Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Problemas de seguridad y gobierno en TIBO

    Hochgeladen von

    Miguel Angel Ardon
    64 Ansichten4 Seiten
    Caso TIBO

    Originaltitel

    TIBO

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    DOCX, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    Caso TIBO

    Copyright:

    © All Rights Reserved
    Als DOCX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    64 Ansichten4 Seiten

    Problemas de seguridad y gobierno en TIBO

    Hochgeladen von

    Miguel Angel Ardon
    Caso TIBO

    Copyright:

    © All Rights Reserved
    Als DOCX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 4

    Universidad Tecnológica Centroamericana

    Facultad de Ingeniería y Arquitectura

    Gobernabilidad de las TI

    Tarea#3:
    Análisis de un Caso de Estudio
    “TIBO” Y APLICACIÓN DE CONOCIMIENTOS PREVIOS ADQUIRIDOS DE
    COBIT E ISO27000 - TIBO

    Docente: Ingeniero Franklin Lamelas

    Presentado por Wakanda:


    11041083 Agni Velásquez
    11541216 Didier Murillo
    11541212 Jorge Morazán
    11341083 Jordi Mairena
    11311056 Miguel Ardón

    4 de noviembre de 2018
    TOBI
    El asunto de seguridad

    1. En una llamada anónima al CFO, una persona manifiesta tener acceso a información
    de clientes proveniente de los sistemas de la empresa y da pruebas de ello mediante
    un fax conteniendo información sensible (nombres, gerentes de cuenta, etc.)

    • Analizar los riesgos de seguridad.


    a. No existe un Gerente de Seguridad
    b. La seguridad aún se gestiona en modo reactivo. Esto podría afectar mucho en la
    seguridad en los momentos de ataques, puede ser demasiado tarde cuando el
    ataque esté activo.
    c. Los sistemas son viejos y obsoletos, y hay mucho personal que es
    incompetente, lo que puede dar lugar a ataques.
    d. El consejo adquiere conocimientos de Tecnologías de Información (TI) y un poco
    celosos que TI conserve su presupuesto, mientras que ellos deben
    redimensionarse. Esto puede crear usuarios desleales en la cual pueden extraer
    información sensible, y más aún cuando estos usuarios tienen conocimientos de
    TI.

    • Recomendar algunas buenas prácticas para mitigar los riesgos.


    1. La organización debería definir las una personas responsable del control de
    Riesgos y Seguridad en la Organización.
    2. La organización debería definir y aplicar un proceso de evaluación de riesgos de
    seguridad de la información.
    3. La organización debería mantener la información documentada sobre el proceso
    de evaluación del riesgo de seguridad de la información.
    4. La organización debería comenzar a planificar acciones para abordar riesgos y
    oportunidades.

    2. Se le informa que la filtración ha ocurrido en la empresa subcontratada y se le hace


    entrega de una copia del actual (breve e inadecuado) acuerdo de nivel de servicio (SLA).
    Los datos se filtraron porque el contratista utilizó datos reales y on-line, durante las
    pruebas de aceptación de la segunda fase de una instalación de un servidor web
    inseguro.

    •Defina que debería haber incluido la Gerencia en el SLA en relación a la seguridad.


    1. La organización debería mantener la información documentada en la medida
    necesaria para garantizar la confianza de que los procesos se llevarán a cabo de
    manera segura y según lo planeado.
    2. La organización también debería garantizar de igual manera que los procesos
    subcontratados sean controlados y supervisados de igual manera,
    documentando un responsable, pasos a seguir, normas y resultados esperados.

    • ¿Qué es lo que cree que realmente pasa que permitió que esa información se hiciera pública?

    No hubo buen control y no se reguló el manejo de datos reales de la compañía en un


    entorno de pruebas no seguro, causando que fuese fácil extraer esa información.

    Asunto de la subcontratación

    1. Se ha presentado aquí un detallado proceso de subcontratación. Evalue el


    proceso. Describir los problemas encontrados por TIBO o los riesgos a los que se
    enfrenta e identifique las mejores prácticas que, de haberse implementado podrían haber
    prevenido o evitado dichos problemas y riesgos.

    TIBO encontró un problema en cuanto al manejo de la información por parte de la empresa


    subcontratada, dando lugar a un filtrado de información delicada.
    Esto ocurrió debido a que no se realizó la documentación necesaria al momento de
    subcontratar, debido a que fue por un proceso rápido e inadecuado. Tomando en consideración
    que es un ente bancario, seguir procesos del COBIT como la EDM02 (asegurar la entrega de
    los beneficios) se pudo haber establecido un mejor manejo de la información y así ellos
    hubiesen recibido el beneficio completo de la empresa subcontratada.

    2. Identificar los roles que deberían jugar en el proceso de Subcontratación la


    Auditoría, la dirección de Tl y el CEO. Comparar estas mejores prácticas con los roles
    desempeñados.

    TI debería tener el rol de asegurarse de que la empresa subcontratada cumpla con los
    estándares como la BAI02 (gestionar la definición de requisitos) para manejo de información,
    nivel de seguridad, nivel de certificación del personal para que sea competente para la tarea.

    Asunto de alineación estratégica


    1. Analice las implicancias de gobierno en la forma en que el Consejo, el nivel
    Ejecutivo y la dirección de TI gestionaron el proceso de subcontratación.
    ¿Cuáles serían las mejores prácticas para el gobierno de servicios prestados por
    terceros?

    El contrato fue hecho en acuerdos del proveedor, pero debió ponerse bajo acuerdos de TIBO y
    negociar en base a estos.
    También debió involucrarse más personal de alto mando (directores de áreas) y no sólo el
    COO y el director de TI para las negociaciones, para que finalmente el CEO pusiera su firma,
    una vez que llegasen a un acuerdo.

    2. ¿Por qué el CEO no estaba enterado de los reclamos de clientes antes de conocer el
    informe del defensor del Consumidor? ¿Cómo se podría evitar esto en el futuro? ¿Qué
    cambios en gobierno propone para solucionar este problema?

    El CEO no estaba enterado de los reclamos porque el informe que es generado Mesa de
    Ayuda del subcontratista y que es enviado por uno de los miembros de Soporte de Usuario,
    éste asumió que el contratista gestionó de manera efectiva todos los incidentes y reclamos.

    Se podría evitar aplicando métricas con reuniones informativas y aplicando procesos de COBIT
    5 como el procesos DSS06 (gestionar los controles de los procesos de negocios).

    Algunos cambios que se puede hacer en el gobierno es contratar gente más competente y
    tener más regulaciones.

    3. Estando el Consejo a punto de comenzar con la iniciativa CRM, ¿cómo se podrá lograr
    una mayor alineación entre TI y la estrategia del negocio que la que fue evidente en la
    iniciativa We-BOP?

    La dirección de TI pensaba que era necesaria una mejor cooperación con el grupo de
    estrategia de negocio, a pesar de que las reuniones eran largas y tediosas, por lo que
    normalmente no se llegaba a un acuerdo.
    Se podría aplicar el proceso de COBIT 5, respecto a la gestión de relaciones (APO08) para que
    haya mayor entendimiento entre las 2 áreas.

    Das könnte Ihnen auch gefallen