Resumenes Cap. Gobierno De Las Tsi

S
santosperez
Empresariales

Resumenes Cap. Gobierno De Las Tsi

S
santosperez
Empresariales

Resumenes Cap. Gobierno De Las Tsi

1 de 10
Facultad de administración Administración de la Tecnología de Información. PROF. Dr. Carlos Arturo Torres Gastelú Resumen Capítulos Libro Gobiernos de las TSI Capítulos 10-17 Alumno: Santos Pérez Roberto Carlos Sistemas Computacionales Administrativos Veracruz, ver. a 09 Noviembre del 2009
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 10. PANORAMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TECNOLOGIAS DE INFORMACION. Las normas son especificaciones tecnicas, de carácter voluntario, concensuadas, elaboradas con la participacion de las partes interesadas (fabricantes, usuarios y consumidores , laboratorios, administracion, centros de investigacion, etc.) y aprobadas por un organismo reconocido. La normalización contribuye a simplificar y a incrementar la fiabilidad y eficiencia de los bienes y servicios que utilizamos, así como a mejorar el bienestar de la sociedad y redunda en el beneficio común. Las normas son por tanto documentos de aplicación voluntaria, elaborados por las partes interesadas, por consenso y aprobados por un organismo reconocido. En el ámbito internacional ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) tienen por objeto favorecer el desarrollo de la normalización en el mundo, con vistas a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos países. • Órganos de trabajo técnicos de ISO: • Comités técnicos (CT) • Subcomités (SC) • Grupos de Trabajo (GT) • Documentos: o Norma internacional (ISO/IEC) o Informe técnico (TR) El subcomité SC27 se enmarca en la concepción de la seguridad de las tecnologías de la información como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la información. Se estructura en cinco grupos de trabajo: 1. GT1-requisitos, servicios de seguridad y guías, 2. GT2-mecanismos y técnicas de seguridad, 3. GT3-criterios de evaluación de la seguridad, 4. GT4-servicios y controles de seguridad y 5. GT5-gestion de identidad y privacidad. Gestión de la seguridad de la información.- normas relativas a la gestión de la seguridad de la información, dar cobertura a áreas como sistemas de gestión de la seguridad de la información, análisis y gestión de riesgos, controles y salvaguardas, métricas otros aspectos. Técnicas y mecanismo.- destacan en este ámbito las técnicas y mecanismos criptográficos que tienen un protagonismo singular y creciente en la garantía de dimensiones de la seguridad tales como la confidencialidad, la integridad y la autenticación. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 11. NORMA ISO 27001 GESTION DE LA SEGURIDAD. Normas producidas por organismos oficiales agrupan las siguientes características: Especificaciones técnicas basadas en la experiencia y en el desarrollo tecnológico, voluntarias, accesibles al público, tanto durante su elaboración, pues se producen en órganos de trabajo abiertos a la industria, como después, pasan por un periodo de información pública durante el cual cualquier persona puede presentar alegaciones o comentarios a su contenido. Origen de ISO/IEC 27001: o No existió a nivel internacional una norma que complemente al código de buenas prácticas a través de las especificaciones de los sistemas de gestión de seguridad de la información. o Coexistieron la norma inglesa BS 7799-2 y la norma española UNE 71502. Se propone el modelo internacionalmente aceptado PDCA. o En el 2004 ya iniciado el MODELO 27000. o Se publica la norma ISO/IEC 27001 referente internacional para los “Sistemas de gestión de la seguridad de la información”. Establecimiento y gestión del SGSI Alcance del sistema de gestión, Definir política del SGSI y la metodología para la valoración del riesgo, identificación de los riesgos, hacer un análisis y evaluación de dichos riesgos, identificación de los diferentes tratamientos del riesgo y selección de los controles. Implantación y puesta en marcha del SGSI Preparar un plan de tratamiento del riesgo, medir la eficacia de los controles, obtener resultados comparables y reproducibles, crear programas de formación y concienciación en todas las acciones para el personal de la organización y se posibilitaran la cultura de la seguridad. Control y evaluación del SGSI Implantar procedimientos para el control y la revisión de lo hecho hasta ahora y derivara la eficacia del SGSI a partir de las auditorias de seguridad y las mediciones para verificar que se estén cumpliendo los requisitos de seguridad. Se descubren los defectos y mejoras para lo que se tomaran las medidas correctivas y preventivas. Debe estar sustentado por un procedimiento documentado. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 12. LAS METRICAS DE SEGURIDAD DE LA INFORMACION. El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información, que supone un ámbito de actuación diferente al de las infraestructuras, aplicativa y sistemas o procesos que la soportan. Tal vez este matiz nos podría ayudar a diferencias ambas figuras y a centrar el objeto de este capítulo. Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. Y demostrar objetivamente la eficacia y eficiencia de los controles de seguridad. La norma 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permita recoger, analizar y comunicar dato relacionados con procesos SGSI. Los objetivos del proceso de medida son, por tanto: Evaluar la eficacia de la implantación de los controles de seguridad, del sistema de gestión de seguridad de la información incluyendo la mejora continua, proporcionar un estado de seguridad para dirigir la revisión de la gestión. Facilitar las mejoras de la seguridad y contribuir a auditoria de seguridad., comunicar el valor de la seguridad a la organización y servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos. Tipos de medidas: La norma pone la categorización: derivada, base (dentro de ésta cumplimiento y rendimiento). Para medir es necesario un método específico de medición para cada entidad o combinación critica de atributos con la finalidad de extraer la información que puede utilizarse como base para el cálculo de medidas. Puede implicar actividades como contar el numero de acontecimientos u observar el paso del tiempo. Una medida valida habrá de cumplir con los criterios: Estratégica, cuantitativa, razonable, interpretativa, verificable, evolutiva, útil, indivisible y bien definida y repetible. Los indicadores se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de la información de la organización. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 13. NORMA ISO 17799. CODIGO DE BUENAS PRÁCTICAS PARA LOS SGSI Sistema de Gestión de Seguridad de la Información (SGSI) es una estructura organizativa, técnica y procedimental que persigue la seguridad de la información a través de un ciclo de análisis de la situación, aplicación de controles, revisión del funcionamiento y la aplicación permanente de mejoras o correcciones. Es lo que comúnmente se conoce como el ciclo PDCA aplicando a la seguridad de la información, que permite adaptarse a los cambios en la organización y la mejora continua. Los SGSI utilizan la norma ISO 17799:2005 como herramienta para conseguir la seguridad definida en la empresa, pero no es en sí misma una norma certificable. Simplemente presenta qué áreas debe contemplar la empresa respecto a la seguridad y propone controles para conseguir los objetivos de la seguridad de cada una de estas áreas. ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. Sin embargo, puesto que implantar estos controles significa una inversión, no serán recomendaciones arbitrarias. Surge de la necesidad de las empresas de garantizar el funcionamiento seguro de los Sistemas de Información garantizando la confidencialidad integridad y disponibilidad de la información. La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y cualquier país. El análisis de riesgos debe detallar los activos necesarios para que el sistema de información de la empresa opere correctamente y detectar cuales amenazas puede alterar su buen funcionamiento. Es conveniente familiarizase con la estructura de la norma para manejarla de la forma más ágil posible. Esta organiza doce secciones la primera es el análisis de riesgos, seguidamente las políticas de seguridad, cuatro secciones enfocadas a definir las medidas organizativas de la empresa que apoyen la seguridad, las siguientes se ocupan de aspectos tales como la seguridad de las comunicaciones, operaciones, acceso lógico y gestión adecuada de hardware y software por ultimo la norma contempla la necesidad de gestionar adecuadamente medidas que aseguren el cumplimiento legal, regulatorio y contractual. Norma ISO 17799:2005: análisis y gestión de riesgos, política de seguridad, organización de la seguridad, gestión de activo, recursos humanos, seguridad física, gestión de comunicaciones y operaciones, control acceso, compra, desarrollo y mantenimiento de sistemas, gestión de incidentes de seguridad, gestión de la continuidad de negocio, conformidad legal. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 14. COSO El control interno es un proceso, ejercicio por el consejo de administración de la entidad, los gestores y otro personal de la organización, diseño para proporcionar seguridad razonable respecto a la consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento con leyes y regulaciones COSO establece un conjunto de estos componentes: Ambiente interno Establecimiento de objetivos Identificación de eventos Evaluación de riesgo Respuesta al riesgo Actividades de control Información y comunicación. Supervisión. Existe una tercera dimensión al ámbito de aplicación: Entidad: relativo a una organización concreta en su conjunto siendo el más alto nivel. División: conjunto de actividades relacionadas como negocios, líneas de producto. Unidad: considerado unitario en la organización empresarial encargado de un función, producto o misión concreta. Subsidiaria: organización dependiente de la organización principal. Esta separación cobra especial importancia en el reporte financiero. Responsabilidades y uso de coso: Consejo de administración. Gestores. Otro personal. Auditores internos. Promete mejoras: Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión. Amplia las decisiones de respuesta al riesgo. Identifica y gestiona riesgo en los distintos niveles de la entidad. Proporciona respuestas integradas a los múltiples riesgos. Mejora los sistemas de reporte. Ayuda asegurar el cumplimiento con leyes y reglamentos. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 15. COBIT 4. COBIT.- Control Objectives for Information and Related Technology, es un conjunto estructurado de buenas prácticas y metodologías para su aplicación, cuyo objetivo es facilitar el gobierno de las TSI. Proporcionando un marco de referencia que asegure que: Las TSI están alineadas con el negocio. Las TSI posibilitan la realización de la actividad de negocio al mismo tiempo que contribuyen a la maximización de los beneficios. Los recursos de las TSI (humanos y técnicos) son utilizados de forma responsable. Los riesgos de las TSI son gestionados y dirigidos adecuadamente. Se estructura en 34 objetivos de control de alto nivel, que están agrupados en cuatro dominios de actividades típicas. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. En la implementación practica de COBIT, es necesario seguir un cierto orden: o Análisis y comprensión del contenido de COBIT. o Fundamentación de la utilidad de su implantación y comunicación a la dirección, accionistas y áreas afectadas. o Definir el valor que su implantación aportara. o Análisis y evaluación del riesgo. Las implantaciones de COBIT están realizando de forma exitosa complementariamente con: o ITIL o ISO 27001 Es probablemente un modelo o herramienta un conjunto de buenas prácticas. Ninguna norma debe elevarse al pedestal de “verdad incontestable”. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 16. ITIL Information Technology Infrastructure Library; (Biblioteca para la Infraestructura de las Tecnologías de la Información TSI). Fue desarrollada por la Agencia Central de Computación y Telecomunicaciones (CCTA), de Gran Bretaña. Consta de un conjunto de libros publicados que permiten mejorar la calidad de los servicios de TSI que presta una organización a sus clientes. Cada uno de los libros: o Soporte de servicio o Provisión de servicio o Gestión de seguridad o Perspectiva de negocio o Planificación para la implementación de los servicios de gestión. o Gestión de aplicaciones o Gestión de la infraestructura TSI o Diseño y planificación o Despliegue o Operaciones o Soporte técnico ITIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organización TSI. Sin embargo, ITIL no brinda una descripción específica de la forma en la que se deben implementar estas actividades. Gestión de servicios: soporte de servicio, gestión del incidente, gestión del problema, gestión de configuración, gestión del cambio, gestión de la entrega. Gestión de nivel de servicio, gestión financiera de servicios, gestión de la capacidad, gestión de la disponibilidad. Ventajas de ITIL para el cliente/usuario: la provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en lenguaje más cómodo para el cliente. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto. Ventajas para la organización: desarrolla una estructura más clara. La dirección tiene más control y los cambios resultan más fáciles de manejar. Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada la externalización de algunos de los elementos de los servicios. Beneficios al negocio: calidad mejorada global de las operaciones del negocio, al asegurar que los procesos de TSI son la base de los procesos del negocio. Soporte del negocio más fiable por gestión de incidencia, gestión del cambio y centro de servicio. Incremento en la productividad del negocio y de la plantilla del cliente debido a que los servicios de TSI son más fiables y están disponibles. Beneficios financieros: infraestructura de TSI y servicios de TSI justificados en costes. Santos Pérez Roberto Carlos
Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 17. SARBANES-OXLEY Exige básicamente la existencia de un sistema de control interno sobre la información de manera tal que cualquiera actividad dentro del desarrollo de los diferentes procesos de negocio de la empresa tuviera una ejecución no adecuado a las practicas formales y controladas de la empresa, este evento pudiera ser detectado corregido de forma tal que garantice que el reporte financiero de la compañía responde a un proceso formalmente aprobado y adecuadamente supervisado. El objetivo principal de la Ley es que mediante el sistema de control interno se pueda dar garantía de validez a la información de estados financieros. Las TSI son herramientas de gestión de información con lo cual la relación de “procesos de TSI-cuentas contables”. Los procesos de TSI son soporte de la gestión de todas las cuentas. Concebir un modelo en el cual se desarrollen como mínimo los siguientes pasos: El modelo SOX representa un esquema d soporte legal para una serie de actividades de control que deberían realizarse no por imperio de una ley, sino por la propia conciencia de control dentro de las organizaciones. Santos Pérez Roberto Carlos

Recomendados

La Estructura del Control Interno por
La Estructura del Control InternoLa Estructura del Control Interno
La Estructura del Control InternoJesús Rodolfo Andrade León
7.2K vistas24 diapositivas
CONTROL INTERNO-1 por
CONTROL INTERNO-1 CONTROL INTERNO-1
CONTROL INTERNO-1 Wendaus Vidal
12.4K vistas48 diapositivas
Control interno por
Control internoControl interno
Control internoadrianmontijo
16.6K vistas16 diapositivas
Control Interno por
Control InternoControl Interno
Control InternoBMG Latin America
4.3K vistas15 diapositivas
control interno por
control internocontrol interno
control internoKevin Defas
1K vistas26 diapositivas
Componentes del-control-interno por
Componentes del-control-internoComponentes del-control-interno
Componentes del-control-internofidel rivera vera
4.2K vistas41 diapositivas

Más contenido relacionado

La actualidad más candente

Control interno por
Control internoControl interno
Control internojennika58
16.1K vistas8 diapositivas
Control interno power point por
Control interno power pointControl interno power point
Control interno power pointjesusavalosescalante
47.3K vistas14 diapositivas
Sistema de control interno por
Sistema de control internoSistema de control interno
Sistema de control internodrosca
13.1K vistas12 diapositivas
Control Interno en el Perú por
Control Interno en el PerúControl Interno en el Perú
Control Interno en el PerúCarlos Atahua Ruiz
3.2K vistas81 diapositivas
Control interno por
Control internoControl interno
Control internojatencio
6.5K vistas17 diapositivas

La actualidad más candente(20)

Control interno por jennika58
Control internoControl interno
Control interno
jennika5816.1K vistas
Control interno power point por jesusavalosescalante
Control interno power pointControl interno power point
Control interno power point
jesusavalosescalante47.3K vistas
Sistema de control interno por drosca
Sistema de control internoSistema de control interno
Sistema de control interno
drosca13.1K vistas
Control Interno en el Perú por Carlos Atahua Ruiz
Control Interno en el PerúControl Interno en el Perú
Control Interno en el Perú
Carlos Atahua Ruiz3.2K vistas
Control interno por jatencio
Control internoControl interno
Control interno
jatencio6.5K vistas
Tesorería Control Interno por Asociación Guatemalteca de Investigadores de Presupuesto
Tesorería Control InternoTesorería Control Interno
Tesorería Control Interno
Asociación Guatemalteca de Investigadores de Presupuesto14.7K vistas
Auditoria I Control Interno por UVMVirtual
Auditoria I Control InternoAuditoria I Control Interno
Auditoria I Control Interno
UVMVirtual2.6K vistas
Establecimiento de sistemas de control interno por Itzel Sarahi Ponce Camarillo
Establecimiento de sistemas de control internoEstablecimiento de sistemas de control interno
Establecimiento de sistemas de control interno
Itzel Sarahi Ponce Camarillo6.8K vistas
Sistemas de control interno por KellyJacome
Sistemas de control internoSistemas de control interno
Sistemas de control interno
KellyJacome970 vistas
AMBIENTE DE CONTROL por VICTOR31651306
AMBIENTE DE CONTROLAMBIENTE DE CONTROL
AMBIENTE DE CONTROL
VICTOR3165130647.3K vistas
Control interno por Escuela de Comercio y Administración Valeria Cueva
Control internoControl interno
Control interno
Escuela de Comercio y Administración Valeria Cueva13.4K vistas
Normas de control interno por Keyla Montero
Normas de control internoNormas de control interno
Normas de control interno
Keyla Montero4.7K vistas
Presentación control interno por Abrahamfelipe1
Presentación control internoPresentación control interno
Presentación control interno
Abrahamfelipe114.7K vistas
Informe de control interno por Karina Canales
Informe de control internoInforme de control interno
Informe de control interno
Karina Canales51.3K vistas
Contro interno 1 por Alfredo Azcue Medina
Contro interno 1Contro interno 1
Contro interno 1
Alfredo Azcue Medina569 vistas
Sistema de Control Interno -Junio 2014 por TVPerú
Sistema de Control Interno -Junio 2014Sistema de Control Interno -Junio 2014
Sistema de Control Interno -Junio 2014
TVPerú1.8K vistas
Sistema de control interno por Brigitte Colonio
Sistema de control internoSistema de control interno
Sistema de control interno
Brigitte Colonio8.3K vistas
Control Interno por Doris Suquilanda
Control InternoControl Interno
Control Interno
Doris Suquilanda1.9K vistas
Control interno por jose manuel ramos
Control internoControl interno
Control interno
jose manuel ramos23.1K vistas
Control interno por robertobecerra1975
Control internoControl interno
Control interno
robertobecerra19752.7K vistas

Destacado

Ati l2 eq6_gobierno de las tsi por
Ati l2 eq6_gobierno de las tsiAti l2 eq6_gobierno de las tsi
Ati l2 eq6_gobierno de las tsiHéctor
344 vistas12 diapositivas
T15_U3 por
T15_U3T15_U3
T15_U3Alina Carrion
479 vistas3 diapositivas
Informe metologico que indica el paso a paso para hacer una auditoria informa... por
Informe metologico que indica el paso a paso para hacer una auditoria informa...Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...Stefany Gamero
2.3K vistas19 diapositivas
Norma iso 27001 gestion de la seguridad cap 11 por
Norma iso 27001 gestion de la seguridad cap 11Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11abraham moreno
565 vistas13 diapositivas
Gobierno de las tecnologías y los sistemas de información por
Gobierno de las tecnologías y los sistemas de informaciónGobierno de las tecnologías y los sistemas de información
Gobierno de las tecnologías y los sistemas de informaciónabraham moreno
2.2K vistas19 diapositivas
Mapas EstáNdares por
Mapas EstáNdaresMapas EstáNdares
Mapas EstáNdaresLia Nakid
2K vistas19 diapositivas

Destacado(14)

Ati l2 eq6_gobierno de las tsi por Héctor
Ati l2 eq6_gobierno de las tsiAti l2 eq6_gobierno de las tsi
Ati l2 eq6_gobierno de las tsi
Héctor344 vistas
T15_U3 por Alina Carrion
T15_U3T15_U3
T15_U3
Alina Carrion479 vistas
Informe metologico que indica el paso a paso para hacer una auditoria informa... por Stefany Gamero
Informe metologico que indica el paso a paso para hacer una auditoria informa...Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...
Stefany Gamero2.3K vistas
Norma iso 27001 gestion de la seguridad cap 11 por abraham moreno
Norma iso 27001 gestion de la seguridad cap 11Norma iso 27001 gestion de la seguridad cap 11
Norma iso 27001 gestion de la seguridad cap 11
abraham moreno565 vistas
Gobierno de las tecnologías y los sistemas de información por abraham moreno
Gobierno de las tecnologías y los sistemas de informaciónGobierno de las tecnologías y los sistemas de información
Gobierno de las tecnologías y los sistemas de información
abraham moreno2.2K vistas
Mapas EstáNdares por Lia Nakid
Mapas EstáNdaresMapas EstáNdares
Mapas EstáNdares
Lia Nakid2K vistas
Gobierno de TSI_pdf por Alina Carrion
Gobierno de TSI_pdfGobierno de TSI_pdf
Gobierno de TSI_pdf
Alina Carrion437 vistas
Auditoria de gestion global de las empresas por AUDITORA MMS LTDA
Auditoria de gestion global de las empresasAuditoria de gestion global de las empresas
Auditoria de gestion global de las empresas
AUDITORA MMS LTDA11.9K vistas
TEMA # 5 INFORME SISTEMA TELEINFORMATICO por Marcelo Oly Caceres
TEMA # 5 INFORME SISTEMA TELEINFORMATICOTEMA # 5 INFORME SISTEMA TELEINFORMATICO
TEMA # 5 INFORME SISTEMA TELEINFORMATICO
Marcelo Oly Caceres1.6K vistas
AUDITORIA INTEGRAL TESIS DE INVESTIGACIÓN por WILSON VELASTEGUI
AUDITORIA INTEGRAL TESIS DE INVESTIGACIÓNAUDITORIA INTEGRAL TESIS DE INVESTIGACIÓN
AUDITORIA INTEGRAL TESIS DE INVESTIGACIÓN
WILSON VELASTEGUI8.9K vistas
Medios Bioquímicos por hector alexander
Medios BioquímicosMedios Bioquímicos
Medios Bioquímicos
hector alexander256K vistas
Auditoria de gestion por DIANAARIZA1990
Auditoria de gestionAuditoria de gestion
Auditoria de gestion
DIANAARIZA199039.8K vistas
TESIS AUDITORIA DE GESTION por WILSON VELASTEGUI
TESIS AUDITORIA DE GESTION TESIS AUDITORIA DE GESTION
TESIS AUDITORIA DE GESTION
WILSON VELASTEGUI41.6K vistas
Auditoría de Cumplimiento por Manuel Tapia Rabelo
Auditoría de CumplimientoAuditoría de Cumplimiento
Auditoría de Cumplimiento
Manuel Tapia Rabelo12.6K vistas

Similar a Resumenes Cap. Gobierno De Las Tsi

INTRODUCCION A LOS (SGIS) por
INTRODUCCION A LOS (SGIS)INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)Anders Castellanos
217 vistas11 diapositivas
Ensayo normas juan enrique por
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
809 vistas28 diapositivas
Iso 27001 por
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
620 vistas14 diapositivas
Iso 27001 por
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
267 vistas14 diapositivas
I S O 27001 por
I S O 27001I S O 27001
I S O 27001karen figueroa hrderera
453 vistas14 diapositivas
Seguridad De La InformacióN por
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
885 vistas15 diapositivas

Similar a Resumenes Cap. Gobierno De Las Tsi(20)

INTRODUCCION A LOS (SGIS) por Anders Castellanos
INTRODUCCION A LOS (SGIS)INTRODUCCION A LOS (SGIS)
INTRODUCCION A LOS (SGIS)
Anders Castellanos217 vistas
Ensayo normas juan enrique por JUAN ENRIQUE
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
JUAN ENRIQUE809 vistas
Iso 27001 por karen figueroa hrderera
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera620 vistas
Iso 27001 por karen figueroa hrderera
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera267 vistas
I S O 27001 por karen figueroa hrderera
I S O 27001I S O 27001
I S O 27001
karen figueroa hrderera453 vistas
Seguridad De La InformacióN por martin
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin885 vistas
27001:2013 Seguridad orientada al negocio por Fabián Descalzo
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo5.3K vistas
Ensayo de estandares en el contexto mexicano por Sole Leraguii
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
Sole Leraguii523 vistas
Introducción a los sistemas de gestión de seguridad por Edgardo Ortega
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Edgardo Ortega104 vistas
Resumen cap. 1 sgsi por Denis Rauda
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsi
Denis Rauda136 vistas
Sistemas de Gestión de Seguridad Informática SGSI por Joel Sorto
Sistemas de Gestión de Seguridad Informática SGSISistemas de Gestión de Seguridad Informática SGSI
Sistemas de Gestión de Seguridad Informática SGSI
Joel Sorto8.1K vistas
Sistemas de gestión de seguridad de la información por CRISTIAN FLORES
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
CRISTIAN FLORES127 vistas
Norma Iso 27001 por darkprophet
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
darkprophet1.9K vistas
Iso 27001 Jonathan Blas por JonathanBlas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas1K vistas
Sistemas de Gestión de Seguridad Informática. por Eduardo Maradiaga
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática.
Eduardo Maradiaga558 vistas
Auditoría y seguridad informática por Martin Miranda
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
Martin Miranda597 vistas
Sistemas de gestión de seguridad de la información por Celia Rivera
Sistemas de gestión de seguridad de la informaciónSistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
Celia Rivera162 vistas
Tarea SIA 17.05.2012 por Camilo Esteban
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
Camilo Esteban207 vistas
Sistemas de gestión de seguridad de la información yarleny perez_20102006282 por yar_mal
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
yar_mal238 vistas
Nancyauditoria por kicwua
NancyauditoriaNancyauditoria
Nancyauditoria
kicwua371 vistas

Más de santosperez

Ensayo Santos Perez Roberto Carlos. por
Ensayo Santos Perez Roberto Carlos.Ensayo Santos Perez Roberto Carlos.
Ensayo Santos Perez Roberto Carlos.santosperez
3.5K vistas9 diapositivas
Ley Sarbanes Oxley por
Ley Sarbanes OxleyLey Sarbanes Oxley
Ley Sarbanes Oxleysantosperez
1.1K vistas19 diapositivas
Ley Sarbanes Oxley por
Ley Sarbanes OxleyLey Sarbanes Oxley
Ley Sarbanes Oxleysantosperez
14.9K vistas19 diapositivas
Araiza Inn Es por
Araiza Inn EsAraiza Inn Es
Araiza Inn Essantosperez
1.3K vistas3 diapositivas
Expocision Cap. 8 Outsourcing por
Expocision Cap. 8 OutsourcingExpocision Cap. 8 Outsourcing
Expocision Cap. 8 Outsourcingsantosperez
448 vistas20 diapositivas
Propuesta Estrategia TecnolóGica Para PequeñA Empresa por
Propuesta Estrategia TecnolóGica Para PequeñA EmpresaPropuesta Estrategia TecnolóGica Para PequeñA Empresa
Propuesta Estrategia TecnolóGica Para PequeñA Empresasantosperez
1.9K vistas1 diapositiva

Más de santosperez(8)

Ensayo Santos Perez Roberto Carlos. por santosperez
Ensayo Santos Perez Roberto Carlos.Ensayo Santos Perez Roberto Carlos.
Ensayo Santos Perez Roberto Carlos.
santosperez3.5K vistas
Ley Sarbanes Oxley por santosperez
Ley Sarbanes OxleyLey Sarbanes Oxley
Ley Sarbanes Oxley
santosperez1.1K vistas
Ley Sarbanes Oxley por santosperez
Ley Sarbanes OxleyLey Sarbanes Oxley
Ley Sarbanes Oxley
santosperez14.9K vistas
Araiza Inn Es por santosperez
Araiza Inn EsAraiza Inn Es
Araiza Inn Es
santosperez1.3K vistas
Expocision Cap. 8 Outsourcing por santosperez
Expocision Cap. 8 OutsourcingExpocision Cap. 8 Outsourcing
Expocision Cap. 8 Outsourcing
santosperez448 vistas
Propuesta Estrategia TecnolóGica Para PequeñA Empresa por santosperez
Propuesta Estrategia TecnolóGica Para PequeñA EmpresaPropuesta Estrategia TecnolóGica Para PequeñA Empresa
Propuesta Estrategia TecnolóGica Para PequeñA Empresa
santosperez1.9K vistas
Caso De Estrategia Tecnologica por santosperez
Caso De Estrategia TecnologicaCaso De Estrategia Tecnologica
Caso De Estrategia Tecnologica
santosperez356 vistas
ReseñA, Evolucion De La Informacion por santosperez
ReseñA, Evolucion De La InformacionReseñA, Evolucion De La Informacion
ReseñA, Evolucion De La Informacion
santosperez1.2K vistas

Último

Mapa conceptual 2.pptx por
Mapa conceptual 2.pptxMapa conceptual 2.pptx
Mapa conceptual 2.pptxJosvilAngel
7 vistas2 diapositivas
Los recursos preventivos en la construcción: una reforma necesaria por
Los recursos preventivos en la construcción: una reforma necesariaLos recursos preventivos en la construcción: una reforma necesaria
Los recursos preventivos en la construcción: una reforma necesariaPrevencionar
229 vistas20 diapositivas
Obligaciones en Prevención de Riesgos Laborales ¿existen límites? por
Obligaciones en Prevención de Riesgos Laborales ¿existen límites?Obligaciones en Prevención de Riesgos Laborales ¿existen límites?
Obligaciones en Prevención de Riesgos Laborales ¿existen límites?Prevencionar
172 vistas10 diapositivas
Coordinación de Seguridad y Salud: ¿hipocresía o realidad?Coordinación de Seg... por
Coordinación de Seguridad y Salud: ¿hipocresía o realidad?Coordinación de Seg...Coordinación de Seguridad y Salud: ¿hipocresía o realidad?Coordinación de Seg...
Coordinación de Seguridad y Salud: ¿hipocresía o realidad?Coordinación de Seg...Prevencionar
424 vistas12 diapositivas
Servicio de préstamos de exoesqueletos. GADGET VS TMEs por
Servicio de préstamos de exoesqueletos. GADGET VS TMEsServicio de préstamos de exoesqueletos. GADGET VS TMEs
Servicio de préstamos de exoesqueletos. GADGET VS TMEsPrevencionar
134 vistas1 diapositiva
La comunicación como una herramienta de prevención por
La comunicación como una herramienta de prevenciónLa comunicación como una herramienta de prevención
La comunicación como una herramienta de prevenciónPrevencionar
158 vistas125 diapositivas

Último(20)

Mapa conceptual 2.pptx por JosvilAngel
Mapa conceptual 2.pptxMapa conceptual 2.pptx
Mapa conceptual 2.pptx
JosvilAngel7 vistas
Los recursos preventivos en la construcción: una reforma necesaria por Prevencionar
Los recursos preventivos en la construcción: una reforma necesariaLos recursos preventivos en la construcción: una reforma necesaria
Los recursos preventivos en la construcción: una reforma necesaria
Prevencionar229 vistas
Obligaciones en Prevención de Riesgos Laborales ¿existen límites? por Prevencionar
Obligaciones en Prevención de Riesgos Laborales ¿existen límites?Obligaciones en Prevención de Riesgos Laborales ¿existen límites?
Obligaciones en Prevención de Riesgos Laborales ¿existen límites?
Prevencionar172 vistas
Coordinación de Seguridad y Salud: ¿hipocresía o realidad?Coordinación de Seg... por Prevencionar
Coordinación de Seguridad y Salud: ¿hipocresía o realidad?Coordinación de Seg...Coordinación de Seguridad y Salud: ¿hipocresía o realidad?Coordinación de Seg...
Coordinación de Seguridad y Salud: ¿hipocresía o realidad?Coordinación de Seg...
Prevencionar424 vistas
Servicio de préstamos de exoesqueletos. GADGET VS TMEs por Prevencionar
Servicio de préstamos de exoesqueletos. GADGET VS TMEsServicio de préstamos de exoesqueletos. GADGET VS TMEs
Servicio de préstamos de exoesqueletos. GADGET VS TMEs
Prevencionar134 vistas
La comunicación como una herramienta de prevención por Prevencionar
La comunicación como una herramienta de prevenciónLa comunicación como una herramienta de prevención
La comunicación como una herramienta de prevención
Prevencionar158 vistas
INTRODUCCION A LA GESTION DE OPERACIONES.pptx por MERILLER LUCELI GALLARDO URTEAGA
INTRODUCCION A LA GESTION DE OPERACIONES.pptxINTRODUCCION A LA GESTION DE OPERACIONES.pptx
INTRODUCCION A LA GESTION DE OPERACIONES.pptx
MERILLER LUCELI GALLARDO URTEAGA7 vistas
Recepcion de documentos.pdf por ElizabethTapullimaAl
Recepcion de documentos.pdfRecepcion de documentos.pdf
Recepcion de documentos.pdf
ElizabethTapullimaAl6 vistas
Influencia del trabajo colaborativo con uno o dos cobots en el estrés laboral por Prevencionar
Influencia del trabajo colaborativo con uno o dos cobots en el estrés laboralInfluencia del trabajo colaborativo con uno o dos cobots en el estrés laboral
Influencia del trabajo colaborativo con uno o dos cobots en el estrés laboral
Prevencionar148 vistas
Catalogo Diciembre TWC por DesiPrieu
Catalogo Diciembre TWCCatalogo Diciembre TWC
Catalogo Diciembre TWC
DesiPrieu51 vistas
Metodología y contenido para implantar un plan de prevención y gestión de aus... por Prevencionar
Metodología y contenido para implantar un plan de prevención y gestión de aus...Metodología y contenido para implantar un plan de prevención y gestión de aus...
Metodología y contenido para implantar un plan de prevención y gestión de aus...
Prevencionar141 vistas
Estilos de afrontamiento y sintomatología ansioso-depresiva en estudiantes un... por Prevencionar
Estilos de afrontamiento y sintomatología ansioso-depresiva en estudiantes un...Estilos de afrontamiento y sintomatología ansioso-depresiva en estudiantes un...
Estilos de afrontamiento y sintomatología ansioso-depresiva en estudiantes un...
Prevencionar58 vistas
Criptomonedas LIBRO.pdf por finanzashotelestibis
Criptomonedas LIBRO.pdfCriptomonedas LIBRO.pdf
Criptomonedas LIBRO.pdf
finanzashotelestibis5 vistas
El análisis biomecánico de la voz como una herramienta en el abordaje de la p... por Prevencionar
El análisis biomecánico de la voz como una herramienta en el abordaje de la p...El análisis biomecánico de la voz como una herramienta en el abordaje de la p...
El análisis biomecánico de la voz como una herramienta en el abordaje de la p...
Prevencionar198 vistas
Nueva cotización RETA 2024.pptx por Isabel Blanco Labajos
Nueva cotización RETA 2024.pptxNueva cotización RETA 2024.pptx
Nueva cotización RETA 2024.pptx
Isabel Blanco Labajos188 vistas
IDENTIDAD DEL NEGOCIO.pptx por Giovanna Beatriz Gederlini Ramírez
IDENTIDAD DEL NEGOCIO.pptxIDENTIDAD DEL NEGOCIO.pptx
IDENTIDAD DEL NEGOCIO.pptx
Giovanna Beatriz Gederlini Ramírez5 vistas
10 años de resúmenes normativos y jurisprudenciales en PRL por Prevencionar
10 años de resúmenes normativos y jurisprudenciales en PRL10 años de resúmenes normativos y jurisprudenciales en PRL
10 años de resúmenes normativos y jurisprudenciales en PRL
Prevencionar1K vistas
Diferencias de género en los niveles de ansiedad tras la organización e imple... por Prevencionar
Diferencias de género en los niveles de ansiedad tras la organización e imple...Diferencias de género en los niveles de ansiedad tras la organización e imple...
Diferencias de género en los niveles de ansiedad tras la organización e imple...
Prevencionar58 vistas
Revista La Verdad - Edición Noviembre 2023 por larevista
Revista La Verdad - Edición Noviembre 2023Revista La Verdad - Edición Noviembre 2023
Revista La Verdad - Edición Noviembre 2023
larevista14 vistas
Evaluación de la variación de la onda de la mucosa según el tono de fonación ... por Prevencionar
Evaluación de la variación de la onda de la mucosa según el tono de fonación ...Evaluación de la variación de la onda de la mucosa según el tono de fonación ...
Evaluación de la variación de la onda de la mucosa según el tono de fonación ...
Prevencionar104 vistas

Resumenes Cap. Gobierno De Las Tsi

  • 1. Facultad de administración Administración de la Tecnología de Información. PROF. Dr. Carlos Arturo Torres Gastelú Resumen Capítulos Libro Gobiernos de las TSI Capítulos 10-17 Alumno: Santos Pérez Roberto Carlos Sistemas Computacionales Administrativos Veracruz, ver. a 09 Noviembre del 2009
  • 2. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 10. PANORAMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TECNOLOGIAS DE INFORMACION. Las normas son especificaciones tecnicas, de carácter voluntario, concensuadas, elaboradas con la participacion de las partes interesadas (fabricantes, usuarios y consumidores , laboratorios, administracion, centros de investigacion, etc.) y aprobadas por un organismo reconocido. La normalización contribuye a simplificar y a incrementar la fiabilidad y eficiencia de los bienes y servicios que utilizamos, así como a mejorar el bienestar de la sociedad y redunda en el beneficio común. Las normas son por tanto documentos de aplicación voluntaria, elaborados por las partes interesadas, por consenso y aprobados por un organismo reconocido. En el ámbito internacional ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) tienen por objeto favorecer el desarrollo de la normalización en el mundo, con vistas a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos países. • Órganos de trabajo técnicos de ISO: • Comités técnicos (CT) • Subcomités (SC) • Grupos de Trabajo (GT) • Documentos: o Norma internacional (ISO/IEC) o Informe técnico (TR) El subcomité SC27 se enmarca en la concepción de la seguridad de las tecnologías de la información como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la información. Se estructura en cinco grupos de trabajo: 1. GT1-requisitos, servicios de seguridad y guías, 2. GT2-mecanismos y técnicas de seguridad, 3. GT3-criterios de evaluación de la seguridad, 4. GT4-servicios y controles de seguridad y 5. GT5-gestion de identidad y privacidad. Gestión de la seguridad de la información.- normas relativas a la gestión de la seguridad de la información, dar cobertura a áreas como sistemas de gestión de la seguridad de la información, análisis y gestión de riesgos, controles y salvaguardas, métricas otros aspectos. Técnicas y mecanismo.- destacan en este ámbito las técnicas y mecanismos criptográficos que tienen un protagonismo singular y creciente en la garantía de dimensiones de la seguridad tales como la confidencialidad, la integridad y la autenticación. Santos Pérez Roberto Carlos
  • 3. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 11. NORMA ISO 27001 GESTION DE LA SEGURIDAD. Normas producidas por organismos oficiales agrupan las siguientes características: Especificaciones técnicas basadas en la experiencia y en el desarrollo tecnológico, voluntarias, accesibles al público, tanto durante su elaboración, pues se producen en órganos de trabajo abiertos a la industria, como después, pasan por un periodo de información pública durante el cual cualquier persona puede presentar alegaciones o comentarios a su contenido. Origen de ISO/IEC 27001: o No existió a nivel internacional una norma que complemente al código de buenas prácticas a través de las especificaciones de los sistemas de gestión de seguridad de la información. o Coexistieron la norma inglesa BS 7799-2 y la norma española UNE 71502. Se propone el modelo internacionalmente aceptado PDCA. o En el 2004 ya iniciado el MODELO 27000. o Se publica la norma ISO/IEC 27001 referente internacional para los “Sistemas de gestión de la seguridad de la información”. Establecimiento y gestión del SGSI Alcance del sistema de gestión, Definir política del SGSI y la metodología para la valoración del riesgo, identificación de los riesgos, hacer un análisis y evaluación de dichos riesgos, identificación de los diferentes tratamientos del riesgo y selección de los controles. Implantación y puesta en marcha del SGSI Preparar un plan de tratamiento del riesgo, medir la eficacia de los controles, obtener resultados comparables y reproducibles, crear programas de formación y concienciación en todas las acciones para el personal de la organización y se posibilitaran la cultura de la seguridad. Control y evaluación del SGSI Implantar procedimientos para el control y la revisión de lo hecho hasta ahora y derivara la eficacia del SGSI a partir de las auditorias de seguridad y las mediciones para verificar que se estén cumpliendo los requisitos de seguridad. Se descubren los defectos y mejoras para lo que se tomaran las medidas correctivas y preventivas. Debe estar sustentado por un procedimiento documentado. Santos Pérez Roberto Carlos
  • 4. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 12. LAS METRICAS DE SEGURIDAD DE LA INFORMACION. El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información, que supone un ámbito de actuación diferente al de las infraestructuras, aplicativa y sistemas o procesos que la soportan. Tal vez este matiz nos podría ayudar a diferencias ambas figuras y a centrar el objeto de este capítulo. Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. Y demostrar objetivamente la eficacia y eficiencia de los controles de seguridad. La norma 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permita recoger, analizar y comunicar dato relacionados con procesos SGSI. Los objetivos del proceso de medida son, por tanto: Evaluar la eficacia de la implantación de los controles de seguridad, del sistema de gestión de seguridad de la información incluyendo la mejora continua, proporcionar un estado de seguridad para dirigir la revisión de la gestión. Facilitar las mejoras de la seguridad y contribuir a auditoria de seguridad., comunicar el valor de la seguridad a la organización y servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos. Tipos de medidas: La norma pone la categorización: derivada, base (dentro de ésta cumplimiento y rendimiento). Para medir es necesario un método específico de medición para cada entidad o combinación critica de atributos con la finalidad de extraer la información que puede utilizarse como base para el cálculo de medidas. Puede implicar actividades como contar el numero de acontecimientos u observar el paso del tiempo. Una medida valida habrá de cumplir con los criterios: Estratégica, cuantitativa, razonable, interpretativa, verificable, evolutiva, útil, indivisible y bien definida y repetible. Los indicadores se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de la información de la organización. Santos Pérez Roberto Carlos
  • 5. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 13. NORMA ISO 17799. CODIGO DE BUENAS PRÁCTICAS PARA LOS SGSI Sistema de Gestión de Seguridad de la Información (SGSI) es una estructura organizativa, técnica y procedimental que persigue la seguridad de la información a través de un ciclo de análisis de la situación, aplicación de controles, revisión del funcionamiento y la aplicación permanente de mejoras o correcciones. Es lo que comúnmente se conoce como el ciclo PDCA aplicando a la seguridad de la información, que permite adaptarse a los cambios en la organización y la mejora continua. Los SGSI utilizan la norma ISO 17799:2005 como herramienta para conseguir la seguridad definida en la empresa, pero no es en sí misma una norma certificable. Simplemente presenta qué áreas debe contemplar la empresa respecto a la seguridad y propone controles para conseguir los objetivos de la seguridad de cada una de estas áreas. ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. Sin embargo, puesto que implantar estos controles significa una inversión, no serán recomendaciones arbitrarias. Surge de la necesidad de las empresas de garantizar el funcionamiento seguro de los Sistemas de Información garantizando la confidencialidad integridad y disponibilidad de la información. La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y cualquier país. El análisis de riesgos debe detallar los activos necesarios para que el sistema de información de la empresa opere correctamente y detectar cuales amenazas puede alterar su buen funcionamiento. Es conveniente familiarizase con la estructura de la norma para manejarla de la forma más ágil posible. Esta organiza doce secciones la primera es el análisis de riesgos, seguidamente las políticas de seguridad, cuatro secciones enfocadas a definir las medidas organizativas de la empresa que apoyen la seguridad, las siguientes se ocupan de aspectos tales como la seguridad de las comunicaciones, operaciones, acceso lógico y gestión adecuada de hardware y software por ultimo la norma contempla la necesidad de gestionar adecuadamente medidas que aseguren el cumplimiento legal, regulatorio y contractual. Norma ISO 17799:2005: análisis y gestión de riesgos, política de seguridad, organización de la seguridad, gestión de activo, recursos humanos, seguridad física, gestión de comunicaciones y operaciones, control acceso, compra, desarrollo y mantenimiento de sistemas, gestión de incidentes de seguridad, gestión de la continuidad de negocio, conformidad legal. Santos Pérez Roberto Carlos
  • 6. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 14. COSO El control interno es un proceso, ejercicio por el consejo de administración de la entidad, los gestores y otro personal de la organización, diseño para proporcionar seguridad razonable respecto a la consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento con leyes y regulaciones COSO establece un conjunto de estos componentes: Ambiente interno Establecimiento de objetivos Identificación de eventos Evaluación de riesgo Respuesta al riesgo Actividades de control Información y comunicación. Supervisión. Existe una tercera dimensión al ámbito de aplicación: Entidad: relativo a una organización concreta en su conjunto siendo el más alto nivel. División: conjunto de actividades relacionadas como negocios, líneas de producto. Unidad: considerado unitario en la organización empresarial encargado de un función, producto o misión concreta. Subsidiaria: organización dependiente de la organización principal. Esta separación cobra especial importancia en el reporte financiero. Responsabilidades y uso de coso: Consejo de administración. Gestores. Otro personal. Auditores internos. Promete mejoras: Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión. Amplia las decisiones de respuesta al riesgo. Identifica y gestiona riesgo en los distintos niveles de la entidad. Proporciona respuestas integradas a los múltiples riesgos. Mejora los sistemas de reporte. Ayuda asegurar el cumplimiento con leyes y reglamentos. Santos Pérez Roberto Carlos
  • 7. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 15. COBIT 4. COBIT.- Control Objectives for Information and Related Technology, es un conjunto estructurado de buenas prácticas y metodologías para su aplicación, cuyo objetivo es facilitar el gobierno de las TSI. Proporcionando un marco de referencia que asegure que: Las TSI están alineadas con el negocio. Las TSI posibilitan la realización de la actividad de negocio al mismo tiempo que contribuyen a la maximización de los beneficios. Los recursos de las TSI (humanos y técnicos) son utilizados de forma responsable. Los riesgos de las TSI son gestionados y dirigidos adecuadamente. Se estructura en 34 objetivos de control de alto nivel, que están agrupados en cuatro dominios de actividades típicas. Santos Pérez Roberto Carlos
  • 8. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. En la implementación practica de COBIT, es necesario seguir un cierto orden: o Análisis y comprensión del contenido de COBIT. o Fundamentación de la utilidad de su implantación y comunicación a la dirección, accionistas y áreas afectadas. o Definir el valor que su implantación aportara. o Análisis y evaluación del riesgo. Las implantaciones de COBIT están realizando de forma exitosa complementariamente con: o ITIL o ISO 27001 Es probablemente un modelo o herramienta un conjunto de buenas prácticas. Ninguna norma debe elevarse al pedestal de “verdad incontestable”. Santos Pérez Roberto Carlos
  • 9. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 16. ITIL Information Technology Infrastructure Library; (Biblioteca para la Infraestructura de las Tecnologías de la Información TSI). Fue desarrollada por la Agencia Central de Computación y Telecomunicaciones (CCTA), de Gran Bretaña. Consta de un conjunto de libros publicados que permiten mejorar la calidad de los servicios de TSI que presta una organización a sus clientes. Cada uno de los libros: o Soporte de servicio o Provisión de servicio o Gestión de seguridad o Perspectiva de negocio o Planificación para la implementación de los servicios de gestión. o Gestión de aplicaciones o Gestión de la infraestructura TSI o Diseño y planificación o Despliegue o Operaciones o Soporte técnico ITIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organización TSI. Sin embargo, ITIL no brinda una descripción específica de la forma en la que se deben implementar estas actividades. Gestión de servicios: soporte de servicio, gestión del incidente, gestión del problema, gestión de configuración, gestión del cambio, gestión de la entrega. Gestión de nivel de servicio, gestión financiera de servicios, gestión de la capacidad, gestión de la disponibilidad. Ventajas de ITIL para el cliente/usuario: la provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en lenguaje más cómodo para el cliente. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto. Ventajas para la organización: desarrolla una estructura más clara. La dirección tiene más control y los cambios resultan más fáciles de manejar. Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada la externalización de algunos de los elementos de los servicios. Beneficios al negocio: calidad mejorada global de las operaciones del negocio, al asegurar que los procesos de TSI son la base de los procesos del negocio. Soporte del negocio más fiable por gestión de incidencia, gestión del cambio y centro de servicio. Incremento en la productividad del negocio y de la plantilla del cliente debido a que los servicios de TSI son más fiables y están disponibles. Beneficios financieros: infraestructura de TSI y servicios de TSI justificados en costes. Santos Pérez Roberto Carlos
  • 10. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información. CAPITULO 17. SARBANES-OXLEY Exige básicamente la existencia de un sistema de control interno sobre la información de manera tal que cualquiera actividad dentro del desarrollo de los diferentes procesos de negocio de la empresa tuviera una ejecución no adecuado a las practicas formales y controladas de la empresa, este evento pudiera ser detectado corregido de forma tal que garantice que el reporte financiero de la compañía responde a un proceso formalmente aprobado y adecuadamente supervisado. El objetivo principal de la Ley es que mediante el sistema de control interno se pueda dar garantía de validez a la información de estados financieros. Las TSI son herramientas de gestión de información con lo cual la relación de “procesos de TSI-cuentas contables”. Los procesos de TSI son soporte de la gestión de todas las cuentas. Concebir un modelo en el cual se desarrollen como mínimo los siguientes pasos: El modelo SOX representa un esquema d soporte legal para una serie de actividades de control que deberían realizarse no por imperio de una ley, sino por la propia conciencia de control dentro de las organizaciones. Santos Pérez Roberto Carlos