SlideShare una empresa de Scribd logo

La gobernanza de la seguridad en la gestión integral del negocio.pdf

J
JosCabeza3

Marco regulatorio sobre crear seguridad tecnológica en la tecnología

Tecnología
1 de 78
Descargar para leer sin conexión
GS VIII-UPM-TASSI 23-05-2012 - p. 1 © 2012 Antoni Bosch La gobernanza de la seguridad como elemento común en la gestión integral del negocio Antoni Bosch i Pujol, CGEIT, CISA, CISM Director General Institute of Audit & IT-Governance (IAITG) Director Data Privacy Institute (DPI-ISMS) Presidente Fundador ISACA-Barcelona Temas Avanzados en Seguridad y Sociedad de la Información VIII Ciclo de Conferencias UPM - TASSI
GS VIII-UPM-TASSI 23-05-2012 - p. 2 © 2012 Antoni Bosch SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN • Conjunto de sistemas y procedimientos que garantizan: - CONFIDENCIALIDAD - INTEGRIDAD - DISPONIBILIDAD - AUTENTIFICACIÓN - NO REPUDIO
GS VIII-UPM-TASSI 23-05-2012 - p. 3 © 2012 Antoni Bosch VALORACIÓN DE LOS REQUISITOS PROTECCIÓN • Básico – Impacto limitado • Moderado – Impacto considerable • Alto – Impacto catastrófico
GS VIII-UPM-TASSI 23-05-2012 - p. 4 © 2012 Antoni Bosch QUÉ PASA SI ... ?
GS VIII-UPM-TASSI 23-05-2012 - p. 5 © 2012 Antoni Bosch QUE PASA SI HAY • Incumplimiento leyes o contratos • Atentado contra el honor y la intimidad • Daños personales • Incorrecta realización actividades • Efectos negativos en relaciones externas • Pérdidas económicas • Pérdida de Confidencialidad • Pérdida de Integridad • Pérdida de Disponibilidad SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
GS VIII-UPM-TASSI 23-05-2012 - p. 6 © 2012 Antoni Bosch De pequeños nos enseñaron:
GS VIII-UPM-TASSI 23-05-2012 - p. 7 © 2012 Antoni Bosch Y todos sabemos que : Cualquier futuro ingeniero aprende la notación matemática según la cual la suma de dos números reales, como por ejemplo 2 1 1 = + puede ser escrita de manera tan simple. Sin embargo esta forma es errónea debido a su banalidad y demuestra una falta total de estilo. 1º clase de matemática aplicada
GS VIII-UPM-TASSI 23-05-2012 - p. 8 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque el atacante era muy listo y tenía muchos medios El gran problema del consejo de administración
GS VIII-UPM-TASSI 23-05-2012 - p. 9 © 2012 Antoni Bosch (NIST SP 800-30)
GS VIII-UPM-TASSI 23-05-2012 - p. 10 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no habíamos implantado un sistema de análisis de riesgos
GS VIII-UPM-TASSI 23-05-2012 - p. 11 © 2012 Antoni Bosch Risk IT. ISACA
GS VIII-UPM-TASSI 23-05-2012 - p. 12 © 2012 Antoni Bosch NIST SP 800-30
GS VIII-UPM-TASSI 23-05-2012 - p. 13 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaba la gestión de riesgos
GS VIII-UPM-TASSI 23-05-2012 - p. 14 © 2012 Antoni Bosch Risk IT. ISACA
GS VIII-UPM-TASSI 23-05-2012 - p. 15 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no teníamos un sistema de gestión de seguridad
GS VIII-UPM-TASSI 23-05-2012 - p. 16 © 2012 Antoni Bosch IT Baseline Protection Manual
GS VIII-UPM-TASSI 23-05-2012 - p. 17 © 2012 Antoni Bosch IT Baseline Protection Manual
GS VIII-UPM-TASSI 23-05-2012 - p. 18 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no teníamos un sistema de gestión de seguridad de la información certificado
GS VIII-UPM-TASSI 23-05-2012 - p. 19 © 2012 Antoni Bosch Pág:19 2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD 3-CLASIFICACIÓN Y CONTROL DE ACTIVOS 1-POLÍTICA DE SEGURIDAD 4-SEGURIDAD EN EL PERSONAL 6-GESTIÓN DE COMUNICACIONES Y OPERACIONES 5-SEGURIDAD FÍSICA Y DEL ENTORNO 8-DESARROLLO Y MANTENIMIENTO DE SISTEMAS 7-CONTROLDE ACCESOS 10-GESTIÓN DE CONTINUIDAD DEL NEGOCIO 11-CUMPLIMIENTO 9-GESTIÓN DE INCIDENCIAS ISO 27000
GS VIII-UPM-TASSI 23-05-2012 - p. 20 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no habíamos implantado un sistema de gestión de servicios TI
GS VIII-UPM-TASSI 23-05-2012 - p. 21 © 2012 Antoni Bosch ISO 20000 Proceso de la provisión de servicio Gestión de la capacidad Continuidad del servicio Gestión de la disponibilidad Planificación Implementación Planificación nuevos servicio Sistemas de Gestión Gestión de la Responsabilidad , Documentación Requerimientos , Competencias , Salvaguardas &Formación Planificación, Implementación, Monitorización, Mejora (Plan, Do, Check, Act) Planificación y Implementación de nuevos o servicios modificados Gestión de Niveles de servicio Informes del servicio Seguridad de la seguridad De la información Presupuestos Contabilidad Del servicio Procesos de Control Gestión de la configuración Gestión del Cambio Procesos de Entrega Procesos Relacionales Procesos de Resolución Gestión de Entrega Gestión de Incidentes Gestión de Problemas Gestión de las relaciones con el negocio Gestión de Suministradores
GS VIII-UPM-TASSI 23-05-2012 - p. 22 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaban más estándares que seguir
GS VIII-UPM-TASSI 23-05-2012 - p. 23 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 7064:2003 Information technology -- Security techniques -- Check character systems ISO/IEC 9796-2:2002 Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 2: Integer factorization based mechanisms ISO/IEC 9796-3:2000 Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 3: Discrete logarithm based mechanisms ISO/IEC 9797-1:1999 Information technology -- Security techniques -- Message Authentication Codes (MACs) -- Part 1: Mechanisms using a block cipher ISO/IEC 9797-2:2002 Information technology -- Security techniques -- Message Authentication Codes (MACs) -- Part 2: Mechanisms using a dedicated hash-function ISO/IEC 9798-1:1997 Information technology -- Security techniques -- Entity authentication -- Part 1: General ISO/IEC 9798-2:1999 Information technology -- Security techniques -- Entity authentication -- Part 2: Mechanisms using symmetric encipherment algorithms ISO/IEC 9798- 2:1999/Cor 1:2004 ISO/IEC 9798-3:1998 Information technology -- Security techniques -- Entity authentication -- Part 3: Mechanisms using digital signature techniques ISO/IEC 9798-4:1999 Information technology -- Security techniques -- Entity authentication -- Part 4: Mechanisms using a cryptographic check function ISO/IEC 9798-5:2004 Information technology -- Security techniques -- Entity authentication -- Part 5: Mechanisms using zero-knowledge techniques ISO/IEC 9798-6:2005 Information technology -- Security techniques -- Entity authentication -- Part 6: Mechanisms using manual data transfer
GS VIII-UPM-TASSI 23-05-2012 - p. 24 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 9979:1999 Information technology -- Security techniques -- Procedures for the registration of cryptographic algorithms ISO/IEC 10116:1997 Information technology -- Security techniques -- Modes of operation for an n-bit block cipher ISO/IEC 10118-1:2000 Information technology -- Security techniques -- Hash-functions -- Part 1: General ISO/IEC 10118-2:2000 Information technology -- Security techniques -- Hash-functions -- Part 2: Hash-functions using an n-bit block cipher ISO/IEC 10118-3:2004 Information technology -- Security techniques -- Hash-functions -- Part 3: Dedicated hash- functions ISO/IEC 10118-4:1998 Information technology -- Security techniques -- Hash-functions -- Part 4: Hash-functions using modular arithmetic ISO/IEC 11770-1:1996 Information technology -- Security techniques -- Key management -- Part 1: Framework ISO/IEC 11770-2:1996 Information technology -- Security techniques -- Key management -- Part 2: Mechanisms using symmetric techniques ISO/IEC 11770-2:1996/Cor 1:2005 ISO/IEC 11770-3:1999 Information technology -- Security techniques -- Key management -- Part 3: Mechanisms using asymmetric techniques
GS VIII-UPM-TASSI 23-05-2012 - p. 25 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management ISO/IEC TR 13335-3:1998 Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security ISO/IEC TR 13335-4:2000 Information technology -- Guidelines for the management of IT Security -- Part 4: Selection of safeguards ISO/IEC TR 13335-5:2001 Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security ISO/IEC 13888-1:2004 IT security techniques -- Non-repudiation -- Part 1: General ISO/IEC 13888-2:1998 Information technology -- Security techniques -- Non-repudiation -- Part 2: Mechanisms using symmetric techniques ISO/IEC 13888-3:1997 Information technology -- Security techniques -- Non-repudiation -- Part 3: Mechanisms using asymmetric techniques ISO/IEC TR 14516:2002 Information technology -- Security techniques -- Guidelines for the use and management of Trusted Third Party services ISO/IEC 14888-1:1998 Information technology -- Security techniques -- Digital signatures with appendix -- Part 1: General ISO/IEC 14888-2:1999 Information technology -- Security techniques -- Digital signatures with appendix -- Part 2: Identity-based mechanisms ISO/IEC 14888-3:1998 Information technology -- Security techniques -- Digital signatures with appendix -- Part 3: Certificate-based mechanisms ISO/IEC 14888-3:1998/Cor 1:2001
GS VIII-UPM-TASSI 23-05-2012 - p. 26 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 15292:2001 Information technology - Security techniques - Protection Profile registration procedures ISO/IEC 15408-1:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model ISO/IEC 15408-2:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional requirements ISO/IEC 15408-3:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance requirements ISO/IEC TR 15443- 1:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 1: Overview and framework ISO/IEC TR 15443- 2:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 2: Assurance methods ISO/IEC TR 15446:2004 Information technology -- Security techniques -- Guide for the production of Protection Profiles and Security Targets ISO/IEC 15816:2002 Information technology -- Security techniques -- Security information objects for access control ISO/IEC 15945:2002 Information technology -- Security techniques -- Specification of TTP services to support the application of digital signatures ISO/IEC 15946-1:2002 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 1: General ISO/IEC 15946-2:2002 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 2: Digital signatures ISO/IEC 15946-3:2002 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 3: Key establishment ISO/IEC 15946-4:2004 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 4: Digital signatures giving message recovery
GS VIII-UPM-TASSI 23-05-2012 - p. 27 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC TR 15947:2002 Information technology -- Security techniques -- IT intrusion detection framework ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management ISO/IEC 18014- 1:2002 Information technology -- Security techniques -- Time-stamping services -- Part 1: Framework ISO/IEC 18014- 2:2002 Information technology -- Security techniques -- Time-stamping services -- Part 2: Mechanisms producing independent tokens ISO/IEC 18014- 3:2004 Information technology -- Security techniques -- Time-stamping services -- Part 3: Mechanisms producing linked tokens ISO/IEC 18028- 3:2005 Information technology -- Security techniques -- IT network security -- Part 3: Securing communications between networks using security gateways ISO/IEC 18028- 4:2005 Information technology -- Security techniques -- IT network security -- Part 4: Securing remote access
GS VIII-UPM-TASSI 23-05-2012 - p. 28 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 18031:2005 Information technology -- Security techniques -- Random bit generation ISO/IEC 18032:2005 Information technology -- Security techniques -- Prime number generation ISO/IEC 18033- 1:2005 Information technology -- Security techniques -- Encryption algorithms -- Part 1: General ISO/IEC 18033- 3:2005 Information technology -- Security techniques -- Encryption algorithms -- Part 3: Block ciphers ISO/IEC 18033- 4:2005 Information technology -- Security techniques -- Encryption algorithms -- Part 4: Stream ciphers ISO/IEC TR 18044:2004 Information technology -- Security techniques -- Information security incident management ISO/IEC 18045:2005 Information technology -- Security techniques -- Methodology for IT security evaluation ISO/IEC 21827:2002 Information technology -- Systems Security Engineering -- Capability Maturity Model (SSE- CMM®) ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems -- Requirements
GS VIII-UPM-TASSI 23-05-2012 - p. 29 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no definimos bien el control interno
GS VIII-UPM-TASSI 23-05-2012 - p. 30 © 2012 Antoni Bosch The COSO “Cube” (Font COSO)
GS VIII-UPM-TASSI 23-05-2012 - p. 31 © 2012 Antoni Bosch COSO-ERM “Cube” (Font COSO)
GS VIII-UPM-TASSI 23-05-2012 - p. 32 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaba añadir al control interno la parte de seguridad de TI
GS VIII-UPM-TASSI 23-05-2012 - p. 33 © 2012 Antoni Bosch The COBIT “Cube” (Font IT Governance Institute Cobit 4.0)
GS VIII-UPM-TASSI 23-05-2012 - p. 34 © 2012 Antoni Bosch PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. IT RESOURCES • Applications • Information • Infrastructure • People PLANNING AND ORGANISATION AQUISITION AND IMPLEMENTATION DELIVERY AND SUPPORT MONITORING (Font IT Governance Institute Cobit 4.0, USA ) • effectivness • eficiency • confidentiality • integrity • availability • compliance • reliability
GS VIII-UPM-TASSI 23-05-2012 - p. 35 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaba actualizar a Cobit 5
GS VIII-UPM-TASSI 23-05-2012 - p. 36 © 2012 Antoni Bosch ISACA, Cobit 5.0
GS VIII-UPM-TASSI 23-05-2012 - p. 37 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaba integrar los sistemas con calidad
GS VIII-UPM-TASSI 23-05-2012 - p. 38 © 2012 Antoni Bosch COBIT ISO 9000 ISO 27000 ISO 20000 COSO WHAT HOW SCOPE OF COVERAGE
GS VIII-UPM-TASSI 23-05-2012 - p. 39 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no tenemos un modelo de gobernanza del riesgo
GS VIII-UPM-TASSI 23-05-2012 - p. 40 © 2012 Antoni Bosch Risk IT. ISACA 2009
GS VIII-UPM-TASSI 23-05-2012 - p. 41 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no tenemos un modelo de Gobernanza de las TIC
GS VIII-UPM-TASSI 23-05-2012 - p. 42 © 2012 Antoni Bosch ¿Modelos IT-Governance? MIT-CISR LAS 5 PRINCIPALES DECISIONES (Weill & Ross. IT-Governance. HBSP,2004) Principios IT Arquitectura IT Infraestructura IT Aplicaciones de negocio Inversiones y prioridades COBIT IT-GOVERNANCE Las 5 AREAS ( IT Governance Institute Cobit 4.1, USA 2007) Alineamiento estratégico Entrega de Valor Gestión de Recursos Gestión de Riesgos Medida del Performance ISO 38500 LOS 6 PRINCIPIOS ( ISO 38500 ISO/IEC JTC1/SC7,2008) Responsabilidad Estrategia Adquisición Performance Cumplimiento Factor Humano
GS VIII-UPM-TASSI 23-05-2012 - p. 43 © 2012 Antoni Bosch Después de mil explicaciones
GS VIII-UPM-TASSI 23-05-2012 - p. 44 © 2012 Antoni Bosch Principios de Parkinson
GS VIII-UPM-TASSI 23-05-2012 - p. 45 © 2012 Antoni Bosch Ley del Trabajo: Todo trabajo tiende a incrementarse hasta llegar al límite máximo del tiempo disponible.
GS VIII-UPM-TASSI 23-05-2012 - p. 46 © 2012 Antoni Bosch Hipótesis de la demora-patrón: Se fija un tiempo mínimo para la ejecución de un trabajo, e inferior a este tiempo es imposible ejecutarlo.
GS VIII-UPM-TASSI 23-05-2012 - p. 47 © 2012 Antoni Bosch Ley de Banalidad: El tiempo dedicado a la dirección de un tema es inversamente proporcional a su importancia.
GS VIII-UPM-TASSI 23-05-2012 - p. 48 © 2012 Antoni Bosch Principio de la comisión: Las comisiones nacen, crecen, se reproducen y se reproducen muchísimo.
GS VIII-UPM-TASSI 23-05-2012 - p. 49 © 2012 Antoni Bosch Principio del bloqueo de la organización: Las organizaciones sólo trabajan de forma eficiente hasta que están a punto de desaparecer.
GS VIII-UPM-TASSI 23-05-2012 - p. 50 © 2012 Antoni Bosch Teorema del punto gordo y la recta astuta
GS VIII-UPM-TASSI 23-05-2012 - p. 51 © 2012 Antoni Bosch
GS VIII-UPM-TASSI 23-05-2012 - p. 52 © 2012 Antoni Bosch La cruda realidad
GS VIII-UPM-TASSI 23-05-2012 - p. 53 © 2012 Antoni Bosch LOS POR QUÉs • Por qué el firewall no bloqueo la entrada no autorizada? • Porque el atacante tenía el password • Por qué el atacante tenía el password? • Porque se lo dió un empleado • Por qué se lo dió un empleado? • Porque no era consciente del peligro. • Por qué no era consciente del peligro? • Porque nadie se lo explicó • Por qué nadie se lo explicó? • Porque la formación no es importante y • muy compleja, y muy costosa y muy …….
GS VIII-UPM-TASSI 23-05-2012 - p. 54 © 2012 Antoni Bosch ¿Qué podemos hacer?
GS VIII-UPM-TASSI 23-05-2012 - p. 55 © 2012 Antoni Bosch GOBERNAR TOMAR DECISIONES
GS VIII-UPM-TASSI 23-05-2012 - p. 56 © 2012 Antoni Bosch IT- SECURITY GOVERNANCE • ¿Qué decisiones se han de tomar? • ¿Quién las ha de tomar? • ¿Quién provee la información? • ¿Cómo se han de tomar? • ¿Cuándo se han de tomar? • ¿Cómo se han de monitorizar y controlar?
GS VIII-UPM-TASSI 23-05-2012 - p. 57 © 2012 Antoni Bosch IT-GOVERNANCE • ¿Qué decisiones se han de tomar?
GS VIII-UPM-TASSI 23-05-2012 - p. 58 © 2012 Antoni Bosch LAS 5 PRINCIPALES DECISIONES (Font Weill & Ross. IT-Governance. HBSP,2004) Principios IT High level statements about how IT is used in the business Arquitectura IT Organizing logic for data, applications, and infrastructure captured in a set of policies, relationships, and technical choices to achieve desired business and technical standardization and integration Infraestructura IT Strategies for the base foundation of budgeted-for IT capability (both technical and human), shared throughout the firm as reliable services, and centrally coordinated (e.g., network, help desk, shared data) Aplicaciones de negocio Specifying the business need for purchased or internally developed IT applications Inversiones y prioridades Decisions about how much and where to invest in IT including project approvals and justification techniques
GS VIII-UPM-TASSI 23-05-2012 - p. 59 © 2012 Antoni Bosch IT-GOVERNANCE •¿Quién las ha de tomar?
GS VIII-UPM-TASSI 23-05-2012 - p. 60 © 2012 Antoni Bosch Monarquía de Negocios A group of, or individual, business executives (i.e.,CxOs). Includes committees comprised of senior business executives (may include CIO). Excludes IT executives acting independently. Monarquía de IT Individuals or groups of IT executives Federal Shared by C level executives and the business groups(i.e., CxOs and BU leaders) — may also include ITexecutives. Equivalent of the center and states workingtogether. Duopolio IT IT executives and one other group(e.g., CxOs or BU leaders) Feudal Business unit leaders, key process owners or theirdelegates Anarquía Each individual user LOS 6 ARQUETIPOS (Font Weill & Ross. IT-Governance. HBSP,2004)
GS VIII-UPM-TASSI 23-05-2012 - p. 61 © 2012 Antoni Bosch IT-GOVERNANCE •¿Quién provee la información?
GS VIII-UPM-TASSI 23-05-2012 - p. 62 © 2012 Antoni Bosch ¿Quién? RACI Chart (Font IT Governance Institute Cobit 4.1, USA 2007) 1. Director ejecutivo (CEO) 2. Director financiero (CFO) 3. Directores áreas funcionales (CxO) 4. Director de S.I. (CIO) 5. Director de Seguridad de S.I. (CISO) 6. Propietario del proceso de negocio 7. Director de Operaciones 8. Encargado de tratamiento 9. Director de Arquitectura 10. Director de Desarrollo 11. Director de Administración de TI. 12. Director Oficina de proyectos 13. Responsables de control. 14. Auditores de SI (externos o internos) 15. Consultores externos (outsourcing) 16. …
GS VIII-UPM-TASSI 23-05-2012 - p. 63 © 2012 Antoni Bosch Qué y Quien ? Principios IT Arquitectura IT Infraestructura Aplicaciones de negocio Inversión y Prioridades Input Decisión Input Decisión Input Decisión Input Decisión Input Decisión 1. Director ejecutivo (CEO) 2. Director financiero (CFO) 3. Directores áreas funcionales (CxO) 4. Director de S.I. (CIO) 5. Director de Seguridad (CISO) 6. Propietario del proceso de negocio 7. Director de Operaciones 8. Encargado de tratamiento 9. Director de Arquitectura 10. Director de Desarrollo 11. Director de Administración de TI. 12. Director Oficina de proyectos 13. Responsables de control. 14. Auditores de SI (externos o internos) 15. Consultores externos (outsourcing) Monarquía Negocios Monarquia IT Federal Duoplio IT Feudal
GS VIII-UPM-TASSI 23-05-2012 - p. 64 © 2012 Antoni Bosch RACI CHART (Font ITGI,USA 2007)
GS VIII-UPM-TASSI 23-05-2012 - p. 65 © 2012 Antoni Bosch IT-GOVERNANCE •¿Cómo se han de tomar?
GS VIII-UPM-TASSI 23-05-2012 - p. 66 © 2012 Antoni Bosch CREACIÓN O CONSERVACIÓN DE VALOR (Font ITGI,USA 2007)
GS VIII-UPM-TASSI 23-05-2012 - p. 67 © 2012 Antoni Bosch IT-GOVERNANCE • ¿Cuándo se han de tomar?
GS VIII-UPM-TASSI 23-05-2012 - p. 68 © 2012 Antoni Bosch ¿Cuándo se han de tomar ? INFORMACIÓ N DATOS DATOS MINIMA Información toma decisión MAXIMA Información Capaz asimilar MÁXIMA VENTAJA MÁXIMO RIESGO MÍNIMA VENTAJA MÍNIMO RIESGO
GS VIII-UPM-TASSI 23-05-2012 - p. 69 © 2012 Antoni Bosch Modelos de Madurez (Font IT Governance Institute Cobit 4.0, USA 2005)
GS VIII-UPM-TASSI 23-05-2012 - p. 70 © 2012 Antoni Bosch IT-GOVERNANCE • ¿Cómo se han de monitorizar y controlar?
GS VIII-UPM-TASSI 23-05-2012 - p. 71 © 2012 Antoni Bosch Performance Measurement Approaches (ITGI-2005)
GS VIII-UPM-TASSI 23-05-2012 - p. 72 © 2012 Antoni Bosch Business Value Hierarchy (Font Weill & Broadbent. Leveraging the New Infrastructure. HBSP,1998)
GS VIII-UPM-TASSI 23-05-2012 - p. 73 © 2012 Antoni Bosch Indicadores de Objetivos(KGI) Indicadores de Rendimiento (KPI) KGI KPI (Font IT Governance Institute Cobit 4.0, USA 2005)
GS VIII-UPM-TASSI 23-05-2012 - p. 74 © 2012 Antoni Bosch Relationship Amongst Process, Goals and Metrics (ME4)(Font ITGI,USA 2007)
GS VIII-UPM-TASSI 23-05-2012 - p. 75 © 2012 Antoni Bosch
GS VIII-UPM-TASSI 23-05-2012 - p. 76 © 2012 Antoni Bosch
GS VIII-UPM-TASSI 23-05-2012 - p. 77 © 2012 Antoni Bosch SEGURIDAD TOTAL COSTE INFINITO
GS VIII-UPM-TASSI 23-05-2012 - p. 78 © 2012 Antoni Bosch MUCHAS GRACIAS Antoni Bosch i Pujol, CGEIT, CISA, CISM Director General Institute of Audit & IT-Governance (IAITG) Director Data Privacy Institute (DPI-ISMS) Presidente Fundador ISACA-Barcelona antoni.bosch@iaitg.eu http://es.linkedin.com/in/antonibosch

Recomendados

Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
iso_17799_y_herramientas_micros mmmmmmmmmmmmmmmmmmmmmkkkkkkkkkkkkkoft.ppt
iso_17799_y_herramientas_micros mmmmmmmmmmmmmmmmmmmmmkkkkkkkkkkkkkoft.pptiso_17799_y_herramientas_micros mmmmmmmmmmmmmmmmmmmmmkkkkkkkkkkkkkoft.ppt
iso_17799_y_herramientas_micros mmmmmmmmmmmmmmmmmmmmmkkkkkkkkkkkkkoft.pptHernandoFeria1
 
Seguridad
SeguridadSeguridad
SeguridadFipy_exe
 
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesCurso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesJack Daniel Cáceres Meza
 
Hoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoHoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoArthurMorales2
 
NTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNoemiMaitheRomeroBau
 

Recomendados

Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
iso_17799_y_herramientas_micros mmmmmmmmmmmmmmmmmmmmmkkkkkkkkkkkkkoft.ppt
iso_17799_y_herramientas_micros mmmmmmmmmmmmmmmmmmmmmkkkkkkkkkkkkkoft.pptiso_17799_y_herramientas_micros mmmmmmmmmmmmmmmmmmmmmkkkkkkkkkkkkkoft.ppt
iso_17799_y_herramientas_micros mmmmmmmmmmmmmmmmmmmmmkkkkkkkkkkkkkoft.pptHernandoFeria1
 
Seguridad
SeguridadSeguridad
SeguridadFipy_exe
 
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesCurso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesJack Daniel Cáceres Meza
 
Hoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoHoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoArthurMorales2
 
NTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNoemiMaitheRomeroBau
 
Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799Fipy_exe
 
Taller Seguridad SCADA. Forum CIIP 2010
Taller Seguridad SCADA. Forum CIIP 2010Taller Seguridad SCADA. Forum CIIP 2010
Taller Seguridad SCADA. Forum CIIP 2010ignacioparedes
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Richard Gonzalo Llanos Gutierrez
 
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Miguel A. Amutio
 
El ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridadEl ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridadMiguel A. Amutio
 
alianza nuevo.pdf
alianza nuevo.pdfalianza nuevo.pdf
alianza nuevo.pdfSilvyAndreaCaicedo
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...xavazquez
 
Esquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientesEsquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientesMiguel A. Amutio
 
Módulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaInstituto Nacional de Administración Pública
 
Ambito 6 - Registros
Ambito 6 - RegistrosAmbito 6 - Registros
Ambito 6 - Registrosgestiondecalidad2011
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Seguridad del ibm i as400
Seguridad del ibm i as400Seguridad del ibm i as400
Seguridad del ibm i as400Giovanny Guillen
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Miguel A. Amutio
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
Infosecu
InfosecuInfosecu
InfosecuJoha2210
 
Auditoría en Sistemas
Auditoría en SistemasAuditoría en Sistemas
Auditoría en Sistemasansojo12
 
Biometria.pptx
Biometria.pptxBiometria.pptx
Biometria.pptxCesar Jesus Chavez Martinez
 
Ahorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TICAhorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TICNextel S.A.
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 

Más contenido relacionado

Similar a La gobernanza de la seguridad en la gestión integral del negocio.pdf

Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799Fipy_exe
 
Taller Seguridad SCADA. Forum CIIP 2010
Taller Seguridad SCADA. Forum CIIP 2010Taller Seguridad SCADA. Forum CIIP 2010
Taller Seguridad SCADA. Forum CIIP 2010ignacioparedes
 
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Miguel A. Amutio
 
El ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridadEl ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridadMiguel A. Amutio
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...xavazquez
 
Esquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientesEsquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientesMiguel A. Amutio
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Miguel A. Amutio
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
Auditoría en Sistemas
Auditoría en SistemasAuditoría en Sistemas
Auditoría en Sistemasansojo12
 
Ahorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TICAhorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TICNextel S.A.
 

Similar a La gobernanza de la seguridad en la gestión integral del negocio.pdf (20)

Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799
 
Taller Seguridad SCADA. Forum CIIP 2010
Taller Seguridad SCADA. Forum CIIP 2010Taller Seguridad SCADA. Forum CIIP 2010
Taller Seguridad SCADA. Forum CIIP 2010
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
 
El ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridadEl ENS y la gestión continua de la seguridad
El ENS y la gestión continua de la seguridad
 
alianza nuevo.pdf
alianza nuevo.pdfalianza nuevo.pdf
alianza nuevo.pdf
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
 
Esquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientesEsquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientes
 
Módulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzada
 
Ambito 6 - Registros
Ambito 6 - RegistrosAmbito 6 - Registros
Ambito 6 - Registros
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Seguridad del ibm i as400
Seguridad del ibm i as400Seguridad del ibm i as400
Seguridad del ibm i as400
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
Infosecu
InfosecuInfosecu
Infosecu
 
Auditoría en Sistemas
Auditoría en SistemasAuditoría en Sistemas
Auditoría en Sistemas
 
Biometria.pptx
Biometria.pptxBiometria.pptx
Biometria.pptx
 
Ahorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TICAhorrar invirtiendo, los beneficios de una buena gestión TIC
Ahorrar invirtiendo, los beneficios de una buena gestión TIC
 

Último

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 

Último (15)

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 

La gobernanza de la seguridad en la gestión integral del negocio.pdf

  • 1. GS VIII-UPM-TASSI 23-05-2012 - p. 1 © 2012 Antoni Bosch La gobernanza de la seguridad como elemento común en la gestión integral del negocio Antoni Bosch i Pujol, CGEIT, CISA, CISM Director General Institute of Audit & IT-Governance (IAITG) Director Data Privacy Institute (DPI-ISMS) Presidente Fundador ISACA-Barcelona Temas Avanzados en Seguridad y Sociedad de la Información VIII Ciclo de Conferencias UPM - TASSI
  • 2. GS VIII-UPM-TASSI 23-05-2012 - p. 2 © 2012 Antoni Bosch SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN • Conjunto de sistemas y procedimientos que garantizan: - CONFIDENCIALIDAD - INTEGRIDAD - DISPONIBILIDAD - AUTENTIFICACIÓN - NO REPUDIO
  • 3. GS VIII-UPM-TASSI 23-05-2012 - p. 3 © 2012 Antoni Bosch VALORACIÓN DE LOS REQUISITOS PROTECCIÓN • Básico – Impacto limitado • Moderado – Impacto considerable • Alto – Impacto catastrófico
  • 4. GS VIII-UPM-TASSI 23-05-2012 - p. 4 © 2012 Antoni Bosch QUÉ PASA SI ... ?
  • 5. GS VIII-UPM-TASSI 23-05-2012 - p. 5 © 2012 Antoni Bosch QUE PASA SI HAY • Incumplimiento leyes o contratos • Atentado contra el honor y la intimidad • Daños personales • Incorrecta realización actividades • Efectos negativos en relaciones externas • Pérdidas económicas • Pérdida de Confidencialidad • Pérdida de Integridad • Pérdida de Disponibilidad SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
  • 6. GS VIII-UPM-TASSI 23-05-2012 - p. 6 © 2012 Antoni Bosch De pequeños nos enseñaron:
  • 7. GS VIII-UPM-TASSI 23-05-2012 - p. 7 © 2012 Antoni Bosch Y todos sabemos que : Cualquier futuro ingeniero aprende la notación matemática según la cual la suma de dos números reales, como por ejemplo 2 1 1 = + puede ser escrita de manera tan simple. Sin embargo esta forma es errónea debido a su banalidad y demuestra una falta total de estilo. 1º clase de matemática aplicada
  • 8. GS VIII-UPM-TASSI 23-05-2012 - p. 8 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque el atacante era muy listo y tenía muchos medios El gran problema del consejo de administración
  • 9. GS VIII-UPM-TASSI 23-05-2012 - p. 9 © 2012 Antoni Bosch (NIST SP 800-30)
  • 10. GS VIII-UPM-TASSI 23-05-2012 - p. 10 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no habíamos implantado un sistema de análisis de riesgos
  • 11. GS VIII-UPM-TASSI 23-05-2012 - p. 11 © 2012 Antoni Bosch Risk IT. ISACA
  • 12. GS VIII-UPM-TASSI 23-05-2012 - p. 12 © 2012 Antoni Bosch NIST SP 800-30
  • 13. GS VIII-UPM-TASSI 23-05-2012 - p. 13 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaba la gestión de riesgos
  • 14. GS VIII-UPM-TASSI 23-05-2012 - p. 14 © 2012 Antoni Bosch Risk IT. ISACA
  • 15. GS VIII-UPM-TASSI 23-05-2012 - p. 15 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no teníamos un sistema de gestión de seguridad
  • 16. GS VIII-UPM-TASSI 23-05-2012 - p. 16 © 2012 Antoni Bosch IT Baseline Protection Manual
  • 17. GS VIII-UPM-TASSI 23-05-2012 - p. 17 © 2012 Antoni Bosch IT Baseline Protection Manual
  • 18. GS VIII-UPM-TASSI 23-05-2012 - p. 18 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no teníamos un sistema de gestión de seguridad de la información certificado
  • 19. GS VIII-UPM-TASSI 23-05-2012 - p. 19 © 2012 Antoni Bosch Pág:19 2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD 3-CLASIFICACIÓN Y CONTROL DE ACTIVOS 1-POLÍTICA DE SEGURIDAD 4-SEGURIDAD EN EL PERSONAL 6-GESTIÓN DE COMUNICACIONES Y OPERACIONES 5-SEGURIDAD FÍSICA Y DEL ENTORNO 8-DESARROLLO Y MANTENIMIENTO DE SISTEMAS 7-CONTROLDE ACCESOS 10-GESTIÓN DE CONTINUIDAD DEL NEGOCIO 11-CUMPLIMIENTO 9-GESTIÓN DE INCIDENCIAS ISO 27000
  • 20. GS VIII-UPM-TASSI 23-05-2012 - p. 20 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no habíamos implantado un sistema de gestión de servicios TI
  • 21. GS VIII-UPM-TASSI 23-05-2012 - p. 21 © 2012 Antoni Bosch ISO 20000 Proceso de la provisión de servicio Gestión de la capacidad Continuidad del servicio Gestión de la disponibilidad Planificación Implementación Planificación nuevos servicio Sistemas de Gestión Gestión de la Responsabilidad , Documentación Requerimientos , Competencias , Salvaguardas &Formación Planificación, Implementación, Monitorización, Mejora (Plan, Do, Check, Act) Planificación y Implementación de nuevos o servicios modificados Gestión de Niveles de servicio Informes del servicio Seguridad de la seguridad De la información Presupuestos Contabilidad Del servicio Procesos de Control Gestión de la configuración Gestión del Cambio Procesos de Entrega Procesos Relacionales Procesos de Resolución Gestión de Entrega Gestión de Incidentes Gestión de Problemas Gestión de las relaciones con el negocio Gestión de Suministradores
  • 22. GS VIII-UPM-TASSI 23-05-2012 - p. 22 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaban más estándares que seguir
  • 23. GS VIII-UPM-TASSI 23-05-2012 - p. 23 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 7064:2003 Information technology -- Security techniques -- Check character systems ISO/IEC 9796-2:2002 Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 2: Integer factorization based mechanisms ISO/IEC 9796-3:2000 Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 3: Discrete logarithm based mechanisms ISO/IEC 9797-1:1999 Information technology -- Security techniques -- Message Authentication Codes (MACs) -- Part 1: Mechanisms using a block cipher ISO/IEC 9797-2:2002 Information technology -- Security techniques -- Message Authentication Codes (MACs) -- Part 2: Mechanisms using a dedicated hash-function ISO/IEC 9798-1:1997 Information technology -- Security techniques -- Entity authentication -- Part 1: General ISO/IEC 9798-2:1999 Information technology -- Security techniques -- Entity authentication -- Part 2: Mechanisms using symmetric encipherment algorithms ISO/IEC 9798- 2:1999/Cor 1:2004 ISO/IEC 9798-3:1998 Information technology -- Security techniques -- Entity authentication -- Part 3: Mechanisms using digital signature techniques ISO/IEC 9798-4:1999 Information technology -- Security techniques -- Entity authentication -- Part 4: Mechanisms using a cryptographic check function ISO/IEC 9798-5:2004 Information technology -- Security techniques -- Entity authentication -- Part 5: Mechanisms using zero-knowledge techniques ISO/IEC 9798-6:2005 Information technology -- Security techniques -- Entity authentication -- Part 6: Mechanisms using manual data transfer
  • 24. GS VIII-UPM-TASSI 23-05-2012 - p. 24 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 9979:1999 Information technology -- Security techniques -- Procedures for the registration of cryptographic algorithms ISO/IEC 10116:1997 Information technology -- Security techniques -- Modes of operation for an n-bit block cipher ISO/IEC 10118-1:2000 Information technology -- Security techniques -- Hash-functions -- Part 1: General ISO/IEC 10118-2:2000 Information technology -- Security techniques -- Hash-functions -- Part 2: Hash-functions using an n-bit block cipher ISO/IEC 10118-3:2004 Information technology -- Security techniques -- Hash-functions -- Part 3: Dedicated hash- functions ISO/IEC 10118-4:1998 Information technology -- Security techniques -- Hash-functions -- Part 4: Hash-functions using modular arithmetic ISO/IEC 11770-1:1996 Information technology -- Security techniques -- Key management -- Part 1: Framework ISO/IEC 11770-2:1996 Information technology -- Security techniques -- Key management -- Part 2: Mechanisms using symmetric techniques ISO/IEC 11770-2:1996/Cor 1:2005 ISO/IEC 11770-3:1999 Information technology -- Security techniques -- Key management -- Part 3: Mechanisms using asymmetric techniques
  • 25. GS VIII-UPM-TASSI 23-05-2012 - p. 25 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management ISO/IEC TR 13335-3:1998 Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security ISO/IEC TR 13335-4:2000 Information technology -- Guidelines for the management of IT Security -- Part 4: Selection of safeguards ISO/IEC TR 13335-5:2001 Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security ISO/IEC 13888-1:2004 IT security techniques -- Non-repudiation -- Part 1: General ISO/IEC 13888-2:1998 Information technology -- Security techniques -- Non-repudiation -- Part 2: Mechanisms using symmetric techniques ISO/IEC 13888-3:1997 Information technology -- Security techniques -- Non-repudiation -- Part 3: Mechanisms using asymmetric techniques ISO/IEC TR 14516:2002 Information technology -- Security techniques -- Guidelines for the use and management of Trusted Third Party services ISO/IEC 14888-1:1998 Information technology -- Security techniques -- Digital signatures with appendix -- Part 1: General ISO/IEC 14888-2:1999 Information technology -- Security techniques -- Digital signatures with appendix -- Part 2: Identity-based mechanisms ISO/IEC 14888-3:1998 Information technology -- Security techniques -- Digital signatures with appendix -- Part 3: Certificate-based mechanisms ISO/IEC 14888-3:1998/Cor 1:2001
  • 26. GS VIII-UPM-TASSI 23-05-2012 - p. 26 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 15292:2001 Information technology - Security techniques - Protection Profile registration procedures ISO/IEC 15408-1:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model ISO/IEC 15408-2:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional requirements ISO/IEC 15408-3:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance requirements ISO/IEC TR 15443- 1:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 1: Overview and framework ISO/IEC TR 15443- 2:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 2: Assurance methods ISO/IEC TR 15446:2004 Information technology -- Security techniques -- Guide for the production of Protection Profiles and Security Targets ISO/IEC 15816:2002 Information technology -- Security techniques -- Security information objects for access control ISO/IEC 15945:2002 Information technology -- Security techniques -- Specification of TTP services to support the application of digital signatures ISO/IEC 15946-1:2002 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 1: General ISO/IEC 15946-2:2002 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 2: Digital signatures ISO/IEC 15946-3:2002 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 3: Key establishment ISO/IEC 15946-4:2004 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 4: Digital signatures giving message recovery
  • 27. GS VIII-UPM-TASSI 23-05-2012 - p. 27 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC TR 15947:2002 Information technology -- Security techniques -- IT intrusion detection framework ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management ISO/IEC 18014- 1:2002 Information technology -- Security techniques -- Time-stamping services -- Part 1: Framework ISO/IEC 18014- 2:2002 Information technology -- Security techniques -- Time-stamping services -- Part 2: Mechanisms producing independent tokens ISO/IEC 18014- 3:2004 Information technology -- Security techniques -- Time-stamping services -- Part 3: Mechanisms producing linked tokens ISO/IEC 18028- 3:2005 Information technology -- Security techniques -- IT network security -- Part 3: Securing communications between networks using security gateways ISO/IEC 18028- 4:2005 Information technology -- Security techniques -- IT network security -- Part 4: Securing remote access
  • 28. GS VIII-UPM-TASSI 23-05-2012 - p. 28 © 2012 Antoni Bosch JTC 1/SC 27 IT Security techniques ISO/IEC 18031:2005 Information technology -- Security techniques -- Random bit generation ISO/IEC 18032:2005 Information technology -- Security techniques -- Prime number generation ISO/IEC 18033- 1:2005 Information technology -- Security techniques -- Encryption algorithms -- Part 1: General ISO/IEC 18033- 3:2005 Information technology -- Security techniques -- Encryption algorithms -- Part 3: Block ciphers ISO/IEC 18033- 4:2005 Information technology -- Security techniques -- Encryption algorithms -- Part 4: Stream ciphers ISO/IEC TR 18044:2004 Information technology -- Security techniques -- Information security incident management ISO/IEC 18045:2005 Information technology -- Security techniques -- Methodology for IT security evaluation ISO/IEC 21827:2002 Information technology -- Systems Security Engineering -- Capability Maturity Model (SSE- CMM®) ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems -- Requirements
  • 29. GS VIII-UPM-TASSI 23-05-2012 - p. 29 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no definimos bien el control interno
  • 30. GS VIII-UPM-TASSI 23-05-2012 - p. 30 © 2012 Antoni Bosch The COSO “Cube” (Font COSO)
  • 31. GS VIII-UPM-TASSI 23-05-2012 - p. 31 © 2012 Antoni Bosch COSO-ERM “Cube” (Font COSO)
  • 32. GS VIII-UPM-TASSI 23-05-2012 - p. 32 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaba añadir al control interno la parte de seguridad de TI
  • 33. GS VIII-UPM-TASSI 23-05-2012 - p. 33 © 2012 Antoni Bosch The COBIT “Cube” (Font IT Governance Institute Cobit 4.0)
  • 34. GS VIII-UPM-TASSI 23-05-2012 - p. 34 © 2012 Antoni Bosch PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. IT RESOURCES • Applications • Information • Infrastructure • People PLANNING AND ORGANISATION AQUISITION AND IMPLEMENTATION DELIVERY AND SUPPORT MONITORING (Font IT Governance Institute Cobit 4.0, USA ) • effectivness • eficiency • confidentiality • integrity • availability • compliance • reliability
  • 35. GS VIII-UPM-TASSI 23-05-2012 - p. 35 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaba actualizar a Cobit 5
  • 36. GS VIII-UPM-TASSI 23-05-2012 - p. 36 © 2012 Antoni Bosch ISACA, Cobit 5.0
  • 37. GS VIII-UPM-TASSI 23-05-2012 - p. 37 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaba integrar los sistemas con calidad
  • 38. GS VIII-UPM-TASSI 23-05-2012 - p. 38 © 2012 Antoni Bosch COBIT ISO 9000 ISO 27000 ISO 20000 COSO WHAT HOW SCOPE OF COVERAGE
  • 39. GS VIII-UPM-TASSI 23-05-2012 - p. 39 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no tenemos un modelo de gobernanza del riesgo
  • 40. GS VIII-UPM-TASSI 23-05-2012 - p. 40 © 2012 Antoni Bosch Risk IT. ISACA 2009
  • 41. GS VIII-UPM-TASSI 23-05-2012 - p. 41 © 2012 Antoni Bosch • Por qué el firewall no bloqueó la entrada no autorizada? • Porque no tenemos un modelo de Gobernanza de las TIC
  • 42. GS VIII-UPM-TASSI 23-05-2012 - p. 42 © 2012 Antoni Bosch ¿Modelos IT-Governance? MIT-CISR LAS 5 PRINCIPALES DECISIONES (Weill & Ross. IT-Governance. HBSP,2004) Principios IT Arquitectura IT Infraestructura IT Aplicaciones de negocio Inversiones y prioridades COBIT IT-GOVERNANCE Las 5 AREAS ( IT Governance Institute Cobit 4.1, USA 2007) Alineamiento estratégico Entrega de Valor Gestión de Recursos Gestión de Riesgos Medida del Performance ISO 38500 LOS 6 PRINCIPIOS ( ISO 38500 ISO/IEC JTC1/SC7,2008) Responsabilidad Estrategia Adquisición Performance Cumplimiento Factor Humano
  • 43. GS VIII-UPM-TASSI 23-05-2012 - p. 43 © 2012 Antoni Bosch Después de mil explicaciones
  • 44. GS VIII-UPM-TASSI 23-05-2012 - p. 44 © 2012 Antoni Bosch Principios de Parkinson
  • 45. GS VIII-UPM-TASSI 23-05-2012 - p. 45 © 2012 Antoni Bosch Ley del Trabajo: Todo trabajo tiende a incrementarse hasta llegar al límite máximo del tiempo disponible.
  • 46. GS VIII-UPM-TASSI 23-05-2012 - p. 46 © 2012 Antoni Bosch Hipótesis de la demora-patrón: Se fija un tiempo mínimo para la ejecución de un trabajo, e inferior a este tiempo es imposible ejecutarlo.
  • 47. GS VIII-UPM-TASSI 23-05-2012 - p. 47 © 2012 Antoni Bosch Ley de Banalidad: El tiempo dedicado a la dirección de un tema es inversamente proporcional a su importancia.
  • 48. GS VIII-UPM-TASSI 23-05-2012 - p. 48 © 2012 Antoni Bosch Principio de la comisión: Las comisiones nacen, crecen, se reproducen y se reproducen muchísimo.
  • 49. GS VIII-UPM-TASSI 23-05-2012 - p. 49 © 2012 Antoni Bosch Principio del bloqueo de la organización: Las organizaciones sólo trabajan de forma eficiente hasta que están a punto de desaparecer.
  • 50. GS VIII-UPM-TASSI 23-05-2012 - p. 50 © 2012 Antoni Bosch Teorema del punto gordo y la recta astuta
  • 51. GS VIII-UPM-TASSI 23-05-2012 - p. 51 © 2012 Antoni Bosch
  • 52. GS VIII-UPM-TASSI 23-05-2012 - p. 52 © 2012 Antoni Bosch La cruda realidad
  • 53. GS VIII-UPM-TASSI 23-05-2012 - p. 53 © 2012 Antoni Bosch LOS POR QUÉs • Por qué el firewall no bloqueo la entrada no autorizada? • Porque el atacante tenía el password • Por qué el atacante tenía el password? • Porque se lo dió un empleado • Por qué se lo dió un empleado? • Porque no era consciente del peligro. • Por qué no era consciente del peligro? • Porque nadie se lo explicó • Por qué nadie se lo explicó? • Porque la formación no es importante y • muy compleja, y muy costosa y muy …….
  • 54. GS VIII-UPM-TASSI 23-05-2012 - p. 54 © 2012 Antoni Bosch ¿Qué podemos hacer?
  • 55. GS VIII-UPM-TASSI 23-05-2012 - p. 55 © 2012 Antoni Bosch GOBERNAR TOMAR DECISIONES
  • 56. GS VIII-UPM-TASSI 23-05-2012 - p. 56 © 2012 Antoni Bosch IT- SECURITY GOVERNANCE • ¿Qué decisiones se han de tomar? • ¿Quién las ha de tomar? • ¿Quién provee la información? • ¿Cómo se han de tomar? • ¿Cuándo se han de tomar? • ¿Cómo se han de monitorizar y controlar?
  • 57. GS VIII-UPM-TASSI 23-05-2012 - p. 57 © 2012 Antoni Bosch IT-GOVERNANCE • ¿Qué decisiones se han de tomar?
  • 58. GS VIII-UPM-TASSI 23-05-2012 - p. 58 © 2012 Antoni Bosch LAS 5 PRINCIPALES DECISIONES (Font Weill & Ross. IT-Governance. HBSP,2004) Principios IT High level statements about how IT is used in the business Arquitectura IT Organizing logic for data, applications, and infrastructure captured in a set of policies, relationships, and technical choices to achieve desired business and technical standardization and integration Infraestructura IT Strategies for the base foundation of budgeted-for IT capability (both technical and human), shared throughout the firm as reliable services, and centrally coordinated (e.g., network, help desk, shared data) Aplicaciones de negocio Specifying the business need for purchased or internally developed IT applications Inversiones y prioridades Decisions about how much and where to invest in IT including project approvals and justification techniques
  • 59. GS VIII-UPM-TASSI 23-05-2012 - p. 59 © 2012 Antoni Bosch IT-GOVERNANCE •¿Quién las ha de tomar?
  • 60. GS VIII-UPM-TASSI 23-05-2012 - p. 60 © 2012 Antoni Bosch Monarquía de Negocios A group of, or individual, business executives (i.e.,CxOs). Includes committees comprised of senior business executives (may include CIO). Excludes IT executives acting independently. Monarquía de IT Individuals or groups of IT executives Federal Shared by C level executives and the business groups(i.e., CxOs and BU leaders) — may also include ITexecutives. Equivalent of the center and states workingtogether. Duopolio IT IT executives and one other group(e.g., CxOs or BU leaders) Feudal Business unit leaders, key process owners or theirdelegates Anarquía Each individual user LOS 6 ARQUETIPOS (Font Weill & Ross. IT-Governance. HBSP,2004)
  • 61. GS VIII-UPM-TASSI 23-05-2012 - p. 61 © 2012 Antoni Bosch IT-GOVERNANCE •¿Quién provee la información?
  • 62. GS VIII-UPM-TASSI 23-05-2012 - p. 62 © 2012 Antoni Bosch ¿Quién? RACI Chart (Font IT Governance Institute Cobit 4.1, USA 2007) 1. Director ejecutivo (CEO) 2. Director financiero (CFO) 3. Directores áreas funcionales (CxO) 4. Director de S.I. (CIO) 5. Director de Seguridad de S.I. (CISO) 6. Propietario del proceso de negocio 7. Director de Operaciones 8. Encargado de tratamiento 9. Director de Arquitectura 10. Director de Desarrollo 11. Director de Administración de TI. 12. Director Oficina de proyectos 13. Responsables de control. 14. Auditores de SI (externos o internos) 15. Consultores externos (outsourcing) 16. …
  • 63. GS VIII-UPM-TASSI 23-05-2012 - p. 63 © 2012 Antoni Bosch Qué y Quien ? Principios IT Arquitectura IT Infraestructura Aplicaciones de negocio Inversión y Prioridades Input Decisión Input Decisión Input Decisión Input Decisión Input Decisión 1. Director ejecutivo (CEO) 2. Director financiero (CFO) 3. Directores áreas funcionales (CxO) 4. Director de S.I. (CIO) 5. Director de Seguridad (CISO) 6. Propietario del proceso de negocio 7. Director de Operaciones 8. Encargado de tratamiento 9. Director de Arquitectura 10. Director de Desarrollo 11. Director de Administración de TI. 12. Director Oficina de proyectos 13. Responsables de control. 14. Auditores de SI (externos o internos) 15. Consultores externos (outsourcing) Monarquía Negocios Monarquia IT Federal Duoplio IT Feudal
  • 64. GS VIII-UPM-TASSI 23-05-2012 - p. 64 © 2012 Antoni Bosch RACI CHART (Font ITGI,USA 2007)
  • 65. GS VIII-UPM-TASSI 23-05-2012 - p. 65 © 2012 Antoni Bosch IT-GOVERNANCE •¿Cómo se han de tomar?
  • 66. GS VIII-UPM-TASSI 23-05-2012 - p. 66 © 2012 Antoni Bosch CREACIÓN O CONSERVACIÓN DE VALOR (Font ITGI,USA 2007)
  • 67. GS VIII-UPM-TASSI 23-05-2012 - p. 67 © 2012 Antoni Bosch IT-GOVERNANCE • ¿Cuándo se han de tomar?
  • 68. GS VIII-UPM-TASSI 23-05-2012 - p. 68 © 2012 Antoni Bosch ¿Cuándo se han de tomar ? INFORMACIÓ N DATOS DATOS MINIMA Información toma decisión MAXIMA Información Capaz asimilar MÁXIMA VENTAJA MÁXIMO RIESGO MÍNIMA VENTAJA MÍNIMO RIESGO
  • 69. GS VIII-UPM-TASSI 23-05-2012 - p. 69 © 2012 Antoni Bosch Modelos de Madurez (Font IT Governance Institute Cobit 4.0, USA 2005)
  • 70. GS VIII-UPM-TASSI 23-05-2012 - p. 70 © 2012 Antoni Bosch IT-GOVERNANCE • ¿Cómo se han de monitorizar y controlar?
  • 71. GS VIII-UPM-TASSI 23-05-2012 - p. 71 © 2012 Antoni Bosch Performance Measurement Approaches (ITGI-2005)
  • 72. GS VIII-UPM-TASSI 23-05-2012 - p. 72 © 2012 Antoni Bosch Business Value Hierarchy (Font Weill & Broadbent. Leveraging the New Infrastructure. HBSP,1998)
  • 73. GS VIII-UPM-TASSI 23-05-2012 - p. 73 © 2012 Antoni Bosch Indicadores de Objetivos(KGI) Indicadores de Rendimiento (KPI) KGI KPI (Font IT Governance Institute Cobit 4.0, USA 2005)
  • 74. GS VIII-UPM-TASSI 23-05-2012 - p. 74 © 2012 Antoni Bosch Relationship Amongst Process, Goals and Metrics (ME4)(Font ITGI,USA 2007)
  • 75. GS VIII-UPM-TASSI 23-05-2012 - p. 75 © 2012 Antoni Bosch
  • 76. GS VIII-UPM-TASSI 23-05-2012 - p. 76 © 2012 Antoni Bosch
  • 77. GS VIII-UPM-TASSI 23-05-2012 - p. 77 © 2012 Antoni Bosch SEGURIDAD TOTAL COSTE INFINITO
  • 78. GS VIII-UPM-TASSI 23-05-2012 - p. 78 © 2012 Antoni Bosch MUCHAS GRACIAS Antoni Bosch i Pujol, CGEIT, CISA, CISM Director General Institute of Audit & IT-Governance (IAITG) Director Data Privacy Institute (DPI-ISMS) Presidente Fundador ISACA-Barcelona antoni.bosch@iaitg.eu http://es.linkedin.com/in/antonibosch