Este documento presenta un resumen de estándares de seguridad de la información utilizados en México, incluyendo ISO/IEC 27001 e ISO 17799. ISO/IEC 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información, mientras que ISO 17799 proporciona un código de buenas prácticas para la seguridad de la información de una organización. El documento también discute el contexto mexicano y algunas normas comúnmente usadas para regular la seguridad de

1. Universidad Veracruzana
Facultad de Administración de Empresas
Experiencia Educativa:
Administración de las tecnologías de Información
Tema:
“Ensayo de estándares en el contexto mexicano”
Realizado por:
Flores Ruano Eva Patricia
Mata Barradas Ana Emilia
Ordoñez Lorenzo Gabriela
Vidal Sánchez María del Carmen
Fecha de entrega:
Jueves 1 de Diciembre del 2011

2. Introducción:
Se entiende por seguridad de la información a todas aquellas medidas preventivas
y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que
permitan resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e Integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de
seguridad informática, ya que este último sólo se encarga de la seguridad en el
medio informático, pudiendo encontrar información en diferentes medios o formas.
Para el hombre como individuo, la seguridad de la información tiene un efecto
significativo respecto a su privacidad, la que puede cobrar distintas dimensiones
dependiendo de la cultura del mismo.
En la seguridad de la información es importante señalar que su manejo está
basado en la tecnología y debemos de saber que puede ser confidencial: la
información está centralizada y puede tener un alto valor. Puede ser divulgada,
mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la
pone en riesgo. La información es poder, y según las posibilidades estratégicas
que ofrece tener a acceso a cierta información, ésta se clasifica como:
Crítica: Es indispensable para la operación de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas.
Además, la seguridad de la información involucra la implementación de estrategias
que cubran los procesos en donde la información es el activo primordial. Estas
estrategias deben tener como punto primordial el establecimiento de políticas,
controles de seguridad, tecnologías y procedimientos para detectar amenazas que
puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir,
que ayuden a proteger y salvaguardar tanto información como los sistemas que la
almacenan y administran. La seguridad de la información incumbe a gobiernos,
entidades militares, instituciones financieras, los hospitales y las empresas
privadas con información confidencial sobre sus empleados, clientes, productos,
investigación y su situación financiera.

3. Contexto mexicano:
¿Qué normas son usadas en nuestro país?
Dentro de cualquier empresa la información es un recurso vital, producido
por los sistemas de información. Las organizaciones utilizan también otros
recursos como materiales, materias primas, energía y recursos humanos, todos
ellos sujetos a cada vez mayores restricciones en su uso y crecimiento, debido a
problemas de escasez y, por tanto, de coste.
Debe considerarse que un sistema de información no tiene porqué ser
asociado a los sistemas informáticos, con los que muchas veces se les confunde.
Por el contrario, un sistema de información puede ser una persona, un
departamento, toda la empresa (o al menos toda parte o elemento de la empresa,
o relación entre los mismos, que trate con información). El Sistema de Información
comprende, pues, planificación, recursos humanos y materiales, objetivos
concretos a corto, medio y largo plazo, etc., aunque también tecnología y técnicas.
Con los adelantos tecnológicos actuales, sobre todo en las tecnologías de
información, es casi imposible que una empresa no haga uso de la información
para el desarrollo de sus actividades cotidianas; tan solo tener la información
adecuada de un estado financiero no necesariamente en computadoras
demuestra que es necesaria la información para todo tipo de actividades y si a
esto le agregamos el uso de computadoras como herramientas junto con sistemas
capaces de ofrecernos la información en forma rápida, ordenada, y concreta,
además que la Internet se ha vuelto tan importante y popular para cualquier tipo
de persona como para cualquier tipo de empresa sabiendo de antemano que la
información es vital en todos los aspectos, muchas empresas emplean Internet
como medio de información con sus posibles consumidores, proveedores, socios.
Es por ello que la información es de gran importancia para una
organización, por lo cual debe ser protegida mediante un estándar de
normas que regulen su seguridad.
Una norma de seguridad define qué hay que proteger y en qué condiciones,
pero para situaciones más concretas. Sirven para establecer unos requisitos que
se sustentan en la política y que regulan determinados aspectos de seguridad.
Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden
agrupar en base a las diferentes áreas de la seguridad dentro de la organización:
normas de seguridad física, normas de control de acceso a sistemas, normas de
gestión de soportes, normas de clasificación de información, etc.

4. A continuación se enlistan algunas normas que se encuentran en nuestro
país para regular la seguridad en los sistemas de la información:
ISO/IEC 27001
El estándar para la seguridad de la información ISO/IEC 27001 (Information
technology - Security techniques - Information security management systems -
Requirements) fue aprobado y publicado como estándar internacional en octubre
de 2005 por International Organization for Standardization y por la comisión
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el
conocido “Ciclo deDeming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en
ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-
2:2002, desarrollada por la entidad de normalización británica, la British Standards
Institution (BSI).
La certificación de un SGSI es un proceso mediante el cual una entidad de
certificación externa, independiente y acreditada audita el sistema, determinando
su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y,
en caso positivo, emite el correspondiente certificado.
Antes de la publicación del estándar ISO 27001, las organizaciones
interesadas eran certificadas según el estándar británico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la
certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su
recertificación trienal, puesto que la certificación BS 7799-2 ha quedado
reemplazada.
Su implantación ISO/IEC 27001 en una organización es un proyecto que
suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez
en seguridad de la información y el alcance, entendiendo por alcance el ámbito de
la organización que va a estar sometido al Sistema de Gestión de la Seguridad de
la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda
de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma
rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias
de las normativas legales de protección de datos (p.ej., en España la conocida
LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto

5. 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de
Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la
información mediante la aplicación de las buenas prácticas de ISO/IEC 27002,
partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por
representantes de todas las áreas de la organización que se vean afectadas por el
SGSI, liderado por la dirección y asesorado por consultores externos
especializados en seguridad informática generalmente Ingenieros o Ingenieros
Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y
sistemas de gestión de seguridad de la información (que hayan realizado un curso
de implantador de SGSI).
ISO 17799
La norma UNE/ISO/IEC 17799 es un código de buenas prácticas para
gestionar la seguridad de la información de una organización, de tal forma que le
permita en todo momento la confidencialidad, integridad y disponibilidad de la
información que maneja. La creación de esta norma responde a la necesidad de
proporcionar una base común, a las organizaciones, de normas y
recomendaciones desde la triple óptica técnica, organizativa y jurídica, y cuyo
cumplimiento implique mediante una acreditación que dicha organización
mantiene una infraestructura y un esquema de funcionamiento que garantizan la
seguridad de la información que manejan.
Esta norma tiene su origen en el British Standard BS 7799. Esta norma
británica está constituida por un código de buenas prácticas y un conjunto de
controles o requerimientos que han sido adoptados por numerosas empresas a
nivel mundial con el objeto de conseguir una certificación en seguridad de la
información por parte de BSI (British Standard Institute) a través de la cual pueden
acreditar frente a terceros (clientes, proveedores...etc) que la empresa maneja su
información de forma segura, fijándose de este modo un criterio que determina la
confianza en la entidad. La primera parte del BS 7799 (Part I) fue propuesta como
un estándar ISO en octubre de 1999. Su aprobación se produjo en octubre del año
siguiente, de forma tal que en diciembre del año 2000 fue publicado el ISO/IEC
17799. Esta norma constituye un código de buenas prácticas sin que sea posible
obtener una certificación en base a sus disposiciones, puesto que todavía no ha
sido aprobado la segunda parte de esta norma ISO.

6. En España se tomó la iniciativa de desarrollar una norma a través de la
cual, las empresas españolas puedan obtener una certificado similar al del BSI. En
este sentido, el organismo encargado de desarrollar una norma equivalente al
ISO/ IEC 17799 en nuestro país es AENOR a través del Subcomité 27 de
Seguridad de la Información, dependiente del Comité Técnico de Normalización
(CTN 71). De este modo, en diciembre del 2002 fue publicada la UNE 71501, esta
primera parte es el fiel reflejo de la BS 7799 (Parte 1) y de la ISO / IEC 17799
(Parte I), constituyendo en sí misma un código de buenas prácticas cuyo objetivo
es servir como instrumento a las empresas para gestionar la seguridad de la
información.
COSO
El Committee of Sponsoring Organizations of Treadway Commission
(COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su
objetivo principal es identificar los factores que causan informes financieros
fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha
establecido una definición común de controles internos, normas y criterios contra
los cuales las empresas y organizaciones pueden evaluar sus sistemas de control.
COSO está patrocinado y financiado por cinco de las principales
asociaciones e institutos profesionales de contabilidad: American Institute of
Certified Public Accountants (AICPA), American Accounting Association (AAA),
Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The
Institute of Management Accountants (IMA).
El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a
modelos anteriores (CoCo de 1995 y COSO de 1992/94).
Existe una relación directa entre los objetivos que la entidad desea lograr y
los componentes de la gestión de riesgos corporativos, que representan lo que
hace falta para lograr aquellos. La relación se representa con una matriz
tridimensional, en forma de cubo.
Las cuatro categorías de objetivos (estrategia, operaciones, información y
conformidad) están representadas por columnas verticales, los ocho componentes
lo están por filas horizontales y las unidades de la entidad, por la tercera
dimensión del cubo.

7. Desde este enlace se puede acceder a la lista completa de publicaciones
que incorpora.Información adicional en el informe ejecutivo y marco general de la
norma.
COSO se puede combinar con CobiT o con ITIL como modelo de control
para procesos y gestión TI.
COSO está teniendo una difusión muy importante en relación a la conocida
como Ley Sarbanes-Oxley. No se trata de un marco o estándar específico de
seguridad de la información pero, por el impacto que está teniendo en muchas
empresas y por sus implicaciones indirectas en la seguridad de la información,
conviene mencionarlo en esta sección.
COBIT
La evaluación de los requerimientos del negocio, los recursos y procesos
IT, son puntos bastante importantes para el buen funcionamiento de una
compañía y para el aseguramiento de su supervivencia en el mercado.
El COBIT es precisamente un modelo para auditar la gestión y control de
los sistemas de información y tecnología, orientado a todos los sectores de una
organización, es decir, administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.
Las siglas COBIT significan Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas (Control Objectives for Information
Systems and related Technology). El modelo es el resultado de una investigación
con expertos de varios países, desarrollado por ISACA (Information Systems Audit
and Control Association).
La estructura del modelo COBIT propone un marco de acción donde se
evalúan los criterios de información, como por ejemplo la seguridad y calidad, se
auditan los recursos que comprenden la tecnología de información, como por
ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se
realiza una evaluación sobre los procesos involucrados en la organización.
El COBIT es un modelo de evaluación y monitoreo que enfatiza en el
control de negocios y la seguridad IT y que abarca controles específicos de IT
desde una perspectiva de negocios.
“La adecuada implementación de un modelo COBIT en una organización,
provee una herramienta automatizada, para evaluar de manera ágil y consistente
el cumplimiento de los objetivos de control y controles detallados, que aseguran
que los procesos y recursos de información y tecnología contribuyen al logro de

8. los objetivos del negocio en un mercado cada vez más exigente, complejo y
diversificado”, señaló un informe de ETEK.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha
cambiado la forma en que trabajan los profesionales de tecnología. Vinculando
tecnología informática y prácticas de control, el modelo COBIT consolida y
armoniza estándares de fuentes globales prominentes en un recurso crítico para la
gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa,
incluyendo los computadores personales y las redes. Está basado en la filosofía
de que los recursos TI necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la información pertinente y confiable que
requiere una organización para lograr sus objetivos.
El conjunto de lineamientos y estándares internacionales conocidos como
COBIT, define un marco de referencia que clasifica los procesos de las unidades
de tecnología de información de las organizaciones en cuatro “dominios”
principales, a saber:
Planificación y organización
Adquisición e implantación
Soporte y Servicios
Monitoreo
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto
los aspectos de información, como de la tecnología que la respalda. Estos
dominios y objetivos de control facilitan que la generación y procesamiento de la
información cumplan con las características de efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Asimismo, se deben tomar en cuenta los recursos que proporciona la
tecnología de información, tales como: datos, aplicaciones, plataformas
tecnológicas, instalaciones y recurso humano.
“Cualquier tipo de empresa puede adoptar una metodología COBIT, como
parte de un proceso de reingeniería en aras de reducir los índices de
incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y
consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del
negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK.

9. ITIL
ITIL (Information Technologies Infrastructure Library ); Biblioteca de
Infraestructura de Tecnologías de la Información, es un conjunto de mejores
prácticas para la dirección y gestión de servicios de tecnologías de la información
en lo referente a Personas, Procesos y Tecnología, desarrollado por la OGC
(Office of Government Commerce) del Reino Unido, que cumple y
desarrolla la norma BS15000 de la BSI (British Standards Institution).
A través de las Mejores Prácticas especificadas en ITIL se hace posible
para departamentos y organizaciones reducir costos, mejorar la calidad del
servicio tanto a clientes externos como internos y aprovechar al máximo las
habilidades y experiencia del personal, mejorando su productividad.
ITIL es un conjunto de libros, cuya referencia se da en la sección Biblioteca
de este Sitio, que permiten mejorar notablemente la calidad de los servicios de
tecnologías de la información y que presta una organización a sus clientes o un
departamento a su organización.
►Existen tres niveles de certificación ITIL para profesionales:
► Foundation Certificate (Certificado Básico):
acredita un conocimiento básico de ITIL en gestión de servicios de
tecnologías de la información y la comprensión de la terminología propia de ITIL.
Está destinado a aquellas personas que deseen conocer las buenas prácticas
especificadas en ITIL. El examen para conseguir este certificado se puede hacer
en inglés, francés, español, alemán, portugués, chino, japonés y ruso.
► Practitioner's Certificate (Certificado de Responsable):
• Destinado a quienes tienen responsabilidad en el diseño de procesos de
administración de departamentos de tecnologías de la información y en la
planificación de las actividades asociadas a los procesos. Este examen sólo se
puede hacer en inglés.
► Manager's Certificate (Certificado de Director):
• Garantiza que quien lo posee dispone de profundos conocimientos en
todas las materias relacionadas con la administración de departamentos de
tecnologías de la información, y lo habilita para dirigir la implantación de
soluciones basadas en ITIL. Este examen se puede hacer en inglés, alemán y
ruso.

10. • Pese a que los exámenes de los certificados Foundation y Manager's se
pueden hacer en idiomas distintos del inglés, para superarlos es necesario
conocer la terminología inglesa de ITIL.
• Actualmente no existe certificación ITIL para empresas, sólo para
personas. Esto es importante saberlo, ya que hay empresas que aseguran estar
en posesión de tal certificado. A partir de 2006, se homologó la ISO 20000,basada
en ITIL que permite a las empresas obtener la certificación de calidad por los
servicios de IT que ofrecen.
• Grupo de usuarios ITIL itSMF es el único foro independiente reconocido
internacionalmente dedicado a la administración de servicios de tecnologías de la
información, y además de permitir intercambio de ideas y experiencias, se ha
convertido en un grupo influyente en desarrollos comerciales.
• Además coopera con ISEB, EXIN, OGC y The Stationery Office para la
elaboración de estándares en administración de servicios de las tecnologías de la
información. Los miembros de itSMF tienen acceso a una revista bimensual,
pueden participar en la especificación de nuevas buenas prácticas, participan en
grupos de discusión y acceden a áreas restringidas de la web de itSMF.
• Existe una organización internacional sin ánimo de lucro, integrada por
grupos de proveedores y usuarios, denominada itSMF (IT Service Management
Forum) que promueve y desarrolla el uso de buenas prácticas en administración
de servicios de tecnologías de la información.
ISO 20000
La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el
mundo específicamente dirigida a la gestión de los servicios de TI. La ISO 20000
fue desarrollada en respuesta a la necesidad de establecer procesos y
procedimientos para minimizar los riesgos en los negocios provenientes de un
colapso técnico del sistema de TI de las organizaciones.
ISO20000 describe un conjunto integrado de procesos que permiten prestar en
forma eficaz servicios de TI a las organizaciones y a sus clientes. La esperada
publicación de la ISO 20000 el 15 de diciembre de 2005 representa un gran paso
adelante hacia el reconocimiento internacional y el desarrollo de la certificación de
ITSM.
Hoy en día la aparición de la norma ISO 20000 está causando un aumento
considerable del interés en aquellas organizaciones interesadas en implementar

11. ITSM. Estudios revelan como dicho anhelo crecerá internacionalmente tomando
como base la reconocida certificación ISO 20000.
La implantación de la ISO 20000 le permitirá gestionar de forma óptima sus
servicios de TI, a través de la definición y el establecimiento de los procesos que
dicta la norma. La norma ISO 20000 contempla las mejores prácticas descritas en
ITIL.
La consultoría ISO 20000 incluye:
• Auditoría inicial del cumplimiento con respecto a la norma
• Análisis de procesos aplicables
• Estudio de recursos necesarios / necesidades
• Implantación de procesos ISO 20000
• Auditoría interna ISO 20000
• Formación ISO 20000
La aparición de la serie 20000 ha supuesto el primer sistema de gestión en
servicio de TI certificable bajo norma reconocida a nivel mundial. Hasta ahora, las
organizaciones podían optar por aplicar el conjunto de mejoras prácticas dictadas
por ITIL o certificar su gestión contra el estándar local británico BS 15000.
La parte 1 de la norma ISO 20000, ISO 20000-1:2005 representa el estándar
certificable. En Febrero de 2006, AENOR (organización delegada en España de
ISO/IEC) inició el mecanismo de adopción y conversión de la norma ISO 20000 a
norma UNE. En Junio de 2006, itSMF hace entrega a AENOR de la versión
traducida de la norma. En el BOE del 25 de julio de 2007 ambas partes se
ratificaron como normas españolas con las referencias o partes de la ISO 20000
mostradas en el punto anterior. Acceda a más información acerca del proceso de
certificación ISO 20000.

12. LEY SARBANES-OXLEY
La Ley Sarbanes–Oxley, la más importante regulación surgida después de los
escándalos financieros en Estados Unidos, cumplió más de cinco años desde
aplicación.
El SOX, abreviatura para Sarbanes-Oxley Act es una ley americana que ha sido
emitida en el 2002 en los Estados Unidos, para dar una respuesta firme a los
repetidos escándalos financieros que se habían producido en los años
inmediatamente anteriores. La confianza de los inversores en la información
financiera emitida por las empresas estaba muy mermada, con efectos negativos
sobre la eficiencia de los mercados de capitales. Asustados por las repercusiones
económicas que el prolongarse de esta situación hubiese podido causar, las
autoridades americanas decidieron que la mejor solución para devolver la
confianza a los inversores pasaba por endurecer los controles impuestos a las
empresas. De hecho, veremos que el SOX endurece bastante los controles que
deben existir en una empresa para la formulacion de sus cuentas anuales y otros
informes financieros que tenga que emitir.
El cuerpo legal propuesto por el diputado Michael G. Oxley y el Senador Paul S.
Sarbanes en el Congreso estadounidense tiene efectos que van mucho más allá
de la auditoría financiera propiamente tal, y sus brazos son bastante largos.
La SOX nació como respuesta a una serie de escándalos corporativos que
afectaron a empresas estadounidenses a finales del 2001, producto de quiebras,
fraudes y otros manejos administrativos no apropiados, que mermaron la
confianza de los inversionistas respecto de la información financiera emitida por
las empresas.
Así, en Julio de 2002, el gobierno de Estados Unidos aprobó la ley Sarbanes-
Oxley, como mecanismo para endurecer los controles de las empresas y devolver
la confianza perdida. El texto legal abarca temas como el buen gobierno
corporativo, la responsabilidad de los administradores, la transparencia, y otras
importantes limitaciones al trabajo de los auditores.
Las principales novedades introducidas por la nueva ley son:
El titulo 1 del SOX regula la creación y funcionamiento de un órgano que supervise
la actividad de las empresas de auditoria (Public accounting firms). Es evidente
que los legisladores pretenden monitorear más de cerca la actividad de las firmas
de auditoría.

13. El titulo 2 del SOX establece algunas importantes limitaciones a la actividad de las
firmas de auditoría. Se establece así, entre otros, el principio general en base al
cual no se permite a las firmas de auditoría ofrecer a sus clientes de otros
servicios distintos al de auditoría de cuentas anuales. Se establece además la
obligación de rotación del socio responsable del encargo cada 5 años. Muy
interesante es el llamado periodo del “Cooling-off” en base al cual una firma de
auditoria no puede ofreces sus servicios de auditoría a una empresa en la que el
Director General o Administrador, Director Financiero, Controller, Director
Administrativo o Director de Contabilidad han sido miembros del equipo de
auditoria en el año anterior.
El titulo 3 y el titulo 4 contienen las novedades más impactantes y conflictivas de
toda la ley, y será necesario analizarlos en profundidad. El titulo 3 introduce el
nuevo concepto de “responsabilidad corporativa”, mientras que el titulo 4 contiene
importantes novedades en tema de emisión de información financiera.
BASILEA II
Basilea II es el segundo de los Acuerdos de Basilea. Dichos acuerdos consisten
en recomendaciones sobre la legislación y regulación bancaria y son emitidos por
el Comité de supervisión bancaria de Basilea. El propósito de Basilea II, publicado
inicialmente en junio de 2004, es la creación de un estándar internacional que
sirva de referencia a los reguladores bancarios, con objeto de establecer los
requerimientos de capital necesarios, para asegurar la protección de las entidades
frente a los riesgos financieros y operativos.
La principal limitación del acuerdo de Basilea I es que es insensible a las
variaciones de riesgo y que ignora una dimensión esencial: la de la calidad
crediticia y, por lo tanto, la diversa probabilidad de incumplimiento de los distintos
prestatarios. Es decir, consideraba que los créditos tenían la misma probabilidad
de incumplir.
El Nuevo Acuerdo de Capital o Basilea II brinda un conjunto de principios y
recomendaciones del Comité de Basilea sobre Supervisión Bancaria y tiene como
objetivo propiciar la convergencia regulatoria hacia estándares más avanzados
sobre medición y gestión de los principales riesgos en la industria bancaria. El
Comité de Basilea forma parte del Banco Internacional de Pagos (BIS por sus
siglas en inglés) y fue creado por acuerdo de los representantes de los Bancos
Centrales de los 10 países más industrializados con el propósito de formular una
serie principios y estándares de supervisión bancaria, los que han sido acogidos
no solamente por los países miembros, sino por la mayoría de países en el
mundo.

14. El Perú, por medio de la SBS, es consciente de las ventajas en seguridad y
estabilidad que genera un esquema como el propuesto en Basilea II y no está al
margen de esta reforma internacional de la regulación bancaria. El cronograma de
implementación seguido en Perú se inició en el año 2007 con los estudios de
impacto y la emisión de la normativa necesaria para la implementación del NAC.
Esta primera fase duró hasta junio del 2009 y a partir de julio del 2009 entró en
vigencia del método estandarizado para riesgo de crédito y riesgo de mercado, y
el método básico y estándar alternativo para riesgo operacional. Asimismo, es a
partir de esta fecha que las empresas pueden postular para el uso de modelos
internos.
A raíz de la reciente crisis financiera internacional, que evidenció la necesidad de
fortalecer la regulación, supervisión y gestión de riesgos del sector bancario, el
Comité de Basilea inició en el 2009 la reforma de Basilea II, actualmente llamada
Basilea III. En este sentido, la SBS actualmente está evaluando la implementación
de estos cambios de acuerdo a la realidad peruana.
La SBS pone a su disposición esta página web donde podrá encontrar información
sobre los principales aspectos de Basilea II y Basilea III y la implementación estos
estándares en el Perú.
Acerca de las Pymes Mexicanas:
¿Cuáles son los pasos para implantar una norma?
¿Qué norma es viable implementar en una pyme
mexicana?
Entre las normas a implementar en una PyME, asi como los pasos a seguir se
encuentran las siguientes:
Diseño e implementación de un S.G.S.I. ISO 27001
La solución de Diseño e Implantación de Sistemas de Gestión de Seguridad de la
Información, rompe con la antigua visión de actuar de facto ante la seguridad, esto
es, tener el mejor firewall del mercado por tenerlo o disponer un determinado
antivirus porque hay que tenerlo. AGEDUM enfoca su solución de seguridad hacia
la gestión. Alinea la Gestión de la Seguridad de la Información con los objetivos de
negocio, optimizando las inversiones realizadas en controles o salvaguardas que
protejan los activos.

15. Para ello, utilizamos como norma guía la ISO 27001:2005, la cual nos ayuda de
forma solvente a enfrentarnos a los retos a los que nos somete el propio entorno.
ISO 27001:2005 es reconocida como una de las mejores prácticas a nivel mundial
para gestionar la seguridad de la información, y es contemplada como su solución
por múltiples organizaciones de distinto tamaño, independientemente de su
ubicación geográfica.
Beneficios que se alcanzan:
Cambia la postura reactiva por la postura proactiva para la seguridad
Dispone de políticas y objetivos para la seguridad de la información
Asignación formal de responsabilidades al personal involucrado
Orientación de la organización hacia la seguridad en sus tareas
Gestiona la seguridad según los riesgos presentes en la actividad
Se crea una estructura formal para la seguridad en la empresa
Proporciona métricas de cómo se está desarrollando la seguridad
Aplica controles de seguridad por áreas de influencia
Permite optimizar costes vinculados con la búsqueda de la seguridad
Otros beneficios inherentes al proyecto
Nuestro equipo de profesionales
AGEDUM dispone de profesionales con contratada experiencia en la implantación
de este tipo de soluciones profesionales. Nuestros consultores, vienen trabajando
desde hace años en soluciones de Gestión de la Seguridad de la Información y
han estado presentes en proyectos para acercar la gestión a las empresas de
nuestro entorno: como el Proyecto CAMERSEC, promovido por la Cámara de
Comercio de Málaga. Estamos avalados por nuestros clientes, experiencia y
cualificación para llevar su proyecto a buen puerto. Asimismo, contamos con
partners tecnológicos para ofrecer aplicaciones relacionadas con el proyecto a
precios competitivos, caso de ser necesarias para la empresa cliente.

16. Fases para la implantación de un S.G.S.I. ISO 27001
1.- Visita informativa
Realizamos una visita totalmente sin compromiso a nuestros clientes para
informarle del proceso de ejecución del proyecto y emitir un presupuesto a
medida.
2.- Formalización del contrato
Las condiciones de colaboración son llevadas al contrato que formaliza la relación
entre partes para su firma
3.- Equipo de trabajo
Definimos el equipo de trabajo para la ejecución formal del proyecto. Se asignan
las responsabilidades a tal efecto y los objetivos de cada etapa.
4.- Análisis de la organización
Se realiza un profundo análisis diferencial de seguridad, comparando la situación
actual de la empresa con los requisitos de ISO 27001, determinando también otras
medidas de seguridad adicionales que puedan ponerse de manifiesto durante el
proceso de análisis. Se actúa sobre dominios como:
- Política de Seguridad
- Organización de la seguridad
- Gestión de los Activos
- Seguridad vinculada al personal
- Seguridad física y del entorno
- Comunicaciones y operaciones
- Control de accesos
- Adquisición y mantenimiento de sistemas
- Gestión de incidencias
- Continuidad de negocio
- Conformidad legal

17. - Etc.
5.- Documentación y formatos
Proporcionando soporte a la organización, se trabaja en la elaboración de la
documentación para el sistema de Gestión de Seguridad de la Información, así
como los formatos para dejar registro de las prácticas en él incluidas.
6.- Implantación y tutela
Una vez desarrollado el trabajo documental, se procede a implantar las
metodologías creadas, tutelando el cumplimiento de la misma.
7.- Auditoría interna
Realizamos una auditoría para verificar el cumplimiento de los requisitos del
sistema y detectar posibles desviaciones, de cara a solventarlas.
8.- Auditoría de certificación
La estructura que creamos es certificable. Por eso, si el cliente decide certificar su
sistema de seguridad, le damos soporte en la auditoría de certificación.
LA NORMA ISO/IEC 17799
10 dominios de control que cubren (casi) por completo la Gestión de la
Seguridad de la Información:
• Política de seguridad: Se necesita una política que refleje las expectativas
de la organización en materia de seguridad a fin de suministrar administración con
dirección y soporte. La política también se puede utilizar como base para el
estudio y evaluación en curso.
• Organización de la seguridad: Sugiere diseñar una estructura de
administración dentro la organización que establezca la responsabilidad de los
grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta
a incidentes.
• Control y clasificación de los recursos de información: Necesita un
inventario de los recursos de información de la organización y con base en este
conocimiento, debe asegurar que se brinde un nivel adecuado de protección.
• Seguridad del personal: Establece la necesidad de educar e informar a los
empleados actuales y potenciales sobre lo que se espera de ellos en materia de

18. seguridad y asuntos de confidencialidad. También determina cómo incide el papel
que desempeñan los empleados en materia de seguridad en el funcionamiento
general de la compañía. Se debe tener implementar un plan para reportar los
incidentes.
• Seguridad física y ambiental: Responde a la necesidad de proteger las
áreas, el equipo y los controles generales.
• Manejo de las comunicaciones y las operaciones: Los objetivos de esta
sección son:
1. Asegurar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de la información.
2. Minimizar el riesgo de falla de los sistemas.
3. Proteger la integridad del software y la información.
4. Conservar la integridad y disponibilidad del procesamiento y la
comunicación de la información.
5. Garantizar la protección de la información en las redes y de la
infraestructura de soporte.
6. Evitar daños a los recursos de información e interrupciones en las
actividades de la compañía.
7. Evitar la pérdida, modificación o uso indebido de la información que
intercambian las organizaciones.
• Control de acceso: Establece la importancia de monitorear y controlar el
acceso a la red y los recursos de aplicación para proteger contra los abusos
internos e intrusos externos.
• Desarrollo y mantenimiento de los sistemas: Recuerda que en toda
labor de la tecnología de la información, se debe implementar y mantener la
seguridad mediante el uso de controles de seguridad en todas las etapas del
proceso.
• Manejo de la continuidad de la empresa: Aconseja estar preparado para
contrarrestar las interrupciones en las actividades de la empresa y para proteger
los procesos importantes de la empresa en caso de una falla grave o desastre.
• Cumplimiento: Imparte instrucciones a las organizaciones para que
verifiquen si el cumplimiento con la norma técnica ISO 17799 concuerda con otros

19. requisitos jurídicos, como la Directiva de la Unión Europea que concierne la
Privacidad, la Ley de Responsabilidad y Transferibilidad del Seguro Médico
(HIPAA por su sigla en Inglés) y la Ley Gramm-Leach-Billey (GLBA por su sigla en
inglés). Esta sección también requiere una revisión a las políticas de seguridad, al
cumplimiento y consideraciones técnicas que se deben hacer en relación con el
proceso de auditoría del sistema a fin de garantizar que las empresas obtengan el
máximo beneficio.
Beneficios de la norma técnica ISO 17799
Una empresa certificada con la norma técnica ISO 17799 puede ganar frente a los
competidores no certificados. Si un cliente potencial tiene que escoger entre dos
servicios diferentes y la seguridad es un aspecto importante, por lo general optará
por la empresa certificada. Además una empresa certificada tendrá en cuenta lo
siguiente:
• Mayor seguridad en la empresa.
• Planeación y manejo de la seguridad más efectivos.
• Alianzas comerciales y e-commerce más seguras.
• Mayor confianza en el cliente.
• Auditorías de seguridad más precisas y confiables.
• Menor Responsabilidad civil
La norma técnica ISO 17799
Actualmente ISO está revisando la norma técnica 17799 para que se adapte mejor
a su amplio público. ISO 17799 es la primera norma técnica y se harán y
ampliarán sus recomendaciones y sugerencias básicas en la medida en que sea
necesario. Por ahora, ISO 17799 es la norma técnica a seguir.
Si su organización no ha adoptado un programa de protección definido de la
información, ISO 17799 puede servir de parámetro para que lo defina. Incluso si
decide no ser certificado, ISO 17799 le servirá de guía para configurar la política
de seguridad de su empresa. En todo caso, tenga en cuenta que ISO 17799 es un
buen esquema de seguridad que su empresa puede adoptar. No obstante, usted
puede descubrir que la certificación ofrece más beneficios.

20. COBIT
Hacer uso de COBIT como marco de referencia en y tomar de ahí algunos puntos
para aplicarlos a la pyme, ya que COBIT provee a la gerencia y a los propietarios
de los procesos del negocio, un modelo de administración de Tecnología
Informática (TI) que ayude a comprender y administrar los riesgos asociados con
TI
Etapas para su implementación:
1. Requerimientos del negocio. El departamento TI cuenta con los recursos
tecnológicos necesarios para cumplir los objetivos de la organización. Se tiene que
planear y organizar cuales son los requerimientos tecnológicos o informáticos que
la organización requiere para lograr sus objetivos.
La propuesta es verificar con que cuento, en infraestructura tecnológica y que
necesito para lograr mis objetivos como organización.
Planear y organizar, tiene que ver con identificar la manera en que TI pueda
contribuir de la mejor manera al logro de los objetivos del negocio. Además, la
realización de la visión estratégica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, se debe implementar una
estructura organizacional y una estructura tecnológica apropiada. Este dominio
cubre los siguientes cuestionamientos típicos de la gerencia:
• ¿Están alineadas las estrategias de TI y del negocio?
• ¿La empresa está alcanzando un uso óptimo de sus recursos?
• ¿Entienden todas las personas dentro de la organización los objetivos de TI?
• ¿Se entienden y administran los riesgos de TI?
• ¿Es apropiada la calidad de los sistemas de TI para las necesidades del
negocio?
 Definición de un Plan Estratégico de Tecnología de Información de acuerdo
a sus necesidades
 Definición de la Arquitectura de Información
 Determinación de la dirección tecnológica
 Definición de la Organización y de las Relaciones de TI
 Manejo de la Inversión en Tecnología de Información
 Comunicación de la dirección y aspiraciones de la gerencia
 Administración de Recursos Humanos

21.  Aseguramiento del Cumplimiento de Requerimientos Externos
 Evaluación de Riesgos
 Administración de proyectos
2. Recursos TI. Una vez que contamos con los recursos se tiene que buscar la
forma de administrar e implementarlos
Adquirir e implementar. Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas así como la implementación
e integración en los procesos del negocio. Además, el cambio y el mantenimiento
de los sistemas existentes para garantizar que las soluciones sigan satisfaciendo
los objetivos del negocio. Esta sección, por lo general, cubre los siguientes
cuestionamientos de la gerencia:
• ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del
negocio?
• ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?
• ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
• ¿Los cambios afectarán las operaciones actuales del negocio?
Las siguientes actividades son indispensables en adquisición e implementación.
 Identificación de Soluciones
 Adquisición y Mantenimiento de Software de Aplicación
 Adquisición y Mantenimiento de Arquitectura de Tecnología
 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología
de Información
 Instalación y Acreditación de Sistemas
 Administración de Cambios
3. Procesos TI. Los procesos que se automatizan se entregan, se les da soporte
pero también se tienen que monitorear, para evaluar su desempeño y saber si
están dando resultados esperados o no.
Entregar Y Dar Soporte se cubre la entrega en sí de los servicios requeridos, lo
que incluye la prestación del servicio, la administración de la seguridad y de la
continuidad, el soporte del servicio a los usuarios, la administración de los datos y

22. de las instalaciones operacionales. Por lo general aclara las siguientes preguntas
de la gerencia:
• ¿Se están entregando los servicios de TI de acuerdo con las prioridades del
negocio?
• ¿Están optimizados los costos de TI?
• ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera
productiva y segura?
• ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la
disponibilidad?
 Definición de Niveles de Servicio
 Administración de Servicios prestados por Terceros
 Administración de Desempeño y Capacidad
 Aseguramiento de Servicio Continuo
 Garantizar la Seguridad de Sistemas
 Identificación y Asignación de Costos
 Educación y Entrenamiento de Usuarios
 Apoyo y Asistencia a los Clientes de Tecnología de Información
 Administración de la Configuración
 Administración de Problemas e Incidentes
 Administración de Datos
 Administración de Instalaciones
 Administración de Operaciones
Para medir resultados del departamento TI, así como la optimización del trabajo
automatizado, la calidad y el desempeño de los sistemas implementados se tiene
que realizar lo siguiente:
MONITOREAR Y EVALUAR Todos los procesos de TI deben evaluarse de forma
regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos
de control. La administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del departamento TI. Por lo general abarca
las siguientes preguntas de la gerencia:
• ¿Se mide el desempeño de TI para detectar los problemas antes de que sea
demasiado tarde?

23. • ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •
¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del
negocio?
• ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Como realizar el monitoreo:
1. Monitorear el marco de trabajo de control interno
2. Revisiones de Auditoria Monitorear y reportar la efectividad
3. Excepciones de control Registrar la información
4. Auto-evaluación de control Evaluar la completitud y efectividad de los
controles internos
5. Aseguramiento del control interno
6. Acciones correctivas Identificar e iniciar medidas correctivas basadas en las
evaluaciones y en los reportes de control.
Esta información es obtenida de COBIT, cabe señalar que COBIT se implementa
corporativos o empresas grandes y no por eso una pyme no pueda hacer uso de
él solo que tenemos que adecuarlo a nuestras necesidades, nuestra capacidad y
analizar nuestras soluciones.
Algunos de los beneficios que obtenemos al implementar COBIT son:
Define claramente roles y quién rinde cuentas a nivel estratégico, táctico y
operacional.
Facilita la auto evaluación del estado de la TI en la organización.
Es una herramienta de auditoria de los controles de TI de la organización.
Permite la medición gerencial por medio de indicadores y del modelo de
madurez.
A nivel gerencial
Tomar decisiones relacionadas con la inversión en TI
Balancear los riesgos y los controles de las inversiones en TI
Llevar a cabo un análisis comparativo del entorno para establecer el
ambiente adecuado de tecnología y de personas en el futuro.

24. A nivel usuario
Obtener garantía del retorno de la inversión sobre la seguridad, los controles y los
productos y servicios que ellos adquieren interna y externamente.
A nivel auditoria
Soportar ante la Gerencia su criterio acerca de los controles internos.
IMPLEMENTACION DE ITIL
Paso 1: Definir el alcance del modelo de referencia. Definir el esfuerzo y costo de
implementación.
Paso 2: Definición de la estructura de Servicios de TI y la CMDB.
Paso 3: Determinar los procesos operativos básicos:
Es clave la definición inicial del service desk y de los procesos que lo soportan, así
también se implantara de las gestiones de incidencias, problemas, cambios,
configuraciones, versiones y niveles de servicio.
Este proceso en una empresa tiene que facilitar la integración de actividades de
configuración a través de plataformas y tecnologías.
Paso 4: Implantar los procesos tácticos requeridos por la organización:
Permiten desde el inicio poner en práctica el nivel de servicio y garantizar el
cumplimiento de los acuerdos con clientes, establecidos en el paso 3 como SLM;
además se implantaran las gestiones de disponibilidad, capacidad y continuidad.
Paso 5: Construir los procesos alineados con la estrategia del negocio y con la
seguridad de la información.
Paso 6: Definir métricas de calidad de servicio y desempeño de los procesos.
Estos indicadores proveen el mecanismo de seguimiento, mejora continua y
planificación, primordiales tanto hacia dentro del departamento como de cara a los
usuarios.
Paso 7: Garantizar la calidad de la información en la CMDB:
Mediante la definición de registros de información puntales y que permitan generar
reportes de desempeño, así como formar la base para los procesos de auditoría a
la información y controles de validación de datos en el cargue de los mismos
Paso 8: Garantizar y monitorear la gestión de cambios.

25. Este elemento es la base fundamental para disponer de procesos que generen
auto-aprendizaje y mejora continua. Un aspecto clave para ir adaptando los
nuevos procedimientos y capacidades a la cambiante y dinámica realidad de una
empresa moderna.
Paso 9: Entrenar al personal y hacer partícipes del proceso al resto de la
organización.
El éxito de la iniciativa dependerá en gran manera de la forma en que los nuevos
procedimientos se transformen una costumbre de trabajo, y que la alineación y
participación del resto de la empresa en la definición y toma de decisiones se
hayan hecho presentes
Paso 10: Seleccionar una herramienta adecuada que permita gestionar
adecuadamente la información asociada con los procesos definidos
Beneficios de ITIL:
• Mejora de la disponibilidad, fiabilidad y seguridad de los servicios de TI.
• Aumento de la eficiencia de la entrega de proyectos de TI.
• Reducción del coste total de propiedad de los activos de TI de infraestructura y
aplicaciones de TI.
• Aprovechar mejor los recursos, incluyendo niveles de disminución de la
reanudación y la eliminación de actividades redundantes.
• Provisión de servicios que satisfagan las empresas, clientes y las demandas del
usuario, con un coste justificable de la calidad del servicio.
• Más eficaz y mejor de tercera parte en las relaciones y los contratos.
Dado que el marco de ITIL sólo proporciona la orientación necesaria sobre la
estructura del proceso, muchos directores de sistemas no están viendo las
mejoras que se espera-a pesar de una fuerte inversión en ITIL. Implementación de
ITIL se establece en el contexto de un negocio o cambio de programa y, como tal,
es más que un simple conjunto de procesos que pueden desplegarse en seguida y
sin compromisos.

26. Recomendaciones para una empresa:
Se recomienda atender las siguientes actividades para implementar una norma de
seguridad en un sistema de información:
La Dirección deberá definir:
a) Plan de Acción.
b) Políticas de comunicación para con el personal referida a la implementación,
sus implicancias y la necesidad del compromiso de todos los actores.
c) Previsión de mecanismos de resolución de posibles situaciones conflictivas
que pueden aparecer.
d) Elaboración de la Política de Calidad.
e) Monitorear permanentemente el desarrollo del Plan de Acción.
f) Realizar reuniones formales de revisión.
Formación
Deberán desarrollarse cursos de sensibilización para todos los integrantes de la
Dirección y de quienes están directamente involucrados en el desarrollo del SGC
proveyendo de los conocimientos necesarios sobre norma ISO 9000-2005, 9001-
2008 y 19011-2002.
A partir del Plan de Acción elaborado por la Dirección, se podrán detallar más las
actividades, conformando un Programa donde se tendrá en cuenta:
a) Períodos.
b) Actividades.
c) Área Responsable.
Se identificarán los procesos relevantes para la implementación, donde interviene
una descripción donde se definen claramente las interfaces del proceso,
identificación y definición de responsabilidades, los alcances de cada tarea.
La precisión con que se realice esta etapa definirá la calidad, claridad y utilidad de
los documentos elaborados que se generen. Toda la documentación deberá ser
revisada con la finalidad de aclarar y corregir incoherencias o indefiniciones.
En esta etapa se analizarán los procesos, tratando de detectar aspectos que
puedan ser optimizados con la finalidad de hacer más eficientes procesos o

27. interfaces administrativos como para la gestión específica de la documentación,
registros etc.
Confección de la documentación del Sistema de Información.
o Manual principal.
o Manual de Procedimientos Generales (Procesos) y Específicos
(auditorias, documentos, etc).
o Formularios para Registro y archivos.
Puesta en funcionamiento.
Previo a la puesta en marcha el personal debe tomar conocimiento del mismo,
mediante capacitación.

28. CONCLUSION
La correcta selección de los controles es una tarea que requiere del apoyo de
especialistas en seguridad informática, ya que cuando éstos se establecen de
forma inadecuada pueden generar un marco de trabajo demasiado estricto y poco
adecuado para las operaciones de la organización.
Como todo estándar, se proporciona un marco ordenado de trabajo al cual deben
sujetarse todos los integrantes de la organización, y aunque no elimina el cien por
ciento de los problemas de seguridad, sí establece una valoración de los riesgos a
los que se enfrenta una organización en materia de seguridad de la información.
Dicha valoración permite administrar los riesgos en función de los recursos
tecnológicos y humanos con los que cuenta la organización; adicionalmente,
establece un entorno que identifica los problemas de seguridad en tiempos
razonables, situación que no es posible, la mayoría de las veces, si no se cuenta
con controles de seguridad como los establecidos en el ISO 17799, es decir, la
aplicación del estándar garantiza que se podrán detectar las violaciones a la
seguridad de la información, situación que no necesariamente ocurre en caso de
no aplicarse el estándar.
Estos principios en la protección de los activos de información constituyen las
normas básicas deseables en cualquier organización, sean instituciones de
gobierno, educativas e investigación; no obstante, dependiendo de la naturaleza y
metas de las organizaciones, éstas mostrarán especial énfasis en algún dominio o
área de cualquier estándar.
El objetivo de la seguridad de los datos es asegurar la continuidad de las
operaciones de la organización, reducir al mínimo los daños causados por una
contingencia, así como optimizar la inversión en tecnologías de seguridad.