Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMÁTICA
ANTONIO AMAYA
EDWIN ANDRES JIMENEZ
YESENIA ALEXANDRA PERALTA
2. OBJETIVOS ............................................................................................................... 5
2
8.4 PCI ......................................................................................................................... 25
8.5 ISO 27001:2013 ..................................................................................................... 26
9. ESTADÍSTICAS DE IMPLEMENTACIÓN EN A NIVEL INTERNACIONAL Y
COLOMBIA...................................................................................................................... 28
3
1. INTRODUCCIÓN
5
3. PLANTEAMIENTO DEL TRABAJO A DESARROLLAR
6
4. ESTANDARES DE SEGURIDAD
7
tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar
los fraudes que involucran tarjetas de pago débito y crédito.
5. HISTORIA Y ASOCIACIÓN
5.1 ITIL
Este estándar tiene sus inicios durante los años 1980, donde fue concebido en
torno a una vista basada en el modelo del control y gestión de las operaciones, fue
diseñada para mejorar los servicios de TI del sector público para el Reino Unido;
pero gracias a su eficiencia cada vez más está siendo mundialmente
implementado por el sector privado. En su primera versión constaba de diez libros
centrales y tenía treinta libros complementarios, los cuales fueron desarrollados
por CCTA (Central computer and telecommunications Agency). En 1990 fue
adoptada por empresas y agencias gubernamentales en Europa teniendo gran
acogida, lo cual impulso la versión 2, que fue lanzada en el 2000 donde se
integraron diferentes temas entre ellos la administración de seguridad. En su
edición del 2011 bajo el nombre de ITIL V3. En esta versión se concentra en el
ciclo de vida un sistema de red, en esta edición se divide en seis libros.
En su última versión de ITIL publicada en 2019, conocida como ITIL V4, el
propietario actual es AXELOS es responsable de numerosas metodologías de
mejores prácticas utilizadas a nivel mundial por profesionales de la industria en
gestión de servicios, proyectos y programas.
8
AXELOS es una iniciativa conjunta, creada en 2013 por la Oficina del Gabinete del
Gobierno Británico y la empresa privada Capita PLC, con el objetivo de
administrar, desarrollar y hacer crecer el portafolio global de Mejores Prácticas.
5.2 ISACA
5.3 COBIT
9
de TI. Se enfoca en la totalidad de la información de una empresa o institución,
para auditar la gestión y el control dentro de las mismas desde la perspectiva de
negocio como apoyo para la toma de decisiones.
COMPONENTES COBIT
Resumen Ejecutivo: Este es un documento escrito dirigido a la alta gerencia de la
compañía donde se presentan los antecedentes y una descripción, a nivel general,
de los recursos, criterios e información con los que se cuenta actualmente en la
compañía.
Marco de Referencia (Framework): En este se Incluye a manera de introducción el
resumen ejecutivo y a continuación se presentan guías de orientación para que los
lectores puedan hacer una fácil comprensión del material expuesto este debe
contener dominios y procesos en una presentación detallada.
Objetivos de Control: En este se Integran los contenidos expuestos tanto en el
resumen ejecutivo como en el marco de referencia; adicionalmente se presentan
de forma detallada los objetivos de control a implementar para los procesos en
que sea necesario.
5.4 PCI
Su nombre completo es PCI DSS este debido a las sigla en inglés para (Payment
Card Industry Data Security Standard) este estándar nació debido a la cantidad de
programas de seguridad que se tenían para la protección de datos en una tarjeta
10
de pagos que volvían más compleja esta labor para los entes que tenían que
cumplir con estos controles.
La historia de la norma ISO 27001 hace referencia al año 1995 cuando la entidad
normalizadora British Standard, publicó la norma (BS-7799-1) en busca de dar a
conocer un conjunto de buenas prácticas en seguridad para las empresas
Británicas.
Con una segunda parte del BS 7799 en la cual se establecieron unos requisitos
para un Sistema de Gestión de Seguridad de la Información (SGSI) certificable.
11
Fue en el año 2005 cuando aparece ya el estándar ISO 27001 y la ISO 17799 se
modifica dando lugar a la ISO 27001:2005.
6. ESTRUCTURA
6.1 ITIL
El modelo ITIL está enfocado en el ciclo de vida que se divide en cinco fases:
12
Ilustración 1. Estructura ITIL en su versión 4
6.2 ISACA
6.3 COBIT
13
Planificación y organización: Este domino propende por que los funcionarios y
procesos hagan el mejor uso de las tecnologías con que cuenta la empresa para
lograr sus objetivos.
Adquisición e Implementación: Este domino es el encargado de definir,
implementar y ajustar las tecnologías que se requieran en los procesos de
negocios de la empresa
Entrega y soporte: Busca la eficiencia y efectividad de los sistemas tecnológicos
usados actualmente por la empresa.
Monitoreo: También se le conoce como evaluación, consiste en vigilar que la
solución implementada corresponda a las estrategias, necesidades y perspectivas
de la empresa.
Procesos: Están asociados a un domino para su mejor administración de la
siguiente manera
PLANEACION Y ORGANIZACION
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad
ADQUICICON E IMPLEMENTACION
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
14
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
ENTREGA Y SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
MONITOREO
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
15
Requerimientos de la información del negocio: En este punto se debe contar con
acceso a información que puede llegar a ser considerada sensible por lo que se
deben establecer ciertos criterios y niveles de autorizaciones.
Requerimientos de Calidad: Costo, Entrega y calidades de insumos o materiales,
etc.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de
los reportes financieros, regulaciones y leyes vigentes.
16
6.4 PCI
17
Recomienda la consulta de ciertos documentos indispensables para la
aplicación de ISO27001
3. Términos y Definiciones
Describe la terminología aplicable a este estándar.
4. Contexto de la Organización
Este es el primer requisito de la norma, el cual recoge indicaciones sobre el
conocimiento de la organización y su contexto, la comprensión de las
necesidades y expectativas de las partes interesadas y la determinación
del alcance del SGSI.
5. Liderazgo:
Este apartado destaca la necesidad de que todos los empleados de la
organización han de contribuir al establecimiento de la norma. Para ello la
alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar
una política de seguridad que conozca toda la organización y ha de asignar
roles, responsabilidades y autoridades dentro de la misma.
6. Planificación
Esta es una sección que pone de manifiesto la importancia de la
determinación de riesgos y oportunidades a la hora de planificar un
Sistema de Gestión de Seguridad de la Información, así como de
establecer objetivos de Seguridad de la Información y el modo de lograrlos
7. Soporte:
En esta cláusula la norma señala que para el buen funcionamiento del
SGSI la organización debe contar con los recursos, competencias,
conciencia, comunicación e información documentada pertinente en cada
caso.
8. Operación:
Para cumplir con los requisitos de Seguridad de la Información, esta parte
de la norma indica que se debe planificar, implementar y controlar los
procesos de la organización, hacer una valoración de los riesgos de la
Seguridad de la Información y un tratamiento de ellos.
18
9. Evaluación del Desempeño:
En este punto se establece la necesidad y forma de llevar a cabo el
seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la
revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.
10. Mejora
En la sección décima vamos a encontrar las obligaciones que tendrá una
organización cuando encuentre una no conformidad y la importancia de
mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
11 Anexo A
Este anexo proporciona un catálogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).
7. REQUERIMIENTOS DE CERTIFICACIÓN
7.1 ITIL
19
Master: Corresponde al máximo nivel en la carrera de Gestión de Servicios
de ITIL. Esta certificación se obtiene en base a méritos profesionales, para
profesionales Expert que demuestren experiencia contrastada en la vida
real en Gestión de Servicios de TI.
7.2 ISACA
CISA - Certified Information Systems Auditor, certificación de auditores de
sistemas de información. Existen cerca de 90.000 personas
certificadas (2012); auditará, controlará y proporcionará seguridad de los
sistemas de información para una multitud de industrias en los sectores de
negocios y TI.
CISM - Certified Information Security Manager, certificación de gestores de
seguridad. Existen cerca de 16.000 personas certificadas; la persona posee
el conocimiento y la experiencia necesarios para desarrollar y administrar
un programa de seguridad de la información empresarial.
CGEIT - Certified in the Governance of Enterprise IT, certificación de
gestores de la gobernanza empresarial TI. Existen cerca de 4.600 personas
certificadas (2007); proveedor que prueba, valida y certifica las habilidades,
el conocimiento y la experiencia práctica de un individuo.
CRISC - Certified in Risk and Information Systems Control, certificación de
gestores de control de riesgos en sistemas de información. Existen cerca de
15.000 personas certificadas (2010); valida las habilidades de un individuo
en los campos de control de sistemas de información y gestión de riesgos.
7.3 COBIT
20
cualquier tipo y tamaño de empresa pues cobit es una solución de gobierno de ti
de aceptación mundial; El curso entrega los elementos y materiales de apoyo a los
estudiantes interesados en obtener una cualificación internacional.
Dirigido a:
- Profesionales que trabajan o que inician en el área de Gobierno de T.I.
- Gerentes de negocio Presidente, Gerente general, Gerente de TI, etc.
- Profesionales dedicados a Auditoría y/o Administración de T.I.
7.4 PCI
Para la certificación del estándar PCI hay que cumplir con los siguientes
requisitos:
1- Desarrollo y Mantenimiento de redes y sistemas seguros:
Se debe poder confirmar que los datos del titular de la tarjeta están
bien protegido mediante el uso y configuración de un buen Firewall
Se recomienda no usar valores genéricos en algunos parámetros de
seguridad
21
4- Implementar medidas para el control de acceso:
22
3- Visitas de supervisión: después de que se emitió el certificado, y durante su
vigencia de 3 años, los auditores verificarán si la empresa mantiene su
SGSI.
8.1 ITIL
8.2 ISACA
Todos los exámenes constan de 150 preguntas y duran 4 horas. Salvo CGEIT,
están disponibles en español, entre otros idiomas.
23
Los exámenes se realizan online, de manera individual en lugares acreditados por
ISACA Internacional.
Precios
8.3 COBIT
PRECIOS
24
Persona jurídica $ 1.496.000
8.4 PCI
Nivel 1:
Son aquellos que procesan más de 6 millones de transacciones y se mantendrá el
siguiente control
25
Realizar un escaneo de red mediante un proveedor aprobado (“ASV”) cada
tres meses
El valor de este servicio está alrededor del contrato con entidades que realizan la
consultoría necesaria para aprobar la certificación. El tiempo promedio de
consultoría para este caso es de 6 meses con los siguientes valores.
El coste final que derive de este informe variará según distintos criterios, como el
volumen de la empresa, el número de días y de personal que se requiera para la
implementación, y depende también del mercado en el que se mueva el sector de
la organización.
26
Las personas pueden asistir a diversos cursos para obtener certificados. Los más
populares son:
27
9. ESTADÍSTICAS DE IMPLEMENTACIÓN EN A NIVEL INTERNACIONAL Y
COLOMBIA
9.1 ITIL
9.2 ISACA
Estadística ISACA nivel internacional:
28
Ilustración 3. Estadística a nivel internacional
9.3 COBIT
29
9.4 PCI
30
Ilustración 5. Certificación Latinoamérica
31
CONCLUSIONES
32
10. BIBLIOGRAFÍA
33