Preguntas claves para el tema #5 – Marcos de gobierno TIC y políticas de

seguridad

1. Diferencia conceptual entre gobierno y gobernanza de las TIC

La gobernanza representa el marco en el que se apoyan los que ejecutan las acciones,
mientras que el gobierno es la acción de aplicar dicho marco, y la gestión el modo en el
que se lleva a cabo esas acciones.

2. Quién realiza la gestión de las TIC en el día a día?

Director de TI
3. Quién realiza la operación de las TIC´s
Técnicos TI
4. Aspectos principales de la gobernanza de las TIC
➢ Planificación y dirección (en el sentido de capitanear o pilotar).
➢ Ejercicio de la autoridad legal y regulatoria.
➢ Uso de recursos institucional para gestionar las organizaciones.
➢ Aspecto de separación de la propiedad y el control.
➢ Relaciones entre consejeros, propietarios, ejecutivos, empleados, clientes, reguladores
y comunidades.

5. COSO es un marco de gobierno de las TIC?

SI

6. Clasifique los marcos de gobierno y los marcos de gestión y su principal objetivo:

Nombre del marco Tipo de marco (gobierno o Principal objetivo

gestión)
Ejm: ITIL Marco de gestión Ofrecer un conjunto
de mejores prácticas y
recomendaciones para
la administración de servicios
de TI.
COSO Marco de gobierno Está diseñado para identificar
los eventos que
potencialmente puedan
afectar a la entidad y para
administrar los riesgos,
proveer seguridad razonable
para la administración y para
la junta directiva de la
organización orientada al
logro de los objetivos del
negocio.
COBIT 5 Marco de gestion COBIT 5 es un marco de
trabajo que permite
comprender el gobierno y la
gestión de las tecnologías de
información (TI) de una
organización, así como
evaluar el estado en que se
encuentran las TI en la
empresa.
PMBOK El propósito principal de este
libro es la aplicación de
conocimientos, procesos,
habilidades, herramientas y
técnicas que son de gran
relevancia en el éxito de un
proyecto.
➢ Establece códigos de ética
y conducta a los profesionales
que ejercen esta profesión, y
deja claro las obligaciones que
se tiene respecto a la
responsabilidad, respeto,
equidad, y honestidad.
➢ Proporcionar un amplio
vocabulario y aplicación de
conceptos dentro de la
dirección de proyectos como
profesión. Todo profesional
en esta materia deberá tener
un amplio Léxico.
➢ Y el más importante de los
propósitos es estandarizar
todos los procesos que se
llevan a cabo en la dirección
de los proyectos y que todos
los directores de proyectos
tengan claros conocimientos
desde el inicio hasta el final
de un proyecto.
ISO/IEC 38500 Marco de gobierno Este marco es del gobierno de
TIC. Es un estándar
internacional para las buenas
prácticas del Gobierno de las
Tecnologías de la Información
(TI). Su principal función es
gobernar las TI dentro de la
empresa, para conseguirlo se
 basa en seis principios y tres
procesos.
Complete con el resto de los marcos presentados en el material de clase.

1. Que es la gestión de la seguridad de la información?

Es la parte de la gestión de IT (IT gobernance) encargada de la protección y la seguridad de
los activos informativos de una organización (information assets).
10 dominios de control que cubren por completo la Gestión de la Seguridad de la
Información:
1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10.Conformidad con la legislación.

2. Qué es una política de seguridad en término de las TIC´s?

Una política de seguridad es una declaración formal de las reglas que deben seguir las
personas con acceso a los activos de tecnología e información dentro de una organización.
Por otro lado los procedimientos son la descripción detallada de la manera como se
implanta una política. El procedimiento incluye todas las actividades requeridas y los roles
y responsabilidades de las personas encargadas de llevarlos a cabo.

3. Funciones principales de las políticas de seguridad de la información

● Evaluar y proteger los activos de información clave y la infraestructura crítica.
● Limitar el riesgo sobre los activos de la compañía, mediante el uso de medios
administrativos, tecnológicos y físicos.
● Asegurar que la organización está conforme con las regulaciones aplicables, así como
otras regulaciones que pueden afectar a clientes y colaboradores.
● Fusionar y compartir la información de seguridad entre todas las áreas de negocio de la
organización.
● Planificar y proporcionar continuidad en las operaciones antes, durante y después de
desastres.
● Proteger y dar soporte al funcionamiento y la interoperabilidad de las comunicaciones
de los sistemas que están alrededor de los activos de información
 4. Complete el siguiente cuadro: estándares para desarrollar políticas de seguridad,
propósito y publico a quien va dirigido.

Estandard Propósito Público a quien va dirigido

Ejm: PCI DSS V2.0 Define controles para la A las entidades que participan
protección de los datos del en los procesos de
titular de la tarjeta y/o datos almacenamiento,
confidenciales de procesamiento y/o
autenticación durante su transmisión de datos del
procesamiento, titular de la tarjeta y/o datos
almacenamiento y/o confidenciales de
transmisión. autenticación
de las tarjetas de pago.
ISO/IEC 27001 El principal objetivo de la Aquellas organizaciones que
norma ISO 27001 es analizar y hayan adecuado previamente
gestionar los riesgos basados de forma rigurosa sus
en los procesos. Resulta muy sistemas de información y sus
útil el análisis y la gestión de procesos de trabajo a las
riesgos basados en los exigencias de las normativas
procesos ya que evalúa y legales de protección de datos
controla a la organización en (p.ej., en España la conocida
relación a los diferentes LOPD y sus normas de
riesgos a los que se encuentra desarrollo, siendo el más
sometido el sistema de importante el Real Decreto
información. 1720/2007, de 21 de
diciembre de desarrollo de la
Ley Orgánica de Protección de
Datos) o que hayan realizado
un acercamiento progresivo a
la seguridad de la información
mediante la aplicación de las
buenas prácticas de ISO/IEC
27002, partirán de una
posición más ventajosa a la
hora de implantar ISO/IEC
27001.
AUP v5.0 De acuerdo con ISRS 4400, el Auditores de empresa que
objetivo de un compromiso realizan auditoría según los
de AUP es llevar a cabo procedimientos acordados, ya
procedimientos de naturaleza que solo proporciona
de auditoría que el hallazgos de hechos y no
profesional, la entidad y ofrece opiniones,
cualquier tercero apropiado conclusiones o garantías en el
hayan acordado e informar informe final. En cambio, el
sobre los hallazgos de hechos. informe del auditor
Estos compromisos pueden simplemente presenta los
implicar que el profesional hechos, con los facilitadores
 realice ciertos procedimientos de auditoría sacando sus
con respecto a elementos propias conclusiones de los
individuales de datos hallazgos.
financieros.
HIPAA El propósito de la Regla de A los profesionales de la salud
Privacidad de HIPAA era que tienen el deber de tomar
introducir restricciones en los medidas razonables para
usos y divulgaciones preservar la confidencialidad
permitidos de información de de la información médica
salud protegida, estipulando personal, de acuerdo con las
cuándo, con quién y bajo qué preferencias de la persona en
circunstancias, se podría cuestión. Algunas veces los
compartir información de profesionales de la salud son
salud. Otro propósito requeridos por ley para
importante de la Regla de desvelar cierta información,
Privacidad de HIPAA era dar a en general si la enfermedad
los pacientes acceso a sus puede representar un peligro
datos de salud a pedido. El para los demás. Por ejemplo,
propósito de la Regla de ciertas enfermedades
Seguridad de HIPAA es infecciosas, tales como la
principalmente asegurar que causada por el virus de la
los datos electrónicos de inmunodeficiencia humana
salud estén debidamente (VIH), la sífilis y la
protegidos, se controle el tuberculosis, suelen ser de
acceso a los datos declaración obligatoria ante
electrónicos de salud. los organismos
gubernamentales o sanitarios
competentes.
NIST SP 800-53 La publicación especial NIST NIST desarrolla y emite
800-53 es parte de la serie de estándares, pautas y otras
publicaciones especiales 800 publicaciones para ayudar a
que informa sobre la las agencias federales a
investigación, las directrices y implementar la Ley Federal de
los esfuerzos de divulgación Modernización de la
del Information Technology Seguridad de la Información
Laboratory’s (ITL) en la de 2014 ( FISMA ) y para
seguridad del sistema de ayudar con la gestión de
información, y sobre la programas rentables para
actividad de ITL con la proteger su información y
industria, el gobierno y los sistemas de información.
académicos. Específicamente,
la publicación especial NIST
800-53 cubre los pasos en el
marco de gestión de riesgos
que abordan la selección de
control de seguridad para los
sistemas de información
federales de acuerdo con los
 requisitos de seguridad en el
Estándar federal de
procesamiento de
información (FIPS) 200. Esto
incluye la selección de un
conjunto inicial de seguridad
de referencia controles
basados en un análisis de
impacto del peor caso de FIPS
199, adaptando los controles
de seguridad de línea de base
y complementando los
controles de seguridad
basados en una evaluación
organizacional del riesgo.
Complete con el resto de los estándares presentados en el material de clase.