lucio augusto molina focazzio, cisa
TRANSCRIPT
![Page 1: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/1.jpg)
CobiT como promotor de laCobiT como promotor de la seguridad de la Información.
H i l G bi d TIHacia el Gobierno de TILucio Augusto Molina Focazzio, CISA
IT Governance Committee memberCobiT Accredited Trainer
Certified ITIL
![Page 2: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/2.jpg)
AgendaIntroducción
Que es el IT GovernanceQue es el IT Governance
CobiT como apoyo al IT Governance
Procesos relacionados con la Seguridad de la Informacion
ConclusionesConclusiones
![Page 3: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/3.jpg)
AgendaIntroducción
Que es el IT GovernanceQue es el IT Governance
CobiT como apoyo al IT Governance
Procesos relacionados con la Seguridad de la Informacion
ConclusionesConclusiones
![Page 4: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/4.jpg)
4
![Page 5: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/5.jpg)
MAYORES DESASTRES
FECHA INCIDENTE SITIO
2007 Apagón Colombia 2001 Terrorismo World Trade Center 1999 Terremoto Colombia 1998 Huracán Honduras 1995 B b Okl h USA1995 Bomba Oklahoma, USA1995 Terremoto Kobe, Japón 1993 Bomba World Trade Center USA1993 Bomba World Trade Center USA1993 Incendio Los Angeles, USA 1992 Acc.Aéreo New York USA
![Page 6: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/6.jpg)
Introducción
Que es el IT Governance
CobiT como apoyo al IT Governance
CobiT y la Seguridad de la InformacionCobiT y la Seguridad de la Informacion
Procesos relacionados con la Seguridad de la Informacion
Conclusiones
![Page 7: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/7.jpg)
El Gobierno Corporativo es un conjunto de responsabilidades y
La necesidad del Gobierno de TI conjunto de responsabilidades y
prácticas ejecutadas por la Junta y los Directivos con el objeto de:
Gobierno de TI
• Proveer Direccionamiento estratégico
• Asegurar el cumplimiento de los segu a e cu p e to de osobjetivos
• Garantizar que los riesgos son manejados apropiadamentewww.itgi.orgwww.itgi.org manejados apropiadamente
• Verificar que los recursos de la empresa se utilizan
bl t
RESOURCEMANAGEMENT
g g
responsablemente
![Page 8: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/8.jpg)
• Responsabilidad del Board d Di t d l
El Gobierno de TI es: de Directores y de los directivos
P t i t l d l G bi• Parte integral del Gobierno Corporativo, que consiste en el liderazgo, estructuras g ,organizacionales y procesos que aseguran que el TI de la empresa soportará yempresa soportará y complementará las estrategias y objetivos de la RESOURCE
MANAGEMENT
www.itgi.orgwww.itgi.org
empresa
![Page 9: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/9.jpg)
Ej lEj lEjecutar la Ejecutar la propuesta de propuesta de
valor a través del valor a través del ciclo de entregaciclo de entrega
Alinearse con el negocio y proveer ciclo de entregaciclo de entregag y p
soluciones colaborativas
Proteger los activos,
La La necesidad necesidad
Proteger los activos, recuperarse de los
desastres y cumplir las leyes, regulaciones y
del del Gobierno Gobierno RESOURCERESOURCE
www.itgi.orgwww.itgi.orgwww.itgi.orgwww.itgi.orgcontratos
AdministracionAdministracion
www.itgi.orgwww.itgi.org
de TIde TI MANAGEMENTMANAGEMENT
Optimizar el desarrollo y Optimizar el desarrollo y uso de los recursos uso de los recursos
di ibldi iblMonitorear los resultados paraMonitorear los resultados para
De RecursosDe Recursos
disponiblesdisponiblesMonitorear los resultados para Monitorear los resultados para aplicar acciones correctivasaplicar acciones correctivas
![Page 10: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/10.jpg)
AgendaIntroducción
Que es el IT GovernanceQue es el IT Governance
CobiT como apoyo al IT Governance
Procesos relacionados con la Seguridad de la Informacion
ConclusionesConclusiones
![Page 11: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/11.jpg)
C Control
OB OBjectivesOB OBjectives
I f I f tiI for Information
T and Related Technology
11
![Page 12: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/12.jpg)
![Page 13: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/13.jpg)
PROCESOS DE NEGOCIOPROCESOS DE NEGOCIO
INFORMACIONINFORMACION
OBJETIVOS DELGOBIERNO
OBJETIVOS DELGOBIERNO
• efectividad• eficiencia• confidencialidad RequerimientoC biT• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
Requerimientodel negocioCobiT
RECURSOSDE TI
RECURSOSDE TI
datossistemas de aplicación
PLANEAR Y ORGANIZARPLANEAR Y ORGANIZARsistemas de aplicación
Infraestructurapersonas
ORGANIZARORGANIZAR
ADQUIRIR EIMPLEMENTAR
ADQUIRIR EIMPLEMENTAR
MONITOREAR YEVALUAR
MONITOREAR YEVALUAR
IMPLEMENTARIMPLEMENTAR
ENTREGAR YENTREGAR YENTREGAR Y SOPORTAR
ENTREGAR Y SOPORTAR
![Page 14: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/14.jpg)
DominiosDominios
Planear y organizar ‐ Plan and organize ‐ PO
Adquirir e implementar ‐ Acquire and implement ‐ AIAdquirir e implementar Acquire and implement AI
Entregar y Soportar ‐ Deliver and support ‐ DS
Monitorear y Evaluar –Monitor and Evaluate ‐ME
![Page 15: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/15.jpg)
Introducción
Que es el IT Governance
CobiT como apoyo al IT Governance
CobiT y la Seguridad de la InformacionCobiT y la Seguridad de la Informacion
Procesos relacionados con la Seguridad de la Informacion
Conclusiones
![Page 16: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/16.jpg)
Planear y Organizar PO
PROCESOS RELACIONADOS CON LA
Planear y Organizar PO
PROCESOS RELACIONADOS CON LA SEGURIDAD DE LA INFORMACION
![Page 17: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/17.jpg)
PO1 Definir un Plan Estratégico de Tecnología de Información
PO2 Definir la Arquitectura de InformaciónPO PO2 Definir la Arquitectura de Información
PO3 Determinar la dirección tecnológica
PO4 Definir los procesos de TI, su Organización y las Relaciones de TInizar
PO4 Definir los procesos de TI, su Organización y las Relaciones de TI
PO5 Manejar la Inversión en TI
PO6 Comunicar la dirección y aspiraciones de la gerenciaOrgan
PO6 Comunicar la dirección y aspiraciones de la gerencia
PO7 Administrar Recursos Humanos
PO8 Administrar con Calidadar y O
PO8 Administrar con Calidad
PO9 Evaluar y administrar los Riesgos
PO10 Administrar proyectosPlane
PO10 Administrar proyectosP
![Page 18: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/18.jpg)
PO1. Definir un Plan Estrategico de TI
d l b l d• Impacto del negocio sobre los riesgos de TI
PO2. Definir la Arquitectura de la Informacion
• Establecer los dueños de la Informacion
• Clasificar la informacion con base en:Clasificar la informacion con base en:– La Sensibilidad Confidencialidad
La Criticidad Disponibilidad– La Criticidad Disponibilidad
• Administrar la Integridad de la Informacion
Ñ• Identificar DUEÑOS
![Page 19: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/19.jpg)
PO4 Definir los procesos de TI su organizaciónPO4. Definir los procesos de TI, su organización y sus relaciones
• Responsabilidad por• Responsabilidad por– Los riesgos
L id d– La seguridad
– El cumplimiento
![Page 20: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/20.jpg)
PO9. Analizar y administrar los riesgos • Realizar analisis de riesgos• Identificar eventos (vulnerabilidades y amenazas)A li l i• Analizar los riesgos
• Responder al riesgo– Mitigarg– Evitar– CompartirAceptar– Aceptar
• Mantener y monitorear los planes de accion para mitigar los riesgos
![Page 21: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/21.jpg)
d lAdquirir e Implementar AI
PROCESOS RELACIONADOS CON LAPROCESOS RELACIONADOS CON LA SEGURIDAD DE LA INFORMACION
![Page 22: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/22.jpg)
AI1 Identificar Soluciones
d f d l ó
AI
AI2 Adquirir y Mantener Software de Aplicación
AI3 Adquirir y Mantener la Infraestructura de Tecnologíantar ‐
q y g
AI4 Facilitar la operación y el uso
plem
e
AI5 Proveer recursos de TI
AI6 Administrar cambiosrir e
Im
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambiosAdq
uir
A
![Page 23: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/23.jpg)
AI2 Adquirir y Mantener Software de Aplicaciónq y p• Control y Auditabilidad de las Aplicaciones
– Controles • Procesamiento completo• Oportuno• AutorizadoAutorizado• Auditable
• Seguridad y Disponibilidad de las Aplicaciones
![Page 24: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/24.jpg)
AI3 Adquirir y Mantener la Infraestructura q yTecnologica
• Proteccion y disponibilidad de los recursos de la finfraestructura
– Controles– Seguridad– Seguridad– Auditabilidad
• Mantenimiento de la Infraestructura– Cambios autorizados– Analisis de vulnerabilidades
![Page 25: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/25.jpg)
AI4 Facilitar la operación y el usop y• Transferir el conocimiento a:
– Los directivos– Los usuarios– Los operadores y personal de soporte
AI5. Proveer los recursos de TI• Acuerdos de confidencialidad• Acuerdos de confidencialidad• Responsabilidad sobre la seguridad y la
propiedad intelectualpropiedad intelectual
![Page 26: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/26.jpg)
AI6 Administrar los Cambios• Procedimientos para los cambios• Analisis de impacto, priorizacion y autorizacion• Cambios de emergencia• Cambios de emergencia
AI7. Instalar y acreditar soluciones y cambiosy y• Plan de pruebas• Ambiente de pruebas
C i d d t i t• Conversion de datos y sistemas• Pruebas a los cambios• Promocion a produccionp
![Page 27: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/27.jpg)
Entregar y Soportar ‐ DS
PROCESOS RELACIONADOS CON LAPROCESOS RELACIONADOS CON LA SEGURIDAD DE LA INFORMACION
![Page 28: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/28.jpg)
DS1 Definir y administrar Niveles de ServicioDS
DS2 Administrar Servicios prestados por Terceros
DS3 Administrar Desempeño y Capacidadrtar ‐
DS3 Administrar Desempeño y Capacidad
DS4 Asegurar un Servicio ContinuoSopo
DS5 Garantizar la Seguridad de Sistemas
gar y
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a UsuariosEntreg
DS7 Educar y Entrenar a UsuariosE
![Page 29: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/29.jpg)
DS8 Administrar la Mesa de Servicio y los IncidentesD
S
DS9 Administrar la Configuración
rtar ‐
DS10 Administrar los problemas
DS11 Ad i i t l d tSopo
r
DS11 Administrar los datos
DS12 Administrar el ambiente físicogar y S
DS13 Administrar las Operaciones
Entreg
E
![Page 30: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/30.jpg)
DS1. Definir y Administrar Niveles de Servicios• Acuerdos de nivel de servicio
i ibilid d– Disponibilidad– Seguridad– Confiabilidad
DS2. Administrar servicios prestados por tercerosAd i i t l i d l d• Administrar los riesgos de los proveedores
![Page 31: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/31.jpg)
DS3. Administrar el desempeño y la capacidad• Disponibilidad de los recursos de TI
i i– Contingencias– Almacenamiento– Sobrecarga de trabajog j
![Page 32: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/32.jpg)
DS4. Asegurar el servicio continuo• Plan de Continuidad de TI• Recursos criticos de TI• Almacenamiento externo• Prueba al plan de Continuidad• Prueba al plan de Continuidad• Recuperacion y reinicio de las operaciones
![Page 33: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/33.jpg)
DS5. Garantizar la Seguridad de los Sistemas• Gestion de la seguridad de TIGestion de la seguridad de TI• Plan de seguridad de TI• Administracion de Identidad• Administracion de usuarios• Prueba y monitoreo a la seguridad• Definicion de incidentes de seguridad• Proteccion de las tecnologias de seguridadS id d l d• Seguridad en la red
• Intercambio de datos sensitivos
![Page 34: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/34.jpg)
DS8. Administrar la Mesa de Servicio y los IncidentesIncidentes
• Mesa de Servicio
• Escalamiento de incidentes
• Cierre de los incidentes
DS9 Administrar la configuracionDS9. Administrar la configuracion
• Identificar y mantener los elementos de la fi iconfiguracion
![Page 35: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/35.jpg)
DS10. Administrar Problemas• Identificar y Clasificar los Problemas• Seguimiento y solucion de los problemas• Integracion de la administraci[on de incidentes,
configuracion y problemasconfiguracion y problemas
DS11. Administrar los DatosA d d t i l i t• Acuerdos de retencion y almacenamiento
• Sistema de administracion de medios• Desechar datos• Backup y recuperacion• Requerimientos de seguridad para la administracion de
datosdatos
![Page 36: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/36.jpg)
DS12. Administrar el Ambiente Fisico• Planos y selección del sitioPlanos y selección del sitio• Medidas de seguridad fisica• Acceso fisico• Proteccion contra factores ambientales
DS13. Administrar las Operaciones• Monitoreo de la Infraestructura de TI• Documentos sensitivos y dispositivos de salida• Mantenimiento preventivo
![Page 37: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/37.jpg)
Monitorear y Evaluar ‐ME
PROCESOS RELACIONADOS CON LA
Monitorear y Evaluar ‐ME
PROCESOS RELACIONADOS CON LA SEGURIDAD DE LA INFORMACION
![Page 38: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/38.jpg)
ME1 Monitorear y Evaluar el desempeño de TI
ME
ME2 Monitorear y Evaluar el Control Interno
uar –M
ME3 Asegurar el cumplimiento con requerimientos externosy
Evalu
q
ME4 Proporcionar Gobierno de TIorear y
p
Mon
itM
![Page 39: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/39.jpg)
AgendaAgenda
Introducción
Que es el IT Governance
CobiT como apoyo al IT Governance
CobiT y la Seguridad de la InformacionCobiT y la Seguridad de la Informacion
Procesos relacionados con la Seguridad de la Informacion
Conclusiones
![Page 40: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/40.jpg)
Conclusiones
• El Gobierno de TI es responsabilidad de todos
Conclusiones
El Gobierno de TI es responsabilidad de todos
• CobiT es un marco de referencia contra el cual se puede comparar los controles de TI con else puede comparar los controles de TI con el fin de mejorarlos
C biT f d b j• CobiT ofrece un marco de trabajo para incrementar y fortalecer la seguridad de la i f i l O i iinformacion en la Organizacion
![Page 41: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/41.jpg)
PREGUNTAS?
Derechos reservados Lucio Molina Focazzio 41
![Page 42: Lucio Augusto Molina Focazzio, CISA](https://reader035.vdocuments.pub/reader035/viewer/2022071607/62d0dd52ff55584a3d39ca48/html5/thumbnails/42.jpg)
GraciasLucio Augusto Molina FocazzioLucio Augusto Molina FocazzioCertified Information Systems AuditorCertified ITIL EssentialsIT Governance Committee MemberCobiT Accredited TrainerCobiT Accredited TrainerConsultor Independiente