ISO 27001

Imagen creada con: Cmaps

Invocado por a las

MAGERIT

Imágen: http://slideplayer.es/slide/1644740/
MAGERIT es la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, la cual fue creada en 1997 por el Consejo Superior de Administración Electrónica, diseñando su tercera versión en el año 2012.

Fue creada con el fin de proteger a los usuarios de los sistemas de información (SI) por medio del análisis de riesgos en los SI para poder minimizarlos oportunamente. Aquello se hace mediante la planificación de controles efectivos contra los riesgos. De esta manera, los usuarios aprovechan os beneficios de los Sistemas de Información y a su vez se mantienen alerta en cuanto a los riesgos del mismo.

MAGERIT cuenta con cuatro objetivos, 3 directos y 1 indirecto, además de distintas dimensiones de seguridad:

Objetivos directos:
  • Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos.
  • Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC).
  • Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control.

    • Objetivos indirectos:
    • Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
    Dimensiones:
    • Disponibilidad
    • Integridad
    • Confidencialidad
    • Autenticidad
    • Riesgo
    • Análisis de riesgo
    • Gestión de riesgo
    A continuación está uno de los vídeos que describen MAGERIT:

    Invocado por a las

    COBIT

    Imagen: http://www.apmg-international.com/en/qualifications/cobit5/cobit5.aspx

     Breve introducción a ISACA

     Sus siglas corresponden a Information Systems Audit and Control Association. ISACA fue creada en 1969, ofrece estándares, certificaciones, acreditación y desarrollo de carrera en toda lo relacionado con la auditoría en sistemas de información, seguridad de la Información y Gestión y Gobierno de la Tecnologías de la Información (TI).


    ISACA en conjunto con la ITGI (IT Governance Institute) son precursores en la creación del COBIT. ITGI es una institución  que ayuda a la compañías para maximizar la inversión y cumplir con los objetivos del negocio, mediante  la apropiada gestión a los riesgos y oportunidades que brinda la TI.

    Como anteriormente se dijo, ISACA ofrece distintas certificaciones, entre las que se encuentran las siguientes:

    • CISA Certified Information Systems Auditor
    • CISM Certified Information Security Manager
    • Certified in the Governance of Enterprise IT
    • Certified in Risk and Information Systems Control
    Sin embargo, para la emisión de estas certificaciones a un profesional se debe cumplir con ciertos requisitos que listaré a continuación:

    • Aprobar el examen
    • Tener experiencia suficiente
    • Mantener una educación profesional continua 
    • Apegarse al Código de Ética de ISACA
    • Cumplir con los estándares de ISACA
    COBIT (Control objetives for Information and related Technology)

    El COBIT es un marco aplicable para las buenas prácticas de control, seguridad y gobierno de la TI. Se utiliza en la implementación del gobierno de TI y para mejorar los controles de TI. Sus siglas corresponden a "Objetivos de control para la información y la tecnología relacionada).

    Imagen: https://chauditoriaudecaldas.wordpress.com/2014/02/04/evolucion-del-cobit-1996-2012/
    La anterior gráfica muestra las ediciones que tuvo el COBIT, cada una mostrando el concepto al cual le dio énfasis en dicho periodo.

    NIVELES DE COBIT 5
    • Estratégico: Nivel gerencial, desde el cual se crea la idea de la creación de un gobierno de TI
    • Táctico: Administración del negocio y de la tecnología de información, mediante actividades como benchmark.
    • Operativo: Se implementa los controles para minimizar riesgos, asegurar información y brindar seguridad.
    Imagen: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf
    PRINCIPIOS DE COBIT 5:
    • Satisfacer las necesidades de las partes interesadas
    • Cubrir a la compañía en forma integral
    • Aplicar un marco integrado
    • Separar el gobierno de la administración
    Imagen: http://www.calidadti.cetecna.com/?page_id=33
    1. Procesos de TI: La primera cara del cubo se divide en dominios, procesos y actividades.
    • Dominios: Son 34 procesos que se agrupan en cuatro categorías de dominios:
      • Planear y Organizar (PO): Integra los objetivos de TI con la consecución de los objetivos organizcionales.
      • Adquirir e Implementar (AI): Modifica y mejora los Sistemas de Información.
      • Entregar y Dar Soporte (ES): Administra los servicios y da soporte a los usuarios.
      • Monitorear y Evaluar (ME): Verifica si está funcionando correctamente el Control Interno.
    • Procesos: Conjunto de actividades definidas por corte de control.
    • Actividades: Tareas con un resultado medible.
    2. Requerimientos del negocio: Para el cumplimiento de los objetivos empresariales se requiere información que cumplir con los siguientes requerimientos de control.

    Imagen: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf
    3. Recursos de TI: Se dividen en las categorías de aplicaciones, información, personas e infraestructura. A continuación se muestra una gráfica con la explicación de ello.
    Imagen: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf
    Invocado por a las
    Subscribe to: Comments (Atom)