PDF de programación - Modelo para el gobierno de las TIC basado en las normas ISO

Imágen de pdf Modelo para el gobierno de las TIC basado en las normas ISO

Modelo para el gobierno de las TIC basado en las normas ISOgráfica de visualizaciones

Actualizado el 16 de Junio del 2017 (Publicado el 14 de Enero del 2017)
3.421 visualizaciones desde el 14 de Enero del 2017
1,2 MB
38 paginas
Creado hace 7a (02/10/2012)
Modelo para el gobierno de las
TIC basado en las normas ISO

Carlos Manuel Fernández Sánchez
y Mario Piattini Velthuis (Coords.)

Título: Modelo para el gobierno de las TIC basado en las normas ISO
Coordinadores de la obra: Carlos Manuel Fernández Sánchez y Mario Piattini Velthuis

© AENOR (Asociación Española de Normalización y Certificación), 2012
Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,
sin la previa autorización escrita de AENOR.

ISBN: 978-84-8143-764-6
Impreso en España - Printed in Spain

Edita: AENOR
Maqueta y diseño de cubierta: AENOR
Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695

comercial@aenor.es • www.aenor.es

Índice

Prólogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1 . El gobierno y la gestión de las tecnologías y sistemas de la información . . . . . . . . . . . 19
1.1. Definición de gobierno de las tecnologías y sistemas de la información . . . . . . . . . . 19
1.2. Diferencia entre gobierno y gestión de las TSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.3. Marcos para el gobierno y la gestión de las TSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.4.
Las normas y el gobierno y la gestión de las TSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.5. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1.6. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2 . Normas y estándares para el gobierno y la gestión de las TIC . . . . . . . . . . . . . . . . . . 29
3 . El gobierno corporativo de tecnologías de la información (ISO/IEC 38500) . . . . . . . . . 39
3.1.
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.2. ¿Qué es el buen gobierno corporativo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.3. Antecedentes de gobierno de las TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.4.
La Norma ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.4.1. Alcance, aplicación y objetivos de ISO/IEC 38500:2008 . . . . . . . . . . . . . 42
3.4.2. Definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4.3. Principios de ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4.3.1.
3.4.3.2.
Estrategia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.4.3.3. Adquisición . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4.3.4.
Rendimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4.3.5. Conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.4.3.6.
Factor humano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.4.4. El modelo ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Evaluar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

3.4.4.1.

4

3.5.

3.4.4.2. Dirigir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.4.4.3. Monitorizar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.4.5. Orientaciones y prácticas de ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . 50
Implementación de un buen gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.5.1. Alineación estratégica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.5.2. Gestión de riesgos (preservación de valor) . . . . . . . . . . . . . . . . . . . . . . . . 54
3.5.3. Gestión de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.5.4. Medición del desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.5.5. Ciclo de vida del gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.5.6. Entorno de gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.5.7. Partes interesadas en el gobierno TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3.5.8. Hoja de ruta de implementación del gobierno TIC . . . . . . . . . . . . . . . . . . 61
3.6. Gobierno TIC y mejores prácticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
3.7. Gobierno corporativo. Resumen y tendencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
3.8. Caso práctico: experiencia de una empresa piloto que implanta la Norma

ISO 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.8.1. Presentación de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
3.8.2. Problemática, necesidades y estrategia . . . . . . . . . . . . . . . . . . . . . . . . . . 65
3.8.3. Soluciones adoptadas y hoja de ruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
3.8.4. Gobierno TIC: timón de procesos, personas, tecnologías e infraestructuras 70
3.8.5.
Lecciones aprendidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
3.9. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
81
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
La familia de normas ISO 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4.2.1.

ISO/IEC 27000:2009 Information technology – Security techniques –
Information security management systems – Overview and vocabulary . . . . 84

4 . Sistema de gestión de seguridad de la información (UNE-ISO/IEC 27001) . . . . . . . . .

4.1.
4.2.

4.2.2. UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de

seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).
Requisitos (ISO/IEC 27001:2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

4.2.4.

4.2.5.

4.2.3. UNE-ISO/IEC 27002:2009 Tecnología de la Información. Técnicas de
seguridad. Código de buenas prácticas para la gestión de la seguridad
de la información (ISO/IEC 27002:2005) . . . . . . . . . . . . . . . . . . . . . . . . . 85
ISO/IEC 27003:2010 Information technology – Security techniques –
Information security management system implementation guidance . . . . . . 86
ISO/IEC 27004:2009 Information technology – Security techniques –
Information security management – Measurement . . . . . . . . . . . . . . . . . . . 86
ISO/IEC 27005:2008 Information technology – Security techniques –
Information security risk management . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
ISO/IEC 27006:2011 Information technology – Security techniques –
Requirements for bodies providing audit and certification of information
security management systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

4.2.6.

4.2.7.

Modelo para el gobierno de las TIC basado en las normas ISO 5

4.2.8.

4.2.9.

ISO/IEC 27011:2008 Information technology – Security techniques –
Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . 87
ISO 27799:2008 Health informatics – Information security management in
health using ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.3. Otras normas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Implantación de la gestión en esta área . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
4.4.
4.5.
La información en la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.5.1. El sistema de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.5.2. Niveles de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4.5.3.
La seguridad de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.6. Sistema de gestión de la seguridad de la información . . . . . . . . . . . . . . . . . . . . . . 93
4.7. El sistema de gestión de la seguridad de la información de acuerdo a la Norma

UNE-ISO/IEC 27001:2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
La organización. Compromiso de la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
4.8.
4.9. Creación del SGSI (planificar) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4.9.1. Alcance del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4.9.2.
La política del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
4.9.3. Requisitos de seguridad de la informaci
  • Links de descarga
http://lwp-l.com/pdf1758

Comentarios de: Modelo para el gobierno de las TIC basado en las normas ISO (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad