ITIL

La Biblioteca de Infraestructura de Tecnologas de Informacin (o ITIL, por sus siglas en

ingls) es un conjunto de conceptos y buenas prcticas usadas para la gestin de servicios de
tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones
relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de
procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados
para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI.

COBIT

Objetivos de Control para Informacin y Tecnologas Relacionadas (COBIT, en

ingls: Control Objectives for Information and related Technology) es una gua de mejores
prcticas presentado como framework, dirigida al control y supervisin de tecnologa de la informacin
(TI). Mantenido por ISACA (en ingls: Information Systems Audit and Control Association ) y el IT GI
(en ingls: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de
referencia para la gestin de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control,
mapas de auditora, herramientas para su implementacin y principalmente, una gua de tcnicas de
gestin.

A)Analizar modelos y buenas practicas de seguridad que contemplen los sig conceptos:

Qu es ITIL?

Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin

(ITIL) se ha convertido en el estndar mundial de de facto en la Gestin de Servicios Informticos.
Iniciado como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las
organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como
base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL es conocido y
utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de la
Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como
resultado una necesidad creciente de servicios informticos de calidad que se correspondan con
los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A travs de
los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios
TI. La aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye a realizar
los objetivos corporativos si el sistema est a disposicin de los usuarios y, en caso de fallos o
modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80%
del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtencin).
De esta manera, los procesos eficaces y eficientes de la Gestin de Servicios TI se convierten en
esenciales para el xito de los departamentos de TI. Esto se aplica a cualquier tipo de
organizacin, grande o pequea, pblica o privada, con servicios TI centralizados o
descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el
servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.
ITIL fue producido originalmente a finales de 1980 y constaba de 10 libros centrales cubriendo las
dos principales reas de Soporte del Servicio y Prestacin del Servicio. Estos libros centrales fueron
ms tarde soportados por 30 libros complementarios que cubran una numerosa variedad de
temas, desde el cableado hasta la gestin de la continuidad del negocio. A partir del ao 2000, se
acometi una revisin de la biblioteca. En esta revisin, ITIL ha sido reestructurado para hacer
ms simple el acceder a la informacin necesaria para administrar sus servicios. Los libros
centrales se han agrupado en dos, cubriendo las reas de Soporte del Servicio y Prestacin del
Servicio, en aras de eliminar la duplicidad y mejorar la navegacin. El material ha sido tambin
actualizado y revisado para un enfoque conciso y claro.

COBIT para la seguridad de la informacin

En el mes de junio del 2012, ISACA lanz "COBIT 5 para la seguridad de la informacin",
actualizando la ltima versin de su marco a fin de proporcionar una gua prctica en la seguridad
de la empresa, en todos sus niveles.
COBIT 5 para seguridad de la informacin puede ayudar a las empresas a reducir sus perfiles de
riesgo a travs de la adecuada administracin de la seguridad. La informacin especfica y las
tecnologas relacionadas son cada vez ms esenciales para las organizaciones, pero la seguridad
de la informacin es esencial para la confianza de los accionistas

ISM3
La publicacin del ISM3 (Information Security Management Maturity Model) ofrece un nuevo
enfoque de los sistemas de gestin de seguridad de la informacin (ISM). ISM3 nace de la
observacin del contraste existente entre el nmero de organizaciones certificadas ISO9000 (unas
350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende cubrir
la necesidad de un estndar simple y aplicable de calidad para sistemas de gestin de la seguridad
de la informacin. ISM3 proporciona un marco para ISM que puede utilizarse tanto por pequeas
organizaciones que realizan sus primeros esfuerzos, como a un nivel alto de sofisticacin por
grandes organizaciones como parte de sus procesos de seguridad de la informacin...
Al igual que otros estndares del ISECOM, ISM3 se proporciona con una licencia de cdigo libre,
tiene una curva de aprendizaje suave, y puede utilizarse para fortalecer sistemas ISM en
organizaciones que utilicen estndares como COBIT, ITIL, CMMI y ISO17799. Est estructurado en
niveles de madurez, de modo que cada organizacin puede elegir un nivel adecuado para su
negocio, y cubrir ese objetivo en varias etapas.
En lugar de depender exclusivamente de mtodos caros de anlisis de riesgos, que suponen una
barrera a la implantacin de sistemas de ISM, ISM3 sigue un punto de vista cualitativo,
empezando por analizar los requerimientos de seguridad del negocio. Permite a la empresa
aprovechar la infraestructura actual, fortalecindola mediante un sistema de calidad, y alcanzado
niveles de madurez certificables segn el sistema de ISM evoluciona.
Utiliza un modelo de gestin para diferenciar las tareas de seguridad operativa que previenen y
mitigan incidentes del tareas estratgicas y tcticas que identifican los activos a proteger, las
medidas de seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un
proceso de certificacin que permite a una organizacin autoevaluar su madurez, o bien obtener
una certificacin de un auditor independiente.

B) Analiza los estandares internacionales de seguridad informatica de los sig. conceptos:

* * BS 17799 * *

BS 17799 es un cdigo de prcticas o de orientacin o documento de referencia se basa en las

mejores prcticas de seguridad de la informacin, esto define un proceso para evaluar,
implementar, mantener y administrar la seguridad de la informacin.

Caractersticas
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y
controles de 134 no se utiliza para la evaluacin y el registro de esta tarde fue rebautizado con la
norma ISO 27002OBJETIVO.

Objetivo
El objetivo es proporcionar una base comn para desarrollar normas de seguridad dentro de las
organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.

Alcance
-Aumento de la seguridad efectiva de los Sistemas de informacin.
- Correcta planificacin y gestin de la Seguridad
- Garantas de continuidad del negocio.Auditora interna
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organizacin.
Enfoque
* Responsabilidad de la direccin.
* Enfoque al cliente en las organizaciones educativas.
* La poltica de calidad en las organizaciones educativas.
* Planificacin: Definir los objetivos de calidad y las actividades y recursos necesarios .

Para alcanzar los objetivos

* Responsabilidad, autoridad y comunicacin.
* Provisin y gestin de los recursos.
* Recursos humanos competentes.
* Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso.

Educativo
* Planificacin y realizacin del producto.
* Diseo y desarrollo.
* Proceso de compras.
* Control de los dispositivos de seguimiento y medicin.
* Satisfaccin del cliente.
* Auditoria Interna ISO.
* Revisin y disposicin de las no conformidades.
* Anlisis de datos.
* Proceso de mejora.

ISO 27000

La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier

organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por
tanto, un objetivo de primer nivel para la organizacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que
aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de
seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la
organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO
(International Organization for Standardization) e IEC (International Electrotechnical Commission),
que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier
tipo de organizacin, pblica o privada, grande o pequea.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica
cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin
(SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su inters a travs del submen de la izquierda o
siguiendo los marcadores de final de pgina.

Origen

Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards
Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la
publicacin de importantes normas como:
- BS 5750. Publicada en 1979. Origen de ISO 9001
- BS 7750. Publicada en 1992. Origen de ISO 14001 - BS 8800. Publicada en 1996. Origen de
OHSAS 18001 La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin
de la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se
estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera
vez en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGSI)
para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO,
sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se public por ISO,
con algunos cambios, como estndar ISO 27001. Al tiempo se revis y actualiz ISO 17799. Esta
ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido
as como el ao de publicacin formal de la revisin.

En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI public la BS 7799-

3:2006, centrada en la gestin del riesgo de los sistemas de informacin.
Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro de la serie
27000 que sirvan de apoyo a las organizaciones en la interpretacin e implementacin de ISO/IEC
27001, que es la norma principal y nica certificable dentro de la serie.
En la seccin de Artculos y Podcasts encontrar un archivo grfico y sonoro con la historia de ISO
27001 e ISO 17799.

ISO/IEC 27001:

Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del
sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya
qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs
de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y
controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones
en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los
controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no
aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma
est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online
en AENOR (tambin en lengua gallega). En 2009, se public un documento adicional de
modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est publicada
en espaol son, por ejemplo,Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC
27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), Mxico (NMX-I-041/02-NYCE)
o Uruguay (UNIT-ISO/IEC 27001). El original en ingls y la traduccin al francs pueden adquirirse
en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO
SC27, con fecha prevista de publicacin de segunda edicin en Mayo de 2013.

ISO/IEC 27002:

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como
ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO
27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de
2009 (a la venta en AENOR). Otros pases donde tambin est publicada en espaol son, por
ejemplo,Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC
27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002)
o Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs
pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en
el subcomit ISO SC27, con fecha prevista de publicacin de la segunda edicin en Mayo de 2014.

ISO 20000

ISO 20000 y la Gestin de Servicios TI

La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el mundo

especficamente dirigida a la gestin de los servicios de TI. La ISO 20000 fue desarrollada en
respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los
negocios provenientes de un colapso tcnico del sistema de TI de las organizaciones.
ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz
servicios de TI a las organizaciones y a sus clientes. La esperada publicacin de la ISO 20000 el 15
de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento internacional y el
desarrollo de la certificacin de ITSM.
Hoy en da la aparicin de la norma ISO 20000 est causando un aumento considerable del inters
en aquellas organizaciones interesadas en implementar ITSM. Estudios revelan como dicho anhelo
crecer internacionalmente tomando como base la reconocida certificacin ISO 20000

Ventajas Norma ISO 20000

La norma ISO/IEC 20000 est formada por tres partes bajo el mismo ttulo Tecnologa de la
informacin. Gestin del servicio:

ISO 20000-1: Especificaciones

Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para
disear, implementar y mantener la gestin de servicios TI. Esta norma ISO 20000 plantea un
mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.

ISO 20000-2: Cdigo de buenas prcticas

Describe las mejoras prcticas adoptadas por la industria en relacin con los procesos de gestin
del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos
acordados, as como asumir un riesgo entendido y aceptable.

ISO 20000-3: Gua sobre la deficin del alcance y aplicabilidad de la norma ISO/IEC 20000-1

Proporciona orientacin sobre la definicin del alcance, aplicabilidad y la demostracin de la

conformidad con los proveedores de servicios orientados a satisfacer los requisitos de la norma
ISO 20000-1, as como los proveedores de servicios que estn planeando mejoras en el servicio
con la intencin de utilizar la norma como un objetivo de negocio.

Si desea obtener ms informacin sobre el desarrollo de nuevas partes que buscan una mejor
alineacin con ITSM y con otros estndares ISO, visite la seccin de la norma iso 20000.
Consultoria ISO 20000

La implantacin de la ISO 20000 le permitir gestionar de forma ptima sus servicios de TI, a
travs de la definicin y el establecimiento de los procesos que dicta la norma. La norma ISO
20000 contempla las mejores prcticas descritas en Gestin de servicios TI.
La consultoria ISO 20000 incluye:

Auditora inicial del cumplimiento con respecto a la norma

Anlisis de procesos aplicables

Estudio de recurosos necesarios / necesidades

Implantacin de procesos ISO 20000

Auditora interna ISO 20000

Formacin ISO 20000

Certificacin

C) Definicion de plan de seuridad informtica

En esta Unidad deberemos de realizar la elaboracion de un plan de

seguridad informtica basado en
los estndares internacionales estableciendo mecanismos de proteccin de la
informacin y metricas de evaluacin.
A) Analizar modelos y buenas practicas de seguridad que contemple los siguientes
conceptos:

ITIL: Creado a finales de la dcada de los 80's por central Computer and
Telecommunication Agency (CCTA) del reino unido. hoy regulado y patentado por el Ministerio
del Comercio (OGC) del reino unido y dos organizaciones certificadoras: ISEB y EXIN. Mejorado
por itSMF. Destinado originalmente al Sector Publico.
Desarrollo:
1981 IBM Yelow Books
1986 Inicia el desarrollo del ITIL
1989 Primeras publicaciones del ITIL
1991 fundacin del Grupo de Usuarios (itSMF) en Reino Unido
2000 Publicacin de ITIL Versin 2 (primera versin)
2005 Inicia el desarrollo de ITIL Versin 3
2007 Publicacin de ITIL V3 (segunda versin)
Esta metodologa es la aproximacin ms globalmente aceptada para la gestin de servicios de
Tecnologas de Informacin en todo el mundo, ya que es una recopilacin de las mejores
prcticas tanto del sector pblico como del sector privado. Estas mejores prcticas se dan en
base a toda la experiencia adquirida con el tiempo en determinada actividad, y son soportadas
bajo esquemas organizacionales complejos, pero a su vez bien definidos, y que se apoyan
en herramientas de evaluacin e implementacin. ITIL como metodologa propone el
establecimiento de estndares que nos ayuden en el control, operacin y administracin de
los recursos (ya sean propios o de los clientes). Plantea hacer una revisin y reestructuracin
de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es bajo o
que haya una forma ms eficiente de hacer las cosas), lo que nos lleva a una mejora
continua. Otra de las cosas que propone es que para cada actividad que se realice se debe de
hacer la documentacin pertinente, ya que esta puede ser de gran utilidad para otros
miembros del rea, adems de que quedan asentados todos los movimientos realizados,
permitiendo que toda la gente est al tanto de los cambios y no se tome a nadie por
sorpresa. En la documentacin se pone la fecha en la que se hace el cambio, una
breve descripcin de los cambios que se hicieron, quien fue la persona que hizo el cambio, as
como quien es el que autorizo el cambio, para que as se lleve todo un seguimiento de lo que
pasa en el entorno. Esto es ms que nada como mtodo con el que se puede establecer cierto
control en el sistema de cambios, y as siempre va a haber un responsable y se van a decir los
procedimientos y cambios efectuados
Forma de uso de ITIL en Managed Servicies.
ITIL postula que el servicio de soporte, la administracin y la operacin se realiza a travs de
cinco procesos:
1. Manejo de Incidentes: Su objetivo primordial es restablecer el servicio lo ms rpido
posible para evitar que el cliente se vea afectado, esto se hace con la finalidad de que se
minimicen los efectos de la operacin. Se dice que el proveedor de debe de encargar de que el
cliente no debe percibir todas aquellas pequeas o grandes fallas que llegue a presentar el
sistema. A este concepto se le llama disponibilidad (que el usuario pueda tener acceso al
servicio y que nunca se vea interrumpido). Para este proceso se tiene un diagrama que en cada
una de sus fases maneja cuatro pasos bsicos que son: propiedad, monitoreo, manejo de
secuencias y comunicacin.
2. Manejo de problemas: El Objetivo de este proceso es prevenir y reducir al mximo los
incidentes, y esto nos lleva a una reduccin en el nivel de incidencia. Por otro lado nos ayuda a
proporcionar soluciones rpidas y efectivas para asegurar el uso estructurado de recursos. En
este proceso lo que se busca es que se pueda tener pleno control del problema, esto se logra
dndole un seguimiento y un monitoreo al problema. El diagrama de este proceso es muy
particular, ya que se maneja en dos fases: la primera est relacionada con lo que es el control
del problema y la segunda es con el control del error.
3. Manejo de configuraciones: su objetivo es proveer con informacin real y actualizada de
lo que se tiene configurado e instalado en cada sistema del cliente. Este proceso es de los mas
complejos, ya que se mueve bajo cuatro vrtices que son: administracin de
cambios, administracin de liberaciones administracin de configuraciones y
la administracin de procesos diversos. El nivel de complejidad de este modelo es alto, ya que
influyen muchas variables y muchas de ellas son dinmicas, entonces al cambiar una o varias
de ellas se afecta el sistema en general. lo que hace que sea muy difcil de manipular. aunque
es lo mas parecido a la realidad, porque nuestro entorno es dinmico y las decisiones de uno
afectan a otros.
4. Manejo de cambios: El objetivo de este proceso es deducir los riesgos
tanto tcnicos, econmicos, y de tiempo al momento de la realizacin de los cambios.
5. Manejo de entregas: Su objetivo es planear y controlar exitosamente la instalacin del
software y hardware bajo tres ambientes: ambiente de desarrollo, ambiente de pruebas
controladas y ambiente real. En lo que respecta al ambiente de desarrollo vemos que se tiene
que hacer la liberacin de las polticas, la liberacin de la planeacin, el diseo lgico de
la infraestructura que se va a implementar y la adquisicin de software y hardware estn entre
los ambientes de desarrollo y de pruebas controladas; ya que se requiere que ambos hagan
pruebas sobre ellos; en el ambiente de pruebas controladas vemos que se hace
la construccin y liberacin de las configuraciones (nivel lgico), se hacen pruebas para
establecer los acuerdos de aceptacin; se da la aceptacin total de versiones y de modelos, se
arranca la planeacin y finalmente las pruebas y comunicaciones, y en lo que es el ambiente
real vemos que se da la distribucin e instalacin. en la etapa del ambiente real es la que se ve
de forma mas concreta, ya que muchas veces no tenemos idea de todo lo que pasa hasta
antes de la instalacin. En el proceso de entrega del servicio es el punto en el que el usuario
hace uno del servicio y no sabe que detrs de el servicio que esta recibiendo hay un sin fin de
actividades que estuvieron que tomar para llegar a este punto. Este proceso de entrega es en
el que mas cuidado debemos de poner, ya que en caso de haber fallas, el primero en
detectarlas o en percibirlos es el usuario, y eso nos genera que el cliente este insatisfecho o
molesto. Por lo general los usuarios no saben que para que puedan hacer uso de los servicios,
se paso por una fase de planeacin, monitoreo, anlisis y por un sin fin de pruebas, con
la intencin de que en caso de que algo no funcione, se de en la fase de pruebas controladas y
no en la fase de pruebas en ambiente real, donde el mayor afectado es el cliente.
Conclusiones: ITIL es una metodologa que nos va a ayudar a que las cosas se puedan hacer
de una forma ms eficiente, ya que lo que se propone es que se adopten ciertas mtricas y
procedimientos que otros proveedores de IT adoptaron y que gracias a ellas son catalogadas
como mejores prcticas. El hecho de adoptar mejores prcticas implica que no tengamos que
descubrir el hilo negro y que si alguien sabe cmo hacer las cosas y explotar los recursos nos
podemos apoyar en el para que nosotros tambin podamos hacerlo. E mayor objetivo es que
todos lleguemos a un nivel de eficiencia que se traduzca en una buena prestacin de servicios.
COBIT: (Control OBjectives for Information and related Technology | Objetivos de
Control para tecnologa de la informacin y relacionada) Es el modelo para el Gobierno de la TI
desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT
Governance Institute (ITGI). Tiene 34 objetivos nivel altos que cubren 215 objetivos de control
clasificados en cuatro dominios: El plan y Organiza, Adquiere y Pone en prctica, Entrega y
Apoya, y Supervisa y Evala. Enfatiza el cumplimiento normativo, ayuda a las organizaciones a
incrementar el valor de TI. Apoya el alineamiento con el negocio y simplifica la implantacin
del COBIT. Esta versin no invalida el trabajo efectuado con las versiones anteriores del COBIT,
sino que mejora el trabajo hecho. Representa los esfuerzos de literalmente cientos de
expertos de voluntario de en el mundo entero. . COBIT permite el desarrollo claro de poltica y
la prctica buena para el control de TI en todas partes de organizaciones. Independientemente
de la realidad tecnolgica de cada caso concreto, COBIT determina, con el respaldo de las
principales normas tcnicas internacionales, un conjunto de mejores prcticas para
la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el
negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir
el desempeo, el cumplimiento de metas y el nivel de madurez de los procesos de
la organizacin. Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas
generalmente aceptadas, indicadores, procesos y las mejores prcticas para ayudar a ellos en
el maximizar las ventajas sacadas por el empleo de tecnologa de informacin y desarrollo de
la gobernacin apropiada TI y el control en una empresa.
El paquete de programas de COBIT completo es un juego que consiste en seis publicaciones:
1. Resumen(Sumario) Ejecutivo
2. Marco
3. Objetivos de Control
4. Directrices de auditoria
5. Instrumento de puesta en prctica
6. Directrices de Direccin
Proporcionan una breve descripcin de cada uno de los susodichos componentes debajo.
Resumen (Sumario) Ejecutivo
Las decisiones de negocio estn basadas en la informacin oportuna, relevante y concisa.
Expresamente diseado para directores ejecutivos embutidos de tiempo y gerentes, el
Resumen (Sumario) COBIT Ejecutivo, consiste en una descripcin ejecutiva que proporciona
una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios.
Tambin incluido es un resumen del Marco, que proporciona un entendimiento ms detallado
de estos conceptos y principios, identificando los cuatro dominios del COBIT
(la Planificacin y la Organizacin, la Adquisicin y la Puesta en prctica, la Entrega y el Apoyo,
la Supervisin) y 34 procesos de TI.-
Marco: Una organizacin acertada es construida sobre un marco slido de datos e
informacin. El Marco explica como los procesos de TI entregan la informacin que el negocio
tiene que alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto
nivel, un para cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cul
de los siete criterios de la informacin (la eficacia, la eficacia, la confidencialidad, la integridad,
la disponibilidad, el cumplimiento y la fiabilidad), as como que recursos TI (la gente, usos,
tecnologa, instalaciones y datos) son importantes para los procesos de TI para totalmente
apoyar el objetivo de negocio.-
Objetivos de Control: La llave al mantenimiento de la rentabilidad en un ambiente que se
cambia tecnolgicamente es como bien usted mantiene el control. Los Objetivos de Control del
COBIT proveen la perspicacia (idea) crtica tuvo que delinear una prctica clara de poltica y
buena para mandos de TI. Incluido son las declaraciones de resultados deseados u objetivos
para ser alcanzados por poniendo en prctica los 215 objetivos de control especficos,
detallados en todas partes de los 34 procesos de TI.-
Directrices De auditora: Analice, evala, haga de intrprete, reaccione, el instrumento. Para
alcanzar sus objetivos deseados y objetivos usted y coherentemente constantemente debe
revisar sus procedimientos. Directrices de auditora perfilan y aconsejan actividades reales ser
realizadas correspondiente a cada uno de los 34 objetivos de control de TI de alto nivel,
justificando el riesgo de objetivos de control no siendo encontrados. Directrices de auditora
son un instrumento inestimable para interventores de sistemas de informacin en el
aseguramiento de direccin que provee y/o el consejo para la mejora.
Instrumento de puesta en prctica : Un Instrumento de Puesta en prctica , que contiene
la Conciencia de Direccin y el Diagnstico de Control de TI, y la Gua de Puesta en prctica,
FAQs, estudios de caso de organizaciones actualmente que usan COBIT, y las presentaciones
de diapositiva que pueden ser usadas introducir COBIT en organizaciones. El nuevo Juego de
Instrumento es diseado para facilitar la puesta en prctica de COBIT, relacionar lecciones
cultas de organizaciones que rpidamente y satisfactoriamente aplicado COBIT en sus
ambientes de trabajo, y la direccin de plomo(ventajosa) para preguntar sobre cada COBIT
tratan: Este dominio es importante para nuestros objetivos de negocio? Bien es realizado?
Quin lo hace y quien es responsable? Son formalizados los procesos y el control?
Directrices de Direccin: Para asegurar una empresa acertada, usted con eficacia debe
manejar la unin eficaz entre procesos de negocio y sistemas de informacin. Las nuevas
Directrices de Direccin son compuestas de Modelos de Madurez, ayudar determinar las etapas
y los niveles de expectativa de control y compararlos contra normas de industria; Factores
de xito Crticos, para identificar las acciones ms importantes para alcanzar control de los
procesos de TI; Indicadores de Objetivo Claves, para definir los niveles objetivo de
funcionamiento; e Indicadores de Funcionamiento Claves, para medir si un proceso de control
de TI encuentra su objetivo. Estas Directrices de Direccin ayudarn a contestar las preguntas
de preocupacin (inters) inmediata a todo los que tienen una estaca (un inters) en el xito
de la empresa.

ISM3: (Information Security Management Maturity Model, que se pronuncia ISM), es un

estandar de ISECOM para la gestin de la seguridad de la informacin. Est pensado para una
mejorar la integracin con otras metodologas y normas como COBIT, ITIL o CMMI. Ofrece
muchas ventajas para la creacin de sistemas de gestin de la seguridad de la
informacin. ISM3 pretende alcanzar un nivel de seguridad definido, tambin conocido como
riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de
la informacin, el garantizar la consecucin de objetivos de negocio. La visin tradicional de
que la seguridad de la informacin trata de la prevencin de ataques es incompleta. ISM3
relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una
organizacin con los objetivos de seguridad (como dar acceso a las bases de datos slo a los
usuarios autorizados). Algunas caractersticas significativas de ISM3 son:
Mtricas de Seguridad de la Informacin: "Lo que no se puede medir, no se puede
gestionar, y lo que no se puede gestionar, no se puede mejorar", ISM3 hace de la seguridad un
proceso medible mediante mtricas de gestin de procesos, siendo probablemente el primer
estndar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para
medir la eficacia y eficiencia de los sistemas de gestin de seguridad de la informacin.
Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes
mediante sus niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la
organizacin y a los recursos que estn disponibles.
Basado en Procesos: ISM3 est basado en procesos, lo que lo hace especialmente atractivo
para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de
gestin de TIC. El uso de ISM3 fomenta la colaboracin entre proveedores y usuarios de
seguridad de la informacin, dado que la externalizacin de procesos de seguridad se simplifica
gracias a mecanismos explcitos, como los ANS y la distribucin de responsabilidades.
Adopcin de las Mejores Prcticas: Una implementacin de ISM3 tiene ventajas como las
extensas referencias a estndares bien conocidos en cada proceso, as como la distribucin
explcita de responsabilidades entre los lderes, gestores y el personal tcnico usando el
concepto de gestin Estratgica, Tctica y Operativa.
Certificacin: Los sistemas de gestin basados en ISM3 pueden certificarse bajo ISO9001 o
ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en
ISO 27001. Esto tambin puede ser atractivo para organizaciones que ya estn certificadas en
ISO9001 y que tienen experiencia e infraestructura para ISO9001.
Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden
ver con mayor facilidad la Seguridad de la Informacin como una inversin y no como una
molestia, dado que es mucho ms sencillo medir su rentabilidad y comprender su utilidad.

B) Analiza los estndares internacionales de seguridad informtica de los siguientes

conceptos:

BS 17799: es un cdigo de prcticas o de orientacin o documento de referencia se

basa en las mejores prcticas de seguridad de la informacin, esto define un proceso para
evaluar, implementar, mantener y administrar la seguridad de la informacin. Caractersticas
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y
controles de 134 no se utiliza para la evaluacin y el registro de esta tarde fue rebautizado con
la norma ISO 27002OBJETIVO.
Objetivo: El objetivo es proporcionar una base comn para desarrollar normas de seguridad
dentro de las organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer
transacciones y relaciones de confianza entre las empresas.
SERIO ISO 27000: En fase de desarrollo; su fecha prevista de publicacin es el ao
2009. Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin
de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea gratuita,
a diferencia de las dems de la serie, que tienen-tendrn un coste.
SERIO ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la
serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su
origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores
externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habindose establecido unas
condiciones de transicin para aquellas empresas certificadas en esta ltima. En su Anexo A,
enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO
27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que
sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser
obligatoria la implementacin de todos los controles enumerados en dicho anexo, la
organizacin deber argumentar slidamente la no aplicabilidad de los controles no
implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa
como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.
SERIO ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO
17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad de la
informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en
11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001
contiene un anexo que resume los controles de ISO 27002:2005.
ISO 20000: fue publicada en diciembre de 2005 y es la primera norma en el mundo
especficamente dirigida a la gestin de los servicios de TI. La ISO 20000 fue desarrollada en
respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos
en los negocios provenientes de un colapso tcnico del sistema de TI de las organizaciones.
ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz
servicios de TI a las organizaciones y a sus clientes. La esperada publicacin de la ISO 20000 el
15 de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento
internacional y el desarrollo de la certificacin de ITSM. Hoy en da la aparicin de la norma ISO
20000 est causando un aumento considerable del inters en aquellas organizaciones
interesadas en implementar ITSM. Estudios revelan como dicho anhelo crecer
internacionalmente tomando como base la reconocida certificacin ISO 20000.
C) Definicin del plan de seguridad informtica:
Descripcin de los principales elementos de proteccin: Las principales
amenazas que se prevn en la seguridad fsica son:
a. Desastres naturales, incendios accidentales tormentas e inundaciones.
b. Amenazas ocasionadas por el hombre.
c. Disturbios, sabotajes internos y externos deliberados.
No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mxima
seguridad en un sistema informtico, adems de que la solucin sera extremadamente cara.
A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o
cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno.
A continuacin se analizan los peligros ms importantes que se corren en un centro de
procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y
oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de
riesgos.
a. Incendios.
b. Inundaciones: Se las define como la invasin de agua por exceso de escurrimientos
superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea
natural o artificial. Esta es una de las causas de mayores desastres en centros de cmputos.
Adems de las causas naturales de inundaciones, puede existir la posibilidad de una
inundacin provocada por la necesidad de apagar un incendio en un piso superior. Para evitar
este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable
para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el
agua que bajase por las escaleras.
c. Condiciones Climatolgicas
d. Seales de Radar: La influencia de las seales o rayos de radar sobre el funcionamiento de
una computadora ha sido exhaustivamente estudiada desde hace varios aos. Los resultados
de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir
en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el
equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible
desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera
apuntando directamente hacia dicha ventana.
e.Instalaciones Elctricas
f. Ergometra
Acciones Hostiles
Robo: Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la
misma forma que lo estn las piezas de stock e incluso el dinero. Es frecuente que los
operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras
organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o
confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en
programas y archivos de informacin, a los que dan menor proteccin que la que otorgan a una
mquina de escribir o una calculadora. El software, es una propiedad muy fcilmente sustrable
y las cintas y discos son fcilmente copiados sin dejar ningn rastro.
Fraude: Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones,
las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido
a que ninguna de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.),
tienen algo que ganar, sino que ms bien pierden en imagen, no se da ninguna publicidad a
este tipo de situaciones.
Sabotaje: El peligro ms temido en los centros de procesamiento de datos, es el sabotaje.
Empresas que han intentado implementar programas de seguridad de alto nivel, han
encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede
ser un empleado o un sujeto ajeno a la propia empresa. Fsicamente, los imanes son las
herramientas a las que se recurre, ya que con una ligera pasada la informacin desaparece,
aunque las cintas estn almacenadas en el interior de su funda de proteccin. Una habitacin
llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos
pueden ser destruidos sin entrar en ellos.
Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los conductos de
aire acondicionado. Las lneas de comunicaciones y elctricas pueden ser cortadas, etc.
Definicin de las metas de seguridad a alcanzar en un periodo de
tiempo establecido: La falta de polticas y procedimientos en seguridad es uno de
los problemas ms graves que confrontan las empresas hoy da en lo que se refiere a la
proteccin de sus activos de informacin frente a peligros externos e internos. Las polticas de
seguridad son esencialmente orientaciones e instrucciones que indican cmo manejar los
 asuntos de seguridad y forman la base de un plan maestro para la implantacin efectiva de
medidas de proteccin tales como: identificacin y control de acceso, respaldo de datos, planes
de contingencia y deteccin de intrusos. Si bien las polticas varan considerablemente segn el
tipo de organizacin de que se trate, en general incluyen declaraciones generales sobre metas,
objetivos, comportamiento y responsabilidades de los empleados en relacin a las violaciones
de seguridad. A menudo las polticas van acompaadas de normas, instrucciones y
procedimientos. Las polticas son obligatorias, mientras que las recomendaciones o directrices
son ms bien opcionales. De hecho, las declaraciones de polticas de seguridad pueden
transformarse fcilmente en recomendaciones reemplazando la palabra "debe" con la palabra
"debera". Por otro lado las polticas son de jerarqua superior a las normas, estndares y
procedimientos que tambin requieren ser acatados. Las polticas consisten de declaraciones
genricas, mientras las normas hacen referencia especfica a tecnologas, metodologas,
procedimientos de implementacin y otros aspectos en detalle. Adems las polticas deberan
durar durante muchos aos, mientras que las normas y procedimientos duran menos tiempo.
Las normas y procedimientos necesitan ser actualizadas ms a menudo que las polticas
porque hoy da cambian muy rpidamente las tecnologas informticas,
las estructuras organizativas, los procesos de negocios y los procedimientos. Por ejemplo, una
norma de seguridad de cifrado podra especificar el uso del estndar DES (Data Encryption
Standard). Esta norma probablemente deber ser revisada o reemplazada en los prximos
aos. Las polticas son distintas y de un nivel superior a los procedimientos, que son los pasos
operacionales especficos que deben llevarse a cabo para lograr una cierta meta. Como
ejemplo, hay procedimientos especficos para realizar copias de seguridad de la informacin
contenida en los discos duros de los servidores.
Una declaracin sobre polticas describe slo la forma general de manejar un problema
especfico, pero no debe ser demasiado detallada o extensa, en cuyo caso se convertira en
un procedimiento. Las polticas tambin son diferentes de las medidas de seguridad o de los
mecanismos de control. Un ejemplo de esto ltimo sera un sistema de cifrado para
las comunicaciones o para los datos confidenciales guardados en discos y cintas. En muchos
casos las polticas definen metas o objetivos generales que luego se alcanzan por medio de
medidas de seguridad. En general, las polticas definen las reas sobre las cuales debe
enfocarse la atencin en lo que concierne a la seguridad. Las polticas podran dictar que todo
el software desarrollado o adquirido se pruebe a fondo antes de utilizarse. Se necesitar tomar
en cuenta varios detalles sobre cmo aplicar esta poltica. Por ejemplo, la metodologa a usar
para probar el software. Un documento sobre polticas de seguridad contiene, entre muchos
aspectos: definicin de seguridad para los activos de informacin, responsabilidades, planes de
contingencia, gestin de contraseas, sistema de control de acceso, respaldo de datos, manejo
de virus e intrusos. Tambin puede incluir la forma de comprobar el cumplimiento y las
eventuales medidas disciplinarias.
Definicin de polticas de acceso fsico a equipos: Al crear perfiles se puedo
establecer las diferentes categoras de acceso deseadas por ejemplo a un "empleado de
mantenimiento" se le podr restringir las reas a las cuales tendr acceso con horarios
limitados, mientras que el perfil de usuario de un "ejecutivos administrativos" puede crearse
con mayores atributos. Esto les permite a los administradores del sistema que el empleado del
aseo no pueda acceder a la puerta de un rea restringida en otro horario que no sea el que se
le asigno en el sistema de control de acceso. Por nuestra experiencia en la implementacin de
nuestros sistemas de control garantizamos la perfecta instalacin de nuestros equipos en
cualquier tipo de puerta o portn de acceso, utilizando partes y accesorios de primera calidad
de fabricante lideres a nivel mundial. Nuestros sistemas estn desarrollado para utilizar los
dispositivos ms avanzados del mercado, por ejemplo las credenciales con las acceder a las
areas estn dotadas de un microchip inteligente en donde el o los administradores del
sistema podr almacenar la informacin necesaria o requerida para atribuir los accesos a cada
colaborador y esto se almacena directamente en la credencial (ver productos) y
adicionalmente lograr alcanzar un mayor nivel de seguridad, implementando
sistemas BIOMTRICOS (huella dactilar, palma de la mano, iris del ojo) dando acceso en forma
conjunta con la credencial inteligente(smartcard).
Control de Acceso Fsico: Esta solucin permite el control de los puntos estratgicos de una
compaa mediante equipos que verifican la identidad de las personas en el momento de
ingresar a las instalaciones. Este tipo de control maneja polticas totales o parciales de acceso,
mantiene. Control de tiempo de las personas que realizan transacciones. Mediante un manejo
avanzado credencializacin que permite controlar, limitar, monitorear y auditar el acceso fsico.
Este tipo de sistema es ideal para organizaciones que desea controlar una nica rea
restringida o mltiples puertas de acceso.
Definicin de polticas de acceso lgico a equipos: Todos trabajamos a diario con
la ayuda inestimable de los ordenadores y de la informtica. Por ello, cuando llegamos a
nuestro puesto de trabajo, lo primero que hacemos es encender el ordenador o el porttil que
nos han adjudicado, esperar a que el sistema arranque y continuar con aquel informe que
debemos terminar o escribir un correo electrnico a un cliente, en definitiva, comenzamos a
trabajar. Somos, por tanto, los llamados usuarios. Al acceder al sistema e introducir el
correspondiente nombre de usuario y contrasea, nos identificamos y autenticamos en el
sistema, y a continuacin accedemos a los documentos, ficheros, aplicaciones a los que
tenemos permiso de acceso, permisos que han sido implementados por otras personas, a las
que llamamos administradores. Pues bien, en este artculo lo que voy a tratar es de recordar
algunas de las normas habituales de seguridad respecto del acceso a los sistemas de
informacin, especialmente el acceso por medios electrnicos. Y todo ello con el objetivo de
acercarnos a la tan manida seguridad de los datos en una organizacin, es decir, aquel
conjunto de controles que tratan de mantener la confidencialidad, la integridad y la
disponibilidad de la informacin. Empezaremos por una definicin sencilla, qu es el acceso a
un sistema de informacin? El acceso al sistema en cualquier organizacin es la capacidad de
realizar una actividad con un recurso informtico, por ejemplo, la capacidad de leer, modificar
o eliminar un archivo, ejecutar un programa etc. Qu tipos de accesos hay? El acceso al
sistema, a los recursos de informacin, puede ser lgico o fsico. Los controles de acceso
(lgicos y fsicos) se disean para proteger contra la entrada o el acceso no autorizado. El
establecimiento de las reglas debe basarse en la premisa est prohibido todo lo que no est
permitido explcitamente. Comenzaremos por los controles de acceso lgico al sistema. Estos
proveen un medio tcnico para controlar qu informacin pueden utilizar los usuarios, qu
programas pueden ejecutar, y las modificaciones que pueden hacer. Los controles de acceso
lgico se pueden definir como las polticas, procedimientos y controles de acceso electrnico
diseados para restringir el acceso a los archivos de datos. Dichos controles pueden estar
incorporados en el sistema operativo, en los programas o aplicaciones, en las bases de datos,
los dispositivos de control de red etc. Los derechos de acceso, tambin llamados permisos o
privilegios, que son otorgados a los usuarios por el administrador, determinan las acciones que
pueden ejecutar, por ejemplo, leer, grabar, eliminar etc. en los archivos de los servidores. No
menos importantes son los controles de acceso fsico al sistema. Estos restringen la entrada y
salida del personal, y a menudo, los equipos y los medios, desde un rea, como por ejemplo,
un edificio, un centro de proceso de datos o una sala que contenga un servidor de la red de
rea local (LAN). Hay muchos tipos de controles de acceso fsico, que incluyen tarjetas
inteligentes, llaves, barreras etc. Ya sabemos que en todas las organizaciones deben existir
unos controles y unos derechos de acceso. Pero vamos al meollo de la cuestin, cmo deben
otorgarse estos derechos de acceso? Se deben establecer procedimientos formales para
controlar la asignacin de los derechos de acceso a los sistemas. El acceso fsico o lgico a la
informacin debe ser otorgado por escrito sobre la base de la necesidad de saber, y basado en
los principios de menor privilegio (slo se deben otorgar a los usuarios los accesos requeridos
para realizar sus tareas) (necesita saber, necesita hacer) y segregacin de tareas. El
propietario de la informacin o el gerente responsable (por ejemplo, el jefe del departamento)
debe ser la persona encargada entregar una autorizacin directamente al administrador de
seguridad, documentada por escrito (en soporte fsico o electrnico), para que los usuarios
tengan acceso a los recursos de informacin. Del prrafo anterior se desprenden una serie de
ideas bsicas. En primer lugar, los usuarios slo deben tener acceso autorizado a aquellos
datos y recursos que precisen para el desarrollo de sus funciones. En segundo lugar, el acceso
a los datos siempre debe ser autorizado por escrito. En tercer lugar, slo los propietarios de los
datos deben otorgar dichas autorizaciones. Y por ltimo, el propietario de los datos no
implementa directamente los derechos de acceso de los usuarios que dependen de l.
Efectivamente, las capacidades o derechos de acceso son implementadas por el administrador
de seguridad por medio del establecimiento de un conjunto de reglas de acceso que estipulan
cuales usuarios (o grupos de usuarios) estn autorizados para acceder a un recurso y con qu
nivel (por ejemplo, lectura, grabacin, borrado, ejecucin), es decir, quin puede tener acceso
a qu. Evidentemente, el tipo menos peligroso de acceso es el de lectura. El mecanismo de
control de acceso aplica estas reglas cada vez que un usuario trata de acceder o de usar un
recurso protegido. Es recomendable establecer perfiles estandarizados, segn las categoras
comunes de trabajos, para implementar reglas eficientes de acceso y que simplifiquen la
administracin de la seguridad. Asimismo, es recomendable que las polticas de control de
accesos sean coherentes con la clasificacin de la informacin, y por supuesto, con la Poltica
 de Seguridad de la Informacin de la organizacin, si es que existe. Por ltimo, indicar que las
autorizaciones de acceso deben ser evaluadas regularmente por el propietario de la
informacin para asegurar que sean an vlidas.
Definicin de polticas para la creacin de cuentas: Propsito: Dar a conocer las
polticas generales para el uso de las cuentas (usuario - contrasea) de acceso a los Sistemas
Web Institucionales.
Alcance: El alcance de estas polticas incluye a todo usuario de sistema Web que
tenga un rol, cuyas actividades sean de administracin del sistema, de gestin o
cualquier otro acceso que s est permitido.
Poltica General
El uso de la cuenta de usuario es responsabilidad de la persona a la que est asignada. La
cuenta es para uso personal e intransferible.
La cuenta de usuario se proteger mediante una contrasea. La contrasea asociada a la
cuenta de usuario, deber seguir los Criterios para la Construccin de Contraseas Seguras
descrito ms abajo.
Las cuentas de usuario (usuario y contrasea) son sensibles a maysculas y minsculas, es
decir que estas deben ser tecleadas como estn.
No compartir la cuenta de usuario con otras personas: compaeros de trabajo, amigos,
familiares, etc.
Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas polticas.
De ser necesaria la divulgacin de la cuenta de usuario y su contrasea asociada, deber
solicitarlo por escrito y dirigido al Administrador del Sistema.
Si se detecta o sospecha que las actividades de una cuenta de usuario puede comprometer la
integridad y seguridad de la informacin, el acceso a dicha cuenta ser suspendido
temporalmente y ser reactivada slo despus de haber tomado las medidas necesarias a
consideracin del Administrador del Sistema.
Tipos de Cuentas de Usuario
Para efectos de las presentes polticas, se definen dos tipos de cuentas de usuario:
1. Cuenta de Usuario de Sistema de Informacin: todas aquellas cuentas que sean
utilizadas por los usuarios para acceder a los diferentes sistemas de informacin. Estas cuentas
permiten el acceso para consulta, modificacin, actualizacin o eliminacin de informacin, y
se encuentran reguladas por los roles de usuario del Sistema.
2. Cuenta de Administracin de Sistema de Informacin: corresponde a la cuenta de
usuario que permite al administrador del Sistema realizar tareas especficas de usuario a nivel
directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema.
Todas las contraseas para acceso al Sistema Web con carcter administrativo debern ser
cambiadas al menos cada 6 meses.
Todas las contraseas para acceso al Sistema Web de nivel usuario debern ser cambiadas al
menos cada 12 meses.
Todas las contraseas debern ser tratadas con carcter confidencial.
Las contraseas de ninguna manera podrn ser transmitidas mediante servicios de mensajera
electrnica instantnea ni va telefnica.
Si es necesario el uso de mensajes de correo electrnico para la divulgacin de contraseas,
estas debern transmitirse de forma cifrada.
Se evitar mencionar y en la medida de lo posible, teclear contraseas en frente de otros.
Se evitar el revelar contraseas en cuestionarios, reportes o formas.
Se evitar el utilizar la misma contrasea para acceso a los sistemas operativos y/o a las bases
de datos u otras aplicaciones.
Se evitar el activar o hacer uso de la utilidad de ?Recordar Contrasea? o ?Recordar
Password? de las aplicaciones.
No se almacenarn las contraseas en libretas, agendas, post-it, hojas sueltas, etc. Si se
requiere el respaldo de las contraseas en medio impreso, el documento generado deber ser
nico y bajo resguardo.
No se almacenarn las contraseas sin encriptacin, en sistemas electrnicos personales
(asistentes electrnicos personales, memorias USB, telfonos celulares, agendas electrnicas,
etc.).
 Si alguna contrasea es detectada y catalogada como no segura, deber darse aviso al(los)
usuario(s) para efectuar un cambio inmediato en dicha contrasea.

3.-Definicin de polticas

-De acceso fsico a equipos

Unicmente personas autorizadas para dar mantenimiento preventivo y correctivo a los equipos de
cmputo, tendrn derecho a manipular dichos objetos, de lo contrario resivirn una sancin.

-De acceso lgico a equipos

Para acceder a la informacin resguardada en sta institucin, el usuario debe contar con caractersticas
especficas: tener un cargo de jefe, programador o administrador de datos, contar con un gaffete destinado
al rea de trabajo correspondiente, sin olvidar que est prohibido el acceso con USB o cualquier otra unidad
de almacenamiento y se identificar la huella digital.

-Para la creacin de cuentas de usuario

La persona autorizada para hacer cuentas de usurio nicamente ser el jefe junto con los supervisores de
rea.

Para ser acreedor de una cuenta de usuario debe tener el cargo de administrador y contar con 1 ao de
antigedad dentro de la institucin, demostrando que su desempeo es competente y de gran confianza
para el resguardo de la informacin almacenada.

-Para el manejo de bitcoras

Es necesario que los supervisores de cada rea vayan realizando una bitcora de acuerdo al desempeo de
trabajo diario de sus empleados contando con los siguientes requerimientos para asi llevar un buen control
de las actividades diarias:

-De proteccin de red (firewall)

Se crear un firewall el cual est diseado para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el
trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.

-Para la administracin de software de seguridad

Slo el rea de redes y telecomunicaciones o el de ingeniera de sotware podrn manipular la seguridad en

cualquiera de los software instalados dentros de los equipos de cmputo de la empresa.

-Para la gestin de actualizaciones de control de cambios

Los administradores de la informacin sern los nicos autorizados para hacer actualizaciones en cuanto a
los cambios del sistema e informacin, llevando as un buen control.

-De almacenamiento

Lo dispositivos a utilizar para almacenar la informacion seran discos duros, CD, DVD, discos duros externos,
micro SD, USB, entre otros.
-Para archivos compartidos

Los archivos a compartir sern las bitcoras, planeaciones y documentos de trabajo pero nicamente entre
las reas relacionadas a la administracin de la informacin.

-De respaldo

Se llevar un control en cuanto a la informacion. Para esto se respaldar toda la informacin que maneja la
empresa mediante copias de seguridad.

Cada rea deber realizar un respaldo en cuanto a su informacin.

Habr un slo encargado que almacenar todas las copias de seguridad realizadas.