Ana Maria PorrasYazmina Delgado

Jacqueline Vasquez

Temas a tratar…Governanzas de TISeguridad InformáticaCOBITEs necesario implementar estos temas.

Governanzas de TIGobernanza de TI es la alineación de las

Tecnologías de la información y la comunicación (TI) con la estrategia del negocio. Hereda las metas y la estrategia a todos los departamentos de la empresa, y provee el mejor uso de la tecnología y de sus estructuras organizacionales para alcanzarlas.

Governanzas de TIPara el ámbito empresarial puede referirse

como la aplicación de mejores prácticas para la administración de una empresa y marca los principios a alto nivel para ayudar a la toma de decisiones. En la arquitectura de la empresa es el conjunto de opciones técnicas para guiar la organización a la satisfacción de las necesidades de negocio. En la infraestructura de la empresa son los servicios de TI como soporte y apoyo a las verdaderas necesidades de negocio.

Governanzas de TIEntre los elementos clave de la gobernanza

menciona la re-conceptualización y re-construcción de la arquitectura operacional de la empresa, re-pensar y re-expresar los roles del personal y la alineación entre el negocio y la TI, además ayudan a comprender que los roles, la experiencia y la cultura son factores determinantes para lograr el mejor impacto y conseguir el éxito de la nueva arquitectura de la empresa mejorando su rendimiento, Alineamiento Estratégico, Estructuras organizativas, Aportación de Valor, Procesos de Gobernanza de TI, Gestión del riesgo, Gestión del rendimiento, Gestión de recursos.

Governanzas de TICómo garantizar que nuestra inversión en Gobernabilidad TI

se traduzca en la oferta de valor que nos proponen.Es un deber de la empresa que desea implementar la

Gobernabilidad TI comprender la importancia de tener procesos y prácticas TI consolidados o, en su ausencia, estarlos definiendo sólidamente, para comenzar a implementarlos, difundirlos y ejecutarlos.

Usualmente se cometen errores de percepción pero les detallare los cinco más importantes.

1.    Creer que el software hará el trabajoExiste el riesgo de adquirir una herramienta que no permita

crecer o la compra de una herramienta que se transforme a la larga, o de inmediato, en un lamentable obstáculo para pensar en nuevos objetivos. A su vez implementar Gobernabilidad TI de un modo ajeno a la organización y carente de sentido para las personas que en ella trabajan o  el riesgo de invertir grandes sumas y obtener reducidos beneficios por ello.

Governanzas de TI2.      No contar con los sponsors internos adecuadosEl proyecto de implementación Gobernabilidad TI debe ser apoya por el Gerente General, el Gerente de Informática, el Gerente de cada unidad del negocio que utiliza a TI como soporte de su gestión y, por último los trabajadores de TI, quienes a partir de la implementación se liberarán de las horas gastadas en la confección de complejos reportes para sus jefes y tendrán mucho más tiempo para ser productivos. Sin ese apoyo el proyecto no contará con el patrocinio que la Gobernabilidad TI amerita y no reportará o tardará demasiado en reportar los beneficios que su potencial promete.

 3.      Querer Gobernabilidad TI con ansiedadLa definición de un alcance desmesurado para los plazos y pretencioso en términos de costos, es decir, un alcance inabarcable en la práctica, tiene duras consecuencias como: incremento en la dificultad para cerrarlo, aumento en la dificultad para satisfacer las expectativas de los sponsors e involucrados, aparición de estados anímicos poco propicios para el éxito del proyecto, etc.

 

Governanzas de TI4.      Predicar sin practicarEs llevarla a cabo sin cumplir con los estándares que se están proponiendo.

5.      Descuidar el proceso de adopción de Gobernabilidad TISin un adecuado control del proceso de adopción, cada mejora se encuentra acotada o menguada del todo en el mismo instante en que debiese comenzar a operar. Lo que ocurre es que los usuarios que no son debidamente incorporados al proyecto, de la manera que corresponda en cada caso tendrán una vaga idea de por qué es importante que lo hagan, una leve noción de la responsabilidad que cumplen con ello, y un débil conocimiento de los beneficios que esto les reportará.

Seguridad Informatica La seguridad informática consiste en asegurar que los

recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

 Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.

Confidencialidad: La información sólo debe ser legible para los autorizados.

Disponibilidad: Debe estar disponible cuando se necesita. Irrefutabilidad (No repudio): El uso y/o modificación de la

información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

Seguridad Informatica Es importante establecer políticas de seguridad, las cuales van

desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos:

Las políticas deberán basarse en los siguientes pasos: I. Identificar y seleccionar lo que se debe proteger (información

sensible) II.Establecer niveles de prioridad e importancia sobre esta información III.Conocer las consecuencias que traería a la compañía, en lo que se

refiere a costos y productividad, la pérdida de datos sensibles IV.Identificar las amenazas, así como los niveles de vulnerabilidad de la

red V. Realizar un análisis de costos en la prevención y recuperación de la

información, en caso de sufrir un ataque y perderla VI.Implementar respuesta a incidentes y recuperación para disminuir

el impacto

Seguridad Informatica Técnicas para asegurar el sistema :

a) La criptología es un sistema que ofrecen medios seguros de comunicación en los que un emisor oculta o cifra un mensaje antes de transmitirlo para que sólo un receptor autorizado pueda descifrarlo. En los ultimos años se ha la autenticación de información digital (firma digital). 

b) Vigilancia de red. Zona desmilitarizadac) En seguridad informática, una zona desmilitarizada (DMZ) o red

perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.

COBITCOBIT (Control Objetives for Information and related

Technology) Es el marco de referencia aceptado

internacionalmente de las mejores prácticas para el control de la información, TI y los riesgos que conllevan.

Se utilizó para la realización de auditorías a las áreas de tecnología. Sin embargo, en los últimos años COBIT a evolucionado para convertirse en el modelo a seguir para la implementación de Gobernabilidad en Tecnologías de Información (IT Governance).

El modelo contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez.

Marco de trabajo de COBITPara que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo:• Estableciendo un vínculo con los requerimientos del negocio • Organizando las actividades de TI en un modelo de procesos generalmente aceptado • Identificando los principales recursos de TI a ser utilizados • Definiendo los objetivos de control gerenciales a ser considerados

Marco de trabajo de COBITLa orientación al negocio que enfoca COBIT

consiste en alinear las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de TI.

El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visión de punta a punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.

Marco de trabajo de COBITLos productos COBIT

se han organizado en tres niveles diseñados para dar soporte a:

• Administración y consejos ejecutivos

• Administración del negocio y de TI

• Profesionales en Gobierno, aseguramiento, control y seguridad.

Marco de trabajo de COBITLos beneficios de implementar COBIT como marco de

referencia de gobierno sobre TI incluyen: Mejor alineación, con base en su enfoque de negocios Una visión, entendible para la gerencia, de lo que

hace TI Propiedad y responsabilidades claras, con base en su

orientación a procesos Aceptación general de terceros y reguladores Entendimiento compartido entre todos los

Interesados, con base en un lenguaje común Cumplimiento de los requerimientos COSO para el

ambiente de control de TI

Es importante implementar estos temasLe proporciona a la empresa políticas del

manejo de información y ayuda en la toma de decisiones.

Se trabaja con un planeamiento que va desde la cabeza de la empresa hasta un área tan importante como la de TI.

Gracias …