Unidad V. Disoluciones quimica de las disoluciones
Qué es itil
1. Qué es ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías
de la Información (ITIL®) se ha convertido en el estándar mundial de de facto
en la Gestión de Servicios Informáticos. Iniciado como una guía para el
gobierno de UK, la estructura base ha demostrado ser útil para las
organizaciones en todos los sectores a través de su adopción por innumerables
compañías como base para consulta, educación y soporte de herramientas de
software. Hoy, ITIL® es conocido y utilizado mundialmente. Pertenece a
la OGC, pero es de libre utilización.
ITIL le permite beneficiarse completamente de las mejores prácticas
demostradas en la TI y es relevante para cualquier persona encargada de la
entrega o apoyo de servicios de TI.
ITIL se alinea con varias normas de calidad internacionales, incluyendo el
ISO/IEC 20000 (Código de Prácticas de la Gestión de Servicios de TI) y ha sido
aceptado por miles de organizaciones de todo el mundo, tales como la NASA,
el Servicio de Salud del Reino Unido (NHS) y Disney™.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza
cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el
desarrollo del producto (u obtención). De esta manera, los procesos eficaces y
eficientes de la Gestión de Servicios TI se convierten en esenciales para el
éxito de los departamentos de TI. Esto se aplica a cualquier tipo de
organización, grande o pequeña, pública o privada, con servicios TI
centralizados o descentralizados, con servicios TI internos o suministrados por
terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta
calidad, y de coste aceptable.
Seguridad informática: La seguridad informática o seguridad de
tecnologías de la información es el área de la informática que se enfoca en la
protección de la infraestructura computacional y todo lo relacionado con esta y,
especialmente, la información contenida o circulante. Para ello existen una
serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la
información. La seguridad informática comprende software (bases de
datos, metadatos, archivos), hardware y todo lo que la organización valore y
signifique un riesgo si esta información confidencial llega a manos de otras
personas, convirtiéndose, por ejemplo, en información privilegiada.
La definición de seguridad de la información no debe ser confundida con la de
«seguridad informática», ya que esta última sólo se encarga de la seguridad en
el medio informático, pero la información puede encontrarse en diferentes
medios o formas, y no solo en medios informáticos.
2. La seguridad informática es la disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas destinados a conseguir un sistema de
información seguro y confiable.
Objetivos
La seguridad informática debe establecer normas que minimicen los riesgos a
la información o infraestructura informática. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones,
perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que
permita un buen nivel de seguridad informática minimizando el impacto en el
desempeño de los trabajadores y de la organización en general y como
principal contribuyente al uso de programas realizados por programadores.
La seguridad informática está concebida para proteger los activos informáticos,
entre los que se encuentran los siguientes:
La infraestructura computacional: Es una parte fundamental para el
almacenamiento y gestión de la información, así como para el
funcionamiento mismo de la organización. La función de la seguridad
informática en esta área es velar que los equipos funcionen
adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot,
desastres naturales, fallas en el suministro eléctrico y cualquier otro factor
que atente contra la infraestructura informática.
Los usuarios: Son las personas que utilizan la estructura tecnológica, zona
de comunicaciones y que gestionan la información. Debe protegerse el
sistema en general para que el uso por parte de ellos no pueda poner en
entredicho la seguridad de la información y tampoco que la información que
manejan o almacenan sea vulnerable.
La información: es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios.
Principios de la Seguridad Informática
Dentro del libro “Cibercrimen”, se tocan temas importantes sobre los delitos
informáticos, definiendo este en la obra como “Acción u omisión, típica,
antijurídica y culpable, que se realiza por medio de un sistema que haga
uso de las tecnologías de la información o un componente de éste, o que
lesione la integridad, disponibilidad o confidencialidad de la información”.
Es por ello que estos tres atributos de la información: Integridad, Disponibilidad
y Confidencialidad, son considerados los pilares sobre los cuales se debe
basar la Seguridad Informática.
3. Para ilustrar el punto, desarrollé el concepto de estos atributos y cité algunos
ejemplos de delitos informáticos que violentan cada uno de estos atributos:
Integridad: Constituye un atributo de la información para asegurar que
ésta, al almacenarse o al ser trasladada, no sea modificada de ninguna
forma no autorizada. El Daño Informático, la Falsificación Informática y el
Fraude informático, el cual implica la alteración de datos o del sistema, son
claros ejemplos de la violación a la integridad de la información, ya que
pretenden en primer lugar la alteración, inutilización o modificación de datos
o información almacenada, sin autorización.
Disponibilidad: Constituye una característica de la información para
garantizar que ésta se encuentre disponible, en cualquier momento, para
quien tiene la autorización de acceder a ella, sean personas, procesos o
aplicaciones. Un ataque de Denegación de Servicio Distribuida (DDos), que
comúnmente es utilizada por grupos Hacktivistas, es el delito típico que se
puede encuadrar, ya que precisamente es lo que se pretende, que el sitio
hacia el cual es lanzado el ataque, deniegue las solicitudes de acceso o
que los usuarios del sistema tampoco puedan comunicarse, logrando con
ello la falta de disponibilidad del sistema.
Confidencialidad: Constituye un atributo de la información para prevenir
su divulgación a personas o usuarios no autorizados. En la actualidad se ha
hablado mucho sobre Espionaje Informático, esta acción, este delito
informático, es el ejemplo más claro de violación a la confidencialidad,
donde una organización, empresa o individuo es objeto de espionaje, y el
perpetrador por medio de diferentes medios o artefactos, logra obtener
acceso a información privada o no publica de la víctima.
ISO-27001:2013 ¿Qué hay de nuevo?
A mediados del mes de marzo de este año, BSI publicó en su sitio Web
el borrador del estándar internacional ISO/IEC -27001:2013 (DIS, Draft
International Standard), así como la programación de una serie de
sesiones para dar a conocer algunas de las modificaciones más
significativas que incluirá dicho estándar.
4. En esta nueva versión no solo se establecen cambios en el contenido
sino también en la estructura, lo que se reflejará en otros documentos
que forman parte de la familia ISO-27000 (la versión final del estándar
se espera a finales de 2013).
Las principales modificaciones se ven reflejadas en la estructura y el
contenido de los controles que conforman el Anexo “A”, donde el
número total de dominios era de 11 y ahora son 14 y se reduce el
número de controles de 133 a 113, todo como resultado de un proceso
de fusión, exclusión e incorporación de nuevos controles de seguridad .
Descripción de las principales secciones
0. Introducción
El cambio más significativo en todo el apartado fue la eliminación de la
sección “Enfoque del proceso” que contenía la versión 2005, en donde se
describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la
Información (SGSI). Además de la ya mencionada alineación con el Anexo SL
de la ISO/IEC, sección 1.
1. Alcance
En esta sección se establece la obligatoriedad de cumplir con los requisitos
especificados en los capítulos 4 a 10 del documento, para poder obtener la
conformidad de cumplimiento y certificarse.
2. Referencias normativas
El estándar ISO-27002 ya no es una referencia normativa para ISO-
27001:2013, aunque continúa considerándose necesario en el desarrollo de la
declaración de aplicabilidad (SOA, por sus siglas en inglés).
El estándar ISO 27000:2013 se convierte en una referencia normativa
obligatoria y única, ya que contiene todos los nuevos términos y definiciones.
3. Términos y definiciones
Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y
agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo
5. cual se llevará a cabo en todos los documentos que forman parte de esta
familia), con el objetivo de contar con una sola guía de términos y definiciones
que sea consistente.
4. Contexto de la organización
Esta cláusula hace hincapié en identificar los problemas externos e internos
que rodean a la organización.
Instituye los requerimientos para definir el contexto del SGSI sin importar
el tipo de organización y su alcance.
Introduce una nueva figura (las partes interesadas) como un elemento
primordial para la definición del alcance del SGSI.
Establece la prioridad de identificar y definir formalmente las
necesidades de las partes interesadas con relación a la seguridad de la
información y sus expectativas con relación al SGSI, pues esto
determinará las políticas de seguridad de la información y los objetivos a
seguir para el proceso de gestión de riesgos.
5. Liderazgo
Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI,
destacando de manera puntual cómo debe demostrar su compromiso, por
ejemplo:
Garantizando que los objetivos del SGSI y “La política de seguridad de
la información”, anteriormente definida como “Política del SGSI”, estén
alineados con los objetivos del negocio.
Garantizando la disponibilidad de los recursos para la implementación
del SGSI (económicos, tecnológicos, etcétera).
Garantizando que los roles y responsabilidades claves para la seguridad
de la información se asignen y se comuniquen adecuadamente.
6. Planeación
Esta es una nueva sección enfocada en la definición de los objetivos de
seguridad como un todo, los cuales deben ser claros y se debe contar con
planes específicos para alcanzarlos.
Se presentan grandes cambios en el proceso de evaluación de riesgos:
6. El proceso para la evaluación de riesgos ya no está enfocado en los
activos, las vulnerabilidades y las amenazas.
Esta metodología se enfoca en el objetivo de identificar los riesgos
asociados con la pérdida de la confidencialidad, integridad y
disponibilidad de la información.
El nivel de riesgo se determina con base en la probabilidad de
ocurrencia del riesgo y las consecuencias generadas (impacto), si el
riesgo se materializa.
Se ha eliminado el término “Propietario del activo” y se adopta el término
“Propietario del riesgo”.
Los requerimientos del SOA no sufrieron transformaciones
significativas.
7. Soporte
Marca los requerimientos de soporte para el establecimiento, implementación y
mejora del SGSI, que incluye:
Recursos
Personal competente
Conciencia y comunicación de las partes interesadas
Se incluye una nueva definición “información documentada” que
sustituye a los términos “documentos” y “registros”; abarca el proceso
de documentar, controlar, mantener y conservar la documentación
correspondiente al SGSI.
El proceso de revisión se enfoca en el contenido de los documentos y
no en la existencia de un determinado conjunto de estos.
8. Operación
Establece los requerimientos para medir el funcionamiento del SGSI, las
expectativas de la Alta Dirección y su realimentación sobre estas, así como el
cumplimiento con el del estándar.
Además, plantea que la organización debe planear y controlar las
operaciones y requerimientos de seguridad, erigiendo como el pilar de
este proceso la ejecución de evaluaciones de riesgos de seguridad de
7. la información de manera periódica por medio de un programa
previamente elegido.
Los activos, vulnerabilidades y amenazas ya no son la base de la
evaluación de riesgos. Solo se requiere para identificar los riesgos
asociados con la confidencialidad, integridad y disponibilidad.
9. Evaluación del desempeño
La base para identificar y medir la efectividad y desempeño del SGSI continúan
siendo las auditorías internas y las revisiones del SGSI.
Se debe considerar para estas revisiones el estado de los planes de
acción para atender no conformidades anteriores y se establece la
necesidad de definir quién y cuándo se deben realizar estas
evaluaciones así como quién debe analizar la información recolectada.
10. Mejora
El principal elemento del proceso de mejora son las no-conformidades
identificadas, las cuales tienen que contabilizarse y compararse con las
acciones correctivas para asegurar que no se repitan y que las acciones
correctivas sean efectivas.
Aquí se observa uno de los cambios más importantes porque las
medidas preventivas se fusionarán con la evaluación y tratamiento del
riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y
las oportunidades con base en cuándo estos se identifican y cómo se
tratan. Además, se distingue entre las correcciones que se ejecutan
como una respuesta directa a una “no conformidad”, en oposición a las
acciones correctoras que se realizan para eliminar la causa de la no
conformidad.