SlideShare una empresa de Scribd logo

Ensayo u4

Descargar como DOCX, PDF
S
sergio

1) El documento describe varias normas relacionadas con la administración y gestión de sistemas de información y tecnologías, incluyendo ISO 27001, ISO 17799, COBIT, ITIL, COSO y ISO/IEC 20000. 2) También analiza cuáles de estas normas serían viables de implementar en una pyme mexicana, concluyendo que ISO 27001 e ISO 17799 son las más adecuadas debido a su flexibilidad y bajo costo de implementación. 3) Finalmente, resume los beneficios que brindan normas como COB

1 de 18
Universidad Veracruzana Asignatura: Administración de las Tecnologías de Información Profesor: Carlos Arturo Torres Gastelú Ensayo Unidad 4 Equipo 6 Estrada Orozco Roberto Lara Pedroza Jorge Edwin Mora Pérez Sergio Francisco
INTRODUCCIÓN En este ensayo podremos encontrar las diferentes normas que existen con sus respectivos orígenes, fechas de publicación, años en las que se establecieron, asi como para que sirve cada una de ellas, las ventajas y desventajas con las que cuenta, unas recomendaciones de cada una de ellas, un paso a paso de cada norma para establecerlas en las pymes mexicanas, y cuales están reglamentadas y las usan en las pymes de México. Se podrá ver cuáles son las normas que conviene más que se establezcan en las pymes mexicanas y cuales se usan en ellas para conseguir lo que quieren, el motivo de porqué y las normas que menos convienen para las pymes mexicanas. Se tendrá una idea más extensa de cada norma y para qué sirve, ya que cada una de ellas tiene un objetivo específico con las que no cuenta otras, y he aquí donde entra un debate y una comparación para ver cuál es la ideal para cada pyme. También se hablara de la gestión de cada una de las normas ISO, los pasos de COBIT, ITIL, COSO, BASILEA, asi como en que se parecen y en qué se diferencian y de explicar de qué trata cada una de ellas. Con este trabajo se responderá a las preguntas de cuáles son las normas que se usan en las pymes mexicanas, asi como las normas que creemos que deberían implementarse en las pymes, como deben hacerlo teniendo una visión más a fondo de lo que les ofrece cada una de ellas y tomar una decisión acertada.
ORIGEN DE NORMAS NORMAS USADAS EN EL CONTEXTO MEXICANO ISO 27001 El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI). ISO 17799 La norma británica (BS 7799-1) fue elevada a norma ISO (International Standards Organization) por el procedimiento de fast track convirtiéndose en la norma ISO 17799:2000. En nuestro país la norma ISO 17799:2000 es traducida y adoptada como norma UNE publicándose en 2002 como UNE ISO 17799:2002. COBIT 4.0 COBIT al desarrollo y mantiene el IT Governance Institute (ITGI) desde 1998 con el objetivo de crear estándares internacionales para la Gobernabilidad TI en las empresas. Un impulso importante ha tenido la COBIT debido al Acta Sarbanes-Oxley, vigente desde el 2002, y que obliga a las empresas que tranzan sus acciones en USA a controlar exhaustivamente la generación de sus estados financieros. NORMA UNE ISO/IEC 20000 ISO/IEC está formada por dos partes, cuyo título general es el mismo, Tecnologías de la Información – Gestión del Servicio, y que forma específica se denominan, Parte 1: Especificación (ISO/IEC 20000-1, 2006) y Parte 2: Código de Practicas (ISO/IEC 20000-2, 2006). Estas normas pueden ser utilizadas por organizaciones que desarrollen herramientas, productos y sistemas de gestión del servicio. COSO & COBIT Coso es un modelo general para la gestión de riesgos empresariales y el control interno, No es el único de los modelos y particularmente se han definido modelos específicos para el control y gestión de sistemas de información y comunicaciones, Uno de ellos, posiblemente el más popular junto con ITIL7, es el modelo COBIT que se ha convertido es un estándar de referencia de la misma para el gobierno y control de los sistemas de información y la tecnología. Se puede decir que COBIT completa a COSO en lo relativo a TSI. Con esto pretende ponerse de manifiesto que la filosofía de gestión de riesgo y control contenida en COBIT es compatible con COSO.
Norma ISO/IEC 20000-1 La norma internacional ISO/IEC 20000-1 fue elaborada por el British StandardsInstitution como BS 150000-1 y posteriormente fue adoptada mediante el procedimiento especial de “fast-track” por ISO/IEC. En España, Aenor es la entidad aprobada para desarrollar las tareas de normalización y certificación. El comité encargado de la Tecnología de la Información se denomina AEN/CTN 71 y ha sido el encargado de elaborar la presente norma que es igual que la norma internacional ISO/IEC 20000-1: 2005. ¿Qué norma es viable de implementarse en una PYME mexicana? Las TSI constituyen en la actualidad, uno de los elementos clave para el mantenimiento y desarrollo de la actividad de la mayoría de las organizaciones, sean estas entidades de actividad mercantil, o no, privadas o públicas. Las TSI constituyen un elemento más de dentro del universo de recursos con los que una organización desarrolla su actividad. Por lo tanto, es su gestión y su gobierno los que deben realizarse adecuadamente y en coordinación con los demás recursos que tiene una organización. Unas de las normas que consideramos como viables para implementarse en una PyME mexicana es la ISO 27001 Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas. COBIT es un marco de referencia para profesionalizar el área informática de un compañía, que cuenta con capacidades propias o terciarias para la implementación de proyectos típicamente soportados con ERP de clase mundial, que tiene un área de operación con varias decenas de servidores que dan servicios a más de una locación, y que cuenta con áreas de mantenimiento y soporte. Y, más importante los Sistemas Informáticos son reconocidos por el directorio como un componente clave en el éxito comercial de la compañía y, por lo mismos que implican riesgos para el negocio. Con esto quiero de decir que si su área informática es pequeña la COBIT puede resultar muy cara en su implementación y por tanto no se justificaría. NORMA ISO 17799 Se implementa como una herramienta para conseguir la seguridad definida de una empresa, ya que con esta es muy confiable y segura para dicha empresa, lo único malo que tiene esta norma es que no es certificable.La norma ISO 17799 es un conjunto de las recomendaciones sobre las medidas tomar en la empresa para asegurar los Sistemas de Información. Esta norma surge de la necesidad que tienen las empresas de garantizar el funcionamiento seguro de los Sistemas de Información. Esto no es más que gestionar los riesgos de la empresa. Cuando se recogen recomendaciones en una norma como la ISO 17799, realmente se están mostrando los objetivos de seguridad que debe tener en cuenta una organización para tener sus riesgos dentro de unos niveles aceptables.La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y cualquier país. Gracias a esto es por lo cual es muy fácil porque se puede introducir en cualquier sector y con cualquier pyme. Tiene controles recomendados, los cuales son: El registro de usuarios, la gestión de privilegios, la gestión de contraseñas de usuario, la revisión de los derechos de acceso de los usuarios.
COSO COSO se define como el control interno de la siguiente forma: “El control interno es un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización, diseñado para proporcionar seguridad razonable respecto a la consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones, Confiabilidad de la información financiera, Cumplimiento con leyes y regulaciones. En conclusión COSO se define formalmente como la gestión de riesgos empresariales en un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización. COSO cuenta con cuatro objetivos de alto nivel que normalmente tendrán sentido en todas las organizaciones, organismos o compañías, sin embargo el modelo COSO no es cerrado y admite perfectamente su modificación. Gracias a esto es muy viable tomarlo en cuanta para su pyme. Solo que COSO es un modelo muy costoso de implementar estando al alcance grandes organizaciones. Algunos de los beneficios con los que se tendría por usar COSO serian: Que ofrece un sistema por el cual los resultados de una auditoria son infalibles. ERM versa sobre asuntos financieros y seguros. Se trata un proceso independiente y aislado del resto de la organización. Respecto a los beneficios, COSO promete las siguientes mejoras: Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión. ITIL BENEFICIOS DE ITIL Los beneficios de la Gestión de Servicio de TSI deben identificarse para justificar la implementación de los procesos correspondiente. Ventajas de ITIL para el cliente/usuario: La provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en el lenguaje máscómodo para el cliente y con mejores detalles. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto. Ventajas de ITIL para la organización: La organización TSI desarrolla una estructura más clara, se vuelve más eficaz y se centra más en los objetivos corporativos.
NORMA UNE-ISO/IEC 20000 Pasos para su implementación En el caso de la seguridad informática, es una opinión generalizada que la seguridad media alcanzada por la mayoría de las organizaciones está por debajo de las expectativas, hecho que encuentra un motivo fundamental en la aplicación individual de estos productos y su baja o escasa integración con el resto de medidas de gestión de la organización. La gran variedad de personas que participan en los procesos de una entidad junto con los fallos reiterados en la transmisión de información en las distintas fases pueden encontrarse entre los principales causantes de la baja respuesta a las expectativas creadas. Importantes barreras para comenzar a implantar una política real de gestión de la seguridad de la información son la inercia y la cultura, barreras que son imprescindibles considerar en cada decisión que se tome. A estas alturas, y a partir de la experiencia en la implantación de otros sistemas de gestión que comenzaron antes su aceptación por la industria, ya no es cuestionable que aportan, entre otros, los siguientes beneficios: Ante el mercado: Favorece su desarrollo Afianza la posición de la organización. Potencia la imagen de marca. Constituye un factor competitivo respecto a la competencia. Permite superar barreras técnicas. Ante los clientes: Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios que satisfacen sus necesidades y expectativas. Se mejora la comunicación con el cliente (empresas, particulares, etc.) Mayor confianza al cliente (empresas, particulares, etc.) Aumento de la satisfacción del cliente (empresas, particulares, etc.) Ante la gestión de la organización: Conocimiento y depuración de los procesos internos. Mejora de los procesos y de los servicios prestados. Ahorro de tiempo y de recursos necesarios. Mejor gestión de los recursos. Estímulo para entrar en un proceso de mejora continúa. Todos estos beneficios se obtienen en la implantación de un sistema de gestión de la seguridad y la información que, como veremos más adelante, conforma aumenta la madurez de la organización, estará totalmente integrado con otros sistemas de gestión que tenga implantados y con los procesos de negocio de la misma; no debe entenderse a medio plazo como algo adicional sino algo embebido y propio de la forma de trabajo de cada entidad.
En los procesos de negocio de una organización intervienen multitud de agentes con funciones claramente diferenciadas pero interrelacionadas entre sí; resulta fundamental identificarlas con el fin de valorar su aportación a las características deseadas del producto o servicio final entre ellas las relativas a la seguridad de la información. Un sistema de calidad implica la creación continua de valor para el cliente, la optimización de los procesos y el desarrollo del potencial humano de la organización. NORMA ISO/IEC 27001 Primero vamos a concretar el objeto y el campo de aplicación de la misma: “Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas”. El concepto de gestión del sistema cubre comenzando por el establecimiento, la implantación, la puesta en funcionamiento, la revisión, el mantenimiento y la mejora de dicho sistema. Para poder estructurar los procesos del SGSI, esta norma adopta el modelo PDCA “Plan-Do- Check-Act” o “Planificar-Hacer-Comprobar y Actuar”. -Definir política de seguridad. -Implantar plan de gestión de riesgos. -Establecer el alcance del al SGSI -Implantar el SGSI -Realizar análisis de riesgos. -Implantar a los controles. -Seleccionar los controles. ISO/IEC 17799:2905 “D” “P” -Adoptar las acciones correctivas. -Revisar Internamente el SGSI. -Adoptar las acciones preventivas. -Realizar auditorías internas del SGSI. “A” “C”
Establecimiento y gestión del SGSI La organización debe comenzar por definir el alcance del sistema de gestión, es decir, a que partes del negocio de la organización aplica, derivado de esta definición los emplazamientos de la organización a los que incluye, los activos, la tecnología, las áreas, el personal, asi como las exclusiones que admite. Definir la política de SGSI, que será el marco para el establecimiento de los objetivos de la dirección de la organización y los principios de actuación para proteger la información. Unos de los factores clave para que esta política se pueda hacer realidad es el que refleje los objetivos del negocio, asi como el que este en línea con la estrategia de gestión global de la organización. Después de esto se tiene que hacer una serie de actividades relacionadas con los riesgos. Se comienza por definir la metodología para la valoración de riesgo conforme al alcance y política del SGSI y que será la que se utilice como criterio para establecer el nivel aceptable del riesgo. La siguiente fase es la identificación de los riesgos, en los que a activo, amenaza, vulnerabilidad e impacto se refiere, para después elaborar un análisis y evaluación de dichos riesgos, que desembocara en la identificación de los diferentes tratamiento del riesgo para llegar al objetivo perseguido en esta primera etapa de selección de los controles y objetivos de los mismos que posibilitaran dicho tratamiento. Implantación y puesta en marcha del SGSI El primer paso es elaborar un plan de tratamiento del riesgo, después hay que implementarlo, a través de la implantación de los controles que se hayan seleccionado. Una importante labor a llevar a cabo es el poder medir la eficacia de dichos controles, que posibilitara conocer la eficacia de cada control y obtener unos resultados comparables y reproducibles. Es vital crear programas de formación y concienciación en todas estas acciones para el personal de la organización, tanto el personal interno como el subcontratado. Estos programas posibilitaran la integración de la cultura de la seguridad en la actividad cotidiana de cada trabajador. Conclusión: Es en esta fase donde hay que implantar procedimientos y controles que hagan posible la detección de incidencia de seguridad y la respuesta “rápida” a estos incidentes. Control y evaluación del SGSI Después de pasar por las fases anteriores se podría decir que ya se cuenta con el núcleo del SGSI, pero no podrá aprovechar los beneficios que este sistema va a proporcionar a su negocio a no ser que implante una serie de procedimientos para el control y revisión de lo hecho hasta ahora. Esto derivará en la puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditorias de seguridad y de las mediciones, que tienen como fin el verificar que se están cumpliendo los requisitos de seguridad.
Objetivos Planificar Mejora continua Verificar Ejecutar Proceso de Mejora La COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje común para que cada quién en la organización pueda visualizar y gestionar las actividades de la TI: Planificar y Organizar (PO) Este dominio abarca la estrategia y la táctica, y su preocupación es identificar las maneras como las TI muden contribuir, de la mejor forma posible, al logro de los objetivos de negocios de la empresa. La ejecución de la visión estratégica requiere de planificación, difusión y gestión para diferentes perspectivas. Una organización adecuada y una plataforma tecnológica acorde son necesarias. De modo que en este dominio típicamente se tratan las siguientes interrogantes. ¿Están las TI alineadas con la estrategia de negocios? ¿Está la empresa utilizando a un nivel óptimo sus recursos informáticos? ¿Entiende todo el mundo de la empresa los objetivos de las TI? ¿Son comprendidos los riesgos TI y son debidamente gestionados? ¿Es la calidad de los sistemas informáticos adecuados a las necesidades del negocio? Este dominio considera los procesos: PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks.
PO10 Manage projects. Adquirir e Implementar (AI) Para materializar la estrategia TI, las soluciones TI necesitan ser identificadas, desarrolladas o adquiridas, como asimismo es necesario implementarlas e integrarlas a las procesos de negocios. Adicionalmente, todo sistema requiere de cambios y mantenimiento para asegurarse que durante su operación continua satisfaciendo los requerimientos del negocio. Para este dominio surgen las preguntas: ¿Los nuevos proyectos tienen el potencial para entregar soluciones que satisfagan las necesidades del negocio? ¿Es factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y presupuestos convenidos? ¿Los nuevos sistemas operaran adecuadamente una vez implementados? ¿Los cambios podrán hacerse sin poner en riesgo la operación del negocio? Este dominio considera los procesos: AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. Proveer y Soportar (DS) Este dominio tiene que ver con la entrega de los servicios que son requeridos, esto incluye: la provisión del servicio, la gestión de seguridad y continuidad, el soporte a los usuarios, la administración de los datos y la gestión de las instalaciones de plataforma tecnológica. Para estos efectos es necesario formularse las preguntas siguientes: ¿Se están proveyendo los servicios TI de acuerdo con las prioridades del negocio? ¿Están los costos de TI optimizados? ¿Está en condiciones la fuerza de trabajo de utilizar los sistemas TI productivamente y con seguridad? ¿Se maneja adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas TI? Este dominio considera los procesos: DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity.
DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Monitorear y Evaluar (ME) Todos los procesos TI necesitan periódicamente que se verifique mediante controles su calidad y conformidad. En este dominio se tratan la gestión de performance, el monitoreo de los controles internos, la regulaciones que tiene que ver la conformidad y la gobernabilidad. Las preguntas típicas de este dominio son: ¿Los sistemas de medición de performance TI permiten detectar a tiempo los problemas? ¿La gestión asegura que los controles internos son efectivos y eficientes? ¿Puede la performance TI relacionarse con los objetivos de negocios? ¿Están siendo medidos e informados los riesgos, el control, la conformidad y la performance? Este dominio considera los procesos: ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. ISO 17799:2000 La norma británica (BS 7799-1) fue elevada a norma ISO (International Standards Organization) por el procedimiento de fast track convirtiéndose en la norma ISO 17799:2000. En nuestro país la norma ISO 17799:2000 es traducida y adoptada como norma UNE publicándose en 2002 como UNE ISO 17799:2002. Cuando se habla de información en el entorno de la seguridad nos referimos a aquellos activos de información que la empresa utiliza para sus funciones y necesita proteger. La información de la empresa debe protegerse tanto en su generación, entrada, tratamiento, modificación, almacenamiento, comunicación y destrucción. La información se puede encontrar en formato digital, pero también en soporte de papel, imágenes, etc. Todos esos aspectos tienen que vigilarse cuando hablamos de seguridad de la información. Realmente un SGSI es una estructura organizativa, técnica y procedimental que persigue la seguridad de la información a través de un ciclo de análisis de la situación, aplicación de controles, revisión del funcionamiento y la aplicación permanente de mejoras o correcciones. Es lo que comúnmente se conoce como el ciclo PDCA (Plan, Do, Check, Act) aplicado a la seguridad de la información, que permite adaptarse a los cambios en la organización y la mejora continua.
Habitualmente se relaciona la norma ISO 17799 con los SGSI, la norma ISO 27001:2005 que da las especificaciones para los SGSI. Esta norma se dirige hacia la ISO 17799:2005 para seleccionar los controles adecuados para alcanzar los niveles de seguridad exigidos, por lo que ambas están relacionadas. Como conclusión los SGSI utilizan la norma ISO 17799:2005 como herramientas para conseguir la seguridad definida en la empresa, pero no es en si misma una norma certificable. La norma ISO 17799 es un conjunto de las recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. La norma surge de la necesidad de las empresas de garantizar el funcionamiento seguro de los Sistemas de Información garantizado la confidencialidad, integridad y disponibilidad de la información. Esto no es más que gestionar los riesgos de la empresa. Cuando se recogen recomendaciones en una norma como la ISO 17799, realmente se están mostrando los objetivos de seguridad que debe tener en cuenta una organización para tener sus riesgos dentro de unos niveles aceptables. La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y cualquier país. Las 12 secciones de la norma agrupadas por temáticas o campos sobre los que enfocan sus objetivos: Análisis de Riesgos, Política de Seguridad, Seguridad de R.H., Seguridad física, Organización de la seguridad, Gestión de activos, Comunicaciones y operaciones, Control de acceso, Compras Desarrollo y Mantenimiento de sistemas, Conformidad legal, Plan de Continuidad de Negocio, Gestión de incidentes de seguridad. Recomendaciones: Realizar un análisis de riesgos formal en la organización. Realizar el análisis de riesgos en base a una metodología documentada y aprobada formalmente. El análisis de riesgos debe contemplar los activos, vulnerabilidad, las amenazas, los impactos y la evaluación del riesgo. Incluir en el análisis de riesgos todos los activos incluidos en el alcance del SGSI y considerar las relaciones externas. Aprobar por la dirección los riesgos residuales Establecer criterios formales para clasificar el riesgo. Establecer una clasificación de riesgos y aprobar por la dirección las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir). Los riesgos deben quedar a un nivel aceptado por la dirección. Tener en cuenta principios de proporcionalidad en la selección de controles considerando todos los costes asociados. Cada control debe tener asociada una forma objetiva de verificar su eficacia. Las políticas de seguridad dan el marco sobre el que debe desarrollarse el Sistema de Gestión de Seguridad de la Información y debe ser coherente con la gestión del riesgo aprobada por la dirección en la sección anterior. Además de los controles técnicos que se presentan en la sección anterior, la norma presta atención de forma particular al control de acceso lógico a la red. Hay que establecer
procedimientos formales para controlar la asignación de derechos de acceso a los sistemas y servicios informáticos. Controles recomendados: Registro de usuarios, gestión de privilegios, gestión de contraseñas de usuario, revisión de los derechos de acceso de los usuarios. Es imprescindible analizar las necesidades respecto a la seguridad de los sistemas de información. La seguridad de las aplicaciones que dan soporte al negocio puede ser crucial para su éxito, por lo tanto las necesidades de seguridad deben identificarse y acordarse previamente al desarrollo de los sistemas informáticos. COSO En la primera versión de COSO se definía el control interno de la siguiente forma: “El control interno es un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización, diseñado para proporcionar seguridad razonable respecto a la consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones, Confiabilidad de la información financiera, Cumplimiento con leyes y regulaciones. COSO se define formalmente como la gestión de riesgos empresariales es un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización, como una disposición estratégica en toda la organización, diseñada para identificar potenciales eventos que puedan afectar a la entidad y proporcionar una seguridad razonable respecto a la consecución de los objetos de la entidad. La consecución de objetivos de ERM se cataloga en cuatro líneas o categorías principales: Estratégica (Strategic): Comprende los objetivos más generales de la organización que soportan o están alineados con la misión de la misma. Operativa (Operational): Comprende el uso eficiente y eficaz de los recursos y activos. Reporte (Reporting): Relativa a la confiabilidad de los flujos de información y el reporte. Cumplimiento (Compliance): Comprende el cumplimiento con la legislación y regulación. Estos cuatro objetivos de alto nivel normalmente tendrán sentido en todas las organizaciones, organismos o compañías, sin embargo el modelo COSO no es cerrado y admite perfectamente su modificación. Adicionalmente a estos objetivos COSO establece un conjunto de siete componentes que se enumeran a continuación: Ambiente interno (Internal Environment) Establecimiento de objetivos (Objetive setting) Evaluación del riesgo (Risk Assesment) Respuesta al riesgo (Risk Response) Actividades de control (Control activities) Información y Comunicación (Information & Comunication) Supervisión (Monitoring) El informe COSO no establece que los diferentes componentes tengan que ser aplicados en un orden de concreto, sin embargo como guía de referencia se establece un orden lógico en la secuenciación de los componentes:
Ambiente interno Establecimiento de objetivos Evaluación de riesgo Actividades de control Información y comunicación Supervisión Para completar en modelo COSO existe una tercera dimensión referida al ámbito de aplicación. Según el modelo de referencia esta tiene cuatro niveles: Entidad (Entity-Level): Relativo a una organización concreta en su conjunto siendo el más alto nivel) División (División): Comprende un conjunto de actividades relacionadas como negocios, líneas de producto, etc. Unidad (Bussines unit): Elemento considerado unitario en la organización empresarial encargado de una función de una función producto o misión concreta. Subsidiaria (Subsidiary): Organización dependiente de la organización principal. Esta separación cobra especial importancia en el reporte financiero. Además del modelo y los conceptos presentados en las secciones anteriores COSO ofrece de una visión detallada de los siete componentes de ERM con recomendaciones y sugerencias para gestión el ERM. El informe COSO establece que la responsabilidad de la gestión de riesgos empresariales y control interno es responsabilidad de todos los miembros de la organización. Se recomienda el uso del informe de diferentes formas por las distintas posiciones, cargos y funciones que las personas o grupos desempeñan en la organización o fuera de ella. A continuación se presentan los beneficios que la experiencia en la implantación del modelo ha traído a las organizaciones. También se comentaras algunos mitos existentes en torno a su aplicación: Es un “cúralo-todo” con el que se pueden tomar decisiones basados en información 100% confiable y basada en información sin margen de error. Solo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organización. Ofrece un sistema por el cual los resultados de una auditoria son infalibles. ERM versa sobre asuntos financieros y seguros. Se trata un proceso independiente y aislado del resto de la organización. Es un modelo muy costoso de implementar estando solo al alcance de grandes organizaciones. Respecto a los beneficios, COSO promete las siguientes mejoras:
Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión. Amplía las decisiones de respuesta al riesgo. Identifica y gestiona riesgos en los distintos niveles de la entidad. Proporciona respuestas integradas a los múltiples riesgos. Tiene en cuenta las oportunidades para aprovecharlas estratégicamente. Es garante del gobierno corporativo informando al consejo y a los gestores sobre los riesgos estableciendo supervisión. Ayuda a organizaciones a lograr objetivos y evitar pérdidas. Mejora los sistemas de reporte. Ayuda a asegurar el cumplimiento con leyes y reglamentos. COSO & COBIT La versión más reciente de COBIT está enfocada al gobierno de TSI desde los siguientes focos de actuación: Alineamiento estratégico: Centrado en asegurar la ligación entre los planes y operaciones de TSI con los de la entidad. Entrega de valor: Comprende la ejecución del valor aportado por las TSI respondiendo con beneficios a las expectativas reduciendo costes y aportando un valor intrínseco. Gestión de recursos: Atiende a la utilización eficiente y efectiva de los recursos de TSI. Gestión del riesgo: Requiere la concienciación del riesgo por parte de los gestores, la comprensión de la tolerancia al riesgo y las acciones para su gestión de forma transparente. Medición de desempeño: Comprende todos los procesos de medición realizados para realizar seguimiento de los objetivos y del alineamiento estratégico. ITIL & LA NORMA UNE-ISO/IEC 20000 ITIL consta de un conjunto de libros publicados por la OGC, que permiten mejorar la calidad de los servicios de TSI que presta una organización a sus clientes. Gestión de la Infraestructura TSI: En las organizaciones actuales, las infraestructuras de TSI son la base sobre las que se construyen los servicios del negocio. Los principales procesos de la Infraestructura TSI son: Diseño y Planificación: Interesado en la creación y/o mejora de la solución de TSI. Despliegue: Interesado en la implementación y extensión del negocio y/o solución de TSI según se diseñó y planifico, con mínima interrupción en los procesos del negocio. Operaciones: Interesado en el mantenimiento diario de la infraestructura de TSI. Tiene en cuenta en todas las actividades y medidas para permitir y/o mantener el uso pretendiendo de la infraestructura TSI. Soporte Técnico: Interesado con la estructura y apuntalamiento de otros procesos para garantizar los servicios entregados por la gestión de la infraestructura de TSI.
TIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organización TSI. Sin embargo, ITIL no brinda una descripción específica de la forma en la que se deben implantar estas actividades. ITIL ofrece un marco de trabajo para planificar los proceso, los roles y las actividades más comunes, indicando los nexos entre ellos y los flujos de comunicación necesarios. Los objetivos de Gestión de Configuración son; Contabilizar todos los activos y configuraciones de TSI dentro de la organización y sus servicios. Proporcionar información exacta de las configuraciones y su documentación para soportar el resto de procesos de Gestión del Servicios. Proporcionar una base sólida para la Gestión del Incidente, la Gestión del Problema, la Gestión del Cambio y la Gestión de la Entrega, Verificar los registros de configuración frente la infraestructura y corregir cualquier excepción. Las actividades básicas de gestión de configuración son: la selección e identificación de las estructuras de configuración para todos los elementos de configuración; el control que asegura que solo los elementos de configuración autorizados e identificables se aceptan y registran; la contabilidad del estado que informa de todos los datos históricos y reales relativos a cada elemento de configuración. Los objetivos de la Gestión de la Entrega son: Planificar y supervisar el despliegue satisfactorio del software y del hardware relacionado. Diseñar e implementar procedimientos eficientes para distribuir e instalar los cambios a los sistemas TSI. Comunicar y gestionar las expectativas del cliente durante la planificación y despliegue de las nuevas versiones. Implantar nuevas versiones de software y hardware en el entorno operativo, utilizando los procesos de Gestión de Configuración y Gestión del Cambio. Se define un servicio como uno o más sistemas de TSI que permiten un proceso del negocio. Puede ser una buena idea definir una jerarquía de servicios dentro del Catálogo de Servicios. BENEFICIOS DE ITIL Los beneficios de la Gestión de Servicio de TSI deben identificarse para justificar la implementación de los procesos correspondiente. Ventajas de ITIL para el cliente/usuario: La provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en el lenguaje más cómodo para el cliente y con mejores detalles. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto.
Ventajas de ITIL para la organización: La organización TSI desarrolla una estructura más clara, se vuelve más eficaz y se centra más en los objetivos corporativos. La dirección tiene más control y los cambios resultan más fáciles de manejar. Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada la externalización de algunos de los elementos de los servicios TSI. NORMA UNE-ISO/IEC 20000 ISO/IEC está formada por dos partes, cuyo título general es el mismo, Tecnologías de la Información – Gestión del Servicio, y que forma específica se denominan, Parte 1: Especificación (ISO/IEC 20000-1, 2006) y Parte 2: Código de Practicas (ISO/IEC 20000-2, 2006). Estas normas pueden ser utilizadas por organizaciones que desarrollen herramientas, productos y sistemas de gestión del servicio. UNE-ISO/IEC 20000-1 La norma UNE-ISO/IEC 20000 proporciona una lista de objetivos y controles para cada uno de estos procesos, pero no es exhaustiva, por lo que una organización podría considerar el añadir objetivos y controles adicionales para cumplir con sus necesidades de negocio. Se aplica la metodología Planificar, Realizar, Comprobar y Actuar: Planificar: Establecer la planificación de la gestión del servicio, incluyendo los objetivos que debe alcanzar la gestión de servicio. Realizar: Implementar los objetivos y el plan de gestión del servicio para proveer y gestionar los servicios. Comprobar: Monitorizar, medir y revisar que los objetivos de gestión del servicio y la ejecución del cumplimiento del plan cumplen con el plan de gestión del servicio, incluyendo el programa de auditorías. Actuar: Mejorar la eficacia y eficiencia de la entrega y la gestión del servicio.
CONCLUSIÓN Esperamos que con este trabajo se haya logrado el objetivo que era que le quedara claro para que sirve cada una de las norma, cual es mas viable para implementarse en cada pyme, los beneficios que tienen, asi como las ventajas y desventajas que da cada una de las normas, cual debería de implementarse y cual no, cual le convienen a las pymes para lograr un objetivo planteado. En conclusión: ISO 27001 es una norma donde viene desglosado y estructurado correctamente pero esta específicamente diseñada para los riesgos de los sistemas de información por el contrario COBIT 4.0 no solo toma el tema de los riesgos sino que estámás compleja su formulación hacia los sistemas de información. ITIL es una biblioteca que sirve para mejorar los servicios de las tecnologías de sistemas de información que tiene una organización a sus clientes. Por su parte COSO se define formalmente como la gestión de riesgos empresariales en un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización, como una disposición estratégica en toda la organización, diseñada para identificar potenciales eventos que puedan afectar a la entidad y proporcionar una seguridad razonable respecto a la consecución de los objetos de la entidad. NORMA UNE-ISO/IEC 20000muy en el caso de la seguridad informática, es una opinión generalizada que la seguridad media alcanzada por la mayoría de las organizaciones está por debajo de las expectativas, hecho que encuentra un motivo fundamental en la aplicación individual de estos productos y su baja o escasa integración con el resto de medidas de gestión de la organización. Legamos a la conclusión de que las mejores normas para implantarse en una pyme son la ISO 27001, COBIT, ISO 17799 y la UNE-ISO/IEC 20000.

Recomendados

Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
NORMAS ISO 27001
NORMAS ISO 27001NORMAS ISO 27001
NORMAS ISO 27001
JeanKrlos Castillo
 
Ntp 27001
Ntp 27001Ntp 27001
Ntp 27001
Michel Hidalgo
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
Diego Cueva Córdova
 
ISO IEC 38500
ISO IEC 38500ISO IEC 38500
ISO IEC 38500
Edison Isla A
 
Resumen de normas de compliance
Resumen de normas de complianceResumen de normas de compliance
Resumen de normas de compliance
Primala Sistema de Gestion
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
dcordova923
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISOguestf9a7e5
 

Recomendados

Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
NORMAS ISO 27001
NORMAS ISO 27001NORMAS ISO 27001
NORMAS ISO 27001
JeanKrlos Castillo
 
Ntp 27001
Ntp 27001Ntp 27001
Ntp 27001
Michel Hidalgo
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
Diego Cueva Córdova
 
ISO IEC 38500
ISO IEC 38500ISO IEC 38500
ISO IEC 38500
Edison Isla A
 
Resumen de normas de compliance
Resumen de normas de complianceResumen de normas de compliance
Resumen de normas de compliance
Primala Sistema de Gestion
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
dcordova923
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISOguestf9a7e5
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoSole Leraguii
 
Auditoria
AuditoriaAuditoria
Auditoriaxxgiancarloxx
 
Modelo de riesgos y controles
Modelo de riesgos y controlesModelo de riesgos y controles
Modelo de riesgos y controles
Monica Peña
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsISOTools Excellence
 
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
UDO Monagas
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
AGESTIC - Asociación Gallega Empresas TIC
 
EXPO ISO38500
EXPO ISO38500EXPO ISO38500
EXPO ISO38500
ITSM
 
ISO38500
ISO38500ISO38500
ISO38500
ITSM
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
carloscv
 
Gobierno de las tic
Gobierno de las ticGobierno de las tic
Gobierno de las tic
felipe rebolledo barriga
 
ISO
ISOISO
ISOsucari2009
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
dcordova923
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
U.N.S.C
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
Ati u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingAti u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingsergio
 
Ati u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingAti u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingsergio
 
Registros
RegistrosRegistros
Registrossergio
 
Cemex
CemexCemex
Cemexsergio
 

Más contenido relacionado

La actualidad más candente

Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoSole Leraguii
 
Modelo de riesgos y controles
Modelo de riesgos y controlesModelo de riesgos y controles
Modelo de riesgos y controles
Monica Peña
 
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
UDO Monagas
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
AGESTIC - Asociación Gallega Empresas TIC
 
EXPO ISO38500
EXPO ISO38500EXPO ISO38500
EXPO ISO38500
ITSM
 
ISO38500
ISO38500ISO38500
ISO38500
ITSM
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
carloscv
 
Gobierno de las tic
Gobierno de las ticGobierno de las tic
Gobierno de las tic
felipe rebolledo barriga
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
dcordova923
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
U.N.S.C
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 

La actualidad más candente (18)

Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Modelo de riesgos y controles
Modelo de riesgos y controlesModelo de riesgos y controles
Modelo de riesgos y controles
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
 
EXPO ISO38500
EXPO ISO38500EXPO ISO38500
EXPO ISO38500
 
ISO38500
ISO38500ISO38500
ISO38500
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Gobierno de las tic
Gobierno de las ticGobierno de las tic
Gobierno de las tic
 
ISO
ISOISO
ISO
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 

Destacado

Ati u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingAti u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingsergio
 
Ati u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingAti u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingsergio
 
Registros
RegistrosRegistros
Registrossergio
 
Ejemplos de outsourcing
Ejemplos de outsourcingEjemplos de outsourcing
Ejemplos de outsourcingsergio
 
Actividad 2 de la unidad 5
Actividad 2 de la unidad 5Actividad 2 de la unidad 5
Actividad 2 de la unidad 5sergio
 
Ati u3 cap7_eq6_map_outsourcing
Ati u3 cap7_eq6_map_outsourcingAti u3 cap7_eq6_map_outsourcing
Ati u3 cap7_eq6_map_outsourcingsergio
 
Justificacion de outsourcing
Justificacion de outsourcingJustificacion de outsourcing
Justificacion de outsourcingsergio
 
Caso de estudio outsourcing 2007
Caso de estudio outsourcing 2007Caso de estudio outsourcing 2007
Caso de estudio outsourcing 2007sergio
 
現在換車最划算 讓你環保減稅省6萬6千
現在換車最划算 讓你環保減稅省6萬6千現在換車最划算 讓你環保減稅省6萬6千
現在換車最划算 讓你環保減稅省6萬6千
epaslideshare
 

Destacado (10)

Ati u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingAti u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcing
 
Ati u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcingAti u3 cap8_eq6_map_outsourcing
Ati u3 cap8_eq6_map_outsourcing
 
Registros
RegistrosRegistros
Registros
 
Cemex
CemexCemex
Cemex
 
Ejemplos de outsourcing
Ejemplos de outsourcingEjemplos de outsourcing
Ejemplos de outsourcing
 
Actividad 2 de la unidad 5
Actividad 2 de la unidad 5Actividad 2 de la unidad 5
Actividad 2 de la unidad 5
 
Ati u3 cap7_eq6_map_outsourcing
Ati u3 cap7_eq6_map_outsourcingAti u3 cap7_eq6_map_outsourcing
Ati u3 cap7_eq6_map_outsourcing
 
Justificacion de outsourcing
Justificacion de outsourcingJustificacion de outsourcing
Justificacion de outsourcing
 
Caso de estudio outsourcing 2007
Caso de estudio outsourcing 2007Caso de estudio outsourcing 2007
Caso de estudio outsourcing 2007
 
現在換車最划算 讓你環保減稅省6萬6千
現在換車最划算 讓你環保減稅省6萬6千現在換車最划算 讓你環保減稅省6萬6千
現在換車最划算 讓你環保減稅省6萬6千
 

Similar a Ensayo u4

Cobit 5
Cobit 5 Cobit 5
Cobit 5
Edgar Jonathan Villegas
 
A5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales MexicanasA5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales Mexicanas
ZurielVillanueva
 
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docxCurso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
luis k
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
Informe cobit 5.0
Informe cobit 5.0Informe cobit 5.0
Informe cobit 5.0
Eli Blas
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Jorge Humberto Donato Monreal
 
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Cristian J. Barba
 
Auditoria
Auditoria Auditoria
Auditoria
MixelaGuerra
 
Analisis iso 27001
Analisis iso 27001Analisis iso 27001
Analisis iso 27001
Alejandro Corletti Estrada
 
Parcial N°3
Parcial N°3Parcial N°3
Parcial N°3
TomsAntonioCoronelVa
 
BBSC Certificación de Calidad -Normas ISO Completas
BBSC Certificación de Calidad -Normas ISO CompletasBBSC Certificación de Calidad -Normas ISO Completas
BBSC Certificación de Calidad -Normas ISO Completas
Claudia Valdés Muñoz
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdf
SilvyAndreaCaicedo
 
Proyecto Integrador Etapa I
Proyecto Integrador Etapa IProyecto Integrador Etapa I
Proyecto Integrador Etapa ISaul Zuniga
 

Similar a Ensayo u4 (20)

Cobit 5
Cobit 5 Cobit 5
Cobit 5
 
A5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales MexicanasA5PresentacionNormas Oficiales Mexicanas
A5PresentacionNormas Oficiales Mexicanas
 
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docxCurso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
Curso asincrónico ISO 37001 2016 – Sistema de Gestión Antisoborno.pdf.docx
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Software de control de proceso
Software de control de procesoSoftware de control de proceso
Software de control de proceso
 
Informe cobit 5.0
Informe cobit 5.0Informe cobit 5.0
Informe cobit 5.0
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
Trabajo final, RESUMEN DE NORMAS DE ESTANDARIZACION
 
Trabajo de info en grupos
Trabajo de info en gruposTrabajo de info en grupos
Trabajo de info en grupos
 
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
 
Auditoria
Auditoria Auditoria
Auditoria
 
Analisis iso 27001
Analisis iso 27001Analisis iso 27001
Analisis iso 27001
 
Parcial N°3
Parcial N°3Parcial N°3
Parcial N°3
 
Normas iso
Normas isoNormas iso
Normas iso
 
Bsi
BsiBsi
Bsi
 
BBSC Certificación de Calidad -Normas ISO Completas
BBSC Certificación de Calidad -Normas ISO CompletasBBSC Certificación de Calidad -Normas ISO Completas
BBSC Certificación de Calidad -Normas ISO Completas
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdf
 
Proyecto Integrador Etapa I
Proyecto Integrador Etapa IProyecto Integrador Etapa I
Proyecto Integrador Etapa I
 

Más de sergio

Plan estrategico de grutnitski
Plan estrategico de grutnitskiPlan estrategico de grutnitski
Plan estrategico de grutnitskisergio
 
Plan estratégico de si de Lerma
Plan estratégico de si de LermaPlan estratégico de si de Lerma
Plan estratégico de si de Lermasergio
 
Plan estrategico de si de lerma
Plan estrategico de si de lermaPlan estrategico de si de lerma
Plan estrategico de si de lermasergio
 
Plan estrategico general
Plan estrategico generalPlan estrategico general
Plan estrategico generalsergio
 
Plan estrategico de gurtniski
Plan estrategico de gurtniskiPlan estrategico de gurtniski
Plan estrategico de gurtniskisergio
 
Actividades unidad 2
Actividades unidad 2Actividades unidad 2
Actividades unidad 2sergio
 
Ati l1 eq6_map_admon tecnologia
Ati l1 eq6_map_admon tecnologiaAti l1 eq6_map_admon tecnologia
Ati l1 eq6_map_admon tecnologiasergio
 
Actividad 1 de unidad 5
Actividad 1 de unidad 5Actividad 1 de unidad 5
Actividad 1 de unidad 5sergio
 
Consultas del equipo 8
Consultas del equipo 8Consultas del equipo 8
Consultas del equipo 8sergio
 
Actividad 1 de unidad 4
Actividad 1 de unidad 4Actividad 1 de unidad 4
Actividad 1 de unidad 4sergio
 
Benford
BenfordBenford
Benfordsergio
 
Reportes
ReportesReportes
Reportessergio
 
Actividad 1 final
Actividad 1 finalActividad 1 final
Actividad 1 finalsergio
 
Analisis comparativo de mysql vs oracle
Analisis comparativo de mysql vs oracleAnalisis comparativo de mysql vs oracle
Analisis comparativo de mysql vs oraclesergio
 
Funciones del aministrador
Funciones del aministradorFunciones del aministrador
Funciones del aministradorsergio
 
Funciones del aministrador
Funciones del aministradorFunciones del aministrador
Funciones del aministradorsergio
 
Oracle vs sql server
Oracle vs sql serverOracle vs sql server
Oracle vs sql serversergio
 
Evidencia s ql
Evidencia s qlEvidencia s ql
Evidencia s qlsergio
 
Evidencia s ql
Evidencia s qlEvidencia s ql
Evidencia s qlsergio
 
Clientes y consultas
Clientes y consultasClientes y consultas
Clientes y consultassergio
 

Más de sergio (20)

Plan estrategico de grutnitski
Plan estrategico de grutnitskiPlan estrategico de grutnitski
Plan estrategico de grutnitski
 
Plan estratégico de si de Lerma
Plan estratégico de si de LermaPlan estratégico de si de Lerma
Plan estratégico de si de Lerma
 
Plan estrategico de si de lerma
Plan estrategico de si de lermaPlan estrategico de si de lerma
Plan estrategico de si de lerma
 
Plan estrategico general
Plan estrategico generalPlan estrategico general
Plan estrategico general
 
Plan estrategico de gurtniski
Plan estrategico de gurtniskiPlan estrategico de gurtniski
Plan estrategico de gurtniski
 
Actividades unidad 2
Actividades unidad 2Actividades unidad 2
Actividades unidad 2
 
Ati l1 eq6_map_admon tecnologia
Ati l1 eq6_map_admon tecnologiaAti l1 eq6_map_admon tecnologia
Ati l1 eq6_map_admon tecnologia
 
Actividad 1 de unidad 5
Actividad 1 de unidad 5Actividad 1 de unidad 5
Actividad 1 de unidad 5
 
Consultas del equipo 8
Consultas del equipo 8Consultas del equipo 8
Consultas del equipo 8
 
Actividad 1 de unidad 4
Actividad 1 de unidad 4Actividad 1 de unidad 4
Actividad 1 de unidad 4
 
Benford
BenfordBenford
Benford
 
Reportes
ReportesReportes
Reportes
 
Actividad 1 final
Actividad 1 finalActividad 1 final
Actividad 1 final
 
Analisis comparativo de mysql vs oracle
Analisis comparativo de mysql vs oracleAnalisis comparativo de mysql vs oracle
Analisis comparativo de mysql vs oracle
 
Funciones del aministrador
Funciones del aministradorFunciones del aministrador
Funciones del aministrador
 
Funciones del aministrador
Funciones del aministradorFunciones del aministrador
Funciones del aministrador
 
Oracle vs sql server
Oracle vs sql serverOracle vs sql server
Oracle vs sql server
 
Evidencia s ql
Evidencia s qlEvidencia s ql
Evidencia s ql
 
Evidencia s ql
Evidencia s qlEvidencia s ql
Evidencia s ql
 
Clientes y consultas
Clientes y consultasClientes y consultas
Clientes y consultas
 

Ensayo u4

  • 1. Universidad Veracruzana Asignatura: Administración de las Tecnologías de Información Profesor: Carlos Arturo Torres Gastelú Ensayo Unidad 4 Equipo 6 Estrada Orozco Roberto Lara Pedroza Jorge Edwin Mora Pérez Sergio Francisco
  • 2. INTRODUCCIÓN En este ensayo podremos encontrar las diferentes normas que existen con sus respectivos orígenes, fechas de publicación, años en las que se establecieron, asi como para que sirve cada una de ellas, las ventajas y desventajas con las que cuenta, unas recomendaciones de cada una de ellas, un paso a paso de cada norma para establecerlas en las pymes mexicanas, y cuales están reglamentadas y las usan en las pymes de México. Se podrá ver cuáles son las normas que conviene más que se establezcan en las pymes mexicanas y cuales se usan en ellas para conseguir lo que quieren, el motivo de porqué y las normas que menos convienen para las pymes mexicanas. Se tendrá una idea más extensa de cada norma y para qué sirve, ya que cada una de ellas tiene un objetivo específico con las que no cuenta otras, y he aquí donde entra un debate y una comparación para ver cuál es la ideal para cada pyme. También se hablara de la gestión de cada una de las normas ISO, los pasos de COBIT, ITIL, COSO, BASILEA, asi como en que se parecen y en qué se diferencian y de explicar de qué trata cada una de ellas. Con este trabajo se responderá a las preguntas de cuáles son las normas que se usan en las pymes mexicanas, asi como las normas que creemos que deberían implementarse en las pymes, como deben hacerlo teniendo una visión más a fondo de lo que les ofrece cada una de ellas y tomar una decisión acertada.
  • 3. ORIGEN DE NORMAS NORMAS USADAS EN EL CONTEXTO MEXICANO ISO 27001 El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI). ISO 17799 La norma británica (BS 7799-1) fue elevada a norma ISO (International Standards Organization) por el procedimiento de fast track convirtiéndose en la norma ISO 17799:2000. En nuestro país la norma ISO 17799:2000 es traducida y adoptada como norma UNE publicándose en 2002 como UNE ISO 17799:2002. COBIT 4.0 COBIT al desarrollo y mantiene el IT Governance Institute (ITGI) desde 1998 con el objetivo de crear estándares internacionales para la Gobernabilidad TI en las empresas. Un impulso importante ha tenido la COBIT debido al Acta Sarbanes-Oxley, vigente desde el 2002, y que obliga a las empresas que tranzan sus acciones en USA a controlar exhaustivamente la generación de sus estados financieros. NORMA UNE ISO/IEC 20000 ISO/IEC está formada por dos partes, cuyo título general es el mismo, Tecnologías de la Información – Gestión del Servicio, y que forma específica se denominan, Parte 1: Especificación (ISO/IEC 20000-1, 2006) y Parte 2: Código de Practicas (ISO/IEC 20000-2, 2006). Estas normas pueden ser utilizadas por organizaciones que desarrollen herramientas, productos y sistemas de gestión del servicio. COSO & COBIT Coso es un modelo general para la gestión de riesgos empresariales y el control interno, No es el único de los modelos y particularmente se han definido modelos específicos para el control y gestión de sistemas de información y comunicaciones, Uno de ellos, posiblemente el más popular junto con ITIL7, es el modelo COBIT que se ha convertido es un estándar de referencia de la misma para el gobierno y control de los sistemas de información y la tecnología. Se puede decir que COBIT completa a COSO en lo relativo a TSI. Con esto pretende ponerse de manifiesto que la filosofía de gestión de riesgo y control contenida en COBIT es compatible con COSO.
  • 4. Norma ISO/IEC 20000-1 La norma internacional ISO/IEC 20000-1 fue elaborada por el British StandardsInstitution como BS 150000-1 y posteriormente fue adoptada mediante el procedimiento especial de “fast-track” por ISO/IEC. En España, Aenor es la entidad aprobada para desarrollar las tareas de normalización y certificación. El comité encargado de la Tecnología de la Información se denomina AEN/CTN 71 y ha sido el encargado de elaborar la presente norma que es igual que la norma internacional ISO/IEC 20000-1: 2005. ¿Qué norma es viable de implementarse en una PYME mexicana? Las TSI constituyen en la actualidad, uno de los elementos clave para el mantenimiento y desarrollo de la actividad de la mayoría de las organizaciones, sean estas entidades de actividad mercantil, o no, privadas o públicas. Las TSI constituyen un elemento más de dentro del universo de recursos con los que una organización desarrolla su actividad. Por lo tanto, es su gestión y su gobierno los que deben realizarse adecuadamente y en coordinación con los demás recursos que tiene una organización. Unas de las normas que consideramos como viables para implementarse en una PyME mexicana es la ISO 27001 Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas. COBIT es un marco de referencia para profesionalizar el área informática de un compañía, que cuenta con capacidades propias o terciarias para la implementación de proyectos típicamente soportados con ERP de clase mundial, que tiene un área de operación con varias decenas de servidores que dan servicios a más de una locación, y que cuenta con áreas de mantenimiento y soporte. Y, más importante los Sistemas Informáticos son reconocidos por el directorio como un componente clave en el éxito comercial de la compañía y, por lo mismos que implican riesgos para el negocio. Con esto quiero de decir que si su área informática es pequeña la COBIT puede resultar muy cara en su implementación y por tanto no se justificaría. NORMA ISO 17799 Se implementa como una herramienta para conseguir la seguridad definida de una empresa, ya que con esta es muy confiable y segura para dicha empresa, lo único malo que tiene esta norma es que no es certificable.La norma ISO 17799 es un conjunto de las recomendaciones sobre las medidas tomar en la empresa para asegurar los Sistemas de Información. Esta norma surge de la necesidad que tienen las empresas de garantizar el funcionamiento seguro de los Sistemas de Información. Esto no es más que gestionar los riesgos de la empresa. Cuando se recogen recomendaciones en una norma como la ISO 17799, realmente se están mostrando los objetivos de seguridad que debe tener en cuenta una organización para tener sus riesgos dentro de unos niveles aceptables.La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y cualquier país. Gracias a esto es por lo cual es muy fácil porque se puede introducir en cualquier sector y con cualquier pyme. Tiene controles recomendados, los cuales son: El registro de usuarios, la gestión de privilegios, la gestión de contraseñas de usuario, la revisión de los derechos de acceso de los usuarios.
  • 5. COSO COSO se define como el control interno de la siguiente forma: “El control interno es un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización, diseñado para proporcionar seguridad razonable respecto a la consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones, Confiabilidad de la información financiera, Cumplimiento con leyes y regulaciones. En conclusión COSO se define formalmente como la gestión de riesgos empresariales en un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización. COSO cuenta con cuatro objetivos de alto nivel que normalmente tendrán sentido en todas las organizaciones, organismos o compañías, sin embargo el modelo COSO no es cerrado y admite perfectamente su modificación. Gracias a esto es muy viable tomarlo en cuanta para su pyme. Solo que COSO es un modelo muy costoso de implementar estando al alcance grandes organizaciones. Algunos de los beneficios con los que se tendría por usar COSO serian: Que ofrece un sistema por el cual los resultados de una auditoria son infalibles. ERM versa sobre asuntos financieros y seguros. Se trata un proceso independiente y aislado del resto de la organización. Respecto a los beneficios, COSO promete las siguientes mejoras: Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión. ITIL BENEFICIOS DE ITIL Los beneficios de la Gestión de Servicio de TSI deben identificarse para justificar la implementación de los procesos correspondiente. Ventajas de ITIL para el cliente/usuario: La provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en el lenguaje máscómodo para el cliente y con mejores detalles. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto. Ventajas de ITIL para la organización: La organización TSI desarrolla una estructura más clara, se vuelve más eficaz y se centra más en los objetivos corporativos.
  • 6. NORMA UNE-ISO/IEC 20000 Pasos para su implementación En el caso de la seguridad informática, es una opinión generalizada que la seguridad media alcanzada por la mayoría de las organizaciones está por debajo de las expectativas, hecho que encuentra un motivo fundamental en la aplicación individual de estos productos y su baja o escasa integración con el resto de medidas de gestión de la organización. La gran variedad de personas que participan en los procesos de una entidad junto con los fallos reiterados en la transmisión de información en las distintas fases pueden encontrarse entre los principales causantes de la baja respuesta a las expectativas creadas. Importantes barreras para comenzar a implantar una política real de gestión de la seguridad de la información son la inercia y la cultura, barreras que son imprescindibles considerar en cada decisión que se tome. A estas alturas, y a partir de la experiencia en la implantación de otros sistemas de gestión que comenzaron antes su aceptación por la industria, ya no es cuestionable que aportan, entre otros, los siguientes beneficios: Ante el mercado: Favorece su desarrollo Afianza la posición de la organización. Potencia la imagen de marca. Constituye un factor competitivo respecto a la competencia. Permite superar barreras técnicas. Ante los clientes: Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios que satisfacen sus necesidades y expectativas. Se mejora la comunicación con el cliente (empresas, particulares, etc.) Mayor confianza al cliente (empresas, particulares, etc.) Aumento de la satisfacción del cliente (empresas, particulares, etc.) Ante la gestión de la organización: Conocimiento y depuración de los procesos internos. Mejora de los procesos y de los servicios prestados. Ahorro de tiempo y de recursos necesarios. Mejor gestión de los recursos. Estímulo para entrar en un proceso de mejora continúa. Todos estos beneficios se obtienen en la implantación de un sistema de gestión de la seguridad y la información que, como veremos más adelante, conforma aumenta la madurez de la organización, estará totalmente integrado con otros sistemas de gestión que tenga implantados y con los procesos de negocio de la misma; no debe entenderse a medio plazo como algo adicional sino algo embebido y propio de la forma de trabajo de cada entidad.
  • 7. En los procesos de negocio de una organización intervienen multitud de agentes con funciones claramente diferenciadas pero interrelacionadas entre sí; resulta fundamental identificarlas con el fin de valorar su aportación a las características deseadas del producto o servicio final entre ellas las relativas a la seguridad de la información. Un sistema de calidad implica la creación continua de valor para el cliente, la optimización de los procesos y el desarrollo del potencial humano de la organización. NORMA ISO/IEC 27001 Primero vamos a concretar el objeto y el campo de aplicación de la misma: “Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas”. El concepto de gestión del sistema cubre comenzando por el establecimiento, la implantación, la puesta en funcionamiento, la revisión, el mantenimiento y la mejora de dicho sistema. Para poder estructurar los procesos del SGSI, esta norma adopta el modelo PDCA “Plan-Do- Check-Act” o “Planificar-Hacer-Comprobar y Actuar”. -Definir política de seguridad. -Implantar plan de gestión de riesgos. -Establecer el alcance del al SGSI -Implantar el SGSI -Realizar análisis de riesgos. -Implantar a los controles. -Seleccionar los controles. ISO/IEC 17799:2905 “D” “P” -Adoptar las acciones correctivas. -Revisar Internamente el SGSI. -Adoptar las acciones preventivas. -Realizar auditorías internas del SGSI. “A” “C”
  • 8. Establecimiento y gestión del SGSI La organización debe comenzar por definir el alcance del sistema de gestión, es decir, a que partes del negocio de la organización aplica, derivado de esta definición los emplazamientos de la organización a los que incluye, los activos, la tecnología, las áreas, el personal, asi como las exclusiones que admite. Definir la política de SGSI, que será el marco para el establecimiento de los objetivos de la dirección de la organización y los principios de actuación para proteger la información. Unos de los factores clave para que esta política se pueda hacer realidad es el que refleje los objetivos del negocio, asi como el que este en línea con la estrategia de gestión global de la organización. Después de esto se tiene que hacer una serie de actividades relacionadas con los riesgos. Se comienza por definir la metodología para la valoración de riesgo conforme al alcance y política del SGSI y que será la que se utilice como criterio para establecer el nivel aceptable del riesgo. La siguiente fase es la identificación de los riesgos, en los que a activo, amenaza, vulnerabilidad e impacto se refiere, para después elaborar un análisis y evaluación de dichos riesgos, que desembocara en la identificación de los diferentes tratamiento del riesgo para llegar al objetivo perseguido en esta primera etapa de selección de los controles y objetivos de los mismos que posibilitaran dicho tratamiento. Implantación y puesta en marcha del SGSI El primer paso es elaborar un plan de tratamiento del riesgo, después hay que implementarlo, a través de la implantación de los controles que se hayan seleccionado. Una importante labor a llevar a cabo es el poder medir la eficacia de dichos controles, que posibilitara conocer la eficacia de cada control y obtener unos resultados comparables y reproducibles. Es vital crear programas de formación y concienciación en todas estas acciones para el personal de la organización, tanto el personal interno como el subcontratado. Estos programas posibilitaran la integración de la cultura de la seguridad en la actividad cotidiana de cada trabajador. Conclusión: Es en esta fase donde hay que implantar procedimientos y controles que hagan posible la detección de incidencia de seguridad y la respuesta “rápida” a estos incidentes. Control y evaluación del SGSI Después de pasar por las fases anteriores se podría decir que ya se cuenta con el núcleo del SGSI, pero no podrá aprovechar los beneficios que este sistema va a proporcionar a su negocio a no ser que implante una serie de procedimientos para el control y revisión de lo hecho hasta ahora. Esto derivará en la puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditorias de seguridad y de las mediciones, que tienen como fin el verificar que se están cumpliendo los requisitos de seguridad.
  • 9. Objetivos Planificar Mejora continua Verificar Ejecutar Proceso de Mejora La COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje común para que cada quién en la organización pueda visualizar y gestionar las actividades de la TI: Planificar y Organizar (PO) Este dominio abarca la estrategia y la táctica, y su preocupación es identificar las maneras como las TI muden contribuir, de la mejor forma posible, al logro de los objetivos de negocios de la empresa. La ejecución de la visión estratégica requiere de planificación, difusión y gestión para diferentes perspectivas. Una organización adecuada y una plataforma tecnológica acorde son necesarias. De modo que en este dominio típicamente se tratan las siguientes interrogantes. ¿Están las TI alineadas con la estrategia de negocios? ¿Está la empresa utilizando a un nivel óptimo sus recursos informáticos? ¿Entiende todo el mundo de la empresa los objetivos de las TI? ¿Son comprendidos los riesgos TI y son debidamente gestionados? ¿Es la calidad de los sistemas informáticos adecuados a las necesidades del negocio? Este dominio considera los procesos: PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks.
  • 10. PO10 Manage projects. Adquirir e Implementar (AI) Para materializar la estrategia TI, las soluciones TI necesitan ser identificadas, desarrolladas o adquiridas, como asimismo es necesario implementarlas e integrarlas a las procesos de negocios. Adicionalmente, todo sistema requiere de cambios y mantenimiento para asegurarse que durante su operación continua satisfaciendo los requerimientos del negocio. Para este dominio surgen las preguntas: ¿Los nuevos proyectos tienen el potencial para entregar soluciones que satisfagan las necesidades del negocio? ¿Es factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y presupuestos convenidos? ¿Los nuevos sistemas operaran adecuadamente una vez implementados? ¿Los cambios podrán hacerse sin poner en riesgo la operación del negocio? Este dominio considera los procesos: AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. Proveer y Soportar (DS) Este dominio tiene que ver con la entrega de los servicios que son requeridos, esto incluye: la provisión del servicio, la gestión de seguridad y continuidad, el soporte a los usuarios, la administración de los datos y la gestión de las instalaciones de plataforma tecnológica. Para estos efectos es necesario formularse las preguntas siguientes: ¿Se están proveyendo los servicios TI de acuerdo con las prioridades del negocio? ¿Están los costos de TI optimizados? ¿Está en condiciones la fuerza de trabajo de utilizar los sistemas TI productivamente y con seguridad? ¿Se maneja adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas TI? Este dominio considera los procesos: DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity.
  • 11. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Monitorear y Evaluar (ME) Todos los procesos TI necesitan periódicamente que se verifique mediante controles su calidad y conformidad. En este dominio se tratan la gestión de performance, el monitoreo de los controles internos, la regulaciones que tiene que ver la conformidad y la gobernabilidad. Las preguntas típicas de este dominio son: ¿Los sistemas de medición de performance TI permiten detectar a tiempo los problemas? ¿La gestión asegura que los controles internos son efectivos y eficientes? ¿Puede la performance TI relacionarse con los objetivos de negocios? ¿Están siendo medidos e informados los riesgos, el control, la conformidad y la performance? Este dominio considera los procesos: ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. ISO 17799:2000 La norma británica (BS 7799-1) fue elevada a norma ISO (International Standards Organization) por el procedimiento de fast track convirtiéndose en la norma ISO 17799:2000. En nuestro país la norma ISO 17799:2000 es traducida y adoptada como norma UNE publicándose en 2002 como UNE ISO 17799:2002. Cuando se habla de información en el entorno de la seguridad nos referimos a aquellos activos de información que la empresa utiliza para sus funciones y necesita proteger. La información de la empresa debe protegerse tanto en su generación, entrada, tratamiento, modificación, almacenamiento, comunicación y destrucción. La información se puede encontrar en formato digital, pero también en soporte de papel, imágenes, etc. Todos esos aspectos tienen que vigilarse cuando hablamos de seguridad de la información. Realmente un SGSI es una estructura organizativa, técnica y procedimental que persigue la seguridad de la información a través de un ciclo de análisis de la situación, aplicación de controles, revisión del funcionamiento y la aplicación permanente de mejoras o correcciones. Es lo que comúnmente se conoce como el ciclo PDCA (Plan, Do, Check, Act) aplicado a la seguridad de la información, que permite adaptarse a los cambios en la organización y la mejora continua.
  • 12. Habitualmente se relaciona la norma ISO 17799 con los SGSI, la norma ISO 27001:2005 que da las especificaciones para los SGSI. Esta norma se dirige hacia la ISO 17799:2005 para seleccionar los controles adecuados para alcanzar los niveles de seguridad exigidos, por lo que ambas están relacionadas. Como conclusión los SGSI utilizan la norma ISO 17799:2005 como herramientas para conseguir la seguridad definida en la empresa, pero no es en si misma una norma certificable. La norma ISO 17799 es un conjunto de las recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. La norma surge de la necesidad de las empresas de garantizar el funcionamiento seguro de los Sistemas de Información garantizado la confidencialidad, integridad y disponibilidad de la información. Esto no es más que gestionar los riesgos de la empresa. Cuando se recogen recomendaciones en una norma como la ISO 17799, realmente se están mostrando los objetivos de seguridad que debe tener en cuenta una organización para tener sus riesgos dentro de unos niveles aceptables. La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y cualquier país. Las 12 secciones de la norma agrupadas por temáticas o campos sobre los que enfocan sus objetivos: Análisis de Riesgos, Política de Seguridad, Seguridad de R.H., Seguridad física, Organización de la seguridad, Gestión de activos, Comunicaciones y operaciones, Control de acceso, Compras Desarrollo y Mantenimiento de sistemas, Conformidad legal, Plan de Continuidad de Negocio, Gestión de incidentes de seguridad. Recomendaciones: Realizar un análisis de riesgos formal en la organización. Realizar el análisis de riesgos en base a una metodología documentada y aprobada formalmente. El análisis de riesgos debe contemplar los activos, vulnerabilidad, las amenazas, los impactos y la evaluación del riesgo. Incluir en el análisis de riesgos todos los activos incluidos en el alcance del SGSI y considerar las relaciones externas. Aprobar por la dirección los riesgos residuales Establecer criterios formales para clasificar el riesgo. Establecer una clasificación de riesgos y aprobar por la dirección las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir). Los riesgos deben quedar a un nivel aceptado por la dirección. Tener en cuenta principios de proporcionalidad en la selección de controles considerando todos los costes asociados. Cada control debe tener asociada una forma objetiva de verificar su eficacia. Las políticas de seguridad dan el marco sobre el que debe desarrollarse el Sistema de Gestión de Seguridad de la Información y debe ser coherente con la gestión del riesgo aprobada por la dirección en la sección anterior. Además de los controles técnicos que se presentan en la sección anterior, la norma presta atención de forma particular al control de acceso lógico a la red. Hay que establecer
  • 13. procedimientos formales para controlar la asignación de derechos de acceso a los sistemas y servicios informáticos. Controles recomendados: Registro de usuarios, gestión de privilegios, gestión de contraseñas de usuario, revisión de los derechos de acceso de los usuarios. Es imprescindible analizar las necesidades respecto a la seguridad de los sistemas de información. La seguridad de las aplicaciones que dan soporte al negocio puede ser crucial para su éxito, por lo tanto las necesidades de seguridad deben identificarse y acordarse previamente al desarrollo de los sistemas informáticos. COSO En la primera versión de COSO se definía el control interno de la siguiente forma: “El control interno es un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización, diseñado para proporcionar seguridad razonable respecto a la consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones, Confiabilidad de la información financiera, Cumplimiento con leyes y regulaciones. COSO se define formalmente como la gestión de riesgos empresariales es un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización, como una disposición estratégica en toda la organización, diseñada para identificar potenciales eventos que puedan afectar a la entidad y proporcionar una seguridad razonable respecto a la consecución de los objetos de la entidad. La consecución de objetivos de ERM se cataloga en cuatro líneas o categorías principales: Estratégica (Strategic): Comprende los objetivos más generales de la organización que soportan o están alineados con la misión de la misma. Operativa (Operational): Comprende el uso eficiente y eficaz de los recursos y activos. Reporte (Reporting): Relativa a la confiabilidad de los flujos de información y el reporte. Cumplimiento (Compliance): Comprende el cumplimiento con la legislación y regulación. Estos cuatro objetivos de alto nivel normalmente tendrán sentido en todas las organizaciones, organismos o compañías, sin embargo el modelo COSO no es cerrado y admite perfectamente su modificación. Adicionalmente a estos objetivos COSO establece un conjunto de siete componentes que se enumeran a continuación: Ambiente interno (Internal Environment) Establecimiento de objetivos (Objetive setting) Evaluación del riesgo (Risk Assesment) Respuesta al riesgo (Risk Response) Actividades de control (Control activities) Información y Comunicación (Information & Comunication) Supervisión (Monitoring) El informe COSO no establece que los diferentes componentes tengan que ser aplicados en un orden de concreto, sin embargo como guía de referencia se establece un orden lógico en la secuenciación de los componentes:
  • 14. Ambiente interno Establecimiento de objetivos Evaluación de riesgo Actividades de control Información y comunicación Supervisión Para completar en modelo COSO existe una tercera dimensión referida al ámbito de aplicación. Según el modelo de referencia esta tiene cuatro niveles: Entidad (Entity-Level): Relativo a una organización concreta en su conjunto siendo el más alto nivel) División (División): Comprende un conjunto de actividades relacionadas como negocios, líneas de producto, etc. Unidad (Bussines unit): Elemento considerado unitario en la organización empresarial encargado de una función de una función producto o misión concreta. Subsidiaria (Subsidiary): Organización dependiente de la organización principal. Esta separación cobra especial importancia en el reporte financiero. Además del modelo y los conceptos presentados en las secciones anteriores COSO ofrece de una visión detallada de los siete componentes de ERM con recomendaciones y sugerencias para gestión el ERM. El informe COSO establece que la responsabilidad de la gestión de riesgos empresariales y control interno es responsabilidad de todos los miembros de la organización. Se recomienda el uso del informe de diferentes formas por las distintas posiciones, cargos y funciones que las personas o grupos desempeñan en la organización o fuera de ella. A continuación se presentan los beneficios que la experiencia en la implantación del modelo ha traído a las organizaciones. También se comentaras algunos mitos existentes en torno a su aplicación: Es un “cúralo-todo” con el que se pueden tomar decisiones basados en información 100% confiable y basada en información sin margen de error. Solo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una organización. Ofrece un sistema por el cual los resultados de una auditoria son infalibles. ERM versa sobre asuntos financieros y seguros. Se trata un proceso independiente y aislado del resto de la organización. Es un modelo muy costoso de implementar estando solo al alcance de grandes organizaciones. Respecto a los beneficios, COSO promete las siguientes mejoras:
  • 15. Alinea la tolerancia al riesgo y la estrategia. Relaciona crecimiento, riesgo y retorno de la inversión. Amplía las decisiones de respuesta al riesgo. Identifica y gestiona riesgos en los distintos niveles de la entidad. Proporciona respuestas integradas a los múltiples riesgos. Tiene en cuenta las oportunidades para aprovecharlas estratégicamente. Es garante del gobierno corporativo informando al consejo y a los gestores sobre los riesgos estableciendo supervisión. Ayuda a organizaciones a lograr objetivos y evitar pérdidas. Mejora los sistemas de reporte. Ayuda a asegurar el cumplimiento con leyes y reglamentos. COSO & COBIT La versión más reciente de COBIT está enfocada al gobierno de TSI desde los siguientes focos de actuación: Alineamiento estratégico: Centrado en asegurar la ligación entre los planes y operaciones de TSI con los de la entidad. Entrega de valor: Comprende la ejecución del valor aportado por las TSI respondiendo con beneficios a las expectativas reduciendo costes y aportando un valor intrínseco. Gestión de recursos: Atiende a la utilización eficiente y efectiva de los recursos de TSI. Gestión del riesgo: Requiere la concienciación del riesgo por parte de los gestores, la comprensión de la tolerancia al riesgo y las acciones para su gestión de forma transparente. Medición de desempeño: Comprende todos los procesos de medición realizados para realizar seguimiento de los objetivos y del alineamiento estratégico. ITIL & LA NORMA UNE-ISO/IEC 20000 ITIL consta de un conjunto de libros publicados por la OGC, que permiten mejorar la calidad de los servicios de TSI que presta una organización a sus clientes. Gestión de la Infraestructura TSI: En las organizaciones actuales, las infraestructuras de TSI son la base sobre las que se construyen los servicios del negocio. Los principales procesos de la Infraestructura TSI son: Diseño y Planificación: Interesado en la creación y/o mejora de la solución de TSI. Despliegue: Interesado en la implementación y extensión del negocio y/o solución de TSI según se diseñó y planifico, con mínima interrupción en los procesos del negocio. Operaciones: Interesado en el mantenimiento diario de la infraestructura de TSI. Tiene en cuenta en todas las actividades y medidas para permitir y/o mantener el uso pretendiendo de la infraestructura TSI. Soporte Técnico: Interesado con la estructura y apuntalamiento de otros procesos para garantizar los servicios entregados por la gestión de la infraestructura de TSI.
  • 16. TIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organización TSI. Sin embargo, ITIL no brinda una descripción específica de la forma en la que se deben implantar estas actividades. ITIL ofrece un marco de trabajo para planificar los proceso, los roles y las actividades más comunes, indicando los nexos entre ellos y los flujos de comunicación necesarios. Los objetivos de Gestión de Configuración son; Contabilizar todos los activos y configuraciones de TSI dentro de la organización y sus servicios. Proporcionar información exacta de las configuraciones y su documentación para soportar el resto de procesos de Gestión del Servicios. Proporcionar una base sólida para la Gestión del Incidente, la Gestión del Problema, la Gestión del Cambio y la Gestión de la Entrega, Verificar los registros de configuración frente la infraestructura y corregir cualquier excepción. Las actividades básicas de gestión de configuración son: la selección e identificación de las estructuras de configuración para todos los elementos de configuración; el control que asegura que solo los elementos de configuración autorizados e identificables se aceptan y registran; la contabilidad del estado que informa de todos los datos históricos y reales relativos a cada elemento de configuración. Los objetivos de la Gestión de la Entrega son: Planificar y supervisar el despliegue satisfactorio del software y del hardware relacionado. Diseñar e implementar procedimientos eficientes para distribuir e instalar los cambios a los sistemas TSI. Comunicar y gestionar las expectativas del cliente durante la planificación y despliegue de las nuevas versiones. Implantar nuevas versiones de software y hardware en el entorno operativo, utilizando los procesos de Gestión de Configuración y Gestión del Cambio. Se define un servicio como uno o más sistemas de TSI que permiten un proceso del negocio. Puede ser una buena idea definir una jerarquía de servicios dentro del Catálogo de Servicios. BENEFICIOS DE ITIL Los beneficios de la Gestión de Servicio de TSI deben identificarse para justificar la implementación de los procesos correspondiente. Ventajas de ITIL para el cliente/usuario: La provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los servicios, en el lenguaje más cómodo para el cliente y con mejores detalles. Se manejan mejor la calidad y el coste del servicio. Mejora la comunicación con la organización TSI al acordar los puntos de contacto.
  • 17. Ventajas de ITIL para la organización: La organización TSI desarrolla una estructura más clara, se vuelve más eficaz y se centra más en los objetivos corporativos. La dirección tiene más control y los cambios resultan más fáciles de manejar. Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada la externalización de algunos de los elementos de los servicios TSI. NORMA UNE-ISO/IEC 20000 ISO/IEC está formada por dos partes, cuyo título general es el mismo, Tecnologías de la Información – Gestión del Servicio, y que forma específica se denominan, Parte 1: Especificación (ISO/IEC 20000-1, 2006) y Parte 2: Código de Practicas (ISO/IEC 20000-2, 2006). Estas normas pueden ser utilizadas por organizaciones que desarrollen herramientas, productos y sistemas de gestión del servicio. UNE-ISO/IEC 20000-1 La norma UNE-ISO/IEC 20000 proporciona una lista de objetivos y controles para cada uno de estos procesos, pero no es exhaustiva, por lo que una organización podría considerar el añadir objetivos y controles adicionales para cumplir con sus necesidades de negocio. Se aplica la metodología Planificar, Realizar, Comprobar y Actuar: Planificar: Establecer la planificación de la gestión del servicio, incluyendo los objetivos que debe alcanzar la gestión de servicio. Realizar: Implementar los objetivos y el plan de gestión del servicio para proveer y gestionar los servicios. Comprobar: Monitorizar, medir y revisar que los objetivos de gestión del servicio y la ejecución del cumplimiento del plan cumplen con el plan de gestión del servicio, incluyendo el programa de auditorías. Actuar: Mejorar la eficacia y eficiencia de la entrega y la gestión del servicio.
  • 18. CONCLUSIÓN Esperamos que con este trabajo se haya logrado el objetivo que era que le quedara claro para que sirve cada una de las norma, cual es mas viable para implementarse en cada pyme, los beneficios que tienen, asi como las ventajas y desventajas que da cada una de las normas, cual debería de implementarse y cual no, cual le convienen a las pymes para lograr un objetivo planteado. En conclusión: ISO 27001 es una norma donde viene desglosado y estructurado correctamente pero esta específicamente diseñada para los riesgos de los sistemas de información por el contrario COBIT 4.0 no solo toma el tema de los riesgos sino que estámás compleja su formulación hacia los sistemas de información. ITIL es una biblioteca que sirve para mejorar los servicios de las tecnologías de sistemas de información que tiene una organización a sus clientes. Por su parte COSO se define formalmente como la gestión de riesgos empresariales en un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la organización, como una disposición estratégica en toda la organización, diseñada para identificar potenciales eventos que puedan afectar a la entidad y proporcionar una seguridad razonable respecto a la consecución de los objetos de la entidad. NORMA UNE-ISO/IEC 20000muy en el caso de la seguridad informática, es una opinión generalizada que la seguridad media alcanzada por la mayoría de las organizaciones está por debajo de las expectativas, hecho que encuentra un motivo fundamental en la aplicación individual de estos productos y su baja o escasa integración con el resto de medidas de gestión de la organización. Legamos a la conclusión de que las mejores normas para implantarse en una pyme son la ISO 27001, COBIT, ISO 17799 y la UNE-ISO/IEC 20000.