ATI #28

Rodriguez Romero Juan Enrique

UNIVERSIDAD VERACRUZANA

FACULTAD DE

ADMINISTRACION

Administración de las

Tecnologías de

Información

I N T R O D U C C I Ó N

La información tiene una importancia fundamental para el funcionamiento y

quizá incluso sea decisiva para la supervivencia de la organización. en

consecuencia necesita ser protegido adecuadamente. La información puede existir

en muchas formas. Puede estar impresa o escrita en un papel, almacenada

electrónicamente, transmitida por correo o utilizando medios electrónicos,

mostrada en películas o hablada en una conversación. Cualquiera que sea la

forma que tome la información, o medio por el cual sea almacenada o compartida,

siempre debiera estar apropiadamente protegida.

La seguridad de la información es la protección de la información de un rango

amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el

riesgo comercial y maximizar el retorno de las inversiones y las oportunidades

comerciales.

La seguridad de la información se logra implementando un adecuado conjunto de

controles; incluyendo políticas, procesos, procedimientos, estructuras

organizacionales y funciones de software y hardware. Se necesitan establecer,

implementar, monitorear, revisar y mejorar estos controles cuando sea necesario

para asegurar que se cumplan los objetivos de seguridad y comerciales

específicos. Esto se debiera realizar en conjunción con otros procesos de gestión

del negocio.

En este apartado se indicaran las normas que existen en el contexto mexicano, de

igual forma como deberá o que pasos seguir para poder funcionar adecuadamente

una Pyme, con algunas recomendaciones para establecer sus necesidades,

identificando normas internacionales que son auditables y que definen los

requisitos para un sistema de gestión de la seguridad de la información (SGSI).

Las normas se han concebido para garantizar la selección de controles de

seguridad adecuados y proporcionales.

C ont ext o M ex icano

¿Qué normas est án en nuest ro pa ís?

Dentro del contexto mexicano existen algunas normas para el funcionamiento de

una empresa de Sistemas de Información esto para que de una manera refleje la

capacidad de un organismo para ofrecer un servicio, producto o sistema de

acuerdo con los requisitos del cliente y la regulación existente, utilizando

estándares regulatorias.

La dependencia en los sistemas y servicios de información significa que las

organizaciones son más vulnerables a las amenazas de seguridad. La información

es un activo que, como cualquier otro activo importante de negocio, tiene valor

para una organización y por consecuencia necesita ser protegida adecuadamente.

Mediante la identificación y clasificación adecuada de esos activos y una

evaluación sistemática de riesgos de amenazas y vulnerabilidades su empresa

puede elegir controles apropiados para gestionar esos riesgos y demostrar que se

esta preservando la confidencialidad, integridad y disponibilidad de esos activos

de información para clientes, consumidores, accionistas, autoridades y sociedad

en general. Las normas regulatorias para la Seguridad Informática son:

ISO 27001

ISO 27001 es un estándar internacional que fue aprobado y publicado como

estándar internacional en octubre de 2005 por International Organization for

Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y

mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el

conocido “Ciclo de Deming”: PDCA acrónimo de Plan, Do, Check, Act (Planificar,

Hacer, Verificar, Actuar).

Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual

ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la

entidad de normalización británica, la British Standards Institution (BSI).

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele

tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en

seguridad de la información y el alcance, entendiendo por alcance el ámbito de la

organización que va a estar sometido al Sistema de Gestión de la Seguridad de la

Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda

de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus

sistemas de información y sus procesos de trabajo a las exigencias de las

normativas legales de protección de datos o que hayan realizado un acercamiento

progresivo a la seguridad de la información mediante la aplicación de las buenas

prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de

implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de

todas las áreas de la organización que se vean afectadas por el SGSI, liderado por

la dirección y asesorado por consultores externos especializados en seguridad

informática generalmente Ingenieros o Ingenieros Técnicos en Informática,

derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de

seguridad de la información.

ISO 17799

ISO/IEC 17799 se denomina también como ISO 27002, es un estándar para la

seguridad de la información publicado por primera vez como ISO/IEC 17799:2000

por la International Organization for Standardization y por la Comisión

Electrotécnica Internacional en el año 2000, con el título de Information technology

- Security techniques - Code of practice for information security management. Tras

un periodo de revisión y actualización de los contenidos del estándar, se publicó

en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El

estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue

publicado por primera vez en 1995.

Esta norma Internacional proporciona recomendaciones de las mejores prácticas

en la gestión de la seguridad de la información a todos los interesados y

responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad

de la información. La seguridad de la información se define en el estándar

como "la preservación de la confidencialidad (asegurando que sólo quienes estén

autorizados pueden acceder a la información), integridad (asegurando que la

información y sus métodos de proceso son exactos y completos) y disponibilidad

(asegurando que los usuarios autorizados tienen acceso a la información y a sus

activos asociados cuando lo requieran)".

En algunos apartados del año en que surgió que fue el 2005 se incluyen once

secciones principales:

1. Política de Seguridad de la Información.

2. Organización de la Seguridad de la Información.

3. Gestión de Activos de Información.

4. Seguridad de los Recursos Humanos.

5. Seguridad Física y Ambiental.}

6. Gestión de las Comunicaciones y Operaciones.

7. Control de Accesos.

8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

9. Gestión de Incidentes en la Seguridad de la Información.

10. Gestión de Continuidad del Negocio.

11. Cumplimiento.

Dentro de cada sección, se especifican los objetivos de los distintos controles para

la seguridad de la información. Para cada uno de los controles se indica así mismo

una guía para su implantación. El número total de controles suma mucho más,

todas las secciones aunque cada organización debe considerar previamente

cuántos serán realmente los aplicables según sus propias necesidades.

Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de

la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC

17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y

actualización de sus contenidos en el 2007.

COSO

COSO es un modelo que surge para el cumplimiento de los siguientes objetivos:

a) Implementar una definición de control interno para que sea de conocimiento

general y para satisfacer las necesidades de cada persona involucrada.

b) Facilitar la evaluación del sistema de control mediante una estructura.

Proporciona un modelo de control para el logro de una administración de los

riesgos de las organizaciones de una forma eficiente. Significados de las Siglas:

COSO (Committee of Sponsoring Organizations of the Tread way Commission).

Consiste en un comité creado en Estados Unidos en el año 1985 conformado por

las instituciones mencionadas posteriormente, en donde se incluyen la

participación de auditores internos, contadores, administradores y otros.

Dicho nombre fue adoptado debido a que se trata de un trabajo por más de cinco

años, de varias instituciones ubicadas en aproximadamente cincuenta países. La

comisión fue creada con el objetivo de tener un marco conceptual compuesto por

diferentes puntos de vista acerca del Control Interno.

Dicho modelo es utilizado en varios países por varias organizaciones tales como

bancos, organizaciones comerciales, manufactureras, de servicio y otras.

El 29 se septiembre del 2004 se lanzó el Marco de Control denominado COSO II

que según su propio texto no contradice al COSO I, siendo ambos marcos

conceptualmente compatibles. Sin embargo, este marco se enfoca a la gestión de

los riesgos (más allá de la intención de reducir riesgos que se plantea en COSO I)

mediante técnicas como la administración de un portafolio de riesgos.

La Ley General de Control Interno de 2002 (Ley 8292) promulgada por el gobierno

de Costa Rica, fue la primera de nuestro hemisferio dirigida específicamente al

control interno, y enfocado al Sector Publico, establece los criterios mínimos que

deberán observar los entes u órganos públicos en el establecimiento,

funcionamiento, mantenimiento, perfeccionamiento y evaluación de sus sistemas

de control interno.

Con el informe COSO (COMMITTEE OF SPONSORING ORGANIZATIONS), de

1992, se modificaron los principales conceptos del Control Interno dándole a este

una mayor amplitud.

El Control Interno se define entonces como un proceso integrado a los procesos, y

no un conjunto de pesados mecanismos burocráticos añadidos a los mismos,

efectuado por el consejo de la administración, la dirección y el resto del personal

de una entidad, diseñado con el objeto de proporcionar una garantía razonable

para el logro de objetivos.

La seguridad a la que aspira solo es la razonable, en tanto siempre existirá el

limitante del costo en que se incurre por el control, que debe estar en

concordancia con el beneficio que aporta; y, además, siempre se corre el riesgo

de que las personas se asocien para cometer fraudes.

Se modifican, también, las categorías de los objetivos a los que está orientado

este proceso.

De una orientación meramente contable, el Control Interno pretende ahora

garantizar:

Efectividad y eficiencia de las operaciones.

Confiabilidad de la información financiera.

Cumplimiento de las leyes y normas que sean aplicables.

Salvaguardia de los recursos.

A través de la implantación de 5 componentes que son:

Ambiente de control (Marca el comportamiento en una organización. Tiene

influencia directa en el nivel de concientización del personal respecto al

control.)

Evaluación de riesgos (Mecanismos para identificar y evaluar riesgos para

alcanzar los objetivos de trabajo, incluyendo los riesgos particulares asociados

con el cambio.)

Actividades de control (Acciones, Normas y Procedimientos que tiende a

asegurar que se cumplan las directrices y políticas de la Dirección para afrontar

los riesgos identificados.)

Información y comunicación (Sistemas que permiten que el personal de la

entidad capte e intercambie la información requerida para desarrollar, gestionar

y controlar sus operaciones.)

Supervisión (Evalúa la calidad del control interno en el tiempo. Es importante

para determinar si éste está operando en la forma esperada y si es necesario

hacer modificaciones.)

COBIT

Es un modelo para el Gobierno de la TI desarrollado por la Information Systems

Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).

Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en

cuatro dominios: El plan y Organiza, Adquiere y Pone en práctica, Entrega y

Apoya, y Supervisa y Evalúa.

Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar

el valor de TI., apoya el alineamiento con el negocio y simplifica la implantación

del COBIT. COBIT está dividido en varias versiones o mejor dicho existen

versiones diferentes, el COBIT 4 es la más reciente y reconocida

Internacionalmente, en esta versión no invalida el trabajo efectuado con las

versiones anteriores del COBIT, sino que mejora el trabajo hecho.

Es un marco de gobernación TI que permite a gerentes acortar el hueco entre

exigencias de control, cuestiones técnicas y riesgos de negocio. COBIT permite

el desarrollo claro de política y la práctica buena para el control de TI en todas

partes de organizaciones.

La última versión del ITGI - COBIT ® 4.0 - acentúa el cumplimiento regulador,

ayuda a organizaciones a aumentar el valor logrado de TI, permite la alineación y

simplifica la puesta en práctica del marco COBIT. Esto no invalida el trabajo hecho

basado en las versiones más tempranas de COBIT, pero

en cambio puede ser usado realzar el trabajo ya hecho basado sobre aquellas

versiones más tempranas. Cuando actividades principales son planeadas para

iniciativas de gobernación TI, o cuando una revisión y reparación del marco de

control de la empresa es esperada (prevista), le recomiendan comenzar fresco con

COBIT 4.0. COBIT 4.0 actividades de regalos en una manera más dinamizada y

práctica tan la mejora continua de la gobernación TI es más fácil que alguna vez

para alcanzar.

Esta nueva versión refleja la armonización aumentada con

otras normas detalladas, el énfasis mayor sobre la gobernación TI, el dinamizar de

conceptos y lengua, y el análisis detallado de conceptos de métrico, entre otras

mejoras.

El nuevo volumen, consistiendo en más de 200 páginas, incluye

una descripción ejecutiva, el marco, el contenido principal (el control de alto nivel

objetivos de control objetivos, detallados, directrices de dirección y el modelo de

madurez) para cada uno de los 34 procesos, y varios apéndices.

Independientemente de la realidad tecnológica de cada caso concreto, COBIT

determina, con el respaldo de las principales normas técnicas internacionales, un

conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y

la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar

riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el

cumplimiento de metas y el nivel de madurez de los procesos de la organización.

Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas

generalmente aceptadas, indicadores, procesos y las mejores prácticas para

ayudar a ellos en el maximizar las ventajas sacadas por

el empleo de tecnología de información y desarrollo de la gobernación apropiada

TI y el control en una empresa.

Proporciona ventajas a gerentes, TI usuarios, e interventores. Los gerentes se

benefician de COBIT porque esto provee de ellos de una fundación sobre cual TI

las decisiones relacionadas e inversiones pueden estar basadas. La toma de

decisiones es más eficaz porque COBIT ayuda la dirección en la definición de un

plan de TI estratégico, la definición de la arquitectura de la información, la

adquisición del hardware necesario TI y el software para ejecutar una estrategia

TI, la aseguración del servicio continuo, y la supervisión del funcionamiento del

sistema TI. TI usuarios se benefician de COBIT debido al aseguramiento

proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el

reportaje de información cumplen con COBIT ya que esto implica mandos y la

seguridad es en el lugar para gobernar los procesos. COBIT beneficia a

interventores porque esto les ayuda a identificar cuestiones de control de TI dentro

de la infraestructura TI de una empresa. Esto también les ayuda a corroborar sus

conclusiones de auditoria.

La misión COBIT es "para investigar, desarrollar, hacer público y promover un

juego autoritario, actualizado, internacional de objetivos de control de

tecnología de información generalmente aceptados para el empleo cotidiano

por directores comerciales e interventores. " Nos damos una pequeña idea de

que los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT

porque esto les ayuda a entender sus sistemas TI y decidir el nivel de seguridad y

control que es necesario para proteger el activo de sus empresas por el desarrollo

de un modelo de gobernación TI.

ITIL

La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente

abreviada ITIL (del inglés Information Technology Infrastructure Library), es un

conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la

información, el desarrollo de tecnologías de la información y las operaciones

relacionadas con la misma en general. ITIL da descripciones detalladas de un

extenso conjunto de procedimientos de gestión ideados para ayudar a las

organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos

procedimientos son independientes del proveedor y han sido desarrollados para

servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.

Aunque se desarrolló durante los años 1980, ITIL no fue ampliamente

adoptada hasta mediados de los años 1990. Esta mayor adopción y conocimiento

ha llevado a varios estándares, incluyendo ISO/IEC 20000, mencionado

anteriormente y sabiendo que es la que cubre los elementos de gestión de

servicios de TI de ITIL. ITIL se considera a menudo junto con otros marcos de

trabajo de mejores prácticas como la Information Services Procurement Library

(ISPL, „Biblioteca de adquisición de servicios de información‟), la Application

Services Library (ASL, „Biblioteca de servicios de aplicativos‟), el método de

desarrollo de sistemas dinámicos (DSDM, Dynamic Systems Development

Method), el Modelo de Capacidad y Madurez (CMM/CMMI) y a menudo se

relaciona con la gobernanza de tecnologías de la información mediante COBIT

(Control Objectives for Information and related Technology).

ISO/IEC 20000

La serie ISO/IEC 20000 - Service Management normalizada y publicada por las

organizaciones ISO (International Organization for Standardization) e IEC

(International Electrotechnical Commission) el 14 de diciembre de 2005, es el

estándar reconocido internacionalmente en gestión de servicios de TI

(Tecnologías de la Información). La serie 20000 proviene de la adopción de la

serie BS 15000 desarrollada por la entidad de normalización británica, la British

Standards Institution (BSI).

La gestión de una entrega efectiva de los servicios de TI es crucial para las

empresas. Hay una percepción de que estos servicios no están alineados con las

necesidades y requisitos del negocio. Esto es especialmente importante tanto si se

proporciona servicios internamente a clientes como si se está subcontratado

proveedores. Una manera de demostrar que los servicios de TI están cumpliendo

con las necesidades del negocio es implantar un Sistema de Gestión de Servicios

de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La

certificación en esta norma internacional permite demostrar de manera

independiente que los servicios ofrecidos cumplen con las mejores prácticas.

ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida

internacionalmente como una British Standard (BS), y que está disponible en dos

partes: una especificación auditable y un código de buenas prácticas.

La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library),

o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL

no es medible y puede ser implantado de muchas maneras, mientras que en la

ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un

conjunto establecido de requisitos.

La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en

cualquier sector o parte del mundo donde confían en los servicios de TI. La norma

es particularmente aplicable para proveedores de servicios internos de TI, tales

como departamentos de Información Tecnológica, proveedores externos de TI o

incluso organizaciones subcontratadas. La norma está impactando positivamente

en algunos de los sectores que necesitan TI tales como subcontratación de

negocios, Telecomunicaciones, Finanzas y el Sector Público.

BASILEA I Y II

Es una organización formada en 1975, por los presidentes de los Bancos

Centrales del Grupo de los Diez (Países), integrada por autoridades en

Supervisión Bancaria de los siguientes países: Bélgica, Canadá, Francia,

Alemania, Italia, Japón, Luxemburgo, Holanda, Suecia, Suiza, Reino Unido y los

Estados Unidos. Esta organización adopta el nombre de Comité de Basilea para la

Supervisión Bancaria, ya que usualmente se reúne en el Banco de Regulaciones

Internacionales en Basilea, donde se encuentra ubicada permanentemente su

secretaría.

Las principales funciones son las siguientes:

a) Formula estándares y pautas generales de supervisión bancaria.

b) Emite declaraciones de mejores prácticas, a fin que las autoridades individuales tomen las

medidas necesarias para aplicarlas de la forma que mejor convenga a sus propios

sistemas nacionales.

c) Constituye un foro de debate para la resolución de problemas específicos de supervisión.

d) Coordina la distribución de las competencias supervisoras entre las autoridades

nacionales, a fin de garantizar una supervisión eficaz de las actividades bancarias.

Después de la Segunda Guerra Mundial, los bancos buscaron y generaron su

expansión. Por ejemplo, los bancos comerciales en Francia se desarrollaron de

manera increíble, lo mismo que los bancos de Italia, Alemania, Suiza,

Holanda, Inglaterra, Suecia y Dinamarca.

A la par de esto, los bancos de los Estados Unidos se constituyeron en ejemplo de

ayuda internacional y se consolidaron en los años sesenta y setenta como los

pioneros de la banca corporativa, entre ellos podemos mencionar el Chase

Manhattan Bank, First National City Bank (hoy Citigroup), Bank of New York, entre

otros.

A principios de los años ochenta, llamada la década perdida de América Latina,

muchos bancos estadounidenses tenían excedentes en dólares, llamados

petrodólares, para ser colocados fuera de su país.

En tal virtud, empezaron a otorgar préstamos con intereses blandos a ciento de

empresas y entidades financieras de casi toda América Latina.

Concomitantemente a esto, los bancos de Europa también prestaban para

proyectos en la región, pero fueron más conservadores que los estadounidenses.

Por tales razones, a mediados de los años ochenta se aglomeraron los más

importantes bancos de Europa Occidental para crear desde la ciudad de Basilea,

Suiza, las primeras normas para fortalecer cualquier institución financiera.

En el mes de diciembre del año 1974, los gobernadores de los bancos centrales

del Grupo de los Diez (G-10) y Luxemburgo, crearon el Comité de Supervisión

Bancaria de Basilea, con la finalidad de mejorar la colaboración entre las

autoridades de supervisión bancaria.

P yM ES MEXIC AN AS

( ¿ Q u e n o r m a s n o s s o n v i a b l e s ? )

( ¿ C u á l e s s o n l o s p a s o s p a r a I m p l a n t a r ? )

C u a n d o u n o s a l e d e c a s a p r o c u r a m o s d e j a r t o d o c o n

l l a v e y c e r r a d o , p e r o ¿ q u é p a s a c u a n d o n o s v a m o s y

d e j a m o s l a c a s a a b i e r t a ? A u n q u e s e e s c u c h e q u e n o p u e d e

p a s a r o s i m p l e m e n t e a l g o t o n t o d e p r e g u n t a r , e s o e s l o q u e

l a s P y M E S d e b e r í a n d e p r e g u n t a r s e d e v e z e n c u a n d o

r e s p e c t o a l a s e g u r i d a d d e s u s S i s t e m a s d e I n f o r m a c i ó n . L a

m a y o r í a d e l a s P y M E S n o s o n c o n s c i e n t e s d e l o s r i e s g o s a

l o s q u e e n f r e n t a n s u s s i s t e m a s i n f o r m á t i c o s , s i n r i e s g o a

e q u i v o c a r m e p u e d o a s e g u r a r q u e o c h o d e c a d a d i e z P y M E S

n o t i e n e n u n a p o l í t i c a n i p r o c e d i m i e n t o e s t a b l e c i d o p a r a e l

c o n t r o l y a s e g u r a m i e n t o d e s u s i s t e m a d e i n f o r m a c i ó n .

L o p e o r d e l a s i t u a c i ó n , s i n d u d a n o e s q u e n o t e n g a n

a l g u n a p o l í t i c a , s i n o q u e n i s i q u i e r a p i e n s a n q u e d e b e r í a n

t e n e r l a . Y s i p i e n s a n e n q u e d e b e r í a n t e n e r l a , e n t r a e n

j u e g o o t r o c o n c e p t o i m p o r t a n t e , l a r e s i s t e n c i a a l c a m b i o ,

q u e r a l e n t i z a s i n o d e t i e n e n c u a l q u i e r t i p o d e i n i c i a t i v a .

E n t r e l a s n o r m a s r e c o m e n d a d a s a i m p l e m e n t a r e n u n a

P y M E s e e n c u e n t r a n l a s s i g u i e n t e s :

1 . - IS O 2 7 0 0 1

Beneficios

- Debido a la dependencia de la información y sistemas de información, la

confidencialidad, integridad y disponibilidad de la información son esenciales para

mantener el marco competitivo, el flujo de efectivo, la rentabilidad e imagen

comercial.

- Cumplimiento con los requisitos legales, reglamentarios, y contractuales.

- Gobierno corporativo mejorado y garantía para terceras partes tales como

accionistas, clientes, consumidores y proveedores.

- A través de una apropiada evaluación de riesgo, se identifican las amenazas a

los activos, se evalúa la vulnerabilidad y probabilidad de ocurrencia y se estima el

impacto potencial, así su inversión se asigna donde sea necesaria.

En la actualidad ISO 27001 aplica una aproximación por procesos para la

gestión de la seguridad de la información, enfatizando la importancia de los

siguientes aspectos: � Comprensión de los requisitos de seguridad de la

organización. Necesidad de establecer una política y unos objetivos.

� Implementar controles para gestionar los riesgos en el contexto del negocio.

� Monitorizar el rendimiento del SGSI.

� Mejora continua basada en la medición de los objetivos. ISO 27001 adopta el

modelo PDCA («Plan-Do-Check-Act», Planificar- Hacer-Comprobar-Actuar) que se

aplica para estructurar todos los procesos del SGSI y también está subyacente en

los principios de la OCDE. Las actividades principales asociadas al modelo PDCA

aplicadas al SGSI son:

� Planificar: establecer políticas, objetivos, procesos y procedimientos relevantes

para la gestión de los riesgos y mejorar la seguridad de la información para

entregar resultados satisfactorios con respecto a los objetivos de la organización.

� Hacer: implementar y operar los elementos del SGSI (política, controles,

procesos y procedimientos).

� Comprobar: medir el rendimiento de los procesos contra los objetivos del SGSI,

notificando los resultados a la dirección para su revisión.

� Actuar: basándose en las revisiones, realizar acciones preventivas y correctivas

para alcanzar la mejora continua del SGSI.

Estructura de la norma ISO 27001

Introducción.

Alcance.

Referencias.

Definiciones.

Requisitos para el ciclo de vida del SGSI

o Generales.

o Establecimiento y gestión.

o Documentación.

Responsabilidad de la Dirección.

Auditorías internas.

Revisión del SGSI por parte de la Dirección.

Mejora del SGSI.

ANEXO A. Objetivos de control.

ANEXO B. Principios de seguridad de la OCDE.

ANEXO C. Correspondencia con las normas 9001 (calidad) y 14001

(medioambiente).

BIBLIOGRAFÍA.

2 . - IS O 1 7 7 9 9

Existen numerosas claves para lograr una implementación satisfactoria de un

programa de administración de riesgos de seguridad en una organización.

En primer lugar, no se puede llevar a cabo una administración de riesgos de

seguridad si no se cuenta con el apoyo y el compromiso del equipo directivo.

Cuando la administración de riesgos de seguridad se dirige desde la sima, las

organizaciones pueden articular la seguridad en términos de valor para la

empresa. Luego, una definición clara de funciones y responsabilidades resulta

fundamental para el éxito.

Los responsables de negocios son los encargados de identificar las repercusiones

de un riesgo. También se encuentran en la mejor posición para articular el valor de

negocio de los activos que son necesarios para llevar a cabo sus funciones. El

grupo de seguridad de información se encarga de identificar la probabilidad de que

se produzca el riesgo teniendo en cuenta los controles actuales y propuestos. El

grupo de tecnología de información es el responsable de implementar los

controles que el comité directivo de seguridad ha seleccionado cuando la

probabilidad de una vulnerabilidad presenta un riesgo inaceptable.

Ventajas de la Norma ISO 17799

Las organizaciones que hacen uso de la norma ISO 17799 experimentan ventajas

competitivas que le permiten garantizar lo siguiente:

Protección de los bienes de la empresa (información y actividades);

Protección de la información en las comunicaciones y software;

Protección ante accesos malintencionados;

Prevención de alteraciones en las comunicaciones entre organizaciones;

Procesamiento seguro de la información.

Beneficios de la Norma ISO 17799

Una empresa certificada con la norma técnica ISO 17799 puede ganar frente a sus

competidores no certificados. Si un cliente potencial tiene que escoger entre

empresas diferentes y la seguridad es un aspecto trascendente, por lo general

optará por la certificada. Además una empresa certificada tendrá en cuenta lo

siguiente:

Mayor seguridad en la empresa;

Planeación y manejo de la seguridad más efectivos

Alianzas comerciales y e-commerce más seguros

Mayor confianza en el cliente;

Auditorías de seguridad más precisas y confiables

Menor responsabilidad civil.

La metodología que se propone cuenta con seis etapas

ETAPA 1. Determinación de las necesidades de documentación.

Objetivo: Determinar los tipos de documentos que deben existir en la

organización para garantizar que los procesos se lleven a cabo bajo condiciones

controladas.

Manual de Calidad

Manuales de Procedimientos

Procedimientos generales y específicos

Registros

Planes de Calidad

Especificaciones

Además podrán existir otros documentos como:

Planes de inspección y ensayo.

Expedientes maestros de los productos

Informes

Planos

Dibujos, esquemas

Etiquetas

Certificados

Prospectos

Reglamentos

Facturas

Tarjetas de almacenamiento

Modelos

Instrucciones

Estos documentos pueden ser útiles para obtener los resultados que la

organización desea en materia de gestión de la calidad.

ETAPA 2. Diagnóstico de la situación de la documentación en la

organización.

Objetivo: Conocer la situación de la documentación en la organización

comparando lo que existe con las necesidades determinadas en la etapa anterior.

Se generara un informe que debe contener los documentos existentes por

proceso, su adecuación o no a los requisitos y su utilización correcta o no, de

acuerdo con los resultados del diagnóstico. Debe presentarse a la alta dirección.

ETAPA 3.Diseño del sistema documental.

Objetivo: Establecer todos los elementos generales necesarios para la elaboración

del Sistema Documental.

El grupo de personas designadas para elaborar el Manual de Calidad deben

definir sobre la base de las normas ISO 9001 y 9004, la estructura y formato del

Manual de Calidad, teniendo en cuenta las exclusiones permisibles. Esta

estructura contará con las siguientes partes:

Titulo

Resumen acerca del manual

Tabla de contenido

Breve descripción de la organización

Alcance (incluyendo toda exclusión permisible)

Términos y definiciones

Sistema de Gestión de la Calidad

Responsabilidad de la dirección

Gestión de recursos

Materialización del producto

Medición, análisis y mejora.

El formato del manual debe tener en cuenta el cumplimiento de los requisitos

establecidos para la documentación y facilitar su consulta y actualización.

Etapa 4. Elaboración de los documentos.

Objetivo: elaborar, revisar y aprobar todos los documentos a cada nivel.

Para elaborar los procedimientos generales se sugiere utilizar la siguiente

estructura:

PARTES CARÁCTER CONTENIDO

Objetivo Obligatorio Definirá el objetivo del procedimiento

Alcance Obligatorio Especificará el alcance de la aplicación del procedimiento

Responsabilidades Obligatorio Designará a los responsables de ejecutar y supervisar el cumplimiento del procedimiento

Términos y definiciones

Opcional Aclarará de ser necesario el uso de términos o definiciones no comunes aplicables al procedimiento.

Procedimiento Obligatorio Describirá en orden cronológico el conjunto de operaciones necesarias para ejecutar el procedimiento.

Requisitos de documentación

Obligatorio Relacionará todos los registros que deben ser completados durante la ejecución del procedimiento.

Referencias Obligatorio Referirá todos aquellos documentos que hayan sido consultados o se mencionen en el procedimiento

Anexos Opcional Incluirá el formato de los registros, planos, tablas o algún otro material que facilite la comprensión del procedimiento.

ETAPA 5. Implantación del sistema documental.

Objetivo: Poner en práctica lo establecido en los documentos elaborados.

Tareas:

1. Para ejecutar esta tarea se deben tener en cuenta las características propias de la organización y los recursos existentes.

2. Definir el cronograma de implantación.

La documentación aprobada debe ser distribuida a las áreas en la medida en que vaya siendo aprobada.

3. Distribuir la documentación a todos los implicados.

Cuando existan dificultades con la implantación de un procedimiento y se determinen necesidades de capacitación el plan elaborado debe ser actualizado y ejecutar la acción correctora en el período de tiempo más breve posible.

4. Determinar las necesidades de capacitación y actualizar el plan de capacitación.

5. Poner en práctica lo establecido en los documentos. 6. Recopilar evidencia documentada de lo anterior.

ETAPA 6. Mantenimiento y mejora del sistema.

Objetivo: Mantener la adecuación del sistema a las necesidades de la

organización a través de la mejora continua.

Tareas:

1. Realizar auditorías internas para identificar oportunidades de mejora.

2. Implementar acciones correctivas y preventivas tendientes a eliminar no

conformidades en la documentación.

3 . - C OB IT

Beneficios COBIT

Algunos de los beneficios que se obtienen al implementar COBIT son los

siguientes:

Enfocarse en objetivos y necesidades del negocio mejorando la

cooperación y comunicación entre los administradores del negocio y los

auditores.

Ayuda a los administradores a entender como los asuntos de seguridad y

control benefician sus áreas de operación.

Ayuda a las organizaciones a compararse con la competencia e

implementar mejores prácticas de objetivos de control y la tecnología

relacionada.

Se desarrollan fuertes relaciones de negocio a varios niveles y las

sorpresas se vuelven raras.

Las organizaciones generan confianza y credibilidad hacía sus clientes.

Permite a las organizaciones cumplir con requerimientos regulatorios.

Implantación

1.- Identificar soluciones automatizadas

La necesidad de una nueva aplicación o función requiere de análisis antes de la

compra o desarrollo para garantizar que los requisitos del negocio se satisfacen

con un enfoque efectivo y eficiente.

Este proceso cubre la definición de las necesidades, considera las fuentes

alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta

un análisis de riesgo y de costo-beneficio y concluye con una decisión final. Todos

estos pasos permiten a las organizaciones minimizar el costo para adquirir e

implantar soluciones, mientras que al mismo tiempo facilitan el logro de los

objetivos del negocio.

Control sobre el proceso TI de:

Identificar soluciones automatizadas.

Que satisface el requisito de negocio de TI para:

Traducir los requerimientos funcionales y de control a un diseño efectivo y

eficiente de soluciones automatizadas.

Enfocándose en:

La identificación de soluciones técnicamente factibles y rentables.

Se logra con:

• La definición de los requerimientos técnicos y de negocio.

• Realizar estudios de factibilidad como se define en los estándares de desarrollo.

• Aprobar (o rechazar) los requerimientos y los resultados de los estudios de

factibilidad.

Y se mide con:

• Número de proyectos donde los beneficios establecidos no se lograron debido a

suposiciones de factibilidad incorrectas.

• Porcentaje de estudios de factibilidad autorizados por el propietario del proceso.

• Porcentaje de usuarios satisfechos con la funcionalidad entregada.

2.- Adquirir y mantener software aplicativo

Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del

negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada

de controles aplicativos y requerimientos de seguridad, y el desarrollo y la

configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones

apoyar la operatividad del negocio de forma apropiada con las aplicaciones

automatizadas correctas.

3.- Adquirir y mantener infraestructura tecnológica

Las organizaciones deben contar con procesos para adquirir, implantar y

actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado

para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias

tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas.

Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones

del negocio.

Se logra con:

• El establecimiento de un plan de adquisición de tecnología que se alinea con el

plan de infraestructura tecnológica.

• La planeación de mantenimiento de la infraestructura.

• La implantación de medidas de control interno, seguridad y auditabilidad.

Se mide con:

• El porcentaje de plataformas que no se alinean con la arquitectura de TI definida

y los estándares de tecnología

• El número de procesos de negocio críticos soportados por infraestructura

obsoleta (o que pronto lo será)

• El número de componentes de infraestructura que ya no se pueden soportar (o

que ya no se podrán en el futuro cercano)

4.- Facilitar la operación y el uso

El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso

requiere la generación de documentación y manuales para usuarios y para TI, y

proporciona entrenamiento para garantizar el uso y la operación correctos de las

aplicaciones y la infraestructura.

5.- Adquirir recursos de TI

Se deben suministrar recursos TI, incluyendo personas, hardware, software y

servicios. Esto requiere de la definición y ejecución de los procedimientos de

adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la

adquisición en sí. El hacerlo así garantiza que la organización tenga todos los

recursos de TI que se requieren de una manera oportuna y rentable.

6.- Administrar cambios

Todos los cambios, incluyendo el mantenimiento de emergencia y parches,

relacionados con la infraestructura y las aplicaciones dentro del ambiente de

producción, deben administrarse formalmente y controladamente. Los cambios

(incluyendo procedimientos, procesos, sistema y parámetros del servicio) se

deben registrar, evaluar y autorizar previo a la implantación y revisar contra los

resultados planeados después de la implantación. Esto garantiza la reducción de

riesgos que impactan negativamente la estabilidad o integridad del ambiente de

producción.

7.- Instalar y acreditar soluciones y cambios

Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se

completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos

de prueba relevantes, definir la transición e instrucciones de migración, planear la

liberación y la transición en sí al ambiente de producción, y revisar la post-

implantación. Esto garantiza que los sistemas operacionales estén en línea con las

expectativas convenidas y con los resultados.

4 . - IT I L

Beneficios ITIL

ITIL es una de las herramientas que nos permite, mediante su conjunto de buenas

prácticas orientadas al negocio, a procesos y a clientes/usuarios conseguir una

óptima Gestión del Servicio y los beneficios que ello implica.

Es importante destacar que ayuda a la creación de una base sólida enfocada a la

mejora continua.

Por su parte los Beneficios de ITIL son:

Una mejora la calidad de los servicios proveídos.

Una visión clara y más confianza de los servicios ofrecidos de TI.

Una visión clara de la capacidad actual de TI.

Mayor flexibilidad para las organizaciones a través de un entendimiento con

las TI.

Un personal más satisfecho, a través de un mayor entendimiento de la

capacidad y mejores expectativas de gestión.

Mayor flexibilidad y adaptabilidad.

Mejora en los sistemas, tales como seguridad, fiabilidad, velocidad y

disponibilidad como se requiere en el nivel de servicio a ofrecer.

Reducción del tiempo de los cambios que se efectúan y una tasa mayor de

éxito.

Alineación de los servicios de TI con las necesidades de las organizaciones

definidas.

Asegura una mejor comunicación entre TI y las organizaciones a través de un

lenguaje común

Mejora la calidad y reduce los costes a largo plazo de la provisión de los

servicios.

Crea una base sólida para la mejora continua.

Incrementa la transparencia y control de las organizaciones de TI. Jornada

ITIL

Lo que a su vez nos permite:

Mejor accesibilidad a los servicios por parte de los usuarios a través de un

punto de contacto definido.

Más rapidez en las respuestas a las peticiones y quejas de los clientes.

Mejora del trabajo en equipo y la comunicación.

Mejor identificación de las áreas de mejora.

Una visión proactiva (solucionar problemas).

Reducir impactos negativos sobre las actividades de las organizaciones.

Un uso más eficaz y eficiente de los recursos de TI.

Reducción de las paradas debidas a los sistemas de TI.

Mejora en los ratios de resolución de incidencias.

Mejor control de los acuerdos a nivel de servicio.

Descubrimiento e implementación de soluciones permanentes.

Una aproximación consistente y sistemática a todos los procesos.

Implantación

Consideraciones para la Implantación de ITIL

Requiere de recursos como tiempo y dinero.

Desarrollar un plan de proyecto.

Se requiere educación y capacitación.

Requiere de participación y compromiso de la dirección general.

Llevar a cabo un sólido Plan de Comunicación.

Cambiar la cultura organizacional.

Requiere de la participación de todos.

Paso 1: Definir el alcance del modelo de referencia:

Implica:

Estructura de operación del área el nivel de detalle requerido para los registros y para los componentes de configuración asociados con los servicios.

Definir el esfuerzo y costo de implementación.

Paso 2: Definición de la estructura de Servicios de TI y la CMDB

Implica:

Definir el portafolio de servicios y SLAs:

Es necesaria la definición de la estructura de servicios, dominios de infraestructura

asociados y los acuerdos de nivel de servicio de acuerdo con la capacidad

existente en los recursos (Humanos, experticia e infraestructura asociada). Este

análisis presenta el impacto que puede ser alcanzado con los recursos disponibles

por la empresa.

Paso 3: Determinar los procesos operativos básicos:

Es clave la definición inicial del Service Desk y de los procesos que lo soportan, así también se implantara de las gestiones de incidencias, problemas, cambios, configuraciones, versiones y niveles de servicio.

Paso 4: Implantar los procesos tácticos requeridos por la organización:

Permiten desde el inicio poner en práctica el nivel de servicio y garantizar el cumplimiento de los acuerdos con clientes, establecidos en el paso 3 como SLM; además se implantaran las gestiones de disponibilidad, capacidad y continuidad.

Paso 5: Construir los procesos alineados con la estrategia del negocio y con la seguridad de la información.

En esta etapa se implantara la gestión financiera y de seguridad. Es decir, diseñar una política de seguridad, en colaboración con clientes y proveedores

correctamente alineada con las necesidades del negocio. Asegurando el cumplimiento de los estándares de seguridad acordados. Pero no dejando atrás hacer minimizar los riesgos de seguridad que amenacen la continuidad del servicio.

Paso 6: Definir métricas de calidad de servicio y desempeño de los procesos.

Estos indicadores proveen el mecanismo de seguimiento, mejora continua y planificación, primordiales tanto hacia dentro del departamento como de cara a los usuarios

Paso 7: Garantizar la calidad de la información en la CMDB:

Mediante la definición de registros de información puntales y que permitan generar reportes de desempeño, así como formar la base para los procesos de auditoría a la información y controles de validación de datos en el cargue de los mismos

Paso 8: Garantizar y monitorear la gestión de cambios.

Este elemento es la base fundamental para disponer de procesos que generen auto-aprendizaje y mejora continua. Un aspecto clave para ir adaptando los nuevos procedimientos y capacidades a la cambiante y dinámica realidad de una empresa moderna.

Paso 9: Entrenar al personal y hacer participes del proceso al resto de la organización.

El éxito de la iniciativa dependerá en gran manera de la forma en que los nuevos procedimientos se transformen una costumbre de trabajo, y que la alineación y participación del resto de la empresa en la definición y toma de decisiones se hayan hecho presentes

Paso 10: Seleccionar una herramienta adecuada que permita gestionar adecuadamente la información asociada con los procesos definidos

Tiempo de planificación para implantar ITIL

Gestión de Service Desk/Incidentes 3-6 MESES Gestión de Configuración 3-4 MESES Gestión de Problemas 1-3 MESES Gestión de Cambios 1-3 MESES Gestión de Release 1 MES Gestión de Disponibilidad 3-6 MESES Gestión de Capacidad 4-6 MESES Gestión de Continuidad 3-6 MESES Gestión Financiera de Servicios TI 4-6 MESES Gestión de Nivel Servicio 2-4 MESES

R ecomendac iones ( S o y u n a E m p r e s a ¿ Q u e m e r e c o m i e n d a s ? )

Las PyMES Mexicanas pueden obtener significativas ventajas

implementando normas o practicas (ISOs, COBIT, ITIL, etc.), ya que estas realizan

transacciones electrónicas comúnmente hoy en día, sin embargo un factor

primordial de tomar en cuenta es la Seguridad en el interior de la organización, las

normas nos hacen tomar medidas estrictas que permitan una operación continua y

segura.

Personas expertas concretan que las PyMES necesitan antes que nada, proteger

su información como son los activos de negocios de las amenazas en linia y

pérdida de información. Para ello deben acelerar la adopción de soluciones de

seguridad, almacenamiento y recuperación. Si los datos no están protegidos y

disponibles, la operación del negocio está en riesgo.

Antes que nada la PyME necesita contar con una cultura sobre las amenazas que

atentan contra la integridad de su información, ya que cuando existe una carencia

de información obre seguridad y políticas (normas) a seguir, se limita el

crecimiento de la empresa.

Deberán capacitar al personal respecto a las políticas de la compañía sobre

la protección y la disponibilidad de información.

Respaldar información valiosa de una manera periódica.

Estas dos son simples sugerencias que a cualquier empresa se le mencionaría,

pero al implantar normas Internacionales de Seguridad Informática iríamos más

haya...

Las normas ya famosas dentro de este ensayo le ayudarán a la PyME

Mexicana a asegurar la continuidad de su negocio en casi todas las

circunstancias. Es no solo un juego hablar sobre la Seguridad Informática si no

que se debe tomar medidas estrictas adoptando normas, estándares, modelos,

etc. Para el excelente funcionamiento y estar dentro del marco de competitividad.

Sea la excusa que sea, no es tan importante para no implementar algún tipo de

Certificación.

C O N C L U S I O N

L o q u e a h o r a p o d e m o s a s e g u r a r , e s q u e t e n e m o s u n a

c u l t u r a s o b r e l a S e g u r i d a d I n f o r m á t i c a y s u i m p o r t a n c i a e n

e l l a , n o e s u n p r o d u c t o m á s d e l a e m p r e s a , s i n o q u e e s u n

p r o c e s o a s e g u i r , y s a b e m o s q u e s i s e g u i m o s e l p r o c e s o d e

i m p l a n t a r u n a d e e l l a s s a b e m o s q u e e s t a m o s t o c a n d o l a

p u e r t a d e l é x i t o . N u e s t r a e m p r e s a s e r i a r e c o n o c i d a d e

p r i m e r n i v e l , p o r q u e c o n t a r a c o n u n t i p o d e s e g u r i d a d q u e

a n u e s t r o s c l i e n t e s l e s f a v o r e c e r á a l t e n e r s u i n f o r m a c i ó n

s e g u r a . S i e l c l i e n t e e s t á c o n t e n t o n o s o t r o s t a m b i é n

c l a r a m e n t e .

T o m e m o s e n c u e n t a q u e n o e s s o l o d e f i r m a r p a p e l e s y e s

t o d o , n o . T e n e m o s q u e s e g u i r c l a r a m e n t e e s t á n d a r e s ,

a d e c u a r n o s a e l l a s , c a p a c i t a r a n u e s t r o p e r s o n a l , y h a c e r

t o d o l o n e c e s a r i o p a r a q u e b r i n d a f r u t o s l a i m p l a n t a c i ó n , s i

n o t o m a m o s l a s m e d i d a s n e c e s a r i a s l a i m p l a n t a c i ó n t o m a r í a

o t r o r u m b o y n o s e r á e l d e l é x i t o , s i n o e l d e u n c a o s , n o

s o l o e s p a r a l a S e g u r i d a d I n f o r m a t i c a , y a q u e n o s a y u d a r a

a e n t e n d e r p e r f e c t a m e n t e a n u e s t r a e m p r e s a , s a b e r e l

r u m b o q u e l l e v a , s i e s e l a d e c u a d o o n o , c o n o c e r l a s

d e b i l i d a d e s a n t e e l m a r g u e n d e l a c o m p e t e n c i a y c o n o c e r

l a s n e c e s i d a d e s d e n u e s t r o s t r a b a j a d o r e s i n t e r n o s . H o y

p u e d o d e c i r c o n s e r t e s a q u e i m p l a n t a r a l g u n a n o r m a I S O o

a l g ú n m o d e l o e s l a m e j o r o p c i ó n q u e p u e d e t o m a r l a P y M E

M e x i c a n a .