Professional Documents
Culture Documents
*connectedthinking
Boletín Digital // No. 23 - 2009
Contenido
Haga click en los enlaces para navegar
a través del documento
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
4 Introducción
4 Conceptos
4 Conclusión
4 Créditos / Suscribirse
Boletín Digital // No. 23 - 2009
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
Conceptos (continuación) y gestión en las operaciones de TI, el cual ha CobIT establece un marco de referencia que
evolucionado de una herramienta de auditoría a un permite definir metas desde el punto de vista
Presentado en 1996, CobIT es una herramienta marco de Gobernabilidad de TI, atendiendo a las de seguridad y control que serán de utilidad a la
para la gobernabilidad de TI que ha sentado demandas actuales. Ver figura N° 5., organización para establecer un plan de acción
bases importantes sobre los conceptos de control y lograr mejoras, y posteriormente identificar
los lineamientos para sustentar un proceso de
Para ampliar: haga qRetorno
monitoreo y mejora continua sobre las soluciones
click sobre la imagen Actualización implementadas.
CobiT® 1 CobiT® 2 CobiT® 3 CobiT® 4.0 CobiT® 4.1 Para visualizar la Figura No. 6
haga click en el icono.
1996 1998 2000 2005 2007
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
Conceptos (continuación) ISO 27001 siendo el estándar principal de la serie, El ISO 27001:2005, al definirse como una guía
publicado en Octubre de 2005 y especifica los en la implementación, operación, monitoreo,
Serie ISO/IEC 27000 requisitos para la implantación de un Sistema revisión, mantenimiento y mejora de un Sistema de
de Gestión de la Seguridad de la Información, Gestión de la Seguridad de la Información (SGSI)
ISO/ IEC 27000 se define como el conjunto de siguiendo los principios de calidad continua para cualquier tipo de organización, mientras
estándares desarrollados por ISO (International propuestos en el PDCA -acrónimo de Plan, Do, que ISO 27002 representa la guía de buenas
Organization for Standardization) e IEC Check, Act (Planificar, Hacer, Verificar, Actuar). prácticas que describe los objetivos de control y
(International Electrotechnical Commision) que Ver Figura N° 7. Es consistente con las mejores controles óptimos en el marco de la Seguridad
proporcionan un marco para la gestión de la prácticas descritas en ISO/IEC 27002 y tiene su de la Información, en conjunto se orientan a
seguridad de la información en las organizaciones. origen en la revisión de la norma británica British preservar los siguientes principios de la seguridad
La serie contiene las mejores prácticas Standard BS 7799-2:2002 de 2002. informática:
recomendadas para establecer, implantar, Para ampliar: haga click sobre la imagen qRetorno
mantener y mejorar un Sistema de Gestión de la Confidencialidad. Asegurar que únicamente
Seguridad de la Información. (Ver Figura No. 7)
PLAN
Planificar la Gestión de
personal autorizado tenga acceso a la información.
Servicios
Integridad. Garantizar que la información no será
alterada, eliminada o destruida por entidades no
DO
Implementar la Gestión
ACT
Mejora autorizadas.
de Servicios continua
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
Conceptos (continuación) Cada una de las áreas de la normativa establece Alineando ISO 27001:2005 e ITIL con
una serie de controles que serán seleccionados
dependiendo de los resultados obtenidos en el
CobiT
El primer paso es definir el ámbito de aplicación
de la política del SGSI. Este paso es crítico para análisis de riesgos, además, existen controles
Las organizaciones de TI, apoyadas en estándares
identificar los peligros potenciales a los que se obligatorios para toda organización, como es el de
y mejores prácticas, deben estar orientadas a
enfrenta y decidir una metodología sistemática las políticas de seguridad cuyo número dependerá
satisfacer las necesidades del negocio, en la
para evaluar esos riesgos. Un SGSI apropiado más de la organización que del estándar, el cual no
Figura N° 9, se observa esquemáticamente como
incluye los pasos de implantación, puesta en establece este nivel de detalle.
las estrategias de las organizaciones y la directriz
funcionamiento, revisión, mantenimiento y mejora de TI deben estar alineadas, considerando que
del sistema y que están descritos en el estándar. los procesos internos contemplen como base los
estándares y mejores prácticas de TI.
La certificación del estándar internacional ISO
27001:2005 incrementa el prestigio de una
organización, considerando que la norma indica
la obligación general de mantener, monitorear,
revisar y mejorar la seguridad de la información lo
que demuestra la validez de ésta, creando nuevas
oportunidades de negocio con partes conscientes
de la importancia de la seguridad y la ética. Para visualizar la Figura No. 9
haga click en el icono.
Asimismo, permite reducir el posible riesgo de
fraude, pérdida de información y revelación. Figura N° 9: Alineación del negocio con los estándares y
mejores prácticas.
Boletín Digital // No. 23 - 2009
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
Conclusión
La aplicación de mejores prácticas de TI, así como Sin embargo, es fundamental que su adopción
el uso de estándares internacionales, permite que esté alineado a los requerimientos del negocio
las organizaciones puedan incrementar sus niveles y se adapten, sin alterar sus fundamentos, a los
de confianza en la obtención de un marco de requerimientos de la organización. El crecimiento
operatividad de servicios, estable y continuo. en la adopción de los referidos estándares, debe
ser orquestados en la atención de las exigencias
La eficacia de la aplicación de normas y según su prioridad y manteniendo los principios
mejores prácticas depende de cómo han sido de calidad de sus procesos, y debe mantener
implementadas y sustentadas, tomando en consistencia con las iniciativas de gobernabilidad y
cuenta que son el punto de partida para adaptar gestión de riesgos.
procedimientos específicos de la gestión de TI.
CobIT y los estándares de la serie ISO/IEC 27000
representan herramientas básicas que permiten
a las organizaciones de TI definir que estrategias
deben seguir para garantizar la satisfacción de
las necesidades del negocio, en tanto que ITIL
proporciona un marco referencial sobre la eficiencia
y calidad de la gestión de los servicios de TI a la
organización.
Boletín Digital // No. 23 - 2009
*?}> *?}>
Ìi`
iÀÀ>À «ÀÀ >ÌiÀÀ Ã}ÕiÌi
Regresar
al boletín Aumentar Imprimir
ISO/IEC 27001 Estándar principal de la serie, que especifica los requisitos para la implantación del
Sistema de Gestión de Seguridad de la Información (SGSI) (Publicación: Oct 2005)
ISO/IEC 27002 Anteriormente ISO/IEC 17799, representa el código de buenas prácticas para la
Gestión de Seguridad de la Información (Publicación: Julio 2007)
ISO/IEC 27004 Métricas para le gestión de la Seguridad de la Información (Aún no ha sido publicada)
Estrategia de la Organización
Organización
Seguridad de la Información
Directriz Estratégica
Entorno
Estrategia de T.I.
Usuarios
Servicios del área de
Clientes
Tecnología de Información SLA
Administración de Servicios
Aprovisionamiento Soporte
Regresar
al boletín Aumentar Imprimir
Boletín Digital // No. 3 - 2009
Regresar
al boletín Aumentar Imprimir
Boletín Digital // No. 3 - 2009
Regresar
al boletín Aumentar Imprimir
Personas
Infraestructura
Dominios
Información
Aplicaciones
Procesos
i ó n
ac
m
Actividades I n for
d e
io s
i ter
Cr