Seguridad de la información Es la protección de la confidencialidad, integridad y disponibilidad de los activos de información según sea necesario para alcanzar los objetivos de negocio de la organización. Seguridad informática Se encarga de la protección de las infraestructuras tic que soportan el negocio. Que es un fallo de seguridad Es cualquier incidente que compromete la seguridad, es decir, que pone en peligro cualquiera de los parámetros con los que se valora la seguridad. Que es un sistema de gestión de calidad Es un modelo para la definición, implementación, operación, revisión, mantenimiento y mejora. Riesgo Combinación de la probabilidad de un evento y sus consecuencias. Amenaza Causa potencial de un incidente no deseado, que causa daño a un sistema u organización. Que comprende un SGSI 1. 2. 3. 4. 5.
Política. Estructura organizativa. Procesos. Procedimiento. Recursos.
Justificación
Casos de ataques Fraudes Filtraciones no deseadas Corte de las comunicaciones Los perjuicios de los incidentes Uno de cada diez empleados se descarga contenido no debido en el trabajo Solo el 21% de las compañías gestiona los departamentos de ti con criterios de negocio Se trata de una norma que ayuda que la alta dirección de las compañías tome una decisión estratégica sobre la información que la dispone
COBIT 4.1 Alineación y estrategia: se enfoca en garantizar la alineación entre los planes de negocio y de ti; en definir, mantener y validar la propuesta de valor de ti; y en alinear las operaciones de ti con las operaciones de la empresa. Entrega de valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que ti genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y brindar el valor intrínseco de la ti. Administración de recursos: se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de ti, aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización de conocimiento y de infraestructura. Administración de riesgo: requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo que tiene una empresa, comprender los requerimientos de cumplimiento, trasparencia de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de la organización. Medición de desempeño: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en acción para lograr las metas medibles mas allá del registro convencional.