Fundamentos de la ciberseguridad para profesionales IT

COBIT de ISACA, el framework de mayor implementación mundial

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
COBIT, es el acrónimo de Control de Objetivos de Tecnologías de la Información. Uno de los frameworks de seguridad con mayor base de implementación mundial. En este vídeo presentaremos su origen y estructura.

Transcripción

COBIT es uno de los frameworks, para IT, más famosos y extendidos en el mundo. Actualmente está en su versión 5 y significa objetivos de control para IT. Ha sido desarrollado por ISACA, y como todos los frameworks, su objetivo es establecer un marco común efectivo y auditable de gobierno y gestión de infraestructuras TIC para todo tipo de empresas y organizaciones. Los principios de COBIT5 son valga la redundancia, cinco. Cubrir los objetivos del negocio. El gobierno de la empresa busca la obtención de beneficios, la minimización de riesgos y la optimización de recursos. En segundo lugar, el objetivo de cubrir la cadena de valor completa de la empresa, partiendo desde los procesos más básicos hasta las competencias personales de los trabajadores; pasando por la estructura organizativa, la cultura ética de la empresa, la gestión de la información, y los servicios, infraestructuras y aplicaciones. En tercer lugar, el objetivo es aplicar un único framework integrado que permita usar un lenguaje común, auditable y evolutivo. El cuarto es facilitar una aproximación holística; es decir, evitar la aproximación por partes independientes e inconexas que generarían un caos organizativo visto desde las instancias superiores de la organización. En quinto y último lugar, está separar el gobierno de la gestión; es decir, que la guía de la empresa y la gestión de los procesos no estén directamente ligados, evitando la microgestión por parte de la dirección para que cada uno se encargue de su área de trabajo. Los grupos de proceso de gobierno son: evaluación, dirección y monitorización. Mientras que los grupos de gestión en los que nos centraremos son planificación con 13 procesos, implementación con diez, ejecución, que consta de seis procesos y, por último, el grupo de monitorización de tres procesos. Como podemos apreciar en el diagrama, el grupo de monitorización se alinea verticalmente junto a los otros tres grupos que están apilados; de esta forma se indica que cubre todos los procesos englobados en ellos. Dada la amplia implementación de COBIT5 y su gran expansión internacional, adoptarlo casi asegura el cumplimiento de las normativas regulatorias sobre entornos TIC, como también ocurre con ISO 27000, pero la aplicación del framework no exime del conocimiento y cumplimiento de la legislación vigente en los territorios en los que opere cada empresa. Cada uno con sus particularidades. En cuanto a la ciberseguridad, cabe destacar los procesos APEO 13 de gestión de seguridad en el grupo de planificación; y DSS05 de gestión de servicios de la seguridad. DSS05.01 es protección contra el malware; el .02, gestión de redes y seguridad de conexiones; el 3, gestión de seguridad de terminales; 04, gestión de identidad de usuario y acceso lógico. 05 es la gestión de acceso físico a IT. 06, gestión de documentación sensible y dispositivos de salida; y por último, DSS05.07 es la supervisión de la infraestructura para detección de eventos relacionados con la seguridad. Cada uno de los cuatro grupos tiene un título en inglés cuyas siglas dan nombre a los procesos que contienen. Así el grupo de planificación, denominado en inglés: Align, Plan and Organize, tiene procesos denominados APO, seguidos del índice numérico correspondiente. El grupo de Deliver, Service and Support, al que hemos resumido en ejecución, tendrá las siglas DSS. Echemos un vistazo al APO13 para gestión de seguridad. El objetivo de este proceso es definir, operar y supervisar un sistema para la gestión de la seguridad de la información; y sus objetivos son: respaldar el cumplimiento de objetivos IT y de los negocios, respaldar la gestión de riesgos para IT y la organización, y contribuir a la transparencia de los costes y beneficios de IT, asegurar la seguridad de la información, infraestructuras y aplicaciones y proporcionar información fiable para la toma de decisiones. APO13 establece tres procesos específicos de seguridad. El APO13.01 establece y mantiene un sistema de gestión de seguridad de la información o SGSI. El segundo proceso trata de definir y gestionar un plan de tratamiento de riesgos para la seguridad de la información; y el tercer proceso es para supervisar y revisar el SGSI. El SGSI del que hablamos en el proceso APO13.01, de COBIT5, es equivalente al establecido en el estándar ISO 27001; mientras que el APO13.02 sería más similar al ISO 27005. Veamos el segundo de los procesos relativos a ciberseguridad que hemos comentado, el DSS05. Su título es "Gestión de servicios de seguridad"; y sus objetivos son proteger la información de la empresa para mantener un nivel de riesgo de seguridad de la información aceptable, de acuerdo con la política de seguridad, establecer y mantener los roles de seguridad y privilegios de acceso a la información y realizar la supervisón de la seguridad. Los procesos propuestos en DSS05 tienen como objetivo satisfacer tres de las cinco metas propuestas en APO13: respaldar el cumplimiento de objetivos IT y de los negocios, respaldar la gestión de riesgos para IT y la organización, y asegurar la seguridad de la información, infraestructuras y aplicaciones.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.