Fundamentos de la Gestión de la Información y Seguridad Informática en Empresas

Fundamentos de la Gestión de la Información

Dato: Representación simbólica percibida por los sentidos; por sí solos no dicen nada, es el elemento más básico de la información.

Información: Conjunto organizado de datos que tienen significado y generan conocimiento, constituyen un mensaje sobre algún fenómeno o suceso. A diferencia de otros activos, no se deprecia con el uso; por el contrario, se hace más valioso. Se deprecia con la desactualización o problemas de integridad. Es un activo que fluye transversalmente por la organización a través de procesos y está constantemente expuesto a riesgos de acciones intencionales y no intencionales. Cualidad de la Información: Clara, precisa y oportuna.

Seguridad de la Información

Seguridad de la Información: Área de la informática que se enfoca en la protección de la infraestructura TI y todo lo relacionado con esta. Los activos que protege la seguridad informática son:

  • La información
  • Los equipos
  • Las personas

Auditoría Informática

Auditoría Informática: La auditoría es el análisis exhaustivo de los sistemas informáticos con la finalidad de detectar, identificar y describir las distintas vulnerabilidades que puedan presentarse, así como diseñar e implementar planes de acción para eliminar o minimizar los riesgos.

Riesgos y Amenazas

Riesgo: Posibilidad de que se produzca un evento no deseado que cause un daño o perjuicio.

Amenaza: Constituye una posible causa de riesgo o perjuicio para alguien o algo.

Vulnerabilidad: Debilidad de un sistema que puede ser explotada, desencadenando un incidente.

Incidente: Hecho no deseado que se materializa (se hace realidad) y tiene un impacto, por lo tanto, dejó de ser una amenaza.

Impacto: Daño o perjuicio causado por un incidente, el cual puede ser de índole financiera, imagen, etc.

Sistemas de Información

Sistemas de Información: Un sistema de información es un conjunto de elementos orientados al procesamiento y administración de datos e información, organizados para apoyar el proceso de toma de decisiones.

Auditoría Externa

Auditoría Externa: Es la revisión que lleva a cabo una persona u organismo independiente de la empresa y tiene por objeto evaluar el desempeño en las actividades, operaciones y funciones que se ejecutan, además de determinar si los datos de la empresa se ajustan a los procedimientos, buenas prácticas y resultados informados. El objetivo final es contar con un dictamen externo e imparcial sobre las actividades de toda la empresa, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de la empresa.

Tipos de Controles

  • Preventivos: Acciones que anticipan eventos no deseados.
  • Detectivos: Acciones que identifican eventos no deseados en el momento que ocurren.
  • Correctivos: Acciones que aseguran la ejecución de acciones correctivas para revertir un evento no deseado.
  • Directivos: Son las acciones que permiten monitorear los resultados de la empresa en su conjunto y las diferentes áreas de negocio.

Modelo de Gobierno Corporativo

Modelo de Gobierno Corporativo: Se establece para cada organización en función del «Principio de Proporcionalidad», es decir, se debe considerar el volumen de las operaciones y la naturaleza y complejidad de las actividades y riesgos de la institución.

Modelos de Control

Modelos de Control: Es un conjunto de recursos que pueden servir de modelo de referencia para la gestión de TI.

COBIT

COBIT: Es una guía de buenas prácticas presentada como marco de trabajo, dirigida al control y supervisión de tecnología de la información (TI).

Auditoría Control Administración Gobierno de TI – Gobierno Corporativo de TI

  • Principios:
  1. Satisfacer las necesidades de las partes interesadas.
  2. Cubrir la empresa de extremo a extremo.
  3. Aplicar marco de referencia único integrado.
  4. Hacer posible un enfoque holístico.
  5. Separar el gobierno de la gestión.
Catalizadores:
  1. Principios, políticas y marcos de referencia.
  2. Procesos.
  3. Estructuras organizativas.
  4. Cultura ética y comportamiento.
  5. Información.
  6. Servicios e infraestructura.
  7. Personas y habilidades.

COSO

COSO

Objetivos: Eficacia y eficiencia de la operación, confiabilidad de los reportes financieros, cumplimiento con leyes y regulaciones.

5 Componentes: Control del medio ambiente, riesgo inherente, actividades de control, información/comunicación, monitoreo.

Enfoque: Requiere un enfoque a nivel entidad y a nivel actividad.