1. Facultad de administración
Administración de la Tecnología de Información.
PROF. Dr. Carlos Arturo Torres Gastelú
Resumen Capítulos
Libro Gobiernos de las TSI
Capítulos 10-17
Alumno:
Santos Pérez Roberto Carlos
Sistemas Computacionales Administrativos
Veracruz, ver. a 09 Noviembre del 2009
2. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.
CAPITULO 10. PANORAMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TECNOLOGIAS
DE INFORMACION.
Las normas son especificaciones tecnicas, de carácter voluntario, concensuadas, elaboradas con la
participacion de las partes interesadas (fabricantes, usuarios y consumidores , laboratorios, administracion,
centros de investigacion, etc.) y aprobadas por un organismo reconocido.
La normalización contribuye a simplificar y a incrementar la fiabilidad y eficiencia de los bienes y
servicios que utilizamos, así como a mejorar el bienestar de la sociedad y redunda en el beneficio común.
Las normas son por tanto documentos de aplicación voluntaria, elaborados por las partes interesadas, por
consenso y aprobados por un organismo reconocido.
En el ámbito internacional ISO (Organización Internacional de Normalización) e IEC (Comisión
Electrotécnica Internacional) tienen por objeto favorecer el desarrollo de la normalización en el mundo, con
vistas a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos países.
• Órganos de trabajo técnicos de ISO:
• Comités técnicos (CT)
• Subcomités (SC)
• Grupos de Trabajo (GT)
• Documentos:
o Norma internacional (ISO/IEC)
o Informe técnico (TR)
El subcomité SC27 se enmarca en la concepción de la seguridad de las tecnologías de la información
como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la
información. Se estructura en cinco grupos de trabajo:
1. GT1-requisitos, servicios de seguridad y guías,
2. GT2-mecanismos y técnicas de seguridad,
3. GT3-criterios de evaluación de la seguridad,
4. GT4-servicios y controles de seguridad y
5. GT5-gestion de identidad y privacidad.
Gestión de la seguridad de la información.- normas relativas a la gestión de la seguridad de la
información, dar cobertura a áreas como sistemas de gestión de la seguridad de la información, análisis y
gestión de riesgos, controles y salvaguardas, métricas otros aspectos.
Técnicas y mecanismo.- destacan en este ámbito las técnicas y mecanismos criptográficos que tienen un
protagonismo singular y creciente en la garantía de dimensiones de la seguridad tales como la confidencialidad,
la integridad y la autenticación.
Santos Pérez Roberto Carlos
3. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.
CAPITULO 11. NORMA ISO 27001 GESTION DE LA SEGURIDAD.
Normas producidas por organismos oficiales agrupan las siguientes características:
Especificaciones técnicas basadas en la experiencia y en el desarrollo tecnológico, voluntarias, accesibles al
público, tanto durante su elaboración, pues se producen en órganos de trabajo abiertos a la industria, como
después, pasan por un periodo de información pública durante el cual cualquier persona puede presentar
alegaciones o comentarios a su contenido.
Origen de ISO/IEC 27001:
o No existió a nivel internacional una norma que complemente al código de buenas prácticas a través de
las especificaciones de los sistemas de gestión de seguridad de la información.
o Coexistieron la norma inglesa BS 7799-2 y la norma española UNE 71502. Se propone el modelo
internacionalmente aceptado PDCA.
o En el 2004 ya iniciado el MODELO 27000.
o Se publica la norma ISO/IEC 27001 referente internacional para los “Sistemas de gestión de la seguridad
de la información”.
Establecimiento y gestión del SGSI
Alcance del sistema de gestión, Definir política del SGSI y la metodología para la valoración del riesgo,
identificación de los riesgos, hacer un análisis y evaluación de dichos riesgos, identificación de los diferentes
tratamientos del riesgo y selección de los controles.
Implantación y puesta en marcha del SGSI
Preparar un plan de tratamiento del riesgo, medir la eficacia de los controles, obtener resultados comparables y
reproducibles, crear programas de formación y concienciación en todas las acciones para el personal de la
organización y se posibilitaran la cultura de la seguridad.
Control y evaluación del SGSI
Implantar procedimientos para el control y la revisión de lo hecho hasta ahora y derivara la eficacia del SGSI a
partir de las auditorias de seguridad y las mediciones para verificar que se estén cumpliendo los requisitos de
seguridad. Se descubren los defectos y mejoras para lo que se tomaran las medidas correctivas y preventivas.
Debe estar sustentado por un procedimiento documentado.
Santos Pérez Roberto Carlos
4. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.
CAPITULO 12. LAS METRICAS DE SEGURIDAD DE LA INFORMACION.
El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos
relacionados con los procesos de la seguridad de la información, que supone un ámbito de actuación diferente al
de las infraestructuras, aplicativa y sistemas o procesos que la soportan. Tal vez este matiz nos podría ayudar a
diferencias ambas figuras y a centrar el objeto de este capítulo.
Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y
gestionar la seguridad de los sistemas de información. Y demostrar objetivamente la eficacia y eficiencia de los
controles de seguridad.
La norma 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar,
revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) de una organización.
La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es
crear una base en cada organización que permita recoger, analizar y comunicar dato relacionados con procesos
SGSI.
Los objetivos del proceso de medida son, por tanto:
Evaluar la eficacia de la implantación de los controles de seguridad, del sistema de gestión de seguridad de la
información incluyendo la mejora continua, proporcionar un estado de seguridad para dirigir la revisión de la
gestión. Facilitar las mejoras de la seguridad y contribuir a auditoria de seguridad., comunicar el valor de la
seguridad a la organización y servir como aportación al plan de tratamiento de riesgos y de evaluación de
riesgos.
Tipos de medidas:
La norma pone la categorización: derivada, base (dentro de ésta cumplimiento y rendimiento). Para medir es
necesario un método específico de medición para cada entidad o combinación critica de atributos con la finalidad
de extraer la información que puede utilizarse como base para el cálculo de medidas. Puede implicar actividades
como contar el numero de acontecimientos u observar el paso del tiempo.
Una medida valida habrá de cumplir con los criterios:
Estratégica, cuantitativa, razonable, interpretativa, verificable, evolutiva, útil, indivisible y bien definida y
repetible. Los indicadores se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o
las necesidades de la información de la organización.
Santos Pérez Roberto Carlos
5. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.
CAPITULO 13. NORMA ISO 17799. CODIGO DE BUENAS PRÁCTICAS PARA LOS SGSI
Sistema de Gestión de Seguridad de la Información (SGSI) es una estructura organizativa, técnica y
procedimental que persigue la seguridad de la información a través de un ciclo de análisis de la
situación, aplicación de controles, revisión del funcionamiento y la aplicación permanente de mejoras o
correcciones. Es lo que comúnmente se conoce como el ciclo PDCA aplicando a la seguridad de la
información, que permite adaptarse a los cambios en la organización y la mejora continua.
Los SGSI utilizan la norma ISO 17799:2005 como herramienta para conseguir la seguridad definida en
la empresa, pero no es en sí misma una norma certificable. Simplemente presenta qué áreas debe
contemplar la empresa respecto a la seguridad y propone controles para conseguir los objetivos de la
seguridad de cada una de estas áreas.
ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar
los Sistemas de Información. Sin embargo, puesto que implantar estos controles significa una
inversión, no serán recomendaciones arbitrarias.
Surge de la necesidad de las empresas de garantizar el funcionamiento seguro de los Sistemas de
Información garantizando la confidencialidad integridad y disponibilidad de la información.
La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquier tamaño de empresa y
cualquier país. El análisis de riesgos debe detallar los activos necesarios para que el sistema de
información de la empresa opere correctamente y detectar cuales amenazas puede alterar su buen
funcionamiento.
Es conveniente familiarizase con la estructura de la norma para manejarla de la forma más ágil posible.
Esta organiza doce secciones la primera es el análisis de riesgos, seguidamente las políticas de
seguridad, cuatro secciones enfocadas a definir las medidas organizativas de la empresa que apoyen la
seguridad, las siguientes se ocupan de aspectos tales como la seguridad de las comunicaciones,
operaciones, acceso lógico y gestión adecuada de hardware y software por ultimo la norma contempla
la necesidad de gestionar adecuadamente medidas que aseguren el cumplimiento legal, regulatorio y
contractual.
Norma ISO 17799:2005: análisis y gestión de riesgos, política de seguridad, organización de la
seguridad, gestión de activo, recursos humanos, seguridad física, gestión de comunicaciones y
operaciones, control acceso, compra, desarrollo y mantenimiento de sistemas, gestión de incidentes de
seguridad, gestión de la continuidad de negocio, conformidad legal.
Santos Pérez Roberto Carlos
6. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.
CAPITULO 14. COSO
El control interno es un proceso, ejercicio por el consejo de administración de la entidad, los gestores y
otro personal de la organización, diseño para proporcionar seguridad razonable respecto a la
consecución de los objetivos en las siguientes categorías:
Efectividad y eficiencia de las operaciones
Confiabilidad de la información financiera
Cumplimiento con leyes y regulaciones
COSO establece un conjunto de estos componentes:
Ambiente interno
Establecimiento de objetivos
Identificación de eventos
Evaluación de riesgo
Respuesta al riesgo
Actividades de control
Información y comunicación.
Supervisión.
Existe una tercera dimensión al ámbito de aplicación:
Entidad: relativo a una organización concreta en su conjunto siendo el más alto nivel.
División: conjunto de actividades relacionadas como negocios, líneas de producto.
Unidad: considerado unitario en la organización empresarial encargado de un función, producto o
misión concreta.
Subsidiaria: organización dependiente de la organización principal. Esta separación cobra
especial importancia en el reporte financiero.
Responsabilidades y uso de coso:
Consejo de administración.
Gestores.
Otro personal.
Auditores internos.
Promete mejoras:
Alinea la tolerancia al riesgo y la estrategia.
Relaciona crecimiento, riesgo y retorno de la inversión.
Amplia las decisiones de respuesta al riesgo.
Identifica y gestiona riesgo en los distintos niveles de la entidad.
Proporciona respuestas integradas a los múltiples riesgos.
Mejora los sistemas de reporte.
Ayuda asegurar el cumplimiento con leyes y reglamentos.
Santos Pérez Roberto Carlos
7. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.
CAPITULO 15. COBIT 4.
COBIT.- Control Objectives for Information and Related Technology, es un conjunto estructurado de buenas
prácticas y metodologías para su aplicación, cuyo objetivo es facilitar el gobierno de las TSI.
Proporcionando un marco de referencia que asegure que:
Las TSI están alineadas con el negocio.
Las TSI posibilitan la realización de la actividad de negocio al mismo tiempo que contribuyen a la maximización
de los beneficios.
Los recursos de las TSI (humanos y técnicos) son utilizados de forma responsable.
Los riesgos de las TSI son gestionados y dirigidos adecuadamente.
Se estructura en 34 objetivos de control de alto nivel, que están agrupados en cuatro dominios de actividades
típicas.
Santos Pérez Roberto Carlos
8. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.
En la implementación practica de COBIT, es necesario seguir un cierto orden:
o Análisis y comprensión del contenido de COBIT.
o Fundamentación de la utilidad de su implantación y comunicación a la dirección, accionistas y áreas
afectadas.
o Definir el valor que su implantación aportara.
o Análisis y evaluación del riesgo.
Las implantaciones de COBIT están realizando de forma exitosa complementariamente con:
o ITIL
o ISO 27001
Es probablemente un modelo o herramienta un conjunto de buenas prácticas. Ninguna norma debe elevarse al
pedestal de “verdad incontestable”.
Santos Pérez Roberto Carlos
9. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.
CAPITULO 16. ITIL
Information Technology Infrastructure Library; (Biblioteca para la Infraestructura de las Tecnologías de la
Información TSI).
Fue desarrollada por la Agencia Central de Computación y Telecomunicaciones (CCTA), de Gran Bretaña.
Consta de un conjunto de libros publicados que permiten mejorar la calidad de los servicios de TSI que presta
una organización a sus clientes.
Cada uno de los libros:
o Soporte de servicio
o Provisión de servicio
o Gestión de seguridad
o Perspectiva de negocio
o Planificación para la implementación de los servicios de gestión.
o Gestión de aplicaciones
o Gestión de la infraestructura TSI
o Diseño y planificación
o Despliegue
o Operaciones
o Soporte técnico
ITIL define los objetivos, las actividades y las entradas y salidas de los procesos de la organización TSI. Sin
embargo, ITIL no brinda una descripción específica de la forma en la que se deben implementar estas
actividades.
Gestión de servicios: soporte de servicio, gestión del incidente, gestión del problema, gestión de configuración,
gestión del cambio, gestión de la entrega.
Gestión de nivel de servicio, gestión financiera de servicios, gestión de la capacidad, gestión de la
disponibilidad.
Ventajas de ITIL para el cliente/usuario: la provisión de servicios TSI se orienta más al cliente y los acuerdos
sobre la calidad del servicio mejoran la relación entre el departamento TSI y el cliente. Se describen mejor los
servicios, en lenguaje más cómodo para el cliente. Se manejan mejor la calidad y el coste del servicio. Mejora la
comunicación con la organización TSI al acordar los puntos de contacto.
Ventajas para la organización: desarrolla una estructura más clara. La dirección tiene más control y los cambios
resultan más fáciles de manejar. Una estructura de proceso eficaz brinda un marco para concretar de manera más
adecuada la externalización de algunos de los elementos de los servicios.
Beneficios al negocio: calidad mejorada global de las operaciones del negocio, al asegurar que los procesos de
TSI son la base de los procesos del negocio. Soporte del negocio más fiable por gestión de incidencia, gestión
del cambio y centro de servicio. Incremento en la productividad del negocio y de la plantilla del cliente debido a
que los servicios de TSI son más fiables y están disponibles.
Beneficios financieros: infraestructura de TSI y servicios de TSI justificados en costes.
Santos Pérez Roberto Carlos
10. Resumen: Capítulos Gobiernos de las Tecnologías y los Sistemas de Información.
CAPITULO 17. SARBANES-OXLEY
Exige básicamente la existencia de un sistema de control interno sobre la información de manera tal que
cualquiera actividad dentro del desarrollo de los diferentes procesos de negocio de la empresa tuviera una
ejecución no adecuado a las practicas formales y controladas de la empresa, este evento pudiera ser detectado
corregido de forma tal que garantice que el reporte financiero de la compañía responde a un proceso
formalmente aprobado y adecuadamente supervisado.
El objetivo principal de la Ley es que mediante el sistema de control interno se pueda dar garantía de validez a la
información de estados financieros.
Las TSI son herramientas de gestión de información con lo cual la relación de “procesos de TSI-cuentas
contables”. Los procesos de TSI son soporte de la gestión de todas las cuentas.
Concebir un modelo en el cual se desarrollen como mínimo los siguientes pasos:
El modelo SOX representa un esquema d soporte legal para una serie de actividades de control que deberían
realizarse no por imperio de una ley, sino por la propia conciencia de control dentro de las organizaciones.
Santos Pérez Roberto Carlos