UNIVERSIDAD TECNOLÓGICA DE HERMOSILLO

Seguridad En la Información
Materia

Investigación de Estándares de Seguridad

Actividad

Martínez Ruiz Joaquín Oswaldo

Grijalva Fernández Genoveva
Alumnos

Iván Meza
Profesor

14 noviembre del 2018

Fecha
 INTRODUCCIÓN

El desarrollo de la siguiente actividad es Investigar de estándares de seguridad. Se

abordan diferentes estándares con sus conceptos reducidos para su comprensión.
Cada termino esta desglosado con las especificaciones requeridas en la actividad. la
finalidad de esta actividad es la introducción al tema en general de seguridad en la
información y por lo tanto sentar base para su desarrollo.
 ISO 27001

ISO/IEC 27001 es un estándar para la seguridad de la información (Information

technology - Security techniques - Information security management systems -
Requirements) aprobado y publicado como estándar internacional en octubre de 2005
por International Organization for Standardization y por la comisión International
Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar

un sistema de gestión de la seguridad de la información (SGSI) según el conocido
como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC
27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS
7799-2:2002, desarrollada por la entidad de normalización británica, la British
Standards Institution (BSI).

ISO 27001 es una norma internacional que permite el aseguramiento, la

confidencialidad e integridad de los datos y de la información, así como de los
sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la
Información permite a las organizaciones la evaluación del riesgo y la aplicación de
los controles necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora
la competitividad y la imagen de una organización.

ISO/IEC 27002
(anteriormente denominada ISO 17799) es un estándar para la seguridad de la
información publicado por la Organización Internacional de Normalización y la
Comisión Electrotécnica Internacional. La versión más reciente es la ISO/IEC
27002:2013.
ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión
de la seguridad de la información a todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestión de la seguridad de la información. La
seguridad de la información se define en el estándar como "la preservación de la
confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a
la información), integridad (asegurando que la información y sus métodos de proceso
son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados
tienen acceso a la información y a sus activos asociados cuando lo requieran)".
 COBIT
Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés:
Control Objectives for Information and related Technology) es una guía de mejores
prácticas presentada como framework, dirigida al control y supervisión de tecnología
de la información (TI). Mantenida por ISACA (en inglés: Information Systems Audit
and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie
de recursos que pueden servir de modelo de referencia para la gestión de TI,
incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de
auditoría, herramientas para su implementación y principalmente, una guía de
técnicas de gestión.
NIST
El Instituto Nacional de Patrones y Tecnología (NIST por sus siglas en inglés, National
Institute of Standards and Technology), llamada entre 1901 y 1988 Oficina Nacional
de Normas (NBS por sus siglas del inglés National Bureau of Standards), es una
agencia de la Administración de Tecnología del Departamento de Comercio de los
Estados Unidos. La misión de este instituto es promover la innovación y la
competencia industrial en Estados Unidos mediante avances en metrología, normas
y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.

Como parte de esta misión, los científicos e ingenieros del NIST continuamente
refinan la ciencia de la medición (metrología) creando una ingeniería precisa y una
manufacturación requerida para la mayoría de los avances tecnológicos actuales.
También están directamente involucrados en el desarrollo y pruebas de normas
hechos por el sector privado y agencias de gobierno. El NIST fue originalmente
llamado Oficina Nacional de Normas (NBS por sus siglas en inglés), un nombre que
tuvo desde 1901 hasta 1988. El progreso e innovación tecnológica de Estados Unidos
dependen de las habilidades del NIST, especialmente si hablamos de cuatro áreas:
biotecnología, nanotecnología, tecnologías de la información y fabricación avanzada.

SysTrust
El servicio SysTrust es un servicio de garantía de que fue desarrollado conjuntamente
por el Instituto Americano de Contadores Públicos Certificados (AICPA) y el Canadian
Institute of Chartered Accountants (CICA). Está diseñado para aumentar la
comodidad de la gestión, los clientes y socios de negocios con sistemas que soportan
una actividad profesional o particular. En un trabajo de SysTrust, los evalúa y
comprueba si un determinado sistema o no practicante es fiable si se compara con
los tres principios esenciales: la disponibilidad, la seguridad y la integridad. SysTrust
se basa en el marco común de los Principios de Servicios Fiduciarios y Criterios.

WebTrust
WebTrust es el sello de confianza, calidad y seguridad que se concede a la “página
Web” de la empresa que, previamente ha obtenido un Informe Favorable de Auditoría
Independiente, por una Firma de Auditoría Habilitada para la Prestación de Servicios
WebTrust al cumplir, durante un cierto periodo de tiempo, los Criterios y Principios
WebTrust, establecidos por las entidades promotoras y licenciatarias del sello;
Instituto Americano de Auditores Públicos de Cuentas (AICPA), Instituto Canadiense
de Auditores de Cuentas (CICA), e Instituto de Auditores Censores Jurados de
Cuentas de España (IACJCE).
Desde el año 1997, se han desarrollado y mejorado ( tres versiones) los Principios y
Criterios que debe cumplir un “sitio Web” para que obtenga el sello, a la vez que se
han ido otorgando licencias a los colectivos más representativos de Auditores en los
principales países de todo el mundo, que han iniciado el proceso de desarrollo de la
nueva actividad para los auditores de dichos países, de forma que WebTrust se ha
convertido en el método mas efectivo de transmitir confianza para los usuarios de
Internet.
 FUENTES

http://es.wikipedia.org/wiki/ISO/IEC_27001
http://es.kioskea.net/contents/600-iso-17799
http://en.wikipedia.org/wiki/COBIT
http://en.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology
http://sas70.com/FAQRetrieve.aspx?ID=33287
http://webtrust.es/webtrust/

1. «The Ghost in the Browser». Niels Provos et al. mayo de 2007.

2. Volver arriba↑ «All Your iFrames Point to Us». Niels Provos et al. febrero de 2008.
3. Volver arriba↑ «Improving Web Application Security: Threats and Countermeasures». Microsoft
Corporation. junio de 2003.
4. Volver arriba↑ «Microsoft fortifies IE8 against new XSS exploits». Dan Goodin, The Register.
febrero de 2009.
5. Volver arriba↑ «Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and
XSS Attacks». Fonseca, J.; Vieira, M.; Madeira, H., Dependable Computing, IEEE. diciembre de
2007.
6. Volver arriba↑ «CWE/SANS Top 25 Most Dangerous Programming Errors». CWE/SANS. mayo de
2009.
7. Volver arriba↑ «2012 Global Losses From Phishing Estimated At $1.5 Bn». FirstPost. 20 de
febrero de 2013. Consultado el 21 de diciembre de 2014.
8. Volver arriba↑ «2012 Trends Report: Application Security Risks». Cenzic, Inc. 11 de marzo de
2012. Consultado el 9 de julio de 2012.
9. Volver arriba↑ «The Web Hacking Incidents Database». WASC. enero de 2010.
10. Volver arriba↑ «Web Application Vulnerability Scanners». NIST.
11. Volver arriba↑ «Source Code Security Analyzers». NIST.
12. Volver arriba↑ «Fuzzing». OWASP.
13. Volver arriba↑ «Web application firewalls for security and regulatory compliance». Secure
Computing Magazine. febrero de 2008.