Resumen cobit e iso 27001

ContenidoIntroduccin2COBIT2Misin del COBIT3Beneficios COBIT3Estructura3Dominios COBIT3Planificacin y organizacin4Adquisicin e implantacin4Soporte yservicios4Monitoreo5Puede ser usado por:5Principios5Requerimientos5Requerimientos Fiduciarios6Requerimientos de Seguridad6Niveles COBIT7Dominios7Procesos7Actividades7Componentes del COBIT7Resumen Ejecutivo7Marco de Referencia (Framework)7Objetivos de Control8Ventajas8Resultados al implementar COBIT8ISO 270019Beneficios9Implantacin10Certificacin11Conclusiones11Referencias12

Introduccin El presente documento abarcara las generalidades de los estndares de los sistemas de gestin de la informacin COBIT e ISO 27001, tratando de poder conceptualizar a cada uno de ellos, entendiendo en un nivel general como funcionan, as como la importancia de poder implementarse en las empresas que utilicen la informacin a travs de las TI, para as de esta manera poder tener un conocimiento nosotros como expertos de Seguridad de la informacin y poder en un futuro recomendar esta serie de certificaciones en el mbito en el que nos desarrollemos.COBIT

ElCOBITes unmodelopara auditar lagestinycontrolde lossistemas de informacinytecnologa, orientado a todos los sectores de unaorganizacin, creado por la Asociacin para la Auditora y Control de Sistemas de Informacin (ISACA), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI) en1992.

COBIT por sus siglas en ingles significa:Objetivosde Control paraTecnologa de Informaciny Tecnologas relacionadas (Control Objectives for Information Systems and related Technology), desarrollado por ISACA (Information Systems Audit and Control Association).COBIT se aplica a lossistemasdeinformacinde todala empresa, incluyendo los computadores personales y lasredes. Est basado en lafilosofade que losrecursosTI necesitan ser administrados por un conjunto deprocesosnaturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.

Misin del COBITBuscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologas de la informacin, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.Beneficios COBIT Mejor alineacin basada en una focalizacin sobre el negocio. Visin comprensible de TI para suadministracin. Clara definicin depropiedady responsabilidades. Aceptabilidad general con terceros y entes reguladores. Entendimiento compartido entre todos los interesados basados en unlenguajecomn. Cumplimiento global de los requerimientos de TI planteados en el Marco deControl Internode Negocio COSO.EstructuraLaestructuradel modelo COBIT propone un marco deaccindonde se evalan los criterios de informacin, como por ejemplo la seguridad ycalidad, se auditan los recursos que comprenden la tecnologa de informacin.Dominios COBIT

El conjunto de lineamientos y estndares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de lasorganizacionesen cuatro "dominios" principales, a saber:Planificacin y organizacinEstedominiocubre laestrategiay las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio.Adquisicin e implantacinPara llevar a cabo la estrategia de TI, lassolucionesde TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Soporte yserviciosEn este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde lasoperacionestradicionales hasta elentrenamiento, pasando por seguridad y aspectos de continuidadMonitoreoTodos los procesos necesitan ser evaluados regularmente a travs deltiempopara verificar su calidad y suficiencia en cuanto a los requerimientos de control.Puede ser usado por:La Gerencia: Para apoyar sus decisiones deinversinen TI y control sobre el rendimiento de las mismas, analizar elcostobeneficio del control.Los Usuarios Finales: Quienes obtienen una garanta sobre la seguridad y el control de losproductosque adquieren interna y externamente.Los Auditores: Para soportar sus opiniones sobre los controles de losproyectosde TI, su impacto enla organizaciny determinar el control mnimo requerido.Los Responsables de TI: Para identificar los controles que requieren en sus reas.Tambin puede ser utilizado dentro de lasempresaspor el responsable de un proceso de negocio en suresponsabilidadde controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.PrincipiosEl enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.RequerimientosRequerimientos de la informacin del negocio: Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios.Requerimientos Fiduciarios

Efectividad: la informacin debe de ser relevante y pertinente para los procesos del negocio y debe de ser proporcionada en forma oportuna, correcta consistente y utilizable.Eficiencia operacional: Se debe de proveer informacin mediante el empleo ptimo de los recursos.Confiabilidad de los reportes financieros: Proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.Cumplimiento leleyesy regulaciones: De las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.Requerimientos de Seguridad

Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada.Integridad: Se refiere a lo exacto y correcto de la informacin asi como a su validez de acuerdo con las expectativas de la empresa.Disponibilidad: Accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos Aplicaciones Tecnologa Instalaciones Recurso humanoNiveles COBITSe divide en 3 niveles, los cuales son los siguientes:DominiosAgrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.ProcesosConjuntoso series de actividades unidas con delimitacin o cortes de control.ActividadesAccionesrequeridas para lograr un resultado medible.Componentes del COBITResumen EjecutivoEs un documento dirigido a la alta gerencia presentando los antecedentes y la estructura bsica de COBIT Adems, describe de manera general los procesos, los recursos y los criterios de informacin, los cuales conforman la "Columna Vertebral" de COBIT.Marco de Referencia (Framework)Incluye laintroduccincontenida en el resumen ejecutivo y presenta las guas de navegacin para que los lectores se orienten en la exploracin del material de COBIT haciendo una presentacin detallada de los 34 procesos contenidos en los cuatro dominios.Objetivos de ControlIntegran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.

Ventajas

Una vez implementado, es posible asegurarse de que IT se encuentra efectivamente alineado con las metas del negocio, y orientar su uso para obtener ventajas competitivas.Suministra un lenguaje comn que les permite a los ejecutivos de negocios comunicar sus metas, objetivos y resultados con Auditores, IT y otros profesionales.Proporciona las mejores prcticas y herramientas para monitorear y gestionar las actividades de IT. El uso de sistemas usualmente requiere de una inversin que necesita ser adecuadamente gestionada.Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a travs de sus ciclo de vida, as como tambin proporcionndoles mtodos para asegurarse que IT entregara los beneficios esperados.

Resultados al implementar COBIT

El ciclo de vida de costos de IT ser ms transparente y predecible.IT entregara informacin de mayor calidad y en menor tiempo.IT brindara servicios con mayor calidad y todos los proyectos apoyados en IT sern ms exitosos.Los requerimientos de seguridad y privacidad sern ms fcilmente identificados, y su implementacin podr ser ms fcilmente monitoreada.Todos los riesgos asociados a IT sern gestionados con mayor efectividad.El cumplimiento de regulaciones relacionadas a IT ser una prctica normal dentro de su gestin.ISO 27001

ISO 27001 es una norma internacional emitida por la Organizacin Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin en una empresa. La revisin ms reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisin se public en 2005 y fue desarrollada en base a la norma britnica BS 7799-2.ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande.Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar unsistema de gestin de la seguridad de la informacin(SGSI) segn el conocido como Ciclo deDeming:PDCA- acrnimo dePlan,Do,Check,Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas enISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orgenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacinbritnica, laBritish Standards Institution(BSI).BeneficiosDemuestra la garanta independiente de los controles internos y cumple los requisitos de gestin corporativa y de continuidad de la actividad comercial.Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacin.Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su informacin es primordial.Verifica independientemente que los riesgos de la organizacin estn correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentacin de proteccin de la informacin.Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la informacin.El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora.Dar confianza a clientes y proveedores que la seguridad de la informacin se toma en serio dentro de la organizacin, estando a la vanguardia en la aplicacin de la tcnica de procesos para hacer frente a las amenazas de la informacin y a y los problemas de la seguridad.

ImplantacinLa implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin elegido.Certificacin La certificacin de un SGSI es un proceso mediante el cual una entidad de certificacin externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Conclusiones

Hoy en da, el recurso ms importante con el que cuenta una organizacin, ya no es su capital monetario, el recurso ms importante es su informacin, debido al gran avance que la humanidad ha tenido acerca de las tecnologas de la informacin, las grandes y pequeas organizaciones han estado basado todo su funcionamiento confiando plenamente en sus recursos tecnolgicos para salvaguardar cada uno de los recursos con los que cuenta dicha organizacin, por esto mismo, podemos intuir que muchas organizaciones basan sus ataques a otras organizaciones a travs de robo de informacin, tambin ciertos grupos delictivos buscan ms que el dinero de una organizacin, su informacin, es por ello que para poder tener la confianza de que una organizacin acerca del correcto uso de su informacin, debe de cumplir con ciertos estndares que los permitirn acceder a algunas certificaciones especializadas en el rea de seguridad de informacin, que en este mismo documento se mencionaron, siendo estos el COBIT y la ISO 27001, con este tipo de certificaciones permitirn a las organizaciones tener una mayor credibilidad acerca del manejo de su propia informacin, y es de suma importancia que nosotros como expertos en seguridad de la informacin los conozcamos, para que en un futuro prximo, nosotros poder exhortar a las organizaciones en las que nos desempeemos a realizar el esfuerzo pertinente para as poder contribuir a la cultura del correcto manejo de las TI en nuestro entorno.Referencias http://es.wikipedia.org/wiki/ISO/IEC_27001 http://www.normas-iso.com/2012/beneficios-iso-27001 http://www.tyd.es/ISO27000-6.html http://www.monografias.com/trabajos93/cobit-objetivo-contro-tecnologia-informacion-y-relacionadas/cobit-objetivo-contro-tecnologia-informacion-y-relacionadas.shtml https://seguinfo.wordpress.com/category/cobit/ http://seguridadinformacioncolombia.blogspot.mx/2010/07/que-es-cobit.html