SlideShare una empresa de Scribd logo

La_gestion_en_la_seguridad_de_la_informa.pdf

H
HugoCarlosSanLuisLop

Guis de seguridad

Software
1 de 3
Descargar para leer sin conexión
Revista Pensamiento AMERICANO Acerca de iso 27000 C uantos de ustedes no han tenido que abordar o participar en un proyecto corporativo en donde se tiene que implementar un plan de seguridad informática basado en un modelo o metodología, el cual no se debe mezclar con las herramientas operativas de “firewall”, antivirus o de detección de intrusos que se requieren para la seguridad perimetral. La información se ha convertido en un activo vital para el éxito y la continuidad en el mercado de cualquier organización. Por ende, el aseguramiento de dicha información y de los sistemas que la procesan es un objetivo de primer nivel para la organización. Para la corrrecta gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metodológica, documentada y basada en unos objetivos claros de seguridad y una acertada evaluación de los riesgos a los que está sometida la información de la organización. Dominio de la norma ISO 27001 – Fuente: TCP. Sistemas e Ingeniería Política de Seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Control de accesos Conformidad Seguridad ligada al personal Seguridad física y del entorno Desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad del negocio O peracional Táctico Estratégico 21 Revista Pensamiento Americano ISSN: 2027-2448 Vol 2 No. 6. Enero – Junio 2011 (Págs 21-23) La gestión en la seguridad de la información según Cobit, Itil e Iso 27000 Vladimir Montaño Orrego* vmontano@coruniamericana.edu.co Resumen: ¿Qué relación tienen Cobit, ITIL e ISO 27000 en la seguridad informática? La experiencia demuestra que resulta algo complicado implementar un Sistema de Gestión de Seguridad de la Información SGSI sin tocar aunque sea tangencialmente este tipo de modelos en los aspectos de seguridad de la información que existe en una Organización. Por ende, usted puede estar implementando su SGSI pudiendo mejorar este sistema mediante la inclusión de áreas de aplicación ISO 27000, o midiendo el estado de maduración de su SGSI a través de Cobit o ITIL. Palabras Clave: ISO (Organización de Estándares Internacionales), ITIL (Biblioteca de Infraestructura de Tecnologías de la Información), OGC (Oficina Gubernamental de Comercio), TI (Tecnologías de la información), COBIT (Objetivos de Control para la Información y Tecnologías relacionadas), IEC (Comisión Internacional de Electrotecnia) Abstract: Is there any relationship between COBIT and ITIL and ISO 27000 about the information security? Experience shows up that is very complex try to implement a “Information Security Management System” ISMS without touch this kind of models in subjects related with information security of the organization. For the time, you may be implementing the ISMS for improving this system through the inclusion of application areas about ISO 27000, or measuring the maturing state of ISMS through COBIT or ITIL. Key Words: ISO, ITIL, OGC, TI, COBIT, IEC. * Especialización en Gerencia Integral Artículo recibido: Abril 27/2011. Aceptado: Agosto 16/2011. DOMINIOS DE LA NORMA ISO 27001 Seguridad Organizativa Seguridad lógica Seguridad física Seguridad legal
Revista Pensamiento AMERICANO 22 ISO/IEC 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por la ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que brindan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización de tipo público o privada, grande o pequeña. Acerca de Cobit El modelo COBIT (Control Objectives for In- formation and related Technology) es el marco aceptado internacionalmente de buenas prácticas para el control de la información TI y los riesgos que conllevan. COBIT se usa para implementar el gobierno de TI y mejorar los controles de TI. De igual manera, contiene objetivos de control, directrices de aseguramiento, mediciones de desempeño y resultados, factores críticos de éxito y modelos de madurez. Para apoyar a las organizaciones a satisfacer exitósamente los desafíos de los negocios ac- tualmente, el IT Governance Institute (ITGI) publicó la versión de COBIT 4.1 Modelo COBIT 4.1 Fuente: www.fedeac.com • COBITes un marco de Gestión deTI y un conjunto de herramientas de soporte para el gobierno de TI, que permite a los gerentes cubrir la brecha entre los requisitos de control, los aspectos técnicos y riesgos de negocio. • COBIT hace viable el desarrollo de una política clara y buenas prácticas para los controles de TI a través de las organizaciones. • COBIT hace énfasis en la conformidad de regulaciones, ayuda a las organizaciones a incre- mentar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de COBIT. En síntesis, la última versión de COBIT 4.1 en- fatiza el cumplimiento normativo, ayuda a las or- ganizaciones a incrementar el valor de TI, ayuda al alineamiento con el negocio y simplifica la im- plantación de COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que puede ser empleado para mejorar el trabajo previo. Acerca de Itil La Biblioteca de Infraestructura de Tecnologías de la Información ITIL está basado en un conjunto de mejores prácticas para la gestión de servicios de tecnologías de la información en lo referente a personas, procesos y tecnología, las cuales fueron desarrolladas por la OGC (Oficina Gubernamental de Comercio) del Reino Unido. A través de buenas prácticas especificadas en ITIL se hace posible para departamentos y organizaciones reducir costos, mejorar la calidad del servicio, tanto a clientes externos como internos y optimizar al máximo las habilidades y destrezas del personal mejorando su productividad. Modelo ITIL V.3 Fuente: IT Process Map ITIL V3 maneja tres niveles de formación los cuales se pueden identificar por los siguientes cursos de “training”: Foundation in IT Service Management Intermediate Qualification: Operational Support and Analysis (OSA) Release, Control and Validation (RCV) Service Offerings and Agreements (SOA) Planning, Protection and Optimization (PPO) Service Strategy (SS) Service Design (SD) Service Transition (ST) Service Operation (SO) Continual Service Improvement (CSI) Managing Across the Lifecycle (MALC) • Implementing ITIL V3 Gobernabilidad de Tl Entrega de Valor Alineación Estratégica M e d i c i ó n d e l d e s e m p e ñ o Administración de Recursos A d m i n i s t r a c i ó n d e R i e s g o s La gestion en la seguridad de la información
Revista Pensamiento AMERICANO 23 En el cuadro que se muestra a continuación se muestra un comparativo de los modelos COBIT, ITIL e ISO 27000 basado en las funciones, las áreas de cobertura, la organización que creó el modelo, para qué se implementa y quienes los orientan (evalúan). Es importante concluir que un modelo no será mejor que otro, debido a que inicialmente hay que evaluar la pertinencia, la cobertura (áreas) y ante todo que cada organización, cada empresa tiene su particularidad, por ende, lo importante será adoptar un modelo pertinente, tomar los elementos que sean aplicables y adaptar el modelo de referencia para generar un modelo propio para la empresa. ISO 27000. http://www.iso27000.es/iso27000.html ¿Qué es COBIT?. http://www.cibertec.edu.pe/2/modulos/JER/JER_ Interna.aspx?ARE=2&PFL=2&JER=3749 Seguridad de la Información en Colombia. http://seguridadinformacioncolombia.blogspot. com/2010/08/alineando-cobit-41-itil-v3-e-iso-27002. html Boletín de asesoría presencial. http://es.scribd.com/doc/51456904/Aplicabilidad- de-esta%CC%81ndares-internacionales-y- mejorespra%CC%81cticas-CobiT%C2%AE- ITIL%C2%AE-Serie-ISO-IEC-27000-PwC- Venezuela COBIT – ISO 20000 – ITIL – ISO 27000 http://www.derkeiler.com/Mailing-Lists/ securityfocus/security-basics/2008-02/msg00487. html Comparativo de modelos ÄREA CobiT ITIL ISO 27000 Funciones Mapeo de procesos Mapeo de la Marco de IT Gestión de referencia de Niveles de seguridad de la Servicio de IT Información Áreas 4 Procesos y 34 9 Procesos 10 Dominios Dominios Creador ISACA OGC ISO International Organization for Standardization ¿Para qué se Auditoría de Gestión de Cumplimiento del implementa? Sistemas de Niveles de estándar de Información Servicio seguridad ¿Quiénes lo Compañías de Compañías de Compañías de evalúan? contabilidad Consultoría en IT Consultoría en IT, Compañías de Empresas de consultoría en IT Seguridad Consultores de seguridad en redes Referencias bibliográficas: La gestion en la seguridad de la información Comparativo COBIT, ITIL, ISO 27000 - Fuente: Seguridad de la información en Colombia

Recomendados

Cobit 5
Cobit 5 Cobit 5
Cobit 5 Edgar Jonathan Villegas
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TIINSTITUTO TÉCNICO PROFESIONAL DE TOLUCA
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1RMVTITO
 
Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Pedro Cobarrubias
 
Modelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridadModelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridadPedro Cobarrubias
 
Itil, cobit adm
Itil, cobit admItil, cobit adm
Itil, cobit admJefry Montero de Leon
 
Lineamientos de una auditoria de sistema y sus
Lineamientos de una auditoria de sistema y susLineamientos de una auditoria de sistema y sus
Lineamientos de una auditoria de sistema y susRuth Reyes
 

Recomendados

Cobit 5
Cobit 5 Cobit 5
Cobit 5 Edgar Jonathan Villegas
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TIINSTITUTO TÉCNICO PROFESIONAL DE TOLUCA
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1RMVTITO
 
Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Pedro Cobarrubias
 
Modelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridadModelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridadPedro Cobarrubias
 
Itil, cobit adm
Itil, cobit admItil, cobit adm
Itil, cobit admJefry Montero de Leon
 
Lineamientos de una auditoria de sistema y sus
Lineamientos de una auditoria de sistema y susLineamientos de una auditoria de sistema y sus
Lineamientos de una auditoria de sistema y susRuth Reyes
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxSilvyAndreaCaicedo
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxSilvyAndreaCaicedo
 
asincronica 4.docx
asincronica 4.docxasincronica 4.docx
asincronica 4.docxSilvyAndreaCaicedo
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TIFabián Descalzo
 
Cobit
CobitCobit
CobitSantiago Suarez
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdfSilvyAndreaCaicedo
 
Lineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaLineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaCristhina Litardo M
 
Lineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaLineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaCristina Litardo
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe cosoArmando Pomaire
 
Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Universidad de Guadalajara
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBITIsaacDaniel20
 
Isaca expo
Isaca expoIsaca expo
Isaca expoYadi De La Cruz
 
ISACA
ISACAISACA
ISACAMaria Villalba
 
Cobit asignacion especial
Cobit asignacion especialCobit asignacion especial
Cobit asignacion especialabueladelniaka28
 
La nueva versión de COBIT está en camino
La nueva versión de COBIT está en caminoLa nueva versión de COBIT está en camino
La nueva versión de COBIT está en caminoISACA Buenos Aires Chapter
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitnilson
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIKIngrid11
 
AUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptxAUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptxSilvyAndreaCaicedo
 
superherramientas.pdf
superherramientas.pdfsuperherramientas.pdf
superherramientas.pdfHugoCarlosSanLuisLop
 
guia10habitos.pdf
guia10habitos.pdfguia10habitos.pdf
guia10habitos.pdfHugoCarlosSanLuisLop
 

Más contenido relacionado

Similar a La_gestion_en_la_seguridad_de_la_informa.pdf

PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxSilvyAndreaCaicedo
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxSilvyAndreaCaicedo
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TIFabián Descalzo
 
Lineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaLineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaCristhina Litardo M
 
Lineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaLineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaCristina Litardo
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe cosoArmando Pomaire
 
Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Universidad de Guadalajara
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitnilson
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIKIngrid11
 

Similar a La_gestion_en_la_seguridad_de_la_informa.pdf (20)

PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptx
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptx
 
asincronica 4.docx
asincronica 4.docxasincronica 4.docx
asincronica 4.docx
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
 
Cobit
CobitCobit
Cobit
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdf
 
Lineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaLineamientosdeunaauditoriadesistema
Lineamientosdeunaauditoriadesistema
 
Lineamientosdeunaauditoriadesistema
LineamientosdeunaauditoriadesistemaLineamientosdeunaauditoriadesistema
Lineamientosdeunaauditoriadesistema
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe coso
 
Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
Isaca expo
Isaca expoIsaca expo
Isaca expo
 
ISACA
ISACAISACA
ISACA
 
Cobit asignacion especial
Cobit asignacion especialCobit asignacion especial
Cobit asignacion especial
 
La nueva versión de COBIT está en camino
La nueva versión de COBIT está en caminoLa nueva versión de COBIT está en camino
La nueva versión de COBIT está en camino
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de Investigación
 
COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIK
 
AUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptxAUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptx
 

Más de HugoCarlosSanLuisLop

Guia para romper la paralisis emprendedora.pdf
Guia para romper la paralisis emprendedora.pdfGuia para romper la paralisis emprendedora.pdf
Guia para romper la paralisis emprendedora.pdfHugoCarlosSanLuisLop
 
Guia-de-Monedas-digitales-Equiti.pdf
Guia-de-Monedas-digitales-Equiti.pdfGuia-de-Monedas-digitales-Equiti.pdf
Guia-de-Monedas-digitales-Equiti.pdfHugoCarlosSanLuisLop
 
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdfINSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdfHugoCarlosSanLuisLop
 
Manual Supervisión Riesgos Cibernéticos.pdf
Manual Supervisión Riesgos Cibernéticos.pdfManual Supervisión Riesgos Cibernéticos.pdf
Manual Supervisión Riesgos Cibernéticos.pdfHugoCarlosSanLuisLop
 
Herbolaria-Cientifica-HI-E-book.pdf
Herbolaria-Cientifica-HI-E-book.pdfHerbolaria-Cientifica-HI-E-book.pdf
Herbolaria-Cientifica-HI-E-book.pdfHugoCarlosSanLuisLop
 
The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdf
The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdfThe-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdf
The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdfHugoCarlosSanLuisLop
 

Más de HugoCarlosSanLuisLop (17)

superherramientas.pdf
superherramientas.pdfsuperherramientas.pdf
superherramientas.pdf
 
guia10habitos.pdf
guia10habitos.pdfguia10habitos.pdf
guia10habitos.pdf
 
habitos.pdf
habitos.pdfhabitos.pdf
habitos.pdf
 
conectarse.pdf
conectarse.pdfconectarse.pdf
conectarse.pdf
 
Guia para romper la paralisis emprendedora.pdf
Guia para romper la paralisis emprendedora.pdfGuia para romper la paralisis emprendedora.pdf
Guia para romper la paralisis emprendedora.pdf
 
EMPALMES.pptx
EMPALMES.pptxEMPALMES.pptx
EMPALMES.pptx
 
Guia Fitnes.pdf
Guia Fitnes.pdfGuia Fitnes.pdf
Guia Fitnes.pdf
 
Como-ganarle-el-juego-al-SEO.pdf
Como-ganarle-el-juego-al-SEO.pdfComo-ganarle-el-juego-al-SEO.pdf
Como-ganarle-el-juego-al-SEO.pdf
 
revista_no1_guiaSueno.pdf
revista_no1_guiaSueno.pdfrevista_no1_guiaSueno.pdf
revista_no1_guiaSueno.pdf
 
Guia-de-Monedas-digitales-Equiti.pdf
Guia-de-Monedas-digitales-Equiti.pdfGuia-de-Monedas-digitales-Equiti.pdf
Guia-de-Monedas-digitales-Equiti.pdf
 
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdfINSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
 
Manual Supervisión Riesgos Cibernéticos.pdf
Manual Supervisión Riesgos Cibernéticos.pdfManual Supervisión Riesgos Cibernéticos.pdf
Manual Supervisión Riesgos Cibernéticos.pdf
 
curso_de_ingles_nivel_basico.pdf
curso_de_ingles_nivel_basico.pdfcurso_de_ingles_nivel_basico.pdf
curso_de_ingles_nivel_basico.pdf
 
Herbolaria-Cientifica-HI-E-book.pdf
Herbolaria-Cientifica-HI-E-book.pdfHerbolaria-Cientifica-HI-E-book.pdf
Herbolaria-Cientifica-HI-E-book.pdf
 
The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdf
The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdfThe-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdf
The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdf
 
Mesa de ayuda.pdf
Mesa de ayuda.pdfMesa de ayuda.pdf
Mesa de ayuda.pdf
 
ruta-critica.pdf
ruta-critica.pdfruta-critica.pdf
ruta-critica.pdf
 

La_gestion_en_la_seguridad_de_la_informa.pdf

  • 1. Revista Pensamiento AMERICANO Acerca de iso 27000 C uantos de ustedes no han tenido que abordar o participar en un proyecto corporativo en donde se tiene que implementar un plan de seguridad informática basado en un modelo o metodología, el cual no se debe mezclar con las herramientas operativas de “firewall”, antivirus o de detección de intrusos que se requieren para la seguridad perimetral. La información se ha convertido en un activo vital para el éxito y la continuidad en el mercado de cualquier organización. Por ende, el aseguramiento de dicha información y de los sistemas que la procesan es un objetivo de primer nivel para la organización. Para la corrrecta gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metodológica, documentada y basada en unos objetivos claros de seguridad y una acertada evaluación de los riesgos a los que está sometida la información de la organización. Dominio de la norma ISO 27001 – Fuente: TCP. Sistemas e Ingeniería Política de Seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Control de accesos Conformidad Seguridad ligada al personal Seguridad física y del entorno Desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad del negocio O peracional Táctico Estratégico 21 Revista Pensamiento Americano ISSN: 2027-2448 Vol 2 No. 6. Enero – Junio 2011 (Págs 21-23) La gestión en la seguridad de la información según Cobit, Itil e Iso 27000 Vladimir Montaño Orrego* vmontano@coruniamericana.edu.co Resumen: ¿Qué relación tienen Cobit, ITIL e ISO 27000 en la seguridad informática? La experiencia demuestra que resulta algo complicado implementar un Sistema de Gestión de Seguridad de la Información SGSI sin tocar aunque sea tangencialmente este tipo de modelos en los aspectos de seguridad de la información que existe en una Organización. Por ende, usted puede estar implementando su SGSI pudiendo mejorar este sistema mediante la inclusión de áreas de aplicación ISO 27000, o midiendo el estado de maduración de su SGSI a través de Cobit o ITIL. Palabras Clave: ISO (Organización de Estándares Internacionales), ITIL (Biblioteca de Infraestructura de Tecnologías de la Información), OGC (Oficina Gubernamental de Comercio), TI (Tecnologías de la información), COBIT (Objetivos de Control para la Información y Tecnologías relacionadas), IEC (Comisión Internacional de Electrotecnia) Abstract: Is there any relationship between COBIT and ITIL and ISO 27000 about the information security? Experience shows up that is very complex try to implement a “Information Security Management System” ISMS without touch this kind of models in subjects related with information security of the organization. For the time, you may be implementing the ISMS for improving this system through the inclusion of application areas about ISO 27000, or measuring the maturing state of ISMS through COBIT or ITIL. Key Words: ISO, ITIL, OGC, TI, COBIT, IEC. * Especialización en Gerencia Integral Artículo recibido: Abril 27/2011. Aceptado: Agosto 16/2011. DOMINIOS DE LA NORMA ISO 27001 Seguridad Organizativa Seguridad lógica Seguridad física Seguridad legal
  • 2. Revista Pensamiento AMERICANO 22 ISO/IEC 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por la ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que brindan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización de tipo público o privada, grande o pequeña. Acerca de Cobit El modelo COBIT (Control Objectives for In- formation and related Technology) es el marco aceptado internacionalmente de buenas prácticas para el control de la información TI y los riesgos que conllevan. COBIT se usa para implementar el gobierno de TI y mejorar los controles de TI. De igual manera, contiene objetivos de control, directrices de aseguramiento, mediciones de desempeño y resultados, factores críticos de éxito y modelos de madurez. Para apoyar a las organizaciones a satisfacer exitósamente los desafíos de los negocios ac- tualmente, el IT Governance Institute (ITGI) publicó la versión de COBIT 4.1 Modelo COBIT 4.1 Fuente: www.fedeac.com • COBITes un marco de Gestión deTI y un conjunto de herramientas de soporte para el gobierno de TI, que permite a los gerentes cubrir la brecha entre los requisitos de control, los aspectos técnicos y riesgos de negocio. • COBIT hace viable el desarrollo de una política clara y buenas prácticas para los controles de TI a través de las organizaciones. • COBIT hace énfasis en la conformidad de regulaciones, ayuda a las organizaciones a incre- mentar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de COBIT. En síntesis, la última versión de COBIT 4.1 en- fatiza el cumplimiento normativo, ayuda a las or- ganizaciones a incrementar el valor de TI, ayuda al alineamiento con el negocio y simplifica la im- plantación de COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que puede ser empleado para mejorar el trabajo previo. Acerca de Itil La Biblioteca de Infraestructura de Tecnologías de la Información ITIL está basado en un conjunto de mejores prácticas para la gestión de servicios de tecnologías de la información en lo referente a personas, procesos y tecnología, las cuales fueron desarrolladas por la OGC (Oficina Gubernamental de Comercio) del Reino Unido. A través de buenas prácticas especificadas en ITIL se hace posible para departamentos y organizaciones reducir costos, mejorar la calidad del servicio, tanto a clientes externos como internos y optimizar al máximo las habilidades y destrezas del personal mejorando su productividad. Modelo ITIL V.3 Fuente: IT Process Map ITIL V3 maneja tres niveles de formación los cuales se pueden identificar por los siguientes cursos de “training”: Foundation in IT Service Management Intermediate Qualification: Operational Support and Analysis (OSA) Release, Control and Validation (RCV) Service Offerings and Agreements (SOA) Planning, Protection and Optimization (PPO) Service Strategy (SS) Service Design (SD) Service Transition (ST) Service Operation (SO) Continual Service Improvement (CSI) Managing Across the Lifecycle (MALC) • Implementing ITIL V3 Gobernabilidad de Tl Entrega de Valor Alineación Estratégica M e d i c i ó n d e l d e s e m p e ñ o Administración de Recursos A d m i n i s t r a c i ó n d e R i e s g o s La gestion en la seguridad de la información
  • 3. Revista Pensamiento AMERICANO 23 En el cuadro que se muestra a continuación se muestra un comparativo de los modelos COBIT, ITIL e ISO 27000 basado en las funciones, las áreas de cobertura, la organización que creó el modelo, para qué se implementa y quienes los orientan (evalúan). Es importante concluir que un modelo no será mejor que otro, debido a que inicialmente hay que evaluar la pertinencia, la cobertura (áreas) y ante todo que cada organización, cada empresa tiene su particularidad, por ende, lo importante será adoptar un modelo pertinente, tomar los elementos que sean aplicables y adaptar el modelo de referencia para generar un modelo propio para la empresa. ISO 27000. http://www.iso27000.es/iso27000.html ¿Qué es COBIT?. http://www.cibertec.edu.pe/2/modulos/JER/JER_ Interna.aspx?ARE=2&PFL=2&JER=3749 Seguridad de la Información en Colombia. http://seguridadinformacioncolombia.blogspot. com/2010/08/alineando-cobit-41-itil-v3-e-iso-27002. html Boletín de asesoría presencial. http://es.scribd.com/doc/51456904/Aplicabilidad- de-esta%CC%81ndares-internacionales-y- mejorespra%CC%81cticas-CobiT%C2%AE- ITIL%C2%AE-Serie-ISO-IEC-27000-PwC- Venezuela COBIT – ISO 20000 – ITIL – ISO 27000 http://www.derkeiler.com/Mailing-Lists/ securityfocus/security-basics/2008-02/msg00487. html Comparativo de modelos ÄREA CobiT ITIL ISO 27000 Funciones Mapeo de procesos Mapeo de la Marco de IT Gestión de referencia de Niveles de seguridad de la Servicio de IT Información Áreas 4 Procesos y 34 9 Procesos 10 Dominios Dominios Creador ISACA OGC ISO International Organization for Standardization ¿Para qué se Auditoría de Gestión de Cumplimiento del implementa? Sistemas de Niveles de estándar de Información Servicio seguridad ¿Quiénes lo Compañías de Compañías de Compañías de evalúan? contabilidad Consultoría en IT Consultoría en IT, Compañías de Empresas de consultoría en IT Seguridad Consultores de seguridad en redes Referencias bibliográficas: La gestion en la seguridad de la información Comparativo COBIT, ITIL, ISO 27000 - Fuente: Seguridad de la información en Colombia