tesis de grado cobit

8/14/2019 Tesis de Grado Cobit

1/123


2/123

Diseo de Sistema de Gestin de Seguridad de Informacin

2/123

1. OBJETIVO

El objetivo de nuestra tesis es el Diseo de un Sistema de Gestin de Seguridad de laInformacin para la empresa ECUACOLOR, basado en el anlisis de la empresa y el

conocimiento adquirido durante el Diplomado de Auditora Informtica

Un segundo objetivo es contribuir para que las empresas ecuatorianas tomen concienciade la necesidad de implementar Sistemas de Seguridad, como una herramienta queayudar a cumplir con las metas y objetivos de la empresas, ayudndoles en la gestindel negocio y ser ms competitivas en el mercado.


3/123


3/123

2. INTRODUCCIN

A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientasms poderosas para materializar uno de los conceptos ms vitales y necesarios paracualquier organizacin empresarial, Los Sistemas de Informacin de la empresa.

La Informtica hoy, es la base en la gestin integral de la empresa, y por eso las normasy estndares propiamente informticos deben estar, por lo tanto, sometidos a controles.Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma dedecisiones, pero no decide por s misma. Por ende, debido a su importancia en elfuncionamiento de una empresa, se hace necesario un Sistema de Gestin de Seguridadde Informacin.

La informacin en la empresa es uno de los mas importantes activos que posee. Lasorganizaciones tienen que desarrollar mecanismos que les permitan asegurar ladisponibilidad, integridad y confidencialidad en el manejo de la informacin. Lainformacin est sujeta a muchas amenazas tanto de ndole externa como externa.

Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas deResultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al controlcorrespondiente, o al menos debera estarlo.

La importancia de llevar un control de los recursos de los Sistemas de Tecnologa deInformacin se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancosapetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo.Los hackers que son expertos en Ingeniera Social consiguiendo personas dedentro de la compaa para sacarles contraseas y claves de invitados.Las computadoras creadas para procesar y difundir resultados o informacinelaborada pueden producir resultados o informacin errnea si dichos datos son, asu vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresasque terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a susSistemas Informticos, con la posibilidad de que se provoque un efecto cascada yafecte a Aplicaciones independientes.Un Sistema Informtico mal diseado puede convertirse en una herramienta harto

peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenesrecibidas y la modelizacin de la empresa est determinada por las computadorasque materializan los Sistemas de Informacin, la gestin y la organizacin de laempresa no puede depender de un Software y Hardware mal diseados.

Estos son solo algunos de los varios inconvenientes que puede presentar un SistemaInformtico, por eso, la necesidad de un Sistema de Gestin de Seguridad deInformacin..

Nuestro Proyecto de Diseo de un Sistema de Gestin de seguridad de Informacin SGSIincluye 9 captulos y 8 anexos.


4/123


4/123

El captulo 1, define el objetivo de nuestra tesis, El diseo de un sistema de Gestin deSeguridad de Informacin para la empresa ECUACOLOR.

El captulo 2, es una Introduccin sobre la necesidad de implementar en las empresas unSGSI, para el control y proteccin de los recursos de Tecnologa de Informacin.

El captulo 3, es el levantamiento de informacin para el Entendimiento del Negocio, elMarco Operativo y la Tecnologa de Informacin que utiliza ECUACOLOR para eldesarrollo de sus operaciones.

El Captulo 4, es una breve explicacin de la herramienta utilizada COBIT, consideradacomo una de las mejores prcticas para la administracin, control, auditora y manejo delas seguridades de Tecnologa de Informacin.

El captulo 5, establece la metodologa utilizado para el desarrollo de nuestra tesis degraduacin.

El capitulo 6, establece el modelo de Madurez de los 7 procesos del modelo COBITsobre requerimientos de Seguridad (confidencialidad, integridad y disponibilidad), es lasituacin actual de la empresa y haca donde quiere llegar.

El captulo 7, constituye el trabajo de investigacin de los 105 objetivos de Control enECUACOLOR, estableciendo el nivel de riesgo actual (AltoMedioBajo).

El captulo 8, es el Plan de Accin con los Controles recomendados para la mitigacinde los Riesgos cuales.

El captulo 9, establece los Beneficios que tendra la empresa al implementar un Sistemade Gestin de Seguridad de Informacin.

Y Finalmente tenemos 8 Anexos, Glosario de trminos: Mapa General de Procesos,Organigrama de la Empresa, Organigrama de Sistemas, Proceso de Ventas aDistribuidores y el Proceso de Ventas en Retail..Las Polticas Bsica de Seguridad de la Informacin, que es lo mnimo que deberaimplementar la empresa.

Como valor agregado hemos incluido los Factores Crticos de xito (FCE) y losIndicadores claves de Desempeo , que constituyen herramientas adicionales parallegar a cumplir con xito la gestin empresarial.


5/123


5/123

3 ENTENDIMIENTO DEL NEGOCIO

3. 1 INFORMACIN INSTITUCIONAL

Resea His tr ic a

Laboratorios Fotogrficos Ecuacolor es una empresa que naci en la ciudad de Quitohace 35 aos gracias a la iniciativa y visin de los seores Luis Orrantia G. y EnriqueMartinez Q., Presidente y Gerente General de Comandato de aquel entonces, quienesdecidieron crear una empresa dedicada a la venta y procesamiento de las pelculas en

blanco y negro, bajo la razn social de Ecuacolor Laboratorios Fotogrficos.

Desde el ao 1966, los laboratorios fueron ampliando sus servicios bajo la supervisinde Galo Vinueza, viejo amante de la fotografa y uno de los artfices del desarrollofotogrfico del Ecuador.

En 1975 Ecuacolor ya contaba con un moderno laboratorio de revelado a color enQuito, que fue viendo superada su capacidad de produccin por la creciente demanda,

por lo que se decidi abrir un nuevo laboratorio. En Marzo de 1976, bajo la supervisindel Ing. Antonio Tobar C., se inauguro uno de los mas modernos laboratorios centralesde Sud Amrica en la ciudad de Guayaquil.

Pocos aos despus, se inicio a la apertura de punto de revelado satelitales, equipadoscon mini laboratorios que ofrecan el servicio de revelado en pocas horas. Hoy se cuentacon 106 mini laboratorios instalados en las principales ciudades del pas, atendiendodirectamente a sus clientes locales, ofrecindoles productos e innumerables servicios

fotogrficos y digitales de primersima calidad.

Ecuacolor se dedica en la actualidad a la captura, reproduccin, conservacin ycomunicacin de imgenes que son los mas preciados recuerdos y sentimientos del serhumano.

Gracias a la utilizacin de tecnologa de punta a la experiencia de su recurso humano ya la capacitacin continua, ha logrado colocarse como lder en la comercializacin ydistribucin de productos y servicios fotogrficos.

Sus mas de 500 colaboradores son el fundamento de la empresa y con orientacin total

hacia la excelencia que les permite dar un eficiente servicio a todos sus clientes en elpas.


6/123


6/123

MISION

Lograr la satisfaccin de las necesidades de los clientes y usuarios, mediante laentrega de Excelencia en la Calidad de Productos y Servicios dentro de la industriade imgenes.

Nuestro compromiso con nuestros colaboradores es proveerlos de oportunidadespara su desarrollo y crecimiento, remunerndolos mejor que el mercado en base aresultados, e incrementando su patrimonio y bienestar a largo plazo, creando enellos un recurso valioso.

Nuestro compromiso con nuestros socios comerciales es el de proveerlos de unaplataforma para sus desarrollo sostenido, mediante nuestro crecimiento en ventas yrentabilidad.

Nuestra responsabilidad con la sociedad y las comunidades en las que operamos , esla de contribuir a su progreso y expectativas para el futuro, y prestar nuestro apoyopara eventos deportivos, culturales y de entretenimiento, que lleven felicidad a susvidas.

Entregar a los accionistas el mayor rendimiento a su inversin.

VISION

Ser la empresa de mayor rentabilidad dentro de la industria de imgenes del pas, con

personal altamente calificado, motivado y profesional; sirviendo en cada rea de laempresa y el mercado; con una participacin de mercado no menor al 70%.

VALORES

El cliente es primero.Honestidad y lealtad que asegure la integridad de la empresa.Capacidad para enfrentar cambios y adaptarnos a nuevas situaciones.Educacin y aprendizaje constante para lograr la superacin personal y profesional.

Tenacidad y perseverancia para alcanzar nuestros objetivos.Reconocimiento pblico y remuneracin econmica ante el buen desempeo.Comunicacin abierta para promover el trabajo en equipo.Innovacin constante, iniciativa y creatividad para lograr productividad y eficiencia.Respeto a las personas, a la sociedad y al medio ambiente.


7/123


7/123

PANORAMA ACTUAL

Ecuacolor es una marca reconocida, posee una presencia bastante fuerte en el mercadofotogrfico a nivel nacional, con ms de 100 fototiendas. Ha llegado a poseer el 70% de

participacin del mercado.

Es parte de un grupo econmico conformado por Comandato, OndaPositiva,TecniPrint.Mucha de la infraestructura tecnolgica es compartida por el Grupo Corporativo.Existen Niveles Gerenciales que cumplen sus funciones de manera Corporativo.

El mercado fotogrfico en el Ecuador esta cambiando, el cambio se esta dando hacia elrevelado digital, lo que motiva que el mercado de revelado tradicional se veadisminuido, afectando a los ingresos de la institucin.

Para contrarrestar este efecto, la institucin ha diseado nuevas estrategias ydesarrollado nuevas lneas de negocio.

Entre las estrategias de mas alto impacto estn:

Venta a Crdito, lo que debe incrementar la venta de Cmaras Digitales y otrosproductos de la lnea Profesional.Se ha logrado obtener la representacin exclusiva de los productos Maxell entodo el territorio nacional, de tal manera que se diversifican los ingresos quetiene la institucin actualmente.Promociones para impulsar el revelado digital.

Alianzas estratgicas con empresas nacionales para promociones cruzadas.Adquisicin de Equipos de revelado digital PictureMaker.

Para lograr alcanzar los objetivos estratgicos definidos existen adquisiciones detecnologa que tienen una incidencia directa en el plan estratgicos de negocio.

Adquisicin de nuevo sistema de punto de ventas que cumpla los requerimientosde ley acorde a las necesidades y expectativas del negocio.Implementacin de interconexin entre las principales tiendas a nivel nacionalcon la casa matriz.

Administracin de la tecnologa actual que soporta los procesos del negocio.Siendo este ultimo uno de los pilares fundamentales en la consecucin de lasmetas trazadas por la organizacin.

Los costos de estos proyectos son bastante significativos dentro de los resultados de laempresa, por eso razn la evaluacin y adquisicin de la tecnologa antes mencionadadebe ser llevada a cabo de la mejor manera posible.


8/123


8/123

PRODUCTOS CLAVES

Cmaras digitales (KODAK, PANASONIC, NIKON)Rollos fotogrficos (KODAK)PilasAccesorios para cmaras y productos relacionados.

SERVICIOS CLAVES

Revelado fotogrfico.Ampliaciones.Montajes.Retoques

Copias.

LINEAS DE NEGOCIO

Distribucin.- Se encarga de la venta de mercadera y revelado al por mayor. Losdistribuidores tienen lneas de crdito, descuentos, y promociones especiales.

Fototiendas.- Se encarga de la venta de mercadera al por menor y el reveladofotogrficos.

CLIENTES

Fotgrafos.- Clientes que se dedican a la fotografa profesional, tienen descuentos ypromociones especiales.

Distribuidores.- Clientes que estn autorizados a vender mercadera, recibir trabajos derevelados y a facturarlos.

Aficionados.- Cliente que no se dedica a la fotografa como actividad profesional.

MERCADO.-

Ecuacolor esta enfocado en 2 segmentos, la venta a travs de su cadena de retail y laventa a distribuidores.

Los principales competidores de Ecuacolor en el segmento de retail, son Konica, Fuji,Fybeca, otros quedan servicio de revelado. En lo que respecta a la distribucin deKodak y Maxell, es la misma que la de la marca a nivel internacional.


9/123


9/123

Actualmente la marca Ecuacolor esta catalogada como la numero uno en cuanto alrevelado fotogrfico y apunta a mantener esta posicin. Ecuacolor siempre esta

buscando la manera de incrementar su volumen de ventas, lanzando promociones. Sinembargo las ventas estn disminuyendo debido a cambios que estn surgiendo en elrevelado tradicional, siendo esta la principal fuente de sus ingresos.

MARKETING Y PROMOCIONES.-

Constantemente se estn lanzando promociones apuntando:

Incrementar el revelado digital.Mantener el revelado tradicional.Incrementar la venta de productos KODAK y MAXELL.

Actualmente se han adquirido Impresoras Termales, Digitales, y equipos PICTUREMaker con el afn de soportar las diferentes promociones que son lanzadasconsecutivamente.

ORGANIGRAMA DE LA EMPRESA.

Ver anexo A3.

Tecnologa de Info rm acin .-

Existe un departamento de sistemas en Quito y Guayaquil, parte de los servicios detecnologa son provisto por el centro de computo de Comandato(Empresa del Grupo).

Entre los servicios tecnolgicos que son provisto por el centro de computo deComandato tenemos:

Correo Interno.Acceso al Internet.

Interconexin a travs de micro-ondas con antenas de punto de vista en lasfototiendas que estn dentro de un almacn Comandato.Administracin y soporte especializado de la red corporativa y base de datos.

Existe un Gerente de Sistemas que es corporativo, los Jefes del Dpto. de Informtica deQuito y Guayaquil estn subordinados a la Gerencia de Sistemas corporativas.


10/123


10/123

3.2 MARCO OPERATIVO.-

VENTAS, TRMINOS Y DESCUENTOS.

La mercadera es recibida en las bodegas principales de Guayaquil, y de estadistribuida al resto del pas.Las listas de precios, son creadas, administradas, aprobadas en la oficina

principal.

Distribucin

Los precios de ventas para el rea de distribucin estn formalmente definidos yaprobados por la alta gerencia.

Existe el concepto de mercadera dada a consignacin, pero con la aprobacin dela gerencia general.Los descuentos son previamente pactados con el cliente y aprobados por lagerencia general cuando estn fuera de los lmites preestablecidos.Todas las ventas son a crdito.Todas las lneas de crditos son aprobadas, revisadas y analizadas para evitar lamorosidad en la cartera.

Retail.Los precios de ventas para la cadena de retail, estn clasificados por tipo decliente (Aficionado y Fotgrafo), provincia, y en alguno casos por el nivelsocio-econmico del lugar en donde este ubicada la fototienda. Todos los

precios son revisados y aprobados por la alta gerencia.Los descuentos estn ya incluido en la lista de precios para el caso de losfotgrafos, y en el caso de los aficionados deben sujetarse al termino de la

promocin a la que desean aplicar.Todas las ventas (actualmente) son en efectivo.

Semanalmente existen reuniones de los principales Gerentes de la Organizacin, para

monitorear las tareas y actividades que se estn llevando en cada rea. Esto incluyeinformacin de: Antigedad de Cartera, Poltica de Precios, Promociones,Programacin de pedidos, Volmenes de Venta, Estado de Resultados por tienda y lneade negocio. Cada gerencia es responsable de la informacin que se entrega.

Para garantizar el mejor trato al cliente, existe un Dpto. de atencin al cliente en dondese lleva el detalle de cada reclamo y su respectiva solucin. De la misma manera paragarantizar que nuestra empresa de un buen trato a nuestros clientes, disponemos demedios de retroalimentacin como: Cliente fantasma, Buzn de sugerencias, etc.

Nota: Ver Anexos A5 y A6 para detalle de los principales procesos.


11/123


11/123

COMPRAS DE INVENTARIO.-

Nuestros mayores proveedores son Eastman Kodak, Maxell.

La forma de costeo es por el mtodo de promedio ponderado.El inventario es un rubro bastante significativo en el balance general de lainstitucin.La Gerencia de Logstica, Gerencia de Mercadeo, Jefe de Produccin trabajan enconjunto para monitorear el inventario, y mantener un nivel adecuado a fin desatisfacer la demanda, por promociones y el proceso de revelado fotogrfico.Adicionalmente la Gerencia de Logstica se encarga de monitorear lasimportaciones, y de informar cualquier inconveniente directamente con lagerencia.

CUENTAS POR PAGAR.-

La mayora de las compras son de mercadera para la venta y materia prima parael proceso de revelado fotogrfico.Existen contratos de arrendamientos por los locales que no son propios y estnsiendo usados por las fototiendas.Existen prstamos bancarios, pero no son de gran impacto en el estadofinanciero.Existen prstamos entre compaas del grupo.

Todas los cuentas por pagar son aprobados y monitoreadas. Para la aprobacin existeuna poltica bien definido por montos de compra. La informacin de las cuentas por

porgar es semanalmente revisada e informada a la gerencia.

SALDOS DE EFECTIVO

Todos los saldos en efectivo estn en la moneda local.Transferencias importantes existen entre la administracin de efectivos y lascuentas operacionales.El flujo de efectivo es diariamente monitorizado por la Gerencia Financiera.

Las transferencias son aprobadas por la gerencia general.

PROPIEDADES, PLANTA & EQUIPOS.-

Todas las propiedades, planta y equipos son de propiedad de la compaa(no esleasing financiero).La vida til de todos los activos se basan en estndares de la industria y sedeprecian por medio del mtodo de lnea recta.Si existen gastos significativos por reparacin y mantenimiento.Durante los ltimos 2 aos, se han hecho importante adquisiciones en cuanto a

equipos de revelado digital y termal.


12/123


12/123

3.3 INFORMACIN DEL AMBIENTE DE SISTEMA.

Los sistemas computacionales soportan todos los procesos del negocio, pero existenfototiendas que llevan sus transacciones de una forma manual debido a que el flujo

de transacciones de la tienda y el flujo de efectivo de la empresa no justifica suautomatizacin.

La informacin crtica de los estados financieros es generada por los sistemascomputacionales.

El soporte y administracin de la infraestructura de redes, sistema operativo, basesde datos es soportada por un tercero o por el centro de computo de COMANDATO.(Empresa del grupo).

Ecuacolor Laboratorio Fotogrfico S.A. tiene las siguientes unidades de negocio:

Venta en FotoTiendas.Venta a distribuidores.

Los principales procesos del negocio son:

Ventas.Mercadeo.Produccin. (Revelado Fotogrfico)Logstica

Administracin y control de fototiendas.Administracin de fondos y flujo de efectivo.


13/123


13/123

3.3.1 CATALOGO DE APL ICACIONES.

Aplicacin S.Operativo Base de Datos Procesos del Negocio que Soporta TransaccionalidadSistema de Rol de Pagos. Linux PosgreSQL Administracin y Rendicin de

Cuentas.MEDIA ALTA

Sistema AdministrativoFinanciero. (Contabilidad, Cxc,

Cxp)

SCO Unix Informix Administracin y Rendicin deCuentas.

MEDIA ALTA

Sistema de Administracin deInventario

SCO Unix Informix Facturacin DistribuidoresFacturacin Retail.Administracin de Inventario

ALTA

Sistema de Facturacin aDistribuidores

SCO Unix Informix Facturacin DistribuidoresAdministracin de Inventario

MEDIA BAJA

Sistema de Compras Locales SCO Unix Informix AdquisicionesAdministracin de Inventario

MEDIA

Sistema de Importaciones SCO Unix Informix AdquisicionesAdministracin de Inventario

MEDIA

Sistema de Control de Caja SCO Unix Informix Facturacin Retail. MEDIA ALTASistema de Punto de Venta W9x FoxPro 2.6 Facturacin Retail. ALTASistema de InformacinGerencial.

SCO Unix Informix Toma de decisiones Gerenciales BAJA

Sistema de Ordenes de Pago. W2K SQLServer Administracin y Rendicin de

Cuentas.

MEDIA

CATEGORIZACIN DE LA TRANSACCIONALIDAD DE LAS OPERACIONES.ALTA Aproximadamente 200,000 Transacciones MensualesMEDIA ALTA Aproximadamente 100,000 Transacciones MensualesMEDIA Aproximadamente 50,000 Transacciones Mensuales


14/123


14/123

MEDIA BAJA Aproximadamente 20,000 Transacciones MensualesBAJA Aproximadamente 2,000 Transacciones Mensuales


15/123


15/123

3.3.2 RECURSO HUMANO CENTRO DE COMPUTO

CARGO CANTIDADGerente Nacional de Sistemas 1

Jefes Departamentales (Guayaquil y Quito) 2Analista Programadores (Guayaquil yQuito)

3

Help Desk(Guayaquil y Quito) 2

ORGANIGRAMA DE Tecnol oga de Inf ormacin.

Ver anexo A4.

3.3.3 RECURSO TECNOLGICO

SOFTWARE.

SCO Unix Open Server 5.0Linux RedHat Entreprise Server 3.xLotus Domino 5.x.Office 2000 profesional.Visual Basic 6.0 Entreprise.JAVA 2 Standard Edition 1.4.

SQL Server 2000.Informix Dynamic Server 9.x

HARDWARE.

Servidor Principal (S.O. Sco Unix, 2 procesadores XEON, 1 GB de memoria, RAID5, 4 fuentes redundantes, dispositivo de cinta magntica).Proxy Server (S.O. Linux, procesador PENTIUM 4, 512 MB)MAIL Server (S.O. Linux + Lotus Domino, procesador PENTIUM 4, 512 MB).Servidor de Desarrollo (S.O. Sco Unix, 1 procesadores XEON, 512 de memoria,dispositivo de cinta magntica).

240 PC en toda la organizacin.

RED.Cableado estructurado categora 5 - 6.Red Inalmbrica.BACKBONE de comunicaciones.Conexin dial-up con fototiendas.


16/123


16/123

3.3.4 COMUNICACIN Y TRANSFERENCIA DE INFORMACINA NIVEL DE LA ORGANIZACIN.-

Existen 2 centros de cmputos: Quito y Guayaquil (Oficina Principal)

La interconexin a travs de Quito y Guayaquil es a travs de un enlacededicado de 256 kbps, usado por toda la organizacin.

Los sistemas administrativos financieros y de produccin tienen bases de datosseparadas y ubicadas fsicamente tanto en Quito como en Guayaquil, a travs deun proceso nocturno se sincronizan las bases de datos.

La interconexin y sincronizacin de datos entre las fototiendas y las oficinasprincipales ocurre una vez al da a travs de un enlace telefnico.

3.3.5 ESTRATEGIA.

Tecnologa de Informacin tiene entre sus principales proyectos:

El soporte para la seleccin de un nuevo sistema de punto de venta a nivelnacional que permita a la empresa soportar las nuevas estrategias de negociode la organizacin.La interconexin del 20% de sus fototiendas a nivela nacional para podersoportar la nueva lnea de negocios y formas de negociacin.

Cambio s en Sistemas.

Ecuacolor esta considerando cambiar su sistema de punto de venta porexigencias del S.R.I, y por requerimientos de las nuevas estrategias del negocio.Tambin existe un plan para la actualizacin de la base de datos y sistemaoperativos de los sistemas de la casa matriz.


17/123


17/123

4. MODELO DE MEJORES PRCTICAS UTILIZADO: COBIT

La Misin de CobiT:

Investigar , desarrollar, publicar y promover un conjunto de objetivos de controlen tecnologa de informacin con autoridad, actualizados , de carcter

internacional y aceptados generalmente para el uso cotidiano de gerentes yauditores.

Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT),ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puenteentre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee

buenas prcticas a travs de un dominio y el marco referencial de los procesos y presentaactividades en una estructura manejable y lgica. Las Buenas prcticasde COBIT reneel consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y

proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividadesvan por el camino equivocado.

La Administracin debe asegurar que los sistemas de control interno o el marcoreferencial estn funcionando y soportan los procesos del negocio y debe tener claridadsobre la forma como cada actividad individual de control satisface los requerimientos deinformacin e impacta los recursos de TI.

El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBITjunto con los requerimientos del negocio que deben ser alcanzados:

eficienciaefectividadconfidencialidadintegridaddisponibilidadcumplimiento yconfiabilidad de la informacin.

El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales,es responsabilidad de la administracin. La administracin, mediante este gobiernocorporativo, debe asegurar que todos los individuos involucrados en la administracin,uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten conla debida diligencia.

Un Objetivo de Control en TIes una definicin del resultado o propsito que se deseaalcanzar implementando procedimientos de control especficos dentro de una actividad deTI.

La ori entacin al negocio es el tema principal de COBI

T. Est diseado no solo para serutilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser


18/123


19/123


19/123

Especficamente COBIT provee Modelos de Madurezpara el control sobre los procesosde TI de tal forma que la Administracin puede ubicarse en el puntodonde la organizacinest hoy, donde est en relacin con los mejores de su claseen su industria y con losestndares internacionales y as mismo determinar adonde quiere llegar;

Factores Crticos de xito (Critical Success Factors), que definen o determina cualesson las mas importantes directrices que deben ser consideradas por la Administracin paralograr control sobre y dentro de los procesos de TI.

Indicadores Claves del logro / Objetivos o de Resultados (Key Goal Indicators) loscuales definen los mecanismos de medicin que indicarn a la Gerenciadespus delhechosi un proceso de TI ha satisfecho los requerimientos del negocio; y los

Indicadores Clave de desempeo (Key Performance Indicators) los cuales sonindicadoresprimarios que definen la medida para conocer qu tan bien se est ejecutando el

proceso de TI frente o comparado contra el objetivo que se busca.

Las Di rectrices Gerenciales de COBIT son genricas y son acciones orientadas alpropsito de

responder los siguientes tipos de preguntas gerenci ales: Qutan lejos debemos ir y sejustif ica el costo respecto al beneficio obtenido? Cules son

los indicadores de buen desempeo? Cules sonlos factores crticos de xi to? Cules son los riesgos de no l ograr nuestr os objetivos?

Quhacen otros?Cmo nos podemos medir y comparar

COBITcontiene adicionalmente un Conjun to de Herramientas de Implementacinqueproporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaronCOBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles -Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) yDiagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en elanlisis del ambiente de control de TI en una organizacin.

En los prximos aos las Directivas de las Organizaciones necesitarn demostrar queestn logrando incrementar sus niveles de seguridad y control. COBIT es unaherramienta que ayuda a los Directivos a colocar un puente entre los requerimientos decontrol, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a losaccionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita eldesarrollo de una poltica clara y de buenas prcticas de control de TI a travs de lasorganizaciones, a nivel mundial.

Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI queayude al entendimiento y a la administracin de los riesgos as como de losbeneficios asociados con la informacin y sus tecnologas relacionadas.


20/123


20/123

5. PROPUESTA METODOLGICA PARA EL DISEO DEL SGSIDE ECUACOLOR.

Existen dos clases distintas de modelos de control actualmente disponibles, aqullos dela clase del modelo de control de negocios (por ejemplo COSO) y los modelos msenfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre losdos. Debido a esto, COBIT se posiciona como una herramienta ms completa para laAdministracin y para operar a un nivel superior a los estndares de tecnologa para laadministracin de sistemas de informacin..

Por lo tanto, COBIT es el modelo para el gobierno de TI!

El marco metodolgico conceptual para elaborar el diseo del Sistema de Gestin de laSeguridad de Ecuacolor Laboratorio Fotogrfico S.A., usando el modelo de mejores

prcticas COBIT, fue el siguiente:1. Definicin de los criterios de la Informacin2. Seleccionar los criterios de la Informacin que estn relacionados con

Seguridad.3. Seleccionar de los 34 procesos de COBIT, cuales son los procesos que son

impactados de manera primaria por los criterios de la informacin relacionadoscon la seguridad.

4. Definir los Objetivos de Control detallados.5. Aplicacin del modelo de madurez, para determinar un estado de la situacin

actual de la empresa y cuales son sus metas, en cuanto a seguridad.

6. Realizar una evaluacin y priorizacion de riesgos.7. Elaborar los planes de accin que incluyen los controles, para poder mitigar losriesgos de alta y media exposicin.

DEFINICIONES GENERALES

Para propsitos de este proyecto, se proporcionan las siguientes definiciones. Ladefinicin de Control est adaptada del reporte COSO [Committee of Sponsoring

Organisations of the Treadway Commission. Internal Control-Integrated Framework,1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC

(Systems Auditability and Control Report, The Institute of Internal Auditors Research

Foundation, 1991 y 1994).

Control se define como.- Las polticas, procedimientos, prcticas y estructurasorganizacionales diseadas para garantizar razonablemente que los objetivos delnegocio sern alcanzados y que eventos no deseables sern prevenidos o detectados ycorregidos.

Objetivo de control en TI se define como.- Una sentencia del resultado o propsitoque se desea alcanzar implementando procedimientos de control en una actividad de TI

particular.


21/123


21/123

Gobierno de TI se define como.- Una estructura de relaciones y procesos para dirigiry controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras seequilibran los riesgos contra el retorno sobre TI y sus procesos.

DEFINICIN DE LOS CRITERIOS DE LA INFORMACIN.

El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoquedel control en TI se lleva a cabo visualizando la informacin necesaria para dar soportea los procesos de negocio y considerando a la informacin como el resultado de laaplicacin combinada de recursos relacionados con la Tecnologa de Informacin quedeben ser administrados por procesos de TI.

Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertoscriterios a los que COBIT hace referencia como requerimientos de negocio para lainformacin. Al establecer la lista de requerimientos, COBIT combina los principioscontenidos en los modelos referenciales existentes y conocidos:

CalidadCostoEntrega o Distribucin (de servicio)

Efectividad y eficiencia de las operaciones

Confiabilidad de la informacinCumplimiento de leyes y regulaciones

ConfidencialidadIntegridadDisponibilidad


22/123


22/123

La Calidad ha sido considerada principalmente por su aspecto negativo (ausencia de

fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en loscriterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad(estilo, atractivo, ver y sentir, desempeo ms all de las expectativas, etc.) no fueron,

por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La

premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiadode los riesgos al compararlos contra las oportunidades. El aspecto utilizable de laCalidad est cubierto por los criterios de efectividad. Se consider que el aspecto deentrega o distribucin del servicio, de la Calidad se traslapa con el aspecto dedisponibilidad correspondiente a los requerimientos de seguridad y tambin en algunamedida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado,siendo cubierto por la Eficiencia.

Para los requerimientos fiduciarios, COBIT no intent reinventar la ruedase utilizaronlas definiciones de COSO para la efectividad y eficiencia de las operaciones,confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo,

confiabilidad de informacin fue ampliada para incluir toda la informacin no sloinformacin financiera. Con respecto a los aspectos de seguridad, COBIT identific laconfidencialidad, integridad y disponibilidad como los elementos clavese encontrque estos mismos tres elementos son utilizados a nivel mundial para describir losrequerimientos de seguridad.Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y deSeguridad ms amplios, se extrajeron siete categoras distintas, ciertamentesuperpuestas. A continuacin se muestran las definiciones utilizadas por COBIT:

Efectividad

Informacin relevante sea pertinente para el proceso del negocio, as

como a que su entrega sea oportuna, correcta, consistente y de manerautilizable.

Eficiencia Provisin de informacin a travs de la utilizacin ptima (msproductiva y econmica) de recursos.

Confidencialidad Proteccin de informacin sensible contra divulgacin no autorizada.

Integridad Precisin y suficiencia de la informacin, as como a su validez deacuerdo con los valores y expectativas del negocio.

Disponibilidad Disponibilidad de la informacin cuando sta es requerida por el procesode negocio ahora y en el futuro. Tambin se refiere a la salvaguarda delos recursos necesarios y capacidades asociadas.

Cumplimiento Cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales alos que el proceso de negocios est sujeto, por ejemplo criterios denegocio impuestos externamente.

Confiabilidad dela informacin

Provisin de informacin apropiada para la administracin con el fin deoperar la entidad y para ejercer sus responsabilidades de reportesfinancieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/ definirse como semuestra a continuacin:


23/123


23/123

DatosLos elementos de datos en su ms amplio sentido, (por ejemplo, externose internos), estructurados y no estructurados, grficos, sonido, etc.

Aplicaciones Se entiende como sistemas de aplicacin la suma de procedimientosmanuales y programados.

Tecnologa La tecnologa cubre hardware, software, sistemas operativos, sistemas deadministracin de bases de datos, redes, multimedia, etc.

Instalaciones Recursos para alojar y dar soporte a los sistemas de informacin.

Personas Habilidades del personal, conocimiento, conciencia y productividad paraplanear, organizar, adquirir, entregar, soportar y monitorear servicios ysistemas de informacin.

El dinero o capital no fue considerado como un recurso de TI para la clasificacin de losobjetivos de control porque el dinero puede ser considerado como una inversin dentrode cualquiera de los recursos presentados. Adems debe anotarse que el Marco

Referencial no se refiere especficamente a la documentacin de todos los materialesrelacionados con un proceso de TI en particular. Como un aspecto de buenas prcticas,la documentacin es considerada como un buen control, y por lo tanto la falta dedocumentacin sera causa de una mayor revisin y anlisis de los controlescompensatorios en cualquier rea bajo revisin.

Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de serviciosse describe a continuacin:

CRITERIOS DE LA SEGURIDAD.-

Los criterios de la seguridad usados a nivel mundial por los modelos de mejoresprcticas y estndares son los siguientes:

Confidencialidad Proteccin de informacin sensible contra divulgacin no autorizada.

Integridad Precisin y suficiencia de la informacin, as como a su validez deacuerdo con los valores y expectativas del negocio.

Disponibilidad Disponibilidad de la informacin cuando sta es requerida por el procesode negocio ahora y en el futuro. Tambin se refiere a la salvaguarda delos recursos necesarios y capacidades asociadas.


24/123


24/123

SELECCIN DE LOS PROCESOS DE COBIT RELACIONADOS CON ELDISEO DEL SGSI.-

Los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados

en forma natural, con el fin de proporcionar la informacin que la empresa necesita paraalcanzar sus objetivos.

Resulta claro que las medidas de control no satisfarn necesariamente los diferentesrequerimientos de informacin del negocio en la misma medida.

Por esa razn los procesos en COBIT satisfacen uno o varios criterios de la informacinde la siguiente manera:

(P) Primario.- es el grado al cual el objetivo de control definido impacta directamenteel requerimiento de informacin de inters.

(S) Secundario es el grado al cual el objetivo de control definido satisface nicamentede forma indirecta o en menor medida el requerimiento de informacin de inters.

Blanco (vaco)podra aplicarse; sin embargo, los requerimientos son satisfechos msapropiadamente por otro criterio en este proceso y/o por otro proceso.

PROCESOS COBITP01 Definir un plan estratgico de sistemas DS1 Definir niveles de servicio

P02 Definir la arquitectura de informacin DS2 Administrar servicios de tercerosP03 Determinar la direccin tecnolgica DS3 Administrar desempeo y capacidadP04 Definir la organizacin y sus relaciones DS4 Asegurar continuidad de servicioP05 Administrar las inversiones (en TI) DS5 Garantizar la seguridad de sistemas

P06Comunicar la direccin y objetivos de la

gerencia DS6 Identificar y asignar costosP07 Administrar los recursos humanos DS7 Educar y capacitar a usuariosP08 Asegurar el apego a disposiciones externas DS8 Apoyar y orientar a clientesP09 Evaluar Riesgos DS9 Administrar la configuracinP010 Administrar Proyectos DS10 Administrar problemas e incidentesP011 Administrar Calidad DS11 Administrar la informacin

DS12 Administrar las instalacionesAI1 Identificar soluciones de automatizacin DS13 Administrar la operacinAI2 Adquirir y mantener software de aplicacin

AI3Adquirir y mantener la arquitectura

tecnolgica M1 Monitorear el procesoAI4 Desarrollar y mantener procedimientos M2 Evaluar lo adecuado del control internoAI5 Instalar y acreditar sistemas de informacin M3 Obtener aseguramiento independienteAI6 Administrar cambios M4 Proporcionar auditoria independiente


25/123


25/123


26/123


26/123


27/123


27/123

DEFINICIN DE LOS OBJETIVOS DE CONTROL.

Despus de haber seleccionado los procesos que son afectados por los criterios deinformacin de Seguridad (Confidencialidad, Integridad y Disponibilidad) de unamanera primario, se obtienen los siguientes Objetivos de Control detallados:

Con el fin de asegurar que los requerimientos del negocio para la informacin secumplan, es necesario definir, implementar y monitorear adecuadas medidas de control

sobre esos recursos. Cmo pueden entonces las empresas estar satisfechas respecto aque la informacin obtenida presente las caractersticas que necesitan? Es aqu donde serequiere de un sano marco referencial de Objetivos de Control para TI. El siguientediagrama ilustra este concepto.


28/123


28/123

ARQUITECTURA DE SEGURIDAD.-

Objetivos de Control Detallados o Especficos.-

PROCESOOBJETIVO DE CONTROL

DETALLADO

CRITERIOS DE

INFORMACINPRIMARIO SECUNDARIOPO9.- Evaluar Riesgo Evaluacin de Riesgos del

NegocioEnfoque de Evaluacin de RiesgosIdentificacin de RiesgosMedicin de RiesgosPlan de Accin contra RiesgosAceptacin de RiesgosSeleccin de Garantas oProteccionesCompromiso con el Anlisis deRiesgos

EfectividadConfidencialidadIntegridadDisponibilidad

EficienciaCumplimientoConfiabilidad

PO11.- Administracin de la calidad Plan General de Calidad.

Enfoque de Aseguramiento deCalidad.Planeacin del Aseguramiento deCalidad.Revisin del Aseguramiento de laCalidad sobre el Cumplimiento deEstndares y Procedimientos deTI.Metodologa del Ciclo de Vida deDesarrollo de SistemasMetodologa del Ciclo de Vida deDesarrollo de Sistemas paraCambios Mayores a la TecnologaActual

Actualizacin de la Metodologadel Ciclo de Vida de Desarrollo deSistemas.Coordinacin y Comunicacin.Marco de Referencia deAdquisicin y Mantenimiento parala Infraestructura de Tecnologa.Relaciones con Terceras Partescomo Implementadotes.Estndares para la Documentacinde Programas.Estndares para Pruebas deProgramas.Estndares para Pruebas de

Sistemas.Pruebas Piloto/En Paralelo.Documentacin de las Pruebas delSistema.Evaluacin del Aseguramiento dela Calidad sobre el Cumplimientode Estndares de Desarrollo.Revisin del Aseguramiento deCalidad sobre el Logro de losObjetivos de TI.Mtricas de calidad.Reportes de Revisiones deAseguramiento de Calidad.

Efectividad

EficienciaIntegridad

Confiabilidad


29/123


29/123


DETALLADO

CRITERIOS DEINFORMACIN

PRIMARIO SECUNDARIOAI6.- Administrar cambios. Inicio y Control de Solicitudes de

CambioAnlisis de ImpactoControl de CambiosCambios de EmergenciaDocumentacin y ProcedimientosMantenimiento AutorizadoPoltica de Liberacin de SoftwareDistribucin de Software

EfectividadEficienciaIntegridad

Confiabilidad

DS4.- Asegurar el servicio continuo Marco de Referencia deContinuidad de Tecnologa deinformacinEstrategia y Filosofa del Plan deContinuidad de TIContenido del Plan de Continuidadde TI.Reduccin de requerimientos de

Continuidad de Tecnologa deInformacin.Mantenimiento del Plan deContinuidad de Tecnologa deInformacin.Pruebas del Plan de Continuidadde TI.Entrenamiento sobre el Plan deContinuidad de Tecnologa deInformacin.Distribucin del Plan deContinuidad de TI.Procedimientos de respaldo deprocesamiento alternativo para

Departamentos usuarios.Recursos Crticos de Tecnologade Informacin.Sitio y Hardware de Respaldo.Almacenamiento de respaldo en elsitio alterno (Off-site).Procedimiento de afinamiento delPlan de Continuidad.

EfectividadDisponibilidad

Eficiencia

DS5.- Garantizar la seguridad de lossistemas.

Administrar Medidas deSeguridad.Identificacin, Autenticacin yAcceso.Seguridad de Acceso a Datos enLnea.

Administracin de Cuentas deUsuario.Revisin Gerencial de Cuentas deUsuario.Control de Usuarios sobre Cuentasde Usuario.Vigilancia de Seguridad.Clasificacin de Datos.Administracin de Derechos deAcceso e IdentificacinCentralizada.Reportes de Violacin y deActividades de Seguridad.Manejo de Incidentes.

ConfidencialidadIntegridad

DisponibilidadCumplimientoConfiabilidad


30/123


30/123


DETALLADO


PRIMARIO SECUNDARIODS5.- Garantizar la seguridad de lossistemas.

Reacreditacin.Confianza en Contrapartes.Autorizacin de transacciones.No negacin o no rechazo.Sendero Seguro.Proteccin de las funciones deseguridad.Administracin de LlavesCriptogrficas.Prevencin, Deteccin yCorreccin de SoftwareMalicioso.Arquitectura de Firewalls yconexin a redes pblicas.Proteccin de ValoresElectrnicos.

ConfidencialidadIntegridad

DisponibilidadCumplimientoConfiabilidad

DS11.- Administracin de datos Procedimientos de Preparacin de

Datos.Procedimientos de Autorizacinde Documentos Fuente.Recopilacin de Datos deDocumentos Fuente.Manejo de errores de documentosfuente.Retencin de Documentos Fuente.Procedimientos de Autorizacinde Entrada de Datos.Chequeos de Exactitud,Suficiencia y Autorizacin.Manejo de Errores en la Entradade Datos.

Integridad de Procesamiento deDatos.Validacin y Edicin deProcesamiento de Datos.Manejo de Errores en elProcesamiento de Datos.Manejo y Retencin de Datos deSalida.Distribucin de Datos Salidos delos Procesos.Balanceo y Conciliacin de Datosde Salida.Revisin de Datos de Salida yManejo de Errores.

Provisiones de Seguridad paraReportes de Salida.Proteccin de InformacinSensible durante transmisin ytransporte.Proteccin de InformacinSensitiva Desechada.Administracin deAlmacenamiento.Perodos de Retencin y Trminosde Almacenamiento.

Integridad

Confiabilidad


31/123


31/123


DETALLADO


PRIMARIO SECUNDARIODS11.- Administracin de datos Sistema de Administracin de la

Librera de MediosResponsabilidades de laAdministracin de la Librera deMediosRespaldo (Back-up) yRestauracinFunciones de RespaldoAlmacenamiento de RespaldosArchivoProteccin de Mensajes SensitivosAutenticacin e IntegridadIntegridad de TransaccionesElectrnicasIntegridad Continua de DatosAlmacenados

IntegridadConfiabilidad

DS12.-Administracin de

instalaciones.

Seguridad Fsica

Discrecin sobre las Instalacionesde Tecnologa de InformacinEscolta de VisitantesSalud y Seguridad del PersonalProteccin contra FactoresAmbientalesSuministro Ininterrumpido deEnerga

IntegridadDisponibilidad

MODELO DE MADUREZ.-

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en

desarrollar un mtodo de asignacin de puntos para que una organizacin pueda calificarsedesde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa en el Modelo deMadurez que el Software Engineering Institute defini para la madurez de la capacidad dedesarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiadosimplificadas, lo que hara que el sistema fuera difcil de usar y sugerira una precisin que no esjustificable.

En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto decondiciones que pueden ser satisfechas de una forma que no sea ambigua. En comparacin conlos niveles desarrollados para cada uno de los 34 procesos de TI de COBIT, la administracinpuede mapear:

La situacin actual de la organizacindnde est la organizacin actualmenteLa estrategia de la organizacin para mejoramientodnde quiere estar la organizacin

El modelo de madurez aplicado a Ecuacolor Laboratorio Fotogrfico S.A. lo puedeencontrar mas adelante en este documento.


32/123


32/123

EVALUACIN Y PRIORIZACION DE RIESGOS.-

Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir yadministrar las actividades de TI para alcanzar un balance efectivo entre el manejo deriesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar

las actividades mas importantes que deben ser desarrolladas, midiendo el progreso haciael cumplimiento de las metas y determinando que tan bien se estn desarrollando losprocesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez dela organizacin contra las mejores practicas industriales y los modelos internacionales.

La evaluacin y priorizacion de riesgos aplicado a Ecuacolor Laboratorio FotogrficoS.A. lo puede encontrar mas adelante en este documento.

PLANES DE ACCIN.-

Los controles que se sugieren implementar para mitigar los riesgos identificados en lafase de evaluacin y priorizacion de riesgos, as como sus responsables y tiemposaproximados de implementacin se pueden encontrar en los planes de accin.

Los planes de accin del Sistema de Seguridad de la Informacin aplicados a EcuacolorLaboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este documento.


33/123


33/123

6 MODELO DE MADUREZ DE LOS 7 PROCESOS DESEGURIDAD DE INFORMACIN

A los gerentes generales de las organizaciones corporativas y pblicas se les pidefrecuentemente que consideren un caso de negocio para los gastos de recursos paracontrolar la infraestructura de informacin. Mientras pocos argumentaran que esto noes bueno, todos se deben preguntar:

Hasta dnde debemos ir,y est el costo justificado por el beneficio?

Para ayudar a responder esa pregunta, a menudo se hacen otras preguntas relacionadas:

Qu estndares reconocidos internacionalmente existen, y cmo estamos nosotros

situados respecto a stos?

Qu estnhaciendo los dems, y cmo estamos nosotros situados en relacin aellos?

Qu est considerado como la mejor prctica de la industria, y cmo estamos

nosotros situados en relacin con esa mejor prctica?

Basados en estas comparaciones externas, podra deci rse que nosotros estamostomando precauciones razonablespara salvaguardar nuestros activos deinformacin?

Usualmente ha sido difcil dar respuestas sensatas a estas preguntas, porque no se ha

contado con las herramientas requeridas para hacer las evaluaciones necesarias.

La administracin de TI est constantemente en la bsqueda de herramientas dereferencia y de auto evaluacin en respuesta a la necesidad de saber qu hacer en unaforma eficiente. Comenzando con los procesos de COBIT y con objetivos de control dealto nivel, el propietario del proceso debe ser capaz de llevar a cabo cada vez mayoresBenchmark en comparacin con dicho objetivo de control. Esto satisface tresnecesidades:

(1) una medida relativa de dnde est la organizacin(2) una forma de decidir eficientemente dnde ir

(3) una herramienta para medir el progreso con respecto al objetivo

ElMarco Referencial de COBIT define 34 procesos de TI dentro de un entorno de TI.Para cada proceso hay una expresin de control de alto nivel y entre 3 y 30 objetivosdetallados de control. El propietario del proceso debe ser capaz de determinar el nivelde cumplimiento de los objetivos de control ya sea como una rpida auto evaluacin ocomo una referencia en conjunto con una revisin independiente. Cualquiera de estasevaluaciones que la administracin pueda desear poner en contexto comparando con laindustria y con el entorno en que ellas se encuentran o en comparacin con dnde estnevolucionando los estndares y las reglamentaciones internacionales (por ejemplo, lasfuturas expectativas que surgen). Para que los resultados se puedan utilizar fcilmente

en los reportes de la administracin, donde ellos sern presentados como un medio para


34/123


34/123

respaldar el caso de negocio para planes futuros, es necesario suministrar un mtodogrfico de presentacin.

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consisteen desarrollar un mtodo de asignacin de puntos para que una organizacin pueda

calificarse desde Inexistente hasta optimizada (de 0 a 5). Este planteamiento se basa enel Modelo de Madurez que el Software Engineering Institute defini para la madurez dela capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no debenestar demasiado simplificadas, lo que hara que el sistema fuera difcil de usar ysugerira una precisin que no es justificable.

En contraste, uno debe concentrarse en los niveles de madurez basndose en unconjunto de condiciones que pueden ser satisfechas de una forma que no sea ambigua.En comparacin con los niveles desarrollados para cada uno de los 34 procesos de TI deCOBIT, la administracin puede mapear:

La situacin actual de la organizacindnde est la organizacin actualmente

La situacin actual de la industria (la mejor de su clase en)la comparacinLa situacin actual de los estndares internacionalescomparacin adicionalLa estrategia de la organizacin para mejoramientodnde quiere estar laorganizacin

Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente de medidas,basada en una clasificacin de 0 hasta 5. La escala est asociada con las

descripciones del modelo genrico cualitativo de madurez que van desde Inexistente

hasta Optimizada de la forma siguiente:ECTRICES GERENCIALES


35/123


35/123

MODELO GENRICO DE MADUREZ0 Inexistente. Total falta de un proceso reconocible. La organizacin ni siquiera hareconocido que hay un problema que resolver.1 Inicial. Hay evidencia de que la organizacin ha reconocido que los problemasexisten y que necesitan ser re sueltos. Sin embargo, no hay procesos estandarizados

pero en cambio hay mtodos ad hoc que tienden a ser aplicados en forma individual ocaso por caso. El mtodo general de la administracin es desorganizado.2 Repetible. Los procesos se han desarrollado hasta el punto en que diferentes

personas siguen procedimientos similares emprendiendo la misma tarea. No haycapacitacin o comunicacin formal de procedimientos estndar y la responsabilidad sedeja a la persona. Hay un alto grado de confianza en los conocimientos de las personasy por lo tanto es probable que haya errores.3 Definida. Los procedimientos han sido estandarizados y documentados, ycomunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la

persona el seguimiento de estos procesos, y es improbable que se detectendesviaciones. Los procedimientos mismos no son sofisticados sino que son la

formalizacin de las prcticas existentes.4 Administrada. Es posible monitorear y medir el cumplimiento de los procedimientosy emprender accin donde los procesos parecen no estar funcionando efectivamente.Los procesos estn bajo constantemejoramiento y proveen buena prctica. Se usan la automatizacin y las herramientasen una forma limitada o fragmentada.5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor prctica,

basados en los resultados de mejoramiento continuo y diseo de la madurez con otrasorganizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la

empresa se adapte con rapidez.

COBIT es un marco de referencia general dirigido a la administracin de TI y como talestas escalas necesitan ser prcticas para aplicar y razonablemente fciles de entender.Sin embargo, los tpicos de riesgo y de control apropiado en los procesos deadministracin de TI son inherentemente subjetivos e imprecisos y no necesitan elenfoque menos automatizado que se encuentra en los modelos de madurez para laingeniera de software.

La ventaja de un enfoque de Modelo de Madurez es que es relativamente fcil para la

administracin ponerse en la escala y apreciar lo que est involucrado si necesitamejorar el desempeo. La escala incluye 0 a 5 porque es bastante probable que no existaningn proceso en absoluto. La escala 0-5 se basa en una escala simple de madurez quemuestra cmo evoluciona un proceso desde Inexistente hasta optimizado. Debido a queson procesos de administracin, la madurez y la capacidad aumentada es tambinsinnimo de mayor manejo del riesgo y mayor eficiencia.

El Modelo de Madurez es una forma de medir qu tan bien desarrollados estn losprocesos de administracin. El grado de desarrollo que deben tener depende de lasnecesidades del negocio, como se menciona aqu anteriormente. Las escalas son sloejemplos prcticos para un proceso dado de administracin que muestra esquemas

tpicos para cada nivel de madurez. Los Criterios de Informacin ayudan a asegurarsede que estamos enfocados en los aspectos correctos de la administracin cuando


36/123


36/123

describimos la prctica real. Por ejemplo, la planificacin y organizacin estnenfocadas en los objetivos de efectividad y eficiencia de administracin, mientras queasegurar la seguridad de los sistemas se enfocar en el manejo de la confidencialidad yla integridad.DIRECTRICES GERENCIALES

Las escalas del Modelo de Madurez ayudarn al profesional a explicar a losadministradores dnde existen deficiencias en la administracin de TI y a fijarseobjetivos para donde necesitan estar comparando las prcticas de control de suorganizacin con los ejemplos de la mejor prctica. El nivel correcto de madurez estarinfluenciado por los objetivos de negocio y el entorno operativo de la empresa.Especficamente, el nivel de madurez de control depender de la dependencia de TI quetenga la empresa, de la sofisticacin de la tecnologa y, lo que es ms importante, delvalor de su informacin.

Un punto estratgico de referencia para que una organizacin mejore la seguridad y elcontrol podra consistir tambin en mirar las normas internacionales que surgen y las

mejores prcticas de su clase. Las prcticas actuales que surgen pueden llegar a ser elnivel esperado de desempeo de maana y es por lo tanto til para planificar dndequiere una organizacin estar en el tiempo.

Los Modelos de Madurez se construyen a partir del modelo genrico cualitativo (verarriba) a los que se agregan las prcticas y los principios de los dominios siguientes deforma creciente a travs de todos los niveles:

Entendimiento y conocimiento de los riesgos y de los problemas de controlCapacitacin y comunicacin aplicadas a los problemasProceso y prcticas que son implementadosTcnicas y automatizacin para hacer los procesos ms efectivos y eficientesGrado de cumplimiento de la poltica interna, las leyes y las reglamentacionesTipo y grado de pericia empleada.

La tabla siguiente describe esta creciente aplicacin de prcticas a travs de todos losniveles para los distintos tpicos. Junto con el modelo cualitativo, constituye un modelogenrico de madurez aplicable a la mayora de los procesos de TI.


37/123


37/123

En resumen, Los Modelos de Madurez:

Se refieren a los requerimientos del negocio y a los aspectos posibilitadores en losdiferentes niveles de madurezSon una escala que se presta para la comparacin pragmtica

Son una escala en la que la diferencia puede hacerse mensurable de manera sencillaSon reconocibles como un perfil de la empresa relativo al gobierno de TI, la seguridad y el controlAyudan a fijar posiciones de Como est y Como debe estar en relacin con el

gobierno de TI, la madurez de la seguridad y el controlSe prestan para hacer anlisis de los vacos/gap para determinar lo que es necesariohacer para alcanzar un nivel determinadoGERENCIALESEvitan, donde es posible, niveles discretos que crean umbrales que son difciles decruzarAplican cada vez ms factores crticos de xito

No son especficos de la industria ni son siempre aplicables, el tipo de negociodefine lo que es apropiado.


38/123


38/123

MODELO DE MEJORES PRACTICAS - COBITEMPRESA : Ecuacolor Fecha de diagnostico :

Diseo de un Sistema de Gestin de Seguridad Pag 1/2

MODELO DE MADUREZDOMINIO: PLANEACION YORGANIZACIN

PO9.- Evaluar los Riesgos

OBJETIVO DE CONTROLControl sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar lasdecisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazasreduciendo la complejidad, aumentando la objetividad e identificando factores de decisinimportantes.Estado Actual : 2 Estado Proyectado: 4

CRITERIOS DE CALIFICACIN

0

Inexistente La estimacin del riesgo para los procesos y las decisiones del negocio

no ocurre. La organizacin no considera los impactos del negocio asociados convulnerabilidades de la seguridad y con inseguridades de proyectos de desarrollo. Esimprobable que la administracin de riesgos sea identificada dentro del plan de un

proyecto o sea asignada a administradores especficos involucrados en el proyecto.La administracin de TI no especifica responsabilidad para la administracin delriesgo en las descripciones de los puestos de trabajo u otro medio informal.Riesgos especficos relacionados con TI como la seguridad, disponibilidad eintegridad son considerados ocasionalmente por proyecto.

1

Inicial /Ad Hoc La organizacin est conciente de sus responsabilidades yobligaciones legales y contractuales, pero considera los riesgos de TI de manera adhoc, sin seguir procesos o polticas definidas. Tienen lugar evaluaciones informales

del riesgo de proyecto a medida que lo determina cada proyecto. No es probableque las evaluaciones de riesgo sean identificadas especficamente dentro del plande un proyecto o a ser asignado a administradores especficos involucrados en el

proyecto. La administracin de TI no especifica responsabilidad por laadministracin del riesgo en las descripciones de puestos de trabajo u otro medioinformal. Los riesgos especficos relacionados con TI como son la seguridad,disponibilidad e integridad son ocasionalmente considerados por proyecto. Losriesgos relacionados con TI que afectan las operaciones cotidianas se discuten con

poca frecuencia en las reuniones de la administracin. Cuando se han consideradolos riesgos, la mitigacin es inconsistente.

2

Repetible pero Intuitivo Ha surgido un entendimiento de que los riesgos de TI

son importantes y que es necesario considerarlos. Existe algn enfoque deevaluacin de riesgos, pero el proceso es todava inmaduro y est en desarrollo. Laevaluacin es usualmente a un nivel elevado y tpicamente se aplica slo a los

proyectos importantes. La evaluacin de las operaciones en curso dependeprincipalmente de los administradores de TI que lo presentan como un punto de laagenda, lo cual a menudo slo ocurre cuando surgen problemas. La administracinde TI generalmente no tiene definidos procedimientos o descripciones de puestosde trabajo que se encarguen de la administracin del riesgo.


39/123


39/123


Diseo de un Sistema de Gestin de Seguridad Pag 2/2MODELO DE MADUREZ

DOMINIO: PLANEACION YORGANIZACINPO9.- Evaluar los Riesgos

OBJETIVO DE CONTROLControl sobre el proceso de TI Evaluar los Riesgos con el objetivo del negocio de apoyar lasdecisiones de la administracin en alcanzar los objetivos de TI y en responder a las amenazasreduciendo la complejidad, aumentando la objetividad e identificando factores de decisinimportantes.Estado Actual : 2 Estado Proyectado: 4


3

Proceso Definido La poltica de manejo del riesgo a nivel de toda unaorganizacin define cundo y cmo llevar a cabo evaluaciones de riesgo. Laevaluacin del riesgo sigue un proceso definido que est documentado y disponible

para todo el persona a travs de entrenamiento. Las decisiones de seguir el procesoy recibir entrenamiento se dejan a la discrecin de las personas. La metodologa esconvincente y saludable, y asegura que los riesgos clave del negocio

probablemente sean identificados. Las decisiones de seguir el proceso se dejan alos administradores individuales de TI y no hay procedimiento para asegurar quetodos los proyectos estn cubiertos o que la operacin en curso es examinada en

busca de riesgos de manera regular.

4

Administrado y Medible La evaluacin del riesgo es un procedimientos estndary las excepciones a seguir el procedimiento seran anunciadas por la administracinde TI. Es probable que la administracin del riesgo sea una funcin definida de la

administracin con responsabilidad a nivel general. El proceso es adelantado y elriesgo es evaluado a nivel del proyecto individual y tambin regularmente respectoa la operacin general de TI. Se advierte a la administracin sobre los cambios enel entorno de TI que podran afectar significativamente los escenarios de riesgocomo por ejemplo una mayor amenaza proveniente de la red o tendencias tcnicasque afectan la integridad de la estrategia de TI. La administracin puedemonitorear la posicin de riesgo y tomar decisiones inteligentes respecto a laexposicin que est dispuesta a aceptar. La gerencia general ha determinado losniveles de riesgo que la organizacin tolerar y tiene medidas estndar de

proporciones de riesgo / rendimiento. Presupuestos de administracin paraproyectos de administracin de riesgos operativos para reevaluar los riesgos

regularmente. Est establecida una base de datos de administracin de riesgos.

5

Optimizado La evaluacin de los riesgos se ha desarrollado hasta una etapa en queun proceso estructurado, en toda la organizacin, es ejecutado, seguido y bienadministrado. La tormenta de ideas y el anlisis de la causa que origin el riesgo,que involucra a personas expertas, se aplican en toda la organizacin. La captura,anlisis y reporte de datos de administracin de riesgos estn altamenteautomatizados. El asesoramiento se obtiene de los jefes en el terreno y laorganizacin de TI participa en grupos colegas para intercambiar experiencias. Laadministracin del riesgo est verdaderamente integrada en todas las operaciones ynegocios de TI, es bien aceptada e involucra extensamente a los usuarios deservicios de TI.


40/123


40/123


Diseo de un Sistema de Gestin de Seguridad Pag 1/1

MODELO DE MADUREZDOMINIO: PLANEACION YORGANIZACIN

PO11.- Administrar Calidad

OBJETIVO DE CONTROLControl sobre el proceso de TI Administrar la Calidad con el objetivo del negocio desatisfacer los requerimientos de TI del cliente.Estado Actual : 2 Estado Proyectado: 3


0Inexistente La organizacin no ha reconocido que existe un problema que debe serreconocido.

1

Inicial /Ad Hoc Hay evidencia de que la organizacin ha reconocido que los problemasexisten y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero encambio hay mtodos ad hoc que tienden a ser aplicados en forma individual o caso porcaso. El mtodo general de la administracin es desorganizado.

2

Repetible pero Intuitivo Los procesos se han desarrollado hasta el punto en quediferentes personas siguen procedimientos similares emprendiendo la misma tarea. Nohay capacitacin o comunicacin formal de procedimientos estndar y la responsabilidadse deja a la persona. Hay un alto grado de confianza en los conocimientos de las personasy por lo tanto es probable que haya errores.

3

Proceso Definido Los procedimientos han sido estandarizados y documentados, ycomunicados a travs de capacitacin. Sin embargo se ha dejado en manos de la persona elseguimiento de estos procesos, y es improbable que se detecten desviaciones. Los

procedimientos mismos no son sofisticados sino que son la formalizacin de las prcticasexistentes.

4

Administrado y Medible Es posible monitorear y medir el cumplimiento de losprocedimientos y emprender accin donde los procesos parecen no estar funcionandoefectivamente. Los procesos estn bajo constante mejoramiento y proveen buena prctica.Se usan la automatizacin y las herramientas en una forma limitada o fragmentada.

5

Optimizado Los procesos han sido refinados hasta un nivel de la mejor prctica, basadosen los resultados de mejoramiento continuo y diseo de la madurez con otrasorganizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo,suministrando herramientas para mejorar la calidad y la efectividad, haciendo que laempresa se adapte con rapidez.


41/123


41/123



DOMINIO: ADQUISICIN E

IMPLEMENTACIN

AI6.- Administrar Cambios

OBJETIVO DE CONTROLEl control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio deminimizar la probabilidad de interrupcin, alteraciones no autorizadas y erroresEstado Actual : 2 Estado Proyectado: 4


0

Inexistente. No hay un proceso definido de administracin de cambios y se pueden hacercambios prcticamente sin control alguno. No hay conciencia de que los cambios puedencausar interrupciones tanto para TI como para las operaciones de negocios, y ningunaconciencia de los beneficios de una buena administracin de cambios.

1

Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, perono hay un proceso consistente para seguimiento. Las prcticas varan y es probable queocurran cambios no autorizados. Hay documentacin insuficiente o inexistente decambios, y la documentacin de configuracin est incompleta y no es confiable. Esprobable que ocurran errores junto con interrupciones en el entorno de produccincausados por una administracin deficiente del cambio.

2

Repetible pero Intuitiva Hay un proceso informal de administracin de cambios y lamayora de los cambios siguen este mtodo; sin embargo, el mismo no est estructurado,es rudimentario y est propenso a error. La precisin de la documentacin deconfiguracin es inconsistente y slo tiene lugar una planeacin y un estudio de impactolimitados antes de un cambio. Hay considerable ineficiencia y repeticin de trabajo.

3

Proceso Definido Est establecido un proceso formal de administracin de cambios, queincluye procedimientos de categorizacin, priorizacin, emergencia, autorizacin y

administracin de cambios, pero no se impone su cumplimiento. El proceso definido nosiempre es visto como adecuado o prctico y, en consecuencia, ocurren trabajos paralelos ylos procesos son desviados. Es probable que ocurran errores y los cambios no autorizadosocurrirn ocasionalmente. El anlisis de impacto a los cambios de TI sobre las operacionesdel negocio se estn volviendo formales para soportar la ejecucin de los planes paranuevas aplicaciones y tecnologas.

4

Administrado y Medible El proceso de administracin de cambios est bien desarrolladoy es seguido de manera consistente para todos los cambios, y la administracin confa enque no hay excepciones. El proceso es eficiente y efectivo, pero se basa en considerablesprocedimientos y controles manuales para asegurar que se logre la calidad. Todos loscambios estn sujetos a una planeacin y estudio de impacto exhaustivos para minimizar laprobabilidad de problemas posteriores a la produccin. Est establecido un proceso de

aprobacin para los cambios. La documentacin de administracin de cambios est al da yes correcta, y los cambios son rastreados formalmente. La documentacin de laconfiguracin est generalmente actualizada. La planeacin e implementacin de laadministracin de cambios de TI se est volviendo ms integrada con cambios en losprocesos de negocios, para asegurar ese entrenamiento, se resuelven cambios organizativosy problemas de continuidad de negocio. Hay mayor coordinacin entre la administracinde cambios de TI y el rediseo del proceso de negocios.

MODELO DE MEJORES PRACTICAS - COBIT


42/123


42/123

EMPRESA : Ecuacolor Fecha de diagnostico :Diseo de un Sistema de Gestin de Seguridad Pag 2/2

MODELO DE MADUREZDOMINIO: ADQUISICIN EIMPLEMENTACIN

AI6.- Administrar Cambios

OBJETIVO DE CONTROLEl control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio deminimizar la probabilidad de interrupcin, alteraciones no autorizadas y erroresEstado Actual : Estado Proyectado:

5

Optimizado El proceso de administracin de cambios es revisado y actualizadoregularmente para mantener en lnea con las mejores prcticas. La informacin deconfiguracin est automatizada y provee control de versiones. La distribucin de softwarees automatizada y se cuenta con capacidades de monitoreo a distancia. La administracinde configuracin y liberacin y rastreo de cambios es sofisticado e incluye herramientaspara detectar software no autorizado y sin licencia. La administracin de cambios de TIest integrada con la administracin de cambios del negocio para asegurar que TI sea unposibilitador para aumentar la productividad y crear nuevas oportunidades de negocios

para la organizacin.


43/123


43/123



DOMINIO: ENTREGA Y SOPORTE DS4 .- Asegurar el Servicio Continuo

OBJETIVO DE CONTROLEl control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio deminimizar la probabilidad de interrupcin, alteraciones no autorizadas y erroresEstado Actual : 2 Estado Proyectado:3


0

Inexistente.No hay entendimiento de los riesgos, vulnerabilidades y amenazas delas operaciones de TI o del impacto de la prdida de los servicios de TI para elnegocio. La continuidad del servicio no es considerada como que necesita atencinde la administracin.

1

Inicial /Ad hoc Las responsabilidades de servicio continuo son informales, conautoridad limitada. La administracin se est volviendo conciente de los riesgos

relacionados con el servicio continuo y de la necesidad de ste. El enfoque es sobrela funcin de TI, en vez de ser sobre la funcin de negocio. Los usuarios estnimplementando formas de evadirlo. La respuesta a las interrupciones mayores esreactiva e improvisada. Los cortes planeados estn programados para quesatisfagan las necesidades de TI, en vez de para adaptarse a los requerimientos delnegocio.

2

Repetible pero Intuitiva La responsabilidad del servicio continuo est asignada.Los enfoques del servicio continuo son fragmentados. El reporte sobre ladisponibilidad del sistema es incompleto y no toma en cuenta el impacto sobre elnegocio. No hay planes documentados de usuario o de continuidad, a pesar de quehay dedicacin a la disponibilidad de servicio continuo y que se conocen sus

principios rectores. Existe un inventario razonablemente confiable de sistemascrticos y componentes. Est surgiendo la estandarizacin de prcticas de serviciocontinuo y el monitoreo del proceso, pero el xito se basa en las personas.

3

Proceso Definido La obligacin de reportar no es ambigua y las responsabilidadesde planificar y probar el servicio continuo estn claramente definidas y asignadas.Los planes estn documentados y se basan en la importancia del sistema y en elimpacto sobre el negocio. Hay un reporte peridico de prueba de servicio continuo.Las personas toman la iniciativa para seguir las normas y recibir entrenamiento. Laadministracin comunica consistentemente la necesidad de servicio continuo. Loscomponentes de alta disponibilidad y la redundancia de sistema se estn aplicandode manera fragmentada. Se mantiene rigurosamente un inventario de sistemascrticos y componentes.


44/123


44/123



DOMINIO: ENTREGA Y SOPORTE DS4 .- Asegurar el Servicio Continuo

OBJETIVO DE CONTROLEl control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio deminimizar la probabilidad de interrupcin, alteraciones no autorizadas y erroresEstado Actual : Estado Proyectado:


4

Administrado y Medible Se hacen cumplir las responsabilidades y las normaspara el servicio continuo. La responsabilidad de mantener el plan de serviciocontinuo est asignada. Las actividades de mantenimiento toman en cuenta elentorno cambiante del negocio, los resultados de pruebas de servicio continuo y lasmejores prcticas internas. Se estn recopilando, analizando, reportando yejecutando datos estructurados sobre el servicio continuo. Se provee entrenamiento

para los procesos de servicio continuo. Las prcticas de redundancia de sistema,que incluyen el uso de componentes de alta disponibilidad, estn siendoimplementadas de manera consistente. Las prcticas de redundancia y la

planeacin de servicio continuo se influyen mutuamente. Los incidentes de falta decontinuidad son clasificados y el paso cada vez mayor de escala para cada uno es

bien conocido para todos los que estn involucrados.

5

Optimizado Los procesos integrados de servicio continuo son proactivos, seajustas solos, son automatizados y auto analticos y toman en cuenta puntos dereferencia y las mejores prcticas externas. Los planes de servicio continuo y los

planes de continuidad del negocio estn integrados, alineados y son mantenidos demanera rutinaria. La compra de las necesidades de servicio continuo est asegurada

por los vendedores y los principales proveedores. Se lleva a cabo la comprobacinglobal y los resultados de las pruebas son utilizados como parte del proceso demantenimiento. La efectividad del costo del servicio continuo est optimizada atravs de la innovacin y de la integracin. La recopilacin y el anlisis de datos seusa para identificar oportunidades de mejoramiento. Las prcticas de redundancia yla planeacin del servicio continuo estn totalmente alineadas. La administracinno permite puntos nicos de falla y provee soporte para su solucin. Las prcticasde escalamiento son entendidas y cumplidas plenamente.


45/123


45/123



DOMINIO: ENTREGA Y SOPORTE DS5 .- Garantizar la Seguridad de losSistemasOBJETIVO DE CONTROL

El control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con elobjetivo del negocio desalvaguardar la informacin contra el uso, revelacin o modificacinno autorizada, dao o prdida.Estado Actual : 1 Estado Proyectado: 3


0

Inexistente. La organizacin no reconoce la necesidad de la seguridad de TI. Lasresponsabilidades y las obligaciones de reportar no estn asignadas para asegurar laseguridad. No estn implementadas medidas que soporten la administracin de la

seguridad de TI. No hay ningn reporte de seguridad de TI y ningn proceso derespuesta de las violaciones de seguridad de TI. Hay una carencia total de unproceso reconocible de administracin de seguridad de sistemas.

1

Inicial /Ad hoc La organizacin reconoce la necesidad de la seguridad de TI, perola conciencia de la seguridad depende de la persona. La seguridad de TI estresuelta de manera reactiva y no se mide. Las violaciones de seguridad de TIinvocan respuestas de sealamiento si se detectan, porque las responsabilidades

no estn claras. Las respuestas a las violaciones de seguridad de TI sonimpredecibles.

2

Repetible pero Intuitiva Las responsabilidades y obligaciones de la seguridad deTI estn asignadas a un coordinador de seguridad de TI que no tiene autoridad de

administracin. La conciencia de seguridad es fragmentada y limitada. Lainformacin de seguridad de TI es generada, pero no es analizada. Las solucionesde seguridad tienden a responder de manera reactiva a los incidentes de seguridadde TI y adoptando propuestas de terceros, sin resolver las necesidades especficasde la organizacin. Se estn desarrollando polticas de seguridad, pero an sesiguen usando habilidades y herramientas inadecuadas. El reporte de seguridad deTI es incompleto, engaoso y no es pertinente.

3

Proceso Definido Existe conciencia de la seguridad y la misma es promovida porla administracin. Se han estandarizado y formalizados reportes de conocimientosde la seguridad. Los procedimientos de seguridad de TI estn definidos y encajanen una estructura para polticas y procedimientos de seguridad. Las

responsabilidades de seguridad de TI estn asignadas, pero no se hacen cumplir demanera consistente. Existe un plan de seguridad de TI, que impulsa el anlisis delriesgo y soluciones de seguridad. El reporte de seguridad de TI est concentrado enTI, en lugar de concentrarse en el negocio. Se realizan pruebas Ad hoc de intrusin.


46/123


46/123



DOMINIO: ENTREGA Y SOPORTE DS5 .- Garantizar la Seguridad de los

SistemasOBJETIVO DE CONTROLEl control sobre el proceso de TI Garantizar la Seguridad de los Sistemas de TI con elobjetivo del negocio desalvaguardar la informacin contra el uso, revelacin o modificacinno autorizada, dao o prdida.Estado Actual : Estado Proyectado:


4

Administrado y Medible Las responsabilidades de la seguridad de TI estnclaramente asignadas, administradas y se hacen cumplir. El anlisis de riesgo eimpacto de seguridad se lleva a cabo de manera consistente. Las polticas y

prcticas de seguridad son completadas con bases especficas de seguridad. Los

reportes de conocimiento de seguridad se han vuelto obligatorios. Laidentificacin, autenticacin y autorizacin de usuario se est estandarizando. Seest estableciendo la certificacin de seguridad del personal. La prueba de intrusines un proceso estndar y formalizado que conduce a mejoras. El anlisis costo /

beneficio, que soporta la implementacin de medidas de seguridad, es cada vezms utilizado. Los procesos de seguridad de TI son coordinados con la funcingeneral de seguridad de la organizacin. El reporte de seguridad de TI estvinculado con los objetivos del negocio.

5

Optimizado La seguridad de TI es una responsabilidad conjunta del negocio y dela administracin de TI y est integrada con objetivos de seguridad corporativa delnegocio. Los requisitos de seguridad de TI estn claramente definidos, optimizados

e incluidos en un plan verificado de seguridad. Las funciones de seguridad estnintegradas con aplicaciones en la etapa de diseo y se les puede pedir a los usuariosfinales que rindan cuenta de la seguridad a la administracin. El reporte deseguridad de TI provee un aviso anticipado del riesgo cambiante y emergente,usando mtodos activos automatizados de monitoreo para los sistemas crticos. Losincidentes son prontamente resueltos con procedimientos formalizados derespuesta a incidentes soportados por herramientas automatizadas. Lasevaluaciones peridicas de seguridad evalan la efectividad de la implementacindel plan de seguridad. Se recoge y analiza sistemticamente la informacin sobrenuevas amenazas y vulnerabilidades, y se comunican e implementan prontamentelos controles adecuados de mitigacin. La prueba de intrusin, anlisis de las

causas originarias de los incidentes de seguridad y la identificacin proactiva delriesgo es la base para el mejoramiento continuo. Los procesos y las tecnologas deseguridad estn integrados en toda la organizacin.


47/123


47/123



DOMINIO: ENTREGA Y SOPORTE DS11 .- Administrar los Datos

OBJETIVO DE CONTROLEl control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio deminimizar la probabilidad de interrupcin, alteraciones no autorizadas y erroresEstado Actual : 2 Estado Proyectado: 4


0

Inexistente.No se reconocen los datos como un recurso y un activo corporativo.No hay propiedad asignada de datos ni responsabilidad individual de la integridady confiabilidad de los datos. La calidad y seguridad de los datos son deficientes oinexistentes.

1

Inicial /Ad hoc La organizacin reconoce una necesidad de datos exactos. Algunosmtodos son desarrollados a nivel individual para prevenir y detectar el ingreso,

procesamiento y errores en la salida de los datos. El proceso de identificacin ycorreccin de errores depende de las actividades manuales de la persona, y lasreglas y requerimientos no son transmitidos a medida que se llevan a cabomovimientos y cambios de personal. La administracin asume que los datos sonexactos porque una computadora est involucrada en el proceso. La integridad yseguridad de los datos no son requerimientos de administracin y, si exist

tesis de grado cobit

Documents