2. Norma formulada por la Organización Internacional de
Normalización (ISO), que nos ayudara a cumplir con una serie de
requisitos orientados a la gobernanza de las tecnologías de la
información y comunicación al interior de las organizaciones.
Formulada por:
El objetivo de dicho estándar se centra en que el gobierno
corporativo de las TIC al interior de las organizaciones genere
confianza, sea una guía y además realice en todo momento una
revisión objetiva de los procesos.
Objetivo:
Que los órganos de Gobierno lo utilicen al evaluar, dirigir y
monitorear el uso de las TIC en sus organizaciones, además
alienta a las organizaciones a usar estándares apropiados para
respaldar su Gobierno de TIC.
Con el fin:
Que la conducta humana influye en la calidad de la gestión de las
TIC y el cumplimiento de los requisitos, de tal manera que
podamos garantizar un rendimiento efectivo del desempeño de
las organizaciones.
Reconoce:
El modelo que representa la operación de dicho estándar, el
gobierno corporativo debe considerar tanto las expresiones del
negocio como las necesidades del mismo, para poder establecer
los procesos de dirección, evaluación y monitoreo de cómo se
están desarrollando los proyectos de gobernanzas de las TIC.
Modelo del estándar:
Esta Norma tiene una serie de principios (Adquisición, Conducta
humana, Conformidad, Rendimiento, Estrategia y
Responsabilidad) que se orientan al establecimiento de
responsabilidades al interior de las organizaciones, a que se
controlen los procesos de adquisición de cualquier insumo e
información que se requiera precisamente para gestionar el uso y
aplicación de las TIC.
Principios:
Es importante considerar que se cubra un proceso de
sensibilización y capacitación del personal, lograr la
documentación de manuales y procedimientos que nos ayuden a
la gobernanza para que se implementen los controles que
deberán ser evaluados por personal capacitado, realizando
auditorias e implementar continuamente acciones en función de
los resultados que nos lleven a corregir, prevenir y mejorar lo
obtenido.
Para una Implementación:
Es muy importante considerar que el propósito de este estándar internacional, se centra en
promover en todas las organizaciones que el uso de las TIC sea efectivo, eficiente y además que sea
aceptable al interior de las organizaciones.
Importante:
Norma ISO / IEC
38500
3. Norma formulada por la Organización Internacional de
Normalización (ISO), que nos ayudara a cumplir con una serie de
requisitos orientados a la gobernanza de las tecnologías de la
información y comunicación al interior de las organizaciones.
Formulada por:
Norma de seguridad de la información que proporciona
orientación de los conceptos y principios con un objetivo claro
que es gobernar la seguridad de la información.
Objetivo:
De dirigir, comunicar, evaluar y controlar la seguridad de la
información que está relacionada con las actividades de la
organización.
Con el fin:
• Ofrecer un valor empresarial a las personas interesadas.
• Conseguir el cumplimiento de los requisitos contractuales y
reglamentarios.
• Fomentar la supervisión a nivel de consejo de seguridad de
la información.
• Conseguir una gestión que sea eficaz.
• Invertir en seguridad de la información de una forma más
efectiva y focalizada.
Permitirá a las organizaciones:
Que existe influencia del factor humano en la seguridad a través
del apoyo a la prestación de la seguridad, formación, educación y
sensibilización mediante el Consejo de Administración
Reconoce y admite:
Es aquella persona que es responsable tanto en la ejecución
como en el cumplimiento de la organización. Dicho Consejo es
muy importante dentro de la Norma, debido a que es vital para el
éxito de la aplicación.
Consejo de administración:
• Establecer seguridad de la información en toda la empresa.
• Seguir un enfoque basado en el riesgo.
• Establecer la dirección de las decisiones de inversión.
• Confirmar el cumplimento de los requisitos externos e
internos.
• Promover un ambiente de seguridad positiva.
• Evidenciar el rendimiento en relación con los resultados del
negocio.
Principios de la Norma:
Es importante establecer una seguridad de la información integral, tomando decisiones con un
enfoque basado en el riesgo, garantizando la conformidad con los requisitos internos y externos.
Importante:
Norma ISO / IEC
27014
4. Es una alternativa de la Norma ISO 27002 como orientación para
apoyo a los controles de aplicación de la Norma ISO 27001.
Como alternativa:
Como un proceso para instaurar y conservar un marco, estructura
y procesos de gestión de apoyo a los gerentes a comprender
cómo establecer e implementar un programa de seguridad de la
información
Se puede definir:
Las tácticas o estrategias de seguridad de información estén
alineadas y respalden los objetivos comerciales de la
organización.
Se compromete a que:
Información que resguarda la gestión y las practicas operativas.
Provee:
Se dividen en dos modelos básicos de gobierno de SI:
El CIO y SAISO tiene un
control presupuestario de
elementos de línea, sobre
todas las actividades de
SI.
Las SAISO tienen
responsabilidades de
desarrollo y supervisión,
así como
responsabilidades
presupuestarias sobre
programa de SI.
Centralizado Descentralizado
CIO: Responsable de la gestión técnica de la empresa con
una gran relevancia en el desarrollo del negocio.
SAISO: Se conoce como el oficial de seguridad de la información
informática o el director de seguridad.
Conceptos Básicos:
La NIST es responsable de desarrollar estándares y pautas, incluidos los requisitos mínimos, y de
proporcionar seguridad de información adecuada para todas las operaciones y activos.
Importante:
NIST SP 800-100