jueves, 8 de mayo de 2014

OBJETIVOS DE CONTROL EN REDES BASADOS EN COBIT

OBJETIVOS DE CONTROL DE SEGURIDAD EN REDES BASADOS EN COBIT

 ü  Administración de la seguridad de TI
Administrar la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio.

 ü  Plan de seguridad de TI
Trasladar los requerimientos de información del negocio, la configuración de TI, los planes de acción del riesgo de la información y la cultura sobre la seguridad en la información a un plan global de seguridad de TI. El plan se implementa en políticas y procedimientos de seguridad en conjunto con inversiones apropiadas en servicios, personal, software y hardware. Las políticas y procedimientos de seguridad se comunican a los interesados y a los usuarios.

 ü  Protección de la tecnología de seguridad
Garantizar que la tecnología importante relacionada con la seguridad no sea susceptible de sabotaje y que la documentación de seguridad no se divulgue de forma innecesaria, es decir, que mantenga un perfil bajo. Sin embargo no hay que hacer que la seguridad de los sistemas dependa de la confidencialidad de las especificaciones de seguridad.

 ü  Prevención, detección y corrección de software malicioso
Garantizar que se cuente con medidas de prevención, detección y corrección (en especial contar con parches de seguridad y control de virus actualizados) a lo largo de toda la organización para proteger a los sistemas de información y a la tecnología contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento desarrollado internamente, etc.).

 ü   Seguridad de la red
Garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes.

 ü   Intercambio de datos sensitivos

Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a través de una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba de envío, prueba de recepción y no rechazo del origen.

NIVELES DE COBIT

NIVELES DE COBIT

 ü  Dominio: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.
 ü  Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

 ü  Actividades: Acciones requeridas para lograr un resultado medible.


ORÍGENES Y CARACTERÍSTICAS DE COBIT


ORIGENES
COBIT fue publicado por primera vez por ITGI en abril de 1996. Su última actualización COBIT hace énfasis en el cumplimiento reglamentario, ayudando a las organizaciones a incrementar el valor de TI, destacando los vínculos entre los objetivos del negocio y TI, y simplificando la implementación del marco de trabajo COBIT. Este marco de trabajo es la base para diferentes entes reguladores. a nivel mundial, con la finalidad de lograr que las entidades reguladas optimicen sus inversiones de TI y administren adecuadamente sus riesgos tecnológicos.

CARACTERÍSTICAS DE COBIT

 ü  Orientado al negocio
 ü  Alineado con estándares y regulaciones "de facto"
 ü  Basado en una revisión crítica y analítica de las tareas y actividades en TI
 ü  Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

CERTIFICACIÓN EN COBIT

¿QUIEN PUEDE LOGRAR UNA CERTIFICACIÓN EN COBIT?
El propósito de lograr una certificación en COBIT es que los participantes entiendan la necesidad de adoptar y adaptar un marco de trabajo de gobierno y gestión de TI (GEIT) y cómo COBIT resuelve esta necesidad para cualquier tipo y tamaño de empresa, COBIT es un marco de Gobierno de TI aceptado globalmente.
El público objetivo tanto para el curso como para el examen de certificación mundial a nivel de fundamentos COBIT se tiene en cuenta:  

 ü  Gerentes de Negocios  
 ü  Jefes Ejecutivos  
 ü  Auditores de TI/IS  
 ü  Auditores Internos  
 ü  Profesionales en Seguridad de la Información y de TI  
 ü  Consultores  
 ü  Gerentes de TI/IS  

Personal que desee obtener conocimientos  en  el gobierno y la gestión de TI, y quiera  a futuro certificarse como implementador o Asesor de COBIT.



CARACTERISTICAS DEL EXAMEN DE CERTIFICACION  

 ü  Certificación mundial asignada al participante  
 ü  Examen gestionado por APMG  (Instituto examen que acredita la formación y organizaciones de consultoría, y gestiona los sistemas de certificación para los profesionales).
 ü  Contiene 50 preguntas de opción múltiple.
 ü  Tiene una duración de 40 minutos.
 ü  No se permite libro abierto.
 ü  Se aprueba con un mínimo de 25 respuestas acertadas correctamente, es decir 50%.
 ü  Se realiza vía web.

 ü  Idioma del examen disponible en español latinoamericano, inglés, alemán o portugués.
   

     TEMAS A TRATAR
    
    Las áreas de enseñanza basadas en el contenido oficial de COBIT son las siguientes;  

 ü  Introducción.                                                                     
 ü  Módulo OV: Introducción y características de COBIT.                      
 ü  Modulo PR: Los Principios en COBIT.                                              
 ü  Modulo EN: Los Catalizadores en COBIT.                       
 ü  Módulo IM: Introducción a la Implementación en COBIT.            
 ü  Modulo PC: Modelo de Valoración de la Capacidad de los Procesos.          
 ü  Preparación para el examen de certificación.            

 ü  Examen de certificación.

LINEAMIENTOS COBIT

LINEAMIENTOS EN COBIT
El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en 4 dominios principales:

 ü  PLANIFICACION Y ORGANIZACION
El dominio delimita las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.

 ü  ADQUISION E IMPLANTACION
Para llevar a cabo la estrategia de las Tecnologías de la Información y sus soluciones deben ser identificadas y desarrolladas tanto así como implementadas e integradas dentro del proceso del negocio; este dominio cubre los cambios y el mantenimiento implementados a sistemas existentes.

 ü  SOPORTE Y SERVICIOS
Este dominio se hace referencia a la entrega de los servicios requeridos, que abarca operaciones tradicionales los cuales siguen parámetros de seguridad y continuidad. Con el fin de proveer servicios, éstos deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación.

 ü  MONITOREO

Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.


PUNTOS AUDITABLES EN LA SEGURIDAD INFORMÁTICA


COBIT es ideal en los puntos a auditar en la seguridad de la comunicación y redes mediante:

 ü  Gestión de la Red: Inventario de equipamiento y normativa de conectividad.
 ü  Monitorización: De las comunicaciones, registro y resolución de problemas.
 ü  Revisión de costes: En la asignación de proveedores y servicios de transporte, balanceo de tráfico entre rutas y selección de equipamiento.
 ü  Participación Activa: En la estrategia de proceso de datos, fijación de estándares a ser usados en el desarrollo de aplicaciones y evaluación de necesidades en comunicaciones.


La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como la seguridad y calidad, por ende la implementación del modelo COBIT en una organización provee una herramienta automatizada para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control, que aseguran que los procesos, recursos de información y tecnología, el cual contribuyen al logro de los objetivos del negocio en un marcado cada vez más exigente, complejo y diversificado.

ALCANCE DE COBIT


ALCANCE

En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y productividad, tal vez salvo emergencias concretas.
Por ende la auditoría en seguridad de redes se centra en:

 ü  Tipos de redes y conexiones.
 ü  Información y programas transmitidos, y uso de cifrado.
 ü  Tipos de transacciones.
 ü  Tipos de terminales y protecciones: físicas lógicas, llamada de retorno.
 ü  Transferencia de archivos y controles existentes.
 ü  Internet e Intranet.

 ü  Correos Electrónicos.

OBJETIVOS DE COBIT


OBJETIVOS

 ü  Proponer un plan de acción en la evaluación de criterios de seguridad y calidad que aseguren los procesos y recursos de información.
 ü  Obtener un balance adecuado en el empleo de recursos disponibles, los cuales incluyen: personal, instalaciones, tecnología, sistemas de aplicación y datos.
 ü  Comprobar nivel de acceso a diferentes funciones dentro de la red.
 ü  Generar estrategias de comunicación a largo plazo.
 ü  Planificación de la recuperación de las comunicaciones en caso de desastre.
 ü  Documentar el diagramado de la red.

 ü  Vigilancia sobre toda actividad on-line.

sábado, 15 de febrero de 2014

TRABAJO PRIMER CORTE JEHISON ACERO


Link visualización trabajo primer corte:

https://drive.google.com/file/d/0Bw6wVr2EkKCeYjV4aUkweGEtY00/edit?usp=sharing

PROYECTO "COBIT COMO ENTE REGULADOR EN LA SEGURIDAD DE REDES"


INTRODUCCIÓN

En primer lugar cabe destacar la importancia de las organizaciones por preservar los requerimientos del negocio, los recursos y procesos para el adecuado funcionamiento de los diversos sectores de la organización.
Para ello se tiene en cuenta un software que permita ayudar con la parte de auditoria en el control de los sistemas de información y tecnología, por ende se tiene en cuenta que al adquirir un modelo como COBIT el cual enfatiza los controles específicos de la tecnología informática desde perspectivas empresariales.
COBIT es aplicable a los sistemas de información de toda entidad, entre ellas el tema para el proyecto "Seguridad en Redes", en el cual se establecen las directrices en procesos agrupados para proveer la información pertinente en el cumplimiento de objetivos.
Dentro del marco referencial COBIT ofrece al auditor herramientas desde la perspectiva global, en la cual el proceso de las tecnologías de la información han sido establecidos mediante proceso/actividad; facilitando la implementación e instalación de un proceso dentro del marco global de administración en un área específica a tratar.