Modelos de Madurez' - PowerPoint PPT Presentation

1 / 85
About This Presentation
Title:

Modelos de Madurez'

Description:

de mejores pr cticas como ISO17799 e ISF-SGP, de controles como ... COBIT (Control Objectives for Information and related Technology) Directrices Gerenciales ... – PowerPoint PPT presentation

Number of Views:1623
Avg rating:3.0/5.0
Slides: 86
Provided by: cempo
Category:

less

Transcript and Presenter's Notes

Title: Modelos de Madurez'


1
Modelos de Madurez.
  • Enrique Daltabuit
  • D.G.S.C.A.
  • U.N.A.M.

2
  • Actualmente existe un gran número de estándares
    tanto de gestión como de seguridad de la
    información, entre los que se encuentran los bien
    conocidos ISO17799 y BS7799-2.
  • Cada uno de estos estándares toma un punto de
    vista principal
  • de procesos como ITIL o COBIT,
  • de mejores prácticas como ISO17799 e ISF-SGP,
  • de controles como BS7799-2, ISO13335 y SP800-53,
  • o de riesgo como hacen OCTAVE y MAGERIT.

3
  • Las mejores prácticas tienen un ámbito de
    aplicación universal y son fáciles de entender,
    pero la implementación resulta muy compleja.
  • La orientación al riesgo es la más satisfactoria
    desde el punto de vista teórico, pero puede ser
    cara y no resulta fácil de manejar a nivel
    técnico.

4
  • La orientación a los procesos es sencilla de
    implementar, pero no garantiza los resultados.
  • La orientación a controles es fácil de auditar y
    aparentemente garantiza resultados, pero es muy
    compleja de implementar y puede resultar muy poco
    flexible

5
  • Veremos los modelos mas recientes

6
  • COBIT (Control Objectives for Information and
    related Technology)
  • Directrices Gerenciales
  • Julio de 2000
  • 3ra Edición
  • Publicado por El Comité de Dirección de COBIT y
    el IT Governance Institute

7
  • La Misión de COBIT
  • Investigar, desarrollar, publicar y promover un
    conjunto de objetivos de control en tecnología de
    información con autoridad, actualizados, de
    carácter internacional y aceptados generalmente
    para el uso cotidiano de gerentes de empresas y
    auditores.

8
  • A los gerentes generales de las organizaciones
    corporativas y públicas se les pide
    frecuentemente que consideren un caso de negocio
    para los gastos de recursos para controlar la
    infraestructura de información. Mientras pocos
    argumentarían que esto no es bueno, todos se
    deben preguntar

9
  • Hasta dónde debemos ir, y está el costo
    justificado por el beneficio?
  • Para ayudar a responder esa pregunta, a menudo se
    hacen otras preguntas relacionadas

10
  • Qué estándares reconocidos internacionalmente
    existen, y cómo estamos nosotros situados
    respecto a éstos?
  • Qué están haciendo los demás, y cómo estamos
    nosotros situados en relación a ellos?
  • Qué está considerado como la mejor práctica de
    la industria, y cómo estamos nosotros situados en
    relación con esa mejor práctica?

11
  • Basados en estas comparaciones externas, podría
    decirse que nosotros estamos tomando precauciones
    razonables para salvaguardar nuestros activos
    de información?

12
  • La administración de TI está constantemente en la
    búsqueda de herramientas de referencia y de auto
    evaluación en respuesta a la necesidad de saber
    qué hacer en una forma eficiente

13
  • Comenzando con los procesos de COBIT y con
    objetivos de control de alto nivel, el
    propietario del proceso debe ser capaz de
    precisar

14
  • (1) una medida relativa de dónde está la
    organización
  • (2) una forma de decidir eficientemente dónde ir
  • (3) una herramienta para medir el progreso con
    respecto al objetivo

15
  • Los modelos de madurez para el control de los
    procesos de TI consisten en desarrollar un método
    de puntaje de modo que una organización pueda
    calificarse a sí misma desde inexistente hasta
    optimizada (de 0 a 5).

16
  • Este método ha sido derivado del Modelo de
    Madurez que el Software Engineering Institute
    definió para la madurez de la capacidad de
    desarrollo de software.
  • Contra estos niveles, desarrollados para cada uno
    de los 34 procesos de TI de COBIT, la
    administración puede mapear o cruzar

17
  • El estado actual de la organizacióndónde está la
    organización actualmente
  • El estado actual de la industria (la mejor de su
    clase en)la comparación
  • El estado actual de los estándares
    internacionalescomparación adicional
  • La estrategia de la organización para
    mejoramientodónde quiere estar la organización

18
  • COBIT es un marco de referencia general dirigido
    a la administración de TI y como tal estas
    escalas necesitan ser prácticas para aplicar y
    razonablemente fáciles de entender

19
  • Los Criterios de Información contenidos en el
    Marco Referencial de COBIT ayudan a asegurarse de
    que estamos enfocados en los aspectos correctos
    de la administración cuando describimos la
    práctica real.

20
Planeación y Organización
  • PO1 Definir un Plan Estratégico de TI
  • PO2 Definir la Arquitectura de la Información
  • PO3 Determinar la Dirección Tecnológica
  • PO4 Definir la Organización y las Relaciones de
    TI
  • PO5 Administrar la Inversión de TI
  • PO6 Comunicar los Objetivos y la Dirección de la
    Administración
  • PO7 Administrar los Recursos Humanos
  • PO8 Asegurar el Cumplimiento de los Requisitos
    Externos
  • PO9 Evaluar los Riesgos
  • PO10 Administrar Proyectos
  • PO11 Administrar la Calidad

21
Adquisición e Implementación
  • AI1 Identificar Soluciones Automatizadas
  • AI2 Adquirir y Mantener Software de Aplicación
  • AI3 Adquirir y Mantener Infraestructura de
    Tecnología
  • AI4 Desarrollar y Mantener Procedimientos
  • AI5 Instalar y Acreditar Sistemas
  • AI6 Administrar Cambios

22
Entrega y Soporte
  • DS1 Definir y Administrar Niveles de Servicio
  • DS2 Administrar Servicios de Terceros
  • DS3 Administrar el Desempeño y la Capacidad
  • DS4 Asegurar un Servicio Continuo
  • DS5 Asegurar Seguridad de Sistemas
  • DS6 Identificar y Asignar Costos
  • DS7 Educar y Capacitar a los Usuarios
  • DS8 Asistir y Asesorar a los Clientes
  • DS9 Administrar la Configuración
  • DS10 Administrar Problemas e Incidentes
  • DS11 Administrar Datos
  • DS12 Administrar Facilidades
  • DS13 Administrar Operaciones

23
Monitoreo
  • M1 Monitorear los Procesos
  • M2 Evaluar lo Adecuado del Control Interno
  • M3 Obtener aseguramiento Independiente
  • M4 Proveer Auditoría Independiente

24
  • Los Modelos de Madurez se construyen a partir del
    modelo genérico cualitativo a los que se agregan
    las prácticas y los principios de los dominios
    siguientes de forma creciente a través de todos
    los niveles

25
  • Entendimiento y conocimiento de los riesgos y de
    los problemas de control
  • Capacitación y comunicación aplicadas a los
    problemas
  • Proceso y prácticas que son implementados
  • Técnicas y automatización para hacer los procesos
    más efectivos y eficientes
  • Grado de cumplimiento de la política interna, las
    leyes y las reglamentaciones
  • Tipo y grado de pericia empleada.

26
  • Los Modelos de Madurez se refieren a los
    requerimientos del negocio y a los aspectos
    posibilitadores en los diferentes niveles de
    madurez

27
  • Son una escala que se presta para la comparación
    pragmática
  • Son una escala en la que la diferencia puede
    hacerse mensurable de manera sencilla
  • Son reconocibles como un perfil de la empresa
    relativo al gobierno de TI, la seguridad y el
    control

28
  • Ayudan a fijar posiciones de Como está y Como
    debe estar en relación con el gobierno de TI, la
    madurez de la seguridad y el control
  • Se prestan para hacer análisis de los vacíos/gap
    para determinar lo que es necesario hacer para
    alcanzar un nivel determinado

29
  • Evitan, donde es posible, niveles discretos que
    crean umbrales que son difíciles de cruzar.
  • Aplican cada vez más factores críticos de éxito-
  • No son específicos de la industria ni son siempre
    aplicables, el tipo de negocio define lo que es
    apropiado.

30
Metrica
  • La escala 0-5 se basa en una escala simple de
    madurez que muestra cómo evoluciona un proceso
    desde Inexistente hasta optimizado.
  • Debido a que son procesos de administración, la
    madurez y la capacidad aumentada es también
    sinónimo de mayor manejo del riesgo y mayor
    eficiencia.

31
(No Transcript)
32
0 Inexistente.
  • Total falta de un proceso reconocible. La
    organización ni siquiera ha reconocido que hay un
    problema que resolver.

33
1 Inicial.
  • Hay evidencia de que la organización ha
    reconocido que los problemas existen y que
    necesitan ser resueltos.
  • Sin embargo, no hay procesos estandarizados pero
    en cambio hay métodos ad hoc que tienden a ser
    aplicados en forma individual o caso por caso.
  • El método general de la administración es
    desorganizado.

34
2 Repetible.
  • Los procesos se han desarrollado hasta el punto
    en que diferentes personas siguen procedimientos
  • similares emprendiendo la misma tarea.
  • No hay capacitación o comunicación formal de
    procedimientos estándar y la responsabilidad se
    deja a la persona.
  • Hay un alto grado de confianza en los
    conocimientos de las personas y por lo tanto es
    probable que haya errores

35
3 Definida.
  • Los procedimientos han sido estandarizados y
    documentados, y comunicados a través de
    capacitación.
  • Sin embargo se ha dejado en manos de la persona
    el seguimiento de estos procesos, y es improbable
    que se detecten desviaciones.
  • Los procedimientos mismos no son sofisticados
    sino que son la formalización de las prácticas
    existentes.

36
4 Administrada.
  • Es posible monitorear y medir el cumplimiento de
    los procedimientos y emprender acción donde los
    procesos parecen no estar funcionando
    efectivamente.
  • Los procesos están bajo constante mejoramiento y
    proveen buena práctica.
  • Se usan la automatización y las herramientas en
    una forma limitada o fragmentada.

37
5 Optimizada.
  • Los procesos han sido refinados hasta un nivel de
    la mejor práctica, basados en los resultados de
    mejoramiento continuo y diseño de la madurez con
    otras organizaciones.
  • TI se usa en una forma integrada para
    automatizar el flujo de trabajo, suministrando
    herramientas para mejorar la calidad y la
    efectividad, haciendo que la empresa se adapte
    con rapidez

38
ISM3 1.0
  • Information Security Management Maturity Model
  • Vicente Aceituno And The Institute For Security
    And Open Methodologies (ISECOM)
  • 2004
  • WWW.ISECOM.ORG

39
ISECOM
  • El Instituto para la Seguridad y las Metodologías
    Abiertas (ISECOM) es una iniciativa internacional
    sin ánimo de lucro dedicada a definir estándares
    técnicos y éticos en seguridad de la información
    desde Enero de 2001. El equipo está compuesto de
    voluntarios, y soportado por un panel de
    directores, consejero y un administrador
    regional.

40
  • ISM3 nace de la observación del contraste
    existente entre el número de organizaciones
    certificadas ISO9000 (unas 350,000), y las
    certificadas BS7799-22002 (unos cientos en todo
    el mundo).

41
  • Utiliza un modelo de gestión para diferenciar las
    tareas de seguridad operativa que previenen y
    mitigan incidentes de las tareas estratégicas y
    tácticas que identifican los activos a proteger,
    las medidas de seguridad a emplear, y los
    recursos que han de dedicarse a estas.

42
  • El punto de partida de ISM3 son las mejores
    ideas sobre sistemas de gestión y controles de
    seguridad de ISO9000, ITIL, CMMI y los 7799.

43
  • ISM3 nace con la vocación de cubrir las
    necesidades de empresas grandes y pequeñas que
    quieren asegurarse de obtener el máximo
    rendimiento de sus recursos, o bien disponen de
    recursos limitados.

44
  • ISM3 es un estándar orientado al negocio,
    adaptable, certificable, compatible, escalable,
    abierto y completo

45
  • ISM3 no persigue la invulnerabilidad (seguridad
    absoluta), sino garantizar el cumplimiento de la
    misión de la organización (seguridad definida).

46
  • ISM3 está pensado para ser utilizable por todo
    tipo de organizaciones, sean grandes o pequeñas,
    privadas, del sector público o bien ONG's

47
  • ISM3 alinea la gestión de la seguridad con las
    necesidades del negocio mediante el uso de dos
    conceptos claves,
  • los Objetivos de Seguridad Cualitativos
  • los Objetivos de Seguridad Cuantitativos,
    evoluciona

48
  • Los objetivos de seguridad cualitativos se
    derivan de la misión de la organización

49
  • los objetivos de seguridad cuantitativos se
    derivan de los bienes, entornos y ciclos de vida
    a proteger, y los recursos disponibles para
    realizar esta protección.

50
  • Los objetivos de seguridad cualitativos se
    documentan en la Política de Seguridad, y por su
    naturaleza se mantienen básicamente constantes
    según la organización

51
  • los objetivos cuantitativos permiten medir la
    eficacia del sistema de gestión.
  • Si los objetivos se cumplen, el sistema es
    eficaz.
  • Si no se cumplen,
  • o bien el sistema no opera correctamente,
  • o los objetivos no son realistas,
  • o bien no hay suficientes recursos para conseguir
    los objetivos.

52
ISM3 Nivel 0
  • Este nivel puede producir mejoras a corto plazo
    pero no llevara a una reducción significativa del
    riesgo de amenazas técnicas e internas en el
    mediano y largo plazo
  • No es recomendable permanecer en este nivel..

53
ISM3 Nivel 1
  • Este nivel conducirá a una reducción notable en
    el riesgo de riegos técnicos logrados con una
    inversión mínima en los procesos.
  • Se recomienda este nivel para organizaciones que
    tienen objetivos de seguridad bajos en entornos
    de riesgos bajos.

54
ISM3 Nivel 2
  • Este nivel debe resultar en una mayor reducción
    de riesgos de tipo técnico logrados mediante una
    inversión modesta en los procesos..
  • Se recomienda para organizaciones cuyos objetivos
    de seguridad sean normales en entornos de riesgo
    normales..

55
ISM3 Nivel 3
  • Este nivel debe lograr la mayor reducci0n de
    riesgos de amenazas técnicas logradas mediante
    una inversión considerable en los procesos de
    seguridad..
  • Se recomienda este nivel para organizaciones que
    tengan objetivos de seguridad ambiciosos en
    entornos normales o de alto riesgo.

56
ISM3 Nivel 4
  • Este nivel lograra la mayor reducción de los
    riesgos técnicos e internos mediante una
    inversión cuantiosa en los procesos de seguridad.
  • Las organizaciones tales como proveedores de
    servicios públicos, instituciones financieras y
    aquellas que compartan información sensitiva con
    un objetivo de seguridad alto en entornos de
    riesgo normales o altos.

57
Requisitos
  • Documentar. La documentación debe describir
    detalladamente los procesos e incluir machotes y
    ejemplos.

58
  • Supervisión.
  • Se requiere evidencia de que cada proceso tiene
    un dueño.
  • Además se requiere evidencia de que se reporta
    la eficiencia o funcionamiento.
  • El proceso puede ser interno o subrogado,.

59
  • Suficiencia de recursos.
  • Se requiere evidencia de que se han asignado
    recursos presupuestales para personal y espacio
    para llevar a cabo los procesos.
  • La evidencia de que se llevan a cabo los procesos
    es suficiente para demostrar que se han asignado
    los recursos.

60
  • Hay tres niveles de administración de la
    seguridad
  • Estratégico
  • que se ocupa de los objetivos generales y de la
    provisión de recursos .
  • Táctico
  • que se ocupa de los objetivos específicos y de la
    administración de recursos
  • Operativo
  • que se ocupa de lograr los objetivos que se han
    definido.

61
  • Los resultados operativos de ISM son
  • Mitigación de los incidentes
  • Prevención de incidentes
  • Reducción de riesgos
  • Confianza

62
Selección de los procesos de seguridad
  • Se basa en
  • Estimación de amenazas
  • Estimación de vulnerabilidades
  • Análisis del impacto en las actividades
  • Análisis de riesgos
  • Análisis del resultado de la inversión en
    seguridad

63
  • El resultado de la inversión en seguridad se
    defina como el cociente de las perdidas evitadas
    a los costos de la inversión el seguridad.
  • Es una forma de mejorar la asignación de recursos
    escasos.

64
  • La administración estratégica cumple las
    siguientes funciones
  • Liderazgo y coordinación de la seguridad de la
    información Seguridad física
  • Seguridad den entorno de trabajo ( ajeno a ISM3)
  • Interacción con las unidades operativas

65
  • Revisión y mejoría de la administración del
    sistema de seguridad
  • Asignación de recursos a la seguridad de la
    información
  • Definición de los objetivos de seguridad que sean
    consistentes con los objetivos de la organización
    protegiendo los intereses de los interesados
  • Define los esquemas de delegación de
    responsabilidades..

66
  • La administración táctica es responsable ante la
    administración estratégica del funcionamiento
    del sistema ISM y del uso de recursos.

67
  • Objetivos específicos
  • Proporcionar información a la administración
    estratégica
  • Definir el entorno de la administración operativa
  • Definir los objetivos de seguridad
  • Definir la métrica de la eficacia y eficiencia

68
  • Definir las clases de información, las
    prioridades, la duración y la calidad de los
    grupos.
  • Definir los entornos y ciclos de vida
  • Seleccionar los procesos apropiados para lograr
    los objetivos de seguridad
  • Administrar el presupuesto, los recursos humanos
    y otros recursos asigados a la seguridad de la
    información

69
  • La selección de los procesos apropiados para
    lograr los objetivos de seguridad se basan en
    distintas evaluaciones o tipos de análisis

70
  • Análisis de amenazas
  • Análisis de vulnerabilidades
  • Análisis del impacto en las actividades
  • Análisis de riesgos
  • Análisis del resultado de la inversión en
    seguridad.

71
  • Las responsabilidades y los canales de entrega
    de reportes deben estar claramente definidos y
    documentados.
  • Los informes estratégicos deben ponerse a
    disposición de los interesados según se estime
    conveniente y sea consistente con la legislación,
    reglamentación y estándares de gobernabilidad de
    la organización

72
  • Los informes operativos deben estar disponibles a
    los administradores estratégicos y tácticos
  • Los informes tácticos deben estar disponibles a
    los administradores estratégicos,.

73
  • INTEGRACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD
    DE LA INFORMACIÓN CON UN SISTEMA DE GESTIÓN DE LA
    CALIDAD
  • ANDREA MARCELA BARRIENTOS ARCILA
  • KAREN ALEXANDRA AREIZA CÓRDOBA
  • UNIVERSIDAD EAFIT
  • DEPARTAMENTO DE INFORMÁTICA Y SISTEMAS
  • MEDELLÍN 2005

74
  • El CMMI es un modelo de procesos (no de mejora)
    que muestra la madurez de una organización
    basándose en la capacidad de sus procesos y surge
    como la integración del CMM (Capability Maturity
    Model) v.2.0 y de la ISO 15504 Draft Standar
    v.1.00.

75
(No Transcript)
76
  • Basado en el Modelo CMMI y en la Norma ISO/IEC
    17799 se desarrollo un modelo de madurez para la
    seguridad de la información,

77
  • con el propósito de ayudar a los encargados de
    evaluar la seguridad de la información de la
    organización,
  • a determinar en que nivel o grado se encuentra
    está y así tomar ecisiones al respecto que
    permitan
  • a identificar las fallas que se tienen en un
    determinado nivel.

78
(No Transcript)
79
(No Transcript)
80
(No Transcript)
81
(No Transcript)
82
(No Transcript)
83
(No Transcript)
84
(No Transcript)
85
(No Transcript)
Write a Comment
User Comments (0)
About PowerShow.com