TAREA 2 - IDENTIFICACIÓN DE ESTÁNDARES DE SEGURIDAD

INFORMÁTICA

ANTONIO AMAYA
EDWIN ANDRES JIMENEZ
YESENIA ALEXANDRA PERALTA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
MODELOS Y ESTÁNDARES EN SEGURIDAD INFORMÁTICA
BOGOTÁ D.C.
Mayo 2020
 CONTENIDO
Pág.
1. INTRODUCCIÓN ........................................................................................................ 4

2. OBJETIVOS ............................................................................................................... 5

2.1 OBJETIVO GENERAL ............................................................................................. 5

2.2 OBJETIVOS ESPECÍFICOS .................................................................................... 5
3. PLANTEAMIENTO DEL TRABAJO A DESARROLLAR .............................................. 6

4. ESTANDARES DE SEGURIDAD ............................................................................... 7

5. HISTORIA Y ASOCIACIÓN ........................................................................................ 8

5.1 ITIL ........................................................................................................................... 8

5.2 ISACA ...................................................................................................................... 9
5.3 COBIT ...................................................................................................................... 9
5.4 PCI ......................................................................................................................... 10
5.5 ISO 27001:2013 ..................................................................................................... 11
6. ESTRUCTURA ......................................................................................................... 12

6.1 ITIL ......................................................................................................................... 12

6.2 ISACA .................................................................................................................... 13
6.3 COBIT .................................................................................................................... 13
6.4 PCI ......................................................................................................................... 17
6.5 ISO 27001:2013 ..................................................................................................... 17
7. REQUERIMIENTOS DE CERTIFICACIÓN ............................................................... 19

7.1 ITIL ......................................................................................................................... 19

7.2 ISACA .................................................................................................................... 20
7.3 COBIT .................................................................................................................... 20
7.4 PCI ......................................................................................................................... 21
7.5 ISO 27001:2013 .................................................................................................... 22
8. VALORES DE CERTIFICACIÓN E IMPLEMENTACIÓN EN COLOMBIA ................. 23

8.1 ITIL ......................................................................................................................... 23

8.2 ISACA .................................................................................................................... 23
8.3 COBIT .................................................................................................................... 24

2
 8.4 PCI ......................................................................................................................... 25
8.5 ISO 27001:2013 ..................................................................................................... 26
9. ESTADÍSTICAS DE IMPLEMENTACIÓN EN A NIVEL INTERNACIONAL Y
COLOMBIA...................................................................................................................... 28

9.1 ITIL ......................................................................................................................... 28

9.2 ISACA .................................................................................................................... 28
9.3 COBIT .................................................................................................................... 29
9.4 PCI ......................................................................................................................... 30
9.5 ISO 27001:2013 ..................................................................................................... 30
10. BIBLIOGRAFÍA ..................................................................................................... 33

3
 1. INTRODUCCIÓN

En la actualidad nos encontramos en un entorno con cambios en el paradigma

conocido, donde nos enfrentamos a diferentes retos a nivel personal, familiar y
profesional. Frente a la pandemia que nos afecta se evidencio la importancia que
tiene los diferentes estándares de seguridad ahora que enfoques como el
teletrabajo ya no son estigmatizados por las empresas.

El aumento de actividades a realizar para las personas que trabajamos en el área

de tecnología, nos enfrenta a mejorar los estándares que aplicamos en la
empresa.

Durante el desarrollo de la actividad se verifica a través del análisis de cada

modelo seleccionado, su historia, características, estructura, certificación y
estadísticas a nivel nacional e internacional.
 2. OBJETIVOS

2.1 OBJETIVO GENERAL

Mediante el análisis de los estándares de seguridad seleccionados, se profundiza

en cada uno de los aspectos que los rigen y técnicas que los caracterizan desde
sus inicios.

2.2 OBJETIVOS ESPECÍFICOS

 Investigar mediante el uso de fuentes confiables, los orígenes cada

estándar de seguridad como marco de referencia a su uso actual.
 Conocer la estructura de cada estándar de seguridad, con sus
características principales, entes que los certifican y tiempos de aplicación
acorde al tamaño de la empresa.
 Mediante la investigación y aplicación de estadísticas avanzadas se quiere
conocer la penetración de cada estándar en Colombia y como se encuentra
a nivel mundial.

5
 3. PLANTEAMIENTO DEL TRABAJO A DESARROLLAR

Se identificaron cinco estándares de seguridad y se realizó una profunda

investigación sobre cada uno de ellos con los siguientes temas:

• Historia y Asociación que la apoya o patrocina: Indicar la

historia y evolución junto con la asociación que la apoya o
patrocina.
• Estructura: Indicar la estructura del estándar en la cual se
evidencie sus dominios, controles objetivos etc.

• Requerimientos de certificación: Indicar cuales son los

requerimientos de certificación o aceptación del estándar
definido.
• Valores de certificación e implementación en Colombia:
Informar al detalle los valores de certificación e implementación
en Colombia. Se deben indicar el personal requerido, tiempos, y
valores adicionales.
• Estadísticas de implementación en a nivel internacional y
Colombia: Indicar las estadísticas de implementación de los
estándares seleccionados a nivel internacional y en Colombia.

6
 4. ESTANDARES DE SEGURIDAD

Un estándar de seguridad o ciberseguridad, es un compendio de técnicas

utilizadas en las industrias a nivel internacional, basadas en publicaciones las
cuales enfocamos para generar diferentes acciones, metodologías y procesos, con
la finalidad de poder realizar las mejores prácticas para regular y proteger la
infraestructura y la información de una empresa.
A continuación se nombraran cinco estándares utilizados a nivel internacional, que
han sido probados en diferentes industrias con un nivel de aprobación alto y que
podemos encontrar en nuestro entorno laboral.

ITIL: Conocido como la biblioteca de tecnologías de información, es un compendio

técnicas aplicables para generar buenas prácticas en la gestión de servicios en el
área de tecnología, desarrollo, operaciones de la información y áreas relacionadas
con TI.

ISACA: Asociación de Auditoria y control de sistema de información, se enfoca en

el patrocinar diferentes metodologías y certificación, para poder realizar todo tipo
de auditorías y control en los sistemas de información.

COBIT: Es básicamente un conjunto de mejores prácticas respecto a los Sistemas

de Información de las organizaciones que garantizan la información para directivos
y auditores con el propósito de dar guías a alto nivel sobre el comportamiento del
negocio mediante el uso de indicadores basados en el uso de controles internos
que compilan y organizan la información desde su origen hasta la disposición final
de esta.

PCI: Es un Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago

(Payment Card Industry Data Security Standard), la cual está diseñada como una
guía que oriente a las entidades que procesan, almacenan y/o transmiten datos de

7
tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar
los fraudes que involucran tarjetas de pago débito y crédito.

ISO 27001:2013: Es uno de los más utilizados en Colombia en la actualidad,

enfocándose en la integridad de los sistemas y los datos que contiene. Refuerza la
seguridad de la información mediante la aplicación de controles que reducen la
posibilidad de fraude, perdida y divulgación de información.

5. HISTORIA Y ASOCIACIÓN

5.1 ITIL

Este estándar tiene sus inicios durante los años 1980, donde fue concebido en
torno a una vista basada en el modelo del control y gestión de las operaciones, fue
diseñada para mejorar los servicios de TI del sector público para el Reino Unido;
pero gracias a su eficiencia cada vez más está siendo mundialmente
implementado por el sector privado. En su primera versión constaba de diez libros
centrales y tenía treinta libros complementarios, los cuales fueron desarrollados
por CCTA (Central computer and telecommunications Agency). En 1990 fue
adoptada por empresas y agencias gubernamentales en Europa teniendo gran
acogida, lo cual impulso la versión 2, que fue lanzada en el 2000 donde se
integraron diferentes temas entre ellos la administración de seguridad. En su
edición del 2011 bajo el nombre de ITIL V3. En esta versión se concentra en el
ciclo de vida un sistema de red, en esta edición se divide en seis libros.
En su última versión de ITIL publicada en 2019, conocida como ITIL V4, el
propietario actual es AXELOS es responsable de numerosas metodologías de
mejores prácticas utilizadas a nivel mundial por profesionales de la industria en
gestión de servicios, proyectos y programas.

8
AXELOS es una iniciativa conjunta, creada en 2013 por la Oficina del Gabinete del
Gobierno Británico y la empresa privada Capita PLC, con el objetivo de
administrar, desarrollar y hacer crecer el portafolio global de Mejores Prácticas.

5.2 ISACA

Fundada en el año 1967 por unos auditores que trabajaban en controles de

auditoria en sistemas informáticos, fue cuando identificaron la necesidad de una
fuente centralizada de información y orientación en el campo. En 1969 Stuart
Tyrnauer empleado de Douglas Aircraft Company, incorporo al grupo como EDP,
quien fue el presidente fundador durante los primeros tres años.
En 1976 la asociación formo una base educativa para la investigación a gran
escala y así expandir el conocimiento, el nombre ahora sería ISACA quien
estableció la primera certificación profesional de auditoría de sistemas de
información, o CISA, para ampliar la gama de profesionales de gobierno de TI.
La asociación se convirtió en la Asociación de Auditoría y Control de Sistemas de
Información en 1994

En el 2008, la organización había abandonado su largo título y se había calificado

como ISACA

En marzo de 2016, ISACA compró el Instituto CMMI que está detrás de la

Integración del Modelo de Madurez de Capacidades.

5.3 COBIT

Su nombre corresponde a la sigla en inglés para Control Objectives for Information

and related Technology – Objetivos de control para la información y tecnologías
relacionadas. Fue desarrollado por ISACA (Information Systems Audit and Control
Association) y lanzado en 1996 como una herramienta de monitoreo del gobierno

9
de TI. Se enfoca en la totalidad de la información de una empresa o institución,
para auditar la gestión y el control dentro de las mismas desde la perspectiva de
negocio como apoyo para la toma de decisiones.

Es básicamente un conjunto de mejores prácticas respecto a los Sistemas de

Información de las organizaciones que garantizan la información para directivos y
auditores con el propósito de dar guías a alto nivel sobre el comportamiento del
negocio mediante el uso de indicadores basados en el uso de controles internos
que compilan y organizan la información desde su origen hasta la disposición final
de esta.

COMPONENTES COBIT
Resumen Ejecutivo: Este es un documento escrito dirigido a la alta gerencia de la
compañía donde se presentan los antecedentes y una descripción, a nivel general,
de los recursos, criterios e información con los que se cuenta actualmente en la
compañía.
Marco de Referencia (Framework): En este se Incluye a manera de introducción el
resumen ejecutivo y a continuación se presentan guías de orientación para que los
lectores puedan hacer una fácil comprensión del material expuesto este debe
contener dominios y procesos en una presentación detallada.
Objetivos de Control: En este se Integran los contenidos expuestos tanto en el
resumen ejecutivo como en el marco de referencia; adicionalmente se presentan
de forma detallada los objetivos de control a implementar para los procesos en
que sea necesario.

5.4 PCI

Su nombre completo es PCI DSS este debido a las sigla en inglés para (Payment
Card Industry Data Security Standard) este estándar nació debido a la cantidad de
programas de seguridad que se tenían para la protección de datos en una tarjeta

10
de pagos que volvían más compleja esta labor para los entes que tenían que
cumplir con estos controles.

Su primera publicación fue el 14 de diciembre del 2004 y obteniendo una parte de

gran aprobación en su versión 1.0. El 6 de septiembre del 2006 se establece la
fundación de PCI DSS de parte de American Express, Mastercard, Visa, Japan
Credit Bureau la cual tenía como objetivo la gestión de este estándar y se hace la
publicación de su versión 1.1, en el 2008 se publicó la versión 1.2 que se adapta al
progreso del manejo de información y se publica el PA-DSS como nuevo estándar
y complemento para el PCI y adaptando nuevos protocolos con el paso del tiempo
entre estas destacar “PCI Software-based PIN Entry on COTS (SPoC)“ y “PCI
Software Security Framework” identificados por sus correspondientes plantillas de
declaración de cumplimiento y el marco de trabajo para la seguridad del software
respectivamente

5.5 ISO 27001:2013

La historia de la norma ISO 27001 hace referencia al año 1995 cuando la entidad
normalizadora British Standard, publicó la norma (BS-7799-1) en busca de dar a
conocer un conjunto de buenas prácticas en seguridad para las empresas
Británicas.

Con una segunda parte del BS 7799 en la cual se establecieron unos requisitos
para un Sistema de Gestión de Seguridad de la Información (SGSI) certificable.

Ambas partes fueron revisadas en el año 1999 y en el año 2000 la Organización

Internacional para la Estandarización (ISO) tomó la norma BS 7799-1 que dio
lugar a la llamada ISO 17799. En este momento la norma no experimentó grandes
cambios, pero en el año 2001 fue revisada de acuerdo a la línea de las normas
ISO.

11
Fue en el año 2005 cuando aparece ya el estándar ISO 27001 y la ISO 17799 se
modifica dando lugar a la ISO 27001:2005.

En 2007 la ISO 17799 se renombra y pasa a ser la ISO 27002:2005 y en 2007 se

publica la nueva versión ISO 27001:2007 y dos años más tarde se publica un
documento adicional de modificaciones llamado ISO 27001:2007/1M:2009.

En 2013 se realiza una nueva revisión para incorporar las adaptaciones

necesarias, ya que la computación en la nube, por ejemplo, pasó a ser una
realidad del universo TI.

6. ESTRUCTURA

6.1 ITIL

El modelo ITIL está enfocado en el ciclo de vida que se divide en cinco fases:

1. Estrategia del Servicio: propone tratar la gestión de servicios no sólo como

una capacidad sino como un activo estratégico.
2. Diseño del Servicio: cubre los principios y métodos necesarios para
transformar los objetivos estratégicos en portafolios de servicios y activos.
3. Transición del Servicio: cubre el proceso de transición para la
implementación de nuevos servicios o su mejora.
4. Operación del Servicio: cubre las mejores prácticas para la gestión del día a
día en la operación del servicio.
5. Mejora Continua del Servicio: proporciona una guía para la creación y
mantenimiento del valor ofrecido a los clientes a traces de un diseño,
transición y operación del servicio optimizado.

12
 Ilustración 1. Estructura ITIL en su versión 4

6.2 ISACA

Dominios Planificación y organización; Adquisición e implementación; Prestación y

Soporte; Monitoreo

Controles: Las soluciones y herramientas están respaldadas por el personal de

expertos de ISACA y la red de componentes globales, creando orientación
actualizada, aprendizaje que impulsa la carrera e información vital para un mundo
cada vez más acelerado.

Objetivos: Brindar a nuestros asociados y a la comunidad internacional, el acceso

a herramientas y técnicas actualizadas en buen gobierno, auditoria, riesgo, control
y seguridad de Tecnología de Información.

6.3 COBIT

Este modelo se encuentra estructurado en 4 dominios y 34 procesos que explico

a continuación
Dominios:

13
Planificación y organización: Este domino propende por que los funcionarios y
procesos hagan el mejor uso de las tecnologías con que cuenta la empresa para
lograr sus objetivos.
Adquisición e Implementación: Este domino es el encargado de definir,
implementar y ajustar las tecnologías que se requieran en los procesos de
negocios de la empresa
Entrega y soporte: Busca la eficiencia y efectividad de los sistemas tecnológicos
usados actualmente por la empresa.
Monitoreo: También se le conoce como evaluación, consiste en vigilar que la
solución implementada corresponda a las estrategias, necesidades y perspectivas
de la empresa.
Procesos: Están asociados a un domino para su mejor administración de la
siguiente manera

PLANEACION Y ORGANIZACION
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad

ADQUICICON E IMPLEMENTACION
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.

14
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.

ENTREGA Y SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.

MONITOREO
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.

Para el correcto funcionamiento de este modelo y la obtención de resultados

óptimos son necesarios algunos requerimientos

15
Requerimientos de la información del negocio: En este punto se debe contar con
acceso a información que puede llegar a ser considerada sensible por lo que se
deben establecer ciertos criterios y niveles de autorizaciones.
Requerimientos de Calidad: Costo, Entrega y calidades de insumos o materiales,
etc.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de
los reportes financieros, regulaciones y leyes vigentes.

Requerimientos de Seguridad: La información debe cumplir los estándares de

Confidencialidad, Integridad y Disponibilidad.

Para el logro de los objetivos propuestos usando el estándar cobito se requiere de

acceso a los siguientes recursos ti de la compañía.

16
6.4 PCI

La estructura de estos estándares de cumplimiento se recopila en páginas y

páginas en forma de tablas. Los "consultores" en PCI comúnmente usan
herramientas de automatización, equipos de prueba y hojas de cálculo para llevar
a cabo las auditorías y analizar los resultados.

6.5 ISO 27001:2013

La nueva versión ISO 27001:2013 muestra cambios en su contenido y en la

estructura, esta última se ve modificada conforme a la nueva estructura de alto
nivel empleada en cualquiera de las normas de sistemas de gestión.

1. Objeto y campo de aplicación

 La norma comienza aportando unas orientaciones sobre el uso, finalidad y
modo de aplicación de este estándar.
2. Referencias Normativas

17
  Recomienda la consulta de ciertos documentos indispensables para la
aplicación de ISO27001
3. Términos y Definiciones
 Describe la terminología aplicable a este estándar.
4. Contexto de la Organización
 Este es el primer requisito de la norma, el cual recoge indicaciones sobre el
conocimiento de la organización y su contexto, la comprensión de las
necesidades y expectativas de las partes interesadas y la determinación
del alcance del SGSI.
5. Liderazgo:
 Este apartado destaca la necesidad de que todos los empleados de la
organización han de contribuir al establecimiento de la norma. Para ello la
alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar
una política de seguridad que conozca toda la organización y ha de asignar
roles, responsabilidades y autoridades dentro de la misma.
6. Planificación
 Esta es una sección que pone de manifiesto la importancia de la
determinación de riesgos y oportunidades a la hora de planificar un
Sistema de Gestión de Seguridad de la Información, así como de
establecer objetivos de Seguridad de la Información y el modo de lograrlos
7. Soporte:
 En esta cláusula la norma señala que para el buen funcionamiento del
SGSI la organización debe contar con los recursos, competencias,
conciencia, comunicación e información documentada pertinente en cada
caso.
8. Operación:
 Para cumplir con los requisitos de Seguridad de la Información, esta parte
de la norma indica que se debe planificar, implementar y controlar los
procesos de la organización, hacer una valoración de los riesgos de la
Seguridad de la Información y un tratamiento de ellos.

18
9. Evaluación del Desempeño:
 En este punto se establece la necesidad y forma de llevar a cabo el
seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la
revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.

10. Mejora
 En la sección décima vamos a encontrar las obligaciones que tendrá una
organización cuando encuentre una no conformidad y la importancia de
mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
11 Anexo A
 Este anexo proporciona un catálogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).

7. REQUERIMIENTOS DE CERTIFICACIÓN

7.1 ITIL

Existen actualmente cuatro niveles de certificación:

 Fundamentos: Es el nivel más básico y permite adquirir el conocimiento
necesario sobre la terminología, estructura y conceptos básicos utilizados
por el marco de trabajo de buenas prácticas de ITIL. Es condición
obligatoria obtener esta certificación para poder optar a las certificaciones
superiores.
 Practitioner: Al estar centrado en la Mejora Continua del Servicio, permitirá
a los candidatos adquirir las capacidades y habilidades necesarias para
aplicar los conceptos de ITIL® en su organización.
 Expert: Nivel dirigido a todas aquellas personas que habiendo obtenido la
certificación ITIL Fundamentos, están interesadas en demostrar un nivel
superior de conocimientos de ITIL® en su conjunto.

19
  Master: Corresponde al máximo nivel en la carrera de Gestión de Servicios
de ITIL. Esta certificación se obtiene en base a méritos profesionales, para
profesionales Expert que demuestren experiencia contrastada en la vida
real en Gestión de Servicios de TI.

7.2 ISACA
 CISA - Certified Information Systems Auditor, certificación de auditores de
sistemas de información. Existen cerca de 90.000 personas
certificadas (2012); auditará, controlará y proporcionará seguridad de los
sistemas de información para una multitud de industrias en los sectores de
negocios y TI.
 CISM - Certified Information Security Manager, certificación de gestores de
seguridad. Existen cerca de 16.000 personas certificadas; la persona posee
el conocimiento y la experiencia necesarios para desarrollar y administrar
un programa de seguridad de la información empresarial.
 CGEIT - Certified in the Governance of Enterprise IT, certificación de
gestores de la gobernanza empresarial TI. Existen cerca de 4.600 personas
certificadas (2007); proveedor que prueba, valida y certifica las habilidades,
el conocimiento y la experiencia práctica de un individuo.
 CRISC - Certified in Risk and Information Systems Control, certificación de
gestores de control de riesgos en sistemas de información. Existen cerca de
15.000 personas certificadas (2010); valida las habilidades de un individuo
en los campos de control de sistemas de información y gestión de riesgos.

7.3 COBIT

La certificación en Cobit, Versión 5, muestra el marco de trabajo de gobierno y

gestión de tecnologías de la información más ampliamente usado en el mundo,
dicho modelo es de propiedad de ISACA y bajo la administración de APMG en lo
referente a certificación. El propósito del curso es que los participantes entiendan
la necesidad de adaptar un marco de trabajo de gobierno y gestión de TI (GEIT) a

20
cualquier tipo y tamaño de empresa pues cobit es una solución de gobierno de ti
de aceptación mundial; El curso entrega los elementos y materiales de apoyo a los
estudiantes interesados en obtener una cualificación internacional.
Dirigido a:
- Profesionales que trabajan o que inician en el área de Gobierno de T.I.
- Gerentes de negocio Presidente, Gerente general, Gerente de TI, etc.
- Profesionales dedicados a Auditoría y/o Administración de T.I.

7.4 PCI

Para la certificación del estándar PCI hay que cumplir con los siguientes
requisitos:
1- Desarrollo y Mantenimiento de redes y sistemas seguros:

 Se debe poder confirmar que los datos del titular de la tarjeta están
bien protegido mediante el uso y configuración de un buen Firewall
 Se recomienda no usar valores genéricos en algunos parámetros de
seguridad

2- Protección y Cifrado de los datos personales del Titular:

 Asegurar la protección de los datos del titular de la tarjeta

 Mantener un constante cifrado de los datos del titular en especial en
las redes públicas

3- Mantener un software de administración de vulnerabilidad:

 Proteger el sistema en contra de anti virus y malwares regularmente

 Desarrollar y mantener de manera segura las aplicaciones y el
sistema en el que se manejan las transacciones y los datos

21
 4- Implementar medidas para el control de acceso:

 Identificación y acceso a los componentes del sistema

 Restringir el acceso de manera física a los datos de los titulares de
las tarjetas
 Restringir el acceso a los datos dependiendo de las capacidades y
necesidades de la empresa o entidad

5- Supervisar y evaluar las redes con regularidad:

 Mantener un constante rastreo y supervisión de todos los accesos a

los recursos y datos del titular de la tarjeta
 Probar periódicamente la seguridad del sistema y sus procesos

6- Mantener una política de seguridad informática:

 Mantener una política de seguridad informática para todo el personal

de la empresa

7.5 ISO 27001:2013

Para obtener la certificación como organización, se debe implementar la norma

con su documentación y registros obligatorios y luego se debe aprobar la auditoría
que realiza la entidad de certificación. La auditoría de certificación se realiza
siguiendo estos pasos:
1- Revisión de documentación: Los auditores revisarán toda la
documentación.
2- Auditoría principal: Los auditores realizarán la auditoría in situ para
comprobar si todas las actividades de la empresa cumplen con ISO 27001 y
con la documentación del SGSI.

22
 3- Visitas de supervisión: después de que se emitió el certificado, y durante su
vigencia de 3 años, los auditores verificarán si la empresa mantiene su
SGSI.

8. VALORES DE CERTIFICACIÓN E IMPLEMENTACIÓN EN COLOMBIA

8.1 ITIL

 El curso presencial tiene una duración de 20 horas y la mayor parte de los

centros de formación que la imparten ofrecen múltiples combinaciones de
horarios, permitiendo a los asistentes al curso compatibilizar su jornada laboral
con la realización del curso.
 El examen de certificación es de tipo test, que no reviste ningún tipo de
dificultad y puede ser realizado al finalizar el curso sin ningún tipo de
complicación. Basta con atender a las explicaciones del formador durante el
curso y leer los apuntes que se le entregarán para la realización del mismo.
 El valor esta alrededor de 1.480.000 con la certificación de asistencia y el
examen de certificación internacional.

8.2 ISACA
Todos los exámenes constan de 150 preguntas y duran 4 horas. Salvo CGEIT,
están disponibles en español, entre otros idiomas.

Para obtener una certificación se necesita:

 Completar con éxito el examen

 Acreditar experiencia relevante
 Suscribir el Código Ético Profesional
 Suscribirse al programa de educación continua
 Cumplir los respectivos Estándares

23
Los exámenes se realizan online, de manera individual en lugares acreditados por
ISACA Internacional.

Precios

 Asociados ISACA:2.240.000 pesos

 No-asociados: 2.960.000 pesos

Material de Estudio recomendado por cada certificación

Para cualquiera de estas cuatro certificaciones, se recomienda comprar, al menos:

- El Manual de Preparación al Examen (= la teoría)

- El Manual de Preguntas, Respuestas y Explicaciones (= la práctica)

8.3 COBIT

En Colombia la certificación de COBIT trabaja diferentes valores para personas y

empresas.

PRECIOS

Ciclo de capacitación (Precio Normal)

Persona Natural $ 1.001.000
Persona Jurídica $ 1.126.000

PRECIO ESPECIAL CURENTANA (DCTO (30%) sobre ciclo de capacitación)

Persona Natural $ 701.000
Persona Jurídica $ 788.000

Ciclo de capacitación + examen (Aplica DCTO (30%) sobre el ciclo de

capacitación)
Persona Natural $ 1.380.000

24
Persona jurídica $ 1.496.000

Los precios, según comunicación, tienen una validez de 15 días calendario y

están excluidos de iva por ser considerados servicios de educación.

8.4 PCI

Dependiendo del nivel de la empresa o en si el nivel del comercio los valores de

certificación varían dependiendo de la cantidad de transacciones que se procesen:

Nivel 1:
Son aquellos que procesan más de 6 millones de transacciones y se mantendrá el
siguiente control

 Presentar un informe de cumplimiento (ROC) de parte de un asesor de

seguridad capacitado o un auditor certificado por el asesor de seguridad
(Anualmente)
 Presentar un formulario de certificación de cumplimiento (“AOC”) esto
anualmente
 Realizar un escaneo de red mediante un proveedor aprobado (“ASV”) cada
tres meses

Para Nivel 2 (entre 1 y 6 millones de transacciones)

Nivel 3 (20.000 a 1 millón de transacciones)
Nivel 4 (menos de 20.000 transacciones) los procedimientos son los siguientes:
 Completa un cuestionario de autoevaluación ("SAQ") anualmente
 Presentar un formulario de certificación de cumplimiento (“AOC”) esto
anualmente

25
  Realizar un escaneo de red mediante un proveedor aprobado (“ASV”) cada
tres meses

Se encontraron diferentes entidades que proveen el servicio completo de

certificación y mantenimiento de condiciones para la certificación como lo son:

El valor de este servicio está alrededor del contrato con entidades que realizan la
consultoría necesaria para aprobar la certificación. El tiempo promedio de
consultoría para este caso es de 6 meses con los siguientes valores.

Consultor Valor mes Meses Valor total

Consultor Sénior 5.600.000 6 33.600.000
Consultor 3.200.000 6 19.200.000
Consultor 3.200.000 6 19.200.000
Valor contrato en pesos. 72.000.000

8.5 ISO 27001:2013

El coste principal con el que debemos contar para la certificación es el propio

precio de ISO 27001. En primer lugar, la empresa deberá contratar un servicio de
auditoría como el que ofrecemos en CTMA Consultores, en el que se genere un
informe de viabilidad para la implementación de la norma ISO.

El coste final que derive de este informe variará según distintos criterios, como el
volumen de la empresa, el número de días y de personal que se requiera para la
implementación, y depende también del mercado en el que se mueva el sector de
la organización.

26
Las personas pueden asistir a diversos cursos para obtener certificados. Los más
populares son:

1- Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará

cómo realizar auditorías de certificación y está orientado a auditores y
consultores.
2- Curso de Implementador Principal de ISO 27001: este curso de 5 días le
enseñará cómo implementar la norma y está orientado a profesionales y
consultores en seguridad de la información.
3- Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le
enseñará los conceptos básicos de la norma y cómo llevar a cabo una
auditoría interna; está orientado a principiantes en este tema y a auditores
internos.

ENFOQUE EN EL ESTÁNDAR ISO 27001:2013 Seguridad en Redes,

Precio Modalidad Presencial: $ 2.708.000

Precio Modalidad Online: $ 2.035.000 Normal
Duración: 120 horas

27
 9. ESTADÍSTICAS DE IMPLEMENTACIÓN EN A NIVEL INTERNACIONAL Y
COLOMBIA
9.1 ITIL

A continuación se evidencia la cantidad de personas certificadas en ITIL desde

1994 hasta 2012 en versiones 2 y 3.

Ilustración 2. Certificaciones ITIL

9.2 ISACA
Estadística ISACA nivel internacional:

28
 Ilustración 3. Estadística a nivel internacional

9.3 COBIT

COBIT 2019 se ha convertido en un marco de gobierno completo. En su nueva versión.

Ilustración 4. Cobit evolución y certificación

29
9.4 PCI

Según Verizon (empresa multinacional en tecnología y telefonía) en un reporte de

cumplimiento de PCI DSS este subió entre 2012 y 2017 un 126% con su mayoría
de empresas en estados unidos.
Actualmente en Colombia no están obligados a regirse bajo este estándar pero si
se desea realizar una función con una empresa internación es necesario adoptar
este estándar y aplicarlo.

9.5 ISO 27001:2013

Del total de certificados emitidos, un 44% se encuentran en el este de Asia y

Pacífico, un 38% en Europa, un 9% en Asia Central y Sur, un 5% en Norte
América, un 2 % en el Medio oriente, un 1% en América Central y del Sur y 0.5%
en África.
Es importante considerar que esta distribución global es similar a la de otras
normas, como la ISO 9001, donde el 85% de los certificados emitidos a nivel
mundial se distribuyen ente Europa y Asia.
Japón lidera el mundo con 8.240 certificados emitidos, impulsado por una
legislación y regulación de Protección de Datos pionera, que lleva a las empresas
niponas a seguir este marco de referencia y certificación.
En América Latina México lidera con 104 certificados emitidos, seguido de
Colombia con 103, Brasil con 94, Argentina con 52, Chile 32, Perú 22 y Uruguay
21.
Hay países de América que no han reportado ningún certificado 27001 a la fecha,
o apenas uno.

30
Ilustración 5. Certificación Latinoamérica

Ilustración 6. Certificación a 2016

31
 CONCLUSIONES

 Durante el desarrollo de la actividad, se evidencia que la mayoría de

fuentes confiables para realizar la investigación se encuentra en ingles por
el origen de cada estándar y las empresas que los patrocinan, mediante el
uso de herramientas como Mendeley se logró recabar información útil, pero
para el desarrollo completo de los ítems solicitados fue necesario recabar
información en foros y realizar solicitudes a entidades de certificación.
 El conocimiento de los estándares de seguridad es una herramienta útil en
el despeño de nuestra área profesional, que nos ayuda en diferentes
aspectos laborales y nos ayudará para tomar una buena elección a la hora
de certificarnos.
 Conocer el ámbito nacional y como estamos frente a la región, es un marco
de referencia en avances tecnológicos que nos ayuda a saber dónde está el
norte que se contempla para cada actualización de los estándares, ya que
lo que ponemos en práctica en la actualidad puede llegar a estar
desactualizado en dos años.

32
 10. BIBLIOGRAFÍA

Estándares de Seguridad informática, recuperado de:

https://docplayer.es/4298312-Estandares-de-seguridad-informatica.html
Baquero, Karina y otros. COBIT (Objetivos de Control para la Información y
Tecnologías Relacionadas) Universidad Estatal de Milagro, 2013. Recuperado de
https://www.monografias.com/trabajos93/cobit-objetivo-contro-tecnologia-
informacion-y-relacionadas/cobit-objetivo-contro-tecnologia-informacion-y-
relacionadas.shtml
Richard, Ronald. Seguridad informática basada en las normas y estándares
internacionales COBIT e ISO 17799. Recuperado de
https://www.monografias.com/trabajos101/seguridad-informatica-basado-normasy-
estandares-internacionales-cobit-e-iso-17799/seguridad-informatica-basado-
normasy-estandares-internacionales-cobit-e-iso-17799.shtml
Que es ITIL 4, Buenas prácticas 2020, Recuperado de: https://arandasoft.com/itil-
4/
Certificación Axelos: ITIL y Prince2 (Certificaciones 2019), Recuperado de:
https://www.globalknowledge.com/es-es/certifications/certification-training/axelos
ITIL todo lo que deseas saber sobre la herramienta (Octubre 2019) Recuperado
de: https://ingenio.edu.pe/itil-todo-lo-que-necesitas-saber/
Colombia debe avanzar en la implementación de ITIL (Marzo 2017), Recuperado
de: https://www.dinero.com/negocios/articulo/colombia-debe-avanzar-
implementacion-itil/48879
Certificaciones CISA, CISM, CGEIT y CRISC (Noviembre 2019),Recuperado de:
https://www.isacacr.org/certificaciones.html

Curso Fundamentos en COBIT 2019, Recuperado de:

https://isacabogota.org/cursos-isaca-bogota-chapter/
Estructura de la norma ISO 27001:2013 (Enero 2019), Recuperado de:
https://www.ceupe.com/blog/estructura-de-la-norma-iso-27001-2013.html

33