comunicar.
DIS – CULTURA
DIS – ARQUITECTURA . ISO / IEC 42010:2007 define la arquitectura como: “La organización fundamental de un sistema, encarnada en sus componentes, sus relaciones entre sí y el medio ambiente y los principios que rigen su diseño y evolución”
DIS – ARQUITECTURA Pasos para definir la Arquitectura 1.- La arquitectura comienza como un concepto, un conjunto de objetivos de diseño que se deben cumplir 2.- Se convierte en un modelo, o sea, una visión a partir de los servicios. 3.- Preparación de planos detallados, herramientas que se utilizan para transformar la visión / modelo en un producto real y el acabado. 4.- La realización o la salida de las etapas anteriores. .
DIS – ARQUITECTURA – Modelo Zachman
DIS – ARQUITECTURA – Aspectos Relevantes Espacio para la evolución y el mejoramiento Espacio para la reacción para cambiar el contexto Apta para su propósito  Efectividad y eficiencia Consistencia con las políticas y estándares Mantenimiento y facilidad de uso
DIS – ARQUITECTURA – Aspectos Relevantes
DIS – HABILITACION Y SOPORTE En términos de BMIS, Habilitación y Soporte a través de la que la tecnología permite un proceso, y el proceso a su vez, soporta la entrega y la operación de la tecnología El DIS habilitación y soporte muestra un proceso equilibrado para apoyar a la empresa con la tecnología, y muestra el efecto que la tecnología ha tenido en los procesos de negocio
DIS – HABILITACION Y SOPORTE Una habilitación y soporte debe tener en cuenta: Procesos equilibrados y un ajuste rápido a un nuevo estado de equilibrio La adherencia a los estándares apropiados El uso de controles apropiados Un fuerte enfoque en la seguridad El reconocimiento de los requisitos de cumplimiento
DIS – HABILITACION Y SOPORTE La tecnología debe ser seleccionada, evaluada, implementada y controlada. Los procesos deben ser diseñados, desarrollados, implementados y utilizados. Para el BMIS habilitación y soporte tiene la misión de que el proceso permita la tecnología y la tecnología soporte el proceso de negocio.
DIS – HABILITACION Y SOPORTE
DIS – HABILITACION Y SOPORTE Si la solución tecnológica no está clara o esta insuficientemente definida, la solución del negocio es revisada para asegurar la alineación. Si la solución de negocio no es clara o plantea preguntas, puede ser necesario volver a los requisitos de servicio originales formulados o incluso a los requerimientos del negocio global. Esto no es una secuencia paso a paso como sería de forma lineal, es sistémica en la que el paso siguiente no siempre es "completado", pero todas los pasos interactúan en el ciclo general y puede cambiar las soluciones de tecnología y su entrega.
DIS – HABILITACION Y SOPORTE Los componentes clave del DIS habilitación y soporte y el DIS de arquitectura son: •Los Objetivos de Negocio de alto Nivel: La tecnología de la información es un habilitador de negocios, ya que ayuda a reducir los costos operativos, mejora la productividad y genera crecimiento. •Requerimientos detallados del negocio: Los requerimientos del negocio deben ser recogidos sin hacer referencia a la tecnología. Recopilación de los requerimientos del negocio es una actividad crítica, incluso si el enfoque del proyecto es una actualización de tecnología o de actualización. •La arquitectura de la empresa y los marcos de los procesos •Los planes y objetivos de la tecnología deben alinearse con los planes y metas de la organización.
DIS – HABILITACION Y SOPORTE
DIS – EMERGENTES En el BMIS, el emergente puede ser visto como el surgimiento de nuevas oportunidades de negocio, nuevos comportamientos, nuevos procesos y otros elementos relevantes para la seguridad, como los subsistemas entre las personas y los procesos de evolución.
DIS – EMERGENTES Un proceso en sí mismo puede estar bien definido, pero su resultado puede ser diferente cada vez que se ejecuta. El impacto de este hecho en la seguridad de la información, la ejecución de un proceso por las personas se divide en las siguientes categorías:  Procedimiento Escrito; la ejecución de tareas basadas en el flujo específico de las acciones definidas en un procedimiento oficial. Políticas: La ejecución de tareas basadas en la traducción de las reglas de la empresa a políticas de seguridad Ad-hoc: Lla ejecución de tareas de forma aleatoria, no están cubiertas por un procedimiento o una política
DIS – EMERGENTES El DIS Emergente, es como un proceso de aprendizaje, que es fundamental para la seguridad de la información, ya que ayuda al entendimiento de los requerimientos para compartiendo efectivamente las estrategias de seguridad y se ajustan al comportamiento de la empresa como un todo. Ayuda en la personalización, mejora y ampliación de los procedimientos y normas de seguridad llevando la información de la teoría a la práctica.
DIS – EMERGENTES El DIS Emergente puede ser clasificado como positivo o negativo. DIS Emergente positivo está relacionado con el proceso de aprendizaje para la comprensión de la seguridad necesidades y mejorar la seguridad de la información. DIS Emergente negativo está relacionado con el fenómeno creciente de la seguridad sin explicación de incidentes y la falta de alineación entre la seguridad de la información y los objetivos de negocio
DIS – EMERGENTES
DIS – FACTORES HUMANOS Se refiere como la interacción persona- computador (HCI), la interfaz hombre-máquina y la ergonomía por lo que gran parte del trabajo en la facilidad de uso y facilidad de uso Ergonomía: “ciencia aplicada que trata del diseño de los lugares de trabajo, herramientas y tareas que coinciden con las características fisiológicas, anatómicas y psicológicas y las capacidades del trabajador”
DIS – FACTORES HUMANOS Conecta los elementos de las Personas y la Tecnología y cubre muchas áreas, tales como: Ciencia de la comprensión de las propiedades de la capacidad humana, la ergonomía y los límites de las capacidades humanas La aplicación de este conocimiento para el diseño, desarrollo y entrega de tecnologías y servicios Asegurar exitosamente la aplicación de la ingeniería de factores humanos a un programa
DIS – FACTORES HUMANOS Los objetivos principales se relacionan con : El operador humano (cuerpo y mente) y Los sistemas circundantes que interactúan con el usuario humano. Para entender y manejar la tensión en este DI, el primer paso es diagnosticar o identificar los problemas y deficiencias en la interacción hombre-sistema de un sistema de seguridad existente.
DIS – FACTORES HUMANOS Enfoque para mejoras Equipo de diseño: Cambia la naturaleza de los equipos físicos con los que los seres humanos trabajan Diseño de Tareas: Se enfoca más en el cambio de lo que los operadores hacer que en el cambio de los dispositivos que utilizan. Diseño ambiental: Implementa los cambios como una mejor iluminación, control de temperatura, etc. Capacitación Individual: Prepara mejor a los empleados para los desafíos que encontrarán en el entorno de trabajo Selección de los individuos: Es una técnica que reconoce las diferencias individuales entre los seres humanos en todas sus dimensiones física y mental que es relevante para un buen rendimiento del sistema.
DIS – FACTORES HUMANOS Factores claves del éxito •La falta de entender no sólo los requerimientos de seguridad, pero si la razón para ellos •No apreciar los conceptos de riesgo del negocio y el posible impacto de las debilidades de seguridad •La falta de conciencia e implementación, de la disponibilidad del sistema de controles, ya que esto soporta la seguridad de la información •El error humano en forma de falta de memoria o una simple falta de atención a los detalles •Factores humanos externos, tales como el soborno, la corrupción y problemas sociales, que pueden influir en el nivel de concienciación sobre la seguridad y el cumplimiento de los controles
DIS – FACTORES HUMANOS
Usando BMIS Presentación BMIS - rodocarrion@gmail.com
Los objetivos por los cuales es importante poner en práctica el modelo de negocio para la seguridad de la información son los siguientes:  Integrar totalmente el programa de seguridad existente.  Analizar e interiorizar las medidas de seguridad detalladas y sus soluciones  Alinear los estándares, regulaciones y marcos al BMIS.  Identificar claramente las fortalezas y debilidades de la seguridad existentes.  Utilice el sistema de seguridad dinámico que presenta BMIS.  Gestionar los emergentes dentro de la organización para maximizar las mejoras de seguridad. Presentación BMIS - rodocarrion@gmail.com
Pasos:  Como primer paso, la empresa debe ser analizada en términos de ubicación geográfica, relaciones con clientes y proveedores y la cadena de suministro en general  Una vez que los respectivos países, regiones y otros factores de negocio diferentes han sido identificados, las leyes y reglamentos aplicables se pueden asignar a los programas de seguridad, y más tarde al BMIS. Presentación BMIS - rodocarrion@gmail.com
 Desde la perspectiva del BMIS, es la propia empresa que acepta adopta reglas externas y los hace parte de la estrategia de la organización. La gestión de la seguridad debe direccionar:  Reglas de gobierno o de las directrices adoptadas por la empresa  Partes relevantes de TI y de la seguridad, pertinentes de estas reglas o directrices  Mapeo de los elementos de gobierno relevantes para la seguridad en el marco COBIT  E implementarlo en los niveles inferiores a través del DI Gobierno. Presentación BMIS - rodocarrion@gmail.com
 Cuando se utiliza el BMIS, los Gerentes de seguridad deben poco a recopilar toda la información sobre las soluciones resultantes de funcionamiento, herramientas y procesos.  Esta lista no tiene que ser exhaustiva, ya que la naturaleza dinámica de BMIS permite cambios posteriores y adiciones.  Las soluciones existentes, una vez integradas, finalmente formaran un patrón que se refleja en los elementos y en los IDs.  Se identificaran fortalezas y debilidades, se diseña un enfoque pragmático para identificar y cerrar las brechas de seguridad que son visibles después de complementar el BMIS. Presentación BMIS - rodocarrion@gmail.com
 Las tablas son una herramienta importante para luego asignar responsabilidad para las tareas y acciones que se derivan del resultado del BMIS. Presentación BMIS - rodocarrion@gmail.com
BMIS direcciona las necesidades del negocio y los requerimientos de forma directa, sobre la base de las disposiciones estratégicas y tácticas. Desde la perspectiva del BMIS, todas las relaciones con terceros y todos los productos gestionados o servicios deben estar basados ​en los resultados.  Existe una dimensión adicional (contrato y los controles relacionados). El BMIS ha sido diseñado para tener la flexibilidad intrínseca para adaptarse a la mayoría de las normas actualmente en uso en la seguridad de la información. Presentación BMIS - rodocarrion@gmail.com
 El siguiente paso en el uso del BMIS es un análisis exhaustivo de las fortalezas y debilidades. El uso de BMIS permite la gestión para identificar las causas y efectos. Cualquier elemento o DIs es un buen punto de partida. Para cada elemento, el modelo debe contener la información mínima agregada anteriormente:  Las políticas, métodos y controles  Las soluciones detalladas, herramientas y procedimientos  Las partes relevantes de los estándares de seguridad de la información  Las partes relevantes de los estándares generales de TI Presentación BMIS - rodocarrion@gmail.com
 El modelo circular permite una visión clara de cómo la dinámica del sistema lleva a cabo las actividades, comportamientos y patrones que se vuelven más integrados con el tiempo, particularmente en términos del nivel de seguridad global de la empresa. Presentación BMIS - rodocarrion@gmail.com
Conclusiones  El BMIS proporciona un modelo para cambiar del modo reactivo tradicional de tratar a la seguridad de la información a un modo proactivo, apoyando y generando valor para la organización con el fin del cumplimiento de los objetivos.  La importancia de la Seguridad de la Información, así como su aporte al negocio es un factor que no ha sido tomado en cuenta por las empresas y que es crítico para el logro de los objetivos, a veces se puede pensar en que basta con una serie de tecnologías, sin embargo el BMIS muestra que este concepto va mucho mas allá de la simple implementación de soluciones tecnológicas. Presentación BMIS - rodocarrion@gmail.com

Recomendados

Importancia de la Calidad de los Sistemas de Informaciòn
Importancia de la Calidad de los Sistemas de Informaciòn Importancia de la Calidad de los Sistemas de Informaciòn
Importancia de la Calidad de los Sistemas de Informaciòn mariannys bermudez
 
Ingenieria de Software
Ingenieria de SoftwareIngenieria de Software
Ingenieria de Softwareing-jefersonbrito
 
Estudio de diez casos BPM de diez sectores diferentes y diez fabricantes dist...
Estudio de diez casos BPM de diez sectores diferentes y diez fabricantes dist...Estudio de diez casos BPM de diez sectores diferentes y diez fabricantes dist...
Estudio de diez casos BPM de diez sectores diferentes y diez fabricantes dist...Josefa Calvo Cabarcos
 
Beneficios de los Sistemas de Informacion
Beneficios de los Sistemas de InformacionBeneficios de los Sistemas de Informacion
Beneficios de los Sistemas de InformacionDamelys Bracho
 
Gerencia y supervicion sis. de inf.
Gerencia y supervicion sis. de inf.Gerencia y supervicion sis. de inf.
Gerencia y supervicion sis. de inf.Jesuslobom42
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Cuestionario gestión de incidentes
Cuestionario gestión de incidentesCuestionario gestión de incidentes
Cuestionario gestión de incidentesDaniel Sierra
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 

Recomendados

Importancia de la Calidad de los Sistemas de Informaciòn
Importancia de la Calidad de los Sistemas de Informaciòn Importancia de la Calidad de los Sistemas de Informaciòn
Importancia de la Calidad de los Sistemas de Informaciòn mariannys bermudez
 
Ingenieria de Software
Ingenieria de SoftwareIngenieria de Software
Ingenieria de Softwareing-jefersonbrito
 
Estudio de diez casos BPM de diez sectores diferentes y diez fabricantes dist...
Estudio de diez casos BPM de diez sectores diferentes y diez fabricantes dist...Estudio de diez casos BPM de diez sectores diferentes y diez fabricantes dist...
Estudio de diez casos BPM de diez sectores diferentes y diez fabricantes dist...Josefa Calvo Cabarcos
 
Beneficios de los Sistemas de Informacion
Beneficios de los Sistemas de InformacionBeneficios de los Sistemas de Informacion
Beneficios de los Sistemas de InformacionDamelys Bracho
 
Gerencia y supervicion sis. de inf.
Gerencia y supervicion sis. de inf.Gerencia y supervicion sis. de inf.
Gerencia y supervicion sis. de inf.Jesuslobom42
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Cuestionario gestión de incidentes
Cuestionario gestión de incidentesCuestionario gestión de incidentes
Cuestionario gestión de incidentesDaniel Sierra
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticadanipadi
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Sistema de procesamiento de transacciones
Sistema de procesamiento de transaccionesSistema de procesamiento de transacciones
Sistema de procesamiento de transaccionesJavierMartinez702
 
Analisis de Sistemas de Información
Analisis de Sistemas de InformaciónAnalisis de Sistemas de Información
Analisis de Sistemas de InformaciónMaría Díaz Medina
 
TENDENCIAS EN BASE DE DATOS II.pptx
TENDENCIAS EN BASE DE DATOS II.pptxTENDENCIAS EN BASE DE DATOS II.pptx
TENDENCIAS EN BASE DE DATOS II.pptxJpabloRodriguez1
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Automatización de Procesos de IT
Automatización de Procesos de ITAutomatización de Procesos de IT
Automatización de Procesos de ITHelpSystems
 
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioGuia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioCesar Espinoza
 
Métodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaMétodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaShamyNavarrete
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 
Sistemas socio – técnicos
Sistemas socio – técnicosSistemas socio – técnicos
Sistemas socio – técnicosjmpov441
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Sistema de informacion gerencial (SIG)
Sistema de informacion gerencial (SIG)Sistema de informacion gerencial (SIG)
Sistema de informacion gerencial (SIG)Jose Luna
 
Cobit 4.1 resumen
Cobit 4.1 resumenCobit 4.1 resumen
Cobit 4.1 resumenAlex Diaz
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacionMaria de Lourdes Castillero
 
Mapa Mental de Sistema de Información
Mapa Mental de Sistema de Información Mapa Mental de Sistema de Información
Mapa Mental de Sistema de Información Franyelysv
 
3 2 bpm
3 2 bpm3 2 bpm
3 2 bpmlandeta_p
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosFrancisco Medina
 
Retos para la Arquitectura Empresarial en las empresas españolas
Retos para la Arquitectura Empresarial en las empresas españolasRetos para la Arquitectura Empresarial en las empresas españolas
Retos para la Arquitectura Empresarial en las empresas españolasSpain-AEA
 
Justificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadJustificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadGabriel Marcos
 
PROJECT 5
PROJECT 5PROJECT 5
PROJECT 5Edison Morales
 

Más contenido relacionado

La actualidad más candente

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticadanipadi
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Sistema de procesamiento de transacciones
Sistema de procesamiento de transaccionesSistema de procesamiento de transacciones
Sistema de procesamiento de transaccionesJavierMartinez702
 
Analisis de Sistemas de Información
Analisis de Sistemas de InformaciónAnalisis de Sistemas de Información
Analisis de Sistemas de InformaciónMaría Díaz Medina
 
TENDENCIAS EN BASE DE DATOS II.pptx
TENDENCIAS EN BASE DE DATOS II.pptxTENDENCIAS EN BASE DE DATOS II.pptx
TENDENCIAS EN BASE DE DATOS II.pptxJpabloRodriguez1
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Automatización de Procesos de IT
Automatización de Procesos de ITAutomatización de Procesos de IT
Automatización de Procesos de ITHelpSystems
 
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioGuia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioCesar Espinoza
 
Métodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaMétodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaShamyNavarrete
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 
Sistemas socio – técnicos
Sistemas socio – técnicosSistemas socio – técnicos
Sistemas socio – técnicosjmpov441
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Sistema de informacion gerencial (SIG)
Sistema de informacion gerencial (SIG)Sistema de informacion gerencial (SIG)
Sistema de informacion gerencial (SIG)Jose Luna
 
Cobit 4.1 resumen
Cobit 4.1 resumenCobit 4.1 resumen
Cobit 4.1 resumenAlex Diaz
 
Mapa Mental de Sistema de Información
Mapa Mental de Sistema de Información Mapa Mental de Sistema de Información
Mapa Mental de Sistema de Información Franyelysv
 
Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosFrancisco Medina
 
Retos para la Arquitectura Empresarial en las empresas españolas
Retos para la Arquitectura Empresarial en las empresas españolasRetos para la Arquitectura Empresarial en las empresas españolas
Retos para la Arquitectura Empresarial en las empresas españolasSpain-AEA
 

La actualidad más candente (20)

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Sistema de procesamiento de transacciones
Sistema de procesamiento de transaccionesSistema de procesamiento de transacciones
Sistema de procesamiento de transacciones
 
Analisis de Sistemas de Información
Analisis de Sistemas de InformaciónAnalisis de Sistemas de Información
Analisis de Sistemas de Información
 
TENDENCIAS EN BASE DE DATOS II.pptx
TENDENCIAS EN BASE DE DATOS II.pptxTENDENCIAS EN BASE DE DATOS II.pptx
TENDENCIAS EN BASE DE DATOS II.pptx
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
 
Automatización de Procesos de IT
Automatización de Procesos de ITAutomatización de Procesos de IT
Automatización de Procesos de IT
 
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioGuia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
 
Métodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaMétodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria Informática
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
 
Sistemas socio – técnicos
Sistemas socio – técnicosSistemas socio – técnicos
Sistemas socio – técnicos
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
Sistema de informacion gerencial (SIG)
Sistema de informacion gerencial (SIG)Sistema de informacion gerencial (SIG)
Sistema de informacion gerencial (SIG)
 
Cobit 4.1 resumen
Cobit 4.1 resumenCobit 4.1 resumen
Cobit 4.1 resumen
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
 
Mapa Mental de Sistema de Información
Mapa Mental de Sistema de Información Mapa Mental de Sistema de Información
Mapa Mental de Sistema de Información
 
3 2 bpm
3 2 bpm3 2 bpm
3 2 bpm
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de Datos
 
Retos para la Arquitectura Empresarial en las empresas españolas
Retos para la Arquitectura Empresarial en las empresas españolasRetos para la Arquitectura Empresarial en las empresas españolas
Retos para la Arquitectura Empresarial en las empresas españolas
 

Destacado

Justificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadJustificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadGabriel Marcos
 
Valor Agregado en las TI: Herramientas, Metodologías y Frameworks
Valor Agregado en las TI: Herramientas, Metodologías y FrameworksValor Agregado en las TI: Herramientas, Metodologías y Frameworks
Valor Agregado en las TI: Herramientas, Metodologías y FrameworksJersson Dongo
 
COBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCOBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCarlos Francavilla
 
Control Interno, Informe Coso
Control Interno, Informe CosoControl Interno, Informe Coso
Control Interno, Informe CosoUro Cacho
 

Destacado (11)

Justificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadJustificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridad
 
PROJECT 5
PROJECT 5PROJECT 5
PROJECT 5
 
Valor Agregado en las TI: Herramientas, Metodologías y Frameworks
Valor Agregado en las TI: Herramientas, Metodologías y FrameworksValor Agregado en las TI: Herramientas, Metodologías y Frameworks
Valor Agregado en las TI: Herramientas, Metodologías y Frameworks
 
Ingeniería inversa de sistemas de información
Ingeniería inversa de sistemas de informaciónIngeniería inversa de sistemas de información
Ingeniería inversa de sistemas de información
 
Exposicion VAL IT
Exposicion VAL ITExposicion VAL IT
Exposicion VAL IT
 
¿ Que es Analizar?
¿ Que es Analizar? ¿ Que es Analizar?
¿ Que es Analizar?
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
 
COBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCOBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la Información
 
Resume CobiT 5
Resume CobiT 5 Resume CobiT 5
Resume CobiT 5
 
Control Interno, Informe Coso
Control Interno, Informe CosoControl Interno, Informe Coso
Control Interno, Informe Coso
 
ANALIZAR LA INFORMACIÓN
ANALIZAR LA INFORMACIÓNANALIZAR LA INFORMACIÓN
ANALIZAR LA INFORMACIÓN
 

Similar a El Modelo de Negocios para la Seguridad de la Información

Soluciones integrales en las organizaciones
Soluciones integrales en las organizacionesSoluciones integrales en las organizaciones
Soluciones integrales en las organizacionesrcarrerah
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaFabián Descalzo
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-esjavieralejandrobarro
 
Presentacion Control Interno Coso Es
Presentacion Control Interno Coso EsPresentacion Control Interno Coso Es
Presentacion Control Interno Coso EsOmar Hernandez
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-eseboadaspsm
 
Sistemas de información
Sistemas de informaciónSistemas de información
Sistemas de informaciónelicamargoalze
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La OrganizacionFabián Descalzo
 
COMPONENTES DEL MERCADO
COMPONENTES DEL MERCADOCOMPONENTES DEL MERCADO
COMPONENTES DEL MERCADOBelkys Peña
 
Clase 11 gestión integral de la sst
Clase 11 gestión integral de la sstClase 11 gestión integral de la sst
Clase 11 gestión integral de la sstyoeloyolachipana
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacionluisrobles17
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe cosoArmando Pomaire
 
Planificacion Estrategica
Planificacion EstrategicaPlanificacion Estrategica
Planificacion EstrategicaAntonio Zr
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Vero Gonzalez
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Vero Gonzalez
 

Similar a El Modelo de Negocios para la Seguridad de la Información (20)

Soluciones integrales en las organizaciones
Soluciones integrales en las organizacionesSoluciones integrales en las organizaciones
Soluciones integrales en las organizaciones
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad Corporativa
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-es
 
Ejemplo
EjemploEjemplo
Ejemplo
 
Presentacion Control Interno Coso Es
Presentacion Control Interno Coso EsPresentacion Control Interno Coso Es
Presentacion Control Interno Coso Es
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-es
 
Sistemas de información
Sistemas de informaciónSistemas de información
Sistemas de información
 
Cobit-PresentaciónFinal - control interno
Cobit-PresentaciónFinal - control internoCobit-PresentaciónFinal - control interno
Cobit-PresentaciónFinal - control interno
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion
 
COMPONENTES DEL MERCADO
COMPONENTES DEL MERCADOCOMPONENTES DEL MERCADO
COMPONENTES DEL MERCADO
 
Clase 11 gestión integral de la sst
Clase 11 gestión integral de la sstClase 11 gestión integral de la sst
Clase 11 gestión integral de la sst
 
El control interno - Informe COSO
El control interno - Informe COSOEl control interno - Informe COSO
El control interno - Informe COSO
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacion
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe coso
 
Trabajo #1
Trabajo #1Trabajo #1
Trabajo #1
 
Planificacion Estrategica
Planificacion EstrategicaPlanificacion Estrategica
Planificacion Estrategica
 
Itsm
ItsmItsm
Itsm
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1
 

Último

MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxgabyardon485
 
Las 10 decisiones estrategicas en administracion de operaciones
Las 10 decisiones estrategicas en administracion de operacionesLas 10 decisiones estrategicas en administracion de operaciones
Las 10 decisiones estrategicas en administracion de operacionesYeilizerAguilera
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfPriscilaBermello
 
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfPresentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfLuisAlbertoAlvaradoF2
 
modulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmodulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmisssusanalrescate01
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfJaredQuezada3
 
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESCULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESMarielaAldanaMoscoso
 
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAYPPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAYCarlosAlbertoVillafu3
 
La Cadena de suministro CocaCola Co.pptx
La Cadena de suministro CocaCola Co.pptxLa Cadena de suministro CocaCola Co.pptx
La Cadena de suministro CocaCola Co.pptxrubengpa
 
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptxPIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptxJosePuentePadronPuen
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasmaicholfc
 
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptxMATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptxdcmv9220
 
Presentación Final Riesgo de Crédito.pptx
Presentación Final Riesgo de Crédito.pptxPresentación Final Riesgo de Crédito.pptx
Presentación Final Riesgo de Crédito.pptxIvnAndres5
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfjesuseleazarcenuh
 
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAOANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAOCarlosAlbertoVillafu3
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralmaria diaz
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHkarlinda198328
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfguillencuevaadrianal
 
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfJaquelinRamos6
 

Último (20)

MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptx
 
Las 10 decisiones estrategicas en administracion de operaciones
Las 10 decisiones estrategicas en administracion de operacionesLas 10 decisiones estrategicas en administracion de operaciones
Las 10 decisiones estrategicas en administracion de operaciones
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdf
 
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfPresentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
 
modulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmodulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdf
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
 
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESCULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
 
Tarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.pptTarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.ppt
 
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAYPPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
 
La Cadena de suministro CocaCola Co.pptx
La Cadena de suministro CocaCola Co.pptxLa Cadena de suministro CocaCola Co.pptx
La Cadena de suministro CocaCola Co.pptx
 
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptxPIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en droguerias
 
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptxMATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
MATERIALES Y EQUIPOS PARA UNA ESTACIÓN HIDROPÓNICA NFT soporte.pptx
 
Presentación Final Riesgo de Crédito.pptx
Presentación Final Riesgo de Crédito.pptxPresentación Final Riesgo de Crédito.pptx
Presentación Final Riesgo de Crédito.pptx
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdf
 
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAOANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industral
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
 
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
 

El Modelo de Negocios para la Seguridad de la Información

  • 1. Lic. Rodolfo Carrión Coronas, CPA rodocarrion@gmail.com rodolfo@acti.co.cr 10 / Octubre / 2011
  • 2. BMIS El Modelo de Negocios para la Seguridad de la Información Este material es una presentación del modelo desarrollado por ISACA WWW.ISACA.ORG/BMIS
  • 3. El Modelo de Negocios para la Seguridad de la Información (BMIS) El BMIS, es un modelo que apoya al negocio en materia de seguridad de la información a las empresas. Su perspectiva se enfoca en ver a la empresa sistémicamente permitiendo tener una visión integrada enfocándose en los negocios con un aporte extraordinario en la gestión de la seguridad de la información y que ningún marco de control o estándar proporciona. El modelo propone ver a la empresa como un conjunto que tiene cuatro elementos (Organización, Personas, Tecnología y Procesos) y seis interconexiones dinámicas (Gobierno, Cultura, Arquitectura, Habilitación y Soporte, Factores Humanos y Emergentes). Cada uno de los elementos se correlación entre si y el estudio de cada una ellas proporcionan un modelo para el análisis de la problemática de la seguridad de la información. El modelo propone un estudio exhaustivo de cada uno de los elementos e interconexiones desde la perspectiva de seguridad que impactará en agregarle valor al negocio.
  • 4. El Modelo de Negocios para la Seguridad de la Información (BMIS) :
  • 5. Modelos Un modelo puede ser considerado como una descripción teórica de la forma en que funciona un sistema. Los modelos deben ser flexibles para satisfacer las necesidades del mundo empresarial. Tienen que ser probado en ocasiones para asegurarse de que siguen siendo aplicable y ajustarse a la finalidad prevista, Debe incorporar cambios en los sistemas y las empresas en las que existe. Son descriptivos, pero no normativos
  • 6. Objetivo del BMIS General Proveer de seguridad a los activos de información de la empresa para el logro de los objetivos del negocio a un nivel aceptable de riesgo. Específicos Alineamiento estratégico Gestión de riesgos Entrega de Valor Gestión de recursos Integración del proceso de Aseguramiento Medición del Desempeño
  • 7. Estructura del BMIS Elementos Conexiones Dinámicas Cultura Organización Gobierno Personas Arquitectura Tecnología Emergentes Procesos  Habilitación y soporte  Factores Humanos
  • 9. Características del BMIS EL BMIS es ante todo un modelo en tres dimensiones. Se compone de cuatro elementos y seis interconexiones dinámicas (DIS). Como regla general, todas las partes del BMIS interactúan unos con otros. Los elementos están conectados entre sí a través de la DIS. Si alguna parte del modelo se cambia, otras partes también se cambiarán
  • 10. Características del BMIS En un universo de información de seguridad integral y bien administrada, el modelo se considera que esta en equilibrio. Si las partes del modelo se cambian, o si persisten las debilidades de seguridad, el equilibrio del modelo se distorsiona. Las Interdependencias entre las partes de BMIS son el resultado del enfoque sistémico global. Las DIS pueden verse afectadas directa o indirectamente por los cambios en cualquiera de los componentes dentro del modelo, no sólo a los elementos en cada extremo.
  • 12. Elemento ORGANIZACION Objetivos Ofrecer una visión de cómo el diseño de la empresa y la estrategia afecta a las personas, procesos y tecnologías, dando lugar a riesgos adicionales, oportunidades y áreas de mejora. Establecer un vínculo claro entre las medidas de seguridad tradicionales y la empresa, incluyendo su influencia en términos de diseño y estrategia. Esto puede ser mapeado para los fundamentos de la seguridad de confidencialidad, disponibilidad e integridad. Ofrecer una visión de negocios sobre los riesgos intrínsecos y culturales de cualquier diseño de la organización y si estos riesgos afectan la visión del impacto en la seguridad. Lograr ver a la empresa en su conjunto en lugar de verlo como un enfoque de elementos aislados como tradicionalmente se ha observado
  • 13. Elemento ORGANIZACION ORGANIZACIÓN FORMAL La organización formal es la estructura creada por la dirección de la empresa e incluye los organigramas formales, políticas y procedimientos documentados y directrices provistos por los encargados. Se complementa con la estrategia establecida por la alta dirección. ORGANIZACIÓN INFORMAL Subculturas individuales por las acciones de los empleados, estas subculturas se forman en grupos que existen en las unidades de negocio individuales
  • 15. Elemento PROCESOS Los procesos son creados para ayudar a las organizaciones a lograr su estrategia en el BMIS Es único y ofrece un enlace vital para todos los de DIS del modelo Representan las actividades estructuradas que se crean para lograr un resultado en particular a través de persona o de una serie de tareas aplicadas consistentemente Un proceso se considera maduro cuando está bien definido, gestionado, medible, y optimizado.
  • 16. Elemento PROCESOS Factores Clave La retroalimentación representa el compartir observaciones, preocupaciones y sugerencias, entre las personas dentro de la empresa con el fin de mejorar tanto la organización y el desempeño personal. Retardo (Delay) representa el período de tiempo durante el cual el proceso está en funcionamiento cuando la retroalimentación que se recibe y se integran en el proceso por lo que tiene consecuencias para el modelo. •El retardo crea un riesgo en el modelo desde la perspectiva de seguridad, ya que representa una vulnerabilidad para la empresa.
  • 18. Elemento TECNOLOGIA "la aplicación práctica del conocimiento, especialmente en un área en particular“ y "una capacidad dada por la aplicación la práctica del conocimiento" Para efectos del BMIS: La tecnología incluye todas las aplicaciones técnicas del conocimiento utilizado en la organización
  • 19. Elemento TECNOLOGIA La tecnología ofrece las herramientas necesarias para llevar a cabo la misión y la estrategia de la empresa como un todo, incluyendo los parámetros generales de seguridad de la confidencialidad, integridad y disponibilidad La tecnología, para efectos del BMIS, tiene 2 componentes •Los objetos que representan cualquier tipo de tecnología •La capacidad de aplicación dentro de la empresa lo que implica que las empresas podrían tener mucha o poca dependencia de la tecnología
  • 21. Elemento PERSONAS Representa los recursos humanos en una organización Para efectos del BMIS Personal primario representa a empleados o asociados con la organización Personal secundario, se da en eventuales subcontrataciones como en el caso de los proveedores de servicios administrados o soluciones tecnológicas
  • 22. Elemento PERSONAS Las personas dentro de una organización tienen sus propias creencias, valores y comportamientos que surgen de sus personalidades y experiencias. "Las personas” no son sólo unidades de uno y no pueden ser estudiados de manera independiente. Para entender cómo afecta la seguridad de la información, y se ve afectada por la gente, un enfoque sistémico es necesario, el estudio de la interacción de las personas con el resto de los elementos del modelo a través de la DIS.
  • 25. DIS - Aspectos Relevantes de las DIS Cualquier DIs entre dos elementos es flexible y también representa la tensión potencial entre los elementos. Las interconexiones son una señal de que BMIS no es estático, que representa las partes dinámicas de la modelo en el que ocurren las acciones y donde los cambios, a su vez, lo influencian los elementos.
  • 26. DIS - Aspectos Relevantes de las DIS Los DIS en BMIS también interactúan entre sí en un sentido sistémico. En algunas situaciones, el comportamiento de todo el sistema crea bucles de realimentación o lazos. Estos lazos dinámicamente cambian el sistema y poco a poco se mueve a un nuevo estado . Donde existen tensiones que distorsionan el modelo, los cambios se presentarán por primera vez en un DIS y luego en los elementos correspondientes. Esto, a su vez, puede influir en otros DIS y elementos, dando lugar a un bucle que se refuerza a sí mismo y se mueve el modelo en su conjunto.
  • 28. DIS - GOBIERNO La DIS de Gobierno traduce los conceptos de gobierno y las medidas que se deben seguir para cumplir con la misión y objetivos, y establecer límites y controles a nivel de procesos. El Gobierno es la conexión entre los elementos de organización y procesos, La DIS gobierno representa la acción de poner en práctica la gobernabilidad dentro de BMIS. Esto implica que la gestión de los procesos es fijada por el gobierno. La retroalimentación es la responsable de modificar el DIs Gobierno por medio del DIs de Cultura y Arquitectura, que involucra el diseño y la estrategia empresarial
  • 29. DIS – GOBIERNO - Acciones Las acciones del Gobierno tiene la finalidad de mantener en equilibrio el BMIS •Estrategia de la organización en el diseño organizacional. Cualquier actividad que no cumpla con estos criterios será contraproducente y creará excesivas "tensiones" que deben ser resueltas a través de cambios en el diseño y la estrategia o en el IDs Gobierno. Limitar los riesgos a niveles aceptables, si los riesgos no son correctamente gestionados reduce la capacidad de adaptación de la organización y la resistencia para hacer frente a situaciones emergentes. y por medio de los canales apropiados.
  • 30. DIS – GOBIERNO - Acciones Las herramientas principales para el gobierno son los estándares y guías que demuestren que cumplen la intención de la política. Políticas Estándares y directrices y otra documentación normativa Reglas de responsabilidad (Accountability) Asignación de recursos y priorización Métricas (de todo lo anterior) Cumplimiento (como un tema Global) La comunicación es vital dentro del DIS de Gobierno.
  • 32. DIS – CULTURA La Cultura es uno de los DIS más influentes del BMIS de los modelos de seguridad. La cultura y su impacto sobre el BMIS nos provee de la más completa imagen de la empresa El impacto de la cultura en las personas es un tema clave en la seguridad de la información desde que las personas sean capaces de contribuir a la seguridad de la información o, por el contrario, se comprometan con esto.
  • 33. DIS – CULTURA Para el BMIS la cultura es “un patrón de comportamientos, creencias, presunciones, actitudes y formas de hacer las cosas". Está compuesta por •la cultura organizacional que se forma a través del tiempo por la estrategia, diseño organizativo y comportamiento de las personas en el trabajo, y •Por la cultura de las personas individuales, que pueden ser diversas y heterogéneas. Para mejorar el programa de seguridad de la información examinar y entender la cultura que existe dentro de la empresa.
  • 34. DIS – CULTURA La Gestión sistémica de la seguridad investiga los siguientes aspectos: Las reglas y normas La tolerancia a la ambigüedad Fuente de distancia El factor de cortesía Contexto Colectividad vs. Individualidad La asunción de riesgos vr. aversión al riesgo El elemento cultura bien gestionado implica una buena Seguridad de la Información, a través de estrategias bien establecidas y bien comunicadas y metas necesariamente apoya a las organizaciones a crecer desde la perspectiva del "yo" al "nosotros“
  • 35. DIS – CULTURA Una “buena” cultura impacta en que, independientemente de las políticas de seguridad y procedimientos formales, las personas desarrollarían una perspectiva correcta a la protección de la información
  • 36. DIS – CULTURA – Aspectos a mejorar Trabajar para establecer un programa de seguridad de la información sólido incluyendo a los líderes de la empresa Fomentar la colaboración entre las unidades de negocio, reduciendo así la gestión de silos. Trabajar para que las responsabilidades de seguridad se incluyan en las descripciones de puestos Proporcionar los conocimientos, herramientas y habilidades que las personas necesitan para manejar eficazmente los activos de información. Desarrollar procesos sistemáticos de manejo de la información Trabajar para cambiar las percepciones negativas de seguridad. Comunicar, comunicar, comunicar.
  • 38. DIS – ARQUITECTURA . ISO / IEC 42010:2007 define la arquitectura como: “La organización fundamental de un sistema, encarnada en sus componentes, sus relaciones entre sí y el medio ambiente y los principios que rigen su diseño y evolución”
  • 39. DIS – ARQUITECTURA Pasos para definir la Arquitectura 1.- La arquitectura comienza como un concepto, un conjunto de objetivos de diseño que se deben cumplir 2.- Se convierte en un modelo, o sea, una visión a partir de los servicios. 3.- Preparación de planos detallados, herramientas que se utilizan para transformar la visión / modelo en un producto real y el acabado. 4.- La realización o la salida de las etapas anteriores. .
  • 40. DIS – ARQUITECTURA – Modelo Zachman
  • 41. DIS – ARQUITECTURA – Aspectos Relevantes Espacio para la evolución y el mejoramiento Espacio para la reacción para cambiar el contexto Apta para su propósito  Efectividad y eficiencia Consistencia con las políticas y estándares Mantenimiento y facilidad de uso
  • 42. DIS – ARQUITECTURA – Aspectos Relevantes
  • 43. DIS – HABILITACION Y SOPORTE En términos de BMIS, Habilitación y Soporte a través de la que la tecnología permite un proceso, y el proceso a su vez, soporta la entrega y la operación de la tecnología El DIS habilitación y soporte muestra un proceso equilibrado para apoyar a la empresa con la tecnología, y muestra el efecto que la tecnología ha tenido en los procesos de negocio
  • 44. DIS – HABILITACION Y SOPORTE Una habilitación y soporte debe tener en cuenta: Procesos equilibrados y un ajuste rápido a un nuevo estado de equilibrio La adherencia a los estándares apropiados El uso de controles apropiados Un fuerte enfoque en la seguridad El reconocimiento de los requisitos de cumplimiento
  • 45. DIS – HABILITACION Y SOPORTE La tecnología debe ser seleccionada, evaluada, implementada y controlada. Los procesos deben ser diseñados, desarrollados, implementados y utilizados. Para el BMIS habilitación y soporte tiene la misión de que el proceso permita la tecnología y la tecnología soporte el proceso de negocio.
  • 46. DIS – HABILITACION Y SOPORTE
  • 47. DIS – HABILITACION Y SOPORTE Si la solución tecnológica no está clara o esta insuficientemente definida, la solución del negocio es revisada para asegurar la alineación. Si la solución de negocio no es clara o plantea preguntas, puede ser necesario volver a los requisitos de servicio originales formulados o incluso a los requerimientos del negocio global. Esto no es una secuencia paso a paso como sería de forma lineal, es sistémica en la que el paso siguiente no siempre es "completado", pero todas los pasos interactúan en el ciclo general y puede cambiar las soluciones de tecnología y su entrega.
  • 48. DIS – HABILITACION Y SOPORTE Los componentes clave del DIS habilitación y soporte y el DIS de arquitectura son: •Los Objetivos de Negocio de alto Nivel: La tecnología de la información es un habilitador de negocios, ya que ayuda a reducir los costos operativos, mejora la productividad y genera crecimiento. •Requerimientos detallados del negocio: Los requerimientos del negocio deben ser recogidos sin hacer referencia a la tecnología. Recopilación de los requerimientos del negocio es una actividad crítica, incluso si el enfoque del proyecto es una actualización de tecnología o de actualización. •La arquitectura de la empresa y los marcos de los procesos •Los planes y objetivos de la tecnología deben alinearse con los planes y metas de la organización.
  • 49. DIS – HABILITACION Y SOPORTE
  • 50. DIS – EMERGENTES En el BMIS, el emergente puede ser visto como el surgimiento de nuevas oportunidades de negocio, nuevos comportamientos, nuevos procesos y otros elementos relevantes para la seguridad, como los subsistemas entre las personas y los procesos de evolución.
  • 51. DIS – EMERGENTES Un proceso en sí mismo puede estar bien definido, pero su resultado puede ser diferente cada vez que se ejecuta. El impacto de este hecho en la seguridad de la información, la ejecución de un proceso por las personas se divide en las siguientes categorías:  Procedimiento Escrito; la ejecución de tareas basadas en el flujo específico de las acciones definidas en un procedimiento oficial. Políticas: La ejecución de tareas basadas en la traducción de las reglas de la empresa a políticas de seguridad Ad-hoc: Lla ejecución de tareas de forma aleatoria, no están cubiertas por un procedimiento o una política
  • 52. DIS – EMERGENTES El DIS Emergente, es como un proceso de aprendizaje, que es fundamental para la seguridad de la información, ya que ayuda al entendimiento de los requerimientos para compartiendo efectivamente las estrategias de seguridad y se ajustan al comportamiento de la empresa como un todo. Ayuda en la personalización, mejora y ampliación de los procedimientos y normas de seguridad llevando la información de la teoría a la práctica.
  • 53. DIS – EMERGENTES El DIS Emergente puede ser clasificado como positivo o negativo. DIS Emergente positivo está relacionado con el proceso de aprendizaje para la comprensión de la seguridad necesidades y mejorar la seguridad de la información. DIS Emergente negativo está relacionado con el fenómeno creciente de la seguridad sin explicación de incidentes y la falta de alineación entre la seguridad de la información y los objetivos de negocio
  • 55. DIS – FACTORES HUMANOS Se refiere como la interacción persona- computador (HCI), la interfaz hombre-máquina y la ergonomía por lo que gran parte del trabajo en la facilidad de uso y facilidad de uso Ergonomía: “ciencia aplicada que trata del diseño de los lugares de trabajo, herramientas y tareas que coinciden con las características fisiológicas, anatómicas y psicológicas y las capacidades del trabajador”
  • 56. DIS – FACTORES HUMANOS Conecta los elementos de las Personas y la Tecnología y cubre muchas áreas, tales como: Ciencia de la comprensión de las propiedades de la capacidad humana, la ergonomía y los límites de las capacidades humanas La aplicación de este conocimiento para el diseño, desarrollo y entrega de tecnologías y servicios Asegurar exitosamente la aplicación de la ingeniería de factores humanos a un programa
  • 57. DIS – FACTORES HUMANOS Los objetivos principales se relacionan con : El operador humano (cuerpo y mente) y Los sistemas circundantes que interactúan con el usuario humano. Para entender y manejar la tensión en este DI, el primer paso es diagnosticar o identificar los problemas y deficiencias en la interacción hombre-sistema de un sistema de seguridad existente.
  • 58. DIS – FACTORES HUMANOS Enfoque para mejoras Equipo de diseño: Cambia la naturaleza de los equipos físicos con los que los seres humanos trabajan Diseño de Tareas: Se enfoca más en el cambio de lo que los operadores hacer que en el cambio de los dispositivos que utilizan. Diseño ambiental: Implementa los cambios como una mejor iluminación, control de temperatura, etc. Capacitación Individual: Prepara mejor a los empleados para los desafíos que encontrarán en el entorno de trabajo Selección de los individuos: Es una técnica que reconoce las diferencias individuales entre los seres humanos en todas sus dimensiones física y mental que es relevante para un buen rendimiento del sistema.
  • 59. DIS – FACTORES HUMANOS Factores claves del éxito •La falta de entender no sólo los requerimientos de seguridad, pero si la razón para ellos •No apreciar los conceptos de riesgo del negocio y el posible impacto de las debilidades de seguridad •La falta de conciencia e implementación, de la disponibilidad del sistema de controles, ya que esto soporta la seguridad de la información •El error humano en forma de falta de memoria o una simple falta de atención a los detalles •Factores humanos externos, tales como el soborno, la corrupción y problemas sociales, que pueden influir en el nivel de concienciación sobre la seguridad y el cumplimiento de los controles
  • 60. DIS – FACTORES HUMANOS
  • 61. Usando BMIS Presentación BMIS - rodocarrion@gmail.com
  • 62. Los objetivos por los cuales es importante poner en práctica el modelo de negocio para la seguridad de la información son los siguientes:  Integrar totalmente el programa de seguridad existente.  Analizar e interiorizar las medidas de seguridad detalladas y sus soluciones  Alinear los estándares, regulaciones y marcos al BMIS.  Identificar claramente las fortalezas y debilidades de la seguridad existentes.  Utilice el sistema de seguridad dinámico que presenta BMIS.  Gestionar los emergentes dentro de la organización para maximizar las mejoras de seguridad. Presentación BMIS - rodocarrion@gmail.com
  • 63. Pasos:  Como primer paso, la empresa debe ser analizada en términos de ubicación geográfica, relaciones con clientes y proveedores y la cadena de suministro en general  Una vez que los respectivos países, regiones y otros factores de negocio diferentes han sido identificados, las leyes y reglamentos aplicables se pueden asignar a los programas de seguridad, y más tarde al BMIS. Presentación BMIS - rodocarrion@gmail.com
  • 64. Desde la perspectiva del BMIS, es la propia empresa que acepta adopta reglas externas y los hace parte de la estrategia de la organización. La gestión de la seguridad debe direccionar:  Reglas de gobierno o de las directrices adoptadas por la empresa  Partes relevantes de TI y de la seguridad, pertinentes de estas reglas o directrices  Mapeo de los elementos de gobierno relevantes para la seguridad en el marco COBIT  E implementarlo en los niveles inferiores a través del DI Gobierno. Presentación BMIS - rodocarrion@gmail.com
  • 65. Cuando se utiliza el BMIS, los Gerentes de seguridad deben poco a recopilar toda la información sobre las soluciones resultantes de funcionamiento, herramientas y procesos.  Esta lista no tiene que ser exhaustiva, ya que la naturaleza dinámica de BMIS permite cambios posteriores y adiciones.  Las soluciones existentes, una vez integradas, finalmente formaran un patrón que se refleja en los elementos y en los IDs.  Se identificaran fortalezas y debilidades, se diseña un enfoque pragmático para identificar y cerrar las brechas de seguridad que son visibles después de complementar el BMIS. Presentación BMIS - rodocarrion@gmail.com
  • 66. Las tablas son una herramienta importante para luego asignar responsabilidad para las tareas y acciones que se derivan del resultado del BMIS. Presentación BMIS - rodocarrion@gmail.com
  • 67. BMIS direcciona las necesidades del negocio y los requerimientos de forma directa, sobre la base de las disposiciones estratégicas y tácticas. Desde la perspectiva del BMIS, todas las relaciones con terceros y todos los productos gestionados o servicios deben estar basados ​en los resultados.  Existe una dimensión adicional (contrato y los controles relacionados). El BMIS ha sido diseñado para tener la flexibilidad intrínseca para adaptarse a la mayoría de las normas actualmente en uso en la seguridad de la información. Presentación BMIS - rodocarrion@gmail.com
  • 68. El siguiente paso en el uso del BMIS es un análisis exhaustivo de las fortalezas y debilidades. El uso de BMIS permite la gestión para identificar las causas y efectos. Cualquier elemento o DIs es un buen punto de partida. Para cada elemento, el modelo debe contener la información mínima agregada anteriormente:  Las políticas, métodos y controles  Las soluciones detalladas, herramientas y procedimientos  Las partes relevantes de los estándares de seguridad de la información  Las partes relevantes de los estándares generales de TI Presentación BMIS - rodocarrion@gmail.com
  • 69. El modelo circular permite una visión clara de cómo la dinámica del sistema lleva a cabo las actividades, comportamientos y patrones que se vuelven más integrados con el tiempo, particularmente en términos del nivel de seguridad global de la empresa. Presentación BMIS - rodocarrion@gmail.com
  • 70. Conclusiones  El BMIS proporciona un modelo para cambiar del modo reactivo tradicional de tratar a la seguridad de la información a un modo proactivo, apoyando y generando valor para la organización con el fin del cumplimiento de los objetivos.  La importancia de la Seguridad de la Información, así como su aporte al negocio es un factor que no ha sido tomado en cuenta por las empresas y que es crítico para el logro de los objetivos, a veces se puede pensar en que basta con una serie de tecnologías, sin embargo el BMIS muestra que este concepto va mucho mas allá de la simple implementación de soluciones tecnológicas. Presentación BMIS - rodocarrion@gmail.com