SlideShare una empresa de Scribd logo

El Modelo de Negocios para la Seguridad de la Información

Rodolfo Carrion
Rodolfo Carrion

El BMIS, es un modelo que apoya al negocio en materia de seguridad de la información a las empresas.

Empresariales
1 de 70
Lic. Rodolfo Carrión Coronas, CPA rodocarrion@gmail.com rodolfo@acti.co.cr 10 / Octubre / 2011
BMIS El Modelo de Negocios para la Seguridad de la Información Este material es una presentación del modelo desarrollado por ISACA WWW.ISACA.ORG/BMIS
El Modelo de Negocios para la Seguridad de la Información (BMIS) El BMIS, es un modelo que apoya al negocio en materia de seguridad de la información a las empresas. Su perspectiva se enfoca en ver a la empresa sistémicamente permitiendo tener una visión integrada enfocándose en los negocios con un aporte extraordinario en la gestión de la seguridad de la información y que ningún marco de control o estándar proporciona. El modelo propone ver a la empresa como un conjunto que tiene cuatro elementos (Organización, Personas, Tecnología y Procesos) y seis interconexiones dinámicas (Gobierno, Cultura, Arquitectura, Habilitación y Soporte, Factores Humanos y Emergentes). Cada uno de los elementos se correlación entre si y el estudio de cada una ellas proporcionan un modelo para el análisis de la problemática de la seguridad de la información. El modelo propone un estudio exhaustivo de cada uno de los elementos e interconexiones desde la perspectiva de seguridad que impactará en agregarle valor al negocio.
El Modelo de Negocios para la Seguridad de la Información (BMIS) :
Modelos Un modelo puede ser considerado como una descripción teórica de la forma en que funciona un sistema. Los modelos deben ser flexibles para satisfacer las necesidades del mundo empresarial. Tienen que ser probado en ocasiones para asegurarse de que siguen siendo aplicable y ajustarse a la finalidad prevista, Debe incorporar cambios en los sistemas y las empresas en las que existe. Son descriptivos, pero no normativos
Objetivo del BMIS General Proveer de seguridad a los activos de información de la empresa para el logro de los objetivos del negocio a un nivel aceptable de riesgo. Específicos Alineamiento estratégico Gestión de riesgos Entrega de Valor Gestión de recursos Integración del proceso de Aseguramiento Medición del Desempeño
Estructura del BMIS Elementos Conexiones Dinámicas Cultura Organización Gobierno Personas Arquitectura Tecnología Emergentes Procesos  Habilitación y soporte  Factores Humanos
Estructura del BMIS
Características del BMIS EL BMIS es ante todo un modelo en tres dimensiones. Se compone de cuatro elementos y seis interconexiones dinámicas (DIS). Como regla general, todas las partes del BMIS interactúan unos con otros. Los elementos están conectados entre sí a través de la DIS. Si alguna parte del modelo se cambia, otras partes también se cambiarán
Características del BMIS En un universo de información de seguridad integral y bien administrada, el modelo se considera que esta en equilibrio. Si las partes del modelo se cambian, o si persisten las debilidades de seguridad, el equilibrio del modelo se distorsiona. Las Interdependencias entre las partes de BMIS son el resultado del enfoque sistémico global. Las DIS pueden verse afectadas directa o indirectamente por los cambios en cualquiera de los componentes dentro del modelo, no sólo a los elementos en cada extremo.
ELEMENTOS DEL BMIS
Elemento ORGANIZACION Objetivos Ofrecer una visión de cómo el diseño de la empresa y la estrategia afecta a las personas, procesos y tecnologías, dando lugar a riesgos adicionales, oportunidades y áreas de mejora. Establecer un vínculo claro entre las medidas de seguridad tradicionales y la empresa, incluyendo su influencia en términos de diseño y estrategia. Esto puede ser mapeado para los fundamentos de la seguridad de confidencialidad, disponibilidad e integridad. Ofrecer una visión de negocios sobre los riesgos intrínsecos y culturales de cualquier diseño de la organización y si estos riesgos afectan la visión del impacto en la seguridad. Lograr ver a la empresa en su conjunto en lugar de verlo como un enfoque de elementos aislados como tradicionalmente se ha observado
Elemento ORGANIZACION ORGANIZACIÓN FORMAL La organización formal es la estructura creada por la dirección de la empresa e incluye los organigramas formales, políticas y procedimientos documentados y directrices provistos por los encargados. Se complementa con la estrategia establecida por la alta dirección. ORGANIZACIÓN INFORMAL Subculturas individuales por las acciones de los empleados, estas subculturas se forman en grupos que existen en las unidades de negocio individuales
Elemento ORGANIZACION
Elemento PROCESOS Los procesos son creados para ayudar a las organizaciones a lograr su estrategia en el BMIS Es único y ofrece un enlace vital para todos los de DIS del modelo Representan las actividades estructuradas que se crean para lograr un resultado en particular a través de persona o de una serie de tareas aplicadas consistentemente Un proceso se considera maduro cuando está bien definido, gestionado, medible, y optimizado.
Elemento PROCESOS Factores Clave La retroalimentación representa el compartir observaciones, preocupaciones y sugerencias, entre las personas dentro de la empresa con el fin de mejorar tanto la organización y el desempeño personal. Retardo (Delay) representa el período de tiempo durante el cual el proceso está en funcionamiento cuando la retroalimentación que se recibe y se integran en el proceso por lo que tiene consecuencias para el modelo. •El retardo crea un riesgo en el modelo desde la perspectiva de seguridad, ya que representa una vulnerabilidad para la empresa.
Elemento PROCESOS
Elemento TECNOLOGIA "la aplicación práctica del conocimiento, especialmente en un área en particular“ y "una capacidad dada por la aplicación la práctica del conocimiento" Para efectos del BMIS: La tecnología incluye todas las aplicaciones técnicas del conocimiento utilizado en la organización
Elemento TECNOLOGIA La tecnología ofrece las herramientas necesarias para llevar a cabo la misión y la estrategia de la empresa como un todo, incluyendo los parámetros generales de seguridad de la confidencialidad, integridad y disponibilidad La tecnología, para efectos del BMIS, tiene 2 componentes •Los objetos que representan cualquier tipo de tecnología •La capacidad de aplicación dentro de la empresa lo que implica que las empresas podrían tener mucha o poca dependencia de la tecnología
Elemento TECNOLOGIA
Elemento PERSONAS Representa los recursos humanos en una organización Para efectos del BMIS Personal primario representa a empleados o asociados con la organización Personal secundario, se da en eventuales subcontrataciones como en el caso de los proveedores de servicios administrados o soluciones tecnológicas
Elemento PERSONAS Las personas dentro de una organización tienen sus propias creencias, valores y comportamientos que surgen de sus personalidades y experiencias. "Las personas” no son sólo unidades de uno y no pueden ser estudiados de manera independiente. Para entender cómo afecta la seguridad de la información, y se ve afectada por la gente, un enfoque sistémico es necesario, el estudio de la interacción de las personas con el resto de los elementos del modelo a través de la DIS.
Elemento PERSONAS
CONEXIONES DINAMICAS DEL BMIS
DIS - Aspectos Relevantes de las DIS Cualquier DIs entre dos elementos es flexible y también representa la tensión potencial entre los elementos. Las interconexiones son una señal de que BMIS no es estático, que representa las partes dinámicas de la modelo en el que ocurren las acciones y donde los cambios, a su vez, lo influencian los elementos.
DIS - Aspectos Relevantes de las DIS Los DIS en BMIS también interactúan entre sí en un sentido sistémico. En algunas situaciones, el comportamiento de todo el sistema crea bucles de realimentación o lazos. Estos lazos dinámicamente cambian el sistema y poco a poco se mueve a un nuevo estado . Donde existen tensiones que distorsionan el modelo, los cambios se presentarán por primera vez en un DIS y luego en los elementos correspondientes. Esto, a su vez, puede influir en otros DIS y elementos, dando lugar a un bucle que se refuerza a sí mismo y se mueve el modelo en su conjunto.
Estructura del BMIS
DIS - GOBIERNO La DIS de Gobierno traduce los conceptos de gobierno y las medidas que se deben seguir para cumplir con la misión y objetivos, y establecer límites y controles a nivel de procesos. El Gobierno es la conexión entre los elementos de organización y procesos, La DIS gobierno representa la acción de poner en práctica la gobernabilidad dentro de BMIS. Esto implica que la gestión de los procesos es fijada por el gobierno. La retroalimentación es la responsable de modificar el DIs Gobierno por medio del DIs de Cultura y Arquitectura, que involucra el diseño y la estrategia empresarial
DIS – GOBIERNO - Acciones Las acciones del Gobierno tiene la finalidad de mantener en equilibrio el BMIS •Estrategia de la organización en el diseño organizacional. Cualquier actividad que no cumpla con estos criterios será contraproducente y creará excesivas "tensiones" que deben ser resueltas a través de cambios en el diseño y la estrategia o en el IDs Gobierno. Limitar los riesgos a niveles aceptables, si los riesgos no son correctamente gestionados reduce la capacidad de adaptación de la organización y la resistencia para hacer frente a situaciones emergentes. y por medio de los canales apropiados.
DIS – GOBIERNO - Acciones Las herramientas principales para el gobierno son los estándares y guías que demuestren que cumplen la intención de la política. Políticas Estándares y directrices y otra documentación normativa Reglas de responsabilidad (Accountability) Asignación de recursos y priorización Métricas (de todo lo anterior) Cumplimiento (como un tema Global) La comunicación es vital dentro del DIS de Gobierno.
DIS – GOBIERNO
DIS – CULTURA La Cultura es uno de los DIS más influentes del BMIS de los modelos de seguridad. La cultura y su impacto sobre el BMIS nos provee de la más completa imagen de la empresa El impacto de la cultura en las personas es un tema clave en la seguridad de la información desde que las personas sean capaces de contribuir a la seguridad de la información o, por el contrario, se comprometan con esto.
DIS – CULTURA Para el BMIS la cultura es “un patrón de comportamientos, creencias, presunciones, actitudes y formas de hacer las cosas". Está compuesta por •la cultura organizacional que se forma a través del tiempo por la estrategia, diseño organizativo y comportamiento de las personas en el trabajo, y •Por la cultura de las personas individuales, que pueden ser diversas y heterogéneas. Para mejorar el programa de seguridad de la información examinar y entender la cultura que existe dentro de la empresa.
DIS – CULTURA La Gestión sistémica de la seguridad investiga los siguientes aspectos: Las reglas y normas La tolerancia a la ambigüedad Fuente de distancia El factor de cortesía Contexto Colectividad vs. Individualidad La asunción de riesgos vr. aversión al riesgo El elemento cultura bien gestionado implica una buena Seguridad de la Información, a través de estrategias bien establecidas y bien comunicadas y metas necesariamente apoya a las organizaciones a crecer desde la perspectiva del "yo" al "nosotros“
DIS – CULTURA Una “buena” cultura impacta en que, independientemente de las políticas de seguridad y procedimientos formales, las personas desarrollarían una perspectiva correcta a la protección de la información
DIS – CULTURA – Aspectos a mejorar Trabajar para establecer un programa de seguridad de la información sólido incluyendo a los líderes de la empresa Fomentar la colaboración entre las unidades de negocio, reduciendo así la gestión de silos. Trabajar para que las responsabilidades de seguridad se incluyan en las descripciones de puestos Proporcionar los conocimientos, herramientas y habilidades que las personas necesitan para manejar eficazmente los activos de información. Desarrollar procesos sistemáticos de manejo de la información Trabajar para cambiar las percepciones negativas de seguridad. Comunicar, comunicar, comunicar.
DIS – CULTURA
DIS – ARQUITECTURA . ISO / IEC 42010:2007 define la arquitectura como: “La organización fundamental de un sistema, encarnada en sus componentes, sus relaciones entre sí y el medio ambiente y los principios que rigen su diseño y evolución”
DIS – ARQUITECTURA Pasos para definir la Arquitectura 1.- La arquitectura comienza como un concepto, un conjunto de objetivos de diseño que se deben cumplir 2.- Se convierte en un modelo, o sea, una visión a partir de los servicios. 3.- Preparación de planos detallados, herramientas que se utilizan para transformar la visión / modelo en un producto real y el acabado. 4.- La realización o la salida de las etapas anteriores. .
DIS – ARQUITECTURA – Modelo Zachman
DIS – ARQUITECTURA – Aspectos Relevantes Espacio para la evolución y el mejoramiento Espacio para la reacción para cambiar el contexto Apta para su propósito  Efectividad y eficiencia Consistencia con las políticas y estándares Mantenimiento y facilidad de uso
DIS – ARQUITECTURA – Aspectos Relevantes
DIS – HABILITACION Y SOPORTE En términos de BMIS, Habilitación y Soporte a través de la que la tecnología permite un proceso, y el proceso a su vez, soporta la entrega y la operación de la tecnología El DIS habilitación y soporte muestra un proceso equilibrado para apoyar a la empresa con la tecnología, y muestra el efecto que la tecnología ha tenido en los procesos de negocio
DIS – HABILITACION Y SOPORTE Una habilitación y soporte debe tener en cuenta: Procesos equilibrados y un ajuste rápido a un nuevo estado de equilibrio La adherencia a los estándares apropiados El uso de controles apropiados Un fuerte enfoque en la seguridad El reconocimiento de los requisitos de cumplimiento
DIS – HABILITACION Y SOPORTE La tecnología debe ser seleccionada, evaluada, implementada y controlada. Los procesos deben ser diseñados, desarrollados, implementados y utilizados. Para el BMIS habilitación y soporte tiene la misión de que el proceso permita la tecnología y la tecnología soporte el proceso de negocio.
DIS – HABILITACION Y SOPORTE
DIS – HABILITACION Y SOPORTE Si la solución tecnológica no está clara o esta insuficientemente definida, la solución del negocio es revisada para asegurar la alineación. Si la solución de negocio no es clara o plantea preguntas, puede ser necesario volver a los requisitos de servicio originales formulados o incluso a los requerimientos del negocio global. Esto no es una secuencia paso a paso como sería de forma lineal, es sistémica en la que el paso siguiente no siempre es "completado", pero todas los pasos interactúan en el ciclo general y puede cambiar las soluciones de tecnología y su entrega.
DIS – HABILITACION Y SOPORTE Los componentes clave del DIS habilitación y soporte y el DIS de arquitectura son: •Los Objetivos de Negocio de alto Nivel: La tecnología de la información es un habilitador de negocios, ya que ayuda a reducir los costos operativos, mejora la productividad y genera crecimiento. •Requerimientos detallados del negocio: Los requerimientos del negocio deben ser recogidos sin hacer referencia a la tecnología. Recopilación de los requerimientos del negocio es una actividad crítica, incluso si el enfoque del proyecto es una actualización de tecnología o de actualización. •La arquitectura de la empresa y los marcos de los procesos •Los planes y objetivos de la tecnología deben alinearse con los planes y metas de la organización.
DIS – HABILITACION Y SOPORTE
DIS – EMERGENTES En el BMIS, el emergente puede ser visto como el surgimiento de nuevas oportunidades de negocio, nuevos comportamientos, nuevos procesos y otros elementos relevantes para la seguridad, como los subsistemas entre las personas y los procesos de evolución.
DIS – EMERGENTES Un proceso en sí mismo puede estar bien definido, pero su resultado puede ser diferente cada vez que se ejecuta. El impacto de este hecho en la seguridad de la información, la ejecución de un proceso por las personas se divide en las siguientes categorías:  Procedimiento Escrito; la ejecución de tareas basadas en el flujo específico de las acciones definidas en un procedimiento oficial. Políticas: La ejecución de tareas basadas en la traducción de las reglas de la empresa a políticas de seguridad Ad-hoc: Lla ejecución de tareas de forma aleatoria, no están cubiertas por un procedimiento o una política
DIS – EMERGENTES El DIS Emergente, es como un proceso de aprendizaje, que es fundamental para la seguridad de la información, ya que ayuda al entendimiento de los requerimientos para compartiendo efectivamente las estrategias de seguridad y se ajustan al comportamiento de la empresa como un todo. Ayuda en la personalización, mejora y ampliación de los procedimientos y normas de seguridad llevando la información de la teoría a la práctica.
DIS – EMERGENTES El DIS Emergente puede ser clasificado como positivo o negativo. DIS Emergente positivo está relacionado con el proceso de aprendizaje para la comprensión de la seguridad necesidades y mejorar la seguridad de la información. DIS Emergente negativo está relacionado con el fenómeno creciente de la seguridad sin explicación de incidentes y la falta de alineación entre la seguridad de la información y los objetivos de negocio
DIS – EMERGENTES
DIS – FACTORES HUMANOS Se refiere como la interacción persona- computador (HCI), la interfaz hombre-máquina y la ergonomía por lo que gran parte del trabajo en la facilidad de uso y facilidad de uso Ergonomía: “ciencia aplicada que trata del diseño de los lugares de trabajo, herramientas y tareas que coinciden con las características fisiológicas, anatómicas y psicológicas y las capacidades del trabajador”
DIS – FACTORES HUMANOS Conecta los elementos de las Personas y la Tecnología y cubre muchas áreas, tales como: Ciencia de la comprensión de las propiedades de la capacidad humana, la ergonomía y los límites de las capacidades humanas La aplicación de este conocimiento para el diseño, desarrollo y entrega de tecnologías y servicios Asegurar exitosamente la aplicación de la ingeniería de factores humanos a un programa
DIS – FACTORES HUMANOS Los objetivos principales se relacionan con : El operador humano (cuerpo y mente) y Los sistemas circundantes que interactúan con el usuario humano. Para entender y manejar la tensión en este DI, el primer paso es diagnosticar o identificar los problemas y deficiencias en la interacción hombre-sistema de un sistema de seguridad existente.
DIS – FACTORES HUMANOS Enfoque para mejoras Equipo de diseño: Cambia la naturaleza de los equipos físicos con los que los seres humanos trabajan Diseño de Tareas: Se enfoca más en el cambio de lo que los operadores hacer que en el cambio de los dispositivos que utilizan. Diseño ambiental: Implementa los cambios como una mejor iluminación, control de temperatura, etc. Capacitación Individual: Prepara mejor a los empleados para los desafíos que encontrarán en el entorno de trabajo Selección de los individuos: Es una técnica que reconoce las diferencias individuales entre los seres humanos en todas sus dimensiones física y mental que es relevante para un buen rendimiento del sistema.
DIS – FACTORES HUMANOS Factores claves del éxito •La falta de entender no sólo los requerimientos de seguridad, pero si la razón para ellos •No apreciar los conceptos de riesgo del negocio y el posible impacto de las debilidades de seguridad •La falta de conciencia e implementación, de la disponibilidad del sistema de controles, ya que esto soporta la seguridad de la información •El error humano en forma de falta de memoria o una simple falta de atención a los detalles •Factores humanos externos, tales como el soborno, la corrupción y problemas sociales, que pueden influir en el nivel de concienciación sobre la seguridad y el cumplimiento de los controles
DIS – FACTORES HUMANOS
Usando BMIS Presentación BMIS - rodocarrion@gmail.com
Los objetivos por los cuales es importante poner en práctica el modelo de negocio para la seguridad de la información son los siguientes:  Integrar totalmente el programa de seguridad existente.  Analizar e interiorizar las medidas de seguridad detalladas y sus soluciones  Alinear los estándares, regulaciones y marcos al BMIS.  Identificar claramente las fortalezas y debilidades de la seguridad existentes.  Utilice el sistema de seguridad dinámico que presenta BMIS.  Gestionar los emergentes dentro de la organización para maximizar las mejoras de seguridad. Presentación BMIS - rodocarrion@gmail.com
Pasos:  Como primer paso, la empresa debe ser analizada en términos de ubicación geográfica, relaciones con clientes y proveedores y la cadena de suministro en general  Una vez que los respectivos países, regiones y otros factores de negocio diferentes han sido identificados, las leyes y reglamentos aplicables se pueden asignar a los programas de seguridad, y más tarde al BMIS. Presentación BMIS - rodocarrion@gmail.com
 Desde la perspectiva del BMIS, es la propia empresa que acepta adopta reglas externas y los hace parte de la estrategia de la organización. La gestión de la seguridad debe direccionar:  Reglas de gobierno o de las directrices adoptadas por la empresa  Partes relevantes de TI y de la seguridad, pertinentes de estas reglas o directrices  Mapeo de los elementos de gobierno relevantes para la seguridad en el marco COBIT  E implementarlo en los niveles inferiores a través del DI Gobierno. Presentación BMIS - rodocarrion@gmail.com
 Cuando se utiliza el BMIS, los Gerentes de seguridad deben poco a recopilar toda la información sobre las soluciones resultantes de funcionamiento, herramientas y procesos.  Esta lista no tiene que ser exhaustiva, ya que la naturaleza dinámica de BMIS permite cambios posteriores y adiciones.  Las soluciones existentes, una vez integradas, finalmente formaran un patrón que se refleja en los elementos y en los IDs.  Se identificaran fortalezas y debilidades, se diseña un enfoque pragmático para identificar y cerrar las brechas de seguridad que son visibles después de complementar el BMIS. Presentación BMIS - rodocarrion@gmail.com
 Las tablas son una herramienta importante para luego asignar responsabilidad para las tareas y acciones que se derivan del resultado del BMIS. Presentación BMIS - rodocarrion@gmail.com
BMIS direcciona las necesidades del negocio y los requerimientos de forma directa, sobre la base de las disposiciones estratégicas y tácticas. Desde la perspectiva del BMIS, todas las relaciones con terceros y todos los productos gestionados o servicios deben estar basados ​en los resultados.  Existe una dimensión adicional (contrato y los controles relacionados). El BMIS ha sido diseñado para tener la flexibilidad intrínseca para adaptarse a la mayoría de las normas actualmente en uso en la seguridad de la información. Presentación BMIS - rodocarrion@gmail.com
 El siguiente paso en el uso del BMIS es un análisis exhaustivo de las fortalezas y debilidades. El uso de BMIS permite la gestión para identificar las causas y efectos. Cualquier elemento o DIs es un buen punto de partida. Para cada elemento, el modelo debe contener la información mínima agregada anteriormente:  Las políticas, métodos y controles  Las soluciones detalladas, herramientas y procedimientos  Las partes relevantes de los estándares de seguridad de la información  Las partes relevantes de los estándares generales de TI Presentación BMIS - rodocarrion@gmail.com
 El modelo circular permite una visión clara de cómo la dinámica del sistema lleva a cabo las actividades, comportamientos y patrones que se vuelven más integrados con el tiempo, particularmente en términos del nivel de seguridad global de la empresa. Presentación BMIS - rodocarrion@gmail.com
Conclusiones  El BMIS proporciona un modelo para cambiar del modo reactivo tradicional de tratar a la seguridad de la información a un modo proactivo, apoyando y generando valor para la organización con el fin del cumplimiento de los objetivos.  La importancia de la Seguridad de la Información, así como su aporte al negocio es un factor que no ha sido tomado en cuenta por las empresas y que es crítico para el logro de los objetivos, a veces se puede pensar en que basta con una serie de tecnologías, sin embargo el BMIS muestra que este concepto va mucho mas allá de la simple implementación de soluciones tecnológicas. Presentación BMIS - rodocarrion@gmail.com

Recomendados

COBIT 5 - Introduccion
COBIT 5 - IntroduccionCOBIT 5 - Introduccion
COBIT 5 - IntroduccionCarlos Francavilla
 
Modelos de datos
Modelos de datosModelos de datos
Modelos de datosgberz
 
Sistema de Nomina
Sistema de NominaSistema de Nomina
Sistema de NominaNidara Belikov
 
Propiedades de los sistemas
Propiedades de los sistemasPropiedades de los sistemas
Propiedades de los sistemasfrancisco xavier palma chica
 
diseño de arquitectura de un sistema de informacion
diseño de arquitectura de un sistema de informaciondiseño de arquitectura de un sistema de informacion
diseño de arquitectura de un sistema de informacionzulaymaylin
 
CMMI-DEV 1.3 Tool (checklist)
CMMI-DEV 1.3 Tool (checklist)CMMI-DEV 1.3 Tool (checklist)
CMMI-DEV 1.3 Tool (checklist)Robert Levy
 
Modelo entidad relacion (chen)
Modelo entidad relacion (chen)Modelo entidad relacion (chen)
Modelo entidad relacion (chen)Rocio Vicente Navas
 
tipos de sistema de informacion
tipos de sistema de informacion tipos de sistema de informacion
tipos de sistema de informacion jesusandres
 

Recomendados

COBIT 5 - Introduccion
COBIT 5 - IntroduccionCOBIT 5 - Introduccion
COBIT 5 - IntroduccionCarlos Francavilla
 
Modelos de datos
Modelos de datosModelos de datos
Modelos de datosgberz
 
Sistema de Nomina
Sistema de NominaSistema de Nomina
Sistema de NominaNidara Belikov
 
Propiedades de los sistemas
Propiedades de los sistemasPropiedades de los sistemas
Propiedades de los sistemasfrancisco xavier palma chica
 
diseño de arquitectura de un sistema de informacion
diseño de arquitectura de un sistema de informaciondiseño de arquitectura de un sistema de informacion
diseño de arquitectura de un sistema de informacionzulaymaylin
 
CMMI-DEV 1.3 Tool (checklist)
CMMI-DEV 1.3 Tool (checklist)CMMI-DEV 1.3 Tool (checklist)
CMMI-DEV 1.3 Tool (checklist)Robert Levy
 
Modelo entidad relacion (chen)
Modelo entidad relacion (chen)Modelo entidad relacion (chen)
Modelo entidad relacion (chen)Rocio Vicente Navas
 
tipos de sistema de informacion
tipos de sistema de informacion tipos de sistema de informacion
tipos de sistema de informacion jesusandres
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Oss transformation
Oss transformationOss transformation
Oss transformationRiswan
 
Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...
Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...
Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...Alan McSweeney
 
Bases de Datos - Parte 6/10 Álgebra relacional
Bases de Datos - Parte 6/10 Álgebra relacionalBases de Datos - Parte 6/10 Álgebra relacional
Bases de Datos - Parte 6/10 Álgebra relacionalCarlos Castillo (ChaTo)
 
Entidad relacion
Entidad relacionEntidad relacion
Entidad relacionadfc8
 
Curso metodologias contratos
Curso metodologias contratosCurso metodologias contratos
Curso metodologias contratosGuido Silva
 
Buenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TIBuenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TICarlos Francavilla
 
DIAGRAMAS CAUSALES
DIAGRAMAS CAUSALESDIAGRAMAS CAUSALES
DIAGRAMAS CAUSALESShirley Contreras Ulloa
 
Desarrollo de proyectos de ti
Desarrollo de proyectos de tiDesarrollo de proyectos de ti
Desarrollo de proyectos de tiqaminervita
 
MEAN Stack
MEAN StackMEAN Stack
MEAN StackJosé Moreno
 
Tipos de sistemas de información
Tipos de sistemas de informaciónTipos de sistemas de información
Tipos de sistemas de informaciónluismm22
 
MODELAMIENTO ENTIDAD-RELACION (ER)
MODELAMIENTO ENTIDAD-RELACION (ER)MODELAMIENTO ENTIDAD-RELACION (ER)
MODELAMIENTO ENTIDAD-RELACION (ER)DorvinEduardo
 
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Fabián Descalzo
 
Tabla comparativa cobit vs itil
Tabla comparativa cobit vs itilTabla comparativa cobit vs itil
Tabla comparativa cobit vs itilfundamentosTI
 
ISO 20000 + ITIL
ISO 20000 + ITIL ISO 20000 + ITIL
ISO 20000 + ITIL Carlos R. Adames B.
 
ISO 27002
ISO 27002ISO 27002
ISO 27002trabajofinal2
 
COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1Carlos Francavilla
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentacióne-auditoria.org | Eduardo Ledesma & Asoc.
 
Componentes de un Sistema de Información Gerencial
Componentes de un Sistema de Información Gerencial Componentes de un Sistema de Información Gerencial
Componentes de un Sistema de Información Gerencial sofialuzardogovea
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TIINSTITUTO TÉCNICO PROFESIONAL DE TOLUCA
 
Justificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadJustificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadGabriel Marcos
 
PROJECT 5
PROJECT 5PROJECT 5
PROJECT 5Edison Morales
 

Más contenido relacionado

La actualidad más candente

Oss transformation
Oss transformationOss transformation
Oss transformationRiswan
 
Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...
Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...
Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...Alan McSweeney
 
Bases de Datos - Parte 6/10 Álgebra relacional
Bases de Datos - Parte 6/10 Álgebra relacionalBases de Datos - Parte 6/10 Álgebra relacional
Bases de Datos - Parte 6/10 Álgebra relacionalCarlos Castillo (ChaTo)
 
Entidad relacion
Entidad relacionEntidad relacion
Entidad relacionadfc8
 
Curso metodologias contratos
Curso metodologias contratosCurso metodologias contratos
Curso metodologias contratosGuido Silva
 
Buenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TIBuenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TICarlos Francavilla
 
Desarrollo de proyectos de ti
Desarrollo de proyectos de tiDesarrollo de proyectos de ti
Desarrollo de proyectos de tiqaminervita
 
Tipos de sistemas de información
Tipos de sistemas de informaciónTipos de sistemas de información
Tipos de sistemas de informaciónluismm22
 
MODELAMIENTO ENTIDAD-RELACION (ER)
MODELAMIENTO ENTIDAD-RELACION (ER)MODELAMIENTO ENTIDAD-RELACION (ER)
MODELAMIENTO ENTIDAD-RELACION (ER)DorvinEduardo
 
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Fabián Descalzo
 
Tabla comparativa cobit vs itil
Tabla comparativa cobit vs itilTabla comparativa cobit vs itil
Tabla comparativa cobit vs itilfundamentosTI
 
COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1Carlos Francavilla
 
Componentes de un Sistema de Información Gerencial
Componentes de un Sistema de Información Gerencial Componentes de un Sistema de Información Gerencial
Componentes de un Sistema de Información Gerencial sofialuzardogovea
 

La actualidad más candente (20)

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Oss transformation
Oss transformationOss transformation
Oss transformation
 
Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...
Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...
Applying eTOM (enhanced Telecom Operations Map) Framework to Non-Telecommunic...
 
Bases de Datos - Parte 6/10 Álgebra relacional
Bases de Datos - Parte 6/10 Álgebra relacionalBases de Datos - Parte 6/10 Álgebra relacional
Bases de Datos - Parte 6/10 Álgebra relacional
 
Entidad relacion
Entidad relacionEntidad relacion
Entidad relacion
 
Curso metodologias contratos
Curso metodologias contratosCurso metodologias contratos
Curso metodologias contratos
 
Buenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TIBuenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TI
 
DIAGRAMAS CAUSALES
DIAGRAMAS CAUSALESDIAGRAMAS CAUSALES
DIAGRAMAS CAUSALES
 
Desarrollo de proyectos de ti
Desarrollo de proyectos de tiDesarrollo de proyectos de ti
Desarrollo de proyectos de ti
 
MEAN Stack
MEAN StackMEAN Stack
MEAN Stack
 
Tipos de sistemas de información
Tipos de sistemas de informaciónTipos de sistemas de información
Tipos de sistemas de información
 
MODELAMIENTO ENTIDAD-RELACION (ER)
MODELAMIENTO ENTIDAD-RELACION (ER)MODELAMIENTO ENTIDAD-RELACION (ER)
MODELAMIENTO ENTIDAD-RELACION (ER)
 
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
 
Tabla comparativa cobit vs itil
Tabla comparativa cobit vs itilTabla comparativa cobit vs itil
Tabla comparativa cobit vs itil
 
ISO 20000 + ITIL
ISO 20000 + ITIL ISO 20000 + ITIL
ISO 20000 + ITIL
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentación
 
Componentes de un Sistema de Información Gerencial
Componentes de un Sistema de Información Gerencial Componentes de un Sistema de Información Gerencial
Componentes de un Sistema de Información Gerencial
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
 

Destacado

Justificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadJustificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadGabriel Marcos
 
Valor Agregado en las TI: Herramientas, Metodologías y Frameworks
Valor Agregado en las TI: Herramientas, Metodologías y FrameworksValor Agregado en las TI: Herramientas, Metodologías y Frameworks
Valor Agregado en las TI: Herramientas, Metodologías y FrameworksJersson Dongo
 
COBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCOBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCarlos Francavilla
 
Control Interno, Informe Coso
Control Interno, Informe CosoControl Interno, Informe Coso
Control Interno, Informe CosoUro Cacho
 

Destacado (11)

Justificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridadJustificación de inversiones en ti y seguridad
Justificación de inversiones en ti y seguridad
 
PROJECT 5
PROJECT 5PROJECT 5
PROJECT 5
 
Valor Agregado en las TI: Herramientas, Metodologías y Frameworks
Valor Agregado en las TI: Herramientas, Metodologías y FrameworksValor Agregado en las TI: Herramientas, Metodologías y Frameworks
Valor Agregado en las TI: Herramientas, Metodologías y Frameworks
 
Ingeniería inversa de sistemas de información
Ingeniería inversa de sistemas de informaciónIngeniería inversa de sistemas de información
Ingeniería inversa de sistemas de información
 
Exposicion VAL IT
Exposicion VAL ITExposicion VAL IT
Exposicion VAL IT
 
¿ Que es Analizar?
¿ Que es Analizar? ¿ Que es Analizar?
¿ Que es Analizar?
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
 
COBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCOBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la Información
 
Resume CobiT 5
Resume CobiT 5 Resume CobiT 5
Resume CobiT 5
 
Control Interno, Informe Coso
Control Interno, Informe CosoControl Interno, Informe Coso
Control Interno, Informe Coso
 
ANALIZAR LA INFORMACIÓN
ANALIZAR LA INFORMACIÓNANALIZAR LA INFORMACIÓN
ANALIZAR LA INFORMACIÓN
 

Similar a El Modelo de Negocios para la Seguridad de la Información

Soluciones integrales en las organizaciones
Soluciones integrales en las organizacionesSoluciones integrales en las organizaciones
Soluciones integrales en las organizacionesrcarrerah
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaFabián Descalzo
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-esjavieralejandrobarro
 
Presentacion Control Interno Coso Es
Presentacion Control Interno Coso EsPresentacion Control Interno Coso Es
Presentacion Control Interno Coso EsOmar Hernandez
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-eseboadaspsm
 
Sistemas de información
Sistemas de informaciónSistemas de información
Sistemas de informaciónelicamargoalze
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La OrganizacionFabián Descalzo
 
COMPONENTES DEL MERCADO
COMPONENTES DEL MERCADOCOMPONENTES DEL MERCADO
COMPONENTES DEL MERCADOBelkys Peña
 
Clase 11 gestión integral de la sst
Clase 11 gestión integral de la sstClase 11 gestión integral de la sst
Clase 11 gestión integral de la sstyoeloyolachipana
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacionluisrobles17
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe cosoArmando Pomaire
 
Planificacion Estrategica
Planificacion EstrategicaPlanificacion Estrategica
Planificacion EstrategicaAntonio Zr
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Vero Gonzalez
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Vero Gonzalez
 

Similar a El Modelo de Negocios para la Seguridad de la Información (20)

Soluciones integrales en las organizaciones
Soluciones integrales en las organizacionesSoluciones integrales en las organizaciones
Soluciones integrales en las organizaciones
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad Corporativa
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-es
 
Ejemplo
EjemploEjemplo
Ejemplo
 
Presentacion Control Interno Coso Es
Presentacion Control Interno Coso EsPresentacion Control Interno Coso Es
Presentacion Control Interno Coso Es
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-es
 
Sistemas de información
Sistemas de informaciónSistemas de información
Sistemas de información
 
Cobit-PresentaciónFinal - control interno
Cobit-PresentaciónFinal - control internoCobit-PresentaciónFinal - control interno
Cobit-PresentaciónFinal - control interno
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion
 
COMPONENTES DEL MERCADO
COMPONENTES DEL MERCADOCOMPONENTES DEL MERCADO
COMPONENTES DEL MERCADO
 
Clase 11 gestión integral de la sst
Clase 11 gestión integral de la sstClase 11 gestión integral de la sst
Clase 11 gestión integral de la sst
 
El control interno - Informe COSO
El control interno - Informe COSOEl control interno - Informe COSO
El control interno - Informe COSO
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacion
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe coso
 
Trabajo #1
Trabajo #1Trabajo #1
Trabajo #1
 
Planificacion Estrategica
Planificacion EstrategicaPlanificacion Estrategica
Planificacion Estrategica
 
Itsm
ItsmItsm
Itsm
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1
 

Último

Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..JoseRamirez247144
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxRENANRODRIGORAMIREZR
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Gonzalo Morales Esparza
 
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfPresentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfLuisAlbertoAlvaradoF2
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxjuanleivagdf
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxgabyardon485
 
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxTIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxKevinHeredia14
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónjesuscub33
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxCONSTRUCTORAEINVERSI3
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxedwinrojas836235
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasmaicholfc
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHkarlinda198328
 
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesFORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesjvalenciama
 
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptxPRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptxaramirezc21
 
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptxCarlosQuionez42
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHilldanilojaviersantiago
 
Como Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasComo Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasoscarhernandez98241
 
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docxPLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docxwilliamzaveltab
 

Último (20)

Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.
 
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfPresentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptx
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptx
 
Capitulo-6.ppt-gestión del tiempo en pmi
Capitulo-6.ppt-gestión del tiempo en pmiCapitulo-6.ppt-gestión del tiempo en pmi
Capitulo-6.ppt-gestión del tiempo en pmi
 
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxTIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarización
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptx
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en droguerias
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
 
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesFORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
 
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptxPRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
 
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHill
 
Como Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasComo Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicas
 
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docxPLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
 
Walmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdfWalmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdf
 

El Modelo de Negocios para la Seguridad de la Información

  • 1. Lic. Rodolfo Carrión Coronas, CPA rodocarrion@gmail.com rodolfo@acti.co.cr 10 / Octubre / 2011
  • 2. BMIS El Modelo de Negocios para la Seguridad de la Información Este material es una presentación del modelo desarrollado por ISACA WWW.ISACA.ORG/BMIS
  • 3. El Modelo de Negocios para la Seguridad de la Información (BMIS) El BMIS, es un modelo que apoya al negocio en materia de seguridad de la información a las empresas. Su perspectiva se enfoca en ver a la empresa sistémicamente permitiendo tener una visión integrada enfocándose en los negocios con un aporte extraordinario en la gestión de la seguridad de la información y que ningún marco de control o estándar proporciona. El modelo propone ver a la empresa como un conjunto que tiene cuatro elementos (Organización, Personas, Tecnología y Procesos) y seis interconexiones dinámicas (Gobierno, Cultura, Arquitectura, Habilitación y Soporte, Factores Humanos y Emergentes). Cada uno de los elementos se correlación entre si y el estudio de cada una ellas proporcionan un modelo para el análisis de la problemática de la seguridad de la información. El modelo propone un estudio exhaustivo de cada uno de los elementos e interconexiones desde la perspectiva de seguridad que impactará en agregarle valor al negocio.
  • 4. El Modelo de Negocios para la Seguridad de la Información (BMIS) :
  • 5. Modelos Un modelo puede ser considerado como una descripción teórica de la forma en que funciona un sistema. Los modelos deben ser flexibles para satisfacer las necesidades del mundo empresarial. Tienen que ser probado en ocasiones para asegurarse de que siguen siendo aplicable y ajustarse a la finalidad prevista, Debe incorporar cambios en los sistemas y las empresas en las que existe. Son descriptivos, pero no normativos
  • 6. Objetivo del BMIS General Proveer de seguridad a los activos de información de la empresa para el logro de los objetivos del negocio a un nivel aceptable de riesgo. Específicos Alineamiento estratégico Gestión de riesgos Entrega de Valor Gestión de recursos Integración del proceso de Aseguramiento Medición del Desempeño
  • 7. Estructura del BMIS Elementos Conexiones Dinámicas Cultura Organización Gobierno Personas Arquitectura Tecnología Emergentes Procesos  Habilitación y soporte  Factores Humanos
  • 9. Características del BMIS EL BMIS es ante todo un modelo en tres dimensiones. Se compone de cuatro elementos y seis interconexiones dinámicas (DIS). Como regla general, todas las partes del BMIS interactúan unos con otros. Los elementos están conectados entre sí a través de la DIS. Si alguna parte del modelo se cambia, otras partes también se cambiarán
  • 10. Características del BMIS En un universo de información de seguridad integral y bien administrada, el modelo se considera que esta en equilibrio. Si las partes del modelo se cambian, o si persisten las debilidades de seguridad, el equilibrio del modelo se distorsiona. Las Interdependencias entre las partes de BMIS son el resultado del enfoque sistémico global. Las DIS pueden verse afectadas directa o indirectamente por los cambios en cualquiera de los componentes dentro del modelo, no sólo a los elementos en cada extremo.
  • 12. Elemento ORGANIZACION Objetivos Ofrecer una visión de cómo el diseño de la empresa y la estrategia afecta a las personas, procesos y tecnologías, dando lugar a riesgos adicionales, oportunidades y áreas de mejora. Establecer un vínculo claro entre las medidas de seguridad tradicionales y la empresa, incluyendo su influencia en términos de diseño y estrategia. Esto puede ser mapeado para los fundamentos de la seguridad de confidencialidad, disponibilidad e integridad. Ofrecer una visión de negocios sobre los riesgos intrínsecos y culturales de cualquier diseño de la organización y si estos riesgos afectan la visión del impacto en la seguridad. Lograr ver a la empresa en su conjunto en lugar de verlo como un enfoque de elementos aislados como tradicionalmente se ha observado
  • 13. Elemento ORGANIZACION ORGANIZACIÓN FORMAL La organización formal es la estructura creada por la dirección de la empresa e incluye los organigramas formales, políticas y procedimientos documentados y directrices provistos por los encargados. Se complementa con la estrategia establecida por la alta dirección. ORGANIZACIÓN INFORMAL Subculturas individuales por las acciones de los empleados, estas subculturas se forman en grupos que existen en las unidades de negocio individuales
  • 15. Elemento PROCESOS Los procesos son creados para ayudar a las organizaciones a lograr su estrategia en el BMIS Es único y ofrece un enlace vital para todos los de DIS del modelo Representan las actividades estructuradas que se crean para lograr un resultado en particular a través de persona o de una serie de tareas aplicadas consistentemente Un proceso se considera maduro cuando está bien definido, gestionado, medible, y optimizado.
  • 16. Elemento PROCESOS Factores Clave La retroalimentación representa el compartir observaciones, preocupaciones y sugerencias, entre las personas dentro de la empresa con el fin de mejorar tanto la organización y el desempeño personal. Retardo (Delay) representa el período de tiempo durante el cual el proceso está en funcionamiento cuando la retroalimentación que se recibe y se integran en el proceso por lo que tiene consecuencias para el modelo. •El retardo crea un riesgo en el modelo desde la perspectiva de seguridad, ya que representa una vulnerabilidad para la empresa.
  • 18. Elemento TECNOLOGIA "la aplicación práctica del conocimiento, especialmente en un área en particular“ y "una capacidad dada por la aplicación la práctica del conocimiento" Para efectos del BMIS: La tecnología incluye todas las aplicaciones técnicas del conocimiento utilizado en la organización
  • 19. Elemento TECNOLOGIA La tecnología ofrece las herramientas necesarias para llevar a cabo la misión y la estrategia de la empresa como un todo, incluyendo los parámetros generales de seguridad de la confidencialidad, integridad y disponibilidad La tecnología, para efectos del BMIS, tiene 2 componentes •Los objetos que representan cualquier tipo de tecnología •La capacidad de aplicación dentro de la empresa lo que implica que las empresas podrían tener mucha o poca dependencia de la tecnología
  • 21. Elemento PERSONAS Representa los recursos humanos en una organización Para efectos del BMIS Personal primario representa a empleados o asociados con la organización Personal secundario, se da en eventuales subcontrataciones como en el caso de los proveedores de servicios administrados o soluciones tecnológicas
  • 22. Elemento PERSONAS Las personas dentro de una organización tienen sus propias creencias, valores y comportamientos que surgen de sus personalidades y experiencias. "Las personas” no son sólo unidades de uno y no pueden ser estudiados de manera independiente. Para entender cómo afecta la seguridad de la información, y se ve afectada por la gente, un enfoque sistémico es necesario, el estudio de la interacción de las personas con el resto de los elementos del modelo a través de la DIS.
  • 25. DIS - Aspectos Relevantes de las DIS Cualquier DIs entre dos elementos es flexible y también representa la tensión potencial entre los elementos. Las interconexiones son una señal de que BMIS no es estático, que representa las partes dinámicas de la modelo en el que ocurren las acciones y donde los cambios, a su vez, lo influencian los elementos.
  • 26. DIS - Aspectos Relevantes de las DIS Los DIS en BMIS también interactúan entre sí en un sentido sistémico. En algunas situaciones, el comportamiento de todo el sistema crea bucles de realimentación o lazos. Estos lazos dinámicamente cambian el sistema y poco a poco se mueve a un nuevo estado . Donde existen tensiones que distorsionan el modelo, los cambios se presentarán por primera vez en un DIS y luego en los elementos correspondientes. Esto, a su vez, puede influir en otros DIS y elementos, dando lugar a un bucle que se refuerza a sí mismo y se mueve el modelo en su conjunto.
  • 28. DIS - GOBIERNO La DIS de Gobierno traduce los conceptos de gobierno y las medidas que se deben seguir para cumplir con la misión y objetivos, y establecer límites y controles a nivel de procesos. El Gobierno es la conexión entre los elementos de organización y procesos, La DIS gobierno representa la acción de poner en práctica la gobernabilidad dentro de BMIS. Esto implica que la gestión de los procesos es fijada por el gobierno. La retroalimentación es la responsable de modificar el DIs Gobierno por medio del DIs de Cultura y Arquitectura, que involucra el diseño y la estrategia empresarial
  • 29. DIS – GOBIERNO - Acciones Las acciones del Gobierno tiene la finalidad de mantener en equilibrio el BMIS •Estrategia de la organización en el diseño organizacional. Cualquier actividad que no cumpla con estos criterios será contraproducente y creará excesivas "tensiones" que deben ser resueltas a través de cambios en el diseño y la estrategia o en el IDs Gobierno. Limitar los riesgos a niveles aceptables, si los riesgos no son correctamente gestionados reduce la capacidad de adaptación de la organización y la resistencia para hacer frente a situaciones emergentes. y por medio de los canales apropiados.
  • 30. DIS – GOBIERNO - Acciones Las herramientas principales para el gobierno son los estándares y guías que demuestren que cumplen la intención de la política. Políticas Estándares y directrices y otra documentación normativa Reglas de responsabilidad (Accountability) Asignación de recursos y priorización Métricas (de todo lo anterior) Cumplimiento (como un tema Global) La comunicación es vital dentro del DIS de Gobierno.
  • 32. DIS – CULTURA La Cultura es uno de los DIS más influentes del BMIS de los modelos de seguridad. La cultura y su impacto sobre el BMIS nos provee de la más completa imagen de la empresa El impacto de la cultura en las personas es un tema clave en la seguridad de la información desde que las personas sean capaces de contribuir a la seguridad de la información o, por el contrario, se comprometan con esto.
  • 33. DIS – CULTURA Para el BMIS la cultura es “un patrón de comportamientos, creencias, presunciones, actitudes y formas de hacer las cosas". Está compuesta por •la cultura organizacional que se forma a través del tiempo por la estrategia, diseño organizativo y comportamiento de las personas en el trabajo, y •Por la cultura de las personas individuales, que pueden ser diversas y heterogéneas. Para mejorar el programa de seguridad de la información examinar y entender la cultura que existe dentro de la empresa.
  • 34. DIS – CULTURA La Gestión sistémica de la seguridad investiga los siguientes aspectos: Las reglas y normas La tolerancia a la ambigüedad Fuente de distancia El factor de cortesía Contexto Colectividad vs. Individualidad La asunción de riesgos vr. aversión al riesgo El elemento cultura bien gestionado implica una buena Seguridad de la Información, a través de estrategias bien establecidas y bien comunicadas y metas necesariamente apoya a las organizaciones a crecer desde la perspectiva del "yo" al "nosotros“
  • 35. DIS – CULTURA Una “buena” cultura impacta en que, independientemente de las políticas de seguridad y procedimientos formales, las personas desarrollarían una perspectiva correcta a la protección de la información
  • 36. DIS – CULTURA – Aspectos a mejorar Trabajar para establecer un programa de seguridad de la información sólido incluyendo a los líderes de la empresa Fomentar la colaboración entre las unidades de negocio, reduciendo así la gestión de silos. Trabajar para que las responsabilidades de seguridad se incluyan en las descripciones de puestos Proporcionar los conocimientos, herramientas y habilidades que las personas necesitan para manejar eficazmente los activos de información. Desarrollar procesos sistemáticos de manejo de la información Trabajar para cambiar las percepciones negativas de seguridad. Comunicar, comunicar, comunicar.
  • 38. DIS – ARQUITECTURA . ISO / IEC 42010:2007 define la arquitectura como: “La organización fundamental de un sistema, encarnada en sus componentes, sus relaciones entre sí y el medio ambiente y los principios que rigen su diseño y evolución”
  • 39. DIS – ARQUITECTURA Pasos para definir la Arquitectura 1.- La arquitectura comienza como un concepto, un conjunto de objetivos de diseño que se deben cumplir 2.- Se convierte en un modelo, o sea, una visión a partir de los servicios. 3.- Preparación de planos detallados, herramientas que se utilizan para transformar la visión / modelo en un producto real y el acabado. 4.- La realización o la salida de las etapas anteriores. .
  • 40. DIS – ARQUITECTURA – Modelo Zachman
  • 41. DIS – ARQUITECTURA – Aspectos Relevantes Espacio para la evolución y el mejoramiento Espacio para la reacción para cambiar el contexto Apta para su propósito  Efectividad y eficiencia Consistencia con las políticas y estándares Mantenimiento y facilidad de uso
  • 42. DIS – ARQUITECTURA – Aspectos Relevantes
  • 43. DIS – HABILITACION Y SOPORTE En términos de BMIS, Habilitación y Soporte a través de la que la tecnología permite un proceso, y el proceso a su vez, soporta la entrega y la operación de la tecnología El DIS habilitación y soporte muestra un proceso equilibrado para apoyar a la empresa con la tecnología, y muestra el efecto que la tecnología ha tenido en los procesos de negocio
  • 44. DIS – HABILITACION Y SOPORTE Una habilitación y soporte debe tener en cuenta: Procesos equilibrados y un ajuste rápido a un nuevo estado de equilibrio La adherencia a los estándares apropiados El uso de controles apropiados Un fuerte enfoque en la seguridad El reconocimiento de los requisitos de cumplimiento
  • 45. DIS – HABILITACION Y SOPORTE La tecnología debe ser seleccionada, evaluada, implementada y controlada. Los procesos deben ser diseñados, desarrollados, implementados y utilizados. Para el BMIS habilitación y soporte tiene la misión de que el proceso permita la tecnología y la tecnología soporte el proceso de negocio.
  • 46. DIS – HABILITACION Y SOPORTE
  • 47. DIS – HABILITACION Y SOPORTE Si la solución tecnológica no está clara o esta insuficientemente definida, la solución del negocio es revisada para asegurar la alineación. Si la solución de negocio no es clara o plantea preguntas, puede ser necesario volver a los requisitos de servicio originales formulados o incluso a los requerimientos del negocio global. Esto no es una secuencia paso a paso como sería de forma lineal, es sistémica en la que el paso siguiente no siempre es "completado", pero todas los pasos interactúan en el ciclo general y puede cambiar las soluciones de tecnología y su entrega.
  • 48. DIS – HABILITACION Y SOPORTE Los componentes clave del DIS habilitación y soporte y el DIS de arquitectura son: •Los Objetivos de Negocio de alto Nivel: La tecnología de la información es un habilitador de negocios, ya que ayuda a reducir los costos operativos, mejora la productividad y genera crecimiento. •Requerimientos detallados del negocio: Los requerimientos del negocio deben ser recogidos sin hacer referencia a la tecnología. Recopilación de los requerimientos del negocio es una actividad crítica, incluso si el enfoque del proyecto es una actualización de tecnología o de actualización. •La arquitectura de la empresa y los marcos de los procesos •Los planes y objetivos de la tecnología deben alinearse con los planes y metas de la organización.
  • 49. DIS – HABILITACION Y SOPORTE
  • 50. DIS – EMERGENTES En el BMIS, el emergente puede ser visto como el surgimiento de nuevas oportunidades de negocio, nuevos comportamientos, nuevos procesos y otros elementos relevantes para la seguridad, como los subsistemas entre las personas y los procesos de evolución.
  • 51. DIS – EMERGENTES Un proceso en sí mismo puede estar bien definido, pero su resultado puede ser diferente cada vez que se ejecuta. El impacto de este hecho en la seguridad de la información, la ejecución de un proceso por las personas se divide en las siguientes categorías:  Procedimiento Escrito; la ejecución de tareas basadas en el flujo específico de las acciones definidas en un procedimiento oficial. Políticas: La ejecución de tareas basadas en la traducción de las reglas de la empresa a políticas de seguridad Ad-hoc: Lla ejecución de tareas de forma aleatoria, no están cubiertas por un procedimiento o una política
  • 52. DIS – EMERGENTES El DIS Emergente, es como un proceso de aprendizaje, que es fundamental para la seguridad de la información, ya que ayuda al entendimiento de los requerimientos para compartiendo efectivamente las estrategias de seguridad y se ajustan al comportamiento de la empresa como un todo. Ayuda en la personalización, mejora y ampliación de los procedimientos y normas de seguridad llevando la información de la teoría a la práctica.
  • 53. DIS – EMERGENTES El DIS Emergente puede ser clasificado como positivo o negativo. DIS Emergente positivo está relacionado con el proceso de aprendizaje para la comprensión de la seguridad necesidades y mejorar la seguridad de la información. DIS Emergente negativo está relacionado con el fenómeno creciente de la seguridad sin explicación de incidentes y la falta de alineación entre la seguridad de la información y los objetivos de negocio
  • 55. DIS – FACTORES HUMANOS Se refiere como la interacción persona- computador (HCI), la interfaz hombre-máquina y la ergonomía por lo que gran parte del trabajo en la facilidad de uso y facilidad de uso Ergonomía: “ciencia aplicada que trata del diseño de los lugares de trabajo, herramientas y tareas que coinciden con las características fisiológicas, anatómicas y psicológicas y las capacidades del trabajador”
  • 56. DIS – FACTORES HUMANOS Conecta los elementos de las Personas y la Tecnología y cubre muchas áreas, tales como: Ciencia de la comprensión de las propiedades de la capacidad humana, la ergonomía y los límites de las capacidades humanas La aplicación de este conocimiento para el diseño, desarrollo y entrega de tecnologías y servicios Asegurar exitosamente la aplicación de la ingeniería de factores humanos a un programa
  • 57. DIS – FACTORES HUMANOS Los objetivos principales se relacionan con : El operador humano (cuerpo y mente) y Los sistemas circundantes que interactúan con el usuario humano. Para entender y manejar la tensión en este DI, el primer paso es diagnosticar o identificar los problemas y deficiencias en la interacción hombre-sistema de un sistema de seguridad existente.
  • 58. DIS – FACTORES HUMANOS Enfoque para mejoras Equipo de diseño: Cambia la naturaleza de los equipos físicos con los que los seres humanos trabajan Diseño de Tareas: Se enfoca más en el cambio de lo que los operadores hacer que en el cambio de los dispositivos que utilizan. Diseño ambiental: Implementa los cambios como una mejor iluminación, control de temperatura, etc. Capacitación Individual: Prepara mejor a los empleados para los desafíos que encontrarán en el entorno de trabajo Selección de los individuos: Es una técnica que reconoce las diferencias individuales entre los seres humanos en todas sus dimensiones física y mental que es relevante para un buen rendimiento del sistema.
  • 59. DIS – FACTORES HUMANOS Factores claves del éxito •La falta de entender no sólo los requerimientos de seguridad, pero si la razón para ellos •No apreciar los conceptos de riesgo del negocio y el posible impacto de las debilidades de seguridad •La falta de conciencia e implementación, de la disponibilidad del sistema de controles, ya que esto soporta la seguridad de la información •El error humano en forma de falta de memoria o una simple falta de atención a los detalles •Factores humanos externos, tales como el soborno, la corrupción y problemas sociales, que pueden influir en el nivel de concienciación sobre la seguridad y el cumplimiento de los controles
  • 60. DIS – FACTORES HUMANOS
  • 61. Usando BMIS Presentación BMIS - rodocarrion@gmail.com
  • 62. Los objetivos por los cuales es importante poner en práctica el modelo de negocio para la seguridad de la información son los siguientes:  Integrar totalmente el programa de seguridad existente.  Analizar e interiorizar las medidas de seguridad detalladas y sus soluciones  Alinear los estándares, regulaciones y marcos al BMIS.  Identificar claramente las fortalezas y debilidades de la seguridad existentes.  Utilice el sistema de seguridad dinámico que presenta BMIS.  Gestionar los emergentes dentro de la organización para maximizar las mejoras de seguridad. Presentación BMIS - rodocarrion@gmail.com
  • 63. Pasos:  Como primer paso, la empresa debe ser analizada en términos de ubicación geográfica, relaciones con clientes y proveedores y la cadena de suministro en general  Una vez que los respectivos países, regiones y otros factores de negocio diferentes han sido identificados, las leyes y reglamentos aplicables se pueden asignar a los programas de seguridad, y más tarde al BMIS. Presentación BMIS - rodocarrion@gmail.com
  • 64. Desde la perspectiva del BMIS, es la propia empresa que acepta adopta reglas externas y los hace parte de la estrategia de la organización. La gestión de la seguridad debe direccionar:  Reglas de gobierno o de las directrices adoptadas por la empresa  Partes relevantes de TI y de la seguridad, pertinentes de estas reglas o directrices  Mapeo de los elementos de gobierno relevantes para la seguridad en el marco COBIT  E implementarlo en los niveles inferiores a través del DI Gobierno. Presentación BMIS - rodocarrion@gmail.com
  • 65. Cuando se utiliza el BMIS, los Gerentes de seguridad deben poco a recopilar toda la información sobre las soluciones resultantes de funcionamiento, herramientas y procesos.  Esta lista no tiene que ser exhaustiva, ya que la naturaleza dinámica de BMIS permite cambios posteriores y adiciones.  Las soluciones existentes, una vez integradas, finalmente formaran un patrón que se refleja en los elementos y en los IDs.  Se identificaran fortalezas y debilidades, se diseña un enfoque pragmático para identificar y cerrar las brechas de seguridad que son visibles después de complementar el BMIS. Presentación BMIS - rodocarrion@gmail.com
  • 66. Las tablas son una herramienta importante para luego asignar responsabilidad para las tareas y acciones que se derivan del resultado del BMIS. Presentación BMIS - rodocarrion@gmail.com
  • 67. BMIS direcciona las necesidades del negocio y los requerimientos de forma directa, sobre la base de las disposiciones estratégicas y tácticas. Desde la perspectiva del BMIS, todas las relaciones con terceros y todos los productos gestionados o servicios deben estar basados ​en los resultados.  Existe una dimensión adicional (contrato y los controles relacionados). El BMIS ha sido diseñado para tener la flexibilidad intrínseca para adaptarse a la mayoría de las normas actualmente en uso en la seguridad de la información. Presentación BMIS - rodocarrion@gmail.com
  • 68. El siguiente paso en el uso del BMIS es un análisis exhaustivo de las fortalezas y debilidades. El uso de BMIS permite la gestión para identificar las causas y efectos. Cualquier elemento o DIs es un buen punto de partida. Para cada elemento, el modelo debe contener la información mínima agregada anteriormente:  Las políticas, métodos y controles  Las soluciones detalladas, herramientas y procedimientos  Las partes relevantes de los estándares de seguridad de la información  Las partes relevantes de los estándares generales de TI Presentación BMIS - rodocarrion@gmail.com
  • 69. El modelo circular permite una visión clara de cómo la dinámica del sistema lleva a cabo las actividades, comportamientos y patrones que se vuelven más integrados con el tiempo, particularmente en términos del nivel de seguridad global de la empresa. Presentación BMIS - rodocarrion@gmail.com
  • 70. Conclusiones  El BMIS proporciona un modelo para cambiar del modo reactivo tradicional de tratar a la seguridad de la información a un modo proactivo, apoyando y generando valor para la organización con el fin del cumplimiento de los objetivos.  La importancia de la Seguridad de la Información, así como su aporte al negocio es un factor que no ha sido tomado en cuenta por las empresas y que es crítico para el logro de los objetivos, a veces se puede pensar en que basta con una serie de tecnologías, sin embargo el BMIS muestra que este concepto va mucho mas allá de la simple implementación de soluciones tecnológicas. Presentación BMIS - rodocarrion@gmail.com