1) El documento describe varias normas relacionadas con la administración y gestión de sistemas de información y tecnologías, incluyendo ISO 27001, ISO 17799, COBIT, ITIL, COSO y ISO/IEC 20000. 2) También analiza cuáles de estas normas serían viables de implementar en una pyme mexicana, concluyendo que ISO 27001 e ISO 17799 son las más adecuadas debido a su flexibilidad y bajo costo de implementación. 3) Finalmente, resume los beneficios que brindan normas como COB
Este texto, trata de presentar un análisis de la situación actual que presenta ISO/IEC para cualquier empresa que desee planificar e implementar una política de seguridad orientada a una futura certificación dentro de este estándar.
Este texto, trata de presentar un análisis de la situación actual que presenta ISO/IEC para cualquier empresa que desee planificar e implementar una política de seguridad orientada a una futura certificación dentro de este estándar.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Conceptos de estándar
procedimiento de los estándares
Organizaciones
propósitos de la complementación de estándares
Proceso de certificación de estándares
La certificación hoy constituye el mejor sello de
garantía para clientes y proveedores, ambos
pilares fundamentales para el desarrollo
sustentable de una empresa que mira con
anhelo el futuro.
www.bbsc.cl
Gestión Empresarial En Tiempos De Crisis
1. Universidad Veracruzana
Asignatura: Administración de las Tecnologías de
Información
Profesor: Carlos Arturo Torres Gastelú
Ensayo Unidad 4
Equipo 6
Estrada Orozco Roberto
Lara Pedroza Jorge Edwin
Mora Pérez Sergio Francisco
2. INTRODUCCIÓN
En este ensayo podremos encontrar las diferentes normas que existen con sus
respectivos orígenes, fechas de publicación, años en las que se establecieron, asi
como para que sirve cada una de ellas, las ventajas y desventajas con las que
cuenta, unas recomendaciones de cada una de ellas, un paso a paso de cada
norma para establecerlas en las pymes mexicanas, y cuales están reglamentadas
y las usan en las pymes de México.
Se podrá ver cuáles son las normas que conviene más que se establezcan en las
pymes mexicanas y cuales se usan en ellas para conseguir lo que quieren, el
motivo de porqué y las normas que menos convienen para las pymes mexicanas.
Se tendrá una idea más extensa de cada norma y para qué sirve, ya que cada una
de ellas tiene un objetivo específico con las que no cuenta otras, y he aquí donde
entra un debate y una comparación para ver cuál es la ideal para cada pyme.
También se hablara de la gestión de cada una de las normas ISO, los pasos de
COBIT, ITIL, COSO, BASILEA, asi como en que se parecen y en qué se
diferencian y de explicar de qué trata cada una de ellas.
Con este trabajo se responderá a las preguntas de cuáles son las normas que se
usan en las pymes mexicanas, asi como las normas que creemos que deberían
implementarse en las pymes, como deben hacerlo teniendo una visión más a
fondo de lo que les ofrece cada una de ellas y tomar una decisión acertada.
3. ORIGEN DE NORMAS
NORMAS USADAS EN EL CONTEXTO MEXICANO
ISO 27001
El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security
techniques - Information security management systems - Requirements) fue aprobado y publicado
como estándar internacional en octubre de 2005 por International Organization for
Standardization y por la comisión International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de
Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA -
acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las
mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la
norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards
Institution (BSI).
ISO 17799
La norma británica (BS 7799-1) fue elevada a norma ISO (International Standards Organization)
por el procedimiento de fast track convirtiéndose en la norma ISO 17799:2000.
En nuestro país la norma ISO 17799:2000 es traducida y adoptada como norma UNE publicándose
en 2002 como UNE ISO 17799:2002.
COBIT 4.0
COBIT al desarrollo y mantiene el IT Governance Institute (ITGI) desde 1998 con el objetivo de
crear estándares internacionales para la Gobernabilidad TI en las empresas. Un impulso
importante ha tenido la COBIT debido al Acta Sarbanes-Oxley, vigente desde el 2002, y que obliga
a las empresas que tranzan sus acciones en USA a controlar exhaustivamente la generación de
sus estados financieros.
NORMA UNE ISO/IEC 20000
ISO/IEC está formada por dos partes, cuyo título general es el mismo, Tecnologías de la
Información – Gestión del Servicio, y que forma específica se denominan, Parte 1: Especificación
(ISO/IEC 20000-1, 2006) y Parte 2: Código de Practicas (ISO/IEC 20000-2, 2006). Estas normas
pueden ser utilizadas por organizaciones que desarrollen herramientas, productos y sistemas de
gestión del servicio.
COSO & COBIT
Coso es un modelo general para la gestión de riesgos empresariales y el control interno, No es el
único de los modelos y particularmente se han definido modelos específicos para el control y
gestión de sistemas de información y comunicaciones, Uno de ellos, posiblemente el más popular
junto con ITIL7, es el modelo COBIT que se ha convertido es un estándar de referencia de la
misma para el gobierno y control de los sistemas de información y la tecnología. Se puede decir
que COBIT completa a COSO en lo relativo a TSI. Con esto pretende ponerse de manifiesto que la
filosofía de gestión de riesgo y control contenida en COBIT es compatible con COSO.
4. Norma ISO/IEC 20000-1
La norma internacional ISO/IEC 20000-1 fue elaborada por el British StandardsInstitution como BS
150000-1 y posteriormente fue adoptada mediante el procedimiento especial de “fast-track” por
ISO/IEC. En España, Aenor es la entidad aprobada para desarrollar las tareas de normalización y
certificación. El comité encargado de la Tecnología de la Información se denomina AEN/CTN 71 y
ha sido el encargado de elaborar la presente norma que es igual que la norma internacional
ISO/IEC 20000-1: 2005.
¿Qué norma es viable de implementarse en una PYME mexicana?
Las TSI constituyen en la actualidad, uno de los elementos clave para el mantenimiento y
desarrollo de la actividad de la mayoría de las organizaciones, sean estas entidades de actividad
mercantil, o no, privadas o públicas.
Las TSI constituyen un elemento más de dentro del universo de recursos con los que una
organización desarrolla su actividad. Por lo tanto, es su gestión y su gobierno los que deben
realizarse adecuadamente y en coordinación con los demás recursos que tiene una organización.
Unas de las normas que consideramos como viables para implementarse en una PyME mexicana
es la ISO 27001 Especifica los requisitos para la implantación de los controles de seguridad
hechos a medida de las necesidades de organizaciones individuales o partes de las mismas.
COBIT es un marco de referencia para profesionalizar el área informática de un compañía, que
cuenta con capacidades propias o terciarias para la implementación de proyectos típicamente
soportados con ERP de clase mundial, que tiene un área de operación con varias decenas de
servidores que dan servicios a más de una locación, y que cuenta con áreas de mantenimiento y
soporte. Y, más importante los Sistemas Informáticos son reconocidos por el directorio como un
componente clave en el éxito comercial de la compañía y, por lo mismos que implican riesgos para
el negocio. Con esto quiero de decir que si su área informática es pequeña la COBIT puede
resultar muy cara en su implementación y por tanto no se justificaría.
NORMA ISO 17799
Se implementa como una herramienta para conseguir la seguridad definida de una empresa, ya
que con esta es muy confiable y segura para dicha empresa, lo único malo que tiene esta norma
es que no es certificable.La norma ISO 17799 es un conjunto de las recomendaciones sobre las
medidas tomar en la empresa para asegurar los Sistemas de Información. Esta norma surge de la
necesidad que tienen las empresas de garantizar el funcionamiento seguro de los Sistemas de
Información. Esto no es más que gestionar los riesgos de la empresa. Cuando se recogen
recomendaciones en una norma como la ISO 17799, realmente se están mostrando los objetivos
de seguridad que debe tener en cuenta una organización para tener sus riesgos dentro de unos
niveles aceptables.La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier
tamaño de empresa y cualquier país. Gracias a esto es por lo cual es muy fácil porque se puede
introducir en cualquier sector y con cualquier pyme.
Tiene controles recomendados, los cuales son: El registro de usuarios, la gestión de privilegios, la
gestión de contraseñas de usuario, la revisión de los derechos de acceso de los usuarios.
5. COSO
COSO se define como el control interno de la siguiente forma: “El control interno es un proceso,
ejercido por el consejo de administración de la entidad, los gestores y otro personal de la
organización, diseñado para proporcionar seguridad razonable respecto a la consecución de los
objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones, Confiabilidad de
la información financiera, Cumplimiento con leyes y regulaciones.
En conclusión COSO se define formalmente como la gestión de riesgos empresariales en un
proceso, ejercido por el consejo de administración de la entidad, los gestores y otro personal de la
organización.
COSO cuenta con cuatro objetivos de alto nivel que normalmente tendrán sentido en todas las
organizaciones, organismos o compañías, sin embargo el modelo COSO no es cerrado y admite
perfectamente su modificación. Gracias a esto es muy viable tomarlo en cuanta para su pyme. Solo
que COSO es un modelo muy costoso de implementar estando al alcance grandes organizaciones.
Algunos de los beneficios con los que se tendría por usar COSO serian:
Que ofrece un sistema por el cual los resultados de una auditoria son infalibles.
ERM versa sobre asuntos financieros y seguros.
Se trata un proceso independiente y aislado del resto de la organización.
Respecto a los beneficios, COSO promete las siguientes mejoras:
Alinea la tolerancia al riesgo y la estrategia.
Relaciona crecimiento, riesgo y retorno de la inversión.
ITIL
BENEFICIOS DE ITIL
Los beneficios de la Gestión de Servicio de TSI deben identificarse para justificar la
implementación de los procesos correspondiente.
Ventajas de ITIL para el cliente/usuario:
La provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del
servicio mejoran la relación entre el departamento TSI y el cliente.
Se describen mejor los servicios, en el lenguaje máscómodo para el cliente y con mejores
detalles.
Se manejan mejor la calidad y el coste del servicio.
Mejora la comunicación con la organización TSI al acordar los puntos de contacto.
Ventajas de ITIL para la organización:
La organización TSI desarrolla una estructura más clara, se vuelve más eficaz y se centra
más en los objetivos corporativos.
6. NORMA UNE-ISO/IEC 20000
Pasos para su implementación
En el caso de la seguridad informática, es una opinión generalizada que la seguridad media
alcanzada por la mayoría de las organizaciones está por debajo de las expectativas, hecho que
encuentra un motivo fundamental en la aplicación individual de estos productos y su baja o escasa
integración con el resto de medidas de gestión de la organización.
La gran variedad de personas que participan en los procesos de una entidad junto con los fallos
reiterados en la transmisión de información en las distintas fases pueden encontrarse entre los
principales causantes de la baja respuesta a las expectativas creadas.
Importantes barreras para comenzar a implantar una política real de gestión de la seguridad de la
información son la inercia y la cultura, barreras que son imprescindibles considerar en cada
decisión que se tome.
A estas alturas, y a partir de la experiencia en la implantación de otros sistemas de gestión que
comenzaron antes su aceptación por la industria, ya no es cuestionable que aportan, entre otros,
los siguientes beneficios:
Ante el mercado:
Favorece su desarrollo
Afianza la posición de la organización.
Potencia la imagen de marca.
Constituye un factor competitivo respecto a la competencia.
Permite superar barreras técnicas.
Ante los clientes:
Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la
prestación de servicios que satisfacen sus necesidades y expectativas.
Se mejora la comunicación con el cliente (empresas, particulares, etc.)
Mayor confianza al cliente (empresas, particulares, etc.)
Aumento de la satisfacción del cliente (empresas, particulares, etc.)
Ante la gestión de la organización:
Conocimiento y depuración de los procesos internos.
Mejora de los procesos y de los servicios prestados.
Ahorro de tiempo y de recursos necesarios.
Mejor gestión de los recursos.
Estímulo para entrar en un proceso de mejora continúa.
Todos estos beneficios se obtienen en la implantación de un sistema de gestión de la seguridad y
la información que, como veremos más adelante, conforma aumenta la madurez de la
organización, estará totalmente integrado con otros sistemas de gestión que tenga implantados y
con los procesos de negocio de la misma; no debe entenderse a medio plazo como algo adicional
sino algo embebido y propio de la forma de trabajo de cada entidad.
7. En los procesos de negocio de una organización intervienen multitud de agentes con funciones
claramente diferenciadas pero interrelacionadas entre sí; resulta fundamental identificarlas con el
fin de valorar su aportación a las características deseadas del producto o servicio final entre ellas
las relativas a la seguridad de la información.
Un sistema de calidad implica la creación continua de valor para el cliente, la optimización de los
procesos y el desarrollo del potencial humano de la organización.
NORMA ISO/IEC 27001
Primero vamos a concretar el objeto y el campo de aplicación de la misma:
“Esta norma internacional especifica los requisitos para establecer, implantar, poner en
funcionamiento, controlar revisar, mantener y mejorar un SGSI documentado dentro del contexto
global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación
de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales
o partes de las mismas”.
El concepto de gestión del sistema cubre comenzando por el establecimiento, la
implantación, la puesta en funcionamiento, la revisión, el mantenimiento y la mejora de
dicho sistema.
Para poder estructurar los procesos del SGSI, esta norma adopta el modelo PDCA “Plan-Do-
Check-Act” o “Planificar-Hacer-Comprobar y Actuar”.
-Definir política de seguridad. -Implantar plan de gestión de
riesgos.
-Establecer el alcance del al SGSI
-Implantar el SGSI
-Realizar análisis de riesgos.
-Implantar a los controles.
-Seleccionar los controles.
ISO/IEC 17799:2905 “D”
“P”
-Adoptar las acciones correctivas.
-Revisar Internamente el SGSI.
-Adoptar las acciones preventivas.
-Realizar auditorías internas del
SGSI.
“A”
“C”
8. Establecimiento y gestión del SGSI
La organización debe comenzar por definir el alcance del sistema de gestión, es decir, a que partes
del negocio de la organización aplica, derivado de esta definición los emplazamientos de la
organización a los que incluye, los activos, la tecnología, las áreas, el personal, asi como las
exclusiones que admite.
Definir la política de SGSI, que será el marco para el establecimiento de los objetivos de la
dirección de la organización y los principios de actuación para proteger la información. Unos de los
factores clave para que esta política se pueda hacer realidad es el que refleje los objetivos del
negocio, asi como el que este en línea con la estrategia de gestión global de la organización.
Después de esto se tiene que hacer una serie de actividades relacionadas con los riesgos. Se
comienza por definir la metodología para la valoración de riesgo conforme al alcance y política
del SGSI y que será la que se utilice como criterio para establecer el nivel aceptable del riesgo. La
siguiente fase es la identificación de los riesgos, en los que a activo, amenaza, vulnerabilidad e
impacto se refiere, para después elaborar un análisis y evaluación de dichos riesgos, que
desembocara en la identificación de los diferentes tratamiento del riesgo para llegar al objetivo
perseguido en esta primera etapa de selección de los controles y objetivos de los mismos que
posibilitaran dicho tratamiento.
Implantación y puesta en marcha del SGSI
El primer paso es elaborar un plan de tratamiento del riesgo, después hay que implementarlo, a
través de la implantación de los controles que se hayan seleccionado.
Una importante labor a llevar a cabo es el poder medir la eficacia de dichos controles, que
posibilitara conocer la eficacia de cada control y obtener unos resultados comparables y
reproducibles.
Es vital crear programas de formación y concienciación en todas estas acciones para el
personal de la organización, tanto el personal interno como el subcontratado. Estos programas
posibilitaran la integración de la cultura de la seguridad en la actividad cotidiana de cada
trabajador.
Conclusión: Es en esta fase donde hay que implantar procedimientos y controles que hagan
posible la detección de incidencia de seguridad y la respuesta “rápida” a estos incidentes.
Control y evaluación del SGSI
Después de pasar por las fases anteriores se podría decir que ya se cuenta con el núcleo del
SGSI, pero no podrá aprovechar los beneficios que este sistema va a proporcionar a su negocio a
no ser que implante una serie de procedimientos para el control y revisión de lo hecho hasta
ahora. Esto derivará en la puesta en marcha de una serie de revisiones regulares sobre la eficacia
del SGSI, a partir de los resultados de las auditorias de seguridad y de las mediciones, que
tienen como fin el verificar que se están cumpliendo los requisitos de seguridad.
9. Objetivos
Planificar Mejora continua Verificar
Ejecutar
Proceso de Mejora
La COBIT es un marco de referencia que entrega un modelo de procesos y un lenguaje común
para que cada quién en la organización pueda visualizar y gestionar las actividades de la TI:
Planificar y Organizar (PO)
Este dominio abarca la estrategia y la táctica, y su preocupación es identificar las maneras como
las TI muden contribuir, de la mejor forma posible, al logro de los objetivos de negocios de la
empresa. La ejecución de la visión estratégica requiere de planificación, difusión y gestión para
diferentes perspectivas. Una organización adecuada y una plataforma tecnológica acorde son
necesarias.
De modo que en este dominio típicamente se tratan las siguientes interrogantes.
¿Están las TI alineadas con la estrategia de negocios?
¿Está la empresa utilizando a un nivel óptimo sus recursos informáticos?
¿Entiende todo el mundo de la empresa los objetivos de las TI?
¿Son comprendidos los riesgos TI y son debidamente gestionados?
¿Es la calidad de los sistemas informáticos adecuados a las necesidades del negocio?
Este dominio considera los procesos:
PO1 Define a strategic IT plan.
PO2 Define the information architecture.
PO3 Determine technological direction.
PO4 Define the IT processes, organisation and relationships.
PO5 Manage the IT investment.
PO6 Communicate management aims and direction.
PO7 Manage IT human resources.
PO8 Manage quality.
PO9 Assess and manage IT risks.
10. PO10 Manage projects.
Adquirir e Implementar (AI)
Para materializar la estrategia TI, las soluciones TI necesitan ser identificadas, desarrolladas o
adquiridas, como asimismo es necesario implementarlas e integrarlas a las procesos de negocios.
Adicionalmente, todo sistema requiere de cambios y mantenimiento para asegurarse que durante
su operación continua satisfaciendo los requerimientos del negocio. Para este dominio surgen las
preguntas:
¿Los nuevos proyectos tienen el potencial para entregar soluciones que satisfagan las
necesidades del negocio?
¿Es factible que los nuevos proyectos se ejecuten de acuerdo a los plazos y presupuestos
convenidos?
¿Los nuevos sistemas operaran adecuadamente una vez implementados?
¿Los cambios podrán hacerse sin poner en riesgo la operación del negocio?
Este dominio considera los procesos:
AI1 Identify automated solutions.
AI2 Acquire and maintain application software.
AI3 Acquire and maintain technology infrastructure.
AI4 Enable operation and use.
AI5 Procure IT resources.
AI6 Manage changes.
AI7 Install and accredit solutions and changes.
Proveer y Soportar (DS)
Este dominio tiene que ver con la entrega de los servicios que son requeridos, esto incluye: la
provisión del servicio, la gestión de seguridad y continuidad, el soporte a los usuarios, la
administración de los datos y la gestión de las instalaciones de plataforma tecnológica. Para estos
efectos es necesario formularse las preguntas siguientes:
¿Se están proveyendo los servicios TI de acuerdo con las prioridades del negocio?
¿Están los costos de TI optimizados?
¿Está en condiciones la fuerza de trabajo de utilizar los sistemas TI productivamente y con
seguridad?
¿Se maneja adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas
TI?
Este dominio considera los procesos:
DS1 Define and manage service levels.
DS2 Manage third-party services.
DS3 Manage performance and capacity.
11. DS4 Ensure continuous service.
DS5 Ensure systems security.
DS6 Identify and allocate costs.
DS7 Educate and train users.
DS8 Manage service desk and incidents.
DS9 Manage the configuration.
DS10 Manage problems.
DS11 Manage data.
DS12 Manage the physical environment.
DS13 Manage operations.
Monitorear y Evaluar (ME)
Todos los procesos TI necesitan periódicamente que se verifique mediante controles su calidad y
conformidad. En este dominio se tratan la gestión de performance, el monitoreo de los controles
internos, la regulaciones que tiene que ver la conformidad y la gobernabilidad. Las preguntas
típicas de este dominio son:
¿Los sistemas de medición de performance TI permiten detectar a tiempo los problemas?
¿La gestión asegura que los controles internos son efectivos y eficientes?
¿Puede la performance TI relacionarse con los objetivos de negocios?
¿Están siendo medidos e informados los riesgos, el control, la conformidad y la
performance?
Este dominio considera los procesos:
ME1 Monitor and evaluate IT performance.
ME2 Monitor and evaluate internal control.
ME3 Ensure regulatory compliance.
ME4 Provide IT governance.
ISO 17799:2000
La norma británica (BS 7799-1) fue elevada a norma ISO (International Standards Organization)
por el procedimiento de fast track convirtiéndose en la norma ISO 17799:2000.
En nuestro país la norma ISO 17799:2000 es traducida y adoptada como norma UNE publicándose
en 2002 como UNE ISO 17799:2002.
Cuando se habla de información en el entorno de la seguridad nos referimos a aquellos activos de
información que la empresa utiliza para sus funciones y necesita proteger. La información de la
empresa debe protegerse tanto en su generación, entrada, tratamiento, modificación,
almacenamiento, comunicación y destrucción. La información se puede encontrar en formato
digital, pero también en soporte de papel, imágenes, etc. Todos esos aspectos tienen que vigilarse
cuando hablamos de seguridad de la información.
Realmente un SGSI es una estructura organizativa, técnica y procedimental que persigue la
seguridad de la información a través de un ciclo de análisis de la situación, aplicación de controles,
revisión del funcionamiento y la aplicación permanente de mejoras o correcciones. Es lo que
comúnmente se conoce como el ciclo PDCA (Plan, Do, Check, Act) aplicado a la seguridad de la
información, que permite adaptarse a los cambios en la organización y la mejora continua.
12. Habitualmente se relaciona la norma ISO 17799 con los SGSI, la norma ISO 27001:2005 que da
las especificaciones para los SGSI. Esta norma se dirige hacia la ISO 17799:2005 para seleccionar
los controles adecuados para alcanzar los niveles de seguridad exigidos, por lo que ambas están
relacionadas.
Como conclusión los SGSI utilizan la norma ISO 17799:2005 como herramientas para conseguir la
seguridad definida en la empresa, pero no es en si misma una norma certificable.
La norma ISO 17799 es un conjunto de las recomendaciones sobre qué medidas tomar en la
empresa para asegurar los Sistemas de Información. La norma surge de la necesidad de las
empresas de garantizar el funcionamiento seguro de los Sistemas de Información garantizado la
confidencialidad, integridad y disponibilidad de la información. Esto no es más que gestionar los
riesgos de la empresa. Cuando se recogen recomendaciones en una norma como la ISO 17799,
realmente se están mostrando los objetivos de seguridad que debe tener en cuenta una
organización para tener sus riesgos dentro de unos niveles aceptables.
La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de
empresa y cualquier país.
Las 12 secciones de la norma agrupadas por temáticas o campos sobre los que enfocan sus
objetivos: Análisis de Riesgos, Política de Seguridad, Seguridad de R.H., Seguridad física,
Organización de la seguridad, Gestión de activos, Comunicaciones y operaciones, Control de
acceso, Compras Desarrollo y Mantenimiento de sistemas, Conformidad legal, Plan de Continuidad
de Negocio, Gestión de incidentes de seguridad.
Recomendaciones:
Realizar un análisis de riesgos formal en la organización.
Realizar el análisis de riesgos en base a una metodología documentada y aprobada
formalmente.
El análisis de riesgos debe contemplar los activos, vulnerabilidad, las amenazas, los
impactos y la evaluación del riesgo.
Incluir en el análisis de riesgos todos los activos incluidos en el alcance del SGSI y
considerar las relaciones externas.
Aprobar por la dirección los riesgos residuales
Establecer criterios formales para clasificar el riesgo.
Establecer una clasificación de riesgos y aprobar por la dirección las decisiones sobre cada
uno de ellos (asumir, reducir, eliminar o transferir).
Los riesgos deben quedar a un nivel aceptado por la dirección.
Tener en cuenta principios de proporcionalidad en la selección de controles considerando
todos los costes asociados.
Cada control debe tener asociada una forma objetiva de verificar su eficacia.
Las políticas de seguridad dan el marco sobre el que debe desarrollarse el Sistema de Gestión de
Seguridad de la Información y debe ser coherente con la gestión del riesgo aprobada por la
dirección en la sección anterior.
Además de los controles técnicos que se presentan en la sección anterior, la norma presta
atención de forma particular al control de acceso lógico a la red. Hay que establecer
13. procedimientos formales para controlar la asignación de derechos de acceso a los sistemas y
servicios informáticos.
Controles recomendados: Registro de usuarios, gestión de privilegios, gestión de contraseñas de
usuario, revisión de los derechos de acceso de los usuarios.
Es imprescindible analizar las necesidades respecto a la seguridad de los sistemas de información.
La seguridad de las aplicaciones que dan soporte al negocio puede ser crucial para su éxito, por lo
tanto las necesidades de seguridad deben identificarse y acordarse previamente al desarrollo de
los sistemas informáticos.
COSO
En la primera versión de COSO se definía el control interno de la siguiente forma: “El control
interno es un proceso, ejercido por el consejo de administración de la entidad, los gestores y otro
personal de la organización, diseñado para proporcionar seguridad razonable respecto a la
consecución de los objetivos en las siguientes categorías: Efectividad y eficiencia de las
operaciones, Confiabilidad de la información financiera, Cumplimiento con leyes y regulaciones.
COSO se define formalmente como la gestión de riesgos empresariales es un proceso, ejercido por
el consejo de administración de la entidad, los gestores y otro personal de la organización, como
una disposición estratégica en toda la organización, diseñada para identificar potenciales eventos
que puedan afectar a la entidad y proporcionar una seguridad razonable respecto a la consecución
de los objetos de la entidad.
La consecución de objetivos de ERM se cataloga en cuatro líneas o categorías principales:
Estratégica (Strategic): Comprende los objetivos más generales de la organización que
soportan o están alineados con la misión de la misma.
Operativa (Operational): Comprende el uso eficiente y eficaz de los recursos y activos.
Reporte (Reporting): Relativa a la confiabilidad de los flujos de información y el reporte.
Cumplimiento (Compliance): Comprende el cumplimiento con la legislación y regulación.
Estos cuatro objetivos de alto nivel normalmente tendrán sentido en todas las organizaciones,
organismos o compañías, sin embargo el modelo COSO no es cerrado y admite perfectamente su
modificación.
Adicionalmente a estos objetivos COSO establece un conjunto de siete componentes que se
enumeran a continuación:
Ambiente interno (Internal Environment)
Establecimiento de objetivos (Objetive setting)
Evaluación del riesgo (Risk Assesment)
Respuesta al riesgo (Risk Response)
Actividades de control (Control activities)
Información y Comunicación (Information & Comunication)
Supervisión (Monitoring)
El informe COSO no establece que los diferentes componentes tengan que ser aplicados en un
orden de concreto, sin embargo como guía de referencia se establece un orden lógico en la
secuenciación de los componentes:
14. Ambiente interno
Establecimiento de objetivos
Evaluación de riesgo
Actividades de control
Información y comunicación
Supervisión
Para completar en modelo COSO existe una tercera dimensión referida al ámbito de aplicación.
Según el modelo de referencia esta tiene cuatro niveles:
Entidad (Entity-Level): Relativo a una organización concreta en su conjunto siendo el más
alto nivel)
División (División): Comprende un conjunto de actividades relacionadas como negocios,
líneas de producto, etc.
Unidad (Bussines unit): Elemento considerado unitario en la organización empresarial
encargado de una función de una función producto o misión concreta.
Subsidiaria (Subsidiary): Organización dependiente de la organización principal. Esta
separación cobra especial importancia en el reporte financiero.
Además del modelo y los conceptos presentados en las secciones anteriores COSO ofrece de una
visión detallada de los siete componentes de ERM con recomendaciones y sugerencias para
gestión el ERM.
El informe COSO establece que la responsabilidad de la gestión de riesgos empresariales y control
interno es responsabilidad de todos los miembros de la organización. Se recomienda el uso del
informe de diferentes formas por las distintas posiciones, cargos y funciones que las personas o
grupos desempeñan en la organización o fuera de ella.
A continuación se presentan los beneficios que la experiencia en la implantación del modelo ha
traído a las organizaciones. También se comentaras algunos mitos existentes en torno a su
aplicación:
Es un “cúralo-todo” con el que se pueden tomar decisiones basados en información 100%
confiable y basada en información sin margen de error.
Solo sirve para catalogar o tomar inventario de todos los riesgos que afectan a una
organización.
Ofrece un sistema por el cual los resultados de una auditoria son infalibles.
ERM versa sobre asuntos financieros y seguros.
Se trata un proceso independiente y aislado del resto de la organización.
Es un modelo muy costoso de implementar estando solo al alcance de grandes
organizaciones.
Respecto a los beneficios, COSO promete las siguientes mejoras:
15. Alinea la tolerancia al riesgo y la estrategia.
Relaciona crecimiento, riesgo y retorno de la inversión.
Amplía las decisiones de respuesta al riesgo.
Identifica y gestiona riesgos en los distintos niveles de la entidad.
Proporciona respuestas integradas a los múltiples riesgos.
Tiene en cuenta las oportunidades para aprovecharlas estratégicamente.
Es garante del gobierno corporativo informando al consejo y a los gestores sobre los
riesgos estableciendo supervisión.
Ayuda a organizaciones a lograr objetivos y evitar pérdidas.
Mejora los sistemas de reporte.
Ayuda a asegurar el cumplimiento con leyes y reglamentos.
COSO & COBIT
La versión más reciente de COBIT está enfocada al gobierno de TSI desde los siguientes focos de
actuación:
Alineamiento estratégico: Centrado en asegurar la ligación entre los planes y operaciones
de TSI con los de la entidad.
Entrega de valor: Comprende la ejecución del valor aportado por las TSI respondiendo con
beneficios a las expectativas reduciendo costes y aportando un valor intrínseco.
Gestión de recursos: Atiende a la utilización eficiente y efectiva de los recursos de TSI.
Gestión del riesgo: Requiere la concienciación del riesgo por parte de los gestores, la
comprensión de la tolerancia al riesgo y las acciones para su gestión de forma
transparente.
Medición de desempeño: Comprende todos los procesos de medición realizados para
realizar seguimiento de los objetivos y del alineamiento estratégico.
ITIL & LA NORMA UNE-ISO/IEC 20000
ITIL consta de un conjunto de libros publicados por la OGC, que permiten mejorar la calidad de los
servicios de TSI que presta una organización a sus clientes.
Gestión de la Infraestructura TSI: En las organizaciones actuales, las infraestructuras de TSI son la
base sobre las que se construyen los servicios del negocio. Los principales procesos de la
Infraestructura TSI son:
Diseño y Planificación: Interesado en la creación y/o mejora de la solución de TSI.
Despliegue: Interesado en la implementación y extensión del negocio y/o solución de TSI
según se diseñó y planifico, con mínima interrupción en los procesos del negocio.
Operaciones: Interesado en el mantenimiento diario de la infraestructura de TSI. Tiene en
cuenta en todas las actividades y medidas para permitir y/o mantener el uso pretendiendo
de la infraestructura TSI.
Soporte Técnico: Interesado con la estructura y apuntalamiento de otros procesos para
garantizar los servicios entregados por la gestión de la infraestructura de TSI.
16. TIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organización
TSI. Sin embargo, ITIL no brinda una descripción específica de la forma en la que se deben
implantar estas actividades. ITIL ofrece un marco de trabajo para planificar los proceso, los roles y
las actividades más comunes, indicando los nexos entre ellos y los flujos de comunicación
necesarios.
Los objetivos de Gestión de Configuración son;
Contabilizar todos los activos y configuraciones de TSI dentro de la organización y sus
servicios.
Proporcionar información exacta de las configuraciones y su documentación para soportar
el resto de procesos de Gestión del Servicios.
Proporcionar una base sólida para la Gestión del Incidente, la Gestión del Problema, la
Gestión del Cambio y la Gestión de la Entrega,
Verificar los registros de configuración frente la infraestructura y corregir cualquier
excepción.
Las actividades básicas de gestión de configuración son: la selección e identificación de las
estructuras de configuración para todos los elementos de configuración; el control que asegura que
solo los elementos de configuración autorizados e identificables se aceptan y registran; la
contabilidad del estado que informa de todos los datos históricos y reales relativos a cada elemento
de configuración.
Los objetivos de la Gestión de la Entrega son:
Planificar y supervisar el despliegue satisfactorio del software y del hardware relacionado.
Diseñar e implementar procedimientos eficientes para distribuir e instalar los cambios a los
sistemas TSI.
Comunicar y gestionar las expectativas del cliente durante la planificación y despliegue de
las nuevas versiones.
Implantar nuevas versiones de software y hardware en el entorno operativo, utilizando los
procesos de Gestión de Configuración y Gestión del Cambio.
Se define un servicio como uno o más sistemas de TSI que permiten un proceso del negocio.
Puede ser una buena idea definir una jerarquía de servicios dentro del Catálogo de Servicios.
BENEFICIOS DE ITIL
Los beneficios de la Gestión de Servicio de TSI deben identificarse para justificar la
implementación de los procesos correspondiente.
Ventajas de ITIL para el cliente/usuario:
La provisión de servicios TSI se orienta más al cliente y los acuerdos sobre la calidad del
servicio mejoran la relación entre el departamento TSI y el cliente.
Se describen mejor los servicios, en el lenguaje más cómodo para el cliente y con mejores
detalles.
Se manejan mejor la calidad y el coste del servicio.
Mejora la comunicación con la organización TSI al acordar los puntos de contacto.
17. Ventajas de ITIL para la organización:
La organización TSI desarrolla una estructura más clara, se vuelve más eficaz y se centra
más en los objetivos corporativos.
La dirección tiene más control y los cambios resultan más fáciles de manejar.
Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada la
externalización de algunos de los elementos de los servicios TSI.
NORMA UNE-ISO/IEC 20000
ISO/IEC está formada por dos partes, cuyo título general es el mismo, Tecnologías de la
Información – Gestión del Servicio, y que forma específica se denominan, Parte 1: Especificación
(ISO/IEC 20000-1, 2006) y Parte 2: Código de Practicas (ISO/IEC 20000-2, 2006). Estas normas
pueden ser utilizadas por organizaciones que desarrollen herramientas, productos y sistemas de
gestión del servicio.
UNE-ISO/IEC 20000-1
La norma UNE-ISO/IEC 20000 proporciona una lista de objetivos y controles para cada uno de
estos procesos, pero no es exhaustiva, por lo que una organización podría considerar el añadir
objetivos y controles adicionales para cumplir con sus necesidades de negocio.
Se aplica la metodología Planificar, Realizar, Comprobar y Actuar:
Planificar: Establecer la planificación de la gestión del servicio, incluyendo los objetivos que
debe alcanzar la gestión de servicio.
Realizar: Implementar los objetivos y el plan de gestión del servicio para proveer y
gestionar los servicios.
Comprobar: Monitorizar, medir y revisar que los objetivos de gestión del servicio y la
ejecución del cumplimiento del plan cumplen con el plan de gestión del servicio, incluyendo
el programa de auditorías.
Actuar: Mejorar la eficacia y eficiencia de la entrega y la gestión del servicio.
18. CONCLUSIÓN
Esperamos que con este trabajo se haya logrado el objetivo que era que le
quedara claro para que sirve cada una de las norma, cual es mas viable para
implementarse en cada pyme, los beneficios que tienen, asi como las ventajas y
desventajas que da cada una de las normas, cual debería de implementarse y cual
no, cual le convienen a las pymes para lograr un objetivo planteado.
En conclusión:
ISO 27001 es una norma donde viene desglosado y estructurado correctamente
pero esta específicamente diseñada para los riesgos de los sistemas de
información por el contrario COBIT 4.0 no solo toma el tema de los riesgos sino
que estámás compleja su formulación hacia los sistemas de información.
ITIL es una biblioteca que sirve para mejorar los servicios de las tecnologías de
sistemas de información que tiene una organización a sus clientes. Por su parte
COSO se define formalmente como la gestión de riesgos empresariales en un
proceso, ejercido por el consejo de administración de la entidad, los gestores y
otro personal de la organización, como una disposición estratégica en toda la
organización, diseñada para identificar potenciales eventos que puedan afectar a
la entidad y proporcionar una seguridad razonable respecto a la consecución de
los objetos de la entidad.
NORMA UNE-ISO/IEC 20000muy en el caso de la seguridad informática, es una
opinión generalizada que la seguridad media alcanzada por la mayoría de las
organizaciones está por debajo de las expectativas, hecho que encuentra un
motivo fundamental en la aplicación individual de estos productos y su baja o
escasa integración con el resto de medidas de gestión de la organización.
Legamos a la conclusión de que las mejores normas para implantarse en una
pyme son la ISO 27001, COBIT, ISO 17799 y la UNE-ISO/IEC 20000.