Tema 03

Principales normativas y estándares

aplicables a la auditoria de SI
Auditoria de los Sistemas de Información en
Organizaciones Públicas

Grado en Gestión y Administración Pública

Curso 2015-2016
 ASIOP
Objetivos Luis Pedrosa

• Conocer las principales normas sobre las que

se basa la auditoria de Sistemas de
Información
• Conocer las principales asociaciones y
entidades que desarrollan buenas prácticas

2
 ASIOP
Contenido Luis Pedrosa

• Auditoria de SI vs Normas de Buenas Prácticas

• ISACA

• Cobit

• ISO 20000

• Ley Protección Datos Personales

• Ciberseguridad

3
Auditoria de SI vs Normas de Buenas Prácticas
 ASIOP
Introducción Luis Pedrosa

• Desde hace varios años la sociedad está asistiendo a un raudal de publicaciones de normas y buenas
prácticas sobre la gestión y la seguridad de las Tecnologías de la Información y las Comunicaciones
• A pesar de la cada vez mayor utilización de las Tecnologías de la Información en la gestión y
administración de las empresas y organismos, no hay regulación formal alrededor de la función de
Auditoría de los Sistemas de Información.
• Es por ello que la práctica habitual de la auditoría se basa principalmente en:
– Regulación sobre Auditoría Financiera:
• Ley 22/2015, de 20 de julio de Auditoría de Cuentas (sector privado) o Normas de auditoría del
sector público 
• Normas de Auditoría del Sector Público 
• El conjunto de Normas técnicas del ICAC  
– Diferentes recomendaciones y Buenas Prácticas de la Auditoría Informática y Gobierno de TI,
• ISACA
• Cobit
• ISO 20.000 / ISO 27.000
• CMMi / ITIL
– Regulación puntual específica
• Reglamento (UE) 2016/679 General de Protección de datos
• RD 3/2010 sobre el Esquema Nacional de Seguridad
• Ley 8/2011, Protección de las Infraestructuras Críticas.

5
 ASIOP
Auditoría Luis Pedrosa

• La implantación de una norma en un entorno de TI no es un obstáculo para que los

auditores de Sistemas de Información puedan realizar su cometido principal:

La auditoría de TI es el proceso de recoger, agrupar y

evaluar evidencias para determinar si un sistema
informatizado ofrece confianza en salvaguarda de los
activos, mantenimiento de la integridad de los datos, llevar a
cabo los fines de la organización y utilización eficiente de los
recursos, así como la existencia de riesgos para el negocio
tanto operativos como legales.
El resultado es un informe o dictamen independiente,
basado en pruebas contrastables para la Dirección de una
entidad u otros grupos de interés

• La auditoría de TI es el mecanismo/proceso metodológico para valorar y evaluar la

confianza que se puede depositar en TI

6
 ASIOP
Problemática especifica Auditoría de SI Luis Pedrosa

• Las preocupaciones fundamentales respecto a la tecnología que hemos ido analizando

hasta el momento se acrecientan con el uso cada vez más intensivo de se hace de los
mismos, la mayor dependencia de las empresas y el incremento de la complejidad por
la evolución tecnológica.
• Estas preocupaciones, tanto de la Dirección General, como de sus accionistas,
interesados o sociedad en general se pueden concretar en:
– La veracidad de la información en cuanto a su totalidad y exactitud, procesada
por los sistemas de tecnología.
– La utilización racional y ajustada a las necesidades reales de los recursos
tecnológicos
– El “mantenimiento” o “sostenibilidad” de la estructura tecnológica y su
crecimiento, que no debe ser traumático en el soporte de nuestras actividades.
– La confidencialidad de la información.
– La protección de sus activos, especialmente el software y la información
• Por tanto, aquellas necesidades de tener una opinión independiente sobre estos
temas, no sólo se han consolidado, sino que aumenta en la medida que aumentan las
amenazas y vulnerabilidades para la información y la sustentación de los procesos de
negocio, con los avances tecnológicos

7
ISACA
 ASIOP
ISACA Luis Pedrosa

• En 1967 se funda la que hoy se llama Information Systems Audit and Control Association
(ISACA), siendo aún hoy la única entidad, a nivel mundial, de los auditores de SI, y que gestiona
una certificación en esta materia: Certified Information System Auditor (CISA)
• Esta asociación, que está presente en 140 países establece normas y procedimientos para la
función de auditoría de SI y los profesionales que las realizan
• En Valencia existe un capítulo (asociación local) que tiene como objetivos:
1. Promover la formación y ayudar a expandir entre sus miembros los conocimientos y
habilidades necesarios en los campos interrelacionados de la auditoría, aseguramiento de la
calidad, seguridad, auditoría y control de los Sistemas de Información.
2. Estimular el libre intercambio entre sus miembros de las técnicas, experiencias y problemas
relacionados con la auditoría y control de los Sistemas de Información, el aseguramiento de
la calidad y la seguridad de estos.
3. Promover la adecuada comunicación para mantener a sus miembros informados sobre
aquellos acontecimientos y eventos relacionados con la auditoría y control de los Sistemas
de Información, el aseguramiento de la calidad y la seguridad, que puedan ser beneficiosos
para ellos, para sus empleados o para las Empresas u Organismos donde desarrollen su
carrera profesional.
4. Informar a las empresas, auditores, universidades, profesionales de los Sistemas de
Información y público en general de la importancia de implantar los controles necesarios
para asegurar la organización y utilización eficiente de los recursos de las Tecnologías de la
Información.

9
 ASIOP
Las buenas prácticas Luis Pedrosa

La naturaleza especializada de la auditoría y aseguramiento de los sistemas de la

información (SI) y de las habilidades necesarias para realizar este tipo de compromisos
requiere estándares que apliquen especialmente a las auditorías y aseguramiento de SI.
El desarrollo y diseminación de los estándares de auditoría y aseguramiento de SI son la
piedra angular de la contribución profesional de ISACA® a la comunidad de auditoría.
Los estándares de auditoría y aseguramiento de SI definen requerimientos obligatorios
para la auditoría de SI y presentación de informes e informan a:
• Los profesionales de auditoría de SI de profesionales del nivel mínimo de desempeño
aceptable requerido para cumplir las responsabilidades profesionales indicadas en el
Código de Ética Profesional de ISACA.
• Expectativas de la dirección y otras partes interesadas de la profesión respecto al
trabajo de los profesionales.
• Los poseedores de la Certificación de Auditoría de Sistemas de la Información
(CISA®). El incumplimiento de estos estándares puede dar lugar a una investigación
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o
el comité apropiado y, en última instancia, en una acción disciplinaria.

10
 ASIOP
ITAFTM Luis Pedrosa

ITAF™, un marco de trabajo de prácticas profesionales para auditoría y aseguramiento de SI,

proporciona diferentes utilidades:
• Estándares, divididos en tres categorías:
– Estándares generales (series 1000)-Son los principios rectores bajo los que opera la profesión
de auditoría y aseguramiento de SI. Aplican a la realización de todas las tareas, y hacen frente a
la ética, independencia, objetividad y debida diligencia del profesional de auditoría y
aseguramiento de SI, así como los conocimientos, competencia y habilidades. Las declaraciones
de los estándares (en negrita) son obligatorias.
– Estándares de desempeño(series 1200)-Tienen que ver con la forma en que se conduce la
asignación, tales como planificación y supervisión, definición del alcance, riesgos y materialidad,
la movilización de recursos, supervisión y administración de asignaciones, evidencias de
auditoría y aseguramiento, y el ejercicio de su juicio profesional y debida diligencia.
– Estándares de presentación de informes (series 1400)-Direccionan los tipos de informes, medios
de comunicación y la información comunicada.
• Guías, apoyan a los estándares y también se dividen en tres categorías:
– Guías generales (series 2000).
– Guías de rendimiento (series 2200).
– Guías de presentación de informes (series 2400).
• Herramientas y técnicas, proporcionan una guía adicional para los profesionales de auditoría y
aseguramiento de SI, por ej., documento técnico (white paper), programas de auditoría /
aseguramiento de SI, los productos de la familia de COBIT® 5.

11
CobiT

Control Objetives for Information Related Technology

 ASIOP
Gobierno TI Luis Pedrosa

• CobiT es un modelo/conjunto estructurado de buenas prácticas y metodologías para

su aplicación cuyo objetivo es facilitar el gobierno de TI
• Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI en
coordinación con la alta dirección para movilizar sus recursos de la forma más
eficiente en respuesta a requisitos regulatorios, operativos o del negocio.
• Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la
estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el
desarrollo de los objetivos estratégicos definidos.
• Garantiza que:
– TI está alineada con la estrategia del negocio.
– Los servicios y funciones de TI se
proporcionan con el máximo valor posible o
de la forma más eficiente.
– Todos los riesgos relacionados con TI son
conocidos y administrados y los recursos de
TI están seguros.
 ASIOP
CobiT Luis Pedrosa

• COBIT es un marco de gobierno de las tecnologías de información que proporciona

una serie de herramientas para que la gerencia pueda conectar los requerimientos de
control con los aspectos técnicos y los riesgos del negocio
• COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las
tecnologías en toda la organización
• COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar
su valor a través de las tecnologías, y permite su alineamiento con los objetivos del
negocio
– Compendio de mejores prácticas aceptadas internacionalmente
– Orientado a la gerencia de las tecnologías
– Complementado con herramientas y capacitación
– Gratuito
– Respaldado por una comunidad de expertos
– En evolución permanente
– Mantenido por una organización sin fines de lucro, con reconocimiento internacional
– Mapeado con otros estándares
– Orientado a Procesos, sobre la base de Dominios de Responsabilidad

14
 ASIOP
El marco CobiT Luis Pedrosa

• En pocas palabras, COBIT 5 ayuda a las empresas a crear valor óptimo de TI

mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la
optimización de los niveles de riesgo y el uso de los recursos.

• COBIT 5 permite que la información y la tecnología

relacionada para ser gobernado y administrado de
manera integral para el conjunto de la empresa,
teniendo en el pleno de extremo a extremo del
negocio y áreas funcionales de responsabilidad,
teniendo en cuenta los intereses relacionados con la
TI de grupos de interés internos y externos.
• Los principios y los facilitadores de COBIT 5 son de
carácter genérico y útil para las empresas de todos
los tamaños, ya sea comercial, sin fines de lucro o
en el sector público.

15
 ASIOP
Principios Luis Pedrosa

1. Satisfacer
las
Necesidades
de las Partes
Interesadas

5. Separar el 2. Cubrir la
Gobierno de la Compañía de
Administración Forma Integral
Principios
CobiT 5

4. Habilitar un 3. Aplicar un
Enfoque solo Marco
Holístico Integrado

16
 ASIOP
Principios Luis Pedrosa

Principio 1: Satisfacer las Necesidades de las Partes Interesadas

Las Compañías existen para crear valor para sus partes interesadas.

 En el Gobierno se trata de negociar y decidir entre

los diversos intereses de beneficio de las
Necesidades diferentes partes interesadas.
de las partes
interesadas
 El sistema de Gobierno deberá considerar a todas
las partes interesadas al tomar decisiones con
respecto a la evaluación de riesgos, los beneficios
y el manejo de recursos.
 Para cada decisión se puede, y se debe, hacer las
siguientes preguntas:
Objetivos del Gobierno: Creación de Valor
- ¿Quién recibe los beneficios?
- ¿Quién asume el riesgo?
- ¿Qué recursos se necesitan?
Realización Optimización Optimización
de Beneficios de Riesgos de Recursos

Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia
accionable para la Organización
17
 ASIOP
Principios Luis Pedrosa

Principio 2: Cubrir la Compañía de Forma Integral

 Integra el gobierno de la TI Objectivo del Gobierno: Creación de Valor

corporativa en el gobierno Realización Optimización Optimización

de Beneficios de Riesgos de Recursos
corporativo, toda vez que COBIT 5
está alineado a los últimos
desarrollos en gobierno corporativo.
 Cubre todas las funciones y los Habilitadores Alcance del
de Gobierno Gobierno
procesos dentro de la
Organización; COBIT 5 no
solamente se concentra en la
“Función de la TI”, sino trata la Roles, Actividades y Relaciones

tecnología de la información y
relacionadas como activos que Fuente COBIT 5, Figura 8. © 2012 ISACA Todos los derechos reservados.
® ®

necesitan ser Roles, Actividades y Relaciones

manejados como Delegan Fijar
Instruir y
Dueños y Operaciones
cualquier otro activo, Partes
Ente
Regulador
Directivas Administración
Alinear
y
por todos en la Interesadas Rendición de
Cuentas
Monitorear Informar
Ejecución

Organización.
Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.

18
18
 ASIOP
Principios Luis Pedrosa

Principio 3: Aplicar un único Marco Integrado

 COBIT 5 está alineado con los últimos marcos y normas relevantes usados
por las organizaciones:
 Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
 Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000,
TOGAF, PMBOK/PRINCE2, CMMI
 Etc.
 Así se permite a la Organización utilizar COBIT 5 como integrador macro en
el marco de gobierno y administración.
 ISACA está desarrollando el modelo de capacidad de los procesos para
facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra
los marcos y normas de terceros.

19
19
 ASIOP
Principios Luis Pedrosa

Principio 4: Aplicar un enfoque Holístico Los Habilitadores de COBIT 5 son:

• Factores que, individual
y colectivamente,
influyen sobre si algo
funcionará – en el caso
3. Estructuras 4. Cultura, Ética
de COBIT, Gobierno y
2. Procesos Administración sobre la
Organizacionales y Comportamiento
TI corporativa.
• Impulsados por las
metas en cascada, o
1. Principios, Políticas y Marcos sea: las metas de alto
nivel relacionadas con la
TI definen qué deberían
lograr los diferentes
6. Servicios, 7. Personas, habilitadores.
5. Información Infraestructura Habilidades y
y Aplicaciones Competencias
• Descritos por el marco
de COBIT 5 en siete
categorías.
RECURSOS

20
 ASIOP
Principios Luis Pedrosa

Principio 4: Aplicar un enfoque Holístico

1.Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados
objetivos y producir una serie de resultados como apoyo al logro de las metas globales
relacionadas con la TI.
2.Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en
una organización.
3.Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima
frecuentemente como factor de éxito en las actividades de gobierno y administración.
4.Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en
una orientación práctica para la administración diaria.
5.Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se
trata de toda la información producida y usada por la Organización. La información es requerida
para mantener la organización andando y bien gobernada, pero a nivel operativo, la información
frecuentemente es el producto clave de la organización en si.
6.Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las
aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la
organización.
7.Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas
para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como
para llevar a cabo las acciones correctivas.
21
 ASIOP
Principios Luis Pedrosa

Principio 5: Separar el Gobierno de la Administración

• El Gobierno asegura que se evalúen las necesidades de las partes interesadas, así
como las condiciones y opciones, para determinar los objetivos corporativos
balanceados acordados a lograr; fijando directivas al establecer prioridades y tomar
decisiones; así como monitorear el desempeño, cumplimiento y progreso
comparándolos contra las directivas y objetivos fijados (EDM).
• La Administración Necesidades del Negocio

planifica, construye, Gobierno

ejecuta y monitorea las Evaluar

actividades conforme a
las directivas fijadas por
el ente de Gobierno para Dirijir
Retroalimentación Gerencial
Monitorear

lograr los objetivos de la

Compañía (PBRM por su
sigla en inglés – PCEM). Administración

Planificar Construir Operar Monitorear

(APO) (BAI) (DSS) (MEA)

Fuente: COBIT® 5, Figura 15. © 2012 ISACA® Todos derechos reservados.

22
 ASIOP
Dominios y procesos Luis Pedrosa

• El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y

prácticas de la Organización relacionadas con la TI en dos áreas principales –
Gobierno y Administración – con la Administración a su vez dividida en
dominios de procesos:
– El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro
de cada proceso se definen las prácticas para Evaluar, Dirigir y Monitorear
(EDM).
– Los cuatro dominios de la ADMINISTRACIÓN están alineados con las
áreas de responsabilidad de Planificar, Construir, Operar y Monitorear
(PBRM por su sigla en inglés).

23
 ASIOP
Dominios y Procesos Luis Pedrosa

Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

EDM01 Asegurar
que se fija el Marco EDM02 Asegurar EDM04 Asegurar EDM05 Asegurar
EDM03 Asegurar
de Gobierno y su la Entrega de Valor la Optimización de la Transparencia a
la Optimización de
Mantenimiento los Recursos las partes
los Riesgos
interesadas

Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar APO02 Administrar APO03 Administrar APO05 Administrar APO07 Administrar
APO04 Administrar APO06 Administrar
el Marco de la la Arquitectura el Portafolio el Recurso Humano
la Estrategia la Innovación el Presupuesto y los
Administración de TI Corporativa
Costos

MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeño y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos la Seguridad
las Relaciones
Servicios

Construir, Adquirir e Implementar

BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar la BAI07 Administrar la
BAI04 Administrar la BAI06 Administrar
Programas y la Definición de la Identificación y Habilitación del Aceptación de
Disponibilidad y Cambios
Proyectos Requerimientos Construcción de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

BAI08 Administrar el BAI09 Administrar BAI10 Admnistrar la

Conocimiento los Activos Configuración

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas la Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Negocio Requisitos Externos

Procesos para la Administración de TI Corporativa

24
ISO 20000
estándar reconocido internacionalmente en gestión de
servicios de TI
 ASIOP
Descripción Luis Pedrosa

• Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una
percepción de que estos servicios no están alineados con las necesidades y requisitos
del negocio. Esto es especialmente importante tanto si se proporciona servicios
internamente a clientes como si se está subcontratando proveedores. Una manera de
demostrar que los servicios de TI están cumpliendo con las necesidades del negocio
es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los
requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional
permite demostrar de manera independiente que los servicios ofrecidos cumplen con
las mejores prácticas.
• La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o
guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es
medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC
20000, las organizaciones deben ser auditadas y medidas frente a un conjunto
establecido de requisitos.
• La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en
cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es
particularmente aplicable para proveedores de servicios internos de TI, tales como
departamentos de Información Tecnológica, proveedores externos de TI o incluso
organizaciones subcontratadas. La norma está impactando positivamente en algunos
de los sectores que necesitan TI tales como subcontratación de negocios,
Telecomunicaciones, Finanzas y el Sector Público.
 ASIOP
Organización de un Sistema de Gestión de Servicios TI Luis Pedrosa

27
 ASIOP
Organización Luis Pedrosa

El estándar se compone de 5 partes, de las cuales cuatro están ya publicadas y una en proceso de
publicación:
• Parte 1: Requisitos de los sistemas de gestión de servicios
• Parte 2: Guía de implementación de los sistemas de gestión de servicios
• Parte 3: Guía en la definición del alcance y la aplicabilidad (informe técnico)
• Parte 4: Modelo de referencia de procesos (informe técnico)
• Parte 5: Ejemplo de implementación (informe técnico)
La primera parte (Especificación) define los requerimientos (217) necesarios para realizar una entrega de
servicios de TI alineados con las necesidades del negocio, con calidad y valor añadido para los clientes,
asegurando una optimización de los costes y garantizando la seguridad de la entrega en todo momento. El
cumplimiento de esta parte, garantiza además, que se está realizando un ciclo de mejora continuo en la
gestión de servicios de TI. La especificación supone un completo sistema de gestión (organizado según ISO
9001) basado en procesos de gestión de servicio, políticas, objetivos y controles. El marco de procesos
diseñado se organiza con base en los siguientes bloques:
• Grupo de procesos de Provisión del Servicio.
• Grupo de procesos de Control.
• Grupo de procesos de Entrega.
• Grupo de procesos de Resolución.
• Grupo de procesos de Relaciones.
La segunda parte (Código de Prácticas) representa el conjunto de buenas prácticas adoptadas y aceptadas
por la industria en materia de Gestión de Servicio de TI. Está basada en el estándar de facto ITIL (Biblioteca
de Infraestructura de TI) y sirve como guía y soporte en el establecimiento de acciones de mejora en el
servicio o preparación de auditorías contra el estándar.

28
ISO 27000
estándar reconocido internacionalmente que proporcionan un
marco de gestión de la seguridad de la información
 ASIOP
Descripción Luis Pedrosa

• A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares

desarrollados -o en fase de desarrollo- por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission), que proporcionan
un marco de gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
• La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad
de la información. Las más importantes de esta familia son las normas ISO 27001 e
ISO 27002.
• La ISO 27002 es un código de buenas prácticas para la realización de un Sistema de
Gestión de Seguridad de la Información (SGSI). La misma está dividida en once
dominios (por ejemplo, Seguridad física y del entorno o Control de accesos), y en cada
uno de ellos se destacan cuáles son las mejores prácticas o los controles
recomendados para dar seguridad en la organización. Esta norma no es certificable.
• Para ello, está la norma ISO 27001, que es la que las organizaciones deben certificar.
La misma contiene los requisitos que debe cumplir una organización, para estar
acorde a las buenas prácticas listadas en las otras normas de la familia
(especialmente la 27002). Publicada en octubre 2005, hoy es la certificación en
seguridad más popular y es aplicada por empresas de todo tipo en todo el mundo..
 ASIOP
Normativas Luis Pedrosa

Además de estas dos series, podemos agregar las siguientes que conforman la familia:
• ISO 27000: aún en desarrollo, será una especia de diccionario con vocabulario
estandard para todas las normas de la familia.
• IS 27003: es un soporte a la norma 27001, que incluye directivas para la
implementación de un Sistema de Gestión de Seguridad de la Información. Fue
publicada en febrero de 2010.
• ISO 27004: incluye métricas para la gestión de la seguridad de la información.
Publicada en diciembre de 2009.
• ISO 27005: normativa dedicada exclusivamente a la gestión de riesgos en seguridad
de la información. Fue publicada en junio de 2008.
Las normativas permiten a las organizaciones presentar y certificar un nivel de calidad
ante sus usuarios y el público en general. Aunque en un principio fueron de interés para
las grandes empresas, las normas ISO 27000 están siendo consideradas también por
medianas empresas en el Latinoamérica y el mundo. Además, las normas sirven para
tener una guía de buenas prácticas que pueden ser de utilidad, incluso si la organización
no desea o puede certificar la misma.
CMMi
Modelo de evaluación de buenas prácticas en desarrollo
 ASIOP
Introducción Luis Pedrosa

• CMMI son las siglas de Capability Maturity Model Integration. Es un modelo

desarrollado por el Software Engineering Institute para la mejora de los procesos de
las empresas de software que califica las compañías según su nivel de madurez. Por
proceso se entiende un conjunto de fases sucesivas que llevan a la obtención de un
resultado, y por nivel de madurez, el grado de calidad que alcanzan los procesos.
Recientemente el modelo fue aupado a la versión 1.3.
• Así pues, y en pocas palabras, CMMI establece una serie de buenas prácticas que las
empresas deben cumplir para ser consideradas de un grado de madurez determinado
a la hora de generar resultados. Pero ojo: CMMI no te dice cómo llevar a cabo estas
prácticas, simplemente te indica qué debes cumplir. Es cosa de cada empresa buscar
el modo de cumplir con dichas prácticas.

El Modelo de Capacidad y Madurez Integrado CMMI (Capability Maturity Model

Integration) es un modelo de referencia de prácticas maduras usadas para evaluar y
mejorar la capacidad de los procesos. Es una ruta evolutiva de implementación de las
mejores prácticas en los procesos organizacionales
 ASIOP
El modelo Luis Pedrosa

• El modelo para software (CMMI) establece 5 niveles de

madurez para clasificar a las organizaciones, en función de
qué áreas de procesos consiguen sus objetivos y se gestionan
con principios de ingeniería. Es lo que se denomina un modelo
escalonado, o centrado en la madurez de la organización.

34
 ASIOP
Niveles Luis Pedrosa

1.Ejecutado- Inicial
2.Administrado -
Gestionado
3.Definido
4.Administrado -
Gestionado
Cuantitativamente
5.Optimizado

35
 ASIOP
Niveles Luis Pedrosa

Inicial
• La organización en este nivel no dispone de un ambiente estable para el desarrollo y
mantenimiento de productos y servicios.
Administrado
• En la organización que se encuentra en este nivel algunas áreas organizacionales y/o
proyectos han alcanzado las metas genéricas y específicas establecidas en sus áreas
de proceso, es decir planean sus procesos, los ejecutan, los miden y los controlan.
Definido
• Tienen los procesos caracterizados, entendidos por los ejecutores, descritos mediante
estándares, procedimientos, métodos y herramientas.
Administrado Cuantitativamente
• La organización selecciona y administra las actividades que contribuyen
perceptiblemente al funcionamiento de proceso total. Estas actividades seleccionadas
son controladas con técnicas estadísticas y otras técnicas cuantitativas.
Optimizado
• Los procesos de la organización son mejorados continuamente basados en una
comprensión cuantitativa de las causas comunes de variación inherentes a los
procesos. El nivel 5 está centrado en mejorar continuamente el desempeño de los
procesos con mejoras tecnológicas incrementales e innovadoras.

36
 ASIOP
Esquema Luis Pedrosa

37
 ASIOP
Aplicación del modelo CMMi Luis Pedrosa

Los principales beneficios que le proporcionará la mejora de procesos y la

certificación de su calidad son:
• Permite demostrar su nivel de calidad delante de sus clientes con
certificaciones reconocidas internacionalmente.
• Mejora la rentabilidad y plazo de entrega de sus proyectos internos o para
clientes.
• Mejora la eficiencia y agilizará las actividades desarrolladas por el
departamento de TI.
• Aumenta la seguridad y disponibilidad de los sistemas de información.
• Asegura la conformidad de las actuaciones con las políticas establecidas

Garantiza frente a terceros (Auditor) la aplicación de un proceso

consistente, transparente y alineado con las mejores prácticas en el área
de Desarrollo de Sistemas de Información

38
ITIL
 ASIOP
Introducción Luis Pedrosa

• La Biblioteca de Infraestructura de Tecnologías de Información,

frecuentemente abreviada ITIL (del inglés Information Technology
Infrastructure Library), es un conjunto de conceptos y buenas prácticas para la
gestión de servicios de tecnologías de la información, el desarrollo de
tecnologías de la información y las operaciones relacionadas con la misma en
general.
• ITIL da descripciones detalladas de un extenso conjunto de procedimientos de
gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia
en las operaciones de TI. Estos procedimientos son independientes del
proveedor y han sido desarrollados para servir como guía que abarque toda
infraestructura, desarrollo y operaciones de TI.
• No es posible certificar una organización o sistema de gestión como
«conforme a ITIL», pero una organización que haya implementado las guías
de ITIL sobre Gestión de los Servicios de TI puede lograr certificarse bajo la
ISO/IEC 20000
 ASIOP
¿Qué es ITIL? Luis Pedrosa

41
 ASIOP
Gestión de Servicios TI Luis Pedrosa

• Se basa en dos componentes principales

Provisión del
Servicio

Soporte al
Servicio

42
 ASIOP
Provisión del Servicio Luis Pedrosa

43
 ASIOP
Soporte al servicio Luis Pedrosa

Centro de Servicios

44
 ASIOP
Soporte al servicio Luis Pedrosa

• Registrando y monitorizando incidentes.

• Aplicando soluciones temporales a
errores conocidos en colaboración con
la Gestión de Problemas.
Centro de Servicios
• Colaborando con la Gestión de
Configuraciones para asegurar la
actualización de las bases de datos
correspondientes.
• Gestionando cambios solicitados por los
clientes mediante peticiones de servicio
en colaboración con la Gestión de
Cambios y Versiones

45
 ASIOP
Soporte al servicio Luis Pedrosa

Centro de Servicios

• La Gestión de Incidentes tiene como objetivo resolver cualquier incidente que La que se
preocupa de
cause una interrupción en el servicio de la manera más rápida y eficaz posible. encontrar y
analizar las
• La Gestión de Incidentes no debe confundirse con la Gestión de Problemas, causas
subyacentes
pues a diferencia de esta última, no se preocupa de encontrar y analizar las es la Gestión
causas subyacentes a un determinado incidente sino exclusivamente a de Problemas
restaurar el servicio. Sin embargo, es obvio, que existe una fuerte interrelación y no la
Gestión de
entre ambas. Incidentes.

46
 ASIOP
Soporte al servicio Luis Pedrosa

• Investigar las causas subyacentes a toda alteración, real o

potencial, del servicio TI.
• Determinar posibles soluciones a las mismas.
• Proponer las peticiones de cambio (RFC) necesarias para
Centro de Servicios
restablecer la calidad del servicio.
• Realizar Revisiones Post Implementación (PIR) para
asegurar que los cambios han surtido los efectos
buscados sin crear problemas de carácter secundario.

47
 ASIOP
Resumen Luis Pedrosa

Entidad Concepto Ámbito Certificable

Isaca Organización internacional dedicada al desarrollo Profesionales Certifica a profesionales en Certified

de la auditoría informática Auditoría Information System Auditor (CISA),
Título más reconocido a nivel mundial
Cobit Modelo/conjunto estructurado de buenas Gobierno TI NO
prácticas y metodologías para su aplicación cuyo
objetivo es facilitar el gobierno de TI
ISO 20000 Estándar reconocido internacionalmente en Gobierno TI / Certifica a una organización o parte de
gestión de servicios de TI Gestión Servicios ella
ISO 27000 Conjunto de estándares que proporcionan un Seguridad TI Certifica a la organización
marco de gestión de la seguridad de la
información
CMMi Es un modelo para la mejora y evaluación de Desarrollo y Las organizaciones no pueden
procesos para el desarrollo, mantenimiento y Mantenimiento y certificarse pero si ser evaluadas en su
operación de Sistemas Software Operación Software grado de madurez
ITIL Conceptos y buenas prácticas usadas para la Gobierno TI / Certifica a los profesionales
gestión de servicios de tecnologías de la Gestión Servicios
información
Ley de Protección de Datos de Carácter Personal
 ASIOP
Introducción Luis Pedrosa

• La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter

Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y
proteger, en lo que concierne al tratamiento de los datos personales, las libertades
públicas y los derechos fundamentales de las personas físicas, y especialmente de su
honor, intimidad y privacidad personal y familiar. Fue aprobada en las Cortes
españolas el 13 de diciembre de 1999. Está ley se desarrolla fundamentándose en el
artículo 18 de la constitución española de 1978, sobre el derecho a la intimidad familiar
y personal y el secreto de las comunicaciones.
• Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter
personal, independientemente del soporte en el cual sean tratados, los derechos de
los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.
• Esta ley afecta a todos los datos que hacen referencia a personas físicas registradas
sobre cualquier soporte, informático o no. Quedan excluidas de esta normativa
aquellos datos recogidos para uso doméstico, las materias clasificadas del estado y
aquellos ficheros que recogen datos sobre Terrorismo y otras formas de delincuencia
organizada (no simple delincuencia).
• A partir de esta ley se creó la Agencia Española de Protección de Datos, de ámbito
estatal que vela por el cumplimiento de esta normativa.
 ASIOP
Deber de información Luis Pedrosa

Los datos personales se clasifican en función de su mayor o menor grado de sensibilidad, siendo los
requisitos legales y de medidas de seguridad informáticas más estrictos en función de dicho mayor
grado de sensibilidad, siendo obligatorio por otro lado, en todo caso la declaración de los ficheros de
protección de datos a la "Agencia Española de Protección de Datos".
Los interesados a los que se soliciten datos personales deberán ser previamente informados de
modo expreso, preciso e inequívoco:
1.De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información.
2.Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
3.De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
4.De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
5.De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
solicita
Se permite sin embargo, el tratamiento de datos de carácter personal sin haber sido recabados
dos
directamente del afectado o interesado, aunque no se exime de la obligación de informar de forma
expresa, precisa e inequívoca, por parte del responsable del fichero o su representante, dentro de los
tres meses siguientes al inicio del tratamiento de los datos.
Excepción: No será necesaria la comunicación en tres meses de dicha información si los datos han
sido recogidos de "fuentes accesibles al público" y se destinan a la actividad de publicidad o
prospección comercial, en este caso "en cada comunicación que se dirija al interesado se le
informará del origen de los datos y de la identidad del responsable del tratamiento así como de los
derechos que le asisten".
51
 ASIOP
Consentimiento Luis Pedrosa

Tipos de consentimiento Cuando la ley lo pida se hará uso de

los datos de carácter personal
a) Consentimiento inequívoco: El tratamiento de los datos de carácter personal
requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra
cosa. Cuando no se exige consentimiento
expreso
b) Consentimiento tácito: Esta será la forma normal del consentimiento en los
supuestos que no se exija un consentimiento expreso o expreso y por escrito.
c) Consentimiento expreso: Los datos de carácter personal que hagan referencia al
origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y
cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado
consienta expresamente. Origen racial, salud y vida sexual: tratados cuando lo diga la ley o el afectado
d) Consentimiento expreso y por escrito: Se requiere consentimiento expreso y por
escrito del afectado respecto a los datos relativos a la ideología, afiliación sindical,
religión y creencias y sólo podrán ser cedidos con consentimiento expreso
Ideología, afiliación sindical, religión y creencias: consentimiento expreso

52
 ASIOP
Comunicación de datos Luis Pedrosa

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para
el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado.
El consentimiento exigido en el apartado anterior no será preciso:
• Cuando la cesión está autorizada en una ley.
• Cuando se trate de datos recogidos de fuentes accesibles al público.
• Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con
ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la
finalidad que la justifique.
• Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el
Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las
funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación
tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del
Pueblo o al Tribunal de Cuentas.
• Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento
posterior de los datos con fines históricos, estadísticos o científicos.
• Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar
una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en
los términos establecidos en la legislación sobre sanidad estatal o autonómica.

53
 ASIOP
Acceso a datos por cuenta de terceros Luis Pedrosa

• No se considerará comunicación de datos el acceso de un tercero a los datos cuando

dicho acceso sea necesario para la prestación de un servicio al responsable del
tratamiento.
• La realización de tratamientos por cuenta de terceros deberá estar regulada en un
contrato que deberá constar por escrito o en alguna otra forma que permita acreditar
su celebración y contenido, estableciéndose expresamente que el encargado del
tratamiento únicamente tratará los datos conforme a las instrucciones del responsable
del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho
contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
• Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser
destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter personal objeto del tratamiento.
• En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado
también responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.

54
Esquema Nacional de Seguridad
 ASIOP
Objetivos ESQUEMA NACIONAL DE SEGURIDAD (ENS) Luis Pedrosa

• Crear las condiciones necesarias de confianza en el uso de los medios electrónicos,

a través de medidas para garantizar la seguridad de la información y los servicios
electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el
ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
• Establecer la política de seguridad en la utilización de medios electrónicos en el
ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los
requisitos mínimos para una protección adecuada de la información.
• Introducir los elementos comunes que han de guiar la actuación de las
Administraciones públicas en materia de seguridad de las tecnologías de la
información.
• Aportar un lenguaje común para facilitar la interacción de las Administraciones
públicas, así como la comunicación de los requisitos de seguridad de la información a
la Industria.
• Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la
prestación de servicios de administración electrónica cuando participan diversas
entidades.
• Facilitar un tratamiento continuado de la seguridad

56
 ASIOP
Adecuación al Esquema Nacional de Seguridad Luis Pedrosa

La adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de

las siguientes cuestiones:
• Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la
asignación de responsabilidades
• Categorizar los sistemas atendiendo a la valoración de la información manejada y de
los servicios prestados
• Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad
existentes
• Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del
ENS. Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de
las insuficiencias detectadas, incluyendo plazos estimados de ejecución
• Implantar operar y monitorizar las medidas de seguridad a través de la gestión
continuada de la seguridad correspondiente
• Auditar la seguridad (CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad y
CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional
de Seguridad).
• Informar sobre el estado de la seguridad

57
ciberseguridad

Ley de protección de infraestructuras críticas

 ASIOP
La protección de infraestructuras críticas Luis Pedrosa

Tradicionalmente se ha separado la seguridad física clásica de la seguridad lógica de

las TIC. En el contexto actual, no es posible trabajar con aproximaciones estancas.
 ASIOP
Antecedentes de la Ley PIC Luis Pedrosa

5 años
 ASIOP
Infraestructuras críticas Luis Pedrosa

Conforme a la Ley 8/2011, para que una infraestructura de TI se considere crítica debe:
• Ser necesaria para el suministro de servicios esenciales (agua, energía, transporte,
etc.
• Ser indispensable por no disponer de solución alternativa Ser única
• Sectores Afectados

2015 / 2016
• Alimentación
2014
• Tecnologías Información y
• Electricidad
Comunicaciones
• Petróleo
• Agua
• Gas
• Administración Pública
• Nuclear
• Espacio
• Finanzas
• Investigación
• Administración
• Salud
• Tributaria
• Químico
• Transporte

61
 ASIOP
Obligaciones Luis Pedrosa

Ley de Protección de infraestructuras críticas

La LPIC y su desarrollo reglamentario publicado mediante el Real Decreto 704/2011 de 21
de mayo (en adelante, RDPIC) establecen, entre otras, la necesidad de que los que sean
designados como operadores críticos elaboren dos documentos:

• Un Plan de Seguridad del Operador (PSO)

• Un Plan de Protección Específico (PPE) para cada una de las infraestructuras que
haya sido identificada como crítica por el Centro Nacional para la Protección de las
Infraestructuras Críticas (CNPIC)

Fase I Fase II Asignar Fase III Fase IV Fase V

Identificación de valor a los Identificación Identificación Valoración del
activos activos de amenazas de impactos riesgo

62
 ASIOP
Procedimiento regulador Luis Pedrosa

Operador Crítico:
Identificación y valoración de las
Propietario o gestor de una
infraestructuras
infraestructura crítica
CNPIC – Operador
Art. 2 Ley 08/2011 PIC

Responsabilidades del OC: Proceso de designación como

Obligaciones del OC como agente Operador Crítico (OC):
del Sistema PIC
RD 704/2011 Reglamento PIC RD 704/2011 Reglamento PIC
Art. 13 Art. 13

Elaboración PSO: Elaboración PPE:

(6 meses desde la designación OC) (4 meses desde la aprobación PSO)
RD 704/2011 Reglamento PIC RD 704/2011 Reglamento PIC
Art. 22 Art. 25

63
¿Dudas?