SlideShare una empresa de Scribd logo

Qué es itil

Descargar como DOCX, PDF
B
beth2786

muy acertado

Internet
1 de 7
Qué es ITIL Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL®) se ha convertido en el estándar mundial de de facto en la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL® es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización. ITIL le permite beneficiarse completamente de las mejores prácticas demostradas en la TI y es relevante para cualquier persona encargada de la entrega o apoyo de servicios de TI. ITIL se alinea con varias normas de calidad internacionales, incluyendo el ISO/IEC 20000 (Código de Prácticas de la Gestión de Servicios de TI) y ha sido aceptado por miles de organizaciones de todo el mundo, tales como la NASA, el Servicio de Salud del Reino Unido (NHS) y Disney™. A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable. Seguridad informática: La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada. La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. Objetivos La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores. La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:  La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.  Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.  La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios. Principios de la Seguridad Informática Dentro del libro “Cibercrimen”, se tocan temas importantes sobre los delitos informáticos, definiendo este en la obra como “Acción u omisión, típica, antijurídica y culpable, que se realiza por medio de un sistema que haga uso de las tecnologías de la información o un componente de éste, o que lesione la integridad, disponibilidad o confidencialidad de la información”. Es por ello que estos tres atributos de la información: Integridad, Disponibilidad y Confidencialidad, son considerados los pilares sobre los cuales se debe basar la Seguridad Informática.
Para ilustrar el punto, desarrollé el concepto de estos atributos y cité algunos ejemplos de delitos informáticos que violentan cada uno de estos atributos:  Integridad: Constituye un atributo de la información para asegurar que ésta, al almacenarse o al ser trasladada, no sea modificada de ninguna forma no autorizada. El Daño Informático, la Falsificación Informática y el Fraude informático, el cual implica la alteración de datos o del sistema, son claros ejemplos de la violación a la integridad de la información, ya que pretenden en primer lugar la alteración, inutilización o modificación de datos o información almacenada, sin autorización.  Disponibilidad: Constituye una característica de la información para garantizar que ésta se encuentre disponible, en cualquier momento, para quien tiene la autorización de acceder a ella, sean personas, procesos o aplicaciones. Un ataque de Denegación de Servicio Distribuida (DDos), que comúnmente es utilizada por grupos Hacktivistas, es el delito típico que se puede encuadrar, ya que precisamente es lo que se pretende, que el sitio hacia el cual es lanzado el ataque, deniegue las solicitudes de acceso o que los usuarios del sistema tampoco puedan comunicarse, logrando con ello la falta de disponibilidad del sistema.  Confidencialidad: Constituye un atributo de la información para prevenir su divulgación a personas o usuarios no autorizados. En la actualidad se ha hablado mucho sobre Espionaje Informático, esta acción, este delito informático, es el ejemplo más claro de violación a la confidencialidad, donde una organización, empresa o individuo es objeto de espionaje, y el perpetrador por medio de diferentes medios o artefactos, logra obtener acceso a información privada o no publica de la víctima. ISO-27001:2013 ¿Qué hay de nuevo? A mediados del mes de marzo de este año, BSI publicó en su sitio Web el borrador del estándar internacional ISO/IEC -27001:2013 (DIS, Draft International Standard), así como la programación de una serie de sesiones para dar a conocer algunas de las modificaciones más significativas que incluirá dicho estándar.
En esta nueva versión no solo se establecen cambios en el contenido sino también en la estructura, lo que se reflejará en otros documentos que forman parte de la familia ISO-27000 (la versión final del estándar se espera a finales de 2013). Las principales modificaciones se ven reflejadas en la estructura y el contenido de los controles que conforman el Anexo “A”, donde el número total de dominios era de 11 y ahora son 14 y se reduce el número de controles de 133 a 113, todo como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles de seguridad . Descripción de las principales secciones 0. Introducción El cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque del proceso” que contenía la versión 2005, en donde se describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la Información (SGSI). Además de la ya mencionada alineación con el Anexo SL de la ISO/IEC, sección 1. 1. Alcance En esta sección se establece la obligatoriedad de cumplir con los requisitos especificados en los capítulos 4 a 10 del documento, para poder obtener la conformidad de cumplimiento y certificarse. 2. Referencias normativas El estándar ISO-27002 ya no es una referencia normativa para ISO- 27001:2013, aunque continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad (SOA, por sus siglas en inglés). El estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones. 3. Términos y definiciones Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo
cual se llevará a cabo en todos los documentos que forman parte de esta familia), con el objetivo de contar con una sola guía de términos y definiciones que sea consistente. 4. Contexto de la organización Esta cláusula hace hincapié en identificar los problemas externos e internos que rodean a la organización.  Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance.  Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI.  Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos. 5. Liderazgo Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo:  Garantizando que los objetivos del SGSI y “La política de seguridad de la información”, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.  Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera).  Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente. 6. Planeación Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos. Se presentan grandes cambios en el proceso de evaluación de riesgos:
 El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas.  Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.  El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.  Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.  Los requerimientos del SOA no sufrieron transformaciones significativas. 7. Soporte Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye:  Recursos  Personal competente  Conciencia y comunicación de las partes interesadas Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI. El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos. 8. Operación Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar. Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de
la información de manera periódica por medio de un programa previamente elegido. Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad. 9. Evaluación del desempeño La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada. 10. Mejora El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas. Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se tratan. Además, se distingue entre las correcciones que se ejecutan como una respuesta directa a una “no conformidad”, en oposición a las acciones correctoras que se realizan para eliminar la causa de la no conformidad.

Recomendados

Normas
NormasNormas
NormasGeovani AG
 
Superior
SuperiorSuperior
Superiorjuan cutiupala
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002Alex Díaz
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 

Recomendados

Normas
NormasNormas
NormasGeovani AG
 
Superior
SuperiorSuperior
Superiorjuan cutiupala
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002Alex Díaz
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Modelos de-seguridad-informatica
Modelos de-seguridad-informaticaModelos de-seguridad-informatica
Modelos de-seguridad-informaticaJöse Manüel
 
Modelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaModelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaEly Cordoba
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002FabiolaGumucio
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISOTools Chile
 
1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacionBenito González Rocha
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Actividad de extra clase
Actividad de extra clase Actividad de extra clase
Actividad de extra clase Tavo Adame
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
F.1.gabriela.mishell.munoz.sibri.iso27001.
F.1.gabriela.mishell.munoz.sibri.iso27001.F.1.gabriela.mishell.munoz.sibri.iso27001.
F.1.gabriela.mishell.munoz.sibri.iso27001.sebasyestefy2016
 
iso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria Internaiso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria InternaChildren International
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Modelos-de-seguridad-informatica
Modelos-de-seguridad-informaticaModelos-de-seguridad-informatica
Modelos-de-seguridad-informaticaGabriela2409
 
Samuel Ríos Usma
Samuel Ríos UsmaSamuel Ríos Usma
Samuel Ríos UsmaCarolina Ríos
 
COSMIC/COLLABORATION
COSMIC/COLLABORATIONCOSMIC/COLLABORATION
COSMIC/COLLABORATIONAnamariaangelia
 

Más contenido relacionado

La actualidad más candente

Modelos de-seguridad-informatica
Modelos de-seguridad-informaticaModelos de-seguridad-informatica
Modelos de-seguridad-informaticaJöse Manüel
 
Modelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaModelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaEly Cordoba
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISOTools Chile
 
1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacionBenito González Rocha
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Actividad de extra clase
Actividad de extra clase Actividad de extra clase
Actividad de extra clase Tavo Adame
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
F.1.gabriela.mishell.munoz.sibri.iso27001.
F.1.gabriela.mishell.munoz.sibri.iso27001.F.1.gabriela.mishell.munoz.sibri.iso27001.
F.1.gabriela.mishell.munoz.sibri.iso27001.sebasyestefy2016
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Modelos-de-seguridad-informatica
Modelos-de-seguridad-informaticaModelos-de-seguridad-informatica
Modelos-de-seguridad-informaticaGabriela2409
 

La actualidad más candente (20)

Modelos de-seguridad-informatica
Modelos de-seguridad-informaticaModelos de-seguridad-informatica
Modelos de-seguridad-informatica
 
Modelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaModelo y estándares de seguridad informática
Modelo y estándares de seguridad informática
 
Norma iso 27002
Norma iso 27002Norma iso 27002
Norma iso 27002
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
 
1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Actividad de extra clase
Actividad de extra clase Actividad de extra clase
Actividad de extra clase
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
F.1.gabriela.mishell.munoz.sibri.iso27001.
F.1.gabriela.mishell.munoz.sibri.iso27001.F.1.gabriela.mishell.munoz.sibri.iso27001.
F.1.gabriela.mishell.munoz.sibri.iso27001.
 
iso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria Internaiso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria Interna
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
 
Modelos-de-seguridad-informatica
Modelos-de-seguridad-informaticaModelos-de-seguridad-informatica
Modelos-de-seguridad-informatica
 

Destacado

BoysBasketball_McFThistleElkhorn1415
BoysBasketball_McFThistleElkhorn1415BoysBasketball_McFThistleElkhorn1415
BoysBasketball_McFThistleElkhorn1415Mike Klawitter
 
CV PALOMA SERRADILLA MACIAS
CV PALOMA SERRADILLA MACIAS CV PALOMA SERRADILLA MACIAS
CV PALOMA SERRADILLA MACIAS PALOMA SERRADILLA
 
Revised Trade showtour 2 (1)
Revised Trade showtour 2 (1)Revised Trade showtour 2 (1)
Revised Trade showtour 2 (1)Taylor Bloom
 
六合采·六和彩画
六合采·六和彩画六合采·六和彩画
六合采·六和彩画bbs1846
 

Destacado (13)

Samuel Ríos Usma
Samuel Ríos UsmaSamuel Ríos Usma
Samuel Ríos Usma
 
COSMIC/COLLABORATION
COSMIC/COLLABORATIONCOSMIC/COLLABORATION
COSMIC/COLLABORATION
 
Diapositivas nuevas
Diapositivas nuevasDiapositivas nuevas
Diapositivas nuevas
 
BoysBasketball_McFThistleElkhorn1415
BoysBasketball_McFThistleElkhorn1415BoysBasketball_McFThistleElkhorn1415
BoysBasketball_McFThistleElkhorn1415
 
Manual bosch campana a pared dwk09 e650
Manual bosch campana a pared dwk09 e650Manual bosch campana a pared dwk09 e650
Manual bosch campana a pared dwk09 e650
 
Celly in Education
Celly in EducationCelly in Education
Celly in Education
 
SoulWounds_Program
SoulWounds_ProgramSoulWounds_Program
SoulWounds_Program
 
Centro educativo
Centro educativoCentro educativo
Centro educativo
 
CV PALOMA SERRADILLA MACIAS
CV PALOMA SERRADILLA MACIAS CV PALOMA SERRADILLA MACIAS
CV PALOMA SERRADILLA MACIAS
 
Foroslizethpineda
ForoslizethpinedaForoslizethpineda
Foroslizethpineda
 
Revised Trade showtour 2 (1)
Revised Trade showtour 2 (1)Revised Trade showtour 2 (1)
Revised Trade showtour 2 (1)
 
Northside 2006
Northside 2006Northside 2006
Northside 2006
 
六合采·六和彩画
六合采·六和彩画六合采·六和彩画
六合采·六和彩画
 

Similar a Qué es itil

Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad17oswaldo
 
Unidad 2 norma_iso17799
Unidad 2 norma_iso17799Unidad 2 norma_iso17799
Unidad 2 norma_iso17799ludemer
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Jorge Humberto Donato Monreal
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAXELOPOLIS
 
La seguridad informática.pdf
La seguridad informática.pdfLa seguridad informática.pdf
La seguridad informática.pdfmartin524560
 
facebook completado
facebook completadofacebook completado
facebook completadomitzihermosa
 
Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Universidad de Guadalajara
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectualplluncor
 
LECCION 8..pptx
LECCION 8..pptxLECCION 8..pptx
LECCION 8..pptxNanoNano70
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 

Similar a Qué es itil (20)

Norma itil
Norma itilNorma itil
Norma itil
 
Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad
 
Unidad 2 norma_iso17799
Unidad 2 norma_iso17799Unidad 2 norma_iso17799
Unidad 2 norma_iso17799
 
Conferencia
ConferenciaConferencia
Conferencia
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
 
Conferencia
ConferenciaConferencia
Conferencia
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
La seguridad informática.pdf
La seguridad informática.pdfLa seguridad informática.pdf
La seguridad informática.pdf
 
facebook completado
facebook completadofacebook completado
facebook completado
 
Definiciones
DefinicionesDefiniciones
Definiciones
 
Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.
 
Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000Interoperabilidad iso 27000 y 20000
Interoperabilidad iso 27000 y 20000
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectual
 
Tarea moncayo tunala
Tarea moncayo tunalaTarea moncayo tunala
Tarea moncayo tunala
 
LECCION 8..pptx
LECCION 8..pptxLECCION 8..pptx
LECCION 8..pptx
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 

Último

02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 

Último (6)

02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 

Qué es itil

  • 1. Qué es ITIL Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL®) se ha convertido en el estándar mundial de de facto en la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL® es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización. ITIL le permite beneficiarse completamente de las mejores prácticas demostradas en la TI y es relevante para cualquier persona encargada de la entrega o apoyo de servicios de TI. ITIL se alinea con varias normas de calidad internacionales, incluyendo el ISO/IEC 20000 (Código de Prácticas de la Gestión de Servicios de TI) y ha sido aceptado por miles de organizaciones de todo el mundo, tales como la NASA, el Servicio de Salud del Reino Unido (NHS) y Disney™. A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable. Seguridad informática: La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada. La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
  • 2. La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. Objetivos La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores. La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:  La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.  Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.  La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios. Principios de la Seguridad Informática Dentro del libro “Cibercrimen”, se tocan temas importantes sobre los delitos informáticos, definiendo este en la obra como “Acción u omisión, típica, antijurídica y culpable, que se realiza por medio de un sistema que haga uso de las tecnologías de la información o un componente de éste, o que lesione la integridad, disponibilidad o confidencialidad de la información”. Es por ello que estos tres atributos de la información: Integridad, Disponibilidad y Confidencialidad, son considerados los pilares sobre los cuales se debe basar la Seguridad Informática.
  • 3. Para ilustrar el punto, desarrollé el concepto de estos atributos y cité algunos ejemplos de delitos informáticos que violentan cada uno de estos atributos:  Integridad: Constituye un atributo de la información para asegurar que ésta, al almacenarse o al ser trasladada, no sea modificada de ninguna forma no autorizada. El Daño Informático, la Falsificación Informática y el Fraude informático, el cual implica la alteración de datos o del sistema, son claros ejemplos de la violación a la integridad de la información, ya que pretenden en primer lugar la alteración, inutilización o modificación de datos o información almacenada, sin autorización.  Disponibilidad: Constituye una característica de la información para garantizar que ésta se encuentre disponible, en cualquier momento, para quien tiene la autorización de acceder a ella, sean personas, procesos o aplicaciones. Un ataque de Denegación de Servicio Distribuida (DDos), que comúnmente es utilizada por grupos Hacktivistas, es el delito típico que se puede encuadrar, ya que precisamente es lo que se pretende, que el sitio hacia el cual es lanzado el ataque, deniegue las solicitudes de acceso o que los usuarios del sistema tampoco puedan comunicarse, logrando con ello la falta de disponibilidad del sistema.  Confidencialidad: Constituye un atributo de la información para prevenir su divulgación a personas o usuarios no autorizados. En la actualidad se ha hablado mucho sobre Espionaje Informático, esta acción, este delito informático, es el ejemplo más claro de violación a la confidencialidad, donde una organización, empresa o individuo es objeto de espionaje, y el perpetrador por medio de diferentes medios o artefactos, logra obtener acceso a información privada o no publica de la víctima. ISO-27001:2013 ¿Qué hay de nuevo? A mediados del mes de marzo de este año, BSI publicó en su sitio Web el borrador del estándar internacional ISO/IEC -27001:2013 (DIS, Draft International Standard), así como la programación de una serie de sesiones para dar a conocer algunas de las modificaciones más significativas que incluirá dicho estándar.
  • 4. En esta nueva versión no solo se establecen cambios en el contenido sino también en la estructura, lo que se reflejará en otros documentos que forman parte de la familia ISO-27000 (la versión final del estándar se espera a finales de 2013). Las principales modificaciones se ven reflejadas en la estructura y el contenido de los controles que conforman el Anexo “A”, donde el número total de dominios era de 11 y ahora son 14 y se reduce el número de controles de 133 a 113, todo como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles de seguridad . Descripción de las principales secciones 0. Introducción El cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque del proceso” que contenía la versión 2005, en donde se describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la Información (SGSI). Además de la ya mencionada alineación con el Anexo SL de la ISO/IEC, sección 1. 1. Alcance En esta sección se establece la obligatoriedad de cumplir con los requisitos especificados en los capítulos 4 a 10 del documento, para poder obtener la conformidad de cumplimiento y certificarse. 2. Referencias normativas El estándar ISO-27002 ya no es una referencia normativa para ISO- 27001:2013, aunque continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad (SOA, por sus siglas en inglés). El estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones. 3. Términos y definiciones Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo
  • 5. cual se llevará a cabo en todos los documentos que forman parte de esta familia), con el objetivo de contar con una sola guía de términos y definiciones que sea consistente. 4. Contexto de la organización Esta cláusula hace hincapié en identificar los problemas externos e internos que rodean a la organización.  Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance.  Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI.  Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos. 5. Liderazgo Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo:  Garantizando que los objetivos del SGSI y “La política de seguridad de la información”, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.  Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera).  Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente. 6. Planeación Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos. Se presentan grandes cambios en el proceso de evaluación de riesgos:
  • 6.  El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas.  Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.  El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.  Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.  Los requerimientos del SOA no sufrieron transformaciones significativas. 7. Soporte Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye:  Recursos  Personal competente  Conciencia y comunicación de las partes interesadas Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI. El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos. 8. Operación Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar. Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de
  • 7. la información de manera periódica por medio de un programa previamente elegido. Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad. 9. Evaluación del desempeño La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada. 10. Mejora El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas. Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se tratan. Además, se distingue entre las correcciones que se ejecutan como una respuesta directa a una “no conformidad”, en oposición a las acciones correctoras que se realizan para eliminar la causa de la no conformidad.