MAGERIT  

Posted by: Unknown

VIDEO



Comentario: 
MAGERIT es una metodología de análisis y gestión de riesgos, que tiene como objetivo concienciar a los encargados de los aspectos de tecnología  de información que existen riesgos y que se deben gestionar. MAGERIT proporciona asimismo una metodología sistemática de análisis de riesgos y tratamiento oportuno de estos por medio de salvaguardas, preparando a la compañía para procesos de auditoria, evaluación, certificación y acreditación. la importancia de tener una herramienta de análisis y gestión de riesgos es que protege a los activos mas valiosos de la organización de los diferentes incidentes negativos. entre los principales activos de la organización encontramos la información, recurso humano, software y hardware. La utilización de esta metodología requiere de un proceso empezando por la planificación (donde se establecen los objetivos y recursos necesarios para ejecutar el trabajo), después por el análisis de riesgos (donde se identifican los activos, la relación entre estos y los riesgos asociados a los activos) y finalmente la gestión de riesgos (donde se establecen las salvaguardas, la calidad y eficacia de estas en la mitigación de riesgos). Para el análisis y gestión de riesgo se debe determinar los activos , determinar las amenazas, desarrollar salvaguardas, estimar el impacto y evaluar el riesgo. 

0 comentarios

COBIT (Control Objectives for Information and related Technology)  

Posted by: Unknown



COBIT: Objetivos de control para la información y tecnologías relacionadas  

 Es un marco que comprende las mejores practicas enfocadas al control y monitoreo de la tecnología de la información. El cual es desarrollado por ISACA (Asociación de Auditoría y Control de Sistemas de Información), la cual es una asociación internacional creada en el año 1967, con el objetivo de suplir la necesidad de centralizar información y metodologías en el área operativa, en 1976 emitió la primera certificación en sistemas de información. Actualmente se encarga de apoyar y patrocinar la construcción de metodologías y certificaciones para la realización de auditorias y control en sistemas de información.
Hechos relevantes ISACA

  • Son los custodios del framework COBIT
  • Son los creadores del ITGI (instituto de gobierno TI
  • Desarrollaron cuatro certificaciones profesionales, las cuales son:



    • Certificado de auditor de sistemas de información
    Esta certificación se otorga para auditar, controlar, supervisar los sistemas de tecnología de la información y de negocio de una organización.

     Certificado de administrador de seguridad de información

    Esta certificación es aceptada para las personas que diseñan, construyen y gestionan la seguridad de la información empresarial de los programas 

    Certificado de gobierno de la empresa de TI
    Este reconoce conocimientos y aplicación de las TI en las empresas, así como principios y practicas de gobierno. Ofrece que la credibilidad para discutir temas críticos en torno a la gobernabilidad y alineación estratégica basada en la experiencia , habilidades y conocimientos del negocio


    Certificados en riesgo y información de sistemas de control
    Este certificado hace referencia a la capacidad de gestionar riesgos empresariales, convirtiendo en piezas estratégicas para el negocio
    COBIT, es un modelo de administración de la TI el cual incluye una marco, unos objetivos de control, un mapa de auditoria, herramientas para su implementación y fundamentalmente guías de técnica de gestión. 
    COBIT a sacado 6 ediciones, La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000, la cuarta edición en diciembre de 2005, la versión 4.1 en 2007 y la versión 5  en el año 2012 

    Beneficios de COBIT
    1. Alinea las metas y actividades de la función de TI con el negocio 
    2. Aprovechar al máximo la información generando beneficios para el negocio
    3. integrar e institucionalizar las buenas prácticas de control TI
    4. cubrir las necesidades de calidad, regulación y seguridad de la información
    5. Establecer un nivel apropiado de control, ajustado a las necesidades del negocio
    6. Enfoque flexible que se integra con otros marcos de referencia (COSO)



    Áreas de enfoque de gobierno de TI

     Alineación estratégica: garantiza la alineación de TI con la estrategia organizacional.
     Entrega de valor: busca que TI genere los beneficios esperados a la estrategia. Se centra en optimizar costos   y dar valor a TI 
    Administración de recursos: optimización de conocimiento e infraestructura 
    Administración de riesgos: conocimiento de los riesgos, del apetito de los mismos y de las responsabilidades de administrarlos en la organización. 
    Medición de desempeño: Rastrea y monitorea la estrategia de implemetación.
            principios 
    Sa   Satisfacer las necesidades de las partes interesadas
           Cubrir la compañía de forma integral
           Aplicar un marco integrado
           Habilitar un enfoque holístico
           Separar el gobierno de la administración


     COBIT 4.1


    COBIT  se divide en 3 niveles el estratégico, táctico y operativo
    EstratégicoSe explica porque el gobierno de TI es importante, cuales son sus intereses y sus responsabilidades para su administración.
    Táctico: Herramientas para asignar responsabilidades, medir el desempeño, llevar a cabo benchmarks y manejar brechas de capacidad. 
    Operativo: Organiza los objetivos de gobierno y las buenas practicas de TI. Relaciona los requerimientos de control de alto nivel considerados por la dirección.

    REQUERIMIENTOS DE NEGOCIO

    Para lograr los objetivos del negocio, la información debe cumplir con ciertos criterios de control (requerimientos de información de negocio):
    Efectividad: la información debe ser relevante y pertinente a los procesos de negocio, y proporcionada oportunamente, correcta, útil y consistente.
    eficiencia: La información debe ser generada con el optimo uso de recursos.
    Confidencialidad: Protección de la información no autorizada.
    Integridad: Precisión, completitud y validez de la información
    Disponibilidad: La información debe estar disponible cuando sea requerida por los procesos del negocio en cualquier momento.
    Cumplimiento: Acatar aquellas leyes, estatutos,reglamento y acuerdos contractuales a los cuales esta sujeta el proceso del negocio (Políticas internas)
    Confiabilidad: proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades.


    METAS DE NEGOCIOS Y DE TI

    Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI da un soporte mas refinado y relacionado con el negocio y el establecimiento de sus requerimientos y parámetros para la medición de las metas. 





    RECURSOS DE TI
    La organización realiza sus operaciones con respecto a las metas por medio de un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, tomando  ventaja la información del negocio

     Los recursos de TI identificados en COBIT son los siguientes:

     Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
    La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.
    • La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
    Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

     PROCESOS DE TI

     COBIT define las actividades de TI en un modelo general de procesos organizados en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que todos en la empresa visualicen y administren las actividades TI.

     procesos:Conjunto de actividades unidas con delimitación o cortes de control.
    Actividades: Acciones requeridas para lograr un resultado medible
    Los dominios de COBIT corresponden a la responsabilidad organizacional, en este se definen las actividades de TI en 34 procesos genéricos que cubren 210 objetivos de contro, y se agrupan en cuatro: 
    1. Planificación y Organización -PO (Plan and Organize) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). " Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada".
    2. Adquisición e Implantación-AI (Acquire and Implement) Proporciona las soluciones y las pasa para convertirlas en servicios. "Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio".
    3. Entrega y Soporte- ES (Deliver and Support) Recibe las soluciones y las hace utilizables por los usuarios finales. "Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos".
    4. Supervisión y Evaluación-SE (Monitor and Evaluate). Monitorear todos los procesos para asegurar que se sigue la dirección provista. Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

       CONTROLES


    Los procesos necesitan de controles, un control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.

    COBIT 5

    COBIT 5 es el marco de gestión y de negocio global para el gobierno y la gestión de las TI de la empresa. COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos. 

     COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima generación de guías sobre el Gobierno y la Administración de la información y los Activos Tecnológicos de las Organizaciones

     COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
    COBIT 5 PRINCIPIOS Y HABILITADORES

     Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

    Cobit 5 integra cinco aspectos

     El poder de COBIT 5 está en su amplitud de herramientas, recursos y orientación. El valor de COBIT 5 se encuentra en la forma en que se aplica a su profesión.

     Bibliografía

     http://www.isaca.org/cobit/pages/default.aspx
    http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
    http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
    http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

    0 comentarios
    Entradas más recientes Entradas antiguas
    Blogger Templates