Documente Academic
Documente Profesional
Documente Cultură
PROGRAMA
ASIC
Gobierno de TI
TECNOLOGA DE LA INFORMACIN
Definicin de Gobierno
El conjunto de responsabilidades y practicas, ejercidas por el consejo de direccion y la direccion ejecutiva, con la finalidad de brindar una direccion estrategica, garantizar que se logren los objetivos, determinar que los riesgos se administran de forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad. IT Governance Institute - ITGI
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing
Evolucion
Encargado de Sistemas Soporte solo
a los sistemas
Supervisor/Jefe de Sistemas
Concepto
El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa.
Practica 1
Disene una estructura de Gobierno de TI
(organigrama)
Estructura Organizacional de TI
Como nace?
Los gerente de negocio directores que exigen un mejor rendimiento de las inversiones de TI
La necesidad de cumplir con requerimientos regulatorios (ASFI) La seleccin de proveedores de servicio y la gestin de contratacin. Riesgos cada vez ms complejos relacionadas con TI. La creciente madurez La necesidad de las empresas de valorar su desempeo.
En Bolivia
La gestin o administracin, deber contener a lo menos, las polticas, normas y procedimientos respecto a:
Plan Informtico. Comit de Informtica Comit operativo del rea
Aspectos Bsicos
Alineacin Estratgica.- Vincular planes de negocio y de TI. Entrega de Valor.- Asegurar que TI entrega beneficios prometidos con respecto a la estrategia. Gestin de Recursos.- Inversin optima de recursos crticos. Gestin de Riesgos.- Concientizacin de Riesgos Medicin de desempeo.- seguimiento y monitoreo a la implementacin de la estrategia. (utilizando cuadros de mando integral)
La auditoria est bien posicionada para proveer importantes recomendaciones de practicas a la alta direccin. Implica auditar al ms alto nivel de la organizacin.
Directorio
Es su responsabilidad aprobar polticas y sanciones
Comits
Cada Comit desarrolla una agenda u orden del da y se renen con el qurum y la periodicidad establecida previamente.
El secretario designado ser responsable de dar lectura al acta de anterior reunin y de gestionar su aprobacin
Comits Directivos
La labor de supervisin del Directorio se ejerce a
Comite Directivo de TI
Es una mejor practica de la Industria. Grupo estratgico representado por dos o mas miembros del directorio, incluido el Gerente General. Un comit estratgico de TI, monitorea el valor, los riesgos y el desempeo de TI. Provee informacin al Directorio para respaldar la toma de decisiones relacionado a estrategias de TI.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing
Comits Ejecutivos
Gerencia General establece diferentes comits
internos, con la participacin de gerencias y niveles ejecutivos para considerar aspectos relativos a la administracin, el negocio, al control interno y de riesgos
Comite Ejecutivo de TI
Grupo interno conformado por los Gerentes de la
Analizar, evaluar y establecer lineamientos generales en los asuntos relativos al planeamiento, aplicacin, control y mejoramiento de los sistemas existentes, nuevas tecnologas y recursos informticos. Realizar seguimiento a TI. Efectuar la revisin y seguimiento a informes de Auditorias de las reas de Operaciones y Tecnologa de la Informacin y efectuar el seguimiento a las acciones ejecutadas. Aprobar ajustes y/o mejoras en los procedimientos. Analizar amenazas (modificaciones en normativas, necesidad de incorporar nuevos productos, etc.). Analizar y recomendar presupuestos de elementos tecnolgicos requeridos a incorporar.
Comite Operativo de TI
Comite interno conformado por los departamentos
ValIT
Val IT es un conjunto de documentos que proveen
un marco de trabajo para el gobierno de las inversiones en TI, creado por el ITGI.
Es una declaracin formal de los principios y
Recomendaciones
El Auditor de Sistemas (ASIC) debe prestar total atencin a la importancia de la planeacin estratgica de TI.
Gobierno de SI
SEGURIDAD DE LA INFORMACIN
Antecedentes
La seguridad de la informacin abarca todos los procesos de informacin, tanto fsicos, como electrnicos, independiente de si ellos involucran personas, y tecnologas o relaciones con socios comerciales, clientes o terceros. No es razonable esperar que el personal de nivel mas bajo acate las medidas de seguridad si stas no son ejercidas por la alta direccin.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing
Gobierno de SI
Es un subconjunto de gobierno corporativo, que provee direccin estratgica para las actividades de seguridad y asegura que se logren los objetivos.
Concepto
Gobierno de Seguridad de la Informacin, es el conjunto de responsabilidades y prcticas ejercidas por el grupo directivo, con el objetivo de proveer direccin estratgica, asegurar que los objetivos se alcancen, validar que los riesgos de la informacin sean apropiadamente administrados y verificar que los recursos de la empresa se usen responsablemente.
Como se ejecuta?
Mediante estrategias, politicas y la estructura de Seguridad de la Informacin. Para proteger de forma adecuada los recursos de informacin, se debe elevar el problema a una actividad a nivel de Comit Directivo como con las otras funciones criticas de Gobierno.
Alcance de l gobierno de SI
La SI trata todos los aspectos de la informacion, ya
sea oral, escrita, impresa, electrnica o relegada a cualquier otro medio sin importar si ha sido creada, vista, transportada, almacenada o destruida. La Seguridad de TI solo trata con la seguridad dentro las fronteras del dominio tecnolgico.
Practica 2
Disene una estructura de Gobierno de SI
(organigrama)
Estructura Organizacional de SI
CISO
Todas las empresas tienen un CISO, independiente
de que este funcionario lleve o no el ttulo y an cuando el Alto Directorio no tenga conocimiento.
La responsabilidad legal se extiende por defecto y en
La seguridad de TI se ocupa de la seguridad de la tecnologia y es tipicamente impulsada desde el nivel del Gerente de TI (CIO).
La seguridad de la informacion, se ocupa del universo de riesgos, beneficios y procesos relacionados con la informacin, debe ser impulsada por la Gerencia de Seguridad (CISO), respaldado por el Comite Directivo
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing
OSF y OSL
ACCESOS
OSI
Evala, no implementa.
Riesgo inadmisible.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing
Comit Directivo de SI
Un gobierno efectivo de SI se puede lograr slo
mediante la participacin del Comit directivo o de la alta direccin en la aprobacin de la poltica, monitoreo y mtricas apropiadas.
El Comit de SI debe delegar al Gerente de SI La Seguridad afecta todos los procesos de una
organizacin. Para ser efectiva, la seguridad debe ser penetrante en toda la empresa.
IIsrael Rosales Marco CISA, CEH, CSSH, ASIC, CCFP, Ing
Polticas
Documentos de Alto nivel que representan la filosofa corporativa:
Poltica de Seguridad de la Informacin
Es el primer paso hacia la construccin de una infraestructura de seguridad. Esta formado por un conjunto de polticas:
Politica de seguridad de la informacion de alto nivel Politica de clasificacion de datos Politica de uso aceptable Politica de computacion para el usuario final Politicas de control de acceso
Modelo de Madurez
0: Inexistente no hay reconocimiento de necesidad de seguridad 1: Provisional - No hay procesos formales 2: Repetible Entendimiento emergente del riesgo 3: Proceso definido Conciencia sobre la seguridad en toda la empresa
Pregunta Tipo
El propsito del gobierno de TI es en ultima instancia:
A. Alentar el uso ptimo de TI. B. Reducir los costos de TI.
Pregunta Tipo
La participacion de la alta gerencia es MAS importante en el desarrollo de:
A. Planes estratgicos B. Polticas de SI. C. Procedimientos de SI D. Normas y lineamientos