1. ATI #28
Administración de las
Tecnologías de
Información
UNIVERSIDAD VERACRUZANA
FACULTAD DE
ADMINISTRACION
Rodriguez Romero Juan Enrique
2. INTRODUCCIÓN
La información tiene una importancia fundamental para el funcionamiento y
quizá incluso sea decisiva para la supervivencia de la organización. en
consecuencia necesita ser protegido adecuadamente. La información puede existir
en muchas formas. Puede estar impresa o escrita en un papel, almacenada
electrónicamente, transmitida por correo o utilizando medios electrónicos,
mostrada en películas o hablada en una conversación. Cualquiera que sea la
forma que tome la información, o medio por el cual sea almacenada o compartida,
siempre debiera estar apropiadamente protegida.
La seguridad de la información es la protección de la información de un rango
amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el
riesgo comercial y maximizar el retorno de las inversiones y las oportunidades
comerciales.
La seguridad de la información se logra implementando un adecuado conjunto de
controles; incluyendo políticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y hardware. Se necesitan establecer,
implementar, monitorear, revisar y mejorar estos controles cuando sea necesario
para asegurar que se cumplan los objetivos de seguridad y comerciales
específicos. Esto se debiera realizar en conjunción con otros procesos de gestión
del negocio.
En este apartado se indicaran las normas que existen en el contexto mexicano, de
igual forma como deberá o que pasos seguir para poder funcionar adecuadamente
una Pyme, con algunas recomendaciones para establecer sus necesidades,
identificando normas internacionales que son auditables y que definen los
requisitos para un sistema de gestión de la seguridad de la información (SGSI).
Las normas se han concebido para garantizar la selección de controles de
seguridad adecuados y proporcionales.
3. Contexto Mexicano
¿Qué normas están en nuestro país?
Dentro del contexto mexicano existen algunas normas para el funcionamiento de
una empresa de Sistemas de Información esto para que de una manera refleje la
capacidad de un organismo para ofrecer un servicio, producto o sistema de
acuerdo con los requisitos del cliente y la regulación existente, utilizando
estándares regulatorias.
La dependencia en los sistemas y servicios de información significa que las
organizaciones son más vulnerables a las amenazas de seguridad. La información
es un activo que, como cualquier otro activo importante de negocio, tiene valor
para una organización y por consecuencia necesita ser protegida adecuadamente.
Mediante la identificación y clasificación adecuada de esos activos y una
evaluación sistemática de riesgos de amenazas y vulnerabilidades su empresa
puede elegir controles apropiados para gestionar esos riesgos y demostrar que se
esta preservando la confidencialidad, integridad y disponibilidad de esos activos
de información para clientes, consumidores, accionistas, autoridades y sociedad
en general. Las normas regulatorias para la Seguridad Informática son:
ISO 27001
ISO 27001 es un estándar internacional que fue aprobado y publicado como
estándar internacional en octubre de 2005 por International Organization for
Standardization y por la comisión International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el
conocido “Ciclo de Deming”: PDCA acrónimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar).
Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual
ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la
entidad de normalización británica, la British Standards Institution (BSI).
4. La implantación de ISO/IEC 27001 en una organización es un proyecto que suele
tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en
seguridad de la información y el alcance, entendiendo por alcance el ámbito de la
organización que va a estar sometido al Sistema de Gestión de la Seguridad de la
Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda
de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de información y sus procesos de trabajo a las exigencias de las
normativas legales de protección de datos o que hayan realizado un acercamiento
progresivo a la seguridad de la información mediante la aplicación de las buenas
prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de
implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de
todas las áreas de la organización que se vean afectadas por el SGSI, liderado por
la dirección y asesorado por consultores externos especializados en seguridad
informática generalmente Ingenieros o Ingenieros Técnicos en Informática,
derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de
seguridad de la información.
ISO 17799
ISO/IEC 17799 se denomina también como ISO 27002, es un estándar para la
seguridad de la información publicado por primera vez como ISO/IEC 17799:2000
por la International Organization for Standardization y por la Comisión
Electrotécnica Internacional en el año 2000, con el título de Information technology
- Security techniques - Code of practice for information security management. Tras
un periodo de revisión y actualización de los contenidos del estándar, se publicó
en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El
estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue
publicado por primera vez en 1995.
5. Esta norma Internacional proporciona recomendaciones de las mejores prácticas
en la gestión de la seguridad de la información a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad
de la información. La seguridad de la información se define en el estándar
como "la preservación de la confidencialidad (asegurando que sólo quienes estén
autorizados pueden acceder a la información), integridad (asegurando que la
información y sus métodos de proceso son exactos y completos) y disponibilidad
(asegurando que los usuarios autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran)".
En algunos apartados del año en que surgió que fue el 2005 se incluyen once
secciones principales:
1. Política de Seguridad de la Información.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.}
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada sección, se especifican los objetivos de los distintos controles para
la seguridad de la información. Para cada uno de los controles se indica así mismo
una guía para su implantación. El número total de controles suma mucho más,
todas las secciones aunque cada organización debe considerar previamente
cuántos serán realmente los aplicables según sus propias necesidades.
Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de
la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC
17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y
actualización de sus contenidos en el 2007.
6. COSO
COSO es un modelo que surge para el cumplimiento de los siguientes objetivos:
a) Implementar una definición de control interno para que sea de conocimiento
general y para satisfacer las necesidades de cada persona involucrada.
b) Facilitar la evaluación del sistema de control mediante una estructura.
Proporciona un modelo de control para el logro de una administración de los
riesgos de las organizaciones de una forma eficiente. Significados de las Siglas:
COSO (Committee of Sponsoring Organizations of the Tread way Commission).
Consiste en un comité creado en Estados Unidos en el año 1985 conformado por
las instituciones mencionadas posteriormente, en donde se incluyen la
participación de auditores internos, contadores, administradores y otros.
Dicho nombre fue adoptado debido a que se trata de un trabajo por más de cinco
años, de varias instituciones ubicadas en aproximadamente cincuenta países. La
comisión fue creada con el objetivo de tener un marco conceptual compuesto por
diferentes puntos de vista acerca del Control Interno.
Dicho modelo es utilizado en varios países por varias organizaciones tales como
bancos, organizaciones comerciales, manufactureras, de servicio y otras.
El 29 se septiembre del 2004 se lanzó el Marco de Control denominado COSO II
que según su propio texto no contradice al COSO I, siendo ambos marcos
conceptualmente compatibles. Sin embargo, este marco se enfoca a la gestión de
los riesgos (más allá de la intención de reducir riesgos que se plantea en COSO I)
mediante técnicas como la administración de un portafolio de riesgos.
La Ley General de Control Interno de 2002 (Ley 8292) promulgada por el gobierno
de Costa Rica, fue la primera de nuestro hemisferio dirigida específicamente al
control interno, y enfocado al Sector Publico, establece los criterios mínimos que
deberán observar los entes u órganos públicos en el establecimiento,
funcionamiento, mantenimiento, perfeccionamiento y evaluación de sus sistemas
de control interno.
7. Con el informe COSO (COMMITTEE OF SPONSORING ORGANIZATIONS), de
1992, se modificaron los principales conceptos del Control Interno dándole a este
una mayor amplitud.
El Control Interno se define entonces como un proceso integrado a los procesos, y
no un conjunto de pesados mecanismos burocráticos añadidos a los mismos,
efectuado por el consejo de la administración, la dirección y el resto del personal
de una entidad, diseñado con el objeto de proporcionar una garantía razonable
para el logro de objetivos.
La seguridad a la que aspira solo es la razonable, en tanto siempre existirá el
limitante del costo en que se incurre por el control, que debe estar en
concordancia con el beneficio que aporta; y, además, siempre se corre el riesgo
de que las personas se asocien para cometer fraudes.
Se modifican, también, las categorías de los objetivos a los que está orientado
este proceso.
De una orientación meramente contable, el Control Interno pretende ahora
garantizar:
Efectividad y eficiencia de las operaciones.
Confiabilidad de la información financiera.
Cumplimiento de las leyes y normas que sean aplicables.
Salvaguardia de los recursos.
A través de la implantación de 5 componentes que son:
Ambiente de control (Marca el comportamiento en una organización. Tiene
influencia directa en el nivel de concientización del personal respecto al
control.)
Evaluación de riesgos (Mecanismos para identificar y evaluar riesgos para
alcanzar los objetivos de trabajo, incluyendo los riesgos particulares asociados
con el cambio.)
Actividades de control (Acciones, Normas y Procedimientos que tiende a
asegurar que se cumplan las directrices y políticas de la Dirección para afrontar
los riesgos identificados.)
8. Información y comunicación (Sistemas que permiten que el personal de la
entidad capte e intercambie la información requerida para desarrollar, gestionar
y controlar sus operaciones.)
Supervisión (Evalúa la calidad del control interno en el tiempo. Es importante
para determinar si éste está operando en la forma esperada y si es necesario
hacer modificaciones.)
COBIT
Es un modelo para el Gobierno de la TI desarrollado por la Information Systems
Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en
cuatro dominios: El plan y Organiza, Adquiere y Pone en práctica, Entrega y
Apoya, y Supervisa y Evalúa.
Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar
el valor de TI., apoya el alineamiento con el negocio y simplifica la implantación
del COBIT. COBIT está dividido en varias versiones o mejor dicho existen
versiones diferentes, el COBIT 4 es la más reciente y reconocida
Internacionalmente, en esta versión no invalida el trabajo efectuado con las
versiones anteriores del COBIT, sino que mejora el trabajo hecho.
Es un marco de gobernación TI que permite a gerentes acortar el hueco entre
exigencias de control, cuestiones técnicas y riesgos de negocio. COBIT permite
el desarrollo claro de política y la práctica buena para el control de TI en todas
partes de organizaciones.
La última versión del ITGI - COBIT ® 4.0 - acentúa el cumplimiento regulador,
ayuda a organizaciones a aumentar el valor logrado de TI, permite la alineación y
simplifica la puesta en práctica del marco COBIT. Esto no invalida el trabajo hecho
basado en las versiones más tempranas de COBIT, pero
en cambio puede ser usado realzar el trabajo ya hecho basado sobre aquellas
versiones más tempranas. Cuando actividades principales son planeadas para
iniciativas de gobernación TI, o cuando una revisión y reparación del marco de
9. control de la empresa es esperada (prevista), le recomiendan comenzar fresco con
COBIT 4.0. COBIT 4.0 actividades de regalos en una manera más dinamizada y
práctica tan la mejora continua de la gobernación TI es más fácil que alguna vez
para alcanzar.
Esta nueva versión refleja la armonización aumentada con
otras normas detalladas, el énfasis mayor sobre la gobernación TI, el dinamizar de
conceptos y lengua, y el análisis detallado de conceptos de métrico, entre otras
mejoras.
El nuevo volumen, consistiendo en más de 200 páginas, incluye
una descripción ejecutiva, el marco, el contenido principal (el control de alto nivel
objetivos de control objetivos, detallados, directrices de dirección y el modelo de
madurez) para cada uno de los 34 procesos, y varios apéndices.
Independientemente de la realidad tecnológica de cada caso concreto, COBIT
determina, con el respaldo de las principales normas técnicas internacionales, un
conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y
la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar
riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el
cumplimiento de metas y el nivel de madurez de los procesos de la organización.
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas
generalmente aceptadas, indicadores, procesos y las mejores prácticas para
ayudar a ellos en el maximizar las ventajas sacadas por
el empleo de tecnología de información y desarrollo de la gobernación apropiada
TI y el control en una empresa.
Proporciona ventajas a gerentes, TI usuarios, e interventores. Los gerentes se
benefician de COBIT porque esto provee de ellos de una fundación sobre cual TI
las decisiones relacionadas e inversiones pueden estar basadas. La toma de
decisiones es más eficaz porque COBIT ayuda la dirección en la definición de un
plan de TI estratégico, la definición de la arquitectura de la información, la
adquisición del hardware necesario TI y el software para ejecutar una estrategia
TI, la aseguración del servicio continuo, y la supervisión del funcionamiento del
10. sistema TI. TI usuarios se benefician de COBIT debido al aseguramiento
proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el
reportaje de información cumplen con COBIT ya que esto implica mandos y la
seguridad es en el lugar para gobernar los procesos. COBIT beneficia a
interventores porque esto les ayuda a identificar cuestiones de control de TI dentro
de la infraestructura TI de una empresa. Esto también les ayuda a corroborar sus
conclusiones de auditoria.
La misión COBIT es "para investigar, desarrollar, hacer público y promover un
juego autoritario, actualizado, internacional de objetivos de control de
tecnología de información generalmente aceptados para el empleo cotidiano
por directores comerciales e interventores. " Nos damos una pequeña idea de
que los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT
porque esto les ayuda a entender sus sistemas TI y decidir el nivel de seguridad y
control que es necesario para proteger el activo de sus empresas por el desarrollo
de un modelo de gobernación TI.
ITIL
La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente
abreviada ITIL (del inglés Information Technology Infrastructure Library), es un
conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la
información, el desarrollo de tecnologías de la información y las operaciones
relacionadas con la misma en general. ITIL da descripciones detalladas de un
extenso conjunto de procedimientos de gestión ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos
procedimientos son independientes del proveedor y han sido desarrollados para
servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.
Aunque se desarrolló durante los años 1980, ITIL no fue ampliamente
adoptada hasta mediados de los años 1990. Esta mayor adopción y conocimiento
ha llevado a varios estándares, incluyendo ISO/IEC 20000, mencionado
anteriormente y sabiendo que es la que cubre los elementos de gestión de
servicios de TI de ITIL. ITIL se considera a menudo junto con otros marcos de
11. trabajo de mejores prácticas como la Information Services Procurement Library
(ISPL, „Biblioteca de adquisición de servicios de información‟), la Application
Services Library (ASL, „Biblioteca de servicios de aplicativos‟), el método de
desarrollo de sistemas dinámicos (DSDM, Dynamic Systems Development
Method), el Modelo de Capacidad y Madurez (CMM/CMMI) y a menudo se
relaciona con la gobernanza de tecnologías de la información mediante COBIT
(Control Objectives for Information and related Technology).
ISO/IEC 20000
La serie ISO/IEC 20000 - Service Management normalizada y publicada por las
organizaciones ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission) el 14 de diciembre de 2005, es el
estándar reconocido internacionalmente en gestión de servicios de TI
(Tecnologías de la Información). La serie 20000 proviene de la adopción de la
serie BS 15000 desarrollada por la entidad de normalización británica, la British
Standards Institution (BSI).
La gestión de una entrega efectiva de los servicios de TI es crucial para las
empresas. Hay una percepción de que estos servicios no están alineados con las
necesidades y requisitos del negocio. Esto es especialmente importante tanto si se
proporciona servicios internamente a clientes como si se está subcontratado
proveedores. Una manera de demostrar que los servicios de TI están cumpliendo
con las necesidades del negocio es implantar un Sistema de Gestión de Servicios
de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La
certificación en esta norma internacional permite demostrar de manera
independiente que los servicios ofrecidos cumplen con las mejores prácticas.
ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida
internacionalmente como una British Standard (BS), y que está disponible en dos
partes: una especificación auditable y un código de buenas prácticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library),
o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL
no es medible y puede ser implantado de muchas maneras, mientras que en la
12. ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un
conjunto establecido de requisitos.
La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en
cualquier sector o parte del mundo donde confían en los servicios de TI. La norma
es particularmente aplicable para proveedores de servicios internos de TI, tales
como departamentos de Información Tecnológica, proveedores externos de TI o
incluso organizaciones subcontratadas. La norma está impactando positivamente
en algunos de los sectores que necesitan TI tales como subcontratación de
negocios, Telecomunicaciones, Finanzas y el Sector Público.
BASILEA I Y II
Es una organización formada en 1975, por los presidentes de los Bancos
Centrales del Grupo de los Diez (Países), integrada por autoridades en
Supervisión Bancaria de los siguientes países: Bélgica, Canadá, Francia,
Alemania, Italia, Japón, Luxemburgo, Holanda, Suecia, Suiza, Reino Unido y los
Estados Unidos. Esta organización adopta el nombre de Comité de Basilea para la
Supervisión Bancaria, ya que usualmente se reúne en el Banco de Regulaciones
Internacionales en Basilea, donde se encuentra ubicada permanentemente su
secretaría.
Las principales funciones son las siguientes:
a) Formula estándares y pautas generales de supervisión bancaria.
b) Emite declaraciones de mejores prácticas, a fin que las autoridades individuales tomen las
medidas necesarias para aplicarlas de la forma que mejor convenga a sus propios
sistemas nacionales.
c) Constituye un foro de debate para la resolución de problemas específicos de supervisión.
d) Coordina la distribución de las competencias supervisoras entre las autoridades
nacionales, a fin de garantizar una supervisión eficaz de las actividades bancarias.
Después de la Segunda Guerra Mundial, los bancos buscaron y generaron su
expansión. Por ejemplo, los bancos comerciales en Francia se desarrollaron de
manera increíble, lo mismo que los bancos de Italia, Alemania, Suiza,
Holanda, Inglaterra, Suecia y Dinamarca.
13. A la par de esto, los bancos de los Estados Unidos se constituyeron en ejemplo de
ayuda internacional y se consolidaron en los años sesenta y setenta como los
pioneros de la banca corporativa, entre ellos podemos mencionar el Chase
Manhattan Bank, First National City Bank (hoy Citigroup), Bank of New York, entre
otros.
A principios de los años ochenta, llamada la década perdida de América Latina,
muchos bancos estadounidenses tenían excedentes en dólares, llamados
petrodólares, para ser colocados fuera de su país.
En tal virtud, empezaron a otorgar préstamos con intereses blandos a ciento de
empresas y entidades financieras de casi toda América Latina.
Concomitantemente a esto, los bancos de Europa también prestaban para
proyectos en la región, pero fueron más conservadores que los estadounidenses.
Por tales razones, a mediados de los años ochenta se aglomeraron los más
importantes bancos de Europa Occidental para crear desde la ciudad de Basilea,
Suiza, las primeras normas para fortalecer cualquier institución financiera.
En el mes de diciembre del año 1974, los gobernadores de los bancos centrales
del Grupo de los Diez (G-10) y Luxemburgo, crearon el Comité de Supervisión
Bancaria de Basilea, con la finalidad de mejorar la colaboración entre las
autoridades de supervisión bancaria.
P yM ES MEXIC AN AS
(¿Que normas nos son viables?)
(¿Cuáles son los pasos para Implantar?)
Cuando uno sale de casa procuramos dejar todo con
llave y cerrado, pero ¿qué pasa cuando nos v amos y
dejamos la casa abierta? Aunque se escuche que no p uede
pasar o simplemente algo tonto de preguntar, eso es lo que
las PyMES deberían de preguntarse de vez en cuando
respecto a la seguridad de sus Sistemas de Información. La
mayoría de las PyMES no son conscientes de los riesgos a
14. los que enfrentan sus sistemas informáticos, sin riesgo a
equivocarme puedo asegurar que ocho de cada diez PyMES
no tienen una política ni procedimiento establecido para el
control y aseguramiento de su sistema de información.
Lo peor de la situación, sin duda no es que no tenga n
alguna política, sino que ni siquiera piensan que deberían
tenerla. Y si piensan en que deberían tenerla, entra en
juego otro concepto importante, la resistencia al cambio,
que ralentiza sino detienen cualquier tipo de iniciativa.
Entre las normas recomendadas a implementar en una
PyME se encuentran las siguientes:
1.- ISO 27001
Beneficios
- Debido a la dependencia de la información y sistemas de información, la
confidencialidad, integridad y disponibilidad de la información son esenciales para
mantener el marco competitivo, el flujo de efectivo, la rentabilidad e imagen
comercial.
- Cumplimiento con los requisitos legales, reglamentarios, y contractuales.
- Gobierno corporativo mejorado y garantía para terceras partes tales como
accionistas, clientes, consumidores y proveedores.
- A través de una apropiada evaluación de riesgo, se identifican las amenazas a
los activos, se evalúa la vulnerabilidad y probabilidad de ocurrencia y se estima el
impacto potencial, así su inversión se asigna donde sea necesaria.
En la actualidad ISO 27001 aplica una aproximación por procesos para la
gestión de la seguridad de la información, enfatizando la importancia de los
siguientes aspectos: ��� Comprensión de los requisitos de seguridad de la
organización. Necesidad de establecer una política y unos objetivos.
��� Implementar controles para gestionar los riesgos en el contexto del negocio.
15. ��� Monitorizar el rendimiento del SGSI.
��� Mejora continua basada en la medición de los objetivos. ISO 27001 adopta el
modelo PDCA («Plan-Do-Check-Act», Planificar- Hacer-Comprobar-Actuar) que se
aplica para estructurar todos los procesos del SGSI y también está subyacente en
los principios de la OCDE. Las actividades principales asociadas al modelo PDCA
aplicadas al SGSI son:
��� Planificar: establecer políticas, objetivos, procesos y procedimientos relevantes
para la gestión de los riesgos y mejorar la seguridad de la información para
entregar resultados satisfactorios con respecto a los objetivos de la organización.
��� Hacer: implementar y operar los elementos del SGSI (política, controles,
procesos y procedimientos).
��� Comprobar: medir el rendimiento de los procesos contra los objetivos del SGSI,
notificando los resultados a la dirección para su revisión.
��� Actuar: basándose en las revisiones, realizar acciones preventivas y correctivas
para alcanzar la mejora continua del SGSI.
Estructura de la norma ISO 27001
Introducción.
Alcance.
Referencias.
Definiciones.
Requisitos para el ciclo de vida del SGSI
o Generales.
o Establecimiento y gestión.
o Documentación.
Responsabilidad de la Dirección.
Auditorías internas.
Revisión del SGSI por parte de la Dirección.
Mejora del SGSI.
ANEXO A. Objetivos de control.
ANEXO B. Principios de seguridad de la OCDE.
ANEXO C. Correspondencia con las normas 9001 (calidad) y 14001
(medioambiente).
BIBLIOGRAFÍA.
16. 2.- ISO 17799
Existen numerosas claves para lograr una implementación satisfactoria de un
programa de administración de riesgos de seguridad en una organización.
En primer lugar, no se puede llevar a cabo una administración de riesgos de
seguridad si no se cuenta con el apoyo y el compromiso del equipo directivo.
Cuando la administración de riesgos de seguridad se dirige desde la sima, las
organizaciones pueden articular la seguridad en términos de valor para la
empresa. Luego, una definición clara de funciones y responsabilidades resulta
fundamental para el éxito.
Los responsables de negocios son los encargados de identificar las repercusiones
de un riesgo. También se encuentran en la mejor posición para articular el valor de
negocio de los activos que son necesarios para llevar a cabo sus funciones. El
grupo de seguridad de información se encarga de identificar la probabilidad de que
se produzca el riesgo teniendo en cuenta los controles actuales y propuestos. El
grupo de tecnología de información es el responsable de implementar los
controles que el comité directivo de seguridad ha seleccionado cuando la
probabilidad de una vulnerabilidad presenta un riesgo inaceptable.
Ventajas de la Norma ISO 17799
Las organizaciones que hacen uso de la norma ISO 17799 experimentan ventajas
competitivas que le permiten garantizar lo siguiente:
Protección de los bienes de la empresa (información y actividades);
Protección de la información en las comunicaciones y software;
Protección ante accesos malintencionados;
Prevención de alteraciones en las comunicaciones entre organizaciones;
Procesamiento seguro de la información.
Beneficios de la Norma ISO 17799
Una empresa certificada con la norma técnica ISO 17799 puede ganar frente a sus
competidores no certificados. Si un cliente potencial tiene que escoger entre
17. empresas diferentes y la seguridad es un aspecto trascendente, por lo general
optará por la certificada. Además una empresa certificada tendrá en cuenta lo
siguiente:
Mayor seguridad en la empresa;
Planeación y manejo de la seguridad más efectivos
Alianzas comerciales y e-commerce más seguros
Mayor confianza en el cliente;
Auditorías de seguridad más precisas y confiables
Menor responsabilidad civil.
La metodología que se propone cuenta con seis etapas
ETAPA 1. Determinación de las necesidades de documentación.
Objetivo: Determinar los tipos de documentos que deben existir en la
organización para garantizar que los procesos se lleven a cabo bajo condiciones
controladas.
Manual de Calidad
Manuales de Procedimientos
Procedimientos generales y específicos
Registros
Planes de Calidad
Especificaciones
Además podrán existir otros documentos como:
Planes de inspección y ensayo.
Expedientes maestros de los productos
Informes
Planos
Dibujos, esquemas
Etiquetas
Certificados
Prospectos
Reglamentos
Facturas
Tarjetas de almacenamiento
Modelos
Instrucciones
Estos documentos pueden ser útiles para obtener los resultados que la
organización desea en materia de gestión de la calidad.
18. ETAPA 2. Diagnóstico de la situación de la documentación en la
organización.
Objetivo: Conocer la situación de la documentación en la organización
comparando lo que existe con las necesidades determinadas en la etapa anterior.
Se generara un informe que debe contener los documentos existentes por
proceso, su adecuación o no a los requisitos y su utilización correcta o no, de
acuerdo con los resultados del diagnóstico. Debe presentarse a la alta dirección.
ETAPA 3.Diseño del sistema documental.
Objetivo: Establecer todos los elementos generales necesarios para la elaboración
del Sistema Documental.
El grupo de personas designadas para elaborar el Manual de Calidad deben
definir sobre la base de las normas ISO 9001 y 9004, la estructura y formato del
Manual de Calidad, teniendo en cuenta las exclusiones permisibles. Esta
estructura contará con las siguientes partes:
Titulo
Resumen acerca del manual
Tabla de contenido
Breve descripción de la organización
Alcance (incluyendo toda exclusión permisible)
Términos y definiciones
Sistema de Gestión de la Calidad
Responsabilidad de la dirección
Gestión de recursos
Materialización del producto
Medición, análisis y mejora.
El formato del manual debe tener en cuenta el cumplimiento de los requisitos
establecidos para la documentación y facilitar su consulta y actualización.
Etapa 4. Elaboración de los documentos.
Objetivo: elaborar, revisar y aprobar todos los documentos a cada nivel.
Para elaborar los procedimientos generales se sugiere utilizar la siguiente
estructura:
19. PARTES CARÁCTER CONTENIDO
Objetivo Obligatorio Definirá el objetivo del procedimiento
Alcance Obligatorio Especificará el alcance de la aplicación del
procedimiento
Responsabilidades Obligatorio Designará a los responsables de ejecutar y supervisar
el cumplimiento del procedimiento
Términos y Opcional Aclarará de ser necesario el uso de términos o
definiciones definiciones no comunes aplicables al procedimiento.
Procedimiento Obligatorio Describirá en orden cronológico el conjunto
de operaciones necesarias para ejecutar el
procedimiento.
Requisitos de Obligatorio Relacionará todos los registros que deben ser
documentación completados durante la ejecución del procedimiento.
Referencias Obligatorio Referirá todos aquellos documentos que hayan sido
consultados o se mencionen en el procedimiento
Anexos Opcional Incluirá el formato de los registros, planos, tablas o
algún otro material que facilite la comprensión del
procedimiento.
ETAPA 5. Implantación del sistema documental.
Objetivo: Poner en práctica lo establecido en los documentos elaborados.
Tareas:
1. Para ejecutar esta tarea se deben tener en cuenta las características propias
de la organización y los recursos existentes.
2. Definir el cronograma de implantación.
La documentación aprobada debe ser distribuida a las áreas en la medida en que
vaya siendo aprobada.
3. Distribuir la documentación a todos los implicados.
Cuando existan dificultades con la implantación de un procedimiento y se
determinen necesidades de capacitación el plan elaborado debe ser
actualizado y ejecutar la acción correctora en el período de tiempo más breve
posible.
20. 4. Determinar las necesidades de capacitación y actualizar el plan de
capacitación.
5. Poner en práctica lo establecido en los documentos.
6. Recopilar evidencia documentada de lo anterior.
ETAPA 6. Mantenimiento y mejora del sistema.
Objetivo: Mantener la adecuación del sistema a las necesidades de la
organización a través de la mejora continua.
Tareas:
1. Realizar auditorías internas para identificar oportunidades de mejora.
2. Implementar acciones correctivas y preventivas tendientes a eliminar no
conformidades en la documentación.
3.- COBIT
Beneficios COBIT
Algunos de los beneficios que se obtienen al implementar COBIT son los
siguientes:
Enfocarse en objetivos y necesidades del negocio mejorando la
cooperación y comunicación entre los administradores del negocio y los
auditores.
Ayuda a los administradores a entender como los asuntos de seguridad y
control benefician sus áreas de operación.
Ayuda a las organizaciones a compararse con la competencia e
implementar mejores prácticas de objetivos de control y la tecnología
relacionada.
Se desarrollan fuertes relaciones de negocio a varios niveles y las
sorpresas se vuelven raras.
Las organizaciones generan confianza y credibilidad hacía sus clientes.
Permite a las organizaciones cumplir con requerimientos regulatorios.
21. Implantación
1.- Identificar soluciones automatizadas
La necesidad de una nueva aplicación o función requiere de análisis antes de la
compra o desarrollo para garantizar que los requisitos del negocio se satisfacen
con un enfoque efectivo y eficiente.
Este proceso cubre la definición de las necesidades, considera las fuentes
alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta
un análisis de riesgo y de costo-beneficio y concluye con una decisión final. Todos
estos pasos permiten a las organizaciones minimizar el costo para adquirir e
implantar soluciones, mientras que al mismo tiempo facilitan el logro de los
objetivos del negocio.
Control sobre el proceso TI de:
Identificar soluciones automatizadas.
Que satisface el requisito de negocio de TI para:
Traducir los requerimientos funcionales y de control a un diseño efectivo y
eficiente de soluciones automatizadas.
Enfocándose en:
La identificación de soluciones técnicamente factibles y rentables.
Se logra con:
• La definición de los requerimientos técnicos y de negocio.
• Realizar estudios de factibilidad como se define en los estándares de desarrollo.
• Aprobar (o rechazar) los requerimientos y los resultados de los estudios de
factibilidad.
Y se mide con:
• Número de proyectos donde los beneficios establecidos no se lograron debido a
suposiciones de factibilidad incorrectas.
• Porcentaje de estudios de factibilidad autorizados por el propietario del proceso.
• Porcentaje de usuarios satisfechos con la funcionalidad entregada.
22. 2.- Adquirir y mantener software aplicativo
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del
negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada
de controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones
apoyar la operatividad del negocio de forma apropiada con las aplicaciones
automatizadas correctas.
3.- Adquirir y mantener infraestructura tecnológica
Las organizaciones deben contar con procesos para adquirir, implantar y
actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado
para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias
tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas.
Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones
del negocio.
Se logra con:
• El establecimiento de un plan de adquisición de tecnología que se alinea con el
plan de infraestructura tecnológica.
• La planeación de mantenimiento de la infraestructura.
• La implantación de medidas de control interno, seguridad y auditabilidad.
Se mide con:
• El porcentaje de plataformas que no se alinean con la arquitectura de TI definida
y los estándares de tecnología
• El número de procesos de negocio críticos soportados por infraestructura
obsoleta (o que pronto lo será)
• El número de componentes de infraestructura que ya no se pueden soportar (o
que ya no se podrán en el futuro cercano)
4.- Facilitar la operación y el uso
El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso
requiere la generación de documentación y manuales para usuarios y para TI, y
23. proporciona entrenamiento para garantizar el uso y la operación correctos de las
aplicaciones y la infraestructura.
5.- Adquirir recursos de TI
Se deben suministrar recursos TI, incluyendo personas, hardware, software y
servicios. Esto requiere de la definición y ejecución de los procedimientos de
adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la
adquisición en sí. El hacerlo así garantiza que la organización tenga todos los
recursos de TI que se requieren de una manera oportuna y rentable.
6.- Administrar cambios
Todos los cambios, incluyendo el mantenimiento de emergencia y parches,
relacionados con la infraestructura y las aplicaciones dentro del ambiente de
producción, deben administrarse formalmente y controladamente. Los cambios
(incluyendo procedimientos, procesos, sistema y parámetros del servicio) se
deben registrar, evaluar y autorizar previo a la implantación y revisar contra los
resultados planeados después de la implantación. Esto garantiza la reducción de
riesgos que impactan negativamente la estabilidad o integridad del ambiente de
producción.
7.- Instalar y acreditar soluciones y cambios
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos
de prueba relevantes, definir la transición e instrucciones de migración, planear la
liberación y la transición en sí al ambiente de producción, y revisar la post-
implantación. Esto garantiza que los sistemas operacionales estén en línea con las
expectativas convenidas y con los resultados.
4.- ITIL
Beneficios ITIL
ITIL es una de las herramientas que nos permite, mediante su conjunto de buenas
prácticas orientadas al negocio, a procesos y a clientes/usuarios conseguir una
óptima Gestión del Servicio y los beneficios que ello implica.
24. Es importante destacar que ayuda a la creación de una base sólida enfocada a la
mejora continua.
Por su parte los Beneficios de ITIL son:
Una mejora la calidad de los servicios proveídos.
Una visión clara y más confianza de los servicios ofrecidos de TI.
Una visión clara de la capacidad actual de TI.
Mayor flexibilidad para las organizaciones a través de un entendimiento con
las TI.
Un personal más satisfecho, a través de un mayor entendimiento de la
capacidad y mejores expectativas de gestión.
Mayor flexibilidad y adaptabilidad.
Mejora en los sistemas, tales como seguridad, fiabilidad, velocidad y
disponibilidad como se requiere en el nivel de servicio a ofrecer.
Reducción del tiempo de los cambios que se efectúan y una tasa mayor de
éxito.
Alineación de los servicios de TI con las necesidades de las organizaciones
definidas.
Asegura una mejor comunicación entre TI y las organizaciones a través de un
lenguaje común
Mejora la calidad y reduce los costes a largo plazo de la provisión de los
servicios.
Crea una base sólida para la mejora continua.
Incrementa la transparencia y control de las organizaciones de TI. Jornada
ITIL
Lo que a su vez nos permite:
Mejor accesibilidad a los servicios por parte de los usuarios a través de un
punto de contacto definido.
Más rapidez en las respuestas a las peticiones y quejas de los clientes.
Mejora del trabajo en equipo y la comunicación.
Mejor identificación de las áreas de mejora.
Una visión proactiva (solucionar problemas).
Reducir impactos negativos sobre las actividades de las organizaciones.
Un uso más eficaz y eficiente de los recursos de TI.
Reducción de las paradas debidas a los sistemas de TI.
Mejora en los ratios de resolución de incidencias.
Mejor control de los acuerdos a nivel de servicio.
Descubrimiento e implementación de soluciones permanentes.
Una aproximación consistente y sistemática a todos los procesos.
25. Implantación
Consideraciones para la Implantación de ITIL
Requiere de recursos como tiempo y dinero.
Desarrollar un plan de proyecto.
Se requiere educación y capacitación.
Requiere de participación y compromiso de la dirección general.
Llevar a cabo un sólido Plan de Comunicación.
Cambiar la cultura organizacional.
Requiere de la participación de todos.
Paso 1: Definir el alcance del modelo de referencia:
Implica:
Estructura de operación del área el nivel de detalle requerido para los registros y
para los componentes de configuración asociados con los servicios.
Definir el esfuerzo y costo de implementación.
Paso 2: Definición de la estructura de Servicios de TI y la CMDB
Implica:
Definir el portafolio de servicios y SLAs:
Es necesaria la definición de la estructura de servicios, dominios de infraestructura
asociados y los acuerdos de nivel de servicio de acuerdo con la capacidad
existente en los recursos (Humanos, experticia e infraestructura asociada). Este
análisis presenta el impacto que puede ser alcanzado con los recursos disponibles
por la empresa.
Paso 3: Determinar los procesos operativos básicos:
Es clave la definición inicial del Service Desk y de los procesos que lo soportan,
así también se implantara de las gestiones de incidencias, problemas, cambios,
configuraciones, versiones y niveles de servicio.
Paso 4: Implantar los procesos tácticos requeridos por la organización:
Permiten desde el inicio poner en práctica el nivel de servicio y garantizar el
cumplimiento de los acuerdos con clientes, establecidos en el paso 3 como SLM;
además se implantaran las gestiones de disponibilidad, capacidad y continuidad.
Paso 5: Construir los procesos alineados con la estrategia del negocio y con
la seguridad de la información.
En esta etapa se implantara la gestión financiera y de seguridad. Es decir, diseñar
una política de seguridad, en colaboración con clientes y proveedores
26. correctamente alineada con las necesidades del negocio. Asegurando el
cumplimiento de los estándares de seguridad acordados. Pero no dejando atrás
hacer minimizar los riesgos de seguridad que amenacen la continuidad del
servicio.
Paso 6: Definir métricas de calidad de servicio y desempeño de los
procesos.
Estos indicadores proveen el mecanismo de seguimiento, mejora continua y
planificación, primordiales tanto hacia dentro del departamento como de cara a los
usuarios
Paso 7: Garantizar la calidad de la información en la CMDB:
Mediante la definición de registros de información puntales y que permitan generar
reportes de desempeño, así como formar la base para los procesos de auditoría a
la información y controles de validación de datos en el cargue de los mismos
Paso 8: Garantizar y monitorear la gestión de cambios.
Este elemento es la base fundamental para disponer de procesos que generen
auto-aprendizaje y mejora continua. Un aspecto clave para ir adaptando los
nuevos procedimientos y capacidades a la cambiante y dinámica realidad de una
empresa moderna.
Paso 9: Entrenar al personal y hacer participes del proceso al resto de la
organización.
El éxito de la iniciativa dependerá en gran manera de la forma en que los nuevos
procedimientos se transformen una costumbre de trabajo, y que la alineación y
participación del resto de la empresa en la definición y toma de decisiones se
hayan hecho presentes
Paso 10: Seleccionar una herramienta adecuada que permita gestionar
adecuadamente la información asociada con los procesos definidos
Tiempo de planificación para implantar ITIL
Gestión de Service Desk/Incidentes 3-6 MESES
Gestión de Configuración 3-4 MESES
Gestión de Problemas 1-3 MESES
Gestión de Cambios 1-3 MESES
Gestión de Release 1 MES
Gestión de Disponibilidad 3-6 MESES
Gestión de Capacidad 4-6 MESES
Gestión de Continuidad 3-6 MESES
Gestión Financiera de Servicios TI 4-6 MESES
Gestión de Nivel Servicio 2-4 MESES
27. Recomendaciones
(Soy una Empresa ¿Que me recomiendas?)
Las PyMES Mexicanas pueden obtener significativas ventajas
implementando normas o practicas (ISOs, COBIT, ITIL, etc.), ya que estas realizan
transacciones electrónicas comúnmente hoy en día, sin embargo un factor
primordial de tomar en cuenta es la Seguridad en el interior de la organización, las
normas nos hacen tomar medidas estrictas que permitan una operación continua y
segura.
Personas expertas concretan que las PyMES necesitan antes que nada, proteger
su información como son los activos de negocios de las amenazas en linia y
pérdida de información. Para ello deben acelerar la adopción de soluciones de
seguridad, almacenamiento y recuperación. Si los datos no están protegidos y
disponibles, la operación del negocio está en riesgo.
Antes que nada la PyME necesita contar con una cultura sobre las amenazas que
atentan contra la integridad de su información, ya que cuando existe una carencia
de información obre seguridad y políticas (normas) a seguir, se limita el
crecimiento de la empresa.
Deberán capacitar al personal respecto a las políticas de la compañía sobre
la protección y la disponibilidad de información.
Respaldar información valiosa de una manera periódica.
Estas dos son simples sugerencias que a cualquier empresa se le mencionaría,
pero al implantar normas Internacionales de Seguridad Informática iríamos más
haya...
Las normas ya famosas dentro de este ensayo le ayudarán a la PyME
Mexicana a asegurar la continuidad de su negocio en casi todas las
circunstancias. Es no solo un juego hablar sobre la Seguridad Informática si no
que se debe tomar medidas estrictas adoptando normas, estándares, modelos,
etc. Para el excelente funcionamiento y estar dentro del marco de competitividad.
Sea la excusa que sea, no es tan importante para no implementar algún tipo de
Certificación.
28. CONCLUS ION
Lo que ahora podemos asegurar, es que tenemos una
cultura sobre la Seguridad Informática y su importancia en
ella, no es un producto más de la empresa, sino que es un
proceso a seguir, y sabemos que si seguimos el proceso de
implantar una de ellas sabemos que estamos tocando la
puerta del éxito. Nuestra empresa seria reconocida de
primer nivel, por que contara con un tipo de seguridad que
a nuestros clientes les favorecerá al tener su información
segura. Si el cliente está contento nosotros también
claramente.
Tomemos en cuenta que no es solo de firmar papeles y es
todo, no. Tenemos que seguir claramente estándares,
adecuarnos a ellas, capacitar a nuestro personal, y hacer
todo lo necesario para que brinda frutos la implantación, si
no tomamos las medidas necesarias la implantación tomaría
otro rumbo y no será el del éxito, si no el de un caos, no
solo es para la Seguridad Informatica, ya que nos ayudara
a entender perfectamente a nuestra empresa, saber el
rumbo que lleva, si es el adecuado o no, conocer las
debilidades ante el marguen de la competencia y conocer
las necesidades de nuestros trabajadores internos. Hoy
puedo decir con sertesa que implantar alguna norma ISO o
algún modelo es la mejor opción que puede tomar la PyME
Mexicana.
