FASE 5 CONSTRUCCIÓN DE MODELO DE DECISIONES ESTRATÉGICAS

PRESENTADO POR:
BRAYAN ANDRÉS GÓMEZ LIZARAZO
SANTIAGO ANDRES MONTOYA FLOREZ
JONATHAN FERNEY VARGAS RODRIGUEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA – ECBTI
ESPECIALIZACION EN SEGURIDAD INFORMATICA
ESTRATEGIA Y GOBIERNO CORPORATIVO
BOGOTÁ D.C
2023
1
FASE 5 CONSTRUCCIÓN DE MODELO DE DECISIONES ESTRATÉGICAS

PRESENTADO POR:
BRAYAN ANDRÉS GÓMEZ LIZARAZO
SANTIAGO ANDRES MONTOYA FLOREZ
JONATHAN FERNEY VARGAS RODRIGUEZ

PRESENTADO A:
YOLIMA ESTHER MERCADO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA – ECBTI
ESPECIALIZACION EN SEGURIDAD INFORMATICA
ESTRATEGIA Y GOBIERNO CORPORATIVO
BOGOTÁ D.C
2023
2
 TABLA DE CONTENIDO
INTRODUCCION............................................................................4
OBJETIVOS..................................................................................5
OBJETIVO GENERAL....................................................................5
OBJETIVOS ESPECIFICOS............................................................5
DESARROLLO DEL TRABAJO............................................................6
CONCLUSIONES..........................................................................13
BIBLIOGRAFÍA............................................................................14

3
 INTRODUCCION

La seguridad informática es un tema crítico para cualquier organización

en la era digital en la que vivimos.
Las empresas necesitan proteger sus activos de información y reducir
los riesgos a los que se enfrentan para evitar impactos negativos en su
reputación y finanzas.
En este sentido, la construcción de un modelo de decisiones estratégicas
de gobernanza de TI relacionadas con la seguridad informática es
esencial.
Este modelo permite a las organizaciones tomar decisiones informadas
en cuanto a la identificación, protección y gestión de sus activos de
información. Además, ayuda a evaluar y reducir los riesgos a los que se
enfrentan, implementar medidas de seguridad y monitorear y evaluar su
efectividad para mejorar continuamente su seguridad.
En este contexto, la construcción de un modelo de decisiones
estratégicas de gobernanza de TI relacionadas con la seguridad
informática es clave para garantizar la protección de los activos de
información y reducir los riesgos.

4
 OBJETIVOS

OBJETIVO GENERAL

Construir un modelo de decisiones estratégicas de gobernanza de TI

relacionadas con la seguridad informática que permita a la organización
tomar decisiones informadas en cuanto a la identificación, protección y
gestión de sus activos de información, evaluar y reducir los riesgos a los
que se enfrentan e implementar medidas de seguridad.

OBJETIVOS ESPECIFICOS

 Identificar y priorizar los activos de información críticos y los

riesgos asociados a ellos.
 Establecer un marco de gobernanza de TI para la gestión de
riesgos de seguridad informática.
 Implementar medidas de seguridad adecuadas y monitorear su
efectividad para mejorar continuamente la seguridad informática.

5
 DESARROLLO DEL TRABAJO

1. Establecer los indicadores para medir la consecución de los objetivos estratégicos de TI en

seguridad Informática, indicando nombre del indicador y la descripción de este haciendo uso de
la tabla 1.
MOB# = Medición Objetivo (Numero del objetivo)

Código Nombre Objetivo Frecuencia de medición Variables y Formulación

MOB1 Número de Con este Mensual Para este indicador las

incidentes de indicador lo variables a participar serían
seguridad que se la cantidad de incidentes de
pretende es seguridad por mes ya que
medir la esta tarea se hará
cantidad de mensualmente.
incidentes Para la formulación se podría
que se han llevar un registro de todos
producido en los incidentes de seguridad
cierta que se lleven a cabo en
cantidad de CORPTBANK, esto se
tiempo. realizaría con el fin de
comparar los datos mes a
mes para empezar a
implementar mejoras de
seguridad.
6
MOB2 Tiempo de El nivel de Semanal Es importante estar alerta al
respuesta del compromiso tiempo de respuesta del
soporte de los soporte.
empleados es Los clientes siempre esperan
evaluado una respuesta oportuna y en
directamente el menor tiempo posible, en
por el tiempo real, a cada una de
indicador de las solicitudes que se
tiempo de realicen.
respuesta del
soporte. El tiempo promedio de
respuesta debe ser lo menor
posible para que el servicio
final sea placentero.

MOB3 Nivel de Con este Semestral CORPTBANK puede

cumplimient indicador se monitorear el cumplimiento
o de políticas mediera el de las políticas de seguridad
de seguridad grado de de TI, tales como el uso de
cumplimiento contraseñas seguras,
de las actualizaciones de software,
políticas de implementación de medidas
seguridad de de seguridad para
la dispositivos móviles y otras
organización. políticas de seguridad. Esto
se puede hacer a través de
encuestas, auditorías y
evaluaciones de
7
 cumplimiento.
MOB4 Calidad de Medir la Mensual Se trata de medir mediante
los servicios calidad de los una evaluación del usuario
servicios que solicita la falla o el
soporte.

Se realizara mediante una

encuesta a cada uno de los
soportes solicitados en el
área de TI.
Medir constantemente la
calidad de los servicios
permite identificar las fallas
y proponer mejoras
continuas garantizando una
mayor eficacia a todos los
equipos y obtener resultados
cada vez mas satisfactorios
MOB5 Nivel de Con este Semestral CORTPBANK puede usar el
madurez de indicador se modelo de madurez de
la gestión de medirá en seguridad de la información
la seguridad grado se han de NIST para evaluar el nivel
implementado de madurez de la gestión de
las prácticas seguridad de TI en la
de gestión de organización. Se pueden
seguridad de hacer estimaciones en cada
TI en la nivel del modelo para medir
organización.. hasta qué punto se han
8
 implementado los controles
de seguridad en la entidad.
MOB6 Capacitacion Calcular los Semestral La entidad CORPBANK debe
conocimientos asistir a todos sus
por los empleados mediante la
usuarios de la capacitación y certificación
entidad que puede estar dada por el
área de sistemas de la
entidad o bien por alguna
entidad contratada para tal
fin con el objetivo único de
poner en conocimiento a
cada uno de los usuarios el
grado de responsabilidad
que tienen para con la
misma

9
2. Determinar los proyectos de TI en seguridad Informática a priorizar en el corto, mediano o largo
plazo, relacionando el nivel de prioridad, nombre del proyecto y su descripción, responsables y
funciones dentro del mismo usando la tabla 2.
PTO# = Proyecto #

Código Descripción Prioridad plazo Responsable función

PTO1 Implementación de Alta Dos Tecnología de  Implementar un
un sistema de Meses la nivel de
autenticación información y seguridad
multifactor (MFA) - Seguridad adicional, con la
Alta prioridad: Este Informática. finalidad de
proyecto consiste en mitigar el acceso
implementar un no autorizado de
sistema de un actor de
autenticación amenazas.
multifactor en los
sistemas de
información críticos
de la organización
para reducir el riesgo
de accesos no
autorizados. Los
responsables podrían
ser el equipo de
seguridad informática

10
 en colaboración con
el equipo de TI.
PTO2 Implementación de Alta Un mes, Tecnología de  Mitigar el acceso
un sistema de con la no autorizado de
detección de actualiz información y actores de
intrusiones (IDS) - ación Seguridad amenaza o
Alta prioridad: Este semanal Informática. artefactos que
proyecto consiste en de por puedan impactar
implementar un ejemplo sobre la
sistema de detección las integridad de la
de intrusiones en la reglas organización.
red de la organización de
para detectar posibles detecció
intrusiones y reducir n
el riesgo de pérdida
de datos. Los
responsables podrían
ser el equipo de
seguridad informática
en colaboración con
el equipo de red.
PTO3 Desarrollo de políticas Media Un Mes Tecnología de Establecer la cultura de
de gestión de la contraseñas seguras y
contraseñas - información el uso adecuado de las
Prioridad media: Este mismas, así mismo su
proyecto consiste en protección y respaldo.
desarrollar políticas
de gestión de
11
 contraseñas para los
empleados de la
organización con el
fin de mejorar la
seguridad de las
cuentas de usuario.
Los responsables
podrían ser el equipo
de seguridad
informática en
colaboración con el
equipo de recursos
humanos.
PTO4 Actualización de Media Semanal Tecnología de Establecer políticas de
software y sistemas la grupo que permita la
operativos - Prioridad información actualización de los
media: Este proyecto equipos de cómputo o
consiste en actualizar un cronograma que
el software y los permita realizar dicho
sistemas operativos proceso y mantener
de los sistemas de actualizados los
información de la recursos tecnológicos.
organización para
reducir el riesgo de
vulnerabilidades de
seguridad conocidas.
Los responsables
podrían ser el equipo
12
 de TI en colaboración
con el equipo de
seguridad
informática.
PTO5 Evaluación de la Baja Trimestr Equipo de Identificar el manejo de
seguridad de al Seguridad los datos o información
proveedores externos informática y por parte de terceros,
- Prioridad baja: Este Tecnología de verificar que estos se
proyecto consiste en la encuentren
evaluar la seguridad información. salvaguardados,
de los proveedores evitando la fuga o mal
externos que tienen manejo de la
acceso a los sistemas información.
de información de la
organización para
reducir el riesgo de
acceso no autorizado.
Los responsables
podrían ser el equipo
de seguridad
informática en
colaboración con el
equipo de compras.

13
 CONCLUSIONES

 La seguridad informática es un tema crítico para cualquier

organización, especialmente en la actualidad donde la información
es un activo fundamental.
 Para tomar decisiones informadas en cuanto a la identificación,
protección y gestión de los activos de información, es necesario
contar con un modelo de decisiones estratégicas de gobernanza de
TI relacionadas con la seguridad informática.
 Para construir un modelo de decisiones estratégicas de
gobernanza de TI relacionadas con la seguridad informática, es
necesario establecer objetivos específicos que permitan identificar
y priorizar los activos de información críticos, establecer un marco
de gobernanza de TI y implementar medidas de seguridad
adecuadas.
 Una vez que se implementan las medidas de seguridad, es
importante monitorear su efectividad para mejorar continuamente
la seguridad informática de la organización.
 La construcción de un modelo de decisiones estratégicas de
gobernanza de TI relacionadas con la seguridad informática
ayudará a la organización a reducir los riesgos a los que se
enfrenta y a tomar decisiones informadas en cuanto a la
protección de sus activos de información.

14
 BIBLIOGRAFÍA
GOBERNANZA EN TI y gestión de la información NTC ISO/IEC
38500:2018 [Anónimo]. Software ISO [página web]. [Consultado el 15,
febrero, 2023]. Disponible en Internet:
<https://www.isotools.org/2021/09/23/gobernanza-en-ti-y-gestion-de-
la-informacion-ntc-iso-iec-385002018/>.
ISO 38500 la norma para Gobierno de TI | Prakmatic [Anónimo].
Prakmatic | Gestión y gobierno TI [página web]. [Consultado el 15,
febrero, 2023]. Disponible en Internet:
<https://www.prakmatic.com/iso-38500-la-norma-para-gobierno-de-
ti/>.
LOS CINCO principios de COBIT 5 | Conexión ESAN [Anónimo]. ESAN
Graduate School of Business - ESAN [página web]. [Consultado el 15,
febrero, 2023]. Disponible en Internet:
<https://www.esan.edu.pe/conexion-esan/los-cinco-principios-de-cobit-
5>.
¿QUÉ ES COBIT y para qué sirve? [Anónimo]. Nextech [página web].
[Consultado el 15, febrero, 2023]. Disponible en Internet:
<https://nextech.pe/que-es-cobit-y-para-que-sirve/>.
Bruno, D. (26 de Marzo de 2020). Blackmantisecurity. Recuperado el 15
de febrero de 2023, de
https://www.blackmantisecurity.com/introduccion-al-red-team-parte-1/
ISACA. (s.f.). RESOURCES COBIT. Obtenido de
https://www.isaca.org/resources/cobit:
https://www.isaca.org/-/media/files/isacadp/project/isaca/resources/
cobit-2019-toolkit.zip
Jácome, D. R. (MAyo de 2020). ResearchGate. Recuperado el 15 de 02
de 2023, de
https://www.researchgate.net/publication/341569553_Convergencia_de
_COBIT_e_ISO_38500_en_el_Gobierno_de_Tecnologias_de_la_Informa
cion
Pujol, A. B. (s.f.). Comisión Sectorial de Digitalización de Crue
Universidades Españolas. Obtenido de
https://tic.crue.org/wp-content/uploads/2016/07/capitulo8.pdf

15