UNIVERSIDAD NACIONAL

AUTNOMA DE HONDURAS

MAESTRA EN GESTIN INFORMATICA
PROMOCIN I
Seguridad Informtica
Catedrtico
Presentado por:
Trabajo de Investigacin I
Tegucigalpa, M.D.C Junio, 2014
I
NDICE
ndice ....................................................................................................................................... I
ndice de Ilustraciones ........................................................................................................... IV
Objetivos ................................................................................................................................. V
Objetivo General ................................................................................................................. V
Objetivos Especficos .......................................................................................................... V
Introduccin .......................................................................................................................... VI
Etapa 1: Temas de investigacin ............................................................................................ 1
1. PCI-DSS .......................................................................................................................... 1
2. ISO 27001/ISO 27002 .................................................................................................... 2
ISO 27001 ........................................................................................................................ 2
ISO 27002 ........................................................................................................................ 4
3. ITIL ................................................................................................................................. 8
Historia............................................................................................................................ 8
Objetivos de ITIL ............................................................................................................. 9
Beneficios de ITIL ............................................................................................................ 9
Versiones ........................................................................................................................ 9
Certificacin .................................................................................................................. 10
4. COBIT ........................................................................................................................... 11
Introduccin ................................................................................................................. 11
Misin del COBIT .......................................................................................................... 12
Beneficios COBIT ........................................................................................................... 12
Estructura ..................................................................................................................... 12
Dominios COBIT ............................................................................................................ 12
Caractersticas .............................................................................................................. 13
Principios ...................................................................................................................... 13
Niveles COBIT ................................................................................................................ 13
Componentes COBIT ..................................................................................................... 13
5. SOX .............................................................................................................................. 15
II
Requisitos ..................................................................................................................... 17
Privacidad ..................................................................................................................... 17
Conservacin de registros ............................................................................................ 17
Auditoras ..................................................................................................................... 17
No cumplimiento .......................................................................................................... 17
6. ISO 27005 .................................................................................................................... 18
Introduccin ................................................................................................................. 18
El Contenido de la Norma ISO 27005 ........................................................................... 18
Fases del Anlisis de Riesgos ........................................................................................ 19
Procesos de Evaluacin de Riesgos .............................................................................. 19
Evaluacin de Riesgos ................................................................................................... 19
Tratamiento de Riesgos sucede por ............................................................................. 19
Administracin de criterios de decisin fabricacin ................................................. 19
Toleracin Organizacional del Riesgo ........................................................................... 20
Plan-Hacer-Comprobar-Actuar ..................................................................................... 20
Administracin Continua de Riesgos ............................................................................ 20
Anexos .......................................................................................................................... 21
7. AS/NZS 4360:2004....................................................................................................... 21
Introduccin ................................................................................................................. 21
Estructura ..................................................................................................................... 22
8. PMI .............................................................................................................................. 25
Historia.......................................................................................................................... 25
Certificacin .................................................................................................................. 26
Estndares mundiales ................................................................................................... 26
Captulos y comunidades de prctica ........................................................................... 26
Capacitacin y educacin ............................................................................................. 26
Investigacin ................................................................................................................. 26
Gobernabilidad ............................................................................................................. 27
9. BS 25999 e ISO 22301 ................................................................................................. 27
BS 25999 ....................................................................................................................... 27
III
ISO 22301 ...................................................................................................................... 29
10. ISO 17799 .................................................................................................................... 31
Objetivo de la norma ISO 17799 .................................................................................. 31
Historia.......................................................................................................................... 32
Estructura: dominios de control ................................................................................... 32
11. Que es un BCP ............................................................................................................. 33
Objetivo ........................................................................................................................ 34
Beneficios ..................................................................................................................... 34
Por qu es valioso un Plan de Continuidad del Negocio? .......................................... 35
Metodologa para implementar un BCP ....................................................................... 35
12. Que es un DRP ............................................................................................................. 37
Razones para recurrir a un DRP .................................................................................... 37
Prevencin ante los desastres ...................................................................................... 38
El Plan ........................................................................................................................... 38
Aspectos clave a considerar al planificar la recuperacin de desastres TI .................. 39
13. Que es un BIA .............................................................................................................. 39
Objetivo ........................................................................................................................ 39
Algunas preguntas que deberan responder un estudio BIA ....................................... 40
Caractersticas .............................................................................................................. 40
Metodologa ................................................................................................................. 41
14. PMI Y SU PMBOK ......................................................................................................... 42
PMP ............................................................................................................................... 42
PMBOK .......................................................................................................................... 42
reas de Conocimiento ................................................................................................ 45
15. Normas NIST aplicadas a tecnologas de Informacin ................................................ 46
Laboratorios ms importantes de NIST ........................................................................ 47
16. ISECOM ........................................................................................................................ 47
OSSTMM ....................................................................................................................... 48
17. OWASP ........................................................................................................................ 49
Historia.......................................................................................................................... 50
IV
Proyectos ...................................................................................................................... 50
18. ISO 20000 .................................................................................................................... 51
Estructura ..................................................................................................................... 52
Certificacin .................................................................................................................. 53
Procesos ISO 20000 Procesos de Servicios TI ............................................................... 54
19. ISO 31000 .................................................................................................................... 55
Principios Bsicos para la Gestin de Riesgos .............................................................. 55
Beneficios de la norma ................................................................................................. 56
Cuadro resumen ................................................................................................................... 57
Etapa 2 .................................................................................................................................. 60
Normativa de tecnologas de la informacin de la CNBS ................................................. 60
Reporte anual Verizon ...................................................................................................... 66
Conclusiones ......................................................................................................................... 72
Bibliografa ............................................................................................................................ 73

NDICE DE ILUSTRACIONES
Ilustracin 1: Alcance .............................................................................................................. 5
Ilustracin 2 ITIL ...................................................................................................................... 9
Ilustracin 3 certificacin ITIL V3 .......................................................................................... 11
Ilustracin 4 Toleracin Organizacional del Riesgo .............................................................. 20
Ilustracin 5 Plan-Hacer-Comprobar-Actuar ........................................................................ 20
Ilustracin 6 Proceso de Gestin del Riesgo segn la norma AN/NZS 4360:2004 ............... 23
Ilustracin 7 la gestin del riesgo es parte de la gestin corporativa general. .................... 30
Ilustracin 8 Objetivo de la norma ISO 17799 ...................................................................... 31
Ilustracin 9 Estructura dominios de control ....................................................................... 33
Ilustracin 10 Ciclo de vida BCP ............................................................................................ 36
Ilustracin 11 Metodologa BIA ............................................................................................ 42
Ilustracin 10: reas de experiencia que necesita el equipo de direccin del proyecto ..... 44
Ilustracin 13 Procesos ISO 20000 ....................................................................................... 55


V
OBJETIVOS

Objetivo General

Realizar el trabajo de investigacin segn los lineamientos de la
clase de seguridad informtica.

Objetivos Especficos

Investigar sobre cada uno de los estndares teniendo en cuenta lo
aprendido en clase.
Realizar una lectura, anlisis y comprensin para hacer un resumen
de la normativa de TICs de la CNBS y reporte anual de Verizon.
Poner en prctica lo aprendido de las lecturas y lo investigado
realizando un cuadro resumen con comentarios personales.



VI
INTRODUCCIN

El presente trabajo de investigacin da a conocer los diferentes estndares que hoy en da
son aplicados en la mayora de las organizaciones y empresas a nivel mundial ya que
necesitan (en ocasiones deben) demostrar que realizan una gestin competente y efectiva
de la seguridad de los recursos y datos que gestionan.
Los gerentes tienen un papel fundamental que cumplir con respecto a aplicar las normas y
los controles necesarios dentro de cualquier empresa con el fin de salvaguardar los activos
tangibles e intangibles, es por ello que nos vemos en la obligacin de tener planes de
contingencia, plan de recuperacin ante cualquier desastre, etc., todo esto fortalece a una
empresa y le da un valor como tal en la sociedad.



1
ETAPA 1: TEMAS DE INVESTIGACIN

1. PCI-DSS
PCI DSS, Payment Card Industry Data Security Standard, significa Estndar de Seguridad de
Datos para la Industria de Tarjeta de Pago.
Este estndar ha sido desarrollado por un comit conformado por las compaas de
tarjetas (dbito y crdito) ms importantes, comit denominado PCI SSC (Payment Card
Industry Security Standards Council) como una gua que ayude a las organizaciones que
procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a
asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago
dbito y crdito.
Las compaas que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el
estndar o arriesgan la prdida de sus permisos para procesar las tarjetas de crdito y
dbito (Perdida de franquicias), enfrentar auditoras rigurosas o pagos de multas. Los
Comerciantes y proveedores de servicios de tarjetas de crdito y dbito, deben validar su
cumplimiento al estndar en forma peridica.
Esta validacin es realizada por auditores autorizados Qualified Security Assessor (QSAs).
Slo a las compaas que procesan menos de 80,000 transacciones por ao se les permite
realizar una autoevaluacin utilizando un cuestionario provisto por el Consorcio del PCI
(PCI SSC).
Para los proveedores de dispositivos y fabricantes, el Consejo prev el PIN Transaccin
Seguridad (PTS) requisitos, que contiene un conjunto nico de requisitos para todos los
nmeros de identificacin personal (PIN) de terminales, incluidos los dispositivos POS,
almohadillas PIN cifrado y terminales de pago no atendidas.
Para ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago
seguras, el Consejo mantiene la aplicacin de pago Data Security Standard (PA-DSS) y
una lista de aplicaciones de pago validadas.
El Consejo ofrece tambin capacitacin a los profesionales de las empresas y los
individuos para que puedan asistir a las organizaciones en sus esfuerzos de
cumplimiento. El Consejo mantiene los recursos pblicos, tales como las listas de los
Asesores de Seguridad Calificados (QSA) , la aplicacin de pago Asesores de Seguridad
Calificados (QSA) PA- , y los vendedores de escaneo aprobados (ASV) . Las grandes
empresas que buscan educar a sus empleados pueden tomar ventaja de la (ISA) Asesor de
Seguridad Interna programa de educacin.
2
2. ISO 27001/ISO 27002
ISO 27001
La norma ISO 27001 define cmo organizar la seguridad de la informacin en cualquier
tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Es
posible afirmar que esta norma constituye la base para la gestin de la seguridad de la
informacin.
La ISO 27001 es para la seguridad de la informacin lo mismo que la ISO 9001 es para la
calidad: es una norma redactada por los mejores especialistas del mundo en el campo de
seguridad de la informacin y su objetivo es proporcionar una metodologa para la
implementacin de la seguridad de la informacin en una organizacin. Tambin permite
que una organizacin sea certificada, lo cual significa que una entidad de certificacin
independiente ha confirmado que la seguridad de la informacin se ha implementado en
esa organizacin de la mejor forma posible.
A raz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta
norma como base para confeccionar las diferentes normativas en el campo de la
proteccin de datos personales, proteccin de informacin confidencial, proteccin de
sistemas de informacin, gestin de riesgos operativos en instituciones financieras, etc.
Cuatro fases del sistema de gestin de seguridad de la informacin
La norma ISO 27001 determina cmo gestionar la seguridad de la informacin a travs de
un sistema de gestin de seguridad de la informacin. Un sistema de gestin de este tipo,
igual que las normas ISO 9001 o ISO 14001, est formado por cuatro fases que se deben
implementar en forma constante para reducir al mnimo los riesgos sobre
confidencialidad, integridad y disponibilidad de la informacin.
Las fases son las siguientes:
La Fase de planificacin: esta fase sirve para planificar la organizacin bsica y
establecer los objetivos de la seguridad de la informacin y para escoger los
controles adecuados de seguridad.
La Fase de implementacin: esta fase implica la realizacin de todo lo planificado
en la fase anterior.
La Fase de revisin: el objetivo de esta fase es monitorear el funcionamiento
del SGSI y verificar si los resultados cumplen los objetivos establecidos.
La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los
incumplimientos detectados en la fase anterior.
El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser
implementadas cclicamente para mantener la eficacia del SGSI.
3
Documentos de ISO 27001
La norma ISO 27001 requiere los siguientes documentos:
el alcance del SGSI;
la poltica del SGSI;
procedimientos para control de documentacin, auditoras internas y
procedimientos para medidas correctivas y preventivas;
todos los dems documentos, segn los controles aplicables;
metodologa de evaluacin de riesgos;
informe de evaluacin de riesgos;
declaracin de aplicabilidad;
plan de tratamiento del riesgo;
registros.
La cantidad y exactitud de la documentacin depende del tamao y de las exigencias de
seguridad de la organizacin; esto significa que una docena de documentos sern
suficientes para una pequea organizacin, mientras que las organizaciones grandes y
complejas tendrn varios cientos de documentos en su SGSI.
La Fase de planificacin
Esta fase est formada por los siguientes pasos:
determinacin del alcance del SGSI;
redaccin de una Poltica de SGSI;
identificacin de la metodologa para evaluar los riesgos y determinar los criterios
para la aceptabilidad de riesgos;
identificacin de activos, vulnerabilidades y amenazas;
evaluacin de la magnitud de los riesgos;
identificacin y evaluacin de opciones para el tratamiento de riesgos;
seleccin de controles para el tratamiento de riesgos;
obtencin de la aprobacin de la gerencia para los riesgos residuales;
obtencin de la aprobacin de la gerencia para la implementacin del SGSI;
redaccin de una declaracin de aplicabilidad que detalle todos los controles
aplicables, determine cules ya han sido implementados y cules no son aplicables.
La Fase de implementacin
Esta fase incluye las siguientes actividades:
redaccin de un plan de tratamiento del riesgo que describe quin, cmo, cundo
y con qu presupuesto se deberan implementar los controles correspondientes;
implementacin de un plan de tratamiento del riesgo;
implementacin de los controles de seguridad correspondientes;
4
determinacin de cmo medir la eficacia de los controles;
realizacin de programas de concienciacin y capacitacin de empleados;
gestin del funcionamiento normal del SGSI;
gestin de los recursos del SGSI;
implementacin de procedimientos para detectar y gestionar incidentes de
seguridad.
La Fase de verificacin
Esta fase incluye lo siguiente:
implementacin de procedimientos y dems controles de supervisin y control
para determinar cualquier violacin, procesamiento incorrecto de datos, si las
actividades de seguridad se desarrollan de acuerdo a lo previsto, etc.;
revisiones peridicas de la eficacia del SGSI;
medicin la eficacia de los controles;
revisin peridica de la evaluacin de riesgos;
auditoras internas planificadas;
revisiones por parte de la direccin para asegurar el funcionamiento del SGSI y
para identificar oportunidades de mejoras;
actualizacin de los planes de seguridad para tener en cuenta otras actividades de
supervisin y revisin;
mantenimiento de registros de actividades e incidentes que puedan afectar la
eficacia del SGSI.

La fase de mantenimiento y mejora
Esta fase incluye lo siguiente:
implementacin en el SGSI de las mejoras identificadas;
toma de medidas correctivas y preventivas y aplicacin de experiencias de
seguridad propias y de terceros;
comunicacin de actividades y mejoras a todos los grupos de inters;
asegurar que las mejoras cumplan los objetivos previstos.

ISO 27002
Anteriormente denominada ISO 17799 es un estndar para la seguridad de la informacin
publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for
Standardization y por la Comisin Electrotcnica Internacional en el ao 2000, con el ttulo
de Information technology - Security techniques - Code of practice for information security
management. Tras un periodo de revisin y actualizacin de los contenidos del estndar,
se public en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El
estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado
por primera vez en 1995.

El documento del Estndar Internacional ISO/IEC 27002, despus de la introduccin, se
divide en quince captulos. En este documento se presentar un resumen y anlisis de
5
cada uno de los quince captulos, de manera breve, pues el objetivo no es plasmar
nuevamente lo que ya se encuentra en el documento original, sino que resaltar las ideas
bsicas de forma muy resumida y con un anlisis propio sobre cada tema del cual se habla
en ste importante Estndar Internacional para la seguridad en las tecnologas de
informacin.


Ilustracin 1: Alcance
Este Estndar Internacional va orientado a la seguridad de la informacin en las empresas
u organizaciones, de modo que las probabilidades de ser afectados por robo, dao o
prdida de informacin se minimicen al mximo.
En la parte de trminos y definiciones se habla de un conjunto de trminos y definiciones
que se presentan al final de este documento, en el Glosario.
Estructura de este estndar
Contiene un nmero de categoras de seguridad principales, entre las cuales se tienen
once clusulas:
a) Poltica de seguridad.
b) Aspectos organizativos de la seguridad de la informacin.
c) Gestin de activos.
d) Seguridad ligada a los recursos humanos.
e) Seguridad fsica y ambiental.
f) Gestin de comunicaciones y operaciones.
g) Control de acceso.
h) Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.
i) Gestin de incidentes en la seguridad de la informacin.
j) Gestin de la continuidad del negocio.
k) Cumplimiento.
Evaluacin de los riesgos de seguridad
Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se
debe dar un tratamiento a cada uno de los riesgos, aplicando medidas adecuadas de
6
control para reducir la probabilidad de que ocurran consecuencias negativas al no tener
una buena seguridad.
Se debe saber que ningn conjunto de controles puede lograr la seguridad completa, pero
que s es posible reducir al mximo los riesgos que amenacen con afectar la seguridad en
una organizacin.
Poltica de Seguridad
Su objetivo es proporcionar a la gerencia la direccin y soporte para la seguridad de la
informacin, en concordancia con los requerimientos comerciales y las leyes y
regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada
organizacin. Se debe redactar un "Documento de la poltica de seguridad de la
informacin." Este documento debe ser primeramente aprobado por la gerencia y luego
publicado y comunicado a todos los empleados y las partes externas relevantes.
Las polticas de seguridad de la informacin no pueden quedar estticas para siempre,
sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que
se mantengan en condiciones favorables y en concordancia con los cambios tecnolgicos
o cualquier tipo de cambio que se d.
Gestin de activos
Se deben asignar responsabilidades por cada uno de los activos de la organizacin, as
como poseer un inventario actualizado de todos los activos que se tienen, a quien/quienes
les pertenecen, el uso que se les debe dar, y la clasificacin de todos los activos. Para esto
el departamento de contabilidad tendr que hacer un buen trabajo en cuanto a esta
clasificacin y desglose de activos, y el departamento de leyes de la empresa tambin
tendr que ser muy metdico en estos procesos, ya que los activos son todos los bienes y
recursos que posee una empresa, incluyendo bienes muebles e inmuebles, dinero, etc.
Por lo tanto este es un asunto delicado y de gran importancia.
Seguridad ligada a los recursos humanos
El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idneos para los roles para los cuales son considerados,
reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir
claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser
simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de
trabajo. Tambin deben existir capacitaciones peridicas para concientizar y proporcionar
formacin y procesos disciplinarios relacionados a la seguridad y responsabilidad de los
recursos humanos en este mbito.
7
Seguridad fsica y ambiental
La seguridad fsica y ambiental se divide en reas seguras y seguridad de los
equipos. Respecto a las reas seguras, se refiere a un permetro de seguridad fsica que
cuente con barreras o lmites tales como paredes, rejas de entrada controladas
por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las reas que
contienen informacin y medios de procesamiento de informacin.
En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los
equipos, seguridad del cableado, mantenimiento de equipos, etc. La ubicacin de los
equipos tambin debe ser adecuada y de tal manera que evite riesgos.
Gestin de comunicaciones y operaciones
El objetivo de esto es asegurar la operacin correcta y segura de los medios de
procesamiento de la informacin.
En primer lugar, es necesario que los procedimientos de operacin estn bien
documentados, pues no basta con tener las ideas en la mente de los administradores, sino
que se deben plasmar en documentos que por supuesto estn autorizados por la gerencia.
Es completamente necesario tener un nivel de separacin entre los ambientes de
desarrollo, de prueba y de operacin, para evitar problemas operacionales.
Control de acceso
En primer lugar, se debe contar con una poltica de control de acceso. Todo acceso no
autorizado debe ser evitado y se deben minimizar al mximo las probabilidades de que
eso suceda. Todo esto se controla mediante registro de usuarios, gestin de privilegios,
autenticacin mediante usuarios y contraseas, etc.
Aparte de la autenticacin correspondiente, los usuarios deben asegurar que el equipo
desatendido tenga la proteccin apropiada. Son necesarios controles de acceso a la red, al
sistema operativo, a las aplicaciones y a la informacin. Para todo esto deben existir
registros y bitcoras de acceso.
Gestin de incidentes en la seguridad de la informacin
La comunicacin es fundamental en todo proceso. Por lo tanto, se debe trabajar con
reportes de los eventos y debilidades de la seguridad de la informacin, asegurando una
comunicacin tal que permita que se realice una accin correctiva oportuna, llevando la
informacin a travs de los canales gerenciales apropiados lo ms rpidamente posible.
Gestin de la continuidad del negocio
Las consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la
disponibilidad del servicio debieran estar sujetas a un anlisis del impacto comercial. Se
8
deben desarrollar e implementar planes para la continuidad del negocio para asegurar la
reanudacin oportuna de las operaciones esenciales. La seguridad de la informacin
debiera ser una parte integral del proceso general de continuidad del negocio, y otros
procesos gerenciales dentro de la organizacin.
Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la
informacin. Estos planes no deben ser estticos, sino que deben ser actualizados y ser
sometidos a pruebas, mantenimiento y reevaluacin.
Cumplimiento
Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones
a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier
requerimiento de seguridad. La identificacin de la legislacin aplicable debe estar bien
definida.
Se deben definir explcitamente, documentar y actualizar todos los requerimientos legales
para cada sistema de informacin y para la organizacin en general.
El cumplimiento de los requisitos legales se aplica tambin a la proteccin de los
documentos de la organizacin, proteccin de datos y privacidad de la informacin
personal, prevencin del uso indebido de los recursos de tratamiento de la informacin, y
a regulaciones de los controles criptogrficos.
3. ITIL
Historia
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la
Informacin (ITIL) se ha convertido en el estndar mundial de facto en la Gestin de
Servicios Informticos. Iniciado como una gua para el gobierno de UK, la estructura base
ha demostrado ser til para las organizaciones en todos los sectores a travs de su
adopcin por innumerables compaas como base para consulta, educacin y soporte de
herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a
la OGC
1
, pero es de libre utilizacin.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de la
Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha
dado como resultado una necesidad creciente de servicios informticos de calidad que se
correspondan con los objetivos del negocio, y que satisfagan los requisitos y las
expectativas del cliente. A travs de los aos, el nfasis pas de estar sobre el desarrollo
de las aplicaciones TI a la gestin de servicios TI. La aplicacin TI (a veces nombrada como
un sistema de informacin) slo contribuye a realizar los objetivos corporativos si el

1
Oficina de Comercio del Gobierno Britnico (Office of Government Commerce)
9
sistema est a disposicin de los usuarios y, en caso de fallos o modificaciones necesarias,
es soportado por los procesos de mantenimiento y operaciones.

Ilustracin 2 ITIL
Objetivos de ITIL
Alinear los servicios de TI con las necesidades de la empresa (negocio), actuales y
futuras
Mejoras la calidad de los servicios de TI
Reducir los costos por la proveedura de servicios de TI en el mediano y largo plazo
Beneficios de ITIL
ITIL ofrece un enfoque sistemtico y profesional para la Gestin del Servicio TI. La
adopcin de esta gua ofrece a los usuarios un amplio rango de beneficios que incluyen:
Reduccin de los gastos
Mejoramiento de los servicios TI a travs del uso de procesos comprobados de
buenas prcticas
Mejoramiento de la satisfaccin de los clientes por medio de un enfoque ms
profesional de la entrega de servicios
Normas y orientacin
Mejora de la productividad
Mejor utilizacin de las habilidades y de la experiencia
Mejor entrega de los servicios a terceros a travs de la especificacin de ITIL o ISO
20000 como estndar para la entrega de servicios en los servicios de compras
Versiones
ITIL Versin 2 (V2) fue mejorado con un cambio de imagen a travs de la certificacin ITIL
V3 (Versin 3). La versin 3 de la certificacin ITIL representa un paso importantsimo que
10
ha transformado la gua desde proporcionar un gran servicio a ser el ms innovador y
mejor en su clase. Al mismo tiempo, la integracin entre la anterior y la nueva
aproximacin se consigue sin problemas ya que los usuarios no tienen que reinventar la
rueda durante la actualizacin. La versin de la certificacin ITIL V3 permite a los usuarios
construir sobre el xito de la V2 y adems llevar la gestin del servicio TI an ms
adelante.
La nueva edicin, ITIL 2011, es una versin de actualizacin de la versin de ITIL V3, la
primera actualizacin importante desde 2007, y aborda una amplia gama de cuestiones
planteadas en el registro de control de cambios y resuelve los errores e incoherencias en
el texto y diagramas a travs de toda la suite.
Certificacin
Los estndares de calificacin de ITIL son gestionados por la ITIL Certification Management
Board (ICMB). No es posible certificar una organizacin o sistema de gestin conforme a
ITIL. Pero una organizacin que haya implementado las guas de ITIL sobre Gestin de
Servicios de ITIL puede lograr certificarse bajo la ISO/IEC 20000.
El Esquema de Certificacin ITIL (Versin 3) proporciona una aproximacin modular a la
certificacin ITIL y es parte de una serie de certificaciones que se centraron en diferentes
aspectos de las buenas prcticas de ITIL, en varios grados de profundidad y detalle.
Se encuentra disponibles cuatro niveles de certificacin ITIL:
Certificacin ITIL Foundation
Certificacin ITIL Intermediate Ciclo de vida y capacidad del servicio
Certificacin ITIL Expert
Certificacin ITIL Master
El enfoque modular de la certificacin ITIL V3 no solo ofrece una mayor flexibilidad a los
candidatos en relacin a las disciplinas del rea ITIL que tienen que estudiar, tambin hace
la certificacin ITIL ms accesible y alcanzable.
La certificacin ITIL Foundation: Proporciona conocimiento y comprensin de los
elementos clave, la estructura, la terminologa y los procesos de ITIL V3. Esta certificacin
ITIL de nivel bsico ofrece a los candidatos un conocimiento general de los elementos
clave del Servicio del ciclo de vida de ITIL.
La certificacin ITIL Intermediate: Ofrece dos corrientes principales de educacin; Ciclo
de vida y Capacidad, cada uno con su serie de certificaciones y un mdulo final de
racionalizacin, Gestin a travs del ciclo de vida. Cada certificacin ITIL intermedia ofrece
a los candidatos el conocimiento, las habilidades y las competencias necesarias para
11
gestionar la aplicacin de reas especficas de las buenas prcticas de ITIL en un entorno
de gestin del Servicio. Son disponibles los siguientes cursos:
Service Strategy
Service Design
Service Operation
Service Transition
Continual Service Improvement
La certificacin ITIL Expert: Es para los candidatos que han obtenido las certificaciones
ITIL V3 y que desean demostrar un nivel de conocimiento superior de ITIL V3 en su
totalidad.
La certificacin ITIL Master Qualification: Es la cualificacin ms elevada disponible en el
programa ITIL V3. Esta cualificacin est reservada para aquellos que pueden demonstrar
sus habilidades en la utilizacin de las disciplinas de ITIL y las buenas prcticas de gestin
de los servicio TI en un ambiente real de trabajo. Este nivel est todava en fase piloto.

Ilustracin 3 certificacin ITIL V3
4. COBIT
Introduccin
El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de
informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El
COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la
seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios.
12
Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y
Tecnologas relacionadas (Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigacin con expertos de varios pases,
desarrollado por ISACA (Information Systems Audit and Control Association).
Misin del COBIT
Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologas de la informacin, generalmente
aceptadas, para el uso diario por parte de gestores de negocio y auditores.
Beneficios COBIT
Mejor alineacin basada en una focalizacin sobre el negocio.
Visin comprensible de TI para su administracin.
Clara definicin de propiedad y responsabilidades.
Aceptabilidad general con terceros y entes reguladores.
Entendimiento compartido entre todos los interesados basados en un lenguaje
comn.
Cumplimiento global de los requerimientos de TI planteados en el Marco de
Control Interno de Negocio COSO.
Estructura
La estructura del modelo COBIT propone un marco de accin donde se evalan los
criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos
que comprenden la tecnologa de informacin, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los
procesos involucrados en la organizacin.
Dominios COBIT
El conjunto de lineamientos y estndares internacionales conocidos como COBIT, define
un marco de referencia que clasifica los procesos de las unidades de tecnologa de
informacin de las organizaciones en cuatro "dominios" principales, a saber:
Planificacin y Organizacin.
Adquisicin e Implantacin.
Soporte y Servicios.
Monitoreo.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos
de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de
control facilitan que la generacin y procesamiento de la informacin cumplan con las
13
caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad.
Caractersticas
Orientado al negocio.
Alineado con estndares y regulaciones "de facto".
Basado en una revisin crtica y analtica de las tareas y actividades en TI.
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).
Principios
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar
soporte a los procesos de negocio y considerando a la informacin como el resultado de la
aplicacin combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI.
Requerimientos de la informacin del negocio: Para alcanzar los requerimientos de
negocio.
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de
los reportes financieros y Cumplimiento le leyes y regulaciones.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos
de negocio:
Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano
Niveles COBIT
Se divide en 3 niveles, los cuales son los siguientes:
Dominios: Agrupacin natural de procesos, normalmente corresponden a un
dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de
control.
Actividades: Acciones requeridas para lograr un resultado medible.
Componentes COBIT
Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los
antecedentes y la estructura bsica de
14
Marco de Referencia (Framework): Incluye la introduccin contenida en el
resumen ejecutivo y presenta las guas de navegacin para que los lectores se
orienten en la exploracin del material de COBIT haciendo una presentacin
detallada de los 34 procesos contenidos en los cuatro dominios.
Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen
ejecutivo como en el marco de referencia y presenta los objetivos de control
detallados para cada uno de los 34 procesos.
Planear Y Organizar
PO1 Definir el plan estratgico de TI.
PO2 Definir la arquitectura de la informacin
PO3 Determinar la direccin tecnolgica.
PO4 Definir procesos, organizacin y relaciones de TI.
PO5 Administrar la inversin en TI.
PO6 Comunicar las aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administracin de Calidad
Adquirir E Implantar
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
Monitorear Y Evaluar
ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
Prestacin Y Soporte
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuracin.
15
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones.
5. SOX
El SOX, abreviatura para Sarbanes Oxley Act es una ley americana que ha sido emitida en
el 2002 en los Estados Unidos, para dar una respuesta firme a los repetidos escndalos
financieros que se haba producido los aos inmediatamente anteriores. El nombre de la
ley se deriva de los apellidos de sus dos principales patrocinadores, el diputado Michael G
Oxley y el senador Paul S. Sarbanes. La Ley SOX tambin controla el tipo de informacin
que se publica sobre los clientes y accionistas, que ayuda a proteger su identidad.
Esta ley, es una respuesta por parte del gobierno estadounidense a los escndalos
financieros ocurridos durante los aos 2001 y principios del 2002 en su territorio; muchas
de las grandes empresas americanas eran organizaciones que gozaban de plena confianza
pblica y sus ttulos. Valores se encontraban bien posesionados en el sistema financiero
norteamericano.
Los objetivos principales de la ley son monitorear la industria de la contabilidad, sancionar
a los ejecutivos que cometan fraudes corporativos e incrementar el presupuesto para
auditores e investigadores de los Securities and Exchange Commision (SEC). Su gran
alcance, est diseado para restaurar la confianza en los informes financieros
corporativos, plantear grandes cambios en la gestin de las empresas pblicas, aunque
tambin pretenden abrir nuevas oportunidades.
As pues, la ley Sarbanes Oxley se centra en todo lo relacionado con la creacin de
procedimientos, documentndolos, controlndolos y comunicndolos, como tambin
requiere que las empresas mejoren su contabilidad utilizando polticas y procedimientos
financieros documentados, adems de una generacin de informes financieros ms
rpida.
En relacin con el control interno la Ley recomienda:
Asesoramiento del diseo y la eficacia del funcionamiento de los controles
internos relacionados con el mantenimiento de los balances financieros relevantes.
Comprensin de la importancia de las transacciones anotadas, autorizadas,
procesadas, y contabilizadas.
Documentar suficiente informacin sobre el flujo de transacciones para identificar
posibles errores o fraudes que hayan podido ocurrir.
16
Evaluar la credibilidad de los controles de la compaa, de acuerdo con el COSO
(Committee of Sponsoring Organizations of the Treadway Commission),
organizacin encargada de identificar fraudes financieros.
Evaluar los controles diseados para prevenir o detectar fraudes, incluidos los
controles a la direccin.
Evaluar el control del proceso del informe financiero al final de ejercicio.
Evaluar el control sobre la veracidad de los asientos contables.
La Ley tiene su referente en entidades del sector burstil de gran escala, muchos de los
acpites citados proporcionan lineamientos a tener en cuenta para reglamentar y aplicar
las mejores prcticas en el ejercicio de la auditoria y la administracin que posibiliten
ejercer una mayor control y recuperar la confianza ante la oleada de corrupcin,
ineficiencia e irregularidades como se manejan las entidades pblicas y privadas en
nuestras naciones.
Para el caso de las auditoras externas, se relacionan algunos condicionamientos en los
servicios a tener en cuenta y algunos de ellos no podrn ser prestados simultneamente
ante las entidades vigiladas.
Si bien la Ley ejerce lineamientos expresos sobre la actuacin de las auditorias, de la
misma manera estipula lineamientos y responsabilidades a sus administradores, como
fundamento de autocontrol, tales como:
Establecer y mantener controles y procedimientos, que aseguren que la
informacin relevante, incluida la de las subsidiarias que conforman la compaa,
son comunicadas.
Evaluar dentro de los primeros tres meses previos al r registro de la compaa los
controles y procedimientos de exposicin.
Presentar las conclusiones de la efectividad de los controles y procedimientos de
exposicin a la fecha de la evaluacin
El requerimiento de que los que forman el comit de auditores, recae la
responsabilidad confirmar la independencia.
Prohibicin de prstamos personales a directores y ejecutivos.
Transparencia de la informacin de acciones y opciones, de la compaa en
cuestin, que puedan tener los directivos, ejecutivos y empleados claves de la
compaa y consorcios, en el caso de que posean ms de un 10% de acciones de la
compaa. Asimismo estos datos deben estar reflejados en los informes de las
compaas.
Endurecimiento de la responsabilidad civil as como las penas, ante el
incumplimiento de la Ley. Se alargan las penas de prisin, as como las multas a los
17
altos ejecutivos que incumplen y/o permiten el incumplimiento de las exigencias
en lo referente al informe financiero.
Requisitos
La Ley Sarbanes-Oxley se inspir inicialmente para ayudar a combatir el creciente nmero
de casos de fraude en las grandes empresas pblicas. SOX requiere que las grandes
empresas comiencen a centrarse en el mantenimiento de registros y el control del
proceso de almacenamiento de informacin. SOX requiere que los departamentos de IT
supervisen y controlen todos los aspectos del almacenamiento y recuperacin. Los
departamentos de IT y los protocolos fueron completamente renovados luego de la
aprobacin de la Ley SOX, siendo los guardianes de los datos empresariales.
Privacidad
SOX inculc un profundo entendimiento de la proteccin de datos y el control de las
grandes empresas. Ahora las empresas controlan y protegen datos del usuario y de los
clientes de forma mucho ms profunda, que los protege contra el fraude y el robo de
identidad. Estas medidas ahora requieren mltiples piezas de informacin de seguridad de
los investigadores y evita que usuarios no autorizados accedan a informacin sensible. Los
requisitos de mantenimiento de registros de SOX tambin ayudan a las empresas a
localizar a los autores en las investigaciones.
Conservacin de registros
El cumplimiento de SOX requiere que todos los registros de la cuenta y las transacciones
se guarden durante al menos cinco aos. Tener estas transacciones almacenadas en el
mismo estado permite la investigacin y la auditora de las autoridades en el caso de
fraude. El mantenimiento de registros ha sido impuesto cumpliendo la Ley SOX y ha
ayudado a reducir la cantidad de escndalos financieros. El mantenimiento
de registros tambin ha incrementado la cantidad de control a lo que los CEOs y otros
gerentes son sometidos.
Auditoras
Las auditoras son realizadas por las agencias de cumplimiento de SOX y supervisan las
polticas de mantenimiento de registros, tanto de la contabilidad y de los departamentos
de IT. Es necesario que las empresas presenten las transacciones financieras y las
modificaciones de la cuenta. Los departamentos deben presentar los datos solicitados en
el momento oportuno a las auditoras.
No cumplimiento
El incumplimiento de las auditoras e investigaciones SOX se toma como una ofensa grave.
Se puede castigar el incumplimiento de la normativa SOX con sentencias de prisin y
18
grandes multas. Las auditoras se realizan en todos los registros y monitorean los
procedimientos de mantenimiento de registros de la empresa, as como una sancin a
estos procedimientos pueden ser una violacin al cumplimiento de la ley SOX.
6. ISO 27005
Introduccin
El estndar internacional ISO/IEC 27005:2008, titulado Information technology - Security
techniques - Information security risk management.
ISO 27005 "derog" las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y fue
publicado el 4 Junio del 2008.
ISO 27005 es el nombre del primer estndar de la serie 27000 que cubre la seguridad informtica
de gestin de riesgos. La norma brinda las directrices para la gestin de riesgos de seguridad
(ISRM) en una organizacin, en particular el apoyo a los requisitos de un sistema de gestin de la
informacin de seguridad definidos por la norma ISO 27001.
El estndar ISO 27005 consta de 55 pginas, y es aplicable a todo tipo de organizacin. No
proporciona o recomienda una metodologa especfica. Esto depender de una serie de factores,
tales como el alcance real de la Seguridad de la Informacin Sistema de Gestin (SGSI), o tal vez la
industria y el sector comercial.
El Contenido de la Norma ISO 27005
Las secciones de contenido son:
Prefacio
Introduccin
Las referencias normativas
Trminos y definiciones
Estructura
Antecedentes
Descripcin del proceso de ISRM
Contexto Establecimiento
Seguridad de la informacin Evaluacin de Riesgos (ISRA)
Seguridad de la Informacin de Riesgos del tratamiento
Seguridad de la informacin de Aceptacin de Riesgo
Seguridad de la informacin comunicacin de riesgos
seguridad de la informacin de riesgo de seguimiento y revisin
Anexo A: Definicin del alcance del proceso
Anexo B: evaluacin de valoracin de activos y el impacto
Anexo C: Ejemplos de amenazas Tpica
Anexo D: Vulnerabilidades y mtodos de evaluacin de la vulnerabilidad
19
Anexo E: ISRA enfoques
Fases del Anlisis de Riesgos
Establecimiento del contexto (Clusula 7)
Evaluacin del riesgo (Clusula 8)
Tratamiento del riesgo (Clusula 9)
Aceptacin del riesgo (Clusula 10)
Comunicacin del riesgo (Clusula 11)
Monitorizacin y revisin del riesgo (Clusula 12)
La norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena
metodologa de Anlisis de Riesgos, por lo que, visto desde este punto de vista puede
constituirse como una metodologa en s misma.
ISO 27005 ha nacido claramente para apoyar la tarea del anlisis y la gestin de riesgos en
el marco de un SGSI (Sistema de Gestin de Seguridad de la Informacin).
Procesos de Evaluacin de Riesgos
Identificacin de Activos
Identificacin de requerimientos legales y del Negocio
Valoracin de los activos
Identificacin y evaluacin de riesgos y vulnerabilidades
Estimar la Probabilidad de Ocurrencia
Evaluacin de Riesgos
Calculo de riesgos
Evaluacin hacia una predeterminada escala
Tratamiento de Riesgos sucede por
Prevencin y detencin de controles
Evitacin del riesgo
Aceptacin del riesgo
Pasar el riesgo a otra entidad
Alguna Combinacin
Administracin de criterios de decisin fabricacin
Cul es el Impacto?
Cun frecuente se espera que ocurra?
Cul es el Costo de gestionar el riesgo?
Dlares
Recursos
Prioridades Actuales del Negocio
20
Toleracin Organizacional del Riesgo
Grado de Aseguramiento determinado por:

Ilustracin 4 Toleracin Organizacional del Riesgo
Riesgo = Vulnerabilidades + Riesgos + Probabilidad + Impacto
Plan-Hacer-Comprobar-Actuar
Tolerancia de Riesgo

Ilustracin 5 Plan-Hacer-Comprobar-Actuar
Administracin Continua de Riesgos
Monitoreo y Mantenimiento
Administracin de Revisiones
Revisiones de riesgos y re-evaluacin
Auditorias
Control de la Documentacin
Acciones correctivas
21
Acciones preventivas
Reportes y comunicaciones
Rol de administracin de Riesgos
Anexos
El estndar incluye seis Anexos (A-F) de carcter informativo y no normativo, con
orientaciones que van desde la identificacin de activos e impactos, ejemplos de
vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el anlisis
distinguiendo entre anlisis de riesgos de alto nivel y anlisis detallado.
7. AS/NZS 4360:2004
Introduccin
AS/NZS 4360:2004 Australian New Zealand Risk Management Standard (Estndar
australiano y neozelands para la Gestin de Riesgos).
El estndar AS/NZS 4360 fue el primero en salir en 1995. Hoy existe una tercera versin
de 2004 la cual es reconocida mundialmente y ha sido adoptada en un gran nmero de
empresas multinacionales traducindose al francs, espaol, chino, japons y coreano.
ISO lo aprob como estndar nacional. Ms an, los conceptos bsicos del documento de
AS/NZ fueron una base importante para la primera discusin del estndar internacional
que trataremos ms adelante: ISO 31000.
La norma AS/NZS 4360 suministra orientaciones genricas para la gestin de riesgos.
Puede aplicarse a una gran variedad de actividades, decisiones u operaciones de cualquier
entidad pblica, privada o comunitaria, grupos o individuos. Se trata de una instruccin
amplia pero que permite la definicin de objetivos especficos de acuerdo con las
necesidades de cada implementacin. La aplicacin de la norma AS/NZS 4360 le garantiza
a la organizacin una base slida para la aplicacin de cualquier otra norma o metodologa
de gestin de riesgos especfica para un determinado segmento.
El objetivo de este estndar es proveer una gua que permita tanto a empresas pblicas o
privadas como a individuos, grupos o comunidades lograr:
una base ms confiable y rigurosa para la toma de decisiones y planificacin
mejor identificacin de oportunidades y amenazas
generar valor desde la incertidumbre y variabilidad
una gestin proactiva ms que reactiva
asignacin y utilizacin de recursos ms afectiva
mejorar la confianza de los stakeholders45
mejorar el cumplimiento con legislaciones relevantes
tener un mejor gobierno corporativo
22
Estructura
La estructura del estndar es la siguiente:
1. Alcance, mbito de aplicacin y definiciones
2. Requerimientos de administracin de riesgos
3. Vista general de la administracin de riesgos
4. Proceso de administracin de riesgos
5. Documentacin
1. Alcance, mbito de aplicacin y definiciones
El documento plantea como rea de riesgo a todos los riesgos. Es un marco terico
genrico, que establece el contexto, plantea la identificacin, anlisis, tratamientos,
monitoreo y comunicacin. El Libro de Gua
2
tiene como alcance una variedad de
actividades, incluidas las actividades del sector pblico, comerciales, organizaciones
voluntarias y sin fines de lucro.
2. Requerimientos de administracin de riesgos
En esta seccin se plantea que la organizacin debe tener un programa sistemtico de
administracin de riesgos. Para ello la direccin debe:
Desarrollar una poltica de administracin de riesgo
Definir y planificar los recursos
Programar la implementacin:
o Respaldo de la alta gerencia
o Desarrollar la poltica organizacional
o Comunicar la poltica
o Administrar riesgos a nivel organizacional
o Administrar riesgos a nivel de programa, proyecto y equipo
o Monitorear y revisar
Revisin gerencial: el ejecutivo debe asegurar que se lleve a cabo una revisin del
sistema de administracin de riesgos a intervalos especificados, suficiente para
asegurar su continua conformidad y efectividad
3. Vista general de la administracin de riesgos
Se enfatiza que la administracin de riesgos es un proceso multifactico, que tiene
aspectos que generalmente son mejor manejados por un equipo multifactico. Es un
proceso iterativo de continua evolucin. La vista general, o dicho en otras palabras, el
esquema de los elementos principales del proceso de administracin de riesgos queda
reflejado en la siguiente ilustracin:

2
Libro de Gua: Risk Management Guidelines Companion to AS/NZS 4360:2004 Standards Australia /
Standards New Zealand
23

Ilustracin 6 Proceso de Gestin del Riesgo segn la norma AN/NZS 4360:2004
4. Proceso de administracin de riesgos
El proceso de administracin de riesgos planteado tiene siete etapas.
4.1. Establecer del contexto: El marco define con gran detalle tres tipos de contextos que
deben tomarse en cuenta para la administracin de riesgos (organizacional, estratgico y
para la administracin de riesgo). Adems, establece el alcance para el resto del proceso
de administracin de riesgos. De esta manera en esta etapa se identifican 5 aspectos:
El contexto estratgico: definiendo la relacin entre la organizacin y el ambiente,
ya sea interno o externo.
El contexto organizacional: entendiendo a la empresa y sus capacidades, as como
sus metas y objetivos y estrategias para alcanzarlos.
El contexto para la administracin de riesgos: estableciendo el alcance y las
fronteras para la aplicacin del proceso de administracin de riesgos.
Desarrollar un criterio para la evaluacin del riesgo: decidiendo qu criterios se van
a utilizar para cada riesgo a la hora de ser evaluados.
Definir la estructura: separando la actividad o el proyecto en un conjunto de
elementos para proveer una gua lgica para la identificacin y anlisis del riesgo.
4.2. Identificacin de riesgo: La segunda etapa significa identificar los riesgos para ser
administrados. Esto incluye un proceso sistemtico bien estructurado que debe contener:
qu puede ocurrir, cmo puede ocurrir, herramientas y tcnicas para la identificacin.
(Algunos ejemplos citados son: checklists, identificacin basada en la experiencia y la
historia, grficos de evolucin, tormenta de ideas).
24
4.3. Anlisis de riesgo: El objetivo es separar los riesgos con mayor aceptacin de los
riesgos con menos aceptacin y proveer datos para asistir en la evolucin y tratamiento
de los riesgos.
Los pasos en el anlisis de riesgo son:
Determinar controles existentes: Identificar la administracin, sistemas tcnicos y
procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y
debilidades.
Determinar consecuencias y probabilidad de ocurrencia: asegurar esto en el
contexto de los controles existentes y luego cambiar las consecuencias y
probabilidades para producir el nivel de riesgo.
El documento sugiere que para evitar efectos negativos se deberan utilizar las mejores
tcnicas y fuentes de informacin disponibles.
4.4. Evaluacin de riesgo: implica comparar el nivel de riesgo durante el proceso de
anlisis previo a establecer el criterio de riesgo. El producto de la evaluacin de riesgo es
tener una lista de los riesgos con prioridades para tomar acciones posteriores. Si los
riesgos caen en categoras de bajo riesgo o de riesgo aceptable, pueden ser aceptados con
el mnimo de tratamiento y ser monitoreados regularmente para asegurarse se mantiene
en este nivel. Si no, deben ser tratados usando una o ms de las opciones de la etapa
siguiente.
4.5. Tratamiento de riesgo: Esta ltima etapa del proceso implica identificar las opciones,
evaluarlas, preparar el plan de tratamiento de los riesgos e implementarlo.
4.6. Monitoreo y revisin: monitorear los riesgos, la efectividad del tratamiento, etc. Los
riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para
asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. Pocos
riesgos permanecen estticos. Debe hacerse una revisin continua para asegurar que el
plan inicial se mantiene.
4.7. Comunicacin y consulta: importante en cada etapa del proceso. Este marco da gran
importancia a desarrollar planes de comunicacin tanto para los stakeholders
3
internos
como externos. Enfatiza que el dilogo debe ser de ida y vuelta con los esfuerzos
enfocados en la consulta. Menciona que es importante que esta etapa se desarrolle desde
el inicio del proceso de gestin de riesgos. Por eso en el esquema se ubica al costado de
las etapas a lo largo de todo el proceso.

3
Stakeholders: Partes interesadas
25
5. Documentacin
El estndar plantea que debera documentarse cada etapa del proceso de administracin
de riesgos. Da una serie de razones por las cuales es apropiado documentar que
consideramos importante detallar:
a) demostrar que el proceso es conducido apropiadamente;
b) proveer evidencia de un enfoque sistemtico de identificacin y anlisis de riesgos;
c) proveer un registro de los riesgos y desarrollar la base de datos de conocimientos
de la organizacin;
d) proveer a los tomadores de decisin relevantes de un plan de administracin de
riesgos para aprobacin y subsiguiente implementacin;
e) proveer un mecanismo y herramienta de responsabilidad;
f) facilitar el continuo monitoreo y revisin;
g) proveer una pista de auditoria; y
h) compartir y comunicar informacin.

8. PMI
El Project Management Institute (PMI) es una organizacin internacional sin fines de lucro
que asocia a profesionales relacionados con la Gestin de Proyectos. Desde principios de
2011, es la ms grande del mundo en su rubro, dado que se encuentra integrada por ms
de 700.000 miembros en cerca de 180 pases. La oficina central se encuentra en la
localidad de Newtown Square, en la periferia de la ciudad de Filadelfia, en Pennsylvania
(Estados Unidos) Sus principales objetivos son:
Formular estndares profesionales en Gestin de Proyectos.
Generar conocimiento a travs de la investigacin.
Promover la Gestin de Proyectos como profesin a travs de sus programas de
certificacin.
Historia
El PMI se fund en 1969 por 40 voluntarios. Su primer seminario se celebr
en Atlanta (Estados Unidos), al cual acudieron ms de ochenta personas. En la dcada de
los 70 se realiz el primer captulo, lo que permiti realizar fuera de Estados Unidos el
primer seminario. A finales de 1970, ya casi 2000 miembros formaban parte de la
organizacin. En la dcada de los 80 se realiz la primera evaluacin para la certificacin
como profesional en gestin de proyectos (PMP por sus siglas en ingls); adems de esto,
se implant un cdigo de tica para la profesin. A principios de los aos 1990 se public
la primera edicin de la Gua del PMBOK (Project Management Body of Knowledge), la
cual se convirti en un pilar bsico para la gestin y direccin de proyectos. Ya en el ao
26
2000, el PMI estaba integrado por ms de 40.000 personas en calidad de miembros
activos, 10.000 PMP certificados y casi 300.000 copias vendidas del PMBOK.
Certificacin
El PMI ofrece una serie de certificaciones que reconocen el conocimiento y la
competencia, incluyendo la certificacin del Profesional en Direccin de Proyectos (PMP)
que cuenta con ms de 370.000 titulares alrededor del mundo. Los salarios y las
oportunidades de desarrollo profesional de los individuos titulares de nuestras
certificaciones demuestran que los empleadores reconocen el valor que entregan los
profesionales capacitados.
Estndares mundiales
Los estndares del PMI para la direccin de proyectos, programas, y portafolios son los
ms reconocidos en la profesin, el modelo para la direccin de proyectos en el gobierno
y en los negocios.
Miles de voluntarios del PMI con experiencia en este tipo de proyectos, desarrollan y
actualizan estos estndares, y proveen un lenguaje comn para la direccin de proyectos
alrededor del mundo.
Captulos y comunidades de prctica
La mayora de las actividades del PMI se dan lugar en ms de 250 captulos geogrficos y
30 comunidades de prctica segn las industrias o intereses comunes. Estas comunidades,
que estn abiertas a los miembros del PMI y son dirigidas por voluntarios, fomentan el
compartir el conocimiento y la vinculacin entre profesionales, que es una parte central
de nuestra misin.
Capacitacin y educacin
PMI ofrece un amplio rango de oportunidades de desarrollo profesional, desde nuestros
SeminarsWorld y cursos a distancia, hasta los congresos globales del PMI y otros eventos.
Ud. Tambin puede capacitarse con alguno de los ms de 1.400 Proveedores de Educacin
Registrados con PMI (REPs) para capacitacin en direccin de proyectos y desarrollo
continuo. Para quienes cursan programas universitarios, el Centro de Acreditacin Global
del PMI para los Programas de Educacin en Direccin de Proyectos ha reconocido ms de
60 programas a nivel de grado y posgrado.
Investigacin
El Programa de Investigacin del PMI, el ms extenso en este campo, avanza la ciencia, la
prctica, y la profesin de la direccin de proyectos. El mismo expande los fundamentos
para la direccin de proyectos a travs de proyectos de investigacin, de simposios, y de
27
encuestas, y comparte este conocimiento mediante sus publicaciones, sus conferencias de
investigacin y sus sesiones de trabajo.
Gobernabilidad
15 miembros voluntarios del Directorio gobiernan al PMI. Cada ao los miembros del PMI
votan por cinco directores para perodos de tres aos. Tres directores elegidos por otros
miembros de la junta directiva sirven como oficiales por perodos de un ao.
El Grupo de Direccin Ejecutivo y el personal profesional del Centro de Operaciones
Globales del PMI ubicado en la ciudad de Newtown Square en Pennsylvania, USA, gua las
operaciones diarias del PMI.
9. BS 25999 e ISO 22301
BS 25999
Introduccin
La BS 25999 se trata de una norma certificable en la que se tiene como objeto la gestin o
plan de continuidad del negocio fundamentalmente enfocado a la disponibilidad de la
informacin, uno de los activos ms importantes hoy en da para cualquier organizacin.
La norma se cre ante la necesidad de que actualmente tienen las organizaciones de
implementar mecanismos y/o tcnicas, que minimicen los riesgos a los que se est
expuestas, para conseguir una alta disponibilidad de las actividades de su negocio.
La norma consiste en una serie de recomendaciones o buenas prcticas para facilitar la
recuperacin de los recursos que permiten el funcionamiento normal de un negocio, en
caso de que ocurra un desastre. En este contexto, se tienen en cuenta tanto los recursos
humanos, como las infraestructuras, la informacin vital, las tecnologas de la informacin
y los equipos que la soportan.
Historia
BS 25999 es un estndar britnico desarrollado como Plan de continuidad del Negocio
(Business Continuity Management-BCM), y ha sido desarrollada por un amplio grupo de
expertos de relevancia mundial en de los sectores de la industria y de la Administracin.
Esta es una actualizacin.
La norma ha sido publicada en dos partes.
BS 25999-1:2006 Parte 1: se trata de un documento orientativo que proporciona
las recomendaciones prcticas para las el BCM.
28
BS 25999-2:2007 Parte 2: establece los requisitos para un Sistema de Gestin de la
Continuidad (BCM). Esta es la parte de la norma que se certifica a travs de una
etapa de implementacin, de auditora y posterior certificacin.
BS 25999-1
El estndar BS 25999-1 presenta los procesos y principios necesarios para una adecuada
gestin de la continuidad del negocio que permita cubrir las necesidades de clientes y
organizaciones.
La gestin de la continuidad del negocio (Business continuity management BCM)
consiste en la mejora proactiva de la resistencia (resilience) de la organizacin frente a
contingencias. Por otra parte, proporciona mecanismos para restaurar los productos y
servicios clave a un nivel aceptable y dentro de un marco temporal limitado, protegiendo
la reputacin corporativa.
La implantacin de un programa de gestin de la continuidad ofrece los siguientes
beneficios:
Identificacin proactiva de los impactos derivados de la interrupcin operativa.
Respuesta efectiva a interrupciones.
Gestin de riesgos no aceptados por las compaas de seguros.
Mejora de la reputacin corporativa.
Ventaja competitiva debido a la demostrada capacidad de mantener la entrega de
servicios.
El ciclo de vida de la gestin de la continuidad consta de 5 etapas:
1. Programa de gestin de la continuidad del negocio BCM
2. Comprensin de la organizacin
3. Determinar la estrategia de continuidad o recuperacin BCM
4. Desarrollo e implementacin de las respuestas BCM
5. Validacin, mantenimiento y revisin
El estndar BS 25999-1 proporciona unos cdigos de buenas prcticas en forma de guas
generales, las cuales establecen los procesos, principios y la terminologa expuesta en el
presente artculo. Es posible ampliar la informacin con las guas de buenas prcticas del
Business Continuity Institute.
BS 25999-2
La BS 25999-2 es una norma britnica emitida en 2007 que rpidamente se convirti en la
principal norma para gestin de la continuidad del negocio; aunque se trataba de una
norma nacional britnica, se utiliza tambin en muchos otros pases.
29
La BS 25999-2 tambin define un sistema de gestin de la continuidad del negocio que
contiene las mismas cuatro fases de gestin: planificacin, implementacin, revisin y
supervisin; y por ltimo, mejora. El objetivo de estas cuatro fases es que el sistema se
actualice y mejore permanentemente para que sea til si se produjera un desastre.
Los siguientes son algunos de los procedimientos y documentos ms importantes
requeridos por la BS 25999-2:
alcance del SGCN: identificacin precisa de la parte de la organizacin en la cual se
aplica la gestin de la continuidad del negocio;
poltica de GCN: definicin de objetivos, responsabilidades, etc.;
gestin de recursos humanos;
anlisis de impactos en el negocio y evaluacin de riesgos;
definicin de estrategia de continuidad del negocio;
planes de continuidad del negocio;
mantenimiento de planes y sistemas; mejoras.
ISO 22301
Introduccin
El nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad
Sistemas de gestin de la continuidad del negocio. Esta norma fue redactada por los
principales especialistas en el tema y proporciona el mejor marco de referencia para
gestionar la continuidad del negocio en una organizacin.
ISO 22301 es la nueva norma internacional de gestin de continuidad de negocio. Esta ha
sido creada en respuesta a la fuerte demanda internacional que obtuvo la norma britnica
original, BS 25999-2 y otras normas. Si usted cumple con los requisitos para obtener la
certificacin, su organizacin ser reconocida a nivel global.
ISO 22301 identifica los fundamentos de un sistema de gestin de continuidad de negocio,
estableciendo el proceso, los principios y la terminologa de gestin de continuidad de
negocio.
Relacin con BS 25999-2
La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero
la ISO 22301 puede ser considerada como una actualizacin de la BS 25999-2.
Beneficios de la continuidad del negocio
Si se implementa correctamente, la gestin de la continuidad del negocio disminuir la
posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la
30
organizacin estar preparada para responder en forma adecuada y, de esa forma, reducir
drsticamente el dao potencial de ese incidente.
Cmo encaja la continuidad del negocio en la gestin general?
La continuidad del negocio es parte de la gestin general del riesgo en una compaa y
tiene reas superpuestas con la gestin de seguridad y tecnologa de la informacin.

Ilustracin 7 la gestin del riesgo es parte de la gestin corporativa general.
Trminos bsicos utilizados en la norma
Sistema de gestin de la continuidad del negocio (SGCN): parte del sistema general
de gestin que se encarga de planificar, mantener y mejorar continuamente la
continuidad del negocio.
Interrupcin mxima aceptable (MAO): cantidad mxima de tiempo que puede
estar interrumpida una actividad sin incurrir en un dao inaceptable (tambin
Perodo mximo tolerable de interrupcin [MTPD]).
Objetivo de tiempo de recuperacin: tiempo predeterminado que indica cundo se
debe reanudar una actividad o se deben recuperar recursos.
Objetivo de punto de recuperacin (RPO): prdida mxima de datos; es decir, la
cantidad mnima de datos que necesita ser restablecida.
Objetivo mnimo para la continuidad del negocio (MBCO): nivel mnimo de
servicios o productos que necesita suministrar o producir una organizacin una vez
que restablece sus operaciones comerciales.
Contenido de ISO 22301
La norma incluye estas secciones:

Introduccin
0.1 General
0.2 El modelo Planificacin-
Implementacin-Verificacin-
5 Liderazgo
5.1 General
5.2 Compromiso de la direccin
5.3 Poltica
8 Funcionamiento
8.1 Planificacin operativa y control
8.2 Anlisis de impactos en el negocio y
evaluacin de riesgos
31
Mantenimiento (PDCA)
0.3 Componentes de PDCA en esta
norma internacional
1 Alcance
2 Referencias normativas
3 Trminos y definiciones
4 Contexto de la organizacin
4.1 Conocimiento de la
organizacin y de su contexto
4.2 Conocimiento de las
necesidades y expectativas de las
partes interesadas
4.3 Determinacin del alcance del
sistema de gestin
4.4 Sistema de gestin de la
continuidad del negocio
5.4 Funciones, responsabilidades y
autoridades organizativas
6 Planificacin
6.1 Acciones para tratar riesgos y
oportunidades
6.2 Objetivos de la continuidad del negocio
y planes para alcanzarlos
7 Apoyo
7.1 Recursos
7.2 Competencia
7.3 Concienciacin
7.4 Comunicacin
7.5 Informacin documentada
8.3 Estrategia de la continuidad del
negocio
8.4 Establecimiento e implementacin de
procedimientos de continuidad del
negocio
8.5 Prueba y verificacin
9 Evaluacin de desempeo
9.1 Supervisin, medicin, anlisis y
evaluacin
9.2 Auditora interna
9.3 Revisin por parte de la direccin
10 Mejoras
10.1 No conformidades y acciones
correctivas
10.2 Mejora continua
Bibliografa
10. ISO 17799
La norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar
la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar,
implantar o mantener la seguridad de una organizacin.
Surgida de la norma britnica BS 7799, la norma ISO 17799 ofrece instrucciones y
recomendaciones para la administracin de la seguridad.
Objetivo de la norma ISO 17799
El objetivo de la norma ISO 17799 es proporcionar una base comn para desarrollar
normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin
de la seguridad. La adaptacin espaola de la norma se denomina UNE-ISO/IEC 17799. Se
trata de una norma NO CERTIFICABLE, pero que recoge la relacin de controles a aplicar (o
al menos, a evaluar) para establecer un Sistema de Gestin de la Seguridad de la
Informacin (SGSI) segn la norma UNE 71502, CERTIFICABLE.

Ilustracin 8 Objetivo de la norma ISO 17799
32
Historia
En 1995 el British Standard Institute publica la norma BS 7799, un cdigo de buenas
prcticas para la gestin de la seguridad de la informacin. En 1998, tambin el BSI publica
la norma BS 7799-2, especificaciones para los sistemas de gestin de la seguridad de la
informacin; se revisa en 2002.
Tras una revisin de ambas partes de BS 7799 (1999), la primera es adoptada como norma
ISO en 2000 y denominada ISO/IEC 17799:
Conjunto completo de controles que conforman las buenas prcticas de seguridad
de la informacin.
Aplicable por toda organizacin, con independencia de su tamao.
Flexible e independiente de cualquier solucin de seguridad concreta:
recomendaciones neutrales con respecto a la tecnologa.
En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y en
2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).
Estructura: dominios de control
La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo
la Gestin de la Seguridad de la Informacin:
1. Poltica de seguridad: escribir y comunicar la poltica de seguridad de la compaa
2. Organizacin de seguridad: definir los roles y las responsabilidades. Monitorear a
los socios y a las empresas tercerizadas.
3. Clasificacin y control de activos: llevar un inventario de los bienes de la compaa
y definir cun crticos son as como sus riesgos asociados.
4. Seguridad del personal: contratacin, capacitacin y aumento de concientizacin
relacionadas a la seguridad.
5. Seguridad fsica y del entorno: rea de seguridad, inventarios del equipamiento de
seguridad.
6. Comunicacin / Administracin de operaciones: procedimientos en caso de
accidente, plan de recuperacin, definicin de niveles de servicio y tiempo de
recuperacin, proteccin contra programas ilegales, etc.
7. Control de acceso: establecimiento de controles de acceso a diferentes niveles
(sistemas, redes, edificios, etc.)
8. Desarrollo y mantenimiento del sistema: consideracin de la seguridad en sistemas
desde el diseo hasta el mantenimiento.
9. Plan de continuidad empresarial: definicin de necesidades en trminos de
disponibilidad, recuperacin de tiempo y establecimiento de ejercicios de
emergencia.
33
10. Contratacin: respeto por la propiedad intelectual, las leyes y las reglamentaciones
de la compaa.

Ilustracin 9 Estructura dominios de control
La adopcin de la norma ISO 17799 proporciona diferentes ventajas a cualquier
organizacin:
Aumento de la seguridad efectiva de los sistemas de informacin.
Correcta planificacin y gestin de la seguridad.
Garantas de continuidad del negocio.
Mejora continua a travs del proceso de auditora interna.
Incremento de los niveles de confianza de nuestros clientes y partners.
Aumento del valor comercial y mejora de la imagen de la organizacin.
11. Que es un BCP
Un plan de continuidad del negocio (o sus siglas en ingls BCP, por Business Continuity
Plan) es un plan logstico para la prctica de cmo una organizacin debe recuperar y
restaurar sus funciones crticas parcial o totalmente interrumpidas dentro de un tiempo
predeterminado despus de una interrupcin no deseada o desastre.
En lenguaje sencillo, BCP es el cmo una organizacin se prepara para futuros incidentes
que puedan poner en peligro a sta y a su misin bsica a largo plazo. Las situaciones
posibles incluyen desde incidentes locales (como incendios, terremotos, inundaciones,
etc.), incidentes de carcter regional, nacional o internacional hasta incidentes como
pandemias, etc.
Un plan de continuidad afecta tanto a los sistemas informticos como al resto de los
procesos de una organizacin y tiene en cuenta la situacin antes, durante y despus de
un incidente.
34
La continuidad del negocio es un concepto que abarca tanto el plan para la recuperacin
de desastres (DRP) como el plan para el restablecimiento del negocio. Recuperacin de
desastres es la capacidad para responder a una interrupcin de los servicios mediante la
implementacin de un plan para restablecer las funciones crticas de la organizacin.
Un Plan de Continuidad Incluye:
Planes, medidas y disposiciones para asegurar la entrega contina de los servicios
y/o productos que le permitan a la Organizacin recuperar sus instalaciones,
informacin y activos.
La identificacin de los recursos necesarios para respaldar la continuidad del
negocio, incluyendo personal, informacin, equipos, recursos financieros, apoyo
legal, seguridad y alojamientos en caso de ser necesarios.
Objetivo
Disminuir y evitar las interrupciones del negocio que tienen un impacto sobre la efectiva
ejecucin de los procesos crticos de una organizacin.
Beneficios
Identifica los diversos eventos que pueden impactar sobre la continuidad de las
operaciones y su impacto sobre el negocio.
Obliga a conocer los tiempos crticos de recuperacin, para volver al estado
anterior de la compaa.
Clasifica los activos para priorizar su proteccin en caso de un incidente.
Aporta una ventaja competitiva frente a la competencia.
Mejora la eficiencia organizacional.
Identifica aquellos puntos ms dbiles de la infraestructura, que son susceptibles
de sufrir un incidente y afectar la continuidad del negocio.
Dispone de un plan logstico de rpida actuacin y respuesta, en caso de sufrir un
incidente.
Aplica medidas correctoras necesarias para garantizar la continuidad del negocio.
Reduce gastos y prdidas econmicas considerables en caso de ocurrir un
incidente que afecte el negocio.
Evaluacin tcnica de riesgos asociados a la continuidad, evaluacin de
alternativas y estrategias de minimizacin de riesgos.
Mapeo critico de los recursos mnimos requeridos en la continuidad de los
procesos del negocio.
Control del impacto financiero y operacional, causado por la interrupcin de la
operacin natural del negocio.
35
Este Plan considera aspectos preventivos, para evitar o minimizar la posibilidad de que los
riesgos de impacto econmico, se produzcan en la empresa por interrupciones no
deseadas.
Por qu es valioso un Plan de Continuidad del Negocio?
Toda organizacin est en riesgo de ser vctima de un desastre:
Un desastre natural como una inundacin, un incendio, un terremoto, etc.
Sabotaje
Cortes de energa
Fallas en comunicaciones, transporte o de seguridad.
Ciber ataques por parte de un hacker
Metodologa para implementar un BCP
0. Iniciacin y Administracin del Proyecto
1) Establecer la necesidad de la continuidad del negocio
2) Comunicar la necesidad de un BCP
3) Comprometer la Alta Gerencia en los procesos de BCP
4) Establecer el Comit de Proyecto
5) Identificar y ejecutar los requerimientos presupuestales
6) Identificar los equipos de planificacin y sus responsabilidades
7) Desarrollar y coordinar las actividades de implementacin del BCP
8) Dar respuesta a los requerimientos de la Gerencia y de documentacin de los
procesos de BCP
9) Reportar y obtener aprobacin del avance del proyecto
1. Anlisis de riesgos
1.1 Identificar los ambientes operativos que se pueden ver afectados en caso de un
siniestro.
1.2 Identificar los principales escenarios de falla y los recursos e infraestructura critica.
1.3 Identificar oportunidades de mejora o exposiciones crticas a riesgos de falla
1.4 Identificar las polticas y mejores prcticas de seguridad existentes
1.5 Revisin de instalaciones fsicas, centros de cmputo e infraestructura tecnolgica
en general.
2. Anlisis de impacto del negocio (BIA)
2.1. Verificacin del inventario de procesos
2.2. Identificacin de impactos
2.3. Definicin de tiempos y secuencia de recuperacin
36
2.4. Identificacin de Interdependencias entre procesos
2.5. Identificacin de los procesos crticos del negocio.
3. Seleccin de la estrategia de continuidad
3.1. Definir requerimientos mnimos para cada recurso.
3.2. Identificar configuraciones alternativas de recursos
3.3. Determinar las redundancias de equipos y de comunicaciones
3.4. Analizar las diferentes posibilidades en procesamiento y en comunicaciones
3.5. Determinar las opciones estratgicas de procesamiento internas externas y
acuerdos mutuos de servicio disponibles.
3.6. Establecer las principales ventajas y desventajas de cada una de las opciones.
4. Ejecucin y Desarrollo del Plan
4.1. Definir los planes de continuidad y restauracin
4.2. Elaborar el manual del plan
4.3. Definir las condiciones que se deben cumplir para que el plan tenga xito.
5. Evaluacin y Mantenimiento
5.1. Desarrollar las tareas necesarias para garantizar la operatividad del plan
5.2. Lograr una efectiva concientizacin sobre la importancia del plan
5.3. Socializar el plan en el comit de continuidad y en toda la organizacin
5.4. Designar un responsable del plan para su actualizacin y mantenimiento

Ilustracin 10 Ciclo de vida BCP
37
12. Que es un DRP
Un DRP (Disaster Recovery Plan o Plan de recuperacin de desastres) es la estrategia que
se seguir para restablecer los servicios de TI (Hardware y Software) despus de haber
sufrido una afectacin por una catstrofe natural, epidemiolgica, falla masiva, dao
premeditado, ataque de cualquier tipo el cual atente contra la continuidad del negocio.
Cuando las compaas no cuentan con un DRP implementado y se tiene una eventualidad,
stas lo tratan de recuperar a cualquier costo ya que dependen del funcionamiento de sus
sistemas de informacin.
As como un desastre es un evento que imposibilita la continuacin de las funciones
normales, un plan de recuperacin de desastres se compone de las precauciones tomadas
para que los efectos de un desastre se reduzcan al mnimo y la organizacin sea capaz de
mantener o reanudar rpidamente funciones de misin crtica. Por lo general, la
planificacin de recuperacin de desastres implica un anlisis de los procesos de negocio y
las necesidades de continuidad; tambin puede incluir un enfoque significativo en la
prevencin de desastres.
Los planes apropiados varan de una empresa a otra, en funcin de variables como el tipo
de negocio, los procesos involucrados, y el nivel de seguridad requerido. La planificacin
de la recuperacin de desastres puede ser desarrollada dentro de una organizacin o se
puede comprar una aplicacin de software o un servicio. No es inusual que empresa
invierta el 25% de su presupuesto de tecnologa de la informacin de recuperacin de
desastres.
Sin embargo, el consenso dentro de la industria de DR es que la mayora de las empresas
todava estn mal preparadas para un desastre. Segn el sitio de Recuperacin de
Desastres, "a pesar del nmero de desastres conocidos desde el 9/11, slo el 50% de las
empresas informan que tienen un plan de recuperacin de desastres. De aquellos que s lo
tienen, casi la mitad nunca han puesto a prueba su plan, lo que equivale a no tener
ninguno".
Razones para recurrir a un DRP
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales
de una organizacin. Una evaluacin de riesgo debera ser realizada para ver que
constituye el desastre y a que riesgos es susceptible una empresa especfica, incluyendo:
Catstrofes.
Fuego.
Fallos en el suministro elctrico.
Ataques terroristas.
38
Interrupciones organizadas o deliberadas.
Sistema y/o fallos del equipo.
Error humano.
Virus, amenazas y ataques informticos.
Cuestiones legales.
Huelgas de empleados.
Conmocin social o disturbios.
Prevencin ante los desastres
Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no
se pierda ms que los datos de una semana.
Incluir el software as como toda la informacin de datos, para facilitar la
recuperacin.
Si es posible, usar una instalacin remota de reserva para reducir al mnimo la
prdida de datos.
Redes de rea de Almacenamiento (SANs) en mltiples sitios son un reciente
desarrollo (desde 2003) que hace que los datos estn disponibles inmediatamente
sin la necesidad de recuperarlos o sincronizarlos.
Protectores de lnea para reducir al mnimo el efecto de oleadas sobre un delicado
equipo electrnico.
El suministro de energa ininterrumpido (SAI).
La prevencin de incendios - ms alarmas, extintores accesibles.
El software del antivirus.
El seguro en el hardware.
El Plan
Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa:
"Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes
factores que hay que tomar en cuenta. Los ms importantes son:
El rbol telefnico: para notificar todo el personal clave del problema y asignarles
tareas enfocadas hacia el plan de recuperacin.
Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es
necesario grabarlas. Si se usan servicios remotos de reserva se requerir
una conexin de red a la posicin remota de reserva (o Internet).
Clientes: la notificacin de clientes sobre el problema reduce al mnimo el pnico.
Instalaciones: teniendo sitios calientes o sitios fros para empresas ms grandes.
Instalaciones de recuperacin mviles estn tambin disponibles en muchos
proveedores.
39
Trabajadores con conocimiento. Durante desastre a los empleados se les requiere
trabajar horas ms largas y ms agotadoras. Debe haber un sistema de apoyo para
aliviar un poco de tensin.
La informacin de negocio. Las reservas deben estar almacenadas completamente
separadas de la empresa (Cummings, Haag y 2005 McCubbrey). La seguridad y la
fiabilidad de los datos es clave en ocasiones como estas.
Aspectos clave a considerar al planificar la recuperacin de desastres TI
Apoyo de la alta gerencia. Asegrese de tener el apoyo de la alta gerencia a fin de
lograr alcanzar los objetivos del plan.
Tomarse en serio el proceso de planificacin de RD de TI. Aunque la recopilacin y
anlisis de los datos para el plan de RD de TI puede llevar mucho tiempo, no es
necesario que tenga docenas de pginas.
Disponibilidad de estndares. Entre los estndares relevantes que podemos usar a
la hora de desarrollar los planes de RD de TI estn los siguientes: NIST SP 800-34,
ISO/IEC 24762 y BS 25777.
La sencillez es un grado. Es esencial reunir y organizar la informacin correcta.
Estudiar los resultados con las unidades de negocio. Una vez finalizado el plan de
recuperacin de desastres, debemos cotejar sus conclusiones con los lderes de las
unidades de negocio para comprobar que nuestras premisas son correctas.
Flexibilidad. La plantilla sugerida en este artculo puede ser modificada en lo que
sea necesario para conseguir nuestros objetivos.
13. Que es un BIA
Un anlisis de impacto en el negocio (BIA Business Impact Analysis) es una parte clave del
proceso de continuidad del negocio, que analiza funciones de negocio de misin crtica, y
sus dependencias. Estas dependencias pueden incluir Proveedores, personas, otros
Procesos de Negocio, Servicios TI, etc. e identifica y cuantifica el impacto.
BIA define los requerimientos de recuperacin para los Servicios TI. Dichos requerimientos
incluyen Objetivos de Tiempos de Recuperacin, Objetivos del Punto de Recuperacin y
los Objetivos de Nivel de Servicio mnimos para cada Servicio TI.
Objetivo
Dentro de los objetivos principales al realizar un anlisis de impacto, se debera tener
presente:
Entender los procesos crticos que soportan el servicio, la prioridad de cada uno de
estos servicios y los tiempos estimados de recuperacin (RTO).
Determinar los tiempos mximos tolerables de interrupcin (MTD).
Apoyar el proceso de determinar las estrategias adecuadas de recuperacin.
40
Algunas preguntas que deberan responder un estudio BIA
Estn vigentes y actualizado el mapa de sus procesos?
Posee un esquema con las posibles prdidas financieras que su Organizacin
tendra que absorber si el riesgo/s se activan?
Cul es la evolucin del impacto econmico en el Tiempo?
Qu procesos producen el mayor impacto Reglamentario?
Qu procesos producen impacto directo en el Cliente?
Cul es el posicionamiento de su Organizacin en el Mercado? Y Segn el
impacto activado: Cul sera su posicionamiento de su Organizacin en el
Mercado?
Cules son los recursos Crticos?
Los planes de contingencia y continuidad del negocio, en qu porcentaje bajan el
Impacto?
Caractersticas
A continuacin, se enumeran las caractersticas ms importantes de un BIA realizado
correctamente y su importancia para el proceso de gestin de riesgos en la organizacin.
1. Un alcance bien definido del anlisis
Como su nombre lo indica, este es un estudio que mide el impacto en el negocio, no la
prdida potencial de los activos de la compaa, sino el impacto en sus operaciones,
incluyendo la imagen de la compaa. Por lo tanto, el BIA slo incluye los procesos de
negocio, es decir aquellos que generan productos o servicios al resto del mundo.
2. Participantes seleccionados adecuadamente
El BIA no es un ejercicio que se puede delegar a cualquier empleado. El peso de las
decisiones a tomarse en el curso del anlisis es tan grande que es recomendable que los
responsables de los procesos participen personalmente en l.
3. Llevando a cabo el BIA
Se aconseja que el BIA se lleve a cabo en forma de talleres, con la participacin de todos
los responsables de los procesos. El nivel de complejidad de los procesos de negocio, su
interdependencia mutua y las zonas que pueden verse afectadas por la interrupcin es tan
alta que la organizacin no puede permitirse el riesgo de pasar por alto algunos aspectos
importantes.
4. Un estimado del Impacto
La ventaja del BIA en comparacin con otros mtodos de anlisis de riesgos se basa en
gran medida en el hecho que el impacto de la interrupcin se estima con tres principios en
mente:
41
a) El anlisis se realiza tomando en cuenta el peor escenario posible, esto permite
estimar la prdida mxima potencial, elemento crucial en el proceso de toma de
decisiones estratgicas;
b) Cuando se estima el impacto es importante que no tomemos en cuenta las
medidas de control existentes y las soluciones de respaldo con el fin de evaluar el
riesgo inherente de tal;
c) El impacto potencial financiero e intangible se mide en diferentes intervalos de
tiempo, lo que permite precisar el mximo tiempo de interrupcin permitido.
5. Decisiones estratgicas
Los resultados del BIA constituyen una informacin muy valiosa para la junta y la base
para la toma de decisiones estratgicas. Los resultados permiten a la junta ver el nivel de
la exposicin al riesgo desde un ngulo completamente nuevo. A veces, sorpresivamente,
resulta que los procesos, que a menudo no generan ganancias significativas, generan
prdidas muy elevadas. Las decisiones se toman sobre cuestiones tales como:
a) El tiempo mximo aceptable de interrupcin, un hecho importante, ya que
aceptamos todas las prdidas incurridas para la reanudacin del proceso;
b) Nivel mnimo de recuperacin del proceso. Este parmetro puede cambiar
dramticamente los estndares de los acuerdos de nivel de servicio existentes y
afectar los trminos y condiciones de los contratos futuros;
c) Tiempo en el cual el proceso debe volver al modo de funcionamiento normal;
parmetro, que es crucial para la evaluacin de existencias y la seleccin de nuevas
medidas para prevenir y minimizar el riesgo.
Las decisiones tomadas en la etapa del BIA forman la base del programa de gestin de
riesgos, particularmente gestin del riesgo estratgico. Los criterios establecidos y
basados en los resultados del BIA estn bien fundados y tambin suficientemente precisos
y financiados para ser utilizados en la realizacin de un anlisis creble, orientado a
identificar riesgos que puedan conducir a la interrupcin de operaciones crticas.
Metodologa
El BIA implica determinar las labores y los recursos esenciales para respaldar la
continuidad del negocio, su criticidad, su impacto para el negocio, sus RTOs (Tiempo de
recuperacin objetivo), RPOs (Punto de recuperacin objetivo) y MTDs (Tiempo mximo
tolerable fuera de servicio).
La metodologa empleada en esta instancia est compuesta por las cinco fases descriptas
a continuacin:
42
1. Identificacin de los procesos y subprocesos crticos
Se identifican todos los procesos de negocio de la organizacin. Para cada subproceso se
establece la dependencia entre ellos, la frecuencia de ejecucin y los medios utilizados
para recibir y/o enviar las entradas y salidas. El objetivo de esta etapa es establecer cules
son los subprocesos crticos que darn continuidad a la operacin en caso de desastre.
2. Identificacin de actores involucrados
Se identifican los actores y entidades involucradas que interactan con cada
proceso/subproceso en carcter de proveedores o clientes. Por ejemplo: clientes; socios,
entes reguladores, otros subprocesos, etc.
3. Determinacin del nivel de impacto
Se determina el nivel de impacto que producir la discontinuidad total o parcial de cada
proceso/subproceso derivado de que no se ejecuten en diferentes escenarios con mayor
relevancia para la organizacin.
4. Definicin de los RTOs
Se identifican cules son los niveles de servicio que necesitan ser garantizados en cada
subproceso y que condicionarn las estrategias de recupero de la operacin.
5. Identificacin de recursos que soportan los subprocesos
Se identifican y dimensionan los recursos de infraestructura y recursos humanos
necesarios para poder llevar a cabo los subprocesos.

Ilustracin 11 Metodologa BIA
14. PMI Y SU PMBOK
PMP
El Project Management Professional (PMP) es la certificacin que avala su cono-cimiento
de la metodologa de direccin de proyectos ms extendida en el mundo. Aplicable a
todas las industrias, son ya ms de 240.000 los profesionales certificados PMP en ms de
160 pases que dirigen y gestionan sus proyectos con xito.
PMBOK
El Project Management Body of Knowledge (PMBOK) es un estndar en la gestin de
proyectos desarrollado por el Project Management Institute (PMI). La misma comprende
43
dos grandes secciones, la primera sobre los procesos y contextos de un proyecto, la
segunda sobre las reas de conocimiento especfico para la gestin de un proyecto.
En 1987, el PMI public la primera edicin del PMBOK en un intento por documentar y
estandarizar informacin y prcticas generalmente aceptadas en la gestin de proyectos.
La edicin actual, la cuarta, provee de referencias bsicas a cualquiera que est interesado
en la gestin de proyectos. Posee un lxico comn y una estructura consistente para el
campo de la gestin de proyectos
La Gua del PMBOK es ampliamente aceptada por ser el estndar en la gestin de
proyectos, sin embargo existen algunas crticas: La mayor viene de los seguidores de
la Cadena Crtica (en oposicin al Mtodo de la ruta crtica). EL PMBOK se encuentra
disponible en 11 idiomas: ingls, espaol, chino simplificado, ruso, coreano, japons,
italiano, alemn, francs, portugus de Brasil y rabe.
La estructura de la Gua del PMBOK est dividida en tres secciones:
Seccin I: Marco Conceptual de la Direccin de Proyectos
Seccin II: Norma para la Direccin de Proyectos de un Proyecto
Seccin III: reas de Conocimiento de la Direccin de Proyectos
Una direccin de proyectos efectiva requiere que el equipo de direccin del proyecto
comprenda y use los conocimientos y las habilidades correspondientes a, por lo menos,
cinco reas de experiencia:
Fundamentos de la Direccin de Proyectos
Conocimientos, normas y regulaciones del rea de aplicacin
Comprensin del entorno del proyecto
Conocimientos y habilidades de direccin general
Habilidades interpersonales.
La siguiente figura muestra la relacin que existe entre estas cinco reas de experiencia. Si
bien aparentan ser elementos discretos, por lo general, se superponen; ninguno de ellos
puede existir sin los dems.
44

Ilustracin 12: reas de experiencia que necesita el equipo de direccin del proyecto
Cada rea de aplicacin, por lo general, tiene un conjunto de normas y prcticas
aceptadas, que a menudo se han plasmado en regulaciones.
La Gua del PMBOK describe exclusivamente los procesos de la direccin de proyectos. Los
procesos de la direccin de proyectos y los procesos orientados al producto se
superponen y actan los unos sobre los otros a lo largo de la vida de un proyecto. Los
procesos de la direccin de proyectos se aplican de manera global y a todos los grupos de
industrias. Buenas prcticas significa que existe acuerdo general respecto a que la
aplicacin de los procesos de la direccin de proyectos aumenta las posibilidades de xito
de una amplia variedad de proyectos. Buenas prcticas no significa que los conocimientos,
habilidades y procesos descritos deban aplicarse siempre de la misma manera en todos los
proyectos. Para un proyecto determinado, el director del proyecto, en colaboracin con el
equipo del proyecto, tiene siempre la responsabilidad de determinar cules son los
procesos adecuados, as como el grado de rigor adecuado para cada proceso. Los
directores de proyecto y sus equipos deben abordar cuidadosamente cada proceso, as
como sus entradas y salidas, y determinar cules son aplicables al proyecto en el que
estn trabajando. Se puede utilizar la Gua del PMBOK como recurso para dirigir un
proyecto en el momento de considerar el enfoque y la metodologa generales a seguir en
el proyecto. Este esfuerzo se conoce como adaptacin. La direccin de proyectos es una
tarea integradora que requiere que cada proceso del producto y del proyecto est
alineado y conectado de manera adecuada con los dems procesos, a fin de facilitar la
coordinacin. Generalmente las acciones tomadas durante la ejecucin de un proceso
45
afectan a ese proceso y a otros procesos relacionados. Por ejemplo, un cambio en el
alcance afecta generalmente al costo del proyecto, pero puede no afectar al plan de
gestin de las comunicaciones o al nivel de riesgo.
La Gua del PMBOK describe la naturaleza de los procesos de la direccin de proyectos en
trminos de la integracin entre los procesos, de sus interacciones y de los propsitos a
los que responden. Los procesos de la direccin de proyectos se agrupan en cinco
categoras conocidas como Grupos de Procesos de la Direccin de Proyectos (o Grupos de
Procesos):
Grupo de Procesos de Inicio. Aquellos procesos realizados para definir un nuevo
proyecto o nueva fase de un proyecto existente al obtener la autorizacin para
iniciar el proyecto o fase.
Grupo de Procesos de Planificacin. Aquellos procesos requeridos para establecer
el alcance del proyecto, refinar los objetivos y definir el curso de accin requerido
para alcanzar los objetivos propuestos del proyecto.
Grupo de Procesos de Ejecucin. Aquellos procesos realizados para completar el
trabajo definido en el plan para la direccin del proyecto a fin de satisfacer las
especificaciones del mismo.
Grupo de Procesos de Monitoreo y Control. Aquellos procesos requeridos para
rastrear, revisar y regular el progreso y el desempeo del proyecto, para identificar
reas en las que el plan requiera cambios y para iniciar los cambios
correspondientes.
Grupo de Procesos de Cierre. Aquellos procesos realizados para finalizar todas las
actividades a travs de todos los Grupos de Procesos, a fin de cerrar formalmente
el proyecto o una fase del mismo.
reas de Conocimiento
Las diez reas del conocimiento mencionadas en el PMBOK son:
1. Gestin de la Integracin del Proyecto: Incluye los procesos y actividades
necesarios para identificar, definir, combinar, unificar y coordinar los diversos
procesos y actividades de la direccin de proyectos dentro de los grupos de
procesos de direccin de proyectos.
2. Gestin del Alcance del Proyecto: Incluye los procesos necesarios para garantizar
que el proyecto incluya todo (y nicamente todo) el trabajo requerido para
completarla con xito.
3. Gestin del Tiempo del Proyecto: Incluye los procesos requeridos para administrar
la finalizacin del proyecto a tiempo.
46
4. Gestin de los Costos del Proyecto: Incluye los procesos involucrados en estimar,
presupuestar y controlar los costos de modo que se complete el proyecto dentro
del presupuesto aprobado.
5. Gestin de la Calidad del Proyecto: Incluye los procesos y actividades de la
organizacin ejecutante que determinan responsabilidades, objetivos y polticas de
calidad a fin de que el proyecto satisfaga las necesidades por la cuales fue
emprendido.
6. Gestin de los Recursos Humanos del Proyecto: Incluye los procesos que
organizan, gestionan y conducen el equipo del proyecto.
7. Gestin de las Comunicaciones del Proyecto: Incluye los procesos requeridos para
garantizar que la generacin, la recopilacin, la distribucin, el almacenamiento, la
recuperacin y la disposicin final de la informacin del proyecto sean adecuados,
oportunos y entregada a quien.
8. Gestin de los Riesgos del Proyecto: Incluye los procesos relacionados con llevar a
cabo la planificacin de la gestin, identificacin, el anlisis, la planificacin de
respuesta a los riesgos, as como su monitoreo y control en un proyecto.
9. Gestin de las Adquisiciones del Proyecto: Incluye los procesos de compra o
adquisicin de los productos, servicios o resultados que es necesario obtener fuera
del equipo del proyecto.
10. Gestin de los Interesados del Proyecto: Incluye los procesos involucrados en
identificar a los interesados del proyecto o stakeholders, as como la planificacin,
gestin y control de sus expectativas sobre el proyecto.

15. Normas NIST aplicadas a tecnologas de Informacin
El Instituto Nacional de Normas y Tecnologa (NIST por sus siglas en ingls, National
Institute of Standards and Technology), llamada entre 1901 y 1988 Oficina Nacional de
Normas (NBS por sus siglas del ingls National Bureau of Standards), es una agencia de la
Administracin de Tecnologa del Departamento de Comercio de los Estados Unidos. La
misin de este instituto es promover la innovacin y la competencia industrial en Estados
Unidos mediante avances en metrologa, normas y tecnologa de forma que mejoren la
estabilidad econmica y la calidad de vida.
Como parte de esta misin, los cientficos e ingenieros del NIST continuamente refinan la
ciencia de la medicin (metrologa) creando una ingeniera precisa y una manufacturacin
requerida para la mayora de los avances tecnolgicos actuales. Tambin estn
directamente involucrados en el desarrollo y pruebas de normas hechos por el sector
privado y agencias de gobierno. El NIST fue originalmente llamado Oficina Nacional de
Normas (NBS por sus siglas en ingls), un nombre que tuvo desde 1901 hasta 1988. El
progreso e innovacin tecnolgica de Estados Unidos dependen de las habilidades del
47
NIST, especialmente si hablamos de cuatro reas: biotecnologa, nanotecnologa,
tecnologas de la informacin y fabricacin avanzada.
El NIST tuvo un presupuesto del ao fiscal 2006 de aproximadamente 930 millones de
dlares, emple cerca de 2.800 cientficos, ingenieros, tcnicos y personal de
administracin y soporte. Cerca de 1.800 asociados al NIST (investigadores e ingenieros
invitados de compaas estadounidenses y extranjeras) complementaban el staff. Adems
de 1.400 especialistas en manufactura como socios y cerca de 350 centros afiliados en
todo el pas.
El enfoque principal de las actividades del NIST en tecnologa de la informacin es el
desarrollo de pruebas, mediciones, pruebas de concepto, los datos de referencia y otras
herramientas tcnicas para apoyar el desarrollo de la central, la tecnologa avanzada.
Bajo la Seccin 5131 de la Gestin de la Informacin Tecnologa de Ley de Reforma de
1996 y la Federal de Seguridad de Informacin de Gestin de la Ley 2002 (Ley Pblica 107-
347), el NIST desarrolla normas, directrices y los mtodos y tcnicas conexos para los
sistemas informticos Federal.
Incluidas las necesarias para asegurar la relacin costo-eficiencia de seguridad y
privacidad de la informacin sensible en los sistemas informticos Federal.
Cuando no son convincentes los requisitos federales y no hay normas vigentes de
voluntarios de la industria.
Laboratorios ms importantes de NIST
Construccin y Laboratorio de Investigacin de Incendios
Centros para Nanoscala Ciencia y Tecnologa
Laboratorio de Qumica, Ciencia y Tecnologa
Laboratorio de Ingeniera Elctrica
Laboratorio de Tecnologa de la Informacin
Laboratorio de Ingeniera de Fabricacin
NIST Centro de Investigaciones neutrones
Servicios de Tecnologa
Laboratorio de Fsica

16. ISECOM
ISECOM (Institute for Security and Open Methodologies), es una organizacin
internacional sin nimo de lucro, que trabaja desde hace ms de diez aos, en el
desarrollo de metodologas de libre utilizacin para la verificacin de la seguridad, la
programacin segura, la verificacin de software y la concientizacin en seguridad.
48
Dirigida por Pete Herzog y Marta Barcel Jordan, y con el apoyo de gran parte de la
comunidad de profesionales de la seguridad de la informacin, ISECOM ha estado
trabajando desde sus inicios como Ideahamster
4
, en una serie de proyectos los cuales con
el tiempo, se han convertido en recursos de consulta obligada por parte del profesional.
Dentro de ISECOM , no solo se han gestado proyectos de la talla de la OSSTMM (Open
Source Security Testing Methodology Manual) comentado en estas mismas pginas, sino
que por el contrario, otros tales como SCARE (Source Code Analysis Risk Evaluation), HSM
(Home Security Vacation Guide), HHS (Hacker High School: Information Awareness for
Teens) o el ms reciente BPP (Bad People Project) por mencionar solo alguno de ellos, sin
lugar a dudas se han hecho merecedores del privilegiado lugar que hoy ostentan.
Dentro de ISECOM , no solo se han gestado proyectos de la talla de la OSSTMM (Open
Source Security Testing Methodology Manual), sino que por el contrario, otros tales como
SCARE (Source Code Analysis Risk Evaluation), HSM (Home Security Vacation Guide), HHS
(Hacker High School: Information Awareness for Teens) o el ms reciente BPP (Bad People
Project) por mencionar solo alguno de ellos, sin lugar a dudas se han hecho merecedores
del privilegiado lugar que hoy ostentan.
OSSTMM
El OSSTMM por sus siglas en ingles Open Source Security Testing Methodology Manual
o Manual de la Metodologa Abierta del Testeo de Seguridad tal como fuera nombrada
oficialmente su versin en espaol, es uno de los estndares profesionales ms completos
y comnmente utilizados a la hora de revisar la Seguridad de los Sistemas desde Internet.
La aparicin de la primera versin del OSSTMM en Diciembre del 2000, ha marcado un
punto de inflexin, revolucionando el modo en el que los testeos de seguridad son
llevados a cabo, dotando al mismo tiempo a las personas que desarrollamos dichos
testeos, de un marco de trabajo que permite brindar servicios de alta calidad y absoluta
transparencia.
A lo largo de estos aos mucho ha sido el esfuerzo y el trabajo de investigacin llevado
adelante por el equipo de ISECOM, no obstante no muchas han sido las versiones de
carcter pblico, aunque cada una de ellas ha brindado muestras claras de la direccin
que el proyecto deba tomar, siendo esta, una que permitiera arribar a una metodologa
capaz de cubrir las necesidades del profesional de seguridad y las organizaciones, respecto
de las tareas de evaluacin de la seguridad, siendo capaz a la vez de evolucionar de modo
tal que fuera posible eliminar la mayor cantidad posible de subjetividades de los test de
evaluacin, brindando de este modo una visin algo ms cientfica de la tarea.

4
(frase hecha del ingls) son personas dedicadas a la inyeccin de ideas (propias o no) a equipos de trabajo.
49
OSSTMM Versin 3
Con OSSTMM en la versin 3.0, la metodologa, cuyo manual se puede bajar de forma
libre y gratuita de la web de ISECOM, est estructurada en 15 captulos. A pesar de lo que
pueda parecer, el manual es de lectura amena (quiz el ms denso de todos sea el que
dedica a las mtricas). Despus de una introduccin que nos da pie a la metodologa en s
misma, accederemos a 14 captulos en donde se va desgranando no solo la metodologa,
sino como podemos trabajar con ella:
Captulo 1: Que necesitas saber
Captulo 2: Que necesitas hacer
Captulo 3: Anlisis de seguridad
Captulo 4: Mtricas operativas de seguridad
Captulo 5: Anlisis de confiabilidad
Captulo 6: Flujo de trabajo
Captulo 7: Pruebas de seguridad sobre personas
Captulo 8: Pruebas de seguridad sobre entornos fsicos
Captulo 9: Pruebas de seguridad Wireless
Captulo 10: Pruebas de seguridad sobre telecomunicaciones
Captulo 11: Pruebas de seguridad para datos en red
Captulo 12: Compliance o cumplimiento normativo
Captulo 13: Creacin de reportes con STAR (Security Test Auditing Report)
Captulo 14: Qu obtienes
Captulo 15: Descripcin de la licencia.
Un punto muy importante recogido en esta metodologa es la elaboracin de informes.
Para los que nos dedicamos a esto de la seguridad, en ocasiones nos enfrentamos a
informes de otros auditores (y supongo que ellos podrn decir lo mismo de nosotros) en
los que cada cual ha recogido una mtrica y/o valoracin distinta de los mismos. Esto es:
Hablamos en un lenguaje distinto. Con el uso de OSSTMM, podemos tener una idea muy
aproximada, si no total, de lo que nuestros compaeros han intentado transmitir en el
informe, lo cual facilitar nuestro trabajo desde un punto de vista evolutivo.
OSSTMM adems es una metodologa certificable. Podemos certificarnos en ella como
analistas, testers o expertos, adems de otros certificados emitidos por la propia ISECOM.
17. OWASP
OWASP (acrnimo de Open Web Application Security Project, en ingls Proyecto abierto
de seguridad de aplicaciones web) es un proyecto de cdigo abierto dedicado a
determinar y combatir las causas que hacen que el software sea inseguro. La Fundacin
OWASP es un organismo sin nimo de lucro que apoya y gestiona los proyectos e
50
infraestructura de OWASP. La comunidad OWASP est formada por empresas,
organizaciones educativas y particulares de todo mundo. Juntos constituyen una
comunidad de seguridad informtica que trabaja para crear artculos, metodologas,
documentacin, herramientas y tecnologas que se liberan y pueden ser usadas
gratuitamente por cualquiera.
OWASP es un nuevo tipo de entidad en el mercado de seguridad informtica. Estar libre
de presiones corporativas facilita que OWASP proporcione informacin imparcial, prctica
y redituable sobre seguridad de aplicaciones informtica. OWASP no est afiliado a
ninguna compaa tecnolgica, si bien apoya el uso informado de tecnologas de
seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informticas
considerando todas sus dimensiones: personas, procesos y tecnologas.
Los documentos con ms xito de OWASP incluyen la Gua OWASP y el ampliamente
adoptado documento de autoevaluacin OWASP Top 10. Las herramientas OWASP ms
usadas incluyen el entorno de formacin WebGoat, la herramienta de pruebas de
penetracin WebScarab y las utilidades de seguridad para entornos .NET OWASP DotNet.
OWASP cuenta con unos 50 captulos locales por todo el mundo y miles de participantes
en las listas de correo del proyecto. OWASP ha organizado la serie de conferencias AppSec
para mejorar la construccin de la comunidad de seguridad de aplicaciones web.
Historia
Los lderes OWASP son responsables de tomar decisiones sobre la direccin tcnica, las
prioridades del proyecto, los plazos y las publicaciones. Colectivamente, los lderes
OWASP pueden considerarse gestores de la Fundacin OWASP, si bien el proyecto prima
la comparticin de conocimiento en la comunidad frente al reconocimiento individual.
OWASP comenz en el ao 2001. La Fundacin OWASP, una organizacin sin nimo de
lucro, se cre en 2004 para apoyar los proyectos e infraestructura de OWASP.
OWASP depende para su mantenimiento de las donaciones y las cuotas de los socios,
particulares y empresas.
Proyectos
Los proyectos OWASP se dividen en dos categoras principales: proyectos de desarrollo y
proyectos de documentacin.
Los proyectos de documentacin actuales son:
Gua OWASP: Un enorme documento que proporciona una gua detallada sobre la
seguridad de las aplicaciones web.
51
OWASP Top 10: Documento de alto nivel que se centra sobre las vulnerabilidades
ms crticas de las aplicaciones web.
Mtricas: Un proyecto para definir mtricas aplicables de seguridad de
aplicaciones web.
Legal: Un proyecto para ayudar a los vendedores y compradores de software a
negociar adecuadamente los aspectos de seguridad en sus contratos.
Gua de pruebas: Una gua centrada en la prueba efectiva de la seguridad de
aplicaciones web.
ISO 17799: Documentos de apoyo para organizaciones que realicen revisiones ISO
17799.
AppSec FAQ: Preguntas y respuestas frecuentes sobre seguridad de aplicaciones
web.
Los proyectos de desarrollo incluyen:
WebScarab: Un aplicacin de chequeo de vulnerabilidades de aplicaciones web
incluyendo herramientas proxy.
Filtros de validacin (Stinger para J2EE, filters para PHP): Filtros genricos de
seguridad perimetral que los desarrolladores pueden usar en sus propias
aplicaciones.
WebGoat: Una herramientra interactiva de formacin y benchmarking para que los
usuarios aprendan sobre seguridad de aplicaciones web de forma segura y legal.
DotNet: Un conjunto de herramientas para securizar los entornos .NET.
Todas las herramientas de OWASP, documentos, foros, y captulos son gratuitas y
abiertas a cualquiera interesado en mejorar la seguridad en aplicaciones. Abogan por
resolver la seguridad en aplicaciones como un problema de personas, procesos y
tecnologa, ya que los enfoques ms efectivos para la seguridad en aplicaciones requieren
mejoras en todas estas reas.

18. ISO 20000
La norma ISO 20000: Norma internacional para la Gestin de Servicios TI.
La norma ISO 20000 se concentra en la gestin de problemas de tecnologa de la
informacin mediante el uso de un planteamiento de servicio de asistencia. La norma ISO
20000 considera tambin la capacidad del sistema, los niveles de gestin necesarios
cuando cambia el sistema, la asignacin de presupuestos financieros y el control y
distribucin del software.
La norma ISO 20000 tiene sus orgenes en la BS 15000 y est alineada con el
planteamiento del proceso definido por la IT Infrastructure Library (ITSM - Biblioteca de
52
infraestructuras de tecnologa de la informacin) de The Office of Government Commerce
(OGC).
Estructura
La norma ISO/IEC 20000 est formada por tres partes publicadas bajo el mismo ttulo
Tecnologa de la informacin. Gestin del servicio":
Parte 1: Especificaciones
La norma ISO 20000-1 es la especificacin formal y define los requisitos que tiene que
cumplir una organizacin para proporcionar servicios gestionados de una calidad
aceptable a los clientes. Su alcance incluye:
Requisitos para un sistema de gestin
Planificacin e implantacin de la gestin del servicio
Planificacin e implantacin de servicios nuevos o modificados
Proceso de provisin del servicio
Procesos de relacin
Procesos de resolucin
Procesos de control
Procesos de entrega
Relacin completa de procesos de la norma ISO 20000
Parte 2: Cdigo de buenas prcticas
Cdigo de procedimiento y describe los mejores procedimientos para procesos de gestin
de servicios dentro del mbito de la norma ISO 20000-1. El Cdigo de procedimiento
resulta especialmente til para organizaciones que se preparan para someterse a una
auditora segn la norma ISO 20000-1 o para planificar mejoras del servicio.
Parte 3: Gua sobre la definicin del alcance y la aplicabilidad de la norma ISO /
IEC 20000-1
ISO/IEC TR 20000-3:2009 proporciona orientacin sobre la definicin del alcance, la
aplicabilidad y la demostracin de la conformidad de los proveedores de servicios
orientados a satisfacer los requisitos de la norma ISO / IEC 20000-1, as como los
proveedores de servicios que estn planeando mejoras en el servicio con la intencin de
utilizar la norma ISO/IEC 20000 como un objetivo de negocio. Tambin puede ayudar a los
proveedores de servicios que estn considerando utilizar la norma ISO/IEC 20000-1 para la
aplicacin de un sistema de gestin de servicios (SMS) y que necesitan asesoramiento
especfico sobre si la norma ISO/IEC 20000-1 se aplica a sus circunstancias y la forma de
definir el alcance de su SMS.
53
La norma ISO/IEC 20000 se encontr bajo un proceso de revisin tras ser publicada, para
alinearse mejor con ITSM y con otros estndares ISO. Es por esto, por lo que tras la
publicacin de la norma ISO/IEC 20000-3, se desarrollaron dos nuevas partes:
Parte 4: Modelo de Procesos de Referencia (PRM) de gestin de servicios
Este modelo establece las bases del modelo de madurez y el marco de evaluacin.
Parte 5: Ejemplar del Plan de Implementacin para la norma ISO/IEC 20000-1
Actualmente se encuentra en la etapa final de su preparacin para ser publicada. Se
espera que est disponible para la primavera de 2010.
Certificacin
La certificacin no debera ser un fin en s misma, sino ms bien un medio que permita al
proveedor de servicios TI gestionar sus servicios mediante procesos de acuerdo a la norma
ISO 20000, acreditando la calidad en la prestacin de sus servicios, alineada con el negocio
y aplicando criterios de eficiencia. A continuacin se detalla el proceso que se llevan a
cabo para la certificacin en la norma ISO 20000:
Una vez que el proveedor de servicios TI ha implementado la gestin del servicio TI (SGSTI)
segn la norma y ha decidido certificar la conformidad de este sistema de gestin con la
norma ISO/IEC 20000-1:2005, y por lo tanto su forma de diaria trabajo, es necesario cubrir
una serie de actividades. Para iniciar este proceso se necesitan dos actores: el solicitante
(empresa u organizacin que aspira a conseguir la certificacin conforme a la norma ISO
20000) y la entidad de certificacin (empresa u organizacin que tras el proceso de
auditora y evaluacin respecto a la norma, concede o deniega la certificacin). Estos dos
actores deben cubrir una serie de actividades, que a continuacin se plasman, donde la
primera etapa es la certificacin inicial y, a partir de este punto, no finaliza nunca.
Determinar el alcance de la certificacin
Solicitud de certificacin
Anlisis de documentacin
Visita previa
Auditora inicial
Evaluacin y decisin
Concesin del certificado
Auditora de seguimiento
Auditora de renovacin
El objetivo ltimo de la norma ISO 20000 es mantener y mejorar la calidad de la gestin de
servicios de la organizacin TI, y este aspecto se convierte en uno de los ejes
54
fundamentales tanto para la realizacin de las auditorias de seguimiento anual, como en
las de renovacin del certificado, que se realiza cada 3 aos.
Procesos ISO 20000 Procesos de Servicios TI
Estos procesos ISO 20000 dan cobertura a las necesidades del ciclo de vida de los servicios
Procesos de Provisin del Servicio
Gestin de Nivel de Servicio
Generacin de Informes del Servicio
Gestin de la Continuidad y Disponibilidad del Servicio
Elaboracin de Presupuesto y Contabilidad de los Servicios de TI
Gestin de la Capacidad
Gestin de la Seguridad de la Informacin
Procesos de Control
La gestin de la configuracin y del cambio son dos procesos sobre los que pivotan el
resto de procesos ISO 20000 de la gestin del servicio TI.
Gestin de la Configuracin
Gestin del Cambio
Procesos de Entrega
Este proceso se encarga de realizar la planificacin y gestin de los recursos que permite
distribuir correctamente un lanzamiento al cliente
Gestin de la Entrega
Procesos de Resolucin
Gestin del incidente se encarga de la recuperacin de los servicios a los usuarios tan
pronto como sea posible, y gestin del problema tiene la misin de identificar y eliminar
las causas de los incidentes para que no vuelvan a producirse.
Gestin de Incidencias
Gestin de Problemas
Procesos ISO 20000 de Relacin
Los proveedores de servicio TI tienen dos puntos externos de relacin, por una parte se
encuentra la relacin con el negocio y los clientes a los que da servicio, y por la otra est la
relacin con sus suministradores, fundamental para el soporte y evolucin del servicio.
Gestin de las Relaciones con el Negocio
Gestin de Suministradores
55

Ilustracin 13 Procesos ISO 20000
19. ISO 31000
La nueva norma, denominada ISO 31000:2009, Risk management Principles and
guidelines, de la International Organization for Standardization (ISO) tiene como objetivo
ayudar a las organizaciones de todo tipo y tamao a gestionar el riesgo con efectividad.
Si bien todas las organizaciones gestionan el riesgo en cierta medida, la norma ISO.
31000:2009 establece una serie de principios que deben ser satisfechos para hacer una
gestin eficaz del riesgo. Esta Norma Internacional recomienda que las organizaciones
desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de
soporte cuyo objetivo es integrar el proceso de gestin de riesgos en el gobierno
corporativo de la organizacin, planificacin y estrategia, gestin, procesos de
informacin, polticas, valores y cultura.
Por otro lado, la norma ISO 31000 se puede aplicar a cualquier tipo de riesgo, cualquiera
sea su naturaleza, causa u origen, tanto que sus consecuencias sean positivas como
negativas para la organizacin.
Otra caracterstica de la norma es que puede ser aplicada a lo largo de la vida de una
organizacin, as como una variada gama de actividades, incluidas las estrategias y de
decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.
Principios Bsicos para la Gestin de Riesgos
La norma ISO 31000:2009 establece los principios y directrices de carcter genrico sobre
la gestin del riesgo.
Para una mayor eficacia, la gestin del riesgo en una organizacin debe tener en cuenta
los siguientes principios:
56
a) Crea valor
b) Est integrada en los procesos de la organizacin
c) Forma parte de la toma de decisiones
d) Trata explcitamente la incertidumbre
e) Es sistemtica, estructurada y adecuada
f) Est basada en la mejor informacin disponible
g) Est hecha a medida
h) Tiene en cuenta factores humanos y culturales
i) Es transparente e inclusiva
j) Es dinmica, iterativa y sensible al cambio
k) Facilita la mejora continua de la organizacin
El enfoque est estructurado en tres elementos claves para una efectiva gestin de
riesgos:
Los principios de gestin del riesgo.
La marco de trabajo (framework) para la gestin del riesgo.
El proceso de gestin del riesgo.
Beneficios de la norma
La norma ISO 31000 est diseada para ayudar a las organizaciones en lo siguiente:
Aumentar la probabilidad de lograr los objetivos
Fomentar la gestin proactiva
Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la
organizacin
Mejorar en la identificacin de oportunidades y amenazas
Cumplir con las exigencias legales y reglamentarias pertinentes, as como las
normas internacionales.
Mejorar la informacin financiera
Mejorar la gobernabilidad
Mejorar la confianza de los grupos de inters (stakeholder)
Establecer una base confiable para la toma de decisiones y la planificacin
Mejorar los controles
Asignar y utilizar con eficacia los recursos para el tratamiento del riesgo
Mejorar la eficacia y eficiencia operacional
Mejorar la salud y de seguridad, as como la proteccin del medio ambiente.
Mejorar la prevencin de prdidas, as como la gestin de incidentes
Minimizar las prdidas
Mejorar el aprendizaje organizacional
Mejorar capacidad de recuperacin de la organizacin
57
CUADRO RESUMEN
Estndar Aprendido
PCI-DSS Es un estndar de seguridad de datos para las tarjetas de pago y est
compuesta por varias empresas que se dedican a este rubro. Lo que
pretende es dar a los clientes seguridad, confianza, validez de que al
tener datos personales en sus tarjeta de crdito/ debito no van ser
objeto de fraude.
ISO 27001/ISO 27002 La ISO/IEC 27002, se puede ver cmo muchos de los aspectos resaltados
por este estndar son aspectos generales que muchas organizaciones los
toman en cuenta an sin tener el certificado ISO/IEC 27002. Pero
tambin existen muchas deficiencias en la gran mayora de
organizaciones en materia de seguridad. Algunos podran considerar que
apegarse a este tipo de estndares es en cierta forma cara y complicada,
pero en realidad resulta mucho ms caro sufrir las consecuencias que
suele traer la falta de seguridad en un importante sistema de
informacin. Tambin segn lo que investigue es que no es posible
obtener la certificacin ISO 27002 porque no es una norma de gestin y
en el caso de la ISO 27001, esta norma define el sistema de gestin de
seguridad de la informacin (SGSI), por lo tanto, la certificacin en ISO
27001 s es posible. Ambas ISO son importantes porque la ISO 27001 est
diseada con un enfoque preciso en el caso que una empresa desea
crear la estructura de la seguridad de la informacin y definir su
encuadre, sin embargo si desea implementar controles, debera usar la
ISO 27002.
ITIL Es un conjunto de conceptos y prcticas para la gestin de servicios de
tecnologas de la informacin, el desarrollo de tecnologas de la
informacin y las operaciones relacionadas con la misma en general.
COBIT Es una gua de mejores prcticas dirigida al control y supervisin de
tecnologa de la informacin. Tiene una serie de recursos que pueden
servir de modelo de referencia para la gestin de TI, incluyendo un
resumen ejecutivo, un framework, objetivos de control, mapas de
auditora, herramientas para su implementacin y principalmente, una
gua de tcnicas de gestin.
SOX Esta es una nueva ley emitida en el ao 2002 con el fin de poder
monitorear la contabilidad de las empresas y as evitar fraudes
corporativos. Esta ley expresa todo lo relacionado con procedimientos
para documentar, controlar la contabilidad mejorndola al utilizar
procedimientos y polticas financieros documentados, eso ayuda mucho
a las organizaciones de los estados unidos para evitar fraudes en las
grandes empresas y a pesar que le ley no es muy conocida parecer ser
muy buena para aplicarla aqu en Honduras.
ISO 27005 Es parte de la familia de normas ISO 27000. La norma ISO/IEC 27005 es
una gua para la gestin de riesgos de seguridad de la informacin, de
58
acuerdo con los principios ya definidos en otras normas de la serie
27000. Proporciona directrices para la gestin de riesgos de seguridad de
la informacin.
AS/NZS 4360:2004 La norma AS / NZS 4360 no se enfoca tanto en la seguridad sino que se
preocupa ms por la comprensin de los riesgos en los procesos
administrativos en general; sin embargo es un estndar que permite fijar
una base slida para que se puedan adoptar otras normas.
PMI Es una organizacin internacional sin fines de lucro que asocia a
profesionales relacionados con la Gestin de Proyectos. Sus principales
objetivos son:
Formular estndares profesionales en Gestin de Proyectos.
Generar conocimiento a travs de la investigacin.
Promover la Gestin de Proyectos como profesin a travs de sus
programas de certificacin.
BS 25999 e
ISO 22301
BS 25999 ha sido publicada en dos partes:
BS 25999-1 proporciona unos cdigos de buenas prcticas en forma
de guas generales.
BS 25999-2 que especifica los requisitos auditables para la
implementacin de un sistema para la gestin contina del negocio.
La ISO 22301 Seguridad Social Sistema de gestin de continuidad de
negocio, proporciona los requisitos para un Sistema de Gestin de
Continuidad de Negocio basado en las mejores prcticas de gestin de
continuidad de negocio.
ISO 17799 ISO 17799 es una norma internacional que ofrece recomendaciones para
realizar la gestin de la seguridad de la informacin. La norma se
estructura en diez dominios de control que cubren por completo todos
los aspectos relativos a la seguridad de la informacin. Implantar ISO
17799 requiere de un trabajo de consultora que adapte los
requerimientos de la norma a las necesidades de cada organizacin
concreta.
Que es un BCP BCP es un proceso diseado para reducir el riesgo del negocio de la
organizacin que surja de una interrupcin no esperada de las
funciones/operaciones crticas (manuales o automticas) necesarias para
la supervivencia de la misma.
Que es un DRP Plan de recuperacin de desastres es la estrategia que se seguir para
restablecer los servicios de TI despus de haber sufrido una afectacin
por una catstrofe natural, epidemiolgica, falla masiva, dao
premeditado, ataque de cualquier tipo el cual atente contra la
continuidad del negocio.
Que es un BIA Un anlisis de impacto en el negocio (BIA Business Impact Analysis) es
una parte clave del proceso de continuidad del negocio, que analiza
funciones de negocio de misin crtica, y sus dependencias. Estas
dependencias pueden incluir Proveedores, personas, otros Procesos de
59
Negocio, Servicios TI, etc. e identifica y cuantifica el impacto.
PMI , Y SU PMBOK Es un estndar en la gestin de proyectos desarrollado por el Project
Management Institute (PMI). La misma comprende dos grandes
secciones, la primera sobre los procesos y contextos de un proyecto, la
segunda sobre las reas de conocimiento especfico para la gestin de un
proyecto.
Normas NIST
aplicadas a
tecnologas de
Informacin
El enfoque principal de las actividades del NIST en tecnologa de la
informacin es el desarrollo de pruebas, mediciones, pruebas de
concepto, los datos de referencia y otras herramientas tcnicas para
apoyar el desarrollo de la central, la tecnologa avanzada.
ISECOM Es una organizacin internacional sin nimo de lucro, que trabaja desde
hace ms de diez aos, en el desarrollo de metodologas de libre
utilizacin para la verificacin de la seguridad, la programacin segura, la
verificacin de software y la concientizacin en seguridad.
OWASP OWASP est formada por empresas, organizaciones educativas y
particulares de todo mundo y proporciona informacin prctica sobre
seguridad de aplicaciones informtica, adems de cierto tiempo
proporciona datos interesantes sobre el top ten de vulnerabilidades y
riegos que pueden incurrir en una empresa cualquiera.
ISO 20000 La norma ISO 20000 se concentra en la gestin de problemas de
tecnologa de la informacin mediante el uso de un planteamiento de
servicio de asistencia.
ISO 31000 Esta es una nueva norma ISO que nos da el marco de trabajo
(framework) y un proceso destinado a gestionar cualquier tipo de riesgo
para cualquier organizacin. Adems rene once principios que permiten
gestionar los riesgos que pueden afectar a una empresa.

60
ETAPA 2
Realizar resumen/anlisis de 12 Pginas de 2 documentos compartidos por el Catedrtico:
Normativa de tecnologas de la informacin de la CNBS
La CNBS en sesin del 22 de noviembre de 2005 decidi aprobar las normas para regular
la administracin de las tecnologas de Informacin y comunicaciones en las instituciones
del sistema financiero, as mismo tambin regular los servicios financieros y operaciones
realizadas por medio de redes electrnicas de uso externo e interno.
En el captulo I da a conocer las disposiciones generales que a su vez est compuesta de
tres artculos: artculo 1: objeto, articulo 2: alcance y articulo 3: definiciones.
El alcance segn lo habla el articulo 2 expresa que estn basada en la ISO/IEC 17799:2000,
emitidos de banca electrnica y administracin de la seguridad informtica y constituyen
una gua general para la documentacin formal e implementacin de la seguridad en las
tecnologas de informacin y comunicaciones de las instituciones del sistema financiero.
Lo emitido aplica para todas las organizaciones que la CNBS supervisa.
En el artculo 3 hace referencia algunas definiciones que lo habla en toda la normativa:
Ataques de Denegacin de Servicio, ataques de Diccionario, ataques de fuerza bruta,
banca electrnica, discontinuidad de servicio significativo, hash, localizador uniforme de
recursos(URL), Memoria cach, canal de comunicacin, entre otros.
En el captulo II ya da a conocer la supervisin y administracin, en su seccin I de la
administracin da a conocer las polticas de administracin, es por eso que la junta o
consejo debern tener como mnimo una reunin anual para establecer o revisar las
polticas y procedimientos sobre la administracin tecnologa y seguridad de la
informacin, que conlleven a la correcta toma de decisiones.
En su artculo 5 las polticas de las TICs es necesario que contengan al menos los siguientes
temas: Seguridad de la informacin (uso del internet, uso del correo electrnico, uso de
las estaciones de trabajo, proceso de antivirus, adquisicin de hardware y software,
seguridad de contraseas, etc.), procesos de respaldo y recuperacin en caso de desastre
y situaciones de mal funcionamiento de uno o varios componentes del sistema de
informacin, tercerizacin o outsourcing, mantenimiento y desarrollo de sistemas. En el
artculo 6 expresa que deber de tener un ejecutivo especializado, responsable de todos
los asuntos relacionados con las tecnologas de la informacin. En su artculo 7 expresa
que dentro de la estructura organizacional, la unidad responsable de administrar los
aspectos tecnolgicos y de seguridad de la informacin deber contar con el manual de
puestos para el personal de TIC, que deber incluir los perfiles de puestos y la segregacin
de funciones y de autoridad.
En el artculo 8 dicta que la Gerencia General deber definir y proponer a la Junta o
Consejo, los procesos crticos para los cuales es necesario establecer las polticas y
estrategias de tal forma que se asegure la integridad y continuidad de las operaciones.
Asimismo, las medidas y mecanismos para la difusin ptima de dichas polticas. A su vez
61
en la seccin II ya habla sobre el historial y monitoreo, y en sus artculos 10, 11, 12 se
expresa sobre el mantenimiento de registros, periodo de resguardo y mantenimiento de
bitcoras respectivamente.
En la seccin IV expresa 2 artculos sobre auditoria interna, donde los artculos 13 y 14 dan
a conocer sobre la auditoria de sistemas. La Auditora Interna de la institucin deber
auditar la Tecnologa de Informacin y Comunicacin (TIC) a fin de verificar la integridad,
disponibilidad y confidencialidad de la informacin. La persona(s) encargada(s) de auditar
las TIC deber contar con experiencia y entrenamiento calificado para llevar a cabo este
tipo de auditoras basadas en las mejores prcticas existentes en el mercado tales como
COBIT e ISO-17799. En el artculo 14 ya se expresa que el Auditor Interno ser responsable
de que, aun en el caso de que la Auditora de Sistemas sea llevada a cabo por medio de la
Tercerizacin (outsourcing) se cumplan las disposiciones contenidas en las Normas
Mnimas para el Funcionamiento de las Unidades de Auditora Interna de las Instituciones
del Sistema Financiero y en las presentes normas.
La administracin de riegos ya es expresada en la seccin V, en donde los artculos 15 y 16
hablan respectivamente sobre los factores de riesgo y los procesos de auditoria basada en
riesgos. La institucin deber realizar sus auditoras de sistemas basadas en un anlisis de
riesgos y cumpliendo las normativas existentes. Esta auditora deber incluir todos los
riesgos potenciales en la administracin de las Tecnologas de Informacin y
Comunicaciones. El proceso de auditora basada en riesgos deber ser permanente y se
revisar de acuerdo a los cambios en los factores de riesgos. La institucin deber,
conforme a la administracin y anlisis de riesgos, tomar las medidas necesarias para
minimizar los impactos negativos en toda su infraestructura de Tecnologas de
Informacin y Comunicaciones.
Los artculos 17, 18 y 19 estn en la seccin VI, donde estn relacionados con la seguridad
de la informacin, de cmo administrar la seguridad informtica, el perfil de
responsabilidades y la separacin de ambientes. Las funciones de este Administrador de
Seguridad Informtica sern definidas evitando conflictos de inters, por tanto deber ser
independiente del ejecutivo especializado responsable de la administracin de las
Tecnologas de Informacin y Comunicaciones. La Gerencia General de la institucin
deber definir las funciones y las responsabilidades del Administrador de Seguridad
Informtica. Dichas funciones y responsabilidades comprendern como mnimo las
siguientes:
Proponer a la institucin las polticas, normas y procedimientos de seguridad
informtica;
Documentar e implementar las polticas, normas y procedimientos de seguridad
informtica aprobadas por la Junta o Consejo;
Entre otras.

Adicionalmente la institucin deber procurar separar fsicamente y lgicamente los
ambientes de produccin, desarrollo y pruebas.
62

En el captulo III ya se expresa la investigacin de seguridad, donde solo hay una seccin
donde se da a conocer lo siguiente:
Artculo 20 Evaluaciones de seguridad: Las evaluaciones de seguridad debern medir la
eficiencia de los medios de proteccin e incluir propuestas para corregir las
vulnerabilidades.
Artculo 21 Implementacin de cambios: Previo a la implantacin de cambios en: el
ambiente de produccin; los sistemas de alto riesgo definidos por la administracin; y los
servicios financieros por medios electrnicos, deber realizarse una evaluacin de
seguridad.
Artculo 22 - Otras Pruebas de Seguridad: Para evitar conflictos de inters y poder tomar
las medidas cautelares correspondientes, las instituciones podrn realizar otras pruebas
por entes o profesionales externos.
Artculo 23 Informe de seguridad: La Gerencia General, para minimizar los riesgos,
deber implementar las recomendaciones contenidas en el informe de seguridad, y
establecer un cronograma de actividades a realizar.

En el captulo IV, habla sobre el control de acceso, encriptacin y seguridad en la red, en
la seccin I: control de acceso, sus artculos 24, 25, 26, 27 y 28 se da a conocer en detalle
sobre la identificacin de Acceso, Reglas y Procedimientos para Acceso, Clasificacin de
Grupos y Asignacin de Perfiles de Usuarios, Control de Acceso y Tiempo de Expiracin.
En la seccin II, artculo 29: la encriptacin y seguridad en la red, los artculos 29, 30,
31,32, 33, 34 y 35, nos dicen que la encriptacin de informacin en las instituciones
deber determinar, de acuerdo a un anlisis de riesgos, la necesidad de encriptar la
informacin a ser transmitida y almacenada. Artculo 30: La certificacin de la Identidad
del Sitio de Internet: La institucin deber tomar las medidas necesarias para certificar la
identidad del sitio de Internet y evitar posibles imitaciones. Artculo 31: La conexin de
internet de las instituciones se realizara en los siguientes casos: a) Conexin a Internet por
parte de empleados, con sujecin a lo establecido en los artculos 32 y 33 de estas
normas; b) Servicios financieros por medios electrnicos, conforme lo dispuesto en los
artculos 40 al 67 de las presentes normas; y, c) Cualquier otro caso aprobado, con
anticipacin, por la Comisin. Artculo 32: La Gerencia General de la institucin deber
determinar las operaciones que sus empleados podrn realizar para la utilizacin del
Internet, as como cumplir con los requerimientos del siguiente Artculo.
Artculo 33: Para que las estaciones de trabajo de los empleados tengan acceso al
Internet debern estar conectadas nicamente al Internet, o a una red que est conectada
exclusivamente al Internet a travs de servidores separados de la red de produccin.
Tampoco debe existir conectividad simultnea entre la estacin de trabajo y los sistemas
de produccin de la institucin, ni acceso a informacin sensitiva.
Artculo 34: La conexin de la red de la institucin hacia Internet deber encontrarse
asegurada por lo menos con: un antivirus, un filtro de contenido, un Sistema de Deteccin
de Intrusos (IDS) a nivel de red y un firewall.
63
En el artculo 35: las contraseas de acceso, para las instituciones del sistema financiero
debern otorgar a los auditores de sistemas de esta Comisin, contraseas de acceso
irrestricto a todas las aplicaciones y objetos de sus sistemas con derechos de solo lectura,
en los servidores de produccin y desarrollo; as como a todos los maestros,
transaccionales e histricos que los auditores requieran. Las contraseas otorgadas no
debern tener fecha de caducidad, sin embargo las instituciones podrn eliminarlas una
vez que los auditores de sistemas finalicen la auditora.

En el captulo V, en su seccin nica expresa sobre el plan de continuidad de negocio: los
artculos 36 y 37. Plan de contingencias: La institucin deber mantener un plan de
contingencias detallado para recuperar y operar su tecnologa de informacin en los casos
de mal funcionamiento y desastres. Dicho plan deber enmarcarse en los principios de
respaldo y recuperacin descritos en el Artculo 37.
La institucin deber examinar y revisar su plan de contingencias atendiendo los cambios
que han ocurrido desde la revisin anterior. Dicha revisin deber realizarse como mnimo
cada dos (2) aos, as como cada vez que ocurran cambios significativos.
En su artculo 37: principios de respaldo y recuperacin: La administracin de la institucin
deber reunirse anualmente para discutir los principios de respaldo y recuperacin, as
como tomar decisiones y documentar detalladamente, con base en un anlisis de riesgos,
los siguientes temas:
1) Definicin de las situaciones de mal funcionamiento y de desastre para todas las
unidades organizacionales y las implicaciones en las operaciones subsistentes de
la institucin.
2) Definicin de los procesos vitales del negocio, los sistemas de informacin
relevantes para la operacin continua, la manera en que podra garantizar la
continuidad del negocio en el caso de un mal funcionamiento y desastre, y
definir todo el software, hardware y componentes de comunicaciones
relacionados.
3) Entre otros.

En el captulo VI, en su seccin nica expresa sobre la tercerizacin, dos artculos 38 y 39
se da a conocer sobre la tercerizacin que la institucin podr contratar con una entidad
externa, la realizacin de las siguientes actividades: la administracin, procesamiento y
resguardo de las operaciones de informacin, as como el desarrollo de sus sistemas,
servicios de consultora, patentes y otros servicios relacionados con las TIC. Artculo 39:
Contrato Escrito de Tercerizacin: La Tercerizacin deber realizarse por medio de un
contrato escrito. Lo dispuesto en el presente Artculo no exime, a la institucin, de
responsabilidad por cualquier actividad ilegal efectuada por el proveedor con respecto de
los servicios contratados.

64
En el captulo VII, los servicios financieros por medios electrnicos, en su seccin I:
servicios y operaciones de banca electrnica, sus artculos 40 y 41, expresan
respectivamente lo siguiente:
Artculo 40: servicios y operaciones de banca electrnica: Los servicios y operaciones de
banca electrnica, permitirn a los clientes obtener informacin de sus cuentas, realizar
operaciones o dar instrucciones para realizar transacciones en su nombre, a travs de los
sistemas electrnicos conectados al sistema de produccin de la institucin.
Artculo 41: niveles de servicios: Los servicios de banca electrnica se categorizarn en
distintos niveles, e incluirn los servicios de los niveles que les preceden. Cuando los
servicios de banca electrnica incluyan la posibilidad de actualizar informacin particular o
personal del cliente, la institucin ser responsable de verificar la informacin antes de
ser aplicada a las bases de datos de produccin.
En su seccin II, contratacin para proveer los servicios de banca electrnica, en el artculo
42, contrato de prstamos de servicios: El contrato de servicios de banca electrnica,
deber ser firmado por el cliente permitindole seleccionar el nivel de servicio que
requiera. La institucin le otorgar a cada cliente los medios de identificacin para poder
conectarse a los servicios de banca electrnica, de acuerdo a las polticas de seguridad de
la institucin.
En su seccin III, revelacin de informacin, el artculo 43 expresa que El contrato de
servicio deber contener las condiciones, responsabilidades, excepciones y riesgos de la
utilizacin de los servicios que la institucin provee a travs de su banca electrnica.
En su seccin IV, medios de identificacin y autorizacin, el artculo 44 medios de
identificacin: En cumplimiento a las disposiciones establecidas en el Artculo 24, la
institucin deber determinar los medios de identificacin para cada cliente que tenga
autorizacin de acceso a los servicios. En el artculo 45 definicin del perfil de usuario de
banca electrnica: El perfil del usuario de banca electrnica deber definirse con los
permisos y accesos conforme lo establecido en el contrato de servicios.
En su seccin V, la administracin de contraseas, en sus artculos 46, 47 y 48, asignacin
de contraseas de acceso (La contrasea inicial se le otorgar al cliente en forma personal
y sta ser confidencial para terceros. La contrasea inicial deber ser otorgada al cliente
en la institucin o por cualquier otro canal de comunicacin seguro que la institucin est
utilizando.), cambios de contraseas y cancelacin de contraseas de acceso.
En su seccin VI, medidas de control desde el artculo 49 hasta el artculo 59, Aplicacin de
Medidas de Control de Banca Electrnica, Validaciones, Proceso de Encriptacin,
Implementacin de Controles, Separacin de Servidores, Proceso de Autenticacin de
Usuario, Medidas de Resguardo para Informacin til, Acceso Restringido, Acceso al
Sistema de Banca Electrnica, Impresin y/o Resguardo de Instrucciones y Medidas para
Evitar Accesos no Autorizados.
En su seccin VII, operaciones de banca electrnica a favor de terceros, por medio de una
lista de beneficiarios, articulo 60 - Transacciones de Banca Electrnica a Favor de Terceros,
articulo 61 - Transmisin de Datos (La institucin deber transmitir los datos del pagador y
cuando fuese posible, la naturaleza y frecuencia de pago, as como presentarlos
65
claramente en el resumen de la cuenta del beneficiario.), artculo 62 - Establecimiento de
Techos para las Operaciones Autorizadas(Los montos mximos de las transacciones para
acreditar a otras cuentas, sern determinados para cada cliente por la institucin, y
debern ser respetados tanto por el cliente como por la institucin.), articulo 63 - Lista de
Beneficiarios(La institucin deber mantener almacenada en medios electrnicos, una
lista de beneficiarios por cada cliente que use el servicio de banca electrnica, la cual
deber ser aprobada y actualizada por el cliente.), articulo 64- Actualizacin de Lista de
Beneficiarios (El cliente deber mantener actualizada su lista de beneficiarios y todas sus
particularidades, incluyendo los techos o topes de los pagos a favor de cada beneficiario.)
En su seccin VIII, correo electrnico, el artculo 65 correo electrnico: La institucin
deber determinar los tipos de operaciones que sus clientes podrn realizar por medio de
correo electrnico. El artculo 66 Procedimiento formalizado: La institucin deber
contar con un procedimiento formalizado para mantener comunicaciones electrnicas con
los clientes. El artculo 67: Envo de Normas de Revelacin de Informacin: La institucin
podr hacer llegar a sus clientes, por medio de correo electrnico o por su sitio de
Internet, las notificaciones que sus polticas o normas de revelacin de informacin le
permitan, as como cualquier otra informacin relacionada a las obligaciones de
confidencialidad y estas notificaciones debern estar estipuladas en el contrato que el
usuario firma segn lo establecido en los artculos 42 y 43.

En el captulo VIII, en su seccin nica, operaciones especiales, el artculo 68: remisin de
informacin: La institucin deber llevar registros, estadsticas y a la vez comunicar a la
Comisin, los siguientes temas y eventos:
1) Eventos excepcionales tales como: intentos de ataques y penetraciones
significativas, as como todos los incidentes de penetracin a los sistemas; inoperatividad
del sistema central o de produccin, operacin del plan de emergencia o cualquier otro
similar;
2) La discontinuidad de servicios significativos para sus clientes, como consecuencia de
un cierre no planificado de los sistemas computarizados que dure ms de un da de
trabajo; entre otros.
El artculo 69, programa de reporte de eventos: Los reportes sealados en los numerales
1) y 2) del Artculo anterior, debern ser registrados utilizando el Programa de Reporte de
Eventos que est a disposicin de las instituciones supervisadas en la red de interconexin
financiera de la CNBS.

En el captulo IX, la baca del exterior y medidas de seguridad, la seccin I, banca del
exterior, en la seccin I, el artculo 70 Aplicacin especial: La aplicacin de las presentes
normas a las instituciones subsidiarias de instituciones extranjeras o miembros de Grupos
Financieros extranjeros que operan en el territorio nacional, podr adaptarse a sus
necesidades particulares previa comunicacin a la Comisin, cuando utilicen sistemas,
medios, o procedimientos establecidos en o por sus casas matrices. As mismo en el
artculo 71 Banca del exterior. En la seccin II, medidas de seguridad: el artculo 72 habla
66
sobre los controles de seguridad para proteger los sistemas de las instituciones y que
debern de incorporar como mnimo en todas las redes los controles de seguridad
siguientes:
a) Sistemas de Deteccin y/o Prevencin a nivel de todas sus redes que generen
alertas oportunas a los administradores de la red, para que se tomen las medidas
pertinentes.
b) Un Antivirus Corporativo actualizado tanto en las estaciones de trabajo fijas y
porttiles como en los servidores.

La circulacin de la CNBS termina ya con el captulo X, las disposiciones finales y
transitorias, en su seccin nica, en los artculos 73, 74 y 75 respectivamente expresan lo
siguiente:
Artculo 73 Plazo de adecuacin: Las instituciones del sistema financiero tendrn un
plazo de un (1) ao, contado a partir de la entrada en vigencia de las presentes normas,
para adecuarse a su cumplimiento.
Artculo 74 Continuidad de contratos: Las instituciones del sistema financiero debern
darle continuidad hasta su vencimiento de conformidad con los trminos pactados a
actividades contratadas antes de la entrada en vigencia de las presentes normas.
Artculo 75 Vigencia: Las presentes normas entrarn en vigencia a partir de la fecha de
su publicacin en el diario oficial La Gaceta.

Reporte anual Verizon
La seguridad de los datos nos debe de importar a todos, no importa cul sea el papel en la
organizacin. Por qu? Porque cuando se sufre de una violacin de cualquier tipo - ya sea
un crdito de los clientes destinado a un atacante de datos a la tarjeta, o un empleado
que al salir accidentalmente lleve una USB completo de planos o de informacin en un taxi
- el impacto es toda la compaa, en caso que esa informacin caiga en manos
equivocadas o para un fin malo.
Cuando la noticia de una violacin de datos sale al pblico como suele ocurrir, y saber que
se puede enfrentar multas y acciones legales. Eso es tan importante ya que sus clientes y
socios pueden perder la fe en su capacidad de proteger sus intereses, que puede afectar
directamente a su reputacin y su cuenta de resultados. Y luego est el gasto ms de
averiguar lo que sali mal, y remendar los agujeros en sus defensas.
Los costos de una violacin de datos pueden ser enormes. Y no son slo los costos de
remediacin y el potencial de multas; sino el dao a su reputacin y prdida de confianza
de los clientes podra afectar a su xito para toda una vida. Muchas empresas nunca se
recuperan de una importante violacin de los datos.

67
En quin confiar?
La gama de amenazas a sus datos y sistemas se puede ir prohibiendo. Y confiar en el
instinto - o incluso en mejores prcticas - puede ser poco fiable. La cobertura meditica ha
creado una imagen distorsionada de las violaciones de datos. La realidad es que no es slo
minoristas que se ven afectados; Nuestros datos muestran que los ataques contra los
sistemas (POS) en el punto de venta tienen sido efectivamente tendencia a la baja en los
ltimos aos. Por el contrario, los ataques de espionaje siguen creciendo- que afecta a
todo tipo de empresas, no slo a los organismos gubernamentales y los contratistas
militares.
Est claro: cuando se trata de seguridad, no se puede confiar en el instinto. El panorama
de las amenazas est constantemente cambiante, y mantener al da es un reto constante.
Con el fin de construir las defensas adecuadas y efectivamente proteger su negocio, usted
necesita saber ms acerca de las amenazas que enfrenta. El Verizon DBIR ha, durante
aos, ha sido la mejor fuente de conocimiento acerca del panorama de las amenazas. El
informe de este ao incluye ms de 63.000 incidentes de seguridad de 95 pases,
incluyendo 1.367 violaciones de datos confirmados. Esto incluye la denegacin de servicio
(DoS), por primera tiempo - estas raras veces implican la prdida de datos, pero siguen
siendo una amenaza importante para su negocio.
Por lo tanto, el cambio ms grande que hizo este ao Verizon es el uso de mtodos
estadsticos para identificar clusters de incidentes e infracciones similares. Estaban
seguros de que eran patrones en los datos de incidentes: ciertos grupos de mtodos de
ataque, objetivos y responsables que apareci una y otra vez. De la complejidad y la
diversidad del panorama de amenazas, se han identificado nueve patrones que cubren el
92% de los incidentes de seguridad que hemos analizado en los ltimos diez aos, y el 94%
de las brechas que les parecan en el pasado ao. Los llamaron clasificacin de incidentes
con patrones. A continuacin la siguiente imagen muestra lo anteriormente mencionado:

68
Los nueve patrones en que clasifican casi todos los ataques que es probable que se
enfrentan en la industria. Esto ayudar a dar sentido a las amenazas y priorizar sus
esfuerzos de seguridad en las empresas.
A continuacin se detallan los nueve patrones:
1. Errores varios: Simplemente, cualquier error que pueda comprometer la
seguridad: lo que puede significar la publicacin de datos privados a un sitio
pblico accidentalmente, el envo de informacin a los destinatarios equivocados o
no poder disponer de documentos o activos segura.
Qu podemos hacer? Implementar DLP.
Considerar la implementacin de los datos como un software de
prevencin de prdida de bloquear sensibles informacin que se enva - tal
vez por error - por de correo electrnico.
Reforzar los controles sobre la publicacin. Disminucin la frecuencia de
errores editoriales apretando controles en torno a la publicacin de
documentos de sitios Web. Regularmente escanear la red para uso privado
datos.
Ensear al personal acerca de la venta de activos. Deben entender que los
documentos y las computadoras no pueden simplemente poner en la
papelera.

2. Crimeware: es una categora amplia, que abarca cualquier uso malware (a menudo
basado en la web) para comprometer sistemas como servidores y escritorios. Este
patrn incluye phishing.
Qu podemos hacer?
Parche anti-virus y navegadores. Esto podra bloquear muchos ataques.
Deshabilitar Java en el navegador. Dada la historia de vulnerabilidades,
evitar el uso de plugins del navegador Java siempre que sea posible.
Utilizar la autenticacin de dos factores. No impedir el robo de
credenciales, pero va a limitar lo que el dao puede ser hecho.
Implementar el monitoreo de cambios de configuracin. Muchos mtodos
pueden ser fcilmente detectados por observando los indicadores clave.

3. Mal uso de los privilegios: Esto se debe principalmente por el mal uso de
informacin privilegiada, pero los forasteros (Debido a la colusin) y sus socios
(porque se les concede privilegios) se presentan tambin. Culpables potenciales
provienen de todos los niveles de la negocio, desde la primera lnea de la sala de
juntas.
69
Qu podemos hacer?
Conozca sus datos. El primer paso en la proteccin de sus datos est en
saber dnde est, y que tiene el acceso a la misma.
Las cuentas de usuario de Revisin. Habiendo identificado que tiene acceso
a los datos sensibles, poner en prctica un proceso para revocar el acceso
cuando los empleados dejar o cambiar el papel.
Mira las salidas. Establecer controles para vigilar transferencia de datos de
la organizacin.

4. Robo y prdida Fsica: La prdida o robo de las computadoras porttiles, unidades
USB, impreso papeles y otros activos de informacin, en su mayora de las oficinas,
sino tambin de los vehculos y hogares.
Qu podemos hacer?
Dispositivos Cifrar. Mientras que la encriptacin no afectar las
posibilidades de que un activo desaparicin, lo har proteger los datos que
almacena.
Respaldarlo. Backups regulares pueden prevenir la prdida de datos
valiosos, reducir el tiempo de inactividad, y ayuda con forense en caso de
que se incumplan.
Bloqueo de abajo. Asegure que el equipo de TI, los bienes, accesorios, y
tienda sensible activos - incluyendo documentos en papel - estn en un
rea separada y segura.

5. Ataques de aplicacin web: Cuando los atacantes utilizan credenciales robadas o
explotar vulnerabilidades en aplicaciones web tales sistemas de gestin como de
contenido (CMS) o plataformas de e-commerce.
Qu podemos hacer?
Utilice la autenticacin de dos factores. Mira suave tokens y datos
biomtricos.
Considere la posibilidad de cambiar a un CMS esttica. Estos no es
necesario para ejecutar cdigo para cada solicitud, reduce la posibilidad de
exploits.
Hacer cumplir las directivas de bloqueo. Cuentas de bloqueo intentos de
conexin fallidos despus de repetidos ayudarn a frustrar los ataques de
fuerza bruta.
Monitorear las conexiones salientes. A menos que su servidor tiene una
buena razn para enviar millones de paquetes a los sistemas, bloqueo de
un gobierno extranjero por su capacidad para hacerlo.
70

6. Denegacin de servicio: Estos son los ataques y no los intentos de infracciones. Los
atacantes utilizan "botnets" de las PC y de gran alcance servidores para abrumar a
los sistemas de una organizacin y aplicaciones con trfico malicioso, causando
operaciones comerciales normales se detienen.
Qu podemos hacer?
Asegrese de que los servidores estn parcheadas con prontitud. Y slo dar
acceso a las personas que lo necesitan.
Separar los servidores de claves. Compre una pequea copia de seguridad
circuito y anunciar el espacio IP. De esta forma si es atacado, sistemas
primarios no se vern afectados.
Pon a prueba tu servicio anti-DoS. Esto no es una install- y olvidar el tipo de
servicio.
Tenga un plan. Equipos de operaciones clave necesitan saber cmo
reaccionar si se produce un ataque. Y saber lo que va a hacer si su servicio
anti-DoS no funciona.

7. Ciberespionaje: Cuando los actores de participacin estatal violan una
organizacin, a menudo a travs de phishing dirigido ataques, y despus de la
propiedad intelectual.
Qu podemos hacer?
Parche con prontitud. Explotar software vulnerabilidades es un primer paso
comn.
Utilice antivirus y mantenerlo actualizado. No lo har protegerse de los
ataques de da cero, pero muchos siendo presa de los peligros conocidos.
Formar a los usuarios. Darles los conocimientos que necesitan para
reconocer y reportar signos de peligro.
Mantenga buenos registros del sistema. Iniciar sesin, red y actividad de la
aplicacin. Esta es una buena base para la respuesta a incidentes, y
prestar apoyo a muchos contramedidas activas.

8. Point-of-sale intrusions: Cuando los atacantes pongan en peligro los ordenadores y
los servidores que ejecutan aplicaciones de punto de venta, con la intencin de
capturar los datos de pago.
Qu podemos hacer?
Restringir el acceso remoto. Limite el acceso remoto en los sistemas de
punto de venta por parte de empresas de terceros.
71
Hacer cumplir las polticas de contraseas fuertes. Nuestra PCI Informe de
Cumplimiento encontr que ms del 25% de las empresas siguen utilizando
los valores de fbrica.
Sistemas de punto de venta de la Reserva para actividades de punto de
venta. No haga permita que el personal a usarlos para navegar por la web,
cheque juegos de correo electrnico, o de juego.
Utilice la autenticacin de dos factores. Fuertes contraseas podran
reducir el problema, pero dos factores seran mejor.
9. Payment card skimmers: La instalacin fsica de un "skimmer" en un Cajero
automtico, bomba de gas patio o terminal POS, para leer los datos de su tarjeta
cuando pague.
Qu podemos hacer?
Utilice terminales a prueba de manipulaciones. Algunos terminales son ms
susceptibles a desnatar que otros.
Est atento a la manipulacin. Capacitar a los empleados para detectar
skimmers y reconocen un comportamiento sospechoso.
Utilice los controles de prueba de manipulacin indebida. Esto puede ser
tan simple como un sello sobre la puerta de una bomba de gas, o algo ms
sofisticado como automatizada vigilancia de vdeo para detectar anomalas.
El DBIR est lleno de informacin ms detallada y recomendaciones. Pero siete temas
comunes son claras:
Estar atentos. Las organizaciones a menudo slo se enteran de la seguridad
infracciones cuando se recibe una llamada de la polica o un cliente. Iniciar sesin
archivos y sistemas de gestin del cambio que pueden dar la alerta temprana.
Haga su gente su primera lnea de defensa. Ensee al personal sobre el
importancia de la seguridad, cmo detectar los signos de un ataque, y qu hacer
cuando ven algo sospechoso.
Conservar los datos en un "necesidad de conocimiento". Limitar el acceso a los
sistemas del personal necesario para realizar su trabajo. Y asegrese de que usted
tiene los procesos en lugar de revocar el acceso cuando la gente cambia de rol o se
van.
Parche con prontitud. Los atacantes a menudo acceden usando el ms simple
mtodo de ataque, los que usted podra protegerse de forma sencilla, con bien
configurado entorno de TI y hasta al antivirus actualizado.
Cifrar los datos sensibles. Entonces, si los datos se pierde o es robado, es mucho
ms difcil para un criminal de usar.
72
CONCLUSIONES

El hecho de cumplir a cabalidad con el Estndar Internacional ISO/IEC 27002 no
garantiza al 100% que no se tendrn problemas de seguridad, pues la seguridad al
100% no existe. Lo que s se logra es minimizar al mximo las probabilidades de
sufrir impactos negativos y prdidas originados por la falta de seguridad.
Con esta investigacin se puede concluir que son muchas las normas o buenas
prcticas que se han elaborado para cubrir los temas de la seguridad.
La gestin de riesgo se puede aplicar en muchos mbitos de una organizacin. Se
puede aplicar en los niveles estratgico, tctico y operacional. Se puede aplicar a
proyectos, en la toma de decisiones especficas o para mejorar reas reconocidas
de riesgo.

73
BIBLIOGRAFA
27001 Academy. (s.f.). Conceptos bsicos sobre ISO 27001. Recuperado el 31 de Mayo de
2014, de http://www.iso27001standard.com/es/que-es-la-norma-iso-27001
27001Academy. (s.f.). Conceptos bsicos de la BS 25999-2. Recuperado el 1 de Junio de
2014, de http://www.iso27001standard.com/es/que-es-la-norma-bs-25999-2
27001Academy. (s.f.). Conceptos bsicos sobre ISO 22301. Recuperado el 31 de Mayo de
2014, de http://www.iso27001standard.com/ique-es-iso-22301
Baquero, K., Calle, L., Guamn, K., & Villalva, J. (2013). COBIT (Objetivos de Control
para la Informacin y Tecnologas Relacionadas). Recuperado el 31 de Mayo de
2014, de http://www.monografias.com/trabajos93/cobit-objetivo-contro-tecnologia-
informacion-y-relacionadas/cobit-objetivo-contro-tecnologia-informacion-y-
relacionadas.shtml#ixzz33PW3Gk8h
Blanco-Cuaresma, S. (9 de Marzo de 2008). BS 25999-1: Gestin de la Continuidad del
Negocio. Recuperado el 1 de Junio de 2014, de
http://www.marblestation.com/?p=650
Bueno , G., Correa, C., & Echeverry, J. I. (2010). Administracin de riesgos - una visin
global y moderna. Montevideo, Uruguay. Obtenido de
http://www.ccee.edu.uy/bibliote/monografias/2010/M-CD4026.pdf
Cavala - Gabibete de Asesoria Empresarial. (s.f.). BS 25999 1 - Calidad. Recuperado el 31
de Mayo de 2014, de http://www.cavala.es/servicios/sistemas-de-gestion/sistema-
gestion-de-calidad/bs-25999-1.html
Chacn Carranza, J. E., Erazo Ramos, R. A., Espaa Canalez, G. M., Montoya Guzmn, J.
O., & Portillo Valencia, K. C. (18 de Enero de 2009). Estndar Internacional
ISO/IEC 27002. Recuperado el 1 de Junio de 2014, de
http://www.monografias.com/trabajos67/estandar-internacional/estandar-
internacional2.shtml
74
Davidson, R. (s.f.). El BIA, probablemente el anlisis ms importante. Recuperado el 1 de
Junio de 2014, de
http://www.drjenespanol.com/home/Art%C3%ADculos/130122.aspx
Deloitte. (s.f.). Racionalizacin de controles SOX. Recuperado el 1 de Junio de 2014, de
http://www.deloitte.com/view/es_PE/pe/servicios/enterprise-risk-
services/aseguramiento-de-controles/racionalizacion-de-controles-sox/index.htm
inBest. (s.f.). Qu es un DRP? Recuperado el 1 de Junio de 2014, de http://inbest.me/que-
es-un-drp
iso27002.es. (2011). ISO 27002. Recuperado el 31 de Mayo de 2014, de
http://www.iso27002.es/
Jesusdml.es. (16 de Junio de 2011). Metodologa de auditora de seguridad, OSSTMM.
Recuperado el 1 de Junio de 2014, de
http://www.jesusdml.es/2011/06/16/metodologia-de-auditoria-de-seguridad-
osstmm/
Kioskea. (s.f.). ISO 17799. Recuperado el 30 de Junio de 2014, de
http://es.kioskea.net/contents/600-iso-17799
Marcontrol.audit. (Junio de 2013). Ley SOX Lineamientos de Control. Recuperado el 1 de
Junio de 2014, de http://marcontrol.blogspot.com/2013/06/ley-sox-lineamientos-de-
control.html
NIETO JARAMILLO, J. P. (2010). ESTNDARES NACIONALES E INTERNACIONALES
DE GESTIN DE RIESGO TECNOLGICO. Colombia. Recuperado el 1 de Junio
de 2014, de
http://auditoriauc20102miju02.wikispaces.com/file/view/Est%C3%A1ndares_nacio
nales_e_internacionales_de_gesti%C3%B3n_del_riesgo_tecnol%C3%B3gico20102
1700223169.pdf
75
OSIATIS S.A. (s.f.). Qu es ITIL? Recuperado el 30 de Mayo de 2014, de
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_
TI/que_es_ITIL/que_es_ITIL.php
Overti. (s.f.). Norma ISO 20000. Recuperado el 30 de Mayo de 2014, de
http://www.overti.es/iso-20000/norma-iso-20000.aspx
Overti. (s.f.). Procesos ISO 20000 - Procesos de Servicios TI. Recuperado el 30 de Mayo
de 2014, de http://www.overti.es/procesos-itsm/procesos-iso-20000.aspx
PCI Security Standards Counsil. (s.f.). PCI SSC Data Security Standards Overview.
Recuperado el 29 de Mayo de 2014, de
http://translate.google.hn/translate?hl=es&sl=en&u=https://www.pcisecuritystandar
ds.org/security_standards/&prev=/search%3Fq%3Dpci-
dss%26biw%3D1280%26bih%3D675
Priddy, B. (s.f.). Qu es el cumplimiento de SOX? Recuperado el 1 de Junio de 2014, de
http://www.ehowenespanol.com/cumplimiento-sox-sobre_274507/
Project Management Institute. (s.f.). Qu es PMI? Recuperado el 30 de Mayo de 2014, de
http://americalatina.pmi.org/latam/AboutUS/WhatisPMI.aspx
Project Management Institute. (2004). Gua de los Fundamentos de la Direccin de
Proyecto (Tercera ed.). Newtown Square.
Project Management Institute. (2013). Gua de los Fundamentos para la Direccin de
Proyectos ( Quinta ed.). Newtown Square.
QPR International. (s.f.). Qu es ITIL? Recuperado el 31 de Mayo de 2014, de
http://www.qrpinternational.es/index/itil/what-is-itil
Racciatti, H. M. (13 de Diciembre de 2010). Tiempos de Cambio: OSSTMM 3 - Una
Introduccin. Recuperado el 1 de Junio de 2014, de
76
http://www.infosecisland.com/blogview/10215-Tiempos-de-Cambio-OSSTMM-3-
Una-Introduccin-.html
Rouse, M. (Septiembre de 2013). Qu es Plan de Recuperacin de Desastres (DRP)?
Recuperado el 1 de Junio de 2014, de
http://searchdatacenter.techtarget.com/es/definicion/Que-es-Plan-de-Recuperacion-
de-Desastres-DRP
Sayqa. (s.f.). BIA (Business Impact Analysis) vs BCP - DRP. Recuperado el 1 de Junio de
2014, de http://sayqa.com/bia-vs-bcp-drp/
Synexia. (s.f.). Anlisis de impacto en el negocio. Recuperado el 1 de Junio de 2014, de
http://www.synexia.net/procesos/bcp/metodologia/5210/
Toro Giraldo, J. C. (10 de Octubre de 2010). IT BSC Y ESTANDARES AMERICANOS
FIPS, NIST, ITL, DOD Auditoria informtica. Recuperado el 30 de Mayo de 2014,
de
http://auditoriauc20102miju02.wikispaces.com/file/view/IT+BSC,+Estandares+ame
ricanos+FIPS,NIST,ITL,DOD201021700513703.pdf/168245559/IT%20BSC,%20E
standares%20americanos%20FIPS,NIST,ITL,DOD201021700513703.pdf
Villaln Puerta, A. (30 de Septiemre de 2004). Cdigos de buenas practicas de Seguridad.
UNE-ISO/IEC 17799. Recuperado el 30 de Mayo de 2014, de
http://www.shutdown.es/ISO17799.pdf
Wikipedia. (14 de Abril de 2014). PCI DSS. Recuperado el 29 de Mayo de 2014, de
http://es.wikipedia.org/wiki/PCI_DSS
Wikipedia. (s.f.). Plan de continuidad del negocio. Recuperado el 1 de Junio de 2014, de
http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio