Docente:

Juan Carlos Inestroza Lozano

Tarea:
Investigacion/Análisis comparativos de las normativas, estándares y certificaciones
actuales relacionadas a las Tecnologías de Información

Alumno:
Joel Isaí Izaguirre Escoto

Cuenta:
31741041

Clase:
AUDITORIA INFORMATICA

Lugar y Fecha:
Tegucigalpa 31/01/2022
 INTRODUCCIÓN

A continuación, veremos la comparativas de varias normativas en el cual aprenderemos

a diferenciar cada uno de ellas, toda esta información es necesario para ampliar nuestro
conocimiento al momento de hacer una auditoría, conocer estas normas no serán de
mucha ayuda para saber cuando y dónde aplicar cada una de ellas.
 OBJETIVOS

• Aprender a diferenciar y comparar las normativas que se nos presentan en este

documento
• Saber cuando aplicar cada una de ellas y cuales son sus puntos importantes
• Identificar los organismos certificadores
 1. ITIL V3 2011, ITIL v4 realizando un comparativo.
ITIL V3 ITIL 4
ITIL 3 tiene una certificación y utiliza un El esquema de certificación de ITIL 4
sistema de créditos dónde se necesitan 22 tiene dos certificaciones y no usa créditos
de ellos para lograr la certificación expert.
El esquema de certificación ofrece un ITIL 4 cuenta con dos certificaciones que
total de cursos de certificación son:
• ITIL 4 managing Professional
• ITIL 4 Strategic Leader
ITIL 3 se centra en la prestación de ITIL 4 se centra en agregar el máximo
servicios y cuenta con un ciclo de vida de valor de extremo a extremo mediante el
5 etapas uso de service value system (SVS)
En ITIL 3 aparecían conceptos ITIL 4 cuenta con principios guias que
relacionados sobre principios guías, pero ayudan a tomar decisiones.
sin la palabra “Principios”

2. COBIT 5 Y COBIT 2019 se debe realizar una tabla comparativa de las

principales diferencias entre version 5 y version 2019.

COBIT 5 COBIT 2019

5 principios 6 principios de un sistema de gobierno y
3 principios del marco de gobierno
7 habilitadores 7 componentes del sistema de gobierno
37 procesos de gobierno 40 objetivos de gobierno y gestión
Cascada de metas de 5 niveles Cascada de metas simplificada a 4
niveles
Capacidad de procesos basada en ISO Capacidad de procesos flexible (CMM-
15504 l 2.0)
Caso de negocios para justificar
iniciativas de gobierno y gestión de TI
 Enfocado en el gobierno empresarial de Es una versión mejorada de COBIT 5
TI siempre con el enfoque en gobierno
empresarial de TI
Satisface las necesidades de las partes Agrega valor para las partes interesadas
interesadas

3- ISO 38,500 de acuerdo a su análisis se debe comentar cual es la similitud de esta

norma con COBIT 2019.
Según lo leído entre COBIT 2019 con ISO 38500 tiene similitudes bastantes parecidas y
una de ellas que es bastante visible y objetiva es que ambos están enfocados en el gobierno
de TI. El alcance de ISO 38500 es aplicar al gobierno los procesos de gestión de TI en
todo tipo de organizaciones que utilicen tecnologías de información, que prácticamente
es lo hace COBIT 2019 aplicar sus procesos para mejorar la eficiencia y eficacia del
mismo.

Ambos proporcionan principios y guías para el uso eficaz del gobierno de TI en las
empresas u organizaciones. Ambos son aplicables en todas las organizaciones
independientemente del tamaño de estas.

4. ISO 22,301 se debe especificar cuantos controles tiene y cuál es la última

versión.

Controles encontrados

• Control de información documentada

• Control de medición análisis y evaluación

Ultima versión de ISO 22301

La última versión es ISO 22301:2019 esta es la ultima versión de la norma internacional

para sistemas de gestión de la continuidad del negocio.
 5. ¿BS 25,999 porque está relacionada con ISO 22301 esta norma?

Esta relacionada porque ambas están enfocadas en la continuidad del negocio por ende
tiene una similitud bastante alta, ya que la norma ISO 22301 es una norma basada en la
norma británica BS 25999 en pocas palabras la normas ISO 22301 es una actualización
de BS25999.

6. ISO 27,001:2022
ISO 27001 es una norma internacional que permite el aseguramiento, la confiabilidad e
integridad de los datos y de la información, así como de los sistemas que procesan. El
estándar de esta norma permite a las empresas la evaluación de riesgo y la aplicación de
los controles necesarios para mitigarlos.

Uno de los cambios de ISO 27001:2022 es que la mayoría de los cambios en el estándar
son alteraciones en la estructura y el diseño, la mayoría de los controles que se conocen
se mantendrán.

7. ISO 27,002:2022

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para

iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en
una organización.

Con la nueva versión 2022 aunque aún no tiene de fecha de salida, solo fue anunciada
enero, pero le fecha de lanzamiento oficial comienza en febrero 2022, por lo que no
tenemos mucha información aún de esto, pero un cambio que note fue que en la ISO
27001:2013 se presentabas 14 dominios y 114 controles y en 27002:2022 tendrá 4
capítulos o temas y 93 controles, es mas simplificado.

8. ISO 20,000 -1 y cuál es la diferencia con ISO 20,000 -2 en su última versión.

ISO 20000 -1 especifica requisitos para establecer, mantener y mejorar continuamente un

sistema de gestión de servicios (SMS) mientras que ISO 200000 – 2 se basa en ofrecer
orientación para la aplicación de un sistema basado en ISO 20000 -1 el cual ofreces guías
y recomendaciones para hacer una implementación eficaz a las empresas.

La versión más reciente de ISO 20000-1 es ISO/IEC 20000-1:2018

La versión más reciente de ISO 20000-2 es ISO/IEC 20000-1:2019

9a. ISO 27005

ISO 27005 es un estándar internacional que se encarga de la gestión de riesgos de

seguridad de información. Esta norma ofrece directrices para la gestión de riesgos de
seguridad y es aplicable en todo tipo de organizaciones que tengan como propósito
incorporar la intención de gestionar los riesgos que pueda afectar de una u otra manera la
información.

9b. ISO 27035

Esta norma al parecer no es certificable, el objetivo de esta norma consiste en ofrecer un

conjunto de buenas practicas con el enfoque a la gestión de la información de incidentes
de seguridad.

Una de las desventajas de esta norma es que los controles de seguridad no son eficaces
por lo que pueden fallar lo cual no asegura que sean fiables.

9c. ISO 27003

ISO 27003 es un estándar internacional que constituye una guía para la implementación
de un sistema de gestión de seguridad de la información lo cual se enfoca en los aspectos
requeridos que se desean para un diseño e implementación altamente eficaz.

9d. ISO 27006

Se trata de una guía para los organismos de certificación en los procesos formales que
hay que seguir al auditar SGSI esta norma esta enfocada para apoyar la acreditación de
organismos de certificación que ofrecen la certificación SGSI. Cual organización que este
certificado sobre ISO 27001 deberá cumplir también con los requisitos de ISO 27006

9e. ISO 27007

Es una guía para proceder a auditar un SGSI, la norma proporciona guías para las
organizaciones certificadas para auditar un SGSI, mencionare algunas de sus finalidades
para las organizaciones:

• Comprobar que las obligaciones contractuales de proveedores son satisfactorias

• Realizar una revisión y control por la dirección

• Generar acciones correctivas

9f. ISO 15504

Esta norma esta enfocada en la capacidad de mejora del proceso de software, también se
conoce como SPICE que propone un modelo para la evaluación de la capacidad en los
procesos de desarrollo de productos de software.

Algunos de sus objetivos son:

• Proponer y desarrollar un estándar de evaluación de los procesos de software

• Evaluar el desempeño mediante su experimentación en la industria
• Promover la transferencia de tecnología de la evaluación de procesos de software
a la industria del software por todo el mundo

9g. ISO 19770

Esta norma consta de dos partes. La primera explica los procesos de Gestión de Activos
de Software y la segunda, la metodología y procedimiento de identificación de productos,
orientada a facilitar la labor de inventario. La ISO 19770 es un caso especial de norma,
puesto que combina la descripción de procesos y las versiones de software. Una
implementación correcta de esta norma en una organización no obliga a hacerlo de ambas
partes, ya que son independientes. Según el estándar de ISO 19770 los principios de
Gestión de Activos de Software se pueden aplicar a prácticamente cualquier aspecto del
entorno de IT en una organización, pero sobre todo a aquellos que tienen que ver con la
gestión de licencias de software e inventario de activos.

10. PMI y certificación PMP

PMI significa Project Management Institute, es una entidad norteamericana que busca
divulgar las buenas prácticas de la gestión de proyectos.

PMP es una certificación emitida por el Project Management Institute, PMP significa
Project Management Professional.

La credencial se obtiene mediante la documentación de 3 a 5 años de experiencia en

gestión de proyectos, completar 35 horas de formación relacionadas con la gestión de
proyectos, y obteniendo un determinado porcentaje de las preguntas en un examen
escrito de opción múltiple.
 11. NIST SP 800-100
Es un conjunto de documentos de libre descarga que se facilita desde el gobierno federal
de los estados unidos, que describe las políticas de seguridad informática,
procedimientos y directrices que son publicadas por el instituto nacional de estándares y
tecnología que contiene 130 documentos.

12. OWASP se debe de realizar comparativo entre la versión de TOP 10 DE

OWASP DE 2017 y 2021, Se debe incluir OWASP para dispositivos móviles
e IOT.

En un comunicado de prensa, la fundación OWASP explicó su actualización más reciente

y los cambios de clasificación:

A01: 2021-Broken Access Control sube desde la quinta posición; El 94% de las
aplicaciones se probaron para detectar algún tipo de control de acceso defectuoso. Los 34
CWE asignados a Broken Access Control tuvieron más apariciones en aplicaciones que
cualquier otra categoría.

A02: 2021-Fallos criptográficos sube una posición al #2, anteriormente conocido como
Exposición de datos confidenciales. Se ha enfocado de forma nueva el término,
relacionándolo con los fallos relacionados con la criptografía que a menudo conducen a
la exposición de datos confidenciales o al compromiso del sistema.

A03: 2021-Inyección baja hasta la tercera posición. El 94% de las aplicaciones fueron
probadas para alguna forma de inyección, y los 33 CWE mapeados en esta categoría
tienen la segunda mayor cantidad de ocurrencias en aplicaciones. Cross-site Scripting
ahora forma parte de esta categoría en esta edición.
A04: 2021-Diseño inseguro es una nueva categoría para 2021, con un enfoque en los
riesgos relacionados con fallos de diseño.

A05: Error de configuración de seguridad de 2021 avanza un puesto desde el puesto 6 en

la edición anterior; El 90% de las aplicaciones se probaron para detectar algún tipo de
configuración incorrecta. Con más cambios en software altamente configurable, no es
sorprendente ver que esta categoría asciende. La categoría anterior de entidades externas
XML (XXE) ahora forma parte de esta categoría.

A06: 2021-Componentes vulnerables y obsoletos se titulaba anteriormente Uso de

componentes con vulnerabilidades conocidas y ocupa el puesto número 2 en la encuesta
de la industria, pero también tenía datos suficientes para llegar al Top 10 a través del
análisis de datos. Esta categoría avanza desde el puesto 9 en 2017 y es un problema
conocido que nos cuesta probar y evaluar el riesgo. Es la única categoría que no tiene
ningún CVE asignado a los CWE incluidos, por lo que un exploit predeterminado y pesos
de impacto de 5.0 se incluyen en sus puntajes.

A07: 2021-Fallos de identificación y autenticación anteriormente era una autenticación

rota y baja desde la segunda posición, y ahora incluye CWE que están más relacionados
con fallos de identificación. Esta categoría sigue siendo una parte integral del Top 10,
pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.

A08: 2021-Software and Data Integrity Failures es una nueva categoría para 2021, que
se centra en hacer suposiciones relacionadas con actualizaciones de software, datos
críticos y canalizaciones de CI / CD sin verificar la integridad. Uno de los impactos más
ponderados de los datos de CVE / CVSS mapeados a los 10 CWE en esta categoría. La
deserialización insegura de 2017 ahora es parte de esta categoría más grande.

A09: 2021-Fallos de seguimiento y registro de seguridad en el último ranking era Registro

y monitoreo insuficientes y se agrega de la encuesta de la industria (n. ° 3), avanzando
desde el n. ° 10 anterior. Esta categoría se amplía para incluir más tipos de fallas, es difícil
de probar y no está bien representada en los datos CVE / CVSS. Sin embargo, las fallas
en esta categoría pueden afectar directamente la visibilidad, las alertas de incidentes y los
análisis forenses.

R10: La falsificación de solicitudes del lado del servidor 2021 se agrega de la encuesta
de la industria (n. ° 1). Los datos muestran una tasa de incidencia relativamente baja con
una cobertura de pruebas por encima del promedio, junto con calificaciones por encima
del promedio para el potencial de Explotación e Impacto. Esta categoría representa el
escenario en el que los profesionales de la industria nos dicen que esto es importante,
aunque no está ilustrado en los datos en este momento.

TOP 10 OWASP para dispositivos móviles

• uso inadecuado de la plataforma

• almacenamiento de datos inseguros
• comunicación insegura
• autenticación insegura
• criptografía insuficiente
• autorización insegura
• calidad del código en el lado del cliente
• adulteración del código
• ingeniería inversa
• funcionalidad extraña
•

Top 10 OWASP IOT

• Contraseñas Débiles, Adivinables o codificadas

• Servicios de Red Inseguros (o innecesarios)
• Ecosistema de interfaces inseguras
• Ausencia de un mecanismo de actualización seguro
• Uso de componentes inseguros o desactualizados
• Insuficiente protección a la privacidad
• Transferencia y almacenamiento de datos inseguros
• Ausencia de gestión de dispositivos
• Configuraciones por defecto insegura
• Ausencia de seguridad física

13. CONTROLES SOX

SOX propone un entorno de control mínimo para asegurar los sistemas de información
que soporta la transaccionalidad de la información financiera de manera que esta se
conserve los principios de disponibilidad, confidencialidad e integridad de la
información.

Algunos de los controles del entorno son:

Gestión de cambios

• Procedimientos de cambios documentados

• Autorización de pasos a ambientes productivos
• Pruebas de usuarios a cambio
• Segregación de ambientes y monitoreo

Operaciones de TI

• Programación y gestión de fallas para Jobs o tareas programadas.

• Tratamiento de incidentes de TI.
• Respaldos e información de recuperación.

Seguridad

• Gestión de identidades a sistemas de información

• Gestión de roles en las aplicaciones
• Configuración de contraseñas
• Configuraciones de línea base de seguridad
• Gestión de usuarios privilegiados

14. COSO

Es una organización compuesta por organismos privados, establecidas en los Estados

Unidos dedicada a proporcionar un modelo común de orientación a las entidades sobre
aspectos fundamentales de:

• gestión ejecutiva y de gobierno,

• ética empresarial,
 • control interno,
• gestión del riesgo empresarial,
• control del fraude, y
• presentación de informes financieros.

15. MAGERIT

Magerit es la metodología de análisis y gestión de riesgos elaborado en su día por el

antiguo Consejo Superior de Administración Electrónica y actualmente mantenida por la
Secretaría General de Administración Digital (Ministerio de Asuntos Económicos y
Transformación Digital) con la colaboración del Centro Criptológico Nacional (CCN).

MAGERIT es una metodología de carácter público que puede ser utilizada libremente y
no requiere autorización previa. Interesa principalmente a las entidades en el ámbito de
aplicación del Esquema Nacional de Seguridad (ENS) para satisfacer el principio de la
gestión de la seguridad basada en riesgos, así como el requisito de análisis y gestión de
riesgos, considerando la dependencia de las tecnologías de la información para cumplir
misiones, prestar servicios y alcanzar los objetivos de la organización.

16. TOGAF

TOGAF es un marco de arquitectura empresarial que ayuda a definir los objetivos

comerciales y alinearse con los objetivos comerciales en torno al desarrollo de software
empresarial.

TOGAF ayuda a las organizaciones a implementar la tecnología de software de una

manera estructurada y organizada, con un enfoque en la gobernanza y el cumplimiento
de los objetivos comerciales. Los enlaces de desarrollo de software entre múltiples
departamentos y unidades de negocio, tanto dentro como fuera de TI, TOGAF ayuda a
resolver todos los problemas relacionados con la obtención de las partes interesadas clave
en la misma página.

17. ISO 29119

Los estándares de prueba de software ISO 29119 son un conjunto de documentos

definidos internacionalmente que tratan los conceptos, procesos, técnicas, documentos,
tecnologías y términos de pruebas de software.

Actualmente ISO 29119 tiene cinco partes. El conjunto de normas utiliza un enfoque en
capas para definir las pruebas de software, que es común a muchos estándares ISO. Este
conjunto de normas presenta: definiciones y conceptos de prueba (parte 1); Procesos de
prueba (parte 2); Documentación de prueba (parte 3); Técnicas de ensayo (parte 4); Y las
pruebas dirigidas por palabras clave (parte 5).

18. ISO 8583

ISO 8583, Estándar para Transacciones Financieras con Mensajes originados en una
tarjeta - Especificaciones de los mensajes de intercambio es el estándar de la International
Organization for Standardization para sistemas que intercambian transacciones
electrónicas realizadas por poseedores de tarjetas de crédito.

Un mensaje ISO 8583 consta de las siguientes partes:

• Message Type Indicator (MTI) - Indicador de Tipo de Mensaje

• Uno o más bitmaps, indicando qué elementos están presentes en el mensaje
• Data elements, los campos del mensaje

19. SCRUM
Scrum es un marco de trabajo ágil que ayuda a los equipos a colaborar y realizar un trabajo
de alto impacto. La metodología Scrum proporciona un plan de valores, roles y pautas
para ayudar a tu equipo a concentrarse en la iteración y la mejora continua en proyectos
complejos.

Tradicionalmente, un Scrum se ejecuta durante un sprint, que generalmente son sesiones

de trabajo de dos semanas con entregas específicas que deben realizarse al final. Hay dos
eventos adicionales relacionados con Scrum. Las reuniones diarias de actualización,
como su nombre indica, se dan una vez al día. Estas representan una oportunidad para
que el equipo de Scrum se conecte durante 15 minutos y coordine las actividades diarias.
El segundo evento, el análisis retrospectivo del sprint, tiene lugar al final de cada sprint.
Durante el análisis retrospectivo del sprint, que estará a cargo del Scrum Master, el equipo
de trabajo tiene la oportunidad de reflexionar con respecto al sprint y hacer ajustes para
futuros sprints.

20. ISO 27002

El objetivo que persigue la norma ISO 27002 es que la organización conozca de forma
precisa todos los activos que posee. Esta información es una parte muy importante de la
administración de riesgos.

Algunos ejemplos de activos son:

Recursos de información: bases de datos y archivos, la documentación de los sistemas,

los manuales de usuario, el material utilizado durante la capacitación, los procedimientos
operativos, los planes de continuidad y contingencia, etc.

Recursos de software: software de aplicaciones, sistemas operativos, herramientas

utilizadas para llevar a cabo los desarrollos, etc.

Activos físicos: equipamiento informático, equipos de comunicación, mobiliario, etc.

Servicios: los servicios informáticos y de comunicaciones.
 21. ISO 21500

La norma UNE-ISO 21500:2012 "Orientación sobre la gestión de proyectos",

proporciona una guía para la gestión de proyectos y puede ser utilizado por cualquier tipo
de organización, incluidas las organizaciones públicas, privadas u organizaciones
comunitarias, y para cualquier tipo de proyecto, independientemente de la complejidad,
tamaño o duración.

UNE-ISO 21500 proporciona un alto nivel de descripción de los conceptos y procesos

que se consideran para formar buenas prácticas en la gestión de proyectos. Los nuevos
gerentes del proyecto, así como los gestores experimentados podrán utilizar la guía de
gestión de proyectos en esta norma para mejorar el éxito del proyecto y lograr resultados
de negocio.

22. ISO 27032

La norma (ISO/IEC 27032) facilita la colaboración segura y fiable para proteger la

privacidad de las personas en todo el mundo. De esta manera, puede ayudar a prepararse,
detectar, monitorizar y responder a los ataques, han explicado desde ISO. La organización
espera que ISO/IEC 27032 permita luchar contra ataques de ingeniería social, hackers,
malware, spyware y otros tipos de software no deseado.

23. ISO 27701

ISO/IEC 27701 es una extensión de privacidad para la gestión de seguridad de la

información ISO/IEC 27001 y los controles de seguridad ISO/IEC 27002. Un estándar
internacional del sistema de gestión, proporciona orientación sobre la protección de la
privacidad, incluida la forma en que las organizaciones deben gestionar la información
personal, y ayuda a demostrar el cumplimiento de las normas de privacidad en todo el
mundo.

Beneficios de ISO/IEC 27701:

• Genera confianza en la gestión de la información personal.

 • Proporciona transparencia entre las partes interesadas.
• Facilita acuerdos comerciales efectivos
• Aclara roles y responsabilidades
• Apoya el cumplimiento de las normas de privacidad
• Reduce la complejidad al integrarse con el estándar de seguridad de información
líder ISO / IEC 27001

24. ISO 27035

Se trata de una guía para la localización, análisis y evaluación de vulnerabilidades e

incidentes a los que puede estar expuesta una organización. Esta Norma puede ser usada
para pequeñas, medianas y grandes empresas. Las pymes en función a su tamaño y tipo
de negocio, pueden orientarse para la gestión de incidentes de seguridad por documentos
y procesos explicados en esta Norma. Además, puede ser usada por empresas externas
que se dedican a la gestión de incidentes de seguridad de la información a otras empresas.

25. ISO 22313

La norma ISO 22313 ofrece orientación y recomendaciones para aplicar los requisitos del
sistema de gestión de la continuidad de negocio (también conocido como plan de
continuidad de negocio) conforme a la norma ISO 22301. La orientación y las
recomendaciones se basan en las buenas prácticas internacionales.

La norma ISO 22313 es aplicable a las organizaciones que:

• Ponen en práctica, mantienen y mejoran un sistema o plan de continuidad de

negocio.
• Pretenden asegurar el cumplimiento de la política de continuidad de negocio de
las actividades declarada.
• Necesitan poder seguir suministrando productos y servicios a una capacidad
predefinida aceptable durante una interrupción.
 • Tratan de aumentar su capacidad de recuperación mediante la aplicación efectiva
del sistema o plan de continuidad de negocio.

26. GDPR

El Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) es un

reglamento por el que el Parlamento Europeo, el Consejo de la Unión Europea y la
Comisión Europea tienen la intención de reforzar y unificar la protección de datos para
todos los individuos dentro de la Unión Europea (UE). También se ocupa de la
exportación de datos personales fuera de la UE. El objetivo principal del GDPR es dar
control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno
regulador de los negocios internacionales unificando la regulación dentro de la UE.
Cuando el GDPR surta efecto, sustituirá a la Directiva de protección de datos
(oficialmente Directiva 95/46 / CE) de 1995. El Reglamento fue adoptado el 27 de abril
de 2016. Se convierte en ejecutivo a partir del 25 de mayo de 2018 tras una transición de
dos años y, a diferencia de una directiva, no obliga a los gobiernos nacionales a aprobar
ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.

27. Kanban

Kanban es una forma de ayudar a los equipos a encontrar un equilibrio entre el trabajo
que necesitan hacer y la disponibilidad de cada miembro del equipo. La metodología
Kanban se basa en una filosofía centrada en la mejora continua, donde las tareas se
“extraen” de una lista de acciones pendientes en un flujo de trabajo constante.

La metodología Kanban se implementa por medio de tableros Kanban. Se trata de un

método visual de gestión de proyectos que permite a los equipos visualizar sus flujos de
trabajo y la carga de trabajo. En un tablero Kanban, el trabajo se muestra en un proyecto
en forma de tablero organizado por columnas. Tradicionalmente, cada columna
representa una etapa del trabajo. El tablero Kanban más básico puede presentar columnas
como Trabajo pendiente, En progreso y Terminado. Las tareas individuales representadas
por tarjetas visuales en el tablero avanzan a través de las diferentes columnas hasta que
estén finalizadas.
28. ISO 27018
Establece criterios sobre controles y directrices en relación a medidas de protección de
información de identificación personal (PII), de conformidad con los principios de
privacidad en la norma ISO / IEC 29100 para entornos que de trabajo con sistemas de
almacenamiento público en la nube.

Ámbito de aplicación y objetivo

La norma pretende ser “una referencia para la selección de los controles de protección
información de carácter personal en el proceso de implementación de un sistema de
gestión de seguridad de información basado en la norma ISO / IEC 27001 para un sistema
cloud, o como un documento de orientación para las organizaciones para la
implementación de los controles de protección de PII comúnmente aceptados”

29. ISO 27017

Utilizada conjuntamente con la familia de normas ISO 27001, la norma ISO/IEC 27017
proporciona controles para proveedores y clientes de servicios en la nube. A diferencia
de muchas otras normas relacionadas con la tecnología, ISO/IEC 27017 aclara las
funciones y responsabilidades de ambas partes para ayudar a que los servicios en la nube
sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la
información certificado.

La norma proporciona una guía con 37 controles en la nube basados en ISO/IEC 27002.

Beneficios:

• Inspira confianza en su negocio

• Ventaja competitiva
• Protege su reputación de marca
• Protege contra las multas
• Ayuda a crecer a su negocio

Se debe de verificar adicionalmente los conceptos CERT y CSIRT y colocar 5

ejemplos de cada uno de ellos. (DE LATINOAMERICA) y 5 ejemplos de Europa

CERT
Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer
Emergency Response Team) es un centro de respuesta para incidentes de seguridad en
tecnologías de la información. Está formado por un grupo de expertos responsable del
desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los
sistemas de información. Un CERT estudia el estado de seguridad global de redes y
ordenadores y proporciona servicios de respuesta ante incidentes a víctimas de ataques
en la red, publica alertas relativas a amenazas y vulnerabilidades y ofrece información
que mejora la seguridad de estos sistemas.

CSIRT

CSIRT (Computer Security Incident Response Team, Equipo de Respuesta ante

Incidencias de Seguridad Informáticas) para referirse al mismo concepto. De hecho, el
término CSIRT es el que se suele usar en Europa en lugar del término protegido CERT,
que está registrado en EE. UU. por CERT Coordinación Center (CERT/CC).

5 EJEMPLOS DE LATINOAMERICA

CERT LATINOAMERICA

• Cyberseg empresa de Guatemala fundada en 2010 especializados en servicio de

monitoreo y seguridad informática

• Costa Rica, creó un hub libre llamado CR- CERT que les permite a las
diferentes empresas de seguridad unirse y funcionar como un Centro de
Respuesta de Incidentes de Seguridad para el país.
• El CERT-HN procurara contrarrestar las ciber amenazas desarrollando
conocimiento cibernético proporcionando el intercambio de información,
llevando a cabo una serie de actividades: Analizar amenazas y vulnerabilidades
para reducir las ciberamenazas.
• CERT.AR Equipo de Respuesta ante Emergencias Informáticas nacional (CERT,
por su sigla en inglés). Trabajan en la gestión técnico-administrativa de los
incidentes de seguridad informática en el Sector Público Nacional.
• CERT MX Centro Especializado en Respuesta Tecnológica, cuyo objetivo es
mitigar y prevenir incidentes de seguridad informática. Súmate a las acciones por
la seguridad.

CSIRT EUROPA
 • CSIRT.es es una plataforma independiente de confianza y sin ánimo de lucro
compuesto por aquellos equipos de respuesta a incidentes de seguridad
informáticos cuyo ámbito de actuación o comunidad de usuarios en la que opera,
se encuentra dentro del territorio español.
• Japan CERT Coordination Center (JPCERT/CC)
• Singapur Computer Emergency Response Team (SingCERT).

https://www.itu.int/en/ITU-D/Regional-Presence/Americas/Documents/EVENTS/2016/15551-
EC/4B%201.pdf

MAGERIT, ISO 31,000 e ISO 27005 se debe de realizar un análisis comparativo de

las 3 metodologías

MAGERIT ISO 31000 ISO 27005

Analizar e identificar los Se enfoca en la gestión de Hace de forma específica
riesgos que pueden causar
algún tipo de daños a la riesgos de manera integral en la Gestión de los
empresa y genérica Riesgos en la Seguridad de
la información.

Análisis Comparativo entre ITIL V4 e ISO 20, OOO-1

ITIL 4: El enfoque holístico de ITIL4 propone que todas las organizaciones poseen un sistema
de valor de servicios, donde la cadena de valor considera cuatro dimensiones entendidas como
elementos flexibles y versátiles: Organizaciones y personas; Socios y proveedores; Información
y tecnología; Flujos y procesos del valor. Las cuatro son de suma importancia para el sistema de
valor, además de que incluyen a la gente como un elemento fundamental para la transformación
de las organizaciones.

ISO 20000: Esta norma tiene como objetivos orientar a las empresas a conseguir servicios de TI
más efectivos incorporando prácticas de gestión, posee un enfoque muy pragmático y objetivo.
Además, proporciona de manera específica qué prácticas necesita hacer para mejorar sus procesos
y aumentar su rendimiento a través de la satisfacción del cliente

Adicionalmente se debe de investigar los siguientes organismos certificadores

colocando su ubicación geográfica, servicios ofertados y entrenamientos disponibles:

1. AENOR

La Asociación Española de Normalización y Certificación fue desde 1986 hasta 2017 una entidad
dedicada al desarrollo de la normalización y la certificación en todos los sectores industriales y
de servicios.

Ubicación geográfica: Sede Central, Madrid. Génova, nº 6 28004.

Servicios Ofertados:

• Transporte público de pasajeros por metro. Transporte público de pasajeros en autobús

urbano.
• Transporte público de pasajeros en ferrocarril por cable (funicular).

2. ICONTEC

El Instituto Colombiano de Normas Técnicas y Certificación, es el Organismo Nacional de

Normalización de Colombia. Entre sus labores se destaca la reproducción de normas técnicas y
la certificación de normas de calidad para empresas y actividades profesionales.

Ubicación geográfica: Carrera 37 N° 52-95, Ciudad Universitaria, Bogotá, Colombia

• Servicios Ofertados:
• Normalización (en Colombia)
• Educación.
• Servicios de Evaluación de la Conformidad: – Certificación de Producto, Procesos y
Servicios. – Certificación de Sistemas de Gestión. – Inspección. – Validación y
Verificación. – Acreditación en Salud.
 CONLUSIÓN

El punto de este trabajo es entender las diferentes normativas, cuando apliquemos en un

futuro alguna normativa en una empresa sabremos identificar cual, y que es lo que
necesitan en sí, ya que conocemos a que se refiere cada una de estas y cuál es la más
factible, podremos aplicar una de estas de una manera segura, ¡claro! Seguir estudiando
es el objetivo para volvernos mejores cada día y adaptarse a las nuevas tecnologías.
 Fuentes:
https://www.google.com/search?q=cert+argentina&client=opera-gx&sxsrf=APq-
WBv1C6jtEKyQSZQKdRDrs_o-VptwKw%3A1643663109705&ei=BU_4YcLAKvuFwbkPyZ-
sSA&oq=cert+argen&gs_lcp=Cgdnd3Mtd2l6EAMYADIFCAAQgAQyBggAEBYQHjIGCAAQFhAeMg
YIABAWEB46CAgAEIAEELADOgQIIxAnOgQIABBDOgoIABCxAxCDARBDOgsIABCABBCxAxCDAToI
CAAQgAQQsQM6CggAEIAEEIcCEBQ6CwguEIAEEMcBENEDSgQIQRgBSgQIRhgAUL0RWOU5YJRB
aAJwAHgAgAGcAYgBsQmSAQQwLjEwmAEAoAEByAEBwAEB&sclient=gws-wiz

https://cert-hn.hn/#:~:text=El%20CERT-
HN%20procurara%20contrarrestar,alertas%20a%20posibles%20ciber%20amenazas.

https://revistaitnow.com/quien-se-encarga-de-la-seguridad-informatica-en-costa-rica/

https://www.cyberseg.com/sobre-nosotros

https://pinkelephant-latam.com/blog-itil4-o-iso-20000-cual-elegir/

https://www.bsigroup.com/es-ES/ISO27017-controles-seguridad-servicios-cloud/

http://zonabusit.blogspot.com/2019/10/itil-4-vs-itil-v3-cuales-son-las-7.html
https://pinkelephant-latam.com/blog-esto-es-lo-que-quizas-no-sepa-sobre-la-
transicion-de-itil-v3-a-itil-4/
https://www.youtube.com/watch?v=wL92uCNyrCY

https://www.cynthus.com.mx/que-hay-de-nuevo-en-cobit-2019/

https://www.ctr.unican.es/asignaturas/gobierno_de_las_ti/Doc/M1698_Módulo_3_Esta
ndares_y_frameworks.pdf
https://www.nqa.com/medialibraries/NQA/NQA-Media-
Library/PDFs/Spanish%20QRFs%20and%20PDFs/NQA-ISO-22301-Guia-de-
implantacion.pdf
https://www.linkedin.com/pulse/iso-27001-changing-2022-you-ready-richard-mark-
brown

https://www.bmc.com/blogs/iso-iec-20000-1-vs-20000-2-vs-20000-3/

https://www.pmg-ssi.com/2014/01/isoiec-27005-gestion-de-riesgos-de-la-seguridad-la-
informacion/

https://es.linkedin.com/pulse/iso-270022022-un-pre-análisis-césar-paul-viteri-
peñafiel?trk=articles_directory

https://www.pmg-ssi.com/2014/05/iso-27035-gestion-de-incidentes-de-seguridad-de-la-
informacion/
https://www.isotools.cl/isoiec-27007/

https://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-la-implementacion-de-un-
sistema-de-gestion-de-seguridad-de-la-informacion/

https://www.isotools.org/2019/05/30/iso-27006-el-estandar-que-garantiza-la-validez-de-
las-certificaciones-de-los-sgsi/

http://www.ciss.es/microsites/formacion/como-implementar-ISO-19770.htm#amastext1

https://www.pmg-ssi.com/2016/05/como-utilizar-serie-sp-800-norma-iso-27001/

https://www.audea.com/owasp-top-ten-mobile-risks/

https://www.fgcsecurity.com/owasp-top-10-de-vulnerabilidades-del-internet-de-las-
cosas-iot/

https://derechodelared.com/owasp-top-10/

https://www.freelancermap.com/blog/es/ley-sox-it/#controles

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolo
g/pae_Magerit.html

https://www.ccn-cert.cni.es/gl/gestion-de-incidentes/lucia/23-noticias/297-publicada-
isoiec-27013.html

https://www.aec.es/web/guest/centro-conocimiento/norma-iso-21500

https://asana.com/es/resources/what-is-
scrum?gclsrc=aw.ds&gclid=Cj0KCQiArt6PBhCoARIsAMF5wag0AJH9gxD6GbaXfG
4srjH9eyoyW5q76xs1YTmQV3MtSHo2JBHwNzsaAnJsEALw_wcB

https://metodologia.es/iso-29119/

https://asana.com/es/resources/what-is-
kanban?gclsrc=aw.ds&gclid=Cj0KCQiArt6PBhCoARIsAMF5wahqB4ej56zHkVX9S5
dC75cJScG_fov1Ud_PIwkTZpuJej5EmjueWUEaAq4WEALw_wcB

https://www.encolaboracion.net/continuidad-de-negocio/iso-22313/
https://www.normas-iso.com/iso-iec-27018-2014-requisitos-para-la-proteccion-de-la-
informacion-de-identificacion-personal/

https://www.powerdata.es/gdpr-proteccion-datos

https://www.bsigroup.com/es-CO/gestion-de-la-privacidad-de-la-informacion-iso-
27701/

https://www.isotools.org/2019/06/11/iso-27002-la-importancia-de-las-buenas-
practicas-en-los-sistemas-de-seguridad-de-la-informacion/

https://www.pmg-ssi.com/2020/07/iso-iec-27035-gestion-de-incidentes-de-seguridad/

https://es.wikipedia.org/wiki/ISO_8583

https://www.globalsuitesolutions.com/es/que-es-modelo-coso/

https://www.ciospain.es/finanzas/que-es-togaf-una-metodologia-de-arquitectura-
empresarial-para-negocios
Link del video del escritorio
https://youtu.be/a83VXGx47To