conceptos Generales
¿Qué es Gobierno?
El gobierno es aquella estructura que ejerce las diversas actividades estatales, denominadas comúnmente poderes del Estado.
¿Qué es TI?
Es el estudio, diseño, desarrollo, implementación, soporte o dirección de los sistemas de información computarizados, la Tecnología de la Información (IT) es un término general que describe cualquier tecnología que ayuda a producir, manipular, almacenar, comunicar, y/o esparcir información.
¿Gobierno Corporativo?
Se define como un comportamiento corporativo ético por parte de los directores u otros encargados del gobierno, para la creación y entrega de los beneficios para todas las partes interesadas.
Gobierno de TI
Determina el marco para la toma de decisiones y la responsabilidad para fomentar el comportamiento deseado en el uso de la Tecnología de Información.
El gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, los procesos y las estructuras que aseguran que las tecnologías de la organización apoyen los objetivos y estrategias de la empresa.
Su objetivo:
- Las TI entrega funcionalidades y servicios.
- Las TI es un facilitador de la organización.
- Los recursos son utilizados en forma responsable.
- Todos los riesgos están identificados y administrados.
1. PRACTICAS DE MONITOREO Y ASEGURAMIENTO PARA LA JUNTA Y LA GERENCIA EJECUTIVA
El gobierno corporativo es un término incluyente que abarca sistemas de información, tecnología y comunicación; negocios, aspectos legales y otros como los directores, la alta gerencia, los propietarios de los procesos, los proveedores de TI, los usuarios y los auditores.
TI es también gobernado por las buenas o las mejores prácticas, que aseguran que la información y tecnología relacionada de la organización soportan objetivos de negocio, que sus recursos sean utilizados de manera responsable, y sus riegos sean administrados de manera apropiada, un efectivo gobierno corporativo concentra la pericia y experiencia individual y de grupo en áreas especificas, donde ellos puedan ser más efectivos los objetivos de TI y los de la empresa son un factor crítico de éxito.
Fundamentalmente, al gobierno de TI le incumbe dos aspectos: que TI entregue valor al negocio y que los riesgos de TI sean mitigados. Lo primero es impulsado por el alineamiento de TI con el negocio. Lo segundo está impulsado por la integración de la responsabilidad en la empresa.
El gobierno de TI es responsabilidad de la junta directiva y de la gerencia ejecutiva. Es parte integral del gobierno de la empresa y está constituido por las estructuras de liderazgo y organizacionales y los procesos que aseguran que la TI de la organización sostiene y extiende la estrategia y los objetivos de la organización.
Un elemento clave del gobierno de TI es la alineación del negocio con TI, que conlleva al logro del valor del negocio. Dichas estructura y prácticas deben estar constituidas por una variedad de estructuras, procesos y mecanismos relacionales. Las practicas clave del gobierno de TI son el comité de estrategias de TI la administración de riesgos y el Scorecard estándar balanceado de TI.
1.1 MEJORES PRÁCTICAS DE ITGI PARA EL GOBIERNO DE TI
El gobierno de TI es un conjunto de responsabilidades y prácticas usadas por la gerencia de una organización para proveer dirección estratégica, asegurando que las metas sean alcanzables, los riesgos sean debidamente considerados y los recursos organizacionales sean debidamente utilizados.
El gobierno de TI es una estructura de relaciones y procesos para dirigir y controlar que la empresa alcance sus metas, dando valor agregado mientras balancea el riesgo vs. El retorno sobre TI y sus procesos
El propósito del gobierno de TI es dirigir los esfuerzos de TI para asegurar que su desempeño logre las metas de alinear a TI con los objetivos de la empresa y la obtención de los beneficios prometidos. Adicionalmente, TI debe apoyar a la empresa explotando oportunidades y maximizando beneficios. Los recursos de TI deben usarse responsablemente, y los riesgos relacionados con TI deben ser administrados de manera apropiada.
- Rol de la Auditoria en el Gobierno de TI
La auditoria tiene un rol significativo en una implementación exitosa del gobierno de TI dentro de una organización. La auditoria esta mejor posicionada para proveer recomendaciones de prácticas lideres a la alta gerencia, para ayudar a mejorar la calidad y la efectividad de las iniciativas del gobierno de TI implementadas.
La auditoria ayuda a asegurar el cumplimiento de las iniciativas de gobierno de TI implementadas dentro de una organización.
El auditor de SI debe confirmar que los términos de referencia establezcan:
ü El alcance del trabajo (incluyendo una clara definición de las tareas y aspectos funcionales).
ü El nivel al que se entregara el informe.
ü El derecho de acceso a la información para el auditor de SI.
De acuerdo con el rol definido del auditor de SI, se necesita evaluar los siguientes aspectos relacionados con el gobierno de TI:
ü El alineamiento de la función sé SI con la misión, la visión, los valores, los objetivos y las estrategias de la organización.
ü El logro por parte de la función de SI de los objetivos de desempeño establecidos por el negocio(efectividad y eficiencia)
ü Los requerimientos legales, ambientales, de calidad de información, y fiduciarios y de seguridad.
ü El entorno de control de la organización.
ü Los riesgos inherentes dentro del entorno de SI.
1.2 COMITÉ DE ESTRATEGIAS DE TI
La creación de un comité de estrategia de TI es una mejor practica de la industria; sin embargo, el comité de estrategia de TI necesita ampliar su radio de acción para incluir no solo asesoramiento sobre estrategia cuando apoya a la junta en sus responsabilidades de gobierno de TI, si no también concentrarse en el valor de TI, los riesgos de desempeño.
Como un comité de la junta, la asesora en la supervisión de los asuntos relacionados con TI de la empresa, asegurando que la junta tenga la información interna y externa que requiera para una efectiva toma de decisiones del gobierno de TI.
1.3 SCORECARD BALANCEADO ESTANDAR DE TI
Es una técnica evaluativa que puede aplicarse al proceso de gobierno del negocio de TI para evaluar las funciones y los procesos de TI.
Estas medidas adicionales impulsan a la organización hacia el uso óptimo de TI, el cual está alineado con las metas estratégicas de la organización, mientras que mantiene en balance todas las perspectivas relacionadas con la evaluación. Para aplicarlo a TI, se usa una estructura de tres capas para tratar las cuatro perspectivas:
Ø Misión, por ejemplo:
ü Convertirse en el proveedor preferido de sistemas de información.
ü Entregar aplicaciones y servicios de TI eficientes y efectivos.
ü Obtener una contribución razonable de las inversiones en TI para el negocio,
ü Desarrollar oportunidades que respondan a los futuros desafíos.
Ø Estrategias, por ejemplo:
ü Desarrollar aplicaciones y operaciones superiores.
ü Desarrollar alianzas con los usuarios y mejores servicios para los clientes.
ü Proveer mejores niveles de servicio y de estructuras de precios.
ü Controlar los gastos de TI.
ü Proveer valor de negocio a los proyectos de TI.
ü Proveer nuevas capacidades de negocio.
ü Entrenar y educar al personal de TI y promover la excelencia.
ü Proveer soporte para la investigación y el desarrollo.
Ø Medidas, por ejemplo:
ü El uso de scorecard balanceado de TI es uno de los medios más efectivos para ayudar al comité de estrategia de TI y a la gerencia a lograr el alineamiento de TI y el negocio.
1.4 GOBIERNO DE SEGURIDAD DE INFORMACION
Dentro del gobierno de TI, el gobierno de seguridad de información debe convertirse en una actividad sobre la que se concentra mucha atención, con motivadores de valor especifico – integridad de la información, continuidad de servicios y protección de los activos de información.
- Panorama General del Gobierno de Seguridad de Información
La información puede definirse como “datos que tienen significado y propósito”. La información se ha convertido en un componente indispensable de la conducción del negocio para virtualmente todas las organizaciones. En un creciente número de compañías, la informaciones el negocio.
Las organizaciones tradicionales han sufrido una transformación radical en la “edad de la información” también. La complejidad, relevancia y criticidad de seguridad de información y su mandato de gobierno que sea encarada y soportada en los niveles más altos de la organización.
La seguridad de información se ocupa del universo de los riesgos, los beneficios y los procesos involucrados con las información y debe ser impulsada por la dirección ejecutiva y soportada por la junta directiva.
Gobierno de seguridad de información es responsabilidad de la junta directiva y de la dirección ejecutiva. Debe ser parte integral y transparente del gobierno de la empresa. Está constituido por la dirigencia, las estructuras organizacionales y los procesos que salvaguardan la información.
- Importancia del Gobierno de Seguridad de Información
Desde la perspectiva de una organización, el gobierno de seguridad de información es cada vez mas critico as medida que crece la dependencia de la información y los sistemas de TI. Los sistemas y procesos que manejan esta información se han vuelto verdaderamente penetrantes en todo el negocio y las organizaciones gubernamentales globalmente. Esta creciente dependencia de las organizaciones para con la información y los sistemas que la manejan. Aunado con los riesgo, beneficios y oportunidades que presentan estos recursos, han hecho del gobierno se seguridad de información una faceta cada vez mas
Critica de gobierno general. Además de satisfacer los requerimientos legales y regulatorios, el gobierno de seguridad de información es simplemente bien negocio.
Proveer responsabilidad de salvaguardar información durante las actividades criticas del negocio tales como fusiones y adquisiciones, recuperación del proceso de negocio, y respuestas regulatoria.
Y finalmente, porque la nueva tecnología de información suministra el potencial para un desempeño de negocio dramáticamente aumentado, una seguridad de información efectiva puede agregar un valor significativo a la organización de las formas siguientes:
Suministrando mayor confianza en las interacciones con los socios de negocio.
Protegiendo la reputación de la organización.
La seguridad de información (infosec) abarca todos los procesos de información, tanto físicos como electrónicos, independientemente de si ellos involucran personas y tecnología o relaciones con socios de negocio, clientes o terceros. A la seguridad de información le conciernen todos los aspectos de información y su protección de todos los puntos de su ciclo de vida dentro de la organización.
- Resultados del Gobierno de Seguridad
Los cinco resultados básicos de un gobierno efectivo de seguridad deben incluir:
Alineación estratégica: alinear la seguridad de información con la estrategia de negocio para soportar los objetivos de la organización. Soluciones de seguridad adecuadas para los procesos de la empresa que toman en cuenta la cultura, el estilo de gobierno, la tecnología y la estructura de la organización.
Inversión en seguridad de información alineada con la estrategia de la empresa y el perfil bien definido de amenaza, vulnerabilidad y riesgo.
Administración del riesgo: administrar y ejecutar medidas apropiadas para mitigar los riesgos y reducir los impactos potenciales sobre los recursos de información a un nivel aceptable. Para lograr administración de riegos, considerar lo siguiente:
- Entendimiento colectivo del perfil de amenaza, vulnerabilidad y riesgo de la organización.
- Mitigación del riesgo suficiente para alcanzar consecuencias aceptables de riesgo residual
- Aceptación /deferencia de riesgo basada en un entendimiento de las consecuencias potenciales del riesgo residual.
Entrega de valor: optimizar las inversiones en seguridad en soporte de los objetivos del negocio.
La Administración de recursos - Utiliza los conocimientos y la infraestructura de seguridad de información de manera eficiente y efectiva.
Medición del desempeño - Medir, monitorear y reportar sobre los procesos de seguridad de información para asegurar que se logren los objetivos.
- Gobierno efectivo de Seguridad de Información
El gobierno de seguridad de información es un subconjunto de gobierno corporativo que provee dirección estratégica para las actividades de seguridad y asegura que se logren los objetivos. Asegura que los riesgos de seguridad de información sean manejados de manera apropiada y que los recursos de información de la empresa se usen de manera responsable.
Para lograr un gobierno efectivo de seguridad de información, la gerencia debe establecer y mantener un marco para guiar el desarrollo y administración de un programa comprensivo de seguridad de información Que soporte los objetivos del negocio.
El marco de gobierno generalmente estará constituido por:
ü Una estrategia comprensiva de seguridad intrínsecamente vinculada con los objetivos del negocio.
ü Políticas de seguridad vigentes que se ocupen de cada aspecto de estrategia, controles y regulación.
ü Un conjunto completo de estándares para cada política para asegurar que los procedimientos y lineamientos cumplan con la política.
ü Una estructura organizacional efectiva de seguridad libre de conflictos de interés.
ü Procesos institucionalizados de monitoreo para asegurar el cumplimiento y proveer retroalimentación sobre la efectividad.
- Roles y responsabilidades de la Alta Gerencia y Juntas Directivas
El gobierno de seguridad de información requiere de dirección estratégica y de ímpetus. Requiere dedicación, recursos y asignar responsabilidad para la administración de seguridad de información, así como también un medio para que la junta determine que su objetivo se ha alcanzado.
Juntas Directivas /Alta Gerencia
Un gobierno efectivo de seguridad de información se puede lograr sólo mediante la participación de la junta directiva y/o de la alta gerencia para aprobar la política, el monitoreo y la métrica apropiadas así como también para los reportes y el análisis de tendencias.
Los miembros de la junta necesitan tener conocimiento de los activos de información de la organización y de su criticidad para las operaciones del negocio en progreso. Esto se puede lograr proveyendo periódicamente a la junta los resultados de alto nivel de evaluaciones comprensivas del riesgo y del análisis de impacto sobre el negocio (BIA). También se puede lograr mediante evaluaciones de los recursos de información respecto a la dependencia del negocio. Un resultado de estas actividades debe miembros de la junta que validen/ratifiquen los activos clave que ellos quieren proteger y que los niveles de protección y las prioridades sean apropiados para un estándar de debido cuidado.
Dirección Ejecutiva
Implementar un gobierno de seguridad efectiva y definir los objetivos de seguridad estratégica de una organización es una tarea compleja, ardua. Como con cualquier otra iniciativa importante debe tener el liderazgo y el soporte continúo de la dirección ejecutiva para tener éxito. Desarrollar una estrategia efectiva de seguridad de información.
Comité de dirección
Hasta cierto grado, la seguridad afecta todos los aspectos de una organización. Para ser efectiva debe ser penetrante en toda la empresa. Para asegurara que todos los accionistas impactados por consideraciones de seguridad estén involucrados, muchas organizaciones usan un comité de dirección constituido por altos representantes de los grupos afectados. Esto facilita el logro de consenso sobre las prioridades y los trueques. También sirve como un canal efectivo de comunicaciones y provee una base continua para asegurar la alineación del programa de seguridad con los objetivos del negocio también puede ser instrumental para alcanzar la modificación del comportamiento hacia una cultura más conducente a una buena seguridad.
CISO
Todas las organizaciones tienen un director de seguridad de información (CISO) ya sea que alguien tenga este título o no. Puede ser el CIO, el CFO o. en algunos casos, el CEO – incluso cuando hay una oficina de seguridad de información o un director. El no reconoce esto e implementar estructuras apropiadas de gobierno puede tener como consecuencia que la alta gerencia no tenga conocimiento de esta responsabilidad y de la responsabilidad concomitante. También tiene por lo general como consecuencia una falta de alineamiento efectivo de los objetivos del negocio y de las actividades de seguridad. Cada vez más, una administración prudente es elevar la posición del oficial de seguridad de información a un nivel C o a una posición ejecutiva, a medida que las organizaciones comienzan a extender su dependencia de la información y las crecientes amenazas a ésta.
