COBIT Las empresas necesitan la certeza de que pueden confiar en los sistemas de informacin y en la informacin producida por los

sistemas, y as obtener un retorno positivo de las inversiones en TI. COBIT permite que los e ecutivos de ne!ocios entiendan me or cmo diri!ir y !estionar el uso de las TI en la empresa y el est"ndar de me ores pr"cticas que se espera de los proveedores de TI. COBIT proporciona las #erramientas para diri!ir y supervisar todas las actividades relacionadas con las TI. COBIT es un marco de referencia !lobalmente aceptado para el !obierno de TI basado en est"ndares de la industria y las me ores pr"cticas. $na vez implementado, los e ecutivos pueden ase!urarse de que se a usta de manera eficaz con los ob etivos del ne!ocio y diri!ir me or el uso de TI para obtener venta as comerciales. COBIT brinda un len!ua e com%n a los e ecutivos de ne!ocios para comunicar las metas, ob etivos y resultados a los profesionales de auditora, inform"tica y otras disciplinas. COBIT brinda las me ores pr"cticas y #erramientas para el monitoreo y la !estin de las actividades de TI. &l uso de las TI es una inversin importante que debe ser !estionado. COBIT ayuda a los e ecutivos a comprender y !estionar las inversiones de TI durante su ciclo de vida y proporciona un m'todo para evaluar si los servicios de TI y las nuevas iniciativas satisfacen los requisitos empresariales y sea probable que entre!uen los beneficios esperados. &(iste una tremenda diferencia entre las empresas que realizan una buena !estin de TI y las que no lo #acen, o no pueden. COBIT permite el desarrollo de polticas claras y me ores pr"cticas para la administracin de TI. &l marco ayuda a aumentar el valor obtenido de TI. Tambi'n ayuda a las or!anizaciones a !estionar los ries!os relacionados con TI y a ase!urar el cumplimiento, la continuidad, se!uridad y privacidad. )ebido a que COBIT es un con unto de #erramientas y t'cnicas probadas y aceptadas internacionalmente, su implementacin es una se*al de buena !estin en una or!anizacin. +yuda a los profesionales de TI y a usuarios de empresas a demostrar su competencia profesional a la alta direccin. Como ocurre con muc#os procesos de ne!ocio !en'ricos, e(isten est"ndares y me ores pr"cticas de la industria de TI que las empresas deberan se!uir cuando utilizan las TI. COBIT se nutre de estas normas y proporciona un marco para implementarlas y !estionarlas. $na vez que se identifican e implementan los principios clave de COBIT para una empresa, los e ecutivos !anan confianza en que la utilizacin de las TI puede ser !estionada de forma eficaz. Los e ecutivos de las empresas pueden esperar los si!uientes resultados de la adopcin de COBIT, - Los !erentes y el staff de TI entender"n totalmente como es que el ne!ocio y TI pueden traba ar en forma con unta para la entre!a e(itosa de las iniciativas de TI.

- Los costos totales del ciclo de vida de TI ser"n m"s transparentes y predecibles. - TI ofrecer" informacin m"s oportuna y de mayor calidad. - TI entre!ar" proyectos de me or calidad y m"s e(itosos. - Los requisitos de se!uridad y privacidad ser"n m"s claros y la implementacin ser" monitoreada con mayor facilidad. - Los ries!os de TI ser"n !estionados con mayor eficacia. - Las auditoras ser"n m"s eficientes y e(itosas. - &l cumplimiento de TI con los requisitos re!ulatorios ser"n una pr"ctica normal de !estin.

ITIL
.oy, las or!anizaciones dependen de las TI para satisfacer sus ob etivos corporativos y sus necesidades de ne!ocios, entre!ando valor a sus clientes. /ara que esto ocurra de una forma !estionada, responsable y repetible, la empresa debe ase!urar que los servicios recibidos de alta calidad de TI deben, - 0atisfacer las necesidades de la empresa y los requisitos de los usuarios. - Cumplir con la le!islacin. - +si!narse y entre!arse de forma eficaz y eficiente. - 1evisarse y me orarse de forma continua. La !estin de servicios de TI se refiere a la planificacin, aprovisionamiento, dise*o, implementacin, operacin, apoyo y me ora de los servicios de TI que sean apropiados a las necesidades del ne!ocio. ITIL proporciona un marco de traba o de me ores pr"cticas inte!ral, consistente y co#erente para la !estin de servicios de TI y los procesos relacionados, la promocin de un enfoque de alta calidad para el lo!ro de la eficacia y eficiencia del ne!ocio en la !estin de servicios de TI. ITIL intenta respaldar mas no fi ar los procesos de ne!ocio de una or!anizacin. &n este conte(to, la O2C no aprueba el t'rmino 3Cumplimiento con ITIL3. &l papel del marco de traba o de ITIL es describir los enfoques, las funciones, los roles y procesos en los que las or!anizaciones pueden basar sus propias pr"cticas. &l rol de ITIL es brindar orientacin en el nivel or!anizacional m"s ba o que pueda aplicarse. )eba o de ese nivel, para implementar ITIL en una or!anizacin se requieren los conocimientos especficos de sus procesos de ne!ocio para a ustar ITIL a fin de lo!rar una eficacia ptima.
ISO/IEC 27002 El Estndar Internacional ISO/IEC 27002 nace bajo la coordinacin de dos organizaciones: ISO: International Organization for Standardization. IEC: International Electrotechnical Co ission. ISO e IEC han establecido !n co it" t"cnico conj!nto deno inado ISO/IEC #$C% &ISO/IEC #oint $echnical Co ittee'. Este co it" trata con todos los as!ntos de tecnolog(a de infor acin. )a a*or(a del trabajo de ISO/IEC #$C% es hecho +or s!bco it"s ,!e tratan con !n ca +o o rea en +artic!lar. Es+ec(fica ente el

s!bco it" SC 27 es el ,!e se encarga de las t"cnicas de seg!ridad de las tecnolog(as de infor acin- ,!e es en esencia de lo ,!e trata el Estndar Internacional ISO/IEC 27002 &antig!a ente lla ado ISO/IEC %77..+ero a +artir de j!lio de 2007- ado+t !n n!e/o es,!e a de n! eracin * act!al ente es ISO/IEC 27002'. El ISO/IEC 27002 se refiere a !na serie de as+ectos sobre la seg!ridad de de las tecnolog(as de infor acinentre los ,!e se destacan los sig!ientes +!ntos: Evaluacin de los riesgos de de seguridad: se deben identificar- c!antificar * +riorizar los riesgos. Poltica de seguridad: deben haber +ol(ticas organizacionales claras * bien definidas ,!e reg!len el trabajo ,!e se estar realizando en ateria de seg!ridad de la infor acin. Aspectos organizativos de la seguridad de la in or!acin: c o se trabajar en la seg!ridad de la infor acin organizati/a ente- tanto de anera interna &e +leados o +ersonal de la organizacin' co o de for a e0terna o con res+ecto a terceros &clientes- +ro/eedores- etc.' "estin de activos: se debe tener !n co +leto * act!alizado in/entario de los acti/os- s! clasificacin,!i"nes son res+onsables +or los acti/os- etc. Seguridad ligada a los recursos #u!anos: es+ecificar las res+onsabilidades del +ersonal o rec!rsos h! anos de !na organizacin- as( co o los l( ites ,!e cada !no de ellos tiene con res+ecto al acceso * ani+!lacin de la infor acin. Seguridad sica $ a!%iental: consiste en tener !na infraestr!ct!ra f(sica &instalaciones' * a biental &te +erat!ras adec!adas- condiciones ideales de o+eracin ideales' adec!adas de odo ,!e no +ongan en riesgo la seg!ridad de la infor acin. "estin de co!unicaciones $ operaciones: aseg!rar la o+eracin correcta de cada !no de los +rocesosincl!*endo las co !nicaciones * o+eraciones ,!e se dan en la organizacin. Esto ta bi"n incl!*e la se+aracin entre los a bientes de desarrollo- de +r!eba * de o+eracin- +ara e/itar +roble as o+eracionales. Control de acceso: deben e0istir edidas adec!adas ,!e controlen el acceso a deter inada infor acin1nica ente a las +ersonas ,!e estn a!torizadas +ara hacerlo- !tilizando a!tenticaciones- contrase2as- * "todos seg!ros +ara controlar el acceso a la infor acin. Ad&uisicin' desarrollo $ !anteni!iento de los siste!as de in or!acin : consiste en to ar edidas adec!adas +ara ad,!irir n!e/os siste as &no ace+tar siste as ,!e no c! +lan con los re,!isitos de calidad adec!ados'- haciendo ta bi"n !n eficiente desarrollo * anteni iento de los siste as. "estin de incidentes en la seguridad de la in or!acin: los incidentes se +!eden dar tarde o te +rano- * la organizacin debe contar con registros * bitcoras +ara identificar a los ca!santes * res+onsables de los incidentes- reco+ilar e/idencias- a+render de los errores +ara no /ol/erlos a co eter- etc. "estin de la continuidad del negocio: se deben tener +lanes * edidas +ara hacerle frente a los incidentes- de odo ,!e el negocio +!eda contin!ar en archa gracias a edidas alternati/as +ara ,!e !n incidente no detenga las o+eraciones +or tie +os +rolongados- ,!e no se +ierda infor acin- ,!e no se estan,!en o detengan las /entas o negocios- etc. Cu!pli!iento: debe darse el debido c! +li iento a los re,!isitos legales- co o derechos de +ro+iedad intelect!al- derecho a la confidencialidad de cierta infor acin- control de a!ditor(as- etc.

COBIT es un marco de control, I0O 45664 es una norma e ITIL es un marco de servicio. $n marco de control es utilizado para #acer que las normas se cumplan y que los servicios fluyan de manera transparente y continua. &n la fi!ura se puede observar se compara el cumplimiento y el servicio, mientras mayor es el cumplimiento se puede observar que se necesita el uso de normas como I0O 45664, para ase!urar ese nivel de cumplimiento necesitamos implementar un marco de control como COBIT, ya que convive de manera natural con las normas I0O 45667 y 45664 y con un marco de servicios como ITIL. I0O 45664 como norma o est"ndar se sit%a en el mayor nivel de cumplimiento, COBIT se situara en un nivel medio de cumplimiento y por %ltimo se encuentra a ITIL, ya que como marco de servicio solo pretende #abilitar el servicio y no !arantizar su operacin. /ara este traba o de !rado se traba en el est"ndar I0O 45664, porque el ob etivo del proyecto de !rado es dise*ar una !ua de polticas de la se!uridad de la informacin, se descarta ITIL porque no se pretende #abilitar o traba ar en un servicio determinado y COBIT solo es un con unto de me ores pr"cticas que no est" constituido como est"ndar como lo es I0O.
)a nor a ISO 27002 c!bre las ejores +rcticas +ara la seg!ridad de la infor acin- los ele entos necesarios +ara gestionar la seg!ridad- linea ientos +ara estr!ct!rar los +lanes de seg!ridad- los controles necesarios +ara i +le entar la seg!ridad en la organizacin * las acciones cla/e +ara ,!e +!eden +oner en +eligro la seg!ridad de la infor acin. ini izar los riesgos