Documentos de Académico
Documentos de Profesional
Documentos de Cultura
información
Vergara Ávila Moises Eduardo
Universidad Popular del Cesar
Valledupar, Colombia
mevergara@unicesar.edu.co
Abstract— This document has as its main theme the standards, II. ¿QUÉ ES UN ESTANDAR?
beyond the information security standards, a brief definition of
Son un grupo de normas que desarrollo la SGSI y la IEC para
what is the same standard, the difference between the standards
and the standards. Focus on computer security and the different establecer una base o estructura de gestión de la seguridad
models and certifications. informática, con el fin de que las empresas de cualquier tipo las
implementen, asi proteger la información vital de cada entidad.
Keywords— ISO, Standard, ISMS, Security.
III. DIFERENCIAS ENTRE UN MODELO Y ESTÁNDAR
I. INTRODUCCIÓN
Modelo: es un sistema diseñado espacial mente para satisfacer
La información, ha sido vital a lo largo de la historia, y con el y cubrir puntos críticos en la seguridad.
paso del se ha vuelto más y más importante, en especial cuando
se habla de información importante para una organización ya Estándar: son los conocimientos o acciones mínimas que se
que ayuda a la toma de decisiones a evitar que se comentan deben tener en cuenta para proteger información y evitar las
errores incluso para eliminar empresas rivales, por este motivo infiltraciones.
cada vez las organizaciones buscan formas de mantener segura
ese valioso activo ya que con el paso del tiempo aumenta el IV. MODELO VENTAJAS Y DESVENTAJAS
número de personas que buscan debilidades en la seguridad de Ventajas: al ser un diseño su implementación es mucho más
una empresa por cual pueda tener acceso a información valiosa segura y estable, lo que ofrece mayor seguridad. Su diseño es
que puede ser usada para destruir dicha empresa. único.
Teniendo en cuenta lo anterior, existe algo llamado estándares Desventajas: mayores costos, esfuerzos de implementación,
las cuales son normar comúnmente aceptadas que permite la formación, planificación requieren tiempo y recursos.
colaboración entre distintas empresas e instituciones, pero eso
no significa que no pueda ver competencia entre ella, antes por V. ESTANDAR VENTAJAS Y DESVENTAJAS
el contrario ayuda a que dicho competencia se haga de forma Ventaja: permite entender y crear un plan de gestión de normas
limpia y en equidad, los estándares establecidos entre las en la seguridad de información, para establecer una mayor
diversas organizaciones no solo beneficia a ellas como tal si confianza con las partes interesadas de que su información está
también a sus clientes ya que al estar normalizadas los clientes segura. permite instaurar una estructura o marco idónea para la
tienen múltiples opciones. gestión de la seguridad informática. ahorra costos.
Volviendo al tema de la información y su gran importancia para Desventajas: tiene puntos vulnerables que pueden suponer un
problema de seguridad lo que es menos confiable que uno es aplicable a todos los tipos y tamaños de organizaciones (por
modelado. ejemplo, empresas comerciales, agencias gubernamentales,
VI. ISO 17799 organizaciones sin fines de lucro) [2].
ISO / IEC 17799: 2005 establece pautas y principios generales
para iniciar, implementar, mantener y mejorar la gestión de la Para aquellos no tienen claro lo que es un SGSI es el acrónimo
seguridad de la información en una organización. Los objetivos para Sistema de Gestión de los Sistemas de información, que en
descritos proporcionan orientación general sobre los objetivos ingles se conoce como ISMS (information security
comúnmente aceptados de la gestión de la seguridad de la management system) que son un conjunto de reglas para la
información [1]. gestión de la información.
la certificación en la ISO 27002 tiene muchos beneficios como La ISO 27005 respalda los conceptos generales especificados
lo son, un enfoque directo en la política de los controles, además en ISO / IEC 27001 y está diseñado para ayudar a la
de minimizar los riesgos de la no implementación de un sistema implementación satisfactoria de la seguridad de la información
de gestión de la información, aumentando los conocimientos basada en un enfoque de gestión de riesgos [7].
sobre la seguridad de la información, también permite
prevención antes las posibles amenazas en contra de los activos La ISO 27005 está pensada para su aplicación en cualquiera
y a la reducción de costos al evitar intentos de violentar la organización como empresas comerciales, del gobierno o sin
información de la organización. ánimo de lucro siempre y cuando su objetivo se a la gestión de
los riesgos que se le puedan presentar a su compañía.
Está diseñado para ser utilizado por organizaciones que
pretenden [4]: El conocimiento de los conceptos, modelos, procesos y
terminologías descritos en ISO / IEC 27001 e ISO / IEC 27002
seleccionar controles dentro del proceso de es importante para una comprensión completa de este
implementación de un Sistema de Gestión de documento [7].
Seguridad de la Información basado en ISO / IEC
27001; XI. ITIL
implementar controles de seguridad de la ITIL es un marco de referencia internacional para la gestión de
información comúnmente aceptados; los servicios de la tecnología de la información. “esta
Desarrollar sus propias pautas de gestión de metodología fue desarrollada a finales de 1980, y corresponde
seguridad de la información. a la expresión biblioteca de infraestructura de tecnologías de la
información(ITIL) y se ha convertido en un estándar mundial
X. ISO 27003 A LA ISO 27005 de fato en la gestión de servicios informáticos” [8].
la ISO 27003 son el conjunto de instrucciones para la labor de
la implementación de un SGSI, la cual brinda apoyo a la ISO por esto que una gran variedad de organizaciones alrededor del
27001, cabe aclarar que la ISO 27003 no tiene certificado mundo escoge la implementación de este modelo debido a su
debido a que solo sirve de refuerzo a la ISO 27001. excelente praxis para presentación de los servicios
tecnológicos, esto ha causado que cada vez más empresas opten
ISO / IEC 27003: 2010 se enfoca en los aspectos críticos por contratar personas certificados en esta metodología.
necesarios para el diseño e implementación exitosos de un
Sistema de Gestión de Seguridad de la Información (SGSI) de Cualquier persona puede obtener varias de las
acuerdo con ISO / IEC 27001: 2005. Describe el proceso de certificaciones oficiales de ITIL dichas certificaciones son
especificación y diseño del SGSI desde el inicio hasta la otorgadas por la ITIL Certification management board (ICMB)
producción de los planes de implementación. Describe el estas certificaciones son evaluadas por los institutos EXIN e
proceso para obtener la aprobación de la gerencia para ISEB.
implementar un SGSI, define un proyecto para implementar un
SGSI (referido en ISO / IEC 27003: 2010 como el proyecto existe tres niveles de certificación ITIL para profesionales:
SGSI) y proporciona orientación sobre cómo planificar el
proyecto SGSI, lo que resulta en una Plan final de 1. Foundation Certificate(certificado básico): es el
implementación del proyecto ISMS [5]. primer nivel de certificación el cual tiene al
comprender la terminología propia de ITIL junto
la ISO 27004 es la estructura para gestionar la seguridad de la con su conocimiento fundamental
información de una empresa, brindando tips de técnicas para el
análisis de riesgo que al que se expone los activos de una 2. Practitioner's Certificate(certificado de
organización como lo es la información. responsable): para las personas que llevan a cargo
el diseño de los procesos de gestión del sector de
ISO / IEC 27004: 2016 proporciona pautas destinadas a ayudar tecnologías de la información.
a las organizaciones a evaluar el desempeño de seguridad de la
información y la efectividad de un sistema de administración de
seguridad de la información para cumplir con los requisitos de 3. Manager's Certificate (Certificado de Director):
ISO / IEC 27001: 2013 [6]. este certificado es el nivel más rango de los tres
mencionados y certifica que tiene un alto grado de
la 27005 al igual que la ISO 27003 brinda soporte a la ISO conocimiento en la administración del
27001, tratando la administración de los riesgos en la seguridad departamento de información además puede liderar
la implantación de dicha metodología en una cuenta con el respaldo de la Asociación de Control y Auditoría
organización. de Sistemas de Información (ISACA) y, para poder obtener
dicha certificación, hay que cumplir una serie de requisitos
impuestos por este organismo [11].
XII. COBIT
Cobit (Objetivo de Control para la Tecnología de la La Certified Information Systems Auditor se creó en el año
Información y Tecnología Relacionada) es un marco de 1978 y fueron muchos los motivos que se establecieron para
referencia que describe las mejores prácticas que pueden que finalmente la CISA comenzara a funcionar. Hay que
utilizar las compañías para controlar la información mediante la destacar que esta certificación era necesaria para poder contar
con una herramienta que motivara a los auditores de este tipo
Tecnología de Información (Ti) y los riesgos que conllevan [9].
de sistemas. Así, podrían mantener sus habilidades y demostrar
que los programas de mantenimiento pueden ser efectivos. Así
Es un modelo de evaluación y análisis que se le hace a una
mismo, la CISA fue creada para poder desarrollar una
información y un seguimiento, para tener un balance entre los herramienta que se utilice como método de evaluación para
beneficios y la utilización de sus activos, manteniendo los aquellos profesionales que se dediquen a realizar auditorías de
niveles de riesgo bajos, Cobit es utilizado por organizaciones los sistemas de información. Y, por último, esta certificación
que tienen como base fundamental los procesos de negocios y existe con la intención de poder suministrar ayuda y criterios de
la tecnología. gestión para seleccionar a los desarrolladores y al personal en
general [11].
a continuación, se presentan Los 5 pilares de la última versión
de cobit la cual es CobiT 5: Las personas que quieran acceder a la CISA tienen que superar
un examen que se basa en el Código Profesional de Ética de
1. complacer las necesidades de los accionistas. ISACA. Los principales requisitos para poder presentarse son
que el candidato cuente con más de 5 años de experiencia, tanto
2. consideración de la organización en todos los ámbitos. en control de seguridad informática como interno, así como en
la elaboración de auditorías. También hay que contar con un
3. Aplicar un único modelo de referencia integrado. programa formativo de manera continuada. Si no se cumplen
estos requisitos, ISACA establece algunas equivalencias que
4. considerar un enfoque holístico. pueden servir para realizar el examen [11].
OSSTMM se divide en general en seis secciones donde nos dicho certificado tiene la aprobación de ni más ni menos el
Departamento de Defensa de los Estados Unidos debido a su
permite identificar las diferentes vulnerabilidades:
alta calidad, con el objetivo de mantener su estatus de CISSP
aquellas personas certificadas tienen que presentar un examen
seguridad en los procesos. para demostrar que siguen activos en el campo de la seguridad
seguridad en las tecnologías de internet. de la información, y deben obtener un puntaje mínimo
seguridad en la comunicación. establecido, de lo contrario tendrán que repetir el examen para
seguridad inalámbrica. no perder su certificación.
seguridad física.
XVII. CERTIFICACIÓN COMPTIA SECURITY
XIV. CERTIFICADO CISA certificado de la organización CompTia, la cual es una
Las siglas CISA corresponden a Certified Information Systems proveedora de certificados neutral, por su transparencia tiene
Auditor, o lo que es lo mismo, se trata de una certificación para una gran reputación en cuanto a la aplicación de sus exámenes
auditores que tiene reconocimiento a nivel mundial. La CISA
de forma más compleja que permite aprobar a los altamente https://www.iso.org/standard/42105.html. [Último
calificados. acceso: 12 mayo 2019].
[6] «International Organization for Standardization,» ISO,
El programa de certificación de Comptia es usadas por distintas diciembre 2016. [En línea]. Available:
organizaciones líderes mundiales de la talla de Amazon, Apple, https://www.iso.org/standard/64120.html. [Último
Canon, Dell, IBM, Intel, Lenovo entre otras, todo esto por la acceso: 12 mayo 2019].
alta fiabilidad de sus pruebas.
[7] «International Organization for Standardization,» ISO,
XVIII. CERTIFICACION CGIT julio 2018. [En línea]. Available:
https://www.iso.org/standard/75281.html. [Último
Es un certificado para administradores de tecnología, está acceso: 12 mayo 2019].
orientada al reconocimiento de una extensa categoría de
[8] F. J. Toro Lopez, ADMINISTRACION DE
profesionales, por sus habilidades y puesta en prácticas de
PROYECTOS DE INFORMATICA, Bogota: Ecoe
gobierno de TI, esta dirigidos para profesionales encargados de
Ediciones, 2013.
administrar y asesorar temas relacionados con el gobierno de
TI. [9] O. Fonseca Luna, Sistemas de Control Interno Para
Organizaciones, Lima - Peru: Instituto de Investigacion
XIX. CONCLUSIONES en Accountability y Control - IICO, 2011.
Los estándares enfocados en la seguridad de la información son [10] F. D. Gallo, Seguridad Informatica, España: COOMA,
gran aportes a pequeñas y grandes empresas, ya ayuda a 2011.
mantener hilo de conocimiento en las cuales los profesionales [11] E. d. Expertos, «Univerisdad Internaciona de Valencia,»
pueden seguir, así poder desempeñar su labor en cualquier VIU, 19 septiembre 2018. [En línea]. Available:
organización. Claro está que siga las normas antes https://www.universidadviu.com/que-es-la-certificacion-
mencionadas. cisa/. [Último acceso: 15 mayo 2019].
XX. REFERENCIAS