Gobernando la seguridad hacia los obje2vos corpora2vos Antoni Bosch Pujol
|
|
- Ana Belén Salazar González
- hace 8 años
- Vistas:
Transcripción
1 Gobernando la seguridad hacia los obje2vos corpora2vos Antoni Bosch Pujol Director General del Institute of Audit & IT-Governance (IAITG) Director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC de la Universidad Autónoma de Madrid (MASGDTIC) Presidente Fundador ISACA-Barcelona
2 La Vanguardia
3
4 BURGOS, 5 (EUROPA PRESS) Agentes de la Policía Nacional de Burgos han detenido a la joven E.S.L, de 24 años y con antecedentes delictivos, por un presunto delito de descubrimiento y revelación de secretos ya que usurpó la identidad en las redes sociales a una amiga. Los hechos se produjeron cuando una joven denunció en Comisaría que alguien le estaba usurpando su identidad en sus cuentas de las redes sociales Facebook, Tuenti y Badoo, así como una cuenta de correo electrónico donde habían retirado algunas fotografías que ella había colgado y las habían sustituido por otras de personas en situaciones comprometidas. Además le habían publicado que se ofrecía para favores sexuales, lo que le estaba suponiendo un acoso permanente. Estos hechos venían ocurriendo desde el pasado mes de agosto y se han prolongado hasta febrero de este año, cuando los denunció. Las investigaciones han permitido saber que la autora ha sido una antigua amiga, quien conocía las claves de acceso a las redes al haber sido ella quien las abrió, porque la denunciante no tenía conocimiento entonces para hacerlo ella misma
5 SANTA CRUZ DE TENERIFE, 4 (EUROPA PRESS) La Guardia Civil, en el marco de la operación 'Susolokito', ha detenido a un joven por 23 delitos contra la libertad e indemnidad sexual conocidos como 'child grooming' o acoso sexual de menores a través de internet. El detenido, de 22 años, contactaba con niñas menores de edad --de entre 13 y 15 años-- a través de una red social, y eran amenazadas en conversaciones privadas para que se desnudaran ante una web cam, ha informado este lunes la Guardia Civil. Las investigaciones se iniciaron en Alicante, cuando se detectó que un joven, mayor de edad, abordaba a menores mediante el chat de una conocida red social utilizada principalmente por jóvenes. Hacía uso de diversas identidades e incluso llegaba a atribuirse la calidad de administrador, como Francisco Javier Chies, Pau Rubio o Cristian Ojos Azules. Según el instituto armado, el detenido agregaba a las menores como amigas en la red social para comunicarles que otra persona disponía de fotos y vídeos comprometidos de ellas. Por ello, las víctimas contactaban con ese individuo que en realidad era el ahora detenido pero con otro sobrenombre, y las obligaba a exhibir partes íntimas de su cuerpo e incluso a realizar actos obscenos a cambio de no difundir por las redes sociales el supuesto material. Asimismo, las amenazaba con denunciarlas ante la Guardia Civil haciéndoles pensar que las supuestas fotografías y vídeos que tenía en su poder eran constitutivos de infracción penal. Por otro lado, también las amenazaba con agredirlas en el caso de que se negaran a acceder a sus pretensiones.
6 México, 14 feb (EFE) Primero fueron los periodistas quienes, amenazados y mutilados por el crimen organizado en el estado mexicano de Tamaulipas, tuvieron que callar, ahora son los cibernautas quienes sufren la presión por atreverse a hablar del narco bajo el velo de anonimato que da Internet. Las calles de Ciudad de Victoria, la capital del estado, fueron inundadas esta semana con volantes con el siguiente texto: " pesos para el que aporte datos exactos del dueño de la pagina de Valor por Tamaulipas o en su caso familiares directos". El crimen organizado ofrece así más de dólares por la cabeza del gestor de una página de las redes sociales Facebook y Twitter que informa sobre lo que sucede en Tamaulipas, en el norte de México, uno de los más azotados por la ola de violencia que vive el país. Su provocación: informar a la sociedad sobre qué calles no tomar porque acaba de haber un tiroteo o hacer un recuento sobre las personas que desaparecen, un servicio que hacían los medios de comunicación hasta que callaron por las amenazas, atentados e incluso asesinatos dentro del gremio. "Las redes sociales sin duda han pasado a formar parte de un aparato informativo, mientras el periodismo está arrinconado y silenciado", dijo a Efe Darío Ramírez, director para México y Centroamérica de Artículo 19, una organización defensora de la libertad de expresión.
7 VALENCIA, 7 (EUROPA PRESS) El Ayuntamiento de Valencia, a través de la delegación de Seguridad Ciudadana, ha decidido habilitar un "operativo especial" de "refuerzo" de Policía Local para "evitar" la celebración de un macrobotellón convocado para este viernes a las horas a través de las redes sociales, bajo el Puente de Aragón en el antiguo cauce del río Turia, según han informado a Europa Press fuentes municipales. La invitación a la fiesta, convocada por el grupo 'Botellón Erasmus Valencia' en las redes sociales -en inglés, italiano y castellano-, explica que están "cansados de que los vecinos llamen a la Policía y de no poder "beber tranquilos sin molestar a nadie" por lo que animan a "todos" a acudir este viernes 8 de febrero al Puente de Aragón de a horas de la noche "para beber, reír y conocernos todos". "Para los que no saben el 'botellón', -continúan-, es una reunión de amigos o personas que se quieren conocer, dónde traen mucho alcohol y así la pasan de puta madre!!!". Las únicas "obligaciones", avisan son "traer mucho alcohol" y "divertirse". Más tarde, proponen continuar la fiesta en alguna discoteca de la ciudad "como por ejemplo la A3 o Mya". Los agentes de policía, sin embargo, tratarán de "evitar" que "no se produzca" este macrobotellón y trabajarán en el entorno en el que está prevista su celebración para asegurar el cumplimiento de las ordenanzas municipales, evitar que se produzcan molestias, que se consuma alcohol en la vía pública y que se ensucie.
8 Elena Valenciano deja Twitter por la persecución que sufren sus hijos (El país 1-marzo) La número dos del PSOE, Elena Valenciano, ha explicado hoy su decisión de despedirse de Twitter porque a través de esta red social algunos, dice, están persiguiendo a sus hijos. Algunos han empezado a perseguir a mis hijos y ese sí es el límite, explicaba en un tuit que, de hecho, ya no se puede ver al quedar clausurada la cuenta. La página de Twitter ha cambiado mucho en estos años, contra mí era normal, contra mis hijos es inmoral, añadía en otro comentario. Por último, explicaba que desde esta red no hay forma de defenderles: Me voy para poder protegerles. "Siempre ha habido gente que usa Twitter para insultar y atacar. Pero en el último mes han empezado a invadir la intimidad de mis hijos, han entrado en sus cuentas de Twitter y Facebook. Nadie ha llegado a amenazarles, pero sí les han insultado. Mi hija tuvo que cambiar de perfil y aun así volvieron a encontrarla. Al final mis hijos me dijeron que se iban a dar de baja. Pero les he dicho que no, que me doy de baja yo", ha explicado Valenciano a este periódico.
9 Mercados fuera del radar (La Vanguardia ) Los algoritmos introducidos en los ordenadores dominan las transacciones financieras NYSE Euronext gespona órdenes en 37 microsegundos, veces más rápido que un guiño Las operaciones de alta frecuencia y mayor velocidad se generalizan. Lo que sigue es una demostración más de que la realidad supera la ficción hasta niveles estupefacientes. Se trata del peso ya preponderante más del 50% de las operaciones de alta frecuencia en las que la velocidad de las transacciones se hacen en microsegundos, literalmente (véase el dato que encabeza la página) veces más deprisa de lo que tarda un ser humano en parpadear. Culpar a los ordenadores ayer y a los complicadísimos algoritmos que hincharon y pincharon la úlpma burbuja financiera equivale a olvidar que son los seres humanos quienes programan e introducen modelos estadíspcos y financieros que son capaces de anpcipar qué efecto tendrá una orden de compra o venta en los precios. A parpr de ahí el programa analiza la información y las órdenes se producen de forma automápca. Cuando más de la mitad de las operaciones en los mercados financieros se realiza mediante inverosímiles operaciones de alta frecuencia, el inversor minorista es, por supuesto, irremisiblemente lento
10 Peligro: ciberataques a empresas (El país 7-marzo) Una oleada de fraudes en Twitter y Facebook revela la fragilidad y los elevados riesgos que corren las marcas, incluso las más grandes, en las redes sociales De repente, McDonald s había comprado Burger King. De repente, Chrysler había vendido Jeep. Y de repente, todo era una gran mentira. Un fraude. Los últimos ataques que han sufrido las cuentas de Twitter de esos gigantes empresariales, publicando información falsa o directamente ultrajante, revelan la fragilidad de las marcas en las redes sociales. Vodafone Egipto, Pfizer, USA Today, Reuters, Gizmodo, Fox News, NBC News, Cadillac, Bank of Melbourne... todas han sido atacadas por hackers entre 2011 y Hay más, muchas más, pero la discreción manda. Nadie quiere transmitir una imagen de flaqueza. Piensen en la credibilidad que comunica un banco cuya cuenta en Facebook o Twitter ha sido pirateada. Pero todas las compañías, desde corporaciones bancarias hasta organizaciones de caridad locales, pueden ser un objetivo, advierte Andrew Rose, analista de la consultora Forrester Research. Mientras tanto, crece la sensación de peligro en el mundo digital.
11 Los mercados, bajo el dictado de las máquinas La velocidad de vérpgo que imprimen los ordenadores a la operapva supone un riesgo adicional en la marcha de las bolsas Las redes sociales han ganado protagonismo en las úlpmas crisis bursáples; un tuit puede hundir un mercado en minutos y reportar grandes beneficios El 53% de las bolsas de valores reconocieron haber sufrido ciberataques durante el 2012 Las crisis financieras también están cambiando. En las décadas anteriores eran, sobre todo, el hecho de países exópcos llamados emergentes. Estos daban sustos recurrentes a los inversores. Ese mundo de ayer, sin embargo, se desvaneció con el nuevo siglo: ahora las crisis (masivas) también son el hecho de los países desarrollados. Es posible que la próxima involucre a redes sociales como Twiger y tengan que ver con el mundo digital del big data. Los Pempos cambian y, con ello, las dinámicas de las crisis también. El rumor, difundido por un hacker, informaba que un atentado había herido al presidente Barack Obama. De repente, el Dow Jones se desplomaba 145 puntos, borrando de pronto millones de dólares. El ciberataque se destapó en apenas cuatro minutos, pero el mal ya estaba hecho. InvesPgadores del MIT Media Lab desarrollaron algoritmos que agregan la información en redes sociales como Twiger para uplizarlas financieramente. Se crearon así plataformas como de transacción (etoro) con 2,7 millones de social traders. Otros pusieron en marcha hedge funds que basan sus estrategias de inversión en extraer el ruido en las redes para converprlo en apuestas financieras
12
13 SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Conjunto de sistemas y procedimientos que garan2zan: CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD AUTENTIFICACIÓN NO REPUDIO
14 VALORACIÓN DE LOS REQUISITOS PROTECCIÓN Básico Impacto limitado Moderado Impacto considerable Alto Impacto catastrófico
15 QUÉ PASA SI...?
16 SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN QUE PASA SI HAY Pérdida de Confidencialidad Pérdida de Integridad Pérdida de Disponibilidad Incumplimiento leyes o contratos Atentado contra el honor y la inpmidad Daños personales Incorrecta realización acpvidades Efectos negapvos en relaciones externas Pérdidas económicas
17 La complejidad de la sencillez : 1º clase de matemática aplicada Cualquier futuro ingeniero aprende la notación matemática según la cual la suma de dos números reales, como por ejemplo = 2 puede ser escrita de manera tan simple. Sin embargo esta forma es errónea debido a su banalidad y demuestra una falta total de estilo.
18 El gran problema de la junta direcpva Por qué el firewall no bloqueó la entrada no autorizada? Porque el atacante era muy listo y tenía muchos medios
19 (NIST SP )
20 Por qué el firewall no bloqueó la entrada no autorizada? Porque no habíamos implantado un sistema de análisis de riesgos
21 Risk IT. ISACA
22 NIST SP
23 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaba la gespón de riesgos
24 Risk IT. ISACA
25 Por qué el firewall no bloqueó la entrada no autorizada? Porque no teníamos un sistema de gespón de seguridad
26 IT Baseline Protection Manual
27 IT Baseline Protection Manual
28 Por qué el firewall no bloqueó la entrada no autorizada? Porque no teníamos un sistema de gespón de seguridad de la información cerpficado
29 ISO 27000/ NTP ISO/IEC POLÍTICA DE SEGURIDAD 2 ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD 3 CLASIFICACIÓN Y CONTROL DE ACTIVOS 4 SEGURIDAD EN EL PERSONAL 5 SEGURIDAD FÍSICA Y DEL ENTORNO 7 CONTROL DE ACCESOS 9 GESTIÓN DE INCIDENCIAS 6 GESTIÓN DE COMUNICACIONES Y OPERACIONES 8 DESARROLLO Y MANTENIMIENTO DE SISTEMAS 10 GESTIÓN DE CONTINUIDAD DEL NEGOCIO 11 CUMPLIMIENTO
30 Por qué el firewall no bloqueó la entrada no autorizada? Porque no habíamos implantado un sistema de gespón de servicios TI
31 ISO Sistemas de Ges2ón Planificación Implementación Planificación nuevos servicio Ges2ón de la Responsabilidad, Documentación Requerimientos, Competencias, Salvaguardas & Formación Planificación, Implementación, Monitorización, Mejora (Plan, Do, Check, Act) Planificación y Implementación de nuevos o servicios modificados Ges2ón de la capacidad Con2nuidad del servicio Ges2ón de la disponibilidad Procesos de Entrega Proceso de la provisión de servicio Ges2ón de Niveles de servicio Informes del servicio Procesos de Control Ges2ón de la configuración Ges2ón del Cambio Procesos de Resolución Seguridad de la seguridad De la información Presupuestos Contabilidad Del servicio Procesos Relacionales Ges2ón de Entrega Ges2ón de Incidentes Ges2ón de Problemas Ges2ón de las relaciones con el negocio Ges2ón de Suministradores
32 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaban más estándares que seguir
33 JTC 1/SC 27 IT Security techniques ISO/IEC 7064:2003 ISO/IEC :2002 ISO/IEC :2000 ISO/IEC :1999 ISO/IEC :2002 ISO/IEC :1997 ISO/IEC :1999 ISO/IEC :1999/ Cor 1:2004 ISO/IEC :1998 ISO/IEC :1999 ISO/IEC :2004 ISO/IEC :2005 Informa2on technology Security techniques Check character systems Informa2on technology Security techniques Digital signature schemes giving message recovery Part 2: Integer factoriza2on based mechanisms Informa2on technology Security techniques Digital signature schemes giving message recovery Part 3: Discrete logarithm based mechanisms Informa2on technology Security techniques Message Authen2ca2on Codes (MACs) Part 1: Mechanisms using a block cipher Informa2on technology Security techniques Message Authen2ca2on Codes (MACs) Part 2: Mechanisms using a dedicated hash func2on Informa2on technology Security techniques En2ty authen2ca2on Part 1: General Informa2on technology Security techniques En2ty authen2ca2on Part 2: Mechanisms using symmetric encipherment algorithms Informa2on technology Security techniques En2ty authen2ca2on Part 3: Mechanisms using digital signature techniques Informa2on technology Security techniques En2ty authen2ca2on Part 4: Mechanisms using a cryptographic check func2on Informa2on technology Security techniques En2ty authen2ca2on Part 5: Mechanisms using zeroknowledge techniques Informa2on technology Security techniques En2ty authen2ca2on Part 6: Mechanisms using manual data transfer
34 JTC 1/SC 27 IT Security techniques ISO/IEC 9979:1999 ISO/IEC 10116:1997 ISO/IEC :2000 ISO/IEC :2000 ISO/IEC :2004 ISO/IEC :1998 ISO/IEC :1996 ISO/IEC :1996 Informa2on technology Security techniques Procedures for the registra2on of cryptographic algorithms Informa2on technology Security techniques Modes of opera2on for an n bit block cipher Informa2on technology Security techniques Hash func2ons Part 1: General Informa2on technology Security techniques Hash func2ons Part 2: Hash func2ons using an n bit block cipher Informa2on technology Security techniques Hash func2ons Part 3: Dedicated hashfunc2ons Informa2on technology Security techniques Hash func2ons Part 4: Hash func2ons using modular arithme2c Informa2on technology Security techniques Key management Part 1: Framework Informa2on technology Security techniques Key management Part 2: Mechanisms using symmetric techniques ISO/IEC :1996/Cor 1:2005 ISO/IEC :1999 Informa2on technology Security techniques Key management Part 3: Mechanisms using asymmetric techniques
35 JTC 1/SC 27 IT Security techniques ISO/IEC :2004 Informa2on technology Security techniques Management of informa2on and communica2ons technology security Part 1: Concepts and models for informa2on and communica2ons technology security management ISO/IEC TR :1998 Informa2on technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT Security ISO/IEC TR :2000 Informa2on technology Guidelines for the management of IT Security Part 4: Selec2on of safeguards ISO/IEC TR :2001 Informa2on technology Guidelines for the management of IT Security Part 5: Management guidance on network security ISO/IEC :2004 IT security techniques Non repudia2on Part 1: General ISO/IEC :1998 Informa2on technology Security techniques Non repudia2on Part 2: Mechanisms using symmetric techniques ISO/IEC :1997 Informa2on technology Security techniques Non repudia2on Part 3: Mechanisms using asymmetric techniques ISO/IEC TR 14516:2002 Informa2on technology Security techniques Guidelines for the use and management of Trusted Third Party services ISO/IEC :1998 Informa2on technology Security techniques Digital signatures with appendix Part 1: General ISO/IEC :1999 Informa2on technology Security techniques Digital signatures with appendix Part 2: Iden2ty based mechanisms ISO/IEC :1998 Informa2on technology Security techniques Digital signatures with appendix Part 3: Cer2ficate based mechanisms ISO/IEC :1998/Cor 1:2001
36 JTC 1/SC 27 IT Security techniques ISO/IEC 15292:2001 Informa2on technology Security techniques Protec2on Profile registra2on procedures ISO/IEC :2005 Informa2on technology Security techniques Evalua2on criteria for IT security Part 1: Introduc2on and general model ISO/IEC :2005 Informa2on technology Security techniques Evalua2on criteria for IT security Part 2: Security func2onal requirements ISO/IEC :2005 Informa2on technology Security techniques Evalua2on criteria for IT security Part 3: Security assurance requirements ISO/IEC TR :2005 ISO/IEC TR :2005 Informa2on technology Security techniques A framework for IT security assurance Part 1: Overview and framework Informa2on technology Security techniques A framework for IT security assurance Part 2: Assurance methods ISO/IEC TR 15446:2004 Informa2on technology Security techniques Guide for the produc2on of Protec2on Profiles and Security Targets ISO/IEC 15816:2002 Informa2on technology Security techniques Security informa2on objects for access control ISO/IEC 15945:2002 Informa2on technology Security techniques Specifica2on of TTP services to support the applica2on of digital signatures ISO/IEC :2002 Informa2on technology Security techniques Cryptographic techniques based on ellip2c curves Part 1: General ISO/IEC :2002 Informa2on technology Security techniques Cryptographic techniques based on ellip2c curves Part 2: Digital signatures ISO/IEC :2002 Informa2on technology Security techniques Cryptographic techniques based on ellip2c curves Part 3: Key establishment ISO/IEC :2004 Informa2on technology Security techniques Cryptographic techniques based on ellip2c curves Part 4: Digital signatures giving message recovery
37 JTC 1/SC 27 IT Security techniques ISO/IEC TR 15947:2002 Informa2on technology Security techniques IT intrusion detec2on framework ISO/IEC 17799:2005 ISO/IEC :2002 ISO/IEC :2002 ISO/IEC :2004 ISO/IEC :2005 ISO/IEC :2005 Informa2on technology Security techniques Code of prac2ce for informa2on security management Informa2on technology Security techniques Time stamping services Part 1: Framework Informa2on technology Security techniques Time stamping services Part 2: Mechanisms producing independent tokens Informa2on technology Security techniques Time stamping services Part 3: Mechanisms producing linked tokens Informa2on technology Security techniques IT network security Part 3: Securing communica2ons between networks using security gateways Informa2on technology Security techniques IT network security Part 4: Securing remote access
38 JTC 1/SC 27 IT Security techniques ISO/IEC 18031:2005 Informa2on technology Security techniques Random bit genera2on ISO/IEC 18032:2005 Informa2on technology Security techniques Prime number genera2on ISO/IEC :2005 Informa2on technology Security techniques Encryp2on algorithms Part 1: General ISO/IEC :2005 Informa2on technology Security techniques Encryp2on algorithms Part 3: Block ciphers ISO/IEC :2005 Informa2on technology Security techniques Encryp2on algorithms Part 4: Stream ciphers ISO/IEC TR 18044:2004 Informa2on technology Security techniques Informa2on security incident management ISO/IEC 18045:2005 Informa2on technology Security techniques Methodology for IT security evalua2on ISO/IEC 21827:2002 Informa2on technology Systems Security Engineering Capability Maturity Model (SSE CMM ) ISO/IEC 27001:2005 Informa2on technology Security techniques Informa2on security management systems Requirements
39 Por qué el firewall no bloqueó la entrada no autorizada? Porque no definimos bien el control interno
40 The COSO Cube (Font COSO)
41 COSO ERM Cube (Font COSO)
42 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaba añadir al control interno la parte de seguridad de TI
43 The COBIT Cube (Font IT Governance Institute Cobit 4.0)
44 IT Processes and domains (Font IT Governance Institute Cobit 4.0, USA ) ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. Business Objectives effectivness eficiency confidentiality integrity availability compliance reliability IT RESOURCES Applications Information Infrastructure People PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. PLANNING AND ORGANISATION MONITORING AQUISITION AND IMPLEMENTATION DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. DELIVERY AND SUPPORT AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes.
45 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaba actualizar a Cobit 5
46 ISACA, Cobit 5.0
47 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaba integrar los sistemas con calidad
48 COSO COBIT ISO ISO 9000 WHAT ISO HOW SCOPE OF COVERAGE
49 Por qué el firewall no bloqueó la entrada no autorizada? Porque no tenemos un modelo de gobernanza del riesgo
50 Risk IT. ISACA 2009
51 Por qué el firewall no bloqueó la entrada no autorizada? Porque no tenemos un modelo de Gobernanza de las TIC
52 Modelos IT Governance? MIT-CISR LAS 5 PRINCIPALES DECISIONES (Weill & Ross. IT-Governance. HBSP, 2004) Principios IT Arquitectura IT Infraestructura IT Aplicaciones de negocio Inversiones y prioridades COBIT IT-GOVERNANCE Las 5 AREAS ( IT Governance Institute Cobit 4.1, USA 2007) Alineamiento estratégico Entrega de Valor Gestión de Recursos Gestión de Riesgos Medida del Performance ISO LOS 6 PRINCIPIOS ( ISO ISO/IEC JTC1/SC7,2008) Responsabilidad Estrategia Adquisición Performance Cumplimiento Factor Humano
53 Después de mil explicaciones
54 El teorema del punto y de la recta:
55 Teorema del punto gordo y la recta astuta
56
57 La cruda realidad
58 LOS POR QUÉs Por qué el firewall no bloqueo la entrada no autorizada? Porque el atacante tenía el password Por qué el atacante tenía el password? Porque se lo dió un empleado Por qué se lo dió un empleado? Porque no era consciente del peligro. Por qué no era consciente del peligro? Porque nadie se lo explicó Por qué nadie se lo explicó? Porque nadie lo formó en SEGURIDAD Y porque la formación no es importante y muy compleja, y muy costosa y muy.
59 Qué podemos hacer?
60 GOBERNAR TOMAR DECISIONES
61 IT GOVERNANCE Buen Gobierno de las TIC Qué decisiones se han de tomar? Quién las ha de tomar? Quién provee la información? Cómo se han de tomar? Cuándo se han de tomar? Cómo se han de monitorizar y controlar?
62 IT GOVERNANCE Qué decisiones se han de tomar?
63 LAS 5 PRINCIPALES DECISIONES (Font Weill & Ross. IT-Governance. HBSP,2004) Principios IT Arquitectura IT Infraestructura IT Aplicaciones de negocio High level statements about how IT is used in the business Organizing logic for data, applications, and infrastructure captured in a set of policies, relationships, and technical choices to achieve desired business and technical standardization and integration Strategies for the base foundation of budgeted-for IT capability (both technical and human), shared throughout the firm as reliable services, and centrally coordinated (e.g., network, help desk, shared data) Specifying the business need for purchased or internally developed IT applications Inversiones y prioridades Decisions about how much and where to invest in IT including project approvals and justification techniques
64 IT GOVERNANCE Quién las ha de tomar?
65 LOS 6 ARQUETIPOS (Font Weill & Ross. IT-Governance. HBSP,2004) Monarquía de Negocios Monarquía de IT Federal Duopolio IT Feudal A group of, or individual, business executives (i.e.,cxos). Includes committees comprised of senior business executives (may include CIO). Excludes IT executives acting independently. Individuals or groups of IT executives Shared by C level executives and the business groups(i.e., CxOs and BU leaders) may also include ITexecutives. Equivalent of the center and states workingtogether. IT executives and one other group(e.g., CxOs or BU leaders) Business unit leaders, key process owners or theirdelegates Anarquía Each individual user
66 IT GOVERNANCE Quién provee la información?
67 Quién? RACI Chart (Font IT Governance Institute Cobit 4.1, USA 2007) 1. Director ejecutivo (CEO) 2. Director financiero (CFO) 3. Directores áreas funcionales (CxO) 4. Director de S.I. (CIO) 5. Director de Seguridad de S.I. (CISO) 6. Director de Privacidad (CPO) 7. Propietario del proceso de negocio 8. Director de Operaciones 9. Encargado de tratamiento 10. Delegado de Privacidad (DPO) 11. Director de Arquitectura 12. Director de Desarrollo 13. Director de Administración de TI. 14. Director Oficina de proyectos 15. Responsables de control. 16. Auditores de SI (externos o internos) 17. Consultores externos (outsourcing) 18.
68 Qué y Quien? Principios IT Arquitectura IT Infraestructura Aplicaciones de negocio Inversión y Prioridades Input Decisión Input Decisión Input Decisión Input Decisión Input Decisión 1. Director ejecupvo (CEO) 2. Director financiero (CFO) 3. Directores áreas funcionales (CxO) 4. Director de S.I. (CIO) 5. Director de Seguridad (CISO) 6. Propietario del proceso de negocio 7. Director de Operaciones 8. Encargado de tratamiento 9. Director de Arquitectura 10. Director de Desarrollo 11. Director de Administración de TI. 12. Director Oficina de proyectos 13. Responsables de control. 14. Auditores de SI (externos o internos) 15. Consultores externos (outsourcing) Monarquía Negocios Monarquia IT Federal Duoplio IT Feudal
69 RACI CHART (Font ITGI,USA 2007)
70 IT GOVERNANCE Cómo se han de tomar?
71 CREACIÓN O CONSERVACIÓN DE VALOR (Font ITGI,USA 2007)
72 IT GOVERNANCE Cuándo se han de tomar?
73 Cuándo se han de tomar? MÁXIMA VENTAJA MÁXIMO RIESGO MÍNIMA VENTAJA MÍNIMO RIESGO DATOS INFORMACIÓN DATOS MINIMA Información toma decisión MAXIMA Información Capaz asimilar
74 Modelos de Madurez (Font IT Governance Institute Cobit 4.0, USA 2005)
75 IT GOVERNANCE Cómo se han de monitorizar y controlar?
76 Performance Measurement Approaches (ITGI-2005)
77 Business Value Hierarchy (Font Weill & Broadbent. Leveraging the New Infrastructure. HBSP,1998)
78 Indicadores de Objetivos(KGI) Indicadores de Rendimiento (KPI) (Font IT Governance Institute Cobit 4.0, USA 2005) KGI KPI
79
80
81 Hasta dónde queremos llegar? El beneficio juspfica el coste? Cuál es el nivel de Control para mis Sistemas de Información?
82 RETO ESTRATÉGICO 1. Sea ProacPvo, no reacpvo 2. Sepa cuando rediseñar 3. Involucre a todos los altos direcpvos 4. Tome decisiones 5. Clarifique el manejo de las Excepciones 6. IncenPve adecuadamente 7. Asigne propiedad y responsabilidades 8. Considere diferentes niveles 9. Sea Transparente y eduque 10. Implemente mecanismos comunes
83 RETO TÁCTICO Paso a la acción: Implementación 1. Priorizar acciones Especial énfasis matriz de riesgo ALTO 2. Evaluar recomendaciones No siempre los controles o procesos recomendados son los adecuados a nuestra organización 3. Analizar coste beneficio Descripción del coste y beneficio de implementar o no 4. Seleccionar controles y procesos Deben combinarse controles de gespón, operacionales y técnicos Medidas organizapvas y técnicas 5. Asignar responsabilidades Personal interno y externo 6. Desarrollar un plan de acción Equipo responsable, fechas, costes, 7. Implementar los controles y procesos seleccionados Reduciremos el riesgo pero no lo eliminaremos
84 SEGURIDAD TOTAL COSTE INFINITO
85 MUCHAS GRACIAS Antoni Bosch i Pujol, CGEIT, CISA, CISM, ECPD Director General Institute of Audit & IT-Governance (IAITG) Director del programa de Experto Certificado en Protección de Datos (ECPD) Director Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC (UAM) Presidente Fundador ISACA-Barcelona antoni.bosch@iaitg.eu
La privacidad en el marco de la prevención del delito en la empresa y las organizaciones: Riesgos Tecnológicos
a mida La privacidad en el marco de la prevención del delito en la empresa y las organizaciones: Riesgos Tecnológicos Antoni Bosch i Pujol, CGEIT, CISA, CISM Director General Institute of Audit & IT-Governance
Más detallesIT-GOVERNANCE. Strategy, Management and Measurement
a mida IT-GOVERNANCE Strategy, Management and Measurement Antoni Bosch-Pujol, CISA, CISM Director Institute Audit & IT-Governance (IAITG) Director IT-Governance (IDT-UAB) President ISACA-Barcelona antoni.bosch@uab.es
Más detallesSeguridad de la Información
a mida Seguridad de la Información Antoni Bosch i Pujol, CGEIT, CISA, CISM Director General Institute of Audit & IT-Governance (IAITG) Director Data Privacy Institute (DPI-ISMS) Presidente Fundador ISACA-Barcelona
Más detallesPRIVACY GOVERNANCE DPO - ECPD
PRIVACY GOVERNANCE DPO - ECPD Antoni Bosch-Pujol, CGEIT, CISA, CISM, ECPD irector General Institute of Audit & IT-Governance IAITG) irector Máster en Auditoría, Seguridad, Gobierno y erecho de las TIC
Más detallesCobiT-ITIL en métricas
CobiT-ITIL en métricas Aníbal García-Almuzara Consultor Senior, QUINT Iberia ITIL en la vanguardia de la innovación. Hacia las mejores prácticas en la gestión de la tecnología COBIT e ITIL no son mútuamente
Más detallesProtección de datos personales y medidas de seguridad de la información
Protección de datos personales y medidas de seguridad de la información Antoni Bosch Pujol, CISA, CISM, CGEIT, ECPD Director General del Institute of Audit & IT-Governance (IAITG) Director del Máster en
Más detallesXI ENCUENTRO IBEROAMERICANO DE PROTECCIÓN DE DATOS Cartagena de Indias 15,16 oct -2013
XI ENCUENTRO IBEROAMERICANO DE PROTECCIÓN DE DATOS Cartagena de Indias 15,16 oct -2013 SISTEMAS DE CERTIFICACIÓN PROFESIONALES Antoni Bosch i Pujol Director General del Institute of Audit & IT-Governance
Más detallesGestión de Gobierno, Riesgos y Reglamentaciones [GRC] Integración de Gobierno Corporativo y de TI. Conocimiento + Experiencia + Imaginación
Gestión de Gobierno, Riesgos y Reglamentaciones [GRC] Integración de Gobierno Corporativo y de TI. Conocimiento Experiencia Imaginación oftexpert GRC uite es la solución que permite la alineación de la
Más detallesDatos Personales. Propiedad intelectual. Vida Privada Propia Imagen. Honor: Cyberbullying Grooming
Datos Personales Propiedad intelectual Vida Privada Propia Imagen Honor: Cyberbullying Grooming Edad para gestionar propios datos: 14 años (art 13 rd 1720/2007). Menores de 14 años con consentimiento de
Más detallesSeguridad Informática
Seguridad Informática M. Farias-Elinos 1 Contenido Estándares Criptografía Algunos estándares criptográficos 2 1 Estándares ISO ISO/IEC 2382-8:1998 Information technology Vocabulary Part 8: Security ISO/IEC
Más detallesLa Arquitectura Empresarial como Apoyo al Gobierno de TI
La Arquitectura Empresarial como Apoyo al Gobierno de TI Hugo Arboleda, PhD. Director Maestría en Ges/ón de Informá/ca y Telecomunicaciones Universidad Icesi Las fotos de esta presentación son tomadas
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detalles#233 Seguridad desde el punto de vista SOX y Gobernalidad
Conferencia Latin America CACS 2006 #233 Seguridad desde el punto de vista SOX y Gobernalidad Preparada por José Ángel Peña a Ibarra CCISA-Alintec Alintec México Agenda 1. Sarbanes Oxley 2. Gobierno Corporativo
Más detallesIT Project Portfolio Management y su vinculación con la Estrategia Corporativa
IT Project Portfolio Management y su vinculación con la Estrategia Corporativa Norberto Figuerola Mayo 2014 IT Management Los CIO deben gestionar eficazmente la entrega de los servicios de TI para lograr
Más detallesActividad 2.- Cuento y vídeo de Ubuntu
ANEXO 3 Actividad 2.- Cuento y vídeo de Ubuntu Antes de leer el cuento Nos sentamos en el rincón de lectura. Leemos el titulo del cuento: Ubuntu Yo soy porque nosotros somos. Les preguntamos a los alumnos
Más detallesCobit 4.1 y su relación con otros frameworks
Cobit 4.1 y su relación con otros frameworks Pablo Caneo G. CISA, CGEIT, ITIL, COBIT Presidente Isaca Capítulo Santiago de Chile Sobre el Presentador Pablo Caneo es Ingeniero Informático y Contador Auditor,
Más detallesPreguntas más frecuentes acerca de OpenLine
Qué es la OpenLine de CSC? Quién es EthicsPoint? Cómo funciona OpenLine? Qué clase de incidentes deben denunciarse? Sé de algunos individuos que están involucrados en conductas no éticas, pero eso no me
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detallesCONGRESO SECTORIAL DINTEL DATA CENTERS 2012. ISO 27001, ISO 20000 e ISO 22301 para asegurar la Eficiencia, Disponibilidad y Seguridad en CPDs.
CONGRESO SECTORIAL DINTEL DATA CENTERS 2012 ISO 27001, ISO 20000 e ISO 22301 para asegurar la Eficiencia, Disponibilidad y Seguridad en CPDs. AUDISEC: QUIÉNES SOMOS AUDISEC Seguridad de la Información,
Más detallesIntroducción al IT Governance. Juan Rodrigo Anabalón Auditoria informática Universidad de los Lagos Chile
Introducción al IT Governance Juan Rodrigo Anabalón Auditoria informática Universidad de los Lagos Chile IT-Governance IT governance is the responsibility of executives and the board of directors, and
Más detallesPrivacidad y Seguridad en las Redes Sociales
Privacidad y Seguridad en las Redes Sociales Introducción Gran crecimiento de las redes sociales. Ventajas de las redes sociales Comunicación con amigos lejanos. Recuperar amistades del colegio o instituto.
Más detallesDesde Yo Sí Sanidad Universal (Madrid) y Jo Sí Sanitat Universal (Valencia) queremos puntualizar algunas de las cuestiones aducidas por el hospital:
Respuesta de Yo Sí Sanidad Universal y Jo Sí Sanitat Universal al comunicado del Hospital de Dénia en relación a lo sufrido por Milagros Villalobos en dicho centro (o lo que el hospital llama el caso de
Más detallesGestión de la Seguridad de Activos Intelectuales
Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos
Más detallesDefinición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010
Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las
Más detallesMestrado em Tecnologia da Informação. Segurança da Informação
Mestrado em Tecnologia da Informação Segurança da Informação La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad,
Más detallesAcerca de EthicsPoint
Acerca de EthicsPoint Reportes General Seguridad y confidencialidad de los reportes Consejos y mejores prácticas Acerca de EthicsPoint Qué es EthicsPoint? EthicsPoint es una herramienta de reporte anónima
Más detallesTITULO. Gobernabilidad de TI & Seguridad de la Información
TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesde débito www.njconsumeraffairs.gov 1-888-656-6225
El Manual de cobro Programa de protección y educación para el consumidor de débito www.njconsumeraffairs.gov 1-888-656-6225 Cobro de débito introducción } Manual de cobro de débito Todos, ya sea que tengamos
Más detallesPREGUNTAS Y RESPUESTAS SOBRE LA VISA U
PREGUNTAS Y RESPUESTAS SOBRE LA VISA U Qué es una Visa U? La visa U es una visa especial para las víctimas de ciertos delitos que incluyen violencia doméstica y abuso sexual, entre otros. La persona deberá
Más detallesSISTEMAS DE INFORMACION EMPRESARIAL
SISTEMAS DE INFORMACION EMPRESARIAL Profesor: Cristian Salazar Ayudante: Claudio Angulo. Integrantes: Carolina Hidalgo Cecilia Ponce Juan Pablo Salazar Liliana Salgado. Daniela Triviño. Valdivia, Agosto
Más detallesGetronics gana flexibilidad y competitividad en servicios de TI con soluciones de CA Technologies
CUSTOMER SUCCESS STORY Getronics gana flexibilidad y competitividad en servicios de TI con soluciones de CA Technologies PERFIL DEL CLIENTE Industria: Servicios de TI Compañía: Getronics Empleados: 2.000
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesLEGÁLITAS MULTIRRIESGO INTERNET PYMES Y AUTÓNOMOS
LEGÁLITAS MULTIRRIESGO INTERNET PYMES Y AUTÓNOMOS EL 60% DE LAS EMPRESAS HAN SUFRIDO CIBERATAQUES. TÚ DECIDES SI QUIERES PROTEGERTE Soluciona los problemas legales de tu negocio derivados del uso de Internet
Más detallesGenerar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO27001- ISO20000 - BS25999 LOPD
Generar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO27001- ISO20000 - BS25999 LOPD Cloud y SaaS: Siguen creciendo Los ingresos por servicios en modo SaaS (Software como
Más detallesGuía para la toma de decisiones en comunicación
Guía para la toma de decisiones en comunicación Para padres de niños sordos o con dificultades para oír National Center on Birth Defects and Developmental Disabilities Division of Human Development and
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesPortal de Compras del Gobierno del Estado de Baja California (www.comprasbc.gob.mx) A. Antecedentes
Buenas prácticas en la implementación de las recomendaciones de la Guía para Mejorar la Calidad Regulatoria de Trámites Estatales y Municipales e Impulsar la Competitividad de México Portal de Compras
Más detallesISO 19770 (SAM), por dónde empezamos?
ISO 19770 (SAM), por dónde empezamos? Qué es ISO/IEC 19770-1? La ISO 19770 se ha desarrollado a fin de permitir a una organización demostrar que está efectuando la gestión de activos de software, comúnmente
Más detallesVÍDEO intypedia003es LECCIÓN 3: SISTEMAS DE CIFRA CON CLAVE PÚBLICA. AUTOR: Gonzalo Álvarez Marañón
VÍDEO intypedia003es LECCIÓN 3: SISTEMAS DE CIFRA CON CLAVE PÚBLICA AUTOR: Gonzalo Álvarez Marañón Consejo Superior de Investigaciones Científicas, Madrid, España Hola, bienvenidos a intypedia. Conocidos
Más detallesNotificación sustitutiva de la HIPAA
El 13 de febrero de 2014, un agente del Servicio de Rentas Internas (IRS) le dijo a Amerigroup que el Departamento de Policía de Tallahassee, Florida hizo una búsqueda en el auto de un sospechoso el 30
Más detallesLA EXTERNALIZACIÓN EN EL PROCESO DE INTERNACIONALIZACIÓN
LA EXTERNALIZACIÓN EN EL PROCESO DE INTERNACIONALIZACIÓN Escuela de Alta Dirección y Administración Autor: Mariano Najles 1. Que es la externalización La palabra anglosajona outsourcing, hace referencia
Más detallesIT Effectiveness. Creamos valor a través de la Gestión de la Tecnología * *connectedthinking
IT Effectiveness Creamos valor a través de la Gestión de la Tecnología * *connectedthinking Algunas preguntas y necesidades alrededor de las Tecnologías de la Información (TI) son comunes a todas las empresas,
Más detallesLos diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)
Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs) 10 de Julio de 2015 http://www.itbusinessedge.com/slideshows/ten-top-paying-tech-security-jobs.html Sin lugar a dudas,
Más detallesNORMATIVA ISO 27001. Tasador colaborador con con la la justicia
NORMATIVA ISO 27001 Tasador colaborador con con la la justicia 1 LA SEGURIDAD INFORMÁTICA COMO INVERSIÓN INTRODUCCIÓN A menudo, cuando me he reunido con los departamentos presupuestarios y de finanzas
Más detallesAcerca de EthicsPoint
Acerca de EthicsPoint Informes General Informar de Forma Segura y Confidencial Consejos y Mejores Prácticas Acerca de EthicsPoint Qué es EthicsPoint EthicsPoint es una herramienta de reporte integral y
Más detallesSecurity Health Check
www.pwc.es Security Health Check Aportamos el valor que necesitas Un problema no tan lejano... Durante los últimos años, las empresas han abordado procesos de transformación tecnológica sin precedentes
Más detallesQué son y cómo combatirlas
Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detallesBanco Galicia Maneja 12.000 Tickets Mensuales con CA Service Desk Manager
CUSTOMER SUCCESS STORY Diciembre 2012 Banco Galicia Maneja 12.000 Tickets Mensuales con CA Service Desk Manager PERFIL DEL CLIENTE Industria: Servicios Financieros Compañía: Banco Galicia Empleados: 12.000+
Más detallesAuditorías Proactivas del Gobierno de TI
Auditorías Proactivas del Gobierno de TI RODOLFO SZUSTER, CISA CIA CBA GERENTE AUDITORIA INTERNA TARSHOP SA PRESIDENTE ISACA BUENOS AIRES CHAPTER RODOLFO SZUSTER, CISA CIA CBA Actualmente: Presidente de
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesModulo 2: GOBIERNO DE TI
Modulo 2: GOBIERNO DE TI Pregunta #4: A que nos lleva toda esta integración Ordenando las ideas Estrategia del negocio Objetivos del negocio Objetivos de TI Oficina de Gestión de Proyectos (PMO) Beneficios
Más detallesPROGRAMA DE ASIGNATURA
PROGRAMA DE ASIGNATURA 01. Carrera Lic. En Administración de Negocios Internacionales Lic. En Dirección del Factor Humano Lic. En Comercialización x Lic. En Tecnología Informática Lic. En Administración
Más detallesDIRECCION DE PROYECTOS II
DIRECCION DE PROYECTOS II DESARROLLO DEL CURSO PROFESIONAL EN DIRECCION DE PROYECTOS II: Durante el desarrollo del Curso Profesional en Dirección de Proyectos II, el alumno irá asimilando el contenido
Más detallesRESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:
RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,
Más detallesB i e n v e n i d o s
B i e n v e n i d o s Martin del Castillo, Septiembre 2010 Tecnología de información Nivel actual de utilización tecnológica. Relación dínamica entre negocio y tecnología. Dependencia crítica. Cumplimiento
Más detallesBase de datos en Excel
Base de datos en Excel Una base datos es un conjunto de información que ha sido organizado bajo un mismo contexto y se encuentra almacenada y lista para ser utilizada en cualquier momento. Las bases de
Más detallesRecomendaciones relativas a la continuidad del negocio 1
Recomendaciones relativas a la continuidad del negocio 1 La continuidad de un negocio podría definirse como la situación en la que la operativa de una entidad tiene lugar de forma continuada y sin interrupción.
Más detallesINTERNET SEGURO. Objetivos
INTERNET SEGURO Objetivos 1. Promover la reflexión sobre el uso de Internet y las redes sociales. 2. Fomentar un uso adecuado de las TIC. 3. Crear conciencia de defensa contra las injusticias y la práctica
Más detallesQué es la ISO 27001?
Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación
Más detalleswww.mutua- intercomarcal.com Juan Carlos Bajo http://prevencionar.com/2015/12/01/compliance- officers- una- profesion- con- gran- futuro/
Juan Carlos Bajo http://prevencionar.com/2015/12/01/compliance- officers- una- profesion- con- gran- futuro/ Compliance Officers, una profesión con gran futuro Cada día las regulaciones administrativas
Más detallesModelos y Normas Disponibles de Implementar
Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar
Más detallesImplementando COBIT. Por: Víctor Julio Zúñiga.MBA
Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo
Más detallesRETOS EN SEGURIDAD DE BASES DE DATOS Fred Pinto PhD fpinto@asesoftware.com Asesoftware Ltda OBJETIVOS Ilustrar los retos en seguridad de bases de datos que nos plantean las nuevas regulaciones. EL PROBLEMA
Más detallesEvolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte
Evolución de la estrategia de seguridad de la información basada en indicadores Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Agenda Planeación estratégica de seguridad Gobierno de Seguridad Indicadores
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesSocInf - Sociedad de la Información en las Islas Canarias 9/07/2014
SocInf - Sociedad de la Información en las Islas Canarias 9/07/2014 ROSA MARÍA AGUILAR CHINEA VICERRECTORA DE TECNOLOGÍAS DE LA INFORMACIÓN Y SERVICIOS UNIVERSITARIOS Gobierno TI en la ULL Las TI deben
Más detallesScitum reduce en un 50% el tiempo de producción de reportes con CA Business Service Insight
CUSTOMER SUCCESS STORY Scitum reduce en un 50% el tiempo de producción de reportes con CA Business Service Insight PERFIL DEL CLIENTE Industria: Servicios de TI Compañía: Scitum Empleados: 450+ EMPRESA
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesINTRODUCCIÓN. El propósito de esta investigación es analizar la importancia que ha surgido en
INTRODUCCIÓN El propósito de esta investigación es analizar la importancia que ha surgido en los sistemas de costos ABC para las empresas de Servicios Mexicanas, ya que este sector forma una parte muy
Más detallesISO 20000 en Colt Josep Magrinyá
ISO 20000 en Colt Josep Magrinyá 2010 Colt Technology Services Group Limited. All rights reserved. Acerca de Colt Alcance Excepcional red europea en propiedad y 19 datacentres Incomparable cobertura en
Más detallesCONCLUSIONES. De la información total que acabamos de facilitar al lector podemos realizar el siguiente resumen:
CONCLUSIONES De la información total que acabamos de facilitar al lector podemos realizar el siguiente resumen: 1º. Ha habido un incremento en el número total de consultas y reclamaciones ante las asociaciones
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesQUIÉNES SOMOS Y QUÉ HACEMOS LOS HEADHUNTERS (*)
QUIÉNES SOMOS Y QUÉ HACEMOS LOS HEADHUNTERS (*) Muchas veces me preguntan qué es un headhunter, qué hacemos, cómo nos aseguramos de encontrar a los potenciales candidatos para cada búsqueda, y cómo nos
Más detallesGestión de Activos de TI (ITAM)
Gestión de Activos de TI (ITAM) Mitigando el Riesgo 1 Deloitte Advisory, S.L., todos los derechos reservados Índice 1. Introducción 2. Riesgos 3. Marcos de control 4. Algunas sugerencias 5. Resumen 2 Deloitte
Más detallesCOMO OBTENER SU MASTERCARD SECURE CODE MasterCard Secure Code
MasterCard Secure Code MasterCard SecureCode es el Código de Seguridad que protege contra el uso no autorizado de la tarjeta cuando se realicen compras en internet. Pasos: 1. Ingrese a una tienda virtual.
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesINSTITUTO TECNOLÓGICO DE COSTA RICA. Caso #09 - Chrysler. Administración de la Función de la Información
INSTITUTO TECNOLÓGICO DE COSTA RICA Caso #09 - Chrysler Administración de la Función de la Información Álvaro Navarro Barquero 200944186 Alejandro Rodríguez Jiménez 200924533 09/05/2012 Contenido I Situación
Más detallesIng. Nicolás Serrano nserrano@bcu.gub.uy
Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del
Más detallesTítulo: EL USO DE LAS REDES SOCIALES
1Título: EL USO DE LAS REDES SOCIALES Título: EL USO DE LAS REDES SOCIALES 1 2Título: EL USO DE LAS REDES SOCIALES EL USO DE LAS REDES SOCIALES Mark Zuckerberg, joven multimillonario en contra de las redes
Más detallesHARDkey La mejor alternativa a esquemas de PKI /OTP para Validación de Accesos de Usuarios
HARDkey La mejor alternativa a esquemas de PKI /OTP para Validación de Accesos de Usuarios No cabe duda que uno de los principales inconvenientes que enfrenta la gente de seguridad informática es el asociado
Más detallesGobierno de TI. Impulsor de metas empresariales. Optimización de los servicios de TI con ITIL. Gobierno TI.
Gobierno de TI Impulsor de metas empresariales Gobierno de la empresa. Es el conjunto de responsabilidades y prácticas ejercidas por el consejo y la dirección ejecutiva con el objetivo de proporcionar
Más detallesPERFILES OCUPACIONALES
PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesPalabras clave: Taragüí. Redes sociales. Facebook. Twitter. Página web. Atención al cliente.
Palabras clave: Taragüí Redes sociales Facebook Twitter Página web Atención al cliente. 1 Resumen En los últimos años, ha habido cambios en varias dimensiones, pero una de las más importantes es la que
Más detallesGestión de proyectos en tiempos de crisis
Gestión de proyectos en tiempos de crisis Algunos Datos Cancelados Con dificultades Exitosos 14% 51% 35% Fuente: Standish Group International, Extreme Chaos, The Standish Group International, Inc. Con
Más detallesUNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS
UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS ISO 27001 INTEGRANTE: CARLA CUEVAS ADRIAN VILLALBA MATERIA: AUDITORIA DE SISTEMAS FECHA: 11 DE
Más detallesLA OLA. Cinco cuentos para leer en voz alta. Autor: Antonio Pons
LA OLA Cinco cuentos para leer en voz alta. Autor: Antonio Pons Desde hace unos días cuando le tiro la pelota a Chispa, no sale corriendo a por ella para luego volver a traérmela. Los papás me han dicho
Más detallesCMMI (Capability Maturity Model Integrated)
CMMI (Capability Maturity Model Integrated) El SEI (software engineering institute) a mediados de los 80 desarrolló el CMM (modelo de madurez de la capacidad de software). CMMI: CMM integrado, una mezcla
Más detallesCOBIT 5 Qué cambia y cómo amplía la última edición de la guía de ISACA para proveer un nuevo enfoque integrador de alto nivel para el gobierno de IT
COBIT 5 Qué cambia y cómo amplía la última edición de la guía de ISACA para proveer un nuevo enfoque integrador de alto nivel para el gobierno de IT Dr. Lic. Jorge Medin Hidalgo C.I.S.A., C.I.S.M., C.G.E.I.T
Más detallesEntendiendo mi ambiente de Control
Riesgos y controles de TI, Entendiendo mi ambiente de Control Victor Vasquez AGENDA Agenda Retos de TI Gobierno de TI Concepto riesgo Control Cobit 3 Objetivo Objetivo Lograr que los participantes entiendan
Más detallesPasos para elaborar un presupuesto. Un presupuesto nos permite: Algunos consejos:
Pasos para elaborar un presupuesto 1. Calcular los ingresos para un mes. 2. Hacer una lista de todos los gastos y la cantidad de dinero que necesita para cada uno de ellos durante el mes. 3. Sumar todos
Más detallesPOLITICA DE PRIVACIDAD DE LA PAGINA WEB
POLITICA DE PRIVACIDAD DE LA PAGINA WEB operamos el website de Simple Solutions.com y respetamos la privacidad de los individuos que utilizan este website. A continuación detallamos cómo utilizamos la
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesCOMO AUMENTAR MIS VENTAS: ENFOQUE EN PROMOCION Y PUBLICIDAD
COMO AUMENTAR MIS VENTAS: ENFOQUE EN PROMOCION Y PUBLICIDAD OBJETIVOS Conocer la importancia del uso de Publicidad y Promoción en el negocio. Cómo mejorar el negocio a través de la Promoción y Publicidad.
Más detallesCAPITULO V. Conclusiones y recomendaciones. Este capítulo tiene como objetivo mostrar las conclusiones más significativas que se
CAPÍTULO V 74 CAPITULO V Conclusiones y recomendaciones Este capítulo tiene como objetivo mostrar las conclusiones más significativas que se identificaron a lo largo de la investigación. Asimismo, se presentan
Más detallesOHSAS 18001. Qué es la OHSAS 18001?
OHSAS 18001 Qué es la OHSAS 18001? Cuando una Empresa quiere demostrar su capacidad en el cumplimiento de requisitos y dentro de una gestión de calidad, busca la certificación en la norma ISO 9001. Cuando
Más detallesSi piensa que no hay forma de prevenir el cáncer
Si piensa que no hay forma de prevenir el cáncer Conozca los estudios clínicos Yo decidí participar en un estudio clínico para ayudarme a mí mismo y a mi comunidad. DEPARTAMENTO DE SALUD Y SERVICIOS HUMANOS
Más detalles