Ensayo de estandares en el contexto mexicano

S
Sole LeraguiiAgente Secreto con Perry el Ornitorrinco :)
Educación

Ensayo de estandares en el contexto mexicano

S
Sole LeraguiiAgente Secreto con Perry el Ornitorrinco :)
Educación

Ensayo de estandares en el contexto mexicano

1 de 14
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIVERSIDAD VERACRUZANA FACULTAD DE ADMINISTRACION Experiencia educativa: Administración de las Tecnologías de la Información. Tema: “Ensayo de estándares en el contexto mexicano”. Profesor: Dr. Carlos Arturo Torres Gastelu Equipo 1: Aquino Alejandrez Jaime Omar Lerma Aguilar María Soledad Fecha: 1 de Diciembre del 2011 EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION Introducción. El valor creciente de la información y de los sistemas de tecnologías de la información que la soportan, su omnipresencia y su carácter de instrumento esencial para el desarrollo económico y social de nuestra sociedad, las dependencias que se dan y los riesgos generados conducen todos ellos a la necesidad de adoptar políticas, procedimientos, practicas y medidas organizativas y técnicas capaces de proteger la información y de gestionar la seguridad de los sistemas respondiendo a las amenazas existentes; capaces de garantizar dimensiones esenciales de la seguridad como la confidencialidad, la integridad, la disponibilidad y la autenticidad; de satisfacer la confianza depositada en los productos y sistemas, en la información necesaria para la toma de decisiones y en las posibles expectativas en cuanto a oportunidades de innovación y adaptación; así como de satisfacer los posibles requisitos legales, sean estos de carácter horizontal o sectorial. Debido a esto se incremento la demanda de la existencia de un conjunto articulado, sistemático, estructurado, coherente y lo más completo posible de normas que sirvan de vocabulario y lenguaje común, de unificación de criterios, de modelo, especificación y guía para su materia de construcción, mantenimiento y mejora de la seguridad de la información y de los sistemas que la soportan, aportando a la vez racionalización, disminución de costes, mejoras en competitividad y calidad e incluso nuevas oportunidades. Es por esto que en los últimos años se ha producido un incremento de la atención a la seguridad de los sistemas de información, atención a la que no han sido ajenos los Organismos de normalización que están ampliando notablemente sus catálogos de normas disponibles en esta materia. Así, se viene desarrollando una colección significativa de normas en el campo de la seguridad de las tecnologías de la información, que refleja también la evolución de la normalización en general, en la medida en que, junto con el enfoque tradicional de desarrollo de normas centradas en aspectos de la tecnología, se viene produciendo el desarrollo de normas relacionadas con prácticas de gestión, servicios y gestión de riesgos. Es por ello que veremos las normas mas utilizadas en México y cuál es la recomendable para una PYME. EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION ¿Qué normas son utilizadas en el contexto mexicano? ISO/IEC 27001 Seguridad de la información. La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información. ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. ¿Para quién es significativo? ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida. El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora. ISO/IEC 17799 Es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y publicación local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado y liberado, pero el estándar nacional logra así asegurar que el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estándar ISO/IEC 17799. ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)". EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION La versión de 2005 del estándar incluye las siguientes once secciones principales: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades. Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007. La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento. La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION Información implantados en las organizaciones y por medio de un proceso formal de auditoría realizado por un tercero. COSO El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control. COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA). El modelo COSOERM- Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94). Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI. COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. COBIT El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. “La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber: EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION - Planificación y organización - Adquisición e implantación - Soporte y Servicios - Monitoreo Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y recurso humano. “Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK. ITIL La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI. Los particulares pueden conseguir varias certificaciones oficiales ITIL. Los estándares de calificación ITIL son gestionados por la ITIL Certification Management Board (ICMB) que agrupa a la OGC, a itSMF International EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION y a los dos Institutos Examinadores existentes: EXIN (con sede en los Países Bajos) e ISEB (con sede en el Reino Unido). Existen tres niveles de certificación ITIL para profesionales: 1. Foundation Certificate (Certificado Básico): acredita un conocimiento básico de ITIL en gestión de servicios de tecnologías de la información y la comprensión de la terminología propia de ITIL. Está destinado a aquellas personas que deseen conocer las buenas prácticas especificadas en ITIL. 2. Practitioner's Certificate (Certificado de Responsable): destinado a quienes tienen responsabilidad en el diseño de procesos de administración de departamentos de tecnologías de la información y en la planificación de las actividades asociadas a los procesos. 3. Manager's Certificate (Certificado de Director): garantiza que quien lo posee dispone de profundos conocimientos en todas las materias relacionadas con la administración de departamentos de tecnologías de la información, y lo habilita para dirigir la implantación de soluciones basadas en ITIL. No es posible certificar una organización o sistema de gestión como «conforme a ITIL», pero una organización que haya implementado las guías de ITIL sobre Gestión de los Servicios de TI puede lograr certificarse bajo la ISO/IEC 20000. La versión 3 de ITIL, que apareció en junio de 2007, cambió ligeramente el esquema de Certificaciones, existiendo certificaciones puentes, se definen 3 niveles: 1. Basic Level (Equivalente a ITIL Foundation en v2) 2. Management and Capability Level (Equivalente a los niveles Practitioner y Manager en ITIL v2) 3. Advanced Level (nuevo en v3) UNE ISO/IEC 20000 La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de normalización británica, la British Standards Institution (BSI). EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION La gestión de una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratado proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas. ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que está disponible en dos partes: una especificación auditable y un código de buenas prácticas. La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos. La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público. La aparición de la serie ISO/IEC 20000, ha supuesto el primer sistema de gestión en servicio de TI certificable bajo norma reconocida a nivel mundial. Hasta ahora, las organizaciones podían optar por aplicar el conjunto de mejoras prácticas dictadas por ITIL (completadas por otros estándares como CMMI o CoBIT) o certificar su gestión contra el estándar local británico BS 15000. La parte 1 de la serie, ISO/IEC 20000- 1:2005 representa el estándar certificable. En febrero de 2006, AENOR EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION (organización delegada en España de ISO/IEC) inició el mecanismo de adopción y conversión de la norma ISO/IEC 20000 a norma UNE. El viernes 23 de junio de 2006, la organización itSMF hace entrega a AENOR de la versión traducida de la norma. En el BOE del 25 de julio de 2007 ambas partes se ratificaron como normas españolas con las siguientes referencias: UNE-ISO/IEC 20000-1:2007 Tecnología de la información. Gestión del servicio. Parte 1: Especificaciones (ISO/IEC 20000-1:2005). UNE-ISO/IEC 20000-2:2007 Tecnología de la información. Gestión del servicio. Parte 2: Código de buenas prácticas (ISO 20000- 2:2005). Estas normas pueden adquirirse a través del portal web de AENOR. Cualquier entidad puede solicitar la certificación respecto a esas normas. En México, la adquisición de las Normas Mexicanas (NMX) correspondientes a la serie ISO/IEC 20000, así como la certificación bajo dicha norma, puede obtenerse a través del Organismo de Certificación acreditado: NYCE, A.C. (Normalización y Certificación Electrónica, A.C.) ¿Qué norma es viable de implementarse en una PYME mexicana? ISO/IEC 20000 La gestión de una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratado proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas. ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION está disponible en dos partes: una especificación auditable y un código de buenas prácticas. La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos. La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público. ¿Qué pasos se requieren hacer para su implementación? Establece los requisitos básicos de un sistema de gestión en cuanto a responsabilidades de la dirección, documentación, competencia y formación. También los pasos para la planificación e implementación de la gestión del servicio, que serían: Planificar Realizar Comprobar Actuar ISO/IEC 20000 consiste en dos documentos: • ISO/IEC 20000-1. Es la especificación formal y define los requerimientos para proveer servicios que cumplan con las especificaciones de los usuarios y los objetivos del negocio. • ISO/IEC 20000-2. Código de mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de servicios de TI. EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION Obtener esta certificación significa que el negocio cumple la práctica de la totalidad de las buenas prácticas ITIL, en la prestación de servicios de explotación de sistemas a clientes, respaldados por un sistema de gestión que garantiza que toda la organización, desde la parte directiva, hasta la parte operativa, funciona alineada. Los proveedores de servicio que obtienen la certificación, conforme a la norma ISO/IEC 20000, deben demostrar su cumplimiento con las mejores prácticas en una gran cantidad de actividades operacionales, por ejemplo, manejo de llamadas y resolución de incidentes de servicio en las operaciones del Service Desk, planeación de implementación, calidad ambiental y de seguridad en la administración de centros de datos y desempeño conforme a los Acuerdos de Nivel de Servicio (SLA), elaboración de presupuestos y de informes en los dos tipos de actividades. Los procesos serían: Procesos de provisión o entrega 1. Gestión de nivel de servicio 2. Generación de informes del servicio 3. Gestión de la continuidad y disponibilidad 4. Presupuestar y contabilizar servicios de TI 5. Gestión de la capacidad 6. Gestión de la seguridad de la información Procesos de relación 1. Gestión de relaciones con el negocio 2. Gestión de suministradores Procesos de resolución 1. Gestión del incidente 2. Gestión del problema Procesos de control 1. Gestión de la configuración EQUIPO 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION 2. Gestión del cambio Proceso de entrega de versiones 1. Proceso de gestión de la entrega Para cada uno de los procesos describe sus objetivos y algunas reglas o consejos para un buen funcionamiento. Siempre de una forma bastante esquemática. ISO/IEC 20000-2 - Código de prácticas La segunda parte de la norma contiene, para cada uno de los procesos de servicios de TI, una relación de buenas prácticas. Algunos ejemplos significativos de prácticas son: - Contenido de un acuerdo de nivel de servicio (SLA) ¿Cuáles son las recomendaciones que harías para que una empresa adoptara la norma seleccionada? Porque es importante señalar que las normas ISO no certifican a la empresa sino sus actividades o líneas de producción, es por esto que se habla de procesos certificados, y no de de empresas certificadas. Por ello es recomendable que la Dirección de la Empresa defina: Plan de Acción. Políticas de comunicación para con el personal referida a la implementación. Previsión de mecanismos de resolución de posibles situaciones conflictivas que pueden aparecer. Elaboración de la Política de Calidad. Monitorear permanentemente el desarrollo del Plan de Acción. Realizar reuniones formales de revisión. Desarrollar los cursos necesarios para la capacitación e implementación y el plan a seguir para que se cumplan con las normas establecidas con la nueva certificación. EQUIPO 1

Recomendados

Iso 27001 iso 27002 por
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
9.2K vistas24 diapositivas
Norma técnica ntc iso-iec por
Norma técnica ntc iso-iecNorma técnica ntc iso-iec
Norma técnica ntc iso-iecJesus Manuel Mendoza Jimenez
407 vistas3 diapositivas
Estándares Internacionales de Seguridad Informática por
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
22.9K vistas3 diapositivas
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion por
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
2.3K vistas6 diapositivas
Norma iso 27001 seguridad informatica por
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
708 vistas6 diapositivas
Seguridad-auditoria por
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
373 vistas44 diapositivas

Más contenido relacionado

La actualidad más candente

Ensayo normas juan enrique por
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
809 vistas28 diapositivas
Diapositivas Seguridad En Los Sitemas De Informacion por
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
6.8K vistas36 diapositivas
Xpertis Brochure Curso ISO 27002 por
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Silvia Nevarez
506 vistas9 diapositivas
La norma iso 27001 por
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
724 vistas8 diapositivas
Superior por
SuperiorSuperior
Superiorjuan cutiupala
106 vistas3 diapositivas
Modelos de-seguridad-informatica por
Modelos de-seguridad-informaticaModelos de-seguridad-informatica
Modelos de-seguridad-informaticaJöse Manüel
2.8K vistas5 diapositivas

La actualidad más candente(20)

Ensayo normas juan enrique por JUAN ENRIQUE
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
JUAN ENRIQUE809 vistas
Diapositivas Seguridad En Los Sitemas De Informacion por Degova Vargas
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
Degova Vargas6.8K vistas
Xpertis Brochure Curso ISO 27002 por Silvia Nevarez
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002
Silvia Nevarez506 vistas
La norma iso 27001 por uniminuto
La norma iso 27001La norma iso 27001
La norma iso 27001
uniminuto724 vistas
Superior por juan cutiupala
SuperiorSuperior
Superior
juan cutiupala106 vistas
Modelos de-seguridad-informatica por Jöse Manüel
Modelos de-seguridad-informaticaModelos de-seguridad-informatica
Modelos de-seguridad-informatica
Jöse Manüel2.8K vistas
Norma Iso 27001 por Juana Rotted
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
Juana Rotted13.4K vistas
Iso 27001 por ascêndia reingeniería + consultoría
Iso 27001Iso 27001
Iso 27001
ascêndia reingeniería + consultoría2.6K vistas
Iso 27001 Jonathan Blas por JonathanBlas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas1K vistas
Resumen Norma Iso 27001 por Gladisichau
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau18.5K vistas
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI) por Dilcia Mejia
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Dilcia Mejia850 vistas
Iso 27001 por navidisey
Iso 27001Iso 27001
Iso 27001
navidisey2K vistas
ISO 27001 ISOTools Chile por ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
ISOTools Chile486 vistas
27001:2013 Seguridad orientada al negocio por Fabián Descalzo
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo5.3K vistas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas por pocketbox
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
pocketbox1.2K vistas
0405 iso 27000present final por JABERO241
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
JABERO241573 vistas
Norma iso 27001 por Fabiola_Escoto
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto626 vistas
Sistemas de Gestión de Seguridad Informática. por Eduardo Maradiaga
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática.
Eduardo Maradiaga558 vistas
Iso27000 bernardo martinez por BernaMartinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez912 vistas
Estándares internacionales de seguridad informática por Jöse Manüel
Estándares internacionales de seguridad informática Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática
Jöse Manüel635 vistas

Similar a Ensayo de estandares en el contexto mexicano

Ensayo unidad4 por
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
2.1K vistas28 diapositivas
Normas iso 27001 27002 paola enríquez 9 c1 por
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
212 vistas4 diapositivas
Normas iso 27001 27002 paola enríquez 9 c1 por
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
304 vistas4 diapositivas
Normas iso 27001 27002 paola enríquez 9 c1 por
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
378 vistas4 diapositivas
NORMAS ISO por
NORMAS ISO NORMAS ISO
NORMAS ISO paokatherine
486 vistas4 diapositivas
Resumenes Cap. Gobierno De Las Tsi por
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
690 vistas10 diapositivas

Similar a Ensayo de estandares en el contexto mexicano(20)

Ensayo unidad4 por mCarmen32
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
mCarmen322.1K vistas
Normas iso 27001 27002 paola enríquez 9 c1 por paokatherine
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine212 vistas
Normas iso 27001 27002 paola enríquez 9 c1 por paokatherine
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine304 vistas
Normas iso 27001 27002 paola enríquez 9 c1 por paokatherine
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine378 vistas
NORMAS ISO por paokatherine
NORMAS ISO NORMAS ISO
NORMAS ISO
paokatherine486 vistas
Resumenes Cap. Gobierno De Las Tsi por santosperez
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
santosperez690 vistas
Introducción a los sistemas de gestión de seguridad por edwin damian pavon
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
edwin damian pavon109 vistas
Iso 27001 por karen figueroa hrderera
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera620 vistas
Iso 27001 por karen figueroa hrderera
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera267 vistas
I S O 27001 por karen figueroa hrderera
I S O 27001I S O 27001
I S O 27001
karen figueroa hrderera453 vistas
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor... por edwin damian pavon
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
edwin damian pavon98 vistas
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI por UCC
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC18.2K vistas
Politicas por Josue Romero
PoliticasPoliticas
Politicas
Josue Romero47 vistas
Sistemas de Gestión de Seguridad de la Información por Geybi Sabillon
Sistemas de Gestión de Seguridad de la InformaciónSistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
Geybi Sabillon112 vistas
Trabajo Auditoria por Christopher Ticeran Lopez
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez346 vistas
Trabajo Auditoria por Christopher Ticeran Lopez
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez1.3K vistas
isos de la informatica por Elias Daniel Espinoza Silupu
isos de la informaticaisos de la informatica
isos de la informatica
Elias Daniel Espinoza Silupu190 vistas
ISO 27001 por frank Ramirez
ISO 27001ISO 27001
ISO 27001
frank Ramirez1.5K vistas
Resumen cap. 1 sgsi por Denis Rauda
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsi
Denis Rauda136 vistas
Iso 27001 por urquia
Iso 27001Iso 27001
Iso 27001
urquia1.1K vistas

Último

Sesión: Misión en favor de los poderosos por
Sesión: Misión en favor de los poderososSesión: Misión en favor de los poderosos
Sesión: Misión en favor de los poderososhttps://gramadal.wordpress.com/
236 vistas4 diapositivas
VOCABULARIO NAVIDAD.pdf por
VOCABULARIO NAVIDAD.pdfVOCABULARIO NAVIDAD.pdf
VOCABULARIO NAVIDAD.pdfGema Rua
24 vistas35 diapositivas
DEBER DE RESOLUCION DE PROBLEMAS DE FUERZA (3°).pdf por
DEBER DE RESOLUCION DE PROBLEMAS DE FUERZA (3°).pdfDEBER DE RESOLUCION DE PROBLEMAS DE FUERZA (3°).pdf
DEBER DE RESOLUCION DE PROBLEMAS DE FUERZA (3°).pdfVictor Hugo Caiza
47 vistas2 diapositivas
Meta 1.3. Comparar las definiciones y caracterìsticas de la cultura sorda. por
Meta 1.3. Comparar las definiciones y caracterìsticas de la cultura sorda. Meta 1.3. Comparar las definiciones y caracterìsticas de la cultura sorda.
Meta 1.3. Comparar las definiciones y caracterìsticas de la cultura sorda. IvanLechuga
27 vistas4 diapositivas
organos de los sentidos.pptx por
organos de los sentidos.pptxorganos de los sentidos.pptx
organos de los sentidos.pptxperaltanatalia1302
27 vistas7 diapositivas
0 - Organología - Presentación.pptx por
0 - Organología - Presentación.pptx0 - Organología - Presentación.pptx
0 - Organología - Presentación.pptxVICENTEJIMENEZAYALA
130 vistas10 diapositivas

Último(20)

Sesión: Misión en favor de los poderosos por https://gramadal.wordpress.com/
Sesión: Misión en favor de los poderososSesión: Misión en favor de los poderosos
Sesión: Misión en favor de los poderosos
https://gramadal.wordpress.com/236 vistas
VOCABULARIO NAVIDAD.pdf por Gema Rua
VOCABULARIO NAVIDAD.pdfVOCABULARIO NAVIDAD.pdf
VOCABULARIO NAVIDAD.pdf
Gema Rua24 vistas
DEBER DE RESOLUCION DE PROBLEMAS DE FUERZA (3°).pdf por Victor Hugo Caiza
DEBER DE RESOLUCION DE PROBLEMAS DE FUERZA (3°).pdfDEBER DE RESOLUCION DE PROBLEMAS DE FUERZA (3°).pdf
DEBER DE RESOLUCION DE PROBLEMAS DE FUERZA (3°).pdf
Victor Hugo Caiza47 vistas
Meta 1.3. Comparar las definiciones y caracterìsticas de la cultura sorda. por IvanLechuga
Meta 1.3. Comparar las definiciones y caracterìsticas de la cultura sorda. Meta 1.3. Comparar las definiciones y caracterìsticas de la cultura sorda.
Meta 1.3. Comparar las definiciones y caracterìsticas de la cultura sorda.
IvanLechuga27 vistas
organos de los sentidos.pptx por peraltanatalia1302
organos de los sentidos.pptxorganos de los sentidos.pptx
organos de los sentidos.pptx
peraltanatalia130227 vistas
0 - Organología - Presentación.pptx por VICENTEJIMENEZAYALA
0 - Organología - Presentación.pptx0 - Organología - Presentación.pptx
0 - Organología - Presentación.pptx
VICENTEJIMENEZAYALA130 vistas
Intranet y extranet cuadro comparativo.pdf por UPTVT
Intranet y extranet cuadro comparativo.pdfIntranet y extranet cuadro comparativo.pdf
Intranet y extranet cuadro comparativo.pdf
UPTVT31 vistas
Tema 1 Modulo IV Redacción de Articulo UPTVT.pdf por Revista Crítica con Ciencia (e-ISSN: 2958-9495)
Tema 1 Modulo IV Redacción de Articulo UPTVT.pdfTema 1 Modulo IV Redacción de Articulo UPTVT.pdf
Tema 1 Modulo IV Redacción de Articulo UPTVT.pdf
Revista Crítica con Ciencia (e-ISSN: 2958-9495)101 vistas
Tema 3-El átomo.pptx por fatimasilvacabral
Tema 3-El átomo.pptxTema 3-El átomo.pptx
Tema 3-El átomo.pptx
fatimasilvacabral42 vistas
Ficha sesión discapacidad visual.doc por ricardo2010colegio
Ficha sesión discapacidad visual.docFicha sesión discapacidad visual.doc
Ficha sesión discapacidad visual.doc
ricardo2010colegio96 vistas
Proyectos Elementos Basicos - 2023.pdf por Jose Luis Jimenez Rodriguez
Proyectos Elementos Basicos - 2023.pdfProyectos Elementos Basicos - 2023.pdf
Proyectos Elementos Basicos - 2023.pdf
Jose Luis Jimenez Rodriguez47 vistas
Presentación de Proyecto Creativo Doodle Azul.pdf por LauraJuarez87
Presentación de Proyecto Creativo Doodle Azul.pdfPresentación de Proyecto Creativo Doodle Azul.pdf
Presentación de Proyecto Creativo Doodle Azul.pdf
LauraJuarez8764 vistas
Meta 1.2. Conocer los enfoques educativos con los que se instruido a personas... por IvanLechuga
Meta 1.2. Conocer los enfoques educativos con los que se instruido a personas...Meta 1.2. Conocer los enfoques educativos con los que se instruido a personas...
Meta 1.2. Conocer los enfoques educativos con los que se instruido a personas...
IvanLechuga76 vistas
Misión en favor de los poderosos por https://gramadal.wordpress.com/
Misión en favor de los poderososMisión en favor de los poderosos
Misión en favor de los poderosos
https://gramadal.wordpress.com/242 vistas
Semana1-CD-del 21 al 24 de noviembre-2023.pptx por LorenaCovarrubias12
Semana1-CD-del 21 al 24 de noviembre-2023.pptxSemana1-CD-del 21 al 24 de noviembre-2023.pptx
Semana1-CD-del 21 al 24 de noviembre-2023.pptx
LorenaCovarrubias1253 vistas
Rumbo al Norte.pdf por Jose Antonio Pérez Quintana
Rumbo al Norte.pdfRumbo al Norte.pdf
Rumbo al Norte.pdf
Jose Antonio Pérez Quintana32 vistas
PLANO CARTESIANOPARA NIÑOS.pptx por Carlos Campaña Montenegro
PLANO CARTESIANOPARA NIÑOS.pptxPLANO CARTESIANOPARA NIÑOS.pptx
PLANO CARTESIANOPARA NIÑOS.pptx
Carlos Campaña Montenegro147 vistas
Caso clinico VIH sida tb.pptx por AGUSTIN VEGA VERA
Caso clinico VIH sida tb.pptxCaso clinico VIH sida tb.pptx
Caso clinico VIH sida tb.pptx
AGUSTIN VEGA VERA36 vistas
DEPORTES DE RAQUETA .pdf por Miguel Lopez Marin
DEPORTES DE RAQUETA .pdfDEPORTES DE RAQUETA .pdf
DEPORTES DE RAQUETA .pdf
Miguel Lopez Marin32 vistas
Concepto de determinación de necesidades.pdf por LauraJuarez87
Concepto de determinación de necesidades.pdfConcepto de determinación de necesidades.pdf
Concepto de determinación de necesidades.pdf
LauraJuarez8775 vistas

Ensayo de estandares en el contexto mexicano

  • 1. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIVERSIDAD VERACRUZANA FACULTAD DE ADMINISTRACION Experiencia educativa: Administración de las Tecnologías de la Información. Tema: “Ensayo de estándares en el contexto mexicano”. Profesor: Dr. Carlos Arturo Torres Gastelu Equipo 1: Aquino Alejandrez Jaime Omar Lerma Aguilar María Soledad Fecha: 1 de Diciembre del 2011 EQUIPO 1
  • 2. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION Introducción. El valor creciente de la información y de los sistemas de tecnologías de la información que la soportan, su omnipresencia y su carácter de instrumento esencial para el desarrollo económico y social de nuestra sociedad, las dependencias que se dan y los riesgos generados conducen todos ellos a la necesidad de adoptar políticas, procedimientos, practicas y medidas organizativas y técnicas capaces de proteger la información y de gestionar la seguridad de los sistemas respondiendo a las amenazas existentes; capaces de garantizar dimensiones esenciales de la seguridad como la confidencialidad, la integridad, la disponibilidad y la autenticidad; de satisfacer la confianza depositada en los productos y sistemas, en la información necesaria para la toma de decisiones y en las posibles expectativas en cuanto a oportunidades de innovación y adaptación; así como de satisfacer los posibles requisitos legales, sean estos de carácter horizontal o sectorial. Debido a esto se incremento la demanda de la existencia de un conjunto articulado, sistemático, estructurado, coherente y lo más completo posible de normas que sirvan de vocabulario y lenguaje común, de unificación de criterios, de modelo, especificación y guía para su materia de construcción, mantenimiento y mejora de la seguridad de la información y de los sistemas que la soportan, aportando a la vez racionalización, disminución de costes, mejoras en competitividad y calidad e incluso nuevas oportunidades. Es por esto que en los últimos años se ha producido un incremento de la atención a la seguridad de los sistemas de información, atención a la que no han sido ajenos los Organismos de normalización que están ampliando notablemente sus catálogos de normas disponibles en esta materia. Así, se viene desarrollando una colección significativa de normas en el campo de la seguridad de las tecnologías de la información, que refleja también la evolución de la normalización en general, en la medida en que, junto con el enfoque tradicional de desarrollo de normas centradas en aspectos de la tecnología, se viene produciendo el desarrollo de normas relacionadas con prácticas de gestión, servicios y gestión de riesgos. Es por ello que veremos las normas mas utilizadas en México y cuál es la recomendable para una PYME. EQUIPO 1
  • 3. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION ¿Qué normas son utilizadas en el contexto mexicano? ISO/IEC 27001 Seguridad de la información. La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información. ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. ¿Para quién es significativo? ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida. El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. EQUIPO 1
  • 4. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora. ISO/IEC 17799 Es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y publicación local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado y liberado, pero el estándar nacional logra así asegurar que el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estándar ISO/IEC 17799. ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)". EQUIPO 1
  • 5. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION La versión de 2005 del estándar incluye las siguientes once secciones principales: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades. Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007. La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento. La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la EQUIPO 1
  • 6. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION Información implantados en las organizaciones y por medio de un proceso formal de auditoría realizado por un tercero. COSO El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control. COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA). El modelo COSOERM- Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94). Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI. COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. COBIT El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado EQUIPO 1
  • 7. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. “La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber: EQUIPO 1
  • 8. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION - Planificación y organización - Adquisición e implantación - Soporte y Servicios - Monitoreo Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y recurso humano. “Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK. ITIL La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI. Los particulares pueden conseguir varias certificaciones oficiales ITIL. Los estándares de calificación ITIL son gestionados por la ITIL Certification Management Board (ICMB) que agrupa a la OGC, a itSMF International EQUIPO 1
  • 9. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION y a los dos Institutos Examinadores existentes: EXIN (con sede en los Países Bajos) e ISEB (con sede en el Reino Unido). Existen tres niveles de certificación ITIL para profesionales: 1. Foundation Certificate (Certificado Básico): acredita un conocimiento básico de ITIL en gestión de servicios de tecnologías de la información y la comprensión de la terminología propia de ITIL. Está destinado a aquellas personas que deseen conocer las buenas prácticas especificadas en ITIL. 2. Practitioner's Certificate (Certificado de Responsable): destinado a quienes tienen responsabilidad en el diseño de procesos de administración de departamentos de tecnologías de la información y en la planificación de las actividades asociadas a los procesos. 3. Manager's Certificate (Certificado de Director): garantiza que quien lo posee dispone de profundos conocimientos en todas las materias relacionadas con la administración de departamentos de tecnologías de la información, y lo habilita para dirigir la implantación de soluciones basadas en ITIL. No es posible certificar una organización o sistema de gestión como «conforme a ITIL», pero una organización que haya implementado las guías de ITIL sobre Gestión de los Servicios de TI puede lograr certificarse bajo la ISO/IEC 20000. La versión 3 de ITIL, que apareció en junio de 2007, cambió ligeramente el esquema de Certificaciones, existiendo certificaciones puentes, se definen 3 niveles: 1. Basic Level (Equivalente a ITIL Foundation en v2) 2. Management and Capability Level (Equivalente a los niveles Practitioner y Manager en ITIL v2) 3. Advanced Level (nuevo en v3) UNE ISO/IEC 20000 La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de normalización británica, la British Standards Institution (BSI). EQUIPO 1
  • 10. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION La gestión de una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratado proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas. ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que está disponible en dos partes: una especificación auditable y un código de buenas prácticas. La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos. La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público. La aparición de la serie ISO/IEC 20000, ha supuesto el primer sistema de gestión en servicio de TI certificable bajo norma reconocida a nivel mundial. Hasta ahora, las organizaciones podían optar por aplicar el conjunto de mejoras prácticas dictadas por ITIL (completadas por otros estándares como CMMI o CoBIT) o certificar su gestión contra el estándar local británico BS 15000. La parte 1 de la serie, ISO/IEC 20000- 1:2005 representa el estándar certificable. En febrero de 2006, AENOR EQUIPO 1
  • 11. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION (organización delegada en España de ISO/IEC) inició el mecanismo de adopción y conversión de la norma ISO/IEC 20000 a norma UNE. El viernes 23 de junio de 2006, la organización itSMF hace entrega a AENOR de la versión traducida de la norma. En el BOE del 25 de julio de 2007 ambas partes se ratificaron como normas españolas con las siguientes referencias: UNE-ISO/IEC 20000-1:2007 Tecnología de la información. Gestión del servicio. Parte 1: Especificaciones (ISO/IEC 20000-1:2005). UNE-ISO/IEC 20000-2:2007 Tecnología de la información. Gestión del servicio. Parte 2: Código de buenas prácticas (ISO 20000- 2:2005). Estas normas pueden adquirirse a través del portal web de AENOR. Cualquier entidad puede solicitar la certificación respecto a esas normas. En México, la adquisición de las Normas Mexicanas (NMX) correspondientes a la serie ISO/IEC 20000, así como la certificación bajo dicha norma, puede obtenerse a través del Organismo de Certificación acreditado: NYCE, A.C. (Normalización y Certificación Electrónica, A.C.) ¿Qué norma es viable de implementarse en una PYME mexicana? ISO/IEC 20000 La gestión de una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratado proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas. ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que EQUIPO 1
  • 12. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION está disponible en dos partes: una especificación auditable y un código de buenas prácticas. La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos. La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público. ¿Qué pasos se requieren hacer para su implementación? Establece los requisitos básicos de un sistema de gestión en cuanto a responsabilidades de la dirección, documentación, competencia y formación. También los pasos para la planificación e implementación de la gestión del servicio, que serían: Planificar Realizar Comprobar Actuar ISO/IEC 20000 consiste en dos documentos: • ISO/IEC 20000-1. Es la especificación formal y define los requerimientos para proveer servicios que cumplan con las especificaciones de los usuarios y los objetivos del negocio. • ISO/IEC 20000-2. Código de mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de servicios de TI. EQUIPO 1
  • 13. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION Obtener esta certificación significa que el negocio cumple la práctica de la totalidad de las buenas prácticas ITIL, en la prestación de servicios de explotación de sistemas a clientes, respaldados por un sistema de gestión que garantiza que toda la organización, desde la parte directiva, hasta la parte operativa, funciona alineada. Los proveedores de servicio que obtienen la certificación, conforme a la norma ISO/IEC 20000, deben demostrar su cumplimiento con las mejores prácticas en una gran cantidad de actividades operacionales, por ejemplo, manejo de llamadas y resolución de incidentes de servicio en las operaciones del Service Desk, planeación de implementación, calidad ambiental y de seguridad en la administración de centros de datos y desempeño conforme a los Acuerdos de Nivel de Servicio (SLA), elaboración de presupuestos y de informes en los dos tipos de actividades. Los procesos serían: Procesos de provisión o entrega 1. Gestión de nivel de servicio 2. Generación de informes del servicio 3. Gestión de la continuidad y disponibilidad 4. Presupuestar y contabilizar servicios de TI 5. Gestión de la capacidad 6. Gestión de la seguridad de la información Procesos de relación 1. Gestión de relaciones con el negocio 2. Gestión de suministradores Procesos de resolución 1. Gestión del incidente 2. Gestión del problema Procesos de control 1. Gestión de la configuración EQUIPO 1
  • 14. ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION 2. Gestión del cambio Proceso de entrega de versiones 1. Proceso de gestión de la entrega Para cada uno de los procesos describe sus objetivos y algunas reglas o consejos para un buen funcionamiento. Siempre de una forma bastante esquemática. ISO/IEC 20000-2 - Código de prácticas La segunda parte de la norma contiene, para cada uno de los procesos de servicios de TI, una relación de buenas prácticas. Algunos ejemplos significativos de prácticas son: - Contenido de un acuerdo de nivel de servicio (SLA) ¿Cuáles son las recomendaciones que harías para que una empresa adoptara la norma seleccionada? Porque es importante señalar que las normas ISO no certifican a la empresa sino sus actividades o líneas de producción, es por esto que se habla de procesos certificados, y no de de empresas certificadas. Por ello es recomendable que la Dirección de la Empresa defina: Plan de Acción. Políticas de comunicación para con el personal referida a la implementación. Previsión de mecanismos de resolución de posibles situaciones conflictivas que pueden aparecer. Elaboración de la Política de Calidad. Monitorear permanentemente el desarrollo del Plan de Acción. Realizar reuniones formales de revisión. Desarrollar los cursos necesarios para la capacitación e implementación y el plan a seguir para que se cumplan con las normas establecidas con la nueva certificación. EQUIPO 1